Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Борьба со скрытностью

Прочитали: 11675 Комментариев: 92 Рейтинг: 312

20 марта 2017

Как вредоносные программы усыпляют бдительность антивирусов и обычных пользователей? Возможностей у них много, но на деле чаще всего используется два способа:

  1. Запуск вируса с последующим контролем за действиями пользователя и операционной системы. Вредоносная программа на лету перехватывает обращения пользователя и программ к определенным ресурсам и в ответ возвращает данные в отредактированном виде.

    Первым стелс-вирусом принято считать вирус Frodo (он же RCE-04096), разработанный в Израиле в 1989 году. Вирус в момент заражения сохранял загрузочный сектор и в момент обращения к нему показывал вместо зараженного загрузочного сектора – чистый.

    http://stfw.ru/page.php?id=9250

  2. Сокрытие вредоносного файла и его данных в отдельной области жесткого диска, служебных областях или специально созданных файлах. Например, в момент заражения троянец создает файл и специальным образом его размечает, создавая в нем базу данных или даже особую файловую систему (да, файловую систему можно создать и в файле: грубо говоря, с точки зрения утилит разметка файла ничем не отличается от разметки диска и представляет собой последовательность областей для записи данных). При этом доступ к файлу, разделу диска или специальным областям для антивируса закрывается путем установки пароля, шифрования или использования специфических операционных систем. Пример такого троянца – самораспространяющийся полиморфный банковский вирус Bolik.

    Но укрыться – это еще полдела: злоумышленникам нужно обеспечить запуск вредоносной программы. Это можно сделать с помощью вполне легальных программ, прописав, например, в реестр задачу (естественно, с логином и паролем) извлечения определенного файла из хранилища.

    Вирус взамен настоящей информации производит передачу данных незараженного файла. Отсюда следует, что программа-антивирус не способна обнаружить никакие изменения в файле.

    Справочник вирусолога. Автор manager
    http://voleyko.ru/spravochnik-virusologa-stels-virusy

Естественно, это не совсем так. Если бы антивирус был обычной программой, то он, конечно, не мог бы обнаруживать подмену.

Чтобы избежать обмана, антивирусы сами встраиваются в операционную систему, устанавливая в нее свой драйвер так, чтобы никакие вредоносные программы не могли фильтровать данные до попадания в него.

Но за все приходится платить – для обновления драйвера операционные системы требуют перезагрузки. Такова цена получения новых знаний антивирусом. За что нас очень часто ругают наши пользователи и даже пишут угрозы отказаться от использования Dr.Web из-за этого☹

В идеале хорошо сработанный стелс-вирус обнаружить невозможно, и для того, чтобы его уничтожить (если, конечно, удастся обнаружить его присутствие по косвенным признакам), приходится минимум переустанавливать операционную систему, а чаще всего – менять память.

Успокоим сразу: ничего менять не нужно.

Антивирус умеет очищать память от вредоносных файлов, именно для этого в его составе действует антируткитный модуль.

Как мы уже говорили, стелс-вирусы как таковые сейчас в новостях не упоминаются. Вместо них чаще всего говорят о руткитах (rootkit) и буткитах (bootkit).

#вирус #антивирус #обновления_безопасности

Антивирусная правДА! рекомендует

  1. Поскольку до момента попадания к вирусным аналитикам новые вредоносные файлы остаются неизвестны антивирусу, их внедрение вполне возможно. Вот почему не следует тянуть с получением обновлений и перезагрузкой после их получения, если это требует антивирус. До завершения обновления вы можете не подозревать о наличии вредоносной программы.
  2. Не стоит благодушно относиться к неожиданному появлению на вашем компьютере новых программ, файлов, процессов и так далее. Да, Антируткит Dr.Web может очистить процессы от запущенных вредоносных программ, но вот, скажем, удаление разделов, созданных вредоносной программой, – не его задача. Он просто не знает, кем и когда создавался раздел.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: