Стелс-вирусы и их классификация

Стелс-вирусы и их классификация

Главной особенностью стелс-вирусов является то, что они постоянно любым способом пытаются скрыть свое присутствие на компьютере.
К стелс-вирусам можно отнести вирусы всех типов, кроме Windows-вирусов — файловые DOS-вирусы, загрузочные вирусы и даже макро-вирусы. От таких вирусов очень сложно защитится, их появление является, скорее всего, делом времени.

Как и большинство вирусов, стелс-вирусы на несколько категорий: загрузочные, файловые и макро-вирусы.

Первые – это загрузочные вирусы. Для скрытия своего кода они используют в основном два способа. Суть первого заключается в том, что вирус автоматически перехватывает команды, которые направлены на чтение-запись зараженного сектора и моментально подставляет заместо него какой-то незараженный файл. Благодаря таким действиям, вирус становится практически невидимым для антивирусных программ (которые не могут лечить оперативную память).

Второй способ разработан с целью борьбы с антивирусами, которые поддерживают специальные команды чтения секторов напрямую через отдельные порты контроллера жесткого диска. Во время запуска программы (антивируса, к примеру), такие вирусы восстанавливают ранее зараженные сектора жесткого диска, а после окончания ее работы опять восстанавливают зараженное состояние.

Вообщем, стелс-вирусы – это такие вирусы, которые самостоятельно вносят изменения в заражаемый сектор (по минимуму), либо маскируются под программный код стандартного загрузчика.

Что касается файловых вирусов, то здесь немного сложнее, так как они зачастую используют с целью маскировки перехват системных прерываний более низкого уровня (к примеру, вызовы драйверов INT 25h, INT 13h и DOS).

Файловые стелс-вирусы, которые используют такой способ скрытия своей активности, в большинстве случаев очень громоздки. Это связанно с тем, что им необходимо перехватывать огромное количество DOS-функций работы с приложениями и файлами. К ним относятся: чтение/запись, открытие/закрытие, запуск, поиск, переименование и т.д.

Последними по списку, но не по значению являются макро-вирусы. Реализация стелс-алгоритмов с использования макро-программ является самой простой и одновременно многофункциональной задачей. Для маскировки вполне достаточно запретить вызов меню Tools/Macro или File/Templates. Зачастую вирус подменивает эти пункты из меню на зараженные макросы, либо удаляет их вообще.

Проанализировав, можно сделать вывод, что стелс-вирусы – это небольшая группа макро-вирусов, хранящие свой главный код не в самом макросе, а в совершенно других, не зараженных областях документа.

Комментарии закрыты.