Стелс вирусы могут временно подставить вместо себя неповрежденный код программы
Главной особенностью стелс-вирусов является то, что они постоянно любым способом пытаются скрыть свое присутствие на компьютере.
К стелс-вирусам можно отнести вирусы всех типов, кроме Windows-вирусов — файловые DOS-вирусы, загрузочные вирусы и даже макро-вирусы. От таких вирусов очень сложно защитится, их появление является, скорее всего, делом времени.
Как и большинство вирусов, стелс-вирусы на несколько категорий: загрузочные, файловые и макро-вирусы.
Первые – это загрузочные вирусы. Для скрытия своего кода они используют в основном два способа. Суть первого заключается в том, что вирус автоматически перехватывает команды, которые направлены на чтение-запись зараженного сектора и моментально подставляет заместо него какой-то незараженный файл. Благодаря таким действиям, вирус становится практически невидимым для антивирусных программ (которые не могут лечить оперативную память).
Второй способ разработан с целью борьбы с антивирусами, которые поддерживают специальные команды чтения секторов напрямую через отдельные порты контроллера жесткого диска. Во время запуска программы (антивируса, к примеру), такие вирусы восстанавливают ранее зараженные сектора жесткого диска, а после окончания ее работы опять восстанавливают зараженное состояние.
Вообщем, стелс-вирусы – это такие вирусы, которые самостоятельно вносят изменения в заражаемый сектор (по минимуму), либо маскируются под программный код стандартного загрузчика.
Что касается файловых вирусов, то здесь немного сложнее, так как они зачастую используют с целью маскировки перехват системных прерываний более низкого уровня (к примеру, вызовы драйверов INT 25h, INT 13h и DOS).
Файловые стелс-вирусы, которые используют такой способ скрытия своей активности, в большинстве случаев очень громоздки. Это связанно с тем, что им необходимо перехватывать огромное количество DOS-функций работы с приложениями и файлами. К ним относятся: чтение/запись, открытие/закрытие, запуск, поиск, переименование и т.д.
Последними по списку, но не по значению являются макро-вирусы. Реализация стелс-алгоритмов с использования макро-программ является самой простой и одновременно многофункциональной задачей. Для маскировки вполне достаточно запретить вызов меню Tools/Macro или File/Templates. Зачастую вирус подменивает эти пункты из меню на зараженные макросы, либо удаляет их вообще.
Проанализировав, можно сделать вывод, что стелс-вирусы – это небольшая группа макро-вирусов, хранящие свой главный код не в самом макросе, а в совершенно других, не зараженных областях документа.
Стэлс-вирусы относятся к категории маскирующихся вирусов, которых очень сложно обнаружить.
В основе работы Stealth-вирусов лежит тот факт, что операционная система при обращении к периферийным устройствам (в том числе и к жестким дискам) использует механизм прерываний. При возникновении прерывания управление передается специальной программе – обработчику прерывания. Эта программа отвечает за ввод и вывод информации в/из периферийного устройства.
В такой системе изначально скрыта и уязвимость: управляя обработчиком прерываний, можно управлять потоком информации от периферийного устройства к пользователю. Stealth-вирусы, в частности, используют механизм перехвата управления при возникновении прерывания. Заменяя оригинальный обработчик прерывания своим кодом, stealth-вирусы контролируют чтение данных с диска.
В случае, если с диска читается зараженная программа, вирус “выкусывает” собственный код (обычно код не буквально ”выкусывается”, а происходит подмена номера читаемого сектора диска). В итоге пользователь получает для чтения “чистый” код. Таким образом, до тех пор пока вектор обработчика прерываний изменен вирусным кодом, сам вирус активен в памяти компьютера, обнаружить его простым чтением диска средствами операционной системы невозможно. Схожий механизм маскировки используется и загрузочными вирусами.
Известны стелс-вирусы всех типов - загрузочные вирусы, файловые DOS-вирусы и даже макро-вирусы.
Загрузочные стелс-вирусы для скрытия своего кода используют два основных способа. Первый из них заключается в том, что вирус перехватывает команды чтения зараженного сектора (INT 13h) и подставляет вместо него незараженный оригинал. Этот способ делает вирус невидимым для любой DOS-программы, включая антивирусы, неспособные "лечить" оперативную память компьютера. Основная идея заключается в том, что несмотря на то, что файл заражен, в оперативную память передаются данные незараженного файла (предварительно вылеченного самим вирусом).
Большинcтво файловых стелс вирусов использует те же приемы, что приведены выше: они либо перехватывают DOS-вызовы обращения к файлам (INT 21h) либо временно лечат файл при его открытии и заражают при закрытии. Также как и для загрузочных вирусов, существуют файловые вирусы, использующие для своих стелс-функций перехват прерываний более низкого уровня - вызовы драйверов DOS, INT 25h и даже INT 13h.
Реализация стелс-алгоритмов в макро-вирусах является, наверное, наиболее простой задачей - достаточно всего лишь запретить вызов меню File/Templates или Tools/Macro. Достигается это либо удалением этих пунктов меню из списка, либо их подменой на макросы FileTemplates и ToolsMacro. Частично стелс-вирусами можно назвать небольшую группу макро-вирусов, которые хранят свой основной код не в самом макросе, а в других областях документа - в его переменных или в Auto-text.
К наиболее известным Stealth-вирусам можно отнести такие вирусы, как Exploit.Macro.Stealth, Exploit.MSWord.Stealth, Virus.DOS.Stealth.551.
В целях борьбы со stealth-вирусами ранее рекомендовалось (и, в принципе, рекомендуется и сейчас) осуществлять альтернативную загрузку системы с гибкого диска и только после этого проводить поиск и удаление вирусных программ. В настоящее время загрузка с гибкого диска может оказаться проблематичной (для случая с win32 антивирусными приложениями запустить их не удастся).
Ввиду всего вышесказанного, антивирусы-полифаги оказываются максимально эффективными только при борьбе с уже известными вирусами, то есть с такими, чьи сигнатуры и методы поведения знакомы разработчикам. Только в этом случае вирус со 100-процентной точностью будет обнаружен и удален из памяти компьютера, а потом – и из всех проверяемых файлов. Если же вирус неизвестен, то он может достаточно успешно противостоять попыткам его обнаружения и лечения. Поэтому главное при пользовании любым полифагом – как можно чаще обновлять версии программы и вирусные базы. Для удобства пользователей базы вынесены в отдельный модуль, и, например, пользователи AVP могут обновлять эти базы ежедневно при помощи Интернета.
Стелс-вирусы — это вирусы, которые сложно заметить. Данные вирусы пытаются любым способом уйти от нежелательного воздействия со стороны пользователя или антивирусной программы. Например, они могут изменять зараженный сектор незараженным оригиналом именно в момент обращения антивирусной программы к такому файлу. Благодаря такому и многим другим способам вирус может остаться незаметным для антивирусной программы. Обычно в таких вирусах есть отдельный модуль, который следит за действиями антивируса и вовремя заметает следы.
Стелс-технологии
Стелс-вирусы получили своё название от стелс-технологией, которые в основном применялись и применяются в самолетах. Стелс-технологии предназначены для уменьшения заметности объекта. Стелс-технологии в самолетах имеют одно предназначение — обезопасить самолет от объектов ПВО и истребителей. Для этого самолет делают таким образом, чтобы он не был заметен в радиолокационном, инфракрасном и других областях спектра обнаружения. Прекрасным примером жизнеспособности стелс-технологий стал первый стелс-самолет — Lockheed F-117 Nighthawk.
В 1991 году мир увидел этот самолет. Точнее мир заметил его действия, но никто не видел его. Самолет был не виден ни в одном спектре обнаружения: благодаря своей специфичной форме самолет отражал лучи радаров куда угодно, но только не обратно в локатор. Так же, покрашенный в черный цвет самолет было трудно увидеть истребителям, если дополнительно учесть, что эти самолеты летали только ночью. Данный самолет использовали в операции «Буря в пустыне». 64 произведенных самолетов выполнили 1271 вылет, сбросили более 2000 бомб. За всё время операции были разбиты 7 единиц техники и только 1 из них был подбит. Потрясающий пример стелс-технологий, которые используют нынешние компьютерные вирусы.
Первый стелс-вирус
Первым стелс-вирусом принято считать вирус Frodo. Два братья программиста, которые написали этот вирус, в названии сделали отсылку на персонажа книги «Властелин Колец». Вирус был написан в 1987 году и умел заменять зараженный участок незараженным оригиналом в моменты обращения к нему антивирусной программы. Благодаря своей оригинальности антивирусные программы достаточно долгое время не могли успокоить его, благодаря чему вирус устроил небольшую вирусную эпидемию.
Стелс-вирус (англ. stealth virus — вирус-невидимка) — вирус, полностью или частично скрывающий своё присутствие в системе, путём перехвата обращений к операционной системе, осуществляющих чтение, запись, чтение дополнительной информации о зараженных объектах (загрузочных секторах, элементах файловой системы, памяти и т. д.)
Использование стелс-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов операционной системы на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо "подставляют" вместо себя незараженные участки информации. В случае макровирусов наиболее популярный способ – запрет вызовов меню просмотра макросов.
Вирусные программы, предпринимающие специальные действия для маскировки своей деятельности с целью сокрытия своего присутствия в зараженных объектах.
Поясните самошифрование и полиморфичность как свойства компьютерных вирусов.
Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования (обнаружения) вируса. Полиморфик-вирусы (polymorphic) – это достаточно труднообнаружимые вирусы, не имеющие сигнатур, т. е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
Различные нестандартные приемы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре операционной системы, защитить от обнаружения свою резидентную копию, затруднить лечение от вируса (например, поместив свою копию в Flash-BIOS) и т. д.
30. В чем заключается иерархический принцип "класс – семейство – компонент – элемент"?
Для структуризации пространства требований, в "Общих критериях" введена иерархия класс – семейство – компонент – элемент.
Классы определяют наиболее общую, "предметную" группировку требований (например, функциональные требования подотчетности).
Семейства в пределах класса различаются по строгости и другим тонкостям требований.
Компонент – минимальный набор требований, фигурирующий как целое.
Элемент – неделимое требование.
Между компонентами могут существовать зависимости, которые возникают, когда компонент сам по себе недостаточен для достижения цели безопасности.
Подобный принцип организации защиты напоминает принцип программирования с использованием библиотек, в которых содержатся стандартные (часто используемые) функции, из комбинаций которых формируется алгоритм решения.
"Общие критерии" позволяют с помощью подобных библиотек (компонент) формировать два вида нормативных документов: профиль защиты и задание по безопасности.
Профиль защиты представляет собой типовой набор требований, которым должны удовлетворять продукты и/или системы определенного класса (например, операционные системы на компьютерах в правительственных организациях).
Задание по безопасности содержит совокупность требований к конкретной разработке, выполнение которых обеспечивает достижение поставленных целей безопасности.
Функциональный пакет – это неоднократно используемая совокупность компонентов, объединенных для достижения определенных целей безопасности.
Базовый профиль защиты должен включать требования к основным (обязательным в любом случае) возможностям. Производные профили получаются из базового путем добавления необходимых пакетов расширения, то есть подобно тому, как создаются производные классы в объектно-ориентированных языках программирования.
31. Охарактеризуйте "intended"-вирусы и причины их появления
К таким вирусам относятся программы, которые, на первый взгляд, являются стопроцентными вирусами, но не способны размножаться по причине ошибок. Например, вирус, который при заражении не помещает в начало файла команду передачи управления на код вируса, либо записывает в нее неверный адрес своего кода, либо неправильно устанавливает адрес перехватываемого прерывания (в большинстве приводит к "зависанию" компьютера) и т. д. К категории "intended" также относятся вирусы, которые по приведенным выше причинам размножаются только один раз – из "авторской" копии. Заразив какой-либо файл, они теряют способность к дальнейшему размножению. Появляются "intended"-вирусы чаще всего из-за неумелой перекомпиляции какого-либо уже существующего вируса, либо по причине недостаточного знания языка программирования, либо по причине незнания технических тонкостей операционной системы.
Тихо, тихо ползи,
Улитка, по склону Фудзи
Вверх, до самых высот!
Кобаяси Исса (перевод В. Марковой)
Жили-были стелс-вирусы (англ. stealth virus — вирус-невидимка)… Было это давно – в эпоху операционной системы DOS. Стелс-вирусы и их наследники прожили бурную жизнь и явили миру множество своих ярких представителей. Но… пали под натиском вирусного «ширпотреба». Вспомним все!
Прежде чем говорить о представителях данного класса вирусов, заглянем под «капот» операционных систем.
Как на самом деле выглядят файлы, которые вы открываете, кликнув по иконке на рабочем столе? Это набор бит (и пустые фрагменты – операционные системы могут пропускать запись частей файла при отсутствии в них информации), записанных на некие носители. Определение не совсем полное, но для наших целей его достаточно.
Этот набор бит – как правило, нулей и единиц – разбросан по всему жесткому диску (а бывает, что и по всему Интернету).
При клике по иконке ОС обрабатывает событие, вычисляет имя файла, переводит его в понятную для себя нотацию и отдает запрос на более нижний уровень. Получив в свое распоряжение набор бит (иногда с преобразованием), программа, как правило, не выводит их на экран, а преобразует в понятный пользователю внешний вид. Вряд ли каждый смог бы в уме конвертировать набор бит в изображение котика!
Это значит, что программы, которыми мы пользуемся, не работают непосредственно с жестким диском (за исключением немногих системных утилит, но и те зачастую обращаются не к самому носителю информации, а лишь на несколько уровней ниже). И на каждом этапе система позволяет встроить свой фильтр.
Так поступают антивирусы – перехватывают обращения к файлам и проверяют их до того момента, пока они не будут отданы пользователю. Но так же могут поступать и вредоносные программы.
Скажем, если пользователь – продвинутый, и, что-то заподозрив, захочет посмотреть список процессов или файлов в папке, то он, скорее всего, начнет с работы с системной утилитой. Та отправит запрос на содержимое папки системе, система запросит данные у жесткого диска. А фильтр вируса очистит список файлов, передаваемых пользователю, и последний будет думать, что на диске ничего лишнего нет.
Именно поэтому фильтр (драйвер) антивируса должен «сидеть» как можно ниже по иерархии – в противном случае вирус отфильтрует информацию, и антивирус не сможет узнать о наличии вредоносного файла.
Стелс вирусы (Stealth virus) - вирусные программы, предпринимающие специальные действия для маскировки своей деятельности с целью сокрытия своего присутствия в зараженных объектах.
Так называемая Стелс-технология может включать в себя:
- затруднение обнаружения вируса в оперативной памяти
- затруднение трассировки и дизассемблирования вируса
- маскировку процесса заражения
- затруднение обнаружения вируса в зараженной программе и загрузочном секторе.
Стелс-вирус (англ. stealth virus — вирус-невидимка) — вирус, полностью или частично скрывающий свое присутствие в системе, путем перехвата обращений к операционной системе, осуществляющих чтение, запись, чтение дополнительной информации о зараженных объектах (загрузочных секторах, элементах файловой системы, памяти и т. д.)
Как же предлагается бороться с такой напастью?
Антивирусы-полифаги эффективны в борьбе с уже известными вирусами, то есть теми, чьи методы поведения уже знакомы разработчикам и есть в базе программы. Если вирус неизвестен, то он останется незамеченным.
Вы помните, кто такие антивирусы-полифаги? :-)
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:
- программы-детекторы;
- программы-доктора, или фаги;
- программы-ревизоры;
- программы-фильтры;
- программы-вакцины, или иммунизаторы.
Программы-доктора, или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т. е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т. е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest, Scan, Norton AntiVirus, Doctor Web.
Оказывается, что всем хорошо известный Антивирус Dr.Web – полифаг, да еще и детектор!
Но вернемся в те времена, когда разновидностей антивирусов было куда больше одного, и столбовая дорога развития систем защиты еще не была всем очевидна. Стелс-вирусы принадлежат именно той эпохе. Подразделялись они на три типа:
- Загрузочные позволяли избежать внимания системных утилит, имеющих низкоуровневый доступ к носителям, способных считывать информацию напрямую с них (посекторно). Зачастую такие вирусы показывали содержимое диска до заражения.
- Файловые перехватывали функции работы с файлами, чтобы скрыть изменения в файле на диске или в памяти.
- Макровирусы.
RCE-04096 был разработан в Израиле в конце 1989 г. Название «Фродо» связано с тем, что вирус содержит бут-сектор в своем коде, хотя он никогда не записывает свое тело в бут-сектор. При записи этого бут-сектора в бут-сектор дискеты и попытке загрузки выдается «плакатный текст».
FRODO LIVES («Фродо живет» или «Фродо жив»), выполненный буквами 8*5, состоящими из символов псевдографики. По данным П.Хоффман, 22 сентября - это день рождения героев известной сказочной трилогии Дж.Р.Толкиена «Властелин колец» (Lord Of The Rings) - Бильбо и Фродо Бэггинсов (Bilbo and Frodo Baggins).
Все авторы публикаций, включающих описание данного вируса, сходятся в том, что вирус написан техно-крысой, хорошо знающей «внутренности» операционной системы и алгоритмы работы антивирусных программ.
Вирус был обнаружен в Израиле в какой-то военной организации в октябре 1989 г. В СССР обнаружен Д.Н. Лозинским в августе 1990 г.
Вы не знаете, кто такие техно-крысы? Читайте следующие выпуски проекта «Антивирусная правДА!».
Антивирусная правДА! рекомендует
Чтобы пройти путем успеха, начинать движение по этому пути нужно с самого начала.
Сперва решить, что делать. Потом шаг за шагом реализовывать идею: искать, пробовать, ошибаться и исправлять ошибки, — и никогда не прекращать движение!
Оцените выпуск
Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.Сделайте репост
![[ВКонтакте]](https://st.drweb.com/static/new-www/social/no_radius/vkontakte.jpg)
![[Twitter]](https://st.drweb.com/static/new-www/social/no_radius/twitter.jpg)
Поставьте «Нравится»
![[facebook]](https://st.drweb.com/static/new-www/social/no_radius/facebook.jpg)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Sergey
19:36:22 2020-03-19
А по поводу актуализации всякой нормативки - я то с вами согласен, но увы все время изобретаются все новые и новые искусственные документы жаль нельзя ошибки исправлять в собственных комментариях ((
@Вячeслaв, вот именно! Ну зачем пользователю такие формальные подробности и классификации угроз. Если они даже профессионалами воспринимаются лишь как досадные бюрократические атавизмы.
А на счет больше знать лучше чем меньше (а свобода лучше, чем несвобода) так дьявол, как водится, в деталях.
Объем доступной информации возрос непомерно. банально увеличивать формальные познания индивидуума - безперспективно. Перспективно имхо разрабатывать новые методики систематизации знаний, структурирования, отсева избыточного.
Я искренне поддерживаю и даже немного восхищаюсь усилиями команды DrWeb по развитию подобных образовательных, развивающих и "популяризующих" проектов. тем обиднее мне представляются некоторые мелкие недостатки. Прошу пардону ))
@alex-diesel, все даже интереснее. Если посмотреть документы по оценке рисков, то согласно им нужно оценить риск от каждого вида угроз по отдельности - вирусов, троянов, червей и тд по списку. Никакого смысла это не имеет, так как оценивай-не оценивай, какие уровни риска не считай - все равно придется ставить антивирус, так как его установка по большому счету обязательна. Но низзя - нужно оформить документы по правилам
А знания о древних вещах. Вы знаете, лучше знать больше, чем меньше. К сожалению люди, которые не хотят знать больше и думают, что ни лучше нас знают - рано или поздно оказываются в техподдержке
любопытная ситуация с этим выпуском. Вроде содержательно, подробно и интересно. Много условно новой информации и занятной терминологии. Но вот ей богу, каков практический прок от знания пользователем основных черт "стелс-вирусов" - абсолютно не ясно. @Littlefish,безусловно не все выпуски равноценны. но мне кажется, что лучше будет если используя механизм виджет Добавить в библиотеку или сервис Избранное каждый читатель после прочтения будет решать сам что ему важно. Выпусков в такой рубрике - если бы мы ее сделали - был бы огромен.
Littlefish
01:14:13 2017-06-20
Вячeслaв
10:40:22 2017-06-19
Пожелание о добавлении в наши программы утилит различного назначения есть, но руки до этого не доходят
Вячeслaв
10:34:45 2017-06-19
Для Юникс-подобных ОС проблема в невозможности создания системы самозащиты. Там к сожалению изолировать карантин очень сложно
Littlefish
22:12:53 2017-06-18
Littlefish
21:52:02 2017-06-18
ka_s
23:40:13 2017-05-16
Natalya_2017
15:11:48 2017-03-30
Роза
17:31:49 2017-03-16
М. ч
14:08:17 2017-03-15
a13x
04:34:50 2017-03-15
Неуёмный Обыватель
00:53:39 2017-03-15
razgen
00:39:35 2017-03-15
Дмитpий
23:58:46 2017-03-14
Marsn77
23:31:29 2017-03-14
razgen
23:08:25 2017-03-14
vaki
23:03:24 2017-03-14
Неуёмный Обыватель
22:29:44 2017-03-14
orw_mikle
21:31:16 2017-03-14
mariana
20:49:12 2017-03-14
kva-kva
20:34:44 2017-03-14
razgen
20:29:45 2017-03-14
mk.insta
19:24:53 2017-03-14
razgen
19:23:40 2017-03-14
Dr.Web - Официальный антивирус этого мероприятия.
Поздравляю компанию "Доктор Веб"!
Геральт
19:02:42 2017-03-14
Heisenberg
19:00:56 2017-03-14
Влад
18:43:02 2017-03-14
Sapfir
18:35:51 2017-03-14
Неуёмный Обыватель
18:30:26 2017-03-14
iAFC
17:49:49 2017-03-14
forrus
17:48:01 2017-03-14
Шалтай Александр Болтай
16:32:44 2017-03-14
GREII
16:07:26 2017-03-14
iiwanc
15:53:53 2017-03-14
nicoly
14:12:49 2017-03-14
Hazal
13:41:13 2017-03-14
hadach
13:18:44 2017-03-14
chicer
13:13:34 2017-03-14
Пaвeл
12:55:16 2017-03-14
Леонид
12:31:47 2017-03-14
Любитель пляжного футбола
12:19:32 2017-03-14
Читайте также: