Стелс-віруси та їх класифікація

стелс-віруси

Головною особливістю стелс-вірусів є те, що вони постійно у будь-який спосіб намагаються приховати свою присутність на комп'ютері. До стелс-вірусів можна віднести віруси всіх типів, крім Windows-вірусів - файлові DOS-віруси, завантажувальні віруси і навіть макро-віруси. Від таких вірусів дуже складно захиститься, їхня поява є, швидше за все, справою часу.

Перші – це завантажувальні віруси. Для приховання свого коду вони використовують переважно два способи. Суть першого полягає в тому, що вірус автоматично перехоплює команди, спрямовані на читання-запис зараженого сектора і моментально підставляє замість нього якийсь незаражений файл. Завдяки таким діям вірус стає практично невидимим для антивірусних програм (які не можуть лікувати оперативну пам'ять).

Другий спосіб розроблений для боротьби з антивірусами, які підтримують спеціальні команди читання секторів безпосередньо через окремі порти контролера жорсткого диска. Під час запуску програми (антивіруса, наприклад), такі віруси відновлюють раніше заражені сектори жорсткого диска, а після закінчення роботи знову відновлюють заражений стан.

Втім, стелс-віруси - це такі віруси, які самостійно вносять зміни в сектор, що заражається (по мінімуму), або маскуються під програмний код стандартного завантажувача.

Що стосується файлових вірусів, то тут трохи складніше, оскільки вони часто використовують з метою маскування перехоплення системних переривань нижчого рівня (наприклад, виклики драйверів INT 25h, INT 13h та DOS).

Файлові стелс-віруси, які використовують такий спосіб приховування своєї активності, в більшості випадків дуже громіздкі. Це з тим, що їм потрібно перехоплювати величезнекількість DOS-функцій роботи з додатками та файлами. До них відносяться: читання/запис, відкриття/закриття, запуск, пошук, перейменування тощо.

Останніми за списком, але не за значенням є макровіруси. Реалізація стелс-алгоритмів з використанням макро-програм є найпростішим і одночасно багатофункціональним завданням. Для маскування цілком достатньо заборонити виклик меню Tools/Macro або File/Templates. Найчастіше вірус підмінює ці пункти з меню на заражені макроси або видаляє їх взагалі.

Проаналізувавши, можна дійти невтішного висновку, що стелс-вирусы – це невелика група макро-вирусов, які зберігають свій головний код над самому макросі, а зовсім інших, не заражених областях документа.