Использование СТЕЛС технологии в вирусных программах

Использование СТЕЛС технологии в вирусных программах

СТЕЛС вирусы обладают способностью скрывать свое присутствие в системе. Известны СТЕЛС вирусы всех типов за исключением Windows вирусов: загрузочные вирусы, файловые DOS вирусы и даже макровирусы.

Загрузочные СТЕЛС вирусы для скрытия своего кода используют два основных способа. Первый способ заключается в том, что вирус перехватывает команды чтения зараженного сектора (INT 13h) и подставляет вместо него незаряженный оригинал. Этот способ делает вирус невидимым для любой программы, включая антивирусы, не способные лечить оперативную память компьютера. Возможен перехват команд чтения секторов на уровне более низком, чем INT 13h.

Второй способ направлен против антивирусов, поддерживающих команды прямого чтения секторов через порты контроллера диска. Такие вирусы при запуске любой программы (включая антивирус) восстанавливают зараженные сектора, а после окончания ее работы снова заражают диск. Поскольку для этого вирусу приходится перехватывать запуск и окончание работы программ, то он должен перехватывать также DOS прерывание INT 21h.

С некоторыми оговорками СТЕЛС вирусами можно назвать вирусы, которые вносят минимальные изменения в заражаемый сектор (например, при заражении MBR правят только активный адрес загрузочного сектора — изменению подлежат только 3 байт) либо маскируются под код стандартного загрузчика.

Большинство файловых СТЕЛС вирусов либо перехватывают DOS вызовы обращения к файлам (INT 2lh), либо временно лечат файл при его открытии и заражают при закрытии. Существуют файловые вирусы, использующие для своих СТЕЛС функций перехват прерываний более низкого уровня — вызовы драйверов DOS, INT 25h и даже INT 13h.

Некоторые вирусы используют часть функции полноценного СТЕЛС вируса. Чаще всего они перехватывают функции DOS FindFirst и FindNext (INT 21h, AH llh, 12h, 4Eh, 4Fh) и уменьшают размер зараженных файлов. Такой вирус невозможно идентифицировать по изменению размеров файлов, если, конечно, он резидентно находится в памяти. Программы, которые не обращаются к увязанным функциям DOS (например, утилиты Norton), а напрямую используют содержимое секторов, хранящих каталог, показывают правильную длину зараженных файлов.

Реализация СТЕЛС алгоритмов в макровирусах является, наверное, наиболее простой задачей — достаточно всего лишь запретить вызов меню File/Templates или Tools/NMacro. Достигается это либо удалением этих пунктов меню из списка, либо их заменой на макросы FileTemplates и ToolsMacro.

Частично СТЕЛС вирусами можно назвать небольшую группу макровирусов, которые хранят свой основной код не в самом макросе, а в других областях документа: в его переменных или в Autotext.

Яндекс.Метрика