Стелт вируси и тяхната класификация

класификация

Основната характеристика на стелт вирусите е, че те постоянно се опитват да скрият присъствието си на компютъра по всякакъв начин. Стелт вирусите включват всички типове вируси с изключение на Windows вируси — DOS файлови вируси, зареждащи вируси и дори макро вируси. Много е трудно да се предпазите от такива вируси, появата им най-вероятно е въпрос на време.

Първите са зареждащи вируси. Те основно използват два метода, за да скрият своя код. Същността на първия е, че вирусът автоматично прихваща команди, които са насочени към четене-запис на заразения сектор и незабавно замества някакъв незаразен файл вместо това. Благодарение на такива действия вирусът става почти невидим за антивирусните програми (които не могат да третират RAM).

Вторият метод е разработен за борба с антивируси, които поддържат специални команди за четене на сектори директно през отделни портове на контролера на твърдия диск. По време на стартирането на програмата (например антивирусна), такива вируси възстановяват предишни заразени сектори на твърдия диск и след края на работата си възстановяват отново заразеното състояние.

Като цяло стелт вирусите са вируси, които независимо правят промени в заразения сектор (до минимум) или се маскират като програмен код на стандартен буутлоудър.

Що се отнася до файловите вируси, това е малко по-сложно, тъй като те често използват прихващане на системни прекъсвания от по-ниско ниво (например извиквания към INT 25h, INT 13h и DOS драйвери), за да се прикрият.

Файловите стелт вируси, които използват този метод за скриване на дейността си, в повечето случаи са много тромави. Това се дължи на факта, че те трябва да прихванат огроменброя на DOS функциите за работа с приложения и файлове. Те включват: четене/запис, отваряне/затваряне, стартиране, търсене, преименуване и др.

Не на последно място са макро вирусите. Изпълнението на стелт алгоритми с помощта на макро програми е най-простата и в същото време многофункционална задача. За маскиране е достатъчно да забраните извикването на менюто Инструменти/Макро или Файл/Шаблони. Често вирусът заменя тези елементи от менюто със заразени макроси или ги изтрива напълно.

След като анализираме, можем да заключим, че стелт вирусите са малка група макро вируси, които съхраняват основния си код не в самия макрос, а в напълно различни, незаразени области на документа.