Как найти стелс вирус

«Стелс», но не бомбардировщик

Прочитали: 11049
Комментариев: 78
Рейтинг: 292

14 марта 2017

Тихо, тихо ползи,
Улитка, по склону Фудзи
Вверх, до самых высот!

Кобаяси Исса (перевод В. Марковой)

Жили-были стелс-вирусы (англ. stealth virus — вирус-невидимка)… Было это давно – в эпоху операционной системы DOS. Стелс-вирусы и их наследники прожили бурную жизнь и явили миру множество своих ярких представителей. Но… пали под натиском вирусного «ширпотреба». Вспомним все!

Прежде чем говорить о представителях данного класса вирусов, заглянем под «капот» операционных систем.

Как на самом деле выглядят файлы, которые вы открываете, кликнув по иконке на рабочем столе? Это набор бит (и пустые фрагменты – операционные системы могут пропускать запись частей файла при отсутствии в них информации), записанных на некие носители. Определение не совсем полное, но для наших целей его достаточно.

Этот набор бит – как правило, нулей и единиц – разбросан по всему жесткому диску (а бывает, что и по всему Интернету).

При клике по иконке ОС обрабатывает событие, вычисляет имя файла, переводит его в понятную для себя нотацию и отдает запрос на более нижний уровень. Получив в свое распоряжение набор бит (иногда с преобразованием), программа, как правило, не выводит их на экран, а преобразует в понятный пользователю внешний вид. Вряд ли каждый смог бы в уме конвертировать набор бит в изображение котика!

Это значит, что программы, которыми мы пользуемся, не работают непосредственно с жестким диском (за исключением немногих системных утилит, но и те зачастую обращаются не к самому носителю информации, а лишь на несколько уровней ниже). И на каждом этапе система позволяет встроить свой фильтр.

Так поступают антивирусы – перехватывают обращения к файлам и проверяют их до того момента, пока они не будут отданы пользователю. Но так же могут поступать и вредоносные программы.

Скажем, если пользователь – продвинутый, и, что-то заподозрив, захочет посмотреть список процессов или файлов в папке, то он, скорее всего, начнет с работы с системной утилитой. Та отправит запрос на содержимое папки системе, система запросит данные у жесткого диска. А фильтр вируса очистит список файлов, передаваемых пользователю, и последний будет думать, что на диске ничего лишнего нет.

Именно поэтому фильтр (драйвер) антивируса должен «сидеть» как можно ниже по иерархии – в противном случае вирус отфильтрует информацию, и антивирус не сможет узнать о наличии вредоносного файла.

Как же предлагается бороться с такой напастью?

Антивирусы-полифаги эффективны в борьбе с уже известными вирусами, то есть теми, чьи методы поведения уже знакомы разработчикам и есть в базе программы. Если вирус неизвестен, то он останется незамеченным.

Вы помните, кто такие антивирусы-полифаги?

Оказывается, что всем хорошо известный Антивирус Dr.Web – полифаг, да еще и детектор!

Но вернемся в те времена, когда разновидностей антивирусов было куда больше одного, и столбовая дорога развития систем защиты еще не была всем очевидна. Стелс-вирусы принадлежат именно той эпохе. Подразделялись они на три типа:

• Загрузочные позволяли избежать внимания системных утилит, имеющих низкоуровневый доступ к носителям, способных считывать информацию напрямую с них (посекторно). Зачастую такие вирусы показывали содержимое диска до заражения.
• Файловые перехватывали функции работы с файлами, чтобы скрыть изменения в файле на диске или в памяти.
• Макровирусы.

Почитаем архивные новости?

Вы не знаете, кто такие техно-крысы? Читайте следующие выпуски проекта «Антивирусная правДА!».

#вирус #антивирус #терминология

В
ходе проверки компьютера антивирусные
программы считывают данные — файлы и
системные области с жестких дисков и
дискет, пользуясь средствами операционной
системы и базовой системы ввода/вывода
BIOS. Ряд вирусов, после запуска оставляют
в оперативной памяти компьютера
специальные модули, перехватывающие
обращение программ к дисковой подсистеме
компьютера. Если такой модуль обнаруживает,
что программа пытается прочитать
зараженный файл или системную область
диска, он на ходу подменяет читаемые
данные, как будто вируса на диске нет.

Стелс-вирусы
обманывают антивирусные программы и в
результате остаются незамеченными. Тем
не менее, существует простой способ
отключить механизм маскировки
стелс-вирусов. Достаточно загрузить
компьютер с не зараженной системной
дискеты и сразу, не запуская других
программ с диска компьютера (которые
также могут оказаться зараженными),
проверить компьютер антивирусной
программой.

При
загрузке с системной дискеты вирус не
может получить управление и установить
в оперативной памяти резидентный модуль,
реализующий стелс-механизм. Антивирусная
программа сможет прочитать информацию,
действительно записанную на диске, и
легко обнаружит вирус.

1.8 Троянские кони, программные закладки и сетевые черви

Троянский
конь — это программа, содержащая в себе
некоторую разрушающую функцию, которая
активизируется при наступлении некоторого
условия срабатывания. Обычно такие
программы маскируются под какие-нибудь
полезные утилиты. Вирусы могут нести в
себе троянских коней или «троянизировать»
другие программы — вносить в них
разрушающие функции.

«Троянские
кони» представляют собой программы,
реализующие помимо функций, описанных
в документации, и некоторые другие
функции, связанные с нарушением
безопасности и деструктивными действиями.
Отмечены случаи создания таких программ
с целью облегчения распространения
вирусов. Списки таких программ широко
публикуются в зарубежной печати. Обычно
они маскируются под игровые или
развлекательные программы и наносят
вред под красивые картинки или музыку.

Программные
закладки также содержат некоторую
функцию, наносящую ущерб ВС, но эта
функция, наоборот, старается быть как
можно незаметнее, т.к. чем дольше программа
не будет вызывать подозрений, тем дольше
закладка сможет работать.

Если
вирусы и «троянские кони» наносят ущерб
посредством лавинообразного саморазмножения
или явного разрушения, то основная
функция вирусов типа «червь», действующих
в компьютерных сетях, — взлом атакуемой
системы, т.е. преодоление защиты с целью
нарушения безопасности и целостности.

В
более 80% компьютерных преступлений,
расследуемых ФБР, «взломщики»
проникают в атакуемую систему через
глобальную сеть Internet. Когда такая попытка
удается, будущее компании, на создание
которой ушли годы, может быть поставлено
под угрозу за какие-то секунды.

Этот
процесс может быть автоматизирован с
помощью вируса, называемого сетевой
червь.

Червями
называют вирусы, которые распространяются
по глобальным сетям, поражая целые
системы, а не отдельные программы. Это
самый опасный вид вирусов, так как
объектами нападения в этом случае
становятся информационные системы
государственного масштаба. С появлением
глобальной сети Internet этот вид нарушения
безопасности представляет наибольшую
угрозу, т. к. ему в любой момент может
подвергнуться любой из 40 миллионов
компьютеров, подключенных к этой сети.

Соседние файлы в папке Катя Ретивых

• #
• #
• #

Классификация основных компьютерных вирусов

Виды компьютерных вирусов по степени опасности

• Условно безвредные. Компьютер, заразившись ими, работает почти нормально. Однако у него уменьшается объем RAM и место на жестких дисках. Нередко на экране внезапно появляются изображения, сопровождающиеся звуковыми эффектами.
• Опасные. Из-за них может перестать работать некоторое ПО, или возникнуть сбои в самой операционной системе.
• Особо опасные виды компьютерных вирусов. Из-за них часть данных на жестком диске может быть навсегда утрачена, а операционная система и вовсе перестать загружаться.

По «способу инфицирования»

• Резидентные. Это самый опасный подвид загрузочных или файловых вирусов. Вредоносная программа внедряет в RAM компьютера резидентную часть. Пользователь, ничего не подозревая, открывает нужное ему ПО, и в этот момент срабатывает ловушка: вирус перехватывает запрос, посланный операционной системой, и внедряется в объект заражения. Последним может быть что угодно: файлы, части жестких дисков и т.д. Резидентный вирус перестает быть опасным только при перезагрузке компьютера или при его выключении.
• Нерезидентные. Они не влияют на оперативную память компьютера, и срок их жизни очень ограничен.

Скачать
файл

Виды компьютерных вирусов по среде обитания

• Файловые. Вирусы становятся частью программы. Стоит только ее открыть — и компьютер заражен. Инфицирование может распространяться дальше, по другим файлам, затрагивать RAM. Однако стоит только выключить устройство или перезагрузить систему, и вирус перестает существовать.
• В загрузочных секторах диска. Такие вирусы «ждут», когда включат операционную систему, после чего переходят в оперативную память. Дальнейший их маршрут — инфицирование как можно большего количества файлов компьютера. Обезвреживание происходит при перезагрузке устройства.
• Макровирусы. Их места обитания — табличные или текстовые документы типа Excel и Word. Представляют собой макросы (встраиваемое в офисное ПО подпрограммы), отсюда и название.
• Сетевые. «Живут» в интернете. Попадают в компьютер, когда пользователь загружает с сервера зараженный вирусом файл. Нередко ссылки на скачивание вредоносного кода присылаются в электронных письмах и маскируются под безобидные, но при их открытии происходит переадресация на новый адрес, с которого угроза и попадает на устройство.

16 видов наиболее опасных компьютерных вирусов

Рассмотрим типы и виды компьютерных вирусов, которые наиболее опасны для компьютера.

• Троян (Тронская программа)

Знаменитые трояны. Мало кто из пользователей о них не слышал. Звучное название произошло из греческой мифологии. По легенде, воины Одиссея использовали гигантскую статую коня, чтобы захватить город Трою. Многим пользователям этот известный вид компьютерных вирусов кажется самым опасным, и его сильно боятся. На самом деле, он не так страшен, а его структура проста.

Цель троянов — или украсть информацию, или уничтожить ее. Вирус не повредит начинку компьютера, а вот забрать данные о паролях для доступа к банковским счетам, платежным системам или электронной почте запросто может. Троян иногда выполняет функцию коня из мифа, т.е. доставляет более вредоносное ПО для атаки на электронное устройство или сайты. Именно эти вирусы используются для промышленного шпионажа.

• Руткит – вирус (Rootkit)

Этот вариант опаснее трояна, поскольку маскируется не под известную программу. В слове Rootkit начало переводится как «корень». Именно в самую суть, глубину системы стремится вирус, нередко забирая у владельца компьютера права администратора. Происхождение руткит — Unix системы. Вирус не только прячется сам, но нередко и маскирует другой вредоносный код, а также собирает максимально полную информацию о компьютере и происходящем в нем процессах.

• Рекламная программа (Adware)

Один из самых распространенных видов компьютерных вирусов за последнее время. Интересно, что его за вредоносное ПО многие разработчики защитных систем и не считают, ведь его суть – показывать рекламу и всплывающие окна в браузерах. Бороться с Adware сложно: он внедряется в корень программы, применяет дополнительные модули, например, Search Protect (контролирует изменение страницы, выводимой по умолчанию). Для лечения компьютера порой требуется переустановка браузеров.

• Вирус-червь (Worm)

О черве знают даже те, у кого и вовсе нет электронного устройства. Очень опасная программа-паразит. При попадании на одно устройство она не ограничивается им одним, а стремится размножиться по всем компьютерам, к которым способна попасть через интернет или локальную сеть. Дальше — больше. Закрепившись в системе, червь начинает красть информацию, уничтожать файлы, вплоть до полного выведения ОС из строя, и даже проводить финансовые махинации.

• Бэкдор (Backdoor)

Название этого вида компьютерного вируса (с англ. «черный ход») говорит само за себя. С помощью бэкдора хакер, используя либо взлом системы защиты, либо уязвимости одной из программ, получает удаленный доступ к устройству и возможность управления им. Дальнейшее зависит от фантазии и целей злоумышленника: кража информации, порча файлов, использование компьютера для атаки на другой, установка шпионского ПО и т.д.

• Эксплойт (exploit)

Еще один вирус, дающий возможность удаленно подключиться к компьютеру, однако не позволяющий управлять им. Из-за последнего фактора эксплойты считаются менее вредоносными, чем бэкдоры, однако эта зараза часто приносит с собой другую, более опасную.

• Баннер-блокировщик

Много компьютеров пользователей уже пострадало от этого вируса, а сколько еще с ним столкнется, неизвестно. Суть в том, что человек, включив электронное устройство, видит перед собой не рабочий стол, а баннер-блокировщик с текстом. Содержание сообщения таково: «Вышлите деньги на такой-то электронный кошелек или через СМС, и тогда получите код для разблокировки, иначе…».

Дальше идут хакерские шутки: «Ваш компьютер будет сломан», «Данные с жесткого диска удалены». Или даже такое: «Мы отправим в полицию информацию, что вы участвовали в распространении детской порнографии». Естественно, что кода разблокировки злоумышленники никогда не присылают, их единственная цель — получить деньги.

ОС Windows уязвима к баннерам-блокировщикам, цель которых — не дать управлять компьютером. Когда этот вирус только появился, его можно было закрыть, используя сочетание клавиш Alt+F4 или поискав код разблокировки на другом устройстве в интернете. Позднее вредоносное ПО усовершенствовали, и теперь легче переустановить ОС, чем вылечить ее.

• Botnet (т.н. Боты или Зомби)

Спящий до времени вирус. О его существовании в компьютере или на сайте пользователь может даже и не подозревать, пока однажды боту не поступит команда от управляющей программы или хакера и не разбудит его. Тогда начнется атака на устройство. Точно так же как один зомби не опасен, так и один бот не представляет угрозы.

Однако злоумышленники часто используют целую сеть, так называемый ботнет, чтобы устраивать массовые рассылки спама или атаковать крупные фирмы. Заражение компьютера может происходить постепенно, пока не будет накоплено достаточное количество вирусов, чтобы поразить систему.

• Стелс (stealth – невидимка)

Такие вирусы крайне сложно обнаружить, поскольку они умеют скрываться и делают это мастерски. Чаще всего для маскировки используется следующий вариант. Одна часть стелс-вируса, называемая резидентной, проникает в программу и затаивается в ней. Когда пользователь открывает ПО, происходит перехват запроса и удаление вредоносного кода. Приложение кажется «чистым». Как только программу закрывают, вирус снова тут как тут.

• Вирус-скрипт (Script)

Это не совсем обычная для рядового пользователя программа, хотя и написана на языке Java Script (иногда Visual Basic). Вирус-скрипт «живет» в интернете. Когда человек заходит на зараженный сайт, его браузер автоматически загружает и обрабатывает заразу. Сама по себе она безвредна, но если содержит в себе бэкдор или троян, компьютеру мало не покажется.

Ссылку на вирусную страницу злоумышленники рассылают в спам-сообщениях через мессенджеры или электронную почту. Нередко URL кажется безобидным, но это лишь маскировка.

• Загрузочный вирус (Boot virus)

Действует глубоко внутри компьютера на уровне Master Boot Record (загрузочная запись жесткого диска). При запуске электронное устройство действует согласно прописанному в БИОС протоколу. Там ему указывается, какую информацию показать первой, и обычно в приоритетах операционная система. Boot Virus меняет этот параметр. В итоге вирус загружается первым и может даже уничтожить файлы на жестком диске.

• Программы-шпионы (SpyWare)

В классификации компьютерных вирусов они не относятся к вредящим установленному ПО. Их задача — украсть информацию у пользователя, например, их пароли и другие учетные данные. Все собранные сведения отправляются на определенный, указанный хакером сервер.

• Кейлогер

Подвид SpyWare. Перехватывает все, что человек печатает на клавиатуре, и отправляет злоумышленнику.

• Лже-антивирус

Бесплатное программное обеспечение, которое выдает себя за антивирус. Примеры такого обманщика: Malware Doctor, Online Antivirus XP-Vista 2009, Personal Antivirus, XP Antivirus 2009 и т.д. Но лже-антивирус не пассивен, а активен: на полном серьезе проверяет систему, даже что-то находит, да не в единичном экземпляре, в общем, делает вид, что лечит ОС.

Если бы на фейковых действиях все останавливалось, то происходящее можно было бы считать злой шуткой. Однако лже-антивирус идет дальше: загружает вредоносное ПО, шлет пользователю спам, показывает навязчивую рекламу. Хуже того, просто так удалить заразу не получится: она настолько глубоко сидит в системе, что иногда приходится запускать безопасный режим, чтобы полностью удалить все упоминания в реестре.

• Мистификатор (Hoax, ложное письмо)

Само по себе ложное письмо не является вирусом, скорее, его переносчиком, как малярийный комар. На электронную почту приходит сообщение. В нем якобы создатели популярного антивируса (к примеру, Dr.Web или другого) уведомляют, что недавно злоумышленники создали новый вид трояна. Затем в письме содержится просьба: сообщите об этом своим знакомым и друзьям.

Вроде бы все безобидно, однако во вложении находится файл с вредоносным кодом, который представлен как утилита для обнаружения нового вида заразы в компьютере. Кроме того, такие рассылки спама перегружают почтовые сервера.

• Полиморфные вирусы (Polymorph)

В понятие полиморфизма входят все виды компьютерных вирусов, при создании которых использовалась специальная техника, образно говоря, «многоликости». Благодаря ей обычные системы безопасности не находят вирусы в компьютере.

Полиморфные вирусы не обладают единым устойчивым программным кодом, а формируют его «на лету» — во время исполнения. Процедура генерации также в каждом случае заражения разная. Один из способов создания нового кода без изменения алгоритмов, лежащих в его основе – добавление или уменьшение числа операторов.

Поскольку «внешность» у вируса постоянно меняется, то не получается создать единый «фоторобот» для его обнаружения. Однако методы борьбы у систем безопасности все же есть — это эмуляция и эвристический анализ.

Полиморфные вирусы бывают двух видов. В первом случае используется шифратор для создания случайного набора команд и непостоянного ключа. Вторая группа гораздо опаснее, поскольку переписывает программный код.

9 признаков заражения одним из основных видов компьютерных вирусов

Эти 9 симптомов не обязательно означают, что компьютер точно заражен вирусом. Скорее, это тревожные сигналы, которые должны побудить задуматься о том, не «заболело» ли электронное устройство.

1. Этот признак один из самых распространенных. Речь идет о медленной работе компьютера, хотя совсем недавно все было хорошо. Первым делом проверяют, нет ли программ, которые грузят систему. Кстати, антивирусы сильно тормозят ОС. Не рекомендуется устанавливать мощные системы безопасности на слабые компьютеры. Если же с софтом все в порядке, жесткий диск заполнен мало, в автозагрузке указано минимальное количество программ, то, скорее всего, в электронное устройство проникла зараза.

   

   

   Читайте также

2. Любое, даже самое небольшое ПО, открывается медленно. Вообще, хакеры понимают, что, если компьютер пользователя от их вредоносного кода начнет тормозить, то человек забеспокоится. Поэтому далеко не все вирусы грузят систему, многие из них действуют незаметно.
3. Ошибки в системе: «слетают» драйвера, перестают открываться программы, работают через раз или постоянно перезагружаются. Интересно, что антивирусники могут способствовать таким сбоям, если, например, найдут вредоносный код там, где его нет (т.н. ложное срабатывание), и снесут часть системы. Бывает и так, что зараза проникает вглубь загрузочных файлов ОС, и, если ее удалить, то компьютер перестанет включаться или возникнут новые ошибки.
4. Серфинг в интернете становится перегружен рекламой, или баннеры могут выскакивать даже на рабочем столе после закрытия браузера.
5. При работе с компьютером иногда слышны необычные звуки: щелчки, писк и т.д., хотя раньше такого не наблюдалось.
6. Дисковод периодически открывается сам или пытается что-то прочитать, хотя внутри пусто.
7. Компьютер долго включается или выключается.
   
8. Кража учетных данных. Если ваши знакомые жалуются, что кто-то от вашего имени шлет им в мессенджерах или по электронной почте спам, то, скорее всего, пароли от профилей из-за вируса попали в руки злоумышленников. Необходимо проверить ОС на наличие заразы.
9. Горит индикатор работы жесткого диска, хотя нет открытых программ, отсутствуют загрузки или вообще какие-либо действия с «Проводником». Здесь следует открыть «Диспетчер задач» и проверить процессы. Если действительно компьютер только включен, а индикатор не гаснет, то, возможно, вирусы находятся внутри жесткого диска.

Мы кратко поговорили лишь о некоторых видах компьютерных вирусов. На самом деле их может быть гораздо больше. И напоследок важное напоминание: никакая, даже самая крутая, система безопасности не даст вам гарантии отсутствия заражения.