На днях вылечил комп, зараженный вирусом с пиратского игрового DVD. Вирь был успешно прибит Касперским. Поскольку вирус оказался стелсом (не самым новым), решил дать кратенькую инфу о стелс-вирях и им подобных.
Стелс-вирусы (от англ. stealth — невидимка) - вирус, полностью или частично скрывающий свое присутствие в системе, путем перехвата обращений к операционной системе, осуществляющих чтение, запись, чтение дополнительной информации о зараженных объектах (загрузочных секторах, элементах файловой системы, памяти и т.д.)
Загрузочный стелс перехватывает функцию ОС, предназначенную для посекторного доступа к дискам, с целью «показать» пользователю или программе-антивирусу оригинальное содержимое сектора до заражения.
Файловый стелс перехватывает функции чтения/установки позиции в файле, чтения-записи в файл, чтения каталога и т. д., чтобы скрыть увеличение размера зараженных программ; перехватывает функции чтения-записи-отображения файла в память, чтобы скрыть факт изменения файла.
Вирусы этого класса способны маскировать свое присутствие в системе, путём перехвата некоторых системных функций, ответственных за работу с файлами. Технология "Стелс" делает невозможным обнаружение вируса без специальных инструментов. Вирус маскирует и увеличение длины заражённого файла, и собственный код в нём, "подставляя" вместо себя "здоровую" часть файла.
При проверке компьютера антивирусная программа считывает данные - файлы и системные области - с жестких дисков, пользуясь средствами операционной системы и BIOS. Стелс-вирусы после запуска оставляют в оперативной памяти специальный модуль, перехватывающий обращение программ к дисковой подсистеме компьютера. Если такой модуль обнаруживает, что программа пытается прочитать зараженный файл или системную область диска, он на ходу подменяет читаемые данные и таким образом маскируется, обманывая антивирусные программы.
Стелс-вирусы также способны прятаться в виде потоков в системных и других процессах, что еще более затрудняет их выявление. Такие стелс-вирусы невозможно даже увидеть в списке всех запущенных, в данный момент, в системе процессов.
Один из простых способов отключить механизм маскировки Стелс - вирусов заключается в следующем. Достаточно загрузить компьютер с незараженного накопителя (с малой версией ОС) и проверить компьютер антивирусной программой, не запуская программ с жесткого компьютера (они могут оказаться зараженными). В этом случае вирус не сможет получить управление и установить в оперативной памяти резидентный модуль, реализующий стелс-алгоритм, антивирус прочитает информацию, действительно записанную на диске, и легко обнаружит "гадюку".
Большинство антивирусных программ противодействует попыткам стелсов остаться незамеченными. Многие антивирусы настолько успешно им противостоят, что обнаруживают стелсы при попытке замаскироваться. Такие программы считывают проверяемые файлы программ с диска, пользуясь для этого несколькими различными методами - например, с помощью операционной системы и через BIOS: если обнаруживаются несовпадения, то делается вывод, что в оперативной памяти, вероятно, находится стелс-вирус.
