Vírusok láthatatlanok, vagy lopakodó vírusok, egy új valóság
Az alapot a Stealth-vírus az a tény, hogy az operációs rendszer elérésekor a perifériás eszközök (beleértve a merevlemezeket) használ egy megszakítási mechanizmus. Amikor megszakítás történik, a vezérlés átadódik egy speciális program - megszakítást kezelő. Ez a program felelős a bemeneti és kimeneti adatokat / a periféria.
Egy ilyen rendszerben kezdetben rejtett és kiszolgáltatottság: kontrolling megszakítás kezelő kezelheti az információ áramlását a periféria a felhasználónak. Stealth-vírusok, különösen a vezérlő mechanizmust, amikor egy megszakítási elfogás. Cseréje az eredeti felvezető szakítsa meg a kódot, lopakodó vírus ellenőrző adat olvasni a lemezről.
Ha a lemezt olvasni fertőzött programot, a vírus „vesz egy falatot” saját kódját (általában a kód nem csak „egy harapás”, és van egy helyettesítési számú lemezt olvasható szektor). Ennek eredményeként a felhasználó elkezdi olvasni a „tiszta” kódot. Így amíg a vektor megszakítás kezelő módosított vírus kódját, a vírus aktív a számítógép memóriájában, hogy megtalálja egy egyszerű meghajtó elolvassa az operációs rendszer nem lehetséges. Hasonló mechanizmust használnak, és maszkolás vírus.
Ismert lopakodó vírusok bármilyen típusú - boot vírusok, fájl DOS vírusok és makróvírusok, sőt.
Stealth vírusok, hogy elrejtse a kódot két alapvető módon. Ezek közül az első az, hogy a vírus elfogja parancsokat olvasni a fertőzött szektor (ok 13h), és kicseréli az eredeti, nem fertőzött. Ez a módszer a vírus láthatatlan DOS-programok, beleértve az anti-vírus, nem tudja „kezelni” a számítógép memóriájában. Az alapötlet az, hogy annak ellenére, hogy a fájl fertőzött, a memóriában adatátviteli tiszta fájlok (előre keményített egy vírus).
Bolshinctvo fájl lopakodó vírusok ugyanazt a technikát, hogy a fent felsorolt: vagy DOS-lefoglaló felhívja a fájlok elérése (INT 21h) vagy átmenetileg gyógyítja a fájlt, amikor megnyitja, és megfertőzi a zárás napján. Csakúgy, mint a boot vírusok, fájl vírusok léteznek, az annak lopakodó funkciókat, hogy elkapjam megszakítani egy alacsonyabb szinten - DOS meghajtó hívások, INT 25h, 13h és még INT.
Végrehajtása algoritmusok lopakodó makró vírus talán a legegyszerűbb feladat - éppen elég letiltani hívó Fájl / Sablonok vagy az Eszközök / Makró menüben. Ezt úgy érjük el, eltávolítjuk a menüpontok a listából, vagy helyettesítés makrók FileTemplates és Makro. Ezt nevezhetjük egy kis csoportja makróvírusokkal részben lopakodó vírusok tárolja a fő kód nem a makró, mint más területeken a dokumentum - a maga változó, vagy Auto-szöveget.
A legismertebb Stealth-vírusok közé tartoznak a vírusok, mint például Exploit.Macro.Stealth, Exploit.MSWord.Stealth, Virus.DOS.Stealth.551.
Módon kell kezelni a Stealth-vírusok
Annak érdekében, hogy harcolni lopakodó vírusok korábban javasolt (és elvileg, ajánlott és most), hogy végezzen egy alternatív rendszert a boot floppy lemezre, és csak ezután végezze el a keresést és eltávolítását vírus programokat. Jelenleg boot a floppy lemez problematikus lehet (arra az esetre, win32 antivírus alkalmazásokat futtatni őket nem).
Tekintettel a fentiekre, anti-vírus szoftver-polyphages ugyanolyan hatékony elleni küzdelemben ismert vírusok, vagyis azok, akiknek az aláírása és módszerek viselkedés ismerős a fejlesztők. Csak ebben az esetben a vírus 100 százalékos pontossággal ismeri fel és törlődnek a memóriából a számítógépet, majd - az összes beolvasott fájlokat. Ha a vírus nem ismert, akkor meglehetősen sikeresen ellenáll annak, hogy felismerje és kezelje. Ezért fontos, ha bármilyen polyphage - amilyen gyakran csak lehetséges, hogy frissítse a változat a program és a vírus definíciók. A kényelem a felhasználói bázis egy külön modul, és például az AVP felhasználók frissíteni az adatbázist minden nap az interneten keresztül.