Materiały edukacyjneTo my pomagamy w pisaniu

Materiały edukacyjne - Informatyka

Wirusy typu stealth

Wirusy określane mianem stealth starają się ukrywać się przed programami, próbującymi uzyskać dostęp do plików lub sektorów będących nosicielami wirusa. W przypadku kontroli wirus typu stealth, potrafi bez opóźnień chwilowo przywrócić pierwotną formę plikowi, lub sektorowi startowemu, dzięki czemu jest w stanie zatuszować swoją obecność. Również wykrycie wirusa znajdującego się w pamięci operacyjnej może być nieudane, gdy kod wirusa zostanie wywołany przed uruchomieniem programu antywirusowego.[1]

Wyróżnia się kilka odmian techniki stealth. Pierwszą z nich jest tak zwana semi-stealth. Wirusy wykorzystujące tę, niepełną technikę stealth, mogą na przykład podawać faktyczną długość zainfekowanych plików, gdy inne programy próbują uzyskać taką informację. Wiąże się to z kontrolowaniem określonych przerwań systemowych i w przypadku odwołania do danego przerwania następuje przejęcie działania przez program wirusa poprzez podanie zamienionych danych. Wirusy semi-stealth mogą podejmować działania polegające na podaniu pierwotnych danych obejmujących:

• atrybuty pliku;

• czas i datę utworzenia pliku;

• czas i datę ostatniego dostępu do pliku;

• czas i datę ostatniej modyfikacji pliku;

• długość pliku;

• pełną nazwę pliku;

• krótką nazwę pliku.

Tak więc wirus kontroluje przerwania systemowe odpowiedzialne za kontrolowanie wymienionych danych i w przypadku zarejestrowania próby sprawdzenia takich informacji związanych z zainfekowanym plikiem podejmuje działanie polegające na podaniu określonych informacji, charakteryzujących plik przed jego zainfekowaniem.

Znacznie bardziej niebezpieczna jest metoda full-stealth, wykorzystująca poza wymienionymi elementami, możliwość manipulacji zawartością pliku. W tym celu konieczne jest przejęcie stosownych funkcji systemowych. Wirusy takie kontrolują przerwania systemu odpowiedzialne za odczytywanie plików. W przypadku takiego odwołania wirus sprawdza, czy plik jest zainfekowany, jeśli tak, następuje wczytanie pliku do pamięci komputera, usunięcie wirusa i przekazanie odczytującemu programowi nie zainfekowanego pliku, jak i innych atrybutów i własności pliku sprzed jego zainfekowania. W takiej sytuacji program odczytujący stwierdza, że plik nie jest zainfekowany, mimo, że faktyczna kopia pliku, przechowywana na dysku nadal jest nosicielem wirusa. Działający w tej sposób wirus odwołuje się do adresów tablic pracy plików (JFT - Job File Table), która opisuje pliki otwarte w danym procesie, jak również do adresów tablic plików systemowych, zawierających informacje o otwartych plikach.[2]

---

1. Borys R. Wirusy komputerowe. Zagrożenie sieci, Telecom, 2000, str. 8.

2. Błaszczyk A. Wirusy. Pisanie wirusów i antywirusów, RM, 1998, str. 152

© 2012 Www.edukacja.mazowsze.pl

licznik