Baza Stealth-virusuri este faptul că sistemul de operare la accesarea dispozitivelor periferice (inclusiv hard disk-uri) utilizează un mecanism de întrerupere. Atunci când are loc o întrerupere, controlul este transferat într-un program special - un handler de întrerupere. Acest program este responsabil pentru intrarea și ieșirea de date la / de la un dispozitiv periferic.
Într-un astfel de sistem este inițial ascuns și vulnerabilitate: controlul întreruperii handler poate gestiona fluxul de informații de la dispozitivul periferic pentru utilizator. Stealth-virusuri, în special, cu ajutorul mecanismului de control atunci când o interceptare întrerupere. Înlocuirea handler inițial întrerupe codul, datele de control stealth-virus citit de pe disc.
În cazul în care discul este citit programul infectat, virusul „ia o mușcătură“ propriul său cod (de obicei, codul nu este doar „să ia o mușcătură“, și există un număr de substituție a unui disc de sector care poate fi citit). Ca rezultat, utilizatorul citește un cod „curat“. Astfel, până când handlerul vector de întrerupere modificat codul de virus, virusul este activ în memoria calculatorului, pentru a găsi o unitate de simplu prin citirea sistemul de operare nu este posibilă. Un mecanism similar este utilizat și de mascare a virusului.
Cunoscute viruși stealth de toate tipurile - virușii de încărcare, fișier viruși DOS și viruși macro, chiar.
viruși Stealth pentru a ascunde codul lor, folosind două modalități de bază. Primul dintre acestea este faptul că interceptările virus comenzile pentru a citi sectorul infectat (INT 13h) și o înlocuiește originalul, neinfectate. Această metodă face ca virusul invizibil pentru orice DOS programe, inclusiv anti-virus, în imposibilitatea de a „trata“ memoria calculatorului. Ideea de bază este că, în ciuda faptului că fișierul este infectat, în transferuri de date de memorie fișiere curate (pre-întărită de un virus).
Bolshinctvo fișier viruși stealth utilizează aceleași tehnici care sunt enumerate mai sus: acestea sunt fie DOS-intercepta apeluri pentru a accesa fișiere (INT 21h) sau vindeca temporar fișier atunci când îl deschideți și să infecteze la închidere. Precum și pentru virușii de încărcare, există viruși de fișiere, folosind pentru funcțiile sale stealth pentru a intercepta întrerupe un nivel inferior - apeluri de driver DOS, INT 25h, și chiar 13h INT.
Implementarea algoritmilor în macro virus stealth este, probabil, cea mai simplă sarcină - doar suficient pentru a dezactiva de asteptare File / sau șabloane Tools / meniul Macro. Acest lucru se realizează fie prin îndepărtarea elementelor de meniu din listă, sau lor FileTemplates macro-uri de substituție și ToolsMacro. Acesta poate fi numit un mic grup de viruși macro viruși parțial stealth care stochează codul principal nu este în macro, ca și în alte zone ale documentului - în variabilele sale, sau Auto-text.
Cele mai faimoase Stealth-virusurile pot include viruși, cum ar fi Exploit.Macro.Stealth, Exploit.MSWord.Stealth, Virus.DOS.Stealth.551.
Moduri de a face cu Stealth-viruși
În scopul de a lupta cu stealth-virusuri recomandate anterior (și, în principiu, se recomandă și acum) să efectueze un sistem alternativ de a porni de pe dischetă, și numai apoi să efectueze căutarea și eliminarea programelor virus. În prezent, de boot de pe dischetă poate fi problematică (pentru cazul aplicațiilor anti-virus win32 pentru a rula le eșua).
Având în vedere cele de mai sus, anti-virus software-polyphages sunt la fel de eficiente în lupta împotriva virușilor cunoscuți, adică cei ale căror semnături și metode de comportament familiare dezvoltatorilor. Numai în acest caz, virusul cu o precizie de 100 la suta vor fi detectate și șterse din memoria calculatorului, și apoi - din toate fișierele scanate. În cazul în care virusul nu este cunoscută, ea poate rezista destul de succes încercări de a detecta si trata. De aceea, important atunci când se utilizează orice polyphage - cât mai des posibil pentru a actualiza versiunea programului și a definițiilor de viruși. Pentru comoditatea bazei de utilizatori într-un modul separat, și, de exemplu, utilizatorii de AVP pot actualiza baza de date în fiecare zi prin intermediul internetului.