El mundo de antivirus

lunes 13 de marzo de 2017

¿Cómo los programas nocivos adormecen la vigilancia de los antivirus y usuarios ordinarios? Hay muchas posibilidades, pero en realidad se usan dos modos:

1. Inicio del virus con el control posterior de las acciones del usuario y el sistema operativo. El programa nocivo intercepta al vuelo las solicitudes del usuario y de programas a los recursos determinados y en respuesta devuelve los datos editados.

   El primer stealth virus se considera el virus Frodo (o RCE-04096), desarrollado en Israel en el año 1989. El virus guardaba el sector de arranque en el momento de infección y al consultarlo visualizaba un sector no infectado en vez del infectado.

   http://stfw.ru/page.php?id=9250

2. Ocultación del archivo nocivo y sus datos en un área separada del disco duro, las áreas de servicio o los archivos creados a propósito. Por ejemplo, en el momento de infección el troyano crea un archivo y lo marca de modo especial, al crear en el mismo una base de datos y hasta un sistema de archivos especial (sí, un sistema de archivos puede ser creado también en un archivo: desde el punto de vista de utilidades, la marcación del archivo es igual que la del disco y es una secuencia de sectores para la escritura de datos). Así mismo, el acceso al archivo, un sector del disco o las áreas especiales para el antivirus se protege al establecer una contraseña, cifrar o usar los sistemas operativos especiales. Un ejemplo de troyano de este tipo es un virus bancario polimórfico de autodifusión Bolik.

   Pero no basta solo con ocultarse: los malintencionados también deben proporcionar el inicio del programa nocivo. Se puede hacerlo usando programas legales, por ejemplo, al guardar en el registro una tarea (por supuesto, con nombre de usuario y contraseña) de extracción de un archivo determinado del almacén.

   El virus en vez de la información real transfiere los datos del archivo no infectado. Por lo tanto, el programa antivirus no puede detectar ningún cambio en el archivo.

   Manual del investigador de virus. Autor manager
   http://voleyko.ru/spravochnik-virusologa-stels-virusy

Por supuesto, no es así. Si el antivirus fuera un programa ordinario, no podría detectar suplantación.

Para evitar un engaño, los antivirus mismos se implementan en el sistema operativo, al instalar en el mismo su controlador para que ningún programa nocivo pueda filtrar los datos antes de ser escaneado.

Pero hay que pagar por todo – para actualizar el controlador hay que reiniciar un sistema operativo. Es el precio de obtener el nuevo conocimiento por un antivirus. Por eso nuestros usuarios nos critican frecuentemente y hasta amenazan con rechazar el uso de Dr.Web por esta razón☹

No es posible detectar un stealth virus bien hecho y para eliminarlo (en caso de detectar su presencia por características secundarias), como mínimo hay que reinstalar el sistema operativo, y con más frecuencia– cambiar la memoria.

Vamos a tranquilizar a nuestros lectores: no hay que cambiar nada.

Vamos a tranquilizar a nuestros lectores: no hay que cambiar nada.

Como ya hemos mencionado más arriba, los stealth virus no se mencionan actualmente en noticias. En vez de ellos, se mencionan rootkits y и bootkits.