¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Términos especiales

СпецНаз (специальные названия)

Otras ediciones de este tema (47)
  • añadir a favoritos
    Añadir a marcadores

Los virus stealth

Consultas: 8910 Comentarios: 2 Ranking: 41

miércoles 15 de marzo de 2017

Eránse una vez… los virus stealth (de inglés stealth virus — virus escondido)… Fue hace mucho – en la época del sistema operativo DOS. Los stealth virus y sus herederos vivieron una vida muy interesante, hubo muchos representantes de estos virus. Pero… desaparecieron por causa de difusión de muchos otros virus populares. ¡Vamos a recordarlo!

Antes de hablar sobre los representantes de esta clase de virus, vamos a ver las peculiaridades de sistemas operativos.

¿Cómo en realidad con los archivos que Vd. abre al hacer clic sobre un icono del escritorio? Es un conjunto de bits (y fragmentos vacíos – los sistemas operativos pueden omitir la escritura de algunas partes del archivo que no contienen ninguna información) guardados en algunos dispositivos. Esta explicación no es completa, pero suficiente para este caso.

Este conjunto de bits– normalmente, de ceros y unos – está esparcido por todo el disco duro (y a veces por todo Internet).

Al hacer clic sobre el icono, el SO procesa el evento, calcula el nombre del archivo, lo convierte en notación que entiende y envía una solicitud a nivel más bajo. Al hacer recibido un conjunto de bits (a veces, convertidos), el programa normalmente no lo visualiza en la pantalla, sino lo convierte para que el usuario lo pueda entender, porque no todos somos capaces de convertir un conjunto de bits en un gato en nuestra imaginación.

Quiere decir que los programas que usamos no trabajan directamente con el disco duro (excepto algunas utilidades de sistema que tampoco suelen consultar el disco directamente y lo hacen a niveles más bajos). En cada etapa el sistema permite incrustar su filtro.

Es lo que hacen los antivirus – interceptan las solicitudes a archivos y los procesan antes de que los usuarios los reciban. Pero los programas nocivos también pueden hacer lo mismo.

Por ejemplo, si un usuario avanzado al haber sospechado algo desea ver el listado de procesos o archivos en una carpeta, es muy probable que empiece a trabajar con la utilidad de sistema. Esta utilidad le enviará al sistema una solicitud sobre el contenido de la carpeta, el sistema solicitará estos datos al disco duro. Y el filtro del virus limpiará el listado de archivos transferidos al usuario que pensará que en el disco no sobra nada.

Es por eso que el filtro (controlador) del antivirus debe estar mucho más abajo en jerarquía – en caso contrario, el virus filtrará la información y el antivirus no podrá saber si hay archivo nocivo.

Los stealth virus (Stealth virus) - son los programas de virus que realizan acciones especiales para camuflar su actividad y ocultar si presencia en los objetos infectados.

La así llamada tecnología stealth puede incluir:

  • Dificultad de detección del virus en la memoria operativa
  • Dificultad de seguimiento y desensamblado del virus
  • Camuflado del proceso de infección
  • Dificultad de detección del virus en el programa infectado y en el sector de arranque.

Base de conocimiento de Doctor Web

Un stealth virus (de inglés stealth virus virus escondido) — es un virus que oculta completamente o parcialmente su presencia en el sistema, al interceptar las solicitudes al sistema operativo que realizan lectura, escritura, lectura de la información adicional sobre los objetos infectados (sectores de arranque, elementos del sistema de archivos, memoria etc.)

https://ru.wikipedia.org/wiki/Стелс-вирус

¿Cómo podemos afrontarlo?

Los antivirus polífagos son eficaces para afrontar los virus ya conocidos, es decir, los virus cuyos métodos de comportamiento ya son conocidos para los desarrolladores y ya están en la base del programa. Si el virus es desconocido, no se detecta.

¿Recuerda qué son los virus polífagos? :-)

Para detectar, eliminar y proteger contra los virus informáticos han sido desarrollados varios tipos de programas especiales que permiten detectar y eliminar los virus. Estos programas se llaman antivirus. Existen los tipos siguientes de los programas antivirus:

  • programas detectores;
  • programas doctores o fagos;
  • programas revisores;
  • programas filtros;
  • programas vacunas o imunizadores.

Los programas detectores buscan el código (firma) característico para el virus en concreto en la memoria operativa y en archivos y, al detectar, visualizan el mensaje correspondiente. La desventaja de estos programas antivirus es que pueden encontrar solo los virus conocidos para los desarrolladores de estos programas.

Los programas doctores o fagos así como los programas vacunas no solo encuentran los archivos infectados por virus, sino también los “desinfectan”, es decir, eliminan el cuerpo del programa virus del archivo al recuperar los archivos hasta su estado inicial. Al principio de su funcionamiento, los fagos buscan virus en la memoria operativa y los eliminan, y solo luego empiezan a «desinfectar» archivos. Entre los fagos se destacan los polífagos, es decir, los programas doctores destinados para buscar y destruir muchos virus. Los más conocidos son: Aidstest, Scan, Nor¬ton AntiVirus, Doctor Web.

Resulta que el Antivirus Dr.Web conocido para todos es polífago y además detector!

Pero en la época cuando había muchos tipos de antivirus y el desarrollo de sistemas de protección no era muy claro para todos, los stealth virus eran de tres tipos:

  • Los virus de arranque permitían evitar la atención de las utilidades de sistema que tienen acceso de bajo nivel a dispositivos capaces de leer la información directamente de los mismos (por sectores). Con mucha frecuencia, estos virus visualizaban el contenido del disco antes de infectar.
  • Los virus de archivo interceptaban las funciones de trabajo con archivos para ocultar los cambios en el archivo del disco o en la memoria.
  • Los macrovirus.

¿Vamos a leer las noticias de aquella época?

RCE-04096 fue desarrollado en Israel a finales del año 1989. Si nombre es Fordo porque el virus contiene un sector boot en su código, aunque nunca guarda su cuerpo en el sector boot. Al guardar este sector boot en el sector boot del disquete e intentar arrancar se visualiza el texto siguiente

FRODO LIVES («Fordo vive» o «Fordo está vivo»), creado con letra *5 que consiste en caracteres pseudográficos. Según los datos de P.Hoffman, el 22 de septiembre es el cumpleaños de losprotagonistas de la famosa trilogía de Tolkien «El Señor de los anillos» (Lord Of The Rings) - Bilbo y Frodo Baggins.

Todos los autores de las publicaciones que incluyen la descripción de este virus сoinciden que el virus fue creado por un experto técnico que conoce bien cómo funciona el sistema operativo y los algoritmos de funcionamiento de los programas antivirus.

El virus fue detectado en Israel en alguna entidad militar en octubre de 1989. Eb la URSS fue detectado por D.N. Lozinsky en agosto de 1990.

http://stfw.ru/page.php?id=9247
http://stfw.ru/page.php?id=9250

#virus #antivirus #terminología

El mundo de antivirus recomienda

Para pasar la ruta del éxito, debe empezar su camino desde el principio.

Primero decidir qué hacer. Luego realizar la idea paso a paso: buscar, intentar, equivocarse y corregir los errores, — ¡y nunca dejar la ruta!

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios

Comentarios a otras ediciones | Mis comentarios