Способы борьбы со Stealth-вирусами

Для поиска stealth-вирусов рекомендуется осуществить загрузку системы с гибкого диска и провести удаление вирусных программ.

Антивирусы-полифаги эффективны в борьбе с уже известными вирусами, то есть чьи методы поведения уже знакомы разработчикам и есть в базе программы. Если вирус неизвестен, то он останется незамеченным. Главное в борьбе с вирусами как можно чаще обновлять версии программы и вирусные базы.

Руткит (англ. rootkit, т.е. «набор root'а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, делает незаметными снифферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае неядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого присутствия руткита в системе.

Классификация руткитов

• По уровню привилегий
• Уровня пользователя (user-mode)
• Уровня ядра (kernel-mode)
• По принципу действия
• изменяющие алгоритмы выполнения системных функций (Modify execution path)
• изменяющие системные структуры данных (Direct kernel object manipulation)

Основные методы реализации

В Microsoft Windows

В Windows из-за Windows File Protection переписывание системных файлов затруднено, поэтому основные способы внедрения в систему — модификация памяти:

• перехват системных функций Windows API (API hooking) на уровне пользователя;
• то же на уровне ядра (перехват Native API);
• изменение системных структур данных;
• модификация MBR и загрузка до ядра операционной системы — буткиты (например, BackDoor.MaosBoot).

Данный вид вредоносных кодов в среде Windows известен с начала 1990-х годов под названием стелс-вирусов.

В UNIX

• реализуемые подменой основных системных утилит (очень легко обнаруживаются средствами контроля целостности, кроме того, легко блокируются средствами типа SELinux (RedHat) и AppArmor (SUSE));
• реализованные в виде модуля ядра и основанные на патчинге VFS или перехвате таблицы системных вызовов (sys_call_table);
• основанные на модификации физической памяти ядра.