Эффект невидимости для вирусаЭффект «невидимости» мог быть многократно усилен, если бы вирусы, подобные Win32.Cabanas, заражали «KERNEL32.DLL» и брали на себя обработку основных файловых операций: удаляли вирус из файла в момент его открытия и вновь заражали его при выполнении «CloseHandle». По крайней мере, по отдельности все эти операции вирусописателями были хорошо изучены, да и теоретически возможность такого «стелсирования» ими тоже активно обсуждалась, но… Но вируса, который поступал бы таким образом, так и не появилось ни в «дикой природе», ни в коллекциях вирусологов. Вот вам очередное подтверждение тезиса, что Windows — настолько огромная и труднообозримая система, что далеко не все ее уголки освоены даже «вездесущими» хакерами и вирусописателями. Зато довольно активно вирусописателями разрабатывалась идея «невидимости» вирусов, встраивавшихся в файловую систему Windows 9X. Примерами могут служить вирусы Win9X. Zerg.3849, Win9X. Filth.1030, Win9X. Chimera.1542, Win9X. Smash.10262, Win9X. HPS.5124 и прочие. Наиболее «продвинутым» является первый из них, вот его и рассмотрим. Вирус для получения привилегий 0-го кольца защиты и встраивания в файловую систему использует набор приемов, известный нам по Win9X. CIH. Вирусный обработчик файловых операций выглядит следующим образом: Анализируя этот фрагмент, можно заключить, что вирус самостоятельно обрабатывает большое количество файловых операций. Это ему нужно для того, чтобы не позволить прикладным программам 3-го кольца защиты обнаружить посторонние «новообразования» в зараженных файлах. А вот файловых вирусов для Windows NT, поступающих подобным образом, видимо, нет. Ситуацию с NT-вирусами, пытающимися работать в 0-м кольце защиты, мы уже обсудили несколькими страницами ранее.

Еще интересные статьи :

Эффект невидимости для вируса
Эффект невидимости для вируса
Эффект невидимости для вируса
Эффект невидимости для вируса