Вирусы анализирующие список процессовНе очень часто используемая, но очень любопытная технология поиска вирусами жертв заключается в том, чтобы, оставшись в памяти одним из рассмотренных выше способов, один раз запомнить, а потом регулярно сканировать список выполняющихся в системе процессов. В этом списке присутствуют имена файлов, из которых стартовали процессы. Если один из процессов исчезает из списка, то это значит, что он завершился, и соответствующий файл можно заражать. Так поступают, например, вирусы Win9X. Yabran.3132 и Win9X. Tecata.1761. Во время загрузки операционной системы будут выполнены указанные в файле «перестановки», после чего «WININIT. INI» с противным хихиканьем самоуничтожится. Вы, наверное, подумали, что этот механизм специально включен в Windows для облегчения жизни вирусописателям? Нет, он адресован авторам инсталляционных программ. Более продвинутая «технология» заключается в том, чтобы, получив список выполняющихся процессов, внедряться в их адресное пространство, перехватывая обращения к операционной системе. Подобным образом, например, ведут себя многочисленные разновидности вируса Win32.Virut, получившего распространение в конце первого десятилетия XXI века. Они при помощи «CreateToolhelp32Snapshot» делают «снимок» списка процессов в памяти, открывают их при помощи «OpenProcess», запускают внутри них вирусные потоки при помощи «CreateRemoteThread», перехватывают в «NTDLL. DLL» функции «NtCreateFile» и «NtCreateProcess» и заражают практически все программы, к которым происходит обращение в сеансе работы

Еще интересные статьи :