Использование вирусами алгоритмов маскировки

Охота на компьютерные вирусы ведется по всему миру. Дело поставлено очень серьезно. Каждый компьютер, оснащенный антивирусными средствами, становится эффективным барьером. Обнаружив и уничтожив вирус, вы не только защищаете свой компьютер, но и обеспечиваете безопасность других компьютеров, на которые вирус мог бы перекочевать от вас. Зная об этом, авторы вирусных программ идут на хитрости, чтобы преодолеть защиту, поставленную антивирусными программами. Основной прием, который при этом используется, — маскировка.

Большинство антивирусных программ выявляют вирусы по известным образцам их программного кода. Они просматривают все файлы подряд и ищут в них группы кодов, характерные для известных вирусов. Если в файле имеется последовательность байтов, зарегистрированная в базе данных как характерная для вируса, выдается сигнал тревоги.

Полиморфные вирусы — вирусы «призраки». Чтобы обмануть антивирусные средства, полиморфные вирусы не имеют постоянного кода. Взяв несколько разных экземпляров одного и того же полиморфного вируса, можно убедиться, что в последовательностях их байтов нет ничего общего. Хитрость состоит в том, что вирус распространяется в закодированном виде. Алгоритм случайного кодирования и декодирования находится в самом же вирусе. Поскольку алгоритм случайный, вирус всякий раз выглядит по-новому. «Ловить» такие вирусы простым сравнением их сигнатур (то есть определенных кодовых последовательностей) с данными из базы невозможно. Против них антивирусные программы используют специальные алгоритмы эвристического анализа.

Стелс-вирусы (Stealth) — вирусы «невидимки». Это весьма совершенные программы, которые нельзя увидеть средствами операционной системы. Например, если просмотреть зараженный файл с помощью какой-нибудь программы, например, нажав клавишу F3 в оболочке Norton Commander, то на экране будет виден файл, не содержащий вируса. Это происходит потому, что вирус перехватывает обращения к операционной системе, и при открытии файла на чтение немедленно удаляет свое тело из зараженного файла, а при закрытии файла заражает его опять. Для обнаружения таких вирусов антивирусные программы используют собственные средства просмотра, независимые от операционной системы.