Vítejte na serveru Sítě, viry, Windows a další...

 
  Přihlásit/Vytvořit účet    

Vyberte si
· Domů
· Archív článků
· Často kladené dotazy
· Odkazy
· Programy ke stažení
· Slovníček pojmů
· Témata článků
· Vyhledávání

Vyhledávání


Pokročilé vyhledávání

Aktuální hoaxy
·Automatický postup Miloše Zemana do druhého kola prezidentských voleb 2018
·Zveme Vas privydelat si (20171215)
·Air Bank Váš bankovní úcet je omezen (20171120)
·Srovnání odlišných konzerv od Hamé - květen 2016
·Oznameni o kreditni karte Dos:257800226786638 (20171031)
·Exekucni prikaz 085962/2017-822 (20171030)
·TT-Payment for PO#2019345 (20171003)
·Faktura-201719724 (20170925)
·Oznameni o zmenach v regulaci pro podani priznani k dani z prijmu pravnickych osob v Financni urad (20170921)
·Phillip Dante - mrtvé Zákazník v naší bance (20170919)

více...

Méně známé praktiky ochrany virů
Publikováno: Středa, 04.05. 2005 @ 02:09:42 CEST Od: Schuster

Počítačové viry Autoři virů opatřují své exempláře různými technikami, které je mají chránit. Pojďme se podívat na některé z nich.

Ochrana viru proti kontrole debugerem

Jednou z možností jak zjistit, zda je neznámý program virem, je jeho kontrola v debugeru. Dochází k pomalému krokování programu (trasování) a jeho kontrole. Proti tomu se vir může chránit tím, že obsahuje instrukci, která je závislá na čase. Pokud běh viru přesáhne určitý timeout, může se začít chovat nezajímavě a neškodně. Vir rovněž může obsahovat kód, během jehož běhu není možno zapisovat do zásobníku. Tím je trasování v podstatě nemožné.

Plastický registr

Velké množství virů si zajišťuje své spuštění se startem systému zápisem do registru, klíče:

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]

Tato věc je obecně známá. Pokud se na ni uživatel spolehne a pojme vymazání tohoto záznamu z registru jako vyléčení počítače (tím se přece vir již nebude aktivovat), může být překvapen. K této deaktivaci je potřeba restart systému a žádaná změna může být degradována následujícím způsobem: V adresáři Windows se nachází .reg soubor, např. s názvem 'sysreg.reg' a virus - soubor 'sysreg.exe'.. V registru systému se nachází záznam:

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
Název hodnoty - "SysCheck"
Hodnota - "sysreg.exe"

Pokud uživatel odhalí, že se virus spouští právě tímto záznamem a smaže ho, nemusí mít vyhráno. V registru se totiž rovněž může nacházet záznam:

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"SysCheck"="regedit.exe /s %windir%/sysreg.reg"

... kdy soubor 'sysreg.reg' vypadá po otevření v textovém editoru následovně:

REGEDIT4

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"SysCheck"="regedit.exe /s %windir%/sysreg.exe"

To znamená, že se se startem systému rovněž spouští instrukce "regedit.exe /s %windir%/sysreg.reg" (obsah souboru 'sysreg.reg' se na pozadí sloučí s registrem, uživatel o tom díky přepínače regedit /s neví). Soubor 'sysreg.reg' může nést všechny potřebné změny registru systému, které svědčí viru a které mj. opět zajistí jeho spouštění při startu počítače.

Když se systém stane závislým na viru

Aby mohl být počítač infikován, musí být vir spuštěn - je závislý na systému. Po spuštění může modifikovat klíč registru:[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/exefile/shell/open/command]Zde si virus nadefinuje, že bude spouštěn vždy při spouštění jakéhokoliv .exe souboru. Pokud dojde k vymazání viru avšak nedojde k opravě registru, nebude v systému možno spustit jakýkoliv .exe soubor..

Maskování viru pomocí NTFS

Systém souborů NTFS (New Technology File System) disponuje technologií, která by se dala označit jako datový tok na pozadí. Jinak řečeno pokud uživatel zkoumá neznámý soubor (a to i s právy administrátora), ne vždy musí vidět to, co je realitou. To co vidět není může být vir s úspěšnou kariérou v systému. Tímto způsobem se dá schovat vir stejně dobře jako např. BackDoor. Podezření na tuto techniku může zaniknout v okamžiku, kdy je daný soubor okopírován na svazek s FAT32 nebo na disketu a pak zpět.

Stealth virus

Tady jde o vir, který přebral částečnou kontrolu nad systémem a je schopen včas detekovat činnost scanneru antivirového systému a zachovat se podle toho. Dopředu si např. může odložit originální část kódu souboru který infikoval a jakmile zjistí, že probíhá kontrola antivirového systému, tak na své místo podvrhne tento originální kód. Zároveň si vir může vytvořit v souboru přes sebe přemostění a v případě potřeby ho aktivovat - ostrůvek se škodlivým kódem v souboru tím nebude při testu viditelný.

Poštovní vir - prázdný adresář nestačí

Nepříjemnou vlastnostní poštovního viru je jeho kopírování a rozesílání na další zjištěné e-mailové adresy. Uživatel by si mohl vyprázdnit osobní adresář a mít za to, že potom vir další adresy nezjistí. Ten si je však vyhledává jak v adresáři, tak scanováním souborů, nejčastěji ve složce "Temporary Internet Files" (např. hledáním řetězce mail to: apod.). Ve vygenerovaném mailu bude nejspíš falešná adresa odesílatele, např.:Zdrojová IP adresa ale bude téměř jistě pravá, i když by měl vir vlastní SMTP rutinu. Musel by totiž ještě disponovat ip spoofingem, ale při jeho aktivaci by nejspíš spadlo síťové připojení. Zdrojovou IP adresu zapisuje SMTP server, kterému vir předává infikovaný e-mail.

Útok na antivirový systém

Vir si může využitím některých API funkcí (zejména při ovládnutí knihovny kernel32.dll) zjišťovat spuštěná okna a ta s pro vir nebezpečným názvem (AVG, Awill, Antivir, F-Secure, Kerio...) vypínat. Zároveň může analyzovat běžící procesy a ty méně vhodné deaktivovat (pro AVG např. avgfsh apod.).


Zdroj:

Igiho stránka o virech
Grisoft.CZ
Symantec Security Response



 
Související odkazy
· Více o tématu Počítačové viry
· Další články od autora Schuster


Nejčtenější článek na téma Počítačové viry:
Virová scéna od srpna do listopadu 2003


Hodnocení článku
Průměrné hodnocení: 4.5
Hlasů: 2


Hlasujte pro tento článek:

Výborný
Velmi dobré
Dobré
Povedený
Špatné



Možnosti

 Vytisknout článek  Vytisknout článek

 Poslat článek  Poslat článek


"Méně známé praktiky ochrany virů" | Přihlásit/Vytvořit účet | 0 komentářů
Limit
Komentáře vlastní jejich autoři. Neodpovídáme za jejich obsah.

Není povoleno posílat komentáře anonymně, prosím zaregistrujte se.


Webmaster: Jiří Schuster


Čas potřebný ke zpracování stránky: 0.058 sekund