Successivo: UNIX è immune dai
Su: Tecniche avanzate usate dai
Precedente: I limiti di questi
I virus stealth sono virus che usano tecniche speciali per evitare il rilevamento sia da
parte degli utenti sia da parte dei prodotti antivirus. Molti ricercatori nel campo ``antivirale''
([Hof96] [Datafellows] [Dr.Solomon] [AVP]) affermano
che i virus che usano tecniche stealth dovrebbero avere le seguenti caratteristiche:
- Il virus dovrebbe nascondere, quando è residente in memoria, qualsiasi variazione fatta
alle componenti eseguibili del sistema, come l'incremento della lunghezza del programma, o
l'alterazione del boot sector o MBR.
- Il virus dovrebbe disinfettare i programmi ``on the fly''. Per esempio, quando un programma
infetto è caricato in memoria, il programma viene disinfettato. Questa tecnica non permette agli
antivirus di intuire una probabile infezione notando la modifica di un file.
Da alcune analisi da noi fatte su virus che utilizzano tecniche stealth si evincono anche le
seguenti caratteristiche:
- Il virus si colloca in zone non utilizzate di un media, per esempio per i boot virus, si
colloca nei settori non utilizzati del disco fisso (che sono tra gli 8 e i 40 Kb); per i file
virus, si usa la slack area del file che si vuole infettare, oppure si modifica il linking
dei cluster di quel file nella FAT.
- Il virus disabilita un eventuale antivirus residente in memoria: ciò è possibile poiché
questa è un'operazione lecita che gli stessi antivirus fanno. Infatti, un programma antivirus
che ha un modulo di prevenzione residente in memoria, deve poter richiedere a questo modulo la
sua disattivazione temporanea, quando viene lanciato dall'utente, in modo da non avere dei
conflitti. Quando la scansione termina il programma riattiva il modulo residente.
- Il virus va alla ricerca di eventuali antivirus residenti e se ve ne sono evita di
partire, aspettando di entrare in azione quando non sono presenti questi ``guardiani''.
Aniello Castiglione e Gerardo Maiorano < anicas,germai@zoo.diaedu.unisa.it >