Stealth-вируси или вируси-невидимки са резидентни видове вируси (пребиваващи в RAM паметта). Stealth-вируси фалшифицират информацията прочетена от диска така, че програмата, за която е предназначена тази информация получава неверни данни.
Stealth-вируси се отнасят към категорията на маскиращите вируси, които са много трудни за откриване.
Основи на Stealth технологията
В основата на Stealth-вируси е фактът, че операционната система при достъп до периферни устройства (включително твърди дискове) използва механизъм за прекъсване. При възникване на прекъсване, управлението се насочва към специална програма-обработчик за прекъсване. Тази програма отговаря за вход и изход на данни към / от периферно устройство.
В такава система първоначално се крие и уязвимост: управлявайки обработчика на прекъсване може да се управлява потока информация от периферното устройство към потребителя. Stealth-вирусите, по специално, използват механизма на контрол при възникване на прекъсване. Заменяйки оригиналния обработчик на прекъсване със свой код, те контролират четенето на данните от диска.
В случай, когато от диска се чете заразена програма, вирусът „хапва“ своя собствен код ( обикновено кода не се хапва буквално, а става подмяна на номера на четения сектор на диска). В резултат на това, потребителят получава за четене „чист“ код. По този начин, докато вектора на обработчика на прекъсване е променен с вирусен код, самия вирус е активен в паметта на компютъра, да се открие с просто четене на диска със средствата на операционната система е невъзможно.
Начини за справяне със Stealth-вируси
С цел борба с тези вируси по-рано се препоръчваше (по принцип, се препоръчва и сега) прилагане на алтернативно зареждане на системата от твърдия диск и само след това се провежда търсене и отстраняване на вирусните програми. В момента зареждането от твърдия диск може да се окаже проблемно (за случая с win32 антивирусни приложения няма да може да го изпълните).
С оглед на горното, антивирусен софтуер се оказва максимално ефективен само при борба с вече известните вируси, т.е. с тези, чиито сигнатури и методи на поведение са познати на разработчиците. Само в този случай вирусът на 100% ще бъде открит и отстранен от паметта на компютъра, а после и от всички сканирани файлове. Ако вирусът не е известен, той може доста успешно да противодейства на опитите за откриване и отстраняване.
Ето защо, при използването на който и да е антивирусен софтуер е важно по-често да се обновяват версиите на програмите и вирусните бази. За удобство на потребителите базата е изнесена в отделен модул, е например, потребителите на AVP могат да актуализират базата данни всеки ден чрез интернет.
