Armored virus

Armored virus (бронированный вирус) — вредоносное программное обеспечение (ПО), которое специально создано, чтобы затруднить свое обнаружение.

Принцип действия

Свое название вирус получил за принцип воздействия на антивирусное ПО. При обнаружении он наращивает и изменяет внутренний код. Такой подход позволяет избежать добавления сигнатуры вредоносной программы в базу антивирусов и затрудняет сканирование.

Также бронированный вирус использует другие средства уклонения от анализа:

  1. Стелс (маскировка). Зловредное ПО перехватывает системные сообщения внутри операционной системы (ОС) и подставляет на проверку незараженный код, что позволяет ему скрываться от антивирусного сканера.
  2. Полиморфизм. Вирус меняет код зараженного объекта при помощи шифрования. При этом каждый объект заражается новым вариантом кода.
  3. Метаморфизм. Принцип действия аналогичен полиморфному вирусу, но без шифрования. Зловредное ПО специально добавляет в зараженный объект «лишний» код, чтобы затруднить обнаружение.

Часто в двух последних случаях вирус смешивает свой код с исходным объектом, маскируясь под безвредный файл. Некоторые антивирусы не способны распознать угрозы в таких случаях и пропускают вредоносную программу при сканировании как безопасный объект.

Распространение

Бронированные вирусы передаются на незараженные ПК разными способами. Один из самых часто используемых — почтовые сервисы. Пользователю приходит письмо с вложением, а в тексте письма предлагается открыть его с пометкой срочно. После открытия запускается исполняемый код зловредного ПО, и компьютер заражается.

Второй способ — установка ПО с неофициальных сайтов. Пользователь заходит на сайт, который якобы сканирует его ОС и находит в ней уязвимости. Далее по ссылке пользователю предлагают скачать «специальное ПО», которое ликвидирует проблемы и увеличит производительность ПК. После загрузки такой утилиты машина пользователя заражается вирусом.

Третий вариант — фишинговые сайты. Пользователь заходит на страницу, которая полностью копируют оригинальный веб-ресурс, адрес которой немного видоизменен. Например, официальная страница антивируса Касперского — kaspersky.ru, а фишинговая может называться kasperski.ru.

Armored virus — один из наиболее опасных типов зловредного ПО, который специальными встроенными средствами затрудняет свое обнаружение и мимикрирует под безопасный объект внутри ОС.