( úvod do počítačových vírusov )
1986 prvý vírus BRAIN => obsahoval adresy a tel. čísla tvorcov.
Počítačový vírus je program, ktorý bez vedomia užívateľa počítača sa pripája, prepisuje alebo inak modifikuje iné programy, dokumenty, systémové oblasti HDD s cieľom vlastnej reprodukcie. Okrem vlastnej reprodukcie môže kód vírusu vykonávať rôzne grafické, zvukové, textové efekty, ale aj deštrukčnú čínnosť (mazanie, modifikáciu súborov alebo sektorov HDD).
Trojský kôň je program, ktorý v sebe ukrýva okrem legálnej a viditeľnej časti aj tajnú časť, ktorá vykonáva utajenú
činnosť. Utajená činnosť môže mať deštruktívny charakter, alebo charakter nelegálneho získavania informácií z napadnutého počítača. Moderné trojské kone sa rozširujú Internetom a sprístupnia napadnutý počítač útočníkovi. Trojské kone však nemajú schopnosť samostatného kopírovania sa a šírenia sa v systéme. Fungujú ako samostatné programy vo forme samostatného súboru (neukrývajú sa v iných súboroch ani sa s ich pomocou nerozširujú).
Červ je program, ktorý je schopný rozširovať svoje kópie do iných počítačových systémov, k čomu využíva najmä rôzne sieťové služby (napr. e-mail). Je samostatný, neukrýva sa do žiadnych iných hostiteľských programov.
Druhy vírusov
Vírusy majú množstvo rôznych podôb. Aby sme sa proti vírusom dokázali úspešne brániť a v prípade infekcie sme dokázali predvídať, čo vírus urobí, musíme pochopiť aké rôzne techniky na oklamanie užívateľa vírusy používajú.
Rozdelenie na rezidentné a nerezidentné
Najbežnejšie typy vírusov
Súborové vírusy – najbežnejšie. Na svoju replikáciu využívajú telo iného programu, najčastejšie sa pripája na koniec tela hostiteľského programu, po spustení nakazeného súboru sa vykonáva kód vírusu, ktorý buď uskutoční priamu akciu, alebo sa stane pamäťovo rezidentný a následne infikuje ďalšie späšťatelné súbory.
Skriptový vírus – napísaný v skriptovacom jazyku – šíri sa buď ako samostatný vírus alebo ako súčasť iných súborov (outlook, outlook express)
Satelitný vírus – Šíri sa pomocou OS Windows alebo DOS. Pre tieto OS je charakteristické, že spúšťajú súbory s príponou .bat, .com , . exe => takýto súbor je súčasťou súborou .exe a spoločne sa so súborom aktivuje aj kód vírusu, ktorý zabezpečí svoju replikáciu.
Adresový vírus – napáda iné spustiteľné súbory, prepisuje v adresári smerník na ich začiatku tak, aby ukazovali na začiatok vírusu. Samotný vírus sa spustí prvý a následne sa spustí pôvodný vírus.
Makrovírus – Je dnes najrozšírenejší. Makrovírus sa aktivuje už samotných prezretím dokumentu. Jeho činnosť je riadená makrojazykom príslušnej aplikácie. Štandardný spôsob šírenia spočíva v nasledovnom postupe:
Súborové vírusy
Napádajú a infikujú súbory, ktoré potom slúžia ako „hostiteľ“, poskytujú vírusu úkryt a umožňujú vírusu spúšťať sa v OP. Vždy musí ísť o spustiteľné súbory, najčastejšie typov .com, .exe, .ovl, .bin, .obj, .prg atď.
Podľa spôsobu, akým vírusy napádajú hostiteľské súbory, ich ďalej delíme na:
Dokumenty ako „nespustiteľné súbory“ stále ešte pre mnohých užívateľov predstavujú „bezpečné súbory“,
ktoré netreba kontrolovať na prítomnosť vírusov. Najviac sa makrovírusy rozširujú prostredníctvom dokumentov MS Wordu, uložených vo formáte .doc. Pritom ochrana pred makrovírusmi práve v prostredí Wordu je úplne jednoduchá – stačí dokumenty ukladať vo formáte, ktorý spolu s dokumentom neukladá makrá, teda .rtf, prípadne .txt. Formát .rtf zachová formátovanie textu, a to že makrá neukladá, v absolútnej väčšine prípadov nikomu nevadí, pretože makrá aj tak využíva nepatrná skupina užívateľov.
Existujú ďalšie špeciálne druhy súborových vírusov – Kernel-vírusy, Retrovírusy a Klástrové vírusy, ich
podrobný opis pôsobenia už vyžaduje špeciálne znalosti z oblasti programovania vírusov a z hľadiska užívatela nemá ich opis valný význam.
Bootovacie vírusy
Tieto vírusy napádajú bootovacie oblasti diskiet a pevných diskov. Oproti súborovým vírusom sú v mnohých
ohľadoch účinnejšie: Boot sektor je bežnými prostriedkami užívateľovi neprístupný, má ho každá disketa aj disk formátované MS DOSom, resp. Windows, sú tu umiestnené štartovacie súbory operačného systému, takže okamžite po štarte počítača sa obsah boot sektoru načíta do operačnej pamäti. Vírusy využívajúce boot sektor sú „agresívnejšie“ – vďaka umiestneniu sa dostávajú do operačnej pamäti okamžite po spustení počítača. Prostredníctvom boot sektorov sa infekcia ľahko šíri – infikovať je možné aj diskety, ktoré obsahujú iba jednoduché dátové, prípadne neobsahujú vôbec žiadne súbory. Odhalenie vírusov v boot sektore je obtiažnejšie, ako detekovanie súborového vírusu. Ďalšie nebezpečenstvo týchto vírusov spočíva v tom, že niekedy „omylom“ – chybou práce samotného vírusu - prepíšu FAT tabuľku či inú dôležitú oblasť, obsahujúcu údaje o uložených súboroch na disku a tým dôjde k nevratnej strate všetkých dát uložených na disku.
Ochrana pred vírusmi => antivírus, firewall
Trojský kôň je program, ktorý v sebe ukrýva okrem legálnej a viditeľnej časti aj tajnú časť, ktorá vykonáva utajenú
činnosť. Utajená činnosť môže mať deštruktívny charakter, alebo charakter nelegálneho získavania informácií z napadnutého počítača. Moderné trojské kone sa rozširujú Internetom a sprístupnia napadnutý počítač útočníkovi. Trojské kone však nemajú schopnosť samostatného kopírovania sa a šírenia sa v systéme. Fungujú ako samostatné programy vo forme samostatného súboru (neukrývajú sa v iných súboroch ani sa s ich pomocou nerozširujú).
Červ je program, ktorý je schopný rozširovať svoje kópie do iných počítačových systémov, k čomu využíva najmä rôzne sieťové služby (napr. e-mail). Je samostatný, neukrýva sa do žiadnych iných hostiteľských programov.
Druhy vírusov
Vírusy majú množstvo rôznych podôb. Aby sme sa proti vírusom dokázali úspešne brániť a v prípade infekcie sme dokázali predvídať, čo vírus urobí, musíme pochopiť aké rôzne techniky na oklamanie užívateľa vírusy používajú.
Rozdelenie na rezidentné a nerezidentné
- Rezidentné – ak sa dostanú do OP spolu s hostiteľským programom, prevezmú riadenie počítača a ostávajú natrvalo v OP, teda aj po ukončení behu hostiteľského programu. Počas svojho pôsobenia napádajú ďalšie spúšťané programy a vykonávajú rôzne akcie akcie (viď. „Fázy pôsobenia vírusu v počítači“).
- Nerezidentné – po preniknutí do OP okamžite vykonajú činnosť – kopírovanie, príp. inú akciu a odovzdajú riadenie hostiteľskému programu. Neostávajú aktívne v OP. Nie sú veľmi rozšírené.
Najbežnejšie typy vírusov
- BOOT vírus
- Súborový vírus
- makro vírus
- skriptový vírus
- satelitný vírus
- adresárový vírus
Súborové vírusy – najbežnejšie. Na svoju replikáciu využívajú telo iného programu, najčastejšie sa pripája na koniec tela hostiteľského programu, po spustení nakazeného súboru sa vykonáva kód vírusu, ktorý buď uskutoční priamu akciu, alebo sa stane pamäťovo rezidentný a následne infikuje ďalšie späšťatelné súbory.
Skriptový vírus – napísaný v skriptovacom jazyku – šíri sa buď ako samostatný vírus alebo ako súčasť iných súborov (outlook, outlook express)
Satelitný vírus – Šíri sa pomocou OS Windows alebo DOS. Pre tieto OS je charakteristické, že spúšťajú súbory s príponou .bat, .com , . exe => takýto súbor je súčasťou súborou .exe a spoločne sa so súborom aktivuje aj kód vírusu, ktorý zabezpečí svoju replikáciu.
Adresový vírus – napáda iné spustiteľné súbory, prepisuje v adresári smerník na ich začiatku tak, aby ukazovali na začiatok vírusu. Samotný vírus sa spustí prvý a následne sa spustí pôvodný vírus.
Makrovírus – Je dnes najrozšírenejší. Makrovírus sa aktivuje už samotných prezretím dokumentu. Jeho činnosť je riadená makrojazykom príslušnej aplikácie. Štandardný spôsob šírenia spočíva v nasledovnom postupe:
- jeho po načítaní zavíreného dokumentu aplikácia spúšťa chod vírusu, ktorý pri rôznych sprievodných akciách zabezpečí napadnutie globálnej šablóny.
- Zavírené šablóny sa vkladajú do ďaleších dokumentov a tým ich infiltrujú.
Súborové vírusy
Napádajú a infikujú súbory, ktoré potom slúžia ako „hostiteľ“, poskytujú vírusu úkryt a umožňujú vírusu spúšťať sa v OP. Vždy musí ísť o spustiteľné súbory, najčastejšie typov .com, .exe, .ovl, .bin, .obj, .prg atď.
Podľa spôsobu, akým vírusy napádajú hostiteľské súbory, ich ďalej delíme na:
- Predlžujúce – vírus sa umiestni buď celý na začiatok súboru, alebo na začiatok umiestni svoju hlavičku a telo uloží na koneic súboru. Hostiteľský program nie je vírusom zničený, normálne sa dokáže spustiť, ale spolu s ním sa spúšťa aj vírus. Zväčšenie veľkosti súboru je možné za normálnych okolností zistiť jednoduchým pohľadom cez Prieskumníka, Norton Commanderom, príkazom DIR a pod., ak však vírus používa techniku Stealth, dokáže všetky zmeny vykonané na súboroch ukryť.
- Medzerové – pre svoje ukrytie využívajú medzery v niektorých spustiteľných súboroch (napr. command.com), potomne dôjde k predĺženiu hostiteľského súboru.
- Prepisujúce vírusy – nepredlžujú veľkosť súboru, ale hostiteľský program priamo prepíšu vlastným kódom („telom“). Potom sa hostiteľský program stáva nefunčným, pokus o spustenie programu vyvolá len aktivovanie vírusu. Pôsobenie takého druhu vírusu v počítači rýchlo znefunkční väčšinu programov, čím sa vírus stáva nápadným a je rýchlo odhalený a zničený. Preto sa veľmi nerozširujú.
- Duplikujúce – hostiteľský program nezničia, ale vytvoria si jeho kópiu a tú napadnú. Zabezpečia, že nie je spúšťaný „originálny“ program, ale jeho infikovaná kópia.
- Makrovírusy – sú vírusy napísané v jazyku Visual Basic ako makro niektorej aplikácie (Word, Excel, AmiPro, AutoCAD). Využívajú schopnosť spomínaných aplikácií uchovávať makrá jako súčasť dokumentu a takto dokážu napádať ďalšie dokumenty a šíriť sa pomocou nich. Mnohé makrovírusy majú schopnosť napádať dokumenty aj spustiteľné súbory – tým sa ich nebezpečnosť ešte zvyšuje. Nebezpečenstvo zo strany makrovírusov je umocnené ešte ďalšími efektami.
Dokumenty ako „nespustiteľné súbory“ stále ešte pre mnohých užívateľov predstavujú „bezpečné súbory“,
ktoré netreba kontrolovať na prítomnosť vírusov. Najviac sa makrovírusy rozširujú prostredníctvom dokumentov MS Wordu, uložených vo formáte .doc. Pritom ochrana pred makrovírusmi práve v prostredí Wordu je úplne jednoduchá – stačí dokumenty ukladať vo formáte, ktorý spolu s dokumentom neukladá makrá, teda .rtf, prípadne .txt. Formát .rtf zachová formátovanie textu, a to že makrá neukladá, v absolútnej väčšine prípadov nikomu nevadí, pretože makrá aj tak využíva nepatrná skupina užívateľov.
Existujú ďalšie špeciálne druhy súborových vírusov – Kernel-vírusy, Retrovírusy a Klástrové vírusy, ich
podrobný opis pôsobenia už vyžaduje špeciálne znalosti z oblasti programovania vírusov a z hľadiska užívatela nemá ich opis valný význam.
Bootovacie vírusy
Tieto vírusy napádajú bootovacie oblasti diskiet a pevných diskov. Oproti súborovým vírusom sú v mnohých
ohľadoch účinnejšie: Boot sektor je bežnými prostriedkami užívateľovi neprístupný, má ho každá disketa aj disk formátované MS DOSom, resp. Windows, sú tu umiestnené štartovacie súbory operačného systému, takže okamžite po štarte počítača sa obsah boot sektoru načíta do operačnej pamäti. Vírusy využívajúce boot sektor sú „agresívnejšie“ – vďaka umiestneniu sa dostávajú do operačnej pamäti okamžite po spustení počítača. Prostredníctvom boot sektorov sa infekcia ľahko šíri – infikovať je možné aj diskety, ktoré obsahujú iba jednoduché dátové, prípadne neobsahujú vôbec žiadne súbory. Odhalenie vírusov v boot sektore je obtiažnejšie, ako detekovanie súborového vírusu. Ďalšie nebezpečenstvo týchto vírusov spočíva v tom, že niekedy „omylom“ – chybou práce samotného vírusu - prepíšu FAT tabuľku či inú dôležitú oblasť, obsahujúcu údaje o uložených súboroch na disku a tým dôjde k nevratnej strate všetkých dát uložených na disku.
Ochrana pred vírusmi => antivírus, firewall
Žiadne komentáre:
Zverejnenie komentára