Tento článok bol vytlačený zo stránky https://referaty.centrum.sk

 

Antivírové programy v PC

Počítačový vírus má mnoho definícií, napr:
- počítačový program, ktorý môže infikovať iný počítačový program takým spôsobom, že do
neho prekopíruje svoje telo, čím sa infikovaný program stáva prostriedkom pre ďalšiu
aktiváciu vírusu
- je softvérový modul, nie nevyhnutne samostatný program, ktorý sa dokáže rozmnožovať a
a ktorý sa priživuje na programoch tým, že im kradne riadenie, okrem toho môže
vykonávať aj ďalšie činnosti, napríklad deštruktívne
- krátky program, ktorý sa nekontrolovateľne rozmnožuje a môže (tiež nekontrolovateľne)
prevádzať ďalšiu činnosť
- program, ktorý sa sám rozmnožuje do iných programov tým, že sa k ním pripojí a podľa
určitých kritérií autora vírusu sa aktivuje a škodí
- zvláštny program, ktorý je schopný vytvárať svoje kópie. Aby zabezpečil svoje spúšťanie,
pripojuje sa k súborom na disku, ukladá sa do systémových oblasti apod.

História vírusov
Počiatky počítačových vírusov sa objavili už v 60 - tých rokoch, našťastie len vo fantázii spisovateľov sci - fi literatúry. Až začiatkom 80 - tých rokov im dal rozvoj techniky reálnu šancu na existenciu, hoci len v laboratórnych podmienkach. Písal sa rok 1986 a svetlo sveta (alebo bajty programov?) uzrel Brain - prvý skutočný vírus pre osobné počítače IBM PC. Rok 1986 bol začiatkom šírenia nového druhu programu, ktorého názov bol prevzatý z lekárskej knihy, VÍRUS. Za prvý počítačový vírus na svete sa označuje boot vírus Brain, ktorý pochádzal z Pakistanu. Autormi sú bratia Basit a Amjad Farooq Alvi. Zanechali v tele vírusu svoju vizitku v podobe textu:
Welcome to the Dungeon
(c) 1986 Basit & Amjad (pvt) Ltd.
BRAIN COMPUTER SERVICES
730 NIZAB BLOCK ALLAMA IQBAL TOWN
LAHORE-PAKISTAN
PHONE : 430791, 443248, 280530
Beware of this VIRUS. . . . Contact us for vaccination. . . . . . . . . . . .
Jeho jedinečnosť spočíva aj v tom, že autori sú známi pod svojím skutočným menom a nielen pod prezývkou.

Explózia počtu vírusov
Kým na začiatku roku 1986 bol známi len vírus BRAIN, na jeho konci počet vírusov vzrástol na 3, zahŕňajúc BURGER a CHARLIE. Tabuľka (podľa údajov S&S International k 1. 2.

1998) zachytáva vývoj počtu vírusov od vzniku až po súčasnosť.
Vývoj počtu vírusov v rokoch 1986 - 1998
Rok Počet vírusov Medziročný nárast
1986 3 -
1987 12 9
1988 26 14
1989 63 37
1990 142 79
1991 357 215
1992 1161 804
1993 2482 1321
1994 3687 1205
1994 5626 1939
1995 7764 2138
1996 11037 3234
1997 16726 5689
1998 22860 6134
Nárast počtu vírusov sa stal kritickým po roku 1993 a osobitne zlá situácia za posledné 2 roky sa dá pripísať stále narastajúcemu počtu makrovírusov.
Ďalší vírus sa objavil o rok neskôr a jeho meno bolo Lehigh. Do roka sa naprogramovalo a šírilo ďalších 25 známych vírusov.
V lete roku 1988 vznikla antivírová asociácia Computer Virus Industry Association, ktorá sa premenovala na McAfee Associates. Firma McAfee je známa predovšetkým vydávaním najpopulárnejšieho antivírového systému ViruScan, ktorý bol nainštalovaný pred rokmi snáď na každom počítači. Taktiež v roku 1988 sa stala veľká udalosť. Bol odsúdený prvý človek za počítačový vírus, ktorý poškodil veľmi dôležité údaje a kedže mu bola vina a škoda jasne preukázateľná, dostal 7 rokov väzenia a pokutu v prepočte 500 000Sk.
Prvé vírusy do Československa pricestovali v roku 1988, najznámejší sa v tej dobe stal Vienna.648. Na tieto vírusy vznikol za krátku dobu nový český antivírus VAST! Najlepší programátori vírusov boli v strednej a východnej Európe a nikto sa nemohol čudovať, že v roku 1989 vznikol bulharský vírus Yankee.TP-44, ktorý patrí ešte aj dnes k najlepšie napísaným vírusom a preto sa jeho meno neustále nachádza v tabuľke PC Viruses In The Wild.
Okrem toho sa objavili nové zárodky kódovaných, neskôr polymorfných vírusov. Medzi ne patrili vírusy Cascade (po obrazovke padajú písmenká) a Whale (dokáže sa zmutovať asi do tridsiatich podôb). Najväčšie problémy nastali v priebehu roka 1990. Problémom boli predovšetkým stealth a polymorfné vírusy. Obzvlášť druhá skupina robila väčšine antivírových systémov problémy. ViruScan mal problémy s polymorfnými vírusmi ešte niekoľko rokov neskôr.
Počet vírusov prudko stúpol v roku 1991, kedy prekročil ich počet hranicu 1000. Stále vznikali nové techniky pre detekciu vírusov. Medzi ne patrí aj veľmi odsudzovaná heuristická analýza. S touto technikou prišiel ako prvý fínsky F-PROT. Neskôr sa objavil aj holandský TBAV, ktorý pridával aj heuristické liečenie. Dr. Solomon`s prišiel s presnou detekciou pomocou kontrolného súčtu. Po týchto úpravách sa už dal určiť presný variant akéhokoľvek vírusu.
6. marca roku 1992 sa objavil nový boot vírus Michelangelo, ktorý postihol celý svet a obzvlášť strednú a východnú Európu.

Autori drvivej väčšiny vírusov neboli známi a vývoj vírusov podporila ja studená vojna, po ktorej sa stále Američania a rusi vymieňali svoje programátorské skvosty (napríklad One Half za Seekra).
Na jar roku 1994 sa objavil zatiaľ najslávnejší vírus One Half, ktorý sa behom niekoľkých mesiacov dokázal rozšíriť po celom svete a stal sa tak najrozšírenejším a najobávanejším vírusom všetkých čias.
Prvý makrovírus WM.Concept vzniká v roku 1995, keď firma Microsoft ignorovala upozornenia antivírových odborníkov a tak vznikla nová oblasť, kde sa môžu vírusy voľne šíriť. Prvé makrovírusy existovali iba vo VisualBasicu, ktorý je priamou súčasťou programu Word. Za chvíľu sa objavili aj makrovírusy pre Excel a neskôr aj pre Access. Po internete sa začínala šíriť kategória vírusov Trójske kone. Pôvodne boli trójske kone prvé "vírusy" na PC, ale keďže krátko nato sa naprogramovali vírusy, ktoré sa šírili sami, trójske kone boli pre každého bezcenné. Až dnes, keď najmodernejšie technológie antivírových systémov odhalia každý vírus sa zaprášené zdrojové kódy trójskych koňov obnovili a vznikli nové verzie, ktoré napádali presné ciele a získavali dôležité heslá, informácie, alebo sprostredkovali moc inému počítaču na druhej strane zemegule. Aj na tieto vírusy sa zakrátko našla ochrana, ale moderné technológie nevedia rozoznať presne čo je škodiaci program a čo nie a tak sa musíme spoliehať zatiaľ na pravidelnú obnovu zoznamu vírusov.

Rozdelenie vírusov
Počítačové vírusy tvoria dve veľké skupiny :
- boot vírusy
- súborové vírusy

Existujú aj vírusy kombinované, alebo iného typu (napríklad : adresárové)
Boot vírusy
Telo vírusu je umiestnené v boot sektore diskety (1. sektor diskety, alebo disku, kde je uložený zavádzač OS), alebo v MBR pevného disku. Aktivuje sa po zavedení systému z napadnutého disku. Pokiaľ je vírus aktívny, môže napadnúť každú disketu, nechránenú proti zápisu, s ktorou pracujeme. Z diskety na pevný disk sa vírus prenesie len po zavedení systému z napadnutej diskety. Napadnutá disketa nemusí byť iba systémová.
Súborové vírusy
Súborový vírus sa pripojuje, alebo prepisuje spustiteľné súbory (.COM, .EXE), alebo súbory, ktoré obsahujú spustiteľný kód (.BIN, .OVL a iné). Tento vírus sa aktivuje, po spustení napadnutého súboru.
Zvláštnu skupinu súborových vírusov tvoria vírusy, ktoré okrem súborov napádajú aj MBR pevného disku, nie však boot sektor diskiet. Takýto vírus sa aktivuje okrem spustenia napadnutého súboru aj po zavedení systému z napadnutého pevného disku.
Vírusy môžeme ďalej deliť na :
- pamäťovo rezidentný (po aktivácii je trvalo umiestnený v pamäti)
- pamäťovo nerezidentný
Nerezidentný vírus spôsobí nákazu len po spustení napadnutého súboru. Bežne nakazí niekoľko súborov obvykle v aktuálnom adresári.
Rezidentný vírus sa po spustení napadnutého súboru umiestni v operačnej pamäti. Najčastejšie to býva v konvenčnej pamäti, pomocou prerušenia INT 12 zaistí, aby nebol prepísaný iným programom.

Rezidentný vírus sa môže nachádzať v konvenčnej pamäti, v pamäti EMS a v prvom 64 kB segmente pamäti extended ( takže 0-1088 kB). Rezidentný vírus môže napadnúť ľubovoľný počet súborov.
Vírusy tiež môžeme deliť na :
- dobré - spôsobujú len grafické alebo zvukové efekty
- zlé - na ničenie softwaru
- prepisovanie údajov v súboroch nezmyselným textom
- vymazanie disku
- vymazanie alokačnej tabuľky
- preformátovanie disku
- "odkrajovanie" priestoru na disku tým, že ho označí za chybný = časom sa javí
celý disk ako nepoužiteľný
- na ničenie hardwaru
- vírus môže spôsobiť rýchle rozbehnutie hlavy na disku, zastaví ju včas, takže
hlava narazí do krajnej polohy - po čase dochádza k zničeniu hlavy aj disku
- časté zapisovanie na disk = jeho rýchle opotrebovanie
- pri chode tlačiarne môže dať vírus rýchly pokyn na spätný chod = pokrčenie
papiera = ničenie tlačiarne
- časté spínanie určitých bodov = ich prehriatie
Delenie vírusov podľa toho, ako sa prejavujú :
- "mäkké" - vypisujú za určitých okolností, alebo náhodne rôzne hlásky (často
nezmyselné), heslá
- hranie melódie
- zmazanie obrazovky
- tieto vírusy nespôsobujú žiadnu škodu, len zaberajú miesto na disku alebo v pamäti
- "stredne škodlivé" - škodia, ale nie na najcitlivejších miestach počítača (napríklad
tie, ktoré resetujú počítač)
- "tvrdé" vírusy - za určitých okolností alebo úplne náhodne môžu zmazať časti
súborov, alebo celé súbory, či adresáre. Tie najtvrdšie mažú celý
disk. Pre výber doby zásahu sa často využívajú hodiny zálohované
v pamäti počítača (PC AT).

Obecná činnosť vykonávaná vírusmi :
Vírusy vykonávajú počas svojho životného cyklu mnoho akcií (poradie býva u každého vírusu individuálne, nemusia byť použité všetky akcie) :
- prevziať kontrolu nad procesorom
- skontrolovať aktuálny stav prostredia
- nainštalovať sa do pamäte
- presmerovať prerušenie
- previesť test na podmienku spustenia škody (dátum, počet spustení,. . .)
- vykonať škodlivú činnosť
- nájsť miesto na vytvorenie svojej kópie
- vložiť svoju kópiu
- uskutočniť úpravy napadnutého miesta (zakódovanie)
Spôsoby prenosov vírusov medzi počítačmi :
Vírusy sa šíria v rámci jedného počítača aj medzi počítačmi.

Existuje niekoľko možných prenosových médií medzi počítačmi :
- Bežné média - diskety
- sieťové linky (pri zapojení v sieti)
- telefónna linka (pri zapnutí modemu)
- výmenné pevné disky
- disk CD ROM
- Nie príliš časté média - sériová linka (pri prepojení počítačov)
- uverejnený zdrojový text vírusu
- pamäte EPROM

Postup pri napadnutí počítača vírusom
Vypneme počítač.
Zavedieme systém z čistej DOS diskety chránenej proti zápisu.
Z diskety spustíme antivírový program. Pokiaľ chceme spúšťať antivírový program z napadnutého disku, najprv ho skopírujeme z diskety na pevný disk. Antivírový program spúšťaný z pevného disku poskytuje väčšie možnosti pri liečení, jeho práca je rýchlejšia.
Keď sa jedná o súborový vírus, napadnuté súbory necháme "vyliečiť", pokiaľ máme súbory zálohované, je vhodnejšie napadnuté súbory zmazať a nainštalovať nové. Po vyliečení aj najlepším antivírovým programom, nie vždy súbory pracujú správne.
Keď ide o boot vírus, necháme previesť obnovu boot sektorov antivírovým programom, alebo príkazom SYS si prevedieme obnovu sami (SYS spúšťame z diskety).
Keď sa jedná o vírus v MBR, zálohujeme sa najprv všetky systémové oblasti a skontrolujeme funkčnosť záložných kópií. Antivírový program občas poškodí pri odstraňovaní tohto vírusu tabuľku partition, čim spôsobí stratu dát. Keď dokáže náš antivírový program vírus v MBR odstrániť, alebo vie sektor obnoviť z diskety, prevedieme jeho obnovenie.
Skontrolujeme všetky diskety.
Informujeme o nákaza užívateľov, s ktorými si vymieňame diskety.

Ochrana pred počítačovými vírusmi :
- softwarová
- hardwarová

Softwarová ochrana je realizovaná antivírovými programami. Služby, ktoré antivírové programy poskytujú je možné rozdeliť do troch skupín :
- konktrétne antivírové techniky
- obecné antivírové techniky
- preventívna ochrana
Konkrétne antivírové techniky vyhľadávajú iba známe vírusy podľa vírusovej databázy, ktorú je nutné aktualizovať. Väčšinu takto nájdených vírusovej možné zo súborov alebo z boot sektorov tiež odstrániť, a to buď s použitím informácií o víruse, ktorý príslušný súbor infikoval, alebo s

Použitím pôvodných informácií o súbore, ktoré popisujú, ako vyzeral pred infekciou. Najväčšou výhodou tejto metódy je jej rýchlosť, táto metóda sa teda používa pre pravidelné kontrolovanie pevného disku. Známe vírusy je tiež možné vyhľadávať v každom spustenom , kopírovanom, otváranom súbore a zavádzacích sektoroch všetkých diskiet, ktoré do počítača vkladáme. K tomu je určený rezidentný ovládač, ktorý môžeme zavádzať po spustení počítača. Tento ovládač sa zavádza v config.sys a je teda v pamäti ešte skôr, ako sa načíta command.com (čo je obvyklá základňa väčšiny vírusov). Samozrejme nechýba možnosť prehľadať pamäť na prítomnosť rezidentných vírusov.
Obecné antivírové techniky sa snažia nájsť a pokiaľ je možné aj odstrániť neznámi vírus. Prvou metódou, ako nájsť neznámi vírus je tzv. zrovnávaci test.

Pri prvom spustení tohto testu si program zapíše dôležité informácie o súboroch (veľkosť, dátum, čas, atribúty a kontrolné súčty).Pri ďalších spúšťaniach porovnáva tieto informácie s aktuálnym stavom. Pokiaľ v týchto údajoch došlo k zmene väčšieho rozsahu, je pravdepodobné, že počítač bol napadnutý vírusom. Antivírový program AVG obsahuje aj heurestickú analýzu. Heurestická analýza podrobne analyzuje obsah súborov na pevnom disku a vyhľadáva v ňom rôzne podozrivé konštrukcie (priame zápisy na disk, prevzatie kontroly nad operačným systémom a pod.). heurestická analýza je obecne fungujúca metóda, nie teda závislá na antivírovej databáze. Automaticky sa pri tejto metóde prevádza test aj na známe vírusy. Pokiaľ je teda súbor označený za napadnutý, prehľadáva sa v databáze vírusov a meno vírusu je vypísané, v opačnom prípade je vírus označený ako neznámy. Program obsahu je tzv. plnou heuristickou analýzou (heuristická analýza s emuláciou kódu), kedy sa antivírový program priamo pokúša emulovať činnosť počítača pri spustení programu. Nevýhoda metódy je v tom, že často dochádza k falošným poplachom, kedy niektoré súbory sú označované ako napadnuté. Avšak vzhľadom k zväčšovaniu počtu stále zložitejších vírusov, bude v budúcnosti táto metóda najčastejšie používaná. Test prostredia na súborové vírusy spočíva v tom, že program vygeneruje na disk súbory typu .com a .exe, potom ich kopíruje a prevádza s nimi rôzne operácie, pričom vždy kontroluje jej obsah, je veľmi pravdepodobné, že sa na návnadu práve chytil vírus -"udička". Obdobne je program schopný vygenerovať na disketu prázdny zavádzací sektor a potom kontrolovať, či bol nejako zmenený.
Preventívne antivírové techniky sa odporúča využívať pokiaľ možno ešte predtým, než sa vírus v počítači usídli. Spočívajú v zálohovaní niektorých dôležitých informácií o počítači, podľa nich bude v prípade potreby možné obnoviť pôvodný stav. Pomocou programu sa môžeme uložiť obsah pamäti CMOS, tabuľku rozdelenia pevného disku apod. Po napadnutí počítača môžeme tieto informácie spätne obnoviť.
Iné antivírové programy (F-PROT, SCAN) obsahujú ďalšiu užitočnú funkciu - vkladanie vlastných vírusových reťazcov. Táto metóda sa však neuplatní v prípade polymorfného vírusu.
Najznámejšie antivírusové programy ako AVAST, SCAN, CLEAN, Tri psi, TOOLKIT- kombinujú konkrétne a obecné metódy vyhľadávania a odstraňovania vírusov.

Hardwarová ochrana
Okrem softwarovej ochrany pred vírusmi existuje aj možnosť hardwarovej ochrany. Tá je realizovaná pomocou rozšírujucej karty. Karta obsahuje pamäť ROM so špeciálnym softwarom.

Základné funkcie :
- bezpečnosť je zaistená pomocou niekoľkostupňového ochranného systému
- prístup k počítaču je pomocou šifrovaného hesla
- užívateľov je možné rozdeliť podľa prístupových práv, ktoré si sami navrhneme
- pre pevné disky a diskety je možné nastaviť prístupové práva (iba čítanie, zápis apod.)
-dlhodobé sledovanie prevádzky počítača vrátane registrácie všetkých pokusov o porušenie
prístupových práv
- karta obsahuje batériou zálohovanú pamäť, v ktorej sú uložené všetky prístupové práva a
nastavené parametre
- kartu je možné doplniť o nadstavbové moduly pre zálohovanie kódovanie apod.
- automaticky je zaistená ochrana boot sektorov proti prepísaniu a formátovaniu

Antivírové prostriedky a mechanizmy prevencie a liečby vírusov
- Scanner : Scanner zisťuje prítomnosť víru v pamäti, alebo na disku pomocou vírových identifikačných reťazcov. Vírový identifikačný reťazec je jednoznačne definovaná postupnosť bytov reprezentujúcich daný vírus. Na zvýšenie účinnosti sa používa viac reťazcov na jeden vírus naraz (F-PROT používa dva), prípadne kombinácia nájdenia reťazca vírusov je chúlostivá hlavne preto, že môže dôjsť k poškodeniu súboru. Toto riziko sa zvyšuje u mutácii vírusov, t.j. vírusov, ktoré boli odvodené z niektorého zo známych vírusov. V prípade nesprávnej identifikácie vírusu nebude tento dôkladne odstránený a môže sa poškodiť funkčnosť pôvodného programu. Čiastočné riešenie prináša tzv. univerzálny clean (prvýkrát u systému AVAST!), ktorý si uchováva pôvodný dátum, dĺžku, atribúty, čas súboru a hlavičku EXE súboru, resp. úvodné inštrukcie u COM súboru.
- Rezidentný štít : Rezidentný štít je program, ktorý beží v reálnom čase. Najčastejšie je to program typu scanner, ktorý prevádza antivírovú kontrolu práve spracovaných dát. Môže tak zakázať skopírovanie zavírených súborov z diskety na pevný disk, či zakázať spustenie infikovaného programu a pod.
- Monitor diskových zmien : monitor sa zameriava na sledovanie zmien stavu v počítači, najmä spustiteľných súborov. Uchováva databázu popisov základných vlastností súborov, najmä dĺžku, dátum a čas poslednej aktualizácie a hlavne kontrolný súčet (CRC). Slabinou je prípad vírusov zameraných na zmazanie kontrolnej databáze.

Softwarové antivírové vybavenie
- Jednoúčelové programy :Tieto programy sú zamerané špeciálne proti konkrétnemu vírusu, či vírusovej skupine. Iným častým použitím je v prípade komplikovaných vírusov, ako napr. Disk Killer, alebo One Half, ktorý pri nesprávnom odstránení ponechá dáta na disku zakódované a bez prítomnosti vírusu nečitateľné.
- Programové balíky : Sú to komplexné súhrny antivírových programov danej firmy.
Kvalitný antivírový produkt by mal obsahovať :
- rýchly scanner s rozsiahlou databázou
- kvalitnú heuristickú analýzu
- bežný aj univerzálny clean
- rýchly rezidentný štít
- možnosti úschovy / obnovy kritických systémových oblastí (CMOS, partition table, boot
sector)
- kontrolu komprimovaných súborov
- dostatočnú odolnosť proti falošným poplachom
- databázu popisov detekovateľných vírusov
Známe programové balíky : NOD, AVG, AVAST, F-PROT, McAfee VirusScan

Zásadou pri výmene dát medzi počítačmi je používať machanickú ochranu diskety write-protection všade tam, kde to situácia dovoľuje (kde sa nepredpokladá zápis na disketu).

Dnešné BIOSy podporujú ochranu na najnižšej úrovni proti prepisu master boot record (tabuľky rozdelenia disku) a boot sectora, čo je spoľahlivá ochrana systémových oblastí pevného disku. Dôležitá je aj možnosť BIOSov nastaviť tzv. boot-up sequence, teda postupnosť diskov, kde sa má po poradí hľadať operačný systém, na "C:", "A:", namiesto "A:", "C:", aby sa zamedzilo nežiadúcemu naštartovaniu počítača z diskety zabudnutej v disketovej mechanike.

Pri liečbe je vhodné používať viac druhov softwaru naraz, najlepšie domáci aj zahraničný produkt. Vždy treba mať k dispozícii nazavírenú systémovú disketu obsahujúcu základné vybavenie pre zaistenie master boot recordu (FDISK s prepínačom / MBR), boot sectora (SYS C:) spolu so scannerom, heuristickým analyzátorom a cleanerom. V každom prípade netreba pri nákaze prepadnúť panike, ale zaistiť čo najviac informácií o víruse pred podniknutím ďalších krokov a v prípade neistoty prenechať odvírenie skúsenejšiemu antivírovemu odborníkovi.

Šírenie počítačových vírusov a ich ďalší vývoj v zmysle zdokonaľovania ich vlastností, vývoja nástrojov na ich automatické generovanie ako aj prieniku do nových počítačových platforiem úzko súvisí so stále sa rozšírujúcou počítačovou komunikáciou. Rozsah dát prenášaných elektronickou formou a to najmä Internetom rádovo presahuje prenos prostredníctvom výmenných pamäťových médií.
Každý skúsený používateľ dá za pravdu, že dnes už asi nemôže existovať žiadne PC bez aktívnej a silnej antivírovej ochrany. Počítačové vírusy sa postupom času premenili z ojedinelých prípadov a fám na 10 - tisíce verzií a mutácií (približne 40 000). Dnes už nenapádajú len EXE, COM ale aj DOC, XLS, HTM, DDL či mnohé iné súbory. Problematika antivírovej ochrany je dôležitá hlavne preto, že ak počítačový vírus napadne PC začína si plniť svoje úlohy hneď bez čakania, kým sa rozkývate a zaobstaráte si schopný antivírový program. Treba si uvedomiť, že hlavnou úlohou väčšiny vírusov je vykonať svoju deštrukčnú rutinu, t. j. zničiť alebo aspoň znehodnotiť údaje na napadnutom PC. Je viac ako isté, že ak padnú za obeť Vaše údaje, určite to nezostane bez následkov!?.

Koniec vytlačenej stránky z https://referaty.centrum.sk