Tento článok bol vytlačený zo stránky https://referaty.centrum.sk

 

Vírusy

Prvé vírusy sa objavili začiatkom 70. rokov. Vírus je krátky program, kt. sa sám nekontrolovateľne rozmnožuje do iných programov tým, že sa k nim pripojí a podľa určitých kritérií ( napr. dátum nar. autora vírusu, počet spustení infikovaného programu, .. ) sa aktivuje a škodí. Funkčné prejavy počítačových vírusov
Bez ohľadu na použité mechanizmy šírenia, alebo druh maskovania, prípadne cieľa infekcie, počítačový vírus je naprogramovaný vždy na základe istej motivácie. Väčšinou je ňou snaha uškodiť užívateľovi, a preto pri klasifikácii vírusu je kľúčovou otázkou to, či je vírus deštruktívny, alebo nedeštruktívny. 1. Deštruktívne vírusy najčastejšie formátujú pevný disk, prepisujú náhodne vybrané sektory
(náhodnými dátami, menia obsah súborov, mažú súbory, zašifrujú dáta, atď.).
2. U nedeštruktívnych vírusov majú aktivačné rutiny najčastejšie charakter vizuálnych prejavov
- zobrazovanie rôznych textových správ, grafické prejavy nie sú časté) a akustických prejavov (drvivou väčšinou je nástrojom takéhoto prejavu zabudovaný reproduktor – PC -speaker).Každý z prejavov je vyvolaný podmienkou, čo väčšinou býva konkrétny časový moment, aktuálny dátum, prípadne vstup z klávesnice. Delenie počítačových vírusov podľa umiestnenia v pamäti:
1. nerezidentné (tzv. víry priamej akcie, nezostávajú v pamäti počítača): po spustení infikovaného programu sa replikujú, najčastejšie do súborov v danom adresári, a predajú riadenie infikovanému programu
2. rezidentné ostávajú v operačnej pamäti počítača aj po ukončení vykonávania infikovaného programu použitím mechanizmu TSR (terminate and stay resident)
Delenie podľa cieľa infekcie
1. bootovacie: Infikujú partition table (tabuľku rozdelenia), alebo častejšie boot sector (zavádzací sektor), čím si zabezpečia spustenie ešte pred zavedením samotného operačného systému. Originálny boot sector (ktorý musí byť zachovaný pre korektné zavedenie operačného systému) ukladajú buď na niektorý voľný sektor na 0. stope pevného disku, alebo na ľubovoľný iný sektor z dátovej oblasti pevného disku, pričom ho označia za vadný, aby nedošlo k jeho prepísaniu. 2. súborové: Je to najrozšírenejšia skupina vírov. Infikujú EXE, COM, OVL, BIN, STS, OBJ, DLL súbory a niekedy aj keď sú uložené v komprimovaných archíve. Tieto súborové sa ďalej delia podľa spôsobu infekcie na:
predlžujúce - pripoja sa na koniec súboru a na začiatok pridajú inštrukciu skoku na telo vírusu.

prepisujúce - nenávratne prepíšu úvod súboru, ktorý sa potom ako program stáva nefunkčný. adresárové - na disku sú uložené len raz, infikujú prepísaním odkazov priamo vo FAT tabuľke, pričom vzniká tzv. cross - referencing (prekrývanie súborov), ktorý však zväčša maskujú. multipartitné: Častá skupina vírusov - infikujú boot sector a zároveň aj súbory.

Najčastejšie koncepcie návrhu a prejavy chovania:
 vírusy typu stealth: Názov pochádza z mena známeho amerického bombardéra, ktorý sa stáva pre radary "neviditeľný". Vírus skrýva akúkoľvek zmenu komponentov systému, napr. dĺžku súborov,dátum a čas vytvorenia, zmena boot sectora. Vírus je schopný dezinfikovať programy on-the-fly ("za letu") najčastejšie monitorovaním prerušenia int 21h). V praxi po požiadavke na otvorenie súboru vírus prevezme kontrolu ako prvý, odvíri súbor, predá ho programu, ktorý oň žiadal a po požiadavke na uzavretie ho najprv infikuje a až potom skutočne uloží.  polymorfné (meniace sa): Základnou myšlienkou je, že žiadne z 2 kópií vírového tela nie sú
totožné. Vírus sa teda skladá z dekódovacej rutiny a zakódovaného tela. Ak je dekódovacia rutina statická (nemenná), ide o tzv. semi- polymorfné vírusy. Ak je dekódovacia rutina generovaná, ide o tzv. plne polymorfné vírusy.
 tunelujúce: Tieto vírusy sa "pretunelujú" reťazcami ovládačov zariadení, pripoja sa na koniec reťazca a ovládajú priamo napr. radič pevného disku. Pri ich detekcii kontrola vektorov prerušení neuspeje. Ďalšie vírom podobné hrozby:
 Trójsky kôň:(tento vírus nepotrebuje hostiteľa, existuje ako samostatný súbor) Tento program najčastejšie okamžite po svojom spustení prevádza deštrukčnú rutinu. Častokrát trójske kone slúžia na vypustenie nového vírusu, alebo na “špionáž” vzdialeného počítača. Často majú trójske kone názvy antivírových programov (nap. SCAN)
 Makro - víry: Ide o programy naprogramované v jazyku na tvorbu makier v textovom procesore, alebo tabuľkovom kalkulátore a vložené do takého dokumentu (prvýkrát v roku 1989 v kalkulátore (Lotus 1-2-3). Väčšinou ide o makrá programu Microsoft Word, ktoré systém vykonáva pri každom otvorení dokumentu (tzv. auto makrá), AutoExec, AutoOpen, FileSaveAs, FilePrint, FileExit. Infikovaná je najčastejšie šablóna NORMAL.DOT. Kvalitný programovací jazyk im umožňuje replikáciu, ale je diskutabilné, či ich radiť medzi vírusy, pretože neobsahujú inštrukcie procesora.  Červy - worms: Takýto program neinfikuje spustiteľné súbory, ale rozširuje sa počítačovou sieťou. červ nepotrebuje hostiteľa.

Morrisov červ v novembri 1988 nakazil 6000 počítačov UNIX.  Bomby: Programy, ktoré po spustení čakajú na aktivačný podnet (tzv. rozbuška), zväčša kľúč z klávesnice, zmena nejakého súboru, aktuálny dátum, alebo čas, a prevedú deštrukčnú rutinu. Šírenie vírusov v počítači.
Vírus sa môže aktivovať:
1. spustením infikovaného programu
2. boot vírus sa môže aktivovať pri resete, ak je napadnutý boot sektor systémového disku, alebo ak sme pri resete zabudli napadnutú disketu v mechanike, vtedy sa vírus s boot sektoru uloží do OP a je tam stále počas behu počítača. V pamäti sa môže stať aj rezidentným a vtedy je veľmi nebezpečný, lebo môže infikovať programy a disky kedykoľvek - používaním príkazov OS, lebo aj systémové súbory bývajú často napadnuté
Vírusy vykonávajú behom svojho životného cyklu mnoho akcií (poradie býva u každého vírusu individuálne, nemusia byť použité všetky akcie):
a) prevziať kontrolu nad procesorom
b) skontrolovať aktuálny stav prostredia
c) nainštalovať sa do pamäti
d) presmerovať prerušenie
e) previesť test na podmienku spustenia škody (dátum, počet spustení...)
f) vykonať škodlivú činnosť
g) nájsť miesto pre vytvorenie svojej kópie
h) vložiť svoju kópiu
i) zakódovať napadnuté miesta

Spôsoby prenosu vírusov medzi počítačmi
Vírusy sa šíria v rámci jedného počítača a aj medzi počítačmi. Zvyčajne sa infikujú prenosovými médiami ako je disketa, vymeniteľné pevné disky a internetom. Zdrojom vírusov najčastejšie sú hry a nelegálne kopírovaný software, software ktorého pôvod nie je dôveryhodný (poslaný cez IRC nejakým anonymným užívateľom, software kopírovaný z BBS (je to server, kde akýkoľvek užívateľ môže umiestniť svoj software a ponúknuť ho ostatným na kopírovanie) , alebo najaktuálnejšie vírus môžete obdržať cez mail vo forme správy alebo attachmentu. Ochrana pred počítačovými vírusmi
 softwarová
 hardwarová
Softwarová ochrana je realizovaná antivírovými programami. Antivírusové programy majú rôzne metódy odhaľovanie vírusov. 1. Porovnávací test. Pri prvom spustení tohto testu si program zapíše dôležité informácie o súboroch (veľkosť, dátum, čas, atribúty a kontrolné súčty). Pri ďalších spusteniach porovnáva tieto informácie s aktuálnym stavom. Pokiaľ v týchto údajoch došlo k zmenám, je pravdepodobné, že počítač bol napadnutý vírusom. 2. Antivírový program AVG obsahuje i heuristickú analýzu.

Heuristická analýza podrobne analyzuje obsah súborov na pevnom disku a vyhľadáva v ňom rôzne podozrivé inštrukcie, priamy zápis na disk alebo prevzatie kontroly nad procesorom a pod. Heuristická analýza skúma programy a hľadiska ich algoritmu. Je nezávislá na databáze vírusov. 3. Test na súborové a rezidentné vírusy (tzv. udička) spočíva v tom, že program vygeneruje na disk súbory typu .com a .exe, potom ich kopíruje a prevádza s nimi rôzne operácie, pričom vždy kontroluje ich obsah. Pokiaľ sa pri manipulácií s nimi zmení ich obsah, je veľmi pravdepodobné, že sa na návnadu práve chytil vírus. Obdobný je program schopný vygenerovať na disketu prázdny zavádzací sektor a potom kontrolovať, či sa zmenil. Hardwarová ochrana je realizovaná pomocou rozširujúcej karty. Karta obsahuje pamäť ROM so špeciálnym softwarom, ktorý umožní použitie šifrovaného hesla pre prístup k počítaču, užívateľov umožňuje rozdeliť do skupín podľa prístupových práv, ktoré si sami navrhneme, umožňuje registráciu všetkých pokusov o zmenu týchto práv, autoamticky nastavená ochrana proti prepísaniu boot sektora .
Postup pri napadnutí počítača vírusom
- vypneme počítač. - zavedieme systém z čistej DOS diskety chránenej proti zápisu. - z diskety spustíme antivirový program. Niekedy môžeme spustiť antivirový program z napadnutého disku, najprv ho skopírujeme z diskety na pevný disk. Antivirový program spustený z pevného disku poskytuje väčšie možnosti pri liečenie, je rýchlejší. - ak sa jedná o súborový vírus, napadnuté súbory necháme "vyliečiť", pokiaľ máme súbory zálohované, je vhodnejšie napadnuté súbory zmazať a nainštalovať nové. Po vyliečení i lepším antivirovým programom nie vždy súbory pracujú korektne. - ak ide o boot vírus, necháme previesť obnovu boot sektorov antivírovým programom, alebo príkazom SYS si prevedieme obnovu sami (SYS spúšťame z diskety). - ak sa jedná o vírus v MBR, zálohujeme si najskôr všetky systémové oblasti a skontrolujeme funkčnosť záložných kópií. Antivírové programy občas poškodia pri odstraňovaní tohoto vírusu tabuľku partition, čím spôsobia stratu dát. Ak dokáže náš antivírový program vírus v MBR odstrániť, alebo dokáže sektor obnoviť z diskety, urobíme to. - skontrolujeme všetky diskety. - Informujeme o nákaze užívateľa, ktorý používal naše diskety.

Koniec vytlačenej stránky z https://referaty.centrum.sk