Ako sa správa vírus

Počítačové vírusy zvyčajne škodia v dvoch fázach svojej činnosti. Ide o obdobie latencie, kedy sa vírus neprejavuje alebo sa množí, a o obdobie akcie, kedy spúšťa časovanú bombu. Toto rozlíšenie nie je striktné. Veľa vírusov sa už od začiatku aj rozmnožuje, aj podniká svoju akciu (napr. C648, Dark Avenger). Akcia nemusí byť vždy deštruktívna - napr. jeden z najrozšírenejších vírusov CR1701 pôsobí tak, že z obrazovky začínajú padať písmenká, Yankee Doodle zahrá o 17. hodine melódiu. Väčšina vírusov však v období akcie vykonáva činnosť veľmi nepríjemnú.

Na PC môže dôjsť k deštrukcii FAT, zmazaniu súborov, označovaniu dobrých sektorov za chybné, modifikácii používateľských údajov , prepísaní bootsektoru a Master Boot Record, formátovaniu disku, či dokonca k zničeniu hardvéru. Napríklad ide o vysielanie signálu LF (posun o riadok) na tlačiareň. To je príčina krčenia a trhania papiera a možného odlomenia ihličky, rozkmitanie hlavičiek pevného disku, a dokonca ničenie grafickej karty vysielaním chybných signálov. Aj obdobie latencie sa môže prejavovať rôzne. Niektoré vírusy (napr. Dark Avanger, C648) sú nebezpečné hneď od začiatku a infikujú takmer všetko, čo im príde do cesty. Toto obdobie môže trvať rôzne dlho a obdobie akcie je potom viazané na istú situáciu - splnenie istej podmienky.

INFIKOVANIE A MNOŽENIE

Vírusy sa zvyčajne rozmnožujú tak, že infikujú program prepisom jeho začiatku na skok na vlastné telo vírusu, ktoré sa potom zapisuje na koniec hostiteľského programu. Toto tvrdenie platí pre takmer 80% známych vírusov poškodzujúcich súbory. Niektoré vírusy prepisujú úplne kód hostiteľského súboru a likvidujú jeho pôvodnú funkciu (napr. vírus 405), prípadne prepisujú svojím telom začiatok programu a kód hostiteľa zapisujú na koniec, alebo sa umiestňujú do zásobníka.

U bootových vírusov je situácia iná. Tieto vírusy väčšinou prepisujú bootsektor a jeho originálnu časť zapisujú do sektoru, ktorý spravidla označia za chybný, existujú však aj iné možnosti uchovania originálneho boot-sektoru, a to napríklad na nevyužívanú štyridsiatu stopu.

Pri infikácii súboru vírus zvyčajne do nakazeného programu alebo do záznamu v adresári umiestňuje svoj identifikátor, ktorým si „zapamätáva“ infikovanie súboru, a to preto, aby sa vyhol prípadnému nakazeniu tohto súboru druhýkrát (napr. C648 mení čas modifikácie na 62. sekundu, Yankee Doodle zapisuje identifikáciu priamo do súboru). Skutočnosť, že program obsahuje identifikátor vírusu, nezabezpečuje ochranu proti iným vírusom.

KDE HĽADAŤ VÍRUS

Prostredie, v ktorom vírusy môžu trvalo existovať a vykonávať svoju činnosť, je samozrejme obmedzené na tieto oblasti a typy súborov:

a Master Boot Record - oblasť na disku, v ktorej je umiestnená rozdeľovacia tabuľka (partition table)

a boot-sektor disku, resp. diskety
a ovladač zariadenia ( driver)
a súbory typu COM
a súbory typu EXE
a prekryvné časti segmentovaných programov (súbory OVL)
a súbory typu BAT
a zdrojové texty programov (ak sú skompilované)
Tieto miesta je potrebné systematicky kontrolovať. Svoje telo však môžu vírusy schovávať aj mimo týchto oblastí - záleží na nápaditosti autora.

Zatiaľ sa dajú vytipovať tieto oblasti:
a oblasť zásobníka systémového programu (C346 Lehigh)
a začiatok , koniec alebo stred iného programu - voľné bloky v systémových tabuľkách, ako je napr. FAT
a sektory označené ako chybné
a zvláštny súbor s atribútom HIDDEN (skrytý)

KLASIFIKÁCIA POČÍTAČOVÝCH VÍRUSOV

Koncepcia klasifikácie počítačových vírusov nie je zatiaľ ešte stále ujasnená. Zrejmé však je , že označovanie vírusu menom (aj keď sa vzťahuje ku konkrétnemu prejavu daného vírusu - napr. Letterfall, t.j. padanie písmen) môže byť síce pochopiteľné pre expertov, nič však nepovie normálnemu používateľovi počítača. Veľmi prehľadným spôsobom klasifikácie je tabuľka, ktorú navrhol J. McAffee vo svojich dokumentačných súboroch k antivírusovým programom SCAN a CLEAN. Obsahuje ju dokument VIRLIST.TXT.

ANTIVÍROVÁ OCHRANA

Aby sme zamedzili prístupu vírusov do počítača, musíme ho pred takouto nežiadanou návštevou chrániť. Vhodnou kombináciou dvoch aspektou (aktívna antivírová obrana a prevencia) môžeme výrazne znížiť riziko vírovej nákazy. Tu je všeobecne zhrnutý odporúčaný návod na bezpečnú prácu s PC:

1) Vykonávajte pravidelný update svojho antivírusoveho programu!

2) Nikdy neotvárajte e-mailovu prílohu, ktorú ste si nevyžiadali!

(vírus IloveYou, ktory v máji 2000 spôsobil nemalé ekonomické škody (odhadujú sa asi na 8.7 miliardy USD). Programovanie týchto vírusov je pomerne jednoduché a ich efekt je rozsiahly.)

3) Majte kontrolu nad svojim počítačom a nad tým, kto ho používa!

4) Inštalujte včas všetky záplaty(patch) na používaný softvér!

5) Vždy preverujte diskety a CD média predtým, ako ho použijete a s každým novým súborom nakladajte s najvačšou opatrnosťou!

6) Nenechávajte diskety v mechanike!

7) Využívajte viac ako len jeden spôsob antivírusovej ochrany!

8) Vytvorte si zaručene čistú bootovaciu disketu a starostlivo ju uložte na bezpečné miesto!

9) Pravidelne zálohujte!
10) Nepodliehajte panike!