Počítačové vírusy

Ako počítačové vírusy označujeme manipulačné programy alebo prídavné inštrukcie, ktoré sa po vniknutí do systému skryto množia (kopírujú) a môžu neočakávane meniť činnosť programu - až po naprogramované „sebazničenie“ celých súborov s časovým oneskorením (tzv. časovaná bomba). Vírusy, ktoré prenikli do systému pomocou zdanlivo nevinných programov (tzv. trójske kone), môžu napríklad zničiť ochranu heslom. Ak je váš počítač zapojený do siete, je prístupný aj „hackerom“. Sú to amatéri majúci vysokú úroveň znalostí o počítačoch, ktorí sa zaoberajú prenikaním do cudzích počítačov a vyberaním informácií, najčastejšie iba pre vlastné potešenie. Umiestniť do počítača vírus ako znak ich úspechu je jeden z častých, nie však najšťastnejších trikov a spôsobov „sebarealizácie“.

Vírusy môžu krok za krokom infikovať všetky dátové súbory a urobiť ich nepoužiteľnými. Ich pôvod sa väčšinou nedá dodatočne rekonštruovať, a preto je sabotér len ťažko zistiteľný. Ak je na pevnom disku uložený jediný infikovaný program, sú ohrozené všetky súbory. V rámci siete sa bude vírus šíriť aj na iné počítače a skôr či neskôr bude ním zamorený celý systém. Vírusy sa nevyskytujú iba v súboroch EXE, COM a DBF, ale sú aj vírusy, ktoré napádajú zdrojové texty v jazykoch C, pascal a basic.

Všeobecné princípy fungovania počítačových vírusov

Formálna definícia: Počítačový vírus je formálne taký program, ktorý môže infikovať ostatné programy (alebo diskety) tak, že do napadnutého programu (diskety) zapisuje svoju (možno modifikovanú) kópiu, pričom tejto kópii je ponechaná možnosť ďalšieho množenia sa.

Pri infikovaní programov (diskiet) sa vírusy môžu šíriť tranzitívne, tzn. od jedného programu k druhému. Nakazené programy alebo ich kópie sa môžu šíriť prostredníctvom diskiet, prípadne počítačovými sieťami. Vzhľadom k spôsobu výmeny programov na disketách dosahuje počet nainfikovaných programov vysoké hodnoty a môže viesť až k „epidémiám“.

Proces infikácie súborov:

1. Kód nainfikovaného programu sa zmení tak, aby vírus získal riadenie ako prvý, pred hostiteľským programom, a to buď napr. pomocou zápisu skokovej inštrukcie na miesto prvej inštrukcie hostiteľského programu (u súborov typu COM v systéme MS DOS) alebo napr. zmenou informácií v hlavičke súboru (u súborov typu EXE). Teoreticky je možné, že vírus vyhľadáva určité miesto v programe, do ktorého vloží inštrukciu skoku.

Nejde však o typickú infekciu, pretože je možné, že inštrukcia je vložená nesprávne, a preto vírus riadenie vôbec nedostane.

2. Po prebratí riadenia vyhľadáva vírus nový program a zapisuje svoju kópiu do tohto nenainfikovaného programu, a to väčšinou na koniec súboru, zriedka na jeho začiatok. Pokiaľ vírus zapisuje na koniec programu, koriguje vstupný kód nového hostiteľa tak, aby sám získal riadenie ako prvý, a pôvodný vstupný kód umiestňuje v svojom tele. Existujú však aj iné prípady, kedy sa vírus zapisuje do inej časti, napr. do oblasti zásobníka.

3. Takto prebiehajúca infekcia je charakteristická pre každý vírus napádajúci súbory. Vírusy však môžu okrem množiacich sa častí obsahovať časť deštruktívnu, označovanú ako trójsky kôň alebo vyššie spomínaná časovaná bomba. U osobných počítačov, napr. v operačnom systéme MS DOS, nachádzame aj druhú kategóriu vírusov, a to tzv. bootové vírusy, t.j. vírusy, ktoré napádajú zavádzacie oblasti na vonkajších magnetických médiách: disketách a pevných diskoch. Koncepcia takéhoto vírusu vychádza zo skutočnosti, že základný vstupno - výstupný systém (BIOS) vykonáva z týchto oblastí zavádzanie operačného systému do pamäti počítača. Ak obsahuje zavádzací sektor diskety alebo disku (bootsektor) resp. rozdeľovacia tabuľka pevného disku (partition table) vykonávateľný kód, je tento kód zavedený do pamäti. Ak obsahuje táto tabuľka kód vírusu, je do pamäti zavedený vírus, ktorý zostáva v pamäti rezidentne a tento vírus potom sám zavádza operačný systém. Infekcia sa potom väčšinou šíri nie pomocou súborov, ale nainfikovanými sektormi pružných diskov.

Väčšina vírusov infikuje bootsektor, ale niektoré infikujú rozdeľovaciu tabuľku a sú extrémne nebezpečné. Pôvodnú tabuľku zachovávajú nepresne, a tak je potom možné, že sa ľahko prepíše. V takomto prípade sa dá počítať prinajmenšom so stratou údajov; často však musíme vykonať tzv. low-level alebo nízkoúrovňový formát pevného disku.

TRÓJSKE KONE

Trójskymi koňmi bývajú označované programy, ktoré okrem užitočnej funkcie obsahujú skrytú časť, ktorá sa dá aktivizovať po splnení určitej podmienky (zvyčajne ide o viazanosť na určitý dátum, napr. 1. apríl, piatok trinásteho, dátum narodenia Michelangela 6. marca, Nový rok alebo Vianoce).

Táto ukrytá časť spravidla vykonáva činnosť de-štrukčného charakteru (modifikácia údajov, vymazanie súborov, formátovanie disku a pod.)

Ak je bežný program nakazený vírusom, stáva sa nielen ďalším jeho rozširovateľom, ale aj potenciálnym trójskym koňom, ktorého činnosť je priamo úmerná s nebezpečnosťou vírusu.

OSOBNÉ POČÍTAČE A MS DOS

Operačný systém MS DOS je vzhľadom k svojej prakticky nulovej kontrole ideálnym prostredím pre vývoj a šírenie počítačových vírusov. Vírus ale nie je program, ktorý by využíval chyby v operačnom systéme. K činnosti vírusu stačí pomerne malá časť operácií, ktoré sú bežne a denne využívané na každom počítači - zápis a čítanie z disku, prehľadávanie obsahu adresára, využitie iných služieb operačného systému - napr. prerušenie TSR ( Terminate and Stay Resident).

Viacpoužívateľské operačné systémy a počítačové siete

Vo viacpoužívateľských operačných systémoch pre lokálne počítačové siete LAN (napr. Novell NetWare) je pozícia počítačového vírusu sťažená z hľadiska možnosti infikovať ostatné súbory. V týchto systémoch totiž existujú podstatne silnejšie prostriedky na ochranu údajov. Na druhej strane však veľmi výrazne klesá možnosť individuálnej kontroly. Naviac pri použití režimu supervizor je neúčinná aj ochrana zabezpečovaná prostriedkami operačného systému. Ak sa podarí vírusovému programu „pracovať“ v režime supervizor, predstavuje preň viacpoužívateľský operačný systém rovnako dokonalé prostredie, ako je MS DOS. V počítačových sieťach LAN, v ktorých sa používa aplikačné programové vybavenie rovnaké ako pod operačným systémom MS DOS, môže dochádzať k jednoduchým infikáciám tiež vtedy, keď sa spúšťajú rezidentné programy na systémovom serveri. Ak pracuje server ako pracovná stanica (tzn. nondedicated mod) a ak je na ňom infikovaný program, má tento vírus oveľa jednoduchšiu pozíciu ako vtedy, keď je spustený z normálnej používateľskej pracovnej stanice ( workstation).

Celá situácia je komplikovaná možným konfliktom medzi prerušeniami, ktoré sa uplatňujú v sieťovom operačnom systéme a vo víruse (napr. konflikt prerušení u vírusu Yankee Doodle a Novell NetWare).

Ani diaľkové siete (WAN) nie sú ušetrené od napadnutia počítačovými vírusmi.
Ako sa správa vírus

Počítačové vírusy zvyčajne škodia v dvoch fázach svojej činnosti. Ide o obdobie latencie, kedy sa vírus neprejavuje alebo sa množí, a o obdobie akcie, kedy spúšťa časovanú bombu. Toto rozlíšenie nie je striktné. Veľa vírusov sa už od začiatku aj rozmnožuje, aj podniká svoju akciu (napr. C648, Dark Avenger). Akcia nemusí byť vždy deštruktívna - napr. jeden z najrozšírenejších vírusov CR1701 pôsobí tak, že z obrazovky začínajú padať písmenká, Yankee Doodle zahrá o 17. hodine melódiu. Väčšina vírusov však v období akcie vykonáva činnosť veľmi nepríjemnú.

Na PC môže dôjsť k deštrukcii FAT, zmazaniu súborov, označovaniu dobrých sektorov za chybné, modifikácii používateľských údajov , prepísaní bootsektoru a Master Boot Record, formátovaniu disku, či dokonca k zničeniu hardvéru. Napríklad ide o vysielanie signálu LF (posun o riadok) na tlačiareň. To je príčina krčenia a trhania papiera a možného odlomenia ihličky, rozkmitanie hlavičiek pevného disku, a dokonca ničenie grafickej karty vysielaním chybných signálov. Aj obdobie latencie sa môže prejavovať rôzne. Niektoré vírusy (napr. Dark Avanger, C648) sú nebezpečné hneď od začiatku a infikujú takmer všetko, čo im príde do cesty. Toto obdobie môže trvať rôzne dlho a obdobie akcie je potom viazané na istú situáciu - splnenie istej podmienky.

INFIKOVANIE A MNOŽENIE

Vírusy sa zvyčajne rozmnožujú tak, že infikujú program prepisom jeho začiatku na skok na vlastné telo vírusu, ktoré sa potom zapisuje na koniec hostiteľského programu. Toto tvrdenie platí pre takmer 80% známych vírusov poškodzujúcich súbory. Niektoré vírusy prepisujú úplne kód hostiteľského súboru a likvidujú jeho pôvodnú funkciu (napr. vírus 405), prípadne prepisujú svojím telom začiatok programu a kód hostiteľa zapisujú na koniec, alebo sa umiestňujú do zásobníka.

U bootových vírusov je situácia iná. Tieto vírusy väčšinou prepisujú bootsektor a jeho originálnu časť zapisujú do sektoru, ktorý spravidla označia za chybný, existujú však aj iné možnosti uchovania originálneho boot-sektoru, a to napríklad na nevyužívanú štyridsiatu stopu.

Pri infikácii súboru vírus zvyčajne do nakazeného programu alebo do záznamu v adresári umiestňuje svoj identifikátor, ktorým si „zapamätáva“ infikovanie súboru, a to preto, aby sa vyhol prípadnému nakazeniu tohto súboru druhýkrát (napr. C648 mení čas modifikácie na 62. sekundu, Yankee Doodle zapisuje identifikáciu priamo do súboru). Skutočnosť, že program obsahuje identifikátor vírusu, nezabezpečuje ochranu proti iným vírusom.

KDE HĽADAŤ VÍRUS

Prostredie, v ktorom vírusy môžu trvalo existovať a vykonávať svoju činnosť, je samozrejme obmedzené na tieto oblasti a typy súborov:

a Master Boot Record - oblasť na disku, v ktorej je umiestnená rozdeľovacia tabuľka (partition table)

a boot-sektor disku, resp. diskety
a ovladač zariadenia ( driver)
a súbory typu COM
a súbory typu EXE
a prekryvné časti segmentovaných programov (súbory OVL)
a súbory typu BAT
a zdrojové texty programov (ak sú skompilované)
Tieto miesta je potrebné systematicky kontrolovať. Svoje telo však môžu vírusy schovávať aj mimo týchto oblastí - záleží na nápaditosti autora.

Zatiaľ sa dajú vytipovať tieto oblasti:
a oblasť zásobníka systémového programu (C346 Lehigh)
a začiatok , koniec alebo stred iného programu - voľné bloky v systémových tabuľkách, ako je napr. FAT
a sektory označené ako chybné
a zvláštny súbor s atribútom HIDDEN (skrytý)

KLASIFIKÁCIA POČÍTAČOVÝCH VÍRUSOV

Koncepcia klasifikácie počítačových vírusov nie je zatiaľ ešte stále ujasnená. Zrejmé však je , že označovanie vírusu menom (aj keď sa vzťahuje ku konkrétnemu prejavu daného vírusu - napr. Letterfall, t.j. padanie písmen) môže byť síce pochopiteľné pre expertov, nič však nepovie normálnemu používateľovi počítača. Veľmi prehľadným spôsobom klasifikácie je tabuľka, ktorú navrhol J. McAffee vo svojich dokumentačných súboroch k antivírusovým programom SCAN a CLEAN. Obsahuje ju dokument VIRLIST.TXT.

ANTIVÍROVÁ OCHRANA

Aby sme zamedzili prístupu vírusov do počítača, musíme ho pred takouto nežiadanou návštevou chrániť. Vhodnou kombináciou dvoch aspektou (aktívna antivírová obrana a prevencia) môžeme výrazne znížiť riziko vírovej nákazy. Tu je všeobecne zhrnutý odporúčaný návod na bezpečnú prácu s PC:

1) Vykonávajte pravidelný update svojho antivírusoveho programu!

2) Nikdy neotvárajte e-mailovu prílohu, ktorú ste si nevyžiadali!

(vírus IloveYou, ktory v máji 2000 spôsobil nemalé ekonomické škody (odhadujú sa asi na 8.7 miliardy USD). Programovanie týchto vírusov je pomerne jednoduché a ich efekt je rozsiahly.)

3) Majte kontrolu nad svojim počítačom a nad tým, kto ho používa!

4) Inštalujte včas všetky záplaty(patch) na používaný softvér!

5) Vždy preverujte diskety a CD média predtým, ako ho použijete a s každým novým súborom nakladajte s najvačšou opatrnosťou!

6) Nenechávajte diskety v mechanike!

7) Využívajte viac ako len jeden spôsob antivírusovej ochrany!

8) Vytvorte si zaručene čistú bootovaciu disketu a starostlivo ju uložte na bezpečné miesto!

9) Pravidelne zálohujte!
10) Nepodliehajte panike!
Antivírové programy:

Je to program, ktorý slúži na lokalizáciu, následné odstránenie vírusu a maximálne napravenie škody ním spôsobené.

ANTIVÍROVÉ PROSTRIEDKY A MECHANIZMY PREVENCIE A LIEČBY VÍRUSOV

Scanner: Scanner zisťuje prítomnosť víru v pamäti, alebo na disku pomocou vírových identifikačných reťazcov. Vírový identifikačný reťazec je jednoznačne definovaná postupnosť bytov reprezentujúcich daný vírus. Na zvýšenie účinnosti sa používa viac reťazcov na jeden vírus naraz (F-PROT používa dva), prípadne kombinácia nájdenia reťazca s jusov je chúlostivé hlavne preto, že môže dôjsť k poškodeniu súboru. Toto riziko sa zvyšuje u mutácií vírusov, t.j.

vírusov, ktoré boli odvodené z niektorého zo známych vírusov. V prípade nesprávnej identifikácie vírusu nebude tento dôkladne odstránený a môže sa poškodiť funkčnosť pôvodného programu. Čiastočné riešenie prináša tzv. univerzálny clean (prvýkrát u systému AVAST!), ktorý si uchováva pôvodný dátum, dĺžku, atribúty, čas súboru a hlavičku EXE súboru, resp. úvodné inštrukcie u COM súboru. Rezidentný štít: Rezidentný štít je program, ktorý beží v reálnom čase. Najčastejšie je to program typu scanner, ktorý prevádza antivírovú kontrolu práve spracovávaných dát. Môže tak zakázať skopírovanie zavírených súborov z diskety na pevný disk, či zakázať spustenie infikovaného programu a pod. Monitor diskových zmien: Monitor sa zameriava na sledovanie zmien stavu v počítači, najmä spustiteľných súborov. Uchováva databázu popisov základných vlastností súborov, najmä dĺžku, dátum a čas poslednej aktualizácie a hlavne kontrolný súčet (CRC). Slabinou je prípad vírusov zameraných na zmazanie kontrolnej databáze.

Najbežnejšie a najviac používané antivírové programy:

AVG - Jednou z hlavných funkcií programu AVG pre Windows je vyvolávať testy, zisťujúce vírusovú nákazu Vášho počítača. Tieto testy kontrolujú disky a adresáre Vášho počítača a hľadajú počítačové vírusy, nájdené vírusy potom odstraňujú metódou liečenia alebo presunutím do vírusového trezoru.

NOD32 – Antivírusový systém NOD32 ponúka dobre vyváženú, vynikajúcu ochranu proti hrozbám ohrozujúcim váš osobný počítač a firemné systémy, pracujúce na rôznych platformách od Microsoft Windows 95 / 98 / ME / NT / 2000 / XP, cez mnohé operačné systémy UNIX/Linux, Novell, MS DOS, až po Microsoft Exchange Server, Lotus Domino a iné poštové servery. Vírusy, červy, trójske kone a iný škodlivý software budú zachytené v bezpečnej vzdialenosti od vašich cenných údajov. Zdokonalené metódy detekcie využité v programovom vybavení dokonca ponúkajú ochranu aj proti budúcim útokom väčšiny nových červov a vírusov.
Štvrtá generácia Antivírusového systému NOD32 predstavuje plne integrovaný programový balík charakterizovaný dosiaľ neprekonanou dlhodobo úspešnou detekciou, najrýchlejším tempom testovania a extrémne nízkou spotrebou systémových zdrojov.