Tento článok bol vytlačený zo stránky https://referaty.centrum.sk
 

Počítačové vírusy

1.  Ako vzniká a funguje vírus?
Prvé vírusy bolinapísané skôr pre zábavu, keď hlavným cieľom bolo pobaviť sa na bezradnostiužívateľa, ktorému popadali písmenká do dolnej časti obrazovky alebo mu prácukaždé dve minúty „spríjemňovala“ snaha lietajúceho taniera o nadviazaniekontaktu. Tieto vírusy boli relatívne neškodné a ich hlavným cieľom bolospomaľovanie práce a frontálny útok na nervy užívateľa. Postupom času všakzačali vírusy nielen napádať a baviť, ale aj napádať a ničiť.

„Vírus nevznikne samočinne (aj keď užexistujú programy na ich generovanie), ale má autora, ktorý veľmi dobre pozná počítač,jeho správanie, slabiny a ovláda programovanie (alebo aspoň časť). Zvyčajne mázáškodnícke sklony, je škodoradostný, alebo mu ide o potrebu dokázať sám sebe,že je lepší ako tí, ktorým vírus spôsobí problémy. V čase studenej vojny údajnevírusy vytvárali aj znepriatelené strany a snažili sa pomocou nich znefunkčniťjadrové zbrane protivníka. Ten nainfikuje počítač, disketu, sieť a už toide.“  (4)        

Vírusy bývajú najčastejšie uložené vsúboroch (môžu to byť programy alebo dokumenty Wordu, Excelu a pod.)alebo boot-sektore. V takýchto prípadoch sa vírus aktivuje po spustení súborualebo počítača.

Časť vírusov ihneď napáda všetko, čo môže,časť sa len uhniezdi v pamäti a čaká (rezidentné vírusy). Stráži si spúšťaniesúborov a kopírovanie na disketu. Ak vložíme disketu a kopírujeme na ňu údaje,"pribalí" sa k nim ako "darček zdarma". Ak spustíte súbor,vírus ho prezrie a ak nie je infikovaný, nakazí ho.

Vírusy napadajú spustiteľné súbory dvomaspôsobmi:

1.     "nalepia" sa na ne (pridajú sa za koniecsúboru pričom na jeho začiatok vložia inštrukciu skoku na koniec. Vtedy sa pospustení súboru vykoná skok (vírus sa aktivuje) a riadenie sa vráti programu.),

2.     prepíšu ich (vírus surovo prepíše kód programu nazačiatku a vloží tam svoje inštrukcie).

Pre prvý spôsob napadnutia je možné súbortakmer vždy "opraviť", pri druhom len zriedka.

Vírusy pracujúce v boot-sektore súzaložené na tom, že tento sektor slúži na zavedenie operačného systému, a pretosa vždy po spustení počítača musia čítať inštrukcie, ktoré sú v ňom uložené. Ponaštartovaní sa namiesto odkazu na operačný systém, vykonajú inštrukcievkladajúce vírus do pamäte a len od záškodníka záleží, či dovolí spusteniesystému.

Vírusy šíriace sa v dokumentoch sanazývajú makrovírusy. Sú to makrá napísané v programovacom jazyku napr. Wordualebo Excelu. Pre svoju činnosť a rozmno­žovanie využívajúvlastnosť, ktorá dovoľuje spustiť vybrané makro pri otváraní súboru. Najprv savykoná makro (jeho činnosť nemusíme vôbec postrehnúť) a až potom sa súborotvorí. Makrovírusy sa momentálne najlepšie šíria po Internete, keď' autorrozošle (náhodne alebo cielene) textový dokument s príťažlivým názvom apríjemca si ho otvorí. Naplánovaná činnosť sa vykoná, vírus buď hneď vykoná"svoje", alebo počká na príhodnú dobu.

2. Vírusy z hľadiska bezpečnosti
Z hľadiskabezpečnosti by sme mohli vírusy rozdeliť do štyroch skupín:
1.     napádajú a ničia len spustiteľné (systémové)súbory,
2.     sú schopné zničiť údaje (napr. databázy, textovésúbory) na disku jeho zablokovaním, prekódovaním alebo naformátovaním,
3.     modifikujú údaje bez iných vedľajších príznakov,
4.     ničia hardware počítača.

2.1    Vírusynapádajúce programy
Vírusy, ktorépatria do tejto skupiny, sú relatívne neškodné, pretože jediná zákernosť,ktorej sú schopné, je prepísanie používaného programu.

Hoci nám taktopostihnutý súbor obmedzuje prácu pri počítači, väčšinou však postačí, ak súborjednoducho vymažeme a a program nainštalujeme nanovo.

2.2    Vírusyničiace údaje
Skutočnoupohromou sú až vírusy, ktoré ničia údaje. Spôsobov delenia je veľa, možno ichrozdeliť napr. na:
Ø     vírusy napádajúce a modifikujúce FAT tabuľku(miesto, kde sú uložené informá­cie o pozícii súborov na disku),
Ø     vírusy meniace tabuľku  partícií (údaje o rozdelení fyzického disku nalogické),
Ø     vírusy, ktoré prekódujú obsah disku a po ichodstránení zakódované údaje nemožno prečítať.
Ø     vírusy, ktoré formátujú disk, alebo zablokujú knemu prístup (môže ísť o vírusy z dvoch predchádzajúcich kategórií)

Ak sa v takomto prípade liečenieantivírovým programom nepodarí, prichádzame o uložené údaje. Pokiaľ sme opatrnía máme aspoň aké-také zálohy, katastrofa nie je hrozivá. Ak však prídeme ojedinečné údaje, ktorých kópie neexistujú, výsledok vybúrenia sa vírusu jenepríjemný. Ešte horšie je, ak vírus nenapadne len jeden počítač, ale celúsieť. Problémy sú nepríjemné aj v malých firmách a v prípade štátnych alebonadnárodných organizáciách môže dojsť k miliardovým škodám (ako v bankovej sietiJužnej Ameriky pred niekoľkými rokmi a v Južnej Kórei v roku 1999).

2.3    Vírusy modifikujúce údaje
„Najhoršou a najzákernejšou kategóriou súvírusy, ktoré si "sedia" v počítači a občas, kde-tu, zmenia údaj.Niektoré pracujú podľa konkrétneho algoritmu (je ešte šanca vrátiť modifikovanéúdaje nazad), no existujú aj také, kde nie je možné zistiť, ktoré súbory bolinapadnuté, a ktoré údaje sa modifikovali. Je nepríjemné, že si nemôžeme byťistí ani tým, či zálohy sú správne alebo údaje v nich boli tiež modifikované.Pre najbežnejšieho užívateľa (občas prídem a niečo si napíšem) nie je tátokategória zaujímavou. Horšie je to v systémoch, kde údaje hrajú hlavnú úlohu(bankovníctvo - určite by sme sa potešili, keby vám vírus prepísal všetkydeviatky na nuly, rôzne merania, sklady, navigácia, atď.).“ (4)

2.4    Vírusy ničiace hardware počítača
Do tejto kategórie patria vírusy, ktorédostali priestor vďaka starostlivosti o užívateľa. Niekoľko rokov dozadu bolopri skladaní počítačov nutné nastaviť frekvenciu, napätie procesora a mnohoďalších vlastností manuálne - prepojením na doske. Dnes sa (takmer) všetkyzmeny urobia automaticky a zapíšu sa (nejakým spôsobom - závisí od súčiastky)do pamäte príslušného zariadenia. Pre súdneho tvorcu vírusu z toho vyplýva, ženastavenia a vlastnosti hardware je možné prepísať (alebo vymazať).

V tomto duchu bolo vytvorených niekoľkovírusov, ktoré modifikujú BIOS dosky a vymažú napr. štartovací kód. Nech robímečokoľvek, dosku viac (bežným spôso­bom) neoživíme. Nie sme schopní údajeprepísať nazad, pretože počítač s takouto doskou nenaštartujete a beznaštartovania údaje neprepíšeme. Môžeme ju zahodiť.

Vírusy (údajne) dokážu zničiť počítač ajďalším spôsobom: vysielaním signálov na zariadenia (tlačiareň, disk, monitor)tak rýchlo po sebe, že tie sa v snahe o spracovanie prehrejú a zničia.

3.  Funkcie vírusov
3.1    Rozmnožovanie
Na pochopenie fungovaniavírusu si treba predstaviť, že jeden z programov, ktorý sa dostal do počítačaje nakazený vírusom. Takýto program obsahuje okrem svojich pôvodných častí eštekód a dáta vírusu telo programu a býva vírusom upravený tak, že sa pri jehoaktivácii začne vykonávať najprv kód vírusu. Záleží potom už od vírusu, či akedy dostane pôvodný program riadenie. Ak sa vírus v práve aktivovanom nakazenomprograme rozhodne ďalej rozmnožovať, postupuje obvykle nasledovne:

Nájde v počítači súborobsahujúci program istého typu a vloží do tohto programu kópiu seba samého.

Nakoniec vírus modifikujeprogram tak, aby po jeho od­štartovaní získala riadenie najprv do neho vloženákópia víru­su. Modifikované časti programu vírus zvykne odložiť do novo­vytvorenejkópie, aby sa dali v prípade potreby rekonštruovať.

„Novonakazený program sastáva ďalším zdrojom nákazy. Šírenie vírusu závisí hlavne na tom, kedy sa mupodarí nakaziť nejaký často používaný program. Od tohto momentu sa vírus šíriveľmi rýchlo - desiatky nakazených programov za hodinu nebývajú prekvapením.Podobne neprekvapí, ak sa pri čulej výmene prog­ramov nakazia za niekoľko dní vjednej organizácii desiatky počítačov.“ (1)

3.2    Škodenie
Škody, ktoré vírusy spôsobujú,bývajú rozličné: poškodenie (ochorenie) alebo znehodnotenie (umŕtvenie)nakazeného progra­mu, vymazanie jedného alebo viacerých súborov, zavedenie chýbdo dátových súborov, preformátovanie disku, zničenie nejakej časti hardwarupočítača.

3.3    Maskovanie
Počet kópií, ktoré dokáževírus vytvoriť a rozsah škôd, ktoré dokáže spáchať, závisia od toho, ako dlhomôže nerušene pôsobiť. Aby bola táto doba čo najdlhšia, vírusy bývajú do istejmiery schopné maskovať svoju prítomnosť a dôsledky svo­jej činnostiv počítači. Nie je výnimkou, že vírus:
- testuje disketu na ochranuproti zápisu, takže nevyvolá chybovú správu o porušení ochrany,
- čo najmenej predlžujenakazené súbory (programy),
- obnoví údaje o pôvodnomčase a dátume aktualizácie súboru, ktorý sa mu práve podarilo nakaziť,
- míňa čo najmenejprocesorového času,
- vyvoláva čo najmenejdiskových operácií,
- falšuje údaje, ktoré by homohli prezradiť,
skrátka býva implementovanýtak, aby ho nepoučený a nevybavený užívateľ zbadal čo najneskôr.

Niektoré vírusy sú schopné autoeliminácie. Takýto vírus dokážeodstrániť sám seba z programu a program uviesť do pôvodného stavu. Navonok saautoeliminačná schopnosť prejavuje spontán­nym uzdravovaním nakazenýchprogramov. Slúži na zamaskovanie trasy šírenia sa vírusu, čím sa užívateľovisťažuje predovšet­kým hľadanie prvotného zdroja infekcie v jeho počítači.

Ak vírus nezisťuje, či jedaný súbor ním už nakazený, opakova­ne nakazí už predtým (i viackrát) nakazenéprogramy. Na druhej strane, hľadanie výskytu svojej kópie v súboroch je časovodosť náročné. V oboch prípadoch sa vírus prezrádza predĺžením doby odštartovanianakazeného programu, v prvom prípade aj sústavným nárastom dĺžky súborov, čo siužívateľ môže všimnúť a prichytiť vírus dosť zavčasu už pri jeho šírení.

Aby tomu vírusy predišli,zanechávajú v súboroch údaj s významom súborje postihnutý. Kontrolou na prítomnosť takéhoto údaju, ktorý sa zvyknenazývať podpis (sign) vírusu, si vírusy výrazne skrátia dobu hľadanianepostihnutých súborov, čím maskujú svoju rozmnožovaciu aktivitu. Podpisom môže byťkonkrétny údaj na istej adrese, ako to robí vírus Brain, alebo istýreťazec, čoho príkladom je vírus Israeli. Ak sú cieľom nákazy súbory, podpis môžebyť umiestnený aj v katalógu súborov - takto to robí napríklad vírus PC boot. Používanie podpisu má ajnedostatky: ak podpis raz objavíme, uľahčuje hľadanie vírusov a umožňuje námbrániť sa vírusom.

3.4    Prežitie
Niektoré vírusy sú odolnévoči istým pre ne nepriaznivým okolnostiam. Existujú vírusy schopné prežiť voperačnej pamäti teplý štart operačného systému MS/PC-DOS, alebo ustrážiť nakazený boot-sektor na diskete.Takéto vírusy sa vedia ubrániť aj cieleným pokusom o ich odstránenie. Prežitiu vírusovpomáha, ak sú implementované ako odolné voči analýze. Dáta a kód niektorýchvírusov (napr. CharsFall) súzašifrované a odšifrovávajú sa na začiatku aktivácie. Iné vírusy detekujúprítomnosť ladiacich prostriedkov, čo pre nich býva podnetom k autoeliminácii.Týmto nám sťažujú analýzu, a pokiaľ nevieme ako fungujú, nemôžeme sa proti nimúčinne brániť.

Podmienky
Aktivovaný vírus sarozhoduje, čo urobí: či sa rozmnoží, či uškodí, či poskytne falošné údaje, čisa eliminuje a podobne. Podmienkami, na základe ktorých sa vírus rozhodne,bývajú:
- dosiahnutie daného dátumualebo času,
- vypršanie časového limitu,
- náhodný údaj,
- absolvovanie daného počtuaktivácií,
- vytvorenie istého počtupotomkov,
- detekovanie možnosti jehoodhalenia,
- detekovanie pokusu o jehoanalýzu,
- detekovanie pokusu o jeholikvidáciu, apod.

3.5    Umiestnenie
Vírusy umiestňujú svoje kópie(kódu aj dát) na rôzne miesta programu. V najjednoduchšom prípade pripojí vírussvoju kópiu za kód a dáta programu, avšak vtedy sa dá detekovať podľa zväčšeniadĺžky programu. Rafinovanejšie zostrojené vírusy umiestňujú svoje kópie dozásobníkovej pamäti programu, do neinicializovanej oblasti dátovej pamäteprogramu alebo do blokov na disku, ktoré označia za chybné. Iná možnosť spočívav tom, že vírus parazituje priamo na jadre operačného systému, napríklad narutine ošetrujúcej niektoré prerušenie, alebo v zavádzacom bloku (boot-block).Riadenie získa pri výskyte daného prerušenia alebo pri zavádzaní operačnéhosystému. Jeho možnosti rozmnožovať sa aj škodiť sú väčšie, lebo sa stávasúčasťou operačného systému.

Ak uvážime, čo všetko musívírus dokázať urobiť a že má mat čo najmenší rozsah, je zrejmé, že zhotovenievírusu je náročná programátorská činnosť.

Stavy programu z hľadiska nákazy a ich charakteristiky:
nepostihnutý - program neobsahuje vírus, a nie je voči nemu odolný,
nakazený - program obsahuje vírus a je plne použiteľný,
chorý - program obsahuje vírus, ktorý už škodí, pričom program jeaspoň čiastočne použiteľný,
mŕtvy - program je vplyvom činnosti vírus a nepoužiteľ­ný, môžeale nemusí vírus obsahovať

Program, ktorý je nakazený,chorý alebo mŕtvy, nazývame po­stihnutý. Vírus v ňom usadený sa môže, alenemusí rozmnožovať.

„Pri niektorých vírusochnemusia existovať niektoré z uvedených stavov programu. Napríklad programnapadnutý vírusom PCboot nepozná stav chorý, avšak pozná pre­chodzo stavu nepostihnutý priamo do stavu mŕtvy.

Podobne ako rozlišujemeprogramy podľa nákazy, môžeme hovoriť aj o celom operačnom systéme alebo opočítači ako o nepostihnutom, nakazenom, chorom alebo mŕtvom:
nepostihnutý - neobsahuje anijeden postihnutý program,
nakazený - obsahuje aspoňjeden nakazený program,
chorý - obsahuje aspoň jedenchorý alebo mŕtvy program,
mŕtvy - obsahuje toľko atakých mŕtvych programov, že sa stal nepoužiteľný; “ (1)

V čase od preneseniapostihnutého programu na nepostihnu­tý počítač až do ochorenia alebo umŕtveniapočítača plynie inkubačná doba. Vírus sa rozmnožuje, ale neškodí. Užívateľ, aknie je vybavený príslušnými vedomosťami a prostriedkami, nemá ako zistiť, že vjeho počítači pôsobí vírus. Pokiaľ sa vírus neprejavuje nejakými výpismi aleboobrázkami, dozvie sa o ňom až na základe ním spôsobených škôd. Vtedy je užpočítač zamo­rený (mnohými) kópiami vírusu, časť dát a programov môže byťnenávratne stratená, a nevie sa, koľko ďalších počítačov pomo­hol užívateľnakaziť tým, že poskytol kópie postihnutých prog­ramov užívateľom inýchpočítačov. Práve pre schopnosť rozmnožovania sa vírusy javia užíva­teľom akonajrozšírenejšie infiltračné prostriedky.

Dosiaľ známe vírusy súviazané na konkrétny typ počítača a operačného systému, takže vírusimplementovaný napríklad pod PC/MS-DOS pre IBM PC nefunguje pod OS-2 alebo podUNIX-om, ani na inom hardware.

Vírusy sa šíria hlavneprostredníctvom podsystému súborov (file system) operačnéhosystému.  Roz­množovaniu vírusov napomáhapredovšetkým voľná výmena progra­mov medzi užívateľmi.

4. Druhy vírusov
Roku 1983 saprvý raz objavil pojem Počítačový vírus pre program, ktorý ovplyvňuje činnosťiných programov tým, že sa do nich skopíruje. Zrodila sa počítačová biológia.

Rozlišujemeniekoľko druhov počítačových vírusov:
Ø     vírusy
Ø     červíky
Ø     trójske kone
Ø     n-árna infiltrácia
Ø     trpaslíci
Ø     škriatkovia
Ø     bomby a míny
Ø     špióni
Ø     kombinácia prostriedkov

4.1    Červíky
Červík (anglicky worm) jesoftwarový infiltračný prostriedok, ktorý sa rozmnožuje špecifickým spôsobom -prostredníctvom počítačovej siete, presnejšie povedané prostredníctvom jejkomunikačného programového vybavenia. Kópie tohto prostriedku sídlia vpočítačoch siete a dohromady tvoria články červíka. Ktorýkoľvek článok, ktorýzíska riadenie, zistí prostredníctvom siete, či sa v susedných počítačochnachádzajú jeho kópie. Ak nie, postará sa, aby sa tam dostal.

Stačí, aby sa hoci len dojedného počítača siete dostal zárodočný článok červíka a onedlho sa objaviajeho kópie vo všetkých počítačoch siete. Likvidácia červíka nie je jednoducházáležitosť, lebo treba zlikvidovať naraz všetky jeho články. Odstránenie článkučervíka z jedného alebo viacerých uzlov siete nič nerieši. Ak zostane existovaťv sieti čo len jediný článok, onedlho sa červík po nej znova rozrastie.

Články červíka tvoriadohromady vyšší celok – akýsi softwarový organizmus,ktorý sa drží pri živote obzvlášť silno.

4.2    Trójskekone
S týmto druhom infiltračnýchprostriedkov je spojených najviac nejasností a dohadov.

Trójsky kôň sám o sebeneškodí, škodlivé je to, čo sa v ňom nachádza. Softwarový trójsky kôň je lesťoua skrýšou zároveň. Prísľubom niečoho atraktívneho sa votrie užívateľovi dopozornosti tak, že si ho sám ho zavedie do počítača. Nie je podstatné, či toatraktívne naozaj splní alebo nesplní. V oboch prípadoch sa aktivovaním programu, ktorýfunguje ako softwarový trójsky kôň, začne vykonávať aj užívateľovi neznáma časťkódu. Výsledkom je niečo, čo užívateľ nečaká, obvykle pohroma, akonapríklad premazaný disk. Jednoduché trójske kone sa nereplikujú,rafinovanejšie nasadia do počítača niečo, čo sa rozmnožovať vie - napríkladvírus, alebo zárodočný článok červíka.

Ešte rafinovanejšie jeumiestniť trójskeho koňa do kompi­látora alebo iného systémového programu,prostredníctvom kto­rého vytvárame programy. Proces, ktorým sa dostane trójskykôň do kompilátora pozostáva z niekoľkých krokov. V každom kroku sa prekladajúzdrojové texty kompilátora - modifikované istým spôsobom - kompilátoromsamotným:
-        na začiatku existuje kompilátor verzie v a jeho zdrojové texty, pričom ani v kompilátoreani v jeho zdrojových textoch sa žiaden trójsky kôň nenachádza,
-        v prvom kroku sa obohatí zdrojový text kompilátora o kód,ktorým sa realizuje trójsky kôň; takto modifikovaný text prekladača dostaneverziové číslo v+1
-        text verzie v+1 prekladača sa preloží prekladačom verzie v, čím sa získa binárny tvarprekladača verzie v+1 s trójskym koňom.

„Takto modifikovaný prekladačdokáže vypraviť do prekladaného programu napríklad škriatka (ktorý potom kreslievamedvedíka na kraj papiera súradnicového zapisovača), alebo do preklada­ného moduluoperačného systému vsadí trpaslíka (ktorý gratulu­je k novému roku). Autor programu, ktorýje postihnutý činnos­ťou trójskeho koňa, nenájde samozrejme v zdrojovýchtextoch svojho programu žiadnu príčinu jeho obohateného správania.

Je úlohou trójskeho koňa, abyrozpoznal, že prekladač práve prekladá napríklad istý program alebo istý moduloperač­ného systému. Vtedy sa trójsky kôň otvorí a do práve preklada­néhoprogramu sa vpašuje kód infiltračného prostriedku, ktorý je v ňom skrytý.

Obdobným spôsobom môžeme dokompilátora vpraviť dva trój­ske kone, a pokračovať v postupnosti rekompiláciíkompilátora:
-        zo zdrojového textu prekladača  sa odstráni text oboch trójskych koňov, texttak získa pôvodnú podobu verzie v,
-         text verzie v sa preloží prekladačom verzie v+1, čím sa získa prekladač verziev+2,
-        odvtedy existuje binárny tvar prekladača verzie v+2 s dvoma trójskymi koňmi azdrojové texty prekladača verzie v, vktorých niet ani stopy po trójskych koňoch.“ (1)

Úlohou druhého trójskeho koňaje rozpoznať kompiláciu novej verzie kompilátora a vpraviť doňho kópie oboch trójskych koňov. Tým sadosiahne, že oba kone sa budú prenášať nielen do nasledujúcej verziekompilátora, ale i do každej ďalšej ver­zie, takže sa stanú večnými.

4.3    n-árnainfiltrácia
Infiltračný prostriedok môžepozostávať z dvoch alebo viacerých častí. Každá takáto časť sa samostatne môže javiť ako nevinnýprogram. Až v cieľovom počítači, po splnení danej podmienky, sa časti navzájompohľadajú a pospájajú do výsledného infiltračného prostriedku.

Zhotovenie čo len binárnehoinfiltračného prostriedku je obtiažnejšie než zhotovenie obyčajného infiltračnéhoprostriedku. Avšak jednotlivé časti, ak sú vhodne maskované, majú väčšiu šancuvniknúť do chráneného počítačového systému. Jednotlivo poskytujú väčšiu šancuutajiť zmysel ich existencie ako celku, pretože i pri ulovení a analýzeniektorej časti sadá zistiť lenjej dielčie poslanie.

4.4    Trpaslíci
Za posledné obdobie mohliužívatelia počítačov získať dojem, že všetky infiltračné prostriedky spôsobujúiba škodu. Nie je to pravda.

Predstavme si užívateľa,ktorý je tak usilovný, že pracuje na počítači aj v noci z 31. decembra na 1.januára a o polnoci sa mu z ničoho nič objaví na obrazovke gratulácia knovému roku. Alebo iný užívateľ dostane od počítača ráno 1. apríla dobre mienenú radu,aby si dal pozor na prvoaprílových vtipkárov.

Podobné prípady sú prejavomsoftwarových produktov, ktoré nazývame trpaslíci. Softwaroví trpaslíci, podobne akorozprávkoví, neškodia ba ani nevhodne nežartujú. Cieľom ich existencie jespríjemniť užívateľovi aspoň niektoré momenty pri práci s počítačom, poskytnúťdobrú radu alebo službu. Trpaslíci sa nerozmnožujú, treba ich do počítača nasadiť. Pokiaľ nie sú príliš vtieraví,nepotrebujeme proti nim žiadne prostriedky.

4.5    Škriatkovia
Škriatok nie je takmierumilovný ako trpaslík, ale ani tak zákerný ako vírus. Existuje preto, abysi urobil z užívateľa vtip, recesiu, aby ho trochu podpichol alebo urobilneja­kú drobnú neplechu. Iba v krajnom prípade, ak s ním užívateľ odmietavychádzať podobrom, môže mu niečo vyviesť.

Jeden škriatok sa prejavovalprostredníctvom súradnicové­ho zapisovača [Witten 87]. Z času načas sa stalo,že zapisovač nakreslil na okraj papiera malého medvedíka. Pre programátorov tobol dobrý žart, pre vedúcich už menej.

Iný, trochu drzejší škriatok[Witten 87], si pýtal od užívateľa raz za čas keksík výpisom I want a cookie.Stačilo odpovedať cookie a škriatok sa uspokojil. Ak keksíknedostal, časom pohrozil, že zožerie pár súborov. Bolo na užívateľovi, ako sazachová.

Škriatok dokáže často riadnevyľakať. Užívateľ naprí­klad zbadá, že pevný disk (jeho osobného počítača)vykonáva veľké množstvo operácií, iniciátor ktorých je neznámy. Po pársekundách obdrží správu:
„ ... práve premazávamdisk... „

Užívateľ v panike vypnepočítač a po nahraní záložnej kópie operačného systému z diskety a dlhomhľadaní zistí, že sa nič nestalo, že to bol len drsný žart.

Škriatok, podobne akotrpaslík, sa nerozmnožuje. Ani proti škriatkom v princípe nepotrebujeme žiadneprostriedky. Na príliš komunikatívneho škriatka stačí jednoduchýprogram, ktorý bude uspokojovať jeho potreby miesto užívateľa.

4.6    Bombya míny
Bomby a míny sú najstaršímiinfiltračnými prostriedkami. Bomby sú súčasne základnými prostriedkamipočítačovej krimina­lity. Časovaná (alebo logická) bomba je kus kódu, ktorýpácha­teľ vpraví do programu alebo do operačného systému, ktorý vybral ako cieľútoku. Po uplynutí nejakého času alebo splnení nejakej podmienky (napríkladvýpočet polročných odmien) spôso­bí kód bomby nejakú deštruktívnu akciu:znehodnotenie progra­mu, vymazanie dát, likvidáciu operačného systému.

Bombu používajú častojednotlivci ako prostriedok pomsty, vydierania alebo teroru voči organizácii.Softwarová bomba je útočným prostriedkom.

Mína funguje v princíperovnako ako bomba. Podobne ako ozajstná mína, aj softwarová mína slúži akoprostriedok aktív­nej ochrany skutočných alebo domnelých práv jednotlivca, sku­pinyalebo organizácie. Typickým je použitie míny na ochranu softwarového produktupred neautorizovaným použitím. Napríklad kompilátor, odovzdaný užívateľovi naodskúšanie ešte pred uzavretím dohody o predaji, môže byť zamínovaný.  Ak užívateľ prekročí dohodnutý početaktivácií alebo dohodnuté obdobie skúšobného používania, kompilátor bude mínouzničený.

Výbuch softwarovej míny nemá (narozdiel od bomby) trest­ný charakter. Mína užívateľovi zničí len ten software,na ktorý už podľa dohody nemá právo. Všetky ostatné jeho programy a dátazostávajú mínou nedotknuté. Keďže mienka kupujúceho nie je pri zamínovávaní nijakbraná do úvahy, je aj mína infil­tračným prostriedkom.

Ani bomby ani míny sanerozmnožujú, nemajú replikačný algoritmus.

4.7    Špióni
Tento druh infiltračnýchprostriedkov sa neprejavuje deštrukciou. Cieľom špióna je dostať sa v počítačik utajeným dátam alebo programom, získať ich kópiu a doručiť ju svojmu majiteľovi. Z týchto dôvodovsa prejavuje užívateľom počítača čo najmenej. Po splnení úlohy sa obvykle sámzničí. Ak ide o rozmnožujúceho sa špióna, prvý úspešný špión dáva echo svojimpríbuzným, aby sa zničili.

Ak užívateľ nepristihnešpióna v akcii, tak sa o jeho účinkovaní spravidla dozvie až nepriamo, keďzistí, že údaje, ktoré pokladal za dôverné alebo tajné (a nedostupné), niektozneužíva.

4.8    Kombinácieprostriedkov
Často sa používajúinfiltračné prostriedky aj v rôznych kombináciách. Zvláštnu kombináciuinfiltračných prostriedkov predstavuje červík. Všetky jeho časti-články súrovnaké a starajú sa o nahradenie článkov, ktorým sa nepodarilo prežiť.

Inou kombináciou je n-árnainfiltrácia. Samostatne existujúce diely infiltračného prostriedku saposkladajú dohromady až v prípade potreby. Dovtedy môžu úspešnejšie maskovaťsvoju prítomnosť a význam výsledného prostriedku ako celku.

„Asi najviac kombináciíumožňuje trójsky kôň, ktorý nemusí v sebe obsahovať niečo, čo škodí priamo. Celkom dobre tomôže byťvírus, zárodočný článok červíka, špión, bomba alebo ďalší trójsky kôň. Môže to byt hocii kus kódu, ktorý trójsky kôň vpašuje do programu na prihlasovanie užívateľovdo systému. Tento kus kódu potom fungujeako tajný kľúč (Thompson 84], [Witten 87]. Užívateľ, ktorý ho pozná, nemusívedieť žiadne heslo, a predsa sa dostane do počítačového sys­tému, ktorý jevybavený takto upraveným prihlasovacím programom.“ (1)

Kombinácie metód aprostriedkov infiltrácie poskytujú veľké bohatstvo možností. Toto treba mať napamäti predovšet­kým pri analýze infiltračných prípadov a pri návrhuantivírusových programov. Obzvlášť nebezpečné sú tandemy a tímy infiltračnýchprostriedkov, ktoré sa vzájomne strážia a pomáhajú si. Odstránením jedného znich (spravidla najnápad­nejšieho) vznikne situácia, ktorú niektorý jehopartner ohod­notí ako trestuhodnú a nejakým spôsobom sa za to pomstí. Takýmtonekvalifikovaným protiinfiltračným zásahom môže vznik­núť škoda, ku ktorej byinak vôbec nemuselo prísť.

5. Akosa chrániť?
„Jediný spôsob, ako stopercentne zabrániťnákaze, je nepoužívať počítač. Denne totiž vznikajú nové a nové vírusy, ktorýchprítomnosť v počítači ani nemusíme odhaliť, a kvôli nim si "zdravím"svojho počítača nemôžeme byť úplne istý nikdy.

Hovorí sa, že dôležitejšia ako samotnéliečenie je prevencia. Ako teda zabrániť preniknutiu vírusu do vášho počítača?
Ø     nepoužívať cudzie, neznáme diskety,
Ø     neotvárať neočakávané dokumenty vo svojeje-mailov ej schránke,
Ø     pravidelne zálohovať údaje.
Ø     záložné diskety chrániť voči zápisu,
Ø     nenechávať pri štarte počítača disketu vmechanike,
Ø     používať originálny software od autorizovanýchdistribútorov,
Ø     pokiaľ možno, obmedziť prenos údajov a programovmedzi počítačmi.

Nič a ani dodržiavanie týchto zásad vás nemusí ochrániť prednapadnutím, preto je rozumné okrem spomínaných zásad používať aj antivírovéprogramy.“  (2)

6. Čoje antivírový program?
Programy, ktoré sa zaoberajú hľadaním aodstraňovaním (liečením) sa nazývajú antivírové programy. Čo by mal dokázaťdobrý antivírový program?
Ø     nájsť vírus ukrytý v pamäti, na disku alebodiskete,
Ø     dokázať ho odstrániť, zničiť,
Ø     odstrániť (pokiaľ je to možné) aj napáchanéškody, 4. mal by byť rýchly, aby príliš nespomaľoval prácu.

„Ďalej by mal byť schopný zapnúť ochranupočítača počas činnosti, t.j. byť neustále v pamäti a strážiť počítač predrizikovými operáciami, ktoré sú pre vírusy charakteristické (zapisovanie do FAT-tabuľky,priamy prístup na disk ... ). Väčšina dokáže zálohovať aj citlivé časti disku(partition table, boot-sektor) a CMOS (BrOS).

Štandardom je používanie kontrolnýchsúčtov (CRC). Každý vírus po zapísaní (prepísaní) zmení kód programu (súboru). Metódakontrolných súčtov je založenú na sčítaní číselnej (ASCII) hodnoty znakovtvoriacich súbor. Pri zapnutí ochrany sa urobí CRC súčet pre vybrané súbory apri kontrolách sa zisťuje jeho modifikácia. Zmena CRC súčtu však nemusí vždyznamenať prítomnosť vírusu, pretože existujú programy, ktoré menia svoj kódsamé.“ (2)

Vzhľadom na to, že autori vírusov sú vždyo krok pred autormi antivírových programov (zlé jazyky tvrdia, že výrobcoviaantivírových programov rozširujú vírusy, aby užívatelia kupovali ich programy),rozšírilo sa hľadanie vírusov heuristickou analýzou.

Pri bežnom hľadaní (hovorí sa mu scanovanie)sa prezerajú súbory a porovnáva sa ich kód s kódom evidovaných vírusov. Aksa v súbore nájde časť, ktorú zodpovedá kódu vírusu, vyhlási sa za nakazený.Nevýhodou je, že scanovanie dokáže nájsť len evidované vírusy.

Okrem toho existujú aj vírusy, ktoré počasexistencie menia svoj programový kód (polymorfné). Nájsť polymorfnývírus pomocou scanovania je prakticky nemožné.

„V snahe o vyriešenie tohto problémuzakomponovali tvorcovia antivírových programov do svojich systémov heuristickúanalýzu, ktorá dokáže odhaliť aj neznáme vírusy, ktoré sa prejavujú typickýmiinštrukciami (priamy zápis na disk, modifikovanie citlivých sektorov na disku... ).

Prepracovanejšia heuristická analýzadokáže krok po kroku (inštrukciu po inštrukcii) simulovať činnosť programu a aknarazí na inštrukciu charakteristickú pre vírusy, upozorní užívateľa, že danýsúbor môže byť (ale nemusí) infikovaný. Táto je však oproti klasickémuscanovaniu oveľa pomalšia, pretože nielen porov­náva kód, ale musí simulovať ajčinnosť programu.“ (2)

Okrem polymorfných vírusov existuje ďalšiaskupina - stealth vírusy. Tieto vírusy zmanipulujú operačný systém tak,že dokážu skryť svoju prítomnosť pred antivírovým programom. Vírusy tohto typu mámešancu nájsť len v prípade, ak spúšťame antivírový program z nenakazenejsystémovej diskety.

6.1    Ako odhaliť napadnutie?
„Pokiaľ považujete pravidelné scanovanie akontrolu počítača za zbytočné, môžete rozpoznať vírus podľa neobvykléhosprávania sa vášho počítača:
Ø     pomalé vykonávanie operácií (najmä čítanie azápis na disk),
Ø     zlé reakcie na klávesnicu,
Ø     zamŕzanie,
Ø     náhodné resetovanie,
Ø     odmietanie poslušnosti a netradičné správanie saprogramov.“  (2)

Napriek tomu, že ide o najčastejšiepríznaky, netreba panikáriť, pretože na každú z týchto možností existuje aj inévysvetlenie (preťaženosť systému, chybný hard­ware ... ).

6.2    Čo robiť v prípade napadnutia?
Ak nadobudneme istotu, že náš počítač jenapadnutý, treba uvažovať o náprave. Pokiaľ v ňom máme dôležité údaje anedisponujeme zručnosťami skúseného užívateľa, je lepšie ponechať riešenie naodborníkov. Inak je potrebné:
1.     vypnúť počítač,
2.     reštartovať ho s použitím systémovej diskety (odolnejvoči zápisu), na ktorej je okrem základných súborov aj antivírový systém,
3.     spustiť antivírový program a pokúsiť sa napadnutésúbory (časti disku) vyliečiť,
4.     pokiaľ sú napadnuté súbory nevyliečiteľné, treba ichzmazať a nanovo inštalovať,
5.     nezabudnúť informovať všetkých, ktorí sa mohli u násnakaziť.

 Akje napadnutá niektorá zo systémových oblastí, je potrebné najprvskopírovať' dôležité (najmä údajové, trebárs aj nakazené) súbory na diskety,aby nám v prípade straty celého disku zostalo aspoň čosi. Ak používame niektorýz diskových nástrojov na komprimovanie (Double Space, Drive Space,Stacker atď.), treba zálohu vytvoriť v každom prípade.

 Ak sú napadnuté systémové oblasti a vírusnemožno odstrániť, netreba ho formátovať (niekedy to pomôže, no stretávame saaj s prípadmi, že vírus formátovanie "prežije"). Vtedy je potrebné zohnať si lepší antivírovýprogram alebo lepšieho odborníka.

 Mat'raz jeden antivírový program neznamená byt' zabezpečený na celý život, pretoževírusy sa neustále vyvíjajú a čo bolodobré pred mesiacom, môže byť už zajtra zastaralé. Väčšina výrobcov aktualizujesvoje programy (databáza vírusov) v priebehu trochmesiacov a pokiaľ chceme mať aspoň akú-takú istotu, že náš počítač je zdravý,snažme sa mať vždy aktuálne verzie.

Koniec vytlačenej stránky z https://referaty.centrum.sk