1. Ako vzniká a funguje vírus?
Prvé vírusy bolinapísané skôr pre zábavu, keď hlavným cieľom bolo pobaviť sa na bezradnostiužívateľa, ktorému popadali písmenká do dolnej časti obrazovky alebo mu prácukaždé dve minúty „spríjemňovala“ snaha lietajúceho taniera o nadviazaniekontaktu. Tieto vírusy boli relatívne neškodné a ich hlavným cieľom bolospomaľovanie práce a frontálny útok na nervy užívateľa. Postupom času všakzačali vírusy nielen napádať a baviť, ale aj napádať a ničiť.
„Vírus nevznikne samočinne (aj keď užexistujú programy na ich generovanie), ale má autora, ktorý veľmi dobre pozná počítač,jeho správanie, slabiny a ovláda programovanie (alebo aspoň časť). Zvyčajne mázáškodnícke sklony, je škodoradostný, alebo mu ide o potrebu dokázať sám sebe,že je lepší ako tí, ktorým vírus spôsobí problémy. V čase studenej vojny údajnevírusy vytvárali aj znepriatelené strany a snažili sa pomocou nich znefunkčniťjadrové zbrane protivníka. Ten nainfikuje počítač, disketu, sieť a už toide.“ (4)
Vírusy bývajú najčastejšie uložené vsúboroch (môžu to byť programy alebo dokumenty Wordu, Excelu a pod.)alebo boot-sektore. V takýchto prípadoch sa vírus aktivuje po spustení súborualebo počítača.
Časť vírusov ihneď napáda všetko, čo môže,časť sa len uhniezdi v pamäti a čaká (rezidentné vírusy). Stráži si spúšťaniesúborov a kopírovanie na disketu. Ak vložíme disketu a kopírujeme na ňu údaje,"pribalí" sa k nim ako "darček zdarma". Ak spustíte súbor,vírus ho prezrie a ak nie je infikovaný, nakazí ho.
Vírusy napadajú spustiteľné súbory dvomaspôsobmi:
1. "nalepia" sa na ne (pridajú sa za koniecsúboru pričom na jeho začiatok vložia inštrukciu skoku na koniec. Vtedy sa pospustení súboru vykoná skok (vírus sa aktivuje) a riadenie sa vráti programu.),
2. prepíšu ich (vírus surovo prepíše kód programu nazačiatku a vloží tam svoje inštrukcie).
Pre prvý spôsob napadnutia je možné súbortakmer vždy "opraviť", pri druhom len zriedka.
Vírusy pracujúce v boot-sektore súzaložené na tom, že tento sektor slúži na zavedenie operačného systému, a pretosa vždy po spustení počítača musia čítať inštrukcie, ktoré sú v ňom uložené. Ponaštartovaní sa namiesto odkazu na operačný systém, vykonajú inštrukcievkladajúce vírus do pamäte a len od záškodníka záleží, či dovolí spusteniesystému.
Vírusy šíriace sa v dokumentoch sanazývajú makrovírusy. Sú to makrá napísané v programovacom jazyku napr. Wordualebo Excelu. Pre svoju činnosť a rozmnožovanie využívajúvlastnosť, ktorá dovoľuje spustiť vybrané makro pri otváraní súboru. Najprv savykoná makro (jeho činnosť nemusíme vôbec postrehnúť) a až potom sa súborotvorí. Makrovírusy sa momentálne najlepšie šíria po Internete, keď' autorrozošle (náhodne alebo cielene) textový dokument s príťažlivým názvom apríjemca si ho otvorí. Naplánovaná činnosť sa vykoná, vírus buď hneď vykoná"svoje", alebo počká na príhodnú dobu.
2. Vírusy z hľadiska bezpečnosti
Z hľadiskabezpečnosti by sme mohli vírusy rozdeliť do štyroch skupín:
1. napádajú a ničia len spustiteľné (systémové)súbory,
2. sú schopné zničiť údaje (napr. databázy, textovésúbory) na disku jeho zablokovaním, prekódovaním alebo naformátovaním,
3. modifikujú údaje bez iných vedľajších príznakov,
4. ničia hardware počítača.
2.1 Vírusynapádajúce programy
Vírusy, ktorépatria do tejto skupiny, sú relatívne neškodné, pretože jediná zákernosť,ktorej sú schopné, je prepísanie používaného programu.
Hoci nám taktopostihnutý súbor obmedzuje prácu pri počítači, väčšinou však postačí, ak súborjednoducho vymažeme a a program nainštalujeme nanovo.
2.2 Vírusyničiace údaje
Skutočnoupohromou sú až vírusy, ktoré ničia údaje. Spôsobov delenia je veľa, možno ichrozdeliť napr. na:
Ø vírusy napádajúce a modifikujúce FAT tabuľku(miesto, kde sú uložené informácie o pozícii súborov na disku),
Ø vírusy meniace tabuľku partícií (údaje o rozdelení fyzického disku nalogické),
Ø vírusy, ktoré prekódujú obsah disku a po ichodstránení zakódované údaje nemožno prečítať.
Ø vírusy, ktoré formátujú disk, alebo zablokujú knemu prístup (môže ísť o vírusy z dvoch predchádzajúcich kategórií)
Ak sa v takomto prípade liečenieantivírovým programom nepodarí, prichádzame o uložené údaje. Pokiaľ sme opatrnía máme aspoň aké-také zálohy, katastrofa nie je hrozivá. Ak však prídeme ojedinečné údaje, ktorých kópie neexistujú, výsledok vybúrenia sa vírusu jenepríjemný. Ešte horšie je, ak vírus nenapadne len jeden počítač, ale celúsieť. Problémy sú nepríjemné aj v malých firmách a v prípade štátnych alebonadnárodných organizáciách môže dojsť k miliardovým škodám (ako v bankovej sietiJužnej Ameriky pred niekoľkými rokmi a v Južnej Kórei v roku 1999).
2.3 Vírusy modifikujúce údaje
„Najhoršou a najzákernejšou kategóriou súvírusy, ktoré si "sedia" v počítači a občas, kde-tu, zmenia údaj.Niektoré pracujú podľa konkrétneho algoritmu (je ešte šanca vrátiť modifikovanéúdaje nazad), no existujú aj také, kde nie je možné zistiť, ktoré súbory bolinapadnuté, a ktoré údaje sa modifikovali. Je nepríjemné, že si nemôžeme byťistí ani tým, či zálohy sú správne alebo údaje v nich boli tiež modifikované.Pre najbežnejšieho užívateľa (občas prídem a niečo si napíšem) nie je tátokategória zaujímavou. Horšie je to v systémoch, kde údaje hrajú hlavnú úlohu(bankovníctvo - určite by sme sa potešili, keby vám vírus prepísal všetkydeviatky na nuly, rôzne merania, sklady, navigácia, atď.).“ (4)
2.4 Vírusy ničiace hardware počítača
Do tejto kategórie patria vírusy, ktorédostali priestor vďaka starostlivosti o užívateľa. Niekoľko rokov dozadu bolopri skladaní počítačov nutné nastaviť frekvenciu, napätie procesora a mnohoďalších vlastností manuálne - prepojením na doske. Dnes sa (takmer) všetkyzmeny urobia automaticky a zapíšu sa (nejakým spôsobom - závisí od súčiastky)do pamäte príslušného zariadenia. Pre súdneho tvorcu vírusu z toho vyplýva, ženastavenia a vlastnosti hardware je možné prepísať (alebo vymazať).
V tomto duchu bolo vytvorených niekoľkovírusov, ktoré modifikujú BIOS dosky a vymažú napr. štartovací kód. Nech robímečokoľvek, dosku viac (bežným spôsobom) neoživíme. Nie sme schopní údajeprepísať nazad, pretože počítač s takouto doskou nenaštartujete a beznaštartovania údaje neprepíšeme. Môžeme ju zahodiť.
Vírusy (údajne) dokážu zničiť počítač ajďalším spôsobom: vysielaním signálov na zariadenia (tlačiareň, disk, monitor)tak rýchlo po sebe, že tie sa v snahe o spracovanie prehrejú a zničia.
3. Funkcie vírusov
3.1 Rozmnožovanie
Na pochopenie fungovaniavírusu si treba predstaviť, že jeden z programov, ktorý sa dostal do počítačaje nakazený vírusom. Takýto program obsahuje okrem svojich pôvodných častí eštekód a dáta vírusu telo programu a býva vírusom upravený tak, že sa pri jehoaktivácii začne vykonávať najprv kód vírusu. Záleží potom už od vírusu, či akedy dostane pôvodný program riadenie. Ak sa vírus v práve aktivovanom nakazenomprograme rozhodne ďalej rozmnožovať, postupuje obvykle nasledovne:
Nájde v počítači súborobsahujúci program istého typu a vloží do tohto programu kópiu seba samého.
Nakoniec vírus modifikujeprogram tak, aby po jeho odštartovaní získala riadenie najprv do neho vloženákópia vírusu. Modifikované časti programu vírus zvykne odložiť do novovytvorenejkópie, aby sa dali v prípade potreby rekonštruovať.
„Novonakazený program sastáva ďalším zdrojom nákazy. Šírenie vírusu závisí hlavne na tom, kedy sa mupodarí nakaziť nejaký často používaný program. Od tohto momentu sa vírus šíriveľmi rýchlo - desiatky nakazených programov za hodinu nebývajú prekvapením.Podobne neprekvapí, ak sa pri čulej výmene programov nakazia za niekoľko dní vjednej organizácii desiatky počítačov.“ (1)
3.2 Škodenie
Škody, ktoré vírusy spôsobujú,bývajú rozličné: poškodenie (ochorenie) alebo znehodnotenie (umŕtvenie)nakazeného programu, vymazanie jedného alebo viacerých súborov, zavedenie chýbdo dátových súborov, preformátovanie disku, zničenie nejakej časti hardwarupočítača.
3.3 Maskovanie
Počet kópií, ktoré dokáževírus vytvoriť a rozsah škôd, ktoré dokáže spáchať, závisia od toho, ako dlhomôže nerušene pôsobiť. Aby bola táto doba čo najdlhšia, vírusy bývajú do istejmiery schopné maskovať svoju prítomnosť a dôsledky svojej činnostiv počítači. Nie je výnimkou, že vírus:
- testuje disketu na ochranuproti zápisu, takže nevyvolá chybovú správu o porušení ochrany,
- čo najmenej predlžujenakazené súbory (programy),
- obnoví údaje o pôvodnomčase a dátume aktualizácie súboru, ktorý sa mu práve podarilo nakaziť,
- míňa čo najmenejprocesorového času,
- vyvoláva čo najmenejdiskových operácií,
- falšuje údaje, ktoré by homohli prezradiť,
skrátka býva implementovanýtak, aby ho nepoučený a nevybavený užívateľ zbadal čo najneskôr.
Niektoré vírusy sú schopné autoeliminácie. Takýto vírus dokážeodstrániť sám seba z programu a program uviesť do pôvodného stavu. Navonok saautoeliminačná schopnosť prejavuje spontánnym uzdravovaním nakazenýchprogramov. Slúži na zamaskovanie trasy šírenia sa vírusu, čím sa užívateľovisťažuje predovšetkým hľadanie prvotného zdroja infekcie v jeho počítači.
Ak vírus nezisťuje, či jedaný súbor ním už nakazený, opakovane nakazí už predtým (i viackrát) nakazenéprogramy. Na druhej strane, hľadanie výskytu svojej kópie v súboroch je časovodosť náročné. V oboch prípadoch sa vírus prezrádza predĺžením doby odštartovanianakazeného programu, v prvom prípade aj sústavným nárastom dĺžky súborov, čo siužívateľ môže všimnúť a prichytiť vírus dosť zavčasu už pri jeho šírení.
Aby tomu vírusy predišli,zanechávajú v súboroch údaj s významom súborje postihnutý. Kontrolou na prítomnosť takéhoto údaju, ktorý sa zvyknenazývať podpis (sign) vírusu, si vírusy výrazne skrátia dobu hľadanianepostihnutých súborov, čím maskujú svoju rozmnožovaciu aktivitu. Podpisom môže byťkonkrétny údaj na istej adrese, ako to robí vírus Brain, alebo istýreťazec, čoho príkladom je vírus Israeli. Ak sú cieľom nákazy súbory, podpis môžebyť umiestnený aj v katalógu súborov - takto to robí napríklad vírus PC boot. Používanie podpisu má ajnedostatky: ak podpis raz objavíme, uľahčuje hľadanie vírusov a umožňuje námbrániť sa vírusom.
3.4 Prežitie
Niektoré vírusy sú odolnévoči istým pre ne nepriaznivým okolnostiam. Existujú vírusy schopné prežiť voperačnej pamäti teplý štart operačného systému MS/PC-DOS, alebo ustrážiť nakazený boot-sektor na diskete.Takéto vírusy sa vedia ubrániť aj cieleným pokusom o ich odstránenie. Prežitiu vírusovpomáha, ak sú implementované ako odolné voči analýze. Dáta a kód niektorýchvírusov (napr. CharsFall) súzašifrované a odšifrovávajú sa na začiatku aktivácie. Iné vírusy detekujúprítomnosť ladiacich prostriedkov, čo pre nich býva podnetom k autoeliminácii.Týmto nám sťažujú analýzu, a pokiaľ nevieme ako fungujú, nemôžeme sa proti nimúčinne brániť.
Podmienky
Aktivovaný vírus sarozhoduje, čo urobí: či sa rozmnoží, či uškodí, či poskytne falošné údaje, čisa eliminuje a podobne. Podmienkami, na základe ktorých sa vírus rozhodne,bývajú:
- dosiahnutie daného dátumualebo času,
- vypršanie časového limitu,
- náhodný údaj,
- absolvovanie daného počtuaktivácií,
- vytvorenie istého počtupotomkov,
- detekovanie možnosti jehoodhalenia,
- detekovanie pokusu o jehoanalýzu,
- detekovanie pokusu o jeholikvidáciu, apod.
3.5 Umiestnenie
Vírusy umiestňujú svoje kópie(kódu aj dát) na rôzne miesta programu. V najjednoduchšom prípade pripojí vírussvoju kópiu za kód a dáta programu, avšak vtedy sa dá detekovať podľa zväčšeniadĺžky programu. Rafinovanejšie zostrojené vírusy umiestňujú svoje kópie dozásobníkovej pamäti programu, do neinicializovanej oblasti dátovej pamäteprogramu alebo do blokov na disku, ktoré označia za chybné. Iná možnosť spočívav tom, že vírus parazituje priamo na jadre operačného systému, napríklad narutine ošetrujúcej niektoré prerušenie, alebo v zavádzacom bloku (boot-block).Riadenie získa pri výskyte daného prerušenia alebo pri zavádzaní operačnéhosystému. Jeho možnosti rozmnožovať sa aj škodiť sú väčšie, lebo sa stávasúčasťou operačného systému.
Ak uvážime, čo všetko musívírus dokázať urobiť a že má mat čo najmenší rozsah, je zrejmé, že zhotovenievírusu je náročná programátorská činnosť.
Stavy programu z hľadiska nákazy a ich charakteristiky:
nepostihnutý - program neobsahuje vírus, a nie je voči nemu odolný,
nakazený - program obsahuje vírus a je plne použiteľný,
chorý - program obsahuje vírus, ktorý už škodí, pričom program jeaspoň čiastočne použiteľný,
mŕtvy - program je vplyvom činnosti vírus a nepoužiteľný, môžeale nemusí vírus obsahovať
Program, ktorý je nakazený,chorý alebo mŕtvy, nazývame postihnutý. Vírus v ňom usadený sa môže, alenemusí rozmnožovať.
„Pri niektorých vírusochnemusia existovať niektoré z uvedených stavov programu. Napríklad programnapadnutý vírusom PCboot nepozná stav chorý, avšak pozná prechodzo stavu nepostihnutý priamo do stavu mŕtvy.
Podobne ako rozlišujemeprogramy podľa nákazy, môžeme hovoriť aj o celom operačnom systéme alebo opočítači ako o nepostihnutom, nakazenom, chorom alebo mŕtvom:
nepostihnutý - neobsahuje anijeden postihnutý program,
nakazený - obsahuje aspoňjeden nakazený program,
chorý - obsahuje aspoň jedenchorý alebo mŕtvy program,
mŕtvy - obsahuje toľko atakých mŕtvych programov, že sa stal nepoužiteľný; “ (1)
V čase od preneseniapostihnutého programu na nepostihnutý počítač až do ochorenia alebo umŕtveniapočítača plynie inkubačná doba. Vírus sa rozmnožuje, ale neškodí. Užívateľ, aknie je vybavený príslušnými vedomosťami a prostriedkami, nemá ako zistiť, že vjeho počítači pôsobí vírus. Pokiaľ sa vírus neprejavuje nejakými výpismi aleboobrázkami, dozvie sa o ňom až na základe ním spôsobených škôd. Vtedy je užpočítač zamorený (mnohými) kópiami vírusu, časť dát a programov môže byťnenávratne stratená, a nevie sa, koľko ďalších počítačov pomohol užívateľnakaziť tým, že poskytol kópie postihnutých programov užívateľom inýchpočítačov. Práve pre schopnosť rozmnožovania sa vírusy javia užívateľom akonajrozšírenejšie infiltračné prostriedky.
Dosiaľ známe vírusy súviazané na konkrétny typ počítača a operačného systému, takže vírusimplementovaný napríklad pod PC/MS-DOS pre IBM PC nefunguje pod OS-2 alebo podUNIX-om, ani na inom hardware.
Vírusy sa šíria hlavneprostredníctvom podsystému súborov (file system) operačnéhosystému. Rozmnožovaniu vírusov napomáhapredovšetkým voľná výmena programov medzi užívateľmi.