|
|
|
Počítačové vírusy - klasifikácia počítačových infiltrácií
Počítačové infiltrácie tvoria veľkú skupinu programov prinášajúcich problémy užívateľom. Existuje síce veľa druhov infiltrácií, ale ich spoločnou vlastnosťou je to, že boli úmyselne vytvorené na škodlivú činnosť. Môžeme ich rozdeliť na 4 veľké skupiny:
1.Infiltrácie jednorázovej akcie – sú určené len na jednu akciu, zvyčajne len na jednom počítači, nemajú schopnosť vytvárať svoje kópie (replikácie), patria sem: - a)bomby (bombs) – sú programy určené k likvidácii istých údajov, súborov, programov na vybranom mieste, zvyčajne pôsobia okamžite, len zriedkavo aj dlhšiu dobu (zvyšuje sa riziko odhalenia
- skladajú sa z rozbušky (slúži k aktivácii škodlivej činnosti), generátora škody (vykonáva škodlivú činnosť) a maskovania a zničenia stôp (bomby majú prostriedky sebalikvidácie, musia dokonale zamiesť stopy) - b)škriatkovia – programy vytvorené jedným z užívateľov počítača, ich cieľom je pobaviť tvorcu a vystrašiť či prekvapiť ostatných užívateľov – napr. sa vytvorí malý pamäťovo rezidentný program, ktorý spôsobí neplechu (napr. na chvíľu zablokuje klávesnicu, napíše neslušné slovo atď.), tieto programy nespôsobujú škodu
- c)špióni – programy, ktoré majú za úlohu preniknúť do počítačového systému, získať isté informácie, odoslať ich tvorcovi špióna a potom nenápadne zmiznúť, dobrý špión nezanechá po sebe stopy
2.Infiltrácie mnohonásobného použitia, bez replikácie – sú určené len na jednu akciu, ale na väčšom počte počítačov, nevedia sa replikovať, patria sem:
a)míny – sú zamerané na poškodenie, znefunkčnenie, likvidáciu svojho nosiča, používajú sa napr. v demo verziách, ktoré sú úplne funkčné, ale len po istú dobu alebo v programoch, ktoré sú prenajímané inej organizácii, ktorá za ich použitie platí (ak sa platba oneskorí, program sa zlikviduje)
3.Infiltrácie mnohonásobného použitia, s pasívnou replikáciou – sú určené pre mnohonásobné použitie, kopírovanie týchto infiltrácií je ponechané na vedomú činnosť ľudí, patria sem: - a)chameleóny (chameleons) – programy, ktoré napodobňujú správanie sa iných programov, dôvodom pre ich vznik je spôsobiť škody užívateľovi, firme, ktorá vytvorila originálny program alebo priniesť neoprávnený úžitok tvorcovi chameleóna
- b)trójske kone (trojan horses) – programy, ktoré sa tvária ako milé, zaujímavé, užitočné, ale obsahujú procedúru pre spôsobenie škôd užívateľovi, nemajú schopnosť samostatne vyrábať svoje kópie, ale pôsobia na mozog užívateľa, ktorý si ich sám skopíruje - škoda sa nesmie prejaviť príliš skoro, lebo trójsky kôň by sa nerozšíril a nespôsobil by škodu veľkému počtu užívateľov, čo je jeho úlohou
- c)nosiče vírusov (droppers) – sú príbuzné trójskym koňom, ich úlohou je preniesť do počítača vírusy tak, aby neboli zaregistrované scannerom (sú v zakódovanom tvare)
4.Replikatívne infiltrácie – vedia vyrábať svoje kópie, preto rozsah ich šírenia je obmedzený len protiakciami ľudí, patria sem: - červy (worms) - sú momentálne najrozšírenejšie programy napadajúce počítač, rozširujú sa väčšinou prostredníctvom internetu ako príloha v emailovej správe, pričom tieto nakazené emaily automaticky generované červom pôsobia zväčša veľmi lákavo a dôveryhodne, vďaka čomu ich užívatelia spustia, čím červa aktivujú - ten môže spôsobiť istý druh deštrukcie a bez vášho vedomia vygeneruje emaily napísané pod vaším menom a rozošle na emailové adresy, ktoré nájde v počítači.
- zajace (rabbits, replicators) – programy podobné červom, divoko sa množia zvyčajne na jednom počítači a zakrátko zahltia disk, pamäť...
- počítačové vírusy (viruses)
POČÍTAČOVÉ VÍRUSY
Zvláštne programy, ktoré sú schopné vytvárať svoje kópie a aby zabezpečili svoje spustenie, pripoja sa k programom na disku, alebo sa položia na ich miesto alebo iným spôsobom oklamú užívateľa - vytvorili ich šikovní programátori s pochybnou morálkou
Existuje niekoľko možností, ako zistiť, že v našom počítači je vírus: - hlásenie scanneru – vieme, aký vírus napadol počítač a kde sa nachádza, ale občas sa stane, že sa scanner zmýli a zahlási vírus aj tam, kde nie je (falošný poplach)
- hlásenie programu o vlastnej modifikácii – väčšina antivírusových programov má v sebe zabudovaný mechanizmus samokontroly a ak je takýto program modifikovaný, oznámi nám to a začneme pátranie, o čo ide, ale niektoré vírusy sa vyhýbajú infikovaniu antivírusových programov
- hlásenie programu pre kontrolné súčty – vieme len, že nám niečo modifikuje súbory, ak je zmenených viac súborov a sú to programy, pravdepodobne ide o vírus
- hlásenie monitorovacieho programu – niečo sa pokúša formátovať pevný disk, presmerovať prerušenie atď, ale niekedy je pre laika problém rozhodnúť, či je indikovaná činnosť v poriadku alebo nie
- viditeľné prejavy vírusov – väčšina tvorcov vírusov pociťuje potrebu, aby sa nimi vytvorený vírus nejak prejavil, aby užívateľa prekvapil, vystrašil, šokoval, upozornil na seba, alebo tvorca vírusu nechá v tele vírusu svoju značku, aby sa autorstvo nepripísalo niekomu inému
- zvukový prejav – ak z ničoho nič zaznie z počítača hudba, je pravdepodobné, že ho infikoval vírus
- modifikácia obsahu obrazovky – ak začnú padať písmenká pri práci v textovom režime alebo niečo behá po obrazovke, je podozrenie na vírus
- nečakané hlásenie – mnohé vírusy na seba upozornia osobitým hlásením vypisovaným na obrazovku v situácii, kedy by sa žiadne hlásenie nemalo zjaviť
- rast veľkosti súborov – mnoho vírusov sa pripája k .EXE a .COM súborom, čím tieto súbory zväčšujú svoju veľkosť
- zmena volume label – niektoré vírusy radi modifikujú názov disku
- neočakávaný prístup na disk – ak vidíme alebo počujeme, že počítač sa pokúša o prístup na pevný disk v čase, kedy sa nemá nič také diať, môže ísť o aktivitu vírusu
- pokus o infikáciu diskety, disku CD alebo DVD
Proti vírusom sa môžeme brániť niekoľkými spôsobmi: - používaním len legálnych programov
- využitím antivírusových programov
- dostatočnou informovanosťou o problematike a následným prijatím adekvátnych opatrení
Existuje niekoľko typov antivírusových programov: - vyhľadávací program, polydetektor (scanner) – vyhľadáva jemu známe vírusy na pevnom disku alebo diskete, ale keďže sa objavujú stále nové vírusy, je potrebné ho aktualizovať
- pamäťovo rezidentný polydetektor (resident scanner) – funguje rovnako ako bežný scanner, ale je trvalo usídlený v pamäti, kontroluje všetky spúšťané a kopírované programy a ak zistí v niektorom z nich vírus, zastaví prácu s napadnutým programom
- indikátor zmien v programoch (checksummer) – vytvorí si o všetkých programoch na disku isté údaje, potom pravidelne porovnáva aktuálny stav s uloženými údajmi a ak dôjde k zmene v porovnaní s minulým stavom, je pravdepodobné, že vírus napadol počítač; tento program zaregistruje aj prítomnosť neznámych vírusov a netreba ho aktualizovať, ale vírus zaregistruje až vtedy, keď sa prejaví, teda už je v počítači
- monitor podozrivých činností – usadí sa v pamäti a kontroluje, či nedochádza k pokusom o nedovolenú činnosť, ak dôjde k takémuto pokusu, program užívateľa upozorní a pýta povolenie na vykonanie danej činnosti (je skôr určený pre profesionálnych užívateľov)
- liečiaci program (clean) – dokáže odstrániť súborové a boot vírusy, ale niekedy sa dá vírus odstrániť len za cenu vymazania napadnutého súboru
Podľa spôsobu správania sa sa vírusy delia na: - nerezidentné - môžu spôsobovať nákazu len pri spustení napadnutého programu
- rezidentné - po spustení napadnutého programu sa usadia v pamäti počítača a za istých okolností (spúšťanie programu, otvorenie súboru, prezeranie adresára) napádajú ďalšie programy - jeden vírus môže napadnúť ľubovoľný počet programov a jeho činnosť sa zvyčajne končí po vypnutí alebo resete počítača
Klasifikácia vírusov: - súborové vírusy pôsobiace priamo (file viruses – direct action: DAFV) – vírus sa vloží do vykonateľného kódu súborov, po spustení aplikačného programu spustí svoju činnosť, ale kvalitný vírus nespôsobí viditeľnú zmenu v behu programu, aby nebol odhalený
- súborové vírusy pôsobiace nepriamo (IAFV) – od DAFV sa líšia v tom, že po spustení sa stávajú pamäťovo rezidentné – správanie počítača je kontrolované vírusom
- boot vírusy (boot viruses) - sa nachádzajú na začiatku diskety alebo pevného disku - na tomto mieste je program, ktorý je automaticky vykonávaný pri zapnutí počítača, ak je na mieste tohto programu vírus, automaticky sa aktivuje po spustení počítača, lebo po zapnutí sa počítač díva najprv do disketovej jednotky, ak je tam disketa, pokúša sa spustiť program zo začiatku diskety (tzv. zavádzací program) a ak je disketa napadnutá, spustí sa vírus (preto nesmieme zabúdať diskety v disketovej jednotke), ak počítač nenájde disketu, prejde na pevný disk a púšťa program zo začiatku pevného disku
- neviditeľné vírusy (stealth viruses) – majú schopnosť skryť sa pred užívateľom, preto niektoré antivírusové programy nie sú schopné ich zaregistrovať
Z hľadiska rozšírenia môžeme vírusy rozdeliť na: - bežné (common) – vírus je pravidelne hlásený z mnohých miest sveta (niektoré sú bežné len v istom regióne)
- neškodné (endangered) – zriedkavé vírusy, nedávno izolované, na základe ich vlastností možno predpokladať, že sa nikdy nerozšíria a pravdepodobnosť nákazy je veľmi malá
- vymreté (extinct) – vírusy, ktoré boli kedysi rozšírené, ale v poslednej dobe už neboli zaregistrované, patria sem aj vírusy, ktoré v dôsledku chyby nie sú schopné sa replikovať, ale v prípade opravy chyby môžu byť úspešné
- mýtické (myth) – vírusy, o ktorých sa objavujú zmienky, diskusie, ale žiadne antivírusové centrum nevlastní aspoň jeden exemplár
- zriedkavé (rare) – vírusy zaregistrované, ale nerozšírené, v budúcnosti môžu spôsobiť problémy, ale je malá pravdepodobnosť, že taký vírus počítač napadne
- výskumné (research) – vírusy vytvorené alebo získané od autora výskumníkmi venujúcimi sa vírusom, ktoré neboli vypustené mimo laboratórií
- spomínané (rumored) – vírusy, o ktorých antivírusové centrá získali informácie, ale zatiaľ nemajú živé exempláre a je teda možné, že ani neexistujú
- neznáme (unknown) – vírusy, o ktorých sa zatiaľ antivírusovým výskumníkom nepodarilo získať z nejakých dôvodov informácie
- nové (new) – vírusy, ktoré boli výskumníkmi nedávno získané a preto neboli zatiaľ preskúmané do hĺbky a nie sú známe všetky ich vlastnosti
Vírusy môžeme rozdeliť napr. i z hľadiska úrovne maskovania a zneviditeľňovania: - reklamný prejav – niektoré vírusy sa vôbec nemaskujú, dokonca sa snažia dať najavo užívateľovi, že sú v jeho počítači, čo podstatne uľahčuje zistenie aj neznámeho vírusu
- žiadne maskovanie – vírus v napadnutom súbore nechá zmenený dátum a čas alebo atribút súboru
- jednoduché maskovanie (sub-stealth vírusy) – vírus ponechá pôvodný dátum i čas prístupu do súboru a nezmení ani atribút
- nezmenenie veľkosti súboru – zvyčajne vírus zmení veľkosť súboru, ktorý napadne, ale existujú i také, ktoré to nerobia (prepíšu časť napadnutého súboru, skryjú sa do prázdnej oblasti súboru...)
- zneviditeľnenie veľkosti súboru – niektoré rezidentné vírusy sa vedia postarať o to, aby sa zobrazovala pôvodná veľkosť súbotu
- zneviditeľnenie vírusu (stealth vírusy) – majstrovské vírusy sa postarajú i o to, že pri prezeraní napadnutého súboru nevidíme vírus, ale pôvodný obsah
Klasifikácia škôd spôsobených vírusmi: - priame (direct) – spôsobené fyzickou činnosťou vírusu
- poškodenie údajových súborov (najnepríjemnejšie) - poškodenie programov - nesprávna činnosť bežiacich programov - zahltenie siete - spomaľovanie behu počítača - teoreticky poškodenie hardwaru a iné - nepriame (undirect) – vznikajú v následnosti na priame škody
- poškodenie zákazníkov, ktorí sa nakazili od vašej firmy - priame finančné straty v dôsledku práce s chybnými údajmi - poškodenie psychiky užívateľa - poškodenie mena firmy - náklady na odstránenie vírusu a iné - nezávislé (unrelated) – spôsobené samotnou existenciou vírusov
- náklady na kúpu antivírusových programov - náklady na školenia pracovníkov - straty spôsobené behom antivírusových programov a iné
Klasifikácia rozsahu škôd: - triviálna (trivial) – na disku nájdeme vírus a antivírusovým programom ho odstránime, čo zaberie asi 3 minúty
- malá (minor) – na jej likvidáciu stačí asi 30 minút
- stredná (moderate) – spôsobená vírusom, ktorý preformátuje alebo zakóduje pevný disk, potrebujeme znovu nainštalovať všetok software a pracovné súbory, čo zaberie asi 300 minút, ale ak nemáme údaje zálohované, môže ísť o ďaleko väčšiu škodu, preto by sme mali uchovávať všetky záložné kópie
- veľká (major) – môže ju spôsobiť vírus, ktorý zapíše časť svojho kódu do náhodne vybraného sektoru na disku, ak sa poškodí údajový súbor a my si to nevšimneme, dostane sa poškodený súbor aj na naše záložné kópie, ale ak sa vrátime dostatočne dozadu, môžeme nájsť zdravú záložnú kópiu – rozsah takejto škody je odhadnutý na 3000 minút práce
- krutá (severe) – spôsobená vírusom, ktorý mierne modifikuje údajové súbory, väčšina alebo všetky záložné kópie sú tiež napadnuté a táto škoda môže byť neohraničene veľká
Zaujímavosti zo sveta vírusov:
najnebezpečnejšie vírusy: Nomenklatura (častý, kruté škody) Dark Avenger 1800 (bežný, veľké škody) Dark Avenger 2100 (bežný, veľké škody) Yankee Doodle-44.Login (občasný, kruté škody) Stardot-600 (občasný, veľké škody) Michelangelo (bežný, stredné škody) atď. najväčší vírus: Joker 2 s veľkosťou 29 233 bytov (1991) najaktívnejší tvorcovia vírusov: Mark Washburn z USA Ralph Burger (uverejnil zdrojový kód vírusu) najväčšia škoda: spôsobil ju Veľký internetovský červ, ktorý infikoval vyše 6000 uzlov siete Internet (škody dosiahli skoro 100 miliónov dolárov) prvý vírus: asi Brain (1986, Pakistan)
|
|