Všeobecné princípy fungovania počítačových vírusov

Formálna definícia: Počítačový vírus je formálne taký program, ktorý môže infikovať ostatné programy (alebo diskety) tak, že do napadnutého programu (diskety) zapisuje svoju (možno modifikovanú) kópiu, pričom tejto kópii je ponechaná možnosť ďalšieho množenia sa.

Pri infikovaní programov (diskiet) sa vírusy môžu šíriť tranzitívne, tzn. od jedného programu k druhému. Nakazené programy alebo ich kópie sa môžu šíriť prostredníctvom diskiet, prípadne počítačovými sieťami. Vzhľadom k spôsobu výmeny programov na disketách dosahuje počet nainfikovaných programov vysoké hodnoty a môže viesť až k „epidémiám“.

Proces infikácie súborov:

1. Kód nainfikovaného programu sa zmení tak, aby vírus získal riadenie ako prvý, pred hostiteľským programom, a to buď napr. pomocou zápisu skokovej inštrukcie na miesto prvej inštrukcie hostiteľského programu (u súborov typu COM v systéme MS DOS) alebo napr. zmenou informácií v hlavičke súboru (u súborov typu EXE). Teoreticky je možné, že vírus vyhľadáva určité miesto v programe, do ktorého vloží inštrukciu skoku. Nejde však o typickú infekciu, pretože je možné, že inštrukcia je vložená nesprávne, a preto vírus riadenie vôbec nedostane.

2. Po prebratí riadenia vyhľadáva vírus nový program a zapisuje svoju kópiu do tohto nenainfikovaného programu, a to väčšinou na koniec súboru, zriedka na jeho začiatok. Pokiaľ vírus zapisuje na koniec programu, koriguje vstupný kód nového hostiteľa tak, aby sám získal riadenie ako prvý, a pôvodný vstupný kód umiestňuje v svojom tele. Existujú však aj iné prípady, kedy sa vírus zapisuje do inej časti, napr. do oblasti zásobníka.

3. Takto prebiehajúca infekcia je charakteristická pre každý vírus napádajúci súbory. Vírusy však môžu okrem množiacich sa častí obsahovať časť deštruktívnu, označovanú ako trójsky kôň alebo vyššie spomínaná časovaná bomba. U osobných počítačov, napr. v operačnom systéme MS DOS, nachádzame aj druhú kategóriu vírusov, a to tzv. bootové vírusy, t.j. vírusy, ktoré napádajú zavádzacie oblasti na vonkajších magnetických médiách: disketách a pevných diskoch. Koncepcia takéhoto vírusu vychádza zo skutočnosti, že základný vstupno - výstupný systém (BIOS) vykonáva z týchto oblastí zavádzanie operačného systému do pamäti počítača. Ak obsahuje zavádzací sektor diskety alebo disku (bootsektor) resp. rozdeľovacia tabuľka pevného disku (partition table) vykonávateľný kód, je tento kód zavedený do pamäti. Ak obsahuje táto tabuľka kód vírusu, je do pamäti zavedený vírus, ktorý zostáva v pamäti rezidentne a tento vírus potom sám zavádza operačný systém. Infekcia sa potom väčšinou šíri nie pomocou súborov, ale nainfikovanými sektormi pružných diskov.

Väčšina vírusov infikuje bootsektor, ale niektoré infikujú rozdeľovaciu tabuľku a sú extrémne nebezpečné. Pôvodnú tabuľku zachovávajú nepresne, a tak je potom možné, že sa ľahko prepíše. V takomto prípade sa dá počítať prinajmenšom so stratou údajov; často však musíme vykonať tzv. low-level alebo nízkoúrovňový formát pevného disku.

TRÓJSKE KONE

Trójskymi koňmi bývajú označované programy, ktoré okrem užitočnej funkcie obsahujú skrytú časť, ktorá sa dá aktivizovať po splnení určitej podmienky (zvyčajne ide o viazanosť na určitý dátum, napr. 1. apríl, piatok trinásteho, dátum narodenia Michelangela 6. marca, Nový rok alebo Vianoce). Táto ukrytá časť spravidla vykonáva činnosť deštrukčného charakteru (modifikácia údajov, vymazanie súborov, formátovanie disku a pod.)

Ak je bežný program nakazený vírusom, stáva sa nielen ďalším jeho rozširovateľom, ale aj potenciálnym trójskym koňom, ktorého činnosť je priamo úmerná s nebezpečnosťou vírusu.