Ako sa správa vírus

Počítačové vírusy zvyčajne škodia v dvoch fázach svojej činnosti. Ide o obdobie latencie, kedy sa vírus neprejavuje alebo sa množí, a o obdobie akcie, kedy spúšťa časovanú bombu. Toto rozlíšenie nie je striktné. Veľa vírusov sa už od začiatku aj rozmnožuje, aj podniká svoju akciu (napr. C648, Dark Avenger). Akcia nemusí byť vždy deštruktívna - napr. jeden z najrozšírenejších vírusov CR1701 pôsobí tak, že z obrazovky začínajú padať písmenká, Yankee Doodle zahrá o 17. hodine melódiu.

Väčšina vírusov však v období akcie vykonáva činnosť veľmi nepríjemnú. Na PC môže dôjsť k deštrukcii FAT, zmazaniu súborov, označovaniu dobrých sektorov za chybné, modifikácii používateľských údajov , prepísaní bootsektoru a Master Boot Record, formátovaniu disku, či dokonca k zničeniu hardvéru. Napríklad ide o vysielanie signálu LF (posun o riadok) na tlačiareň. To je príčina krčenia a trhania papiera a možného odlomenia ihličky, rozkmitanie hlavičiek pevného disku, a dokonca ničenie grafickej karty vysielaním chybných signálov. Aj obdobie latencie sa môže prejavovať rôzne. Niektoré vírusy (napr. Dark Avanger, C648) sú nebezpečné hneď od začiatku a infikujú takmer všetko, čo im príde do cesty. Toto obdobie môže trvať rôzne dlho a obdobie akcie je potom viazané na istú situáciu - splnenie istej podmienky.

INFIKOVANIE A MNOŽENIE

Vírusy sa zvyčajne rozmnožujú tak, že infikujú program prepisom jeho začiatku na skok na vlastné telo vírusu, ktoré sa potom zapisuje na koniec hostiteľského programu. Toto tvrdenie platí pre takmer 80% známych vírusov poškodzujúcich súbory. Niektoré vírusy prepisujú úplne kód hostiteľského súboru a likvidujú jeho pôvodnú funkciu (napr. vírus 405), prípadne prepisujú svojím telom začiatok programu a kód hostiteľa zapisujú na koniec, alebo sa umiestňujú do zásobníka.

U bootových vírusov je situácia iná. Tieto vírusy väčšinou prepisujú bootsektor a jeho originálnu časť zapisujú do sektoru, ktorý spravidla označia za chybný, existujú však aj iné možnosti uchovania originálneho boot-sektoru, a to napríklad na nevyužívanú štyridsiatu stopu.

Pri infikácii súboru vírus zvyčajne do nakazeného programu alebo do záznamu v adresári umiestňuje svoj identifikátor, ktorým si „zapamätáva“ infikovanie súboru, a to preto, aby sa vyhol prípadnému nakazeniu tohto súboru druhýkrát (napr. C648 mení čas modifikácie na 62. sekundu, Yankee Doodle zapisuje identifikáciu priamo do súboru). Skutočnosť, že program obsahuje identifikátor vírusu, nezabezpečuje ochranu proti iným vírusom.

KDE HĽADAŤ VÍRUS

Prostredie, v ktorom vírusy môžu trvalo existovať a vykonávať svoju činnosť, je samozrejme obmedzené na tieto oblasti a typy súborov:

- Master Boot Record - oblasť na disku, v ktorej je umiestnená rozdeľovacia tabuľka (partition table)
- boot-sektor disku, resp. diskety
- ovladač zariadenia ( driver)
- súbory typu COM
- súbory typu EXE
- prekryvné časti segmentovaných programov (súbory OVL)
- súbory typu BAT
- zdrojové texty programov (ak sú skompilované)

Tieto miesta je potrebné systematicky kontrolovať. Svoje telo však môžu vírusy schovávať aj mimo týchto oblastí - záleží na nápaditosti autora. Zatiaľ sa dajú vytipovať tieto oblasti:

- oblasť zásobníka systémového programu (C346 Lehigh)
- začiatok, koniec alebo stred iného programu - voľné bloky v systémových tabuľkách, ako je napr. FAT

- sektory označené ako chybné
- zvláštny súbor s atribútom HIDDEN (skrytý)

KLASIFIKÁCIA POČÍTAČOVÝCH VÍRUSOV

Koncepcia klasifikácie počítačových vírusov nie je zatiaľ ešte stále ujasnená. Zrejmé však je , že označovanie vírusu menom (aj keď sa vzťahuje ku konkrétnemu prejavu daného vírusu - napr. Letterfall, t.j. padanie písmen) môže byť síce pochopiteľné pre expertov, nič však nepovie normálnemu používateľovi počítača. Veľmi prehľadným spôsobom klasifikácie je tabuľka, ktorú navrhol J. McAffee vo svojich dokumentačných súboroch k antivírusovým programom SCAN a CLEAN. Obsahuje ju dokument VIRLIST.TXT.