Počítačové vírusy a ochrana proti nim

Počítačový vírus je zvláštny program, ktorý je schopný vytvárať svoje kópie. Aby zabezpečil svoje spustenie, pripája sa k súborom na disku, ukladá sa do systémových oblastí a pod. Počítačové víry tvoria dve veľké skupiny: boot víry a súborové víry. Existujú i vírusy kombinované alebo iného typu (např. adresárové).

Boot vírusy

Télo vírusu je umiestnené v boot sektore diskety alebo v MBR pevného disku. Aktivuje sa po zavedení systému z napadnutého disku. Ak je vírus aktívny, môže napadnúť každú disketu, nechránenú proti zápisu, s ktorou pracujeme. Z diskety na pevný disk sa vírus prenesie len po zavedení systému z napadnutej diskety. Napadnutá disketa nemusí byť len systémová.

Súborové vírusy

Súborový vírus sa pripája alebo prepisuje spustiteľné súbory (.COM, .EXE), alebo súbory, ktoré obsahujú spustiteľný kód (.BIN, .OVL ai.). Tento vírus sa aktivuje po spustení napadnutého súboru. Zvláštnu skupinu súborových vírusov tvoria vírusy, ktoré okrem súborov napádajú i MBR pevného disku, nie však boot sektor diskiet. Taký vírus sa aktivuje okrem spustenia napadnutého súboru i po zavedení systému z napadnutého pevného disku. Vírusy môžeme ďalej deliť na: pamäťovo rezidentné (po aktivácii sú trvale umiestnené v pamäti) a nerezidentné. Nerezidentný vírus spôsobí nákazu len po spustení napadnutého súboru. Bežne nakazia niekoľko súborov, obvykle v aktuálnom adresári. Rezidentný vírus sa po spustení napadnutého súboru umiestni v operačnej pamäti. Najčastejšie to býva v konvenčnej pamäti, pomocou prerušenia INT 12 zaistí, aby nebol prepísaný iným programom. Rezidentný vírus sa môže nachádzať v konvenčnej pamäti, v pamäti EMS a v prvom 64 kB segmentu pamäti extended (tedy 0-1088 kB). Rezidentný vírus môže napadnúť ľubovoľne veľký počet súborov.

Všeobecná činnosť vykonávaná vírusmi

Vírusy vykonávajú behom svojho životného cyklu množstvo akcií (poradie býva u každého vírsuu individuálne, nemusia byť použité všetky akcie): prevziať kontrolu nad procesorom, skontrolovať aktuálny stav prostredia, nainštalovať sa do pamäti, presmerovať prerušenie, preoviesť test na podmienku spustenia škody (dátum, počet spustení...), vykonať škodlivú činnosť, nájsť miesto pre vytvorenie svojej kópie, skontrolovať, či miesto neobsahuje kópiu, vložiť svoju kópiu, uskutočniť úpravy napadnutého miesta (zakódovanie).

Spôsoby prenosu vírusov medzi počítačmi

Vírusy sa šíria v rámci jedného počítača i medzi počítačmi. Existuje niekoľko možných prenosových médií medzi počítačmi:Bežné médiá, diskety, sieťové linky (pri zapojení v sieti), telefónns linka (pri použití modemu), výmenné pevné disky, disky CD ROM (nie príliš časté médiá), sériová linka (pri prepojení počítačov), uverejnený zdrojový text vírusov pamäti EPROM.

Postup pri napadnutí počítača vírusom

Vypneme počítač. Zavedieme systém z čistej DOS diskety chránenej proti zápisu. Z diskety spustíme antivírový program. Ak chceme spúšťať antivírový program z napadnutého disku, najprv ho skopírujeme z diskety na pevný disk.

Antivírový program spustený z pevného disku poskytuje väčšie možnosti pri liečení, jeho práca je rýchlejšia. Ak sa jedná o súborový vírus, napadnuté súbory necháme "vyliečiť", ak máme súory zálohované, je vhodnešie napadnuté soubory zmazať a nainštalovať nové. Po vyliečení, hoci aj lepším antivírovým programom, nie vždy súbory pracujú korektne. Ak ide o boot vírus, necháme previesť obnovu boot sektorov antivírovým programom, alebo príkazom SYS si prevedieme obnovu sami (SYS spustíme z diskety). Ak sa jedná o vírus v MBR, zálohujeme si najprv všetky systémové oblasti a skontrolujeme funkčnosť záložných kópií. Antivírové programy občas poškodia pri odstraňování tohto vírusu tabuľku partition, čím spôsobia stratu dát. Ak dokáže náš antivírový program vírus v MBR odstrániť, alebo vie sektor obnoviť z diskety, prevedieme jeho obnovenie.

Skontrolujeme všetky diskety. Informujeme o nákaze užívateľov, s ktorými si vymieňame diskety.

Ochrana pred počítačovými vírusmi - softwarová a hardwarová

Softwarová ochrana

Softwarová ochrana je realizovaná antivírovými programami. Služby, ktoré antivírové programy poskytujú, možno rozdeliť do troch skupín: konkrétne antivírové techniky, všeobecné antivírové techniky, preventívna ochrana. Konkrétne antivírové techniky vyhľadávajú len známe vírusy podľa vírovej databázy, ktorú je nutné aktualizovať. Väčšinu takto nájdených vírusov je možné zo súborov alebo z boot sektorov tiež odstrániť, a to buď s použitím informácií o víruse, ktorý príslušný súbor infikoval, alebo s použitím pôvodných informácií o súbore, ktoré popisujú, ako vyzeral pred infekciou. Najväčšou výhodou tejto metódy je jej rýchlosť, táto metóda sa teda používa na pravidelné kontrolovanie pevného disku. Známe vírusy je taktiež možné vyhľadávať v každom spúšťanom, kopírovanom, otváranom súbore a v zavádzacích sektoroch všetkých diskiet, ktoré do počítača vkladáme. K tomu je určený rezidentný ovládač, ktorý možno zavádzať vždy po spustení počítača. Tento ovládač sa zavádza v config.sys a je teda v pamäti ešte skôr, než sa načíta command.com (čo je obvyklá základňa väčšiny vírusov). Samozrejme, nechýba možnosť prehľadať pamäť na prítomnosť rezidentných vírusov. Všeobecné antivírové techniky sa snažia nájsť a ak je to možné i odstrániť neznámy vírus. Prvou metódou, ako nájsť neznámy vírus, je tzv. porovnávací test. Pri prvom spustení tohto testu si program zapíše dôležité informácie o súboroch (veľkosť, dátum, čas, atribúty a kontrolné súčty).

Pri ďalších spusteniach porovnáva tieto informácie s aktuálnym stavem. Pokiaľ týchto údajoch došlo k zmene väčšieho rozsahu, je pravdepodobné, že počítač bol napadnutý vírusom. Antivírový program AVG obsahuje i heuristickú analýzu. Heuristická analýza podrobne analyzuje obsah súborov na pevnom disku a vyhľadáva v ňom rôzne podozrivé konštrukcie (priame zápisy na disk, prevzatie kontroly nad operačným systémom a pod.). Heuristická analýza je všeobecne fungujúca metóda, nie je teda závislá od vírusovej databázy. Automaticky sa pri tejto metóde prevádza test i na známe vírusy. Pokiaľ je teda súbor označený za napadnutý, prehľadáva sa v databáze vírusov a meno vírusu je vypísané, v opačnom prípade je vírus označený ako neznámy. Program obsahuje tzv. plnú heuristickú analýzu (heuristická analýza s emuláciou kódu), kedy sa antivírový program priamo pokúša emulovať činnosť počítača pri spustení programu.

Nevýhoda metódy je v tom, že často dochádza k falošným poplachom, kedy niektoré súbory sú označované ako napadnuté. Avšak vzhľadom k zvyšovaniu počtu stále zložitejších vírusov bude v budúcnosti táto metóda najčastejšie používaná. Test prostredia na súborové vírusy spočíva v tom, že program vygeneruje na disk súbory typu .com a .exe, potom ich kopíruje a prevádza s nimi rôzne operácie, pričom vždy kontroluje ich obsah. Pokiaľ sa pri manipulácii s nimi zmení ich obsah, je veľmi pravdepodobné, že sa na návnadu práve chytil vírus. Obdobne je program schopný vygenerovať na disketu prázdny zavádzací sektor, a potom kontrolovať, či bol nejako zmenený. Preventívne antivírové techniky sa odporúča využívať pokiaľ možno eštw predtým, než sa vírus v počítači usídli. Spočívajú v zálohovaní niektorých dôležitých informácií o počítači, podľa ktorých bude v prípade potreby možné obnoviť pôvodný stav. Pomocou programu si môžme uložiť obsah pamäti CMOS, tabuľku rozdelenia pevného disku apod. Po napadnutí počítača možno tieto informácie spätne obnoviť.