Počítačové vírusy a ochrana proti ním

Počítačový škodcovia

Malware (malicious software) - kompletné označenie všetkého škodlivého softvéru. V dnešnej dobe nielen vírusy, červy a trójske kone, ale aj spyware, adware, dialery a pod.

SPYWARE je program, ktorý využíva internet k odosielaniu údajov z počítača bez vedomia jeho užívateľa. Na rozdiel od tzv. Backdooru sú kradnuté iba "štatistické" údaje, ako prehľad navštívených stránok či nainštalovaných programov. táto činnosť zvykne byť odôvodňovaná snaho zistiť potreby a záujmy užívateľa a tieto informácie využiť pre cielenú reklamu. Nikto však nedokáže zaručiť, že informácie alebo táto technológia nemôže byť zneužitá. Preto je veľa užívateľov znechutená samotnou existenciou a legálnosťou spywaru. dôležitým poznatkom je, že spyware sa šíri spoločne s množstvom sharewarových programov, ktoré sa starajú o inštaláciu a rozširovanie.

ADWARE je program, ktorý znepríjemňuje perácu počítačovou reklamou. Typickýou ukážkou sú vyskakujúce (pop-up) reklamné okná počas surfovania, spoločne s vnucovaním stránok (napr. domovská stránka Internet Explorera), o ktoré nemá užívateľ záujem. Časť adwaru je sprevádzaná tzv. EULA (End User License Agreement) - licenčnou zmluvou. Užívateľ tak v mnohých prípadoch musí súhlasiť s inštaláciou. Adware môže byť súčasťou niektorých produktov (napr. KaZaa). YZa to, že nás reklama sprevádza behom celej činnosti s daným programom, odmenou je väčšie množstvo funkcií, ktoré nie sú v bezplatnej verzii (bez reklamy) dostupné.

DIALER je program, ktorý zmení spôsob prístupu na internet prostredníctvom modemu. Namiesto bežného telefónneho čísla pre internetové pripojenie presmeruje vytáčanie na čísla, kde je každá minúta vysoko spoplatnená (rádovo desiatky korún za minútu). V niektorých prípadoch sa tak stane úplne nenápadne alebo dokonca automaticky, najmä keď obeť používa zle nastavený alebo výrobcom zle zabezpečený internetový prehliadač. Dialer môže byť na počítač vypustený návštevou určitých stránok (napr. pornografických) pomocou technológie ActiveX, takže problémy môžu nastať predovšetkým užívateľom Internet Explorera. V inom prípade môže ísť o menápadný spustiteľný súbor (.exe), ktorý je nič netušiacemu užívateľovi vnucovaný k stiahnutiu klasickým dialógom.

Počítačový vírus je program, ktorý je schopný "sebamnoženia" za prítomnosti vykonateľného hostiteľa, ku ktorému je pripojený. Pri šírení hostiteľa (infikovaného súboru) sa šíri aj vírus. Kedysi prechod vírusov medzi jednotlivými počítačmi zabezpečovali diskety a CD médiá, dnes sa vírusy šíria pomocou sietí, najmä internetu. Mnoho vírusov má aj ďalšiu nepríjemnú vlastnosť: poškodzujú programy a údaje v počítači. Najjednoduchšie vírusy hneď po spustení prepíšu nejaké súbory a tým sa odhalia. Iné zostanú v pamäti počítača a čakajú na splnenie nejakej podmienky (napr. spustenie istého programu). Mimoriadne nebezpečné sú vírusy, ktoré postupne upravujú vaše dáta. Po ich odhalení neviete, ktoré údaje sú správne a ktoré pozmenené. Poslednou novinkou sú polymorfné vírusy, ktoré sa menia s každou novou kópiou. Preto sa ťažko odhaľujú. Mnohé vírusy okrem toho, že sa rozmnožujú, nerobia ďalej nič. Typickým zdrojom nákazy sú pirátske kópie programov. Nebezpečné môže byť aj sťahovanie programov z internetu. Medzi veľmi nebezpečné patrí aj nedávno rozšírený slovenský vírus One Half, ktorý pri každom zapnutí počítača zašifroval časť pevného disku. Po odstránení vírusu boli zašifrované údaje nedostupné.

Delenie údajových škodcov

Červ - šíří se mezi počítači podobně jako virus, nevkládá se ovšem do jiných programů, ale do samostatných souborů. Spuštění takových souborů je obvykle zajištěno hned při aktivaci procesů zajišťujících start počítače.
Hoax vlastně není virem. Je to jen poplašná zpráva, která však svými důsledky může být stejně nebezpečná jako virus. Funguje od řetězových dopisů štěstí, které jen zatěžují vaši schránku, až po varování na výskyt viru s výzvou ke smazání řádných součástí operačního systému.
Makrovirus - zvláštní skupina virů, která se rozvíjela spolu s kancelářskými balíky. Možnost vytváření a spouštění uživatelem definovaných instrukcí - maker byla živnou půdou pro tvůrce virů, které se šířily právě jako makra v nejrůznějších dokumentech.
Trojský kůň - na rozdíl od ostatních virů uživatel ví, že tento program spouští, ale neví o jeho skrytých funkcích. Funguje jako užitečný program, vedle toho však provádí další činnosti, o kterých uživatel nemá ani tušení. Nedokáže se sám šířit mezi počítači, takže je rozšiřován uživateli, kteří si ho mezi sebou kopírují.
Virus - nejznámější skupina kódů fungujících na počítači bez vědomí uživatele. Dokáže sám sebe klonovat a vložit do dalších programů. K aktivaci viru dojde spuštěním nakaženého programu. Ke spuštění destruktivní činnosti viru nemusí dojít při každé aktivaci; může být vázáno na určité datum, na počet startů nakaženého programu nebo jakkoli jinak.

Skutočným začiatkom existencie počítačových vírusov, tak ako ich dnes poznáme, je rok 1986, keď sa narodil Brain - prvý počítačový vírus pre osobné počítače IBM PC.

Na rozdiel od vírov nie sú trójske kone schopné seba-replikácie a infekcie súborov. Vystupujú pod spustiteľným súborom typu EXE, ktorý neobsahuje nič iné (užitočné), iba samotné "telo" trójskeho koňa. Z toho, že "trojan" nie je pripojený k súboru vyplýva, že jedinou formou dezinfekcie je zmazanie takého súboru. Staršie definície tvrdia, že trojan je program, vizuálne vyzerajúci ako užitočný, v skutočnosti však škodlivý. V dávnej minulosti sa tak niekoľkokrát objavil trójsky kôň vydávajúci sa za antivírový program McAfee VirusScan, v skutočnosti však likvidujúci súbory na pevnom disku. Jedným z posledných dodržujúcichtútoo tradíciu bol trojan Telefoon, ktorý sa vydával za komprimačný program RAR 3.0.

Pojmom červ (worm) bol prvýkrát označený tzv. Morrisov červ, ktorý v roku 1989 dokázal zahltiť veľkú časť vtedajšej siete, z ktorej sa zrodil internet. Tento a ďalšie červy (Code Red, SQL Slammer, Lovsan/Blaster, Sasser) pracujú na sieťovej úrovni. Nešíria sa vo forme infikovaných súborov, ale sieťových paketov. Menované pakety sú smerované už od úspešne infikovaného systému na ďalšie systémy v sieti internet (náhodne alebo podľa istého kľúča). Keď taký paket dorazí k systíému so špecifickou bezpečnostnou dierou, môže dojsť k jeho infekcii a následne i k produkcii ďalších "červivých" paketov. Šírenie červa je je preto postavené na zneužívaní konkrétnych bezpečnostných dier operačného systému a jeho úspešnosť od rozšírenosti daného softvéru obsahujúceho zneužiteľnú bezpečnostnú dieru. Z toho vyplýva, že červy nemožno rozpoznať klasickou formou antivírového sotvéru, ale je na ne potrebné nasadiť firewall. Vedľajším efektom môže byť kompletné zahltenie siete, podnikové LAN nevynímajúc.

Počítačové vírusy možne deliť podľa spôsobu parazitizmu:

Boot vírusy
Telo vírusu je umiestnené v systémovej oblasti disku (v boot sektore diskety alebo v MBR pevného disku). Aktivuje sa po zavedení systému z napadnutého disku (pri štarte PC). Ak je vírus aktívny, môže napadnúť každý prenosný disk, nechránený proti zápisu, s ktorý pracujeme. Z prenosného disku na pevný disk sa vírus prenesie len po zavedení systému z napadnutého disku. Napadnutý disk ale nemusí byť iba systémový.

Súborové vírusy
Súborový vírus sa pripája alebo prepisuje spustitelné súbory (*.COM, *.EXE, *.BAT), alebo súbory, ktoré obsahujú spustiteľný kód (*.BIN, *.OVL ...). Tento vírus sa aktivuje po spustení napadnutého súboru. Ak spustíme napadnutý program, najprv svoju činnosť vykoná vírus (napadne ďalšie programy, spôsobí škodu), a potom odovzdá riadenie napadnutému programu. Ak je vírus "dobre napísaný", program normálne beží a užívateľ si nič nevšimne.

Vírusy môžeme rozdeliť aj na pamäťovo rezidentné a nerezidentné.

Nerezidentný vírus spôsobí nákazu len po spustení napadnutého súboru. Nevyužíva operačnú pamäť na svoje šírenie. Bežne nakazí niekoľko súborov obyčajne v aktuálnom adresári.

Rezidentný vírus sa po spustení napadnutého súboru trvalo usadí v operačnej pamät počítača. Najčastejšie to býva v konvenčnej pamäti, pomocou prerušenia INT 12 zaistí, aby nebol prepísaný iným programom. Rezidentný vírus sa môže nachádzať v konvenčnej pamäti, v pamäti EMS a v prvých 64 kB segmente pamäti extended (tedy 0-1088 kB). Po usadení sa v pamäti, vírus sleduje činnosť užívateľa. Ak užívateľ pracuje so zdravým súborom, vírus ho napadne. Boot vírus sleduje, či do mechaniky nie je zakladaná disketa.. Ak áno, skopíruje sa do boot sektoru diskety. Rezidentný vírus môže napadnúť ľubovolne veľa súborov.

Postupne sa objavili aj vírusy, ktoré sa dokážu ukryť pred antivírusovými programami (stealth vírusy), vírusy, ktoré modifikujú sami svoj kód (polymorfné vírusy), vírusy, ktoré dokázali napadnúť aj iné ako spustiteľné súbory (makrovírusy). S príchodom nových operačných systémov, sa môžeme tešiť opäť na nové typy vírusov s "neuveriteľnými a nemožnými" schopnosťami. Tým pôjde dopredu aj vývoj antivírusových programov.

Všeobecná činnosť vykonávaná vírusmi
Vírusy vykonávajú počas svojho životného cyklu množstvo akcií (poradie býva u každého vírusu individuálne, nemusia byť použité všetky akcie)

prevzať kontrolu nad procesorom
skontrolovať aktuálny stav prostredia
nainštalovať sa do pamäte
presmerovať prerušenia
provést test na podmínku spuštění škody (datum, počet spustení...)
vykonať záškodnícku činnosť
nájsť miesto pre vytvorenie svojej kópie
skontrolovať, či vybrané miesto už kópiu neobsahuje
vložiť svoju kópiu
uskutočniť úpravy napadnutého miesta (zakódovanie)

Spôsoby prenosu vírusov medzi počítačmi.
Vírusy sa šíria v rámci jedného počítača i medzi počítačmi. Existuje niekoľko možných prenosových médií medzi počítačmi. Medzi bežné médiá môžeme zahrnúť: diskety, sieťové linky, telefónna linka, výmenné pevné disky a disky CD ROM. Medzi nie príliš časté médiá patria: sériová linka (pri prepojení počítačov), uverejnený zdrojový text vírusu a pamäte EPROM.

Postup pri napadnutí počítača vírusom.
Vypneme počítač. Zavedieme systém z čistej DOS-systémovej diskety chránenej proti zápisu. Z diskety spustíme antivírový program. Ak chceme spúšťať antivírový program z napadnutého disku, najprv ho skopírujme z diskety na pevný disk. Antivírový program spustený z pevného disku poskytuje väčšie možnosti pri liečení aj jeho práca je rýchlejšia. Ak máme nájdený súborový vírus, napadnuté súbory necháme "vyliečiť", ak máme súbory zálohované, je vhodnejšie napadnuté súbory zmazať a nainštalovať nové. Po vyliečení aj lepším antivírovým programom nie vždy súbory pracujú korektne. Ak zdroj nákazy bol boot vírus, necháme previesť obnovu boot sektorov antivírovým programom alebo príkazom SYS si vykonáme obnovu sami (SYS spúšťame z diskety). Ak ide o vírus v MBR, zálohujeme si najprv všetky systémové oblasti a skontrolujeme funkčnosť záložných kopií. Antivírové programy občas poškodia pri odstraňovaní tohto typu vírusu tabuľku partition, čím spôsobia stratu údajov. Ak dokáže náš antivirový program vírus v MBR odstrániť, alebo vie sektor obnoviť z diskety, vykonajme jeho obnovenie.

Skontrolujeme všetky diskety.
Informujeme o nákaze užívateľov, s ktorými si vymieňame diskety

Ochrana pred počítačovými vírusmi

softwarová

hardwarová

Softwarová ochrana
Softwarová ochrana je realizovaná antivírovými programami. Môžeme ich rozdeliť do dvoch skupín:

jednoúčelové (určené pre odstránenie konkrétneho typu nákazy),
komplexné antivírové systémy.

možné vyhledávat v každém spouštěném, kopírovaném, otevíraném souboru a v zaváděcích sektorech všech disket, které do počítače vkládáme. K tomu je určen rezidentní ovladač, který lze zavádět vždy po spuštění počítače. Tento ovladač se zavádí v config.sys a je tedy v paměti ještě dříve, než se načte command.com (což je obvyklá základna většiny virů). Samozřejmě nechybí možnost prohledat pamě? na přítomnost rezidentních virů.

Všeobecné antivírové techniky

1. Porovnávací test. Antivírový program si po inštalácii vytvorí databázu informácií o súboroch uložených na diskoch počítača. Potom porovnáva napríklad veľkosť spustiteľného súboru s údajom naposledy zapísaným do databázi. Pri zmeně veľkosti spustiteľného súboru antivírový program upozorní na možnosť vírusovej nákazy. Možno totiž predpokladať, že veľkosť spustiteľného súboru sa nemení. Táto metóda detekcie vírusov nevyvoláva toľko planých poplachov ako napríklad metóda heuristickej analýzy. Na druhej strane autor nového vírusu môže obísť problém databázy informácií o súboroch priamo úpravou zápisu v tejto databáze.
2. Heuristická analýza. Je spôsob podrobnej analýzy obsahov súborov na pevnom disku spojenej s vyhľadávaním rôznych podozrivých častí kódu (priame zápisy na disk, prevzatie kontroly nad operačným systémom). Heuristická analýza je všeobecne fungujuca metóda, ktorá nie je závislá na virusovej databáze. Automaticky sa pri tejto metóde vykonáva test aj na známe vírusy. Ak je niektorý súbor označený ako napadnutý, prehľadáva sa v databáze vírusov a meno vírusu je vypísané, v opačnom prípade je vírus označený ako neznámy. Ak antivírusový program obsahuje tzv. plnú heuristickú analýzu (heuristická analýza s emuláciou kódu), vtedy sa antivírový program priamo pokúša emulovať činnosť počítača pri spustení programu. Touto metóodou môže antivírový program nájsť a odhaliť úplne nový, neznámy vírus, ktorý nie je obsiahnutý v databáze antivírového programu, ktorý prehľadáva súbory metódou skenovania. Táto metóda odhaľovania vírusov môže označiť za nakazené neznámym vírusom aj tie súbory, ktoré sú v poriadku. Stačí, keď vnútorná štruktúra kódovánia bude podobná kódovániu vírusov alebo ich správaniu.
3. Skenovanie. Je metóda založená na porovnávaní reťazcov kódov vírusov obsiahntých v internej databáze antivírového programu s reťazcami v skenovaných súboroch. Ak narazí antivírový program na súbor, ktorý obsahuje kód vírusu zhodný s kódom v internej databáze, ohlási nájdenie vírusu a pomenuje ho menom priradeným kódu v databáze. Takýto spôsob ochrany je veľmi spoľahlivý, na druhej strane úroveň ochrany závisí na aktuálnosti vírovej databáze. Ak ju užívateľ nebude pravidelne a často aktualizovať, program proti novým vírusom nemá najmenšiu šancu. Väčšinu takto nájdených vírusov je možné zo súborov alebo z boot sektorov odstrániť, a to buď s použitím informácií o víruse, ktorý príslušný súbor infikoval alebo s použitím pôvodných informácií o súbore, ktoré popisujú, ako vyzeral pred infekciou. Najväčšou výhodou tejto metódy je jej rýchlosť, táto metóda sa preto používa pre pravidelné kontrolovanie pevného disku. Známe vírusy je tiež
4. Rezidentné sledovanie (Rezidentný štít). Pri štarte počítača sa do operačnej pamäte automaticky zavedie rezidentný antivir, ktorý monitoruje činnosť počítača. V prípade neobvyklých operácií (zápis do systémových oblastí diskov, modifikácie spustiteľných súborov apod.) antivírový program ihneď upozorní na túto neobvyklú činnosť a čaká na reakciu užívateľa. Táto metóda je využívaná od dobz, keď sú počítače dostatočne výkonné a majú dostatočnú operačnú pamäť, takže rezidentný antivírus systém prakticky nezaťažuje.

Antivirové programy obvykle využívajú k detekcii vírov niekoľko z uvedených metód současně, případně umožňují vybrat si z nabídky vámi požadovanou metodu antivirové ochrany. Použitím více metod tak můžete účinněji eliminovat riziko virové nákazy. Mnoho antivirových firem také nabízí možnost online prohlídku vašeho počítače na výskyt virů, obvykle bezplatně. Svůj počítač můžete podrobit online skenování, nebo můžete nechat prohlédnout podezřelé soubory a výsledek prověrky těchto souborů získáte rovněž online, případně elektronickou poštou. Hlavní rozdíl mezi online prohlídkou a instalovanými antivirovými programy tkví v tom, že online prohlídka zdarma bude provedena, jen když o ni požádáte. Online prohlídka nenabízí žádnou ochranu vašeho počítače během jeho používání. Tuto službu proto používejte především v případě, kdy chcete zjistit příčinu divného chování počítače.

Test prostředí na souborové viry spočívá v tom, že program vygeneruje na disk soubory typu .com a .exe, potom je kopíruje a provádí s nimi různé operace, přičemž vždy kontroluje jejich obsah. Pokud se při manipulaci s nimi změní jejich obsah, je velmi pravděpodobné, že se na návnadu právě chytil virus. Obdobně je program schopen vygenerovat na disketu prázdný zaváděcí sektor a poté kontrolovat, byl-li nějak změněn.

Preventivní antivirové techniky se doporučí využívat pokud možno ještě předtím, než se virus v počítači usídlí. Spočívají v zálohování některých důležitých informacích o počítači, podle nichž bude v případě potřeby možné obnovit původní stav. Pomocí programu si můžeme uložit obsah paměti CMOS, tabulku rozdělení pevného disku apod. Po napadení počítače lze tyto informace zpětně obnovit.

Jiné antivirové programy (F-PROT, SCAN) obsahují další užitečnou funkci - vkládání vlastních virových řetězců. Tato metoda se však neuplatní v případě polymorfního viru.

Hardvérová ochrana.
Okrem softvérovej ochrany pred vírusmi existuje i možnosť hardverovej ochrany. Tá sa realizuje pomocou rozširujúcej karty. Karta obsahuje pamäť ROM so špeciálnym softvérom.

Základní funkce:

bezpečnosť je zaistená pomocou niekoľkostupňového ochranného systému
prístup k počítaču je pomocou šifrovaného hesla
uživatelľov je možné rozdeliť podľa prístupových práv, ktoré si sami navrhneme
pre pevné a prenosné disky je možnosť nastaviť prístupové práva (iba čítanie resp. zápis apod.)
dlhodobé sledovanie prevádzky počítača vrátane registráce všetkých pokusov o porušenie prístupových práv
karta obsahuje bateriou zálohovanú pamäť, v ktorej sú uložené všetky prístupové práva a icť parametre
kartu je možné doplniť o nadstavbové moduly pre zálohovanie, kódovanie apod.

Automaticky je zaistená ochrana boot sektorov proti prepísaniu a formátovaniu.