Charakteristiky počítačových vírusov
Charakteristiky počítačových vírusov
Túto tému som si vybral kvôli stále rastúcemu záujmu ohľadom
počítačových vírusov, antivírusov a ich používaní. Počas písania práce ale aj predtým som stretol veľa ľudí, ktorí mi povedali,
že nemajú žiadny antivírusový program alebo ho pravidelne neobnovujú (nesťahujú z internetu nové vírové databázy). Nakazenie ich
počítača vírusom je teda veľmi pravdepodobné. Mnohí z nich ani určite nevedia ako sa taký vírus chová, čo spôsobuje, čo môže
poškodiť. Veľa ľudí ani nevie ako sa vírusy rozdeľujú a čo ktorý z nich spôsobuje. Všetko zaraďujú zjednodušene medzi vírusy.
Presnejšie rozdelenie vírusov a popis ich chovania bude predmetom mojej práce.
Medzi ľuďmi vznikajú rôzne povery o tom, čo môže
taký vírus spôsobiť a čo nie. Ale poriadny vírus dokáže skoro všetko (od nastavenia hesla cez vymazanie disku až po vymazanie pamäte
BIOS). Je veľa vírusov, ktoré sa dajú ľahko odstrániť, ale sú aj také, ktoré sa tak ľahko odstrániť nedajú. Napríklad vírus WIN32/CIH
alebo EMPEROR, ktorý vám vymaže pamäť BIOS-u. Nakopírovanie údajov do pamäte BIOS nie je na starších PC až také ľahké a nemusí sa
vždy podariť. Mám kamaráta, ktorému sa to stalo a museli vymeniť celú pamäť CMOS (čo znamená starú “vyfúknuť” a vložiť novú).
Nebolo isté či sa im to podarí, lebo niekedy sa to podarí a niekedy nie. Preto si myslím, že antivírusový program je v dnešnej dobe
nevyhnutný. To bol ďalší dôvod, prečo som si túto tému vybral.
2. Základné delenie
Každý neoprávnený vstup do počítačového systému sa nazýva infiltrácia. Je to veľmi široký pojem, preto sa vo svojej práci zameriam len
na základné druhy infiltrácie. Základnými typmi neoprávnených vstupov sú vírusy, trójske kone, Backdoor, Červy (worms), Spyware, Adware,
Hoax a Dialer. Samotné rozdelenie je však problém vzhľadom k počtu a k prelínaniu sa. Niektoré infiltrácie sa nedajú celkom presne
zaradiť, pretože sa môžu chovať aj ako vírus, ale súčasne aj ako trójsky kôň.
2.1 Vírusy
Ide
o najčastejšiu formu infiltrácie. Vírus je schopný samo-replikácie, avšak za prítomnosti hostiteľa, ku ktorému je pripojený. Hostiteľom
môžu byť napríklad spustiteľné (executable) súbory alebo systémové oblasti disku. Akonáhle je tento hostiteľ spustený, aktivuje vírus.
Behom tohto okamžiku sa obvykle vírus pokúša zaistiť ďalšie samo-replikácie a to pripojením k ďalším vhodným hostiteľom v sieti. A tak
sa nakazí vírusom celá sieť.
2.2 Trójske kone (Trójany)
Trójsky kôň najčastejšie vystupuje ako súbor
typu EXE. Na rozdiel od vírusu Trójan sa neprenáša po sieti. Odstrániť sa dá len vymazaním. Trójan sa chová ako úplne neškodný program
často pomenovaný nejakým známym názvom programom (v minulosti to bol napr. RAR 3.0 alebo McFree Antivirus). Užívateľ netuší, že sa jedná
o Trójana. Rozoznávame niekoľko druhov Trójanov. Ich popis a škodlivé účinky sú popísané v nasledujúcich kapitolách.
2.2.1 Password-stealing trójany (PWS)
Skupina trójskych koní, ktorá obvykle sleduje
jednotlivé stlačenia kláves (keyloggers), tieto ukladá a následne aj odosiela na dané e-mailové adresy. Majitelia týchto emailových adries
(najčastejšie samotní autori trójskeho koňa) tak môžu získať veľmi dôležité heslá. Tieto programy majú problém so slovenským
a českým jazykom, lebo nevedia rozoznať mäkčene a dĺžne (napr. Č zobrazia ako ˇˇC a teda nevieme či heslo je ˇˇC alebo Č).
2.2.2 Dropper
Škodlivý program, najčastejšie typu EXE, ktorý po spustení vypustí do PC ďalší škodlivý program,
ktorý si nesie so sebou vo vlastných „útrobách“.
2.2.3 Downloader (TrojanDownloader)
Význam tohto
škodlivého programu je podobný ako v predchádzajúcom prípade – vpustiť škodný program do PC. Downloader si však ďalšie škodlivé
programy nenesie so sebou, ale snaží sa ich stiahnuť z Internetu z pevne definovaných adries (url). Rôzne skripty na strane servera môžu
spôsobiť, že downloader môže nakoniec sťahovať rozdielny software.
2.2.4 Proxy Trójan (TrojanProxy)
Trójske kone tohto typu sa postarajú o to, že infikovaný počítač môže byť zneužitý napríklad pre odosielanie spamu – nevyžiadanej
pošty. Pri využití proxy je takmer nulová šanca, že bude vypátraný skutočný autor nevyžiadanej pošty. Je to spôsobené samotným
princípom proxy.
2.3 Backdoor
Ide o aplikácie typu klient - server, ktoré sú schopnosťami veľmi podobné
komerčným produktom ako PC AnyWhere, VNC či Remote Administrator. Na rozdiel od nich však vystupujú anonymne, užívateľ nie je schopný ich
prítomnosť bežným spôsobom spozorovať. Backdoor je aplikácia slúžiaca pre vzdialenú správu PC a sama osebe nemusí byť škodlivá.
Záleží iba na osobe, ktorá tuto vzdialenú správu vykonáva. Princíp fungovania backdooru je nasledujúci: Klientska časť vysiela požiadavky
útočníka serverovej časti, tá tieto požiadavky plní, poprípade odosiela späť klientovi požadované informácie. Backdoory fungujú na
princípe TCP/IP.
2.4 Červy (worms)
Pojmom červ (worm) bol najprv označovaný tzv. Morrisov červ, ktorý v
roku 1989 dokázal zahltiť časť vtedajších sietí, z ktorých neskôr vznikol Internet. Tento a ďalšie červy pracujú na nižšej sieťovej
úrovni. Nešíri sa vo forme infikovaných súborov, ale sieťových paketov. Keď takýto paket dorazí k systému so špecifickou bezpečnostnou
dierou, môže dôjsť k jeho infekcií a následne i k produkcií ďalších paketov. Z hore uvedených charakteristík plynie, že červy sa
nedajú detekovať klasickou formou antivírového softwaru. Vedľajším efektom môže byť kompletné zahltenie siete alebo podnikovej LAN. Červ
sa často šíri aj elektronickou poštou.
2.5 Spyware
Spyware je program, ktorý využíva Internet k
odosielaniu dát z počítača bez vedomia jeho užívateľa. Na rozdiel od backdooru Spyware posiela len štatistiky, ako napr. prehľad
navštevovaných stránok či nainštalovaných programov. Táto činnosť býva často odôvodňovaná ako snaha zistiť potreby užívateľa. Nikto
však nedokáže zaručiť, že informácie alebo technológie nemôžu byť zneužité. Preto je spúšta užívateľov rozhorčená samotnou
existenciou a legálnosťou Spywaru. Spyware sa môže šíriť aj s sharewarovými programami. Veľké množstvo Spywarov v počítači môže
spôsobiť úplne zahltenie pamäte a to sa prejavuje výrazním spomalením výkonu počítača.
2.6 Adware
Obvykle ide o produkt, ktorý znepríjemňuje prácu s PC reklamou. Typickým príznakom sú „vyskakujúce“ pop-up reklamné okná behom
surfovania, o ktoré nemá užívateľ záujem.
2.7 Hoax
Slovom Hoax označujeme poplašnú správu, ktorá
obvykle varuje pred neexistujúcim nebezpečným vírom. Šírenie je závislé na užívateľoch, ktorí takúto správu e-mailom obdržia. Niektorí
sa môžu pokúsiť varovať ďalších kamarátov či spolupracovníkov a jednoducho im poplašnú správu preposlať. Tým vzniká proces šírenia.
2.8 Dialer
Dialer je program, ktorý zmení spôsob prístupu na Internet prostredníctvom modemu. Namiesto
bežného telefónneho čísla pre Internetové pripojenie presmeruje vytáčanie na čísla so zvláštnou tarifikáciou, napr. 60 Sk / minútu (tzv.
„žlté linky“). V niektorých prípadoch sa tak deje úplne nenápadne alebo dokonca automaticky, zvlášť keď obeť používa zle nastavený,
popr. „deravý“ internetový prehliadač. Dialer sa môže do PC dostať návštevou „nevhodnej stránky“ (napr. pornografickej), alebo pri
využití technológie ActiveX, takže problémy môžu nastať najskôr užívateľom Internet Explorera. V iných prípadoch môže ísť o
nenápadný spustiteľný súbor (.EXE), ktorý je nič netušiacemu užívateľovi poskytnutý ku stiahnutiu klasickým dialovým pripojením
(hovoríme o prehliadači Internet Explorer).
Dialer môže existovať vo viacerých formách. Od úplne legálnych až po nelegálne
(tichá inštalácia bez zobrazenia akejkoľvek informácie). Týmto sa opäť dostávame k hore uvedenému problému. Ide o rozdielne postoje k
detekcií tejto špiny zo strany antivírových programov a otázka, čo vlastne detekovať a čo nie. Antivírový systém nedokáže rozpoznať,
či je Dialer nainštalovaný s vedomím, či bez vedomia užívateľa. Detekcia všetkých dialerov môže viesť k sporom medzi výrobcom dialeru,
popr. prevádzkovateľom služby a antivírovou spoločnosťou, ktorá tento „nevinný produkt“ detekuje akoby išlo o skutočný vírus. Dialer
tak môže existovať v tichej podobe, keď presmeruje volania úplne bez vedomia užívateľa, popr. v podobe „legálnych“, keď je užívateľ
zobrazený licenčným („EULA“ - End User License Agreement) a až po odsúhlasenie (tlačítkom „I Agree“ apod.) zo strany užívateľa
dôjde k presmerovaniu pripojenia. Prax ukázala, že takéto licencie číta minimum ľudí, takže aj druhý prípad sa môže pre postihnutého
užívateľa javiť rovnako ako prvý.
3. Ako sa vírusy šíria:
Šírenie je základná a nutnú vlastnosť
programu označovaného ako počítačový vírus. K tomu, aby sa vírus mohol šíriť, potrebuje niekoľko maličkostí. Predovšetkým vhodné
prostredie (počítač s operačným systémom, ktorý vírus pozná a je schopný ho používať) a objekty, ktoré dokáže napadnúť. Zatiaľ
poznáme iba niekoľko typov objektov, ktoré môžu byť napadnuté vírom. Popísané sú v nasledujúcich kapitolách.
3.1
Spustiteľné súbory - programy
Jedná sa obvykle o súbory s príponami EXE, COM, SYS a iné. Býva často zvykom takéto súbory
označiť príponou OVL, ale často im ich autori dávajú úplne náhodné prípony. Dobrým príkladom spustiteľného súboru s neobvyklou
príponou je napr. šetrič obrazovky pre Windows (.SCR).
3.2 Systémové oblasti
Cieľom vírovej nákazy
môžu byť tieto systémové oblasti – Partition table alebo Boot sektor pevného disku a Boot sektor diskety. V prostredí Windows môžu vírusy
napádať niektoré kľúčové systémové súbory a knižnice (napr. KRNL32.DLL).
3.3 Dokumenty, ktoré môžu obsahovať
makrá
Ide o texty napísané v aplikácií Word (obvykle majú príponu DOC alebo DOT), tabuľky aplikácie Excel (obvykle XLS),
prezentácie vytvorené v aplikácií PowerPoint (obvykle PPT), databázy aplikácie Accessu (najčastejšie MDB) a niektoré ďalšie dátové
súbory.
3.4 Ostatné objekty
Pokusy o napadnutie iných typov objektov (napr. zdrojové texty, OBJ súbory) sú
síce zaujímavé, ale z praktického hľadiska predstavujú veľmi malé nebezpečie. Zábavné sú pokusy infikovať Java applety, prípadne
VBScripty a JScripty nachádzajúce sa v HTML stránkach. Microsoft naviac pripravil i variantu týchto scriptov ako náhrady historických
DOSových - štandardnou inštalovanou súčasťou je VBS (Visual Basic Scripting).
4. Kde sa vírusy nešíria:
Okrem cieľov spomínaných v kapitole 3. existujú objekty, ktoré v žiadnom prípade nemôžu byť vírom napadnuté, napriek tomu, že to
niektoré časopisy tvrdia.
4.1 CMOS pamäť
Táto pamäť slúži k uchovaniu informácií o konfigurácii
počítača. Vírus môže túto pamäť zmazať alebo v nej zmeniť niektoré údaje, ale nemôže ju použiť pre umiestenie svojho kódu. Bráni
tomu nielen jej veľkosť, ale hlavne to, že nemôže obsahovať spustiteľný kód.
4.2 Dátový súbor
Vírus
sa samozrejme môže ukryť kam chce, ale napadnutie súboru JPG (najlepšie s nejakým obrázkom) je preň zhruba rovnako efektívne, ako keď by pri
hre na schovávačku spáchal hráč samovraždu. Taký súbor totiž nemôže obsahovať spustiteľný program. Vírus by napadnutie takého objektu
síce pravdepodobne zvládol (a tento objekt zničil), ale nikdy by sa z toho objektu nedokázal rozšíriť ďalej. Poznámka: O tom, čo je a
čo nie je spustiteľný súbor, nerozhoduje jeho prípona, ale jeho obsah a spôsob akým sa používa. V dobách DOSu sa stávalo, že
programátori (často autori hier) pomenovali niektoré moduly oku lahodiacim, ale nič nehovoriacim menom. Úbohý užívateľ potom netušil, ako je
možné, že sa mu v počítači neustále znova a znova objavuje triviálny vírus napádajúci iba EXE súbory napriek tomu, že. všetky tieto
súbory kontroloval a boli v poriadku. Vírus číhal napr. v súbore JBOND.007. Z dnešnej doby stoja za zmienku napr. šetriče obrazovky pre
Windows, ktoré sú síce normálnymi EXE súbormi, ale ich štandardná prípona je SCR. Významnú výnimku z tohto pravidla predstavujú
dokumenty obsahujúce makrá (Microsoft Word, Excel a niektoré ďalšie moderné kancelárske balíky).
4.3
Tlačiareň
Komunikácia s tlačiarňou prebieha tak, že počítač odošle dáta a jediné, čo dostáva späť, sú signály
potvrdzujúce ich prijatie a informujúce o stave, v ktorom sa tlačiareň nachádza. Nič vírusu pochopiteľne nebráni, aby sa na tlačiareň
odoslal, ale výsledkom bude iba pár strán papiera popísaného nezmyslami. S istotou ďalej tvrdím, že sa vírus nemôže uložiť do klávesnice
ani monitoru.
5. Záver
Z môjho projektu vyplýva, že poznáme veľa odrôd vírusov. Väčšina z nich je
škodlivá a nelegálna, ale niektoré sú aj legálne. V poslednej dobe sa veľmi rožširujú a sú čím ďalej tým nebezpečnejšie. Preto si
myslím, že investícia do poriadneho antivírusového programu sa vždy oplatí.
Zones.sk – Zóny pre každého študenta