Wirusy komputerowe
1. Czym jest wirus komputerowy?
Wirus komputerowy to krótki program komputerowy, zwykle szkodzący systemow operacyjnemu lub utrudniający pracę użytkownikowi komputera. Każdy wirus ma zdolność samopowielania. Jest to warunek konieczny, aby dany program można było nazywać wirusem.Wirusy przenoszone są przeważnie w zainfekowanych wcześniej plikach (wirusy plikowe) lub w pierwszych sektorach fizycznych (na zerowej ścieżce) dysku twardego (wirusy dyskowe). Proces infekcji polega na odpowiedniej modyfikacji struktury plików lub sektorów. Zainfekowaną ofiarę nazywa się nosicielem, a proces samopowielania replikacją.
2. Od czego zalezy rozmiar wirusa komputerowego?
Zależy od paru czynników;
- umiejętności programistyczne twórcy wirusa – wirus lepszego programisty napisany w tym samym języku będzie mniejszy lub będzie miał więcej funkcji;
- użyty język programowania – wirus o podobnej funkcjonalności napisany w języku maszynowym (asembler) zwykle będzie mniejszy niż w języku skryptowym czy języku wysokiego poziomu;
- przewidywana funkcjonalność wirusa – prosty wirus będzie mniejszy od szkodnika wykonującego wiele różnych czynności; najmniejsze wirusy potrafią tylko się powielać;
- wykorzystanie cech środowiska operacyjnego – wirus napisany jako maksymalnie niezależny musi mieć wbudowane wszystkie potrzebne biblioteki, wirus korzystający w pełni ze środowiska ma tylko minimum kodu niezbędne do wywołania dostępnych w tym środowisku funkcji.
3. Rodzaje wirusów komputerowych.
Wirusy można podzielić na kilka kryteriów.
- wirusy dyskowe, infekujące sektory startowe dyskietek i dysków twardych
- wirusy plikowe, które infekują pliki wykonywalne danego systemu operacyjnego
- wirusy skryptowe
- makrowirusy, których kod składa się z instrukcji w języku wysokiego poziomu, wykonywane przez interpreter.
-wirusy komórkowe, na razie rzadkie ale być może w przyszłości mogą stanowić istotne zagrożenie w związku z rozwojem oprogramowania dla telefonów komórkowych i dostępnych usług. Przykładem może być wirus Cabir napisany w 2004 roku.
4. Inny podział wirusów komputerowych.
a) wirusy pasożytnicze- większość z istniejących wirusów to tzw. wirusy pasożytnicze. Charakteryzują się one tym, że wykorzystują swoje ofiary do transportu. Modyfikują ich strukturę wewnętrzną i oczywiście nie naprawiają jej. Plik użyty do transportu jest uszkodzony. Jedynym dla niego ratunkiem może być użycie szczepionki lub kopii zapasowych dla zainfekowanych plików. Ze względu na miejsce zajmowane w zainfekowanych plikach wirusy pasożytnicze dzielimy na:
-wirusy lokujące się na końcu pliku . Dopisują kod wirusa na koniec pliku, a następnie modyfikują początek pliku tak, aby wywołanie pliku uruchamiało wirusa
-wirusy nadpisujące. Lokują się na początku pliku, zwykle nie zapamiętują poprzednich danych w pliku i nieodwracalnie go niszczą
-wirusy nagłówkowe . Lokują się w nagłówkach plików EXE przeznaczonych dla systemu DOS. Ich nagłówek jest zawsze standardowo ustawiany przez programy likujące na wielokrotność jednego sektora (512 bajtów). Wirusy te nie przekraczają rozmiaru jednego sektora
-wirusy lokujące się w pliku w miejscach gdzie jest jakiś pusty obszar. Obszar ten wypełniony jest ciągiem zer i można go nadpisać nie niszcząc pliku.
b) wirusy towarzyszące- wirusy te zwykle tworzone są w językach wysokiego poziomu. Wykorzystują hierarchię stosowaną przez system DOS, dotyczącą kolejności uruchamiania programów o tych samych nazwach a innych rozszerzeniach. Jeśli w jednym katalogu jest kilka programów o tej samej nazwie ale o różnych rozszerzeniach (EXE, COM, BAT), to w przypadku podania nazwy programu bez rozszerzenia, w pierwszej kolejności poszukiwany jest plik o rozszerzeniu COM, potem EXE, a na końcu BAT. Wirusy towarzyszące wykorzystują tę właściwość systemu DOS. Jeśli program ma rozszerzenie COM to wirus towarzyszący nie dokona infekcji. Jeśli natomiast program ma rozszerzenie EXE lub BAT, to plik z wirusem będzie miał rozszerzenie COM i może zostać omyłkowo uruchomiony nawet przez samego użytkownika systemu. Próba uruchomienia programu bez podania rozszerzenia w pierwszej kolejności uruchomi plik COM zawierający kod wirusa. Następnie wirus po uaktywnieniu się przekaże sterowanie do programu macierzystego.
c) wirusy plików wsadowych- są to tzw. batchviruses, gdyż pliki wsadowe to pliki o rozszerzeniu BAT. Wirusy te wykorzystują do transportu właśnie pliki BAT. Potrafią wbrew pozorom być bardzo niebezpieczne i infekować również pliki COM oraz EXE, a nawet tablice partycji dysku. Po uruchomieniu zainfekowanego pliku wsadowego tworzony jest plik uruchamialny COM lub EXE, który zawiera właściwy kod infekujący pliki BAT. Plik BAT jest następnie kasowany, a plik wykonywalny jest uruchamiany.
d) makrowirusy- makrowirusy nie zarażają programów uruchamialnych lecz dokonują destrukcji dzięki wykonywaniu swojego kodu zapisanego w plikach dokumentów Microsoft Office (doc., xls). W programie Microsoft Word jest to język WordBasic, a w programie Microsoft Excel jest to Visual Basic fo Applications. Są to wirusy bardzo łatwo wykrywalne, a ponadto ich działanie może zostać zablokowane przez macierzyste aplikacje. Od chwili, gdy aplikacje Microsoft Office ostrzegają o istnieniu makr, wirusy tego typu nie są bardzo groźne, nie powstają także nowe. Wirusy tego typu mogą działać w programach Microsoft Office w środowisku Macintosh, pojawiały się jeszcze w pierwszych latach XXI wieku, ale nie były szczególnie groźne ani powszechne.
5. Jakie wyróżniamy inne programy o szkodliwym działaniu dla komputera?
Powyżej opisanych rodzajów wirusów, istnieje szereg programów które często uważane są za wirusy, lecz nimi nie są, gdyż ich sposób działania jest niezgodny z definicją wirusa. Owszem, ich działanie jest szkodliwe dla użytkownika systemu, lecz programy te nie doczepiają się do innych plików. Są to:
a) Robaki – programy, których działanie polega na tworzeniu własnych duplikatów. Nie atakują one żadnych obiektów jak to czynią wirusy, a jedynie same się powielają. Oprócz zajmowania miejsca na dysku niekiedy wywołują również negatywne skutki uboczne. Robaki są najbardziej popularne w sieciach, gdzie mają do dyspozycji różne protokół transmisji sieciowej dzięki którym mogą się rozprzestrzeniać.
b) Konie trojańskie – program będący koniem trojańskim, po uruchomieniu wykonuje normalną pracę i użytkownikowi wydaje się że uruchomił zwykły program bądź grę. Jednak dodatkowo wykonywane są operacje szkodliwe, niezauważalne dla użytkownika. Konie trojańskie najłatwiej podrzucić w plikach udających nowe, popularne programy bądź gry.
c) Bomby logiczne – różnią się od konia trojańskiego tym, że ukryte operacje nie są wykonywane od razu po ich uruchomieniu, lecz dopiero w odpowiednim czasie. Może to być zajście określonego zdarzenia w systemie bądź wielokrotne uruchomienie danego programu. Często uruchomienie ukrytych operacji następuje automatycznie po upłynięciu określonej liczby dni od momentu uruchomienia bomby.
d) Króliki-określane są również jako bakterie. To programy, które nie niszczą plików. Ich jedynym celem jest samokopiowanie. Typowy program w rodzaju bakterii lub królika może na przykład jednocześnie uruchomić kilka swoich kopii w systemach wieloprogramowych, lub stworzyć dwa nowe pliki z których każdy jest kopią oryginalnego pliku źródłowego bakterii. Oba programy mogą następnie skopiować się podwójnie i w ten sposób mogą rozmnożyć się do bardzo dużej liczby. Bakterie reprodukują się wykładniczo, zabierając całą moc obliczeniową procesora. Ten rodzaj ataku jest jedną z najstarszych form zaprogramowanych zagrożeń.
5. Profilaktyka wirusowa.
Najlepszą metodą ustrzeżenia się przed wirusami jest sprawdzanie możliwie najnowszym programem antywirusowym wszystkich plików, które docierają do naszego komputera. Niekiedy nawet pliki od zaufanych osób mogą zawierać wirusy, a osoby te mogą o tym po prostu nie wiedzieć. Ważnym elementem działań zapobiegawczych jest regularne tworzenie kopii awaryjnych dla najważniejszych plików, programów bądź dokumentów. Tworzenie kopii zapasowych może wydać się niepotrzebne, jednak niekiedy kopie te mogą okazać się dla nas wybawieniem. Należy dodać, że obecność wirusa w systemie nie musi być zawsze dla nas tragedią. Wiele wirusów, wbrew powszechnej opinii, nie zawiera procedur niszczących. W przypadku zainfekowania komputera nie należy od razu w panice formatować dysku twardego. Co więcej, wykonanie formatowania dysku wcale nie oznacza pozbycia się wirusa z systemu.
6. Ochrona przed koniami trojańskimi i bombami logicznymi.
Konie trojańskie i bomby logiczne ze względu na sposób działania są trudne do wykrycia, gdyż właściwy, destrukcyjny kod może być umieszczony w dowolnym miejscu programu i trudno go odnaleźć. Niekiedy jest to wręcz niemożliwe. Z pomocą przychodzi tu technika heurystyczna. Polega ona na wykrywaniu potencjalnych agresorów na podstawie charakterystycznych sekwencji kodu. Programy poszukujące koni trojańskich w podejrzanych plikach najczęściej szukają w nich instrukcji wywołań przerwań programowych. Są to przerwania 13h lub 26h, używane do odczytywania i zapisywania sektorów. Ze względu na swe działanie, przerwania te występują bardzo rzadko w typowym oprogramowaniu użytkowym, gdyż normalne programy nie korzystają z bezpośrednich operacji zapisu na sektorach. Potencjalnymi końmi trojańskimi są także najnowsze wersje typowych i często używanych programów użytkowych, programów kompresujących czy nawet antywirusowych, zatem należy się z nimi obchodzić bardzo ostrożnie i przed uruchomieniem ich wypada je przeskanować. Dobrym rozwiązaniem, pozwalającym uchronić się przed większością koni trojańskich i bomb, może być zainstalowanie monitora antywirusowego. Konie trojańskie są zwykle pisane przez początkujących programistów, którzy do przeprowadzania destrukcji używają przerwań programowych, a te mogą być łatwo przechwytywane i kontrolowane przez monitor.
7. Jakie wyróżniamy programy antywirusowe?
a) ARCAVIR 2009- to pakiet zabezpieczający na bieżąco komputer przed wszelkiego rodzaju infekcjami, wirusami, Trojanami. Aplikacja chroni także przed kradzieżą poufnych danych, pozwala bezpiecznie korzystać z bankowości elektronicznej. Główne moduły ArcaVir Antivirus Protection to antywirus (wykrywający także spyware, adware, riskware, dialery), skaner poczty, ArcaVir Administrator. Program wyposażony jest w stale aktualizowaną, rozbudowaną bazę wirusów. W przypadku wykrycia zagrożenia możliwe jest natychmiastowe określenie stopnia zagrożenia i potencjalnych strat wynikających z aktywizacji wykrytego wirusa. ArcaVir Antivirus Protection 2009 w stosunku do innych edycji (Internet Security i System Protection) pozbawiony został kilku funkcji w tym modułu antyspamowego, skanera HTTP, zapory sieciowej, monitora rejestru czy modułu kontroli rodzicielskiej.
c)Antivirus 8.5- komercyjna odsłona programu antywirusowego wyprodukowanego w Czechach. Wyposażona jest w skaner rezydentny sprawdzający każdy otwierany plik, działający z Outlookiem i Outlook Expressem moduł skanujący pocztę e-mail oraz skaner główny. Zapewnia także ochronę przeciwko programom szpiegującym (spyware). W porównaniu do bezpłatnej edycji posiada dodatkowo moduły przeciwko rootkitom, oferuje też zabezpieczenia podczas korzystania z komunikatorów, wyszukiwarek i pobierania plików. Program ma przyjazny i prosty interfejs, wiele opcji, w tym m.in. okresowe skanowanie całego dysku, automatyczne uaktualnianie baz wirusów - nawet kilka razy dziennie, podczas gdy użytkownicy bezpłatnej edycji otrzymują uaktualnienia raz na dobę. Sam skaner, dzięki analizie heurystycznej, jest dość skuteczny w wyszukiwaniu i unieszkodliwianiu również jeszcze nieznanych wirusów. Wersja testowa AVG Antivirus oferuje pełną funkcjonalność przez 30 dni.
d) G DATA AntiVirus 2009- wykrywa i usuwa wszelkiego rodzaju szkodliwe oprogramowanie – wirusy, robaki, trojony, backdoory, dialery i rootkity, a także programy typu spyware, riskware i adware. Program wykorzystuje dwa niezależne skanery (BitDefender i avast!), dwie oddzielne automatycznie i codziennie aktualizowane bazy sygnatur wirusów oraz autorski mechanizm OutbreakShield, który reaguje na pojawiające się zagrożenia najszybciej na rynku. Program chroni programy pocztowe i komunikatory, zabezpiecza również komputer przed atakami phisherów poprzez skanowanie protokołów http przeglądanych stron. Nowością jest praca skanera w trybie bezczynności systemu, dzięki czemu działanie programu antywirusowego jest praktycznie nieodczuwalne dla użytkownika przy jednoczesnym zachowaniu najwyższej ochrony.
e)Kasperscy Antivirus 8.0- to program antywirusowy kierowany do użytkowników domowych i małych firm. Program zapewnia ochronę przed różnego rodzaju wirusami (polimorficznymi i samoczynnie szyfrującymi się, skryptowymi, makrowirusami, a dzięki analizie heurystycznej częściowo także przed jeszcze nieznanymi). Do wykrywania zagrożeń wykorzystywane są trzy podstawowe metody: oparta na sygnaturach, proaktywna oraz heurystyczna. Program wyposażony jest też w moduł pozwalający na wykrywanie i blokowanie ataków sieciowych. Zastosowany w programie moduł MailChecker, który działa jako filtr antyspamowy umożliwia współpracę ze wszystkimi najpopularniejszymi klientami poczty elektronicznej pracującymi w oparciu o SMTP i POP3.
f) Norton AntiVirus 2009- to najnowsza wersja jednego z najpopularniejszych programów antywirusowych na świecie. Program charakteryzuje wyjątkowo prosty interfejs, automatyczne pobieranie aktualizacji z bieżąco uaktualnianymi definicjami wszystkich znanych wirusów, integracja z najpopularniejszymi programami pocztowymi, możliwość kwarantanny plików, których nie udaje się naprawić, ochrona przez złośliwym apletami Java i ActiveX oraz oprogramowaniem szpiegującym (spyware). Dodatkowo aplikacja posiada możliwość personalizacji ustawień bezpieczeństwa, automatyczną analizę niebezpiecznego oprogramowania oraz funkcje anty-phishingowe. Główne nowości w wersji 2009 to oprócz ulepszonego interfejsu i szybszego skanowania przede wszystkim mniejsze zużycie zasobów systemowych (m.in. zajmuje nawet trzykrotnie mniej pamięci RAM w porównaniu do wersji 2006).
misieko42