Wirusy 1 Co to jest wirus komputerowy?

Transkrypt

1 Wirusy 1 Co to jest wirus komputerowy? Historia wirusów Rodzaje wirusów Metody przenoszenia wirusów Wirusy sektora startowego dysku Wirusy plikowe Wirus towarzyszcy Wirusy FAT Makrowirusy Działania wirusów Bomby logiczne Fałszywki (Haoxy) Konie trojaskie Robaki Bakterie Wirusy typu stealth i wirusy polimorficzne Wirusy rezydentne (ang. resident viruses) Jak si broni? Jak działa program antywirusowy Skaner antywirusowy Monitor antywirusowy Skaner poczty elektronicznej Moduł naprawczy Moduł kwarantanny Moduł aktualizacji Moduł raportów i statystyk Firewall Moduł filtrowania zawartoci poczty elektronicznej Moduł filtrowania zawartoci stron internetowych Autodiagnostyka Co to jest wirus komputerowy? Wirusy komputerowe (mikroby) to złoliwe programy, które s zdolne do kopiowania i rozprzestrzeniania si w systemach komputerowych i sieciach w sposób niekontrolowany i wykonywania zaprogramowanych wczeniej procedur. Operacje wykonywane przez wirusy komputerowe s bardzo róne: od zabawnych komunikatów wywietlanych na ekranie do uszkodzenia fizycznego komputera. Wirus komputerowy jest programem, który powiela si przez zaraanie zbiorów wykonywalnych, jednostek alokacji plików lub sektora startowego dyskietki lub dysku twardego. Od niedawna nosicielem moe by take szablon dokumentów stworzonych za pomoc aplikacji wchodzcych w skład pakietów biurowych, wyposaonych w jzyk makr (najczciej MS Office). Na niebezpieczestwo naraeni s wszyscy, którzy w dowolnej formie przenosz dane midzy komputerami. ródłem infekcji moe by plik skopiowany ze strony WWW, dołczony do poczty elektronicznej albo wiadomoci zamieszczonej na licie dyskusyjnej czy te przeniesiony z innego komputera za porednictwem dyskietki. Znane s przypadki, gdy producent oprogramowania prawdopodobnie niewiadomie rozpowszechniał 1

2 swój produkt na oryginalnie zapakowanych, a jednoczenie zawirusowanych dyskietkach lub płytach CD-ROM. Natomiast w czasach, gdy do dystrybucji oprogramowania masowo wykorzystywano dyskietki, zdarzało si, e po zwrocie oprogramowania przez klienta przepakowany (i zaraony) towar trafiał w rce innego nabywcy. Nikt nie sprawdzał, czy w midzyczasie nie doszło do zaraenia plików na dyskietkach instalacyjnych. 2 Historia wirusów Autorstwo pojcia "wirus komputerowy" przypisuje si dr Fredowi Cohenowi - specjalicie od zabezpiecze. 3 listopada 1983 r. podczas seminarium na temat bezpieczestwa Cohen po raz pierwszy przedstawił teoretyczne zasady działania wirusów komputerowych. Kilka dni póniej, po uzyskaniu zgody uczelni, pokazał pierwszego działajcego wirusa komputerowego - efekt swoich eksperymentów. Uruchomiono go na komputerze Vax działajcym pod kontrol systemu Unix. W 1984 r. podczas pracy na Uniwersytecie Południowej Kalifornii Cohen podał definicj wirusa jako "programu, który infekuje inne programy, modyfikujc je tak, aby zawierały i wykonywały jego własny kod". Analogia do wiata przyrody jest oczywista i bardzo trafna. Kilka lat póniej powstało pojcie "robaka" (ang. worm) - programu równie destrukcyjnego co wirus. Nowoczesne wirusy nie powstały jednak w Stanach Zjednoczonych. Uprzedzili ich programici z Pakistanu, który podobnie jak Indie ma niezwykle zdolnych programistów. W 1986 r. dwaj bracia prowadzcych mał firm Brain Computers zajmujc si produkcj oprogramowania analizowali tzw. sektor startowy (boot sektor) dyskietki komputerowej zawierajcej system operacyjny MS-DOS. Zawiera on procedur, której celem jest wprowadzenie do pamici i uruchomienie systemu operacyjnego. Czynno ta wykonywana jest przy kadym uruchomieniu komputera. Pakistaczycy wpadli na pomysł umieszczenia w sektorze startowym programu, który powielałby si w kadym nowo napotkanym sektorze startowym. W ten sposób wirus Brain (nazwa pochodziła od nazwy firmy) po kadym uruchomieniu komputera przenoszony był do pamici, po czym nagrywał si w sektorach startowych wszystkich dyskietek wkładanych do stacji dysków. Dzieło Pakistaczyków błyskawicznie rozprzestrzeniło si po całym wiecie, zaraajc najwicej komputerów w Stanach Zjednoczonych. Cel, jaki przywiecał twórcom zarówno wirusów Apple i Brain, mona by uzna za wiatły. Ich autorzy chcieli odwie uytkowników komputerów od powszechnej wówczas praktyki kopiowania oprogramowania. To włanie dziki kopiowaniu programów wirusy rozprzestrzeniały si tak szybko. Po pojawieniu si Brain po raz pierwszy zwrócono uwag na zagroenie, jakim s wirusy komputerowe. Powstały pierwsze programy antywirusowe, w firmach wprowadzono po raz pierwszy procedury, których celem była ochrona komputerów przed zaraeniem. Aby je obej, twórcy wirusów wymylili zupełnie nowy typ - tzw. konia trojaskiego. Metoda jest prosta i, co ciekawe, do dzi stosowana z doskonałym skutkiem. Autor konia trojaskiego zachca właciciela komputera, by sam znalazł i uruchomił program zawierajcy wirusa. Jak to zrobi? Wystarczy umieci mikroba w popularnym programie, takim, który wiele osób chciałoby mie w swoim komputerze. Na pierwszy rzut oka program jest nieszkodliwy, wrcz poyteczny, cho w rzeczywistoci realizuje zadania postawione mu przez swego autora - pozwala na przykład przej kontrol nad komputerem ofiary. Po raz pierwszy metod konia trojaskiego zastosowano, umieszczajc wirusa w edytorze tekstów PC-Write. Wczesne wirusy właciwie nie powodowały duych szkód, a jeeli ju, to dlatego, e czsto były dziełem pomysłowych, aczkolwiek do nieudolnych programistów. Tak jest zreszt do dzi - autorzy wirusów czsto popełniaj szkolne błdy - twierdzi Andre Post z Symanteca. To dlatego szkodliwa działalno komputerowych wirusów 2

3 czsto objawia si w sposób przez autora niezamierzony, np. zawieszeniem komputera albo uszkodzeniem struktury plików na dyskietce. W 1987 r. studenci uniwersytetu Leigh zaczli zgłasza do dziwne problemy. Twierdzili, e z ich dyskietek znikały pliki. Na pocztku informatycy uniwersyteccy bagatelizowali problem, twierdzc, e najprawdopodobniej studenci sami niechccy kasowali pliki. Wkrótce okazało si, e win ponosił wirus nazwany póniej Leigh. Był to pierwszy wirus, który rozprzestrzeniał si nie w sektorach startowych dyskietek, ale infekował pliki komputerowe nagrane na dyskietce. Kod wirusa Leigh dołczał si do pliku command.com (jeden z kluczowych plików MS-DOS) i starał si przenosi na wszystkie inne dyskietki zawierajce ten plik. Fakt, e atakował tylko jeden rodzaj pliku, oraz w sumie do wczesne wykrycie go spowodowało, e Leigh nie wydostał si poza dyskietki i komputery uniwersytetu. Wkrótce potem powstał wirus o nazwie Jerusalem (zwanym te Israeli), który po raz pierwszy wykryto w komputerach Izraelskiego Ministerstwa Obrony. Uznawany jest za jednego z najbardziej udanych wirusów. Jego autor moe by dumny, bo nie tylko udało mu si opracowa zupełnie nowy rodzaj wirusa, ale równie zachci innych do tworzenia jego mutacji. Leigh zaraał tylko jeden plik: command.com, tymczasem Jerusalem atakował wszystkie napotkane pliki programów (z kocówkami.com i.exe). Autor wirusa wykazał si nie lada pomysłowoci. Jego kod po uruchomieniu programu, w którym si znajdował, umieszczany był w pamici komputera, skd zaraał inne pliki. Dziki temu wirus prowadził swoj destrukcyjn działalno nawet, jeli uytkownik przestał uywa zaraonego programu. Jeruzalem zasłynł równie jako pierwszy wirus zawierajcy tzw. bomb logiczn. Sprawdzał on aktualn dat i jeli był to 13 dzie miesica i pitek, kasował znajdujce si na twardym dysku pliki z programami. Dokładna analiza kodu wirusa pokazała, e pierwszym dniem, w którym miał zadziała, był 13 maja 1988 r rocznica powstania pastwa Izrael. Biorc to pod uwag, oraz fakt, e wirusem zainfekowano komputery Ministerstwa Obrony Izraela, mona przypuci, e wirusa stworzył programista palestyski. Pocztek lat 90. to okres, w którym wybuchła swoista wojna pomidzy twórcami wirusów a producentami programów antywirusowych. Programy antywirusowe, podobnie jak same wirusy, były stosunkowo proste - ich zadaniem było sprawdzenie, czy w pamici albo plikach na twardym dysku nie ma specyficznych kodów identycznych z tymi, jakie zawieraj wirusy. Zadaniem autorów programów antywirusowych była jak najszybsza analiza kodu wirusa i przygotowanie tzw. sygnatury (charakterystycznych dla wirusa cigów znaków) oraz szczepionki - programu, który usuwał złoczyc. W 1991 r. wszystko uległo zmianie. Amerykaski naukowiec Mark Washburn opracował na podstawie znanego wirusa o nazwie Vienna metod ukrywania kodu programu. Tak powstała idea wirusów polimorficznych, czyli takich, których kod jest zaszyfrowany, a na dodatek kada kolejna kopia róni si od pierwowzoru. Pomysł Washburna oraz kod stworzonego przez niego wirusa były i s nadal dostpne w Internecie. Sam autor stworzony przez siebie kod wirusa pocztkowo udostpnił tylko i wyłcznie autorom programów antywirusowych. Mimo tajemnicy, na pierwszego wirusa polimorficznego nie trzeba było długo czeka. Jeszcze w tym samym 1991 r. komputery na całym wiecie zaatakowane zostały przez pochodzcego ze Szwajcarii Tecquille. Na pocztku lat 90. rodowisko twórców udanych wirusów było do hermetyczne. Autorów rzeczywicie działajcych i gronych programów mona było policzy na palcach dwóch rk. Wielk "zasług" w rozpowszechnieniu wiedzy o tworzeniu wirusów zawdziczamy pierwszemu BBS-owi (pierwowzór Internetu oparty na komputerach z modemami) o wirusach, który powstał w Bułgarii. Korzystajcy z niego twórcy wirusów wymieniali si pomysłami i dyskutowali nad skutecznymi metodami tworzenia wirusów oraz oszukiwania programów antywirusowych. Na efekty nie trzeba było długo czeka. Wkrótce pojawił si jeden z najgroniejszych wirusów - Dark Avenger, nazwany tak od pseudonimu 3

4 nieznanego dotd z imienia i nazwiska bułgarskiego programisty. Opracował on równie pierwszy program do tworzenia wirusów, Dark Avenger Mutation Engine, który zamieniał dowolnego wirusa w jego posta polimorficzn - niełatw do wykrycia w ówczesnych czasach. Wkrótce tworzenie wirusów stało si bajecznie łatwe za spraw Virus Creation Kit - programu, który pozwala nawet dziecku, stworzy niebezpieczny program. Wystarczy z menu wybra rodzaj wirusa, okreli, co ma robi i wskaza program, do którego nasze dzieło ma by dołczone. Po kilku minutach wirus jest gotowy. Obydwa programy spowodowały, e wirusy zaczły pojawia si jak grzyby po deszczu. Na szczcie szybko opracowano metod wykrywania programów tworzonych przy uyciu takich narzdzi i dzi kady program antywirusowy radzi sobie z nimi bez adnego problemu. Powstanie wirusów polimorficznych i narzdzi do ich tworzenia oraz olbrzymia ilo tzw. fałszywych alarmów zwróciły uwag mediów. Pierwszym nagłonionym przez gazety na całym wiecie przypadkiem pojawienia si wirusa był Michelangelo. Media na całym wiecie (w tym równie "Gazeta Wyborcza") ostrzegały przed wirusem, który miał zaatakowa 6 marca 1992 r. Przewidywano, e uszkodzonych moe zosta około 5 mln komputerów (w rzeczywistoci zaraonych wirusem zostało "ledwie" kilka tysicy), podawano recepty jak si przed nim ustrzec, producenci programów antywirusowych sprzedawali ogromne iloci programów, które wykrywały i usuwały intruza. Ten ostatni fakt stał si zapewne ródłem do dzi powtarzanej plotki, e autorzy i producenci programów antywirusowych to jedne i te same osoby. Najpierw tworz wirusy, a nastpnie szczepionki, które je usuwaj. Co prawda nikomu jeszcze nie udało si dowie tego zwizku, ale dmuchajc na zimne, wielu producentów, np. Symantec, wprowadziło zasady, jakich musz przestrzega ich pracownicy. Przede wszystkim nie wolno im mie absolutnie adnych kontaktów z twórcami wirusów. Pracownikiem takiej firmy nie moe zosta te były autor wirusów - choby nie wiadomo jak był zdolny. Pierwsze wirusy zagraały właciwie wyłcznie posiadaczom komputerów z systemem DOS. W 1992 r. po raz pierwszy spadła liczba komputerów zainfekowanych wirusami działajcymi w tym systemie operacyjnym. Jednoczenie powoli pojawiły si nowe. Był to efekt ekspansji Windows pierwszej popularnej wersji flagowego produktu Microsoft. Jednak prawdziwa eksplozja wirusów nowej generacji nastpiła po premierze Windows 95 w sierpniu 1995 r. Ju na przełomie 1995/96 pojawił si Boza - pierwszy wirus korzystajcy z nowego systemu plików zastosowanego włanie w Windows 95. Cho wprawdzie nowe okienka sprawiły, e zniknło wiele rodzajów wirusów, np. atakujce sektor startowy, to jednak pojawienie si nowego systemu operacyjnego i moliwoci nowych programów, głównie Worda i Excela, spowodowały, e autorzy wirusów ochoczo przystpili do pracy. Wirusy komputerowe potrzebuj, podobnie jak ich biologiczni kuzyni, rodowiska, w którym mog si rozmnaa. Im wiksze rodowisko, tym oczywicie lepiej. W miar jak rosła popularno czołowych programów Microsoftu, rosło te zainteresowanie nimi autorów wirusów. Wchodzce w skład pakietu Office programy maj bardzo przydatn funkcj - jzyk makropolece, który pozwala zautomatyzowa pewne czynnoci. Ów jzyk makropolece jest na tyle elastyczny, e pozwala na stworzenie wirusa. Palm pierwszestwa dzier dwa mikroby: Concept i Laroux. Wirusy "makro" s pocztkiem zupełnie innej, o wiele niebezpieczniejszej generacji wirusów. Przez lata 90. powstawały coraz bardziej wyrafinowane pomysły, jak przenikn przez w miar szczeln zapor programów antywirusowych. Poniewa wzrosła wiadomo zagroenia, jakie stanowi programy nieznanego pochodzenia, autorzy musieli wymyli inne formy rozprzestrzeniania wirusów. Zaostrzenie si konkurencji na rynku oprogramowania zmusiło wiele firm do coraz czstszego uaktualniania swoich programów i wyposaania ich w nowe funkcje. Takie programy, jak Outlook, nie mówic ju o Excelu czy Wordzie, posiadaj moliwoci znacznie przekraczajce potrzeby przecitnego uytkownika. W tej pogoni programici czsto tworzyli 4

5 buble, albo niechccy niezbyt dobrze zabezpieczali programy. Klasycznym przykładem jest Microsoft Outlook oraz jego skromniejsza, ale dołczana do kadej kopii Windows wersja Outlook Express. Jednym z wynalazków Microsoftu szybko wykorzystanym przez autorów wirusów jest automatyczny podgld treci listu. Dziki autopodgldowi otwierał si automatycznie, nie dajc uytkownikowi szans na usunicie listu przed otwarciem. Funkcja ta przysłuyła si rozpowszechnieniu nowej metody rozsyłania, głównie makro wirusów, poczt elektroniczn. Jeden z pierwszych zaczł działa w pitek 24 marca 1999 r. Posiadacze kont poczty elektronicznej na całym wiecie otrzymali list z załczonym do niego dokumentem Worda. Nie uruchamiał si on sam jak póniejsze wirusy, trzeba było otworzy dokument. Otwarcie dokumentu było równoznaczne z zainfekowaniem swój komputera wirusem o nazwie Melissa. Ukryty program pobierał adresy pierwszych 50 osób z naszej ksiki teleadresowej i wysłał do nich mail z dokumentem, w którym znajdował si kod wirusa. W ten sposób Melissa błyskawicznie rozprzestrzeniła si na całym wiecie. Pod koniec lat 90. w Internecie hakerska grupa o nazwie Cult of the Dead Cow (Kult zdechłej krowy) udostpniła pakiet Back Oriffice, przy pomocy którego moliwe jest zdalne zarzdzanie komputerem. Składał si on z niewielkiego serwera oraz programu, dziki któremu z dowolnego miejsca na wiecie mona połczy si i pracowa na włczonym np. w pracy pececie. W rzeczywistoci szybko okazało si, e BO jest klasycznym koniem trojaskim, który pozwalał hakerom wykorzystywa komputer do słynnych ataków DoS (Denial of Service). Ataki polegaj na tym, e atakowany serwer stron WWW dostaje tak duo da wywietlenia strony, a przestaje działa. W ten włanie sposób grupa hakerów zablokowała kilka znanych serwisów internetowych, m.in. Yahoo! czy Amazon. W tym czasie, kiedy strony znanych serwisów padały pod atakiem DOS, pojawił si inny grony wirus: I Love You. Rozprzestrzeniany poprzez poczt skutecznie zablokował tysice serwerów pocztowych na całym wiecie. Przyszło w robakach internetowych 3 listopada 1988 r. zapamitali chyba wszyscy ówczeni administratorzy sieci komputerowych w Stanach Zjednoczonych. Gdy przyszli rano do pracy, okazało si, e serwery i sieci, którymi si opiekuj, s przecione, i to do tego stopnia, e tylko niektórym udało si nawet zalogowa. Jednoczenie w pokojach administratorów rozdzwoniły si telefony wciekłych uytkowników. Sprawc całego zamieszania był robak o nazwie Internet Worm. Stworzył go w ramach eksperymentu młody student Robert Morris - nawiasem mówic - syn jednego z wykładowców uniwersyteckich, a póniej specjalistów CIA. Program Morrisa rzeczywicie pełzał jak robak, zaraajc błyskawicznie wszystkie komputery, do których mógł dotrze. Całe nieszczcie polegało na tym, e Morris wcale nie chciał zrobi nic złego, ale z powodu błdu w programie jego twórca stracił nad nim zupełnie kontrol. W cigu kilku godzin Internet Worm zaraził praktycznie wszystkie podłczone do Internetu amerykaskie komputery. Przez prawie dwa dni, po raz pierwszy i na razie ostatni, Internet praktycznie przestał działa w Stanach Zjednoczonych, bo komputery nie robiły nic innego, tylko przesyłały midzy sob listy z wirusem. Robert Morris został skazany na trzy lata ograniczenia wolnoci i kilkadziesit tysicy dolarów grzywny. Koncepcja robaków internetowych, których główn cech jest to, e potrafi infekowa inne komputery bez pomocy człowieka, czyli mniej lub bardziej wiadomego uruchomienia programu, odyła pod koniec lat 90. Niestety, teraz przeywa swój renesans, a przykładem jest kilka naprawd gronych robali, takich jak Nimda i Code Red.Fakty mówi same za siebie - Nimda w cigu jednego tylko dnia zaatakował ponad 2,2 mln serwerów i komputerów na całym wiecie. Jeden dzie działania robaka kosztował zaatakowane firmy ponad 500 mln dol. - tyle trzeba było wyda na usunicie go z komputerów i odtworzenie danych. Według specjalistów Symanteca Nimda i Code Red s robakami nowej generacji, a ich autorzy do dokładnie przeanalizowali dotychczasowe metody działania robaków i wirusów. 5

6 Nimda atakuje wyłcznie serwery działajce pod kontrol Microsoft Internet Information Server, w których administrator nie zainstalował jednej z poprawek bezpieczestwa programu. Po przejciu kontroli nad serwerem Nimda działa jak klasyczny robak i próbuje z zaatakowanego serwera wyszukiwa kolejne ofiary. Potrafi równie rozprzestrzenia si, wykorzystujc do tego celu poczt elektroniczn. Kod wirusa zawiera nawet własny serwer pocztowy umoliwiajcy wysłanie a z nieistniejcego konta pocztowego. Równie niebezpieczny jest Code Red. Robak umoliwia przeprowadzenie z zainfekowanego komputera ataku typu DoS na wybrany przez autora serwer. W przeciwiestwie do innych rezyduje w pamici komputera i dlatego pocztkowo programy antywirusowe nie potrafiły go wykry. Nie powodował równie jak Nimda adnych zakłóce w pracy IIS - twierdz specjalici z Symanteca.Według Erica Chiena z europejskiego oddziału Symanteca najwikszym zagroeniem bd włanie "bledned threats" - robaki internetowe wyposaone w wiele innych funkcji, jak Nimda czy Code Red. Dzi atakuj one właciwie tylko serwery i komputery podłczone do Internetu, ale jutro - przewiduj w Symantecu - zagroone bd wszystkie urzdzenia w jakikolwiek sposób podłczone do sieci. 3 Rodzaje wirusów Podziałów wirusów komputerowych jest bardzo duo. Od strony uytkownika komputera, najwaniejsze wydaj si podziały ze wzgldu na: sposób przenoszenia wirusa działanie podejmowane przez wirusa po zainfekowaniu systemu operacyjnego. Ze wzgldu na sposób przenoszenia mona wyróni nastpujce rodzaje wirusów: wirusy przenoszce si za pomoc noników: dyskietki, CD-ROM-y, dyski twarde. wirusy doklejajce si do programów wykonywalnych: programy systemowe, narzdziowe, czy nawet komercyjne aplikacje. wirusy przenoszce si poprzez sie komputerow: aplety Java, wirusy atakujce usługi sieciowe czy te najbardziej rozpowszechnione robaki internetowe przenoszone przez poczt elektroniczn. Ze wzgldu na działania podejmowane po infekcji rozróniamy: niegrone wirusy wywietlajce zabawne lub dowcipne informacje na ekranie komputera, wirusy niszczce informacje zawarte w dokumentach uytkownika i same dokumenty, wirusy niszczce wszelkie informacje zawarte na dysku (w tym system operacyjny), wirusy powodujce wykasowanie procedur BIOS-u komputera, wirusy powodujce uszkodzenie sprztu komputerowego. Łagodne wirusy poprzestaj jedynie na bezobjawowym replikowaniu si. Inne, wywietlaj na ekranie komunikaty tekstowe lub efekty graficzne. Bardziej złoliwe zawieraj procedury destrukcyjne - np. kasowanie plików na dysku twardym. Najniebezpieczniejsze potrafi nie tylko pozbawi uytkownika danych, ale take uszkodzi płyt główna komputera. W czasach, gdy Internet był jeszcze mało dostpy, a dominujcym systemem operacyjnym był DOS, typowa infekcja wirusowa zaczynała si od włoenia zainfekowanej dyskietki do stacji dysków i uruchomienia pliku, który był nosicielem mikroba. Wirus instalował si w pamici RAM i infekował kolejne pliki na dysku twardym i dyskietkach. 6

7 Mógł te umieci własny kod w sektorze rozruchowym dysku twardego (tzw.bootsector), dziki temu jedna z pierwszych czynnoci, jakie wykonywał system operacyjny po włczeniu komputera, było uaktywnienie wirusa. Na tym etapie uytkownik zwykle nie zauwaał adnych niepokojcych objawów, zreszt jedynym, który mógłby zauway, była niewielka zmiana wielkoci zakaonych plików, spowodowana dołczeniem do nich kodu wirusa. Bardziej widoczne objawy infekcji pojawiały si najczciej dopiero w momencie uaktywnienia si procedur destrukcyjnych. Gdyby jednak destrukcja nastpowała bezporednio po zakaeniu, szanse wirusa na powielanie i rozprzestrzenianie swego kodu "genetycznego" byłyby marne. Dlatego złoliwa cz kodu zwykle uaktywniała si z pewnym opónieniem, np. w Wigili Boego Narodzenia. Od momentu zaraenia do wystpienia objawów mogło, wic min wiele miesicy, podczas których komputer był bezobjawowym nosicielem i czynnym ródłem zakaenia. Wirus komputerowy składa si z dwóch podstawowych czci: głowy (jdra) i ogona (ciała). Za głow uznaje si t jego cz, która uzyskuje sterowanie przebiegiem wykonania programu i słuy do samo powielania si. W najprostszym przypadku jest to jedyna cz wirusa. Ogon jest opcjonalna czci i ma za zadanie realizacj okrelonych funkcji (np. wywietlenie komunikatu czy usunicie pliku). 3.1 Metody przenoszenia wirusów Wirusy sektora startowego dysku Wirusy sektora startowego dysku (wirusy boot sektora, ang. boot sector viruses), to wirusy, których nosicielem jest sektor startowy nonika danych, takiego jak dysk twardy (MBR - Master Boot Record) czy dyskietka (Boot sector). Dyski s podzielone na sektory. Pierwszy sektor jest zwany włanie boot sectorem i w jego skład wchodzi Master Boot Record (MBR). Na pocztku tego sektora jest zlokalizowany malutki program a na kocu informacje o partycji i tablicy partycji. Ten program wykorzystuje te informacje by okreli, która partycja jest bootowalna i z której zastartowa. Podczas uruchomiania komputera BIOS odczytuje i egzekwuje włanie ten pierwszy sektor dyskietki/dysku twardego ładujc do pamici potrzebne informacje z MBR. I dopiero po tym procesie nastpuje załadowanie systemu plików (FAT/NTFS...). Naley mie wiadomo, e kada sformatowana dyskietka, nawet nie zawierajca plików systemowych, posiada boot sektor, a wic jako taka moe zawiera wirusa. Jest to jeden z najgorszych rodzajów wirusów, który dewastuje boot recorda. Tego typu wirusów nie niszczy nawet format! Dlaczego? Włanie dlatego, e ukrywaj si w 1-szym sektorze dysku i podczas uruchamiania komputera s ładowane przez BIOS do pamici PRZED załadowaniem systemu plików. To daje im kontrol nad wszystkim. Gdy ju umiejscowi si, tam gdzie było zaplanowane infekuj boot sektory kadej dyskietki, która została uruchomiona na komputerze! Wirusy tego typu transportuj si poprzez dyskietki. Pliki na dyskietkach nie s szkodliwe, ale oryginalny boot record dyskietki został zastpiony przez wirusa. I jeli niewiadomy uytkownik umieci tak zakaon dyskietk w swoim napdzie i zrestartuje komputer wirus si aktywuje umieszczajc swoj kopi w obszarze MBR dysku twardego i wykazujc gotowo do zaraania kolejnych dyskietek nie zabezpieczonych przed ponownym zapisem. Bardzo rzadkim przypadkiem jest zakaenie przez cignite pliki exe niemniej nie jest to niemoliwe. W innym przypadku wirus przenosi kod inicjujcy system z sektora startowego w inny obszar dysku i zajmuje jego miejsce, co powoduje jego załadowanie jeszcze przed (!) startem systemu, a wic take przed uruchomieniem jakiegokolwiek oprogramowania antywirusowego. Działanie tego typu umoliwia wirusom przejcie kontroli nad oprogramowaniem przeznaczona do ich zwalczania. 7

8 Naprawi zakaony dysk mona uywajc komendy programu fdisk: fdisk /MBR Nie zawsze jednak takie działanie okazuje si skuteczne i najbezpieczniejsz metod jest wykorzystanie oprogramowania antywirusowego w kombinacji z czyst, nie zainfekowan dyskietk startow. Ta dyskietka jest potrzebna by zastartowa komputer ze ródła zewntrznego "na czysto" (do pamici załaduje si czyciutki boot record dyskietki). Oczywicie s te narzdzia, których mona uy bezporednio spod Windows gdy maj one wbudowane specjalne mechanizmy zabijania wirusa w pamici. Dyskietki startowe musz by utworzone na komputerze NIE zainfekowanym i musz by zabezpieczone przed ponownym zapisem! Startujemy z nie zakaonej czystej dyskietki zabezpieczonej przed zapisem lub bootowalnego CD Antywirusa i usuwamy stosownym narzdziem. Naley mie wiadomo ze Boot Sector znajduje si na kadej sformatowanej dyskietce, take w przypadku, gdy nie zawiera ona adnych plików systemowych. Wobec tego czysta dyskietka znajdujca si w napdzie podczas uruchamiania systemu moe by przyczyna kłopotów, nawet jeeli zobaczymy na ekranie tylko komunikat: "Non-System disk or disk error" Wirusy plikowe Wirusy plikowe (ang. file viruses), ten rodzaj wirusów jest najszerzej rozprzestrzeniony na wiecie i najczciej spotykany. Wirusy tego rodzaju wykorzystuj swoje ofiary do transportu modyfikujc ich struktur wewntrzn. Czsto pliki uywane do transportu przez wirusy pasoytnicze s trwale niszczone, a jedynym ratunkiem jest uycie szczepionki lub kopii zapasowych, poniewa zaraane pliki z reguły nie s przez wirusa leczone. Kady wirus przed dokonaniem szkód najpierw ulega replikacji. Rozwój technik przenoszenia wirusów wie si z wynajdywaniem nowych nosicieli. Pocztkowo na atak wirusów tego typu naraone były tylko pliki wykonywalne (*.exe,.com) oraz wsadowe (*.bat). Rozwój technologii wirusów powikszył grono zagroonych plików o zbiory zawierajce fragmenty kodu, biblioteki, sterowniki urzdze (*.bin, *.dll, *.drv, *.lib, *.obj, *.ovl, *.sys, *.vxd). Infekcja nastpuje poprzez dopisanie kodu wirusa do pliku nosiciela. Załadowanie zainfekowanego pliku do pamici jest równoznaczne z uaktywnieniem wirusa. Wiele wirusów nie niszczy zaatakowanego pliku, dziki czemu moe po aktywacji wykona program nosiciela, tak e uytkownik niczego nie podejrzewa. Wirusy pasoytnicze mona podzieli ze wzgldu na zajmowane przez nie miejsce w zainfekowanych plikach na: Wirusy nadpisujce (ang. Overwrite infectors), lokujce si na pocztku pliku, czsto prowadzce do nieodwracalnych zmian, poniewa z reguły nie zapamituj zawartoci pliku przed zainfekowaniem. Wirusy lokujce si na kocu pliku (ang. End of file infectors), jest to najbardziej rozpowszechniona odmiana wirusów, modyfikuj one pewne ustalone struktury na pocztku pliku tak, aby wskazywały na wirusa, po czym dopisuj si na kocu pliku. Wirusy nagłówkowe (ang. Header infectors), lokuj si w nagłówku plików EXE przeznaczonych dla DOSa. Wirusy lokujce si w pliku w miejscu gdzie jest jaki wolny obszar (wypełniony cigiem zer), który mona nadpisa nie niszczc pliku (ang. Cave infectors). 8

9 Wirusy lokujce si w dowolnym miejscu pliku (ang. Surface infectors), wystpuj do rzadko, co jest pewnie wynikiem tego, e trzeba posiada due umiejtnoci, aby je napisa Wirus towarzyszcy Najprostsza forma wirusa w sensie sposobu zadomowienia si w systemie jest wirus towarzyszcy. Jego działanie opiera si na DOS-owskiej kolejnoci uruchamiania plików o tej samej nazwie. Jeli podana zostanie nazwa zbioru bez podania rozszerzenia, wówczas system szuka najpierw pliku z rozszerzeniem.com, nastpnie.exe a na kocu.bat. Wirus towarzyszcy odszukuje plik.exe lub.bat, dla którego nie istnieje zbiór z ta sama nazwa, ale z innym rozszerzeniem.com, po czym tworzy zainfekowanego.com-a. Próba załadowania programu bez podania rozszerzenia zakoczy si wczytaniem wirusa. Take w tym przypadku właciwy plik moe zosta uruchomiony dla niepoznaki w dalszej kolejnoci. "Okienkowa" wersja wirusa towarzyszcego podmienia jedna z systemowych bibliotek DLL, autentyczna zapisujc pod zmieniona nazwa. Odwołanie si do funkcji z podstawionej biblioteki najpierw uaktywnia wirusa, a dopiero potem wywołuje dan funkcj z oryginalnego DLLa Wirusy FAT Wirusy FAT (wirusy tablicy alokacji plików, link/fat viruses): do replikacji wirusy mog take wykorzystywa Jednostki Alokacji Plików (JAP), na jakie tablica FAT dzieli DOS-ow partycj dysku twardego. W celu uzyskania dostpu do pliku DOS odszukuje w FAT numer jego pierwszej jednostki alokacji, po czym kolejno (zgodnie z FAT) wczytuje wszystkie jednostki zajmowane przez plik. Wirusy atakujce JAP zmienia warto pierwszej JA jednego lub wielu plików na numer wskazujcy JA kodu wirusa. Wczytanie takiego pliku powoduje uruchomienie wirusa, który w dalszej kolejnoci moe, ale nie musi, załadowa właciwy program (w tym celu musi zapamita oryginalny numer jego pierwszej JAP) Makrowirusy Najmłodsz rodzin wirusów s tzw. makrowirusy, które pojawiły si jako skutek uboczny rozszerzenia moliwoci pakietów biurowych, takich jak Microsoft Office, a take Lotus SmartSuite oraz Corel WordPerfect Suite jzykiem pozwalajcym na tworzenie makr. Jzyki Word Basic, a potem Visual Basic for Applications wywodzce si jeszcze od prostego Basica, maj na tyle due moliwoci, ze pozwalaj na stworzenie wirusa. Dziki temu twórcy wirusów zostali wyposaeni w nowe łatwe narzdzie. Napisanie wirusa nie wymaga ju zaawansowanej znajomoci assemblera, poniewa mona posłuy si jzykiem wysokiego poziomu(turbo Pascal, C, VBfA). Najczciej spotykane makrowirusy MS Worda wykorzystuj fakt, e szablony dokumentów mog zawiera makra. Zazwyczaj wirus uaktywnia si w chwili otwarcia zainfekowanego szablonu w rodowisku aplikacji MS Word, nastpnie zaraa zdrowe zbiory z rozszerzeniem.doc i zapisuje je jako szablony, poniewa dokumenty nie mog zawiera makr. W ostatnim kroku jedno lub kilka automatycznie wykonywanych makr np. AutoOpen, FileSaveAs, zostaje zastpionych kodem wirusa. Co prawda, standardowo szablony uywaj rozszerzenia.dot w odrónieniu od.doc zarezerwowanego dla dokumentów. Nie ma jednak przeszkody, aby szablon równie miał rozszerzenie.doc i udawał dokument. Nastpnym razem uytkownik otwierajc plik, nie zdaje sobie sprawy ze faktycznie jest to zainfekowany szablon. Łakomym kaskiem dla makrowirusa jest szablon NORMAL.DOT zawierajcy makra globalne. Po jego zaraeniu wirus moe uaktywnia si wraz z kadym uruchomieniem Worda i przenosi si na wszystkie tworzone lub otwierane dokumenty. Znany jest take wirus o nazwie 9

10 WORDMACRO.NUCLEAR, który oprócz zaraania dokumentów Worda potrafi umieci w pamici rezydentnego wirusa Ph33r atakujcego pliki.com i.exe. Przysług wirusowi moe odda przegldarka internetowa, która po załadowaniu pliku.doc z serwisu WWW automatycznie uruchamia Worda w celu otwarcia dokumentu, ryzykujc przy tym infekcje. Po pojawieniu si makrowirusów Worda było tylko kwestia czasu stworzenie ich klonów, atakujcych w ten sam sposób dokumenty Exela i Accessa, a take aplikacji wchodzcych w skład pakietów biurowych firm Corel i Lotus. Ponadto istniej ju wirusy majce zdolno infekowania dowolnego dokumentu z pakietu Microsoft Office. 3.2 Działania wirusów Aby wirus przetrwał i jednoczenie zainfekował jak najwiksza liczb komputerów, jego obecno musi pozosta niezauwaona moliwie jak najdłuej. Sił rzeczy, najczciej skutkiem jego działalnoci jest tylko nieodczuwalne nadszarpnicie zasobów komputera w postaci "kradziey" kilkuset bajtów pamici operacyjnej i niewielkiej iloci miejsca na dysku. Czasem wystarcza to do obnienia stabilnoci systemu. Kariera mikrobów siejcych spustoszenie jest zazwyczaj bardzo krótka, poniewa wykrywane s szybko, zanim si jeszcze nadmiernie rozprzestrzenia. Prawdziwym problemem s wirusy, które replikuj si przez długi czas niezauwaone, a ich nieprzyjemne skutki ujawniaj si dopiero w okrelonych okolicznociach. Za prawdziwa plag naley uzna wirusy wychodzce spod rak mniej wprawnych programistów. Czsto nieudolnie napisane powoduj niezamierzone skutki uboczne w wyniku błdów w kodzie ródłowym. Łatwo je wykrywa i unieszkodliwi, ale jeli ju dojdzie do infekcji, to rzadko udaje si naprawi zaraone pliki. Tak naprawd do tworzenia wirusów nie jest potrzebna adna wiedza, jeeli wykorzysta si do tego jeden z generatorów wirusów, których wiele znale mona w Internecie. Ich obsługa sprowadza si do wyboru funkcji udostpnianych w menu. Czasem mona wpisa tylko tekst, wypisywany przez wirusa na ekranie jako rezultat infekcji, ale niektóre generatory pozwalaj okreli rodzaj zaraonych plików i dołczy własne procedury. Na szczcie stworzone w ten sposób wirusy s zwykle na tyle charakterystyczne, e skanery antywirusowe daj sobie z nimi rad bez wikszego problemu. Zasada działania wirusów uzaleniona jest od inwencji twórców. Moemy w nich wyróni trzy podstawowe fazy. Pierwsza faza wystpuje zawsze, natomiast moment wykonania dwóch pozostałych jest dowolny. Faza 1 aktywacja: jest to uruchomienie głowy wirusa. W przypadku wirusów sektora startowego polega na uruchomieniu komputera z zaraonego nonika, natomiast w przypadku wirusów plikowych jest to uruchomienie zainfekowanego programu. Faza ta jest obligatoryjna i po jej zakoczeniu wirus moe zakoczy swoja działalno. Faza 2 destrukcja: polega na dokonaniu zniszcze w systemie (np. usunicie plików). Jest to najniebezpieczniejsza cze działalnoci wirusa. Faza ta jest opcjonalna, a niektóre wirusy na tym etapie kocz swoje działanie. Faza 3 ujawnienie: polega na poinformowaniu uytkownika o obecnoci niechcianego programu (np. odegranie melodyjki czy wywietlenie komunikatu). Faza ta jest opcjonalna. Główne symptomy wniknicia wirusa do systemu s nastpujce: Uruchamianie niektórych programów jest znacznie wolniejsze. 10

11 Niektóre pliki (w szczególnoci te, które s uruchamiane) zwikszaj swój rozmiar. Nowe pliki nieznanego pochodzenia pojawiły si w komputerze. Ilo wolnej pamici RAM zmniejszyła si z nieznanych powodów. Wystpuj nieoczekiwane komunikaty lub dwiki. System staje si niestabilny. System nagle si resetuje Bomby logiczne Bomba moe pozosta w ukryciu przez długi czas, swoje działanie ukazuje w okrelonym odpowiednimi warunkami czasie (najczciej zalene od aktualnej daty lub liczby poprzednich wywoła programu). Kod moe by ukryty w dowolnym miejscu programu zawierajcego bomb, wic naley ostronie obchodzi si z aplikacjami pochodzenia nieznanego. Bomba logiczna moe bada, którzy uytkownicy s zalogowani lub, jakie programy s w danej chwili uywane w systemie. Raz zaktywizowana, bomba logiczna moe doprowadzi do zniszczenia lub zmiany danych, spowodowa zawieszenie urzdzenia lub w jaki inny sposób uszkodzi system. Co pewien czas media ostrzegaj przed wyjtkowo destrukcyjnym wirusem, który uaktywni si w chwili wybicia ustalonej godziny. Jak do tej pory takie alarmy wzbudzały tylko przeraenie wród słabiej wyedukowanych jednostek społecznoci informatycznej i zwikszały nakład czasopism branowych Fałszywki Fałszywki (ang. haoxy), to inaczej ostrzeenia przed nieistniejcymi wirusami. Cecha charakterystyczna fałszywego ostrzeenia jest proba o przesłanie go do moliwie duej liczby osób - rzekomo w trosce o ich bezpieczestwo. Pocztkujcy Internauci, rozsyłaj fałszywe alarmy, do kogo si tylko da, co pozwala hoaxom kry po Internecie całymi miesicami, w milionach egzemplarzy, doprowadzajc do wciekłoci osoby, które otrzymuj je po raz n-ty. Pamitajmy by nie rozsyła fałszywych alarmów! Jeli trafi do nas ostrzeenie, wystarczy wej na stron dowolnego producenta programów antywirusowych i sprawdzi tam, czy nie jest to hoax. Wygodnym rozwizaniem jest zaprenumerowanie owego biuletynu na temat wirusów. Godny polecenia jest polskojzyczny biuletyn MKS-a. Raz na par dni do naszej poczty owej trafi wiarygodny raport o nowych wirusach oraz zbliajcych si datach uaktywnienia si niebezpiecznych mikrobów atakujcych z opónieniem. Autorzy biuletynu bezlitonie demaskuj te krce po sieci hoaxy! Moemy równie otrzyma a z wiadomoci, e plik o podanej nazwie jest wirusem i mona si go pozby jedynie poprzez usunicie tego pliku. W rzeczywistoci plik nie jest wirusem i moe by nawet czci systemu operacyjnego, a jego usunicie moe spowodowa nieprzewidziane skutki. Uytkownik najczciej zastosuje si do wskazówek zawartych w otrzymanej wiadomoci i w dobrej wierze rozpowszechni ja dalej (w przypadku maili spowoduje to niepotrzebny wzrost generowanego w sieci ruchu). Oprócz wywołania zamieszania fałszywki mog równie przyczyni si do poniesienia szkód (np. otrzymanie wiadomoci o awarii serwera i probie o wysłanie hasła do konta na podany adres). Walczy z takimi fałszywymi alarmami jest szczególnie trudno gdy nigdy nie ma 100% pewnoci czy s one prawdziwe czy nie. Najlepiej jest mie ograniczone zaufanie do podejrzanych i pochodzcych z niepewnych ródeł wiadomoci i sprawdza ich wiarygodnos w serwisach antywirusowych. 11

12 3.2.3 Konie trojaskie Ko trojaski nie jest wirusem komputerowym, ale ze wzgldu na swoje działanie czsto bywa z nim utosamiany. Uruchamiany wykonuje niby normalna prac, wynikajc z przeznaczenia programu, lecz dodatkowo, niejako w tle, od razu po uruchomieniu wykonuje jakie niezauwaalne dla uytkownika operacje (niszczy, kasuje, zamazuje dane na dysku, moe równie wykrada hasła i przesyła je do autora trojana lub brutalnie sformatowa dysk). Konie najczciej przenosz si w plikach udajcych nowe, popularne programy kompresujce (np.: ZIP, ARJ, RAR) lub te udaj programy narzdziowe do obsługi dysków. Moe ukrywa si równie np. w poytecznym (na pozór) oprogramowaniu, jak np. program antywirusowy czy przegldarka plików graficznych. Jak widzimy konie trojaskie znajduj si włanie w takich programach i dlatego te uytkownik sam je sobie instaluje i korzysta z nich, niewiadomy tego, co moe go spotka. Mona powiedzie, e trojan to - zwykły program, który został zmieniony poprzez wstawienie miedzy jego linijki niechcianego kodu i włanie ten kawałek kodu spełnia nie znane uytkownikowi funkcje. Wikszo nowych trojanów posiada opcje, dziki którym zostaniemy powiadomiony e- mailem o tym, e ofiara uruchomiła serwer (zaraony plik) na swoim komputerze. Otrzymamy te numer IP ofiary oraz inne informacje. Oczywicie moemy zdefiniowa adres owy, na który maj by przysyłane te informacje. Prawie kady nowszy trojan pozwala na manipulowanie plikami na komputerze ofiary. Uytkownik moe przeglda, kasowa, przenosi, wysyła, ciga, uruchamia pliki na cudzym komputerze. Trojony maj wiele wicej niebezpiecznych opcji. Uruchamia si je odpowiednim przyciskiem za pomoc, którego mona przykładowo sformatowa dysk twardy ofiary. Inna niebezpieczna funkcja to moliwo uruchomienia serwera FTP na dysku ofiary i otworzenia portów, co pozwoli wszystkim innym uytkownikom sieci na ciganie, wgrywanie czy uruchamianie plików z komputera ofiary. Posiadaj te mniej złoliwe opcje, takie jak ukrycie wskanika myszy, przejcie kontroli nad myszka, restart Windows, wywietlenie rysunku itp. Nie s one szkodliwe, ale mog przeszkadza uytkownikom w normalnej pracy. Uruchomienie zaraonego pliku powoduje otworzenie specyficznego portu i nasłuchiwanie na połczenie z zewntrz. Trojan moe uywa protokołu TCP lub UPD. Jeli ju połczymy si z IP ofiary moemy wtedy robi z jego komputerem, co tylko chcemy, pozwala na to serwer, który ofiara uruchomiła na swoim komputerze. Coraz wicej trojanów uruchamia si ponownie przy kadym restarcie Windows lub wyłczeniu komputera. Modyfikuj pliki win.ini lub system.ini, dziki czemu trojan moe si uruchamia po kadym załadowaniu Windows, wikszo trojanów modyfikuje jednak rejestr, aby uzyska ten efekt. Trojan to bardzo niebezpieczna zabawka. Kto moe dowiedzie si wielu rzeczy o Nas Robaki Robaki (ang. worms) to programy, które podobnie jak wirusy mog zawiera procedury destrukcyjne i z łatwoci mog zniszczy dane zgromadzone na dysku twardym. Robaki s najbardziej popularne w sieciach, gdzie maja do dyspozycji protokoły transmisji sieciowej, dziki którym mog przemieszcza si po całej sieci. Do prawidłowego funkcjonowania nie potrzebuj nosiciela (wytwarzajc swoje dokładne kopie). Rozmnaaj si samoistnie i w sposób cigły, powodujc w bardzo krótkim czasie wyczerpanie zasobów systemu. Wirusy tego typu s zdolne w bardzo krótkim czasie sparaliowa nawet do rozległa sie komputerowa. S uruchamiane przez nasza nieostrono, bd niewiedz. Po uruchomieniu wykorzystuj np. adresy osób z ksiki adresowej programu pocztowego i wysyłaj do nich swoje kopie. 12

13 3.2.5 Bakterie Bakterie (ang. bactery), zwane take królikami (ang. rabbits), to programy, które w zasadzie nie niszcz plików. Ich jedynym celem jest samokopiowanie. Typowy program w rodzaju bakterii moe nie robi nic wicej ni jednoczesne uruchomienie dwóch swoich kopii w systemach wieloprogramowych lub stworzenie dwóch nowych plików, z których kady jest kopia oryginalnego pliku ródłowego bakterii. Oba programy mog nastpnie skopiowa si podwójnie itd. Bakterie reprodukuj si wykładniczo, zabierajc ostatecznie cała moc obliczeniowa procesora, pami lub wolny obszar pamici dyskowej, uniemoliwiajc uytkownikowi dostp do tych zasobów. Ten rodzaj ataku jest jedna z najstarszych form zaprogramowanych zagroe. Uytkownicy niektórych z najwczeniejszych urzdzeniach wieloprocesorowych uywali tych programów w celu zawieszenia pracy danego urzdzenia lub po prostu by zobaczy, co si stanie. Na taka form ataku s szczególnie naraone urzdzenia nie posiadajce ogranicze wykorzystania zasobów i ogranicze w stosunku do uytkowników. 3.3 Wirusy polimorficzne i wirusy typu stealth W zasadzie wszystkie wymienione wczeniej wirusy mog, cho nie musz, nalee do tej grupy. Ich powstanie zwizane jest z postpem w dziedzinie wykrywania wirusów. W pierwszych latach obecnoci wirusów kady miał swoj sygnatur (charakterystyczny tylko dla siebie cig bajtów). Sytuacja zmieniła si, gdy Bułgar o pseudonimie Dark Avenger opracował metod pozwalajc tworzy wirusy samomutujce si, czyli wirusy polimorficzne. Nie maj one stałej sygnatury, poniewa ich kod zmienia si samoczynnie przy kadej infekcji. Wirusy polimorficzne s trudne do wykrycia, poniewa ich róne próbki nie wygldaj tak samo. Czsto dwie próbki tego samego wirusa polimorficznego nie maj ze sob nic wspólnego. Ten polimorfizm moe by osignity poprzez zakodowanie ciała wirusa lub przy uyciu rónych dekoderów. Wirusy typu stealth natomiast, to wirusy, które przechwytuj odwołania systemu operacyjnego do zainfekowanych plików lub sektorów dysku i zastpuj dane, które byłyby widziane, jeli pliki lub sektory nie były zainfekowane. Poprzez te działania wirusy ukrywaj swoj obecno. Stealth boot virus jest typowym przedstawicielem tej grupy wirusów, z jednym interesujcym wyjtkiem. Mianowicie wirus ten tworzy swoje własne MBR, ale nie niszczy zdrowego tylko je przesuwa w inny rejon. Kiedy uruchamia si narzdzie do skanowania boot sectora w celu namierzenia wirusa, wirus "odsyła" program do prawdziwego sektora. Antywirus wierzy, i skanuje prawdziwe MBR i nie widzi problemu, a w rzeczywistoci jest skanowany zdrowy, lecz przesunity i w zwizku z tym fałszywy boot record. Wirusa takiego, antywirus moe zobaczy i usun tylko wtedy, gdy nie jest on aktywny w pamici. Czyli sprowadza si to do czystego zbootowania z czystej dyskietki. 3.4 Wirusy rezydentne (ang. resident viruses) Zasada działania tych wirusów polega na zainstalowaniu si w pamici operacyjnej komputera i przejciu odpowiednich odwoła do systemu w sposób podobny jak czyni to programy typu TSR (Terminate but stay Resident). Typowy wirus rezydentny po zainstalowaniu ukrywa swój kod przed programami przegldajcymi pami. Aktywny i jednoczenie ukryty w pamici, ma o wiele szersze pole manewru ni wirusy nie rezydentne. Monitorowanie odpowiednich funkcji DOS i BIOS pozwala mu przy kadej dowolnej próbie dostpu na infekcje plików lub sektorów. Moliwe jest take zastosowanie techniki zaawansowanego ukrywania si w systemie (patrz opis wirusów stealth). Zawładnicia 13

14 systemu dokonuje si poprzez przejcie odpowiednich przerwa sprztowych i funkcji obsługiwanych przez ogólnie dostpne przerwania programowe. Wirusy rezydujce w pamici przerywaj sw działalno tylko, gdy uytkownik wyłczy lub zresetuje zainfekowany system. Wirusy nie rezydujce w pamici nie infekuj pamici RAM i s aktywne tylko przez ograniczony czas. Niektóre wirusy umieszczaj w pamici RAM małe, rezydentne programy, które nie s odpowiedzialne za rozprzestrzenianie wirusa. Ze wzgldu na szybko mnoenia si wirusy rezydentne dziel si na szybkie infektory i wolne infektory. Szybkie infektory przejmuj wszystkie moliwe funkcje systemu DOS, uywane do obsługi plików i zaraaj wszystko, co jest moliwe, w maksymalnie krótkim czasie, co powoduje, i po okresie bardzo szybkiej ekspansji wirusa w danym systemie nastpuje jego pasywacja, gdy wirus nie moe znale kolejnej ofiary do zaraenia. Czsto pierwsza czynnoci wykonywana przez wirusa jest zniszczenie w pamici kodu zamazywanej czci interpretatora polece, co sprawia, e przy nastpnym wywołaniu jakiegokolwiek polecenia z poziomu DOS plik zawierajcy interpretator polece (czyli najczciej COMMAND,COM) zostanie ponownie uruchomiony i w efekcie natychmiast zainfekowany. Dua aktywno szybkiego infektora bdzie na pewno łatwo zauwaalna dla uytkownika. Wolne infektory ich celem w przeciwiestwie do szybkich infektorów nie jest szybka ekspansja w systemie, lecz raczej jak najdłusze przetrwanie. Wirusy te uywaj najczciej wolnych, kilkustopniowych, zmiennych procedur szyfrujcych i techniki stealth. Infekuj najczciej tylko takie obiekty, które modyfikuje lub tworzy uytkownik, a wic nawet w przypadku sygnalizowania jakiej niebezpiecznej operacji przez ewentualny program antywirusowy uytkownik bdzie przekonany, i potwierdza wykonywane przez siebie czynnoci. S to wirusy bardzo trudne do wykrycia i usunicia, nawet przez bardzo zaawansowane programy antywirusowe. 4 Jak si broni? Podstawow zasad jest posiadanie dobrego pakietu antywirusowego. Pakietu, gdy obecnie wikszo tego typu programów składa si z wielu modułów o rónych funkcjach. Programy antywirusowe s najsilniejszym narzdziem, jakie powstało w celu walki z wirusami. Od momentu pojawienia si pierwszego wirusa powstał cały szereg rónorodnego oprogramowania. Istniejce i cigle rozwijajce si programy ułatwiaj ochron systemu przed inwazj, szybkie jej wykrycie i w wikszoci przypadków usunicie skutków. Programy antywirusowe moemy podzieli na nastpujce grupy funkcjonalne: Blokery - s to jedyne programy, próbujce przeciwdziała inwazji. Zasad ich działania jest monitorowanie poczyna uruchamianych programów i w przypadku odkrycia "podejrzanych" operacji alarmowanie uytkownika i pozostawianie mu decyzji o dalszym działaniu. Jest to znakomita metoda, ale jak kada posiada oczywicie swoje wady. Jedn z nich jest przede wszystkim mała skuteczno, gdy nowe wirusy bardzo czsto posiadaj mechanizmy uniemoliwiajce wyodrbnienie z nich operacji "podejrzanych". Kolejn wad jest zajmowanie czci zasobów komputera - pamici operacyjnej oraz obcianie w jakim stopniu procesora. Ostatni wad jest to, i programy owe maj tendencj do czstego "mylenia si", co zwizane jest z "fałszywym alarmem". 14

15 Programy diagnostyczno-leczce - ta grupa programów opiera si na poszukiwaniu na dysku i w pamici znanych ju wirusów i w przypadku wykrycia (na podstawie charakterystycznych sygnatur zawartych w plikach) - usuwaniu skutków infekcji. S to programy najczciej stosowane i chyba najbardziej przydatne w profilaktyce. Niestety s nieskuteczne w przypadku zainfekowania nieznanym wirusem bd wtedy, gdy wirus zadziała natychmiast po zainfekowaniu komputera i dokona nieodwracalnych zniszcze. Bardzo wane jest take, aby skaner wykorzystywał najnowsze metody wyszukiwania, takie jak np. heurystyczna metoda wykrywania wirusów - chroni przed wirusami polimorficznymi, polega na analizie kodu pliku i symulacji jego wykonania. Pozwala na wykrycie operacji charakterystycznych dla wirusów, takich jak np. próba bezporedniego dostpu do dysku. Programy sprawdzajce sumy kontrolne plików - istot tej grupy programów jest zakładanie bazy danych, zwierajcych pewne cechy zbiorów dyskowych i newralgicznych obszarów dysków. Te programy, przez systematycznym stosowaniu, umoliwiaj wykrycie ródła infekcji, a czasem odzyskanie pozornie bezpowrotnie straconych informacji. Dodatkowo oprogramowanie antywirusowe powinno umoliwia generowanie raportów z biecej pracy. Co zrobi w przypadku zaraenia wirusem? Przede wszystkim sprawdzi na stronie producenta programu antywirusowego, czy posiadamy najnowsz baz wirusów. Jeli nie, naley niezwłocznie cign j i zainstalowa w komputerze. Uy innego programu antywirusowego, jeli mamy tak moliwo. W przypadku zaraenia robakiem internetowym rozsyłanym przez poczt elektroniczn, naley odłczy si od sieci komputerowej, co przerwie rozsyłanie wirusa dalej. Przeczyta, co do tej pory wiadomo na temat tego wirusa: co robi, jak go usun. Tego typu informacje udostpniane s przez producentów oprogramowania antywirusowego. 5 Jak działa program antywirusowy Praca programu antywirusowego polega na sprawdzaniu kodu wchodzcego do komputera lub takiego, który ma by za chwil wprowadzony. Programy antywirusowe obserwuj równie prac działajcych programów i w chwili zauwaenia ich niewłaciwego zachowania podejmuj działania obronne. Programy antywirusowe składaj si z wyspecjalizowanych bloków funkcjonalnych, które współpracuj ze sob zarzdzane przez system administracyjny (Rysunek 1). 15

16 Rysunek 1 Na rysunku 1 przedstawione s moduły stanowice elementy składowe programów antywirusowych. Elementy znajdujce si po lewej stronie rysunku stanowi składowe "tradycyjnych" programów antywirusowych, natomiast elementy znajdujce si po prawej stronie pojawiły si w wyniku wzrostu zagroenia komputerów osobistych, w szczególnoci po podłczeniu ich do Internetu. Modułowa budowa programów antywirusowych umoliwia tworzenie narzdzi przeznaczonych do specjalizowanych zada. Osiga si w ten sposób zwikszenie skutecznoci i efektywnoci pracy przy jednoczesnym zminimalizowaniu zapotrzebowania na zasoby systemu. Przykładem moe by tworzenie oddzielnie monitora antywirusowego i skanera poczty elektronicznej. W momencie, gdy nie odbieramy bd nie wysyłamy poczty skaner pocztowy moe pozosta dezaktywowany natomiast, gdy zaczynamy wykonywa któr z tych czynnoci jest on automatycznie uruchamiany. Głównym składnikiem odpowiedzialnym za prac programu jako całoci jest system administracyjny - z nim uytkownik ma kontakt zarówno podczas konfiguracji programu, jak i decydujc o losach podejrzanych plików. System ten stanowi interfejs poredniczcy pomidzy uytkownikiem a pozostałymi czciami programu oraz zapewnia wymian informacji pomidzy poszczególnymi jego modułami. System administracyjny moe oferowa nastpujce funkcje: automatyczna i rczna aktualizacja baz sygnatur wirusów i oprogramowania, harmonogram zada, 16

17 skanowanie na danie wybranych napdów, katalogów i plików, raporty i statystyki z działania programu, włczanie i wyłczanie oraz konfiguracja monitora antywirusowego, włczanie i wyłczanie oraz konfiguracja zasad filtrowania poczty elektronicznej, włczanie i wyłczanie oraz konfiguracja zasad filtrowania zawartoci stron internetowych, pomoc do programu - moe by off-line (jej ródła znajduj si na komputerze uytkownika) i on-line (dostpna w sieci Internet). Dodatkowo w systemie administracyjnym, w zalenoci od programu, mog si znale nastpujce opcje: konfiguracja dodatkowych usług wiadczonych przez producenta, przesyłanie informacji lub podejrzanego pliku do laboratorium producenta. W przypadku wdroenia sieciowych rozwiza antywirusowych administracja programami na poszczególnych komputerach w sieci moe odbywa si z jednego centralnego miejsca w sieci - serwera administracyjnego. Pozwala to zredukowa koszty zarzdzania oprogramowaniem antywirusowym, jak równie przeprowadza czynnoci administracyjne bez koniecznoci przerywania pracy uytkownikowi. W rozwizaniach sieciowych oprogramowanie instalowane na komputerach-klientach umoliwia uytkownikowi jedynie wybór skanowania na danie wybranych plików, folderów i dysków. Pozostałe moliwoci programu s dla niego niedostpne; uytkownik otrzymuje tylko informacje o decyzji odnonie do zainfekowanego pliku, jak podjł administrator. 5.1 Skaner antywirusowy Skaner antywirusowy, zwany równie "skanerem na danie", sprawdza na danie wskazane pliki, foldery, lub dyski. Skanery mog by uruchamiane równie automatycznie o wczeniej zaplanowanych porach, poprzez odpowiedni konfiguracj funkcji harmonogramu. Moliwe jest równie wywoływanie skanowania w czasie, gdy system nie wykonuje innych zada. Skanery antywirusowe przygldaj si plikom zapisanym w systemie i szukaj sygnatur znanych wirusów, które s charakterystycznym cigiem bitów dla danego programu złoliwego. Poniej zostały przedstawione przykładowe sygnatury: B8 ED FE CD 21 A E 8F 06 6F 01 BA sygnatura wirusa Atomie 1.0 5D 83 ED 03 E EB E8 OF 00 B4 BE B B E D 81 ED EB 1B 90 B CD 21 sygnatura wirusa Ethernity sygnatura wirusa Human Greed sygnatura wirusa OLG Jeeli zostanie znaleziony podejrzany plik, skaner przekazuje informacj o znalezieniu wirusa do systemu administracyjnego, który pozwala podj uytkownikowi decyzj, co zrobi z podejrzanym plikiem. W przypadku korzystania z rozwiza korporacyjnych, decyzje o dalszym losie pliku moe zalee od administratora systemu, natomiast uytkownik zostanie jedynie o niej poinformowany. 17

18 Skanery antywirusowe mog równie posługiwa si bardziej złoonymi metodami wykrywania wirusów ni wyszukiwanie sygnatur. Do metod tych moemy zaliczy: analiz heurystyczn, skanowanie rekurencyjne zarchiwizowanych plików, wykrywanie wirusów makr i polimorficznych, przeprowadzanie leczenia zainfekowanych obiektów oraz dekodowanie plików uywajcych słabych algorytmów kodujcych i sprawdzanie czy w skanowanych obiektach nie zaszły zmiany. 5.2 Monitor antywirusowy Praca monitora antywirusowego polega na skanowaniu obiektów podczas kadego dostpu i monitorowaniu działania systemu. W przypadku wykrycia infekcji lub niepodanych działa monitor blokuje dostp do podejrzanego obiektu i jego działanie, informujc o tym uytkownika. Ten ostatni podejmuje wówczas decyzj o leczeniu pliku, jego usuniciu lub przeniesieniu do kwarantanny. Niektóre programy jedynie trwale blokuj dostp do pliku, informujc uytkownika o wykrytym wirusie, a decyzj odnonie do jego dalszego losu podejmuje administrator. Z uwagi na sposób działania Monitor musi przez cały czas rezydowa w tle. Wymusza to implementacje monitorów jako: programów rezydentnych systemu DOS (TSR), sterowników 16- i 32-bitowe VxD systemu Windows (sterowniki urzdze wirtualnych), usług systemowych w systemach Windows NT/2000/XP, paneli sterowania w komputerach Macintosh, procesów-demonów w systemach UNIX/LINUX. Skanery rezydentne czsto korzystaj z tej samej bazy wirusów, co skaner działajcy na danie, w zasadzie wykrywajc te same wirusy. Jednak ograniczone pod tym wzgldem s skanery rezydentne systemu DOS, ze wzgldu na ograniczone zasoby sprztowe (ograniczona ilo dostpnej pamici). Ponadto skanery TSR systemu DOS w wikszoci nie wykrywaj makro wirusów (ze wzgldu na brak moliwoci uruchomienia wielu z nich w tym systemie) oraz maj trudnoci z wykrywaniem wirusów polimorficznych. Ograniczenia dotyczce metod, jakimi posługuj si monitory antywirusowe w stosunku do skanerów, powodowane s kompromisem pomidzy skutecznoci a zajtoci zasobów systemu. Monitory działaj podczas codziennej pracy uytkownika na komputerze, dlatego te nie mog absorbowa nadmiernie zasobów systemowych. Dua zajto systemu przez monitor skutkowałaby wydłuonym czasem oczekiwania uytkownika na realizacj jego zada. To - z kolei - implikuje ch wyłczania zabezpiecze, a tym samym całkowit rezygnacj z ochrony antywirusowej. Istotn technik pracy monitorów antywirusowych jest obserwacja pracy systemu. Praca narzdzia wykorzystujcego t technik polega na rezydowaniu w pamici w celu ledzenia działajcych procesów i wypatrywania ich moliwych szkodliwych działa. W momencie wykrycia próby wykonania szkodliwej operacji, monitory blokuj jej działanie i informuj o tym uytkownika. Ten musi okreli czy zaobserwowane działanie jest prawidłowe, czy te nie. Zalenie od podjtej decyzji monitor pozwala na wykonanie operacji lub blokuje j. Programy stosujce t metod nie potrzebuj bazy danych sygnatur wirusów i mog wykrywa nie zidentyfikowane wczeniej programy złoliwe. Ponadto nie wymagaj tak czstych uaktualnie jak skanery znanych wirusów oraz mog pracowa we wczeniej zainfekowanych systemach. Natomiast do wad tej metody walki z wirusami zaliczamy du absorpcj uwagi uytkownika, który musi - ze wzgldu na mał rónic pomidzy działaniami szkodliwymi a podanymi - potwierdza prawidłowo rónych działa. W momencie wykrycia 18

19 prawdziwego szkodliwego programu to uytkownik musi podj decyzj, co zrobi. Kolejn wad jest moliwo ominicia tak działajcych zabezpiecze przez wirusy uywajce procedur niskopoziomowych zamiast standardowych wywoła systemowych. Jednak niektóre monitory działa mog wyszukiwa programy przeprowadzajce niskopoziomowe działania na sprzcie z pominiciem standardowych wywoła systemowych. 5.3 Skaner poczty elektronicznej Skaner poczty elektronicznej jest czci programu antywirusowego instalowan pomidzy serwerem, a klientem pocztowym, co umoliwia sprawdzanie poczty przychodzcej i wychodzcej. Rysunek 2 Zadaniem skanera poczty jest odebranie wiadomoci od serwera pocztowego lub klienta poczty, przetestowanie jej i zdecydowanie o jej dalszym losie (rysunek 2). W zalenoci od moliwoci i konfiguracji skanowane mog by wyodrbnione załczniki z wiadomoci, bd te całe wiadomoci. Jednak, w tym drugim przypadku, moduł skanujcy poczt musi mie moliwo skanowania pocztowych formatów tekstowych. Natomiast, gdy program potrafi wyodrbnia załczniki z wiadomoci, w razie wykrycia jego infekcji moe go wyleczy lub usun, a do klienta pocztowego dociera - ju bezpieczna - wiadomo. W takim przypadku program antywirusowy informuje o przebiegu operacji. Jeli zainfekowana poczta była wysyłana z chronionego komputera, przesyłka taka jest blokowana, a o wykryciu infekcji uytkownik informowany jest stosownym komunikatem. Podobnie wyglda sposób postpowania, gdy program pocztowy operuje na wiadomoci w pocztowym formacie tekstowym. Natomiast, gdy nie zostanie wykryta infekcja, program antywirusowy przekae wiadomo dalej; w przypadku poczty wychodzcej - do serwera pocztowego, a w przypadku poczty przychodzcej - do klienta pocztowego. 5.4 Moduł naprawczy Moduł naprawczy, to cz programu antywirusowego odpowiedzialna za usunicie złoliwego programu z pliku oraz przywrócenie go do stanu sprzed infekcji. Niestety niektóre skutki infekcji lub działania wirusa mog by nieodwracalne, a inne, takie jak zmiany w rejestrze, chocia s odwracalne - to zwykle nie s poprawiane. Ostatnio mona zauway tendencj wród producentów narzdzi antywirusowych do oferowania specjalizowanych narzdzi do usuwania konkretnych, głboko zagniedonych, wirusów (na przykład Sasser A, Blaster). 19

20 Narzdzia dezynfekujce mog wykorzystywa: sumy kontrolne, heurystyki, bazy z informacjami o zmianach dokonywanych przez wirusy. W przypadku wykorzystania sum kontrolnych musimy mie pewno, e wyliczanie sum kontrolnych nastpiło w momencie, gdy pliki nie były zainfekowane. Spowodowane to jest tym, e wyliczenie sum kontrolnych dla zainfekowanych plików, powoduje przeoczenie faktu infekcji. Detektory heurystyczne wykorzystuj algorytmy starajce si przywróci oryginaln zawarto obiektów. W swej działalnoci nie wykorzystuj baz znanych wirusów. Natomiast dezynfektory wykorzystujce bazy danych znanych wirusów potrafi precyzyjnie usun programy złoliwe. 5.5 Moduł kwarantanny Zadaniem tego modułu jest, bezpieczne dla systemu, przechowywanie obiektów zainfekowanych lub podejrzanych o infekcj. Mechanizmy zaimplementowane w module kwarantanny uniemoliwiaj uruchomienie takiego pliku oraz blokuj dostp do niego wszystkim uytkownikom i programom poza programem antywirusowym. 5.6 Moduł aktualizacji Moduł ten pozwala na pobieranie uaktualnie baz sygnatur wirusów. Pobieranie najczciej odbywa si metod przyrostow, co oznacza, e bazy sygnatur wirusów na serwerze producenta porównywana jest z baz na komputerze klienta i cigane s tylko brakujce definicje wirusów. Metoda ta pozwala zmniejszy obcienie łcza zarówno serwera z aktualizacjami, jak i łcza klienta. Funkcja umoliwia równie aktualizacj plików programu antywirusowego. Programy antywirusowe wyposaone s w funkcj automatycznego pobierania aktualizacji. Przebiega ona nastpujco: program, co pewien (okrelony) czas sprawdza czy na serwerze aktualizacyjnym pojawiły si nowe elementy do pobrania. Jeli tak, ciga je i informuje uytkownika o aktualizacji (powiadamianie mona wyłczy). W module aktualizacyjnym dostpna jest opcja wyłczajca automatyczn aktualizacj. W tym momencie moliwe jest rczne przeprowadzanie aktualizacji na yczenie, bd ustalenie harmonogramu aktualizacji bez udziału uytkownika. Opcja ta pozwala wybra dowoln por dnia i dowolny dzie tygodnia, w którym bdzie dokonywana aktualizacja bez udziału uytkownika. Mona równie wybra cykliczne wykonywanie aktualizacji o okrelonej porze w danym dniu tygodnia, na przykład zawsze w pitek o W zalenoci od konfiguracji rodowiska pracy (jedno stanowisko komputerowe lub komputer pracujcy w sieci lokalnej) mona zastosowa róne strategie aktualizacji. I tak, w przypadku jednego komputera moliwy jest tylko scenariusz aktualizacji bezporedniej z serwera z uaktualnieniami do programu (nowe definicje wirusów, pliki programu). Natomiast w przypadku komputerów pracujcych w lokalnej sieci komputerowej moliwy jest scenariusz taki jak dla pojedynczego komputera, czyli kady z komputerów łczy si bezporednio z serwerem aktualizacyjnym producenta lub pobieranie aktualizacji za porednictwem dedykowanego serwera do pobierania aktualizacji. W przypadku zastosowania strategii aktualizacyjnej za porednictwem serwera, wszystkie aktualizacje s najpierw przez niego cigane, a dopiero stamtd (co wymaga akceptacji administratora) dystrybuowane do komputerów klienckich. Strategia ta pozwala zmniejszy obcienie łcza, poprzez które sie lokalna jest połczona z Internetem oraz zmniejszy obcienie serwera aktualizacyjnego producenta oprogramowania. Ponadto 20