Vlastnosti počítačového vírusu

Počítačový vírus Počítačový vírus je program, ktorý dokáže rozmnožovať sám seba pridávaním svojho kódu do iných programov. Pre svoje rozširovanie teda podobne ako biologický vírus potrebuje hostiteľa – iný program. Z toho vyplýva, že do počítača sa môže dostať jedine tak, že spustíme nainfikovaný program. Spolu so spustením nainfikovaného programu sa aktivuje vírus v operačnej pamäti, a potom napadne i ďalšie súbory v počítači. Účinky nákazy počítača vírusom (alebo inými druhmi malware, ako sú trójske kone, červy atď.) sú rozličné – od vypísania "vtipných" textov až po zničenie dát uložených na diskoch alebo ich odoslanie záškodníkovi prostredníctvom Internetu – podľa toho, čo autor vírusu v ňom implementuje.

Základné pojmy

Počítačový vírus je jednou z mnohých hrozieb bezpečnosti a integrity počítačových systémov. Z programátorského hľadiska je počítačový vírus počítačový program, ktorý môže infikovať iný počítačový program takým spôsobom, že do neho skopíruje svoje telo, čím sa infikovaný program stáva prostriedkom pre ďalšiu aktiváciu vírusu. Pojem vírus definoval Fred B. Cohen na Pennsylvánskej univerzite, kde experimentoval so samoreplikujúcim sa kódom. Prvé publikácie v oblasti vírovej problematiky sa datujú do rokov 1984-85. V súčasnosti poznáme viac ako 30 000 rozličných, viac či menej nebezpečných, vírusov. Počítačový vírus je špeciálna programová aplikácia, ktorá je schopná vytvárať kópie. Tato aplikácia má vždy svojho autora. Aby zabezpečil svoje spúšťanie, pripája sa k súborom na disku alebo sa ukladá do systémových oblastí počítača. Vírusy potom môžu neočakávane meniť činnosť programu a môžu mať až charakter naprogramovaného sebazničenia súborov programových aplikácii s časovým oneskorením – tzv. časovaná bomba. Vírusy, ktoré prenikli do počítača za pomoci nevinných súborov – tzv. trójske kone, môžu napríklad zničiť ochranu heslom. Ak je počítač pripojený k sieti Internet môže byť ľahko napadnutý hackerom – človek, ktorý má veľké poznatky o sieti Internet a jeho snahou je deštrukcia súborov alebo vykonanie čo najväčších škôd v databázach počítačov.

Typy počitačových vírusov


Boot vírusy

Špeciálnym druhom vírusov boli v minulosti tzv. Boot vírusy, ktoré namiesto bežných programov napádali miesto na nosiči dát, z ktorého sa dá zaviesť operačný systém. Najčastejšie sa prenášal pri zabudnutí diskety v disketovej jednotke pri zapínaní počítača. V dnešnej dobe už tento druh vírusov prakticky vymizol.


Makro vírusy

Ďalším špeciálnym druhom vírusov sú Makro vírusy, rozšírené najmä v prostredí kancelárskeho balíka MS Office (Word, Excel, PowerPoint, Outlook…), prípadne aj v iných, menej rozšírených programoch. Do softvéru bola pridaná možnosť vytvárať „makrá“ – malé programy zahrnuté v dokumentoch, ktoré mali pôvodne slúžiť na automatizáciu často vykonávaných krokov. Jazyk tvorby makier však umožňuje zahrnúť do nich aj potenciálne nebezpečné operácie ako napr. zápis na disk. Otvorením dokumentu, ktorý obsahuje makro vírus, sa telo vírusu najčastejšie skopíruje do šablóny „normal“, z ktorej sa vytvárajú všetky nové dokumenty. Každý nový dokument, ktorý potom vytvoríte, je napadnutý makro vírusom. Našťastie novšie balíky Office na prítomnosť makra upozorňujú a ich dôveryhodnosť sa dá zabezpečiť napríklad digitálnym podpisom, pomocou ktorého sa dá zistiť, kto makro vytvoril.


Adware

Do tejto skupiny patria softvery, ktoré zobrazujú reklamu. Slovo adware je skrátením slov advertising-supported software. Takéto programy sú najčastejšie súčasťou iného programu, ktorý nie je škodlivý. Je to cesta, akou sa snažia programátori získať peniaze za svoj program. Nebezpečenstvo týchto programov je v tom, že integrované reklamné systémy sú často spywarom.


Spammer

Spammery sú programy, šíriace sa podobne ako vírusy, ktoré rozosielajú spam – nevyžiadanú poštu, ktorá obsahuje reklamu. Každý napadnutý počítač sa stáva odosielateľom nevyžiadanej pošty. V takomto prípade nepomôže ani zablokovanie adresy odosielateľa, pretože počet počítačov, z ktorých sa spam odosiela, sa zväčšuje lavínovite. Na koordinovanie takýchto napadnutých počítačov sa používa systém nazývaný botnet. Sú to úplne nezávisle pracujúce programy vhodne rozmiestnené v sieti internet, cez ktoré útočník môže prikázať spammerom zmeniť obsah odosielanej správy, upraviť ich tak, aby sa nedali odhaliť ani najnovšími antivírovými systémami atď.


Dialery

Táto kategória programov je nebezpečná pre tých, ktorí používajú na pripojenie do internetu Dial Up (vytáčané spojenie cez telefónnu linku). Tieto programy presmerujú číslo, pomocou ktorého sa pripájame na internet, na audiotexové číslo. Niektoré dialery dokonca nastavia spojenie tak, aby zostalo otvorené aj po zatvorení prehliadača. Najčastejšie sa programy nachádzajú na stránkach s erotickým a pornografickým materiálom ponúkajúcich „Instant Access“ (priamy prístup), bez nutnosti použitia šekov a kreditných kariet. Z čoho vyplýva, že sa aktivuje pričinením používateľa, a preto ani poskytovateľ pripojenia neuzná reklamáciu vysokej faktúry. Našťastie sa dnes už vytáčané linky stávajú raritou, no svoj počítač môžete ochrániť i programom antidialerom, ktorý zabráni zmene nastavenia internetového pripojenia.


PopUp a Hijackery

Do tejto kategórie patria programy vložené do webových stránok, ktoré otvárajú okná s reklamou. Tieto okná sú najčastejšie také agresívne, že pri pokuse zatvoriť ich, sa otvoria ďalšie. Takéto programy sa nachádzajú na stránkach s pornografickými materiálmi, hudbou, či zvonení do mobilov. Tieto okná však dnes už blokuje väčšina moderných prehliadačov. Niektoré druhy malware (tzv. Hijackers, v preklade únoscovia) spôsobujú "samovoľné" otváranie okien prehliadača i v čase, keď používateľ žiadne webové stránky neotvára, prípadne menia nastavenie Vašej domovskej stránky, stránok s chybovými hláseniami prehliadača a vyhľadávacie stránky na svoje vlastné. Nepríjemné je to, že znemožnia nastavenie týchto stránok späť. Ďalšou nepríjemnosťou je, že sú to najčastejšie stránky s pornografickým obsahom, na ktorých sa môže nachádzať ďalší škodlivý malware.


Phishing

Správy Hoax sú väčšinou iba neškodným žartom (ak si odmyslíme stratu času vzniknutú zaoberaním sa nimi), ale existujú i také správy, ktoré sú písané s cieľom podvodu. Takéto správy sa odborne nazývajú Phishing (v preklade niečo ako rybačka). Typickým príkladom sú e-maily, ktoré vyzývajú na zmenu kódu k bankovému účtu. V takomto e-maile je umiestnený odkaz, na ktorom si heslo máte zmeniť. Odkaz však nesmeruje na stránku banky, ale na jej dokonalú napodobeninu. Takéto správy sú väčšinou veľmi formálne napísané. Niektoré dokonca vyzerajú tak, akoby ich odosielateľom bola samotná banka. Pri každej takejto správe treba spozornieť, keďže banky nikdy nevyzývajú na podobné operácie e-mailom.


Pharming

Najzákernejší spôsob, ktorým Vás hacker môže pripraviť o úspory, je Pharming (farmárčenie). Táto metóda spočíva v presmerovaní názvu www stránky na inú adresu. Každej mennej adrese napríklad ib.vub.sk prislúcha číselná adresa napríklad 215.5.214.144. Pomerne jednoduchým spôsobom sa dá toto nastavenie zmeniť. Ak zadáte mennú adresu do Vášho prehliadača, miesto stránky banky sa zobrazí jej dokonalá napodobenina. Vy teda ani nezbadáte, že ste na inej stránke. Po zadaní údajov, ich získa neoprávnená osoba, ktorá takúto falošnú stránku vytvorila. Proti takejto hrozbe sa môžete brániť rôznym spôsobom. Najjednoduchším spôsob je zistiť si číselný kód stránky internetbankingu. Stačí otvoriť príkazový riadok (štart→programy→príslušenstvo→príkazový riadok) a zadať príkaz ping adresa (napr. ping ib.vub.sk). Potom miesto mennej adresy do prehliadača zadáte číselnú adresu (nezabudnite pred ňu napísať https://). Niektoré banky vám ihneď po prihlásení pošlú SMS s kódom, ktorý musíte zadať alebo Vás aspoň upozornia, že sa niekto prihlásil k Vášmu účtu.


Prevencia

Jediný spôsob, ako stopercentne zabrániť nákaze, je nepoužívať počítač. Denne totiž vznikajú nové a nové vírusy, ktorých prítomnosť v počítači ani nemusíme odhaliť, a kvôli nim si "zdravím"svojho počítača nemôžeme byť úplne istý nikdy. Hovorí sa, že dôležitejšia ako samotnéliečenie je prevencia. Ako teda zabrániť preniknutiu vírusu do vášho počítača?
Ø nepoužívať cudzie, neznáme diskety,
Ø neotvárať neočakávané dokumenty vo svojeje-mailov ej schránke,
Ø pravidelne zálohovať údaje.
Ø záložné diskety chrániť voči zápisu,
Ø nenechávať pri štarte počítača disketu vmechanike,
Ø používať originálny software od autorizovanýchdistribútorov,
Ø pokiaľ možno, obmedziť prenos údajov a programovmedzi počítačmi.
Nič a ani dodržiavanie týchto zásad vás nemusí ochrániť pred napadnutím, preto je rozumné okrem spomínaných zásad používať aj antivírové programy.

Detekcia vírusov

1. Porovnávací test.

Antivírový program si po inštalácii vytvorí databázu informácií o súboroch uložených na diskoch počítača. Potom porovnáva napríklad veľkosť spustiteľného súboru s údajom naposledy zapísaným do databázy. Pri zmene veľkosti spustiteľného súboru antivírový program upozorní na možnosť vírusovej nákazy. Možno totiž predpokladať, že veľkosť spustiteľného súboru sa nemení. Táto metóda detekcie vírusov nevyvoláva toľko planých poplachov ako napríklad metóda heuristickej analýzy. Na druhej strane autor nového vírusu môže obísť problém databázy informácií o súboroch priamo úpravou zápisu v tejto databáze.

2. Heuristická analýza

Je spôsob podrobnej analýzy obsahov súborov na pevnom disku spojenej s vyhľadávaním rôznych podozrivých častí kódu (priame zápisy na disk, prevzatie kontroly nad operačným systémom). Heuristická analýza je všeobecne fungujúca metóda, ktorá nie je závislá na vírusovej databáze. Automaticky sa pri tejto metóde vykonáva test aj na známe vírusy. Ak je niektorý súbor označený ako napadnutý, prehľadáva sa v databáze vírusov a meno vírusu je vypísané, v opačnom prípade je vírus označený ako neznámy. Ak antivírusový program obsahuje tzv. plnú heuristickú analýzu (heuristická analýza s emuláciou kódu), vtedy sa antivírový program priamo pokúša emulovať činnosť počítača pri spustení programu. Touto metódou môže antivírový program nájsť a odhaliť úplne nový, neznámy vírus, ktorý nie je obsiahnutý v databáze antivírového programu, ktorý prehľadáva súbory metódou skenovania. Táto metóda odhaľovania vírusov môže označiť za nakazené neznámym vírusom aj tie súbory, ktoré sú v poriadku. Stačí, keď vnútorná štruktúra kódovania bude podobná kódovaniu vírusov alebo ich správaniu.

3. Skenovanie

Je metóda založená na porovnávaní reťazcov kódov vírusov obsiahnutých v internej databáze antivírového programu s reťazcami v skenovaných súboroch. Ak narazí antivírový program na súbor, ktorý obsahuje kód vírusu zhodný s kódom v internej databáze, ohlási nájdenie vírusu a pomenuje ho menom priradeným kódu v databáze. Takýto spôsob ochrany je veľmi spoľahlivý, na druhej strane úroveň ochrany závisí na aktuálnosti vírovej databáze. Ak ju užívateľ nebude pravidelne a často aktualizovať, program proti novým vírusom nemá najmenšiu šancu. Väčšinu takto nájdených vírusov je možné zo súborov alebo z boot sektorov odstrániť, a to buď s použitím informácií o víruse, ktorý príslušný súbor infikoval alebo s použitím pôvodných informácií o súbore, ktoré popisujú, ako vyzeral pred infekciou. Najväčšou výhodou tejto metódy je jej rýchlosť, táto metóda sa preto používa pre pravidelné kontrolovanie pevného disku.

4. Rezidentný štít

Pri štarte počítača sa do operačnej pamäte automaticky zavedie rezidentný antivírus, ktorý monitoruje činnosť počítača. V prípade neobvyklých operácií (zápis do systémových oblastí diskov, modifikácie spustiteľných súborov apod.) antivírový program ihneď upozorní na túto neobvyklú činnosť a čaká na reakciu užívateľa. Táto metóda je využívaná od doby, keď sú počítače dostatočne výkonné a majú dostatočnú operačnú pamäť, takže rezidentný antivírus systém prakticky nezaťažuje.