Počítačové viry a ochrana proti nim

Počítačový virus je zvláštní program, který je schopný vytvářet své kopie. Aby zabezpečil své spuštění, připojuje se k souborům na disku, ukládá se do systémových oblastí apod.

 Počítačové viry tvoří dvě velké skupiny:

• boot viry
• souborové viry.

Existují i viry kombinované nebo jiného typu ( např. adresářové ).

Boot viry

Tělo viru je umístěno v boot sektoru diskety nebo v MBR pevného disku. Aktivuje se po zavedení systému z napadeného disku. Pokud je virus aktivní, může napadnout každou disketu, nechráněnou proti zápisu, se kterou pracujeme. Z diskety na pevný disk se virus přenese jen po zavedení systému z napadené diskety. Napadená disketa nemusí být pouze systémová.

Souborové viry

Souborový virus se připojuje nebo přepisuje spustitelné soubory (.COM, .EXE), nebo soubory, které obsahují spustitelný kód ( .BIN, .OVL aj.). Tento virus se aktivuje, po spuštění napadeného souboru.

Zvláštní skupinu souborových virů tvoří viry, které kromě souborů napadají i MBR pevného disku, ne však boot sektor disket. Takový virus se aktivuje kromě spuštění napadeného souboru i po zavedení systému z napadeného pevného disku.

Viry můžeme dále dělit na:

• pamě?ově rezidentní (po aktivaci jsou trvale umístěny v paměti)
• nerezidentní

Nerezidentní virus způsobí nákazu jen po spuštění napadeného souboru. Běžně nakazí několik souborů obvykle v aktuálním adresáři.

Rezidentní virus se po spuštění napadeného souboru umístí v operační paměti. Nejčastěji to bývá v konvenční paměti, pomocí přerušení INT 12 zajistí, aby nebyl přepsán jiným programem. Rezidentní virus se může nacházet v konvenční paměti, v paměti EMS a v prvním 64 kB segmentu paměti extended (tedy 0-1088 kB). Rezidentní virus může napadnou libovolně velký počet souborů.

Obecná činnost vykonávána viry

Viry vykonávají během svého životního cyklu mnoho akcí (pořadí bývá u každého viru individuální, nemusí být použity všechny akce):

• převzít kontrolu nad procesorem
• zkontrolovat aktuální stav prostředí
• nainstalovat se do paměti
• přesměrovat přerušení
• provést test na podmínku spuštění škody (datum, počet spuštění...)
• vykonat škodlivou činnost
• najít místo pro vytvoření své kopie
• zkontrolovat, zda místo neobsahuje kopii
• vložit svou kopii
• uskutečnit úpravy napadeného místa ( zakódování )

Způsoby přenosu virů mezi počítači

Viry se šíří v rámci jednoho počítače i mezi počítači. Existuje několik možných přenosových médií mezi počítači:

Běžné média

• diskety
• sí?ové linky ( při zapojení v síti )
• telefonní linka ( při použití modemu )
• výměnné pevné disky
• disky CD ROM

Nepříliš častá média

• sériová linka ( při propojení počítačů )
• uveřejněný zdrojový text viru
• paměti EPROM

Postup při napadení počítače virem

1. Vypneme počítač.
2. Zavedeme systém z čisté DOS diskety chráněné proti zápisu.
3. Z diskety spustíme antivirový program. Pokud chceme spouštět antivirový program z napadeného disku, nejprve ho zkopírujeme z diskety na pevný disk. Antivirový program spuštěný z pevného disku poskytuje větší možnosti při léčení, jeho práce je rychlejší.
4. Jestliže se jedná o souborový virus, napadené soubory necháme" vyléčit", pokud máme soubory zálohované, je vhodnější napadené soubory smazat a nainstalovat nové. Po vyléčení i lepším antivirovým programem ne vždy soubory pracují korektně.
5. Jestliže jde o boot virus, necháme provést obnovu boot sektorů antivirovým programem, nebo příkazem SYS si provedeme obnovu sami (SYS spouštíme z diskety).
6. Jestliže se jedná o virus v MBR, zálohujeme si nejprve všechny systémové oblasti a zkontrolujeme funkčnost záložních kopií. Antivirové programy občas poškodí při odstraňování tohoto viru tabulku partition, čímž způsobí ztrátu dat. Jestliže dokáže náš antivirový program virus v MBR odstranit, nebo umí sektor obnovit z diskety, provedeme jeho obnovení.
7. Zkontrolujeme všechny diskety.
8. Informujeme o nákaze uživatele, se kterými si vyměňujeme diskety

Ochrana před počítačovými viry

• softwarová
• hardwarová

Softwarová ochrana

Softwarová ochrana je realizována antivirovými programy. Služby, které antivirové programy poskytují lze rozdělit do tří skupin:

• konkrétní antivirové techniky
• obecné antivirové techniky
• preventivní ochrana

Konkrétní antivirové techniky vyhledávají pouze známé viry podle virové databáze, kterou je nutné aktualizovat. Většinu takto nalezených virů je možné ze souborů nebo z boot sektorů také odstranit, a to buď s použitím informací o viru, který příslušný soubor infikoval nebo s použitím původních informací o souboru, které popisují, jak vypadal před infekcí. Největší výhodou této metody je její rychlost, tato metoda se tedy používá pro pravidelné kontrolování pevného disku. Známé viry je také možné vyhledávat v každém spouštěném, kopírovaném, otevíraném souboru a v zaváděcích sektorech všech disket, které do počítače vkládáme. K tomu je určen rezidentní ovladač, který lze zavádět vždy po spuštění počítače. Tento ovladač se zavádí v config.sys a je tedy v paměti ještě dříve, než se načte command.com (což je obvyklá základna většiny virů). Samozřejmě nechybí možnost prohledat pamě? na přítomnost rezidentních virů.

Obecné antivirové techniky se snaží najít a pokud je to možné i odstranit neznámý virus. První metodou, jak najít neznámý virus je tzv. srovnávací test. Při prvním spuštění tohoto testu si program zapíše důležité informace o souborech (velikost, datum, čas, atributy a kontrolní součty). Při dalších spuštěních porovnává tyto informace s aktuálním stavem. Pokud v těchto údajích došlo ke změně většího rozsahu, je pravděpodobné, že počítač byl napaden virem. Antivirový program AVG obsahuje i heuristickou analýzu. Heuristická analýza podrobně analyzuje obsah souborů na pevném disku a vyhledává v něm různé podezřelé konstrukce (přímé zápisy na disk, převzení kontroly nad operačním systémem apod.). Heuristická analýza je obecně fungující metoda, není tedy závislá na virové databázi. Automaticky se při této metodě provádí test i na známé viry. Pokud je tedy soubor označen za napadený, prohledává se v databázi virů a jméno viru je vypsáno, v opačném případě je virus označen jako neznámý. Program obsahuje tzv. plnou heuristickou analýzu (heuristická analýza s emulací kódu), kdy se antivirový program přímo pokouší emulovat činnost počítače při spuštění programu. Nevýhoda metody je v tom, že často dochází k falešným poplachům, kdy některé soubory jsou označovány jako napadené. Avšak vzhledem k zvětšování počtu stále složitějších virů, bude v budoucnu tato metoda nejčastěji používaná. Test prostředí na souborové viry spočívá v tom, že program vygeneruje na disk soubory typu .com a .exe, potom je kopíruje a provádí s nimi různé operace, přičemž vždy kontroluje jejich obsah. Pokud se při manipulaci s nimi změní jejich obsah, je velmi pravděpodobné, že se na návnadu právě chytil virus. Obdobně je program schopen vygenerovat na disketu prázdný zaváděcí sektor a poté kontrolovat, byl-li nějak změněn.

Preventivní antivirové techniky se doporučí využívat pokud možno ještě předtím, než se virus v počítači usídlí. Spočívají v zálohování některých důležitých informacích o počítači, podle nichž bude v případě potřeby možné obnovit původní stav. Pomocí programu si můžeme uložit obsah paměti CMOS, tabulku rozdělení pevného disku apod. Po napadení počítače lze tyto informace zpětně obnovit.

Jiné antivirové programy (F-PROT, SCAN) obsahují další užitečnou funkci - vkládání vlastních virových řetězců. Tato metoda se však neuplatní v případě polymorfního viru.

Hardwarová ochrana

Kromě softwarové ochrany před viry existuje i možnost hardwarové ochrany. Ta je realizována pomocí rozšiřující karty. Karta obsahuje pamě? ROM se speciálním softwarem.

Základní funkce:

• bezpečnost je zajištěna pomocí několikastupňového ochranného systému
• přístup k počítači je pomocí šifrovaného hesla
• uživatele je možné rozdělit podle přístupových práv, které si sami navrhneme
• pro pevné disky a diskety je možno nastavit přístupová práva (jen čtení, zápis apod.)
• dlouhodobé sledování provozu počítače včetně registrace všech pokusů o porušení přístupových práv
• karta obsahuje baterii zálohovanou pamě?, ve které jsou uložena všechna přístupová práva a nastaveny parametry
• kartu je možné doplnit o nadstavbové moduly pro zálohování, kódování apod.

Automaticky je zajištěna ochrana boot sektorů proti přepsání a formátování.

Související odkazy

http://www.mujweb.cz/www/mirap/virus.htm

http://best.site.cz/igi/index.html