Każdy użytkownik komputera na pewno słyszał, lub co gorsza "osobiście" miał do czynienia z wirusem. Jednak niewielu z nich zna zasadę ich działania, gdyż w tej dziedzinie, tak jak w wielu innych dziedzinach naszego życia, panują ustalone stereotypy. Są one wynikiem zarówno braku wiedzy przeciętnego użytkownika, jak i dezinformacji, lub raczej braku poprawnych i pożytecznych informacji, ze strony mediów i producentów oprogramowania antywirusowego. Niniejsza praca ma na celu przybliżenie problematyki wirusów i "wyprostowanie" wszelkich błędnych opinii na ich temat.
Co to takiego ten wirus???
Wirus komputerowy jest niewielkim programem, powielającym się poprzez zarażanie zbiorów wykonywalnych, jednostek alokacji plików lub sektora startowego nośnika danych (HDD, FDD) oraz dokumentów stworzonych za pomocą pakietów biurowych takich jak MS Office. Ogólna nazwa "wirus" kryje cztery zasadnicze rodzaje programów:
1. Wirusy, których ogólna definicja pokrywa się z podaną wyżej,
2. Konie trojańskie - wirusy te ukrywają się w pożytecznym (na pozór) oprogramowaniu, jak np. program antywirusowy (!) czy przeglądarka plików graficznych. Program tego typu po jego uruchomieniu oprócz wykonywania swoich "oficjalnych" zadań dokonuje także spustoszenia w systemie,
3. Bomby logiczne - rodzaj wirusa, który może pozostać w ukryciu przez długi czas. Jego aktywacja następuje w momencie nadejścia określonej daty lub wykonania przez użytkownika określonej czynności, takiej jak np. skasowanie określonego pliku,
4. Robaki (worms) - małe, ale bardzo szkodliwe wirusy. Do prawidłowego funkcjonowania nie potrzebują nosiciela. Rozmnażają się samoistnie i w sposób ciągły, powodując w bardzo krótkim czasie wyczerpanie zasobów systemu. Wirusy tego typu są zdolne w bardzo krótkim czasie sparaliżować nawet dość rozległą sieć komputerową.
Szczegółowa klasyfikacja wirusów:
1. Wirusy plikowe (tzw. "zwykłe", file viruses):
Wirusy plikowe to najstarsza rodzina tych programów. Każdy wirus przed dokonaniem szkód najpierw ulega replikacji, dlatego rozwój "przemysłu" wirusowego wiąże się z wynajdywaniem nowych nosicieli. Początkowo na atak wirusów tego typu narażone były tylko pliki wykonywalne (*.exe, .com) oraz wsadowe (*.bat). Rozwój technologii wirusów powiększył grono zagrożonych plików o zbiory zawierające fragmenty kodu, biblioteki, sterowniki urządzeń (*.bin, *.dll, *.drv, *.lib, *.obj, *.ovl, *.sys, *.vxd).
Zasada działania:
Infekcja następuje poprzez dopisanie kodu wirusa na końcu pliku (wirusy starsze) lub modyfikację jego początku i dopisanie kodu w środku lub na końcu (wirusy nowsze, atakujące niewykonywalne pliki). Załadowanie zainfekowanego pliku do pamięci jest równoznaczne z uaktywnieniem wirusa. Wiele wirusów nie niszczy zaatakowanego pliku, dzięki czemu może po aktywacji wykonać program nosiciela, tak że użytkownik niczego nie podejrzewa.
2. Wirusy sektora startowego dysku (wirusy boot sektora, boot sector viruses):
Innym nosicielem wirusa może być sektor startowy nośnika danych, takiego jak dysk twardy (MBR - Master Boot Record) czy dyskietka (Boot sector). Wirusy tego typu są szczególnie groźne. Wynika to z faktu, iż po uruchomieniu komputer próbuje wczytać system, który jest zapisany w pierwszym sektorze dysku lub dyskietki. Należy mieć świadomość, że każda sformatowana dyskietka, nawet nie zawierająca plików systemowych, posiada boot sektor, a więc jako taka może zawierać wirusa.
Wirus tego typu może ulokować się w MBR i np. zniszczyć jego zawartość, uniemożliwiając tym samym dostęp do dysku. W innym przypadku wirus przenosi kod inicjujący system z sektora startowego w inny obszar dysku i zajmuje jego miejsce, co powoduje jego załadowanie jeszcze przed (!) startem systemu, a więc także przed uruchomieniem jakiegokolwiek oprogramowania antywirusowego. Działanie tego typu umożliwia wirusom przejęcie kontroli nad oprogramowaniem przeznaczonym do ich zwalczania.
3. Wirusy FAT (wirusy tablicy alokacji plików, link/FAT viruses):
Do replikacji wirusy mogą także wykorzystywać jednostki alokacji plików (JAP), na jakie tablica FAT dzieli DOS-ową partycję dysku twardego. W celu uzyskania dostępu do pliku DOS odszukuje w FAT numer jego pierwszej jednostki alokacji, po czym kolejno (zgodnie z FAT) wczytuje wszystkie jednostki zajmowane przez plik.
Wirusy atakujące JAP zmienia wartość pierwszej JA jednego lub wielu plików na numer wskazujący JA kodu wirusa. Wczytanie takiego pliku powoduje uruchomienie wirusa, który w dalszej kolejności może, ale nie musi, załadować właściwy program (w tym celu musi zapamiętać oryginalny numer jego pierwszej JAP).
4. Makrowirusy:
Makrowirusy należą do najmłodszej rodziny wirusów. Ich powstanie związane jest z wprowadzeniem do pakietów biurowych (np. MS Office, Lotus SmartSuite czy Corel WordPerfect)języków pozwalających na tworzenie makr, takich jak np. Visual Basic for Applications (VBA).
Większość makrowirusów Worda wykorzystuje fakt, że szablony dokumentów mogą zawierać makra. Wirus uaktywnia się w chwili otwarcia zainfekowanego dokumentu, po czym zaraża zdrowe zbiory z rozszerzeniem *.doc i zapisuje je jako szablony (dokumenty nie mogą zawierać makr). W ostatnim kroku jedno lub kilka automatycznie wykonywanych makr zostaje zastąpionych kodem wirusa.
5. Wirusy typu stealth i wirusy polimorficzne (stealth&polymorphic viruses):
W zasadzie wszystkie wymienione wcześniej wirusy mogą (choć nie muszą) należeć do tej grupy. Ich powstanie związane jest z postępem w dziedzinie ich wykrywania. W pierwszych latach obecności wirusów każdy miał swoją sygnaturę (charakterystyczny tylko dla siebie ciąg bajtów). Sytuacja zmieniła się, gdy Bułgar o pseudonimie Dark Avenger opracował metodę pozwalającą tworzyć wirusy samomutujące się.
Wirusy polimorficzne nie mają stałej sygnatury, ponieważ ich kod zmienia się samoczynnie przy każdej infekcji.
Wirusy stealth są to wirusy, które podczas próby dostępu do zarażonego pliku lub sektora dysku przez program antywirusowy potrafią "w locie", chwilowo naprawić uszkodzone dane i zatuszować swą obecność.
Skutki infekcji:
Działalność wirusa może mieć różne skutki, zależnie od jego typu i przeznaczenia. Najbardziej "nieszkodliwe" są wirusy wypisujące na ekranie niegroźny komunikat czy wykorzystujące system tylko i wyłącznie do rozmnażania się. Znacznie gorsze skutki to uszkodzenie pojedynczych plików, zniszczenie całego dysku twardego, a nawet uszkodzenie komponentów komputera takich jak płyta główna czy karty rozszerzeń(!).
Za bardzo szkodliwe powszechnie uchodzą wirusy napisane przez niedoświadczonych programistów. Ich wirusy, z założenia mające być "nieszkodliwe", mogą wyrządzić wiele szkód spowodowanych błędami w kodzie źródłowym.
Jak się bronić???
Podstawową zasadą jest posiadanie dobrego pakietu antywirusowego. Piszę "pakietu", gdyż obecnie większość tego typu programów składa się z wielu modułów o różnych funkcjach. Przy wyborze oprogramowania antywirusowego należy zwracać uwagę, czy posiada ono następujące elementy:
1. Skaner użytkownika (tzw. "ręczny", On-demand scanner) - podstawowy moduł, występujący we wszystkich typach oprogramowania. Umożliwia skanowanie plików przez użytkownika w wybranym przez niego momencie. Standardem jest kontrola zbiorów skompresowanych.
2. Skaner rezydentny - skaner, który pracuje w tle przez cały czas. Do jego zadań należy bieżąca kontrola wszystkich uruchamianych plików, otwieranych dokumentów czy wkładanych dyskietek. Powinien posiadać funkcję skanowania plików ściąganych z Internetu.
3. Terminarz - pozwala na zaprogramowanie pakietu tak, aby szukał wirusów o określonej porze, np. w nocy.
Dodatkowo oprogramowanie antywirusowe powinno umożliwiać generowanie raportów z bieżącej pracy. Bardzo ważne jest także, aby skaner wykorzystywał najnowsze metody wyszukiwania, takie jak np. heurystyczna metoda wykrywania wirusów (Chroni przed wirusami polimorficznymi, polega na analizie kodu pliku i symulacji jego wykonania. Pozwala na wykrycie operacji charakterystycznych dla wirusów, takich jak np. próba bezpośredniego dostępu do dysku.), czy sumy kontrolne.
Co nie grozi zarażeniem?
Zamierzam tutaj obalić kilka panujących powszechnie mitów dotyczących sposobów zarażania się wirusem. Wbrew powszechnie panującej opinii, przeczytanie wiadomości e-mail nie może spowodować zarażenia. Może je spowodować dopiero otwarcie zawirusowanego pliku dołączonego do takiej wiadomości. Nie można się zarazić również poprzez przeglądanie stron w Internecie - jeśli nie ściągamy żadnych plików, to jedynymi danymi fizycznie zapisywanymi na dysku są tzw. cookies - dane o odwiedzanych stronach przeznaczone dla przeglądarki. Cookies nie mogą zawierać wirusów, nie jest więc możliwe zarażenie się w ten sposób.
Jedyną możliwością "złapania" wirusa jest otwarcie zainfekowanego pliku lub próbo dostępu do zawirusowanego sektora dysku .
Podsumowanie
Brak rzetelnych informacji na temat wirusów prowadzi do częstych wybuchów paniki, czego przykładem są np. dwudniowy paraliż światowych systemów informatycznych na wieść o nieistniejącym wirusie Michaelangelo czy obiegające świat ostrzeżenia o rzekomych wirusach w e-mailach zatytułowanych "PENPAL GREETINGS", czy "JOIN THE CREW". Moim zdaniem należy zwalczać takie wiadomości, choćby poprzez odpowiednią edukację użytkowników komputerów, prowadzoną za pomocą czasopism o tematyce informatycznej. Dobrym przykładem magazynu starającego się od dłuższego czasu zwalczać różne fałszywe poglądy na tematy związane z komputerami, jest CHIP. Myślę, że gdyby więcej czasopism podjęło działania takie jak CHIP, użytkownicy komputerów przeżywaliby znacznie mniej stresów spowodowanych swoją niewiedzą.
Powyższa praca przedstawia problematykę wirusów w sposób bardzo skrótowy, ze względu na ogrom informacji, które można by podać tylko w celu "zanudzenia na śmierć" Czytelnika, ponieważ dotyczą one typowo technicznych zagadnień, takich jak np. szczegółowa zasada działania poszczególnych modułów skanera antywirusowego. Zainteresowanych odsyłam do specjalistycznej literatury.
Bibliografia:
1. CHIP (różne numery)
2. Nieograniczone zasoby sieci zwaną Internet
3. Mój jedyny i niezastąpiony mężczyzna mojego życia
Pierwsze wirusy komputerowe dla IBM PC pojawiły się już w 1986 r., ale jeszcze dwa lata później wiele postaci świata informatycznego wątpiło w ich ist-nienie. Peter Norton (wg „Patologii wirusów komputerowych” Davida Ferbra-che’a) nazwał wirusy komputerowe wielkomiejskim mitem i porównał ich istnie-nie z historiami o krokodylach w kanałach Nowego Jorku. Ta opinia dość dobrze oddaje stan wiedzy na temat wirusów w środowisku komputerowym u progu lat dziewiećdziesiątych. Sytuacja zmieniła się dopiero kilka lat później, po odkryciu wykreowanego przez media na pierwszą gwiazdę pzremysłu informatycznego, wirusa Michael Angelo. Dzięki nagłośnieniu jego istnienia i masowej akcji o-strzegawczej Michael Angelo wywarł pozytywny wpływ i uświdomił milionom użytkowników komputerów na całym świecie grożące im (oraz ich danym) nie-bezpieczeństwo.
W ciągu minionych kilku lat zainteresowanie wirusami komputerowymi znacznie spadło. Wielu użytkowników oswoiło się z możliwością infekcji i na-uczyło się minimalizować jej skutki. Niestety, w dalszym ciągu liczne grono osób korzystających z komputerów, co gorsza również na stanowiskach kierowni-czych, nie zdaje sobie sprawy z potencjalnego zagrożenia. Grupa ta traktuje in-formacje i ostrzeżenia pojawiające się w środkach masowego przekazu jako wy-ssane z palca bądź uważa, że wirusy komputerowe są wyłącznie problemem u-żytkowników nielegalnego oprogramowania i samych „piratów”. Niestety, więk-szość ludzi zaczyna wierzyć w istnienie wirusów dopiero po odkryciu ich we własnym komputerze. Ale wtedy jest już za późno...
Pod względem działania wirusy komputerowe przypominają swoje biolo-giczne pierwowzory. Zamiast ludzkiego organizmu, infekują dysk (dyskietkę) lub program, umieszczając w nich swój kod. Główne zadanie wirusa komputerowego polega na jak najszerszym rozpowszechnieniu się, a nie „szkodzeniu”, jak mylnie sądzi wielu użytkowników. Niszczenie danych na dysku, wyświetlanie informacji na ekranie, blokowanie systemu i nienormalne zachowanie się komputera to dru-gorzędne cele wirusów komputerowych. Wynika to z prostej zasady: pozostając dłużej w ukryciu, mogą wygenerować większą liczbę potomków.
Pierwszym krokiem na drodze do zabezpieczenia się przed wirusami jest poznanie zasad ich działania, w szczególności metod „rozmnażania”. Każdy wi-rus związany jest z konkretnym systemem operacyjnym lub programem. Pierwsze z nich nazywamy systemowymi a drugie aplikacyjnymi.
Istnieją dwa typy wirusów systemowych, zarażające pliki wykonywalne i obszary systemowe dysku (boot sektor na dyskietce i Master Boot Record an dysku twardym). Przedstawiciele obydwu typów mogą „zagnieżdżać się” w pa-mięci i stamtąd infekować dyski lub programy. Mówi się wtedy o wirusach rezy-dentnych.
Wirusy „doklejające się” (typu link) infekują programy przez wpisanie swojego kodu w określone miejsce pliku „nosiciela”. W systemie DOS atakowa-ne są pliki COM i EXE, czyli wykonywalne programy. Zdarza się, że wirusy po-sługują się plikami pośrednio wykonywalnymi (np.: OVR, OVL), a ostatnio za-częły nawet „nadużywać” windowsowych DLL-i.
Kiedy uruchamiamy zarażoną aplikację, wirus ładuje się do pamięci, ewen-tualnie rozmnaża się i ładuje program nosiciela. Jego działanie pozostaje często niewidoczne dla użytkownika, a zbyt późne rozpoznanie infekcji może prowadzić do utraty wszystkich danych na dyskach. Niebezpieczeństwo jest bardzo duże, ponieważ napisanie wirusa doklejającego się do plików COM jest dziecinne proste, a dla programów typu EXE niewiele trudniejsze.
Wirusy towarzyszące, wykorzystują właściwości systemu DOS, a dokład-niej kolejność wywoływania programów o takiej samej nazwie. Ponieważ DOS (jeżeli nie podaliśmy rozszerzenia nazwy) szuka najpierw pliku typu COM, a dopiero później EXE, zatem zamiast zarażać aplikację, wirus tworzy „towarzyszącego” jej COM-a. Sposób umieszczenia kodu wirusa w tym ostatnim jest na tyle nieszablonowy (treść „mikroba” znajduje się w środowisku pliku), że skanery wykrywają go dopiero po włączeniu opcji sprawdzania całej zawartości zbioru.
Drugi rodzaj wirusów systemowych atakuje boot sektor na dyskietkach lub tzw. Master Boot Record (w skrócie MBR) na dysku twardym. W obu przypad-kach wirus kopiuje kod inicjujący (bootstrap) zawarty w boot sektorze lub prze-chowywany w MBR do innego miejsca na dysku i zamienia go własnym, ładują-cym wirusa, następnie wykonuje oryginalny kod bootstrap. Startowanie przebiega normalnie, z tą różnicą, że wirus ładuje się do pamięci przed systemem operacyj-nym. Obecny w pamięci wirus monitoruje aktywności dyskowe i infekuje dys-kietki, kiedy tylko nadarza się okazja.
Istnieją dwa sposoby zarażenia systemu klasycznym wirusem bootsekto-rowym: start komputera z zainfekowaną dyskietką w stacji A: i wystartowanie komputera z zarażonego dysku twardego. Aby uchronić się przed pierwszym ro-dzajem infekcji, należy zawsze wyciągać dyskietkę ze stacji A: przed urucha-mianiem i resetowaniem komputera. Równie skuteczne jest wyłączenie (w BIOS-ie) możliwości bootowania z napędu A:. Ustawienie kolejności C:, A: nie daje 100% zabezpieczenia: dopóki na dysku twardym aktywna partycja zawiera pliki systemowe i nie jest uszkodzona, jesteśmy bezpieczni, ale w przeciwnym wy-padku BIOS szuka systemu w napędzie A:, co może prowadzić do infekcji.
Wirusy aplikacyjne różnią się od systemowych środowiskiem pracy i o-biektami używanymi w charakterze nosicieli. Nie tak dawno „szkodnik” zaraża-jący dokumenty Worda 6.0 napawał grozą wielu użytkowników, a w poczcie e-lektronicznej „straszył” komunikat blokujący (zapychający) kolejkę nadesłanych wiadomości. Programiści i inni twórcy wirusów mają olbrzymie pole do popisu, tym bardziej, że w tego rodzaju wirusy wielu użytkowników nie chce albo nie potrafi uwierzyć, a znacznie częściej nawet o nich nie słyszało.
Oprogramowanie antywirusowe nie jest doskonałe - odnajduje tylko wiru-sy znane producentowi w chwili tworzenia programu i często straszy fałszywymi alarmami. Wykrywanie nieznanych „szkodników” sprawdza się niemal wyłącznie w przypadku schematycznych wirusów tworzonych na podstawie utartych sche-matów. Programy antywirusowe nie odtworzą również zniszczonych przez „szkodniki” danych, a „wyleczone” aplikacje nie zawsze odpowiadają swojej pierwotnej postaci. Dobre uzupełnienie skanera antywirusowego stanowi program do tworze-nia sum kontrolnych, ale wyłącznie własna, unikalna tablica kodów gwarantuje bezpieczeństwo. Metody obliczania sum kontrolnych stosowane przez znane i popularne programy (np. przez dostarczony z DOS-em program antywirusowy) zostały już dawno „rozgryzione” przez programistów, a wirusy aktualizują (albo kasują) „odciski plików” po zainfekowaniu. Spokojnego snu nie zapewnia rów-nież oprogramowanie zabezpieczające. Wprawdzie utrudnia ono zainstalowanie się wirusów w pamięci lub na dysku, ale ciągle pojawiają się nowe „szkodniki” obchodzące najwymyślniejsze zabezpieczenia.
Liczba wirusów w ciągu ostatnich lat szybko rośnie. Przyczynia się do tego powstawanie mutacji istniejących „wirusów” i stosowanie kilku form rozmnaża-nia przez jeden wirus. Z tego powodu mówi się o rodzinach wirusów, które się ciągle na nowo szyfrują, a kolejne egzemplarze „szkodnika” nie przypominają swoich przodków.
W ciągu ostatnich lat pracowano nad mechanizmami ukrycia wirusów. W ten sposób powstały wirusy typu stealth. „Tajniacy” dostarczają skanerowi da-nych w oryginalnej („niezarażonej”) postaci, a wykrycie ich staje się możliwe dopiero po restarcie systemu z wolnej od wirusów dyskietki.
Konie trojańskie i robaki to anomalie programowe o zbliżonym do wiru-sów działaniu. Pierwsze z nich to na pozór zwyczajne programy, które po uru-chomieniu ujawniają swoje prawdziwe oblicze. Istnieją już pirackie „kopie” pro-gramów antywirusowych, które okazały się... formaterami dysku twardego. Znacznie częściej niszczycielem bywa gra albo aplikacja użytkowa skopiowana z pirackiego źródła. Robaki, w odróżnieniu od wirusów, rozmnażają się bez pro-gramu gospodarza. Znakomicie radzą sobie w sieci, rozmnażając się tak szybko, że w ciągu krótkiego czasu absorbują wszystkie zasoby systemu i wywołują jego zawieszenie. W 1988 r. jeden z robaków doprowadził nawet do załamania kom-putera sieci Internet.
Zdecydowana większość wirusów została napisana dla systemu DOS i nie działa w innych środowiskach. Nie dotyczy to jednak Windows 95 (a raczej MS-DOS-a 7.0), który stwarza sprzyjające warunki dla niemałej części „szkodników”. OS/2 Warp i Windows NT nie należą do ścisłego kręgu zaintere-sowań twórców wirusów, wynika to po części ze skutecznych mechanizmów bezpieczeństwa tych systemów. Osoby, które zetknęły się już z wirusami kompu-terowymi, wiedzą, że nie ma z nimi żartów. Nawet (pozornie) nieszkodliwe oka-zy - nie niszczące danych - zwiększają awaryjność systemu komputerowego, ponieważ sama ich obecność w pamięci może blokować niektóre operacje pro-gramu lub wywoływać przypadkowe działania.
Wirusy stwarzają i stwarzać będą w przyszłości potencjalne zagrożenie, od którego nie ma ucieczki. Użytkownik może w dużym stopniu zminimalizować ryzyko zarażenia, ale w praktyce zawsze może liczyć na wizytę „nieproszonego gościa”. Jedynym sposobem 100% bezpieczeństwa pozostaje chyba odcięcie się od świata zewnętrznego.
3. Mój Misiaczek
madzienx