Informácie   |   Novinky   |   Recenzia   |   Návody a rady   |   Prevzatie a odkazy   |   Cenník a objednávka   |   Kontakt
Rozdelenie a vlastnosti  |  Vírusy a internet  |  Ochrana pred počítačovými vírusmi  |  Informácie o vírusoch

Dr.WEB // Návody a rady
Opatrenia na ochranu pred počítačovými vírusmi a inými infiltráciami

Úvod
Špecifikujme teraz najčastejšie zdroje nákazy a opatrenia vedúce k zníženiu rizika prieniku infiltrácií na individuálny osobný počítač alebo do lokálnej siete. V tomto smere treba zdôrazniť, že je vždy lacnejšie vírus zachytiť ešte pred jeho aktiváciou, ako zachraňovať jej následky. Už aktivácia bežných vírusov môže byť spojená s ochromením celých lokálnych sietí na niekoľko hodín, aktivácia vírusov so zabudovanou deštrukčnou akciou môže viesť navyše ku strate pre chod firmy nepostrádateľných dát a pod. Z tohto dôvodu treba poznať potencionálne riziká resp. učiniť vhodné opatrenia na ich elimináciu.

Najčastejšie zdroje nákazy
Základným zdrojom nákazy býva inštalácia voľne šíriteľných programov resp. čítanie Office dokumentov získaných z neznámych a nehodnoverných zdrojov (nefiremné internetovské servery, výberové CD-ROM). Treba pritom povedať, že 100-percentná istota nie je vzhľadom na ľudský faktor ani pri firemných zdrojoch (pripomeňme v tomto smere prípad firmy Microsoft, ktorá na svojich CD ROM médiách šírila medzi zákazníkov makrovírus Concept). Jednoznačne rizikovým sú zdroje typu "kamarátov syn doniesol zo školy". Čo sa týka web serverov, bezpečnejší bude určite domovský server daného produktu resp. pravidelne udržiavaný shareware server Tucows, SimTel alebo SAC FTP v porovnaní so stránkou súkromnej osoby, ktorá v položke "moje obľúbené freeware programy" ponúka návštevníkom niečo na prevzatie a nejedná sa o odkaz na domovskú stránku programu. Vysoko rizikovým zdrojom sú aj hackerské stránky ponúkajúce hacknuté verzie komerčných resp. shareware programov, generátory kľúčov a podobne. Tieto súbory sú často zavírené či už z nepozornosti ich tvorcov alebo i úmyselne. Typickou psychologickou fintou používanou tvorcami vírusov s cieľom ich rýchleho rozšírenia je šírenie zavírených súborov resp. trójskych koňov pod menom niektorého z populárnych freeware-shareware programov v ešte neexistujúcej verzii, ktorú používatelia v nádeji na nové vylepšenia radi vyskúšajú. Iným variantom je vybavenie súboru fiktívnou dokumentáciou sľubujúcou heslá XXX serverov, zaujímavý šetrič obrazovky a pod...
Pokiaľ ide o CD ROM nosiče, opäť možno za bezpečnejší označiť CD ROM priložený k renomovanému PC časopisu v porovnaní so sprievodným CD ROM z lokálnej počítačovej výstavy... Špeciálnu pozornosť treba venovať E-mail prílohám (týka sa to samozrejme aj internetovských konferencií a ďalších typov textovej komunikácie na Internete, ako napr. komunikácie prostredníctvom niektorého typu IRC klienta, programu ICQ a podobne) od neznámych odosielateľov resp. aj od známych v prípade, že je jasné, že pošta od nich odišla bez ich vedomia - napr. ak obdržíte E-mail v angličtine od Slováka :-) V posledne menovanom prípade si môžete byť takmer istý, že ide o vírus alebo trójskeho koňa.
Ostražitosť treba zachovávať pri všetkých súboroch s rozšírením (formátom), ktoré umožňuje prenesenie vírusu alebo aktiváciu nejakého druhu deštrukčnej akcie. Ide najmä o súbory s rozšírením ASP, BAT, BIN, CHM, CLASS, COM, CSC, DLL, DO?, DRV, EXE, HLP, HT?, INF, INI, JS, MD?, OB?, OV?, POT, PP?, SCR, SHS, SYS, VB?, VXD, XL?. Bezpečnými (zatiaľ :-) sú multimediálne formáty BMP, TIF, GIF, JPG, WAV, MP?, RA, AVI, MOV a ďalšie resp. čistý textový formát TXT. V tomto zmysle sú bezpečné aj archívne formáty ZIP, RAR, ARJ, ACE, LZH, TGZ a ďalšie (to ale samozrejme neplatí pre ich samorozbaľovacie verzie, ktoré môžu byť nosičom vírusu ako každý iný EXE súbor), hoci tieto môžu obsahovať potencionálne nebezpečné súbory s vyššie uvedenými príponami vo svojom vnútri. Pripomeňme, že pokiaľ názov súboru obsahuje viac prípon, platí tá posledná. Ak má teda Váš E-mail klient aktivovanú funkciu schovávania prípon názvov súborov, čím skôr túto funkciu zrušte, pretože ľahko naletíte ďalšej psychologickej finte v poslednej dobe často používanej - napr. známy červ LoveLetter sa šíril pod názvom LOVE-LETTER-FOR-YOU.TXT.vbs - pričom používatelia, ktorí ho dostali ako prílohu E-mail správy ho videli ako textový súbor. Obdobne bol šírený aj červ Explore Zip, ktorý bol pre zmenu šírený ako zipped_files.exe, pričom bol vybavený ikonou programu WinZip. Pokiaľ zrušenie tejto funkcie program neumožňuje, je možné odporučiť prechod na iný, bezpečnejší typ E-mail klienta, napr. na program The Bat!.
Čo sa týka makrovírusov - v prípade, že používateľ nepredpokladá aplikáciu makier v prichádzajúcich dokumentoch, možno s výhodou použiť funkciu novších verzií Office, ktorá po svojej aktivácii upozorňuje používateľa na existenciu makier v čítanom dokumente (či ide o makrá užitočné alebo nie, to už Vám program neprezradí...). V prípade, že neviete existenciu makier (či už užitočných alebo potencionálne aj škodlivých) vopred vylúčiť, je vhodné na prezeranie dokumentov používať špecializované prehliadače, ktoré neinterpretujú makrá. V poslednej dobe populárnych VB skriptových vírusov sa zase môžete zbaviť odinštaláciou Windows Scripting Host procesu, ktorý spúšťanie skriptových súborov zabezpečuje.

Ochrana lokálnej siete
Na úrovni lokálnej siete je potrebné správne určiť právomoci jednotlivých používateľov čo sa týka dostupnosti jednotlivých služieb Internetu (čo má mimo iné aj súvis s využívaním pracovného času, keďže nielen počítačové hry nemusia mať priamu väzbu s pracovnými povinnosťami...). S týmto bodom úzko súvisí adekvátne zaškolenie používateľov siete nielen v zmysle antivírusovej (AV) ochrany, ale aj oboznámenie sa s potencionálnymi rizikami spojenými s užívaním Internetu. Hmotná (finančná) zainteresovanosť pracovníkov na prípadných škodách nimi preukázateľne zavinených určite presvedčí viac ako akýkoľvek druh dohovárania...
Zo strany servera ako vstupného bodu do lokálnej siete je treba pouvažovať nad aplikáciou vhodného typu firewall software zameraného jednak na filtráciu niektorých nežiadúcich internetovských služieb resp. konkrétnych URL v rámci nich (ktorého optimálne nastavenie však vyžaduje solídny rozhľad v danej problematike), protokolovanie komunikačných aktivít a v lepšom prípade aj možnosť on-line antivírovej kontroly prichádzajúcich (resp. aj odchádzajúcich, pretože si nemožno predstaviť horšiu reklamu ako rozoslať svojim zákazníkom napr. zavírené cenníky...) súborov prenášaných cez FTP, HTTP alebo iný typ komunikačného protokolu resp. príloh E-mail správ, teda ešte pred ich distribúciou na cieľové stanice. Treba však poznamenať, že vzhľadom na rôzne druhy kódovania a komprimácie binárnych súborov (menej časté komprimačné formáty resp. rôzne typy samorozbaľovacích - samoinštalačných formátov) nemožno očakávať, že táto ochrana bude dokonalá a navyše neochráni sieť pred prienikom infiltrácií inými kanálmi (diskety, CD-ROM...).

Ochrana pracovnej staníc resp. individuálnych počítačov
Zo strany pracovných staníc je potrebné aplikovať dostatočne výkonný rezidentný AV software (účinnosť rezidentnej verzie AV programov nie je vždy totožná s nerezidentnou!) schopný kontroly boot sektorov diskiet, binárnych súborov, dokumentov Office resp. ďalších potencionálne nebezpečných súborových formátov. Optimálne je, ak sa dostatočne výkonný vzorkovo orientovaný skener kombinuje s heuristickou analýzou kódu, čo s vysokou pravdepodobnosťou umožňuje odhalenie aj nového resp. neznámeho vírusu (často s možnosťou jeho heuristickej liečby). Pri aplikácii heuristických metód (najmä pri vyšších stupňoch citlivosti) je pritom potrebné počítať s možnosťou vzniku falošných poplachov. Typicky vznikajú pri prítomnosti rôznych neštandardných boot manažérov (multi OS systémy, šifrovanie pevného disku), rôznych typov rezidentných driverov resp. súboroch zbalených niektorým typom ochrannej obálky (používaných na ochranu vykonávateľných súborov pred ich analýzou hackermi), resp. aj na niektorých dokumentoch obsahujúcich neškodné makrá. Falošný poplach sa dá od reálnej nákazy rozoznať tak, že je hlásený len na jednom alebo menšom počte bežne používaných (na danom počítači už dávno inštalovaných) súborov pochádzajúcich z jedného inštalačného balíka resp. ich počet sa dlhodobo nezvyšuje. V prípade akýchkoľvek pochybností je vhodné zadovážiť si originálne súbory (z inštalačného média) alebo ak sú k dispozícii tie isté súbory, aj z iného počítača a otestovať aj tieto. V prípade, že antivírus hlási vírus aj na týchto súboroch, je vhodné zaslať tieto výrobcovi antivírusového programu, ktorý daný falošný poplach v ďalších verziách vylúči. Pripomeňme že táto metodika sa nedá aplikovať na rozoznanie falošných poplachov u trójskych koňov, pretože ich kód sa typicky tiež vyskytuje v jednom alebo niekoľkých súboroch a tento počet sa ďalej nezvyšuje. Iným spôsobom riešenia falošných poplachov je používanie 2 alebo viac porovnateľne výkonných a aktuálnych antivírusových programov. Pokiaľ sporný súbor (boot sektor) označí za infikovaný viacero antivírusov resp. niektorý z nich dokonca vírus presne identifikuje menom, s najväčšou pravdepodobnosťou sa jedná o skutočnú nákazu.
Popri klasických antivírusových programoch pracujúcich na princípe prehľadávania pamäte a potencionálnych nosičov vírusov na podozrivé kódové sekvencie existujú aj ďalšie typy programov pracujúcich na báze kontroly integrity systémových oblastí disku resp. zvolenej množiny súborov na pevnom disku. Takýto spôsob kontroly je vhodný aplikovať najmä na počítačoch, u ktorých nedochádza k častej výmene programového vybavenia (verzií danej aplikácie alebo úplne nových aplikácií), pretože každá takáto výmena je spojená so zmenami, ktoré daný program zachytí a v rámci príslušného dialógu je potrebné dané zmeny označiť ako neškodné. V poslednej dobe sa vzhľadom na rastúci počet trójskych koňov vybavených komunikačnými schopnosťami vynorila aj možnosť sledovania komunikačných portov počítača s cieľom zistenia ich prípadnej neopodstatnenej aktivácie, čo by mohlo nasvedčovať prítomnosti nejakého druhu infiltrácie.
Eliminácia už aktivovaného vírusu resp. následkov aktivácie trójskeho koňa je omnoho komplikovanejšia ako zábrana jeho prvotnej interpretácie (najmä v prípade pamäťovo rezidentných vírusov resp. vírusov vykonávajúcich nejakú deštrukčnú činnosť). Typicky je teda AV kontrolu potrebné implementovať tesne pred samotnou interpretáciou potencionálne napadnutého kódu (spustenie EXE súboru, otvorenie DOC/XLS dokumentu obsahujúceho makrá) alebo ihneď po jeho vytvorení (inštalácii, skopírovaní z výmenného média, odpakovaní z archívneho súboru resp. po oddelení a dekódovaní prílohy E-mail správy). Vítanou je však možnosť aktivácie antivírusovej kontroly o 1 alebo viac krokov skôr (kontrola súborov ešte v archívoch resp. v zakódovanom tvare v rámci fronty prichádzajúcich E-mail správ).
V prípade aplikácie len nerezidentného AV balíka je potrebné znížiť mieru automatického spracovania (interpretácie) spúšťateľných súborov/dokumentov/VB a Java skriptov prichádzajúcich zo siete (internetovský prehliadač, E-mail klient, IRC klient), aby bolo možné do reťazca krokov zaradiť AV kontrolu, ktorá môže prípadnú infiltráciu vylúčiť ešte pred jej aktiváciou. Obdobne, pri používaní pochybných CD-ROM nosičov je vhodné deaktivovať funkciu AUTORUN. Úplne elementárnym opatrením proti BOOT vírusom je nastavenie BIOS ochrany systémových oblastí disku resp. nastavenie poradia bootovania na C: A: namiesto A: C:, čo vylúči elementárny prípad nákazy, kedy sa po zapnutí počítača so zabudnutou disketou v mechanike A: počítač zavíri ešte pred aktiváciou akejkoľvek antivírovej ochrany. Vzhľadom na existenciu vírusov pokúšajúcich sa o deštrukciu Flash BIOS kódu je vhodné skontrolovať stav ochrany Flash BIOS pamäte proti zápisu, čo je však spojené s fyzickou kontrolou matičnej dosky.

Liečenie už zavíreného počítača
Pokiaľ vyššie uvedené odporúčania neboli do dôsledku aplikované alebo z nejakého dôvodu zlyhali (úplne nový typ nákazy a pod.) a počítač už je zavírený, je potrebné v prvom rade zachovať rozvahu a neformátovať hneď pevný disk a inštalovať nový operačný systém. V prvom rade je treba identifikovať (čo najpresnejšie) druh aktivovaného vírusu a ak je možnosť, preštudovať jeho vlastnosti. K tomu slúžia najrozličnejšie on-line databázy informácií o vírusoch dostupných na web stránkach renomovaných výrobcov antivírových programov, niektoré sú dostupné aj v off-line verzii (AVP Virus Encyclopedia). Ak ide o pamäťovo rezidentný vírus, treba počítač nabootovať z čistej systémovej diskety (k čomu je obvykle potrebné prestaviť nastavenie poradia bootovania v BIOSe na A: C:). Pokiaľ systémovú disketu zasúvate do mechaniky ešte pred vypnutím počítača, je potrebné chrániť ju proti zápisu, aby sa nezavírila. Potom je potrebné spustiť MSDOS verziu príslušného antivírusového programu (najlepšie tiež z diskety alebo z originálneho CDROM média, pretože antivírus na pevnom disku už môže byť tiež zavírený a jeho spustením sa vírus opäť aktivuje v pamäti...) a aktivovať položku liečenie. Niektoré antivírusové programy umožňujú niekoľko konkrétnych typov pamäťovo rezidentných vírusov liečiť aj bez rebootovania počítača ich deaktiváciou. Táto technológia však z pochopiteľných dôvodov nemôže dávať stopercentné výsledky. V tomto zmysle je boot z čistej systémovej diskety vždy istejší...
V súvislosti s liečením zavírených súborov ešte treba doplniť, že niektoré vírusy sa z princípu nedajú vyliečiť (prepisovacie vírusy) resp. sa dajú vyliečiť s tým, že vzhľadom na nedostatok vírusom odložených informácií o hlavičke pôvodného súboru vyliečený súbor nebude po vyliečení binárne zhodný s pôvodným, čo môže spôsobiť aj jeho nefunkčnosť (niektoré programy si overujú pri spúšťaní svoju integritu a v prípade jej narušenia vypíšu chybové hlásenie - napr. samoinštalačné súbory vytvorené komprimačnými programami WinZip alebo ARJ). Príkladom problémov s liečením môže byť nechvalne známy vírus CIH (Černobyl). Pokiaľ si nie sme istí, či liečením nakazených súborov dochádza k úplnej obnove súborov, je samozrejmé možné ich nahradiť novými, čistými súbormi preinštalovaním napadnutých aplikácií z originálnych inštalačných médií (súborov).
Ak daný vírus nie je možné liečiť (antivírus neobsahuje príslušný algoritmus, alebo sa to z princípu nedá), je možnosť premenovať prípony názvov zavírených súborov na príponu, ktorú nemožno spustiť (napr. EXE na VXE alebo VEXE) alebo zavírené programy jednoducho vymazať. Celý počítač tým ale môže znefunkčnieť a je potrebné preinštalovať príslušné poškodené aplikácie alebo celý operačný systém. Zaiste sa môžete spýtať, aký význam má takéto liečenie, keď disk sa mohol sformátovať priamo. Výhoda takéhoto spôsobu spočíva v možnosti zachovania užívateľských dát, ktoré by sa v prípade formátovania museli prekopírovať na iné médium. Vo väčšine prípadov sa dokonca môžu zachovať konfiguračné súbory jednotlivých aplikácii, takže ich netreba znova nastavovať. V každom prípade je vhodné pri liečení vytvoriť LOG súbor, aby sme vedeli, čo vlastne bolo napadnuté a čo treba nahradiť. Analýza LOG súboru nás tiež môže priviesť na stopu pôvodcovi nákazy.
Liečenie boot vírusov spočíva v nájdení pôvodného Boot alebo Master Boot sektora (ak vôbec bol uchovaný) a v jeho zápise do príslušného sektora pevného disku (diskety). V prípade, že vírus pôvodný sektor neuchoval alebo ho modifikoval, je možné do zavíreného sektora zapísať príslušný generický kód. Druhým menovaným spôsobom ale môže dôjsť pri niektorých typoch vírusov, špeciálnych typoch rozdelenia disku (napr. ak disk zdieľa viac operačných systémov naraz) alebo pri úmyselnom (rôzne typy programov na ochranu bezpečnosti údajov) alebo neúmyselnom (vírus OneHalf) šifrovaní disku k znefunkčneniu počítača resp. ku strate dát.
Liečenie makrovírusov spočíva v lepšom prípade v odstránení vírusových makier a zachovaní pôvodných makier dokumentu (ak nejaké boli). Obvykle sa ale odstránia (prepíšu) všetky makrá bez ohľadu na to, či patrili vírusu alebo pôvodnému dokumentu, čím sa jeho pôvodné funkcie narušia. Na druhú stranu treba povedať, že dokumentov s makrami zase nie je až také množstvo, aby uvedený spôsob liečenia predstavoval zásadný problém.
Iný spôsob odstránenia je potrebné aplikovať pri trójskych koňoch. V najjednoduchšom prípade ho treba jednoducho zmazať. Pokiaľ sa ale jedná o program, ktorý aktívne využíva služby operačného systému, je potrebné ho najskôr deaktivovať (túto položku buď zabezpečí príslušný antivírusový program sám alebo ju zabezpečíme nabootovaním z čistej systémovej diskety) a následne zmazať alebo premenovať všetky relevantné súbory (trójsky kôň ich v rámci svojej inštalácie môže využívať niekoľko) a taktiež uviesť do pôvodného stavu príslušné registre operačného systému Windows. Pokiaľ trójsky kôň už uskutočnil nejaký druh deštruktívnej akcie (to sa týka samozrejme aj vírusu), niektoré škody sa dajú napraviť, iné nie. V každom prípade treba povedať, že operačný systém Windows v tomto smere nie je nijak zvlášť dobre vybavený (už na "odmazanie" súboru treba aplikovať zvláštny externý program), nehovoriac už o možnostiach rekonštrukcie systémových oblastí disku a podobne (aj tu sa dobre uplatnia rôzne typy zálohovacieho software).
V súvislosti s liečením vírusov resp. červov, ktoré využívajú na svoj prenos E-mail kanál je ešte dôležité pripomenúť, že pokiaľ aktívny vírus identifikujete až po jeho replikačnej akcii spočívajúcej v zaslaní jeho tela na desiatky E-mail adries z Vášho adresára, patrí k dobrým mravom rozoslať postihnutým používateľom čo najskôr varovanie týkajúce sa obsahu (vo Vašom mene) vírusom/červom odoslanej pošty. Toto varovanie je samozrejme potrebné zaslať čo najskôr a je tiež vhodné vyjadriť jeho obsah už v Subject položke E-mail správy, aby bol postihnutý používateľ varovaný ešte pred čítaním skôr zaslanej správy.

Aktualizácia antivírusového programu
Pokiaľ hovoríme o antivírusových programoch, je potrebné spomenúť aj nutnosť neustálej obnovy definičných súborov programu, ktoré sú dostupné z domovskej stránky daného produktu (používateľ je na ich nové verzie upozornený E-mail správou od výrobcu), sú priamo zasielané v prílohe E-mail správy, sú obnovované centrálne cez lokálnu sieť (pričom o ich obnovu sa pravidelne stará poverený pracovník) resp. si update program zabezpečuje individuálne cez Internet. Ak je program vybavený heuristickou analýzou, nároky na frekvenciu update sa mierne znižujú, hoci v prípade príchodu nových mechanizmov šírenia vírusov resp. nových rozšírení, ktoré môžu byť príslušným druhom vírusu napadnuté môže aj sebelepší heuristický antivírus totálne zlyhať. Taktiež je potrebné spomenúť existenciu rôznych protiheuristických trikov, pričom z pochopiteľných dôvodov sa tieto zameriavajú na najrozšírenejšie antivírusové programy. Pri analýze vírusov a trójskych koňov napísaných vo vyššom programovacom jazyku (Visual Basic, Visual C, Delphi a pod.) je navyše heuristická analýza takmer nepoužiteľná.

Zálohovanie údajov na výmenné médiá
Záverom spomeňme úplne elementárne opatrenie, ktoré môže predísť najhoršiemu - strate Vašich dát (databázy Vášho účtovnického programu, Vašej korešpodencie, zdrojových kódov resp. Vami vytvorených multimediálnych súborov). Strata vykonávateľných súborov Vami používaných aplikácií nebude okrem straty času veľkým problémom pre ľudí vlastniacich ich originálne inštalačné verzie.
Týmto opatrením je zálohovanie na iné médium (z tohto hľadiska sa najbezpepečnejším ukazujú výmenné médiá skladované fyzicky na inom mieste ako je počítač, ale samozrejme je možné aj zálohovanie na druhý pevný disk resp. sieťový disk a podobne). Rieši sa tým problém nielen deštrukcie vírusom alebo trójskym koňom, ale aj neúmyselného zmazania dát, hardwareovej chyby počítača (pevného disku), krádeže počítača, požiaru a pod. K tomuto účelu možno odporučiť vhodný typ vysokokapacitného výmenné média, ako CD-ROM disky, ZIP médiá, LS-120 médiá a ďalšie s výhodou kombinované s vhodným typom komprimácie dát (WinRAR, WinZip a pod.), čo jednak výrazne znižuje nároky na kapacitu výmenných médií resp. pri aplikácii redundantného kódovania (formát RAR alebo ARJ) umožňuje obnovu dát aj pri ich čiastočnom poškodení.
Proces zálohovania treba organicky zapracovať do pracovnej náplne zodpovedných pracovníkov resp. do vlastného rozvrhu práce - napr. každý deň na konci pracovnej doby, každý piatok poobede a podobne.

Záver
Sortiment metód šírenia počítačových vírusov a iných druhov infiltrácií sa neustále rozširuje a neustále pribúdajú nové, často s využitím pripojenia počítača na Internet. Základným predpokladom existencie akéhokoľvek druhu infiltrácie je ale vždy nejaká bezpečnostná diera v operačnom systéme resp. v rámci neho používaných aplikáciách spojených ruka v ruke s naivitou a nevedomosťou relevantného počtu jeho (ich) používateľov.
Preto rozvaha a informovanosť sú spolu s výkonným, správne nakonfigurovaným a dostatočne často aktualizovaným antivírusovým programom tou najlepšou zbraňou voči na každom kroku číhajúcemu nebezpečiu zavlečenia infiltrácií na počítač alebo lokálnu sieť.
späť na začiatok
Copyright © 2004-2008 AVIR | WebDesign © 2009 by piXie dESiGN. Všetky práva vyhradené. Materiály tu publikované môžu byť duševným vlastníctvom podľa Autorského zákona.