Informácie   |   Novinky   |   Recenzia   |   Návody a rady   |   Prevzatie a odkazy   |   Cenník a objednávka   |   Kontakt
Rozdelenie a vlastnosti  |  Vírusy a internet  |  Ochrana pred počítačovými vírusmi  |  Informácie o vírusoch

Dr.WEB // Návody a rady
Rozdelenie a vlastnosti počítačových vírusov a iných infiltrácií

Úvod
Počítačové infiltrácie predstavujú fenomén, ktorý býva (často z komerčných dôvodov) zveličovaný, alebo naopak je zľahčovaný. Niekoho trápi, prečo veci ako počítačové vírusy vôbec niekto programuje, iného trápi ako sa voči ním môže chrániť. V každom prípade ide o fenomén, ktorého existencia sa nedá prehliadnuť.
K dnešnému dňu je známych niekoľko desiatok tisíc rôznych vírusov, trójskych koňov a ďalších druhov infiltrácií. Vzhľadom na neustály vývoj v oblasti operačných systémov (od MSDOS cez Windows 3.x po Windows 9x/NT/2000) a tiež vzhľadom na zmeny v prevažujúcom spôsobe výmeny dát medzi výrobcami software a používateľmi resp. medzi nimi navzájom (od diskiet k CD-ROM a Internetu) dochádza v tejto oblasti k postupnému vývoju a dnes sa popri klasických počítačových vírusoch (Boot a DOS súborové vírusy, ktoré prevládali v polovičke 90.rokov) stretávame najmä s makrovírusmi a skriptovými vírusmi, často vybavenými schopnosťou šírenia cez rôzne komunikačné kanály, ako napr. E-mail, IRC a podobne.
Napriek tomu, že s počítačovými vírusmi a inými infiltráciami sa môžeme stretnúť aj u platforiem Amiga a Macintosh (u platforiem UNIX takmer vôbec), platforma Microsoft Windows spolu s ďalšími aplikáciami tejto firmy (Microsoft Word, Excel a Outlook) je dnes vzhľadom na svoje masové rozšírenie, odborné zázemie ich používateľov ako aj slabú bezpečnosť týchto produktov (znásobenú silnými možnosťami na tvorbu vírusov) živnou pôdou drvivej väčšiny počítačových infiltrácií.

Základné typy počítačových infiltrácií
Počítačový vírus - program (sekvencia kódu), ktorý sa bez vedomia užívateľa počítača pripája, prepisuje alebo inak modifikuje iné programy, dokumenty resp. systémové oblasti pevného disku a diskiet s cieľom vlastnej reprodukcie. Okrem samotnej reprodukcie môže pritom kód vírusu vykonávať rôzne grafické, zvukové a textové efekty, ale aj deštrukčnú činnosť, ako napr. mazanie, kódovanie a inú modifikáciu súborov resp. sektorov pevného disku. S výnimkou možnosti vymazania Flash BIOS pamäte však v súčasnosti nie sú známe vírusy poškodzujúce hardware počítača. Niektoré vírusy podobne ako ďalej spomínané trójske kone narušujú bezpečnosť počítača a resp. údajov na jeho pevnom disku zasielaním tajných PGP kľúčov, odchytených hesiel a E-mail adries a podobne rôznymi komunikačnými kanálmi mimo napadnutý počítač (napr. autorovi vírusu). Aj na pohľad neškodné vírusy však môžu spôsobiť svojou prítomnosťou problémy v súvislosti so spotrebou časti operačnej pamäti, výpočtovej kapacity procesora, ale najmä vznikom rôznych typov interferencií s inými aplikáciami resp. aj samotným operačným systémom.
Červ (worm) - program, ktorý parazituje v jednom exemplári (v jednej kompletnej sade súborov) na hostiteľskom počítači, pričom využíva jeho komunikačné prepojenie s ďalšími počítačmi (napr. E-mail, IRC kanál) na svoje ďalšie šírenie. Klasický červ sa teda na rozdiel od vírusu nepripája k žiadnemu hostiteľskému programu ani sa na lokálnom disku ďalej nešíri. Typickým príkladom červa je známy Happy99. Niektoré infiltrácie klasifikované ako červy sa však okrem šírenia cez vyššie uvedené komunikačné kanály šíria aj po lokálnych a sieťových diskoch (LoveLetter), čím sa svojimi vlastnosťami približujú k definícii vírusu využívajúceho na svoje šírenie okrem klasickej technológie šírenia (prepisovanie iných súborov resp. šírenie ako satelitný súbor) aj komunikačné kanály. Obdobnú kombináciu rôznych algoritmov šírenia možno pozorovať aj u niektorých novších makrovírusov (Melissa). Niektoré červy zase obsahujú niektoré znaky trójskych koňov (Pretty Park), takže v tomto zmysle možno skonštatovať, že absolútne presná klasifikácia jednotlivých druhov infiltrácií nie je možná.
Trójsky kôň - program, ktorý navonok navodzuje dojem užitočnosti. V dokumentácii programu sľubovanú činnosť však buď vôbec nevykonáva, alebo ju aj vykonáva, ale v pozadí realizuje nepozorovane nejaký druh deštrukcie (vymazáva súbory, formátuje pevný disk, skrytou komunikáciou cez Internet narušuje súkromie používateľa a podobne). Trójsky kôň je buď naprogramovaný ako pôvodná aplikácia alebo je vytvorený z už existujúceho programu jeho spojením s deštrukčným kódom (ktorý sa vykonáva pred samotným programom), pričom takýto program sa potom od pôvodného okrem dĺžky navonok ničím neodlišuje (vzhľad prostredia aj vykonávaná akcia je zhodná, dokumentácia programu je pôvodná...), čo v čase rýchleho striedania verzií programov nie je príliš nápadné.
V poslednej dobe sú častými aj trójske kone, ktoré sú vlastne inštalačným súborom samotného programu, ktorý sa po svojej inštalácii spúšťa pri start-up operačného systému Windows a skryte vykonáva nejaký typ deštrukčnej akcie. V poslednej dobe patria medzi najčastejšie sa vyskytujúce trojany tzv. "zadné vrátka" - backdoor. Ide o komunikačný klient inštalovaný bez vedomia užívateľa počítača, ktorý komunikuje so serverom obsluhovaným autorom programu (alebo človekom, ktorý inštaláciu trójskeho koňa zabezpečil), ktorý umožňuje zasielanie prístupových hesiel, záznamov o aktivitách počítača alebo zvolených súborov mimo počítač resp. umožňuje jeho úplné diaľkové ovládnutie (spúšťanie aplikácií, manipulácia so súbormi a pod.). Niektoré charakteristiky trójskych koňov v tomto zmysle spĺňajú aj niektorí reklamní klienti (tzv. spyware) aplikovaní za účelom sťahovania reklám resp. zasielania rôznych formulárov charakterizujúcich používateľa, ktoré sú dnes bežne pridávané k skúšobným verziám niektorých programov - pokiaľ si ich používateľ zaregistruje, reklamný klient sa deaktivuje.
Od počítačového vírusu resp. červa sa pritom trójsky kôň líši tým, že kód programu sa ďalej nereplikuje. Pokiaľ je príslušná deštrukčná akcia viazaná na nejaký dátum alebo inú podmienku, hovorí sa tiež o tzv. logickej bombe. Historicky prvým PC trójskym koňom bol AIDS šírený v roku 1989. Špeciálnu podskupinu trójskych koňov tvoria nosiče vírusov, tzv. droppery - programy, ktorých deštrukčná akcia spočíva vo vypúšťaní klasických počítačových vírusov, pričom samotný dropper nie je možné identifikovať vzorkou vypúšťaného vírusu (ani keď samotný vypúšťaný vírus je známy).
Žartovný program (joke) - neškodný program, ktorý simuluje chybové stavy operačného systému, resp. nejaký druh deštrukčnej činnosti (vymazávanie súborov alebo formátovanie disku) a sú určené k pobaveniu vo forme kanadského žartíka. Okrem vystrašenia používateľa teda nespôsobuje žiadne škody, ak mu pravda neprasknú nervy a preventívne nesformátuje celý pevný disk...
HOAX - e-mailová správa obsahujúca falošné upozornenie na nebezpečie nakazenia sa nejakým novým vírusom resp. inú na pohľad dôležitú (zaujímavú, užitočnú) informáciu, ktorú používatelia vlastnoručne posúvajú svojim spolupracovníkom a priateľom, čím túto správu lavínovite šíria po sieti. To zbytočne dezinformuje masy ľudí, nehovoriac o zahlcovaní siete a ďalších dôsledkoch. Príkladom môžu byť E-mail správy Good Times, Join the Crew, AOL4FREE a ďalšie.

Najbežnejšie typy počítačových vírusov
Boot vírus - historicky prvý typ PC vírusu (Brain, 1986), ktorý bol už v roku 1987 nasledovaný veľmi rozšíreným vírusom Stoned. Niektoré vírusy tohto typu zaznamenali vplyvom zabudovanej deštrukčnej akcie pomerne veľkú "popularitu" - spomeňme napr. vírus Michaelangelo alebo J&M. Na svoj prenos využíva boot sektor (prípadne aj niekoľko ďalších sektorov) diskety zasunutej v mechanike A:, kde nahrádza pôvodný boot sektor (bez ohľadu na to, či išlo o bootovateľnú disketu alebo nie). Kód vírusu po svojej aktivácii (nabootovanie zo zavírenej diskety ponechanej úmyselne alebo zo zábudlivosti v mechanike) obvykle prenesie svoje telo do Boot sektora logického disku C: alebo častejšie Master Boot sektora pevného disku (prípadne aj niekoľko ďalších sektorov). Pri najbližšom boote z pevného disku sa teda vírus spúšťa po BIOSe ako prvý (ešte pred samotným operačným systémom) a záleží len na type vírusu, ako túto skutočnosť využije. Obvykle sa stáva vírus pamäťovo rezidentným a od tohto momentu infikuje všetky proti zápisu nechránené diskety zasunuté do počítača. Pripomeňme ešte, že samotným zasunutím zavírenej diskety do mechaniky A: nedochádza k zavíreniu počítača, musí sa z nej nabootovať. Dnes je tento druh vírusov vzhľadom na zmenšujúci sa význam diskiet ako média na prenos dát medzi výrobcami software a používateľmi resp. medzi používateľmi navzájom na ústupe.
Súborový vírus - do príchodu makrovírusov najbežnejší typ vírusov, ktorý na svoju replikáciu využíva telo iného programu. Prvým experimentálnym PC vírusom tohto typu bol Burger pochádzajúci z roku 1986, prvým vírusom tohto typu v teréne bol vírus Lehigh (1987) nasledovaný vírusmi Jerusalem, Vienna, Cascade a ďalšími. Vírus sa najčastejšie pripája na koniec tela hostiteľského programu, čím spôsobuje jeho predĺženie. Existujú ale aj vírusy, ktoré nepredlžujú hostiteľský súbor, čo robia tak, že začiatok nakazeného programu jednoducho prepíšu (čím ho zničia) alebo využívajú "diery" v kóde vírusu, ktoré zaplnia svojim kódom (tak funguje napr. vírus CIH napádajúci 32-bitové Windows EXE súbory). Po spustení nakazeného súboru sa vykoná najprv kód vírusu, ktorý buď uskutoční priamu akciu (infikovanie ďalších súborov podľa vhodnej stratégie), ale častejšie sa vírus stane pamäťovo rezidentným a následne infikuje ďalšie spúšťateľné súbory (najčastejšie pri ich spúšťaní, ale aj pri kopírovaní, prezeraní, komprimácii a inej manipulácii s nimi). V závislosti od splnenia určitej podmienky (čas, dátum, počet spustení) pritom môže vírus stratégiu svojho šírenia obmieňať resp. vykonávať aj inú (nesúvisiacu so samotnou replikáciou), napr. deštrukčnú akciu. Po vykonaní celého kódu vírusu sa zabezpečí (u neprepisujúcich vírusov) aktivácia samotného hostiteľského programu. Doplňme ešte, že samotným kopírovaním, prezeraním alebo inou manipuláciou s nakazeným súborom nedochádza k zavíreniu počítača - na to je potrebné zavírený program spustiť.
Makrovírus - dnes jednoznačne najrozšírenejší typ vírusu. Prvý experimentálny vírus tohto typu vznikol v roku 1994 (makrovírus DMV) a v teréne sa makrovírus po prvýkrát objavil v roku 1995 (Concept). Ide o vírusy, ktorých činnosť je riadená makrojazykom príslušnej aplikácie, pričom sú v tomto zmysle viazané na konkrétny formát dokumentu - makrojazyk Word Basic a skoršie verzie MS Word resp. dnes najčastejšie Visual Basic for Applications v spojení s novšími verziami MS Word, MS Excel, MS Access, MS Power Point, MS Project ale už aj CorelDraw a ďalšími aplikáciami. V tomto zmysle sú nezávislé na samotnom operačnom systéme počítača (Win9x, WinNT/2000 aj MacOS) resp. aj jeho hardwareovej platforme (Intel, Alpha aj MAC). Vzhľadom na jednotný typ makrojazyka existujú aj vírusy, ktoré napádajú dokumenty 2 resp. aj 3 rôznych aplikácií z toho istého kancelárskeho balíka (napr. MS Word, MS Excel aj MS Power Point z balíka Office 97). Štandardný spôsob šírenia makrovírusu spočíva v nasledovnom postupe - po načítaní zavíreného dokumentu príslušná aplikácia interpretuje makrá vírusu, ktoré popri rôznych sprievodných akciách zabezpečia napadnutie globálnej šablóny. Zavírené makrá šablóny sa potom vkladajú do ďalších otváraných dokumentov a tým ich infikujú. Zdôraznime ešte raz, že makrovírus sa aktivuje už samotným prezretím dokumentu v príslušnom type editora (ktorý má používanie makier povolené), čo je zrejmý rozdiel oproti súborovým vírusom. K aktivácii makrovírusov však nedochádza pri kopírovaní alebo inej manipulácii so zavírenými dokumentami.
Spomedzi vyššie menovaných troch najbežnejšie sa vyskytujúcich druhov vírusov sa makrovírusy najjednoduchšie programujú (rozdiel v náročnosti zvládnutia programovacieho jazyka Word Basic resp. Visual Basic a assembleru je značný) a navyše sa aj najľahšie šíria vzhľadom na to, že výmena dokumentov medzi používateľmi je omnoho častejšia ako výmena spúšťateľných súborov. Ak k tomu pridáme nové možnosti šírenia cez E-mail kanál využitím niektorých vlastností štandardných E-mail klientov firmy Microsoft (Melissa), v budúcnosti nemožno v tomto smere očakávať nič pozitívne.

Ďalšie typy a vlastnosti počítačových vírusov
Skriptový vírus - vírus napísaný v príslušnom type skriptového jazyka (jazyk BAT a INF súborov, Java Script a Visual Basic Script jazyk), ktorý sa šíri buď ako samostatný súbor alebo ako súčasť iných typov súborov (JS a VBS vírusy v rámci HTML a CHM súborov). Na báze VBScript jazyka sú konštruované aj rôzne typy červov šíriacich sa prostredníctvom programov MS Outlook, Outlook Express, mIRC, pIRCH a ďalších.
Satelitný vírus - vírus šíriaci sa na základe vlastnosti operačného systému DOS resp. Windows, ktorý v prípade, že v danom adresári sa nachádza viac súborov rovnakého mena, postupnosť ich spúšťania sa riadi na základe prípony v poradí BAT - COM - EXE. K súborom s príponou EXE je potom možné skopírovať súbor obsahujúci kód vírusu, ktorý bude mať rovnaké meno, ale príponu COM (alebo BAT), takže sa bude aktivovať pred samotným programom. Po zbehnutí kódu vírusu, ktorý zabezpečí svoju replikáciu resp. aj ďalšiu sprievodnú akciu sa aktivuje samotný volaný EXE program.
Priečinkový (odkazovací) vírus - vírus, ktorý je na disku prítomný v jedinom exemplári a ktorý napáda iné spúšťateľné súbory tak, že prepisuje v adresári smerník na ich začiatok tak aby ukazovali na začiatok vírusu. Pôvodnú hodnotu smerníka si ale ukladá, takže pokiaľ je vírus pamäťovo rezidentný, je schopný zabezpečiť po zbehnutí vlastného kódu aj spúšťanie pôvodných súborov. Príkladom takýchto vírusov môže byť napr. DIR II alebo BYWay.
Multipartitný vírus - vírus kombinujúci viac vyššie uvedených mechanizmov šírenia. Typickým je napr. kombinácia súborového a boot vírusu, kedy sa pri aktivácii zavíreného EXE súboru na čistom počítači kód vírusu prenesie do Master Boot sektora pevného disku. Po prvom nabootovaní z pevného disku si potom vírus zabezpečí pamäťovú rezidentnosť a ďalej sa chová ako súborový vírus - napáda EXE súbory. Keďže daný počítač už má vírus pod kontrolou, na pevnom disku sa už šíriť ďalej nemusí, stačí ak bude infikovať súbory smerom k sieťovým diskom resp. výmenným médiám (vírus OneHalf). Iným príkladom môže byť kombinácia súborového vírusu a makrovírusu (vírus Anarchy), makrovírusu a skriptového vírusu (ColdApe) a pod.
Polymorfný vírus - vírus, ktorého jednotlivé exempláre majú rozdielny kód. Vkladanie prázdnych inštrukcií, prehadzovanie poradia výkonu častí kódu resp. zámenu sekvencií kódu inými sekvenciami s ekvivalentnou funkciou v rámci úvodnej časti kódu vírusu spolu s technológiou šifrovania zvyšnej časti vírusu znemožňujú identifikáciu vírusu jednoduchým hľadaním pevnej sekvencie kódu resp. výpočtom CRC súčtu pevne zvolenej oblasti kódu. Vírusy je možné identifikovať len špecializovanými algoritmami resp. výkonnými heuristickými metódami. Medzi legendy v tomto smere patril mutačný algoritmus s názvom MTE, ktorý bol vyvinutý pre súborové vírusy pod platformou MSDOS. Dnes existujú polymorfné súborové vírusy aj pod 32-bitovými Windows resp. existujú aj polymorfné Boot vírusy a makrovírusy (i keď v posledne menovanom prípade sa obvykle jedná o pomerne rozsiahle a pomalé vírusy, ktoré sú svojou prítomnosťou dosť nápadné).
Stealth vírus - vírus, ktorý využíva príslušné služby operačného systému na zamaskovanie svojej aktivity. Ako príklad možno uviesť boot vírusy, ktoré pri čítaní Master Boot sektora vracajú prehliadaču pôvodný (nezavírený) obsah tohto sektora resp. súborové vírusy, ktoré maskujú zmenu dĺžky zavíreného súboru resp. sa pri otvorení súboru za účelom hľadania vírusu z hostiteľského súboru vyčistia a po ukončení prehliadania súboru tento opätovne zavíria. Pri makrovírusoch so stealth charakteristikou možno pozorovať napr. podsúvanie prázdneho zoznamu makier (napriek prítomnosti vírusových makier v dokumente), deaktivovanie funkcie novších aplikácií MS Office upozorňujúcich na prítomnosť makier v načítavanom dokumente a podobne.

Záver
Počítačové vírusy prekonali za posledných pár rokov svojej praktickej existencie viaceré etapy. Vo všeobecnosti sa ale dá povedať, že sa orientujú na najmasovejšie rozšírené operačné systémy a v rámci nich na najčastejšie používané aplikácie.
V súvislosti s rozvojom Internetu je mechanizmus ich šírenia resp. príslušný typ deštrukčnej akcie stále častejšie spojený s využitím jeho jednotlivých komunikačných kanálov. Pokiaľ teda chce používateľ inštalovať väčšinovo rozšírený operačný systém, pokiaľ chce byť schopný vymieňať si so svojim okolím väčšinovo používané formáty dokumentov a chce pritom využívať Internet, vystavuje sa nezanedbateľnému nebezpečiu aktivácie jednotlivých druhov infiltrácií. V tomto zmysle možno odporučiť aktívny kontakt s relevantnými informačnými zdrojmi a aplikáciu výkonného a najmä často dostatočne aktualizovaného antivírusového programu.
späť na začiatok
Copyright © 2004-2008 AVIR | WebDesign © 2009 by piXie dESiGN. Všetky práva vyhradené. Materiály tu publikované môžu byť duševným vlastníctvom podľa Autorského zákona.