Úvod do problematiky počítačových virů

Celý text (z časopisu Computer 223 stran, formát pdf)

    Počítačové viry 17 virů, hlásil monitor. Pořadí – 3888. Pavel udeřil do klávesnice sedmi prsty současně. Tento královský hmat, kterým současně stiskl klávesy D, H, J, I, Alt, Home a *, cvičil dlouhé týdny. Dobře věděl, že se mu všechny klávesy současně podaří stisknout jen v jednom z deseti pokusů, ale pevně doufal, že úspěch se dostaví právě te3. Byl to víceméně tajný kód a stálo ho značnou částku, než se mu tuto informaci podařilo vymámit z nemluvných soupeřů. Ovšem byl to zároveň jediný způsob, jakým z boot sektoru odstranit virus Hekatomba...

 Z povídky Josefa Pecinovského „Troglodyt a maska“,

 PRÁVĚ JSTE OBDRŽELI MANUÁLNÍ VIRUS:
Tento virus pracuje na čestné bázi. Takže prosím nejprve tuto zprávu rozešlete na všechny adresy ve vašem mailing listu, a pak náhodně zrušte několik souborů na vašem disku. Internetová e-mailová lidová umělecká tvořivost

Co je to počítačový virus?

  • Hledisko uživatelské

    •      Počítačový virus je jednou z mnoha hrozeb bezpečnosti a integrity počítačových systémů.
     
  • Hledisko programátorské

    •     Počítačový virus je počítačový program, který může infikovat jiný počítačový program takovým způsobem, že do něj zkopíruje své tělo, čímž se infikovaný program stává prostředkem pro další aktivaci viru. Autorem této definice je jeden z antivirových průkopníků Fred B. Cohen.

    Historie

    Počítačový virus není v žádném případě věc mystická, ale je to jen a pouze počítačový program, tj. sled instrukcí procesoru, který je schopen vykonávat pouze to, k čemu jej programátor- tvůrce naprogramoval. Hlavní věcí, kterou se od běžných programů odlišuje a čím se stává pro veřejnost přitažlivým, je právě schopnost replikovat své vlastní tělo. Díky této skutečnosti se začíná počítačový virus svým chováním přibližovat viru biologickému, a proto někdy dochází i k nedorozuměním vůči laické veřejnosti. Samotná historie počítačových virů je relativně krátká. První známé publikace vydané k této oblasti se datují k letem 1984-85. Nicméně i za tuto historicky krátkou dobu stačila tato oblast projít několika významnými etapami vývoje od virů naprosto primitivních až po viry záludné a vysoce inteligentní. V současné době nelze jednoznačně říci, kolik počítačových virů se ve světě vyskytuje. Existence polymorfních virů, kdy každý vygenerovaný tvar má jinou podobu, a častý výskyt různých odvozenin, nedovolují stanovit jednoznačné číslo. V roce 1996 se seriózní odhad pohyboval kolem hodnoty 10 000 základních virových tvarů; v roce 2000 Virus Information Library pak uvádí více než 53 000. Na první pohled je zřejmé, že obě uvedené definice spolu velice úzce souvisí. Ochrana počítačových dat musí být v současnosti s velkou mírou spolehlivosti zajištěna nejen proti virovým útokům, ale i proti útokům zvědavých hackerů či jiným formám zneužití, jako jsou např. neoprávněné databázové zásahy, krádeže, podvody či zneužití osobních dat (stav bankovního konta apod.).

    Počítačový virus je program, pro který platí některá další upřesňující specifika:

  • Nezbytná nutnost hostitele
  • Malá velikost virového programu
  • Vše naprogramováno v Assembleru
  • Symbióza s hostitelem

    • Počítačový virus a operační systém

    Porovnání virů pro platformu Windows a Unix.

    Dělení počítačových virů

    Viry podle umístění v paměti
  • Nerezidentní viry
  • Rezidentní viry


    • Viry podle cíle infekce

  • Bootovací viry
  • Souborové viry
  • Multipartitní viry


    • Viry podle koncepce návrhu a projevů chování

  • Stealth viry
  • Polymorfní viry
  • Tunelující viry
  • Generické viry
  • Generátory virů


    • Virům podobné počítačové hrozby

  • Trojské koně
  • Makroviry
  • Červi
  • Bomby

    • Virová etika a pohnutky tvůrců virů

    Proč lidé píší viry?
    Jaká je jejich morálka?

     Mezi hlavní motivační impulsy tvůrců virů patří:

  • Touha po slávě
  • Prostředek seberealizace
  • Prostá lidská zvědavost
  • Ekonomický zisk

    • Základní antivirové prostředky a mechanismy

    Softwarové prostředky
    Vyhledávač (skener)
    Heuristická metoda analýzy
    Léčitel (clean)
    Rezidentní štít
    Monitor diskových změn

    Jednoúčelové programy

    Programové balíky


    Programové balíky jsou komplexní souhrny antivirových programů dané firmy. Koncepce jsou různé, od separátně oddělených skenerů, cleanů a ostatních antivirových utilit až po integrované menu systémy (ty, díky prostředí Windows jednoznačně převládají). Časté jsou i kombinace obou přístupů, kdy uživatel má možnost danou komponentu buď spustit přímo nebo z menu rozhraní.

    Co by měl obsahovat kvalitní antivirový produkt?
  • Rychlý skener s rozsáhlou databází virových signatur známých virů se schopností účinně detekovat i viry polymorfní, včetně makrovirů a jiných virově zaměřených hrozeb dneška. Vhodným doplňkem je podpora externích virových signatur skeneru, umožňující dodatečné přidání vzorků nových virů pro jejich vyhledávání.

  • Kvalitní heuristickou analýzu pro detekci nových, neznámých virů.

  • Běžný i univerzální clean pro odstraňování virů.

  • Rychlý rezidentní štít, který nepracuje na principu skeneru, ale na inteligentní bázi zachycení virových akcí.
  • Žádoucí je podpora kontroly zaváděcího sektoru „zapomenuté“ diskety v mechanice A: po resetu stiskem kláves Ctrl+Alt+Del.
  • Možnost úschovy/obnovy kritických systémových částí počítače zejména zaváděcího sektoru, tabulky rozdělení pevného disku a paměti CMOS.

  • Podporu příkazového řádku pro možnost tvorby dávkových souborů *.BAT, příp. i s možností plánování spuštění (jednou denně, týdně apod.).
  • Schopnost detekovat chyby integrity dat, jako jsou vadné programy, mylné pojmenování souboru na spustitelnou příponu apod.
  • Kontrolu komprimovaných souborů.

  • Kontrolu souborů přicházejících po Internetu, ať už ve formě nahrávaných souborů z webových stránek či e-mailových příloh.

  • Dostatečnou odolnost proti falešným poplachům. Hoax.
  • Databázi popisů detekovatelných virů.

    • Jaké programové balíky na trhu jsou uživateli dostupné?

    Následující abecedně řazený informační výčet poskytuje pouze stručný souhrn nejvýraznějších znaků předních antivirových kompletů, který se pochopitelně může s vyššími verzemi dále vyvíjet:

    ADinf, ADinf32 – Advanced DiskinfoscopeNetypický antivirový program zaměřený svým pojetím zejména proti neznámým virům. Podstatou je kontrola integrity souborového systému založená na principu kontrolních součtů (CRC). Název kontrolní databáze je variabilní, což vylučuje jednorázově zaměřené útoky proti tomuto typu antivirového programu. Dojde-li k infikaci souboru, dojde i ke změně oproti údajům kontrolní databáze a tím i k upozornění uživatele. Kniha první: Počítačové viry z pohledu laika a mírně pokročilého uživatele 61

    Antigen
    www.sybari.ws

     AVAST!, AVAST32
    www.alvil.cz
    Komplexní řada antivirových utilit tuzemského původu, velice dobře hodnocená i v celosvětovém měřítku. K dispozici ve verzi AVAST! (pro MS-DOS a Windows 3.x) jsou klasický skener, rychlý skener zaměřený na nejrozšířenější domácí viry, klasický clean, univerzální clean, kontrola změn souborů a rezidentní štíty, hlídající kritické virové akce (modifikace sledovaných souborů, pokusy o formátování, přímý zápis na disk apod.) a zaváděcí sektor „zapomenuté“ diskety A:. Koncepce menu rozhraní i vlastní pojetí utilit AVASTu jsou velice podobné se zahraničním programem Virus Alert. Verze AVAST32 (pro Windows 95/98 a NT) disponuje např. aktivním antivirovým stmívačem obrazovky, umožňujícím skenování v době nečinnosti počítače.

    AVG
    www.grisoft.cz
    Další kvalitní tuzemský antivirový produkt, který je vybaven aktivními anti-stealth technikami, umožňující bezpečnou antivirovou kontrolu i bez zavedení operačního systému z nezavirované systémové diskety. Osobitým prvkem je detailně propracovaná heuristická analýza, kdy uživatel má možnost nastavení řady voleb (hloubka záběru počtu analyzovaných instrukcí, maximální doba testu v sekundách apod.). K dispozici je heuristická analýza obsluh vektorů přerušení 13h a 21h, které jsou nejčastějším terčem virových útoků. Celý systém je na vysoké odborné úrovni, k dispozici je i aktivní virová léčka na přítomné viry v operační paměti a emulace fronty instrukcí procesoru, která zajišZuje zvýšenou odolnost proti virům, které se brání krokování svého těla. Kromě standardní léčby infikovaných programů podporuje AVG speciální heuristický clean pro obecné souborové viry jednoduššího typu. 32bitová verze je pak řešena formou modulární koncepce (Active Modular Core) zajišZující, že všechny komponenty systému mají totožnou detekční schopnost. K dispozici jsou i antivirové plug-iny poštovních klientů. ? F-PROT Jeden z klasických antivirových programů, silný i v detekci chyb integrity dat. Existuje ve verzích pro MS-DOS, Windows, F-MACROW pro detekci makrovirů a F-STOPW (rezidentní štít VxD pro Windows 95/98).

    BitDefender
    www.officeplus.cz

    eTrust
    www.ca.com/offices/czechslovak

    F-Secure Antivirus
    Nová generace programu F-PROT. Umožňuje skenovat několika různými motory současně. Obsahuje skenovací motory F-PROT a AVP, které mohou běžet na pozadí všech platforem Windows. ? IM – Integrity Master IM komplexně hlídá integritu uložených dat na disku podobně jako ADinf. Podporuje základní antivirové komponenty s kontrolou integrity dat, jejíž principem je výpočet identifikačních signatur pro každý soubor. Tento výpočet je kódovaný a metoda výpočtu je náhodně vybrána. Obsahuje doplňkové kontroly pro narušení souborů *.DLL. 62 Moderní počítačové viry Podstata, prevence, ochrana ? McAfee VirusScan Patrně nejznámější „klasický“ skener u nás. Skládá se ze základního GUI, skeneru, plánovače spouštění antivirového testu, rezidentního štítu Vshield, komponenty WebScanX pro kontrolu souborů nahrávaných z Internetu, příloh e-mailů, podezřelých appletů a prvků ActiveX. Dále je k dispozici cc:Mail Scan pro platformy Lotus apod. a aktivní antivirový stmívač obrazovky ScreenScan.

    Kaspersky Lab
    www.kaspersky.com

    McAfee VirusScan
    www.mcafee.com

    NOD32
    www.nod32.cz

    NOrman Virus Control
    www.norman.com

    Norton Internet Security
    Rozsáhlý balík poskytující ochranu při surfování Internetem s rodičovskou možností nastavení tabu stránek pro své zvídavé ratolesti. Součástí je i antivirový program Norton AntiVirus vyznačující se implementovanou detekcí bootovacích virů s využitím neuronových sítí a technologií Bloodhound pro detekci polymorfních virů a makrovirů. Tato technologie vytváří virtuální počítač nebo virtuální e-mailovou schránku, ve kterých otevře kontrolovaný obsah a prověří, zda neobsahuje virové hrozby.

    Panda
    www.planetsoftware.cz

    Sophos
    www.dataguard.cz

    Trend Micro
    cz.trendmicro-europe.com

    Virus Buster
    www.officeplus.cz


    Základní bezpečnostní praktiky



    Základním bezpečnostním pravidlem pro práci na počítači je zálohovat, zálohovat, zálohovat.
  • Vícenásobné zálohování na několika médiích
  • Vícenásobné zálohování několika verzí
  • Přenos souborů ve zkomprimované podobě
  • Ochrana souboru nastavením atributu jen ke čtení
  • „Obálkové“ ochrany programů (Self Check)
  • Očkování (vakcinace) souborů
  • Ochrana disket proti zápisu
  • Vytvoření (dosové) záložní systémové diskety
  • Nastavení bootovacího sledu
  • Používání originálního softwaru

    Bezpečnost práce na počítačové síti


  • Potenciální možnosti virového útoku
  • Počítačové viry a Internet
  • Elektronická pošta (e-mail)
  • Anonymní servery FTP
  • Bezpečnostní díry

    • Deset pravidel pro účinnou antivirovou ochranu

    S rozšiřováním internetu a s tím, jak jde dopředu vývoj počítačů a jejich programové vybavení, zvyšuje se (zejména v poslední době) i množství hrozeb. Jedním z největších nebezpečí pro uživatele jsou počítačové viry, které mohou v jednom okamžiku zlikvidovat výsledek dlouhodobé práce. I když neexistuje nebezpečí přenosu tohoto druhu virové infekce na člověka, riziko infarktu, který hrozí při pohledu na dokonale prázdný disk počítače, kde ještě před chvílí byl zpracovaný důležitý projekt, je přinejmenším možné.

    Samotné zakoupení antivirového programu a jeho instalace na chráněný počítač však nestačí. Může se jednat o sebelepší program od světového či domácího výrobce, a přesto se může stát, že nebude schopen počítač uchránit, pokud nebude uživatel respektovat některá základní pravidla antivirové ochrany. Příkladem zmiňovaných pravidel může být následující desatero antivirové ochrany.

    1) Provádějte pravidelný update svého antivirového programu!

    Sebelepší antivir se zastaralou virovou databází je k ničemu. Takřka každý den se objevují nové škodlivé kódy, ze kterých navíc mohou vznikat různé mutace. Pouze aktuální datové soubory poskytované výrobcem konkrétního antivirového programu obsahují údaje umožňující spolehlivou detekci a odstranění i nejnovějších virů. Někteří výrobci dnes dokonce poskytují tyto aktualizace denně.
    U mnohých antivirů lze nastavit tzv. "live update", po připojení se k internetu program sám zjistí, zda je k dispozici aktualizace, a pokud ano, stáhne ji. Uživatel se tak nemusí starat vůbec o nic a jeho počítač je dobře chráněn proti novým přírůstkům na virové scéně.

    2) Nikdy neotvírejte e-mailovou přílohu, kterou jste nepožadoval(a)!

    Škodlivých kódů šířících se pomocí elektronické pošty v poslední době stále přibývá. Brát tento způsob šíření virů v úvahu nás přinutil například případ lavinovitého šíření viru Iloveyou, který v květnu 2000 způsobil nemalé ekonomické škody (odhadují se asi na 8,7 miliardy USD). Programování těchto virů je poměrné jednoduché a jejich efekt rozsáhlý.
    Typický virus obsažený v příloze e-mailu, pokud na něj uživatel klikne a tím jej otevře, nemusí zůstat pouze u svého šíření na adresy, které najde v poštovním programu. Může obsahovat i další škodlivé rutiny, které například zlikvidují data na zasaženém počítači.

    3) Mějte kontrolu nad svým počítačem a nad tím, kdo jej používá!

    Riziko virové nákazy a ztráty dat vzrůstá úměrně s počtem lidí, kteří mají ke konkrétnímu počítači přístup. Stačí jediný nezodpovědný člověk, který přinese z domova zavirovanou disketu nebo otevře e-mailovou přílohu s virem, a práce všech ostatních přichází vniveč. V současné době se je důležité ochránit počítač pomocí programu, který zajistí přístup pouze definovaným uživatelům. Nejde pouze o zamezení virové nákazy, ale i o ochranu informací uchovávaných v počítači. Je třeba si uvědomit, že informace mají také svoji cenu. S připojením počítače na internet vyvstává potřeba chránit se i proti nežádoucím průnikům ze sítě.

    4) Instalujte včas všechny „záplaty“ na používaný software!

    Existují viry, které používají tzv. bezpečnostní díry v operačních systémech a aplikacích. Pokud je taková chyba v programu zjištěna, jeho výrobce zpravidla připraví tzv. záplatu (patch), kterou lze na daný program aplikovat (nainstalovat), a tím chybu odstranit. Tyto soubory jsou zpravidla k dispozici ke stažení na stránkách jednotlivých výrobců software. Je v zájmu uživatele sledovat aktuální situaci a nové záplaty co nejdříve aplikovat. Toto pravidlo platí zejména pro operační systémy.
    Kupříkladu poslední útok viru Slammer na SQL servery by nebyl vůbec tak razantní, kdyby administrátoři zazáplatovali chybu, která je známá již půl roku. Díry využil tvůrce viru a doslova paralyzoval na několik hodin celosvětový i domácí internet.

    5) Vždy prověřujte diskety a CD média předtím, než je použijete!

    Přestože podle dostupných údajů asi 85 % zaznamenaných virových útoků přichází prostřednictvím e-mailu, nemůžeme podceňovat ani „tradiční“ způsoby šíření škodlivých kódů. Proto je bezpečnější investovat několik minut času a médium otestovat, než se potom několik hodin trápit nad zavirovaným počítačem, případně platit specialistu.

    6) S každým novým souborem (i z důvěryhodného zdroje) nakládejte s největší opatrností!

    Uvedené pravidlo platí nejen pro pirátský software. Existují dokonce i případy, kdy instalační CD od známého výrobce tiskáren obsahovalo virus. Mnohonásobně větší je riziko v případě souborů stahovaných z internetu. Nezáleží na tom, komu stránky patří, i na stránkách renomované firmy mohou být soubory infikované viry. Připomeňme třeba případ, kdy na stránkách světově proslulého výrobce nejmenovaného operačního systému byl několik týdnů k dispozici dokument nakažený makrovirem. Inu virus si nevybírá, komu patří soubor, který napadá.
    Ještě větší obezřetnost by měla být dodržována při stahování hudby či filmů z P2P sítí. Pokud někdo tuto nelegální činnost provádí, měl by brát rovněž na vědomí, že stahovaná data mohou být s velkou pravděpodobností zavirována.

    7) Využívejte více než jen jeden způsob antivirové ochrany!

    Z hlediska celkové bezpečnosti není dostačující použití pouze jednoduchého antivirového programu, který umí na požádání prověřit daný soubor či adresář. Je žádoucí, aby antivirový program uměl kombinovat několik druhů ochrany. Mezi ně patří:
    - antivirový monitor, který umí na pozadí (on-line) kontrolovat otevírané soubory;
    - integrity checker (kontrolní součet), který umí zaznamenat modifikace souborů a adresářů, jež mohou indikovat napadení virem;
    - heuristická analýza, jež vyhledává viry ne na základě typické sekvence kódu, ale pomocí jejich chování a projevů.
    Kombinace těchto několika technologií může efektivně ochránit počítač před většinou škodlivých kódů.

    8) Vytvořte si zaručeně „čistou“ bootovací disketu a pečlivě ji uložte na bezpečné místo!

    Může nastat případ, že na počítači, který byl napaden virem, nelze spustit operační systém. Nemusí to však nutně znamenat, že by virus data na pevném disku počítače smazal. V takovém případě je vhodné mít k dispozici předem vytvořenu tzv. bootovací disketu (samozřejmě nezavirovanou), která současně obsahuje antivirový program. Pomocí této diskety lze napadený počítač spustit a infikované soubory vyléčit či přinejhorším smazat.

    9) Pravidelně zálohujte!

    Ačkoliv toto pravidlo přímo nesouvisí s antivirovou ochranou, jeho dodržování umožňuje minimalizovat případné škody způsobené agresivním virem, nespolehlivým hardwarem apod. V porovnání s cenou ztracených dat je čas strávený zálohováním zcela zanedbatelný. Vytvořené zálohy je vhodné uložit na bezpečném místě (pro případ požáru či jiné živelné katastrofy).

    10) Nepodléhejte panice!

    Účelem těchto pravidel není strašit uživatele počítačů. Počítačové viry jsou ve své podstatě jen obyčejné programy. Jediným rozdílem, který je činí nebezpečnými, je to, že svoji činnost provozují nezávisle na vůli uživatele. Viry jsou programovány obyčejnými lidmi a nemohou tedy mít žádné přehnané schopnosti. Mnohem větší škody zpravidla napáchá nezkušený uživatel, který se v panickém strachu snaží napadený počítač „vyléčit“.

    Ze všeho nejdůležitější je nepodléhat panice a ke všem případným zásahům do infikovaného počítače přistupovat s rozvahou. Nejlepším řešením je svěřit zavirovaný počítač do rukou profesionálů nebo se s nimi alespoň poradit. Základem všeho však byla, je a bude instalace kvalitního antivirového řešení, jeho správné nastavení a dodržování základních pravidel antivirové ochrany.