Wirusy Komputerowe

background image

Wirusy

Wirusy

komputerowe

komputerowe

background image

Czym jest

wirus?

Wirus komputerowy to kod, który wskutek braku

systemowej ochrony zasobów w jednoprogramowych

systemach operacyjnych komputerów osobistych

dokonuje zaprogramowanych przez jego autora,

niepożądanych zmian w środowisku systemowym,

uszkadzając dane, programy, zmieniając sposób

działania sprzętu itp. W uproszczeniu wirus jest obcym

fragmentem kodu, dołączonym do programu. Wykonanie

tego kodu po uruchomieniu programu powoduje

odnajdywanie na dysku innych, “nie zarażonych”

programów i dołączanie do nich kodu wirusa. W ten

sposób wirus zaraża coraz to więcej programów w

komputerze, a “zainfekowane” nim programy,

przenoszone na dyskietkach lub przesyłane siecią

niszczą zasoby innych komputerów. Wirus może też

atakować sektor rozruchowy dyskietki lub dysku. Skutki

powodowane przez wirusy mają znamiona przestępstwa

polegającego na naruszeniu dóbr chronionych prawem.

background image

Definicja

Wirus (łacińskie "virus" oznacza truciznę) komputerowy

to najczęściej prosty program komputerowy, który w

sposób celowy powiela się bez zgody użytkownika. Wirus

komputerowy w przeciwieństwie do robaka

komputerowego do swojej działalności wymaga nosiciela

w postaci programu komputerowego, poczty

elektronicznej itp. Wirusy wykorzystują słabość

zabezpieczeń systemów komputerowych lub właściwości

systemów oraz niedoświadczenie i beztroskę

użytkowników. Długość typowego wirusa waha się w

granicach od kilkudziesięciu bajtów do kilku kilobajtów i

w dużym stopniu zależy od umiejętności

programistycznych jego twórcy, a także od języka

programowania użytego do jego napisania. Od

umiejętności i zamierzeń autora zależą także efekty, jakie

wirus będzie wywoływał w zainfekowanym systemie.

background image

CHARAKTERYSTYKA

CHARAKTERYSTYKA

WIRUSÓW

WIRUSÓW

KOMPUTEROWYCH:

KOMPUTEROWYCH:

W

W

irusy komputerowe

irusy komputerowe

można

można

scharakteryzować jako

scharakteryzować jako

programy, które zostały

programy, które zostały

celowo stworzone przez

celowo stworzone przez

człowieka w celu

człowieka w celu

utrudnienia pracy

utrudnienia pracy

innym użytkownikom.

innym użytkownikom.

Wirusy

komputerowe

background image

Cel działania wirusów

Cel działania wirusów

Celem tych niewielkich, lecz czasami

niezwykle szkodliwych programów

jest najczęściej kasowanie cennych

informacji znajdujących się na dysku

lub na innym nośniku danych. Kto nie

zna jeszcze uczucia pojawiającego się

w momencie odkrycia obecności

wirusa, ten być może nawet nie ma u

siebie żadnego programu

antywirusowego. Kogo natomiast

problem ten zdążył już dotknąć, ten z

pewnością dmucha na zimne,

trzymając w pogotowiu kilka

podobnych narzędzi.

background image

TYPOWE OBJAWY

TYPOWE OBJAWY

ZARAŻENIA WIRUSEM:

ZARAŻENIA WIRUSEM:

Wolniejsze wczytywanie się

Wolniejsze wczytywanie się

programów,

programów,

Pojawiające się lub znikające pliki,

Pojawiające się lub znikające pliki,

Zmiana rozmiaru pliku

Zmiana rozmiaru pliku

wykonywalnego lub programu,

wykonywalnego lub programu,

Nadmierna praca dysków twardych,

Nadmierna praca dysków twardych,

Pojawiające się na ekranie nieznane

Pojawiające się na ekranie nieznane

napisy lub obiekty,

napisy lub obiekty,

Wirusy

komputerowe

background image

TYPOWE OBJAWY

TYPOWE OBJAWY

ZARAŻENIA WIRUSEM:

ZARAŻENIA WIRUSEM:

Zmniejszenie się wolnej przestrzeni na

Zmniejszenie się wolnej przestrzeni na

dysku,

dysku,

Zmiana nazwy plików,

Zmiana nazwy plików,

Niedostępność dysku twardego,

Niedostępność dysku twardego,

Polecenie Scandisk wskazuje

Polecenie Scandisk wskazuje

niepoprawne wartości.

niepoprawne wartości.

Wirusy

komputerowe

background image

PODZIAŁ WIRUSÓW W

PODZIAŁ WIRUSÓW W

ZALEŻNOŚCI OD CELU

ZALEŻNOŚCI OD CELU

ATAKU:

ATAKU:

Wirusy głównego sektora

Wirusy głównego sektora

rozruchowego - wirus dyskowy

rozruchowego - wirus dyskowy

Wirusy wstępnego ładowania systemu

Wirusy wstępnego ładowania systemu

– BOOT sektora - usadawia się on w

– BOOT sektora - usadawia się on w

pamięci bootsektora co uniemożliwia

pamięci bootsektora co uniemożliwia

start systemu bądź równoczesny start

start systemu bądź równoczesny start

z nim

z nim

Wirusy zarażające pliki - dopisuje

Wirusy zarażające pliki - dopisuje

swój kod do pliku, najczęściej pliku

swój kod do pliku, najczęściej pliku

wykonywalnego o rozszerzeniu .exe

wykonywalnego o rozszerzeniu .exe

lub .com -

lub .com -

programy systemowe,

programy systemowe,

narzędziowe, czy nawet komercyjne

narzędziowe, czy nawet komercyjne

aplikacje.

aplikacje.

Wirusy FAT

Wirusy FAT

(wirusy tablicy alokacji

(wirusy tablicy alokacji

plików, link/FAT viruses):

plików, link/FAT viruses):

Wirusy

komputerowe

background image

Wirusy sektora

Wirusy sektora

startowego

startowego

-

-

wirusy boot sektora, boot sector viruses)

wirusy boot sektora, boot sector viruses)

Innym nosicielem wirusa może być sektor startowy

Innym nosicielem wirusa może być sektor startowy

nośnika danych, takiego jak dysk twardy (MBR -

nośnika danych, takiego jak dysk twardy (MBR -

Master Boot Record) czy dyskietka (Boot sector).

Master Boot Record) czy dyskietka (Boot sector).

Wirusy tego typu są szczególnie groźne. Wynika to z

Wirusy tego typu są szczególnie groźne. Wynika to z

faktu, iż po uruchomieniu komputer próbuje wczytać

faktu, iż po uruchomieniu komputer próbuje wczytać

system, który jest zapisany w pierwszym sektorze

system, który jest zapisany w pierwszym sektorze

dysku lub dyskietki. Należy mieć świadomość, że

dysku lub dyskietki. Należy mieć świadomość, że

każda sformatowana dyskietka, nawet nie

każda sformatowana dyskietka, nawet nie

zawierająca plików systemowych, posiada boot

zawierająca plików systemowych, posiada boot

sektor, a więc jako taka może zawierać wirusa.

sektor, a więc jako taka może zawierać wirusa.

Zasada działania:

Zasada działania:

Wirus tego typu może ulokować się w MBR i np.

Wirus tego typu może ulokować się w MBR i np.

zniszczyć jego zawartość, uniemożliwiając tym

zniszczyć jego zawartość, uniemożliwiając tym

samym dostęp do dysku. W innym przypadku wirus

samym dostęp do dysku. W innym przypadku wirus

przenosi kod inicjujący system z sektora startowego

przenosi kod inicjujący system z sektora startowego

w inny obszar dysku i zajmuje jego miejsce, co

w inny obszar dysku i zajmuje jego miejsce, co

powoduje jego załadowanie jeszcze przed (!) startem

powoduje jego załadowanie jeszcze przed (!) startem

systemu, a więc także przed uruchomieniem

systemu, a więc także przed uruchomieniem

jakiegokolwiek oprogramowania antywirusowego.

jakiegokolwiek oprogramowania antywirusowego.

Działanie tego typu umożliwia wirusom przejęcie

Działanie tego typu umożliwia wirusom przejęcie

kontroli nad oprogramowaniem przeznaczonym do

kontroli nad oprogramowaniem przeznaczonym do

ich zwalczania.

ich zwalczania.

background image

Wirusy plikowe

Wirusy plikowe

Wirusy plikowe to najstarsza rodzina tych

Wirusy plikowe to najstarsza rodzina tych

programów. Każdy wirus przed dokonaniem szkód

programów. Każdy wirus przed dokonaniem szkód

najpierw ulega replikacji, dlatego rozwój

najpierw ulega replikacji, dlatego rozwój

"przemysłu" wirusowego wiąże się z

"przemysłu" wirusowego wiąże się z

wynajdywaniem nowych nosicieli. Początkowo na

wynajdywaniem nowych nosicieli. Początkowo na

atak wirusów tego typu narażone były tylko pliki

atak wirusów tego typu narażone były tylko pliki

wykonywalne (*.exe, .com) oraz wsadowe (*.bat).

wykonywalne (*.exe, .com) oraz wsadowe (*.bat).

Rozwój technologii wirusów powiększył grono

Rozwój technologii wirusów powiększył grono

zagrożonych plików o zbiory zawierające

zagrożonych plików o zbiory zawierające

fragmenty kodu, biblioteki, sterowniki urządzeń

fragmenty kodu, biblioteki, sterowniki urządzeń

(*.bin, *.dll, *.drv, *.lib, *.obj, *.ovl, *.sys, *.vxd).

(*.bin, *.dll, *.drv, *.lib, *.obj, *.ovl, *.sys, *.vxd).

Zasada działania:

Zasada działania:

Infekcja następuje poprzez dopisanie kodu wirusa

Infekcja następuje poprzez dopisanie kodu wirusa

na końcu pliku (wirusy starsze) lub modyfikację

na końcu pliku (wirusy starsze) lub modyfikację

jego początku i dopisanie kodu w środku lub na

jego początku i dopisanie kodu w środku lub na

końcu (wirusy nowsze, atakujące niewykonywalne

końcu (wirusy nowsze, atakujące niewykonywalne

pliki). Załadowanie zainfekowanego pliku do

pliki). Załadowanie zainfekowanego pliku do

pamięci jest równoznaczne z uaktywnieniem

pamięci jest równoznaczne z uaktywnieniem

wirusa. Wiele wirusów nie niszczy zaatakowanego

wirusa. Wiele wirusów nie niszczy zaatakowanego

pliku, dzięki czemu może po aktywacji wykonać

pliku, dzięki czemu może po aktywacji wykonać

program nosiciela, tak że użytkownik niczego nie

program nosiciela, tak że użytkownik niczego nie

podejrzewa

podejrzewa

.

.

background image

Wirusy plikowe

Wirusy plikowe

Wirusy plikowe atakują wyłącznie pliki uruchamiające

Wirusy plikowe atakują wyłącznie pliki uruchamiające

inne programy. Kiedy wystartujemy jakiś program,

inne programy. Kiedy wystartujemy jakiś program,

wirus uaktywnia się i tworzy swoje kopie, aby

wirus uaktywnia się i tworzy swoje kopie, aby

połączyły się z plikami wykonywalnymi innych

połączyły się z plikami wykonywalnymi innych

aktywnych w tym czasie programów. Te z kolei, w

aktywnych w tym czasie programów. Te z kolei, w

analogiczny sposób infekują w późniejszym czasie

analogiczny sposób infekują w późniejszym czasie

inne pliki. Im dłużej będziemy korzystać z zarażonego

inne pliki. Im dłużej będziemy korzystać z zarażonego

programu, w tym większym stopniu rozprzestrzeni się

programu, w tym większym stopniu rozprzestrzeni się

dany wirus.

dany wirus.

Tak jak każdy inny program, również wirus musi zostać

Tak jak każdy inny program, również wirus musi zostać

uruchomiony, aby mógł cokolwiek zdziałać. Dlatego

uruchomiony, aby mógł cokolwiek zdziałać. Dlatego

wirusy komputerowe atakują przede wszystkim pliki

wirusy komputerowe atakują przede wszystkim pliki

wykonywalne innych programów. Zbiory zawierające

wykonywalne innych programów. Zbiory zawierające

jedynie dane, na przykład dokumenty tekstowe,

jedynie dane, na przykład dokumenty tekstowe,

graficzne, bazy danych czy dźwiękowe, z reguły nie są

graficzne, bazy danych czy dźwiękowe, z reguły nie są

zarażane przez tego typu wirusy. Wirusy atakujące

zarażane przez tego typu wirusy. Wirusy atakujące

pliki rozpowszechniają się zazwyczaj poprzez pirackie

pliki rozpowszechniają się zazwyczaj poprzez pirackie

kopie różnych programów. Niektórzy użytkownicy

kopie różnych programów. Niektórzy użytkownicy

komputerów, którzy wymieniają się kradzionym

komputerów, którzy wymieniają się kradzionym

oprogramowaniem, narażeni są na największe

oprogramowaniem, narażeni są na największe

niebezpieczeństwo infekcji. Jedynie licencjonowane

niebezpieczeństwo infekcji. Jedynie licencjonowane

legalnie kopie programów gwarantują

legalnie kopie programów gwarantują

bezpieczeństwo, choć zdarzały się też takie przypadki,

bezpieczeństwo, choć zdarzały się też takie przypadki,

że również oryginalne oprogramowanie producenta

że również oryginalne oprogramowanie producenta

było zarażone wirusem. W takiej sytuacji winę ponosił

było zarażone wirusem. W takiej sytuacji winę ponosił

jednak producent, który do tego dopuścił. Na

jednak producent, który do tego dopuścił. Na

szczęście są to jedynie wyjątki potwierdzające regułę.

szczęście są to jedynie wyjątki potwierdzające regułę.

background image

Wirusy plików wsadowych - są to pliki o

Wirusy plików wsadowych - są to pliki o

rozszerzeniu .bat i właśnie pliki z tym

rozszerzeniu .bat i właśnie pliki z tym

rozszerzeniem wykorzystują do transportu.

rozszerzeniem wykorzystują do transportu.

Wbrew pozorom pliki te potrafią stanowić

Wbrew pozorom pliki te potrafią stanowić

poważne zagrożenie dla systemu jak również

poważne zagrożenie dla systemu jak również

samych tablic patrycji dysku. Po uruchomieniu

samych tablic patrycji dysku. Po uruchomieniu

zarażonego pliku wsadowego tworzony jest

zarażonego pliku wsadowego tworzony jest

uruchamialny plik z rozszerzeniem .com lub .exe,

uruchamialny plik z rozszerzeniem .com lub .exe,

który zawiera właściwy kod infekujący pliki .bat

który zawiera właściwy kod infekujący pliki .bat

Na duże niebezpieczeństwo zarażenia się

Na duże niebezpieczeństwo zarażenia się

wirusem wystawieni są użytkownicy, którzy

wirusem wystawieni są użytkownicy, którzy

sprowadzają programy z różnych źródeł także

sprowadzają programy z różnych źródeł także

rozprowadzane w wersji shareware'owej. Przede

rozprowadzane w wersji shareware'owej. Przede

wszystkim dotyczy to produktów ściąganych z

wszystkim dotyczy to produktów ściąganych z

internetu, z witryn nie posiadających certyfikatów

internetu, z witryn nie posiadających certyfikatów

bezpieczeństwa, serwerów FTP itd.

bezpieczeństwa, serwerów FTP itd.

background image

Wirusy głównego sektora

Wirusy głównego sektora

rozruchowego

rozruchowego

Wirus dyskowy, zagnieżdżający się w sektorach z informacjami na

temat struktury danych na dysku, zwykle jest przenoszony na

dyskietkach, na których umiejscawia się w początkowych

sektorach. Dzisiejsze wirusy infekują zarówno dyskietki, jak i

dyski twarde. I w tym momencie rozpoczyna się praktycznie nie

kończący proces: gdy zarażony zostanie dysk twardy, wirus

przenosi się na wszystkie dyskietki, które umieściliśmy w

napędzie komputera i zrobimy z nich użytek. Pierwsza infekcja -

dysku twardego - następuje po umieszczeniu zawirusowanej

dyskietki w napędzie i uruchomieniu komputera. I tak koło się

zamyka: z dyskietki na dysk twardy, z dysku na wiele dyskietek, z

wielu dyskietek na wiele innych dysków twardych itd. Dyskietki i

dyski twarde zawierają dane niewidoczne dla użytkownika. Są to

informacje zachowane w pierwszych sektorach dyskietek i dysków

twardych. Wirus, który zagnieżdża się w tych sektorach, zmienia

znajdujące się tam dane na własne. Kiedy przed uruchomieniem

komputera umieścimy taka dyskietkę w napędzie, system najpierw

spróbuje odczytać informacje z jej pierwszych sektorów.

Jedynym sposobem ochrony przed takim zarażaniem dyskietek i

sektorów jest umieszczenie w napędzie wyłącznie dyskietek

zabezpieczonych przed zapisem, ew. uruchamianie komputera po

usunięciu dyskietek ze stacji

background image

Wirusy FAT

Wirusy FAT

Do replikacji wirusy mogą

Do replikacji wirusy mogą

także wykorzystywać jednostki

także wykorzystywać jednostki

alokacji plików (JAP), na jakie

alokacji plików (JAP), na jakie

tablica FAT dzieli DOS-ową

tablica FAT dzieli DOS-ową

partycję dysku twardego. W

partycję dysku twardego. W

celu uzyskania dostępu do

celu uzyskania dostępu do

pliku DOS odszukuje w FAT

pliku DOS odszukuje w FAT

numer jego pierwszej

numer jego pierwszej

jednostki alokacji, po czym

jednostki alokacji, po czym

kolejno (zgodnie z FAT)

kolejno (zgodnie z FAT)

wczytuje wszystkie jednostki

wczytuje wszystkie jednostki

zajmowane przez plik.

zajmowane przez plik.

background image

Wirusy pasożytnicze - modyfikują strukturę wewnętrzną

Wirusy pasożytnicze - modyfikują strukturę wewnętrzną

zarażonej aplikacji oraz wykorzystują ją do transportu.

zarażonej aplikacji oraz wykorzystują ją do transportu.

Zarażone pliki są uszkodzone, a jedynym ratunkiem dla nich

Zarażone pliki są uszkodzone, a jedynym ratunkiem dla nich

jest użycie szczepionki lub odzyskanie zdrowego pliku z kopii

jest użycie szczepionki lub odzyskanie zdrowego pliku z kopii

zapasowej.

zapasowej.

Wirusy towarzyszące - są tworzone w językach wysokiego

Wirusy towarzyszące - są tworzone w językach wysokiego

poziomu, wykorzystują kolejność uruchamiania programów o

poziomu, wykorzystują kolejność uruchamiania programów o

tych samych nazwach lecz innych rozszerzeniach, stosowaną

tych samych nazwach lecz innych rozszerzeniach, stosowaną

przez system DOS. Jeśli w jednym katalogu znajduje się kilka

przez system DOS. Jeśli w jednym katalogu znajduje się kilka

plików które mają taką samą nazwe, lecz różne rozszerzenia

plików które mają taką samą nazwe, lecz różne rozszerzenia

(np. program.exe, program.com, program.bat), to w

(np. program.exe, program.com, program.bat), to w

przypadku podania nazwy bez rozszerzenia, w pierwszej

przypadku podania nazwy bez rozszerzenia, w pierwszej

kolejności zostanie otwary plik z rozszerzeniem .com,

kolejności zostanie otwary plik z rozszerzeniem .com,

następnie .exe i .bat. Wirusy towarzyszące wykorzystują tą

następnie .exe i .bat. Wirusy towarzyszące wykorzystują tą

zależność systemu DOS - jeśli program ma rozszerzenie .com -

zależność systemu DOS - jeśli program ma rozszerzenie .com -

wirus towarzyszący nie dokona infekcji. Jeśli program ma

wirus towarzyszący nie dokona infekcji. Jeśli program ma

rozszerzenie .exe lub .bat, to plik z wirusem będzie miał

rozszerzenie .exe lub .bat, to plik z wirusem będzie miał

rozszerzenie .com, przez co może zostać uruchomiony przez

rozszerzenie .com, przez co może zostać uruchomiony przez

nieostrożnego użytkownika systemu.

nieostrożnego użytkownika systemu.

Wirus Makro - atakuje pliki dokumentów tekstowych MS

Wirus Makro - atakuje pliki dokumentów tekstowych MS

Word , arkuszy kalkulacyjnych Excel , oraz Access

Word , arkuszy kalkulacyjnych Excel , oraz Access

Wirus Retro - Potrafi unieruchomić skaner antywirusowy lub

Wirus Retro - Potrafi unieruchomić skaner antywirusowy lub

nawet go niszczyć

nawet go niszczyć

Wirus Polimorficzny - potrafi szyfrować swój własny kod a

Wirus Polimorficzny - potrafi szyfrować swój własny kod a

nawet go samoczynnie zmieniać co stanowi dużą trudność dla

nawet go samoczynnie zmieniać co stanowi dużą trudność dla

antywirusów.

antywirusów.

Wirus Pocztowy - rozprzestrzeniający się przez pocztę

Wirus Pocztowy - rozprzestrzeniający się przez pocztę

elektroniczną. Obecnie są to jedne z najpopularniejszych

elektroniczną. Obecnie są to jedne z najpopularniejszych

rodzajów wirusów.

rodzajów wirusów.

background image

PODZIAŁ WIRUSÓW ZE

PODZIAŁ WIRUSÓW ZE

WZGLĘDU NA SPOSÓB

WZGLĘDU NA SPOSÓB

DZIAŁANIA:

DZIAŁANIA:

Wirusy

komputerowe

background image

Robaki (ang. worms)

Robaki (ang. worms)

Robak to program, którego

Robak to program, którego

działanie sprowadza się do

działanie sprowadza się do

tworzenia własnych duplikatów,

tworzenia własnych duplikatów,

tak że nie atakuje on żadnych

tak że nie atakuje on żadnych

obiektów, jak to czynią wirusy.

obiektów, jak to czynią wirusy.

Oprócz zajmowania miejsca na

Oprócz zajmowania miejsca na

dysku program ten rzadko

dysku program ten rzadko

wywołuje skutki uboczne.

wywołuje skutki uboczne.

Podobnie jak wirusy

Podobnie jak wirusy

towarzyszące, robaki najczęściej

towarzyszące, robaki najczęściej

pisane są w językach wysokiego

pisane są w językach wysokiego

poziomu. Robaki są najbardziej

poziomu. Robaki są najbardziej

popularne w sieciach, gdzie mają

popularne w sieciach, gdzie mają

do dyspozycji protokoły transmisji

do dyspozycji protokoły transmisji

sieciowej, dzięki którym mogą

sieciowej, dzięki którym mogą

przemieszczać się po całej sieci.

przemieszczać się po całej sieci.

background image

Wirusy pasożytnicze

Wirusy pasożytnicze

(ang. parasite infectors)

(ang. parasite infectors)

W zasadzie większość istniejących wirusów

W zasadzie większość istniejących wirusów

to wirusy pasożytnicze, które wykorzystują

to wirusy pasożytnicze, które wykorzystują

swoje ofiary do transportu, modyfikując ich

swoje ofiary do transportu, modyfikując ich

strukturę wewnętrzną. Jedynym ratunkiem

strukturę wewnętrzną. Jedynym ratunkiem

dla zainfekowanych obiektów jest użycie

dla zainfekowanych obiektów jest użycie

szczepionki lub w ostateczności kopii

szczepionki lub w ostateczności kopii

zapasowych, gdyż zarażane pliki z reguły

zapasowych, gdyż zarażane pliki z reguły

nie są przez wirusa leczone. Wyjątek

nie są przez wirusa leczone. Wyjątek

stanowią nieliczne wirusy wykorzystujące

stanowią nieliczne wirusy wykorzystujące

pliki tylko do transportu między

pliki tylko do transportu między

komputerami, mające za główny cel

komputerami, mające za główny cel

infekcję tablicy partycji lub BOOT sektora

infekcję tablicy partycji lub BOOT sektora

dysku twardego. Po zainfekowaniu

dysku twardego. Po zainfekowaniu

któregoś z tych obiektów wirus zmienia

któregoś z tych obiektów wirus zmienia

działanie i leczy wszystkie używane pliki

działanie i leczy wszystkie używane pliki

znajdujące się na twardym dysku, a

znajdujące się na twardym dysku, a

infekuje jedynie pliki już znajdujące się na

infekuje jedynie pliki już znajdujące się na

dyskietkach lub dopiero na nie kopiowane.

dyskietkach lub dopiero na nie kopiowane.

background image

Ze względu na miejsce zajmowane w zainfekowanych plikach

Ze względu na miejsce zajmowane w zainfekowanych plikach

wirusy pasożytnicze dzieli się na:

wirusy pasożytnicze dzieli się na:

* Wirusy nadpisujące (ang. overwrite infectors), lokujące się

* Wirusy nadpisujące (ang. overwrite infectors), lokujące się

na początku pliku, często nie zapamiętujące poprzedniej

na początku pliku, często nie zapamiętujące poprzedniej

zawartości pliku (co w efekcie nieodwracalnie niszczy plik);

zawartości pliku (co w efekcie nieodwracalnie niszczy plik);

* Wirusy lokujące się na końcu pliku (ang. end of file

* Wirusy lokujące się na końcu pliku (ang. end of file

infectors), najbardziej rozpowszechniona odmiana wirusów

infectors), najbardziej rozpowszechniona odmiana wirusów

pasożytniczych, które modyfikują pewne ustalone struktury na

pasożytniczych, które modyfikują pewne ustalone struktury na

początku pliku tak, aby wskazywały na wirusa, po czym

początku pliku tak, aby wskazywały na wirusa, po czym

dopisują się na jego końcu;

dopisują się na jego końcu;

* Wirusy nagłówkowe (ang. header infectors), lokujące się w

* Wirusy nagłówkowe (ang. header infectors), lokujące się w

nagłówku plików EXE przeznaczonych dla systemu DOS;

nagłówku plików EXE przeznaczonych dla systemu DOS;

wykorzystują one fakt, iż nagłówek plików EXE jest

wykorzystują one fakt, iż nagłówek plików EXE jest

standardowo ustawiany przez programy linkujące na

standardowo ustawiany przez programy linkujące na

wielokrotność jednego sektora (512 bajtów). Zwykle wirusy te

wielokrotność jednego sektora (512 bajtów). Zwykle wirusy te

nie przekraczają rozmiaru jednego sektora i infekuje poprzez

nie przekraczają rozmiaru jednego sektora i infekuje poprzez

przejęcie funkcji BIOS służących do

przejęcie funkcji BIOS służących do

odczytu i zapisu sektorów

odczytu i zapisu sektorów

(02,03/13);

(02,03/13);

* Wirusy lokujące się w pliku w miejscu gdzie jest jakiś pusty,

* Wirusy lokujące się w pliku w miejscu gdzie jest jakiś pusty,

nie wykorzystany obszar (np. wypełniony ciągiem zer), który

nie wykorzystany obszar (np. wypełniony ciągiem zer), który

można nadpisać nie niszcząc pliku (ang. cave infectors);

można nadpisać nie niszcząc pliku (ang. cave infectors);

* Wirusy lokujące się w dowolnym miejscu pliku (ang. surface

* Wirusy lokujące się w dowolnym miejscu pliku (ang. surface

infectors), dość rzadkie, bardzo trudne do napisania;

infectors), dość rzadkie, bardzo trudne do napisania;

* Wirusy wykorzystujące część ostatniej Jednostki Alokacji

* Wirusy wykorzystujące część ostatniej Jednostki Alokacji

Pliku JAP (ang. slack space infector), korzystające z faktu, iż

Pliku JAP (ang. slack space infector), korzystające z faktu, iż

plik rzadko zajmuje dokładnie wielokrotność jednej JAP.

plik rzadko zajmuje dokładnie wielokrotność jednej JAP.

background image

Wirusy plików

Wirusy plików

wsadowych

wsadowych

(ang. batchviruses)

(ang. batchviruses)

Wirusy plików wsadowych wykorzystujące do

Wirusy plików wsadowych wykorzystujące do

transportu pliki BAT, istnieją od dość dawna,

transportu pliki BAT, istnieją od dość dawna,

pomimo raczej ubogiego zestawu środków, jakimi

pomimo raczej ubogiego zestawu środków, jakimi

dysponuje ich potencjalny twórca. Może wydawać

dysponuje ich potencjalny twórca. Może wydawać

się to niedorzeczne, lecz często potrafią

się to niedorzeczne, lecz często potrafią

infekować nie tylko pliki BAT, ale także pliki COM,

infekować nie tylko pliki BAT, ale także pliki COM,

EXE czy sektor tablicy partycji (wymaga to

EXE czy sektor tablicy partycji (wymaga to

odpowiedniego, wcale nie tak trudnego,

odpowiedniego, wcale nie tak trudnego,

zaprogramowania).

zaprogramowania).

Po uruchomieniu zainfekowanego pliku

Po uruchomieniu zainfekowanego pliku

wsadowego tworzony jest plik uruchamiamy COM

wsadowego tworzony jest plik uruchamiamy COM

lub EXE (za pomocą polecenia ECHO, którego

lub EXE (za pomocą polecenia ECHO, którego

parametry są przekierowywane do pliku),

parametry są przekierowywane do pliku),

zawierający właściwy kod infekujący pliki BAT. Po

zawierający właściwy kod infekujący pliki BAT. Po

utworzeniu jest on wykonywany, a następnie

utworzeniu jest on wykonywany, a następnie

kasowany.

kasowany.

Ze względu na to, iż procesor nie rozróżnia

Ze względu na to, iż procesor nie rozróżnia

kodu i danych, można, poprzez sprytną

kodu i danych, można, poprzez sprytną

manipulację, utworzyć plik, który będzie mógł się

manipulację, utworzyć plik, który będzie mógł się

wykonać zarówno Jako typowy plik BAT, jak i plik

wykonać zarówno Jako typowy plik BAT, jak i plik

COM.

COM.

background image

Konie trojańskie

Konie trojańskie

(ang. trojan

(ang. trojan

horses)

horses)

-

-

są one programami

są one programami

dołączonymi do prawidłowego

dołączonymi do prawidłowego

programu komputerowego.

programu komputerowego.

Zadaniem ich jest realizowanie

Zadaniem ich jest realizowanie

zadań niepożądanych przez

zadań niepożądanych przez

użytkownika. Program z

użytkownika. Program z

dołączonym koniem trojańskim

dołączonym koniem trojańskim

wykonuje zarówno prawidłowe

wykonuje zarówno prawidłowe

operacje jak i zadania, których nie

operacje jak i zadania, których nie

spodziewa się użytkownik, np.

spodziewa się użytkownik, np.

kopiowanie zasobów pliku lub

kopiowanie zasobów pliku lub

całkowite jego

całkowite jego

usunięcie.

usunięcie.

Program dający osobie z zewnątrz

Program dający osobie z zewnątrz

dostęp do komputera bez wiedzy i

dostęp do komputera bez wiedzy i

autoryzacji prawowitego

autoryzacji prawowitego

użytkownika.

użytkownika.

Wirusy

komputerowe

background image

Makrowirusy - (ang.

Makrowirusy - (ang.

macroviruses)

macroviruses)

Wirus Makro - atakuje pliki dokumentów tekstowych MS

Wirus Makro - atakuje pliki dokumentów tekstowych MS

Word , arkuszy kalkulacyjnych Excel , oraz Access

Word , arkuszy kalkulacyjnych Excel , oraz Access

Makrowirusy należą do najmłodszej rodziny wirusów. Ich

Makrowirusy należą do najmłodszej rodziny wirusów. Ich

powstanie związane jest z wprowadzeniem do pakietów

powstanie związane jest z wprowadzeniem do pakietów

biurowych (np. MS Office, Lotus SmartSuite czy Corel

biurowych (np. MS Office, Lotus SmartSuite czy Corel

WordPerfect)języków pozwalających na tworzenie makr,

WordPerfect)języków pozwalających na tworzenie makr,

takich jak np. Visual Basic for Applications (VBA).

takich jak np. Visual Basic for Applications (VBA).

Makrowirusy - są to wirusy które nękają użytkowników

Makrowirusy - są to wirusy które nękają użytkowników

poprzez pakiet Microsoft Office. Możliwości które daje język

poprzez pakiet Microsoft Office. Możliwości które daje język

programowania Worda (WordBasic) lub Excela (Visual Basic

programowania Worda (WordBasic) lub Excela (Visual Basic

for Applications) są na tyle duże, że pozwalają wytworzyć

for Applications) są na tyle duże, że pozwalają wytworzyć

dość skomplikowanego i złośliwego wirusa. Uderzenia z tej

dość skomplikowanego i złośliwego wirusa. Uderzenia z tej

strony są zazwyczaj celne - pakietu Office używa znaczna

strony są zazwyczaj celne - pakietu Office używa znaczna

część użytkowników komputera. Mało kto zwróci uwagę na

część użytkowników komputera. Mało kto zwróci uwagę na

fakt makr które się "przypadkiem" doinstalowały do

fakt makr które się "przypadkiem" doinstalowały do

pakietu. Mimo panującego zagrożenia, wirusy te są dosyć

pakietu. Mimo panującego zagrożenia, wirusy te są dosyć

łatwo wykrywalne lub mogą zostać zablokowane przez samą

łatwo wykrywalne lub mogą zostać zablokowane przez samą

aplikację pakietu Office. Od pewnego momentu, kiedy

aplikację pakietu Office. Od pewnego momentu, kiedy

aplikacje Microsoft Office zaczęły ostrzegać użytkowników o

aplikacje Microsoft Office zaczęły ostrzegać użytkowników o

isteniu makr, wirusy tego typu stały się coraz mniej groźne.

isteniu makr, wirusy tego typu stały się coraz mniej groźne.

Zasada działania:

Zasada działania:

Większość makrowirusów Worda wykorzystuje fakt, że szablony

Większość makrowirusów Worda wykorzystuje fakt, że szablony

dokumentów mogą zawierać makra. Wirus uaktywnia się w chwili

dokumentów mogą zawierać makra. Wirus uaktywnia się w chwili

otwarcia zainfekowanego dokumentu, po czym zaraża zdrowe

otwarcia zainfekowanego dokumentu, po czym zaraża zdrowe

zbiory z rozszerzeniem *.doc i zapisuje je jako szablony

zbiory z rozszerzeniem *.doc i zapisuje je jako szablony

(dokumenty nie mogą zawierać makr). W ostatnim kroku jedno lub

(dokumenty nie mogą zawierać makr). W ostatnim kroku jedno lub

kilka automatycznie wykonywanych makr zostaje zastąpionych

kilka automatycznie wykonywanych makr zostaje zastąpionych

kodem wirusa.

kodem wirusa.

background image

Wirusy polimorficzne

Wirusy polimorficzne

-

-

są wirusami szyfrującymi swój kod.

są wirusami szyfrującymi swój kod.

Szyfrowanie wirusa powoduje, że staje się

Szyfrowanie wirusa powoduje, że staje się

on trudniejszy do wykrycia przez

on trudniejszy do wykrycia przez

programy antywirusowe

programy antywirusowe

.

.

Wirusy polimorficzne nie mają stałej

Wirusy polimorficzne nie mają stałej

sygnatury, ponieważ ich kod zmienia się

sygnatury, ponieważ ich kod zmienia się

samoczynnie przy każdej infekcji.

samoczynnie przy każdej infekcji.

potrafi szyfrować swój własny kod a

potrafi szyfrować swój własny kod a

nawet go samoczynnie zmieniać co

nawet go samoczynnie zmieniać co

stanowi dużą trudność dla antywirusów.

stanowi dużą trudność dla antywirusów.

Wirusy typu stealth

Wirusy typu stealth

-

-

są to

są to

wirusy, które podczas próby dostępu do

wirusy, które podczas próby dostępu do

zarażonego pliku lub sektora dysku przez

zarażonego pliku lub sektora dysku przez

program antywirusowy potrafią "w locie",

program antywirusowy potrafią "w locie",

chwilowo naprawić uszkodzone dane i

chwilowo naprawić uszkodzone dane i

zatuszować swą obecność.

zatuszować swą obecność.

Wirusy

komputerowe

background image

Wirusy utajnione

Wirusy utajnione

- wirusy te

- wirusy te

stosują metody ukrywania

stosują metody ukrywania

zmian dokonywanych przez

zmian dokonywanych przez

siebie w plikach lub

siebie w plikach lub

sektorach

sektorach

uruchomieniowych. Toteż

uruchomieniowych. Toteż

programy, które próbują

programy, które próbują

otworzyć zainfekowany plik

otworzyć zainfekowany plik

lub sektor widzą je w postaci

lub sektor widzą je w postaci

pierwotnej

pierwotnej

.

.

Wirusy

komputerowe

background image

Wirusy powolne

Wirusy powolne

- są

- są

wirusami trudnymi do

wirusami trudnymi do

wykrycia, ponieważ zarażają

wykrycia, ponieważ zarażają

one pliki tylko wtedy, gdy

one pliki tylko wtedy, gdy

użytkownik komputera

użytkownik komputera

przeprowadza na nich jakieś

przeprowadza na nich jakieś

operacje. Na przykład nie

operacje. Na przykład nie

zainfekuje pierwotnego

zainfekuje pierwotnego

pliku, a zainfekuje

pliku, a zainfekuje

kopiowane przez

kopiowane przez

użytkownika pliki.

użytkownika pliki.

Wirusy

komputerowe

background image

Retrowirusy

Retrowirusy

- są wirusami

- są wirusami

komputerowymi

komputerowymi

atakującymi programy

atakującymi programy

antywirusowe mając na

antywirusowe mając na

celu przeszkodzenie im w

celu przeszkodzenie im w

prawidłowym działaniu.

prawidłowym działaniu.

Potrafi unieruchomić

Potrafi unieruchomić

skaner antywirusowy lub

skaner antywirusowy lub

nawet go niszczyć

nawet go niszczyć

Wirusy

komputerowe

background image

Wirusy partycyjne

Wirusy partycyjne

- są

- są

wirusami infekującymi pliki

wirusami infekującymi pliki

wykonywalne oraz sektory

wykonywalne oraz sektory

uruchomieniowe na

uruchomieniowe na

partycjach dyskowych. Po

partycjach dyskowych. Po

uruchomieniu zarażonego

uruchomieniu zarażonego

tym wirusem programu,

tym wirusem programu,

następuje zainfekowanie

następuje zainfekowanie

sektora uruchomieniowego

sektora uruchomieniowego

dysku twardego.

dysku twardego.

Wirusy

komputerowe

background image

Wirusy towarzyszące

Wirusy towarzyszące

(ang. companion

(ang. companion

infectors)

infectors)

– podłączają się do plików

– podłączają się do plików

wykonywalnych stwarzając nowy plik, ale

wykonywalnych stwarzając nowy plik, ale

zmieniają rozszerzenie tego pliku, np.

zmieniają rozszerzenie tego pliku, np.

wirus wynajduje plik o nazwie

wirus wynajduje plik o nazwie

winword.exe

winword.exe

, tworzy plik o tej samej

, tworzy plik o tej samej

nazwie, ale o innym rozszerzeniu:

nazwie, ale o innym rozszerzeniu:

winword.com

winword.com

.

.

W momencie uruchomiania programu, w

W momencie uruchomiania programu, w

przypadku nie podania rozszerzenia

przypadku nie podania rozszerzenia

uruchamianego pliku, najpierw

uruchamianego pliku, najpierw

poszukiwany jest plik o rozszerzeniu

poszukiwany jest plik o rozszerzeniu

COM, potem EXE, a na końcu BAT. W

COM, potem EXE, a na końcu BAT. W

przypadku wykorzystywania

przypadku wykorzystywania

interpretatora poleceń 4DOS dochodzą

interpretatora poleceń 4DOS dochodzą

Jeszcze pliki BTM, poszukiwane podczas

Jeszcze pliki BTM, poszukiwane podczas

uruchamiania programu przed plikami

uruchamiania programu przed plikami

BAT. Na przykład, jeżeli w jednym

BAT. Na przykład, jeżeli w jednym

katalogu istnieją 3 pliki:

katalogu istnieją 3 pliki:

* PROG.BAT,

* PROG.BAT,

* PROG.COM,

* PROG.COM,

* PROG.EXE,

* PROG.EXE,

Wirusy

komputerowe

background image

Wirusy opancerzone

Wirusy opancerzone

- to

- to

wirusy, które trudno

wirusy, które trudno

wykryć oraz usunąć.

wykryć oraz usunąć.

Zabezpieczają się one

Zabezpieczają się one

przed wykryciem za

przed wykryciem za

pomocą „kodów

pomocą „kodów

opakowujących”, które

opakowujących”, które

odwracają uwagę

odwracają uwagę

programu od kodu

programu od kodu

właściwego wirusa.

właściwego wirusa.

Wirusy

komputerowe

background image

Wirusy plikowe

Wirusy plikowe

– wirusami

– wirusami

tymi mogą być konie

tymi mogą być konie

trojańskie, wirusy

trojańskie, wirusy

opancerzone, ukryte, bądź

opancerzone, ukryte, bądź

inne wirusy. Mogą zagrażać

inne wirusy. Mogą zagrażać

serwerom sieciowym,

serwerom sieciowym,

komputerom połączonym w

komputerom połączonym w

sieć równorzędną, mogą

sieć równorzędną, mogą

nawet być niebezpieczne dla

nawet być niebezpieczne dla

Internetu

Internetu

.

.

Wirusy

komputerowe

background image

TRZY DROGI PRZENIKNIĘCIA

TRZY DROGI PRZENIKNIĘCIA

WIRUSA PLIKOWEGO DO SYSTEMU:

WIRUSA PLIKOWEGO DO SYSTEMU:

Wirusy

komputerowe

background image

Wirusy – Makra

Wirusy – Makra

– wirusy

– wirusy

powielają

powielają

ce

ce

się w

się w

dokumentach tworzonych

dokumentach tworzonych

przez aplikacje.

przez aplikacje.

Przemieszczają się one z

Przemieszczają się one z

komputera na komputer za

komputera na komputer za

pośrednictwem wymiany

pośrednictwem wymiany

plików przez użytkowników

plików przez użytkowników

sieci. Wirus – makra mogą

sieci. Wirus – makra mogą

usunąć pliki, których później

usunąć pliki, których później

nie będzie już można

nie będzie już można

odzyskać.

odzyskać.

Wirusy

komputerowe

background image

ROZPRZESTRZENIANIE SIĘ

ROZPRZESTRZENIANIE SIĘ

WIRUSA-MAKRA:

WIRUSA-MAKRA:

Wirusy

komputerowe

background image

Programy

Programy

antywirusowe

antywirusowe

Programy antywirusowe

Programy antywirusowe

sprawdzają programy i dane na

sprawdzają programy i dane na

dysku oraz na dyskietkach i jeśli

dysku oraz na dyskietkach i jeśli

znajdą wirusy, starają się je

znajdą wirusy, starają się je

zniszczyć.

zniszczyć.

background image

Rodzaje

Rodzaje

oprogramowania

oprogramowania

antywirusowego

antywirusowego

Panda

Panda

MKS VIR

MKS VIR

Avast

Avast

Arca Vir

Arca Vir

AntiVirenKit

AntiVirenKit

AVG

AVG


Document Outline


Wyszukiwarka

Podobne podstrony:
WIRUSY KOMPUTEROWE
Wirusy Komputerowe Jak Je Robić
Wirusy komputerowe i profilaktyka antywirusowa, edukacja i nauka, Informatyka
01 Wirusy komputeroweid 2974 ppt
Wirusy komputerowe
Informatyka, Wirusy komputerowe, Wirusy komputerowe
Wirusy komputerowe, Sytemy operacyjne i sieci komputerowe
22-23. Wirusy komputerowe, Semestr 1
Wirusy Komputerowe, Profilaktyka antywirusowa
Wirusy komputerowe Profilaktyka antywirusowa Programy antywirusowe
Wirusy komputerowe 2, edukacja i nauka, Informatyka
Wirusy komputerowe, Informatyka -all, INFORMATYKA-all
WIRUSY KOMPUTEROWE
Wirusy komputerowe, edukacja i nauka, Informatyka
Wirusy komputerowe i profilaktyka, Hacking i komputery, Wirusy
WIRUSY KOMPUTEROWE (2)
Wirusy komputerowe[1]
WIRUSY KOMPUTEROWE

więcej podobnych podstron