plik

Czym jest

wirus?

Wirus komputerowy to kod, który wskutek braku

systemowej ochrony zasobów w jednoprogramowych

systemach operacyjnych komputerów osobistych

dokonuje zaprogramowanych przez jego autora,

niepożądanych zmian w środowisku systemowym,

uszkadzając dane, programy, zmieniając sposób

działania sprzętu itp. W uproszczeniu wirus jest obcym

fragmentem kodu, dołączonym do programu. Wykonanie

tego kodu po uruchomieniu programu powoduje

odnajdywanie na dysku innych, “nie zarażonych”

programów i dołączanie do nich kodu wirusa. W ten

sposób wirus zaraża coraz to więcej programów w

komputerze, a “zainfekowane” nim programy,

przenoszone na dyskietkach lub przesyłane siecią

niszczą zasoby innych komputerów. Wirus może też

atakować sektor rozruchowy dyskietki lub dysku. Skutki

powodowane przez wirusy mają znamiona przestępstwa

polegającego na naruszeniu dóbr chronionych prawem.

Definicja

Wirus (łacińskie "virus" oznacza truciznę) komputerowy

to najczęściej prosty program komputerowy, który w

sposób celowy powiela się bez zgody użytkownika. Wirus

komputerowy w przeciwieństwie do robaka

komputerowego do swojej działalności wymaga nosiciela

w postaci programu komputerowego, poczty

elektronicznej itp. Wirusy wykorzystują słabość

zabezpieczeń systemów komputerowych lub właściwości

systemów oraz niedoświadczenie i beztroskę

użytkowników. Długość typowego wirusa waha się w

granicach od kilkudziesięciu bajtów do kilku kilobajtów i

w dużym stopniu zależy od umiejętności

programistycznych jego twórcy, a także od języka

programowania użytego do jego napisania. Od

umiejętności i zamierzeń autora zależą także efekty, jakie

wirus będzie wywoływał w zainfekowanym systemie.

CHARAKTERYSTYKA

WIRUSÓW

KOMPUTEROWYCH:

irusy komputerowe

można

scharakteryzować jako

programy, które zostały

celowo stworzone przez

człowieka w celu

utrudnienia pracy

innym użytkownikom.

Wirusy

komputerowe

TYPOWE OBJAWY

ZARAŻENIA WIRUSEM:



Wolniejsze wczytywanie się

programów,



Pojawiające się lub znikające pliki,



Zmiana rozmiaru pliku

wykonywalnego lub programu,



Nadmierna praca dysków twardych,



Pojawiające się na ekranie nieznane

napisy lub obiekty,

Wirusy

komputerowe

TYPOWE OBJAWY

ZARAŻENIA WIRUSEM:



Zmniejszenie się wolnej przestrzeni na

dysku,



Zmiana nazwy plików,



Niedostępność dysku twardego,



Polecenie Scandisk wskazuje

niepoprawne wartości.

Wirusy

komputerowe

PODZIAŁ WIRUSÓW W

ZALEŻNOŚCI OD CELU

ATAKU:



Wirusy głównego sektora

rozruchowego - wirus dyskowy



Wirusy wstępnego ładowania systemu

– BOOT sektora - usadawia się on w

pamięci bootsektora co uniemożliwia

start systemu bądź równoczesny start

z nim



Wirusy zarażające pliki - dopisuje

swój kod do pliku, najczęściej pliku

wykonywalnego o rozszerzeniu .exe

lub .com -

programy systemowe,

narzędziowe, czy nawet komercyjne

aplikacje.



Wirusy FAT

(wirusy tablicy alokacji

plików, link/FAT viruses):

Wirusy

komputerowe

Wirusy sektora

startowego

wirusy boot sektora, boot sector viruses)



Innym nosicielem wirusa może być sektor startowy

nośnika danych, takiego jak dysk twardy (MBR -

Master Boot Record) czy dyskietka (Boot sector).

Wirusy tego typu są szczególnie groźne. Wynika to z

faktu, iż po uruchomieniu komputer próbuje wczytać

system, który jest zapisany w pierwszym sektorze

dysku lub dyskietki. Należy mieć świadomość, że

każda sformatowana dyskietka, nawet nie

zawierająca plików systemowych, posiada boot

sektor, a więc jako taka może zawierać wirusa.

Zasada działania:

Wirus tego typu może ulokować się w MBR i np.

zniszczyć jego zawartość, uniemożliwiając tym

samym dostęp do dysku. W innym przypadku wirus

przenosi kod inicjujący system z sektora startowego

w inny obszar dysku i zajmuje jego miejsce, co

powoduje jego załadowanie jeszcze przed (!) startem

systemu, a więc także przed uruchomieniem

jakiegokolwiek oprogramowania antywirusowego.

Działanie tego typu umożliwia wirusom przejęcie

kontroli nad oprogramowaniem przeznaczonym do

ich zwalczania.

Wirusy plikowe



Wirusy plikowe to najstarsza rodzina tych

programów. Każdy wirus przed dokonaniem szkód

najpierw ulega replikacji, dlatego rozwój

"przemysłu" wirusowego wiąże się z

wynajdywaniem nowych nosicieli. Początkowo na

atak wirusów tego typu narażone były tylko pliki

wykonywalne (*.exe, .com) oraz wsadowe (*.bat).

Rozwój technologii wirusów powiększył grono

zagrożonych plików o zbiory zawierające

fragmenty kodu, biblioteki, sterowniki urządzeń

(*.bin, *.dll, *.drv, *.lib, *.obj, *.ovl, *.sys, *.vxd).



Zasada działania:

Infekcja następuje poprzez dopisanie kodu wirusa

na końcu pliku (wirusy starsze) lub modyfikację

jego początku i dopisanie kodu w środku lub na

końcu (wirusy nowsze, atakujące niewykonywalne

pliki). Załadowanie zainfekowanego pliku do

pamięci jest równoznaczne z uaktywnieniem

wirusa. Wiele wirusów nie niszczy zaatakowanego

pliku, dzięki czemu może po aktywacji wykonać

program nosiciela, tak że użytkownik niczego nie

podejrzewa

Wirusy plikowe



Wirusy plikowe atakują wyłącznie pliki uruchamiające

inne programy. Kiedy wystartujemy jakiś program,

wirus uaktywnia się i tworzy swoje kopie, aby

połączyły się z plikami wykonywalnymi innych

aktywnych w tym czasie programów. Te z kolei, w

analogiczny sposób infekują w późniejszym czasie

inne pliki. Im dłużej będziemy korzystać z zarażonego

programu, w tym większym stopniu rozprzestrzeni się

dany wirus.



Tak jak każdy inny program, również wirus musi zostać

uruchomiony, aby mógł cokolwiek zdziałać. Dlatego

wirusy komputerowe atakują przede wszystkim pliki

wykonywalne innych programów. Zbiory zawierające

jedynie dane, na przykład dokumenty tekstowe,

graficzne, bazy danych czy dźwiękowe, z reguły nie są

zarażane przez tego typu wirusy. Wirusy atakujące

pliki rozpowszechniają się zazwyczaj poprzez pirackie

kopie różnych programów. Niektórzy użytkownicy

komputerów, którzy wymieniają się kradzionym

oprogramowaniem, narażeni są na największe

niebezpieczeństwo infekcji. Jedynie licencjonowane

legalnie kopie programów gwarantują

bezpieczeństwo, choć zdarzały się też takie przypadki,

że również oryginalne oprogramowanie producenta

było zarażone wirusem. W takiej sytuacji winę ponosił

jednak producent, który do tego dopuścił. Na

szczęście są to jedynie wyjątki potwierdzające regułę.



Wirusy plików wsadowych - są to pliki o

rozszerzeniu .bat i właśnie pliki z tym

rozszerzeniem wykorzystują do transportu.

Wbrew pozorom pliki te potrafią stanowić

poważne zagrożenie dla systemu jak również

samych tablic patrycji dysku. Po uruchomieniu

zarażonego pliku wsadowego tworzony jest

uruchamialny plik z rozszerzeniem .com lub .exe,

który zawiera właściwy kod infekujący pliki .bat



Na duże niebezpieczeństwo zarażenia się

wirusem wystawieni są użytkownicy, którzy

sprowadzają programy z różnych źródeł także

rozprowadzane w wersji shareware'owej. Przede

wszystkim dotyczy to produktów ściąganych z

internetu, z witryn nie posiadających certyfikatów

bezpieczeństwa, serwerów FTP itd.



Wirusy głównego sektora

rozruchowego

Wirus dyskowy, zagnieżdżający się w sektorach z informacjami na

temat struktury danych na dysku, zwykle jest przenoszony na

dyskietkach, na których umiejscawia się w początkowych

sektorach. Dzisiejsze wirusy infekują zarówno dyskietki, jak i

dyski twarde. I w tym momencie rozpoczyna się praktycznie nie

kończący proces: gdy zarażony zostanie dysk twardy, wirus

przenosi się na wszystkie dyskietki, które umieściliśmy w

napędzie komputera i zrobimy z nich użytek. Pierwsza infekcja -

dysku twardego - następuje po umieszczeniu zawirusowanej

dyskietki w napędzie i uruchomieniu komputera. I tak koło się

zamyka: z dyskietki na dysk twardy, z dysku na wiele dyskietek, z

wielu dyskietek na wiele innych dysków twardych itd. Dyskietki i

dyski twarde zawierają dane niewidoczne dla użytkownika. Są to

informacje zachowane w pierwszych sektorach dyskietek i dysków

twardych. Wirus, który zagnieżdża się w tych sektorach, zmienia

znajdujące się tam dane na własne. Kiedy przed uruchomieniem

komputera umieścimy taka dyskietkę w napędzie, system najpierw

spróbuje odczytać informacje z jej pierwszych sektorów.

Jedynym sposobem ochrony przed takim zarażaniem dyskietek i

sektorów jest umieszczenie w napędzie wyłącznie dyskietek

zabezpieczonych przed zapisem, ew. uruchamianie komputera po

usunięciu dyskietek ze stacji

Wirusy FAT



Do replikacji wirusy mogą

także wykorzystywać jednostki

alokacji plików (JAP), na jakie

tablica FAT dzieli DOS-ową

partycję dysku twardego. W

celu uzyskania dostępu do

pliku DOS odszukuje w FAT

numer jego pierwszej

jednostki alokacji, po czym

kolejno (zgodnie z FAT)

wczytuje wszystkie jednostki

zajmowane przez plik.



Wirusy pasożytnicze - modyfikują strukturę wewnętrzną

zarażonej aplikacji oraz wykorzystują ją do transportu.

Zarażone pliki są uszkodzone, a jedynym ratunkiem dla nich

jest użycie szczepionki lub odzyskanie zdrowego pliku z kopii

zapasowej.



Wirusy towarzyszące - są tworzone w językach wysokiego

poziomu, wykorzystują kolejność uruchamiania programów o

tych samych nazwach lecz innych rozszerzeniach, stosowaną

przez system DOS. Jeśli w jednym katalogu znajduje się kilka

plików które mają taką samą nazwe, lecz różne rozszerzenia

(np. program.exe, program.com, program.bat), to w

przypadku podania nazwy bez rozszerzenia, w pierwszej

kolejności zostanie otwary plik z rozszerzeniem .com,

następnie .exe i .bat. Wirusy towarzyszące wykorzystują tą

zależność systemu DOS - jeśli program ma rozszerzenie .com -

wirus towarzyszący nie dokona infekcji. Jeśli program ma

rozszerzenie .exe lub .bat, to plik z wirusem będzie miał

rozszerzenie .com, przez co może zostać uruchomiony przez

nieostrożnego użytkownika systemu.



Wirus Makro - atakuje pliki dokumentów tekstowych MS

Word , arkuszy kalkulacyjnych Excel , oraz Access



Wirus Retro - Potrafi unieruchomić skaner antywirusowy lub

nawet go niszczyć



Wirus Polimorficzny - potrafi szyfrować swój własny kod a

nawet go samoczynnie zmieniać co stanowi dużą trudność dla

antywirusów.



Wirus Pocztowy - rozprzestrzeniający się przez pocztę

elektroniczną. Obecnie są to jedne z najpopularniejszych

rodzajów wirusów.

Robaki (ang. worms)



Robak to program, którego

działanie sprowadza się do

tworzenia własnych duplikatów,

tak że nie atakuje on żadnych

obiektów, jak to czynią wirusy.

Oprócz zajmowania miejsca na

dysku program ten rzadko

wywołuje skutki uboczne.

Podobnie jak wirusy

towarzyszące, robaki najczęściej

pisane są w językach wysokiego

poziomu. Robaki są najbardziej

popularne w sieciach, gdzie mają

do dyspozycji protokoły transmisji

sieciowej, dzięki którym mogą

przemieszczać się po całej sieci.

Wirusy pasożytnicze

(ang. parasite infectors)



W zasadzie większość istniejących wirusów

to wirusy pasożytnicze, które wykorzystują

swoje ofiary do transportu, modyfikując ich

strukturę wewnętrzną. Jedynym ratunkiem

dla zainfekowanych obiektów jest użycie

szczepionki lub w ostateczności kopii

zapasowych, gdyż zarażane pliki z reguły

nie są przez wirusa leczone. Wyjątek

stanowią nieliczne wirusy wykorzystujące

pliki tylko do transportu między

komputerami, mające za główny cel

infekcję tablicy partycji lub BOOT sektora

dysku twardego. Po zainfekowaniu

któregoś z tych obiektów wirus zmienia

działanie i leczy wszystkie używane pliki

znajdujące się na twardym dysku, a

infekuje jedynie pliki już znajdujące się na

dyskietkach lub dopiero na nie kopiowane.



Ze względu na miejsce zajmowane w zainfekowanych plikach

wirusy pasożytnicze dzieli się na:



* Wirusy nadpisujące (ang. overwrite infectors), lokujące się

na początku pliku, często nie zapamiętujące poprzedniej

zawartości pliku (co w efekcie nieodwracalnie niszczy plik);



* Wirusy lokujące się na końcu pliku (ang. end of file

infectors), najbardziej rozpowszechniona odmiana wirusów

pasożytniczych, które modyfikują pewne ustalone struktury na

początku pliku tak, aby wskazywały na wirusa, po czym

dopisują się na jego końcu;



* Wirusy nagłówkowe (ang. header infectors), lokujące się w

nagłówku plików EXE przeznaczonych dla systemu DOS;

wykorzystują one fakt, iż nagłówek plików EXE jest

standardowo ustawiany przez programy linkujące na

wielokrotność jednego sektora (512 bajtów). Zwykle wirusy te

nie przekraczają rozmiaru jednego sektora i infekuje poprzez

przejęcie funkcji BIOS służących do

odczytu i zapisu sektorów

(02,03/13);



* Wirusy lokujące się w pliku w miejscu gdzie jest jakiś pusty,

nie wykorzystany obszar (np. wypełniony ciągiem zer), który

można nadpisać nie niszcząc pliku (ang. cave infectors);



* Wirusy lokujące się w dowolnym miejscu pliku (ang. surface

infectors), dość rzadkie, bardzo trudne do napisania;



* Wirusy wykorzystujące część ostatniej Jednostki Alokacji

Pliku JAP (ang. slack space infector), korzystające z faktu, iż

plik rzadko zajmuje dokładnie wielokrotność jednej JAP.

Wirusy plików

wsadowych

(ang. batchviruses)



Wirusy plików wsadowych wykorzystujące do

transportu pliki BAT, istnieją od dość dawna,

pomimo raczej ubogiego zestawu środków, jakimi

dysponuje ich potencjalny twórca. Może wydawać

się to niedorzeczne, lecz często potrafią

infekować nie tylko pliki BAT, ale także pliki COM,

EXE czy sektor tablicy partycji (wymaga to

odpowiedniego, wcale nie tak trudnego,

zaprogramowania).



Po uruchomieniu zainfekowanego pliku

wsadowego tworzony jest plik uruchamiamy COM

lub EXE (za pomocą polecenia ECHO, którego

parametry są przekierowywane do pliku),

zawierający właściwy kod infekujący pliki BAT. Po

utworzeniu jest on wykonywany, a następnie

kasowany.



Ze względu na to, iż procesor nie rozróżnia

kodu i danych, można, poprzez sprytną

manipulację, utworzyć plik, który będzie mógł się

wykonać zarówno Jako typowy plik BAT, jak i plik

COM.

Konie trojańskie

(ang. trojan

horses)

są one programami

dołączonymi do prawidłowego

programu komputerowego.

Zadaniem ich jest realizowanie

zadań niepożądanych przez

użytkownika. Program z

dołączonym koniem trojańskim

wykonuje zarówno prawidłowe

operacje jak i zadania, których nie

spodziewa się użytkownik, np.

kopiowanie zasobów pliku lub

całkowite jego

usunięcie.

Program dający osobie z zewnątrz

dostęp do komputera bez wiedzy i

autoryzacji prawowitego

użytkownika.

Wirusy

komputerowe

Makrowirusy - (ang.

macroviruses)



Wirus Makro - atakuje pliki dokumentów tekstowych MS

Word , arkuszy kalkulacyjnych Excel , oraz Access



Makrowirusy należą do najmłodszej rodziny wirusów. Ich

powstanie związane jest z wprowadzeniem do pakietów

biurowych (np. MS Office, Lotus SmartSuite czy Corel

WordPerfect)języków pozwalających na tworzenie makr,

takich jak np. Visual Basic for Applications (VBA).



Makrowirusy - są to wirusy które nękają użytkowników

poprzez pakiet Microsoft Office. Możliwości które daje język

programowania Worda (WordBasic) lub Excela (Visual Basic

for Applications) są na tyle duże, że pozwalają wytworzyć

dość skomplikowanego i złośliwego wirusa. Uderzenia z tej

strony są zazwyczaj celne - pakietu Office używa znaczna

część użytkowników komputera. Mało kto zwróci uwagę na

fakt makr które się "przypadkiem" doinstalowały do

pakietu. Mimo panującego zagrożenia, wirusy te są dosyć

łatwo wykrywalne lub mogą zostać zablokowane przez samą

aplikację pakietu Office. Od pewnego momentu, kiedy

aplikacje Microsoft Office zaczęły ostrzegać użytkowników o

isteniu makr, wirusy tego typu stały się coraz mniej groźne.



Zasada działania:

Większość makrowirusów Worda wykorzystuje fakt, że szablony

dokumentów mogą zawierać makra. Wirus uaktywnia się w chwili

otwarcia zainfekowanego dokumentu, po czym zaraża zdrowe

zbiory z rozszerzeniem *.doc i zapisuje je jako szablony

(dokumenty nie mogą zawierać makr). W ostatnim kroku jedno lub

kilka automatycznie wykonywanych makr zostaje zastąpionych

kodem wirusa.

Wirusy polimorficzne

są wirusami szyfrującymi swój kod.

Szyfrowanie wirusa powoduje, że staje się

on trudniejszy do wykrycia przez

programy antywirusowe

Wirusy polimorficzne nie mają stałej

sygnatury, ponieważ ich kod zmienia się

samoczynnie przy każdej infekcji.

potrafi szyfrować swój własny kod a

nawet go samoczynnie zmieniać co

stanowi dużą trudność dla antywirusów.

Wirusy typu stealth

są to

wirusy, które podczas próby dostępu do

zarażonego pliku lub sektora dysku przez

program antywirusowy potrafią "w locie",

chwilowo naprawić uszkodzone dane i

zatuszować swą obecność.

Wirusy

komputerowe

Wirusy utajnione

- wirusy te

stosują metody ukrywania

zmian dokonywanych przez

siebie w plikach lub

sektorach

uruchomieniowych. Toteż

programy, które próbują

otworzyć zainfekowany plik

lub sektor widzą je w postaci

pierwotnej

Wirusy

komputerowe

Wirusy powolne

- są

wirusami trudnymi do

wykrycia, ponieważ zarażają

one pliki tylko wtedy, gdy

użytkownik komputera

przeprowadza na nich jakieś

operacje. Na przykład nie

zainfekuje pierwotnego

pliku, a zainfekuje

kopiowane przez

użytkownika pliki.

Wirusy

komputerowe

Retrowirusy

- są wirusami

komputerowymi

atakującymi programy

antywirusowe mając na

celu przeszkodzenie im w

prawidłowym działaniu.

Potrafi unieruchomić

skaner antywirusowy lub

nawet go niszczyć

Wirusy

komputerowe

Wirusy partycyjne

- są

wirusami infekującymi pliki

wykonywalne oraz sektory

uruchomieniowe na

partycjach dyskowych. Po

uruchomieniu zarażonego

tym wirusem programu,

następuje zainfekowanie

sektora uruchomieniowego

dysku twardego.

Wirusy

komputerowe

Wirusy towarzyszące

(ang. companion

infectors)

– podłączają się do plików

wykonywalnych stwarzając nowy plik, ale

zmieniają rozszerzenie tego pliku, np.

wirus wynajduje plik o nazwie

winword.exe

, tworzy plik o tej samej

nazwie, ale o innym rozszerzeniu:

winword.com

W momencie uruchomiania programu, w

przypadku nie podania rozszerzenia

uruchamianego pliku, najpierw

poszukiwany jest plik o rozszerzeniu

COM, potem EXE, a na końcu BAT. W

przypadku wykorzystywania

interpretatora poleceń 4DOS dochodzą

Jeszcze pliki BTM, poszukiwane podczas

uruchamiania programu przed plikami

BAT. Na przykład, jeżeli w jednym

katalogu istnieją 3 pliki:

* PROG.BAT,

* PROG.COM,

* PROG.EXE,

Wirusy

komputerowe

Wirusy opancerzone

- to

wirusy, które trudno

wykryć oraz usunąć.

Zabezpieczają się one

przed wykryciem za

pomocą „kodów

opakowujących”, które

odwracają uwagę

programu od kodu

właściwego wirusa.

Wirusy

komputerowe

Wirusy plikowe

– wirusami

tymi mogą być konie

trojańskie, wirusy

opancerzone, ukryte, bądź

inne wirusy. Mogą zagrażać

serwerom sieciowym,

komputerom połączonym w

sieć równorzędną, mogą

nawet być niebezpieczne dla

Internetu

Wirusy

komputerowe

Wirusy – Makra

– wirusy

powielają

się w

dokumentach tworzonych

przez aplikacje.

Przemieszczają się one z

komputera na komputer za

pośrednictwem wymiany

plików przez użytkowników

sieci. Wirus – makra mogą

usunąć pliki, których później

nie będzie już można

odzyskać.

Wirusy

komputerowe

Document Outline