Wirusy
Wirusy
komputerowe
komputerowe
Czym jest
wirus?
Wirus komputerowy to kod, który wskutek braku
systemowej ochrony zasobów w jednoprogramowych
systemach operacyjnych komputerów osobistych
dokonuje zaprogramowanych przez jego autora,
niepożądanych zmian w środowisku systemowym,
uszkadzając dane, programy, zmieniając sposób
działania sprzętu itp. W uproszczeniu wirus jest obcym
fragmentem kodu, dołączonym do programu. Wykonanie
tego kodu po uruchomieniu programu powoduje
odnajdywanie na dysku innych, “nie zarażonych”
programów i dołączanie do nich kodu wirusa. W ten
sposób wirus zaraża coraz to więcej programów w
komputerze, a “zainfekowane” nim programy,
przenoszone na dyskietkach lub przesyłane siecią
niszczą zasoby innych komputerów. Wirus może też
atakować sektor rozruchowy dyskietki lub dysku. Skutki
powodowane przez wirusy mają znamiona przestępstwa
polegającego na naruszeniu dóbr chronionych prawem.
Definicja
Wirus (łacińskie "virus" oznacza truciznę) komputerowy
to najczęściej prosty program komputerowy, który w
sposób celowy powiela się bez zgody użytkownika. Wirus
komputerowy w przeciwieństwie do robaka
komputerowego do swojej działalności wymaga nosiciela
w postaci programu komputerowego, poczty
elektronicznej itp. Wirusy wykorzystują słabość
zabezpieczeń systemów komputerowych lub właściwości
systemów oraz niedoświadczenie i beztroskę
użytkowników. Długość typowego wirusa waha się w
granicach od kilkudziesięciu bajtów do kilku kilobajtów i
w dużym stopniu zależy od umiejętności
programistycznych jego twórcy, a także od języka
programowania użytego do jego napisania. Od
umiejętności i zamierzeń autora zależą także efekty, jakie
wirus będzie wywoływał w zainfekowanym systemie.
CHARAKTERYSTYKA
CHARAKTERYSTYKA
WIRUSÓW
WIRUSÓW
KOMPUTEROWYCH:
KOMPUTEROWYCH:
W
W
irusy komputerowe
irusy komputerowe
można
można
scharakteryzować jako
scharakteryzować jako
programy, które zostały
programy, które zostały
celowo stworzone przez
celowo stworzone przez
człowieka w celu
człowieka w celu
utrudnienia pracy
utrudnienia pracy
innym użytkownikom.
innym użytkownikom.
Wirusy
komputerowe
Cel działania wirusów
Cel działania wirusów
Celem tych niewielkich, lecz czasami
niezwykle szkodliwych programów
jest najczęściej kasowanie cennych
informacji znajdujących się na dysku
lub na innym nośniku danych. Kto nie
zna jeszcze uczucia pojawiającego się
w momencie odkrycia obecności
wirusa, ten być może nawet nie ma u
siebie żadnego programu
antywirusowego. Kogo natomiast
problem ten zdążył już dotknąć, ten z
pewnością dmucha na zimne,
trzymając w pogotowiu kilka
podobnych narzędzi.
TYPOWE OBJAWY
TYPOWE OBJAWY
ZARAŻENIA WIRUSEM:
ZARAŻENIA WIRUSEM:
Wolniejsze wczytywanie się
Wolniejsze wczytywanie się
programów,
programów,
Pojawiające się lub znikające pliki,
Pojawiające się lub znikające pliki,
Zmiana rozmiaru pliku
Zmiana rozmiaru pliku
wykonywalnego lub programu,
wykonywalnego lub programu,
Nadmierna praca dysków twardych,
Nadmierna praca dysków twardych,
Pojawiające się na ekranie nieznane
Pojawiające się na ekranie nieznane
napisy lub obiekty,
napisy lub obiekty,
Wirusy
komputerowe
TYPOWE OBJAWY
TYPOWE OBJAWY
ZARAŻENIA WIRUSEM:
ZARAŻENIA WIRUSEM:
Zmniejszenie się wolnej przestrzeni na
Zmniejszenie się wolnej przestrzeni na
dysku,
dysku,
Zmiana nazwy plików,
Zmiana nazwy plików,
Niedostępność dysku twardego,
Niedostępność dysku twardego,
Polecenie Scandisk wskazuje
Polecenie Scandisk wskazuje
niepoprawne wartości.
niepoprawne wartości.
Wirusy
komputerowe
PODZIAŁ WIRUSÓW W
PODZIAŁ WIRUSÓW W
ZALEŻNOŚCI OD CELU
ZALEŻNOŚCI OD CELU
ATAKU:
ATAKU:
Wirusy głównego sektora
Wirusy głównego sektora
rozruchowego - wirus dyskowy
rozruchowego - wirus dyskowy
Wirusy wstępnego ładowania systemu
Wirusy wstępnego ładowania systemu
– BOOT sektora - usadawia się on w
– BOOT sektora - usadawia się on w
pamięci bootsektora co uniemożliwia
pamięci bootsektora co uniemożliwia
start systemu bądź równoczesny start
start systemu bądź równoczesny start
z nim
z nim
Wirusy zarażające pliki - dopisuje
Wirusy zarażające pliki - dopisuje
swój kod do pliku, najczęściej pliku
swój kod do pliku, najczęściej pliku
wykonywalnego o rozszerzeniu .exe
wykonywalnego o rozszerzeniu .exe
lub .com -
lub .com -
programy systemowe,
programy systemowe,
narzędziowe, czy nawet komercyjne
narzędziowe, czy nawet komercyjne
aplikacje.
aplikacje.
Wirusy FAT
Wirusy FAT
(wirusy tablicy alokacji
(wirusy tablicy alokacji
plików, link/FAT viruses):
plików, link/FAT viruses):
Wirusy
komputerowe
Wirusy sektora
Wirusy sektora
startowego
startowego
-
-
wirusy boot sektora, boot sector viruses)
wirusy boot sektora, boot sector viruses)
Innym nosicielem wirusa może być sektor startowy
Innym nosicielem wirusa może być sektor startowy
nośnika danych, takiego jak dysk twardy (MBR -
nośnika danych, takiego jak dysk twardy (MBR -
Master Boot Record) czy dyskietka (Boot sector).
Master Boot Record) czy dyskietka (Boot sector).
Wirusy tego typu są szczególnie groźne. Wynika to z
Wirusy tego typu są szczególnie groźne. Wynika to z
faktu, iż po uruchomieniu komputer próbuje wczytać
faktu, iż po uruchomieniu komputer próbuje wczytać
system, który jest zapisany w pierwszym sektorze
system, który jest zapisany w pierwszym sektorze
dysku lub dyskietki. Należy mieć świadomość, że
dysku lub dyskietki. Należy mieć świadomość, że
każda sformatowana dyskietka, nawet nie
każda sformatowana dyskietka, nawet nie
zawierająca plików systemowych, posiada boot
zawierająca plików systemowych, posiada boot
sektor, a więc jako taka może zawierać wirusa.
sektor, a więc jako taka może zawierać wirusa.
Zasada działania:
Zasada działania:
Wirus tego typu może ulokować się w MBR i np.
Wirus tego typu może ulokować się w MBR i np.
zniszczyć jego zawartość, uniemożliwiając tym
zniszczyć jego zawartość, uniemożliwiając tym
samym dostęp do dysku. W innym przypadku wirus
samym dostęp do dysku. W innym przypadku wirus
przenosi kod inicjujący system z sektora startowego
przenosi kod inicjujący system z sektora startowego
w inny obszar dysku i zajmuje jego miejsce, co
w inny obszar dysku i zajmuje jego miejsce, co
powoduje jego załadowanie jeszcze przed (!) startem
powoduje jego załadowanie jeszcze przed (!) startem
systemu, a więc także przed uruchomieniem
systemu, a więc także przed uruchomieniem
jakiegokolwiek oprogramowania antywirusowego.
jakiegokolwiek oprogramowania antywirusowego.
Działanie tego typu umożliwia wirusom przejęcie
Działanie tego typu umożliwia wirusom przejęcie
kontroli nad oprogramowaniem przeznaczonym do
kontroli nad oprogramowaniem przeznaczonym do
ich zwalczania.
ich zwalczania.
Wirusy plikowe
Wirusy plikowe
Wirusy plikowe to najstarsza rodzina tych
Wirusy plikowe to najstarsza rodzina tych
programów. Każdy wirus przed dokonaniem szkód
programów. Każdy wirus przed dokonaniem szkód
najpierw ulega replikacji, dlatego rozwój
najpierw ulega replikacji, dlatego rozwój
"przemysłu" wirusowego wiąże się z
"przemysłu" wirusowego wiąże się z
wynajdywaniem nowych nosicieli. Początkowo na
wynajdywaniem nowych nosicieli. Początkowo na
atak wirusów tego typu narażone były tylko pliki
atak wirusów tego typu narażone były tylko pliki
wykonywalne (*.exe, .com) oraz wsadowe (*.bat).
wykonywalne (*.exe, .com) oraz wsadowe (*.bat).
Rozwój technologii wirusów powiększył grono
Rozwój technologii wirusów powiększył grono
zagrożonych plików o zbiory zawierające
zagrożonych plików o zbiory zawierające
fragmenty kodu, biblioteki, sterowniki urządzeń
fragmenty kodu, biblioteki, sterowniki urządzeń
(*.bin, *.dll, *.drv, *.lib, *.obj, *.ovl, *.sys, *.vxd).
(*.bin, *.dll, *.drv, *.lib, *.obj, *.ovl, *.sys, *.vxd).
Zasada działania:
Zasada działania:
Infekcja następuje poprzez dopisanie kodu wirusa
Infekcja następuje poprzez dopisanie kodu wirusa
na końcu pliku (wirusy starsze) lub modyfikację
na końcu pliku (wirusy starsze) lub modyfikację
jego początku i dopisanie kodu w środku lub na
jego początku i dopisanie kodu w środku lub na
końcu (wirusy nowsze, atakujące niewykonywalne
końcu (wirusy nowsze, atakujące niewykonywalne
pliki). Załadowanie zainfekowanego pliku do
pliki). Załadowanie zainfekowanego pliku do
pamięci jest równoznaczne z uaktywnieniem
pamięci jest równoznaczne z uaktywnieniem
wirusa. Wiele wirusów nie niszczy zaatakowanego
wirusa. Wiele wirusów nie niszczy zaatakowanego
pliku, dzięki czemu może po aktywacji wykonać
pliku, dzięki czemu może po aktywacji wykonać
program nosiciela, tak że użytkownik niczego nie
program nosiciela, tak że użytkownik niczego nie
podejrzewa
podejrzewa
.
.
Wirusy plikowe
Wirusy plikowe
Wirusy plikowe atakują wyłącznie pliki uruchamiające
Wirusy plikowe atakują wyłącznie pliki uruchamiające
inne programy. Kiedy wystartujemy jakiś program,
inne programy. Kiedy wystartujemy jakiś program,
wirus uaktywnia się i tworzy swoje kopie, aby
wirus uaktywnia się i tworzy swoje kopie, aby
połączyły się z plikami wykonywalnymi innych
połączyły się z plikami wykonywalnymi innych
aktywnych w tym czasie programów. Te z kolei, w
aktywnych w tym czasie programów. Te z kolei, w
analogiczny sposób infekują w późniejszym czasie
analogiczny sposób infekują w późniejszym czasie
inne pliki. Im dłużej będziemy korzystać z zarażonego
inne pliki. Im dłużej będziemy korzystać z zarażonego
programu, w tym większym stopniu rozprzestrzeni się
programu, w tym większym stopniu rozprzestrzeni się
dany wirus.
dany wirus.
Tak jak każdy inny program, również wirus musi zostać
Tak jak każdy inny program, również wirus musi zostać
uruchomiony, aby mógł cokolwiek zdziałać. Dlatego
uruchomiony, aby mógł cokolwiek zdziałać. Dlatego
wirusy komputerowe atakują przede wszystkim pliki
wirusy komputerowe atakują przede wszystkim pliki
wykonywalne innych programów. Zbiory zawierające
wykonywalne innych programów. Zbiory zawierające
jedynie dane, na przykład dokumenty tekstowe,
jedynie dane, na przykład dokumenty tekstowe,
graficzne, bazy danych czy dźwiękowe, z reguły nie są
graficzne, bazy danych czy dźwiękowe, z reguły nie są
zarażane przez tego typu wirusy. Wirusy atakujące
zarażane przez tego typu wirusy. Wirusy atakujące
pliki rozpowszechniają się zazwyczaj poprzez pirackie
pliki rozpowszechniają się zazwyczaj poprzez pirackie
kopie różnych programów. Niektórzy użytkownicy
kopie różnych programów. Niektórzy użytkownicy
komputerów, którzy wymieniają się kradzionym
komputerów, którzy wymieniają się kradzionym
oprogramowaniem, narażeni są na największe
oprogramowaniem, narażeni są na największe
niebezpieczeństwo infekcji. Jedynie licencjonowane
niebezpieczeństwo infekcji. Jedynie licencjonowane
legalnie kopie programów gwarantują
legalnie kopie programów gwarantują
bezpieczeństwo, choć zdarzały się też takie przypadki,
bezpieczeństwo, choć zdarzały się też takie przypadki,
że również oryginalne oprogramowanie producenta
że również oryginalne oprogramowanie producenta
było zarażone wirusem. W takiej sytuacji winę ponosił
było zarażone wirusem. W takiej sytuacji winę ponosił
jednak producent, który do tego dopuścił. Na
jednak producent, który do tego dopuścił. Na
szczęście są to jedynie wyjątki potwierdzające regułę.
szczęście są to jedynie wyjątki potwierdzające regułę.
Wirusy plików wsadowych - są to pliki o
Wirusy plików wsadowych - są to pliki o
rozszerzeniu .bat i właśnie pliki z tym
rozszerzeniu .bat i właśnie pliki z tym
rozszerzeniem wykorzystują do transportu.
rozszerzeniem wykorzystują do transportu.
Wbrew pozorom pliki te potrafią stanowić
Wbrew pozorom pliki te potrafią stanowić
poważne zagrożenie dla systemu jak również
poważne zagrożenie dla systemu jak również
samych tablic patrycji dysku. Po uruchomieniu
samych tablic patrycji dysku. Po uruchomieniu
zarażonego pliku wsadowego tworzony jest
zarażonego pliku wsadowego tworzony jest
uruchamialny plik z rozszerzeniem .com lub .exe,
uruchamialny plik z rozszerzeniem .com lub .exe,
który zawiera właściwy kod infekujący pliki .bat
który zawiera właściwy kod infekujący pliki .bat
Na duże niebezpieczeństwo zarażenia się
Na duże niebezpieczeństwo zarażenia się
wirusem wystawieni są użytkownicy, którzy
wirusem wystawieni są użytkownicy, którzy
sprowadzają programy z różnych źródeł także
sprowadzają programy z różnych źródeł także
rozprowadzane w wersji shareware'owej. Przede
rozprowadzane w wersji shareware'owej. Przede
wszystkim dotyczy to produktów ściąganych z
wszystkim dotyczy to produktów ściąganych z
internetu, z witryn nie posiadających certyfikatów
internetu, z witryn nie posiadających certyfikatów
bezpieczeństwa, serwerów FTP itd.
bezpieczeństwa, serwerów FTP itd.
Wirusy głównego sektora
Wirusy głównego sektora
rozruchowego
rozruchowego
Wirus dyskowy, zagnieżdżający się w sektorach z informacjami na
temat struktury danych na dysku, zwykle jest przenoszony na
dyskietkach, na których umiejscawia się w początkowych
sektorach. Dzisiejsze wirusy infekują zarówno dyskietki, jak i
dyski twarde. I w tym momencie rozpoczyna się praktycznie nie
kończący proces: gdy zarażony zostanie dysk twardy, wirus
przenosi się na wszystkie dyskietki, które umieściliśmy w
napędzie komputera i zrobimy z nich użytek. Pierwsza infekcja -
dysku twardego - następuje po umieszczeniu zawirusowanej
dyskietki w napędzie i uruchomieniu komputera. I tak koło się
zamyka: z dyskietki na dysk twardy, z dysku na wiele dyskietek, z
wielu dyskietek na wiele innych dysków twardych itd. Dyskietki i
dyski twarde zawierają dane niewidoczne dla użytkownika. Są to
informacje zachowane w pierwszych sektorach dyskietek i dysków
twardych. Wirus, który zagnieżdża się w tych sektorach, zmienia
znajdujące się tam dane na własne. Kiedy przed uruchomieniem
komputera umieścimy taka dyskietkę w napędzie, system najpierw
spróbuje odczytać informacje z jej pierwszych sektorów.
Jedynym sposobem ochrony przed takim zarażaniem dyskietek i
sektorów jest umieszczenie w napędzie wyłącznie dyskietek
zabezpieczonych przed zapisem, ew. uruchamianie komputera po
usunięciu dyskietek ze stacji
Wirusy FAT
Wirusy FAT
Do replikacji wirusy mogą
Do replikacji wirusy mogą
także wykorzystywać jednostki
także wykorzystywać jednostki
alokacji plików (JAP), na jakie
alokacji plików (JAP), na jakie
tablica FAT dzieli DOS-ową
tablica FAT dzieli DOS-ową
partycję dysku twardego. W
partycję dysku twardego. W
celu uzyskania dostępu do
celu uzyskania dostępu do
pliku DOS odszukuje w FAT
pliku DOS odszukuje w FAT
numer jego pierwszej
numer jego pierwszej
jednostki alokacji, po czym
jednostki alokacji, po czym
kolejno (zgodnie z FAT)
kolejno (zgodnie z FAT)
wczytuje wszystkie jednostki
wczytuje wszystkie jednostki
zajmowane przez plik.
zajmowane przez plik.
Wirusy pasożytnicze - modyfikują strukturę wewnętrzną
Wirusy pasożytnicze - modyfikują strukturę wewnętrzną
zarażonej aplikacji oraz wykorzystują ją do transportu.
zarażonej aplikacji oraz wykorzystują ją do transportu.
Zarażone pliki są uszkodzone, a jedynym ratunkiem dla nich
Zarażone pliki są uszkodzone, a jedynym ratunkiem dla nich
jest użycie szczepionki lub odzyskanie zdrowego pliku z kopii
jest użycie szczepionki lub odzyskanie zdrowego pliku z kopii
zapasowej.
zapasowej.
Wirusy towarzyszące - są tworzone w językach wysokiego
Wirusy towarzyszące - są tworzone w językach wysokiego
poziomu, wykorzystują kolejność uruchamiania programów o
poziomu, wykorzystują kolejność uruchamiania programów o
tych samych nazwach lecz innych rozszerzeniach, stosowaną
tych samych nazwach lecz innych rozszerzeniach, stosowaną
przez system DOS. Jeśli w jednym katalogu znajduje się kilka
przez system DOS. Jeśli w jednym katalogu znajduje się kilka
plików które mają taką samą nazwe, lecz różne rozszerzenia
plików które mają taką samą nazwe, lecz różne rozszerzenia
(np. program.exe, program.com, program.bat), to w
(np. program.exe, program.com, program.bat), to w
przypadku podania nazwy bez rozszerzenia, w pierwszej
przypadku podania nazwy bez rozszerzenia, w pierwszej
kolejności zostanie otwary plik z rozszerzeniem .com,
kolejności zostanie otwary plik z rozszerzeniem .com,
następnie .exe i .bat. Wirusy towarzyszące wykorzystują tą
następnie .exe i .bat. Wirusy towarzyszące wykorzystują tą
zależność systemu DOS - jeśli program ma rozszerzenie .com -
zależność systemu DOS - jeśli program ma rozszerzenie .com -
wirus towarzyszący nie dokona infekcji. Jeśli program ma
wirus towarzyszący nie dokona infekcji. Jeśli program ma
rozszerzenie .exe lub .bat, to plik z wirusem będzie miał
rozszerzenie .exe lub .bat, to plik z wirusem będzie miał
rozszerzenie .com, przez co może zostać uruchomiony przez
rozszerzenie .com, przez co może zostać uruchomiony przez
nieostrożnego użytkownika systemu.
nieostrożnego użytkownika systemu.
Wirus Makro - atakuje pliki dokumentów tekstowych MS
Wirus Makro - atakuje pliki dokumentów tekstowych MS
Word , arkuszy kalkulacyjnych Excel , oraz Access
Word , arkuszy kalkulacyjnych Excel , oraz Access
Wirus Retro - Potrafi unieruchomić skaner antywirusowy lub
Wirus Retro - Potrafi unieruchomić skaner antywirusowy lub
nawet go niszczyć
nawet go niszczyć
Wirus Polimorficzny - potrafi szyfrować swój własny kod a
Wirus Polimorficzny - potrafi szyfrować swój własny kod a
nawet go samoczynnie zmieniać co stanowi dużą trudność dla
nawet go samoczynnie zmieniać co stanowi dużą trudność dla
antywirusów.
antywirusów.
Wirus Pocztowy - rozprzestrzeniający się przez pocztę
Wirus Pocztowy - rozprzestrzeniający się przez pocztę
elektroniczną. Obecnie są to jedne z najpopularniejszych
elektroniczną. Obecnie są to jedne z najpopularniejszych
rodzajów wirusów.
rodzajów wirusów.
PODZIAŁ WIRUSÓW ZE
PODZIAŁ WIRUSÓW ZE
WZGLĘDU NA SPOSÓB
WZGLĘDU NA SPOSÓB
DZIAŁANIA:
DZIAŁANIA:
Wirusy
komputerowe
Robaki (ang. worms)
Robaki (ang. worms)
Robak to program, którego
Robak to program, którego
działanie sprowadza się do
działanie sprowadza się do
tworzenia własnych duplikatów,
tworzenia własnych duplikatów,
tak że nie atakuje on żadnych
tak że nie atakuje on żadnych
obiektów, jak to czynią wirusy.
obiektów, jak to czynią wirusy.
Oprócz zajmowania miejsca na
Oprócz zajmowania miejsca na
dysku program ten rzadko
dysku program ten rzadko
wywołuje skutki uboczne.
wywołuje skutki uboczne.
Podobnie jak wirusy
Podobnie jak wirusy
towarzyszące, robaki najczęściej
towarzyszące, robaki najczęściej
pisane są w językach wysokiego
pisane są w językach wysokiego
poziomu. Robaki są najbardziej
poziomu. Robaki są najbardziej
popularne w sieciach, gdzie mają
popularne w sieciach, gdzie mają
do dyspozycji protokoły transmisji
do dyspozycji protokoły transmisji
sieciowej, dzięki którym mogą
sieciowej, dzięki którym mogą
przemieszczać się po całej sieci.
przemieszczać się po całej sieci.
Wirusy pasożytnicze
Wirusy pasożytnicze
(ang. parasite infectors)
(ang. parasite infectors)
W zasadzie większość istniejących wirusów
W zasadzie większość istniejących wirusów
to wirusy pasożytnicze, które wykorzystują
to wirusy pasożytnicze, które wykorzystują
swoje ofiary do transportu, modyfikując ich
swoje ofiary do transportu, modyfikując ich
strukturę wewnętrzną. Jedynym ratunkiem
strukturę wewnętrzną. Jedynym ratunkiem
dla zainfekowanych obiektów jest użycie
dla zainfekowanych obiektów jest użycie
szczepionki lub w ostateczności kopii
szczepionki lub w ostateczności kopii
zapasowych, gdyż zarażane pliki z reguły
zapasowych, gdyż zarażane pliki z reguły
nie są przez wirusa leczone. Wyjątek
nie są przez wirusa leczone. Wyjątek
stanowią nieliczne wirusy wykorzystujące
stanowią nieliczne wirusy wykorzystujące
pliki tylko do transportu między
pliki tylko do transportu między
komputerami, mające za główny cel
komputerami, mające za główny cel
infekcję tablicy partycji lub BOOT sektora
infekcję tablicy partycji lub BOOT sektora
dysku twardego. Po zainfekowaniu
dysku twardego. Po zainfekowaniu
któregoś z tych obiektów wirus zmienia
któregoś z tych obiektów wirus zmienia
działanie i leczy wszystkie używane pliki
działanie i leczy wszystkie używane pliki
znajdujące się na twardym dysku, a
znajdujące się na twardym dysku, a
infekuje jedynie pliki już znajdujące się na
infekuje jedynie pliki już znajdujące się na
dyskietkach lub dopiero na nie kopiowane.
dyskietkach lub dopiero na nie kopiowane.
Ze względu na miejsce zajmowane w zainfekowanych plikach
Ze względu na miejsce zajmowane w zainfekowanych plikach
wirusy pasożytnicze dzieli się na:
wirusy pasożytnicze dzieli się na:
* Wirusy nadpisujące (ang. overwrite infectors), lokujące się
* Wirusy nadpisujące (ang. overwrite infectors), lokujące się
na początku pliku, często nie zapamiętujące poprzedniej
na początku pliku, często nie zapamiętujące poprzedniej
zawartości pliku (co w efekcie nieodwracalnie niszczy plik);
zawartości pliku (co w efekcie nieodwracalnie niszczy plik);
* Wirusy lokujące się na końcu pliku (ang. end of file
* Wirusy lokujące się na końcu pliku (ang. end of file
infectors), najbardziej rozpowszechniona odmiana wirusów
infectors), najbardziej rozpowszechniona odmiana wirusów
pasożytniczych, które modyfikują pewne ustalone struktury na
pasożytniczych, które modyfikują pewne ustalone struktury na
początku pliku tak, aby wskazywały na wirusa, po czym
początku pliku tak, aby wskazywały na wirusa, po czym
dopisują się na jego końcu;
dopisują się na jego końcu;
* Wirusy nagłówkowe (ang. header infectors), lokujące się w
* Wirusy nagłówkowe (ang. header infectors), lokujące się w
nagłówku plików EXE przeznaczonych dla systemu DOS;
nagłówku plików EXE przeznaczonych dla systemu DOS;
wykorzystują one fakt, iż nagłówek plików EXE jest
wykorzystują one fakt, iż nagłówek plików EXE jest
standardowo ustawiany przez programy linkujące na
standardowo ustawiany przez programy linkujące na
wielokrotność jednego sektora (512 bajtów). Zwykle wirusy te
wielokrotność jednego sektora (512 bajtów). Zwykle wirusy te
nie przekraczają rozmiaru jednego sektora i infekuje poprzez
nie przekraczają rozmiaru jednego sektora i infekuje poprzez
przejęcie funkcji BIOS służących do
przejęcie funkcji BIOS służących do
odczytu i zapisu sektorów
odczytu i zapisu sektorów
(02,03/13);
(02,03/13);
* Wirusy lokujące się w pliku w miejscu gdzie jest jakiś pusty,
* Wirusy lokujące się w pliku w miejscu gdzie jest jakiś pusty,
nie wykorzystany obszar (np. wypełniony ciągiem zer), który
nie wykorzystany obszar (np. wypełniony ciągiem zer), który
można nadpisać nie niszcząc pliku (ang. cave infectors);
można nadpisać nie niszcząc pliku (ang. cave infectors);
* Wirusy lokujące się w dowolnym miejscu pliku (ang. surface
* Wirusy lokujące się w dowolnym miejscu pliku (ang. surface
infectors), dość rzadkie, bardzo trudne do napisania;
infectors), dość rzadkie, bardzo trudne do napisania;
* Wirusy wykorzystujące część ostatniej Jednostki Alokacji
* Wirusy wykorzystujące część ostatniej Jednostki Alokacji
Pliku JAP (ang. slack space infector), korzystające z faktu, iż
Pliku JAP (ang. slack space infector), korzystające z faktu, iż
plik rzadko zajmuje dokładnie wielokrotność jednej JAP.
plik rzadko zajmuje dokładnie wielokrotność jednej JAP.
Wirusy plików
Wirusy plików
wsadowych
wsadowych
(ang. batchviruses)
(ang. batchviruses)
Wirusy plików wsadowych wykorzystujące do
Wirusy plików wsadowych wykorzystujące do
transportu pliki BAT, istnieją od dość dawna,
transportu pliki BAT, istnieją od dość dawna,
pomimo raczej ubogiego zestawu środków, jakimi
pomimo raczej ubogiego zestawu środków, jakimi
dysponuje ich potencjalny twórca. Może wydawać
dysponuje ich potencjalny twórca. Może wydawać
się to niedorzeczne, lecz często potrafią
się to niedorzeczne, lecz często potrafią
infekować nie tylko pliki BAT, ale także pliki COM,
infekować nie tylko pliki BAT, ale także pliki COM,
EXE czy sektor tablicy partycji (wymaga to
EXE czy sektor tablicy partycji (wymaga to
odpowiedniego, wcale nie tak trudnego,
odpowiedniego, wcale nie tak trudnego,
zaprogramowania).
zaprogramowania).
Po uruchomieniu zainfekowanego pliku
Po uruchomieniu zainfekowanego pliku
wsadowego tworzony jest plik uruchamiamy COM
wsadowego tworzony jest plik uruchamiamy COM
lub EXE (za pomocą polecenia ECHO, którego
lub EXE (za pomocą polecenia ECHO, którego
parametry są przekierowywane do pliku),
parametry są przekierowywane do pliku),
zawierający właściwy kod infekujący pliki BAT. Po
zawierający właściwy kod infekujący pliki BAT. Po
utworzeniu jest on wykonywany, a następnie
utworzeniu jest on wykonywany, a następnie
kasowany.
kasowany.
Ze względu na to, iż procesor nie rozróżnia
Ze względu na to, iż procesor nie rozróżnia
kodu i danych, można, poprzez sprytną
kodu i danych, można, poprzez sprytną
manipulację, utworzyć plik, który będzie mógł się
manipulację, utworzyć plik, który będzie mógł się
wykonać zarówno Jako typowy plik BAT, jak i plik
wykonać zarówno Jako typowy plik BAT, jak i plik
COM.
COM.
Konie trojańskie
Konie trojańskie
(ang. trojan
(ang. trojan
horses)
horses)
-
-
są one programami
są one programami
dołączonymi do prawidłowego
dołączonymi do prawidłowego
programu komputerowego.
programu komputerowego.
Zadaniem ich jest realizowanie
Zadaniem ich jest realizowanie
zadań niepożądanych przez
zadań niepożądanych przez
użytkownika. Program z
użytkownika. Program z
dołączonym koniem trojańskim
dołączonym koniem trojańskim
wykonuje zarówno prawidłowe
wykonuje zarówno prawidłowe
operacje jak i zadania, których nie
operacje jak i zadania, których nie
spodziewa się użytkownik, np.
spodziewa się użytkownik, np.
kopiowanie zasobów pliku lub
kopiowanie zasobów pliku lub
całkowite jego
całkowite jego
usunięcie.
usunięcie.
Program dający osobie z zewnątrz
Program dający osobie z zewnątrz
dostęp do komputera bez wiedzy i
dostęp do komputera bez wiedzy i
autoryzacji prawowitego
autoryzacji prawowitego
użytkownika.
użytkownika.
Wirusy
komputerowe
Makrowirusy - (ang.
Makrowirusy - (ang.
macroviruses)
macroviruses)
Wirus Makro - atakuje pliki dokumentów tekstowych MS
Wirus Makro - atakuje pliki dokumentów tekstowych MS
Word , arkuszy kalkulacyjnych Excel , oraz Access
Word , arkuszy kalkulacyjnych Excel , oraz Access
Makrowirusy należą do najmłodszej rodziny wirusów. Ich
Makrowirusy należą do najmłodszej rodziny wirusów. Ich
powstanie związane jest z wprowadzeniem do pakietów
powstanie związane jest z wprowadzeniem do pakietów
biurowych (np. MS Office, Lotus SmartSuite czy Corel
biurowych (np. MS Office, Lotus SmartSuite czy Corel
WordPerfect)języków pozwalających na tworzenie makr,
WordPerfect)języków pozwalających na tworzenie makr,
takich jak np. Visual Basic for Applications (VBA).
takich jak np. Visual Basic for Applications (VBA).
Makrowirusy - są to wirusy które nękają użytkowników
Makrowirusy - są to wirusy które nękają użytkowników
poprzez pakiet Microsoft Office. Możliwości które daje język
poprzez pakiet Microsoft Office. Możliwości które daje język
programowania Worda (WordBasic) lub Excela (Visual Basic
programowania Worda (WordBasic) lub Excela (Visual Basic
for Applications) są na tyle duże, że pozwalają wytworzyć
for Applications) są na tyle duże, że pozwalają wytworzyć
dość skomplikowanego i złośliwego wirusa. Uderzenia z tej
dość skomplikowanego i złośliwego wirusa. Uderzenia z tej
strony są zazwyczaj celne - pakietu Office używa znaczna
strony są zazwyczaj celne - pakietu Office używa znaczna
część użytkowników komputera. Mało kto zwróci uwagę na
część użytkowników komputera. Mało kto zwróci uwagę na
fakt makr które się "przypadkiem" doinstalowały do
fakt makr które się "przypadkiem" doinstalowały do
pakietu. Mimo panującego zagrożenia, wirusy te są dosyć
pakietu. Mimo panującego zagrożenia, wirusy te są dosyć
łatwo wykrywalne lub mogą zostać zablokowane przez samą
łatwo wykrywalne lub mogą zostać zablokowane przez samą
aplikację pakietu Office. Od pewnego momentu, kiedy
aplikację pakietu Office. Od pewnego momentu, kiedy
aplikacje Microsoft Office zaczęły ostrzegać użytkowników o
aplikacje Microsoft Office zaczęły ostrzegać użytkowników o
isteniu makr, wirusy tego typu stały się coraz mniej groźne.
isteniu makr, wirusy tego typu stały się coraz mniej groźne.
Zasada działania:
Zasada działania:
Większość makrowirusów Worda wykorzystuje fakt, że szablony
Większość makrowirusów Worda wykorzystuje fakt, że szablony
dokumentów mogą zawierać makra. Wirus uaktywnia się w chwili
dokumentów mogą zawierać makra. Wirus uaktywnia się w chwili
otwarcia zainfekowanego dokumentu, po czym zaraża zdrowe
otwarcia zainfekowanego dokumentu, po czym zaraża zdrowe
zbiory z rozszerzeniem *.doc i zapisuje je jako szablony
zbiory z rozszerzeniem *.doc i zapisuje je jako szablony
(dokumenty nie mogą zawierać makr). W ostatnim kroku jedno lub
(dokumenty nie mogą zawierać makr). W ostatnim kroku jedno lub
kilka automatycznie wykonywanych makr zostaje zastąpionych
kilka automatycznie wykonywanych makr zostaje zastąpionych
kodem wirusa.
kodem wirusa.
Wirusy polimorficzne
Wirusy polimorficzne
-
-
są wirusami szyfrującymi swój kod.
są wirusami szyfrującymi swój kod.
Szyfrowanie wirusa powoduje, że staje się
Szyfrowanie wirusa powoduje, że staje się
on trudniejszy do wykrycia przez
on trudniejszy do wykrycia przez
programy antywirusowe
programy antywirusowe
.
.
Wirusy polimorficzne nie mają stałej
Wirusy polimorficzne nie mają stałej
sygnatury, ponieważ ich kod zmienia się
sygnatury, ponieważ ich kod zmienia się
samoczynnie przy każdej infekcji.
samoczynnie przy każdej infekcji.
potrafi szyfrować swój własny kod a
potrafi szyfrować swój własny kod a
nawet go samoczynnie zmieniać co
nawet go samoczynnie zmieniać co
stanowi dużą trudność dla antywirusów.
stanowi dużą trudność dla antywirusów.
Wirusy typu stealth
Wirusy typu stealth
-
-
są to
są to
wirusy, które podczas próby dostępu do
wirusy, które podczas próby dostępu do
zarażonego pliku lub sektora dysku przez
zarażonego pliku lub sektora dysku przez
program antywirusowy potrafią "w locie",
program antywirusowy potrafią "w locie",
chwilowo naprawić uszkodzone dane i
chwilowo naprawić uszkodzone dane i
zatuszować swą obecność.
zatuszować swą obecność.
Wirusy
komputerowe
Wirusy utajnione
Wirusy utajnione
- wirusy te
- wirusy te
stosują metody ukrywania
stosują metody ukrywania
zmian dokonywanych przez
zmian dokonywanych przez
siebie w plikach lub
siebie w plikach lub
sektorach
sektorach
uruchomieniowych. Toteż
uruchomieniowych. Toteż
programy, które próbują
programy, które próbują
otworzyć zainfekowany plik
otworzyć zainfekowany plik
lub sektor widzą je w postaci
lub sektor widzą je w postaci
pierwotnej
pierwotnej
.
.
Wirusy
komputerowe
Wirusy powolne
Wirusy powolne
- są
- są
wirusami trudnymi do
wirusami trudnymi do
wykrycia, ponieważ zarażają
wykrycia, ponieważ zarażają
one pliki tylko wtedy, gdy
one pliki tylko wtedy, gdy
użytkownik komputera
użytkownik komputera
przeprowadza na nich jakieś
przeprowadza na nich jakieś
operacje. Na przykład nie
operacje. Na przykład nie
zainfekuje pierwotnego
zainfekuje pierwotnego
pliku, a zainfekuje
pliku, a zainfekuje
kopiowane przez
kopiowane przez
użytkownika pliki.
użytkownika pliki.
Wirusy
komputerowe
Retrowirusy
Retrowirusy
- są wirusami
- są wirusami
komputerowymi
komputerowymi
atakującymi programy
atakującymi programy
antywirusowe mając na
antywirusowe mając na
celu przeszkodzenie im w
celu przeszkodzenie im w
prawidłowym działaniu.
prawidłowym działaniu.
Potrafi unieruchomić
Potrafi unieruchomić
skaner antywirusowy lub
skaner antywirusowy lub
nawet go niszczyć
nawet go niszczyć
Wirusy
komputerowe
Wirusy partycyjne
Wirusy partycyjne
- są
- są
wirusami infekującymi pliki
wirusami infekującymi pliki
wykonywalne oraz sektory
wykonywalne oraz sektory
uruchomieniowe na
uruchomieniowe na
partycjach dyskowych. Po
partycjach dyskowych. Po
uruchomieniu zarażonego
uruchomieniu zarażonego
tym wirusem programu,
tym wirusem programu,
następuje zainfekowanie
następuje zainfekowanie
sektora uruchomieniowego
sektora uruchomieniowego
dysku twardego.
dysku twardego.
Wirusy
komputerowe
Wirusy towarzyszące
Wirusy towarzyszące
(ang. companion
(ang. companion
infectors)
infectors)
– podłączają się do plików
– podłączają się do plików
wykonywalnych stwarzając nowy plik, ale
wykonywalnych stwarzając nowy plik, ale
zmieniają rozszerzenie tego pliku, np.
zmieniają rozszerzenie tego pliku, np.
wirus wynajduje plik o nazwie
wirus wynajduje plik o nazwie
winword.exe
winword.exe
, tworzy plik o tej samej
, tworzy plik o tej samej
nazwie, ale o innym rozszerzeniu:
nazwie, ale o innym rozszerzeniu:
winword.com
winword.com
.
.
W momencie uruchomiania programu, w
W momencie uruchomiania programu, w
przypadku nie podania rozszerzenia
przypadku nie podania rozszerzenia
uruchamianego pliku, najpierw
uruchamianego pliku, najpierw
poszukiwany jest plik o rozszerzeniu
poszukiwany jest plik o rozszerzeniu
COM, potem EXE, a na końcu BAT. W
COM, potem EXE, a na końcu BAT. W
przypadku wykorzystywania
przypadku wykorzystywania
interpretatora poleceń 4DOS dochodzą
interpretatora poleceń 4DOS dochodzą
Jeszcze pliki BTM, poszukiwane podczas
Jeszcze pliki BTM, poszukiwane podczas
uruchamiania programu przed plikami
uruchamiania programu przed plikami
BAT. Na przykład, jeżeli w jednym
BAT. Na przykład, jeżeli w jednym
katalogu istnieją 3 pliki:
katalogu istnieją 3 pliki:
* PROG.BAT,
* PROG.BAT,
* PROG.COM,
* PROG.COM,
* PROG.EXE,
* PROG.EXE,
Wirusy
komputerowe
Wirusy opancerzone
Wirusy opancerzone
- to
- to
wirusy, które trudno
wirusy, które trudno
wykryć oraz usunąć.
wykryć oraz usunąć.
Zabezpieczają się one
Zabezpieczają się one
przed wykryciem za
przed wykryciem za
pomocą „kodów
pomocą „kodów
opakowujących”, które
opakowujących”, które
odwracają uwagę
odwracają uwagę
programu od kodu
programu od kodu
właściwego wirusa.
właściwego wirusa.
Wirusy
komputerowe
Wirusy plikowe
Wirusy plikowe
– wirusami
– wirusami
tymi mogą być konie
tymi mogą być konie
trojańskie, wirusy
trojańskie, wirusy
opancerzone, ukryte, bądź
opancerzone, ukryte, bądź
inne wirusy. Mogą zagrażać
inne wirusy. Mogą zagrażać
serwerom sieciowym,
serwerom sieciowym,
komputerom połączonym w
komputerom połączonym w
sieć równorzędną, mogą
sieć równorzędną, mogą
nawet być niebezpieczne dla
nawet być niebezpieczne dla
Internetu
Internetu
.
.
Wirusy
komputerowe
TRZY DROGI PRZENIKNIĘCIA
TRZY DROGI PRZENIKNIĘCIA
WIRUSA PLIKOWEGO DO SYSTEMU:
WIRUSA PLIKOWEGO DO SYSTEMU:
Wirusy
komputerowe
Wirusy – Makra
Wirusy – Makra
– wirusy
– wirusy
powielają
powielają
ce
ce
się w
się w
dokumentach tworzonych
dokumentach tworzonych
przez aplikacje.
przez aplikacje.
Przemieszczają się one z
Przemieszczają się one z
komputera na komputer za
komputera na komputer za
pośrednictwem wymiany
pośrednictwem wymiany
plików przez użytkowników
plików przez użytkowników
sieci. Wirus – makra mogą
sieci. Wirus – makra mogą
usunąć pliki, których później
usunąć pliki, których później
nie będzie już można
nie będzie już można
odzyskać.
odzyskać.
Wirusy
komputerowe
ROZPRZESTRZENIANIE SIĘ
ROZPRZESTRZENIANIE SIĘ
WIRUSA-MAKRA:
WIRUSA-MAKRA:
Wirusy
komputerowe
Programy
Programy
antywirusowe
antywirusowe
Programy antywirusowe
Programy antywirusowe
sprawdzają programy i dane na
sprawdzają programy i dane na
dysku oraz na dyskietkach i jeśli
dysku oraz na dyskietkach i jeśli
znajdą wirusy, starają się je
znajdą wirusy, starają się je
zniszczyć.
zniszczyć.
Rodzaje
Rodzaje
oprogramowania
oprogramowania
antywirusowego
antywirusowego
Panda
Panda
MKS VIR
MKS VIR
Avast
Avast
Arca Vir
Arca Vir
AntiVirenKit
AntiVirenKit
AVG
AVG