Wirusy komputerowe: skrypt i konspekt zajęć - Bożena Jażdżewska opracowała mgr Bożena Jażdżewska Spis treści: I. Wirusy komputerowe II. Profilaktyka III. Pytania kontrolne IV. Konspekt zajęć 1. Charakterystyka zajęć 2. Kierowanie procesem przyswajania wiadomości i kształtowania umiejętności Terminologia Sposoby dołączania się wirusa do nosiciela Wykrywanie wirusów Profilaktyka Obsługa programu antywirusowego Wirusy komputerowe Wirus komputerowy to program, który - tak jak prawdziwy wirus - przyłącza się do innych programów i jest wraz z nimi przenoszony pomiędzy komputerami. W taki sposób rozprzestrzenia się, infekując nowe programy. W sieciach pojawiły się również tzw. robaki, infekujące kolejne systemy komputerowe. "Robaki" rozmnażają się i przemieszczają same. W latach sześćdziesiątych powstały pierwsze wirusy zwane królikami. Były to programy powielające się i zapełniające system. Obecnie znamy setki odmian i rodzajów wirusów. Stworzonka te mogą powodować różnorodne szkody: zmieniać lub uszkadzać dane, zakłócać komunikację, wyświetlać komunikaty, przechwytywać informacje, spowalniać pracę systemu, zmieniać ustawienia komputera. Podstawowe informacje o wirusach Miejsca w systemie komputerowym które mogą być narażone na rozmnażanie wirusów to: programy typu EXE , COM pliki z rozszerzeniem OVL, BIN, SYS biblioteki DLL pliki systemowe COMMAND.COM, IBMBIO.COM, IBMDOS.COM tablica partycji dysku stałego boot - sektor dysku lub dyskietki tablica partycji dysku twardego FAT sektory zaznaczone jako uszkodzone tzw. bad sectors zagubione klastery tzw. lost clusters dokumenty programu WORD FOR WINDOWS (UWAGA: każde środowisko dopuszczające pisanie makropoleceń może być inspirujące dla autorów wirusów. skoroszyty programu EXCEL FOR WINDOWS bazy danych programu ACCESS FOR WINDOWS inne miejsca wymyślone przez komputerowych terrorystów W funkcjonowaniu wirusów można wyodrębnić dwie fazy: 1. faza rozmnażania się wirusa, 2. faza destrukcji. Faza rozmnażania się wirusa (I faza - tajna) polega na umieszczeniu jego zaszyfrowanego kodu w kolejnych miejscach systemu komputerowego, a faza destrukcji polega na ujawnieniu się wirusa. To co wirus w ramach destrukcji (II faza - jawna) dokonuje, jest zależne od umiejętności, wiedzy, fantazji i złośliwości twórcy wirusa. Wirusy zwane końmi trojańskimi to programy, które poza wykonywaniem normalnej, na ogół pożytecznej lub rozrywkowej pracy, prowadzą działalność typową dla drugiej fazy działania wirusów, czyli destrukcję w systemie. Rodzaje wirusów komputerowych: Wirusy pasożytnicze Wirusy towarzyszące Wirusy plików wsadowych Makrowirusy Generatory wirusów Robaki Konie trojańskie Bomby logiczne Istnieją dwie uzupełniające się metody obrony przed wirusami: bierna i aktywna. Obrona bierna polega na maksymalnym ograniczeniu skutków działania wirusów poprzez działania profilaktyczne. Obrona aktywna polega na usunięciu lub zamrożeniu wirusa za pomocą programu antywirusowego. Profilaktyka Jak uchronić się przed wirusami komputerowymi? 1. Nie zaopatrywać się w nielegalne oprogramowanie. 2. Zakupić specjalny program antywirusowy i za pomocą tego programu sprawdzać każdą dyskietkę uruchamianą na naszym komputerze. 3. Jeżeli program wykryje wirusa, najczęściej potrafi go również usunąć, jeśli nie - wyrzucamy ją lub wysyłamy producentowi programu antywirusowego. Programy antywirusowe sprawdzają programy i dane na dysku oraz na dyskietkach i jeśli znajdą wirusy, starają się je zniszczyć. Aby zwalczyć nowo powstałe wirusy, programy antywirusowe muszą być często uaktualniane. W Polsce najbardziej rozpowszechniony jest program antywirusowy Marka Sella - MkS-Vir, wciąż uaktualniany. rys. Okno dialogowe programu MkS-VIR Ze względu na sposoby działania programy antywirusowe można podzielić na następujące rodzaje: Programy monitorujące, czyli programy śledzące aktywność uruchamianych na komputerze programów (kontrolujące one tylko programy załadowane do pamięci operacyjnej) Programy obliczające sumy kontrolne wszystkich programów zapisanych w plikach na dyskach twardych Programy skanujące, czyli programy polujące na określone wirusy i potrafiące je unieszkodliwiać bez zniszczenia programu będącego nosicielem wirusa. Jednym z lepszych polskich programów z pakietów antywirusowych, który ma w sobie wszystkie trzy rodzaje wyżej wymienione programów to MKS_VIR dla Windows 95/98. Po wykryciu wirusa program antywirusowy zwykle proponuje usunięcie wirusa i całkowite wyleczenie systemu z danego wirusa. Wtedy jesteśmy szczęśliwi, bo możemy usunąć wirusa całkowicie. Gdy z jakiś powodów nie może dokonać całkowitego leczenia, program antywirusowy proponuje zamrożenie wirusa. Zamrożenie to polega na tym, że wirus nadal jest w systemie, lecz traci właściwość rozmnażania się. Po wykonaniu zamrożenia też należy się cieszyć. Gorzej przedstawia się sytuacja, gdy program nie może sobie poradzić wirusem i proponuje całkowite usunięcie zarażonego pliku. Trzeba wtedy zastanowić się jak zdobyć poprzednią wersję pliku i oczywiście nie zarażoną. Czy wirus może zarazić program umieszczony na dyskietce zabezpieczonej mechanicznie przed zapisem? Od dawna, co jakiś czas, pojawiają się sensacyjne wiadomości, że oto pojawił się wirus potrafiący przełamać mechaniczne zabezpieczenie dyskietek. Na szczęście, mają one tyle wspólnego z rzeczywistością, ile potwór żyjący podobno z Jeziorze Żarnowieckim. Nie ma możliwości, by na sprawnym napędzie dyskietek zmodyfikowano informację zapisaną na dyskietce, w której zaklejono otwór zezwalający na zapis (dyskietki 360KB lub 1,2 MB), lub otwarto otwór zabezpieczający (dyskietki 1,44 MB). Ocenia się, że każdego roku powstaje na świecie od tysiąca do kilku tysięcy wirusów. Można się więc spodziewać, że w niedługim czasie jeden z nich zagości także na naszym dysku twardym. Osobom, które chcą być na to przygotowane, z pomocą przychodzą najnowsze narzędzia, zdolne przeciwstawić się komputerowej epidemii. W przypadku wirusów komputerowych doskonale sprawdza się zasada: "Lepiej zapobiegać, niż leczyć". Ponieważ czasem skutki infekcji można przyrównać tylko do awarii dysku twardego, każdy rozsądny użytkownik komputera korzysta z usług jakiegoś programu antywirusowego. Wybór jest duży, a aplikacje próbujące nadążyć za coraz bardziej przebiegłymi wirusami są stale ulepszane. Czasy, gdy cały program złożony był z jednego pliku EXE, jak np. chyba najpopularniejszy w Polsce MkS_Vir, mamy już dawno za sobą. Nowoczesny pakiet antywirusowy składa się z zestawu narzędzi zapewniających kompleksowy system ochrony. Nadal podstawą jest skaner, który na żądanie przegląda pliki wykonywalne oraz dokumenty zawierające makra i sektor startowy dysku w poszukiwaniu sygnatur wirusów. Standardem jest kontrola zbiorów skompresowanych. W niektórych przypadkach użytkownik może utworzyć i zapisać skrypt zadania (np. kontrola katalogów C:\WINDOWS i C:\MOJE DOKUMENTY razem z podkatalogami), aby uwolnić się od konieczności każdorazowego wskazywania skanerowi tych samych obiektów. Drugim nieodzownym programem jest rezydentny monitor. Do jego zadań należy bieżąca kontrola wszystkich uruchamianych plików, otwieranych dokumentów oraz wkładanych do komputera dyskietek. Najlepsze monitory zajmują na tyle mało pamięci i mocy obliczeniowej procesora, że ich obecność jest niezauważalna. Niektóre jednak spowalniają system, co prowokuje do ich wyłączenia. Tak czy inaczej, warto mieć działający w tle monitor, który sam pamięta o sprawdzeniu każdego uruchamianego pliku czy otwieranego dokumentu i ostrzega w przypadku wykrycia infekcji. Wiele pakietów wyposażonych jest w terminarz, który po dłuższym czasie bezczynności komputera lub o określonej godzinie uruchamia skaner w celu przeprowadzenia rutynowej kontroli całego dysku lub wybranych katalogów. Funkcjonalność tego modułu sprawdza się w stosunku do serwerów i stacji roboczych pracujących całą dobę. W ich przypadku skaner uaktywniany jest przez terminarz np. w nocy, gdy komputer jest najmniej obciążony. Pomocniczym rozwiązaniem są wspomagające działania skanera rozmaite programy do wyliczania sum kontrolnych zbiorów. Zapamiętanie charakterystycznych cech pliku pozwala wykryć infekcję na podstawie niezgodności bieżącej i wcześniej zanotowanej sumy kontrolnej, ponieważ wirus musi dokonać modyfikacji we wnętrzu nosiciela. W ten sposób można przechwycić mikroba, któremu udało się przechytrzyć skaner i monitor antywirusowy. Pliki wykonywalne na ogół same nie zmieniają swojej zawartości, ale można wskazać kilka wyjątków od tej reguły, które mogą wzbudzić niesłuszne podejrzenie ze strony skanera. Innym mankamentem tej metody jest bezbronność plików zawierających sumy kontrolne wobec wirusów, które mogą je po prostu skasować. O ile wykrywanie wirusów kształtuje się zazwyczaj na wysokim poziomie, o tyle nadal najwięcej kłopotów sprawia usuwanie "bakcyli" i reperacja uszkodzonych zbiorów. Ma to szczególne znaczenie, gdy likwidacja zagrożenia przez usunięcie pliku nosiciela nie wchodzi w rachubę. Pliki wykonywalne zwykle można odtworzyć przez powtórną instalację programu. Inaczej ma się sprawa np. z dokumentami pakietu Microsoft Office, które, zwłaszcza w przypadku baz danych Accessa i arkuszy Excela, mogą zawierać znaczne ilości bezcennych danych. Według badań przeprowadzonych w USA, wiele firm zostaje coraz częściej zarażonych wirusami komputerowymi, pomimo zwiększonego używania programów antywirusowych. Badania przeprowadzone wśród 300 firm wykazały, że współczynnik zainfekowania wzrósł o 48% w zeszłym roku, pomimo, że prawie 100% firm posiadało zainstalowane i działające oprogramowanie antywirusowe. Przyczyn takiego stanu rzeczy jest kilka. Pierwszym źródłem infekcji są dyskietki przyniesione z domu - odpowiadają za 36 procent zdarzeń związanych z danymi kopiowanymi z dysku. Druga przyczyna infekcji to załączniki do poczty elektronicznej, w której pojawiają się nieoczekiwane "niespodzianki" - 32 procent zdarzeń. Również problemy wynikają z podłączenia firm do Internetu. Wiele firm nie posiada polityki określającej: co i kto może pobierać z sieci. Głównymi wirusami atakującymi komputery są wirusy makrosów Worda i Excela, używające języka skryptowego stosowanego do tworzenia makr - infekują 7 na 1000 maszyn. Następne w kolejności są wirusy boot-sektora - infekują średnio 2,5 na 1000 maszyn. Wiec jeżeli tak duży jest współczynnik używalności programów antywirusowych, dlaczego pojawia się taki wzrost infekcji. ? Po pierwsze, firmy nie uaktualniają oprogramowania antywirusowego regularnie - większość czyni to kwartalnie, a niektórzy wcale. Natomiast eksperci twierdzą, że ilość znanych wirusów przekroczyła już 20 000. Taka rzeczywistość może wydać się dosyć przygnębiająca, jednak jest "światełko w tunelu", gdyż oprogramowanie antywirusaowe staje się coraz doskonalsze. Pytania kontrolne 1. Podaj definicję wirusa komputerowego. 2. Jakie miejsca w systemie komputerowym mogą być narażone na rozmnażanie wirusów? 3. Opisz fazy funkcjonowania wirusa komputerowego 4. Jak działają wirusy zwane końmi trojańskimi? 5. Na czym polega obrona bierna przed wirusami? 6. Na czym polega obrona aktywna przed wirusami? 7. Opisz rodzaje programów antywirusowych. 8. Podaj nazwę znanego polskiego programu antywirusowego. 9. Czy wirus może zarazić program umieszczony na dyskietce zabezpieczonej mechanicznie przed zapisem? 10. Na czym polega różnica między usunięciem i zamrożeniem wirusa? Konspekt zajęć Charakterystyka zajęć 1. Klasa: II L.O 2. Temat: Wirusy i programy antywirusowe. 3. Czas trwania: 90 minut. 4. Cele lekcji: Poznawczy: Uczeń powinien poznać co oznacza termin wirus komputerowy i jak go usunąć z systemu. Kształcący: Uczeń powinien umieć posługiwać się programem antywirusowym. 5. Metody nauczania: ćwiczenia, wykład. 6. Środki dydaktyczne: Tablica, podręcznik, komputer i oprogramowanie. 7. Przebieg lekcji: a) Podanie tematu lekcji i uświadomienie uczniom celu lekcji. b) Sprawdzenie wiadomości z lekcji poprzedniej (np. z takich zagadnień, których znajomość jest niezbędna na obecnej lekcji). c) Podanie nowego materiału. d) Kontrola i utrwalenie wiadomości i umiejętności: sformułowanie pytań dotyczących celów lekcji. e) Podsumowanie. f) Zakończenie: Zadanie pracy domowej. Kierowanie procesem przyswajania wiadomości i kształtowania umiejętności. Wirus komputerowy to program napisany przez człowieka który dołącza się do innych programów i przejmuje nad nim kontrolę. Może przejąć również kontrolę nad systemem operacyjnym. Przejęcie kontroli nad systemem oznacza zazwyczaj to, że wirus działa na niego destrukcyjnie, dokonując różnych szkód (zawiesza system, kasuje dane, może również fizycznie uszkodzić sprzęt). Wirus komputerowy posiada pewne właściwości, a mianowicie potrafi się replikować (czyli powielać) oraz dołączać do innych plików. Te dwie cechy określają wirusa komputerowego. Dokładnej i jednoznacznej definicji nie ma. Wirus to program komputerowy który nie może istnieć samodzielnie, a potrzebuje nosiciela, czyli programu do którego się dołącza. Mówimy wówczas że program (nosiciel)jest zarażony wirusem. Po uruchomieniu takiego programu wirus replikuje się i jego kopia zostaje załadowana do pamięci RAM skąd może dalej szukać nowego nosiciela i zarażać tym samym inne pliki. 1. Terminologia Najważniejsze typy wirusów i programów wirusopodobnych: Łańcuch szczęścia - jest to program zawarty w komunikacie wysyłanym pocztą elektroniczną, który po uruchomieniu wysyła kopie do wielu użytkowników Bomba logiczna - wirus który uaktywni się gdy zostaną spełnione określone warunki logiczne (np. dojdzie do załamania sytemu gdy usuniemy określony plik) Bomba czasowa - wirus który uaktywnia się np. o ustalonych dniach Koń trojański - Dowolny program który zawiera kod realizujący funkcje inne niż spodziewa się tego użytkownik lub inne niż zawiera dokumentacja Robak - Program który wysyła swoje kopie przez połączenia sieciowe do innych systemów komputerowych. W odróżnieniu od wirusa, robak nie potrzebuje programu nosiciela, a jest samodzielnym programem wykonywalnym. 2. Sposoby dołączania się wirusa do nosiciela Wirus może dołączyć się do nosiciela na trzy sposoby: A. Dołączając się na końcu nosiciela nosiciel wirus B. Dołączając się na początku nosiciela wirus nosiciel C. Dołączając się na końcu i na początku nosiciela (są to najgroźniejsze wirusy typu SHELL które wtapiają nosiciela w swój kod) wirus nosiciel wirus Różnica w działaniu tych wirusów polega na tym że w pierwszym wypadku wirus replikuje się i zaraża inne pliki po zakończeniu działania programu jakim jest nosiciel. W drugim wypadku najpierw replikuje się wirus, a następnie dochodzi do wykonania programu nosiciela. W trzecim wypadku spełnione są oba warunki. 3. Wykrywanie wirusów Aby nie doszło do załamania systemu lub zniszczenia danych należy wirusa wykryć i zniszczyć. Aby wykryć wirusy stosuje się następujące metody: Poprzez sumę kontrolną Metoda polega na tym że przed zarażeniem sprawdza się wielkość plików. Gdy dojdzie do zarażenia wielkość pliku zarażonego ulega zmianie (kod wirusa posiada przecież określoną wielkość), jest to sygnał że plik może być zarażony. Metoda ta jest jednak niewystarczająca, gdyż niektóre wirusy mogą ukrywać swoją wielkość, a poza tym często np. dokumenty zmieniają swoją wielkość podczas ich edycji. Poprzez kod wirusa Metoda ta jest obecnie powszechnie używana. Polega ona na tym, że najpierw programista piszący program antywirusowy musi wirusa 'złapać', to znaczy wyodrębnić z nosiciela kod wirusa, a później sprawdzać czy inne pliki nie posiadają na końcu, na początku lub na końcu i na początku takiego kodu. Jeśli tak to należy ten kod usunąć. Mówimy wówczas że plik zarażony został odwirusowany lub wyleczony. Wyodrębnianie takiego kodu polega na tym, że wypuszcza się np. w sieć program np. robaka który zostaje zarażony nieznanym wirusem. Następnie znając wcześniej kod robaka np. kod robaka to : 101010101010 Po zawirusowaniu kod robaka to: 1010101010101111 Znając wcześniej kod robaka wyodrębniamy kod wirusa jest to : 1111 Ta metoda ma również pewne wady. Mianowicie mogą istnieć programy które posiadają podobny kod, a nie są wirusami, jak również aby od rozprzestrzenienia się wirusa do jego 'złapania' musi upłynąć jakiś czas, co stwarza ryzyko zarażenia wirusem dla którego jeszcze nie ma programu antywirusowego (bo jeszcze nie wyodrębniono kodu wirusa). Z tych powodów należy zachować odpowiednią profilaktykę antywirusową. 4. Profilaktyka Należy stale uaktualniać programy antywirusowe Zachować ostrożność co do korzystania z dyskietek niewiadomego pochodzenia 5. Obsługa programu antywirusowego Posłużymy się programem antywirusowym o nazwie MKS_VIR autorstwa Marka Sela. Uczniowie uruchamiają program i pod naszym kierunkiem sprawdzają dyskietki i twarde dyski, zapisują raport, wchodzą do Leksykonu wirusów i sprawdzają jak działają najbardziej typowe wirusy wykrywane przez ten program (są to wirusy wydające dźwięki, pokazujące efekty video) *** [spis treści] © Opracowanie graficzne i wykonanie strony: Bartek Małecki