PROGRAMY ANTYWIRUSOWE
Opracowała : mgr inż. Teresa Kowalska
Poznań, 2002
Korzystanie z komputera oprócz przyjemności i pomocy może dostarczyć użytkownikowi także wiele problemów. I tak np. gdy następuje wymiana danych z innymi komputerami, przy przenoszeniu dokumentów za pomocą dyskietek, w sieci lokalnej lub za pomocą sieci Internet, wiąże się to z ryzykiem zainfekowania naszego komputera wirusami komputerowymi. Sprzyja temu również korzystanie z nielegalnego, niesprawdzonego oprogramowania.
Ale czym są wirusy komputerowe?
Wirusy komputerowe ( ang. computer virus ) to zwykle krótkie programy zajmujące niewiele pamięci. Posiadają one zdolność do samodzielnego powielania się. Są zwykle tworzone przez anonimowych programistów z myślą o wywołaniu destrukcyjnego działania w komputerach. Celem wirusów jest najczęściej kasowanie cennych informacji.
A teraz trochę historii. Jak już wiemy, wirus komputerowy to przede wszystkim program jak każdy inny. Jego kod źródłowy składa się z listy poleceń i parametrów, ponieważ jest napisany w jednym z języków programowania. Pomysł napisania programu, który sam będzie tworzył własne kopie nie jest nowy. Od ponad 50 lat problem ten stanowił obiekt badań wielu specjalistów zajmujących się tworzeniem programów, które potrafią się automatycznie reprodukować, czyli tworzyć własne kopie. powstała nawet idea opracowania programów dysponujących własnym choć sztucznym życiem. W laboratorium informatycznym w Palo Alto w Kalifornii w latach 70-ych opracowany specjalny program, którego zadaniem miało być automatyczne i samoczynne poruszanie się w sieci i sprawowanie kontroli nad funkcjonowaniem podłączonych do niej komputerów. Niestety stracono kontrolę nad jego działaniem i w efekcie sieć padła. Po tym wydarzeniu eksperyment przerwano. Pierwszy wirus komputerowy napisany dla komputera osobistego nosił nazwę „Brain” i został odkryty w 1987 roku. Jego autorzy, dwaj bracia z Pakistanu, zamierzali przy jego użyciu ukarać wszystkich użytkowników posiadających na swoich komputerach nielegalne oprogramowanie. Oczywiście pierwszy wirus nie był specjalnie groźny. Zmieniał jedynie etykietę zainfekowanej dyskietki na „(C) Brain”. Jednak już w rok później pojawiły się kolejne wirusy. Ich autorami byli zazwyczaj studenci informatyki, dla których pisanie wirusów zarażających dyski twarde innych użytkowników było wspaniałą zabawą. Pierwszą głośną sprawą związaną z wirusami było rozesłanie przez pewnego lekarza dyskietek zawierających informacje na temat warunków, w jakich powstaje niebezpieczeństwo zarażenia się chorobą AIDS. Program znajdujący się na dyskietce przeliczał, jak wysoki miał być stopień ryzyka zarażenia się tą chorobą w konkretnym przypadku. Autorowi programu chodziło przede wszystkim o to, aby program zawarty na dyskietce trafił do możliwie jak największej liczby ludzi. Było to dość sprytne, ponieważ wielu użytkowników po otrzymaniu programu przesyła go dalej do swoich bliskich i znajomych. Lekarz ów nie zdradził jednak najistotniejszej funkcji swego programu, mianowicie tego, że zliczał on liczbę uruchomień komputera. Kiedy zaś uzyskiwana była wartość 90, uruchamiała się jeszcze inna procedura zawarta w programie : szyfrujące wszystkie pliki znajdujące się na dysku twardym. Ponad to na ekranie przed zdumionymi użytkownikami pojawiała się informacja o tym, po przesłaniu na pewien adres w Panamie sumy 189 $ otrzymają oni program do odkodowania wszystkich danych. W efekcie lekarz stracił prawo do wykonywania zawodu, a w końcu trafił do więzienia. Myślę, że historii już wystarczy.
Następnym tematem, który omówię będą infekcje wirusów komputerowych. Przejdźmy więc do nich. Objawem działania większości wirusów jest z reguły wyświetlanie komunikatów o nieistniejących błędach, informacje o autorze wirusa, odgrywanie prostych melodii lub prezentowanie innych, podobnych efektów na ekranie monitora. Na przykład wizytówką legendarnego wirusa „Cookie”, który pojawił się w roku 1988 na komputerach Macintosh, była uśmiechnięta twarz wyskakująca nagle na środek ekranu. Znikała po wpisaniu słowa „Cookie” wydając odgłosy uznawane za nieprzyzwoite przy jedzeniu.
Wielu innych wirusów nie można się jednak pozbyć tak łatwo. Działanie niektórych z nich powoduje ponadto znaczne szkody. Przed kilkoma laty tysiące użytkowników po raz pierwszy zadrżało w obawie przed kolejnym legendarnym wirusem o nazwie „Michał Anioł”. Miał on się uaktywniać każdego roku w dniu urodzin wielkiego artysty, czyli 6 marca. Jego zadaniem było niszczenie zawartości pierwszych siedemnastu sektorów dysku twardego. Równie groźnym wirusem był „Leprosy”, który z kolei formatował dysk twardy komputera. Naturalnie wszystkie znajdujące się na nim dane były wówczas bezpowrotnie tracone.
Światowa epidemia.
Jeszcze w roku 1990 znanych było jedynie kilkadziesiąt wirusów. Lecz już rok później rozpoznawano ich około 250, a obecnie są to już tysiące, dziesiątki tysięcy. Powodem wciąż wzrastającej liczby wirusów komputerowych jest nieustanne powstawanie zmodyfikowanych kopii istniejących już wirusów. Napisanie całkiem nowego wirusa nie jest rzeczą prostą. Stąd wielu programistów korzysta z obecnych wersji i używając części ich kodu tworzy nowe egzemplarze. Nierzadko zmieniają oni treść tekstu komunikatów informacyjnych wyświetlanych przez wirusy na ekranie monitora.
Typy wirusów.
Istnieją trzy główne typy wirusów :
1). zagnieżdżające się w sektorach zawierających informacje na temat struktury danych na dysku twardym
2). przenoszone wraz z plikami
3). makrowirusy
Każdy z tych typów ma przede wszystkim jeden cel : możliwie jak najszybciej utworzyć maksymalną liczbę własnych kopii. Aby to z kolei było możliwe, muszą zainfekować wszystkie nośniki danych znajdujące się w ich zasięgu. Wirus zagnieżdżający się w sektorach z informacjami na temat struktury danych na dysku zwykle jest przenoszony na dyskietkach, na których również umiejscawia się w początkowych sektorach. Pierwszym znanym wirusem, jak już wcześniej powiedziałem, był „Brain”. Był to właśnie wirus przenoszący się w pierwszych sektorach dysku.
Wirusy - konie trojańskie.
Wirusy komputerowe wyglądające z pozoru całkiem niewinnie, a których zadaniem jest niszczenie danych, określa się mianem „koni trojańskich”. Po raz pierwszy pojawiły się one w 1989 roku.
Bądź ostrożny! W ten sposób możesz w dużym stopniu zmniejszyć niebezpieczeństwo zarażenia Twojego komputera. Jednak również w przypadku infekcji rozważne zachowanie przyczynia się do uniknięcia większych szkód.
Praktyka wykazuje, że w większości przypadków do straty danych nie dochodzi bezpośrednio przez same destrukcyjne funkcje wirusów(tzw. „payload”), lecz przez paniczne reakcje użytkownika zainfekowanego komputera. Zdarzyło się, że przez raczej nieszkodliwy wirus, użytkownicy formatowali swoje twarde dyski tylko dlatego, że nie powiodła się pierwsza próba ich oczyszczenia.
Zanim podejmiesz tak drastyczne kroki, powinieneś mieć jedno na uwadze. Głównym celem wirusa jest jego rozmnażanie się. Funkcja destrukcji jest funkcją drugorzędną, o ile w ogóle istnieje. Oznacza to przede wszystkim, że zyskujesz dużo czasu: czasu, który możesz wykorzystać na zachowanie danych i nie zarażonych programów, czasu na obmyślenie najlepszej strategii usunięcia wirusa oraz czasu na zaopatrzenie się w odpowiednie narzędzia antywirusowe, jeżeli nie zrobiłeś tego zawczasu. W wielu przypadkach wystarcza posłużenie się standardowymi narzędziami dostępnymi pod DOS-em.
W najlepszej sytuacji jest oczywiście ten, kto nie musi się nawet zastanawiać, w jaki sposób usunąć wirusa. Dlatego główny nacisk położyłem na zasadach postępowania dotyczących zapobiegania zarażenia wirusami. Przestrzegając tych reguł możesz uniknąć zainfekowania komputera lub przynajmniej w bardzo dużym stopniu zmniejszyć to niebezpieczeństwo.
1.Symptomy zarażenia.
Czym charakteryzują się typowe i dające się łatwo zweryfikować objawy zarażenia wirusem?
Wirusy komputerowe są tworzone w celu wyrządzenia różnego rodzaju szkód, takich jak: problemy przy uruchamianiu systemu, kłopoty związane z twardym dyskiem, zmniejszenie wydajności obliczeniowej komputera, wyświetlanie komunikatów o rzekomych błędach oraz zawieszanie się systemu. Następstwa zarażeń wirusowych są z reguły za bardzo heterogeniczne i za mało specyficzne, abyśmy na podstawie pewnych oznak mogli stwierdzić, że komputer jest zarażony wirusem - aczkolwiek w przypadku powstania wątpliwości zawsze zalecam skorzystanie ze skanera antywirusowego.
Następujące symptomy zarażenia są bardziej specyficzne i dają się łatwo wykryć:
a). Każdy uaktywniony wirus zajmuje trochę miejsca w pamięci: jeżeli zmniejszyła się pamięć robocza DOS-u, przy czym nie zmienialiśmy konfiguracji systemu, stanowi to dość jasną oznakę tego, że komputer jest zarażony wirusem boot-sektora lub wirusem plikowym. Zarażenie wirusem boot-sektora objawia się zmniejszeniem całkowitej, konwencjonalnej pamięci DOS-a poniżej 640 KB (jednakże wartość ta wynosząca dokładnie 639 KB może być również spowodowana odpowiednimi ustawieniami w BIOS-ie).
b). Wiele wirusów nie kopiuje swojego kodu, zamazując kod swojego nosiciela, lecz dopisuje swój kod na koniec pliku powiększając jego długość. Z tego względu zmieniona wielkość plików o rozszerzeniach COM i EXE są dosyć podejrzanym znakiem, wskazującym możliwość zakażenia.
c). Różne wirusy zaznaczają zarażone przez siebie pliki zmieniając datę ich ostatniej modyfikacji. Ponieważ w kręgu programów standardowych istnieje bardzo mało samo modyfikujących się programów, zamiany tego typu są również jasnym objawem obecności aktywnego wirusa.
d). Funkcja destrukcyjna wielu wirusów polega na kasowaniu plików. Przebieg operacji kasowania zbiorów można względnie łatwo skontrolować za pomocą porównawczych list katalogowych tak, jak w opisanym powyżej przypadku dokonywania zmian w systemie plików.
e). Wirusy boot-sektora często uniemożliwiają w systemie Windows 3.11 lub Windows 95 32-bitowy dostęp do plików. Jeżeli przy uruchamianiu systemu Windows, nagle i bez dokonywania zmian w konfiguracji, pojawi się odpowiedni komunikat błędu, powodem tego jest często wirus boot-sektora.
2. Ponowne uruchomienie systemu.
Czy jednoczesne naciśnięcie klawiszy „ctrl”+”alt”+”delete” usuwa z pamięci wszystkie rodzaje wirusów?
Właściwie tak. Ponowne uruchomienie systemu kasuje zawartość pamięci roboczej, a niniejszym również wszystkie rezydentne w niej wirusy. Jedynym problemem jest fakt, że nie zawsze to, co wydaje się być wtórnym uruchomieniem systemu, jest nim naprawdę! Niektóre bowiem wirusy przejmują bowiem kontrolę nad przerwaniami dotyczącymi klawiatury i w przypadku naciśnięcia klawiszy „ctrl”+”alt”+”delete” symulują ponowne uruchomienie systemu, które utrzymuje je jednak przy życiu. Żeby nie dawać wirusowi takiej szansy, dokonujcie wtórnego uruchomienie systemu naciskając przycisk „RESET” lub po prostu wyłączając komputer.
3. Ostatnia deska ratunku.
Jakie programy powinny znaleźć się na dyskietce ratunkowej?
Kwestia ta jest ważna przede wszystkim dla użytkowników systemu DOS i systemu Windows 3.1x. Możliwości DOS-owego polecenia SYS oraz jeszcze bardziej skąpego polecenia „utwórz dyskietkę systemową” z menadżera plików w systemie Windows w pełni niewystarczające. Bowiem utworzoną w ten sposób dyskietką systemową możesz wprawdzie uruchomić system, lecz nie możesz dokonywać jakichkolwiek napraw. Dodatkowo powinno się skopiować ręcznie na dyskietkę takie programy, jak Sys, Fdisk, Format, Scandisk, Mem, Undelete, Attrib, Xcopy (oraz ewentualnie program do kompresji danych).
Dobrą radą dla użytkowników Windows 95 jest utworzenie dyskietki startowej poprzez menu Panel sterowania > Dodaj/Usuń programy > Dysk startowy. Pomyślano tu o wszystkich potrzebnych akcesoriach. Jedynym narzędziem, którego jeszcze brakuje na dyskietce, to nieodzowny, skanujący program antywirusowy. Jeżeli na utworzonej dyskietce systemowej znajduje się wystarczająca ilość miejsca, program ten należy wówczas skopiować właśnie na nią - w przeciwnym przypadku skaner antywirusowy możesz nagrać na inną czystą dyskietkę, którą trzeba również zabezpieczyć przed zapisem.
4. Ochrona w BIOS-ie.
Jaki efekt daje dostępna w BIOS-ie opcja „Bootsector Virus Protection”?
Niektóre wersje systemu BIOS zawierają wiele obiecującą opcję. Opcja ta nadzoruje każdą operację zapisu dokonywaną na boot-sektorze i ewentualnie unieruchamia cały system. Na ekranie pojawia się w tym przypadku komunikat w języku angielskim, który ostrzega przed wirusowym zarażeniem systemu. Tak więc opcja „Bootsector Virus Protection” chroni przed wirusami boot-sektora, lecz oczywiście nie chroni przed wirusami plikowymi.
Ochrona przed wirusami boot-sektora - brzmi nieźle, lecz posiada również swoje ciemne strony. Wymieniona powyżej funkcja BIOS-u jest skuteczna, ale jest przy tym prymitywna i pozbawiona elastyczności; realizuje rygorystyczne założenia, że nie można wprowadzić żadnych zmian do boot-sektora. W następstwie tego, nawet nieszkodliwe polecenie zmiany etykiety dysku(label c:) powoduje wyświetlenie irytującego komunikatu o zarażeniu wirusem. Dlatego zależnie od systemu operacyjnego należy liczyć się z częstymi fałszywymi alarmami, które sprawiają trudności w ich interpretacji, przede wszystkim niedoświadczonym użytkownikom. Ponadto trzeba zauważyć, że ta funkcja ochronna zawarta w BIOS-ie została obficie udokumentowana. Dzięki temu powstały w międzyczasie wirusy, które potrafią wyłączyć tą opcję.
5. Zachowywanie boot-sektorów.
Na pewno wszyscy posiadają zapasowe kopie swoich danych - ale w jaki sposób można sporządzić rezerwowe kopie boot-sektorów?
Większość programów antywirusowych posiada opcję, która to umożliwia. Jednak doświadczeni użytkownicy mogą użyć do tego celu również edytora dyskowego, jak np. Norton Disk Editor.
Z narzędzia Norton Disk Editor należy korzystać w sposób następujący. Z menu Object > Drive (Obiekt > Napęd) wybierz dysk systemowy c:, po czym przejdź do menu Object > Patrition table (Obiekt > Tabela partycji). Naciśnięciem klawisza funkcyjnego „F2” przechodzisz do wyświetlania w trybie HEX. Następnie musisz zaznaczyć cały sektor za pomocą opcji Edit > Mark (Edycja > Zaznacz) i zapamiętać go poprzez Edit > Copy (Edycja > Kopiuj). Wreszcie przechodzimy do pozycji menu Tools > Write object to (Narzędzia > Zachowaj obiekt jako) i wpisujesz odpowiednią nazwę pliku. Zalecam umieścić także i ten mały zbiór na utworzonej uprzednio dyskietce startowej, przykładowo pod nazwą „MBR.SEC”.
Procedurę tę należy następnie powtórzyć obierając boot-sektor jako obiekt. W przypadku obejrzenia katalogu poleceniem „DIR”, długość stworzonej zapasowej kopii danych powinna wynosić dokładnie 512 bajtów.
Jeżeli konieczny stanie się powrotny zapis tych obydwóch sektorów, należy wówczas najpierw wprowadzić odpowiedni obiekt do pamięci, skopiować go w trybie HEX (jak wyżej), po czym wprowadzić do pamięci żądany sektor i wybrać pozycję menu Edit > Paste over (Edycja > Wklej na miejsce).
6. Ochrona plików przed ich zapisem.
Czy pliki, które posiadają ustawiony atrybut ochrony przed zapisem (read-only), są zabezpieczone przed zakażeniem przez wirusy?
Szeroko rozpowszechnił się pogląd, iż wirusy nie zagrażają plikom, które są zabezpieczone poleceniem „attrib+r...”, a już w szczególności poleceniem „attrib+r+s+h...”. Jednak faktem jest, że autorzy wirusów mogą posługiwać się tymi samymi funkcjami software'owymi, co i my. Wobec tego wirusy mogą zarówno wykorzystywać możliwości oferowane przez programy obsługi standardowej, jak też samoistnie naruszyć system plików. Polecenie attrib i podobne, nie oferują więc skutecznej ochrony przed wirusami.
Jednak z drugiej strony zaledwie tylko garstka autorów wirusów uwzględnia wszystkie możliwości konfiguracji systemu, na które może natrafić w przyszłości ich dzieło. Z tego względu programowa ochrana przed zapisem na dysku powstrzyma wiele wirusów, ponieważ w ich kodzie nie zaimplementowano pokonania tej przeszkody.
Natomiast, jeżeli z kolei przewidzieliśmy cały szereg środków mających na celu ochronę dysku przed zapisem, wówczas musimy liczyć się z różnymi problemami oraz z błędnymi komunikatami.
7. Wirusy w dokumentach, plikach tekstowych.
W jaki sposób można najlepiej ochronić się przed wirusami zawartymi w makrach Winworda?
Jeżeli chcesz mieć 100% pewność, że system nie zostanie zarażony przez wirus tego typu, musisz po prostu czytać pliki tekstowe nieznanego pochodzenia, posługując się wyłącznie przeglądarkami lub programami edytującymi, nie posiadającymi funkcji makro. Jeżeli chcesz tylko dowiedzieć się, co zawiera dany plik znajdujący się w środowisku sieciowym, ta może niezbyt elegancka, ale za to absolutnie skuteczna metoda wystarczy w zupełności.
Natomiast mamy do czynienia z czymś zupełnie innym, jeżeli masz zamiar opracować czy też redagować obce teksty. W tym przypadku trzeba być zaopatrzonym w całkowicie sprawny program przetwarzania tekstów, który na wszelki wypadek należy uprzednio spreparować. Automatycznemu uruchamianiu się makr auto-open w Winwordzie można zapobiec przez wprowadzenie makra „autoexec” do standardowego szablonu „normal”, które będzie zawierało następujące odnośne makropolecenie (Winword 6/7):
Sub Main
DisableAutoMakro 1
End Sub
Jednakże już od dłuższego czasu wiemy, że tą metodą nie da się osiągnąć 100% ochrony przed wirusami.
Niektóre makrowirusy nie korzystają z makr auto-open, lecz po prostu zajmują swoim kodem pewne polecenia standardowe, z których użytkownik będzie najprawdopodobniej korzystał (np. Plik > Zamknij). Tak więc potrzebna jest nie tylko ochrona przed makrami uruchamiającymi się samoczynnie, lecz również procedurę ostrzegającą przed dalszymi istniejącymi makrami. Procedurę taką można uzyskać przez zachowanie we wszystkich często używanych szablonach specjalnego makra. Zachowanie tego makra jedynie w szablonie NORMAL.DOT wystarczy tylko wtedy, gdy otwierasz pliki poprzez wywołanie odpowiedniej pozycji menu, a nie przez podwójne kliknięcie w menedżerze plików względnie w programie Explorer.
Takie makro interpretuje każdy szablon, który nie posiada przeznaczonego dla niego rozszerzenia .DOT, jako nosiciela wirusa i za pomocą komunikatu informuje natychmiast o zawartych w nim makrach. Przy otwieraniu normalnych tekstów, system nie będzie się naprzykrzał niepotrzebnymi komunikatami. ponadto większość wirusów zarażających makra, tak jak np. znany Word.Concept, jest wykrywana przez powszechnie stosowane pod DOS-em programy antywirusowe. Programy te potrafią również usuwać wymienione makra.
8. Pliki skompresowane.
Jakich reguł należy przestrzegać w przypadku skompresowanych archiwów oraz samorozpakowujących się plików .EXE?
Ponieważ żaden antywirusowy program skanujący nie może niezawodnie badać wszystkich rodzajów skompresowanych archiwów, polecamy z reguły postępować w sposób następujący.
Pliki typu ZIP, ARJ i podobne: nie skanuj programem antywirusowym samego skompresowanego pliku, lecz rozpakuj najpierw archiwum do pustego katalogu, po czym skanuj wszystkie poszczególne pliki zawarte uprzednio w archiwum. Jeżeli jeden z rozpakowanych zbiorów okaże się plikiem zarażonym przez wirusa, nie wolno wówczas zapomnieć o natychmiastowym skasowaniu źródłowego archiwum tego pliku, oczywiście po usunięciu zbiorów rozpakowanych!
Samorozpakowujące się archiwa z rozszerzeniem .EXE, które są nieznanego pochodzenia, są niebezpieczne w podwójnym stopniu. Po pierwsze, już sam plik .EXE może być zarażony wirusem, a po drugie mogą być zainfekowane również zbiory w nim skompresowane. Archiwa .EXE tego rodzaju powinno się - jak zresztą wszystkie pliki wykonywalne obcego pochodzenia - zawsze poddawać skanowaniu przed ich uruchomieniem, a po rozpakowaniu czeka je następne skanowanie. Także i w tym przypadku obowiązuje ta sama zasada - jeżeli jeden z plików jest zarażony wirusem, należy go usunąć razem ze skompresowanym archiwum .EXE.
Jeżeli należysz do ludzi bardzo ostrożnych, możesz w ogóle zrezygnować z funkcji samorozpakowywania się archiwów .EXE. Archiwum typu .ZIP, które zostało zachowane jako plik .EXE za pomocą programu Zip2Exe, może być w każdej chwili rozpakowane również programem Pkunzip. Jedyny mały problem polega na uprzednim rozszyfrowaniu, którym programem kompresującym zostało utworzone dane archiwum .EXE. Jeżeli przykładowo zechcesz poddać obróbce programowi Pkunzip archiwum skompresowane programem ARJ, otrzymasz oczywiście komunikat o błędzie.
9. Bomby ANSI.
W jaki sposób można uchronić się przed bombami ANSI?
Bomby ANSI nie posiadają wprawdzie zdolności rozmnażania się, jednakże mogą wyrządzić znaczne szkody przez zmianę funkcji przypisanych klawiszą standardowym. Ten, kto nie wie do końca, czemu służy sterownik ANSI.SYS zawarty w pliku CONFIG.SYS, powinien skasować jego występowanie w tym miejscu lub po prostu za pomocą średnika oznaczyć go jako komentarz.
Użytkownikom, którzy naprawdę potrzebują ANSI.SYS wystarczy ta oto prosta wskazówka: wprowadź plik ANSI.SYS do edytora dyskowego, np. do programu Norton Disk Editor:
diskedit c:\dos\ansi.sys
Wyszukaj bajt 61h tego pliku. W tym miejscu zawarta jest liczba „70”, czyli „112” w systemie dziesiątkowym, a wartość znaku „p” w kodzie ASCII. „p” jest standardowym znakiem ANSI.SYS odpowiedzialnym za zmiany funkcji przypisanych klawiszą funkcyjnym. Wprowadź na miejsce tego znaku jakąś inną wartość. Jeżeli zastąpisz liczbę „70” przykładowo liczbą „74”,wówczas znakiem zmiany przypisań zamiast „p” stanie się „t”. Po dokonaniu tej wstawki, w sterowniku ANSI wymienione bomby ANSI nie mają już najmniejszych szans.
10. Niebezpieczeństwo zarażenia wirusem przez kopiowanie plików.
Czy można przez samo kopiowanie danych wpuścić do swojego systemu wirusa?
Odpowiedź brzmi: nie. Ani procedura poleceniem Copy, Xcopy, Backup czy Pkzip, ani operacja ściągania danych za pomocą modemu nie uaktywnia bezpośrednio wirusa - nawet wtedy, gdy system przesyłający dane jest zarażony wirusem. Jeżeli jednak zainfekowany plik został skopiowany czy ściągnięty za pomocą modemu i próbujemy go uruchomić, wówczas wirus się uaktywnia.
11. Zarażone wirusami płyty CD-ROM.
Czy można uaktywnić wirusa poprzez wczytywanie danych z płyt CD-ROM?
Odpowiedź na to pytanie brzmi: z reguły nie. Jednakże w systemie Windows 95 może dojść do zarażenia drogą pośrednią. Windows 95 wyposażono w tak zwaną funkcję „Autoplay” - jest to opcja, która przy kliknięciu ikony napędu CD-ROM automatycznie uruchamia dowolny program zdefiniowany w pliku AUTORUN.INF. Jeżeli przywołany program jest programem DOS i zawiera on w sobie wirusa plikowego, wówczas grozi to zarażeniem.
W przypadku krążków instalacyjnych standardowego oprogramowania, należy wykluczyć taką możliwość. Jednak to, co dziś wydaje się być tylko teorią, może doprowadzić do masowego zagrożenia poprzez zwiększające się rozpowszechnianie krążków pirackich.
12. Skanowanie plików - jak często?
Jak często powinno się korzystać z antywirusowego programu skanującego i jakie opcje powinny być w nim uaktywnione?
W przypadku serwera sieciowego, który w każdej chwili musi przyjmować dane napływające od dowolnych użytkowników, zalecana jest regularna kontrola antywirusowa, np. każdorazowo przy uruchamianiu systemu. Natomiast w przypadku komputera znajdującego się na stanowisku roboczym lub komputera domowego sprawa ma się zupełnie inaczej. Dlaczego skanować pliki każdego dnia lub co tydzień, jeżeli założonych zostało zaledwie kilka nowych zbiorów? Tutaj raczej zaleca się bardzo świadome skanowanie ad hoc, od razu po skopiowaniu (albo rozpakowaniu) z dyskietki, dysku czy sieci nowych plików oraz po bezpośrednim załadowaniu plików tego rodzaju na dysk. To samo należy zrobić po uruchomieniu nieznanych programów ściągniętych bezpośrednio z sieci albo pochodzących z dyskietki czy krążka CD.
Jeżeli będziesz trzymał się metody ad hoc naprawdę konsekwentnie, wystarczy za każdym razem kontrolować skanerem tylko katalog zawierający nowe pliki, co pozwoli oszczędzić sporo czasu.
Konwencjonalnym sposobem rozpoznawania wirusów jest poszukiwanie znanych sygnatur wirusowych. Jeżeli doszło do zarażenia przez nowy wirus, wówczas program skanujący staje się bezsilny. Jeśli program skanujący oferuje funkcję poszukiwania heurystycznego, jak np. program F-Prot opcję „/analyse”, powinno się powtórnie uruchomić proces poszukiwania, tym razem z uaktywnieniem powyższej funkcji. Metoda ta umożliwia identyfikowanie także nieznanych wirusów, dzięki poszukiwaniu cech charakterystycznych, które są dla nich typowe. Jeżeli w programie znajduje się pewna liczba takich podejrzanych cech, jest on najprawdopodobniej zarażony. Za pomocą dobrze zaprogramowanej funkcji heurystycznej można rozpoznać maksymalnie 80% wszystkich nowych wirusów. Istnieje tu także pewna ciemna strona: nie rzadko dochodzi do fałszywych alarmów. Podprogram poszukiwawczy wskazuje całkiem nieszkodliwe programy jako „prawdopodobnie zakażone”.
Większość skanerów zawartych w programach antywirusowych, które są oferowane na rynku, standardowo kontroluje na obecność wirusów całą pamięć DOS-u poniżej 1 MB. Jeżeli Twój skaner ma przeszukiwać wyłącznie obszar pamięci leżący poniżej 640 KB, wówczas powinieneś poszukać w nim opcji uwzględniającej przy kontroli obszar pamięci UMB, w kt6rą to funkcję program jest na pewno wyposażony. Niektóre wirusy lokują się właśnie w tym sektorze pamięci. Natomiast wirusy w rozszerzonej pamięci XMS są na razie tylko teorią.
13. Niezidentyfikowane OLE.
Czy jest prawdą fakt, iż przywołanie obiektu OLE może uaktywnić wirusa?
Jest to nieprawdopodobne, aczkolwiek z teoretycznego punktu widzenia możliwe. Obiekt OLE może uruchomić program DOS a ten z kolei uaktywnić wirusa albo bezpośrednio zarazić jeden z ważnych plików systemowych, takich jak np. COMMAND.COM. W drugim przypadku jest trudniej wpaść na trop wirusa, ponieważ wirus aktywny w okienku DOS znika z pamięci w momencie zamknięcia okienka.
Jeżeli nie ufasz obiektom OLE znajdującym się na dyskietkach nieznanego pochodzenia, powinieneś kliknąć nań jednokrotnie w celu zaznaczenia, po czym sprawdzić w menu ,,Edycja" czy pojawi się w nim typ OLE jako ,,Obiekt: Pakiet". Wtedy chodzi prawdopodobnie o program DOS-owy i powinieneś skontrolować ten obiekt wywołując ,,Edytuj pakiet" (w starszych aplikacjach ,,Obiekt: Pakiet" bez menu podrzędnego). Automatycznie uruchamia się pakowarka obiektów, a wywołując ,,Edytuj. Wiersz polecenia" poznasz nazwę programu, kt6ry zostałby uruchomiony przez podwójne klikniecie.
Nie będziesz żałował tego środka ostrożności, jeżeli znajdziesz w tym miejscu polecenia destrukcyjne, które wywołałoby konia trojańskiego w postaci obiektu. Właśnie w tym tkwi najbardziej istotne niebezpieczeństwo takich zamaskowanych przez ikony pakietów DOS-owych. Obiekt OLE może uruchomić wirusa tylko wtedy, gdy wraz z dokumentem Windows zostały przesłane dodatkowe zarażone pliki EXE lub COM (np. na dyskietce).
14. Wirusy w okienku DOS-u
Czy wirus może uaktywnić się w obrębie okienka DOS-u w systemie Windows, OS/2 albo Linux?
Tak, ponieważ w okienko DOS-u obowiązują praktycznie te same zasady co w normalnym systemie DOS. Fakt, iż wszystkie operacje na pamięci dokonują się właściwie w obszarze XMS, który nie jest dostępny dla wirusów. To wcale wirusa nie obchodzi - on tego nawet wcale nie zauważa. Wirtualny PC o nazwie okienko DOS-u oferuje wirusowi praktycznie takie same warunki działania jak normalne środowisko DOS.
A jednak jest jedna ważna różnica, która pozwala scharakteryzować okienka DOS-u jako blokadę wirusową. Przez zamknięcie okienka DOS-owego wirus jest natychmiast usuwany z pamięci komputera. Aczkolwiek przeprowadzone przez niego do tej pory operacje zarażania plików nie zostają anulowane. Zresztą, ponieważ przeważająca liczba infekcji jest powodowana wirusami DOS-owymi, w systemach Windows, 05/2 i Linux wystarcza stosowanie programów antywirusowych opartych na DOS-ie. Dzięki korzystaniu z parametrów wywoławczych i plików wsadowych, są one często nawet wygodniejsze w obsłudze. A poza tym bardzo często oferują one profesjonalistom więcej możliwości od swoich konkurentów z platformą GUI, przy tworzeniu własnych procedur.
15.Jak często dochodzi do Infekcji?
Czy istnieją statystyki Co do prawdopodobieństwa infekcji i wielkości wyrządzonych przez wirusy szkód?
Prawdopodobieństwo zarażenia Systemu wirusem zależy od zachowywania się użytkownika oraz od liczby plików obcego pochodzenia, z którymi ten ma do czynienia. Statystyki, według których był zainfekowany komputer co trzeciego użytkownika albo w przedsiębiorstwie, wirus pojawia się około jeden raz na 14 miesięcy, tak naprawdę mówią niewiele. Przeciętny użytkownik, który na komputerze pracuje w domu i instaluje tylko oprogramowanie standardowe, być może nigdy nie zobaczy wirusa. Natomiast aktywny i przy tym lekkomyślny użytkownik sieci, który do tego otrzymuje wiele programów Internetem, będzie musiał wa1czyć z wirusem Co kilka miesięcy.
Straty bezpośrednie i pośrednie - więcej niż 70% wszystkich wirusów jest wykrywanych na podstawie ich typowych symptomów albo przez odpowiednie skanery, i są one usuwane zanim jeszcze wyrządzą jakiekolwiek szkody. Jednakże pewne straty powstają ze względu na stratę czasu potrzebnego na unieszkodliwienie i wyeliminowanie wirusów.
Do utraty danych dochodzi w przypadku 30% zarażonych komputerów. Przy czym sam wirus jest bezpośrednią przyczyną tych szkód tylko w niecałej jednej trzeciej wszystkich przypadków. Pozostałe dwie trzecie, są spowodowane panicznymi, wręcz nieprawidłowymi reakcjami użytkowników. A bardzo mała cześć szkód to działanie programów antywirusowych, które uszkadzają dane podczas usuwania wirusów.
99% wszystkich infekcji wirusowych jest aktualnie spowodowane przez ok. 25 szeroko rozpowszechnionych wirusów (np. Word.Concept, Parity-Boot, Form, Tremor, Ripper, Junkie). Prawdopodobieństwo infekcji systemu przez jeden z ok. 9000 pozostałych wirusów jest względnie małe.
16. Następstwa zarażenia systemu wirusem.
Jakie szkody mogą wyrządzić wirusy?
Szkody wyrządzone przez wirusy w sprzęcie to czysta, teoretyczna spekulacja. Nie istnieje żaden wirus, który mógłby obciążyć twardy dysk, monitor albo kartę graficzną do tego stopnia, że urządzenie to zostałoby uszkodzone. Natomiast możliwości ingerencji wirusów w oprogramowanie, czyli w pliki, systemy plików oraz obszary boot-sektorów, są teoretycznie nieograniczone. Jednakże w praktyce wiele autorów wirusów rezygnuje ze stosowania drastycznych procedur destrukcyjnych, ponieważ w ten sposób wirus niszczyłby sam teren swojego działania (niektórzy być może także z pobudek etycznych).
Aby zagwarantować wirusom możliwość rozpowszechniania się, ich autorzy preferują raczej słabo zauważalne zmiany w danych albo bomby zegarowe, które przed zniszczeniem danych i wykryciem infekcji dają wirusowi trochę czasu na rozmnożenie się.
W poniższym zestawieniu zamieściłem wirusy, kt6re są aktualnie najszerzej rozpowszechnione i scharakteryzowałem w niewielu słowach ich procedury destrukcyjne:
Parity Boot ⇒ zawieszanie się systemu
Form ⇒ nieszkodliwy
Tai-Pan ⇒ nieszkodliwy
Antiexe ⇒ kłopoty z twardym dyskiem
Tremor ⇒ zawieszanie się, kłopoty z twardym dyskiem
Ripper ⇒ zachowywanie nieprawidłowych wartości bajtów
Quickie 1376 ⇒ nieszkodliwy
Junkie ⇒ nieszkodliwy
Tequila ⇒ nieszkodliwy
Michelangelo ⇒ formatuje twardy dysk 6-go marca
AntiCMOS ⇒ zmienia ustawienia BIOS-u
Delwin 1759 ⇒ uniemożliwia uruchomienie systemu Windows
17. Co robić w przypadku Infekcji?
Jak powinieneś zareagować, gdy zauważysz objawy zarażenia systemu przez wirusy?
Zachowaj otwarte pliki i natychmiast wyłącz komputer. W żadnym przypadku nie uruchamiaj żadnych programów, nawet skanera antywirusowego. Jeżeli Twój komputer figuruje także jako serwer w sieci peer-to-peer, wówczas będzie najlepiej odłączyć kabel sieciowy. Następnie uruchom ponownie komputer stosując do tego dyskietkę startową. Aby tego dokonać, musisz z reguły przełączyć najpierw w BIOS-ie kolejność napędów na ,,A:, C:". Po uruchomieniu systemu z dyskietki uruchom skaner antywirusowy (z tej samej albo z innej, która ze 100% pewnością nie posiada jakichkolwiek wirusów) i skontroluj wszystkie dane. Jeżeli skaner antywirusowy rzeczywiście potwierdzi Twoje podejrzenie komunikatem o znalezieniu wirusa, sporządź kopie zapasową danych na nowy nośnik. Użyj do tego celu znajdujący się na dyskietce systemowej program Xcopy albo program kompresujący dane.
Także i inne pliki mogą zawierać bardzo ważne, wręcz nieodzowne dane, które jest łatwo przeoczyć w panującym, zresztą zrozumiałym pośpiechu - przykładowo mogą to być szablony dokumentów, pliki wsadowe, zbiory konfiguracyjne. Nie spiesz się przy tworzeniu zapasowej kopii danych, ale nie kopiuj plików programowych (EXE i COM).
Zadanie usunięcia wirusów możesz teraz przekazać programowi antywirusowemu albo przejąć je i własnoręcznie dokonać tej operacji. W każdym razie poleć systemowi, aby wydrukował lub zachował na dyskietce plik raportowy, który wygenerowały program antywirusowy, informujący o naprawionych i skasowanych zbiorach, Dzięki temu będziesz ewentualnie mógł ręcznie skopiować brakujące lub nieprawidłowo naprawione zbiory. Jeżeli posiadasz całkowitą kopię zapasową twardego dysku, wówczas powinieneś zawsze zamiast usuwania wirusów wybierać skasowanie zarażonych plików. Usuwanie wirusów nie jest metodą absolutnie pewną - a skasowane pliki można przecież szybko odtworzyć przy pomocy zapasowej kopii.
18. Niepotwierdzone podejrzenie.
Co powinieneś zrobić, jeżeli skaner nie znajdzie wirusów, lecz pomimo to obawiamy się, że nasz system jest zarażony?
Przede wszystkim zachowaj wszystkie istotne pliki użytkownika łącznie ze zbiorami konfiguracyjnymi - najlepiej wszystkie pliki oprócz zbiorów programowych EXE i COM. Istniejących ewentualnie wirusów boot-sektora możesz pozbyć się postępując według opisanych reguł.
Inaczej sprawa wyg1ąda w przypadku nie wykrytych wirusów plikowych. Pożycz od kogoś jeden lub dwa inne, aktualne skanery antywirusowe, po czym skontroluj nimi wszystkie piki. Jeżeli ta operacja nie przyniesie rezultatu, wówczas powinieneś zastosować metodę sum kontrolnych oferowaną przez program antywirusowy, aby mieć obraz wszystkich zmian przeprowadzanych na plikach programowych. Możesz również prowadzić protokół dotyczący pamięci i danych, korzystając z środków DOS~owych. Załóż. za pomocą poleceń
dir/s \*.exe > \files1
dir/s \*.com » \filesl
listy plików, których zawartość będziesz mógł porównać następnego dnia z nowymi listami wprowadzając polecenie
fc files1 lles2
Różnice w plikach potwierdzą twoje podejrzenia. Niektóre wirusy, które zaznaczają zarażone programy przez zmianę ich daty, można wykryć na podstawie testu poleceniem Xcopy:
xcopy /p/d:1.1.2000/s c:\*.* a:\
Wyświetlone piki posiadają datę ostatniej modyfikacji sięgającą XXI wieku - są one z niemałą pewnością zarażone.
Zarażone programy powinieneś wysyłać do producenta oprogramowania antywirusowego, które znajduje się w Twoim posiadaniu, z prośbą o analizę i podanie sposobu usunięcia wirusa. Jeżeli korzystasz z skanera shareware'owego albo nie posiadasz programu antywirusowego, prześlij zarażony plik nosiciela na adres Marka Sella (autora MkS_Vir), a zostanie dokładnie zbadany. Możesz wtedy poczekać na wynik analizy albo ręcznie skasować i na nowo zainstalować programy, które z pewnością uległy zarażeniu.
Pierwszym znanym wirusem, jak już wcześniej wspomniałem, był „Brain”. Był to wirus przenoszący się w pierwszych sektorach dysku. Infekował on jedynie dyskietki typu 5,25 cala. Wprowadzenie nowszych nośników w formacie 3,5 cala spowodowało, że wirus ten z czasem przestał istnieć. Jest to proces podobny jak w biologii: gdy umiera żywiciel umiera także wirus.
Dzisiejsze wirusy tego typu infekują zarówno dyskietki, jak i dyski twarde. I w tym momencie rozpoczyna się praktycznie niekończący się proces: gdy zarażony został dysk twardy, wirus przenosi się na wszystkie dyskietki, które umieścimy w napędzie danego peceta[PC(pecet) - z ang. Personal Computer - Komputer Osobisty) i zrobimy z nich użytek. Pierwsza infekcja - dysku twardego - następuje po umieszczeniu zarażonej dyskietki w napędzie i uruchomieniu komputera. I tak koło się zamyka: z dyskietki na dysk twardy, z dysku na wiele dyskietek, z wielu dyskietek na wiele innych dysków twardych itd.
Mimo letnich upałów, komputerowe wirusy sza1eją w Polsce. Oto kila przykładów (z kolekcji Marka Sella). Większość z nich wykrywa i niszczy program antywirusowy Marka Sella MkS_Vir.
1. Mr.Gu.G35
Prościutki, szyfrujący się wirus rezydentny plik6w typu COM. Zarażone zbiory rosną o 635 bajtów. Wirus nie zawiera żadnych pokazów, ani procedur destrukcyjnych. Pliki infekuje w czasie uruchamiania oraz w czasie zmiany
katalogu roboczego.
2. Silly.EXE.512
Prosty, nie rezydentny wirus plików EXE. Po uruchomieniu zarażonego programu, wirus przeszukuje katalogi w celu zainfekowania pliku EXE. Po infekcji, wielkość pliku rośnie o 512 bajtów plus wyrównanie do paragrafu. Nie zawiera procedur pokazowych, ani destrukcyjnych.
3. Kasiunia.Izh.4096
Ukrywający się wirus pików EXE. Zaraza zbiory uruchamiane i otwierane. Powiększa je o 4096 bajtów plus wyrównanie do paragrafu. Ma rozbudowane procedury pokazowe i destrukcyjne. Zaraża p11k c:\nc\nc.exe. Uniemożliwia uruchamianie programu TD.EXE, wyświetlając:
Dual memory access - uncorrect internal Turbo Debugger error.
Please run TD286.EXE towork without this error.
Nie pozwala ustawić 13. trybu wideo - zamienia go na 14. Losowo ,,zjada" naciśnięty klawisz. Po uruchomieniu, losowo ,,wyrzuca" do głównego katalogu plik kasiunia.lzh. Również w sposób losowy kasuje otwierane pliki.
4. WXYC
Wirus boot sektora dyskietek i na ogó1 boot sektora dysku C: (infekowany jest ,,na twardo" pierwszy sektor zerowej ścieżki pod pierwszą głowicą - może tam być boot-sektor partycji DOS-a, ale nie musi). Infekcja następuje w momencie próby ładowania systemu z zainfekowanej dyskietki (nie musi być skuteczna). W tym też momencie następuje zarażenie dysku twardego. Wirus rezyduje w 2 KB obszarze pamięci powstałym w wyniku zmniejszenia o tyle RAM-u dostępnego dla BIOS-u. Odtąd infekowane są wszystkie dyskietki w napędach A: i B:, do kt6rych dostęp następuje przy nie pracującym silniku napędu. Czasami podczas ładowania systemu z zainfekowanej dyskietki, pojawia się na ekranie napis: WXYC rules this roost!.
5. Marzia.2048.D
Wirus zarażający pliki EXE, COM oraz tablice partycji dysku C. Ukrywa swoją infekcję. Nie posiada procedur destrukcyjnych. W miesiącu 04 po dniu 25 wirus uniemożliwia uruchamianie niektórych programów antywirusowych. Zawiera w swym wnętrzu napisy (zaszyfrowane):
PISello tenere fuori dalla portata dei bambini.
PaxTibiQuiLegis, FaxFree!!
W zainfekowanym MBR pod ,,ofsetem" 3 jest widoczny napis: WW2OV.
6. Stealth_Boot.C
Ukrywający się (STEALTH) wirus boot sektora dyskietek i tablicy partycji twardego dysku. Rezyduje w 4KB obszarze pamięci powstałym w wyniku zmniejszenia o taką wielkość dostępnej pamięci dla BIOS-u. Wirus przejmuje obsługę przerwania int 13h - odwołań do dysku. W trakcie pierwszej instalacji w pamięci (po próbie ładowania systemu z zainfekowanej dyskietki) zarażany jest pierwszy dysk twardy. Następnie, przy każdym odczycie boot sektora zdrowej dyskietki, wirus infekuje ją. Fakt infekcji nie jest zauważalny na komputerze z wirusem aktywnym w pamięci.
Zajmujący wraz z oryginalną zawartością pierwszego sektora dysku sześć sektorów, kod wirusa przechowywany jest, począwszy od drugiego sektora twardego dysku lub w ostatnich sześciu sektorach dyskietki. W wypadku dyskietek, zajmowany obszar zaznaczany jest jako bad-clusters. Jeżeli obszar ten jest już na dyskietce zajęty, wirus odstępuje od infekcji. Na dyskietkach o pojemności 1,2 MB wirus błędnie wylicza sobie adres w tablicy FAT, pod którym należy dokonać modyfikacji, w wynika czego oznacza jako bad clusters, obszar o jeden cluster wcześniejszy. Ostatni sektor zawierający oryginalną zawartość boot-sektora, pozostaje nie chroniony i może ulec zamazaniu.
7. Flame
Wirus boot-sektora dyskietek i tablic partycji twardego dysku, podobny w sposobie działania do wirusa AZUSA.
Podczas ładowania systemu z zainfekowanej dyskietki instaluje się w pamięci i infekuje pierwszy twardy dysk. Od tej chwili zaraża wszystkie dyskietki w momencie pierwszego z nich odczytu. W ramach zakażania zastępuje oryginalny boot-sektor swoim kodem, chowając przedtem oryginalną jego zawartość w pierwszym sektorze na 25 ścieżce pod pierwszą głowicą. Może w tym momencie zniszczyć fragment jakiegoś zbioru. Ponieważ wirus odczytuje boot-sektor przy pierwszym odwołaniu do dyskietki, kiedy silnik napędu dyskietek nie obraca się, odczyty te bardzo często kończy się błędem przekroczenia czasu. Ponieważ wirus nie kontroluje czy operacja odczytu powiodła się, w takim przypadku schowa, zamiast oryginalnego boot-sektora, sektor zawierający same zera. Takich dyskietek nie daje się wyleczyć, można jedynie zsyntetyzować nowy boot-sektor lub skopiować go z innej dyskietki o takim samym formacie.
W zawirusowanym boot-sektorze nie jest zachowywana oryginalna zawartość tablicy opisu formatu dyskietki, dlatego dyskietki o niejednoznacznym Media Descriptor Byte (3,5 cala, czasami 5,25 cala HD) zaczną być traktowane przez DOS, jak niesformatowane.
Na twardym dysku wirus nie zachowuje oryginalnej zawartości tablicy partycji, kopiuje jedynie do swego wnętrza zawartość tablicy podziału dysku, a funkcje programu ładującego system przejmuje kod wirusa. Z tego powodu leczenie twardych dysków polega na zsyntetyzowaniu nowej zawartości tablicy partycji, a nie na odtworzeniu oryginalnej zawartości.
Wirus umieszcza w swoim sektorze datę infekcji potrzebną do spowodowania dodatkowego efektu wirusa. Polega on na tym, że w wypadku próby ładowania systemu z zainfekowanej dyskietki na komputerze z twardym dyskiem, zarażonym już co najmniej miesiąc temu, pokazywane są na ekranie tytułowe płomienie, po czym zamazywana jest zawartością boot sektora dyskietki, tablica partycji twardego dysku, co czyni go nieczytelnym.
8. Tequiliia.2468
Jeden z nielicznych wirusów, których historia jest dobrze znana. Napisany przez dwóch młodych Szwajcarów w 1991 roku. Ojciec jednego z nich zajmował się rozpowszechnianiem programów shareware. Chłopcy zainfekowali mu dyskietki dystrybucyjne. Między innymi dlatego wirus w bardzo krótkim czasie rozprzestrzenił się na cały świat. Ciekawostką jest, że policja szwajcarska zlokalizowała sprawców, ale okazało się, że lokalne prawo nie daje podstaw do pociągnięcia ich do odpowiedzialności karnej.
Jak sama nazwa mówi ma on 2468 bajtów długości. Infekuje tablice partycji twardych dysków i niektóre pliki EXE. W szczególności pomija pliki, które w nazwie mają znaki V lub S.C. oraz te, których suma kontrolna znajduje się na specjalnej liście przechowywanej przez wirusa.
W systemach bez twardego dysku wirus ten nie mnoży się. Co prawda umieszcza swój kod w pamięci, ale nie przejmuje kontroli nad komputerem. Po uruchomieniu z twardego dysku zmniejsza obszar pamięci dostępnej dla DOS o 3 KB i infekuje uruchamiane pliki EXE.
Wirus stosuje techniki ukrywania swojej obecności. Robi to nie całkiem poprawnie. Jeśli wirus jest aktywny w systemie, to komenda DIR wykaże, że w pewne pliki EXE uległy skróceniu! Po starcie z czystej dyskietki systemowej będzie widoczne standardowe powiększenie rozmiarów plików.
Tequilla Zmienne procedury szyfrujące. Autorzy nie wymyślili niczego oryginalnego i wirus może być wykrywalny za pomocą dwóch sygnatur z symbolami globalnymi. Jeśli od czasu infekcji upłynęły co najmniej trzy miesiące i dzień miesiąca pokrywa się z dniem, w którym nastąpiła infekcja, to co czwarty uruchamiany program (niezależnie od typu i od tego, czy jest zarażony) po swoim zakończeniu wyświetli na ekranie kolorowy fraktal Mendebrota. Następnie w lewym górnym rogu pojawi się komunikat :
Execute: mov ax, FE03 / Int 21. Key to go on!
Wykonanie tego polecenia wymaga posłużenia się specjalnym programem lub przynajmniej debuggerem. Spowoduje ono wyświetlenie komunikatu :
Welcome to T. Tequila's latest production.
Contact T. Tequila/P. o. Box 543/6312
St'hausen/Switzerland.
Loving thoughts to L. I. N. D. A
BEER and TEQUILA forever!
Świat komputerowych wirusów to światowa dżungla, a nawet jeśli nie - to przynajmniej bogaty w okazy ogród zoologiczny. Pomimo popularności oprogramowania antywirusowego złośliwe programy mnożą się w zastraszającym tempie. Nowe „gatunki” pojawiają się w liczbie około 300 - 500 miesięcznie, a badacze zjawiska podają, że łączna liczba zidentyfikowanych do dziś wirusów to blisko 25 000 ( na miesiąc grudzień 1999). Wzrost popularności poczty e-mail i ilość software'u ściąganego z sieci sprawiają, że zwiększa się groźba infekcji. Tylko około 300 - 500 wirusów żyje obecnie „na wolności”. Ale nie należy się cieszyć, które grasują w naszych komputerach mogą wyrządzić naprawdę wiele szkód, zmarnować nam wiele czasu i nerwów oraz spowodować ogromne straty. Opierając się na danych z International Computer Security Association szanse na to, że zainfekowany zostanie właśnie nasz komputer wynoszą 1 do 30. Zatem np. jeżeli w jakieś firmie jest ok. 100 komputerów, aż 3 z nich najprawdopodobniej zetkną się z problemem wirusów jeszcze w tym miesiącu.
Na rynku dostępnych jest wiele programów antywirusowych, ich zakup wiąże się jednak z niemałym wydatkiem finansowym. Ponieważ nie ma ceny, której nie można by zapłacić za bezpieczeństwo danych w komputerze, dlatego też wszelkiego rodzaju instytucje, firmy czy placówki oświatowe powinny inwestować w tego typu narzędzia. W przypadku użytkowników indywidualnych, przy zachowaniu odpowiedniej profilaktyki, w zupełności wystarczają programy antywirusowe dostępne w wersjach demo, shareware i freeware. Zwykle są one dostępne w sieci INTERNET oraz na płytach, które są dołączane do popularnych czasopism komputerowych. Dobrze byłoby jednak mieć „porządny” program antywirusowy na swoim pececie.
Jak wynika z testów, przeprowadzanych przez różne gazety komputerowe, firmy produkujące takie programy oraz specjalistów zajmujących się tym zjawiskiem, większość zaawansowanych programów antywirusowych zabezpiecza skutecznie przed atakiem żyjących współcześnie wirusów, a także zapewnia wykrycie nawet tych najnowszych, które zaledwie się narodziły. Dobrze, dobrze - powie ktoś - ale jeśli wszystkie wykonują swoje zadania rzetelnie, jak wybrać jeden spośród dostępnych na rynku?
Programy antywirusowe różnią się między sobą bardzo wyraźnie. Niektóre są zaprojektowane w sposób zapewniający łatwą aktualizację zestawu rozpoznawalnych sygnatur - kodów, po których poznają wirusy(skuteczność w zakresie odkrywania ich nowych odmian zależy właśnie od tego, jak świeża - aktualna - jest kolekcja sygnatur). Inne oferują atrakcyjny interfejs, Szybkie przeszukiwanie, dobrą dokumentację. Najlepsze z nich mają jednak wszystkie te cechy jednocześnie. W ciągu minionego roku rynek programów antywirusowych skonsolidował się i uległ pewnym zmianom. Najpierw firma Network General wykupiła Dr Solomon i połączyła swoje siły z Mc Afee. Powstały koncern, nazwany Network Associates, przygotowuje kolejne wersje pakietu Mc Afee, wykorzystując technologie z Dr Solomon (oba produkty, jak dotąd są oferowane oddzielnie, w przyszłości Dr Solomon może zniknąć z rynku). W tym samym czasie jeden z największych rywali Mc Affe - Symantec kupił prawa do technologii antywirusowych IBMAntiVirus i wykorzystał to w najnowszej wersji NortonAntyVirus. Pod koniec ubiegłego roku Symantec wykupił także firmę Quarterdeck, producenta ViruSweep. Do tej pory nie jest jednak zbyt jasne, czy Symantec zamierza kontynuować linię produktów Quarterdeck.
Chociaż na rynku istnieje wiele popularnych programów antywirusowych, np. AntiVirenKit firmy G Data Software, Norton AntiVirus firmy Symantec czy VirusScan firmy Mc Affe/Network Associates, to w Polsce od wielu lat najpopularniejszym programem tego typu jest Mks_Vir. Obecnie na rynku istnieją dwie wersje tego programu - Mks_Vir dla systemu DOS oraz Mks_Vir dla Windows 98. W obydwu przypadkach producentem programu jest firma Mks.
Antywirusowy kombajn czyli AntiVirenKit 9 firmy G data Software.
Pakiet ten składa się z wersji do Windows 95/98, NT Workstation i DOS (ostatnia działa w trybie wsadowym lub z interfejsem graficznym). Jak informuje producent, program rozpoznaje ponad 46000 wirusów. Istnieje możliwość automatycznego usuwania wirusów lub zarażonych plików. AntiVirenKit zabezpiecza spakowane archiwa danych (pliki ZIP, ARJ, RAR, LHA itp.), a także makra wielu aplikacji (np. Word, Excel, Fox Pro). Opracowany w języku polskim interfejs programu (w wersji do środowiska Windows 95/98/NT ) jest podobny do klienta pocztowego Microsoft Outlook. Pasek narzędzi z lewej strony okna pozwala szybko wybrać tryb pracy programu. Możliwa jest analiza natychmiastowa, periodyczna, aktualizacja bazy wirusów przez Internet. Opcjonalny, działający w tle strażnik monitoruje wszystkie operacje zapisu na dysku. Jeśli wykrycie obecności wirusa (np. w zbiorze pobranym z Internetu), automatycznie blokuje dostęp do zainfekowanego pliku. Zbiory zarażone wirusami, które nie mogą być usunięte, są umieszczane w zaszyfrowanej postaci w folderze Kwarantanna.
W trybie analizy referencyjnej program zlicz sumy kontrolne plików i porównuje je z wynikami uzyskanymi podczas następnego skanowania zasobów. Niezgodność sum oznacza przypuszczalne zakażenie określonego pliku. Dostępna jest również możliwość analizy heurystycznej, która umożliwi wykrycie nowych mutacji wirusów na podstawie kodu używanego w tego rodzaju programach. Wszystkie operacje wykonywane przez program mogą być protokołowane w plikach tekstowych, które można przeglądać i drukować z poziomu AntiVirenKita. Ponadto użytkownik ustala czynności, jakie są wykonywane w przypadku wykrycia wirusa. Opcja analizy periodycznej pozwala określić dokładne terminy skanowania dysków (lub wybranych katalogów) lub odstępy czasu, w których program ponawia operację sprawdzania zasobów. W planowaniu analizy pomaga dołączony asystent.
Podczas instalacji AntiVirenKIt proponuje utworzenie dyskietki sterowej, która umożliwia bezpieczne wczytanie systemu, gdy zainfekowany zostanie sektor startowy dysku twardego. Podobnie jak poprzednie wersje, program został wyposażony w leksykon obejmujący fachową terminologię i opisy 6500 najczęściej spotykanych wirusów. System pomocy i instrukcja obsługi są po polsku, co ułatwia mało zaawansowanym użytkownikom zapoznanie się z problematyką wirusów komputerowych. Dodatkowym ułatwieniem dla zarejestrowanych użytkowników jest bezpłatna infolinia producenta, dzięki której można uzyskać informacje wirusów i sposobów ich zwalczania.
Program można kupić w trzech wariantach. W wersji podstawowej do pakietu dołączona jest jednokrotna aktualizacja bazy wirusów przez Internet. Serwis profesjonalny obejmuje całoroczny abonament w postaci 12 aktualizacji (internetowych), serwis specjalny zaś - 52 aktualizacje i 6 płyt CD-ROM przesyłanych do klienta w ciągu roku. Aktualizację można zainicjować bezpośrednio z okna AntiVirenKit.
McAfee VirusScan 4.0 .
Network Associate i Symantec zdążyły nas już przyzwyczaić do niemal równoczesnego wypuszczania na rynek nowych wersji swych produktów - McAfee VirusScan i NortonAntivirus - jedna po drugiej. Można się już czuć nieco zmęczonym tym wachlowaniem numerkami wersji, zwłaszcza że kolejne edycje zawierają tylko drobne udoskonalenia i poprawki. Jednak tym razem Network Associates w McAfee VirusScan 4.0 bardziej zdecydowane zmiany. Program jest teraz wyposażony w lepszy interfejs oraz kilka nowych i ciekawych właściwości.
Poprzednie wersje programu otrzymywały wysokie noty za efektywność, lecz ich wygląd pozostawiał wiele do życzenia. Poprawne ustawienie wszystkich opcji programu nie było łatwe. Wersja 4.0 jest pod tym, a także innymi względami, bardziej dopracowana.
McAfee VirusScan Central, podręczny zintegrowany panel kontrolny aplikacji, daje użytkownikowi szybki dostęp do narzędzi oraz systemu pomocy. VirusScan Central informuje użytkownika o tym, sygnatury wirusów należy uaktualnić oraz proponuje, kiedy może wykonać operację poszukiwania wirusów w systemie. Podobnie jak u konkurenta (Norton AntiVirus), aktualizacja sygnatur wirusów odbywa się automatycznie za pośrednictwem Internetu i są nielimitowane. (Symantec ostatnio ogranicza możliwość darmowego ściągania plików aktualizujących do jednego roku od momentu rejestracji pakietu).
VirusScan 4.0 zabezpiecza komputer przed złośliwymi wirusami-apletami ActiveX i Java pochodzącymi z Sieci. Może nawet zablokować dostęp do serwisów internetowych, co do których istnieje podejrzenie, że są zainfekowane wirusami. Aktualizacja automatycznie skanuje ściągane pliki i przesyłki poczty elektronicznej szukając wirusów w załącznikach.
Jeżeli użytkownik nie potrafi sobie poradzić z właściwym ustawieniem wszystkich opcji - ma do dyspozycji kreator, który pomoże, krok po kroku, ustawić większość z nich.
Zmiany w McAfee VirusScan 4.0 nie są aż na tyle rewolucyjne, aby sprawić, że użytkownicy konkurencyjnego NortonAntiVirusa zmienią nastawienie. Jednak wielu „nowicjuszy”, porównując możliwości obu programów, może zdecydować się na VirusScan 4.0, jako że jest on znacznie łatwiejszy w obsłudze niż konkurent, a oferuje podobne właściwości.
Norton AntiVirus Solution .
Akurat ten produkt z serii Norton AntiVirus przeznaczony jest głównie dla firm, jako że zawiera zestaw programów antywirusowych dla większości platform systemowych : DOS, Windows 95/98/NT, MacOS i OS/2. Cały pakiet podzielony jest na 4 części : Desktop, Server, Gateway i Administration, które zawierają odpowiednie urządzenia do nadzoru nad bezpieczeństwem danych na kolejnych „piętrach” systemu : komputerach poszczególnych użytkowników, serwerach, maszynach administratorów i komputerach bezpośrednio połączonych z Siecią. Znajdziemy tu także programy przeznaczone do systemów pracy grupowej : Norton AntiVirus for Microsoft Exchange 1.5 i Norton AntiVirus for Lotus Notes 1.0.
Panda Antivirus 6.005 Platinum
ZA : Czytelny interfejs, szybkie działanie, łatwość aktualizacji.
PRZECIW : Problemy z wykrywaniem makrowirusów, dużo fałszywych alarmów.
Jeden z popularniejszych pakietów antywirusowych w Europie. Mimo, że w testach ta wersja programu odnalazła wszystkie popularne wirusy boot-sektora, plikowe i polimorficzne, wykryła tylko 94,1 % powszechnie spotykanych makrowirusów. To niewiele w porównaniu z innymi wiodącymi programami antywirusowymi. Poza tym pakiet aż 12 razy sygnalizował wykrycie wirusa w zdrowych plikach - zdarzało się to znacznie częściej niż w innych programach. Pewną pociechą jest informacja producenta, że pracuje nad ulepszeniem swojego antywirusa.
Dużym plusem jest tu szybkość działania. Także pod innymi względami Panda wypada dość dobrze. Dobry, czytelny interfejs wyposażono w duże okno ststusowe,w którym znajdziemy wszystkie niezbędne informacje na temat tego, czym zajmuje się w danej chwili program. Zabezpieczeniu antywirusowemu podlegają tu także dane pobierane z Sieci. Panda monitoruje informacje przesyłane z użyciem protokółów POP i HTTP, co na pewno zwiększa bezpieczeństwo naszego komputera. Firma produkująca zapewnia także darmową i dożywotnią aktualizację produktu.
Szkoda jednak, że o pewnych sprawach nie pomyślano w ogóle. Aby kazać programowi sprawdzić konkretny napęd dyskowy trzeba poświęcić na to dobrą chwilę.
Sophos Anti-Virus 3.13.
ZA: Wspaniała ochrona antywirusowa, wygodne programowanie czasów kolejnych sprawdzeń, wygodny interfejs.
PRZECIW : Drogi, skomplikowany sposób usuwania wirusów.
Shopos cieszy się wspaniałą reputacją dzięki antywirusowym instalacją sieciowym. Niestety, samodzielny produkt jakim jest omawiany program, nie jest najlepszym wyborem. Pomijając już kwestię wysokiej ceny nie dobrze przedstawia się możliwość uaktualnienia. Program można jednak polecić firmą, które chciałyby zadbać o bezpieczeństwo sieci.
Shopos radzi sobie bardzo dobrze z wykrywaniem komputerowych bakcyli. Zarówno jeśli chodzi o odnajdywanie spotykanych powszechnie wirusów, jak i egzemplarzy „zoologicznych” (spotykanych bardzo żadko lub tylko w specjalnych kolekcjach) zbiera wysokie noty. Niestety, kiedy dochodzi do naprawy zainfekowanych zbiorów, sposób pracy pakietu nie jest już tak imponujący. Producent wyznaje zasadę, że nie powinno się w ogóle naprawiać zarażonych wirusami plików. Efekt? Sophos oferuje tylko dwie możliwości wybrnięcia z sytuacji, w której odnaleziony został zarażony plik. Pierwsza polega na zmianie jego nazwy (przez co nie można już go uruchomić, a dalszy postęp „choroby” jest zatrzymywany). Druga polega na jego usunięciu. Poza tym, sposób w jaki zachowuje się pakiet po wykryciu wirusa boot-sektora AntiEXE pozostawia wiele do życzenia.
Należy pamiętać, że świat wirusów ewaluuje bardzo szybko. Wciąż obecne są wirusy boot-sektorowe jak Form czy AntiEXE. Swoją popularność zawdzięczają częstej wymianie dyskietek między użytkownikami komputerów. Wirusy plikowe straciły nieco na znaczeniu i obecnie spotyka się je rzadziej niż kilka lat temu. Wirusy HTML, a więc teoretycznie mogące czaić się w kodach stron WWW jakie oglądamy, zostały odkryte pod koniec 1998 roku. Prawdziwy rozkwit w ciągu ostatnich dwóch lat przeżywają natomiast makrowirusy. Jest to zasługa tego, że mogą roznosić się wraz z dokumentami jaki udostępniamy z zainfekowanego komputera(wliczając załączniki do listów e-mail). Szczególne nasilenie ich ataków obserwować można w ciągu ostatnich miesięcy. Według danych ICSA, stanowią one ponad 80% wszystkich przypadków infekcji.
Z opisem innych (niż umieszczonych poniżej) programów antywirusowych można spotkać się na stronie Joe Wellsa - eksperta - zajmującego się życiem i rozwojem złośliwych programików już od dawna: www.wildlist.org
Producent: G Data Software
78-400 Szczecinek
ul. 28 Lutego 34
tel. (0-94) 3742330
faks (0-94) 3742333
Producent: Network Associates
Informacje: BlueBridge, 02-660 Warszawa, ul. Irysowa 1, tel. (0-22) 8430005, www.mcafee.com, www.bluebridge.com.pl
Producent: Symantec
Informacje: Symantec, 00-867 Warszawa, al. Jana Pawła II 29, www.symantec.com/region/pl, www.symantec.com
8