Praca kontrolna
Przedmiot: Informatyka
Temat pracy:
Typy wirusów komputerowych i ich sposób działania, metody ochrony przed wirusami
Spis treści:
Wstęp
Dla potencjalnego internauty Internet jest skarbnicą wiedzy, jednak z korzystania z tego dorobku ludzkości mogą płynąc także zagrożenia. Wielu internautów twierdzi, że ich komputer nie może zostać zaatakowany, ponieważ w sieci są miliony innych komputerów, w tym o wiele atrakcyjniejszych dla włamywacza serwerów znanych portali, firm etc.
Jednak jest to błędne rozumowanie, ponieważ żaden włamywacz nie zawraca sobie głowy ręcznym przeglądaniem sieci w poszukiwaniu liczących się potencjalnych ofiar. Do takich żmudnych zadań można przecież zaprząc maszyny - tak jest zarówno łatwiej, jak i szybciej. Dobry skaner potrafi w ciągu godziny sprawdzić setki tysięcy adresów. W wyniku tego działania powstaje lista stanowiąca wykaz komputerów, które niemalże proszą: „włam się do mnie!”. Dowodem na to, że włamywacze nie próżnują jest wirtualne „Muzeum Włamań” na stronie www.artur.pl/muzeum.html.
Wirusy komputerowe potrafią wprowadzić z równowagi każdego. Kiedy stanie się jasne, że w komputerze znajduje się wirus, zdenerwuje się zarówno doświadczony użytkownik, jak i taki, który dopiero zaczyna pracę z komputerem.
Celem tych niewielkich, lecz czasami niezwykle szkodliwych programów jest najczęściej kasowanie cennych informacji znajdujących się na dysku lub na innym nośniku danych. Kto nie zna jeszcze uczucia pojawiającego się w momencie odkrycia obecności wirusa, ten być może nawet nie ma u siebie żadnego programu antywirusowego. Kogo natomiast problem ten zdążył już dotknąć, ten z pewnością dmucha na zimne, trzymając w pogotowiu kilka podobnych narzędzi.
Oczywiście najlepiej nie przesadzać ani w jedna, ani w drugą stronę, zachowując należyty spokój, ale i ostrożność. Warto mieć pod ręką dobry program antywirusowy na wypadek pojawienia się ewentualnego zagrożenia. W tym dziale znajdziesz podstawowe informacje związane z wirusami, dowiesz się jak powstają i jak należy z nimi walczyć.
Historia
Wirus komputerowy to przede wszystkim program jak każdy inny. Jego kod źródłowy składa się z listy poleceń i parametrów, ponieważ jest napisany w jednym z języków programowania. I tak jak inne programy także i wirusy komputerowe służą do wykonywania określonych zadań. Z tą jednak różnicą, że ich działanie ma szkodzić innym. Poza tym dysponują one jeszcze jedną istotną cechą, znacznie odróżniającą je od innych programów: automatycznie tworzą własne kopie, podobnie jak prawdziwe wirusy czy bakterie, i stąd właśnie nazwa tych specyficznych programów. Pomysł napisania programu, który sam będzie tworzył własne kopie, nie jest nowy. Od ponad 50 lat problem ten stanowi obiekt badań wielu specjalistów zajmujących się tworzeniem programów, które potrafią się automatycznie reprodukować, czyli tworzyć własne kopie. Powstała nawet idea opracowania programów dysponujących własnym choć sztucznym życiem.
W laboratorium informatycznym w Palo Alto w Kalifornii w latach 70 tych, opracowano specjalny program, którego zadaniem miało być automatyczne poruszanie się w sieci i sprawowanie kontroli nad funkcjonowaniem podłączonych do niej komputerów. Niestety, stracono kontrole nad jej działaniem i w efekcie sieć padła. Po tym zdarzeniu eksperyment przerwano.
Pierwszy wirus komputerowy napisany dla komputera osobistego nosił nazwę Brain i został odkryty w 1987 roku. Jego autorzy, dwaj bracia z Pakistanu, zamierzali przy jego użyciu ukarać wszystkich użytkowników posiadających na swoich komputerach nielegalne oprogramowanie. Oczywiście pierwszy wirus nie był specjalnie groźny. Zmieniał jedynie etykietę zainfekowanej dyskietki na c-Brain (etykieta dyskietki to jej nazwa - aby ją zobaczyć w systemie Windows, po umieszczeniu dyskietki w napędzie kliknij ikonę "Mój komputer", a następnie kliknij lewym klawiszem na ikonie dyskietki i wybierz "Właściwości").
Już w rok później pojawiły się kolejne wirusy. Ich autorami byli zazwyczaj studenci informatyki, dla których pisanie wirusów zarażających dyski twarde innych użytkowników było wspaniałą zabawę. Objawem działania większości wirusów jest z reguły wyświetlanie komunikatów o błędach, braku pamięci dla uruchamianego programu, informacje o autorze wirusa, odgrywanie prostych melodii lub prezentowanie innych podobnych efektów na ekranie monitora. Na przykład wizytówka legendarnego wirusa Cookie, który pojawił się w roku 1988 na komputerach Macintosh, była uśmiechnięta twarz wyskakująca nagle na środek ekranu. Znikała po wpisaniu słowa "Cookie" wydając odgłosy uznawane za nieprzyzwoite przy jedzeniu. Wielu innych wirusów nie można się jednak pozbyć tak łatwo.
Działanie niektórych z nich powoduje ponadto znaczne szkody. Najczęściej niszczą dane, uszkadzają zawartości plików lub zniekształcają zapis danych na dysku.
Jeszcze w 1990 roku znanych było jedynie kilkadziesiąt wirusów. Lecz już w rok później rozpoznawano ich około 200, a obecnie są to już setki tysięcy. Powodem wciąż wzrastającej liczby wirusów komputerowych jest nieustanne powstawanie zmodyfikowanych kopii istniejących już wirusów.
Napisanie całkiem nowego wirusa nie jest rzeczą prosta. Stąd wielu programistów korzysta z obecnych wersji i używając części ich kodu tworzy kolejne egzemplarze. Nierzadko zmieniają oni jedynie treść tekstu komunikatów informacyjnych wyświetlanych przez wirusy.
Mimo istnienia bardzo wielu różnych wirusów, jedynie niektóre z nich stanowią prawdziwe niebezpieczeństwo. Są też takie, które z kolei w ogóle nie pojawiają się w komputerach innych użytkowników - pozostają znane jedynie ich autorom i czasami tylko kilku innym osobom. Zdarza się też tak, iż są one napisane na tyle kiepsko, że nie są w stanie nawet tworzyć własnych kopii. Te z czasem same znikną.
Rodzaje wirusów
Wirusy pasożytnicze (ang. Parasite infectors)
Większość wirusów to wirusy pasożytnicze, które wykorzystują swoje ofiary do transportu, modyfikując ich strukturę wewnętrzna. Ze względu na miejsce zajmowane w zainfekowanych plikach wirusy pasożytnicze dzieli się na:
Wirusy nadpisujące (overwrite infectors), lokujące się na początku pliku, często nie zapamiętujące poprzedniej zawartości pliku (co w efekcie nieodwracalnie niszczy plik)
Wirusy lokujące się na końcu pliku (End of file infectors), najbardziej rozpowszechniona odmiana wirusów pasożytniczych, które modyfikują pewne ustalone struktury na początku pliku tak, aby wskazywały na wirusa, po czym dopisują się na jego końcu;
Wirusy nagłówkowe (header infector), lokujące się w nagłówku plików EXE przeznaczonych dla systemów DOS; wykorzystujące fakt, iż nagłówek plików EXE jest standardowo ustawiony przez programy linkujace na wielokrotność jednego sektora (512 bajtów). Zwykle wirusy te nie przekraczają rozmiaru jednego sektora i infekują poprzez przejęcie funkcji BIOS służących do odczytu i zapisu sektorów (02,03/13)
wirusy lokujące się w pliku w miejscu gdzie jest jakiś pusty, nie wykorzystany obszar (np. wypełniony ciągiem zer), który można nad pisać nie niszcząc pliku
wirusy lokujące się w dowolnym miejscu pliku
Wirusy wykorzystujące cześć ostatniej Jednostki Alokacji Pliku JAP, korzystające z faktu, iż plik rzadko zajmuje dokładnie wielokrotność jednej JAP.
Wirusy towarzyszące
Ich działanie opiera się na hierarchii stosowanej przez DOS podczas uruchamiania programów. W momencie uruchamiania programu, w przypadku nie podania rozszerzenia uruchomianego pliku, najpierw poszukiwany jest plik o rozszerzeniu COM, potem EXE, a na końcu BAT. Np.: jeżeli w jednym katalogu istnieją 3 pliki: prog. bat, prog. com, prog.exe to kolejność ich uruchomienia będzie następująca: prog.com, prog.exe, prog.bat. Plik prog.com uruchomi się gdy podamy nazwę z rozszerzeniem com. lub bez. Prog.exe uruchomimy gdy podamy pełna nazwę bądź poprzez uprzednie usunięcie pliku prog.com. Prog.bat uruchomimy gdy usuniemy poprzednie pliki prog.com i prog.exe lub wpiszemy jego pełna nazwę prog.bat. Jak widać wirus ma kilka możliwości, aby zainfekować uruchamiany program:
Istnieje plik com.: nie można zastosować infekcji;
Istnieje plik exe.: można utworzyć plik o takiej samej nazwie, o rozszerzeniu com, zawierający wirusa;
istnieje plik bat: można utworzyć plik o takiej samej nazwie, o rozszerzeniu com lub exe, zawierający wirusa;
Następna próba uruchomienia tak zarażonego programu spowoduje najpierw uruchomienie podszywającego się pod program wirusa, a dopiero ten, po zakończeniu pracy, przekaże sterowanie do programu macierzystego, najczęściej poprzez wywołanie programu interpretatora poleceń z parametrem: C/NazwaPlikuOfiary.
Makrowirusy
Makrowirusy nie zarażają programów uruchamialnych, lecz pliki zawierajęce definicje makr. Najpopularniejsze obiekty infekcji to pliki DOC (dokumenty: Word), XLS (arkusze kalkulacyjne: Excel), SAM (dokumenty: AmiPro). Do mnożenia się makrowirusy wykorzystują funkcje zawarte w językach makr, wbudowanych w powyższe aplikacje, np.; WordBasic w Microsoft Word lub Visual Basic for Applications w Excelu. Wirusy makro potrafią dokonywać zmian w naszych dokumentach: przestawiać literki, cos dopisywać, cos skasować. Robia to długo i niezauważalnie, a potem nagle okazuje się, że cos nie gra w budżecie firmy przygotowanym w Excelu. Kopie zapasowe też sa zakażone. Makrowirusy należą do najmłodszej rodziny wirusów. Makrowirusy Worda wykorzystują fakt, że szablony dokumentów mogą zawierać makra. Wirus uaktywnia się w chwili otwarcia zainfekowanego dokumentu, po czym zaraża zdrowe zbiory z rozszerzeniem *.doc. i zapisuje je jako szablony (dokumenty nie mogą zawierać makr). W ostatnim kroku jedno lub kilka automatycznie wykonywanych makr zostaje zastąpionych kodem wirusa. Makrowirus zagnieżdża się zwykle w szablonie normal.dot, zatem każdy kolejny zapisany dokument staje się nośnikiem infekcji.
Bomby logiczne
Bomba może pozostać w ukryciu przez długi czas, swoje działanie ukazuje w określonym odpowiednimi warunkami czasie (najczęściej zależne od aktualnej daty lub liczby poprzednich wywołań programu, czy np. skasowanie określonego pliku). Kod może być ukryty w dowolnym miejscu programu zawierającego bombę, więc należy ostrożnie obchodzić się z aplikacjami pochodzenia nieznanego. Bomba logiczna może badać, którzy użytkownicy są zalogowani lub, jakie programy są w danej chwili używane w systemie. W jednym z klasycznych przykładów, bomba logiczna sprawdzała występowanie numeru identyfikacyjnego określonego pracownika, a następnie uruchamiała się, jeśli numer ten nie pojawiał się na dwóch kolejnych listach płac. Raz zaktywizowana, bomba logiczna może doprowadzić do zniszczenia lub zmiany danych, spowodować zawieszenie urządzenia lub, w jaki inny sposób uszkodzić system.
Robaki ( ang. worms)
Są to program, które podobnie jak wirusy mogą zawierać procedury destrukcyjne i z łatwością mogą zniszczyć dane zgromadzone na dysku twardym. Robaki są najbardziej popularne w sieciach, gdzie maja do dyspozycji protokoły transmisji sieciowej, dzięki którym mogą przemieszczać się po całej sieci. Do prawidłowego funkcjonowania nie potrzebują nosiciela (wytwarzając swoje dokładne kopie). Rozmnażają się samoistnie i w sposób ciągły, powodując w bardzo krótkim czasie wyczerpanie zasobów systemu. Wirusy tego typu są zdolne w bardzo krótkim czasie sparaliżować nawet dość rozległa sieć komputerowa. Należą do wirusów chyba najczęściej spotykanych, są uruchamiane przez nasza głupotę bądź niewiedzę. Po uruchomieniu wykorzystują np. adresy osób z książki adresowej programu pocztowego i wysyłają do nich swoje kopie.
Króliki ( rabbits, bakterie)
Są to programy, które w zasadzie nie niszczą plików. Ich jedynym celem jest samokopiowanie. Typowy program w rodzaju bakterii lub królika może nie robić nic więcej niż jednoczesne uruchomienie dwóch swoich kopii w systemach wieloprogramowych lub stworzenie dwóch nowych plików, z których każdy jest kopia oryginalnego pliku źródłowego bakterii. Oba programy mogą następnie skopiować się podwójnie itd. Bakterie reprodukują się wykładniczo, zabierając ostatecznie cała moc obliczeniowa procesora, pamięć lub wolny obszar pamięci dyskowej, uniemożliwiając użytkownikowi dostęp do tych zasobów. Ten rodzaj ataku jest jedna z najstarszych form zaprogramowanych zagrożeń. Użytkownicy niektórych z najwcześniejszych urządzeniach wieloprocesorowych używali tych programów w celu zawieszenia pracy danego urządzenia lub po prostu by zobaczyć, co się stanie. Na taka formę ataku są szczególnie narażone urządzenia nie posiadające ograniczeń wykorzystania zasobów i ograniczeń w stosunku do użytkowników.
Wirusy plików wsadowych
Wirusy plików wsadowych wykorzystujące do transportu pliki BAT, istnieją od dość dawna. Często potrafią infekować nie tylko pliki BAT, ale także pliki COM, EXE czy sektor tablicy partycji. Po uruchomieniu zainfekowanego pliku wsadowego tworzony jest plik uruchamialny com lub exe( za pomocą polecenia ECHO, którego parametry sa przekierowywane do pliku), zawierający właściwy kod infekujący pliki bat. Po utworzeniu jest on wykonywany, a następnie kasowany. Procesor nie rozróżnia kodu i danych, można jednak utworzyć plik, który będzie mógł się wykonać zarówno jako typowy plik bat, jak i plik com. Po uruchomieniu zainfekowanego pliku bat wirus kopiuje się do pliku tymczasowego o rozszerzeniu com i wykonuje się, tym razem jako kod maszynowy.
Konie trojańskie
Koń trojański nie jest wirusem komputerowym, ale ze względu na swoje działanie często bywa z nim utożsamiany. Uruchamiany wykonuje niby normalna pracę, wynikająca z przeznaczenia programu, lecz dodatkowo, niejako w tle, od razu po uruchomieniu wykonuje jakieś niezauważalne dla użytkownika operacje (niszczy, kasuje, zamazuje dane na dysku, może również wykradać hasła i przesyłać je do autora trojona lub brutalnie sformatować dysk). Konie najczęściej przenoszą się w plikach udających nowe, popularne programy kompresujące(np.: ZIP, ARJ, RAR) lub też udają programy narzędziowe do obsługi dysków. Może ukrywać się również np. w pożytecznym (na pozór) oprogramowaniu, jak np. program antywirusowy czy przeglądarka plików graficznych. Jak widzimy konie trojańskie znajdują się właśnie w takich programach i dlatego też użytkownik sam je sobie instaluje i korzysta z nich, nieświadomy tego co może go spotkać. Można powiedzieć, że trojan to - zwykły program, który został zmieniony poprzez wstawienie miedzy jego linijki niechcianego kodu i właśnie ten kawałek kodu spełnia nieznane użytkownikowi funkcje. Większość nowych trojanów posiada opcje, dzięki którym zostaniemy powiadomiony e-mailem o tym, że ofiara uruchomiła serwer (zarażony plik) na swoim komputerze. Otrzymamy też numer IP ofiary oraz inne informacje. Oczywiście możemy zdefiniować adres e-mailowy, na który mają być przysyłane te informacje. Prawie każdy nowszy trojan pozwala na manipulowanie plikami na komputerze ofiary. Użytkownik może przeglądać, kasować, przenosić, wysyłać, ścigać, uruchamiać pliki na cudzym komputerze. Trojony mają wiele więcej niebezpiecznych opcji. Uruchamia się je odpowiednim przyciskiem za pomocą, którego można przykładowo sformatować dysk twardy ofiary. Inna niebezpieczna funkcja to możliwość uruchomienia serwera FTP na dysku ofiary i otworzenia portów co pozwoli wszystkim innym użytkownikom sieci na ściąganie, wgrywanie czy uruchamianie plików z komputera ofiary. Posiadają też mniej złośliwe opcje, takie jak ukrycie wskaźnika myszy, przejęcie kontroli nad myszka, restart Windows, wyświetlenie rysunku itp. Nie, sa one szkodliwe, ale dla nie, których mogą być trochę denerwujące. Uruchomienie zarażonego pliku powoduje otworzenie specyficznego portu i nasłuchiwanie na połączenie z zewnątrz. Trojan może używać protokołu TCP lub UPD. Jeśli już połączymy się z IP ofiary możemy wtedy robić z jego komputerem co tylko chcemy, pozwala na to serwer który ofiara uruchomiła na swoim komputerze. Coraz więcej, trojanów uruchamia się ponownie przy każdym restarcie Windows lub wyłączeniu komputera. Modyfikują pliki win.ini lub system.ini, dzięki czemu trojan może się uruchamiać po każdym załadowaniu Windows, większość trojaków modyfikuje jednak rejestr aby uzyskać ten efekt. Trojan to bardzo niebezpieczna zabawka. Ktoś może dowiedzieć się wielu rzeczy o Nas.
Fałszywki (Haoxy)
Fałszywki, to inaczej ostrzeżenia przed nieistniejącymi wirusami. Cecha charakterystyczna fałszywego ostrzeżenia jest prośba o przesłanie go do możliwie dużej liczby osób - rzekomo w trosce o ich bezpieczeństwo. Początkujący internauci, rozsyłają fałszywe alarmy, do kogo się tylko da, co pozwala hoaxom krążyć po Internecie całymi miesiącami, w milionach egzemplarzy, doprowadzając do wściekłości osoby, które otrzymuj je po raz n-ty. Pamiętajmy by nie rozsyłać fałszywych alarmów! Jeśli trafi do nas ostrzeżenie, wystarczy wejść na stronę dowolnego producenta programów antywirusowych i sprawdzić tam, czy nie jest to hoax. Wygodnym rozwiązaniem jest zaprenumerowanie e-mailowego biuletynu na temat wirusów. Godny polecenia jest polskojęzyczny biuletyn MKS-a. Raz na parę dni do naszej poczty e-mailowej trafi wiarygodny raport o nowych wirusach oraz zbliżających się datach uaktywnienia się niebezpiecznych mikrobów atakujących z opóźnieniem. Autorzy biuletynu bezlitośnie demaskują też krążące po sieci hoaxy! Możemy również otrzymać emaila z wiadomością, że plik o podanej nazwie jest wirusem i można się go pozbyć jedynie poprzez usunięcie tego pliku. W rzeczywistości plik nie jest wirusem i może być nawet częścią systemu operacyjnego, a jego usunięcie może spowodować nieprzewidziane skutki. Użytkownik najczęściej zastosuje się do wskazówek zawartych w otrzymanej wiadomości i w dobrej wierze rozpowszechni ja dalej (w przypadku maili spowoduje to niepotrzebny wzrost generowanego w sieci ruchu). Oprócz wywołania zamieszania fałszywki mogą również przyczynić się do poniesienia szkód (np. otrzymanie wiadomości o awarii serwera i prośbie o wysłanie hasła do konta na podany adres). Walczyć z takimi fałszywymi alarmami jest szczególnie trudno gdyż nigdy nie ma 100% pewności czy są one prawdziwe czy nie. Najlepiej jest mieć ograniczone zaufanie do podejrzanych i pochodzących z niepewnych źródeł wiadomości i sprawdzać ich wiarygodność w serwisach antywirusowych.
Podział wirusów ze względu na sposób ich działanie
Wirusy rezydentne (ang. resident viruses)
Zasada działania tych wirusów polega na zainstalowaniu się w pamięci operacyjnej komputera i przejęciu odpowiednich odwołań do systemu w sposób podobny jak czynią to programy typu TSR (Terminate but stay Resident). Typowy wirus rezydentny po zainstalowaniu ukrywa swój kod przed programami przeglądającymi pamięć. Aktywny i jednocześnie ukryty w pamięci, ma o wiele szersze pole manewru niż wirusy nie rezydentne. Monitorowanie odpowiednich funkcji DOS i BIOS pozwala mu przy każdej dowolnej próbie dostępu na infekcje plików lub sektorów. Możliwe jest także zastosowanie techniki zaawansowanego ukrywania się w systemie (tzw., technika stealth). Zawładnięcia systemu dokonuje się poprzez przejęcie odpowiednich przerwań sprzętowych i funkcji obsługiwanych przez ogólnie dostępne przerwania programowe. Ze względu na szybkość mnożenia się wirusy rezydentne dzielą się na szybkie iniektory i wolne iniektory. Krótko mówiąc wirusy rezydentne zagnieżdżają się w pamięci i stamtąd infekują dyski lub programy.
Szybkie iniektory przejmują wszystkie możliwe funkcje systemu DOS, używane do obsługi plików i zarażają wszystko, co się da, w maksymalnie krótkim czasie, co powoduje, iż po okresie bardzo szybkiej ekspansji wirusa w danym systemie następuje jego pasywacja, gdyż wirus nie może znaleźć kolejnej ofiary do zarażenia. Często pierwsza czynnością wykonywana przez wirusa jest zniszczenie w pamięci kodu zamazywalnej częsci interpretatora poleceń, co sprawia, że przy następnym wywołaniu jakiegokolwiek polecenia z poziomu DOS plik zawierający interpretator poleceń (czyli najczęściej COMMAND,COM) zostanie ponownie uruchomiony i w efekcie natychmiast zainfekowany. Duża aktywność szybkiego iniektora będzie na pewno łatwo zauważalna dla użytkownika.
Wolne iniektory; ich celem w przeciwieństwie do szybkich iniektorów nie jest szybka ekspansja w systemie, lecz raczej jak najdłuższe przetrwanie. Wirusy te używają najczęściej wolnych, kilkustopniowych, zmiennych procedur szyfrujących i techniki stealth. Infekują najczęściej tylko takie obiekty, które modyfikuje lub tworzy użytkownik, a więc nawet w przypadku sygnalizowania jakiejś niebezpiecznej operacji przez ewentualny program antywirusowy użytkownik będzie przekonany, iż potwierdza wykonywane przez siebie czynności. Są to wirusy bardzo trudne do wykrycia i usunięcia, nawet przez bardzo zaawansowane programy antywirusowe.
Wirusy nie rezydentne (ang. Non-resident viruses)
Są najprostsza odmiana wirusów zarażających pliki wykonywalne. Po uruchomieniu nosiciela poszukiwany jest, najczęściej przy pomocy funkcji (4E,4F/21), kolejny obiekt do zarażenia. W przypadku nie znalezienia żadnego kandydata, sterowanie oddawane jest do nosiciela, w przeciwnym razie plik jest infekowany. Ofiary poszukiwane są w bieżącym katalogu i/lub w katalogach określanych w zmiennej środowiskowej PATH, i/lub w podkatalogach bieżącego katalogu, i/lub w katalogu głównym. Z reguły wirus taki nie przejmuje żadnego przerwania (ewentualnie na czas infekcji przejmowane jest przerwanie programowe 24h, które jest odpowiedzialne za obsługę błędów krytycznych). Główna wada tych wirusów jest to, iż poszukiwanie ofiar przy starcie programu wiąże się najczęściej z dużym opóźnieniem w uruchamianiu właściwego programu oraz łatwo zauważalna przez użytkownika wzmożona aktywnością przeszukiwanego nośnika. Druga wada jest to, iż zarażają one tylko i wyłącznie po uruchomieniu nosiciela, a więc nie mogą efektywnie infekować plików ani skutecznie maskować swej obecności w systemie. Są to wirusy, które są najprostsze, pisane są przez osoby uczące się pisania wirusów.
Miejsca w systemie komputerowym, które mogą być narażone na rozmnażanie wirusów:
Programy typu EXE , COM
Pliki z rozszerzeniem OVL, BIN, SYS
Biblioteki DLL
Pliki systemowe COMMAND.COM, IBMBIO.COM, IBMDOS.COM
Tablica partycji dysku stałego
Boot sektor dysku lub dyskietki
Tablica partycji dysku twardego FAT
Sektory zaznaczone jako uszkodzone tzw. bad sectors
Zagubione klastery tzw. lost clusters
Dokumenty programu WORD FOR WINDOWS (UWAGA: każde środowisko dopuszczające pisanie makropoleceń może być inspirujące dla autorów wirusów.
Skoroszyty programu EXCEL FOR WINDOWS
Bazy danych programu ACCESS FOR WINDOWS
Inne miejsca wymyślone przez komputerowych terrorystów
W funkcjonowaniu wirusów można wyodrębnić dwie fazy:
Faza rozmnażania się wirusa,
Faza destrukcji.
Faza rozmnażania się wirusa (I faza - tajna) polega na umieszczeniu jego zaszyfrowanego kodu w kolejnych miejscach systemu komputerowego, a faza destrukcji polega na ujawnieniu się wirusa. To, co wirus w ramach destrukcji (II faza - jawna) dokonuje, jest zależne od umiejętności, wiedzy, fantazji i złośliwości twórcy wirusa. Wirusy zwane końmi trojańskimi to programy, które poza wykonywaniem normalnej, na ogół pożytecznej lub rozrywkowej pracy, prowadzą działalność typową dla drugiej fazy działania wirusów, czyli destrukcję w systemie. Istnieją dwie uzupełniające się metody obrony przed wirusami: bierna i aktywna. Obrona bierna polega na maksymalnym ograniczeniu skutków działania wirusów poprzez działania profilaktyczne. Obrona aktywna polega na usunięciu lub zamrożeniu wirusa za pomocą programu antywirusowego.
Programy antywirusowe
Ze względu na sposoby działania programy antywirusowe można podzielić na następujące rodzaje:
Programy monitorujące, czyli programy śledzące aktywność uruchamianych na komputerze programów (kontrolujące one tylko programy załadowane do pamięci operacyjnej)
Programy obliczające sumy kontrolne wszystkich programów zapisanych w plikach na dyskach twardych
Programy skanujące, czyli programy polujące na określone wirusy i potrafiące je unieszkodliwiać bez zniszczenia programu będącego nosicielem wirusa.
Jednym z lepszych polskich programów pakietów antywirusowych, który ma w sobie wszystkie trzy rodzaje wyżej wymienione programów to MKS_VIR dla Windows 95/98. Po wykryciu wirusa program antywirusowy zwykle proponuje usunięcie wirusa całkowite wyleczenie systemu z danego wirusa. Wtedy jesteśmy szczęśliwi, bo możemy usunąć wirusa całkowicie. Gdy z jakiś powodów nie może dokonać całkowitego leczenia, program antywirusowy proponuje zamrożenie wirusa. Zamrożenie to polega na tym, że wirus nadal jest w systemie, lecz traci właściwość rozmnażania się. Po wykonaniu zamrożenia też należy się cieszyć. Gorzej przedstawia się sytuacja, gdy program nie może sobie poradzić wirusem i proponuje całkowite usunięcie zarażonego pliku. Trzeba wtedy zastanowić się jak zdobyć poprzednią wersję pliku oczywiście niezarażoną.
Ataki i hakerzy
Dużo większym zagrożeniem niż wirusy są dla sieci komputerowych hakerzy i ich ataki. Proces ataku zaczyna się w momencie zdobycia przez hakera adresu IP np. poprzez specjalny program do wynajdywania słabych i mocnych stron systemu ofiary jak i informacji o nim.
Gdy haker zna już podstawowe luki w systemie ofiary poprzez gotowe programy przeszukuje jej dysk twardy w poszukiwaniu interesujących go informacji. Niektórzy hakerzy zostawiają po sobie ślad w postaci pliku tekstowego lub też wirusa.
Gdy atakujący nie umie pokonać zabezpieczeń ofiary podrzuca jej konia trojańskiego w celu przejęcia całkowitej władzy nad jej komputerem.
Internet pełen jest młodych i niedoświadczonych, pseudohakerów którzy zamierzają coś osiągnąć lub zostać zauważonym, poprzez wykorzystywanie gotowych skryptów i programów dostępnych na stronach internetowych. Przykładem takiego programu jest tzw. Mailbomber, który „bombarduje” skrzynkę e-mail ofiary tysiącami listów aż do jej całkowitego zapełnienia.
Bibliografia:
Czasopisma komputerowe takie jak:
Chip,
Chip extra
Komputer świat
Enter
Strony WWW
Dodatkowo konsultacje z wykształconymi informatykami
9