Rodzaje wirusów komputerowych

• Wirusy pasożytnicze,

• Wirusy towarzyszące np. łańcuch szczęścia - jest to program zawarty w komunikacie wysyłanym pocztą elektroniczną, który po uruchomieniu wysyła kopie do wielu użytkowników,

• Wirusy plików wsadowych,

• Makrowirusy,

• Generatory wirusów,

• Robaki - robak to program, który wysyła swoje kopie przez połączenia sieciowe do innych systemów komputerowych. W odróżnieniu od wirusa, robak nie potrzebuje programu nosiciela, a jest samodzielnym programem wykonywalnym,

• Konie trojańskie - Koń trojański to dowolny program który zawiera kod realizujący funkcje inne niż spodziewa się tego użytkownik lub inne niż zawiera dokumentacja,

• Bomby logiczne - wirusy, które uaktywniają się gdy zostaną spełnione określone warunki logiczne (np. dojdzie do załamania sytemu, gdy usuniemy określony plik).

Podstawowe informacje o wirusach

Wirus może dołączyć się do nosiciela na trzy sposoby:

• Wirus komputerowy to program, który - tak jak prawdziwy wirus - przyłącza się do innych programów i jest wraz z nimi przenoszony pomiędzy komputerami. W taki sposób rozprzestrzenia się, infekując nowe programy. W sieciach pojawiły się również tzw. robaki, infekujące kolejne systemy komputerowe. "Robaki" rozmnażają się i przemieszczają same. W latach sześćdziesiątych powstały pierwsze wirusy zwane królikami. Były to programy powielające się i zapełniające system. Obecnie znamy setki odmian i rodzajów wirusów. Stworzonka te mogą powodować różnorodne szkody: zmieniać lub uszkadzać dane, zakłócać komunikację, wyświetlać komunikaty, przechwytywać informacje, spowalniać pracę systemu, zmieniać ustawienia komputera.

• Wirus komputerowy to program napisany przez człowieka który dołącza się do innych programów i przejmuje nad nim kontrolę. Może przejąć również kontrolę nad systemem opera-cyjnym. Przejęcie kontroli nad systemem oznacza zazwyczaj to, że wirus działa na niego destrukcyjnie, dokonując różnych szkód (zawiesza system, kasuje dane, może również fizycznie uszkodzić sprzęt). Wirus komputerowy posiada pewne właściwości, a mianowicie potrafi się replikować (czyli powielać) oraz dołączać do innych plików. Te dwie cechy określają wirusa komputerowego. Dokładnej i jednoznacznej definicji nie ma.

• Wirus to program komputerowy który nie może istnieć samodzielnie, a potrzebuje nosiciela, czyli programu do którego się dołącza. Mówimy wówczas że program (nosiciel) jest zarażony wirusem. Po uruchomieniu takiego programu wirus replikuje się i jego kopia zostaje załadowana do pamięci RAM skąd może dalej szukać nowego nosiciela i zarażać tym samym inne pliki.

Fazy działania wirusa

W funkcjonowaniu wirusów można wyodrębnić dwie fazy:

• faza rozmnażania się wirusa, polega na umieszczeniu jego zaszyfrowanego kodu w kolejnych miejscach systemu komputerowego,

• faza destrukcji, polega na ujawnieniu się wirusa. To co wirus w ramach destrukcji (II faza - jawna) dokonuje, jest zależne od umiejętności, wiedzy, fantazji i złośliwości twórcy wirusa. Wirusy zwane końmi trojańskimi to programy, które poza wykonywaniem normalnej, na ogół pożytecznej lub rozrywkowej pracy, prowadzą działalność typową dla drugiej fazy działania wirusów, czyli destrukcję w systemie.

Sposoby dołączania się wirusa do nosiciela

Wirus może dołączyć się do nosiciela na trzy sposoby:

• Dołączając się na końcu nosiciela
  (nosiciel => wirus)

• Dołączając się na początku nosiciela
  (wirus => nosiciel)

• Dołączając się na końcu i na początku nosiciela [są to najgroźniejsze wirusy typu SHELL, które wtapiają w nosiciela swój kod]
  (wirus => nosiciel => wirus)

Różnica w działaniu tych wirusów polega na tym, że w pierwszym wypadku wirus replikuje się i zaraża inne pliki po zakończeniu działania programu jakim jest nosiciel. W drugim wypadku najpierw replikuje się wirus, a następnie dochodzi do wykonania programu nosiciela. W trzecim wypadku spełnione są oba warunki.

Istnieją dwie uzupełniające się metody obrony przed wirusami: bierna i aktywna.

• Obrona bierna polega na maksymalnym ograniczeniu skutków działania wirusów poprzez działania profilaktyczne.

• Obrona aktywna polega na usunięciu lub zamrożeniu wirusa za pomocą programu antywirusowego.

Profilaktyka

Jak uchronić się przed wirusami komputerowymi?

• Nie zaopatrywać się w nielegalne oprogramowanie.

• Zakupić specjalny program antywirusowy i za pomocą tego programu sprawdzać każdą dyskietkę uruchamianą na naszym komputerze.

• Jeżeli program wykryje wirusa, najczęściej potrafi go również usunąć, jeśli nie - wyrzucamy ją lub wysyłamy producentowi programu antywirusowego.

Sposoby wykrywania wirusów

Aby nie doszło do załamania systemu lub zniszczenia danych należy wirusa wykryć i zniszczyć.

Do wykrywania wirusów stosuje się następujące metody:

• Poprzez sumę kontrolną:

• Metoda polega na tym że przed zarażeniem sprawdza się wielkość plików. Gdy dojdzie do zarażenia wielkość pliku zarażonego ulega zmianie (kod wirusa posiada przecież określoną wielkość), jest to sygnał że plik może być zarażony. Metoda ta jest jednak niewystarczająca, gdyż niektóre wirusy mogą ukrywać swoją wielkość, a poza tym często np. dokumenty zmieniają swoją wielkość podczas ich edycji.

• Poprzez kod wirusa:

• Metoda ta jest obecnie powszechnie używana. Polega ona na tym, że najpierw programista piszący program antywirusowy musi wirusa 'złapać, to znaczy wyodrębnić z nosiciela kod wirusa, a później sprawdzać czy inne pliki nie posiadają na końcu, na początku lub na końcu i na początku takiego kodu. Jeśli tak to należy ten kod usunąć. Mówimy wówczas że plik zarażony został odwirusowany lub wyleczony. Wyodrębnianie takiego kodu polega na tym, że wypuszcza się np. w sieć program np. robaka który zo-staje zarażony nieznanym wirusem. Następnie znając wcześniej kod robaka np. kod robaka to : 101010101010 Po zawirusowaniu kod robaka to: 1010101010101111 Znając wcześniej kod robaka wyodrębniamy kod wirusa jest to: 1111. Ta metoda ma również pewne wady. Mianowicie mogą istnieć programy które posiadają podobny kod, a nie są wirusami, jak również aby od rozprzestrzenienia się wirusa do jego 'złapania' musi upłynąć jakiś czas, co stwarza ryzyko zarażenia wirusem dla którego jeszcze nie ma programu antywirusowego (bo jeszcze nie wyodrębniono kodu wirusa). Z tych powodów należy zachować odpowiednią profilaktykę antywirusową.

Programy antywirusowe

Programy antywirusowe sprawdzają programy i dane na dysku oraz na dyskietkach i jeśli znajdą wirusy, starają się je zniszczyć. Aby zwalczyć nowo powstałe wirusy, programy antywirusowe muszą być często uaktualniane.

Ze względu na sposoby działania programy antywirusowe można podzielić na następujące rodzaje:

• Programy monitorujące, czyli programy śledzące aktywność uruchamianych na komputerze programów (kontrolujące one tylko programy załadowane do pamięci operacyjnej)

• Programy obliczające sumy kontrolne wszystkich programów zapisanych w plikach na dyskach twardych

• Programy skanujące, czyli programy polujące na określone wirusy i potrafiące je unieszkodliwiać bez zniszczenia programu będącego nosicielem wirusa.

Jednym z lepszych polskich programów z pakietów antywirusowych, który ma w sobie wszystkie trzy rodzaje wyżej wymienione programów to MKS_VIR dla Windows 95/98. Po wykryciu wirusa program antywirusowy zwykle proponuje usunięcie wirusa i całkowite wyleczenie systemu z danego wirusa. Wtedy jesteśmy szczęśliwi, bo możemy usunąć wirusa całkowicie. Gdy z jakiś powodów nie może dokonać całkowitego leczenia, program antywirusowy proponuje zamrożenie wirusa. Zamrożenie to polega na tym, że wirus nadal jest w systemie, lecz traci właściwość rozmnażania się. Po wykonaniu zamrożenia też należy się cieszyć. Gorzej przedstawia się sytuacja, gdy program nie może sobie poradzić wirusem i proponuje całkowite usunięcie zarażonego pliku. Trzeba wtedy zastanowić się jak zdobyć poprzednią wersję pliku, która nie jest zarażona. Czy wirus może zarazić program umieszczony na dyskietce zabezpieczonej mechanicznie przed zapisem? Od dawna, co jakiś czas, pojawiają się sensacyjne wiadomości, że oto pojawił się wirus potrafiący przełamać mechaniczne zabezpieczenie dyskietek. Na szczęście, mają one tyle wspólnego z rzeczywistością, ile potwór żyjący podobno z Jeziorze Żarnowieckim. Nie ma możliwości, by na sprawnym napędzie dyskietek zmodyfikowano informację zapisaną na dyskietce, która ma otwarty otwór zabezpieczający. Ocenia się, że każdego roku powstaje na świecie od tysiąca do kilku tysięcy wirusów. Można się więc spodziewać, że w niedługim czasie jeden z nich zagości także na naszym dysku twardym. Osobom, które chcą być na to przygotowane, z pomocą przychodzą najnowsze narzędzia, zdolne przeciwstawić się komputerowej epidemii.

Składniki pakietu antywirusowego

BACK

W przypadku wirusów komputerowych doskonale sprawdza się zasada: "Lepiej zapobiegać, niż leczyć". Ponieważ czasem skutki infekcji można przyrównać tylko do awarii dysku twardego, każdy rozsądny użytkownik komputera korzysta z usług jakiegoś programu antywirusowego. Wybór jest duży, a aplikacje próbujące nadążyć za coraz bardziej przebiegłymi wirusami są stale ulepszane. Czasy, gdy cały program złożony był z jednego pliku EXE, jak np. chyba najpopularniejszy w Polsce MkS_Vir, mamy już dawno za sobą. Nowoczesny pakiet antywirusowy składa się z zestawu narzędzi zapewniających kompleksowy system ochrony. Nadal podstawą jest skaner, który na żądanie przegląda pliki wykonywalne oraz dokumenty zawierające makra i sektor star-towy dysku w poszukiwaniu sygnatur wirusów. Standardem jest kontrola zbiorów skompreso-wanych. W niektórych przypadkach użytkownik może utworzyć i zapisać skrypt zadania (np. kontrola katalogów C:\WINDOWS i C:\MOJE DOKUMENTY razem z podkatalogami), aby uwolnić się od konieczności każdorazowego wskazywania skanerowi tych samych obiektów. Drugim nieodzownym programem jest rezydentny monitor. Do jego zadań należy bieżąca kontrola wszystkich uruchamianych plików, otwieranych dokumentów oraz wkładanych do kompu-tera dyskietek. Najlepsze monitory zajmują na tyle mało pamięci i mocy obliczeniowej procesora, że ich obecność jest niezauważalna. Niektóre jednak spowalniają system, co prowokuje do ich wyłączenia. Tak czy inaczej, warto mieć działający w tle monitor, który sam pamięta o sprawdzeniu każdego uruchamianego pliku czy otwieranego dokumentu i ostrzega w przypadku wykrycia infekcji. Wiele pakietów wyposażonych jest w terminarz, który po dłuższym czasie bezczynności komputera lub o określonej godzinie uruchamia skaner w celu przeprowadzenia rutynowej kontroli całego dysku lub wybranych katalogów. Funkcjonalność tego modułu sprawdza się w stosunku do serwerów i stacji roboczych pracujących całą dobę. W ich przypadku skaner uaktywniany jest przez terminarz np. w nocy, gdy komputer jest najmniej obciążony. Pomocniczym rozwiązaniem są wspomagające działania skanera rozmaite programy do wyliczania sum kontrolnych zbiorów. Zapamiętanie charakterystycznych cech pliku pozwala wykryć infekcję na podstawie niezgodności bieżącej i wcześniej zanotowanej sumy kontrolnej, ponieważ wirus musi dokonać modyfikacji we wnętrzu nosiciela. W ten sposób można przechwycić mikroba, któremu udało się przechytrzyć skaner i monitor antywirusowy. Pliki wykonywalne na ogół same nie zmieniają swojej zawartości, ale można wskazać kilka wyjątków od tej reguły, które mogą wzbudzić niesłuszne podejrzenie ze strony skanera. Innym mankamentem tej metody jest bezbronność plików zawierających sumy kontrolne wobec wirusów, które mogą je po prostu skasować. O ile wykrywanie wirusów kształtuje się zazwyczaj na wysokim poziomie, o tyle nadal najwięcej kłopotów sprawia usuwanie "bakcyli" i reperacja uszkodzonych zbiorów. Ma to szczególne znaczenie, gdy likwidacja zagrożenia przez usunięcie pliku nosiciela nie wchodzi w ra-chubę. Pliki wykonywalne zwykle można odtworzyć przez powtórną instalację programu. Inaczej ma się sprawa np. z dokumentami pakietu Microsoft Office, które, zwłaszcza w przypadku baz danych Accessa i arkuszy Excela, mogą zawierać znaczne ilości bezcennych danych. Według badań przeprowadzonych w USA, wiele firm zostaje coraz częściej zarażonych wirusami komputerowymi, pomimo zwiększonego używania programów antywirusowych. Badania przeprowadzone wśród 300 firm wykazały, że współczynnik zainfekowania wzrósł o 48% w zeszłym roku, pomimo, że prawie 100% firm posiadało zainstalowane i działające oprogramowanie antywirusowe. Przyczyn takiego stanu rzeczy jest kilka. Pierwszym źródłem infekcji są dyskietki przyniesione z domu - odpowiadają za 36 procent zdarzeń związanych z danymi kopiowanymi z dysku. Druga przyczyna infekcji to załączniki do poczty elektronicznej, w której pojawiają się nieoczekiwane "niespodzianki" - 32 procent zdarzeń. Również problemy wynikają z podłączenia firm do Internetu. Wiele firm nie posiada polityki określającej: co i kto może pobierać z sieci. Głównymi wirusami atakującymi komputery są wirusy makrosów Worda i Excela, używające języka skryptowego stosowanego do tworzenia makr - infekują 7 na 1000 maszyn. Następne w kolejności są wirusy boot-sektora - infekują średnio 2,5 na 1000 maszyn. Wiec jeżeli tak duży jest współczynnik używalności programów antywirusowych, dlaczego pojawia się taki wzrost infekcji. ? Po pierwsze, firmy nie uaktualniają oprogramowania antywirusowego regularnie - większość czyni to kwartalnie, a niektórzy wcale. Natomiast eksperci twierdzą, że ilość znanych wirusów przekroczyła już 20 000.

Taka rzeczywistość może wydać się dosyć przygnębiająca, jednak jest "światełko w tunelu", gdyż oprogramowanie antywirusowe staje się coraz doskonalsze.

---