Počítačové vírusy

Počítačový vírus je program, ktorý dokáže sám seba kopírovať. Aby to dokázal, potrebuje sa napojiť na iný program. Pri šírení tohto programu sa šíri aj vírus (na disketách, CD-ROM, sieť). Okrem toho má mnoho vírusov aj ďalšiu nepríjemnú vlastnosť: poškodzujú programy a údaje. Najjednoduchšie vírusy hneď po spustení prepíšu nejaké súbory a tým sa odhalia. Iné zostanú v pamäti počítača a čakajú na splnenie nejakej podmienky (napr. spustenie istého programu). Mimoriadne nebezpečné sú vírusy, ktoré postupne upravujú vaše dáta. Po ich odhalení neviete, ktoré údaje sú správne a ktoré pozmenené. Poslednou novinkou sú polymorfné vírusy, ktoré sa menia s každou novou kópiou. Preto sa ťažko odhaľujú. Mnohé vírusy okrem toho, že sa rozmnožujú, nerobia ďalej nič. Typickým zdrojom nákazy sú pirátske kópie programov. Nebezpečné môže byť aj sťahovanie programov z Internetu. Medzi veľmi nebezpečné patrí aj nedávno rozšírený slovenský vírus One Half, ktorý pri každom zapnutí počítača zašifroval časť pevného disku. Po odstránení vírusu boli zašifrované údaje nedostupné.

Skutočným začiatkom existencie počítačových vírusov, tak ako ich dnes poznáme, je rok 1986, keď sa narodil Brain - prvý počítačový vírus pre osobné počítače IBM PC.

Počítačové vírusy tvoria dve veľké skupiny: boot vírusy a súborové vírusy.

Boot vírusy
Telo vírusu je umiestnené na začiatku disku (v boot sektore diskety alebo v MBR pevného disku). Aktivuje sa po zavedení systému z napadnutého disku. Ak je vírus aktívny, môže napadnúť každú disketu, nechránenú proti zápisu, s ktorou pracujeme. Z diskety na pevný disk sa vírus prenesie len po zavedení systému z napadnutej diskety. Napadnutá disketa nemusí byť iba systémová.

Súborové vírusy
Súborový vírus sa pripája alebo prepisuje spustiteľné súbory (*.COM, *.EXE, *.BAT), alebo súbory, ktoré obsahujú spustiteľný kód (*.BIN, *.OVL ...). Tento vírus sa aktivuje po spustení napadnutého súboru. Ak spustíme napadnutý program, najprv svoju činnosť vykoná vírus (napadne ďalšie programy, spôsobí škodu), a potom odovzdá riadenie napadnutému programu. Ak je vírus "dobre napísaný", program normálne beží a užívateľ si nič nevšimne.

Vírusy môžeme rozdeliť aj na pamäťovo rezidentné a nerezidentné.

Nerezidenčný vírus spôsobí nákazu len po spustení napadnutého súboru. Bežne nakazí niekoľko súborov obyčajne v aktuálnom adresári.

Rezidenčný vírus sa po spustení napadnutého súboru trvalo usadí v operačnej pamäte počítača. Najčastejšie to býva v konvenčnej pamäti, pomocou prerušenia INT 12 zaistí, aby nebol prepísaný iným programom. Rezidentný vírus sa môže nachádzať v konvenčnej pamäti, v pamäti EMS a v prvých 64 kB segmente pamäti extended (tedy 0-1088 kB). Po usadení sa v pamäti, vírus sleduje činnosť užívateľa. Ak pracuje so zdravým súborom, vírus ho napadne. Boot vírus sleduje, či do mechaniky nie je zakladaná disketa.. Ak áno, skopíruje sa do boot sektoru diskety. Rezidentný vírus môže napadnúť ľubovolne veľa súborov.

Postupne sa objavili aj vírusy, ktoré sa dokážu ukryť pred antivírusovými programami (stealth vírusy), vírusy, ktoré modifikujú sami svoj kód (polymorfné vírusy), vírusy, ktoré dokázali napadnúť aj iné ako spustiteľné súbory (makrovírusy). S príchodom nových operačných systémov, sa môžeme tešiť opäť na nové typy vírusov s "neuveriteľnými a nemožnými" schopnosťami. Tým pôjde dopredu aj vývoj antivírusových programov.

Všeobecná činnosť vykonávaná vírusmi
Vírusy vykonávajú počas svojho životného cyklu množstvo akcií (poradie býva u každého vírusu individuálne, nemusia byť použité všetky akcie)

prevzať kontrolu nad procesorom
skontrolovať aktuálny stav prostredia
nainštalovať sa do pamäte
presmerovať prerušenia
previesť test na podmienku spustenia škody (dátum, počet spustenia...)
vykonať záškodnícku činnosť
nájsť miesto pre vytvorenie svojej kópie
skontrolovať, či vybrané miesto už kópiu neobsahuje
vložiť svoju kópiu
uskutočniť úpravy napadnutého miesta (zakódovanie)

Spôsoby prenosu vírusov medzi počítačmi.
Vírusy sa šíria v rámci jedného počítača i medzi počítačmi. Existuje niekoľko možných prenosových médií medzi počítačmi. Medzi bežné médiá môžeme zahrnúť: diskety, sieťové linky, telefónna linka, výmenné pevné disky a disky CD ROM. Medzi nie príliš časté médiá patria: sériová linka (pri prepojení počítačov), uverejnený zdrojový text vírusu a pamäte EPROM.

Postup pri napadnutí počítača vírusom.
Vypneme počítač. Zavedieme systém z čistej DOS-systémovej diskety chránenej proti zápisu. Z diskety spustíme antivírový program. Ak chceme spúšťať antivírový program z napadnutého disku, najprv ho skopírujme z diskety na pevný disk. Antivírový program spustený z pevného disku poskytuje väčšie možnosti pri liečení aj jeho práca je rýchlejšia. Ak máme nájdený súborový vírus, napadnuté súbory necháme "vyliečiť", ak máme súbory zálohované, je vhodnejšie napadnuté súbory zmazať a nainštalovať nové. Po vyliečení aj lepším antivírovým programom nie vždy súbory pracujú korektne. Ak zdroj nákazy bol boot vírus, necháme previesť obnovu boot sektorov antivírovým programom alebo príkazom SYS si vykonáme obnovu sami (SYS spúšťame z diskety). Ak ide o vírus v MBR, zálohujeme si najprv všetky systémové oblasti a skontrolujeme funkčnosť záložných kópií. Antivírové programy občas poškodia pri odstraňovaní tohto typu vírusu tabuľku partition, čím spôsobia stratu údajov. Ak dokáže náš antivírusovy program vírus v MBR odstrániť, alebo vie sektor obnoviť z diskety, vykonajme jeho obnovenie.

Skontrolujeme všetky diskety.
Informujeme o nákaze užívateľov, s ktorými si vymieňame diskety

Ochrana pred počítačovými vírusmi

softwarová
hardwarová

Softwarová ochrana
Softwarová ochrana je realizovaná antivírovými programami. Služby, ktoré antivírové programy poskytujú možno rozdeliť do troch skupín:

konkrétne antivírové techniky
všeobecné antivírové techniky
preventívna ochrana

Konkrétne antivírové techniky vyhľadávajú iba známe vírusy podľa vírusovej databázy, ktorú je potrebné aktualizovať. Väčšinu takto nájdených vírusov je možné zo súborov alebo z boot sektorov odstrániť, a to buď s použitím informácií o víruse, ktorý príslušný súbor infikoval alebo s použitím pôvodných informácií o súbore, ktoré popisujú, jak vypadal pred infekciou. Najväčšou výhodou tejto metódy je jej rýchlosť, tato metóda sa vtedy používa pre pravidelné kontrolovanie pevného disku. Známe vírusy je tiež možné vyhľadávať v každom spúšťaní, kopírovaní, otvorení súboru a v zavedených sektoroch všetkých diskiet, ktoré do počítača vkladáme. K tomu je určený rezidenčný ovládač, ktorý je zavedený vždy po spustení počítača. Tento ovládač sa zavádza v config.sys a je teda v pamäti ešte skôr než sa načíta command.com (čo je obvyklá základná väčšina vírusov). Samozrejme nechýba možnosť prehľadať pamäť? na prítomnosť rezidenčných vírusov.

Obecné antivírové techniky sa snažia nájsť a pokiaľ je to možné i odstrániť neznámy vírus. Prvou metódou, ako nájsť neznámy vírus je tzv. zrovnávací test. Pri prvom spúšťaní tohoto testu si program zapíše dôležité informácie o súboroch (veľkosť, dátum, čas, atribúty a kontrolné súčty). Pri ďalších spusteniach porovnáva tieto informácie s aktuálnym stavom. Pokiaľ v týchto údajoch došlo ku zmene väčšieho rozsahu, je pravdepodobne, že počítač bol napadnutý vírusom. Antivírusovy program AVG obsahuje i heuristicku analýzu. Heuristicka analýza podrobne analyzuje obsah súborov na pevnom disku a vyhľadáva v ňom rôzne podozrivé konštrukcie (priame zápisy na disku, prevezme kontroly nad operačným systémom a pod.). Heuristicka analýza je obecne fungujúca metóda, nie je teda závislá na vírusovej databáze. Automaticky sa pri tejto metóde robí test i na známe vírusy. Pokiaľ je teda súbor označený za napadnutý, prehľadáva sa v databáze vírusov a meno vírusu je vypísané, v opačnom prípade je vírus označený ako neznámy. Program obsahuje tzv. plnou heuristicku analýzu (heuristicka analýza s emuláciou kódu), keď sa antivírusovy program priamo pokúša emulovať činnosť počítača pri spustení programu. Nevýhoda metódy je v tom, že často dochádza k falošným poplachom, kde niektoré súbory sú označované ako napadnuté. Avšak vzhľadom k zväčšovaniu počtu stále zložitejších vírusov, bude v budúcnosti táto metóda najčastejšie používaná. Test prostredí na súborové víry spočíva v tom, že program vygeneruje na disk súbory typu .com a exe, potom ich kopíruje a prevádza s nimi rôzne operácie, pričom vždy kontroluje ich obsah. Pokiaľ sa pri manipulácií s nimi zmení ich obsah, je veľmi pravdepodobné, že sa na návnadu práve chytil vírus. Obdobne je program schopný vygenerovať na disketu prázdny zavadzajúci sektor a potom kontrolovať, ak bol nejako zmenený.

Preventívne antivírové techniky sa doporučujú využívať pokiaľ možno ešte predtým, než sa vírus v počítači usídli. Spočívajú v zálohovaní niektorých dôležitých informácii o počítači, podľa nich bude v prípade potreby možné obnoviť pôvodný stav. Pomocou programu si môžeme uložiť obsah pamäti CMOS, tabuľku rozdelenia pevného disku a pod. Po napadnutí počítača je možné tieto informácie spätne obnoviť.

Iné antivírové programy (F-PROT, SCAN) obsahujú ďalšiu užitočnú funkciu - vkladanie vlastných vírusových reťazcov. Táto metóda sa však neuplatní v prípade polymorfného vírusu.

Hardverová ochrana.
Okrem softverovej ochrany pred vírusmi existuje i možnosť hardverovej ochrany. Tá sa realizuje pomocou rozširujúcej karty. Karta obsahuje pamäť ROM so špeciálnym softvérom.

Základní funkcie:

bezpečnosť je zaistená pomocou niekoľkostupňového ochranného systému
prístup k počítači je pomocou šifrovaného hesla
užívateľa je možné rozdeliť podľa prístupových práv, ktoré si sami navrhneme
pre pevné disky a diskety je možno nastaviť prístupové práva (len čítanie, zápis a pod.)
dlhodobé sledovanie prevádzky počítača vrátane registrácie všetkých pokusov o porušenie prístupových práv
karta obsahuje batériu zálohovanú pamäť, v ktorej sú uložené všetky prístupové práva a nastavené parametre
kartu je možné doplniť o nadstavbové moduly pre zálohovanie, kódovanie apod.

Automaticky je zaistená ochrana boot sektorov proti prepisovaniu a formátovaniu.