Fotoshow

Monument Valley
USA

Tři soutězky
Čína

Info

Dnes je

svátek má .

Počasí Olomouc - Slunečno.cz


Počítačové viry

Pojem virus se zapsal do podvědomí lidí nejvíce a proto jsou takto často označovány veškeré typy infiltrací, bez ohledu na to, zda jde opravdu o virus, trojského koně nebo červa. Samotné rozdělení infiltrace je problémem, typy infiltrací se navzájem prolínají a nelze je proto jednoduše přesně zařadit. Následující přehled je tedy jednou z mnoha variant.

Typy počítačových virů:

- podle způsobu šíření
tj. počítačový virus – potřebuje hostitelskou aplikaci, trojský kůň – vykonává kromě činnosti očekávané i činnosti uživateli skryté, zadní vrátka – otevření PC útočníkům, síťový červ – využívá vzniklé bezpečnostní díry, šíří se převážně přes internet.

- podle času projevu
tj. viry aktivující se okamžitě, aktivující se k určitému datu nebo aktivující se při určitém úkonu.

- podle nebezpečí
tj. viry destruktivní – mažou a poškozují soubory, nedestruktivní – většina současných, snaží se neupozorňovat na sebe.

- podle napadených oblastí
tj. viry Boot viry – spíše působily v OS MS DOS, souborové viry – nejčastěji útočí na soubory s příponami com, exe, ovl, bin, sys, bat, obj, prg, mnu. Viry tyto soubory přepisují (zapříčiní chybu programu), obsah souboru mohou i zcela nahradit, mohou se také přilepit buď na začátek nebo konec souboru, často se přidají ke spustitelnému souboru a vygenerují nový spustitelné soubor s jinou příponou atd.

- podle umístění v paměti
tj. viry rezidentní – aktivní v operační paměti, např. boot viry, nerezidentní – většinou souborové viry.

- podle chování
tj. stealth viry – ukrývají modifikace, které provedly na souborech nebo boot-sektorech, matou antivirové programy, maskují velikost nebo obsah souboru, polymorfní viry – zašifrují své tělo, dešifrovací rutina se mění s každou instalací viru, retroviry – virus, který se snaží uniknout odhalení např. mazáním datových souborů se signaturou, popisem virů.

.....

Základní pojmy

- malware - počítačový program určený ke vniknutí nebo poškození počítačového systému. Výraz vznikl složením anglických slov "malicious" (zákeřný) a "software", zahrnuje počítačové viry, trojské koně, spyware a adware.

- vir - škodlivý kód schopný se množit, ovšem jen prostřednictvím hostitelského souboru. Tím mohou být např. *.exe soubory, systémové oblasti disku, popřípadě soubory patřící nějaké aplikaci (dokumenty Microsoft Wordu, skripty Visual Basicu apod.). Jakmile je tento hostitel spuštěn, provede se rovněž kód viru. Během tohoto okamžiku se obvykle virus pokouší zajistit další rozmnožení a to připojením k dalším vhodným vykonatelným hostitelům.

- trojský kůň - na rozdíl od virů není tento typ škodlivého kódu schopen sebe-replikace a infekce souborů. Trojský kůň nejčastěji vystupuje pod spustitelným souborem typu *.exe, který neobsahuje nic jiného, než samotné "tělo" trojského koně. Odtud společně se skutečností, že trojan není připojen k žádnému hostiteli plyne, že jedinou formou dezinfekce je odmazání dotyčného souboru. Mezi trojany patří např. Password-stealing trojani, sledují jednotlivé stisky kláves, a tyto ukládá a následně i odesílá na dané e-mailové adresy. Majitelé těchto emailových adres (nejčastěji samotní autoři trojského koně) tak mohou získat i velice důležitá hesla. Tento typ infiltrace lze klasifikovat i jako spyware. Klasickou formou, pod kterou je pojem trojských koní obecně chápán, jsou destruktivní trojani. Pokud je takový trojský kůň spuštěn, pak likviduje soubory na disku, nebo ho rovnou kompletně zformátuje. Častou hrozbou jsou kódy označované jako Proxy Trojan, z infikovaného počítače se může stát intenzivní odesílatel spamu. Při využití proxy je téměř nulová šance, že bude vypátrán skutečný autor nevyžádané pošty. Download Trojan může zase stáhnout další škodlivé soubory, tj. adware nebo spyware atd.

- backdoor - aplikace, sloužící pro vzdálenou správu PC a sama osobě nemusí být škodlivá. Záleží pouze na osobě, která tuto vzdálenou správu vykonává. Pokud půjde o činnost škodlivou, pak tuto osobu nazýváme vzdáleným útočníkem. Celá komunikace probíhá ve většině případů na bází TCP/IP, která ve spojení s celosvětovou sítí Internet umožňuje, aby útočník byl vzdálen tisíce kilometrů od serverové části backdooru.

- červi (worms) - pracují na nižší síťové úrovni nežli klasické viry. Nešíří se ve formě infikovaných souborů, ale síťových paketů. Jmenované pakety jsou směrovány již od úspěšně infikovaného systému na další systémy v síti Internet. Pokud takový paket dorazí k systému s bezpečností dírou, může dojít k jeho infekci a následně i k produkci dalších "červích" paketů. Šíření červa je tedy postaveno na zneužívaní konkrétních bezpečnostních děr operačního systému. Z výše uvedených charakteristik plyne, že červy nelze detekovat klasickou formou antivirového softwaru. Vedlejším efektem může být kompletní zahlcení místní sítě. S červy je spojen největší incident v historii internetu, v roce 2003 červ Lovsan / Blaster zamořil doslova celou planetu neustále se restartujícími počítači. Červ by se proslavil ještě více, kdyby mu vyšel úmysl s hromadným útokem na server Microsoftu windowsupdate.com, kdy všechny červem infikované stanice měly zahájit společné "bombardování" tohoto serveru obrovským množstvím síťových paketů a vyřadit jej z provozu.

- spyware - malá utilita, která se na instaluje spolu s instalací jiného programu a pak posílá informace o vámi navštívených stránkách, vašich heslech atd. na jiné PC v síti.

- adware - obvykle jde o produkt, který znepříjemňuje práci s PC reklamou. Typickým příznakem jsou "vyskakující" pop-up reklamní okna během surfování, společně s vnucováním stránek.

- rootkit - sada počítačových programů a technologií, pomocí kterých lze maskovat přítomnost zákeřného software v počítači, tj. přítomnost virů, trojských koňů, spyware atd. Rootkit technologie maskuje přítomnost zákeřných programů skrýváním adresářů, v nichž jsou instalovány, položek registru Windows, běžících procesů či síťových spojení tak, aby přítomnost zákeřného software nebyla běžně dostupnými systémovými prostředky odhalitelná.

- phishing - podvodné e-maily, kdy jsou na velké množství adres rozeslány podvodné dopisy, které na první pohled vypadají jako informace z významné instituce, nejčastěji banky. Tyto dopisy plně využívají tzv. sociální inženýrství (matení lidí). Příjemce je informován o údajné nutnosti vyplnit údaje v připraveném formuláři. V emailu bývá uveden odkaz na připravené stránky s formulářem, které jakoby odkazovaly na server této významné instituce. Ve skutečnosti je uživatel přesměrován na cizí server, ale vytvořený ve stejném designu, jako jsou stránky "pravé" instituce. Chycený uživatel nemusí poznat rozdíl a vyplní čísla účtu, kódy k internetovému bankovnictví, pin pro platbu atd.

- dialer - program, který změní způsob přístupu na Internet prostřednictvím modemu. Místo běžného telefonního čísla pro Internetové připojení přesměruje vytáčení na čísla s vysokou tarifikací, tzv. "žluté linky". Éra dialerů se ale týká pouze analogových tel. linek (dial-up) a netýká se ADSL a jiných moderních technologií.

- přítomnost zmiňované havěti může vést například k stahování a instalaci dalšího škodlivého softwaru, který může v konečném důsledku vykrádat citlivé informace uživatele a odesílat je útočníkovi (certifikáty, hesla pro přístup k bankovnímu účtu, PINy...), popř. komplikovat uživateli život tím, že jeho infikované PC je zneužito pro odesílání nevyžádané pošty - SPAMu (trestné), popř. tím, že bude poskytovatelem odpojen od Internetu (kvůli velkému síťovému provozu). Viditelným projevem je změna chování PC - běží pomaleji, odkazuje na jiné stránky, než které uživatel požaduje, obtěžování reklamou... Kromě typického spamu můžeme narážet i na zprávy, které jsou označovány jako HOAX. V počítačovém světě slovem HOAX nejčastěji označujeme poplašnou zprávu, která varuje před neexistujícím nebezpečným virem nebo jiným neexistujícím nebezpečím. V praxi můžeme použít následující pravidlo: "Jestliže zpráva obsahuje výzvu k hromadnému rozeslání na další adresy, je to s největší pravděpodobností HOAX."


Historie počítačových virů

Historie počítačových virů je stará téměř jako samotné počítače, zasahuje do éry sálových počítačů na přelomu 60. a 70. let 20. stol. V 80. letech se s nárustem popularity osobních počítačů rozšířily i počítačové viry. Šířily se po síti, v počítačích prováděly nějakou nekalou a nedokumentovanou činnost. Vývoj počítačových virů lze prozkoumat podle nejznámějších případů z historie.

- v roce 1982 se objevil první počítačový volně se šířící vir. Jmenoval se Elk Cloner, napadal počítače Apple II a šířil se pomocí disket.

- vir Brain z roku 1986 napadal 360kB diskety a rozšířil se po světě téměř okamžitě. Tajemstvím jeho úspěchu byla společnost nepřipravená na fenomén počítačových virů. Vir byl vytvořen v Pákistánu, rozšířili jej dva prodejci softwaru, aby zjistili rozsah počítačového pirátství v Pákistánu. Jejich experiment opustil hranice Pákistánu. Je také zajímavé, že vir jako první využíval stealth techniku. Jestli se OS pokoušel číst z infikovaného sektoru, vir ho nahradil čistým původním sektorem.

- prosinci 1987 vznikla první síťová virová epidemie nazývaná Christmas Tree. Vir se rozšířil hlavně na síťích univerzit. V čtyřech dnech paralyzoval síť, která byla přeplněna kopiemi toho viru. Při startu vir ukazoval obrázek vánočního stromku a poslal své kopie všem uživatelům sítě.

- v pátek 13. roku 1988 několik společností a univerzit v mnoha zemích světa chytilo vir Jerusalem, který způsobil skutečnou pandemii. Objevovaly se zprávy o infikovaných počítačích z Evropy, Ameriky a ze Středního východu. Vir dostal jméno po jednom z míst, kde udeřil - Jeruzalémská univerzita. I přes tisíce infikovaných počítačů tyto viry stále zůstaly nepovšimnuté, odborníci je ignorovali a byly považovány za mýtus.

- v listopadu 1988 vznikla totální epidemie způsobená virem Morris, známý jako internetový červ, od studenta Roberta Morrise. Tento vir infikoval více než 6000 počítačových systémů v USA (včetně výzkumného ústavu NASA) a prakticky omráčil jejich práci. Kvůli nevyrovnanému kódu vir posílal neomezeně kopie sama sebe k dalším sítím, jako vir Christmas Tree. Proto kompletně paralyzoval všechny síťové zdroje. Morrisův červ způsobil ztráty odhadované na 96 milionů dolarů, k rozmnožování užíval chyby v operačních systémech, a zužitkoval několik myšlenek, jako na příklad sbíral uživatelská hesla.

- v roce 1989 se vyskytl vir Datacrime, byl extrémně nebezpečný, formátoval harddisk. Tento vir způsobil hysterii v hromadných sdělovacích prostředcích v Holandsku a Velké Británii.

- od roku 1992 téměř vůbec nevznikají viry pro jiné počítače než pro IBM PC a OS MS-DOS. Chyby v sítí jsou opravené a síťové červy ztratily schopnost se rozšiřovat. Nejvíce se šíří souborové a bootovací viry. Počet virů roste geometrickou řadou. Proti nim vznikají rozmanité antivirové programy.

- v březnu 1992 vznikla epidemie viru Michelangelo (známý jako "March6") a následující hysterie. Pravděpodobně toto je první známý případ, kdy antivirové společnosti záměrně nechránily uživatele před nebezpečím, ale přitahovaly pozornost k jejich produktu s cílem vytvořit zisky. Jedna americká antivirová společnost oznámila, že 6. března budou zničeny informace v pěti stech milionech počítačů. Následkem tohoto rozruchu vydělaly jiné antivirové společnosti. Ve skutečnosti trpělo tímto virem jen 10 000 počítačů.

- novou éru ve tvorbě virů nastaroval ke konci roku 1992 první Windows vir, který napadá spustitelné soubory pro Windows. V roce 1994 rychle získaly popularitu CD disky a problémy s viry na CD se stávaly důležitějšími. Existuje mnoho případů rozšiřování virů, kdy na trh bylo posláno několik tisíc zavirovaných CD.

- jeden z přelomů v historii virů a antivirů se stal v srpnu 1995. Objevil se první životaschopný vir pro Microsoft Word nazvaný Concept. V jediném měsíci vir obešel svět a stal se jedničkou ve statistickém výzkumu. O rok později se objevil Laroux - první vir pro Microsoft Excel. Oba byly založeny na makrech. Takové programy mohou být obsaženy v dokumentech Microsoft Excelu a Microsoft Wordu.

- v prosinci 1996 vznikl první rezidentní vir pro Windows95 - Win95.Punch. Zůstává v paměti Windows jako VxD řadič, hlídá přístup k souborům a napadá Windows EXE soubory, které jsou otvírány.

- v roce 1998 pokračovaly virové útoky na MS Windows, MS Office a na síťové aplikace. Kromě toho se objevovalo mnoho trojských koní, které se snažily krást hesla k přístupu na Internet. Počátkem tohoto roku vznikla ve Francii epidemie virové rodiny Win32.HLLP.DeTroie. Nejen že nakazí Windows32, ale také byl schopný přenášet k "vlastníkovi" informace o počítači, který byl infikován.

- jedna z největších epidemií nastala v červnu 1998. Na začátku to byla masa, pak se stala globální a pak to lze vyjádřit jen slovy jako počítačový holocaust. Vir Win95.CIH, později novináři pojmenován jako Černobyl, byl poprvé zaregistrovaný na Taiwanu, kde neznámý hacker poslal infikované soubory do místní internetové konference. Odtud se vir rozšířil v USA a začal se šířit pomocí infikovaných počítačových her z několik populárních serverů do celého světa. Právě tyto napadené soubory způsobily, že tento vir dominoval počítačovému světu po celý rok. Podle hodnocení "popularity" vir vytlačil Word.CAP a Excel.Laroux. Tento vir každého 26. dubna vymazal Flash BIOS, což v některých případech mohlo zničit základní desku.

- v únoru 1999 se objevil jeden z dalších červů, který se dokázal šířit prostřednictvím emailové zprávy. Jmenoval se Happy99 (W32/Ska) a jeho princip šíření byl jednoduchý: ke každé odesílané zprávě připojil svoje tělo (ve formě souboru HAPPY99.EXE, který byl v příloze) a doufal, že ho adresát spustí (pak se celý proces opakoval s tím rozdílem, že adresát byl odesílatelem). Za pár dní dokázal Happy99 to, co ostatní viry nedokážou za několik měsíců - masivně se rozšířit.

- v roce 2000 se další velkou novinkou stal makrovir W97M/Melissa. Ten se mimo jiné dokázal šířit opět prostřednictvím emailové zprávy. Netrvalo dlouho a autor makroviru Melissa byl za pomoci organizace FBI vypátrán. Ve stejný rok se objevil červ ExploreZIP, který se za krátkou dobu rozšířil ještě více než kolega Happy99.

- hitem se ale stal vir ILOVEYOU. Dostanete ho jako e-mail s předmětem ILOVEYOU, jehož obsahem je věta: kindly check the attached LOVELETTER coming from me. A v příloze je soubor LOVE-LETTER-FOR-YOU.TXT.vbs. Pokud tento soubor spustíte, nastaví se vir pro spouštění při každém startu počítače a všechny soubory na lokálních a síťových discích s příponami JPG, JPEG, MP3, MP2, VBS, VBE, JS, JSE, CSS, WSH, SCT a HTA nahradí a přepíše svou kopií. Dále se na všechny adresy v adresáři Outlooku odešle tatáž kopie souboru.

Směr, jakým se viry budou vyvýjet je již načrtnutý. Viry budou ke svému šíření používat především Internet a aplikace MS Windows. Jedno je jisté, viry jsou vždy o krok dopředu před antivirovými programy.