Viry a trojské koně

Viry a trojské koně

Většina prostých uživatelů má z virů oprávněný strach. Domnívají se, že jim virus zničí snad celý počítač a pak ho mohou jen dát do opravy. Není to tak docela pravda. Kvalitní virus sám o sobě nic škodlivého nedělá, když pomineme ztrátu místa na disku. Z toho lze usoudit, že vir není kouzelník, který nám může zničit počítač, ale (s)prostý program. Samozřejmě že se nevytvoří chybným zacházením s počítačem, ale musí se do počítače nejdříve nějak dopravit, disketa, internet …. To je možné, pokud nebude mít uživatel kvalitní antivirový program, ale to také není vždy pravdou. Viry vytvořené chytrými programátory dokáží nevídané (WIN32/CIH – Černobil).

Virus je program schopný reprodukovat sebe sama do jiného programu aniž by se navenek projevil. Jeho projev je způsoben buď špatným napsáním (naprogramováním) viru, nebo jeho schválně naprogramovanou akcí, logická bomba. Ta jeho akce už vlastně není vir, a tak se dá říct, že je to trojský kůň – program dělající nedokumentovanou akci.

Viry se objevily poprvé v roce 1983, autorem byl Dr. Frederic Cohen, který vytvořil samomnožící se kód, vir. Nebyl to vir s účelem se šířit, ale aby vědec mohl pozorovat jeho průběh. Skutečné podoby, jak je dnes známe se virus dočkal až v roce 1986 – Virus Brain. Zrodil se pod rukama studentů university. I dnes je většina virů šířena právě z universit (Heloween, Spanska …) Byl to výtvor závodů mezi viry a antivirovými programy.

V nynější době jsou viry vybaveny různými schopnostmi, které jim zajišťují dlouhé přežití. Využívají tzv. stealth techniky (ukrývání před antivirovými programy), nebo sami sebe zakódují, aby antivir nenašel přímo šířitelný kód, nebo textovou zprávu, kterou většina virů pododává (Heloween, Slovakia ...).

Počítačový virus je program, který zahrnuje ve svém kódu funkci přikopírovat sám sebe k jinému spustitelnému programu a jeho původní funkce zachovat a z něj se šířit dále. To vše ve většině případů bez vědomí uživatele.

Tato věta by se dala nazvat definicí počítačového viru. Jsou v počítačovém světě, ale ještě podobné programy, které jsou často mylně zaměňovány za viry. Říká se jim Trojské koně.

Trojský kůň se nijak nešíří. Je připojen na stálo k nějakému líbivému programu jako nedokumentovaná část programu. Například můžete dostat od někoho zajímavou nabídku na krásný šetřič obrazovky. Prý v něm jsou 3D efekty a krásná grafika doprovázená zvukovými efekty. To všechno bude pravda, ale už vám nepoví důležitý detail. Váš šetřič obrazovky bude ještě navíc obsahovat funkci zjištění přístupových hesel do vašeho počítače. Také vám může začít dělat problémy typu : Prosíme o nové zakoupení nové verze programu xxxx na to a to. Je totiž dost možné, že si ten program opravdu koupíte a on bude obsahovat dalšího trojského koně, oplývajícího funkcemi o kterých se vám ani nezdálo (format c:, delete *.*, … atd.).

Trojský kůň je program trvale připojený k programu jinému s funkcemi pro zneužívání nebo pomstu.

To je jeden druh Trojských programů. Jsou tu ještě takové o, kterých víme naprosto všechno co dělají se systémem. V nejrůznějších podobách je můžeme dostat na internetu. Stačí se podívat na vhodnou hackerskou stránku a stáhnout si ho. Takové programy slouží právě Vám.

Nijak Vím neuškodí, ba naopak, překvapí vás možností, že vás informují o systému počítače vašeho známého. Stačí mu program nenápadně nahrát do počítače a už si s ním můžete dělat co chcete třeba i po síti. Příkladem takového programu je program RemotePossible, který legálně vyšel na CD-ROMu Internet do kapsy III. Samozřejmě není jediný na tomto CD.

Tak co chtěli byste nasadit ten program ve škole na síť? Ano? Nemusíte to dělat už tam jistě něco podobného je. Všechna práva na něj má však ing. Šerých a je doplňkem Win. NT . Ale nezoufejte, můžete si zkut tam nasadit jiný. Má to ale jeden háček, nový Disco nikdy nejíš sám. Šerých bude za chvíli u tebe.

Byli totiž tací, kteří si to zkusily a dostaly dvojku z mravu.

Šíření virů

Šíření je nejdůležitější vlastností virů, bez ní by se nemohl nazývat vir virem. Není to nic nadpřirozeného, a tak aby se zaktivovala jeho nejdůležitější funkce, musíte ho nejdříve spustit. Není se čeho bát jen při čtení. Podle způsobu spuštění se dělí na další druhy.

Napadají zatím tři druhy objektů.

Programy – soubory jenž se dají spustit. Jsou to soubory s příponou EXE, COM, SYS a ojediněle BAT. Virus připojí svůj kód k programu v dříve zmíněné podobě aniž by nějak poškodil jeho funkce. Systémové oblasti. Útok právě sem umožní viru delší životnost. Napadne boot sektor pevného disku nebo diskety, nebo Partition tabulku pevného disku (Master Boot Record). V systémové oblasti jsou data, která se zpracovávají hned po spuštění počítače a prověření jeho hardwaru.

Dokumenty – soubory vytvořené programy jako MS Word, AmiPro … . Nazývají se makroviry, vir zneužívající služeb poskytovaných např. Wordu. Považují se dnes za viry s největší budoucností.

Virus má možnost napadnout cokoli, ale třeba v tiskárně dokáže nanejvíc popsat papír, ale šířit se nedokáže. Podobné je to se soubory obsahující obrázky (BMP, GIF, JPG …), vir se sem klidně rozšíří, ale dokáže ho tím jen zničit a ne se rozšířit (neobsahuje spustitelný kód). Znamená to pro virus jistou záhubu.

Mezi lidmi jsou různé teorie o akcích virů. Tak například prý dokážou zničit hardware. Je na tom kousek pravdy. Dříve byl hardware ochoten splnit jakékoli přání. Třeba vám chtěl vyhovět, když jste po monitoru chtěl, aby byl „100 hertzový“. Monitor to nedokázal a pak se začal přehřívat a nakonec se přehřál úplně. Nebo dokázal počítač číst z cylindru pevného disku, který má tak vysoké číslo, že se vyšroubovala hlava u harddisku. Nynější součástky jsou chytřejší a autodestrukci již nepovolí. Škoda >;->

Další co se říká docela dost pravdivé i dnes. Vir přežije teplý restart počítače (Ctrl+ALT+DEL).Je to pravda, protože vir tak zůstane načten v paměti RAM, nebo napadne systém. Ovšem vir v paměti může zůstat i bez toho aby napadl systém, kontroluje klávesnici a až se stiskne oblíbená trojkombinace zůstane rezidentní a nedovolí systému aby ho nějak poškodil. Stisk tlačítka Reset však nejde softwareově kontrolovat (to už nepřežije v paměti).

Z diskety vir dostanete pouze když z ní spustíte program nebo ji zapomenete v disketové mechanice při startu počítače. Nedostanete ho tím, že vložíte disketu do počítače, nebo si ji pouze přečtete (dir, musí to být opravdu příkaz, existují programy, které se jmenují dir.exe ). Disketu chráněnou proti zápisu se nedá žádným způsobem zavirovat. Akorát vás může vir požádat o její odemčení. Pak už to jde.

 

 

Typy virů podle způsobu napadení souboru – programu

Stále jsou pouze tři (a jejich kombinace), ale už jinak dělené.

Boot vir – vir napadající systém (boot sektor, master boot record). Dostane se do počítače nabootováním ze zavirované diskety. Původní systém obohatí o další funkce a nějaké zruší.

Souborové viry – napadají soubory se spustitelným kódem. Způsob jakým infikuje další soubory je na pochopení jednoduchý (ale těžko se uskutečňuje v praxi ;-( ).

Nejprve se vir spustí, po té vyhledá soubor vhodný k napadení a napadne ho. Napadení se uskutečňuje tak, že:

vyhledá soubor k napadení

přečte si jeho prvních pár bytů a posoudí zda-li je to ten správný

přečte a zapamatuje si sám sebe (tělo viru)

vloží se někam do programu. Není jen tak někam. Třeba na začátek, na konec, nebo se rozhází po celém programu.

Vloží na začátek napadaného souboru instrukci skoku (jmp) na své tělo a na konec svého těla napíše instrukci skoku na původní program

Soubor zavře a dělá další doprovodné instrukce (pro šíření nepodstatné, třeba výpis nějaké stupidní zprávy)

Takovým virům se říká Link viry. Jsou i viry, které dokáží pouze se nakopírovat na začátek napadaného programu a jeho původní funkce nezachová, zničí ho. Aby se uživatel moc nedivil proč mu ten program nejde, napíše mu třeba, že je nedostatek paměti ať vypne počítač a zkusí to znovu. Takové viry se jmenují viry přepisující virus. Ten nemá moc dlouhou životnost. Je velká pravděpodobnost povšimnutí si divných věcí.

Některé viry využívají vlastností DOSu. Když napíšete jméno programu bez koncovky do příkazového řádku, spustí se program nejprve s příponou com pak exe a nakonec bat. Toho vir využije tím způsobem, že vytvoří program (sám sebe) se stejným názvem jako program „napadený“ a na konec duplikátu napíše instrukci ke spuštění původního programu. Uživatel si tak ničeho nevšimne, když se vir neozve sám. Má tak vládu nad tím co se bude dít. Nejdříve vykoná svoje plány a pak pustí váš program. Tyhle viry mají výhodu, že je nezjistí antivirový program, nepřepisují totiž soubory, nemají moc velkou popularitu. Jeho jméno je doprovodný virus. Virus přímé akce je primitivní vir, co vykoná po spuštění to co chce a pak skončí. Je to typické pro souborové viry přepisující nebo link.

Rezidentní virus se po spuštění běžně nevypne dokud nenastartujete znovu počítač. Vir si klidně sedne dolu do paměti a kontroluje vše co děláte.

Když si pustíte nějaký program, udělá pár kontrolních součtů a hned ho nakazí, nebo při spuštění třeba antivirového programu se rozčílí a třeba smaže váš antivirák, nebo rovnou vykoná známý příkaz format c:. Takový virus se šíří nejlépe a má největší popularitu. Stealth virus používá techniku maskování. Ukrývá se před antivirovým programem. Třeba po spuštění AV odviruje všechny napadené soubory a po skončení prohlížení počítače AV programem vše uvede do původního stavu, ale může Avirovi tak zmást posloupnost instrukcí, že si ho nevšimne. Virus, který se zakóduje, aby ho nenašel AV, se nazývá zakódovaný virus. Vir zakóduje sám sebe a na svůj začátek dá informace jak se rozkódovat (xor ax,bx).

Pozn. Aut.: asi se nedaj jen tak jednoduše napsat v asm.

Polymorfní virus se zakóduje pokaždé jinak (xor ax,0f0fh, xor ax,0fh …).

Dále se dělí podle rychlosti infekce. Fast infector je vir napadající všechny programy co má právě dostupné. Nemá moc dlouhou životnost, ale šíří se rychle. Jako známý vir s rychlou infekcí je vir Slovakia.

Slow infector je jeho pravý opak, a tak mají větší šanci na přežití. K jeho šíření je potřeba splnit několik podmínek.

Pak jsou viry co využívají různé kombinace předešlých virů, nazývají se multipartitní. Ovládají techniku stealth , infekci boot sektoru a jsou ve většině rezidentní. Příkladem je vir ONE_HALF je v boot sektoru kóduje disk a šíří se jako link.

Makroviry jsou zcela jiný druh virů. Nepoužívají už ty nejnižší služby dosu, ale jsou naprogramovány objektově. Ve většině ve wordbasicu. Předělají službu save na službu ulož makro a pak ulož dokument a tím se šíří. Napadají soubory s příponami doc, dot, xls a další kancelářské balíky. Teď se makroviry orientují na excel , má mnohem pestřejší rejstřík funkcí. Makroviry se nešíří necháním diskety v počítači ani jiným způsobem jako ostatní viry. Šíří se pouze v prostředí wordu nebo podobných programech.

Viry se projevují prodlužováním souborů (některé to ale maskují), delším spouštěním programů a dalšími pak už nevýraznými změnami běhu počítače.

Existují ještě viry, které využívají nejrůznějších vlastností os. Například Windows celkem dbá na své registry. Nějaké viry mu v tom pomůžou. Setkal jsem se s virem, který byl v souboru antivir.exe. Není důležité jaký má název. V programu průzkumník se zobrazoval normálně, avšak u AV to bylo jinak. Při spuštění AVG jsem chtěl právě ten soubor najít. Je to divné, ale pro AV ten soubor neexistoval. Po nějakém čase jsem náhodou objevil v adresáři Windows soubor antivir.reg. Hned mi bylo kousek jasný (nejsem programátor, proto omluvte mé neznalosti). Zkusil jsem ho smazat a v registrech pak všechno co se ho týkalo. Pak jsem znovu zkusil AVG. Už jsem ho zkontroloval a zjistil jsem přítomnost viru.

A to není jediné zákeřné místo systému. Tak například si jistě vzpomínáte no to, když do CD mechaniky vložíte disk a za chvíli se vám na monitoru objeví reklama. Je to napsáno v souboru d:\autorun.inf na CD. To systém ví a tak si ho hned po vložení přečte. Že to nesouvisí s virama? Souvisí, v autorunu je napsáno jaký program se má spustit a není vyloučená jeho infekce.

Destrukce

Vir může způsobit destrukci dvěma způsoby. První je logická bomba – chtěná destrukce. A druhá je nechtěná, například nedohodnutí s jiným programem sídlícím na stejném místě jako vir (program je přemazán – komprese disku), nebo nedokonalostí programátora viru.

Antivirový program

To je program vyhledávající ve vašem počítači vir za účelem ho odstranit (ne vždy se to musí podařit – One_Half). Program antiviru obsahuje několik podprogramů. Antivirová kontrola – prohlíží soubory a hledá známý kód viru. Nenajde polymorfní viry. Heuristická analýza – krokuje soubory instrukci po instrukci a tak je možno najít i nový virus.

Nejlepší je kombinovat obě dvě možnosti. Občas se ovšem stane, že vir napadne i antivirový program, a pak při každé kontrole se vir roznese tam, kde ještě nikdy nebyl. AV totiž prohlíží programy a to je důvod ke vzbuzení rezidentního viru, který napadá spouštěné programy. Kvalitní AV dokáže identifikovat 80% virů. Proto tedy máte-li strach z virů, počítač zničte, jinak to udělá vir.

Tvoření virů je trestná činnost.

Ja

 

Maturita.cz - referát (verze pro snadný tisk)
http://www.maturita.cz/referaty/referat.asp?id=2775