Študentské stránky | Bazár skrípt | Odkazovač | Linky

Hľadaj aj na .sk .cz webe


Maturitná otázka z Informatiky č. 21

Počítačové vírusy

Ako počítačové vírusy označujeme manipulačné programy alebo prídavné inštrukcie, ktoré sa po vniknutí do systému skryto množia (kopírujú) a môžu neočakávane meniť činnosť programu - až po naprogramované „sebazničenie“ celých súborov s časovým oneskorením (tzv. časovaná bomba). Vírusy, ktoré prenikli do systému pomocou zdanlivo nevinných programov (tzv. trójske kone), môžu napríklad zničiť ochranu heslom. Ak je váš počítač zapojený do siete, je prístupný aj „hackerom“. Sú to amatéri majúci vysokú úroveň znalostí o počítačoch, ktorí sa zaoberajú prenikaním do cudzích počítačov a vyberaním informácií, najčastejšie iba pre vlastné potešenie. Umiestniť do počítača vírus ako znak ich úspechu je jeden z častých, nie však najšťastnejších trikov a spôsobov „sebarealizácie“.

Vírusy môžu krok za krokom infikovať všetky dátové súbory a urobiť ich nepoužiteľnými. Ich pôvod sa väčšinou nedá dodatočne rekonštruovať, a preto je sabotér len ťažko zistiteľný. Ak je na pevnom disku uložený jediný infikovaný program, sú ohrozené všetky súbory. V rámci siete sa bude vírus šíriť aj na iné počítače a skôr či neskôr bude ním zamorený celý systém. Vírusy sa nevyskytujú iba v súboroch EXE, COM a DBF, ale sú aj vírusy, ktoré napádajú zdrojové texty v jazykoch C, pascal a      basic.

Všeobecné princípy fungovania počítačových vírusov

Formálna definícia: Počítačový vírus je formálne taký program, ktorý môže infikovať ostatné programy (alebo diskety) tak, že do napadnutého programu (diskety) zapisuje svoju (možno modifikovanú) kópiu, pričom tejto kópii je ponechaná možnosť ďalšieho množenia sa.

Pri infikovaní programov (diskiet) sa vírusy môžu šíriť tranzitívne, tzn. od jedného programu k druhému. Nakazené programy alebo ich kópie sa môžu šíriť prostredníctvom diskiet, prípadne počítačovými sieťami. Vzhľadom k spôsobu výmeny programov na disketách dosahuje počet nainfikovaných programov vysoké hodnoty a môže viesť až k „epidémiám“.

Proces infikácie súborov:

1.    Kód nainfikovaného programu sa zmení tak, aby vírus získal riadenie ako prvý, pred hostiteľským programom, a to buď napr. pomocou zápisu skokovej inštrukcie na miesto prvej inštrukcie hostiteľského programu (u súborov typu COM v systéme MS DOS) alebo napr. zmenou informácií v hlavičke súboru (u súborov typu EXE). Teoreticky je možné, že vírus vyhľadáva určité miesto v programe, do ktorého vloží inštrukciu skoku. Nejde však o typickú infekciu, pretože je možné, že inštrukcia je vložená nesprávne, a preto vírus riadenie vôbec nedostane.

2.    Po prebratí riadenia vyhľadáva vírus nový program a zapisuje svoju kópiu do tohto nenainfikovaného programu, a to väčšinou na koniec súboru, zriedka na jeho začiatok. Pokiaľ vírus zapisuje na koniec programu, koriguje vstupný kód nového hostiteľa tak, aby sám získal riadenie ako prvý, a pôvodný vstupný kód umiestňuje v svojom tele. Existujú však aj iné prípady, kedy sa vírus zapisuje do inej časti, napr. do oblasti zásobníka.

3.    Takto prebiehajúca infekcia je charakteristická pre každý vírus napádajúci súbory. Vírusy však môžu okrem množiacich sa častí obsahovať časť deštruktívnu, označovanú ako trójsky kôň alebo vyššie spomínaná časovaná bomba. U osobných počítačov, napr. v operačnom systéme MS DOS, nachádzame aj druhú kategóriu vírusov, a to tzv. bootové vírusy, t.j. vírusy, ktoré napádajú zavádzacie oblasti na vonkajších magnetických médiách: disketách a pevných diskoch. Koncepcia takéhoto vírusu vychádza zo skutočnosti, že základný vstupno - výstupný systém (BIOS) vykonáva z týchto oblastí zavádzanie operačného systému do pamäti počítača. Ak obsahuje zavádzací sektor diskety alebo disku (bootsektor) resp. rozdeľovacia tabuľka pevného disku (partition table) vykonávateľný kód, je tento kód zavedený do pamäti. Ak obsahuje táto tabuľka kód vírusu, je do pamäti zavedený vírus, ktorý zostáva v pamäti rezidentne a tento vírus potom sám zavádza operačný systém. Infekcia sa potom väčšinou šíri nie pomocou súborov, ale nainfikovanými sektormi pružných diskov.

Väčšina vírusov infikuje bootsektor, ale niektoré infikujú rozdeľovaciu tabuľku a sú extrémne nebezpečné. Pôvodnú tabuľku zachovávajú nepresne, a tak je potom možné, že sa ľahko prepíše. V takomto prípade sa dá počítať prinajmenšom so stratou údajov; často však musíme vykonať tzv. low-level alebo nízkoúrovňový formát pevného disku.

 

TRÓJSKE KONE

Trójskymi koňmi bývajú označované programy, ktoré okrem užitočnej funkcie obsahujú skrytú časť, ktorá sa dá aktivizovať po splnení určitej podmienky (zvyčajne ide o viazanosť na určitý dátum, napr. 1. apríl, piatok trinásteho, dátum narodenia Michelangela 6. marca, Nový rok alebo Vianoce). Táto ukrytá časť spravidla vykonáva činnosť de-štrukčného charakteru (modifikácia údajov, vymazanie súborov,     formátovanie disku a pod.)

Ak je bežný program nakazený vírusom, stáva sa nielen ďalším jeho rozširovateľom, ale aj potenciálnym trójskym koňom, ktorého činnosť je priamo úmerná s nebezpečnosťou vírusu.

 

OSOBNÉ POČÍTAČE A MS DOS

Operačný systém MS DOS je vzhľadom k svojej prakticky nulovej kontrole ideálnym prostredím pre vývoj a šírenie počítačových vírusov. Vírus ale nie je program, ktorý by využíval chyby v operačnom systéme. K činnosti vírusu stačí pomerne malá časť operácií, ktoré sú bežne a denne využívané na každom počítači - zápis a čítanie z disku, prehľadávanie obsahu adresára, využitie iných služieb operačného systému - napr. prerušenie TSR (        Terminate and   Stay Resident).

 

Viacpoužívateľské operačné systémy a počítačové siete

Vo viacpoužívateľských operačných systémoch pre lokálne počítačové siete LAN (napr. Novell NetWare) je pozícia počítačového vírusu sťažená z hľadiska možnosti infikovať ostatné súbory. V týchto systémoch totiž existujú podstatne silnejšie prostriedky na ochranu údajov. Na druhej strane však veľmi výrazne klesá možnosť individuálnej kontroly. Naviac pri použití režimu supervizor je neúčinná aj ochrana zabezpečovaná prostriedkami operačného systému. Ak sa podarí vírusovému programu „pracovať“ v režime supervizor, predstavuje preň viacpoužívateľský operačný systém rovnako dokonalé prostredie, ako je MS DOS. V počítačových sieťach LAN, v ktorých sa používa aplikačné programové vybavenie rovnaké ako pod operačným systémom MS DOS, môže dochádzať k jednoduchým infikáciám tiež vtedy, keď sa spúšťajú rezidentné programy na systémovom serveri. Ak pracuje server ako pracovná stanica (tzn. nondedicated mod) a ak je na ňom infikovaný program, má tento vírus oveľa jednoduchšiu pozíciu ako vtedy, keď je spustený z normálnej používateľskej pracovnej stanice (        workstation).

Celá situácia je komplikovaná možným konfliktom medzi prerušeniami, ktoré sa uplatňujú v sieťovom operačnom systéme a vo víruse (napr. konflikt prerušení u vírusu Yankee  Doodle a  Novell  NetWare).

Ani diaľkové siete (WAN) nie sú ušetrené od napadnutia počítačovými     vírusmi.

 

Ako sa správa vírus

Počítačové vírusy zvyčajne škodia v dvoch fázach svojej činnosti. Ide o obdobie latencie, kedy sa vírus neprejavuje alebo sa množí, a o obdobie akcie, kedy spúšťa časovanú bombu. Toto rozlíšenie nie je striktné. Veľa vírusov sa už od začiatku aj rozmnožuje, aj podniká svoju akciu (napr. C648, Dark Avenger). Akcia nemusí byť vždy deštruktívna - napr. jeden z najrozšírenejších vírusov CR1701 pôsobí tak, že z obrazovky začínajú padať písmenká, Yankee Doodle zahrá o 17. hodine melódiu. Väčšina vírusov však v období akcie vykonáva činnosť veľmi nepríjemnú. Na PC môže dôjsť k deštrukcii FAT, zmazaniu súborov, označovaniu dobrých sektorov za chybné, modifikácii používateľských údajov , prepísaní bootsektoru a Master Boot Record, formátovaniu disku, či dokonca k zničeniu hardvéru. Napríklad ide o vysielanie signálu LF (posun o riadok) na tlačiareň. To je príčina krčenia a trhania papiera a možného odlomenia ihličky, rozkmitanie hlavičiek pevného disku, a dokonca ničenie grafickej karty vysielaním chybných signálov. Aj obdobie latencie sa môže prejavovať rôzne. Niektoré vírusy (napr. Dark Avanger, C648) sú nebezpečné hneď od začiatku a infikujú takmer všetko, čo im príde do cesty. Toto obdobie môže trvať rôzne dlho a obdobie akcie je potom viazané na istú situáciu - splnenie istej podmienky.

 

INFIKOVANIE A MNOŽENIE

Vírusy sa zvyčajne rozmnožujú tak, že infikujú program prepisom jeho začiatku na skok na vlastné telo vírusu, ktoré sa potom zapisuje na koniec hostiteľského programu. Toto tvrdenie platí pre takmer 80% známych vírusov poškodzujúcich súbory. Niektoré vírusy prepisujú úplne kód hostiteľského súboru a likvidujú jeho pôvodnú funkciu (napr. vírus 405), prípadne prepisujú svojím telom začiatok programu a kód hostiteľa zapisujú na koniec, alebo sa umiestňujú do          zásobníka.

U bootových vírusov je situácia iná. Tieto vírusy väčšinou prepisujú bootsektor a jeho originálnu časť zapisujú do sektoru, ktorý spravidla označia za chybný, existujú však aj iné možnosti uchovania originálneho boot-sektoru, a to napríklad na nevyužívanú štyridsiatu stopu.

Pri infikácii súboru vírus zvyčajne do nakazeného programu alebo do záznamu v adresári umiestňuje svoj identifikátor, ktorým si „zapamätáva“ infikovanie súboru, a to preto, aby sa vyhol prípadnému nakazeniu tohto súboru druhýkrát (napr. C648 mení čas modifikácie na 62. sekundu, Yankee Doodle zapisuje identifikáciu priamo do súboru). Skutočnosť, že program obsahuje identifikátor vírusu, nezabezpečuje ochranu proti iným vírusom.

 

KDE HĽADAŤ VÍRUS

Prostredie, v ktorom vírusy môžu trvalo existovať a vykonávať svoju činnosť, je samozrejme obmedzené na tieto oblasti a typy súborov:

à      Master Boot Record - oblasť na disku, v ktorej je umiestnená rozdeľovacia tabuľka (partition table)

à      boot-sektor disku, resp. diskety

à      ovladač zariadenia (   driver)

à      súbory typu COM

à      súbory typu EXE

à      prekryvné časti segmentovaných programov (súbory OVL)

à      súbory typu BAT

à      zdrojové texty programov (ak sú skompilované)

Tieto miesta je potrebné systematicky kontrolovať. Svoje telo však môžu vírusy schovávať aj mimo týchto oblastí - záleží na nápaditosti autora. Zatiaľ sa dajú vytipovať tieto oblasti:

à    oblasť zásobníka systémového programu (C346          Lehigh)

à

   začiatok , koniec alebo stred iného programu - voľné bloky v systémových tabuľkách, ako je napr. FAT

à    sektory označené ako chybné

à    zvláštny súbor s     atribútom HIDDEN (skrytý)

 

KLASIFIKÁCIA POČÍTAČOVÝCH VÍRUSOV

Koncepcia klasifikácie počítačových vírusov nie je zatiaľ ešte stále ujasnená. Zrejmé však je , že označovanie vírusu menom (aj keď sa vzťahuje ku konkrétnemu prejavu daného vírusu - napr. Letterfall, t.j. padanie písmen) môže byť síce pochopiteľné pre expertov, nič však nepovie normálnemu používateľovi počítača. Veľmi prehľadným spôsobom klasifikácie je tabuľka, ktorú navrhol J. McAffee vo svojich dokumentačných súboroch k antivírusovým programom SCAN a CLEAN. Obsahuje ju dokument VIRLIST.TXT.

Projekt hostuje Slovaknet.
Ubytovanie | Kúpele | Austrália | Práca v Kanade | Catering | Last minute dovolenka