Virová infiltrace 2 Předmět: Informační a komunikační technologie Autor: Milan Franek
2 Virová infiltrace 2 Obsah: Vznik virů Šíření virů Rozdělení virů
3 Vznik virů V počítači používáme mnoho softwaru. Nějaký si koupíte, nějaký si zkopírujete (shareware) a nějaký se k Vám dostane, aniž by jste o tom věděli. Tyto programy mohou způsobit mnoho nepříjemného a mnohdy i finanční škody. Tento zvláštní a škodlivý software se nazývá „virem“, nebo taky „počítačovou infekcí“. Infiltrace je okamžik, kdy Váš počítač napadne nějaký vir a usadí se ve Vašem počítači aby páchal škodu, nebo v lepším případě si z Vás dělal pouze legraci. Na „trhu“ s viry existuje mnoho různých odrůd a klonů všech možných druhů virů. Můžeme je rozdělit do několika důležitých skupin.
Šíření virů Dnes již má každý počítač pevný disk. Proto se každý virus snaží napadnout pevný disk, nebo paměť počítače a to nejlépe tak, aby se při dalším startu počítače automaticky aktivoval. Šíření je základní a nutnou vlastností programu označovaného jako počítačový virus. K tomu, aby se virus mohl šířit, potřebuje několik maličkostí. Především vhodné prostředí (počítač s operačním systémem, který virus zná a je schopen jej používat) a objekty, které dokáže napadnout (a které jsou nějakým způsobem šířeny). Na počítačích označovaných jako PC známe zatím pouze tři typy objektů, které mohou být napadeny virem: 4
Šíření virů Spustitelné soubory Jedná se obvykle o soubory s příponami EXE, COM, SYS. Program může být uložen i v souboru s jinou příponou, když rozsáhlejší systém používá několik různých modulů a nahrává si je do paměti sám podle potřeby. Bývá zvykem takové soubory označit příponou OVL, ale často jim jejich autoři dávají zcela nahodilé přípony. Systémové oblasti Cílem virové nákazy mohou být tyto systémové oblasti Partition tabulka Boot sektor pevného disku Boot sektor ext. disků. Tyto systémové oblasti obsahují kód, který je vykonáván při startu počítače. Dokumenty, které obsahují makra Jde o texty napsané v Microsoft Wordu (obvykle mají příponu DOC nebo DOT), tabulky z Excelu (obvykle XLS) a některé další datové soubory. 5
Rozdělení virů Bootviry napadají pouze systémové oblasti (podrobněji na dalších snímcích) Souborové viry napadají pouze soubory (podrobněji na dalších snímcích) Multipartitní viry napadají soubory i systémové oblasti Makroviry napadají soubory obsahující makra 6
7 Rozdělení virů Boot-viry jsou viry napadající boot sektor pevného disku nebo diskety. je vyhrazená oblast v pevném disku nebo v jiného podobného zařízení, obsahující krátký a pro běžné uživatele nepřístupný program, důležitý pro zavedení operačního systému. Programové viry jsou viry napadající programy, přesněji řečeno spustitelné části programu, tedy soubory s příponou.COM a.EXE můžeme je rozdělit ještě do dvou podskupin a to na viry, které přepisují část programu (tudíž program nepracuje) viry, které pouze připíší program viru k napadenému programu, ale program nadále pracuje
Rozdělení virů Makroviry skupina speciálních virů, které jsou napsány v takzvaném „makrojazyce“, což je programovací jazyk pro vícero programů hlavně se to týká kancelářských balíků (MS Office) ve kterých si může uživatel napsat v tomto jazyce potřebný program. tyto viry se přenášejí v textových a tabulkových dokumentech, jako jsou Word a Excel Doprovodné viry jsou to viry využívající MS-DOS a souborů autoexec.bat a config.sys. Příklad : na příkazové řádce napíšete dosovský příkaz, který má spustit příslušný program. Vir podstrčí místo tohoto programu svůj program a tímto ho uživatel spustí. Většina těchto virů je „vylepšena“ o to, že když se vir spustí a dokončí operaci (např. množení), spustí se požadovaný program, takže uživatel nic nepozná. 8
Doprovodný vir : 9
Rozdělení virů Clusterové viry je to velmi úzká řada virů. Napadají FAT tabulku a mění ji, aby místo na soubor ukazoval na příslušný vir. Polymorfní viry jsou viry, které se umějí zakódovat mnoha různými způsoby, takže se velmi těžko hledají. Mohou mýt až několik miliard možných podob. Rezidentní viry jsou viry napadající po své aktivaci operační paměť a poté dokážou zasáhnou do činnosti počítače kdykoliv a jakkoliv. Drtivá většina všech virů jsou viry rezidentní. „Stealth“ viry jsou speciální skupinou rezidentních virů. Jsou důmyslně maskovány a tak při snaze antivirového programu o zjištění údajů, které by vedli k odhalení viru vracejí původní údaje. Proto používají antivirové programy speciální techniky pro zjištění údajů o pevném disku a paměti. 10
Rozdělení virů Bootovací viry se šíří pomocí médií. Pokud spouštíte počítač, snaží se po spuštění najít operační systém. U většiny počítačů (záleží na nastavení) se nejdříve počítač podívá na mechaniku pro disk, a pokud tam nenajde žádné médium (disk) potom hledá pevný disk pokud v mechanice médium je, počítač se snaží na něm najít systém pokud je médium napadeno bootovacím virem, virus se automaticky přenese do počítače při dalším startu se již spouští z pevného disku. Samozřejmě že se nemusí dostat do počítače jen při startu, ale i kdykoliv během používání napadených médií. Potom se vir šíří na další média, která nejsou chráněny proti zápisu a je na ně cokoliv zapsáno. 11
Rozdělení virů Souborové viry a doprovodné viry se přenášejí pomocí souborů. Počítač infikují spuštěním tohoto souboru, nebo součásti, která infikovaný program využívá. viry můžete získat na disketách, CD, z Internetu, po modemu ze stanice BBS a mnoha jinými způsoby. Tyto viry se po aktivaci snaží napadat ostatní programy v počítači, které poté šíří virus dále. Makroviry se také snaží napadat ostatní dokumenty a to zejména často spouštěné. u textového editoru Word (Microsoft) se makroviry snaží napadnout dokument „normal.dot“, což je dokument, který se otevře při vytvoření nového dokumentu (tlačítko nový). Tímto je dosaženo, že každý nový dokument, který napíšete je napaden tímto virem. Link viry označujeme ty souborové viry, které infikují soubor a zachovají jeho funkce. 12
Souborový vir : 13
14 Souborový link vir :
Multipartitní viry Hlavní výhodou bootvirů je to, že se dostanou do paměti jako vůbec první program zaváděný z disku nebo diskety. Díky tomu mají k dispozici informace o stavu počítače bezprostředně po jeho startu a mohou také ovlivňovat činnost všech následně spuštěných programů. Multipartitní viry dokáží infikovat nejen Partition tabulku pevného disku, ale i spustitelné soubory. Při útoku na soubor mohou multipartitní viry použít libovolný postup souborové infekce a napadení systémové oblasti je shodné s technikami používanými běžnými bootviry. Jediná technicky obtížnější pasáž spočívá v tom, že multipartitní virus se po svém zavedení ze systémové oblasti do paměti musí chvíli chovat trpělivě – počkat, až bude dokončeno zavádění operačního systému a teprve poté převzít kontrolu. 15
Jedno moudro k dobru a zdarma Samozřejmě, že ne všechny viry se snaží Váš počítač zničit. Většina virů jsou dílem programátorů, kteří na sebe chtějí pouze upozornit. Ale existují viry které Vám mažou nebo přepisují soubory, kazí práci a dokonce ničí hardware. Existují také názory, že většinu virů produkují společnosti, které vymýšlí antivirové programy. 16
Použité zdroje informací 160&num=10&um=1&hl=cs&biw=1280&bih=620&tbm=isch& tbnid=m5h15xLhfUqA1M:&imgrefurl= achrante-co-muzete-smazana-data-z-usb-cd-i-pevneho- disku-pk0-/sw_internet.aspxhttp:// 160&num=10&um=1&hl=cs&biw=1280&bih=620&tbm=isch& tbnid=m5h15xLhfUqA1M:&imgrefurl= achrante-co-muzete-smazana-data-z-usb-cd-i-pevneho- disku-pk0-/sw_internet.aspx &bih=620&gbv=2&tbm=isch&tbnid=1HhxOuLbFvNQaM :&imgrefurl= id=e5EUITVhQjsZ6M&imgurl= geshttp:// 1280&bih=620&gbv=2&tbm=isch&tbnid=1HhxOuLbFvNQaM :&imgrefurl= id=e5EUITVhQjsZ6M&imgurl= ges myths/ myths/ Wikipedia