Počítačové vírusy Michal Daxner

Malware (škodlivý softvér) Červy (worms) Trójske kone (Trojans) Exploity Rootkity Dialer-y Keylogger-y Logické bomby Vtípky (Joker) Flooder-y Downloader-y Klasické vírusy

Poddruhy: Mass Mailer, Octopus, Rabbit Červy (Worms) Červy, niekedy označované za sieťové vírusy , na rozdiel od klasických vírusov nepotrebujú hostiteľský program na infekciu počítača. Šíria sa sieťou, väčšinou na infekciu nie je potrebný zásah používateľa. Poddruhy: Mass Mailer, Octopus, Rabbit

Trójske kone Sú to navonok užitočné programy so skrytým škodlivým kódom. Často vznikajú upravením normálnych programov (pridaním škodlivého kódu) . Patrí sem Backdoor trójsky kôň

Exploity, Rootkity Exploit je program ktorý využíva slabiny niektorých bežne nainštalovaných programov, aby prenikol do systému a prinútil ho vykonať ním určený kód. Rootkit je sada nástrojov, ponúkajúca autorovi možnosť získať administrátorské právomoci na infikovanom systéme

Dialer-y, Keylogger-y Dialer bol rozšírený v dobách vytáčaného pripojenia na internet. Pozmenil vytáčané číslo tak, že sa spojenie uskutočnilo cez číslo s vyššou tarifou, z ktorej mal autor Dialeru zisk. Keylogger slúži na zachytávanie citlivých informácii napísaných na klávesnici.

Logické bomby, Jokery Logické bomby sú často súčasťou normálnej aplikácie, ale majú v sebe škodlivý kód priamo od autorov. Akýsi Easter Egg naruby. Joker je aplikácia bez škodlivého kódu a jeho úmyslom je iba naštvať užívateľa, ktorý sa stal jeho obeťou.

Flooder, Downloader Flooder je škodlivý kód určený na zaťažovanie siete zbytočným prenosom dát a požiadavkami. Používajú sa na DDoS (Distributed Denial of Service) útoky. Downloader sa do systému dostane často pomocou exploitu a následne sťahuje a inštaluje na systém ďalší malware.

Klasické vírusy Podľa definície Freda B. Cohena je vírus spustiteľný, alebo interpretovateľný program , ktorý infikuje iné programy, tým že sa vpíše do ich tela a zvyšuje tak šancu byť znovu aktivovaný.

Klasické vírusy- delenie Podľa škodlivosti: neškodné, stredne škodlivé a nebezpečné Podľa toho ako sa správaju v pamäti: vírusy priamej akcie (nerezidentné) a rezidentné Podľa prostredia a metódy infekcie Podľa spôsobu obrany proti detekcii

Deštrukčné účinky vírusov Takzvaný trigger vírus, ktorý vykoná deštrukčnú činnosť pri určitej udalosti alebo dátume Vírusy ktoré svoju deštrukčnú činnosť vykonávajú pri každom spustení

Boot vírusy Napádajú MBR sektor disku, ktorý odložia na nepoužívané miesto MBR – Master Boot Record obsahuje : Table Partition ( tabuľka partícií ) ( info o počte partícií, o ich veľkosti, o ich umiestnení, o použitom súborovom systéme ) Boot Loader (jeho úvodná časť ) pre spustenie operačného systému alebo Boot Manager ( XOSL ) pre možnosť voľby z nainštalovaných operačných systémov

Súborové vírusy Napádajú binárne vykonávateľné súbory (COM, EXE, DLL,OVL.... Na Microsoft platformách, ELF na Linux platformách)

Súborové vírusy Predpisujúci vírus Prepisujúci vírus Program je poškodený a tým čiastočne alebo úplne nefunkčný Program funguje bezo zmeny, nie je vidieť vplyv infikovaním vírusu

Súborové vírusy Hole cavity infekcia Pripisujúci vírus vkladajúci vírus Pripisujúci vírus

Makro vírusy Makro vírusy infikujú programy používajúce makrá.

Súborové vírusy Satelitné vírusy (companion viruses) sú vírusy využívajúce špecifiká daného OS, ako napr. uprednostnenie programu s koncovkou COM pred programom s rovnakým menom a koncovkou EXE Premenúvajú vykonateľné súbory a potom sa zapíšu do súboru s rovnakým menom Link vírusy využívajú na infikáciu dátové štruktúry súborového systému, kde sa doslova prilinkujú k obsahu súboru

Makro vírusy Využívajú existenciu tzv. AutoMakier, ktoré sa vykonávajú automaticky alebo predefinujú niektoré zabudované makrá Infikujú šablóny dokumentov, aby zaistili svoje spustenie Rôzne techniky prevencie detekcie ( ich zistenia )

Skriptovacie vírusy Shell a BAT vírusy: využívajú možnosti interpretera príkazov daného OS, niekedy obsahujú aj binárny kód JavaScript a Visual Basic vírusy: JavaScript na infikovanie počítača využíva funkcii ActiveX. Vírusy vo VBScript zvyčajne bývajú spustené užívateľom Hocijaký iný interpretovaný jazyk Iný formát súboru obsahujúci skripty

Metódy prevencie detekcie Stealth vírusy sú väčšinou rezidentné, menia všetky požiadavky na čítanie z disku, ktoré by mohli odhaliť infekciu súboru, tak že podstrčia čistú kópiu aplikácii, ktorá o čítanie požiadala Stealth môže pôsobiť na rôznej úrovni: - zahákovaním sa na funkcie OS (najvyššia) - menením obsluhy prerušenia (nižšia) - čistením dát už v diskovom bufferi (hardverová úroveň)

Tunelujúce vírusy Aktívne metódy obrany Fungovaním na čo najnižšej vrstve k hardvéru Obsluhy prerušenia menia priamo v rutine obsluhy, nepresmerovávajú obsluhu na seba Využívaním nedokumentovaných funkcii OS.

Šifrujúce a polymorfné Šifrujúce vírusy šifrujú svoje telo XOR šifrou s jednoduchým generovaným kľúčom, (de)šifrovacia rutina ostáva nezašifrovaná Polymorfné vírusy šifrujú svoje telo a menia aj (de)šifrovaciu rutinu pridaním balastného kódu, ktorý pre funkciu nemá význam a poprehadzovaním kódu

Detekcia vírusu – Antivírusové programy (1) Detekcia známych vírov spočíva v odhalení známeho vírusu pomocou sekvencie, ktorá je vo vírusovej databáze zanesená ako jeho identifikátor. Na základe tohoto typu nálezu sa rozbieha detailná analýza, vedúca k jednoznačnej identifikácii nákazy. Generická detekcia používa sa na rozpoznanie nových variantov vírusov. Pokiaľ nie je nájdený známy vírus, hľadajú sa sekvencie typické pre určitý vírus, ktoré sa pri jeho modifikáciách obvykle nemenia a nemusia ani súvisieť s "vírusovým " chovaním. Tato metóda je účinná predovšetkým pri detekcii makro vírov a skript vírov.

Detekcia vírusu – Antivírusové programy (2) Heuristická analýza spočíva v schopnosti v určitých prípadoch odhaliť vírus, ktorý doposiaľ nie je vo vírusovej databáze. Statická heuristická analýza – hľadanie podozrivých dátových konštrukcií. Dynamická heuristická analýza - emulácia kódu, to znamená jeho spustenie v chránenom prostredí virtuálneho počítača vnútri antivírového programu a hľadanie typických akcií, odpovedajúcich správaniu vírusu. Príkladom môže byť program, ktorý vyhľadáva spustiteľné súbory a modifikuje ich. Test integrity ukladanie informácie o zmenách definovaných súborov na pevnom disku čo prispieva k odhaleniu nežiadúcich zmien.