Počítačové viry
Osnova: 1. Úvod 2. Co to jsou počítačové viry? 3. Historie virů 4. Typy virů 4.1 Trojské koně a Červi 4.2 Souborové viry 4.3 Bootviry 4.4 Multipartitní viry 4.5 Makroviry 5. Důvody vzniků virů 6. Jak se viry prakticky projevují 7. Antivirové programy 7.1 Historie Antivirového programu 7.2 Nejznámější Antivirové programy 8. Internet – specifický druh virového nebezpečí 9. Nejznámější viry v historii počítačů a jejich následky 10. Citace 11. Závěr 12. Příloha – obrázky 13. Zdroje
1. Úvod Před 20 lety počítačový virus nikoho nezajímal, protože osobní počítače nebyly tak rozšířeny jako dnes. Nyní patří počítač do každé domácnosti a tak se i počítačový vir může dostat prakticky i do našich sfér života. Stává se z něj společenský problém týkajících se všech lidí. Touto prací bych chtěl objasnit lidem co to je počítačový vir, co způsobuje, jak se dělí a hlavně jak se proti nim bránit.
2. Co to jsou počítačové viry? Počítačový vir není nic jiného než ,,pouhý‘‘ program. Na rozdíl od většiny programů, které se snaží uživatelům zjednodušovat a ulehčovat práci, počítačový vir se snaží o opak – zmást uživatele, způsobit nefunkčnost vybraných programů a v tom nejhorším případě smazat cenná data nebo rovnou celý disk. Je schopen se bez vědomí uživatele množit a provádět nežádoucí operace. Protože z každého zavirovaného programu může být nakaženo mnoho dalších programů, připomíná množení viru řetězovou reakci. Každý vir, ať už se jedná o jakýkoliv typ, je svým způsobem nebezpečný a pochopitelně v počítači nežádoucí. K jeho zlikvidování existují tzv. antivirové programy, které vir dokážou vyhledat a odstranit.
3. Historie virů V roce 1983 sestrojil Dr. Frederick Cohen první samomnožící program, který se začal označovat jako vir. Jednalo se o neškodný kód, jenž se uměl pouze sám množit. První škodlivý vir s názvem Brain naprogramovali v roce 1986 bratří Basid a Amjad Farooq Alvi. Tím odstartovali éru počítačových virů. Brain byl oproti některým dnešním virům pouhým pohlazením, protože autoři virů znají a předávají si mezi sebou moderní techniky, které umožňují virům měnit svůj vlastní kód, ukrávají se před antivirovými programy a disponují spoustou dalších triků.
4. Typy virů Trojské koně a Červi Souborové viry Bootviry Multipartitní viry Makroviry
4.1 Trojské koně a Červi Trojský kůň(Trojan Horse) - jedná se o speciální typ programu, který je často označován za typ viru. Tento program ale není schopen šíření vlastního kódu. Jeho účelem je vykonat určitou činnost (většinou vtip). Identifikace probíhá většinou pouze na základě názvu (a datumu) souboru. Červi (Worms) - speciálním typem virů jsou červy. Neinfikují soubory, ale šíří se prostřednictvím počítačové sítě (většinou jako příloha e-mailu). Techniky možného šíření jsou zpravidla dvě: dvojitá přípona např. .PCX.EXE - Windows zpravidla zobrazí pouze první, takže uživatel si myslí, že se jedná o obrázek (.PCX), ne spustitelný soubor (.EXE) a HTML scripty, které zajišťují automatické spuštění přílohy. Proti červům se můžete chránit nastavením vyšší úrovně bezpečnosti ve vašem e-mailovém klientovi. Novější verze e-mailových klientů mají tuto bezpečnější úroveň již nastavenou.
4.2 Souborové viry Napadají pouze soubory Dělí se na : 1) Přepisující vir – přepíše část programu, který napadl vlastním kódem. 2) Link vir – přilepí se (přilinkuje) k napadenému souboru, což umožní chod programu a zároveň činnost viru 3) Doprovodný vir – zkopíruje napadený soubor do souboru se stejným jménem, ale typu COM, a k tomu se připojí(vzniknou dva soubory, kde COM je nakažený). Vir využívá vlastností MS-DOS, jenž nejprve spouští COM soubory 4) Vir přímé akce – provede destrukční akci a tím skončí. Např. smaže celý disk a tím ,,zabije‘‘ i sám sebe 5) Rezidentní vir – načte se drží v paměti a tím snadno napadne soubory, se kterými se pracuje
6) Stealth vir – vir s touto vlastností se umí načíst do paměti a kontroluje činnost systému. Pro antivirové programy, jež nejsou vybaveny anti-stealth kontrolou, je vir prakticky nezjistitelný. 7) Zakódovaný vir – je zakódován určitým proměnným algoritmem, takže jeho tělo je pokaždé jiné. Stejná je pouze dekódovací instrukce. 8) Polymorfní vir – podobný jako předchozí. Pro každý napadený soubor se kóduje jinak a vytváří i jinou dekódovací funkci. Takový vir nemá v žádném okamžiku v žádném z napadených souborů stejnou sekvenci svého kódu. 9) Fast infektor – šíří se extrémně rychle díky tomu, že napadá soubory při spuštění i při jakékoliv manipulaci s nimi. Snadno se rozšíří a tím na sebe upozorní. 10) Slow infektor – na rozdíl od předchozího se šíří velmi pomalu a opatrně
4.3 Bootviry Jedná se o viry, které mají spojitost se zaváděním systému(bootovaním) Vir napadne boot sektor nebo partition tabulku pevného disku či diskety. Při zavádění systému je pak pohodlně aktivován a převezme kontrolu nad funkcemi systému. Jestliže vir obsadil partition tabulku, následně její obsah bezpečně uloží. Aby byl počítač takovým virem napaden, musí se z nakažené diskety nabootovat(např. necháme-li v diskové jednotce disketu a počítač spustíme)
4.4 Multipartitní viry Bootviry se aktivují ihned při zavádění systému, ale k infekci se musí nabootovat z nakažené diskety, což jejich šíření omezuje. Souborové viry se šíří prostřednictvím souborů, což je pro jejich šíření výhodné, ale potřebují být aktivovány spuštěním. Kombinací a výhod obou typů virů využívají tzv. multipartitní viry. Infikují partition tabulku i soubory.
4.5 Makroviry Objevili se s příchodem makrojazyků především v textových editorech a tabulkových procesorech. Zákeřnost spočívá v tom, že vir je přenášen a uložen v dokumentu. Nebezpečí makroviru spočívá v tom, že ovládne program i šablony. Poté při určité operaci(např. uložení souboru) bude spuštěno makro s destrukčními účinky(např. vymazání dokumentů). Zatímco s masovým příchodem operačního systému Windows ubývá rezidentních a souborových virů, makroviry představují v oblasti virů nastupující hrozbu.
5. Důvody vzniků virů Vytváří je programátoři velkých softwarových firem, kteří byli propuštěni ze zaměstnání, a ti se svým zaměstnavatelům pomstí vytvořením nějakého viru a jeho vpuštěním do lokální sítě aby zničili nebo poškodili firmu. Vytváří je mladí programátoři, kteří si chtějí vyzkoušet své schopnosti. Pokud se takové viry rozšíří, může to být důsledek chyby nebo neuvědomění si celkového dopadu svojí činnosti. Viry jsou jednou z cest, jak ovládnout a řídit větší množství počítačů a využívat je např. k rozesílání spamu
6. Jak se viry prakticky projevují Projevy můžeme rozdělit na: 1) Obtěžující – příznaky obtěžujících virů spočívá například ve výpisech nesmyslných hlášení na obrazovku. Viry mohou obtěžovat také záměnou kláves na klávesnici, takže něco jiného píšete a něco jiného se zobrazuje na obrazovce. 2) Destrukční – jejich základním úkolem je zlikvidovat data. Chytré viry pracují tak, že nezničí všechna data na disku, ale postupně zaměňují pouze určité byty nebo řetězce. Uživatel takový vir těžko odhalí. Jednoduché viry zničí okamžitě po napadení např. obsah disku a tím zničí i sám sebe. 3) Ostatní – sem se řadí ostatní typy virů. Často se stává, že viry nejsou kvalitně napsané a že se dostávají do kolizí s jinými programy. Pak se z původně neškodného viru klidně může stát destrukční – a to vlastně náhodou
7. Antivirové programy Antivirový program je počítačový software, který slouží k identifikaci, odstraňování a eliminaci počítačových virů a jiného škodlivého software. K zajištění této úlohy se používají dvě techniky: prohlížení souborů na lokálním disku, které má za cíl nalézt sekvenci odpovídající definici některého počítačového viru v databázi detekcí podezřelé aktivity nějakého počítačového programu, který může značit infekci. Tato technika zahrnuje analýzu zachytávaných dat, sledování aktivit na jednotlivých portech či jiné techniky. Úspěšnost závisí na schopnostech antivirového programu a aktuálnosti databáze počítačových virů. Aktuální virové databáze se dnes nejčastěji stahují z internetu. Metody: 1) Virové slovníky/databáze - při kontrole souboru antivirový program zjišťuje, zda se nějaká jeho část neshoduje s některým ze známých virů, které má zapsány v databázi. Pokud je nalezena shoda, má program tyto možnosti: pokusit se opravit/vyléčit soubor odstraněním viru ze souboru (pokud je to technicky možné) nebo umístit soubor do karantény (virus se dále nemůže šířit, protože ho nelze dále používat) nebo smazat infikovaný soubor (i s virem)
2) Nebezpečné chování - metoda zjištění nebezpečného chování se oproti virovým databázím nesnaží najít známé viry, namísto toho sleduje chování všech programů. Pokud se takový program pokusí zapsat data do spustitelného programu, antivirus například označí toto nebezpečné chování a upozorní uživatele, který je antivirovým programem vyzván k výběru dalšího postupu. 3) Další metody - určité antivirové programy používají další typy heuristických analýz. Například se může pokusit napodobit začátek kódu každého nového spustitelného souboru tak, že ho systém vyvolá ještě před přenosem do tohoto souboru. Pokud se program chová tak, že použije "samo-modifikační" kód nebo se jeví jako virus (pokud například začne hledat další spustitelné soubory), můžeme předpokládat, že virus nakazil další spustitelné soubory. Nicméně i tato metoda může hlásit falešné pozitivní nálezy. Další metoda detekce virů se týká užití tzv. sandboxu. Sandbox, neboli pískoviště, napodobuje systém a spouští .exe soubory v jakési simulaci. Po ukončení programu software analyzuje sandbox, aby zjistil nějaké změny, ty mohou ukázat právě přítomnost virů. Tato metoda může taky selhat a to pokud jsou viry nedeterministické a výsledek nastane za různých akcí nebo akce nenastanou při běhu - to způsobí, že je nemožné detekovat virus pouze z jednoho spuštění.
7.1 Historie antivirového programu Jsou známa konkurenční tvrzení kdo vlastně vymyslel antivirový software. Pravděpodobně první veřejně známé neutralizování rozšířeného viru byla provedena Evropanem Berntem Fixem na počátku roku 1987. Bernt Fix neutralizoval takzvaný Vienna virus. Na podzim roku 1988 vznikl také antivirový software jménem Solomons's Anti-Virus Toolkit (vydal Briton Alan Solomon). V prosinci 1990 bylo na trhu už devatenáct jednotlivých produktů ke koupi, mezi nimi také Norton Antivirus a VirusScan od McAfee Tippett vytvořil několik příspěvků k nadějnému řešení detekce virů. Byl to ambulantní doktor, který zároveň vedl počítačovou softwarovou firmu. Po přečtení článku o tom, že Lehighovy viry byly první, které se vyvinuly, se Tippett zajímal o Lehigha a ptal se, jestli budou mít stejné charakteristiky virů jako ty jež napadají lidi. Z epidemiologického pohledu byl schopen říci, jak budou tyto viry napadat systémy v počítačích. Tippettova společnost Cerus International Corp. poté začala vytvářet vlastní antivirové softwarové programy. Společnost se prodala v roce 1992 společnosti Symantec Corp., a Tippett pro ně začal pracovat. Včleňováním softwaru vyvinul produkt Symantecu, dnes velmi známý Norton AntiVirus.
7.2 Nejznámější antivirové programy AVG - antivirový systém od české firmy Grisoft. AVG prochází různými nezávislými testy, pravidelnými certifikacemi a obdržel řadu významných ocenění. Norton AntiVirus – produkt firmy Symantec pro domácí uživatele. ESET NOD32 Antivirus – slovenský komerční antivirový program, který byl magazínem Virus Bulletin již mnohokrát oceněn jako nejlepší antivir. Kaspersky Antivirus – výrobek ruské společnosti Kaspersky Labs. Avast! - český antivirový program od firmy ALWIL Software. Je však i držitelem ocenění SC Magazine, jako jediný zvítězil v obou částech soutěže (soutěž SC awards se dělí na evropskou a americkou část).
8. Internet – specifický druh virového nebezpečí V souvislosti s internetem je možné obávat se napadení virem dvěma způsoby: 1) Stažením nakaženého programu či souboru – internet je kromě obrovské spousty informací i velkým zdrojem virů. Před stahováním zejména programů do počítače je dobré ověřit, z jakého serveru je soubor stahován. Je pochopitelné, že servery velkých a ,,ověřených‘‘ firem si těžko dovolí dát na své stránky zavirovaný soubor. Naopak neznámé a freewarové servery se obvykle viry jen hemží. 2) Infikovaný e-mail – bohužel v poslední době se forma nakažených e-mailů stává jedním z nejnebezpečnějších typů virů vůbec. ,,Kvalitní‘‘ e-mailový vir je zákeřný v tom, že ani nemusíte vědět, kdy a že vůbec jste jej dostali. Přijde ,,zabalený‘‘ v běžné zprávě a už pouhým otevřením takové zprávy dojde k aktivaci viru a infikaci počítače. Problém je v tom, že nemáte možnost poznat, zda je právě tato zpráva zavirovaná, či nikoliv, protože jediným vodítkem je odesílatel a předmět zprávy.
9. Nejznámější viry v historii počítačů a jejich následky Nejznámější virus v praxi se jmenoval ,,Vánoční stromeček‘‘ a začal se objevovat na monitorech firmy IBM v roce 1987. Spolu s obrázkem přišla i zpráva: ,,Nechte to běžet a užívejte si. Stačí napsat slovo vánoce.‘‘ A co se stalo, když ono slovo uživatelé napsali? Nevědomky poslali virus do dalšího počítače IBM. Během několika hodin se virus rozšířil do všech poboček IBM v Německu, Itálii a Japonsku Nejznámější útoky jsou na počítačovou sít Pentagonu ze strany jistého jugoslávského studenta, rovněž průnik do vojenských počítačových systémů během vojenské operace „Pouštní bouře“ (1991-1992) a hlavně pak tzv. Morrisův červ studenta Roberta Morrise (1988). Tento červ nakazil několik tisíc počítačů a paralyzoval mnoho sítí, protože se rozesílal v neomezeném množství kopií.
10. Citace ,,Ve čtvrtek 19. ledna uplynulo dvacet let od rozšíření prvního počítačového viru. Ten nesl jméno Brain a svůj primát získal především díky napadání strojů IBM kompatibilních. Brainu vdechli život pákistánští bratři Alviové, kteří se tak dosti svérázně vrhli na propagaci své firmy Brain Computer Services. Nutno podotknout, že virus Brain neměl žádné destruktivní účinky, obsahoval pouze následující reklamu: Welcome to the Dungeon (c) 1986 Basit & Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES 730 NIZAB BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE :430791,443248,280530. Beware of this VIRUS.... Contact us for vaccination............ $#@%$@!! Je zajímavé, že ve srovnání s dnešní situací, kdy se autoři virů snaží svou identitu co možná nejlépe utajit, vtiskli bratři Basit s Amjadem „podpis“ i kontakt přímo do viru. Brain tedy sloužil pouze jako neškodná ukázka hrozícího nebezpečí.‘‘ Článek na www stránce: Bitto, Ondřej. Počítačové viry: 20 let tam a zpátky. Dostupné z: http://www.lupa.cz/clanky/pocitacove-viry-20-let-tam-a-zpatky
11. Závěr Zjistili jsme, že vir není nic jiného než pouhý program, který vytvořil člověk. Narozdíl od virů, které napadají člověka, můžeme tento druh vystopovat, zničit nebo dokonce i pozměnit, aby dělal jiné nežádoucí operace. S každým dnem jejich počet nesmírně rychle roste a dokonce i antivirové programy bývají o krok pozadu. Nejvíce počítačů je nakaženo počítačovým virem z internetu a to jak stáhnutím nakaženého souboru tak i e-mailem. Internet se tak stává hazardním místem pro všechny, kteří nemají ,,kvalitní‘‘ antivirový program.
12. Příloha - obrázky Obraz, který se objevil na monitoru po nakažení specifickým virem Varování Antivirového programu
Struktura viru Brain (rok 1986) Zdroje virových nákaz v roce 2002
13. Zdroje Pavel Navrátil: S počítačem nejen k maturitě – 2.díl, Computer Media, Kralice na Hané www.images.google.com http://cs.wikipedia.org/wiki/Po%C4%8D%C3%ADta%C4%8Dov%C3%A9_viry#Definice http://cs.wikipedia.org/wiki/Antivirov%C3%BD_program http://pcviry.wz.cz/index.html www.encyklopedie.seznam.cz