Viry, antiviry Ing. Jiří Šilhán

Počítačová infiltrace = jakýkoliv neoprávněný vstup do počítačového systému a tím i do jeho dat (soubory, programy...). Jde o termín s velice širokým významem, proto se zaměříme pouze na infiltraci, mezi kterou patří trojské koně, červi, backdoory a v neposlední řadě viry.

Viry a druhy virů Počítačový virus je taková forma počítačové infiltrace, která má schopnost vlastního množení a infikování dalších systémů bez vědomí uživatele. Podstatné je, že virus, musí být připojen k hostitelské proveditelné jednotce (spustitelné soubory s příponou COM, EXE, SCR, VBS..., boot sektory atd.).

Dělení virů podle umístění v paměti Paměťově rezidentní viry - Takový virus se většinou při prvním spuštění infikovaného souboru (pokud se jedná o souborový virus) nebo při prvním zavedení systému z infikovaného boot sektoru (pokud se jedná o boot virus) stane rezidentním v paměti, a odtud potom provádí svoji škodlivou činnost. Nerezidentní viry - viry přímé akce

Dělení podle oblastí, které jsou napadeny Boot viry - Boot viruses Tato první nejstarší skupina virů infikuje části nacházející se v určitých systémových oblastech disku. Těmito oblastmi mohou být: MBR (Master Boot Record) pevného disku. Napadením nějaké z těchto oblastí si boot virus zajistí svoje spuštění hned po startu počítače. Souborové viry - File viruses Tyto viry bychom mohli dále třídit podle toho, jaké soubory při infekci napadají - v zásadě jsou to vždy proveditelné soubory (COM, EXE, SCR...), neboť cílem viru je, aby provedením hostitelského kódu došlo k rozmnožení virového kódu.

Dělení podle oblastí, které jsou napadeny Overwriting viruses - přepisující viry Tato metoda infekce je jednoduchá. Virus přepíše obsah cílového spustitelného souboru vlastním kódem (tělem), a tak zníčí původní obsah souboru. Parasitic viruses - parazitické viry Jako parazitické viry jsou označovány ty, které při infekci změní (většinou prodlouží) obsah cílového spustitelného souboru. Parazitické viry však obsah cílového souboru nepoškodí (narozdíl od přepisujících virů). Parazitické viry se dokážou umístit před původní program (prepending), nebo za něj (appending). Existují taky parazitické souborové viry, které se vloží do středu souboru (inserting).

Dělení podle oblastí, které jsou napadeny Multipartitní viry - Multipartite viruses Jako viry multipartitní jsou označovány ty, které se chovají jako bootové viry, a zároveň jako viry souborové. Díky tomu jsou tyto viry "všestranné". Do této skupiny patří i populární virus OneHalf.

Dělení podle oblastí, které jsou napadeny Makro viry - Macro viruses Jak již název naznačuje, tyto viry jsou tvořeny makry. Makra jsou programy, které si uživatel může vytvořit sám pro usnadnění práce v některých aplikacích (MS Office) Stealth - tyto makroviry maskují svoje makra, aby se tak bránily proti snadnému odhalení. Polymorfní - tyto makroviry dokážou modifikovat strukturu vlastního těla. Polymorfní makroviry pak nelze detekovat podle sekvencí, či podle klasických kontrolních součtů (CRC). Multipartitní - tato skupina makrovirů se dokáže šířit několika způsoby. Například makrovirus Shiver je napsán tak, že se dokáže šířit jak v programu Word, tak i v programu Excel. Makrovirus však může vypouštět například i souborový virus (WM/Navrhar), čimž se makrovirus stává opět multipartitním. Multiplatformní - některé makroviry se dokážou šířit pod různými systémy, kde se některé produkty, především společnosti Microsoft používají (PC, MAC...).

Retro viry - odvetné viry Hlavním heslem těchto virů je: nejlepší obrana je útok. Snaží se obejit a ještě lepe znemožnit práci antivirovým programům. Proto je mažou, vypínají rezidentní ochrany apod. Kódované viry - Crypted viruses Prvotním účelem kódování bylo znepřehlednit vlastni kód viru a ztížit tak jeho analýzu.

Polymorfní (mutační) viry - Polymorphic viruses Polymorfní virus vytváří během replikace kopie, které jsou funkčně ekvivalentní, ale jednotlivé replikace se od sebe téměř úplně liší - mají podstatně odlišné řetězce byte. Aby toho virus dosáhl, musí náhodně vkládat přebytečné instrukce, zaměňovat pořadí nezavislých instrukci a nebo volit z mnoha různých kódovacích schémat

Metamorfní viry V napadeném souboru se totiž nenachází virus v klasickém smyslu. Napadený soubor totiž obsahuje jen kompilátor, společně se zdrojovým pseudokódem viru. Při spuštění infikovaného souboru vytvoří kompilátor v paměti novou, pokaždé odlišnou kopii viru.

Fast infector Tímto terminem jsou označovány ty rezidentní viry, které neinfikuji pouze soubory, které jsou spouštěny, ale i ty programy, se kterými je manipulováno jiným způsobem (jsou kopírovány, prohlíženy, archivovány apod.) Slow infector Tento mechanismus vybere k napadeni pouze takový program, do kterého je právě zapisováno.

Detekce virů Skener (Scanner) Na počátku technologie skenování programů (zkráceně skenerů) byl nápad: Vybrat z těla virů nějaké charakteristické skupiny instrukcí a takto získané sekvence použít pro hledání napadených programů. Kvalitní skenery obsahují tzv. anti-stealth techniky, které dokážou obcházet aktivní stealth viry.

skenery Paměťově rezidentní skener (on-access scanner) on-acces skener hlídá systém z operační paměti. Kontroluje veškerou činnost uživatele se soubory (kopírování, spouštění souborů) a pokud zjistí, že manipuluje s infikovaným programem, okamžitě ho na tuto skutečnost upozorní. Skener "na požádání" (on-demand scanner) Manuální typ skeneru. Uživatel obvykle definuje oblasti (pevný disk, adresář) které chce on- demand skenerem prohlédnout.

Kontrola integrity (integrity checker, CRC checker…) Kontrola integrity je založena na porovnávání aktuálního stavu důležitých programů a oblastí na disku s informacemi, které si o nich kontrolní program uložil při jejich příchodu do systému nebo při své instalaci.

Heuristická analýza (Heuristic Analyzer - Code Analyzer) V podstatě jde o rozbor kódu hledající postupy pro činnost virů typické nebo nějak podezřelé. Tímto způsobem lze odhalit i dosud neznámé viry.

Červi, Malware, Spyware Červi se nacházejí v souboru samostatně a nepotřebují žádného hostitele (až na vyjímky). Šíří se pomocí rozesílání e-mailové pošty. Malware – termín pro „obecně škodlivý“ software Spyware – program(y), který odesílá data z PC bez vědomí uživatele

červi Příloha e-mailu tvořena souborem s „dvojitou příponou“. Někteří červi se k e-mailu připojí v souboru, jehož celý nazev vypadá následovně: {název}.{1.přípona}.{2.přípona}. Červ je přímo součastí zprávy – Nutnou podmínkou pro úspěšné šíření těchto červů je existence poštovních klientů, které dokážou poštu přijímat v HTML formátu.