Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Počítačový virus. označuje program, který se dokáže sám šířit bez vědomí uživatele. Pro množení se vkládá do jiných spustitelných souborů či dokumentů.

Podobné prezentace


Prezentace na téma: "Počítačový virus. označuje program, který se dokáže sám šířit bez vědomí uživatele. Pro množení se vkládá do jiných spustitelných souborů či dokumentů."— Transkript prezentace:

1 Počítačový virus

2 označuje program, který se dokáže sám šířit bez vědomí uživatele. Pro množení se vkládá do jiných spustitelných souborů či dokumentů. Šíří se vkládáním svého kódu do souboru. Procesu šíření viru se říká nakažení či infekce a napadenému souboru hostitel. označuje program, který se dokáže sám šířit bez vědomí uživatele. Pro množení se vkládá do jiných spustitelných souborů či dokumentů. Šíří se vkládáním svého kódu do souboru. Procesu šíření viru se říká nakažení či infekce a napadenému souboru hostitel.program Viry jsou jen jedním z druhů tzv. malwaru, zákeřného softwaru. V obecném smyslu se jako viry (nesprávně) označují i např. červi a jiné druhy malwaru. Viry jsou jen jedním z druhů tzv. malwaru, zákeřného softwaru. V obecném smyslu se jako viry (nesprávně) označují i např. červi a jiné druhy malwaru.malwarusoftwaručervimalwarusoftwaručervi

3 Počítačový virus Některé viry mohou být cíleně ničivé (např. mazat soubory na disku), mnoho jiných virů je relativně neškodných popřípadě pouze obtěžujících. Některé viry mohou být cíleně ničivé (např. mazat soubory na disku), mnoho jiných virů je relativně neškodných popřípadě pouze obtěžujících. U některých virů se ničivý kód spouští až se zpožděním (např. v určité datum či po nakažení určitého počtu jiných hostitelů), což se někdy označuje jako (logická) bomba. Nejdůležitějším negativním důsledkem šíření virů je však samotný fakt jejich reprodukce, která zatěžuje počítačové systémy a plýtvá jejich zdroji. U některých virů se ničivý kód spouští až se zpožděním (např. v určité datum či po nakažení určitého počtu jiných hostitelů), což se někdy označuje jako (logická) bomba. Nejdůležitějším negativním důsledkem šíření virů je však samotný fakt jejich reprodukce, která zatěžuje počítačové systémy a plýtvá jejich zdroji. Některé viry mohou být takzvaně polymorfní (každý jeho „potomek“ se odlišuje od svého „rodiče“). Viry se na rozdíl od červů samy šířit nemohou. Některé viry mohou být takzvaně polymorfní (každý jeho „potomek“ se odlišuje od svého „rodiče“). Viry se na rozdíl od červů samy šířit nemohou.

4 Počítačový virus Dnes jsou klasické počítačové viry na jistém ústupu oproti červům, které se šíří prostřednictvím počítačových sítí, hlavně Internetu. Některé antivirové programy se proto snaží chránit počítač i před jinými, nevirovými hrozbami. Dnes jsou klasické počítačové viry na jistém ústupu oproti červům, které se šíří prostřednictvím počítačových sítí, hlavně Internetu. Některé antivirové programy se proto snaží chránit počítač i před jinými, nevirovými hrozbami.počítačových sítíInternetuantivirové programypočítačových sítíInternetuantivirové programy

5 Historie začíná počátkem osmdesátých let 20. století. začíná počátkem osmdesátých let 20. století. V roce 1983 sestrojil jistý Dr. Frederik Cohen první samomnožící program, který začal označovat jako virus. V podstatě se jednalo o neškodný kód, který se uměl pouze sám množit. V roce 1983 sestrojil jistý Dr. Frederik Cohen první samomnožící program, který začal označovat jako virus. V podstatě se jednalo o neškodný kód, který se uměl pouze sám množit. První skutečný vir, který mohl nějak uškodit, naprogramovali v roce 1986 bratři Basid a Amjad Farooq Alvi, pojmenovali jej Brain (mozek). Objevil se 19. ledna 1986. Sice útočil jen na na určitou část disku, ale na starších počítačích způsobil větší škody. Tím fakticky odstartovala éra virů, které se od té doby dále rozvíjely. První skutečný vir, který mohl nějak uškodit, naprogramovali v roce 1986 bratři Basid a Amjad Farooq Alvi, pojmenovali jej Brain (mozek). Objevil se 19. ledna 1986. Sice útočil jen na na určitou část disku, ale na starších počítačích způsobil větší škody. Tím fakticky odstartovala éra virů, které se od té doby dále rozvíjely. Autoři virů si mezi sebou také předávají moderní techniky a mnoho dalších triků, které umožňují virům měnit svůj vlastní kód a být dokonalejšími a lépe se „schovávat“ před antivirovými programy. Autoři virů si mezi sebou také předávají moderní techniky a mnoho dalších triků, které umožňují virům měnit svůj vlastní kód a být dokonalejšími a lépe se „schovávat“ před antivirovými programy. Současné viry jsou tak mnohem vyspělejší a dokážou zhroutit celou síť počítačů. Proto je nejlepší se jim bránit účinným antivirem. Současné viry jsou tak mnohem vyspělejší a dokážou zhroutit celou síť počítačů. Proto je nejlepší se jim bránit účinným antivirem.

6 Důvody vzniku virů Vytvářejí je programátoři velkých softwarových firem, kteří byli propuštěni ze zaměstnání. Ti se svým zaměstnavatelům pomstí vytvořením nějakého viru a jeho vpuštěním do jejich lokální (firemní) sítě, aby zničili nebo poškodili firmu. Vytvářejí je programátoři velkých softwarových firem, kteří byli propuštěni ze zaměstnání. Ti se svým zaměstnavatelům pomstí vytvořením nějakého viru a jeho vpuštěním do jejich lokální (firemní) sítě, aby zničili nebo poškodili firmu. Vytvářejí je mladí programátoři, kteří si chtějí vyzkoušet své schopnosti. Pokud se takové viry rozšíří, může to být důsledek chyby nebo neuvědomění si celkového dopadu svojí činnosti. Vytvářejí je mladí programátoři, kteří si chtějí vyzkoušet své schopnosti. Pokud se takové viry rozšíří, může to být důsledek chyby nebo neuvědomění si celkového dopadu svojí činnosti. Viry vytvářejí programátoři softwarových firem, které vytvářejí antivirové programy, za účelem zvýšení prodeje svých výrobků. Viry vytvářejí programátoři softwarových firem, které vytvářejí antivirové programy, za účelem zvýšení prodeje svých výrobků. Viry jsou jednou z cest, jak ovládnout a řídit větší množství počítačů a využívat je např. k rozesílání spamu. Viry jsou jednou z cest, jak ovládnout a řídit větší množství počítačů a využívat je např. k rozesílání spamu.spamu Jsou prostředkem, jak zdiskreditovat platformu, která není schopna sama sebe uchránit před jejich šířením. Jsou prostředkem, jak zdiskreditovat platformu, která není schopna sama sebe uchránit před jejich šířením.

7 Druhy virů - podle hostitele Spustitelné soubory – COM a EXE programy v prostředí DOSu, EXE soubory v Microsoft Windows, ELF soubory v UNIXu atd. Spustitelné soubory – COM a EXE programy v prostředí DOSu, EXE soubory v Microsoft Windows, ELF soubory v UNIXu atd.COMEXEDOSuEXEMicrosoft Windows ELFUNIXuCOMEXEDOSuEXEMicrosoft Windows ELFUNIXu Boot sektory disket a diskových oddílů. Boot sektory disket a diskových oddílů. Boot sektorydiskových oddílů Boot sektorydiskových oddílů Master boot sektor (MBR) pevného disku. Master boot sektor (MBR) pevného disku. Master boot sektor Master boot sektor Dávkové soubory a skripty – BAT v DOSu, shellovské skripty na UNIXech. Dávkové soubory a skripty – BAT v DOSu, shellovské skripty na UNIXech. Dávkové souboryBAT shellovské skriptyUNIXech Dávkové souboryBAT shellovské skriptyUNIXech Dokumenty, které mohou obsahovat makra – např. dokumenty programů Microsoft Office. Dokumenty, které mohou obsahovat makra – např. dokumenty programů Microsoft Office.makraMicrosoft OfficemakraMicrosoft Office Specializované skripty některých konkrétních aplikací. Specializované skripty některých konkrétních aplikací.

8 Druhy virů - podle způsobu činnosti Rezidentní/nerezidentní viry Vir se může šířit dvěma základními způsoby: buď se ve chvíli spuštění hostitele (tzn. ve chvíli, kdy se při spouštění hostitele spustí kód viru) rozšíří do nalezených nenakažených souborů, nebo se pouze uloží do operační paměti počítače, ve které zůstane až do doby vypnutí počítače, a mezitím infikuje soubory (nebo např. diskety), se kterými uživatel pracuje. Vir se může šířit dvěma základními způsoby: buď se ve chvíli spuštění hostitele (tzn. ve chvíli, kdy se při spouštění hostitele spustí kód viru) rozšíří do nalezených nenakažených souborů, nebo se pouze uloží do operační paměti počítače, ve které zůstane až do doby vypnutí počítače, a mezitím infikuje soubory (nebo např. diskety), se kterými uživatel pracuje.operační pamětioperační paměti První typ se označuje jako nerezidentní vir, druhý jako rezidentní vir. První typ se označuje jako nerezidentní vir, druhý jako rezidentní vir.

9 Druhy virů - podle způsobu činnosti Stealth viry Stealth viry se snaží zamaskovat svou přítomnost v souboru tím, že se zachytí na přerušení, kudy prochází veškeré požadavky na čtení dat ze souboru (tedy i požadavky antiviru). Vir si pak kontroluje, zda se požadavek týká i infikovaného souboru, v tomto případě pak vrátí aplikaci data původního neinfikovaného souboru. Stealth viry se snaží zamaskovat svou přítomnost v souboru tím, že se zachytí na přerušení, kudy prochází veškeré požadavky na čtení dat ze souboru (tedy i požadavky antiviru). Vir si pak kontroluje, zda se požadavek týká i infikovaného souboru, v tomto případě pak vrátí aplikaci data původního neinfikovaného souboru. Na tento způsob maskování se objevila obrana - antivirus si buď kontroluje, zda není adresa přerušení přepsána, případně na čtení používá přímo služby diskového řadiče. Tato technika krytí se převážně týkala operačního systému MS-DOS, pro modernější operační systémy je nutno použít složitějších rootkitů (maskovacích zařízení). Na tento způsob maskování se objevila obrana - antivirus si buď kontroluje, zda není adresa přerušení přepsána, případně na čtení používá přímo služby diskového řadiče. Tato technika krytí se převážně týkala operačního systému MS-DOS, pro modernější operační systémy je nutno použít složitějších rootkitů (maskovacích zařízení).MS-DOSrootkitůMS-DOSrootkitů

10 Druhy virů Boot viry napadají systémové oblasti disku. I přesto, že je jich méně než souborových virů, vyskytují se častěji. Šíří se následujícím způsobem: když restartujete počítač, který má povoleno zavádění systému z disketové mechaniky a v mechanice je disketa s boot virem, vir se spustí a napadne systémové oblasti pevného disku. Při dalším spuštění počítače se boot vir inicializuje z pevného disku a napadá diskety, které uživatel použije. napadají systémové oblasti disku. I přesto, že je jich méně než souborových virů, vyskytují se častěji. Šíří se následujícím způsobem: když restartujete počítač, který má povoleno zavádění systému z disketové mechaniky a v mechanice je disketa s boot virem, vir se spustí a napadne systémové oblasti pevného disku. Při dalším spuštění počítače se boot vir inicializuje z pevného disku a napadá diskety, které uživatel použije.

11 Druhy virů Souborové viry napadají pouze soubory. Přesněji řečeno soubory, které obsahují prováděný kód - programy. V napadeném programu přepíší část kódu svým vlastním, nebo vlastní kód k programu připojí a tím změní jeho velikost a chování. napadají pouze soubory. Přesněji řečeno soubory, které obsahují prováděný kód - programy. V napadeném programu přepíší část kódu svým vlastním, nebo vlastní kód k programu připojí a tím změní jeho velikost a chování. Multipartitní viry - napadají soubory i systémové oblasti disku. S výhodou kombinují možnosti boot virů i souborových virů. - napadají soubory i systémové oblasti disku. S výhodou kombinují možnosti boot virů i souborových virů.

12 Druhy virů Makroviry napadají datové soubory - dokumenty vytvořené v některých kancelářských aplikacích. napadají datové soubory - dokumenty vytvořené v některých kancelářských aplikacích. Využívají toho, že tyto soubory neobsahují pouze data, ale i makra, která viry využívají ke svému šíření. Jsou napadány především dokumenty aplikací MS Office, výjimečně byly zaznamenány i případy dokumentů jiných aplikací. Možnosti jazyka Visual Basic for Aplications, ve kterém jsou psána makra, jsou velmi rozsáhlé a bezpečnost je minimální. Využívají toho, že tyto soubory neobsahují pouze data, ale i makra, která viry využívají ke svému šíření. Jsou napadány především dokumenty aplikací MS Office, výjimečně byly zaznamenány i případy dokumentů jiných aplikací. Možnosti jazyka Visual Basic for Aplications, ve kterém jsou psána makra, jsou velmi rozsáhlé a bezpečnost je minimální. Makroviry jsou v současné době nejčastěji se vyskytující druh viru. Jsou také největší hrozbou do budoucna. Opatrný uživatel sice může omezit množství spustitelných souborů, které si kopíruje na počítač, ale výměně elektronických dokumentů se nevyhne. Makroviry jsou v současné době nejčastěji se vyskytující druh viru. Jsou také největší hrozbou do budoucna. Opatrný uživatel sice může omezit množství spustitelných souborů, které si kopíruje na počítač, ale výměně elektronických dokumentů se nevyhne.

13 Druhy virů Stealth viry jsou viry, které se chrání před detekcí antivirovým programem použitím tzv. stealth technik: pokud je takový virus v paměti, pokouší se přebrat kontrolu nad některými funkcemi operačního systému a při pokusu o čtení infikovaných objektů vrací hodnoty odpovídající původnímu stavu. jsou viry, které se chrání před detekcí antivirovým programem použitím tzv. stealth technik: pokud je takový virus v paměti, pokouší se přebrat kontrolu nad některými funkcemi operačního systému a při pokusu o čtení infikovaných objektů vrací hodnoty odpovídající původnímu stavu. Polymorfní viry se pokouší znesnadnit svou detekci tím, že mění vlastní kód. V napadeném souboru není možné najít typické sekvence stejného kódu. se pokouší znesnadnit svou detekci tím, že mění vlastní kód. V napadeném souboru není možné najít typické sekvence stejného kódu. Rezidentní viry zůstávají po svém spuštění přítomny v paměti zůstávají po svém spuštění přítomny v paměti

14 Typy počítačových červů E-mailoví červi využívají ke svému šíření elektronické pošty. Poté, co infikují nový počítač, se začnou rozesílat na e-mailové adresy, které získají buď z e-mailového adresáře oběti počítače, nebo prohledáváním obsahu uložených souborů a extrahováním řetězců, které vyhovují tvaru e- mailové adresy. využívají ke svému šíření elektronické pošty. Poté, co infikují nový počítač, se začnou rozesílat na e-mailové adresy, které získají buď z e-mailového adresáře oběti počítače, nebo prohledáváním obsahu uložených souborů a extrahováním řetězců, které vyhovují tvaru e- mailové adresy.elektronické poštyelektronické pošty Zvláštním případem jsou sítě botnet, složené z počítačů infikovaných k tomu uzpůsobeným červem, kdy infikované počítače na příkaz autora infekce zasílají hromadně SPAM, nebo uskutečňují útoky typu DDoS na jiné počítače. Zvláštním případem jsou sítě botnet, složené z počítačů infikovaných k tomu uzpůsobeným červem, kdy infikované počítače na příkaz autora infekce zasílají hromadně SPAM, nebo uskutečňují útoky typu DDoS na jiné počítače.botnetSPAM DDoSbotnetSPAM DDoS Obsah infikované zprávy zaslané e-mailovým červem obvykle obsahuje vlastní škodlivý program jako přílohu, případně odkazuje na webové stránky, které jsou schopny infikovat počítač příjemce. Obsah infikované zprávy zaslané e-mailovým červem obvykle obsahuje vlastní škodlivý program jako přílohu, případně odkazuje na webové stránky, které jsou schopny infikovat počítač příjemce. webové stránky webové stránky Výhodou takového přístupu je možnost využít e-mailového účtu oběti a v kombinaci s použitím adres dostupných v adresáři e-mailových adres působit jako věrohodná korespondence. Výhodou takového přístupu je možnost využít e-mailového účtu oběti a v kombinaci s použitím adres dostupných v adresáři e-mailových adres působit jako věrohodná korespondence.

15 Typy počítačových červů Internetoví červi využívá všechny dostupné síťové prostředky počítače ke skenování ostatních počítačů v síti. Pokud najde počítač, který je zranitelný a umí-li této zranitelnosti využít, provede na takový počítač útok a (v závislosti na závažnosti této zranitelnosti) je v ideálním případě schopen spuštění škodlivého kódu a vlastní instalace do systému. využívá všechny dostupné síťové prostředky počítače ke skenování ostatních počítačů v síti. Pokud najde počítač, který je zranitelný a umí-li této zranitelnosti využít, provede na takový počítač útok a (v závislosti na závažnosti této zranitelnosti) je v ideálním případě schopen spuštění škodlivého kódu a vlastní instalace do systému. Výhodou tohoto přístupu je fakt, že v případě efektivního využití zranitelnosti počítače je možno jej infikovat bez vědomí nebo přičinení uživatele. Výhodou tohoto přístupu je fakt, že v případě efektivního využití zranitelnosti počítače je možno jej infikovat bez vědomí nebo přičinení uživatele.

16 Typy počítačových červů IM a IRC červi využívají ke svému šíření sítí pro komunikaci v reálném čase. Zatímco v případě IM červů tito obvykle rozesílají odkazy na webové stránky schopné infikovat počítač příjemce, IRC červi zasílají svůj program jako (spustitelný) soubor. (Z toho plyne jejich menší nebezpečnost, neboť aby mohlo dojít k infekci, musí uživatel potvrdit přijetí souboru, uložit jej a následně spustit.) využívají ke svému šíření sítí pro komunikaci v reálném čase. Zatímco v případě IM červů tito obvykle rozesílají odkazy na webové stránky schopné infikovat počítač příjemce, IRC červi zasílají svůj program jako (spustitelný) soubor. (Z toho plyne jejich menší nebezpečnost, neboť aby mohlo dojít k infekci, musí uživatel potvrdit přijetí souboru, uložit jej a následně spustit.)IMIRCIMIRC Výhodou tohoto přístupu je, stejně jako v případě e-mailových červů, možnost zasílání odkazů a souborů jménem uživatele napadeného systému a působit věrohodně. Výhodou tohoto přístupu je, stejně jako v případě e-mailových červů, možnost zasílání odkazů a souborů jménem uživatele napadeného systému a působit věrohodně.

17 Typy počítačových červů Červi využívající sdíleného prostoru Tento druh kopíruje svůj program jako (spustitelný) soubor do sdílených umístění (typicky na sdílený prostor lokálního počítače), nebo na vzdálený počítač, kdy dává tento soubor k dispozici ke stažení. Po stažení a spuštění takového souboru, který je obvykle pojmenován názvem, který nevzbuzuje žádné podezření, dojde k infikaci počítače. Tento druh kopíruje svůj program jako (spustitelný) soubor do sdílených umístění (typicky na sdílený prostor lokálního počítače), nebo na vzdálený počítač, kdy dává tento soubor k dispozici ke stažení. Po stažení a spuštění takového souboru, který je obvykle pojmenován názvem, který nevzbuzuje žádné podezření, dojde k infikaci počítače. Výhodou tohoto přístupu je fakt, že dnešní sdílecí sítě jsou využívány ke sdílení nelegálního obsahu a tudíž, v kombinaci s příhodným pojmenováním souboru, přináší poměrně značné možnosti šíření. Výhodou tohoto přístupu je fakt, že dnešní sdílecí sítě jsou využívány ke sdílení nelegálního obsahu a tudíž, v kombinaci s příhodným pojmenováním souboru, přináší poměrně značné možnosti šíření.nelegálního obsahunelegálního obsahu

18 Trojský kůň je uživateli skrytá část programu nebo aplikace s funkcí, se kterou uživatel nesouhlasí (typicky je to činnost škodlivá). Název Trojský kůň pochází z antického příběhu o dobytí Tróje. je uživateli skrytá část programu nebo aplikace s funkcí, se kterou uživatel nesouhlasí (typicky je to činnost škodlivá). Název Trojský kůň pochází z antického příběhu o dobytí Tróje.programuaplikaceTrojský kůňTrójeprogramuaplikaceTrojský kůňTróje může být samostatný program, který se tváří užitečně – například hra, spořič obrazovky nebo nějaký jednoduchý nástroj. Časté jsou spořiče obrazovky s erotikou nebo pornografií. Někdy se trojský kůň vydává za program k odstraňování malware (dokonce jako takový může fungovat a odstraňovat konkurenční malware). Tato funkčnost slouží ale pouze jako maskování záškodnické činnosti, kterou v sobě trojský kůň ukrývá. může být samostatný program, který se tváří užitečně – například hra, spořič obrazovky nebo nějaký jednoduchý nástroj. Časté jsou spořiče obrazovky s erotikou nebo pornografií. Někdy se trojský kůň vydává za program k odstraňování malware (dokonce jako takový může fungovat a odstraňovat konkurenční malware). Tato funkčnost slouží ale pouze jako maskování záškodnické činnosti, kterou v sobě trojský kůň ukrývá.malware V Microsoft Windows může trojský kůň využít toho, že řada programů včetně systémového správce souborů (exploreru) skrývá přípony souborů. Vypadá pak jako soubor s obrázkem, zvukem, archivem nebo čímkoliv jiným, přestože se ve skutečnosti jedná o spustitelný kód. Chce-li uživatel obrázek kliknutím zobrazit, je ve skutečnosti spuštěn program (trojský kůň). V Microsoft Windows může trojský kůň využít toho, že řada programů včetně systémového správce souborů (exploreru) skrývá přípony souborů. Vypadá pak jako soubor s obrázkem, zvukem, archivem nebo čímkoliv jiným, přestože se ve skutečnosti jedná o spustitelný kód. Chce-li uživatel obrázek kliknutím zobrazit, je ve skutečnosti spuštěn program (trojský kůň).Microsoft WindowsMicrosoft Windows

19 Trojský kůň může být ale také přidán do stávající aplikace. Poté je upravená verze šířena například pomocí peer-to- peer sítí nebo warez serverů. Uživatel stažením kopie aplikace (nejčastěji bez platné licence nebo jako volně šířený program z nedůvěryhodného serveru) může získat pozměněnou kopii aplikace obsahující část programového kódu trojského koně dodaného třetí stranou. může být ale také přidán do stávající aplikace. Poté je upravená verze šířena například pomocí peer-to- peer sítí nebo warez serverů. Uživatel stažením kopie aplikace (nejčastěji bez platné licence nebo jako volně šířený program z nedůvěryhodného serveru) může získat pozměněnou kopii aplikace obsahující část programového kódu trojského koně dodaného třetí stranou.peer-to- peerwarezlicencenedůvěryhodného serveruprogramového kódutřetí stranoupeer-to- peerwarezlicencenedůvěryhodného serveruprogramového kódutřetí stranou Klíčový rozdíl mezi počítačovým virem a trojským koněm je ten, že trojský kůň nedokáže sám infikovat další počítače nebo programy svojí kopií. Existují však počítačové červy, které na napadeném počítači instalují různé trojské koně nebo vytvářejí trojské koně z programů, které se v napadeném systému nacházejí. Klíčový rozdíl mezi počítačovým virem a trojským koněm je ten, že trojský kůň nedokáže sám infikovat další počítače nebo programy svojí kopií. Existují však počítačové červy, které na napadeném počítači instalují různé trojské koně nebo vytvářejí trojské koně z programů, které se v napadeném systému nacházejí.počítačovým virempočítačové červypočítačovým virempočítačové červy

20 Další tipy virů Spam Je nevyžádaná pošta, může odkazovat na falešné stránky internetového bankovnictví (tzv. phishing). Okrádá tak uživatele těchto služeb o přístupové údaje k bankovním účtům. Je nevyžádaná pošta, může odkazovat na falešné stránky internetového bankovnictví (tzv. phishing). Okrádá tak uživatele těchto služeb o přístupové údaje k bankovním účtům.Spyware Je špionážní software. Umí sledovat to, co píšete na klávesnici, zaznamenávat a následně útočníkovi odeslat.Není pak složité se dostat k heslům internetového bankovnictví, kreditním kartám, s nimiž jste platili, a k dalším službám. Je špionážní software. Umí sledovat to, co píšete na klávesnici, zaznamenávat a následně útočníkovi odeslat.Není pak složité se dostat k heslům internetového bankovnictví, kreditním kartám, s nimiž jste platili, a k dalším službám.

21 Ochrana před počítačovými červy neotvírat přílohy e-mailů s neočekávaným typem přiložených souborů, jejichž obsah není přesně znám neotvírat přílohy e-mailů s neočekávaným typem přiložených souborů, jejichž obsah není přesně znám nespouštět odkazy na neznámé/podezřelé stránky a ani se po těchto webech nepohybovat nespouštět odkazy na neznámé/podezřelé stránky a ani se po těchto webech nepohybovat nestahovat sdílený nelegální obshah nestahovat sdílený nelegální obshah používat antivirový a ideálně i antispywarový software, který je schopen nejen zastavit již probíhající infekci, ale v případě správné funkčnosti a nastavení rovněž předejít nakažení počítače používat antivirový a ideálně i antispywarový software, který je schopen nejen zastavit již probíhající infekci, ale v případě správné funkčnosti a nastavení rovněž předejít nakažení počítačeantivirovýantispywarovýantivirovýantispywarový používat firewall používat firewallfirewall používat vždy nejaktuálnější verzi operačního systému s instalovanými opravnými balíčky. používat vždy nejaktuálnější verzi operačního systému s instalovanými opravnými balíčky.operačního systémuoperačního systému

22 Ochrana před počítačovými viry Sledování změn (kontrola integrity) Antivirový program sleduje změny v systému souborů. Využívá toho, že uložením viru do některého souboru dojde ke změně souboru, kterou je možné detekovat. Pokud dojde ke změně textového souboru, pravděpodobně se nejedná o následek činnosti viru, ale pokud dojde ke změně v některém programu nebo systémovém souboru, je možné, že příčinou je napadení virem. Antivirový program sleduje změny v systému souborů. Využívá toho, že uložením viru do některého souboru dojde ke změně souboru, kterou je možné detekovat. Pokud dojde ke změně textového souboru, pravděpodobně se nejedná o následek činnosti viru, ale pokud dojde ke změně v některém programu nebo systémovém souboru, je možné, že příčinou je napadení virem. Antivirový program si nejprve při prvním spuštění vytvoří databázi souborů na disku. Při dalších spuštěních srovnává aktuální stav souborů s příslušnými položkami ve své databázi a zjišťuje, zda se od posledního průchodu nezměnily. Výhodou kontroly integrity je možnost nalezení dosud neznámého viru. Nevýhodou je, že antivirový program nedokáže sdělit, že nalezl vir, ale pouze že došlo ke změně v souboru. Záleží na uživatelově úsudku, zda se jedná o virový útok. Sledování změn také není efektivní ochranou proti makrovirům. Je sice možné zapnout sledování změn v dokumentech. Ty se ale obvykle mění tak často, že výsledkem by asi bylo zahlcení uživatele množstvím hlášení o změnách v souborech. Antivirový program si nejprve při prvním spuštění vytvoří databázi souborů na disku. Při dalších spuštěních srovnává aktuální stav souborů s příslušnými položkami ve své databázi a zjišťuje, zda se od posledního průchodu nezměnily. Výhodou kontroly integrity je možnost nalezení dosud neznámého viru. Nevýhodou je, že antivirový program nedokáže sdělit, že nalezl vir, ale pouze že došlo ke změně v souboru. Záleží na uživatelově úsudku, zda se jedná o virový útok. Sledování změn také není efektivní ochranou proti makrovirům. Je sice možné zapnout sledování změn v dokumentech. Ty se ale obvykle mění tak často, že výsledkem by asi bylo zahlcení uživatele množstvím hlášení o změnách v souborech.

23 Ochrana před počítačovými viry Rezidentní sledování V systému je neustále spuštěn proces, který kontroluje prováděné operace. Mohou být sledovány podezřelé operace se soubory a systémovými oblastmi disku. Například při pokusu o zápis do boot sektoru je operace přerušena a uživatel dotázán, zda zápis povolí. Dále jsou při rezidentním sledování obvykle kontrolovány spouštěné programy na přítomnost viru. Když chce uživatel spustit některý program, antivirový program nejprve zkontroluje, zda neobsahuje virus. V systému je neustále spuštěn proces, který kontroluje prováděné operace. Mohou být sledovány podezřelé operace se soubory a systémovými oblastmi disku. Například při pokusu o zápis do boot sektoru je operace přerušena a uživatel dotázán, zda zápis povolí. Dále jsou při rezidentním sledování obvykle kontrolovány spouštěné programy na přítomnost viru. Když chce uživatel spustit některý program, antivirový program nejprve zkontroluje, zda neobsahuje virus. Většina antivirových programů kombinuje více z uvedených způsobů a nechává na uživateli nastavení Ykombinace, která mu vyhovuje. Rezidentní sledování je obvykle neustále spuštěno na pozadí a v pravidelných intervalech podle nastavení uživatele se provádí kompletní kontrola souborů na pevných discích. Ta může mít například podobu kontroly integrity všech souborů a následné časově náročné heuristické analýzy pouze změněných souborů. Většina antivirových programů kombinuje více z uvedených způsobů a nechává na uživateli nastavení Ykombinace, která mu vyhovuje. Rezidentní sledování je obvykle neustále spuštěno na pozadí a v pravidelných intervalech podle nastavení uživatele se provádí kompletní kontrola souborů na pevných discích. Ta může mít například podobu kontroly integrity všech souborů a následné časově náročné heuristické analýzy pouze změněných souborů.

24 Principy antivirů Porovnání s databází virů (skenování, scan) Antivirový program využívá vlastní databázi známých virů. Testuje prohledávané soubory na výskyt určité posloupnosti bytů, která identifikuje vir z databáze. Jedná se o nejstarší a stále pravděpodobně nejrozšířenější způsob detekce napadení virem. Tato metoda umožňuje nalezení pouze těch virů, které jsou již zaneseny v databázi známých virů. Databáze musí být proto pravidelně aktualizována, aby bylo skenování skutečně účinné. Antivirový program využívá vlastní databázi známých virů. Testuje prohledávané soubory na výskyt určité posloupnosti bytů, která identifikuje vir z databáze. Jedná se o nejstarší a stále pravděpodobně nejrozšířenější způsob detekce napadení virem. Tato metoda umožňuje nalezení pouze těch virů, které jsou již zaneseny v databázi známých virů. Databáze musí být proto pravidelně aktualizována, aby bylo skenování skutečně účinné.

25 Principy antivirů Heuristická analýza Antivirový program se nespoléhá na databázi známých virů, ale analyzuje kód souboru a jeho význam. Hledá v něm postupy, které jsou typické pro viry a které se v normálních programech nevyskytují. Výhodou této metody je možnost nalezení virů, které ještě nebyly analyzovány a zaneseny do databáze virů. Nevýhodou je možnost omylu a "nalezení" viru v souboru, který není virem napaden. Antivirový program se nespoléhá na databázi známých virů, ale analyzuje kód souboru a jeho význam. Hledá v něm postupy, které jsou typické pro viry a které se v normálních programech nevyskytují. Výhodou této metody je možnost nalezení virů, které ještě nebyly analyzovány a zaneseny do databáze virů. Nevýhodou je možnost omylu a "nalezení" viru v souboru, který není virem napaden.


Stáhnout ppt "Počítačový virus. označuje program, který se dokáže sám šířit bez vědomí uživatele. Pro množení se vkládá do jiných spustitelných souborů či dokumentů."

Podobné prezentace


Reklamy Google