Co jsou viry?
Virus je program, který má škodit. Například první generace virů škodila tím, že se z ničeho nic aktivovala a něco se zobrazilo na monitoru. Například vir Ambulance na sebe upozornil tím že na monitoru zobrazila sanitka jak houká a jede přes obrazovku.
Tyto viry se dnes již moc často nevyskytují. Viry dnes jsou na takové programátorské úrovni, že formátují pevné disky, kradou data uživatelům a posílají je přes internet bůh ví kam, obcházejí různé rezidentní ochrany a spouštějí antivirové testy antivirových programů, takže se obtížně hledají a ničí. Převážná většina počítačových virů je vytvořena v programovacím jazyce Assembler.
Jak vznikají viry?
Každý virus je vlastně program, který někdo musel napsat. Podle statistik jsou autory virů velmi mladí lidé, převážně od 12 do 30 let. A většinou je píší, aby se vytáhli před spolužáky, jinými slovy před svým okolím. Jednou z možností virů je také, že viry píší sami programátoři z firem, které vyrábějí antivirové programy, aby se jim zvýšily tržby. Ale připadá mi to až příliš absurdní.
Co je HOAX?
HOAX je správa, která důrazně varuje před nebezpečným virem, který ve skutečnosti vůbec neexistuje. Pisatel poplašné zprávy se vás snaží přesvědčit, že varování přišlo od důvěryhodných zdrojů (IBM a FBI varují nebo Microsoft upozorňuje atd...) a vyzívá vás k rozesílání této informace dál.
BOOT viry
BOOT viry mohou infikovat BOOT sektor disku nebo diskety a BOOT, MBR (master boot record) nebo zničit FAT tabulku disku. Tyto viry se mnohdy šíří přes BOOT sektor disket. Stačí, když si infikovanou disketu necháte před zapnutím nebo restartem počítače v disketové mechanice a (máme li nastaveno v BIOSU nastaveno jako primární načítání z diskety)máme infikovaný i počítač, tato disketa nemusí být ani systémová, tedy taková z níž jde spustit operační systém. Proto je dobré tomu předcházet nastavením v BIOSU počítače aby nenačítal sistém z diskety. Máte-li infikovaný BOOT sektor diskety a neinfikovanou operační paměť, ani BOOT disk zasuňte infikovanou disketu a napište v příkazové řádce MS DOSu příkaz sys c: a: (ne obráceně!) a BOOT diskety budete mít v pořádku, použitím příkazu format a: byste dosáhli stejného výsledku(pokud vám nezáleží na datech na disketě). K obnově se používají nástroje SYS, FDISK, FORMÁT nebo opravné prostředky antivirového programu, viz níže
Stručný postup jak odvirovat počítač z DOSu:
První a nejdůležitější věcí co potřebujeme je sistémová disketa bez viru nejlépe zamčená proti zápisu a druhá disketa s “dosovskou“ verzí antiviru. Nejdřív zapneme počítač a v BIOSu nastavíme jako primární bootování z diskety. Uložíme změny a restartujeme. Nabootujeme ze systémové diskety a poté vyměníme za disketu s antivirem provedeme odvirování.
SOUBOROVÉ viry
SOUBOROVÉ viry infikují spustitelné soubory na záznamových médiích. Vir se zapíše do těla programu a spouští se vždy při jeho spuštění ne při jeho prohlížení kopírování nebo editaci. Muže se zapsat na konec souboru a odkazuje na sebe v hlavičce a nebo přepíše svým kódem část programu někde uprostřed. Objevíte-li vir v nějakém souboru, např. s příponou Exe, Com, Bat, Dll, vbx, scr, můžete s ním udělat několik věcí:
- funkcí opravit, léčit, obnovit, dokáže-li to antivirový program a není duležitá část programu
přepsána tělem viru.
- smazat nebo přejmenovat ho například na Ex_, Co_, Ba_, Dl_, aby nebylo možno ho ani
omylem spustit nebo aktivovat, vždy je však potřeba uvědomit si, v jakém adresáři je a k
jakému účelu soubor slouží
- ihned ho nahradit souborem ze zálohy, který je v pořádku
- pro obnovu systémových souborů(io.sys, msdos.sys, command.com) použijte příkaz sys a:
c:, máte-li nezavirovanou disketu, ze které jste zavedli operační systém stejné verze.
MULTIPARTITNÍ viry
MULTIPARTITNÍ viry infikují jak soubory, tak i systémové oblasti, v případě infekce postupujte podle návodu pro souborové a boot viry.
MAKRO viry
MAKRO viry infikují dokumenty nebo šablony Wordu a Excelu, tím že do nich zapíší automaticky spouštěné makro. V případě infekce tímto typem viru bych použil léčení antivirového programu nebo bych smazal všechny makra(pokud nejsou důležitá). Nejběžnější makroviry se nejprve automakrem infikují normal.dot (šablona která se spouští při každém otevření dokumentu) a pak každý další otvíraný dokument.
ČERVI
ČERVI jsou viry šířící se e-mailem, většinou pomocí bezpečnostních děr e-mailových programů nebo je spustí sami uživatelé v domnění, že jde o běžnou přílohu el. dopisu. Po spuštění se rozešlou s vlastní kopií jako přílohou na adresy v kontaktech nebo adresy z odeslaných/přečtených starých e-mailů. Příjemce email bezstarostně otevře, protože adresa odesílatel patří známému člověku.( Morrisův červ, Code Red, I_Love_You)
Trojské koně
Trojský kůň je vir který se k nám dostane samostatně emailem nebo schovaný v těle jiného viru. Často slouží jako backdoor (zadní vrátka) a plní příkazy svého autora který sedí někde u vzdáleného počítače. Typickým požadavkem může být například povel: vymaž soubor, vypni počítač, vypni klávesnici.
Spyware
Spyware je malá utylita která se na instaluje spolu s instalaci jiného programu a ta pak posílá informace o vás, vašich heslech a další údaje stažené z vašeho počítače firmě nebo osobě, která tuto utilitku vytvořila.
Vlastnosti virů:
Rezidentní
Sídlí v RAM a kontroluje diskové operace a při jakémkoli otevření, zápisu, nebo spuštění okamžitě infikuje onen soubor. Nejčastěji se zavedou do paměti při startu PC.
Stealth
Maskují se před antivirovým programem. Pokud antivir zkoumá místa, kde je virus, vrací mu tento virus nikoliv sebe sama, ale takový obsah, aby nic nepoznal. Antivir musí mít zabudovány anti-stealth techniky, aby jej odhalil.
Polymorfní
Mění svůj kód v závislosti na situaci, v které se reprodukují. A velmi složitě se odhalují.
Prevence
Samozřejmě, že ani prevence není stoprocentní, jen devětadevadesátiprocentní. Tvůrci virů jsou vždy o krok napřed, protože doma mají antivirové programy, znají každé jejich zákoutí a zkoušejí na nich své viry. Až se vir dostane do ´oběhu´, dostane se i do pole působnosti tvůrců antivirů. Ti antivir opraví, aby nový vir našel, a tak jde vše stále dokola.
Pár bodů o tom jak chránit svůj počítač:
Přenášené a nové programy, tedy soubory kontrolovat antivirovým programem. Kontrolovat nejen EXE soubory, protože infikován může být i dokument Wordu nebo obsah zazipovaného soubor. Programy, dokumenty a konfiguraci, o které bych nerad přišel, zálohuji na jiné médium, než kde jsou uloženy. Zálohovat se dá např. na diskety zip médium pásky nebo především na CD. Pro všechny případy je důležité mít připravenu startovací disketu. Záloha se nedělá jen z důvodu ochrany proti virům, může se vám totiž přihodit i havárie pevného disku. Jednou za čas kontrolovat integritu souborů, zda se mi např. nemění velikost spustitelných souborů. Pravidelně aktualizovat databázové soubory (databáze virů) antivirových programů, aby byly antivirové programy stále schopné najít rozpoznat a odstranit i nové viri. Abyste přešli nákaze vašeho počítače přes internet, před otevřením příloh (EXE, COM, DOC, VBS atd. souborů.) si je prověřte antivirem, dávejte si pozor, jaký typ souboru otevíráte, soubor může vypadat jako obrázek (např. ma-fotka.jpg), ale protože máte v počítači nastaveno nezobrazovaní přípon, soubor může ve skutečnosti být vir (tedy ma-fotka.jpg.vbs, ma-fotka.jpg.scr atd.). Pozor především na přípony EXE a VBS z neznámých i známých e-mailových adres. Posledně mi přišly z jedné e-mailové adresy dva soubory, ´letacek.doc´ a ´unregmp2.exe´, EXE soubor byl infikován dost rozšířeným virem Win32:Magistr. A několik týdnů předtím mi přišly od známého také dva soubory, DOC a EXE, byl to nějaký ´manuál´. Oba jsem si před (!) otevřením zkontroloval a zjistil, že je opět EXE soubor je infikovaný. Takto Vám může přijít od známého (bez jeho přičinění) např. instalační manuál k nějakému ´programu´ a ukázka samotného ´programu´, nebo nová ´hra´ spolu s manuálem. Neukázněný uživatel PC, infikaci PC zjistí až od někoho jiného.
Nakonec uvádím úplně nejzákladnějších věcí co dělat proti virům: Občas(jednou za měsíc) pustit antivir, neotvírat přílohy o kterých jednoznačně nevíte od koho jsou, bez jejich proskenování.
Jak pracují antiviry?
SCANOVÁNÍ
Antivirový program má databázi, ve kterém jsou uloženy kódy virů, které porovnává s obsahem scanovanými souborů, dále jejich jména, krátkou charakteristiku a způsob odstranění. Tato metoda je velice spolehlivá, ale je účinná pouze s nejnovější databází virů. Se strou databází nové viry těžko odhalíte.
HEURISTICKÁ ANALÝZA
Další metodou je tzv. heuristická analýza (rozbor), což je v podstatě rozbor obsahu souborů co se týče jejich naprogramování. Může být např. podezřelé, když se program, tedy spustitelný soubor, bude snažit otvírat a zapisovat do jiných spustitelných souborů. V tom případě může program vypsat na monitor: "Soubor c:xxx může být zavirován neznámým virem”. Tato metoda hledání virů dokáže odhalit nejnovější a dosud neznámý vir, tedy i takový, který není ještě v databázi antivirového programu.
Nevýhoda této metody: Heuristická analýza může chybně označit soubory, které jsou zcela v pořádku, protože některé programy se mohou stylem naprogramování podobat kódování některého virů. Je třeba upozornit, že heuristika není 100% účinná, ale dokáže odhalit uplně nový neznámý vir.
TEST INTEGRITY (KONTROLA ZMĚN)
Třetí metodou vyhledávání virů je činnost antiviru, při které antivir informace o souborech s informacemi databáze, porovnává velikost souboru a dále velikostí souboru naposledy zapsanou v databázi. Častěji než velikost avšak porovnává kontrolní součet souboru, což je zbytek součtu všech bytů v souboru po dělení vhodným číslem, např. 256.
Pokud se např. změní velikost spustitelného souboru, lze předpokládat, že může být infikován virem, pokud nebyla například instalována novější verze programu. Jedním ze způsobů jeho využití antivirem je, že kontroluje soubory a všechny změněné soubory následně kontroluje scanováním.
Nevýhoda této metody: Autor viru mohl znát jméno databáze, souboru, kam se informace ukládají a mohl toho zneužít. Při spuštění kontroly změn na disku se přesvědčte, zda nemáte vir v operační paměti, protože při spuštění kontroly by mohlo dojít k další infekci dosud neinfikovaných dat na disku. Tato metoda sama o sobě viry nehledá, ale zkoumá, zda nějaký vir nezačal na disku působit s větší intenzitou.
REZIDENTNÍ SLEDOVÁNÍ
Některé antiviry dále mohou zahrnovat techniku rezidentního sledování činnosti počítače, při startu počítače se automaticky do operační paměti počítače RAM umístí rezidentní antivir a sleduje probíhající činnost. Antivir běží v pozadí a to může přijít uživateli velmi vhod, protože např. při zápisu do systémové oblasti disku, nebo modifikaci souborů s příponou EXE, COM případně umístění do těla nějakého jiného známého viru vás antivirový systém upozorní na toto neobvyklé chování a čeká na vaši reakci (záleží na druhu antiviru a jeho nastavení).
AVG 6.0
AVG 6.0 nám nabízí dvoje uživatelské rozhraní, pro začátečníky a pro pokročilé. Pracovní plocha AVG v pokročilém rozhraní obsahuje tyto složky - testy, výsledky testů, servis, informace, nápověda. Složka testy obsahuje následující prvky:
Manažer testů - umožňuje vytvářet vlastní uživatelské testy, mazat nepotřebné testy a měnit nastavení testů. Umožňuje vytvářet vlastní uživatelské testy, mazat nepotřebné testy a měnit nastavení testů.
Plánovač testů - umožňuje nastavit pro existující testy automatické spuštění.
Rychlý test - Prvověří systémové soubory.
Hlavní test – Je základním testem antivirového systému AVG. Slouží hlavně k důkladnému otestování cílových objektů - nejčastěji disků a adresářů .
Kompletní test – Víceméně vychází z hlavního testu jen je přidané uživatelské rozhraní
Ostatní složky (výsledky testů, servis, informace, nápověda), už nejsou tak důležité.
Výsledky testů - zobrazíme dvojitým kliknutím nebo kliknutím na + na levé straně
Složka servis - obsahuje možnosti nastavovat AVG, případně jej aktualizovat a možnost vytvoření záchranné diskety, kterou rozhodně doporučuji.
Složka informace obsahuje možnost zobrazení informací o vašem počítači, virech (tuto složku nelze brát jako složku virů které muže AVG nalézt. Ve složce jsou popsány pouze viry, které jsou něčím zajímavé.), o programu a také kontakty na firmu Grisoft.
Nápověda co víc než HELP
Další antiviry
AVAST32
Antivir AVAST32 je výtvorem české firmy, firmy Alwil Sofware. AVAST32 je určen pro Windows 95/98/NT/2000/Me/XP. Pro majitelé starších strojů Firma Alwil Sofware má antivir i pro slabší stroje. Je jím AVAST!, který je určen pro MS-DOS a Windows 3.x
Norton AntiVirus 2000 Tvůrcem tohoto antiviru je firma Symantec. Norton AntiVirus je určen pro Windows 95/98/NT/2000/Me/XP. Je i v Češtině!
Další méně známé antiviry: eSafe Protect v.2.2, Guard Dog v. 2.01, InterScan VirusWall v.3.32 AVP (Kaspersky Antivirus), McAfee Virus Scan (jeden z prvních antivirů)
2. únor 2008
5 263×
1966 slov
