Rozdělení virů do skupin a jejich likvidace.
Viry? Myslím, že v této době již není nikdo, kdo by neměl zkušenosti s viry. Většinou o nich víte jen to, že jsou pro váš počítač nežáducí, ale já se vám pokusím vysvětlit, jak vlastně viry fungují a podle čeho se dělí.
Kategorie virů
Zakladní dělení virů je na rezidentní a nerezidentní, to znamená, jestli jsou trvale v paměti počítače; většina rezidentních virů se po infikování spouští se spuštením počítače (nejčastěji v HKLM\\..\\RUN
). Nerezidentní po spuštění hostitelského programu udělají jednorázovou akci, snaží se rozšiřit souboru (*.com
, *.exe
) ve stejném adresáři. Tyto viry se šíři celkem pomalu, ale mají tu „výhodu“, že nejdou najít v paměti. Rezidentní se šíří celkem rychle, protože zpravidla zavirují každý spouštěný program, který ještě nebyl zavirován. Z důvodu, že jsou v paměti neustále, snaží se svoji přítomnost maskovat, např. údaj o zaplněné paměti nastaví tak, jako by vir nic nezabíral, nebo se snaží, aby pši vylistování spuštěných programů nebyl na seznamu vidět…
- Boot viry
- Jsou celkem staré, ukládají se na pevný disk nebo disketu do tzv. boot sektoru.
- Souborové viry
- Jsou nejrozšířenější, nejčastěji napadají:
com, exe, bat, sys, drv, dll, zip, rar, cab
. Virus je programový kód, který se připojuje ke kódu programu. Připojí-li se na začatek tím, že přepíše od začatku tolik programů, kolik potřebuje, dochází ke zničení původního souboru. Po spuštění takového souboru se provede jen virus. Většina souborových virů využívá připojení na konec souboru, tím se sice soubor prodlouží, ale nedojde k jeho poškození a je možnost po odvirování normální původní chod programu. Dělá to tak, že se připojí na konec souboru, ale na začátku změní odkaz na sebe, tedy po spuštění programu je proveden skok na konec souboru. - Clusterové viry
- Nenapadají soubory, parazitují na operačním systému. Uloženy jsou většinou na posledním clusteru pevného disku. Tento druh není moc rozšířený.
- Multiparitní viry
- Jde většinou o kombinaci technik rezidentní, bootvir, zápis do MBR a souborových.
- Stealth viry
- Jsou už dost koplikované s perfektní technikou, jak zůstat v systému neviditelný. Má plnou kontrolu nad OS a kontroluje vše, co se v něm děje. Z důvodu antivirové kontroly, která oteviírá každý soubor a hledá v něm známky přítomnosti viru, provádí to, že při spuštění souboru, který ještě není zavirován, jej při uzavírání ihned zaviruje. Dnes již antiviry spolehlivě umí tento druh viru objevit.
- Polymorfní viry
- Mutující viry – každý antivirus používá pro detekci nejčastěji dvě techniky. První je velmi rychlé skenování souboru, jestli neobsahuje krátký řetězec instrukcí, která je pro daný vir typický, je to taky něco jako průkaz totožnosti. Druhá je heuristická analýza, kdy se podrobně zkoumají schopnosti programu a jejich určitá kombinace.
- Trojské koně
- Zvláštní typ viru, který se snaží do počítače nebo sítě proniknout nějakou lstí, aby i při antivirové ochraně nebyl zjišťen. Bývají většinou ve speciálním programu, který má být naprosto neškodný. Teprve až se dostane na místo určení, tento program vygeneruje a vypustí do sítě virus, který se velmi rychle rozšíři po síti a jeho činnost bývá různá od ničení dat, ziskávání hesel, ukládání je do souboru nebo odesílat ven na připravený mail nebo FTP. Často se využívá k počítačové kriminalitě. Také sem patří programy, které vytváří tzv. BackDoor – zadní vrátka, pomocí kterých je možností vzdálená správa, ovládani vašeho systému (NetBus, SubSeven).
- Macro viry
- Objevily se s příchodem MS Office a jejím makro jazykem jako užitečné rozšíření schopnosti textového dokumentu.
- Červi
- Neznámější je z roku 1986 Morisův červ, který napadl přes Internet asi 6 000 unixových strojů a od té doby byla hrozba útoku virů brána vážně a ne jako fikce nebo hračka pro programátory.
- Scriptové viry (VBS)
- Jedná se o viry napsané v MS scriptovacím jazyku. Visual Basic Script (VBS) se mělo hlavně používat k reklamě v podobě prezentace v příloze mailu. Z této skupiny virů byl zatím nejvíc diskutován I Love You, který se během několika hodin rozšířil po celém světě.
- Krypto viry
- Šifrují soubory, po odstranění viru není šance na dešifrování souborů. Zatím toho není moc známo.
- Hardwarové viry
- Tyto viry existovaly dávno, ale se zlepšováním kvality a ochrany hardware tyto viry vymizely. Jednalo se např. o pokusy vypálit luminofor na stínítku monitoru tím, že za každé situace byl pixel rozzářen na maximum. Zápisem nesmyslných dat místo BIOSu způsobí, že po restartu počítač již nenaběhne. Z těch známějších virů je to např. Win32.CIH(Cernobyl).
Ochrana před viry
Jednoúčelové antiviry
Tyto antiviry mají za účel zničit většinou jeden druh viru, používá se jednorázově.
Antiviry klasické
Tyto antiviry jsou opak jednorázových, fungují většinou jako On-Access, takže scanují každý otevřený, stahovaný nebo volaný soubor, v případě nákazy okamžitě reaguje a upozorní uživatele na tuto skutečnost.
Příklady známých klasických antivirů: McAfee, NOD32, Avast, AVG 7.5, DR.Web, VirusBuster, BitDefender, Kaspersky Antivirus, Norton Antivirus, Panda, Ewido, …
Věřím, že si něco vyberete…
- AVG
- Avast
- Norton
- PC-cillin
- Kaspersky
- NOD32
- AntiVir Personal Edition
- ClamWin
- Panda Antivirus
- McAfee VirusScan
- F-Secure Anti-Virus
- F-Prot Antivirus
Pro náročnější, kterým nestačí klasické a jednoúčelové antiviry, bych doporučil SmitFraudFix a Mwav. Mwav je dost pomalý scanner, ale najde na 99 % všechno, pokud máte počítač v havarijním stavu, použijte Mwav.
SmitFraudFix se ovládá z příkazové řádky – nejlépe ve stavu nouze, dokáže si poradit s kdejakou havětí.
On-line Antiviry:
Většina jede přes Internet Explorer.
- BitDefender OScanner
- F-Secure OS
- TrendMicro OS
- PandaActive Scan
- Symantec Security Check
- Windows Trojanscan
- Arca Scaner Online
- Norman AV Testfile
- RAV Anti-Virus On-line Virus Scanner
- eTrust Antivirus Web Scanner
AV testy souborů
Vyčerpávající článek, doufám, že aspoň někomu pomohl, případné dotazy vznášejte do komentářů. Příští téma: rootkity & anti-rootkity.