Počítačové vírusy

1. Počítačové vírusy • Vývoj vírusov • Rozdelenie infiltrácií • Najbežnejšie typy počítačových vírusov • Vlastnosti počítačových vírusov • Detekčné metódy • Zaujímavosti

2. Vývoj vírusov • Prvý počítačový vírus vytvorili dvaja bratia Basit a Amjad v Pakistane(1986), nazvali ho Brain vírus(mozgový vírus).Zistili že boot sektor diskety môže obsahovať aj inštrukcie okrem inštrukcií nahrávania. Účelom víru bola snaha predísť nezákonnému získaniu programov, ktoré bratia vytvorili .Tento vírus bol posledný, ktorý obsahoval mená, adresy a tel. čísla tvorcov. • Vzhľadom na neustály vývoj v oblasti operačných systémov a na zmeny v spôsobe výmeny dát dochádza v tejto oblasti k postupnému vývoju a dnes sa popri klasických počítačových vírusoch (Boot a DOS súborové vírusy, ktoré prevládali v polovičke 90.rokov) stretávame najmä s makrovírusmi a skriptovými vírusmi, často vybavenými schopnosťou šírenia cez rôzne komunikačné kanály, ako napr. E-mail, IRC a podobne. • Napriek tomu, že s počítačovými vírusmi sa môžeme stretnúť aj u platforiem Amiga a Macintosh (u platforiem UNIX takmer vôbec), platforma Microsoft Windows spolu s ďalšími aplikáciami tejto firmy (Microsoft Word, Excel a Outlook) je dnes vzhľadom na svoje masové rozšírenie, odborné zázemie ich používateľov ako aj slabú bezpečnosť týchto produktov (znásobenú silnými možnosťami na tvorbu vírusov) živnou pôdou drvivej väčšiny počítačových infiltrácií.  • K dnešnému dňu je známych niekoľko desiatok tisíc rôznych vírusov, trójskych koňov a ďalších druhov infiltrácií.

3. Rozdelenie infiltrácií • Počítačový vírus - program (sekvencia kódu), ktorý sa bez vedomia užívateľa počítača pripája, prepisuje alebo inak modifikuje iné programy, dokumenty resp. systémové oblasti pevného disku a diskiet s cieľom vlastnej reprodukcie. Okrem samotnej reprodukcie môže pritom kód vírusu vykonávať rôzne grafické, zvukové a textové efekty, ale aj deštrukčnú činnosť, ako napr. mazanie, kódovanie a inú modifikáciu súborov resp. sektorov pevného disku. S výnimkou možnosti vymazania Flash BIOS pamäte však v súčasnosti nie sú známe vírusy poškodzujúce hardware počítača. • Červ (worm) - program, ktorý parazituje v jednom exemplári (v jednej kompletnej sade súborov) na hostiteľskom počítači, pričom využíva jeho komunikačné prepojenie s ďalšími počítačmi (napr. E-mail, IRC kanál) na svoje ďalšie šírenie. Klasický červ sa teda na rozdiel od vírusu nepripája k žiadnemu hostiteľskému programu ani sa na lokálnom disku ďalej nešíri. Typickým príkladom červa je známy Happy99.

4. Rozdelenie infiltrácií • Trójsky kôň - program, ktorý navonok navodzuje dojem užitočnosti. V dokumentácii programu sľubovanú činnosť však buď vôbec nevykonáva, alebo ju aj vykonáva, ale v pozadí realizuje nepozorovane nejaký druh deštrukcie (vymazáva súbory, formátuje pevný disk, skrytou komunikáciou cez Internet narušuje súkromie používateľa a podobne). V poslednej dobe patria medzi najčastejšie sa vyskytujúce trojany tzv. "zadné vrátka" - backdoor. Ide o komunikačný klient inštalovaný bez vedomia užívateľa počítača, ktorý komunikuje so serverom obsluhovaným autorom programu (alebo človekom, ktorý inštaláciu trójskeho koňa zabezpečil), ktorý umožňuje zasielanie prístupových hesiel, záznamov o aktivitách počítača alebo zvolených súborov mimo počítač

5. Rozdelenie infiltrácií • Základné delenievírusov – na "rezidentné" a "nerezidentné„ znamená či sú trvalo v pamäti počítača, väčšina rezidentných, po infikovaní sa spustí zo spustením počítača. Nerezidentné po spustení hostiteľského programu urobia jednorázovú akciu, snažia sa rozšíriť buď do súboru (*.com, *.exe) v rovnakom adresári, alebo ktoré sú spustené. Rezidentné sa šíria celkom rýchlo, pretože spravidla zavirujú každý spustený program. Z dôvodu, že sú v pamäti neustále, snažia sa svoju prítomnosť maskovať.

6. Najbežnejšie typy počítačových vírusov • Boot vírus • Súborový vírus • Makrovírus • Skriptový vírus • Satelitný vírus • Adresárový • Multipartitný vírus • Polymorfný vírus • Stealth vírus

7. Boot vírus - historicky prvý typ PC vírusu (Brain, 1986), ktorý bol už v roku 1987 nasledovaný veľmi rozšíreným vírusom Stoned. majú väčšinou len do 512 bitov a ukladajú sa na pevný disk, alebo disketu do tzv. boot sektoru. Kód vírusu po svojej aktivácii (nabootovanie zo zavírenej diskety ponechanej úmyselne alebo zo zábudlivosti v mechanike) obvykle prenesie svoje telo do Boot sektora logického disku C: alebo častejšie Master Boot sektora pevného disku (prípadne aj niekoľko ďalších sektorov). Pri najbližšom boote z pevného disku sa teda vírus spúšťa po BIOSe ako prvý (ešte pred samotným operačným systémom) a záleží len na type vírusu, ako túto skutočnosť využije. Obdobou je vírus, ktorý sa zapisuje na pevný disk do tabuľky MBR (Master Boot Record), která určuje rozdelenie disku. Z tejto oblasti sa víru nezbavíme ani formatovaním. Zbaviť sa ho môžme len Fdiskom, zrušením tabuľky rozdelania disku a vytvorením novej, nebo Low Level Formatom Túto vlastnost pouziva aj najslávnejší slovenský vírus: One Half. Prvý krát bol objavený v máji 1994, naraz v Európe aj USA. Je to deštruktívny, polymorfný, multipartitný vírus. Infikuje MBR a COM EXE súbory. Najbežnejšie typy počítačových vírusov

8. Najbežnejšie typy počítačových vírusov Súborový vírus - do príchodu makrovírusov najbežnejší typ vírusov, ktorý na svoju replikáciu využíva telo iného programu. Vírus sa najčastejšie pripája na koniec tela hostiteľského programu, čím spôsobuje jeho predĺženie. Existujú ale aj vírusy, ktoré nepredlžujú hostiteľský súbor, čo robia tak, že začiatok nakazeného programu jednoducho prepíšu (čím ho zničia) alebo využívajú "diery" v kóde vírusu, ktoré zaplnia svojim kódom (tak funguje napr. vírus CIH napádajúci 32-bitové Windows EXE súbory). Po spustení nakazeného súboru sa vykoná najprv kód vírusu, ktorý buď uskutoční priamu akciu (infikovanie ďalších súborov podľa vhodnej stratégie), ale častejšie sa vírus stane pamäťovo rezidentným a následne infikuje ďalšie spúšťateľné súbory (najčastejšie pri ich spúšťaní, ale aj pri kopírovaní, prezeraní, komprimácii a inej manipulácii s nimi). Samotným kopírovaním, prezeraním alebo inou manipuláciou s nakazeným súborom nedochádza k zavíreniu počítača - na to je potrebné zavírený program spustiť. 

9. Najbežnejšie typy počítačových vírusov • Makrovírus - dnes jednoznačne najrozšírenejší typ vírusu. • Ide o vírusy, ktorých činnosť je riadená makrojazykom príslušnej aplikácie, pričom sú v tomto zmysle viazané na konkrétny formát dokumentu - makrojazyk Word Basic a skoršie verzie MS Word resp. dnes najčastejšie Visual Basic for Applications v spojení s novšími verziami MS Word, MS Excel, MS Access, MS Power Point, MS Project ale už aj CorelDraw a ďalšími aplikáciami. • V tomto zmysle sú nezávislé na samotnom operačnom systéme počítača (Win9x, WinNT/2000 aj MacOS) resp. aj jeho hardwareovej platforme (Intel, Alpha aj MAC). Vzhľadom na jednotný typ makrojazyka existujú aj vírusy, ktoré napádajú dokumenty 2 resp. aj 3 rôznych aplikácií z toho istého kancelárskeho balíka (napr. MS Word, MS Excel aj MS Power Point z balíka Office 97). • Štandardný spôsob šírenia makrovírusu spočíva v následovnom postupe - po načítaní zavíreného dokumentu príslušná aplikácia interpretuje makrá vírusu, ktoré popri rôznych sprievodných akciách zabezpečia napadnutie globálnej šablóny. Zavírené makrá šablóny sa potom vkladajú do ďalších otváraných dokumentov a tým ich infikujú. Zdôraznime ešte raz, že makrovírus sa aktivuje už samotným prezretím dokumentu v príslušnom type editora (ktorý má používanie makier povolené), čo je zrejmý rozdiel oproti súborovým vírusom. K aktivácii makrovírusov však nedochádza pri kopírovaní alebo inej manipulácii so zavírenými dokumentami

10. Najbežnejšie typy počítačových vírusov • Skriptový vírus - vírus napísaný v príslušnom type skriptového jazyka (jazyk BAT a INF súborov, Java Script a Visual Basic Script jazyk), ktorý sa šíri buď ako samostatný súbor alebo ako súčasť iných typov súborov (JS a VBS vírusy v rámci HTML a CHM súborov). Na báze VBScript jazyka sú konštruované aj rôzne typy červov šíriacich sa prostredníctvom programov MS Outlook, Outlook Express, mIRC, pIRCH a ďalších. 

11. Najbežnejšie typy počítačových vírusov • Satelitný vírus - vírus šíriaci sa na základe vlastnosti operačného systému DOS resp. Windows, ktorý v prípade, že v danom adresári sa nachádza viac súborov rovnakého mena, postupnosť ich spúšťania sa riadi na základe prípony v poradí BAT - COM - EXE. K súborom s príponou EXE je potom možné skopírovať súbor obsahujúci kód vírusu, ktorý bude mať rovnaké meno, ale príponu COM (alebo BAT), takže sa bude aktivovať pred samotným programom. Po zbehnutí kódu vírusu, ktorý zabezpečí svoju replikáciu resp. aj ďalšiu sprievodnú akciu sa aktivuje samotný volaný EXE program. 

12. Najbežnejšie typy počítačových vírusov • Adresárový (linkovací) vírus - vírus, ktorý je na disku prítomný v jedinom exemplári a ktorý napáda iné spúšťateľné súbory tak, že prepisuje v adresári smerník na ich začiatok tak aby ukazovali na začiatok vírusu. Pôvodnú hodnotu smerníka si ale ukladá, takže pokiaľ je vírus pamäťovo rezidentný, je schopný zabezpečiť po zbehnutí vlastného kódu aj spúšťanie pôvodných súborov. Príkladom takýchto vírusov môže byť napr.DIR II alebo BYWay.

13. Najbežnejšie typy počítačových vírusov • Multipartitný vírus - vírus kombinujúci viac vyššie uvedených mechanizmov šírenia. Typickým je napr. kombinácia súborového a boot vírusu, kedy sa pri aktivácii zavíreného EXE súboru na čistom počítači kód vírusu prenesie do Master Boot sektora pevného disku. Po prvom nabootovaní z pevného disku si potom vírus zabezpečí pamäťovú rezidentnosť a ďalej sa chová ako súborový vírus - napáda EXE súbory. Keďže daný počítač už má vírus pod kontrolou, na pevnom disku sa už šíriť ďalej nemusí, stačí ak bude infikovať súbory smerom k sieťovým diskom resp. výmenným médiám (vírus OneHalf). Iným príkladom môže byť kombinácia súborového vírusu a makrovírusu (vírus Anarchy), makrovírusu a skriptového vírusu (ColdApe) a pod. 

14. Najbežnejšie typy počítačových vírusov • Polymorfný vírus - vírus, ktorého jednotlivé exempláre majú rozdielny kód. Vkladanie prázdnych inštrukcií, prehadzovanie poradia výkonu častí kódu resp. zámenu sekvencií kódu inými sekvenciami s ekvivalentnou funkciou v rámci úvodnej časti kódu vírusu spolu s technológiou šifrovania zvyšnej časti vírusu znemožňujú identifikáciu vírusu jednoduchým hľadaním pevnej sekvencie kódu resp. výpočtom CRC súčtu pevne zvolenej oblasti kódu. Vírusy je možné identifikovať len špecializovanými algoritmami resp. výkonnými heuristickými metódami. Medzi legendy v tomto smere patril mutačný algoritmus s názvom MTE, ktorý bol vyvinutý pre súborové vírusy pod platformou MSDOS. Dnes existujú polymorfné súborové vírusy aj pod 32-bitovými Windows resp. existujú aj polymorfné Boot vírusy a makrovírusy (i keď v posledne menovanom prípade sa obvykle jedná o pomerne rozsiahle a pomalé vírusy, ktoré sú svojou prítomnosťou dosť nápadné).Podobný princíp používa skutočný vírus chrípky

15. Najbežnejšie typy počítačových vírusov • Stealth vírus - vírus, ktorý využíva príslušné služby operačného systému na zamaskovanie svojej aktivity. Ako príklad možno uviesť boot vírusy, ktoré pri čítaní Master Boot sektora vracajú prehliadaču pôvodný (nezavírený) obsah tohto sektora resp. súborové vírusy, ktoré maskujú zmenu dĺžky zavíreného súboru resp. sa pri otvorení súboru za účelom hľadania vírusu z hostiteľského súboru vyčistia a po ukončení prehliadania súboru tento opätovne zavíria. Pri makrovírusoch so stealth charakteristikou možno pozorovať napr. podsúvanie prázdneho zoznamu makier (napriek prítomnosti vírusových makier v dokumente), deaktivovanie funkcie novších aplikácií MS Office upozorňujúcich na prítomnosť makier v načítavanom dokumente a podobne. 

16. Detekčné metódy: Úspešnosť v odhaľovaní napadnutých súborov je daná kombináciou niekoľkých úrovní detekcie. Pred vlastnou kontrolou na jednotlivých úrovniach dochádza k predspracovaniu testovaného súboru, vrátane vyradenia častí nepodstatných z hľadiska vírovej analýzy. (rýchlejší priebeh testu) Detekčné metódy

17. Detekčné metódy • Detekcia známych vírov • Je najjednoduchšia technika a spočíva v odhalení známeho víru pomocou sekvencie, ktorá je vo vírovej databáze zanesená ako jeho identifikátor. Na základe tohoto typu nálezu sa rozbieha detailná analýza, vedúca k jednoznačnej identifikácii nákazy. • Generická detekcia • Táto metóda sa používa na rozpoznanie nových variantov vírusov. Pokiaľ nieje nájdený známy vírus, hľadajú sa sekvencie typické pre určitý vírus, ktoré sa pri jeho modifikáciách obvykle nemenia a nemusia ani súvisieť s "vírusovým " chovaním. Tato metóda je účinná predovšetkým pri detekcii makro vírov a skript vírov. • Heuristická analýza • Poslednou možnosťou zachytenia víru v prípade neúspechu predchádzajúcich metód je Heuristická analýza. Jej kúzlo spočíva v schopnosti v určitých prípadoch odhaliť vírus, ktorý doposiaľ nieje vo vírusovej databáze známy. V priebehu Heuristické analýzy sa používajú dve metódy: • · Statická Heuristická analýza – hľadanie podozrivých dátových konštrukcií. • · Dynamická Heuristická analýza - emulácia kódu, to znamená jeho spustenie v chránenom prostredí virtuálneho počítača vnútri antivírového programu a hľadanie typických akcií, odpovedajúcich chovaniu víru. Príkladom môže byť program ktorý vyhľadáva spustiteľné súbory a modifikuje ich. • Test integrity • Okrem popísaných vyhľadávacích metód si Antivírový systém ukladá informácie o zmenách definovaných spustiteľných súborov na pevnom disku čo prispieva k odhaleniu nežiadúcich zmien.

18. Zaujímavosti • Vírusy ničiace hardware • Tieto vírusy existovali dávno, ale zo zlepšovaním kvality a ochrany hardware vymizli. Jednalo sa napr. o pokusy vypáliť luminofor monitora, tým že za každým bol pixel rozžiarený na maximum. Dnes sú obrazovky monitoru veľmi kvalitné a ako op. systém tak monitor ovláda rôzne režimy úspory, ďalej sa začali používať šetriče obrazovky. Taktiež vznikali snahy o poškodenie rozkmitaním hlavy skokom z jednej stopy na druhou a späť pri harddisku typu MFM. Po príchode disku IDE a SCSI, ktoré zastaralé MFM vytlačili pominuli aj obavy o zničenie disku LLFormatom alebo vírom.  • Dnes sa veľmi obľúbeným stal spôsob zaškodiť zápisom do EEPROM - Flash pamäti kde je uložený BIOS s možnosťou softwarového updatu. Zápis nezmyselných dát miesto BIOSu spôsobí , že po reštarte počítač už nenabehne. Z tých známejších vírov je to napr. Win32.CIH (Černobyl).

19. Zaujímavosti • Prichádza vojna červov? • Začiatok tohtoročného mesiaca marca je, aspoň čo sa týka diania na vírusovej scéne, fakt veľmi búrlivý. Prvýkrát v histórii škodlivých kódov pritom dochádza k naozaj zjavnému súpereniu medzi jednotlivými „rodinami červov“, resp. medzi ich tvorcami, ktorí si prostredníctvom svojich výtvorov vymieňajú odkazy. • Závažnosť situácie dokresluje i skutočnosť, že v priebehu stredy 3. marca 2004 sa len počas troch hodín objavilo päť nových verzií e-mailových červov. Konkrétne to bol: Bagle.I, Bagle.J, Mydoom.F, Mydoom.G a Netsky.F. A čo bolo ešte horšie, každý z týchto červov spôsobil väčšiu či menšiu epidémiu. • Táto situácia kladie stále väčšie nároky nielen na užívateľov počítačov a administrátorov antivírusových riešení, ale predovšetkým na samotných výrobcov, ktorí musia reagovať na stále väčšie množstvo nových červov v stále kratšom čase. Od piatka 27. februára do stredy 3. marca 2004 (vrátane) sa objavilo spolu štrnásť nových modifikácií červov Bagle, Netsky a Mydoom. • Ďalším zaujímavým sprievodným javom súčasných epidémií e-mailových červov je zvyšujúca sa rivalita medzi jednotlivými skupinami ich pisateľov. Posledné verzie totiž často obsahujú rutiny, ktorými sa snažia z infikovanej stanice vytesniť všetkú ostatnú konkurenciu. Najčastejšie mažú spúšťacie kľúče zo systémového registra. Každá nová verzia červa tiež väčšinou obsahuje odkaz pre inú „vírusovú skupinu“. To, že si pisatelia vírusov neberú servítky, dokladajú i nasledujúce citácie odkazov, ktoré jednotlivé verzie obsahujú:

20. Zaujímavosti • Netsky.C • we are the skynet - you can't hide yourself! - we kill malware writers (they have no chance!) - [LaMeRz->]MyDoom.F is a thief of our idea! - -< SkyNet AV vs. Malware >- ->-> • Netsky.F • Skynet AntiVirus - Bagle - you are a looser!!!! • Mydoom.F • to netsky's creator(s): imho, skynet is a decentralized peer-to-peer neural network. we have seen P2P in Slapper in Sinit only. they may be called skynets, but not your shitty app. • Bagle.I • Hey, NetSky, fuck off you bitch, don't ruine our bussiness, wanna start a war ? • Bagle.J • Hey, NetSky, fu** off you bitch!

21. Zaujímavosti • Tieto a ďalšie indície z poslednej doby môžu ukazovať i to, že internet sa stáva do istej miery vojnovou zónou, kde proti sebe stoja jednotlivé skupiny pisateľov škodlivých kódov, ktorí svoje výtvory úmyselne smerují proti sebe. Podľa Eugena Kasperského zo známej spoločnosti Kaspersky Lab môže súčasná situácia vyústiť v totálnu degradáciu internetu ako takého. Hlavný problém podľa neho nie je v tom, že by túto situáciu nechcel nikto riešiť, ale je predovšetkým v tom, že samotná architektúra internetu nemá základné bezpečnostné prvky, ktoré by tomuto dokázali zabrániť. Situácia sa pravdepodobne nezlepší a podobné incidenty sa budú vyskytovať stále častejšie do tej doby, než budú metódy pre ich prevenciu, detekciu a neutralizáciu implementované priamo na úrovni internetu ako takého… • Podľa materiálov spoločnosti Kaspersky Lab.

22. Použitá literatúra • http://www.drweb.sk • http://www.aec.cz • http://www.grisoft.cz/cz/cz_index.php • http://biohazard.xz.cz