240 likes | 597 Views
Arvutiviirused. Annika Kesküll 2002.a. Esimesed viirused. Pakistanist pärit Brian Virus (1986) Itaaliast või Uus-Meremaalt Stoned Isreali Weitzmanni Instituudi arvutid nakatusid viirusesse (1988) 1991 a.nakatas USA-s viirusesse keskmiselt neli personaalarvutit
E N D
Arvutiviirused Annika Kesküll 2002.a.
Esimesed viirused • Pakistanist pärit Brian Virus (1986) • Itaaliast või Uus-Meremaalt Stoned • Isreali Weitzmanni Instituudi arvutid nakatusid viirusesse (1988) • 1991 a.nakatas USA-s viirusesse keskmiselt neli personaalarvutit • 1993 a lõpuks oli identifiseeritud 2300 viirust ja modifikatsiooni • 1992 a.oli teada 1350 PC-viirust • Amigat ähvardas 200 viirust • Macintoshi ähvardas 35 viirust
Interneti uss • Vagelprogramm USA-s 1988 • Autoriks Robert Morris • Levib paljuneb arvutivõrgu siseselt • Nakatades lühikese ajaga 6200 VAX, SUN arvutit
Good Times • Levis interneti uudistegruppides 1994 • Oli asjatundlikult käimalastud kirjakett • Sisaldas hoiatust • E-maili mööda liigub ohtlik viirus • Aktiviseerub siis kui lugeda viirust sisaldavat kirja
VIIRUSE KLASSIFITSEERIMINE NEID ISELOOMUSTAVA “KÄITUMISE” JÄRGI
Käivitusfaile pakkivad viirused • Kõiki programmifaile nakatavad viirused • Kõvaketta DOS boot – sektorit nakatavad viirused • 360 kB flopiketta viirused • Ülekirjutatavad viirused • Parasiitviirused • Mälus mitteresidentselt paiknevad viirused • Mälus residentselt paiknevad viirused • Spawing viirused • Viirused mis nakatavad MBR-i • Katalooge nakatavad viirused
BJARNE BLOMQVIST: Spawining virus • Avastati 1990. a. • Selleks oli AIDS II • Kasutas “korrespondeeriva faili tehnikat” • Nakatav sihtmärk EXE-fail jäi muutmata • Lõi COM-faili suurusega 8,064 baiti • Viirus levis ise • Levis koodi sisaldava COM- faili kaudu
Katalooge nakatav viirus (Dir II ) • Avastati Ida-Euroopas (Bulgaaria, Ungari, Poola) 1991.a. • Residentselt mälus asetsev stealth- tüüpi viirus • Üsna raskesti avastatav • Paigutab oma koodi ketta viimasesse klastrisse • Programmi käivitumisel käivitub viirus
MBR viirused (Stoned) • Avastati Wellingtonis, Uus-Meremaal 1988.a.alguses • Nakatas ainult 360Kb flopisid • Installeerib end residentselt süsteemimälu algusesse
Ülekirjutatavad viirused • Bad Brain avastati 1992.a. • On destuktriivne viirus • Nakatamis objektiks valib COM-failid ja COMMAND.COM • Fail kaotab oma endise Ülesande • Ei muutu faili modifitseerimise kuupäev ja kellaaeg
Parasiitviirused • Kirjutavad oma koodi peremees-faili otsa (EXE ja COM failid) • Fail suureneb viiruse koodi võrra • Uuemad viirused pakivad faili koodi kokku
Zaraza virus • Leiti Moskvast 1994. a. • Nakatab flopide boot-sektoreid • Viirus teeb failst koopia • Asub failis IO.SYS. • On kergelt polümorfne • Viirus sisaldab teksti “V boot sektore zaraza” • Tekst on kodeeritud • Nakatab ainult kõvakettaid, mille DOS-partition on suurem kui 10,6 MB
Shifting Objective • Oli esimene mis ei nakata käivitavat koodi • Püüab ainult nakatada OBJ mooduleid • Pärast linkimist on COM-failis viiruse kood esimene • Ronib DOS-le kättesaadava 640 KB lõppu • Vähendades seda 2 KB vörra • Haarab enda kätte katkestusvektori 2lh • Ei tekita mingeid kahjuseid
BAK ja PAS failide viirus • Autoriks Vasselin Bontchev (1990) • On *.COM faili viirus • Nakatanud fail sisaldab stringi “combakpas???exe” • Võib kahjustada ketta boot-sektorit
Aktiivne viirus (Fast Infectors) • On aktiivselt mälus • Ei nakata ainult parajasti käivitatavaid faile • Nakatab ka neid mis on avatud • Dark Avenger ja Frodo
Vähe aktiivneviirus (Slow Infectors) • Olles aktiivselt mälus nakatab faile mida kas modifitseeritakse või luuakse • Darth Vader
ARVUTIVIIRUSTE “ABI” TEHNOLOOGIAD
Stealth tehnoloogia • Venemaalt pärit AntiEXE • Residentselt mälus asuvad viirued • Nakatavad faile lennult • Nakatab käivitusfaile mis on antud hetkel avatud
Polümorfsus • Loojaks Dark Avanger Bulgaariast • Raskendab viiruse tabamist viiruse viirusetõrje programmide poolt • Viiruse kood eri failides erineb üksteisest • Viiruse põhiülesanne jääb samas endiseks
Koodi pakkimine • Cruncher-i “perekonda” kuuluv viirus • Pakkimiseks kasutab Lempel-Zev-Huffman-i pakkimismeetotit • Kasutavad parasiit-viirused • Pakib koodi lahti • Pakib faili koodi kokku tagasi
Ketta krupeerimine • Loojaks Mark Ludwig • Hakkab kettal olevaid andmeid algoritmiga kodeerima • Oht jääda ilma kõikidest kõvakettal asetsevatest andmetast • Satub vastuollu Windowsiga • Windowsi peamine swap-fail jätta kodeerimata
“Antiviirus” viirus • Kõrvaldab antiviiruse programme ja konkureerivaid viiruseid • Den_Zuko (kustutab ära Brain vöi Ohio viiruse ja kirjutab oma koodi selle asemele) • Yankee Doodle (kustutab vana koodi ja kirjutab peale uuema versiooni koodi, muudab viiruse Ping Pong koodi nii et pärast sajandat nakatamist hävitab Ping Pongi ) • Neuroquil (teeb võimetuks mõningaid viiruseprogramme)
Kokkuvõte • Kõige tundlikumad on IBM PC- ühilduvad arvutid • Macintosh arvutid kõige töökindlamad • Enamasti osutuvad nakatunuteks *.EXE ja *.COM failid • Loevad residentselt mällu • Ei loe residentselt mällu • On süsteemi või buut-sektori viirused