Wirusy komputerowe Wirus komputerowy to szkodliwy mikroprogram, który może dostać się do komputera na wiele różnych sposobów i wywoływać rozmaite skutki: od mało szkodliwych i raczej irytujących (wyskakujące okna, komunikaty, zakłócenia wyświetlania okien i pracy myszki) po wysoce destruktywne (uszkodzenie komputera, skasowanie danych). Wirusy mogą przedostawać się do komputerów przez pocztę elektroniczną, pliki pobierane z Internetu, płyty, zewnętrzne dyski, pamięci przenośne, etc. Mają one następujące charakterystyczne cechy: · Potrafią się powielać, infekując inne pliki i programy, · Gdy są aktywne, przeprowadzają irytujące lub destruktywne działania w komputerze, · Program lub plik, w którym zagnieździł się wirus ulega zwykle uszkodzeniu. Wirusy komputerowe zawdzięczają swą nazwę podobieństwu do wirusów biologicznych. Jak wirusy biologiczne przedostają się do ciała i infekują komórki, tak wirusy komputerowe przedostają się do komputerów i infekują pliki. Oba typy wirusów potrafią się reprodukować i rozprzestrzeniać, przekazując infekcję z jednego zainfekowanego systemu na inny. Ponadto, podobnie jak wirusy biologiczne są mikroorganizmami, wirusy komputerowe są mikroprogramami. Skutki infekcji wirusowych mogą być bardzo różne. Niektóre wirusy ograniczają się do utrudniania życia użytkownikom komputerów wyświetlając denerwujące komunikaty, zmieniając sposób wyświetlania okienek programów, nie pozwalając na posługiwanie się myszką (np. uciekanie kursora), odtwarzając melodyjki lub animacje. Wirusy mogą również prowadzić działania, które mają na celu wyrządzenie szkody użytkownikowi poprzez np. skasowanie danych z dysku lub nawet fizyczne zniszczenie komputera. Zdarza się też, że wirusy wykorzystują równocześnie oba typy działań, np. wyświetlają animację i równocześnie kasują dane z dysku. Oprócz wymyślnych sposobów rozprzestrzeniania się i infekowania nowych komputerów, wirusy używają również kamuflażu. Niektóre złośliwe programy wykorzystują techniki lub nawet całe systemy obrony, aby ich wykrycie było utrudnione i by jak najdłużej mogły utrzymać się w zainfekowanym systemie. Oprócz wirusów zmorą użytkowników komputerów na całym świecie są robaki i konie trojańskie. Są one podobne do wirusów pod względem wywoływanych skutków, ale różnią się od nich pewnymi cechami. Robaki Robak to program bardzo podobny do wirusa. Potrafi samodzielnie infekować inne komputery, przenosi wirusy i konie trojańskie, może wywoływać negatywne skutki w systemie. Jednak nie musi zarażać plików, aby się reprodukować. Robaki - w odróżnieniu od wirusów - powielają się nie niszcząc plików. Potrafią jednak bardzo szybko się reprodukować, nasycając sieć i powodując jej awarię. Robaki przesyłane są zazwyczaj pocztą elektroniczną, ale mogą rozprzestrzeniać się również za pośrednictwem sieci lokalnych, komunikatorów (np. Gadu-Gadu, MSN Messenger), kanału IRC czy programów do internetowej wymiany plików, takich jak KaZaA czy iMesh. Konie trojańskie Konie trojańskie, w przeciwieństwie do wirusów, nie powielają się przez zainfekowanie innych plików ani nie replikują się jak robaki. Działają podobnie jak ich mitologiczny imiennik, w którym schowali się greccy żołnierze, aby niepostrzeżenie dostać się do Troi. Konie trojańskie "udają" niegroźne programy, aby "wejść" do komputera. Kiedy są już uruchomione (ich nazwy i cechy podstępnie nakłaniają użytkownika do zrobienia tego), instalują na komputerze inne szkodliwe programy lub pobierają szkodniki z sieci. Koń trojański nie musi się uaktywnić natychmiast, ale kiedy już to zrobi, sieje spustoszenie w zaatakowanym systemie. Może usuwać pliki, niszczyć informacje na dysku oraz otwierać "tylne furtki" dla hakerów. Dzięki temu uzyskuje całkowity dostęp do systemu, pozwalając na kopiowanie, przesyłanie i niszczenie informacji, a nawet wykorzystywanie mocy obliczeniowej komputera. Hoaxy Wiadomości te są często mylone z wirusami, ale są czymś zupełnie innym. Warto znać tę różnicę, by nie wpaść w niebezpieczną pułapkę zastawioną przez żartownisiów. Hoaxy nie są wirusami, lecz fałszywymi wiadomościami wysyłanymi przez pocztę elektroniczną, które ostrzegają użytkowników przed nieistniejącymi wirusami. Celem jest rozsiewanie plotek, wywołujących panikę i strach wśród adresatów tego typu wiadomości. Czasami powiadomienia o wirusach typu hoax zawierają terminy techniczne, aby zmylić użytkowników. W innych przypadkach w nagłówku ostrzeżenia zamieszczane są nazwy firm produkujących programy antywirusowe, agencji prasowych i innych instytucji darzonych społecznym zaufaniem. W ten sposób autor hoaxu próbuje wmówić użytkownikom, że otrzymali powiadomienie o prawdziwym wirusie. Zaleca się zatem, aby użytkownicy nie zwracali uwagi na tego typu raporty. W wielu przypadkach hoaxy zawierają instrukcję usuwania "wirusa", zalecając usunięcie określonych plików, które zwykle są niezbędne do pracy na komputerze. Odbiorca hoaxu bywa zachęcany do masowego rozsyłania "ostrzeżenia", co może spowodować przeciążenie serwerów pocztowych i przekazanie adresów email spamerom. Adware Szczególnym rodzajem legalnego oprogramowania jest adware - rozpowszechniane bezpłatnie, jednak zawierające niemożliwą do wyłączenia funkcję wyświetlania reklam, na których wydawca oprogramowania zarabia. Instalacja adware stanowi więc koszt pobrania innego "darmowego" programu. Nierzadko programy tego typu należą de facto do innej kategorii programów określanych jako spyware (programy szpiegujące). Programy typu spyware mogą być częścią "darmowych" aplikacji, pochodzących z niepewnego źródła. Instalują się wraz z tymi programami i naruszają prywatność użytkownika, przekazując osobom niepowołanym informacje o odwiedzanych stronach www, zainstalowanych programach, hasłach. Spyware może także przechwytywać wszystkie dane wpisywane przez użytkownika za pomocą klawiatury (keystrokes), a nawet obrazy wyświetlane na monitorze komputera (screenshots). Co infekują wirusy Głównymi celami wirusów są pliki z programami (pliki z rozszerzeniami EXE lub COM), które zostają uruchomione w celu przeprowadzenia określonych działań. Poszczególne rodzaje wirusów mogą atakować różne rodzaje plików i dokumentów, takich jak strony sieci web (HTML), dokumenty w programie Word (DOC), formularze w programie Excel (XLS), etc. Jeśli plik zostaje zarażony, może zachowywać się zupełnie inaczej niż normalnie. Konsekwencje zainfekowania systemu mogą być zatem różne. W związku z tym, że pliki są często przechowywane na masowych nośnikach danych (dysku twardym, dysku CD-ROM, DVD, dyskietkach, etc.), szkody wyrządzone przez wirusy mogą zniszczyć także te elementy. Gdzie ”zamieszkują” wirusy? Najczęstsze kryjówki wirusów to: · Strony sieci web, które są napisane w specyficznym języku i mogą zawierać elementy znane jako aplety Javy lub kontrolki ActiveX. W nich mogą ukrywać się wirusy zarażające komputery użytkowników odwiedzających te strony. · Wiadomości poczty elektronicznej są ulubionymi kryjówkami wirusów, ponieważ umożliwiają szybkie wywołanie globalnej infekcji. Wiadomości poczty mogą zawierać zainfekowane załączniki, a otwarcie takiej wiadomości (czasem automatyczne - w okienku podglądu) może doprowadzić do zainfekowania komputera. · Pamięć operacyjna (RAM). Wirusy mogą ukrywać się w pamięci operacyjnej, gdzie czekają na uruchomienie programu (pliki z rozszerzeniami EXE lub COM), który chcą zainfekować. Ten rodzaj wirusa znany jest jako wirus rezydentny. · Sektor startowy (bootsektor). Sektor startowy to część dyskietki lub dysku twardego, która zawiera informacje o cechach i zawartości dysku. Wirusy znane jako wirusy bootowe dostają się do tego obszaru i infekują komputer. · Makro to mały program, który tworzy część dokumentów w programie Word (z rozszerzeniami DOC), formularzy w programie Excel (z rozszerzeniami XLS) oraz prezentacji w programie PowerPoint (rozszerzenia PPT lub PPS). Makro może być nośnikiem wirusów, ponieważ jest programem. Objawy i skutki Czasami trudno stwierdzić, czy wirus zaatakował komputer. Dlatego należy zainstalować niezawodny program antywirusowy. Przyczyny problemów z komputerem mogą być różne. Poniżej prezentujemy typowe symptomy infekcji: · Wyraźnie spowolnione działanie komputera. Może być to spowodowane otworzeniem zbyt wielu programów, problemami z siecią lub infekcją wirusową. · Brak możliwości otwarcia plików lub pracy z programami, z których wirus usunął wszystkie dane lub tę ich część, która jest odpowiedzialna za otwieranie programu. Wirusy mogą również zmienianiać pliki tak, że nie można ich otworzyć, a kiedy użytkownik próbuje to zrobić, wyświetla się komunikat o błędzie. · Niespodziewane znikanie plików i folderów może być skutkiem działania wirusów. · Fałszywe komunikaty lub teksty zawierające niecodzienne komunikaty (żarty, obelgi, obscena, etc.). · Nagłe zmniejszenie przestrzeni dyskowej lub ilości dostępnej pamięci może wskazywać na obecność wirusów, które absorbują czasami całą dostępną przestrzeń na dyskach i w pamięci operacyjnej. W tych przypadkach pojawiają się komunikaty wskazujące na brak pamięci lub przestrzeni dyskowej. · Niektóre wirusy mogą zakłócać normalne funkcjonowanie stacji dysków, powodując problemy z zapisywaniem plików lub przeprowadzaniem innych działań na dysku twardym. · Nieoczekiwana zmiana we właściwościach plików spowodowana tym, że niektóre wirusy potrafią zmieniać infekowane przez siebie pliki, powiększając ich rozmiar, zmieniając dane utworzenia lub inne właściwości, etc. · Gdy system operacyjny wyświetla komunikat o błędzie, gdy użytkownik przeprowadza proste czynności w normalnych warunkach, to jest bardzo prawdopodobne, że system został zainfekowany. · Jeśli ten sam plik pojawia się dwukrotnie, raz z rozszerzeniem .EXE, a drugi raz z rozszerzeniem .COM, istnieje bardzo duże prawdopodobieństwo, że jeden z nich został zainfekowany. · Kiedy nazwa pliku nieoczekiwanie się zmienia, można przypuszczać, że jest to skutek działania wirusa. · Problemy przy włączaniu komputera mogą wynikać z wielu przyczyn, jednak zarażenie wirusem bootsektora jest najczęstszą z nich. · Komputer może się zablokować (lub zawiesić) przy nadmiernym obciążeniu. Gdy zdarza się to przy przeprowadzaniu prostych działań, które nie obciążają zbytnio komputera, dowodzi to, iż system jest zainfekowany. · Komputer wyłącza się bez widocznej przyczyny, a następnie ponownie się włącza. Niektóre wirusy doprowadzają do takiego zachowania systemu, aby się uaktywnić i upewnić, że są w stanie działać tak, jak zostały zaprogramowane. · Jeśli program nagle się zamyka bez widocznego powodu, może to wskazywać na obecność wirusa. · Inne nietypowe objawy, które wskazują na zarażenie koniami trojańskimi to otwieranie i zamykanie podajnika CD-ROM, automatyczne pojawianie się tekstu, niekontrolowane ruchy kursora, przypadkowo pojawiające się i znikające okna, etc. Wirusy dostają się do komputerów przez kanały transmisji, które zwykle używane są do wymiany informacji. Można je podzielić na trzy grupy: Internet, sieci komputerowe oraz dyski wymienne.
Działanie wirusów komputerowych wirusy dyskowe, infekujące sektory startowe dyskietek i dysków twardych wirusy plikowe, które infekują pliki wykonywalne danego systemu operacyjnego wirusy skryptowe makrowirusy, których kod składa się z instrukcji w języku wysokiego poziomu, wykonywane przez interpreter. wirusy komórkowe, na razie rzadkie ale być może w przyszłości mogą stanowić istotne zagrożenie w związku z rozwojem oprogramowania dla telefonów komórkowych i dostępnych usług. Przykładem może być wirus Cabir napisany w 2004 roku. Pierwszy rodzaj wirusów był bardzo rozpowszechniony w czasach, kiedy powszechne było kopiowanie danych i programów na dyskietkach. Wirusy te przenosiły się między komputerami za pośrednictwem dyskietek. Uruchomione w środowisku nie posiadającym odpowiednich zabezpieczeń, zarażały pliki wykonywalne oraz kolejne dyskietki. Ich zmierzch przyszedł razem z wyparciem dyskietek przez CD-ROMy oraz rozpowszechnieniem Internetu. Dzisiaj są one właściwie niespotykane. Najbardziej znane przykłady wirusów z tej kategorii: Brain, Stoned, Michelangelo. Wirusy plikowe są najpowszechniejszym, obok makrowirusów, typem wirusów. Tworzone są głównie w asemblerze. Wirusy te są programami, które potrafią dołączać swój kod do kodu wykonywalnego innego programu. Infekują pliki na dysku, w udostępnionych zasobach sieciowych lub wysyłają się w e-mailach poprzez SMTP. Przykładowe wirusy plikowe: Frodo, W95.CIH, W32.Magistr. Wirusy skryptowe to samoreplikujące się skrypty powłoki. Zwykle infekują one inne skrypty. W DOS-ie występują jako pliki .bat, pod Linuksem jako skrypty bashowe, pod systemem Windows jako np. Visual Basic script (.vbs). Przykładowe wirusy: Bat.Rous, VBS.LoveLetter, SH.Sizer. Inny rodzaj wirusów to programy zapisane jako makra. Infekują one dokumenty programów biurowych a rozprzestrzeniają się głównie za pośrednictwem poczty elektronicznej. Przykładowe wirusy: W95M.Concept, W97M.Melissa, W97M.Laroux. bez podania rozszerzenia w pierwszej kolejności uruchomi plik COM zawierający kod wirusa. Następnie wirus po uaktywnieniu się przekaże sterowanie do programu macierzystego. Sprytnym rozszerzeniem tej techniki jest sposób infekcji wykorzystujący zmienną środowiskową PATH. Zmienna ta definiowana jest w pliku autoexec.bat i określa listę katalogów przeszukiwanych przez system DOS podczas uruchamiania programu. Wirus wykorzystujący tę technikę tworzy plik zawierający kod wirusa w dowolnym katalogu którego ścieżka znajduje się w zmiennej PATH przed katalogiem, w którym znajduje się zarażana ofiara. Przykładowe zastosowanie tej techniki Załóżmy, że plik autoexec.bat zawiera następującą linię: PATH = C:;C:DOS;C:WINDOWS Po podaniu nazwy programu przez użytkownika, w pierwszej kolejności przeszukiwany będzie dysk C, następnie katalog DOS a dopiero na końcu katalog WINDOWS. Przykładowy wirus towarzyszący do katalogu C:DOS skopiuje plik o nazwie win.bat zawierający kod powodujący jakieś szkody w systemie. Użytkownik próbując uruchomić system WINDOWS zwykle z dowolnego katalogu wyda polecenie WIN i wciśnie ENTER. W pierwszej kolejności zostanie przeszukany katalog główny na dysku C. Następnie katalog DOS. System będzie szukał programu WIN o rozszerzeniach COM, EXE, BAT. W naszym przypadku zostanie odnaleziony program WIN.BAT zawierający kod wirusa. W ten sposób użytkownik sam zainfekuje swój system. Następnie wirus uruchomi system WINDOWS plikiem WIN.COM i użytkownik nawet nie będzie wiedział że dokonał infekcji. Typy wirusów Wirus komputerowy - działa na zasadzie podobnej jak jego odpowiednik biologiczny. Dodając do zarażonego pliku swój kod. Często wirusy ukazują swoją obecność poprzez różnego rodzaju efekty graficzne , dźwiękowe lub inne , jest także sporo tych bardziej złośliwych usuwających dane z dysku , niszcące lub unieruchamiające antywirusa lub inne programy. Wirus Plikowy- Dodaje do kodu aplikacji swój własny najczęściej są to programy z rozszerzeniem .exe lub com Wirus Makro- Atakuje pliki dokumentów tekstowych MS Word , arkuszy kalkulacyjnych Excel , oraz Access. Wirus Retro - Potrafi unieruchomić skaner antywirusowy lub nawet go niszczyć. Wirus Pocztowy - Potrafi przenosić się za pomocą email na komputer jeszcze nie zarażony często wykorzystując błędy w oprogramowaniu pocztowym , ale najczęście do zarażenia dochodzi poprzez nieświadome otwarcie załącznika. Wirus Polimorficzny - Potrafi szyfrować swój własny kod a nawet go samoczynnie zmieniać co stanowi dużą trudność dla antywirusów. Wirus Bootsektora- Usadawia się on w pamięci bootsektora co uniemożliwia start systemu bądź równoczesny start z nim. Koń trojański (Trojan) - Program ukrywający się często w innej aplikacji , ułatwiający przejęcie komputera poprzez osobę z zewnątrz za pomocą internetu. Robak internetowy- Rodzaj programu , którego głównym celem jest powielanie się w internecie i w ten sposób zapychanie go oraz co za tym idzie spowolnianie łączy. Bomba logiczna - Funkcja powodująca określone działania wirusa , ale tylko w odpowiednich warunkach np. aktualna godzina , rok , data , rocznica... Web worm - Robak internetowy ukrywający się w kodzie spreparownej strony www. Zapory sieciowe Zapora sieciowa – jeden ze sposobów zabezpieczania sieci i systemów przed intruzami. Typy zapór sieciowych Zapory filtrujące: monitorują przepływające przez nie pakiety sieciowe i przepuszczają tylko zgodne z regułami ustawionymi na danej zaporze (zapora pracująca dodatkowo jako router). Zwykle w niewielkich sieciach jest zapora sprzętowa bądź wydzielony komputer z systemem operacyjnym Linux. Obecnie najczęściej wykorzystywana metoda filtrowania w Linuksie to reguły oparte na iptables. Dostępne są także zamknięte komercyjne rozwiązania programowe, z których wiele posiada bardzo wymyślne własności i rozbudowany system konfiguracji oraz wachlarz możliwych do zintegrowania rozwiązań, pozwalających nie tylko na analizę (Snort, psad) i filtrowanie pakietów IP, ale także na sprawdzanie poprawności pakietów z punktu widzenia wyższych warstw modelu ISO/OSI, a nawet na prowadzenie ochrony antywirusowej. Oprogramowanie komputerów stacjonarnych: udostępnia wybrane porty do połączeń "z zewnątrz" monitorując ruch, udostępnia także połączenia na zewnątrz komputera wybranym usługom/programom. Często zintegrowane z ochroną antywirusową (na przykład Norton Internet Security). Zapory pośredniczące (proxy): wykonujące połączenie z serwerem w imieniu użytkownika. Przykładowo, zamiast uruchomienia sesji http bezpośrednio do zdalnego serwera WWW, uruchamiana jest sesja z zaporą i dopiero stamtąd uruchamiane jest połączenie z systemem zdalnym. Cała komunikacja na serwer http przechodzi przez proxy, które może filtrować ruch. Proxy, jeśli ma taką funkcjonalność, potrafi rozpoznać komendy http jak i analizować zawartość pobieranych stron WWW (działa w warstwie aplikacji modelu ISO/OSI). Zabezpieczające działanie zapory, z punktu widzenia klienta, polega w tym wypadku na tym, iż możliwe jest blokowanie wybranej treści (ang. content filtering), aby nie dotarła ona do klienta (np. strony ze słowami wulgarnymi, o treści pornograficznej itp.). Programy antywirusowe Program antywirusowy (antywirus) – program komputerowy, którego celem jest wykrywanie, zwalczanie i usuwanie wirusów komputerowych. Współcześnie najczęściej jest to pakiet programów chroniących komputer przed różnego typu zagrożeniami. Programy antywirusowe często są wyposażone w dwa niezależnie pracujące moduły (uwaga: różni producenci stosują różne nazewnictwo): skaner – bada pliki na żądanie lub co jakiś czas; służy do przeszukiwania zawartości dysku monitor – bada pliki ciągle w sposób automatyczny; służy do kontroli bieżących operacji komputera Program antywirusowy powinien również mieć możliwość aktualizacji definicji nowo odkrytych wirusów, najlepiej na bieżąco, przez pobranie ich z Internetu, ponieważ dla niektórych systemów operacyjnych codziennie pojawia się około trzydziestu nowych wirusów. Widoczna jest tendencja do integracji narzędzi do ochrony komputera. Kiedyś był to jedynie skaner, który wyszukiwał wirusy, początkowo na podstawie sygnatur znanych wirusów, a potem także typujący pliki jako zawierające podejrzany kod za pomocą metod heurystycznych. Trzeba dodać, że współcześnie programy antywirusowe jako jedyna linia obrony nie wystarczają, Obecnie poza skanerem, monitorem i modułem do aktualizacji sygnatur z sieci, pakiet antywirusowy zawiera często także zaporę sieciową, moduły kontroli przesyłek poczty elektronicznej i plików pobieranych z sieci, moduł wykrywania i zapobiegania włamaniom, skaner pamięci i strażnika MBR. Wszystkie te moduły posiadają programy typu internet security - np. Kaspersky Internet Security, jednak można je zainstalować oddzielnie, co według licznych testów laboratoriów antywirusowych, oferują znacznie wyższy poziom ochrony przed malware niż pakiety bezpieczeństwa
