Wirusy komputerowe
Wirus komputerowy jest niewielkim programem, powielającym się poprzez zarażanie zbiorów wykonywalnych, jednostek alokacji plików lub sektora startowego nośnika danych (HDD, FDD) oraz dokumentów stworzonych za pomocą pakietów biurowych takich jak MS Office. Ogólna nazwa "wirus" kryje cztery zasadnicze rodzaje programów:
1. Wirusy, których ogólna definicja pokrywa się z podaną wyżej,
2. Konie trojańskie - wirusy te ukrywają się w pożytecznym (na pozór) oprogramowaniu, jak np. program antywirusowy czy przeglądarka plików graficznych. Program tego typu po jego uruchomieniu oprócz wykonywania swoich "oficjalnych" zadań dokonuje także spustoszenia w systemie,
3. Bomby logiczne - rodzaj wirusa, który może pozostać w ukryciu przez długi czas. Jego aktywacja następuje w momencie nadejścia określonej daty lub wykonania przez użytkownika określonej czynności, takiej jak np. skasowanie określonego pliku,
4. Robaki (worms) - małe, ale bardzo szkodliwe wirusy. Do prawidłowego funkcjonowania nie potrzebują nosiciela. Rozmnażają się samoistnie i w sposób ciągły, powodując w bardzo krótkim czasie wyczerpanie zasobów systemu. Wirusy tego typu są zdolne w bardzo krótkim czasie sparaliżować nawet dość rozległą sieć komputerową.
Pierwsze wirusy komputerowe dla IBM PC pojawiły się już w 1986 r., ale jeszcze dwa lata później wiele postaci świata informatycznego wątpiło w ich istnienie. Peter Norton (wg „Patologii wirusów komputerowych” Davida Ferbra-che’a) nazwał wirusy komputerowe wielkomiejskim mitem i porównał ich istnienie z historiami o krokodylach w kanałach Nowego Jorku. Ta opinia dość dobrze oddaje stan wiedzy na temat wirusów w środowisku komputerowym u progu lat dziewięćdziesiątych. Sytuacja zmieniła się dopiero kilka lat później, po odkryciu wykreowanego przez media na pierwszą gwiazdę przemysłu informatycznego, wirusa Michael Angelo. Dzięki nagłośnieniu jego istnienia i masowej akcji ostrzegawczej Michael Angelo wywarł pozytywny wpływ i uświadomił milionom użytkowników komputerów na całym świecie grożące im (oraz ich danym) niebezpieczeństwo.
W ciągu minionych kilku lat zainteresowanie wirusami komputerowymi znacznie spadło. Wielu użytkowników oswoiło się z możliwością infekcji
i nauczyło się minimalizować jej skutki. Niestety, w dalszym ciągu liczne grono osób korzystających z komputerów, co gorsza również na stanowiskach kierowniczych, nie zdaje sobie sprawy z potencjalnego zagrożenia. Grupa ta traktuje informacje i ostrzeżenia pojawiające się w środkach masowego przekazu jako wyssane z palca bądź uważa, że wirusy komputerowe są wyłącznie problemem użytkowników nielegalnego oprogramowania i samych „piratów”. Niestety, większość ludzi zaczyna wierzyć w istnienie wirusów dopiero po odkryciu ich we własnym komputerze.
Podział wirusów:
Wirusy plikowe (tzw. "zwykłe", file viruses):
Wirusy plikowe to najstarsza rodzina tych programów. Każdy wirus przed dokonaniem szkód najpierw ulega replikacji, dlatego rozwój "przemysłu" wirusowego wiąże się z wynajdywaniem nowych nosicieli. Początkowo na atak wirusów tego typu narażone były tylko pliki wykonywalne (*.exe, .com) oraz wsadowe (*.bat). Rozwój technologii wirusów powiększył grono zagrożonych plików o zbiory zawierające fragmenty kodu, biblioteki, sterowniki urządzeń (*.bin, *.dll, *.drv, *.lib, *.obj, *.ovl, *.sys, *.vxd).
Zasada działania:
Infekcja następuje poprzez dopisanie kodu wirusa na końcu pliku (wirusy starsze) lub modyfikację jego początku i dopisanie kodu w środku lub na końcu (wirusy nowsze, atakujące nie wykonywalne pliki). Załadowanie zainfekowanego pliku do pamięci jest równoznaczne z uaktywnieniem wirusa. Wiele wirusów nie niszczy zaatakowanego pliku, dzięki czemu może po aktywacji wykonać program nosiciela, tak że użytkownik niczego nie podejrzewa.
Wirusy sektora startowego dysku (wirusy boot sektora, boot sector viruses):
Innym nosicielem wirusa może być sektor startowy nośnika danych, takiego jak dysk twardy (MBR - Master Boot Record) czy dyskietka (Boot sector). Wirusy tego typu są szczególnie groźne. Wynika to z faktu, iż po uruchomieniu komputer próbuje wczytać system, który jest zapisany w pierwszym sektorze dysku lub dyskietki. Należy mieć świadomość, że każda sformatowana dyskietka, nawet niezawierająca plików systemowych, posiada boot sektor, a więc jako taka może zawierać wirusa.
Zasada działania:
Wirus tego typu może ulokować się w MBR i np. zniszczyć jego zawartość, uniemożliwiając tym samym dostęp do dysku. W innym przypadku wirus przenosi kod inicjujący system z sektora startowego w inny obszar dysku i zajmuje jego miejsce, co powoduje jego załadowanie jeszcze przed startem systemu, a więc także przed uruchomieniem jakiegokolwiek oprogramowania antywirusowego. Działanie tego typu umożliwia wirusom przejęcie kontroli nad oprogramowaniem przeznaczonym do ich zwalczania.
Wirusy FAT (wirusy tablicy alokacji plików, link/FAT viruses):
Do replikacji wirusy mogą także wykorzystywać jednostki alokacji plików (JAP), na jakie tablica FAT dzieli DOS-ową partycję dysku twardego. W celu uzyskania dostępu do pliku DOS odszukuje w FAT numer jego pierwszej jednostki alokacji, po czym kolejno (zgodnie z FAT) wczytuje wszystkie jednostki zajmowane przez plik.
Zasada działania:
Wirusy atakujące JAP zmienia wartość pierwszej JA jednego lub wielu plików na numer wskazujący JA kodu wirusa. Wczytanie takiego pliku powoduje uruchomienie wirusa, który w dalszej kolejności może, ale nie musi, załadować właściwy program (w tym celu musi zapamiętać oryginalny numer jego pierwszej JAP).
Makrowirusy:
Makrowirusy należą do najmłodszej rodziny wirusów. Ich powstanie związane jest z wprowadzeniem do pakietów biurowych (np. MS Office, Lotus SmartSuite czy Corel WordPerfect) języków pozwalających na tworzenie makr, takich jak np. Visual Basic for Applications (VBA).
Zasada działania:
Większość makro wirusów Worda wykorzystuje fakt, że szablony dokumentów mogą zawierać makra. Wirus uaktywnia się w chwili otwarcia zainfekowanego dokumentu, po czym zaraża zdrowe zbiory z rozszerzeniem *.doc i zapisuje je jako szablony (dokumenty nie mogą zawierać makr). W ostatnim kroku jedno lub kilka automatycznie wykonywanych makr zostaje zastąpionych kodem wirusa.
Wirusy typu stealth i wirusy polimorficzne, (stealth&polymorphic viruses):
W zasadzie wszystkie wymienione wcześniej wirusy mogą, (choć nie muszą) należeć do tej grupy. Ich powstanie związane jest z postępem w dziedzinie ich wykrywania. W pierwszych latach obecności wirusów każdy miał swoją sygnaturę (charakterystyczny tylko dla siebie ciąg bajtów). Sytuacja zmieniła się, gdy Bułgar o pseudonimie Dark Avenger opracował metodę pozwalającą tworzyć wirusy samo mutujące się.
Wirusy polimorficzne nie mają stałej sygnatury, ponieważ ich kod zmienia się samoczynnie przy każdej infekcji. Wirusy stealth są to wirusy, które podczas próby dostępu do zarażonego pliku lub sektora dysku przez program antywirusowy potrafią "w locie", chwilowo naprawić uszkodzone dane i zatuszować swą obecność.
Programy antywirusowe są najsilniejszym narzędziem, jakie powstało w celu walki z wirusami. Od momentu pojawienia się pierwszego wirusa powstał cały szereg różnorodnego oprogramowania. Istniejące i ciągle rozwijające się programy ułatwiają ochronę systemu przed inwazją, szybkie jej wykrycie i w większości przypadków usunięcie skutków.
Programy antywirusowe możemy podzielić na następujące grupy funkcjonalne:
1. Blokery - są to jedyne programy, próbujące przeciwdziałać inwazji. Zasadą ich działania jest monitorowanie poczynań uruchamianych programów i w przypadku odkrycia "podejrzanych" operacji alarmowanie użytkownika i pozostawianie mu decyzji o dalszym działaniu. Jest to znakomita metoda, ale jak każda posiada oczywiście swoje wady. Jedną z nich jest przede wszystkim mała skuteczność, gdyż nowe wirusy bardzo często posiadają mechanizmy uniemożliwiające wyodrębnienie z nich operacji "podejrzanych". Kolejną wadą jest zajmowanie części zasobów komputera - pamięci operacyjnej oraz obciążanie w jakimś stopniu procesora. Ostatnią wadś jest to, iż programy owe mają tendencję do częstego "mylenia się" co związane jest z "fałszywym alarmem".
2. Programy diagnostyczno-leczące - ta grupa programów opiera się na poszukiwaniu na dysku i w pamięci znanych już wirusów i w przypadku wykrycia (na podstawie charakterystycznych algorytmów zawartych w plikach) - usuwaniu skutków infekcji. Są to programy najczęściej stosowane i chyba najbardziej przydatne w profilaktyce. Niestety są nieskuteczne w przypadku zainfekowania nieznanym wirusem bądź wtedy, gdy wirus zadziała natychmiast po zainfekowaniu komputera i dokona nieodwracalnych zniszczeń. Do programów tego typu zaliczamy, już chyba legendę programów antywirusowych - Mks_Vir-a, autorstwa Marka Sella.
3. Programy sprawdzające sumy kontrolne plików - istotą tej grupy programów jest zakładanie bazy danych, zwierających pewne cechy zbiorów dyskowych i newralgicznych obszarów dysków. Te programy, przez systematycznym stosowaniu, umożliwiają wykrycie źródła infekcji, a czasem odzyskanie pozornie bezpowrotnie straconych informacji.
Można rzec, że najprostszym sposobem ochrony przed wirusami jest niezarażanie się nimi. To tak jak ze zdrowiem, aby nie być chorym, należy przestrzegać zasad higieny. Ponieważ większość wirusów przenoszonych jest na dyskietkach, pierwsza zasada o jakiej powinniśmy pamiętać brzmi: „nigdy nie wkładamy do napędu dyskietki, której pochodzenia nie jesteśmy pewni”. Jeśli nie da się tego stwierdzić poddajemy ją kontroli za pomocą programu antywirusowego. Szczególną ostrożność należy zachować wobec plików ściąganych z internetu, które najlepiej natychmiast sprawdzać za pomocą odpowiedniego programu. Aby nieświadomie nie rozsiewać wirusów zarażając pliki przekazywane innym, należy kontrolować również wszystkie programy i dane znajdujące się na twardym dysku. Dotyczy to głównie sytuacji, gdy w naszym domowym komputerze, do którego dostęp mają inni domownicy, korzystamy z danych przynoszonych z biura. Istotne jest też posiadanie wolnej od wirusów dyskietki systemowej, którą tworzymy za pomocą polecenia Formatuj i zaznaczonej opcji Kopiuj tylko pliki systemowe.
Brak rzetelnych informacji na temat wirusów prowadzi do częstych wybuchów paniki, czego przykładem są np. dwudniowy paraliż światowych systemów informatycznych na wieść o nieistniejącym wirusie Michaelangelo czy obiegające świat ostrzeżenia o rzekomych wirusach w e-mailach zatytułowanych "PENPAL GREETINGS", czy "JOIN THE CREW". Moim zdaniem należy zwalczać takie wiadomości, choćby poprzez odpowiednią edukację użytkowników komputerów, prowadzoną za pomocą czasopism o tematyce informatycznej. Dobrym przykładem magazynu starającego się od dłuższego czasu zwalczać różne fałszywe poglądy na tematy związane z komputerami, jest PC WORLD KOMPUTRE. Myślę, że gdyby więcej czasopism podjęło działania w tym kierunku, użytkownicy komputerów przeżywaliby znacznie mniej stresów spowodowanych swoją niewiedzą.
Powyższa praca przedstawia problematykę wirusów w sposób bardzo skrótowy, ze względu na ogrom informacji, które można by podać tylko w celu "zanudzenia na śmierć" Czytelnika, ponieważ dotyczą one typowo technicznych zagadnień, takich jak np. szczegółowa zasada działania poszczególnych modułów skanera antywirusowego.
Powyższa praca przedstawia problematykę wirusów w sposób bardzo skrótowy, ze względu na ogrom informacji, które są dostępne w Internecie, książkach, itd. Nie chciałem w moim referacie poruszać spraw typowo technicznych, choćby szczegółowa zasada działania skanera antywirusowego. Moim celem było przybliżenie informacji na temat wirusów: jak się przed nimi bronić, jakie są ich rodzaje, skutki zarażenia.