Wirusy komputerowe II
Pierwsze wirusy komputerowe dla IBM PC pojawiły się już w 1986 r., ale jeszcze dwa lata później wiele postaci świata informatycznego wątpiło w ich ist-nienie. Peter Norton (wg „Patologii wirusów komputerowych” Davida Ferbra-che’a) nazwał wirusy komputerowe wielkomiejskim mitem i porównał ich istnie-nie z historiami o krokodylach w kanałach Nowego Jorku. Ta opinia dość dobrze oddaje stan wiedzy na temat wirusów w środowisku komputerowym u progu lat dziewiećdziesiątych. Sytuacja zmieniła się dopiero kilka lat później, po odkryciu wykreowanego przez media na pierwszą gwiazdę pzremysłu informatycznego, wirusa Michael Angelo. Dzięki nagłośnieniu jego istnienia i masowej akcji o-strzegawczej Michael Angelo wywarł pozytywny wpływ i uświdomił milionom użytkowników komputerów na całym świecie grożące im (oraz ich danym) nie-bezpieczeństwo.
W ciągu minionych kilku lat zainteresowanie wirusami komputerowymi znacznie spadło. Wielu użytkowników oswoiło się z możliwością infekcji i na-uczyło się minimalizować jej skutki. Niestety, w dalszym ciągu liczne grono osób korzystających z komputerów, co gorsza również na stanowiskach kierowni-czych, nie zdaje sobie sprawy z potencjalnego zagrożenia. Grupa ta traktuje in-formacje i ostrzeżenia pojawiające się w środkach masowego przekazu jako wy-ssane z palca bądź uważa, że wirusy komputerowe są wyłącznie problemem u-żytkowników nielegalnego oprogramowania i samych „piratów”. Niestety, więk-szość ludzi zaczyna wierzyć w istnienie wirusów dopiero po odkryciu ich we własnym komputerze. Ale wtedy jest już za późno...
Pod względem działania wirusy komputerowe przypominają swoje biolo-giczne pierwowzory. Zamiast ludzkiego organizmu, infekują dysk (dyskietkę) lub program, umieszczając w nich swój kod. Główne zadanie wirusa komputerowego polega na jak najszerszym rozpowszechnieniu się, a nie „szkodzeniu”, jak mylnie sądzi wielu użytkowników. Niszczenie danych na dysku, wyświetlanie informacji na ekranie, blokowanie systemu i nienormalne zachowanie się komputera to dru-gorzędne cele wirusów komputerowych. Wynika to z prostej zasady: pozostając dłużej w ukryciu, mogą wygenerować większą liczbę potomków.
Pierwszym krokiem na drodze do zabezpieczenia się przed wirusami jest poznanie zasad ich działania, w szczególności metod „rozmnażania”. Każdy wi-rus związany jest z konkretnym systemem operacyjnym lub programem. Pierwsze z nich nazywamy systemowymi a drugie aplikacyjnymi.
Istnieją dwa typy wirusów systemowych, zarażające pliki wykonywalne i obszary systemowe dysku (boot sektor na dyskietce i Master Boot Record an dysku twardym). Przedstawiciele obydwu typów mogą „zagnieżdżać się” w pa-mięci i stamtąd infekować dyski lub programy. Mówi się wtedy o wirusach rezy-dentnych.
Wirusy „doklejające się” (typu link) infekują programy przez wpisanie swojego kodu w określone miejsce pliku „nosiciela”. W systemie DOS atakowa-ne są pliki COM i EXE, czyli wykonywalne programy. Zdarza się, że wirusy po-sługują się plikami pośrednio wykonywalnymi (np.: OVR, OVL), a ostatnio za-częły nawet „nadużywać” windowsowych DLL-i.
Kiedy uruchamiamy zarażoną aplikację, wirus ładuje się do pamięci, ewen-tualnie rozmnaża się i ładuje program nosiciela. Jego działanie pozostaje często niewidoczne dla użytkownika, a zbyt późne rozpoznanie infekcji może prowadzić do utraty wszystkich danych na dyskach. Niebezpieczeństwo jest bardzo duże, ponieważ napisanie wirusa doklejającego się do plików COM jest dziecinne proste, a dla programów typu EXE niewiele trudniejsze.
Wirusy towarzyszące, wykorzystują właściwości systemu DOS, a dokład-niej kolejność wywoływania programów o takiej samej nazwie. Ponieważ DOS (jeżeli nie podaliśmy rozszerzenia nazwy) szuka najpierw pliku typu COM, a dopiero później EXE, zatem zamiast zarażać aplikację, wirus tworzy „towarzyszącego” jej COM-a. Sposób umieszczenia kodu wirusa w tym ostatnim jest na tyle nieszablonowy (treść „mikroba” znajduje się w środowisku pliku), że skanery wykrywają go dopiero po włączeniu opcji sprawdzania całej zawartości zbioru.
Drugi rodzaj wirusów systemowych atakuje boot sektor na dyskietkach lub tzw. Master Boot Record (w skrócie MBR) na dysku twardym. W obu przypad-kach wirus kopiuje kod inicjujący (bootstrap) zawarty w boot sektorze lub prze-chowywany w MBR do innego miejsca na dysku i zamienia go własnym, ładują-cym wirusa, następnie wykonuje oryginalny kod bootstrap. Startowanie przebiega normalnie, z tą różnicą, że wirus ładuje się do pamięci przed systemem operacyj-nym. Obecny w pamięci wirus monitoruje aktywności dyskowe i infekuje dys-kietki, kiedy tylko nadarza się okazja.
Istnieją dwa sposoby zarażenia systemu klasycznym wirusem bootsekto-rowym: start komputera z zainfekowaną dyskietką w stacji A: i wystartowanie komputera z zarażonego dysku twardego. Aby uchronić się przed pierwszym ro-dzajem infekcji, należy zawsze wyciągać dyskietkę ze stacji A: przed urucha-mianiem i resetowaniem komputera. Równie skuteczne jest wyłączenie (w BIOS-ie) możliwości bootowania z napędu A:. Ustawienie kolejności C:, A: nie daje 100% zabezpieczenia: dopóki na dysku twardym aktywna partycja zawiera pliki systemowe i nie jest uszkodzona, jesteśmy bezpieczni, ale w przeciwnym wy-padku BIOS szuka systemu w napędzie A:, co może prowadzić do infekcji.
Wirusy aplikacyjne różnią się od systemowych środowiskiem pracy i o-biektami używanymi w charakterze nosicieli. Nie tak dawno „szkodnik” zaraża-jący dokumenty Worda 6.0 napawał grozą wielu użytkowników, a w poczcie e-lektronicznej „straszył” komunikat blokujący (zapychający) kolejkę nadesłanych wiadomości. Programiści i inni twórcy wirusów mają olbrzymie pole do popisu, tym bardziej, że w tego rodzaju wirusy wielu użytkowników nie chce albo nie potrafi uwierzyć, a znacznie częściej nawet o nich nie słyszało.
Oprogramowanie antywirusowe nie jest doskonałe - odnajduje tylko wiru-sy znane producentowi w chwili tworzenia programu i często straszy fałszywymi alarmami. Wykrywanie nieznanych „szkodników” sprawdza się niemal wyłącznie w przypadku schematycznych wirusów tworzonych na podstawie utartych sche-matów. Programy antywirusowe nie odtworzą również zniszczonych przez „szkodniki” danych, a „wyleczone” aplikacje nie zawsze odpowiadają swojej pierwotnej postaci.
Dobre uzupełnienie skanera antywirusowego stanowi program do tworze-nia sum kontrolnych, ale wyłącznie własna, unikalna tablica kodów gwarantuje bezpieczeństwo. Metody obliczania sum kontrolnych stosowane przez znane i popularne programy (np. przez dostarczony z DOS-em program antywirusowy) zostały już dawno „rozgryzione” przez programistów, a wirusy aktualizują (albo kasują) „odciski plików” po zainfekowaniu. Spokojnego snu nie zapewnia rów-nież oprogramowanie zabezpieczające. Wprawdzie utrudnia ono zainstalowanie się wirusów w pamięci lub na dysku, ale ciągle pojawiają się nowe „szkodniki” obchodzące najwymyślniejsze zabezpieczenia.
Liczba wirusów w ciągu ostatnich lat szybko rośnie. Przyczynia się do tego powstawanie mutacji istniejących „wirusów” i stosowanie kilku form rozmnaża-nia przez jeden wirus. Z tego powodu mówi się o rodzinach wirusów, które się ciągle na nowo szyfrują, a kolejne egzemplarze „szkodnika” nie przypominają swoich przodków.
W ciągu ostatnich lat pracowano nad mechanizmami ukrycia wirusów. W ten sposób powstały wirusy typu stealth. „Tajniacy” dostarczają skanerowi da-nych w oryginalnej („niezarażonej”) postaci, a wykrycie ich staje się możliwe dopiero po restarcie systemu z wolnej od wirusów dyskietki.
Konie trojańskie i robaki to anomalie programowe o zbliżonym do wiru-sów działaniu. Pierwsze z nich to na pozór zwyczajne programy, które po uru-chomieniu ujawniają swoje prawdziwe oblicze. Istnieją już pirackie „kopie” pro-gramów antywirusowych, które okazały się... formaterami dysku twardego. Znacznie częściej niszczycielem bywa gra albo aplikacja użytkowa skopiowana z pirackiego źródła. Robaki, w odróżnieniu od wirusów, rozmnażają się bez pro-gramu gospodarza. Znakomicie radzą sobie w sieci, rozmnażając się tak szybko, że w ciągu krótkiego czasu absorbują wszystkie zasoby systemu i wywołują jego zawieszenie. W 1988 r. jeden z robaków doprowadził nawet do załamania kom-putera sieci Internet.
Zdecydowana większość wirusów została napisana dla systemu DOS i nie działa w innych środowiskach. Nie dotyczy to jednak Windows 95 (a raczej MS-DOS-a 7.0), który stwarza sprzyjające warunki dla niemałej części „szkodników”. OS/2 Warp i Windows NT nie należą do ścisłego kręgu zaintere-sowań twórców wirusów, wynika to po części ze skutecznych mechanizmów bezpieczeństwa tych systemów. Osoby, które zetknęły się już z wirusami kompu-terowymi, wiedzą, że nie ma z nimi żartów. Nawet (pozornie) nieszkodliwe oka-zy - nie niszczące danych - zwiększają awaryjność systemu komputerowego, ponieważ sama ich obecność w pamięci może blokować niektóre operacje pro-gramu lub wywoływać przypadkowe działania.
Wirusy stwarzają i stwarzać będą w przyszłości potencjalne zagrożenie, od którego nie ma ucieczki. Użytkownik może w dużym stopniu zminimalizować ryzyko zarażenia, ale w praktyce zawsze może liczyć na wizytę „nieproszonego gościa”. Jedynym sposobem 100% bezpieczeństwa pozostaje chyba odcięcie się od świata zewnętrznego.
Bibliografia:
1. CHIP (różne numery)
2. Nieograniczone zasoby sieci zwaną Internet
3. Mój Misiaczek