Počítačový vírus
Kategorie: Informatika (celkem: 338 referátů a seminárek)
Informace o referátu:
- Přidal/a: anonymous
- Datum přidání: 05. července 2007
- Zobrazeno: 3091×
Příbuzná témata
Počítačový vírus
Pocitacovy virus je program, ktory je schopny vytvarat svoje kopie. Najde iny program, skopiruje seba alebo svoju cast do jeho vnutra (infikuje ho) a potom sa tento program stava sprostredkovatelom dalsej aktivacie virusu. - najcastejsie sa zapisuju na koniec hostitelskeho programu a jeho zaciatok prepisu skokom na telo virusu- este si akosi subor oznacia, aby ho nenainfikovali aj druhykrat - napr. zmeni cas prepisu na 62. sekundu, alebo si zapise nieco priamo do suboru. Tym ho ale ochrani iba pred samym sebou, nie pred virusmi ineho typu.
- virus sa nikdy nenachadza v pocitaci samostatne, ma hostitela: boot sektor alebo program
- prvy virus: 1986: BRAIN, Basid a Amjal Farooq Alvi (Pakistan)
- v sucasnosti: asi 10 000 zakladnych virusovych tvarov
- virusy su velmi male (jeden z najvaecsich je 32kB MiniMax)
ROZDELENIE VIRUSOV PODLA:
: FUNKCIA
destruktivne virusy - formatuju pevny disk, prepisuju nahodne vybrane sektory nahodnymi datami, menia obsah suborov, mazu subory, zasifruju data, oznacuju sektory za chybne, aj destrukcia hardware (rozkmita hlavicky pevneho disku, vysielanim chybnych signalov muoze aj znicit graficku kartu)…
nedestruktivne virusy - charakter vizualnych prejavov (zobrazovanie ruoznych textových sprav, grafické prejavy nie su caste) a akustických prejavov
Kazdy z prejavov je vyvolany podmienkou, (podnetom, rozbuskou)
: casom (konkretna hodina, datum)
: vstupom z klavesnice
: zmenou nejakeho suboru …
: UMIESTNENIE V PAMAETI
nerezidentne: zacne sa replikovat iba ak spustis konkretny subor, nakazi vaecsinou iba niekolko suborov v aktualnom adresari, preda riadenie infikovanemu programu
rezidentne: po spusteni napadnuteho suboru sa trvalo usadi v operacnej pamaeti (aj po ukonceni vykonavania infikovaneho proGramu ouzitim TSR mechanizmu – terminate and stay resident) a zaisti, aby nebol prepisany inym programom. Muoze napadnut lubovolny pocet suborov. : CIEL INFEKCIE
bootovacie: umiestnia sa v boot sektore diskety alebo pevneho disku a zabezpecia si tak spustenie este pred zavedenim samotneho operacneho systemu
(originalny boot sector ukladaju, musi byt zachovany pre korektne zavedenie operacneho systemu. Ukladaju ho na niektory volny sektor na 0.
stope pevneho disku alebo lubovolny iny volny sektor, pricom ho oznacia za vadny, chybny, aby nedoslo k jeho prepisaniu)
suborove: najrozsirenejsia skupina virusov
- su nerezidentne, infikuju spustitelne subory (exe, com, ovl, bin, sts, obj, dll)
- predlzujuce: pripise sa k povodnemu suboru (na jeho koniec) a na zaciatok pridaju instrukciu skoku na telo virusu
- prepisujuce: prepise cast suboru (nepouzivanu alebo uvod – subor sa potom stava ako program nefunkcny)
- duplicitne: postihuju iba nieco.EXE, vytvoria nieco.com a ked sa chceme "nieco"
tak sa spusti nieco.COM (virus)
multiparitne: kombinacia boot a suborovych virusov, infikuju oboje
: SPRAVANIE
stealth: maskuju svoju cinnost (co najviac), skryvaju stopy na odhalenie (zmena komponentov systemu – dlzku suborov, datum a cas vytvorenia, zmena boot sectora), su schopne deinfikovat programy ‘on the fly’ (po poziadavke na otvorenie suboru virus prevezme kontrolu ako prvy, odviri subor, preda ho programu ktory on ziadal a po poziadavke na uzavretie ho najprv infikuje a az potom skutocne ulozi)
polymorfne: ochrana proti antivirom, ziadne kopie virusoveho tela nie su totozne. virus sa sklada z dekodovacej rutiny a zakodovaneho hesla (dekodovacia rutina muoze byt staticka – semi-polymorfne virusy, alebo generovana – plne plymorfne virusy)
tunelujuce: ovladaju hardware, prejdu cez BIOS a mozu vsetko pouzivat bez toho aby o tom BIOS vedel
trojske kone
- virusom podobne programy
- vykonavaju cinnost (po splneni podmienky) o ktorej uzivatel nevie, je vacsiou destruktivneho charakteru
- nepotrebuju hostitela
- makrovirusy: programy naprogramovane v jazyku na tvorbu makier v textovom procesore alebo tabulkovom kalkulatore a vlozene do takehoto dokumentu (vaecsinou auto makra Microsoft Wordu – FileSaveAs, AutoOpen. infikuju najcastejsie sablonu normal.dot)
- cervy: snazia sa rozoslat do viac a viac pocitacov, neinfikuje spustitelne subory, rozsiruje sa pocitacovou sietou, nepotrebuje hostitela
SPUSOBY PRENOSU
bezne prenosove media: diskety, sietove linky, telefonna linka, vymenne pevne disky, pruzne disky (cedecka, diskety)
menej caste: seriova linka, pamaete, uverejneny zdrojovy text viru
spam – reklamne emailove spravy
- nielen obtazovanie adresata a zatazenie internetu, ale aj riziko masoveho sirenia infiltracii
OCHRANA
hardwarova: pomocou rozsirujucej karty - obsahuje rom pamaet so specialnym softwarom (moznost nastavenia ruoznych pristupovych prav a registracia vsetkych pokusov o ich prekrocenie, automaticky zaistena ochrana boot sektorov proti prepisaniu a formatovaniu)
softwarova: realizovana antivirovymi programami.
konkretne antivirove techniky - podla virovej databazy (treba ju aktualizovat) vyhladavaju pomerne rychlo zname viry (na pevnom disku, kazdom kopirovanom ci otvaranom subore, vkladanych disketach a pamaeti). Ma rezidentny ovladac, ktory sa zavadza vzdy po spusteni pocitacu (je v config.sys, cize je v pamaeti skuor, ako sa nacita command.com- co je zakladna vaecsiny virov).
vseobecne antivirove techniky- snazia sa najst a odstranit neznamy virus. Prostriedky:
porovnavaci test - program si zapise informacie o suboroch (velkost, datum poslednej zmeny, kontrolne sucty) a pri kazdom dalsom spusteni porovnava tieto informacie s aktualnym stavom. Pokial doslo k zmene vo vaecsej miere, je pravdepodobne, ze pocitac bol napadnuty virom.
heuristicka analyza - analyzuje obsah suborov na pevnom disku a hlada podozrive stopy (priame zapisy na disk, prevzanie kontroly nad operacnym systemom). Test na zname viry sa prevadza automaticky. Nevyhoda = caste falosne poplachy.
test na suborove viry - program vygeneruje na disk subory nieco. com alebo nieco.exe a potom s nimi prevadza ruozne operacie, pricom vzdy kontroluje ich obsah. Pokial sa pri manipulacii s nimi ich obsah zmeni, je pravdepodobne, ze virus sa chytil na navnadu.
Scanner zisťuje prítomnosť víru v pamäti alebo na disku pomocou vírových identifikačných reťazcov (Vírový identifikačný reťazec je jednoznačne definovaná postupnosť bytov reprezentujúcich daný vírus). Na zvýšenie účinnosti sa používa viac reťazcov na jeden vírus naraz, prípadne kombinácia. Môže dôjsť k poškodeniu súboru: v prípade nesprávnej identifikácie vírusu nebude tento dôkladne odstránený a môže sa poškodiť funkčnosť pôvodného programu. Čiastočné riešenie prináša tzv. univerzálny clean, ktorý si uchováva pôvodný dátum, dĺžku, atribúty, čas súboru a hlavičku EXE súboru, resp. úvodné inštrukcie u COM súboru. Rezidentný štít je program, ktorý beží v reálnom čase. Najčastejšie je to program typu scanner, ktorý prevádza antivírovú kontrolu práve spracovávaných dát. Môže tak zakázať skopírovanie zavírených súborov z diskety na pevný disk, či zakázať spustenie infikovaného programu.
Monitor diskových zmien sa zameriava na sledovanie zmien v počítači, najmä spustiteľných súborov. Uchováva databázu popisov základných vlastností súborov, najmä dĺžku, dátum a čas poslednej aktualizácie a hlavne kontrolný súčet. Slabinou je prípad vírusov zameraných na zmazanie kontrolnej databázy. Jednoúčelové programy sú zamerané špeciálne proti konkrétnemu vírusu, vírusovej skupine.
Programové balíky sú komplexné súhrny antivírových programov danej firmy. Kvalitný antivírový produkt by mal obsahovať: rýchly scanner s rozsiahlou databázou, kvalitnú heuristickú analýzu, bežný i univerzálny clean, rýchly rezidentný štít, možnosti úschovy/obnovy kritických systémových oblastí (CMOS, partition table, boot sector), kontrolu komprimovaných súborov, dostatočnú odolnosť proti falošným poplachom, databázu popisov detekovateľných vírusov.
Známe programové balíky: NOD, AVG, AVAST!, F-PROT, McAfee VirusScan
ULAHCENIE ROZSIROVANIU VIRUSOV
- servery, na ktorych su k dispozicii zive virusy, nosice virusov, ci navody na ich pisanie su volne dostupne
- narastanie poctu ruoznych druhov sluzieb v ramci siete internet, ktore nie su dostatocne zabezpecene voci nebezpecenstvu pocitacovej infiltracie
- zjednodusovanie obsluhy komunikacnych aplikacii (hlavne vo Windows), ktore stale viac rozhodovacich procesov riesia automaticky, takze pouzivatel ma stale mensie moznosti ich ovplyvnovania, straca kontrolu
- co sa tyka CR-Rom: Autorun (spustenie kodu bez toho, aby pouzivatel mohol spustany kod najprv overit – pokial nie je aplikovany rezidentny anti-virusovy program)
- MS Outlook Express (umoznuje aktivaciu niektorych tipov virusov precitanim emailovej spravy – napriklad cervy BubbleBoy, Kakworm)
- nebezpecenstvo pri prezerani internetu: technologie JAVA a ActiveX (zavlecenie infiltracii destruktivneho alebo spionazneho charakteru)
- nebezpe aj: update programovych balikov zo sietovych zdrojov.