Viry a antivirové systémy

ANTIVIROVÝ SYSTÉM:
By měl být nedílnou součástí každého PC.
JENŽE… Samostatný antivirový systém není dostatečnou prevencí. Jistá bezpečnostní pravidla musí dodržovat i samotný uživatel. Ve výbavě by měl být i osobní firewall (viz slovníček pojmů).

Co je potřeba zajistit u antivirového systému?

 pravidelnou - AUTOMATICKOU aktualizaci antiviru. Vzhledem k rychlosti šíření dnešní havěti (především prostřednictvím elektronické pošty) není aktualizace 2x za hodinu žádným luxusem. Obecně platí, že čím častěji se bude antivirový systém pokoušet o stažení aktualizace, tím lépe.
 minimálně chod modulu, starající se o nepřetržitou kontrolu souborů, ke kterým uživatel právě přistupuje (které otevírá/uzavírá - při kopírování např., spouští apod.). Takové moduly se většinou označují pojmy jako "rezidentní štít" či odborně "on-access skener". Je nutné si uvědomit, že tento modul je nejdůležitější součástí každého moderního antivirového systému. Ve většině případů je sice nabízen i modul, který kontroluje přímo stahovanou či odesílanou poštu, ale i tento lze v nouzi oželet, jelikož tak jako tak by případné infekci zabránil on-access skener. Sice by virus neodchytil předtím, než bude zařazen do přihrádky doručené pošty, ale odchytil by ho v momentě, kdy by se uživatel pokusil otevřít - spustit infikovanou přílohu e-mailu. A jelikož příloha není nic jiného než soubor a otevírání a spouštění je činností, kterou sleduje on-access skener, není co řešit. S tímto souvisí i další bod.
 Je potřeba si uvědomit, že přítomnost havěti - infikovaného souboru, e-mailu s infikovanou přílohou nemusí nutně znamenat, že PC je infikováno. Havěť se totiž může na pevném disku vyskytovat v "mrtvém", neaktivním stavu. Typickým příkladem může být havěť, kterou uživatel dříve nebo později najde v adresáři "Internet Temporary Files", kam si prohlížeč Internet Explorer odkládá data - soubory, které jsou nutné pro zobrazení webové stránky (obrázky, skripty, html kód), kterou si uživatel vyžádal. Některé stránky se mohou snažit úmyslně zneužít známou bezpečností chybu (program na stránkách, který se toho snaží dosáhnout se nazývá EXPLOIT), např. právě v aplikaci Internet Explorer s účelem spuštění škodlivého kódu bez vědomí uživatele. Pokud jde ale o POUČENÉHO UŽIVATELE (který aktualizuje mimo jiné i Internet Explorer), tak se sice tento exploit uloží do adresáře "Internet Temporary Files", ale vzhledem k přítomnosti "záplatované" - aktualizované verze Internet Explorer nedojde k provedení tohoto škodlivého kódu. Na pevném disku tak vznikla "mrtvá" - neaktivní havěť. Opakem je "živá" - aktivní havěť, která se obvykle pravidelně zavádí společně se startem operačního systému Windows a zanechává za sebou ilegální běžící procesy v paměti. Aktivní havěť může být antivirovým systémem detekována přímo v operační paměti.


Desatero pro používání antivirových systémů:

1) Udržujte svůj antivirus aktuální. Mnoho antivirových společností vydává svoje aktualizace denně, v případě potřeby i několikrát denně.

2) Mějte také aktualizovaný svůj operační systém včetně webového prohlížeče. Řada virů využívá bezpečnostních děr v operačním systému a internetovém prohlížeči, a proto záplatujte tyto programy co nejdříve.

3) Neotvírejte podezřelé přílohy v elektronické poště. Poštu kterou neočekáváte, raději ihned smažte.

4) Před otevřením nebo instalací souborů z výměnných zařízení (FDD, CD, ZIP) prověřte nejdříve vše antivirovým programem. Totéž platí i o souborech stažených z internetu.

5) Pravidelně zálohujte. V případě problému (napadení virem, poškození hardware) nebude ztráta dat tak bolestná. Čím častěji zálohujete tím lépe.

6) Sledujte přístup lidí k Vašemu PC. V případě používání PC více uživateli hrozí nejen možnost zavlečení virové nákazy, ale hrozí zde možnost zneužití Vašich dat. Proto oblasti na disku s Vašimi (cennými) daty raději šifrujte. Existuje spousta bezplatných programů pro šifrování dat.

7) Při přístupu na Internet, mějte na svém PC nejen aktualizovaný antivir, ale také dnes již potřebný firewall. Správně nastavený firewall dokáže odhalit pokus o průnik do Vašeho PC a útok zablokuje.

8) V svém PC mějte rovněž programy pro odhalování špionážního softwaru tzv. spywaru. Tento software posílá data o Vás svému tvůrci (např. navštívené stránky).

9) Používáte-li k připojení na internet vytáčené připojení (tzv. dial-up) mějte na svém počítači tzv. antidialer. Tento program Vás ochrání před připojením na internet přes tzv. žluté linky. Cena za připojení pře tyto linky se může vyšplhat až do tisíců korun. Antidialery přitom existují jak zdarma, tak maximálně v řádu stokorun.

10) V případě virové nákazy nepodléhejte panice a v případě, že si s tím sami neporadíte, svěřte své PC raději specializované firmě. Investice do těchto firem je mnohdy několikanásobně menší, než cenná data na PC.


Nejznámější antivirové programy:

Ad-aware
Program spolehlivě odstraní „špehovací‘‘ programy, které se mohou dostat do vašeho počítače při instalaci freewarových programů s reklamou. Tyto „špióni‘‘ shromažďují o informace o vaší aktivitě na Internetu. Program čistí výměnné i pevné disky, registry a paměť.

Firewall
Používá se jako ochrana proti ostatním skupinám malware. Je to program, který oddělí váš PC od vnějšího internetového prostředí. Používat jej je velmi vhodné zejména v počítačových sítích, ale používá se i na sólo počítačích. Počítače zapojené do počítačové sítě jsou většinou tímto typem ochrany chráněny automaticky, protože firewall je součástí proxy serverů. Samostatné počítače používají buď softwareovoý firewall, např. z balíku Norton Antivirus od firmy Symantek, nebo hardwareovou verzi.


Nejznámější viry:

PAKISTANI BRAIN - 1986
První zaznamenaný virus, který se objevil v roce 1986 v Pákistánu a svým tvůrcům (dva pákistánští bratři) měl zřejmě pomáhat monitorovat případné pirátské kopie jejich počítačových programů a propagovat jejich softwarovou firmu Brain Computer Services.

CHRISTMAS TREE - prosinec 1987
Tento síťový virus způsobil první epidemii; na počátku svého působení zobrazil na počítačovém monitoru obrázek vánočního stromečku.

MORRIS WORM - listopad 1988
První virus červ vytvořil Robert Morris. Na několik dní ochromil síť přibližně 6000 počítačů, což tehdy odpovídalo pěti až deseti procentům všech uživatelů internetu. Morris byl jako první v USA obviněn podle zákona proti zneužití počítačů (schválen 1986).

MICHELANGELO - duben 1991
Celosvětový virus se uhnízdí v paměti počítače a čeká na příležitost. Aktivuje se každého 6. března, kdy přepíše obsah pevného disku náhodnými znaky.

ČERNOBYL - vytvořen 1998
Virus CIH, někdy označován jako Černobyl, napadá soubory s příponou .exe. Nejčastější varianta se aktivuje 26. dubna v den výročí katastrofy jaderné elektrárny. Snaží se v paměti přepsat pro provoz počítače nezbytné údaje.

MELLISA - březen 1999
Uživatelům počítače připojených k internetu přišly elektronické dopisy s přiloženým souborem List.doc, v němž byly nabízeny adresy pornografických serverů - to už se ale začala Mellisa rozesílat. Během několika hodin zcela vyřadila stovky poštovních serverů.

ILOVEYOU - květen 2000
Jde o červa, který se šíří jako příloha elektronické pošty a uživatelé počítače je musí spustit, aby se mohl šířit dál a škodit. Zpráva nadepsaná jako milostný dopis se šířila světem jako lavina a způsobila miliardové škody.

ANNA KOURNIKOVA - únor 2001
Virus vytvořen pomocí tzv. virového generátoru jako virus na míru - podle stanoveného zadání. E-mail s virem nabízel obrázky známé ruské tenisky. Po otevření zprávy se aktivoval a automaticky se rozeslal na všechny adresy obsažené v adresáři e-mailové pošty. Nebyl destruktivní.
W32.Winux - březen 2001

Ve Spojených státech zaznamenali první počítačový virus, který byl schopen infikovat počítače pracující na základě systémů Windows i Linux. Nebyl destruktivní a nebyl schopen se sám automaticky šířit.

CODE RED - červenec 2001
Virus typu červ, který putuje internetem bez zásahu uživatelů; nekrade žádná data, neničí ani nemodifikuje žádné dokumenty. Zasáhl přes 300.000 počítačů.

MY PARTY - leden 2002
Zamořil asijské počítačové sítě, posléze se rozšířil do Evropy včetně ČR. E-mailový virus červího typu pocházel údajně z Ruska a uživatele lákal k otevření přílohy s fotografiemi z večírku.

BLASTER - srpen 2003
Tzv. síťový červ - někdy označován také jako LovSan anebo MSBlast. Dokáže napadnout pouze operační systémy Windows společnosti Microsoft. Blaster využíval softwarové chyby, která byla objevena v červenci 2003 v operačních systémech Windows 2000, Windows XP, Windows NT a Windows Server 2003. Napadá ale jen první dva.

SOBIG.F - srpen a září 2003
E-mailový červ Sobig.F byl až do výskytu viru MyDoom nejrychlejší - antivirová společnost MessageLabs během prvních 24 hodin od jeho objevení zaznamenala milion infikovaných počítačů.

MYDOOM - leden 2004
Stejně jako většina moderních virů, červ - přezdívaný rovněž Novarg nebo Shimgapi - otevírá napadený počítač k přístupu zvenčí. MyDoom láká příjemce e-mailové zprávy otevřít přiloženou přílohu. Ta pak spustí programy, které zahltí elektronické sítě. Napadá výlučně počítače se systémem Windows.


Co nám pomůže při hledání a odstraňování virů:

Scanner
(kontrolní, vyhledávací, detekční program) je základní program sloužící k vyhledávání a identifikaci známých virů obvykle podle charakteristických řetězců (určité minimální délky, aby nedocházelo k falešným poplachům) a algoritmické detekce (nejčastěji to bývá algoritmické hledání polymorfních virů, nebo heuristická analýza). Viry nejdříve vyhledává v paměti (eliminace nakažení všech kontrolovaných programů virem přítomným v paměti), a potom na discích. Výhodou je velmi malé procento falešných poplachů (pokud není používána heuristika).

Paměťově rezidentní scanner
automaticky kontroluje spouštěné a kopírované soubory a boot sektory vkládaných disket, zda neobsahují viry. V případě pozitivního nálezu nedovolí vykonat se souborem příslušnou činnost. Paměťově rezidentní scannery však zabírají paměť, zpomalují počítač, některé detekují pouze vybrané viry, mají složitější použití (instalace) v porovnání se scannery, mohou se dostat do kolize s jiným programem.

Cleaner
(dezinfekční program) slouží k odstraňování virů ze souborů, z MBR a boot sektoru. Dezinfekční programy využívají znalosti viru a pokouší se obnovit soubor "vykousnutím" viru, nebo přepsáním souboru pomocí vytvořené záložní kopie. Novou (a nejméně spolehlivou) metodou je heuristické léčení, které umí odstranit i některé neznámé viry, neumí však ověřit správnost akce. Dezinfekční program by měl zkontrolovat bezchybnost dezinfekce metodou kontrolních součtů (pokud má ovšem takové údaje k dispozici). Spolehlivější je infikované programy smazat a nainstalovat je znovu, nebo využít záložní kopie.

Monitor podezřelých činností
(behavior blocker, monitor) je paměťově rezidentní program kontrolující (a přerušující) "podezřelé operace": přesměrování vektorů přerušení, nevyžádaný zápis na disk, pokus o formátování pevného disku (včetně nežádoucí aktivity uživatelů - např. nízkoúrovňového formátování pevných disků), zápis do boot sektoru pevného disku nebo diskety, změnu atributů READ - ONLY u souborů, manipulaci se soubory (např. změny spustitelných souborů) atd. Falešné poplachy - kromě virů řada programů používá relativně často "podezřelé operace".


Vnější a vnitřní projevy virů:

Zpomalení zavedení programu do paměti
- před provedením programu dojde nejprve ke spuštění viru (parazitické viry, doprovodné viry), pak předá virus řízení uživatelem spuštěnému programu. Na současných PC je toto zpomalení zpravidla obtížně pozorovatelné. Jiným důvodem zpomalení může být i přímé působení viru, který tak provádí svoji škodlivou činnost.

Snížení výkonu počítače
- důvodem může být paralelně prováděná činnost viru, nebo jde o záměrné zpomalení systému jako součást škodlivé činnosti viru. S viry nesouvisející příčinou snížení výkonu může být změna konfigurace systému, omylem vypnuté tlačítko TURBO, obsazení paměti dalšími aplikacemi a nutností odkládání dat na disk aj.

Zmenšování volného prostoru na pevném disku
- příčinou mohou být souborové viry, které prodlužují soubory (parazitické viry), nebo vytvářejí nové soubory (doprovodné viry), může jít o výskyt většího množství vadných clusterů, což může být důsledek stárnutí pevného disku, ale také přítomnosti virů (jedna z technik skrývání virů), může jít také o *.TMP soubory nesmazané v důsledku kolapsu programu. Úbytek místa na disku nemusí být výrazný nebo vůbec pozorovatelný v případě virů stealth, které úbytek kapacity disku skrývají.

Zmenšení systémové paměti RAM
- důvodem je výskyt rezidentních virů v paměti, k projevu dojde např. při spouštění rozsáhlých DOS programů hlášením o nedostatku paměti pro spuštění. Jestliže nebylo změněno nastavení rezidentních programů a původní program bylo možné dříve spustit, pak jde pravděpodobně o napadení virem.

Změna atributů infikovaných souborů
- důvodem změny atributů virem je zabránit opakovanému napadení stejného souboru, což by zvyšovalo riziko detekce viru podle neúměrného zvětšení délky souboru, několikanásobným výskytem charakteristických řetězců. Daný virus se potom takto označeným souborům již vyhýbá, čehož bylo dříve využíváno při ochraně imunizací (očkováním) proti danému viru. Změn atributů (například změna data a času vytvoření souboru) není snadné si všimnout, protože většinou nejsou uživatelem sledovány.

Poruchy programů
- program, který dříve pracoval, nyní nelze spustit nebo již není plně funkční. Může se jednat o chybu programu způsobenou poškozením dat programu v důsledku výpadku proudu, fyzické vady paměťového média apod. (mohou pomoci např. Norton Utilities), ale může jít také o chybu způsobenou činností virů - o přítomnost přepisujícího viru nebo viru, jehož škodlivá činnost spočívá v náhodném přepisování clusterů na disku.

Různá hlášení na obrazovce a další speciální projevy
- mnozí tvůrci virů cítí potřebu dát najevo přítomnost viru, upozornit na destruktivní činnost apod. Většinou tyto projevy napomáhají k odhalení a identifikaci viru, u řady virů jsou však aktivovány se zpožděním, aby se virus stihl rozšířit. Patří sem nejčastěji různé výpisy zpráv na obrazovku, grafické projevy (autíčko jezdící po obrazovce, skákající míček, třesení obrazovkou), akustické projevy v podobě melodií (známý je virus Yankee - Doodle hrající stejnojmennou melodii) a další.

Zápis na chráněnou disketu
- pokud se systém z nepochopitelných důvodů snaží zapsat na disketu chráněnou proti zápisu, s vysokou pravděpodobností se jedná o činnost viru (viru "hloupého", "chytrý" virus umí tuto situaci ošetřit).