17. tétel 12. A Vírusok Tatár Zsolt, Czeglédi Ádám
17. témakör Vírusok - Víruskeresés
Megjegyzés [NEU1]: Sortávolságok túl nagyok. korrektúra bejegyzés ne maradjon benne. Az eredeti korrektúra bejegyzések honnét vannak, én ezt a fájlt még nem láttam.
Számítógépes vírusok: Olyan programok, amelyek engedély nélkül települnek be egy rendszerbe, képesek önmaguk reprodukálására (terjesztésére, sokszorosítására), lappangva megbújnak a rendszerben, majd egy adott időponthoz vagy eseményhez kötötten előbb vagy utóbb valamilyen kárt okozhatnak. Eredetük: A szoftverek másolásvédelme:A 70-es években a szoftveripar fellendülésével együtt felbukkant az illegálisszoftvermásolás problémája. A programkészítő cégek ennek a jogellenes tevékenységnek úgyakarták elejét venni, hogy szoftvereikhez másolást „büntető” programrészeket építettek. Ezek másolásesetén akcióba léptek: jobb esetben csak a védelmük alatt álló programot tették működésképtelenné, nem ritkán azonban a felhasználó többi állományát is károsították „büntetésül” (akárcsak a mai vírusok). A hadviselés: A hadiiparban régóta használják a vírusokat: egyrészt az ellenfél számítógépes rendszerébe bejuttatva annak teljes tönkretételét célozva meg, másrészt a saját rendszerüket pillanatok alatt teljesen elpusztító vírusokat is „kifejlesztettek”, arra az esetre, ha a kifejlesztett haditechnika az ellenségkezére jutna.
Jellemzőik: •
nagyon kis méret;
•
általában ártó/„reklám”/ vagy erőfitogtatásszándékával készítetik őket;
•
gyakran akár válogatva, időzítve tönkretesznek más fájlokat;
•
ellenőrzi a hordozóprogram hívását és ennek hatására fertőz;
•
rejtetten működnek, esetleg akkor fedik fel magukat, ha feladatukat elvégezték;
•
egyre fejlettebb intelligenciával rendelkeznek
•
önmagát többszörözi. A reprodukálás nem folytonos, csak akkor következik be, ha valamely programot futtatjuk. Egy vírus nem mindig azonos formában, hanem megváltozva, ún. mutánsként is terjedhet. A vírusreprodukálás algoritmusai a következők: a) A vírus a fertőzött program indításakor válik aktívvá. 6/1
17. tétel 12. A Vírusok Tatár Zsolt, Czeglédi Ádám
b) Megfelelő körülmények között a vírus más fájlokat fertőz meg. c) Nincs fertőzés, csak átmásolódik a vírus, amikor egy fertőzetlen fájlt hívunk be. d) Megfelelő fájlokat vár a vírus és csak azokat fertőzi meg. e) Rendszerspecifikusság: a különböző vírusokat meghatározott típusú számítógépekre programozzák, ezért csak a célgépeken fejti ki hatását. •
egy adott vírus meghatározott fertőzést okoz. Van olyan, amelyik a hordozóprogram hívása után a RAM- területre települ vagy a rendszerfájlokba épül be;
A vírusok felépítése:
1. Felismerő rész: a vírus megállapítja, hogy az állomány meg van-e már fertőzve. Ezáltal elkerülhető a többszörös fertőzés. A vírus ezzel növeli saját terjedési sebességét, és nem lehet olyan könnyen felismerni. 2. Reprodukciós rész: kiválaszt egy állományt, illetve annak egy részétés ráfüggeszti a vírus programkódját. A kiválasztott program tehát megfertőződött és ettől kezdve saját maga is megfertőzhet más programokat. 3. Funkciórész: meghatározza, mit manipuláljon a vírus a programban. Hogy lehetőleg ne fedezzék fel azonnal, a legtöbb vírusba be van építve egy ún. "trigger". A vírus csak akkor lesz aktív, ha egy bizonyos esemény megtörténik, pl. egy meghatározott időpontban, vagy egy x-edik programstartnál. Az egyszerű semmittevéstől (kivéve a terjedést) a merevlemez teljes törléséig bármi megtörténhet.
Vírusok csoportosítása: I.
károkozás szempontjából:
Ártalmatlan: Lényegében semmit nem csinál, „csak” szaporodik és közli, hogy a gépen van ésfertőz. Célja lehet a készítő ügyességének demonstrálása. A felhasználó munkáját zavaró: A munka lassítása, apróbb bosszúságok, pl. újrabootolás, egykisegér megeszi a betűket, a képernyő tükörképét látjuk, stb.Célja a rendszer leterhelése.
6/2
17. tétel 12. A Vírusok Tatár Zsolt, Czeglédi Ádám
Rosszindulatú:
II.
-
A fájlok tartalmának megváltozása, törlése.
-
A winchesterek teljes tartalmának az elvesztése.
-
A jogosultságok megváltoztatása, védelmi rendszerek kiiktatása.
-
Adatok továbbítása az interneten böngészési szokásain
-
Célja azadat, illetve jogosultság lopás, védelmek kijátszása
típus szerint:
Mivel csak olyan algoritmus tud fertőzni, kárt okozni, amely végrehajtódik és végrehajtódni pedig csak futó programok képesek , a vírusok programokkal terjednek. A végrehajtható állományok sokféle módon jelenhetnek meg. Fájl-vírus Ez a legrégebbi vírusforma, mely futtatható (exe, com, dll) állományokhoz épül hozzá. A vírussal fertőzött program jelenléte a háttértáron önmagában még nem vezet károkozáshoz. A vírus kódja csak akkor tud lefutni (aktivizálódni), ha futtatjuk a vírus által fertőzött programot. Ekkor a gazdaprogrammal együtt a vírus is a memóriába töltődik, s ott is marad a számítógép kikapcsolásáig. Ez idő alatt a háttérben végzi nem éppen áldásos tevékenységét: hozzáépül az elindított programokhoz (fertőz), és eközben vagy egy bizonyos idő elteltével illetve dátum elérkezésekor végrehajtja a belékódolt destruktív feladatot. BOOT-vírus A mágneslemez BOOT szektorába írja be magát, így ahányszor a lemez használatban van, annyiszor fertőz. Különösen veszélyes típus az un. MBR vírus, amely a rendszerlemez BOOT szektorát támadja meg, így induláskor beíródik a memóriába. Innentől kezdve egyetlen állomány sincs biztonságban, amely a memóriába kerül. Hajlékonylemezek esetében a fizikai írásvédelem bekapcsolása megakadályozza a fertőzést. Makróvírus A makrók megjelenésével dokumentumaink is potenciális vírushordozóvá váltak. A makró irodai programokban a felhasználó által létrehozott „parancslista”, mely a dokumentumban gyakran elvégezendő gépies feladatok automatizálására használatos. A makró vírus e lehetőséggel él vissza: dokumentumainkhoz épülve, annak megnyitásakor fut le kártékony kódja. A vírusok ezen típusa az internetes adatforgalom fellendülésével indult rohamos terjedésnek. 6/3
17. tétel 12. A Vírusok Tatár Zsolt, Czeglédi Ádám
Trójai program A mondabeli trójai falóhoz hasonlóan valójában mást kap a felhasználó, mint amit a program „ígér” Ez a vírus a jól működő program álcája mögé bújik: hasznos programnak látszik, esetleg valamely ismert program preparált változata. Nem sokszorosítja magát, inkább időzített bombaként viselkedik: egy darabig jól ellát valamilyen feladatot, aztán egyszer csak nekilát, és végzetes károkat okoz. Némely trójai programok e-mail-ek mellékleteként érkeznek: a levél szerint biztonsági frissítések, valójában viszont olyan vírusok, amelyek megpróbálják leállítani a víruskereső és tűzfalprogramokat. Féreg Általában a felhasználók közreműködése nélkül terjed, és teljes (lehetőleg módosított) másolatokat terjeszt magáról a hálózaton át. A férgek felemészthetik a memóriát és a sávszélességet, ami miatt a számítógép a továbbiakban nem tud válaszolni. A férgek legnagyobb veszélye az a képességük, hogy nagy számban képesek magukat sokszorozni: képesek például elküldeni magukat az e-mail címjegyzékben szereplő összes címre, és a címzettek számítógépein szintén megteszik ugyanezt, dominóhatást hozva így létre, ami megnöveli a hálózati forgalmat, és emiatt lelassítja az üzleti célú hálózatot és az internetet. II.III.
platform szerint:
DOS vírusok A DOS vírusok a DOS rendszerek fájlformátumait fertőzik meg, azaz a COM és EXE, esetleg SYS és egyéb fájlokat. Ehhez csak az adott fájlformátum tulajdonságait kell a vírusnak és írójának ismernie. Windows vírusok Két olyan EXE kiterjesztésű fájlformátum van, amit egy Windowsos vírus célba vehet: a régebbi, 16 bites formátum a NewEXE (NE), az újabb, 32 bites a Portable EXE (PE). OS/2 vírusok: A Windows mellett OS/2-re is jelentek meg vírusok. Talán azért, mert ez az operációs rendszer kevésbé elterjedt, az OS/2-es vírusok száma egy számjegyű. Természetesen a DOS-os vírusok futnak OS/2 alatt is. Linux vírusok: A vírusíró két megoldás közül választhat. Az egyik szerint kizárólag az operációs rendszer számára legális műveleteket végez (beleértve ebbe az írható programok megfertőzését is), a másik megoldás szerint viszont egy vagy több biztonsági hibát 6/4
17. tétel 12. A Vírusok Tatár Zsolt, Czeglédi Ádám
kihasználva root jogosultságokat szerez, és átveszi a hatalmat a gép felett. Az első megoldás hátránya, hogy a vírus talán soha nem terjed el (a gyakorlatban eddig ez volt a helyzet), a másodiké pedig az, hogy a biztonsági hibákat hamar kijavítják, és a vírus többé nem tud működni. Talán a két megoldás kombinációja adhat valami esélyt a vírusnak, mert a biztonsági hiányosságokat kihasználva el tud terjedni annyira, hogy utána kevésbé eredményes módszerekkel is beérje. Java vírusok: A Java egy platform független programozási nyelv, így a Java vírusok nagy előnye (a saját szempontjukból), hogy ők is platform függetlenek lehetnek. Ezek a vírusok a Java alkalmazói programokat szokták megfertőzni, melyek ugyanolyan programok, mint a winchesteren található összes többi, csak Java Virtuális Gép kell a futtatásukhoz. HTML vírusok: HTML vírusok a valóságban valamilyen script vírusok, ugyanis a HTML-t magát nem lehet programozni. Dokumentum vírusok: A Microsoft Word alatt futó vírusok platformja nem a szövegszerkesztőt futtató operációs rendszer, hanem a Word, mert a makró vírus az operációs rendszer típusától függetlenül képes futni. A Macintosh alatti Microsoft Word ugyanazokat a vírusokat képes futtatni, mint a Windowsos, néhány kivételtől eltekintve. Védekezés a számítógépes vírusokkal szemben: •
a víruskeresők működési elvei: o online (valósidejű vagy aktív): minden állományt a felhasználás előtt ellenőriz, riport készül a találatról, eltávolítja a kórokozót, vagy letiltja az állomány használatát o offline: csak kérésre működik, viszont minden állományt ellenőriz a kijelölt meghajtón
•
keresési technológiák: o heurisztikus keresés: a vírusnak a kártékony hatását keresi, vagyis megnézi, hogy milyen szokatlan jelenségeket okozott afigyeli, hogy a számítógépen történik-e
valamilyen
a
vírusokra
jellemző
tevékenység.
Pl.
nagy
memóriafoglalás, állományok indokolatlannak tűnő méretnövekedése, nagy adatforgalom, stb. 6/5
17. tétel 12. A Vírusok Tatár Zsolt, Czeglédi Ádám
o vírusszekvencia keresés: a számítógépen talált vírusnak ellenőrzi a szekvenciáját („kódját”) és megkeresi a vírus adatbázisban. Ezáltal képes felismerni a vírus típusát, illetve a kártékonyságát.A vírusok szekvenciáit ( jellemző programkód részleteit) a felismerésük után un. vírusadatbázisban tárolják a vírus-írtással foglalkozó cégek. Ezt az adatbázist töltik le, akár naponta többször is a víruskereső-figyelő szoftverek. •
vírus jelenlétének tünetei: o a gép lefagy vagy váratlanul újraindul o szokatlan jelenségek a képernyőn o a futtatható fájlok mérete növekszik (fájlvírus épült hozzájuk) o fájlok tűnnek el vagy ismeretlen fájlok jelennek meg o a háttértárak szabad kapacitása drámaian lecsökken o a gép lelassul, használata nehézkessé válik
•
a fertőzés megelőzése: o a bejövő adatforgalom minél szigorúbb ellenőrzése o a bizonytalan eredetű, illegális szoftvertermékek használatának mellőzése o a cserélhető adathordozókon érkező adatok vírusellenőrzése o víruspajzs használata: Olyan vírusellenes program alkalmazása, mely az operációs rendszer betöltődésekor bekerül a memóriába, és a gép működése során végig aktív marad (memóriarezidens). Működése során figyeli a bootszektort, figyelemmel kíséri a futtatható állományokat (pl. azok méretét) és a háttérben futó alkalmazások tevékenységét. Gyanús esetben értesíti a felhasználót az általa rendellenesnek ítélt folyamatról. o tűzfal használata: Olyan hálózatvédelmi szoftver alkalmazása, amely figyeli és korlátozza az internetes adatforgalmat. Így például visszautasítja az olyan IPcímekről érkező küldeményeket, amely címekről a felhasználó részéről adatkérés nem történt (pl. férgek kiszűrése).
•
vírusirtó programok: o feladata, hogy a számítógép működése alatt megakadályozza a vírusfertőzést 6/6
17. tétel 12. A Vírusok Tatár Zsolt, Czeglédi Ádám
o szolgáltatásaik: � rendszer indításakor a memória, a merevlemezek boot-szektorainak és a rendszerfájlok ellenőrzése � automatikusan elinduló, a háttérben futó önvédelmi alkalmazás (víruspajzs) � a felhasználó által elindítható és ütemezhető víruskereső � beérkező e-mailek ellenőrzése o néhány program: � Avast � Norton Antivirus � NOD32
6/7
