MULTIMÉDIA AZ OKTATÁSBAN
Szeged, 2004. május 27–29.
A vírusok Végi András¹, Antal Krisztina¹, Kiss Zsófia¹, Szécsényi Hajnalka¹, Demeter Lehel² ¹Szegedi Tudományegyetem Természettudományi Kar, ²Babes-Bolyai Tudományegyetem Természettudományi Kar, Kolozsvár
[email protected],
[email protected],
[email protected],
[email protected],
[email protected] A modern oktatásban egyre nagyobb szerepet kapnak a multimédiás segédeszközök, különösképpen a számítógép és az internet. Egy prezentáció bemutatásával például színesebbé tehető a tanóra, a diákok önálló ismeretszerzéséhez pedig az internet nyújt nagy segítséget. Ámde ezen eszközök felhasználása során nem szabad elfeledkezni a vírusokról sem, amelyek tevékenykedéseikkel megkeseríthetik az életünket! Ez a dolgozat egy kis áttekintést szeretne nyújtani a vírusok életútjáról és működéséről. Mik is a vírusok? A vírusok olyan kártevő programok, amelyek más programokba épülnek bele. A fertőzött program elindításakor (futtatásakor) a vírus átveszi a vezérlést, végrehajtja a saját programkódját, majd visszaadja a vezetést az eredeti programnak. A vírus képes magát duplikálni, más programokat megfertőzni. Ezáltal sokasodik és terjed. Tehát működéséhez egy gazdaprogramra van szüksége. A vírusok története egyidős a személyi számítógépekével. Már az 1981-es években is terjedtek vírusok az akkoriban széles körben használt Apple gépeken [1]. Az IBM PC megjelenésével pedig a számuk robbanásszerű növekedésnek indult. A kezdetben még ártalmatlan kis programok egyre rosszindulatúabbak lettek. Megjelent a Charlie vírus, ami újraindította vagy lefagyasztotta a számítógépet, vagy a Jerusalem, amely minden péntek 13-án törölte a végrehajtható állományokat (.com, .exe, .bat kiterjesztésű fájlokat). Feltűnt az első rejtőzködő (titkosított kódú) vírus is, a Cascade, mely a képernyőn aláhulló betűket jelenített meg. Ez utóbbi két program olyan sikeres lett, hogy még ma is szerte a világon megtalálhatók [1]. 1990-re már csaknem 150 vírust ismernek, ám ezek száma egy év alatt mintegy megtízszereződik. Öt éven keresztül nem történt lényegi változás, amikor is piacra került a Microsoft Windows 95. Az új operációs rendszer elterjedésével új vírusfajta is megjelent: a makróvírus. Az internet egyre szélesebb körű térhódítása pedig a vírusok szaporodását is felgyorsította. A vírusok osztályozása A vírusokat típus és platform szerint különböztethetjük meg, vagyis különbséget tehetünk aközött, hogy mit fertőz meg, vagy hogy milyen számítógépes környezetben fut.
250
MULTIMÉDIA AZ OKTATÁSBAN
Szeged, 2004. május 27–29.
Típus szerinti osztályozás Típusuk szerint ismerünk boot-, fájl-, makróvírust és a férgeket. A bootvírusok a számítógép merevlemezének indító (boot) szektorát fertőzik meg. Mivel bekapcsoláskor az itt lévő összes információ és parancs kiolvasódik, így a vírus is betöltődik induláskor a rendszerbe, s fertőzésre kész. Az első vírusfajták közülük kerültek ki. Ma ez a vírusfajta már nem jellemző, mivel a fő terjedési eszközük, a floppylemez visszaszorulóban van. A programvírusok talán a legismertebb képviselői a számítógépes vírusoknak. Virágkorukat a kilencvenes években élték, a DOS és a Windows95 ideje alatt. A számítógépbe bejutva a rendszer fájllistázó parancsának hatására aktivizálódnak és a .com és .exe kiterjesztésű állományokat fertőzik meg. A mai operációs rendszerek biztonságosabb fájlrendszere az ő tevékenységi körüket is beszűkítette. Manapság a makróvírusok és a férgek okozzák a legtöbb fertőzést. Leginkább e-mailen keresztül terjednek, a levélhez csatolt fájl megnyitásakor kerülnek be a gépünkbe. A makróvírusok önálló életre képtelenek, mert az operációs rendszer által futtatható tartalmuk nincsen. Viszont a Microsoft Office termékcsalád makrónyelvét felhasználva működnek. Mivel pedig ezek a programok hozzáférhetnek a számítógép fájljaihoz, a vírusok kiléphetnek a dokumentumból, és fájlszinten terjedhetnek. A férgek annyiban különböznek a vírusoktól, hogy nem szükséges hozzájuk gazdaprogram, maga a futtatható állomány kész a rombolásra. Képesek önmagukat a hálózaton keresztül is reprodukálni. Ehhez a rendszerek bizonyos védelmi hiányosságait használják ki. A közelmúlt két leghírhedtebb vírusa is ezen két típushoz tartozott: az I Love You nevezetű vírus egy programféreg volt, míg a Melissa egy féreg és egy makróvírus kombinációja [1]. Platform szerinti osztályozás A vírusok nagyon fontos tulajdonsága, hogy milyen rendszerek alatt képesek működni. Ha egy vírust nem készítenek fel egy adott rendszerre, akkor nem is fog működni az alatt. Bár a legtöbb vírust az elterjedtsége miatt DOS és Windows operációs rendszerre írták, de léteznek Unix/Linux alatt is. Ezeknél a vírusíró két megoldás közül választhat. Az egyik szerint kizárólag az operációs rendszer számára legális műveleteket végez (beleértve ebbe az írható programok megfertőzését is), a másik megoldás szerint viszont egy vagy több biztonsági hibát kihasználva root jogosultságokat szerez, és átveszi a hatalmat a gép felett. Az első megoldás „hátránya”, hogy a vírus talán soha nem terjed el (a gyakorlatban eddig ez volt a helyzet), a másodiké pedig az, hogy a biztonsági hibákat hamar kijavítják, és a vírus többé nem tud működni. windowsos rendszereknél a javítások sokkal ritkábban jelennek meg, és azokat is csak nagyon kevesen szerzik meg. Ezért lehetséges az, hogy még mindig nagyon sok vírusos gép található [1].
251
MULTIMÉDIA AZ OKTATÁSBAN
Szeged, 2004. május 27–29.
A vírusirtók Az első vírusok megjelenését követően hamarosan feltűntek az ellenük írt programok is. 1998-ban az IBM megkezdi vírusellenes kutatásait, miután kénytelen beismerni ügyfeleinek, hogy rendszereit megtámadta a Cascade. Ám Peter Norton még tagadja, hogy számítógépes vírusok léteznek; városi legenda, mondja, mint a krokodilok New York szennyvízhálózatában. Az idők folyamán a vírusellenes programoknak két nagy csoportja alakult ki: a víruskereső és a víruseltávolító programok. A víruskeresők megkeresik ugyan, de nem távolítják el a beépült víruskódot a fertőzött fájlokból, csak blokkolják az egyes vírusfunkciók működését, így meggátolva a fertőzés továbbterjedését és a pusztító rutinok lefutását. Egy fertőzött fájl másolásakor a fertőzést tartalmazó kódszakaszt kivágják, és így ha az eredeti fájl vírusmentesítése el is marad, a másolat már vírusmentes lesz. Ilyen védelmet biztosítanak például az alaplapi BIOS-ba integrált ellenőrző rendszerek, a Magyarországon kifejlesztett TopGuard (vírusvédelmi) kártya és a legtöbb shareware és freeware antivírus program [1]. A víruseltávolító programok szintén végrehajtanak egy igen alapos keresést és az adott szoftver adatbázisában szereplő vírusokat, programférgeket, trójai és egyéb rosszindulatú programokat egyértelműen azonosítják. Ezután elkezdődik a vírusmentesítés, melynek négy fő lépése van: − A klasszikus víruseltávolítás, vagyis amikor a program bájtra pontosan azonosítja a fertőzött fájlokon belül a víruskódot tartalmazó részlet(ek) elejét és végét, majd azt eltávolítja és visszaállítja az eredeti vagy az eredetivel majdnem megegyező programállapotot. Makróvírusok esetén ez a vírusmakrók vagy az összes a dokumentumban levő makró eltávolítását jelenti. − A fertőzött fájlok átnevezésével, amikor nem futtatható, nem értelmezett kiterjesztéseket kapnak a fájlok. − A fertőzött fájlok törlésével, ami ugyan nem teszi működőképessé a fertőzött rendszert, de legalább a további terjedésnek, pusztításnak elejét veszi. − Program- és adat-visszaállítás egy vírusmentes biztonsági másolatból vagy a gyári telepítőkészletből. Erre a célra készültek speciális adatjavító és helyreállító programok is, mint például a Tiramisu [1]. A víruseltakarító programok az előbb felsorolt sorrendben próbálkoznak a vírusmentesítési technikák alkalmazásával. Ha az egyik módszer nem alkalmazható, akkor áttérnek a következőre és így tovább. Ám még így is nagyon gyakran előfordul, hogy a víruseltávolítás nem oldható meg adatvesztés, vagy a fertőzött programok sérülése nélkül. Ezért nagyon fontos a megfelelő biztonsági mentési stratégia alkalmazása!
252
MULTIMÉDIA AZ OKTATÁSBAN
Szeged, 2004. május 27–29.
Az internet további veszélyei Trójai programok A számítógépes világháló nem csak a rajta terjedő vírusok miatt lehet veszélyes: nagyon sok olyan rosszindulatú emberrel is találkozni, akiknek fő céljuk, hogy a mi gépünkbe illetéktelenül bejussanak, és ott szabadon garázdálkodhassanak. Sokan közülük csak szórakozásból csinálják, nem kifejezett céljuk a rombolás. Nagy részük a tizenévesek közül kerül ki, akik meg akarják mutatni, hogy mennyire otthonosan mozognak a világhálón [2]. Az ilyen „hackerek” az ún. trójai programok által nyitott kiskapukat, biztonsági réseket használják ki, azon át jutnak be a rendszerbe. Ezek annyiban különböznek a vírusoktól, hogy nem tartalmaznak szaporító rutinokat, csupán egy másik programba rejtőzködve végzik el nemkívánatos tevékenységüket. Ezáltal sokkal könnyebb ilyen fajta programot írni és az álcázásuk is sokkal egyszerűbb. Feltelepülésükhöz szükséges, hogy maga a felhasználó indítsa el a hordozó programot. Terjesztésük vagy e-mailben történik (ugyanúgy, mint a vírusok esetén) vagy pedig ingyenes letölthető, pl. képernyővédő programok tartalmazzák ezt az extra szolgáltatást is. Az általuk nyitott bejáraton keresztül bejutva a támadónak teljes hozzáférése lehet a rendszerhez. Hozzájuthatnak a gépben tárolt jelszavakhoz, bizalmas információkhoz, módosíthatják a számítógépen lévő adatokat, figyelhetik a billentyűzetleütéseket, hang- és médiafájlokat játszhatnak le, sőt, akár le is állíthatják a gépet. A trójai programok nagy része megfelelő automatikus vagy kézi ellenőrzéssel kiszűrhetők. Nem szabad ellenőrzés nélkül, megbízhatatlan helyről származó programokat telepíteni a számítógépre, és fontos a gyakori víruskeresés is. A vírusirtók szinte kivétel nélkül eltávolítják a trójai programokat is. Spam Spamnek a tömegesen, kéretlenül érkező reklámleveleket, hirdetéseket nevezzük. Ezek ugyan nem okoznak közvetlen kárt – bár a csatolt állományuk sok esetben vírusos – viszont jelentősen terhelik a levelező szerverek kapacitását, és értékes időt veszítünk miattuk a postafiókból való törölgetésükkel. Bár sajnos nem kerülhető el teljesen, hogy kéretlen reklámlevelek érkezzenek a postafiókunkba, van néhány módszer, amelyekkel elejét lehet venni az ilyen levelek áradatának: − Bánjunk gondosan az e-mail címeinkkel! A hivatalos címünket csak barátainkkal, ismerőseinkkel, üzlettársainkkal osszuk meg! Ha nyilvános helyen kell e-mail címet megadni (pl. hírcsoportoknál), akkor ajánlatos külön erre a célra fenntartani egyet! Az ingyenes levelezőszervereken létrehozott címek tökéletesen megfelelnek. − A honlapunkra ne a teljes e-mail címet írjuk ki! Sok címkereső program a weboldalakat böngészi végig címek után kutatva. Megtévesztésükre jó módszer, ha például alkalmazzuk ezeket a formákat: ▪ ValakiKUKACfreemail.hu ▪
[email protected] − Ne válaszoljunk! Ne próbáljunk leiratkozni, vagy ne írjunk tiltakozó levelet a spam feladójának 253
MULTIMÉDIA AZ OKTATÁSBAN
Szeged, 2004. május 27–29.
címére! Ezáltal ugyanis közöljük vele, hogy az e-mail címünk valódi és rendszeresen olvassuk. Az ilyen leveleket feldolgozzák és azontúl rendszeresen számíthatunk kéretlen küldeményekre. − Használjuk ki levelezőprogramunk lehetőségeit! A levelezőprogramok és a vírusirtók nagy része rendelkezik olyan funkciókkal, melyek segítenek a nem kívánt levelek távoltartásában. Ezek a szűrők megjelölhetik a spamgyanús leveleket, vagy akár rögtön törölhetik is őket. Végezetül a spameknek megkülönböztetjük egy speciális kategóriáját: a hoaxokat. Közéjük soroljuk az olyan értelmetlen leveleket, átveréseket, láncleveleket, amelyeknek egyedüli céljuk az internetes forgalom növelése, a tréfálkozás. Ez a tanulságos példa talán bemutatja a hoaxok lényegét: [1] „Ez egy alban virus. Mivel igen mostohan vagyunk ellatva fejleszto eszkozokkel, kerjuk, kuldje tovabb ezt a levelet minden ismerosenek, majd lepjen be a Windows konyvtaraba es adja ki a „del *.*” parancsot. Segitseget elore is koszonjuk. – Az alban crackerek.” Köszönetnyilvánítás Szeretném kifejezni köszönetemet mindazoknak, akik munkájukkal segítették ennek a rövid előadásnak a létrejöttét: Antal Krisztinának, aki értékes tanácsaival, idejét nem kímélve segítette kiválasztanom a rendelkezésre álló hatalmas anyagból a legfontosabb részeket. Kiss Zsófiának és Demeter Lehelnek, hogy segítettek mélyebb megértéshez jutnom a számítógépes és a biológiai vírusok kapcsolatában, valamint a vírusirtók gépi kódú szinten való működésében; őszinte sajnálatomra az ő tanulmányaikat a hely és az idő rövidsége miatt nem volt alkalmam taglalni. Szécsényi Hajnalkának, a vírusfajták részletes megismertetéséért. Füvesi István tanár úrnak az előadás megtartásának motiválásáért és mélyreható szakmai útmutatásaiért! Referenciák [1] http://www.antivirus.hu (2004.05.10) [2] http://wigwam.sztaki.hu (2004.05.10)
254
