MALWARE: VÍRUSOK ÉS MÁS KÁROKOZÓK JELLEMZÉSE, KATEGORIZÁLÁSA, VÉDEKEZÉS ELLENÜK A számítógépes vírus fogalma:
A számítógépvírusok olyan rosszindulatú programok, amelyek viselkedése, tulajdonságai hasonlítanak a valódi vírusokhoz. Nagyon sokféle változatuk létezik, sokszor nem is sorolhatók egyértelműen egyik vagy másik csoportba. Közös jellemzőik:
A vírust tartalmazó, fertőzött program futásakor a vírusprogram is lefut.
Ekkor reprodukálja, megsokszorozza önmagát, és minden új példánya egy további fájlt fertőzhet meg.
Valamilyen programfájlhoz vagy makróhoz csatolja magát, miközben módosítja annak kódját úgy, hogy futtatásakor az ő saját kódja is lefusson.
Ha egy bizonyos feltétel teljesül, akkor aktivizálódik a vírusprogram azon része, amely törölheti a lemezes állományokat, formázhatja a merevlemezeket, vagy csak játékos üzeneteket, reklámszöveget jelenít meg a képernyőn.
Vírust kaphatunk megbízhatatlan forrásból származó hajlékonylemezekről, CDről, flash-memóriákból, de elektronikus levelekhez csatolva is.
A szakzsargonban vírusnak hívják az olyan programot, mely 1. Valamilyen fájlhoz kapcsolódik: nem önálló állomány, hanem csak egy fájlhoz kapcsolódó, de futtatható kód. 2.
Képes önmaga reprodukálásra: a fertőzött fájl futtatásával, megnyitásával elindul a vírus kódja is, és saját magát hozzáírja több más, addig még nem fertőzött fájlhoz.
3.
Hagyományos eszközökkel nem látható: pl. az Intéző nem mutatja (nem is mutathatja, mert nem egy önálló fájl, hanem csak valamely állományhoz kapcsolódik).
4.
Többnyire kárt, bosszúságot okoz: a számítógépen tárolt adatokat, vagy azok egy részét megsemmisíti, vagy olyan más tevékenységet indít el, mely megakadályozza a normális munkát.
5.
Lappangási ideje van: a fertőzés megtörténte után nem azonnal jelentkeznek a károkozás jelenségei.
1/8
A vírusok csoportosítása A vírusokat többféle szempont alapján lehet csoportosítani, melyek közül a három legfontosabb:
károkozásuk;
terjedésük módja;
viselkedésük szerinti osztályozás.
A vírusok károkozás szerinti osztályozása 1. Ártalmatlan vírusok: kárt nem okoznak, csak írójuk ügyességét hivatottak demonstrálni, de mivel a gép teljesítményét rontják, az ilyen vírusokat is feltétlenül el kell távolítani. 2. Felhasználó munkáját zavaró vírusok: közvetlen kárt ugyan még ezek sem okoznak, de a felhasználót zavarják a munkavégzésben, így feltétlenül eltávolítandók. 3. Kárt okozó vírusok: a winchesteren lévő fájlokat, vagy azok egy részét teszik használhatatlanná a legkülönfélébb módszerekkel (törlés, kódolás, stb.) vagy a hálózaton (mely többnyire az Internet) akkora forgalmat generálnak, hogy a normális munkavégzés lehetetlenné válik, stb.
A vírusok terjedés szerinti osztályozása 1.
Boot vírusok: Az ilyen vírusok a lemez úgynevezett bootszektorába írják be magukat. Mivel az itt lévő fájl minden indításkor lefut, így a vírus aktivizálása automatikusan megtörténik. Az ilyen vírus még egy nem rendszerlemezről is fertőz. A rendszer- vagy bootvírusok a lemezek rendszerterületeibe, a bootrekordba és a partíciótáblába rejthetik el magukat. Ezeken a helyeken ugyanis olyan programok vannak, amelyek már az operációs rendszer indításakor lefutnak. Léteznek olyan változataik, amelyek a katalógusok üres helyeire vagy más lemezterületekre épülnek be, és a végrehajtható programfájlok címeit magukra állítják át.
2. Állomány-, fájl (program) vírusok: Ezek a vírusok csak COM és EXE típusú, azaz futtatható fájlokat fertőznek meg. Ezek a vírusok akkor aktivizálódnak, ha a fertőzött programot elindítjuk. A fájlvírusok a katalógusokba bejegyzett állományokat fertőzik meg. Tehát a közvetlenül futtatható fájlok com vagy exe kiterjesztésűek, a közvetve, egy futó program által aktivizálható programrészek, mint például a dll, bin, sys, ovl kiterjesztésűek szintén tartalmazhatnak vírusokat. Más vírusok e-mail üzenetekhez csatolt programokba vagy értelmezők (interpreterek) által végrehajtandó forráskódokba, szkriptekbe épülnek be. A beépülés helye és módja nagyon sokféle lehet, valamennyire jellemző, hogy a vírus igyekszik rejtve maradni.
2/8
3. Makró vírusok: A makró vírusok az MS Office program adatállományait (DOC, XLS, PPT) fertőzik meg. A fertőzött dokumentum megnyitásakor aktivizálódnak, szaporodásuk és rombolásuk filozófiája a fájlvírusokéval azonos. Működésük alapja az a program-nyelv, mely a Word, Excel, PowerPoint, stb. programok speciális felhasználását hivatott biztosítani, és mely e programoknak része. Terjedésük megelőzése érdekében az Office 97 (és későbbiek) programcsomag már tartalmazza azt a komponenst, mely ha olyan dokumentumot nyitunk meg, mely makrót tartalmaz, erre figyelmezteti a felhasználót. Ugyanakkor persze nem minden makró vírus! A makrók olyan műveletsorok, amelyek az alkalmazói programok dokumentumaiba építve egyetlen névvel azonosíthatók és végrehajtásra hívhatók. Például ha Wordben dolgozok, és sokszor be kellene írni azt a kifejezést, hogy szóbeli tétel, akkor készítek ehhez a szöveghez egy billentyűkombinációt, vagyis egy makrót, amit ha leütök, akkor máris beírja a megfelelő szöveget.
További kártékony programok 1. Férgek (Worms): Ez az új, 1999-ben megjelent kártékony program az elektronikus levelezéssel terjed. Károkozási módszere többféle. Egyrészt a levelező programmal annyi levelet küld el a gépről, amennyit csak tud. Ehhez a felhasználó levelező programjában tárolt címlistát használja fel. Mivel az összes fertőzött gép ugyanígy tesz, ez néha akkora forgalmat generál, hogy az adatcsere bedugul a helyi hálózatban, vagy akár az Internet bizonyos szegmenseiben is. A férgek az operációs rendszerek védelmi hiányosságait, réseit kihasználva okoznak kárt. Nem kapcsolják magukat fájlokhoz, más programokhoz. Ők maguk is teljes programnak tekinthetők. Olyan számítógépes hálózatokban terjednek, amelyek operációs rendszerei egymással kapcsolatban vannak. A féregprogram tehát egy gépen lefutva megvizsgálja, hogy talál-e másik elérhető és fertőzhető operációs rendszert. Ha igen, a biztonsági rést kihasználva oda is beépíti magát. A sok helyre beépült, elszaporodott férgek azután képesek helyi rombolásra, vagy összehangolt támadásra valamilyen távoli célpont ellen. A féregprogramok a rendszerfájlokba épülve megmaradhatnak a fertőzött gépen, hogy minden rendszertöltéskor az operatív memóriába kerüljenek. Bár a vírusirtók többnyire felismerik és eltávolítják a programférgeket is, az igazi védekezés ellenük az operációs rendszer védelmi hiányosságainak a megszüntetése. Ha ez utólag történik, azt a rendszer foltozásának hívjuk (patch).
3/8
2. Trójai programok: Önálló állományok. Nevüket fő jellemzőikről kapták: úgy néznek ki, mint egy-egy hasznos program. Pontosan ezért sokan telepítik is őket gépeikre. Egy kis idő után azonban addigi hasznos szolgáltatásuk helyett rombolásba fognak. A trójai programok annyiban a vírusokra hasonlítanak, hogy valamilyen hordozóprogramra van szükségük. A szaporító rész azonban hiányzik belőlük, így terjedésüket csak a hordozóprogramnak köszönhetik. A rombolás, amit okozhatnak, ugyanolyan lehet, mint a vírusoké. Trójai programnak nevezzük azokat a szoftvereket is, amelyek a programlopások megtorlásaként büntetik meg a jogtalan használókat és másolatkészítőket. Mások bizonyos időközönként tönkreteszik magukat, hogy a felhasználót új vásárlásra kényszerítsék. Az igazi számítógépvírusokat is gyakran trójai programok „engedik szabadon”. 3. Kémprogramok (Spyware): A kémprogramok célja, hogy adatokat gyűjtsenek személyekről vagy szervezetekről azok tudta nélkül a számítógép-hálózatokon. Az információszerzés célja lehet békésebb, például reklámanyagok eljuttatása a kikémlelt címekre, de ellophatják számlaszámainkat, jelszavainkat, vagy más személyes adatainkat rosszindulatú akciók céljából is. A vírusokhoz hasonlóan lehet őket „beszerezni”. Természetesen azok a programok, amelyek a felhasználó tudtával és beleegyezésével kérnek adatot, nem tekinthetők kémprogramoknak, ha a megszerzett ismereteket nem adják át harmadik félnek. Az internetes kapcsolatokban azonban a harmadik fél nem mindig kérdezi meg a párbeszédet folytatókat. Ezért jó, ha ilyenkor vagy az egyik vagy a másik fél megfelelően titkosítja az adatátvitelt. Az internetes programok cookie-technikája egy általánosan használt eljárás arra, hogy más felhasználó gépén adatokat tároljunk. Bár a gép tulajdonosa vagy kezelője megtilthatja ezek elhelyezését vagy törölheti őket, nem tekinthető barátságos kontaktusnak, ha külön tájékoztatás és engedély nélkül teszünk cookie-t más gépére. 4. Hoaxok: Hoaxnak nevezik az Interneten terjesztett rémhíreket. Károkozásuk a nem létező vírusok felesleges keresgetésével eltöltött idő.
4/8
Antivírus termékek típusai
A számítógépes változatban is fontos szerepe van a megelőzésnek. Ne tegyünk fel ismeretlen forrásból származó programokat a gépünkre!
Legyünk óvatosak, ha hajlékonylemezt vagy CD-t helyezünk a meghajtókba!
Ne bontsunk ki ismeretlen feladótól származó, gyanús dokumentumokat ellenőrzés nélkül! Sokszor sajnos minden óvatosság eredménytelen lehet.
Szerencsére a számítógépvírusok megjelenésével egyidejűleg a védőszoftverek is megjelentek. Ennek a rabló-pandúr harcnak az eredménye a vírusok és a védőszoftverek különböző generációi.
A vírusok elleni védekezésre használt programokat szokás antivírus (AV) termékeknek is hívni. Természetesen e programokat is többféle szempont figyelembevételével lehet osztályozni, melyek közül a két legfontosabb a működésük és felhasználási körük szerinti.
Az AV termékek működés szerinti típusai 1. Vírus kereső: olyan program, melyet elindítva az ellenőrzi a memóriát majd a háttértárakat, és kijelzi ha vírust talált. 2. Vírus irtó: az a termék, amelyet külön elindítva azt, a felfedezett fertőzést eltávolítja a gépről. 3. Integrált vírus kereső és irtó: a két folyamatot egy program végzi. 4. Vírus figyelő: Végül vírus figyelő az a program, mely a memóriában maradva folyamatosan végzi munkáját. Az AV termékek felhasználásuk szerinti típusai 1. Általános célú termékek: Az ilyen programok minden, addig ismert vírust megpróbálnak felismerni, integrált program esetén eltávolítani. 2. Speciális programok: Csak egy-egy nagyon veszélyes vírus ellen alkalmazhatók, de azt nagyon hatékonyan képesek eltávolítani.
Az antivírus termékek keresési módszerei 1. Aláírásos keresés: Ennél a módszernél a AV termék a vírusra jellemző kódsorozatot keresi a vizsgált fájlokban. A módszerből következik, hogy csak azon fájlok ellen hatásos, melyek már szerepelnek a vírus adatbázisban. Pontosan ezért ezt az úgynevezett aláírás fájlt folyamatosan frissíteni szükséges. 2. Processzor emulátoros keresés: Mivel a polimorf vírusok ellen az első módszer hatástalan, ki kellett találni valami mást is. Ez az úgynevezett processzor emulátoros
5/8
módszer, melynek a lényege az, hogy az AV termék a gépen belül létrehoz egy látszólagos számítógépet, és ott nyitja meg a gyanús fájlokat (tehát az eljárás a karanténban történő megfigyeléshez hasonlít). A kulcskérdés csupán az, hogy mennyi ideig kell a virtuális gépben futtatni a vizsgált fájlt. 3. Heurisztikus keresés: A vírusokat sokszor nem lehet 100 %-os pontossággal felderíteni. A heurisztikus módszer esetében amennyiben egy vizsgált fájlnál több gyanús jel is egyszerre fellép, és ezek alapján egy előre megadott valószínűségnél nagyobb az esély arra, hogy a fájl vírusos, akkor azt akként is kezelik. A modern AV termékek találati aránya e módszernek köszönhetően 80 % feletti még teljesen új vírusok esetében is. A heurisztikus módszer nem keres vírusmintákat, hanem a lehetséges célfájlokhoz; olyan szituációkat teremt, hogy a vírus aktivizálja magát, és a rá jellemző műveletek felismerhetőek legyenek. Nagy előnye, hogy azokat a vírusokat is felismerheti, amelyekről még nem tudnak a keresőprogramok. Hátránya a gyakori téves riasztás, amivel elbizonytalaníthatja a felhasználót. A ma alkalmazott vírusellenes termékek a bemutatott módszerek mindegyikét egyszerre alkalmazzák. Bár a víruskeresők a programférgeket is képesek felismerni, hiszen valamelyik rendszerfájlban megtalálhatók a lemezen is, ellenük a legtöbbet az operációs rendszerek gyártói tehetnek a védelmi rések betömésével. Az antivírus programok egy figyelőrendszert is szoktak biztosítani, válaszható módon. Ez az operációs rendszer betöltésétől a leállításig figyeli a környezetét. Sajnos lassíthatja a rendszert, különösen rossz beállítás esetén. A gyors működés érdekében sokszor csak részellenőrzést végeznek, amit időnként ki kell egészíteni egy-egy teljes körű ellenőrzéssel.
Elterjedt AV termékek McAfee VirusScan, Norton AntiVirus, Panda AntiVirus, F-Secure AntiVirus, VirusBuster, stb.
6/8
Az F-Secure Anti Virus Start menü/Programok/F-Secure
Lemez ellenőrzés – floppy ellenőrzése
Mappa ellenőrzés – tetszőleges könyvtár választható a könyvtárszerkezetből
Minden helyi merevlemez ellenőrzés – c:\, d:\ stb. merevlemezek
Olvass el! (angol manuál, program leírása)
Tálca jobb alsó sarkából beállítások megadhatók
7/8
Eredményen látható a következő fájlok száma: 1. Vizsgált 2. Fertőzött 3. Vírusmentesített 4. Átnevezett 5. Törölt
8/8