Viry a Antiviry. Marek Chlup

Viry a Antiviry

Marek Chlup

Úvod








Jak to všechno začalo Co je co Dnešní způsoby Prevence Likvidace

Úvod


Antivirový program je počítačový software, který slouží k identifikaci, odstraňování a eliminaci počítačových virů a jiného škodlivého software (malware). K zajištění této úlohy se používají techniky:




prohlížení souborů na lokálním disku, které má za cíl nalézt sekvenci odpovídající definici některého počítačového viru v databázi




detekcí podezřelé aktivity nějakého počítačového programu, který může značit infekci. Tato technika zahrnuje analýzu zachytávaných dat, sledování aktivit na jednotlivých portech či jiné techniky.




analýza www stránek a aplikací

Jak to začalo


Pravděpodobně první veřejně známé neutralizování rozšířeného viru byla provedena evropanem Berntem Fixem na počátku roku 1987.




Bernd Fix neutralizoval takzvaný Vienna virus.




Na podzim roku 1988 vznikl také antivirový software jménem Solomons's Anti-Virus Toolkit (vydal Briton Alan Solomon).




V prosinci 1990 bylo na trhu už devatenáct jednotlivých produktů ke koupi, mezi nimi také Norton AntiVirus a VirusScan od McAfee

Jak to začalo


Allan Tippett vytvořil několik příspěvků k nadějnému řešení detekce virů. Byl to ambulantní doktor, který zároveň vedl počítačovou softwarovou firmu. Po přečtení článku o tom, že Lehighovy viry byly první, které se vyvinuly, se Tippett zajímal o Lehigha a ptal se, jestli budou mít stejné charakteristiky virů jako ty jež napadají lidi.




Z epidemiologického pohledu byl schopen říci, jak budou tyto viry napadat systémy v počítačích (Boot sektor byl zasažen tzv. Brain virem, .com soubory zase Lehigh virem a .com i .exe sobory virem jménem Jerusalem virus).




Tippettova společnost Certus International Corp poté začala vytvářet vlastní antivirové softwarové programy. Společnost se prodala v roce 1992 společnosti Symantec Corp., a Tippett pro ně začal pracovat. Včleňováním softwaru vyvinul produkt Symantecu, dnes velmi známý Norton AntiVirus.

Co je co


Virus – program, kopírující sám sebe do spustitelných souborů a dokumentů, které modifikuje (mění, maže…). Většinou narušuje programy, zahlcuje OS, nekontrolovatelně se šíří, čímž dochází ke zhroucení OS, devalvaci a případně ztrátě dat. Do PC se nejčastěji šíří pomocí e-mailových příloh, přenesením z jiného média (nejčastěji hry) apod. V posledních 12 měsících se začínají šířit i viry pro mobilní zařízení na bázi OS Symbian a Windows.




Červ – podobné chování jako klasický virus, do systému se dostává nepozorovaně, bez zásahu uživatele (na rozdíl od virů). Většinou spouští vzdáleně programy, které používá jako přenašeče, vše bez vědomí uživatele. Neinfikuje soubory (kopíruje nebo maže), nejčastěji se šíří jako příloha emailu.




Trojský kůň – program, který svojí činností otevírá útočníkovi cestu do systému. Většinou se tváří jako neškodný prográmek, nekopíruje se. Nejčastěji sbírá přístupová hesla a jména, různá čísla např. účtů apod.

Co je co













Spyware – program, který zaznamenává data ohledně Vaší činnosti na Internetu. Infekce se často projeví změnou domovské stránky. Do systému se dostane pomocí e-milové přílohy, případně adware softwarem – sw zdarma Keylogger – program běžící na pozadí systému. Čeká na připojení k zabezpečeným stránkám a může odečítat stisky kláves, které odesílá. Důležitá data jsou přečtena před zašifrováním Phishing – rybaření – rybolov – krádeže citlivých informací, s nimiž lze manipulovat. Provádí se pomocí e-mailů, které se na první pohled zdají korektní, typický příklad je upozornění bankovním ústavem. V březnu 2006 došlo k prvnímu phishingovému útoku zaměřeném na české uživatele.Od té doby jsou v řádech kusů za rok. TRACKING COOKIE - speciální druh "sušenky" zneužívány k monitorování pohybu uživatele po síti Internet. Malware – obecný název pro škodlivé programy Spam – nevyžádaná pošta, nejčastěji s obchodními nabídkami

Dnešní způsoby


Dnešní viry v řadě případů sází na tzv. sociální inženýrství, tedy cílené "oblbování" uživatele.




Ať už jde přímo o viry, nebo phishing , většinou se útočník snaží vymámit z uživatele nějaké peníze.




V případě soc. inženýrství vs virus je to většinou dvoufázové. Nejprve se snaží útočník (resp. webové stránky) přesvědčit uživatele, že právě stažením tohoto programu získá ten nejdokonalejší program......




Častým způsobem jsou tzv. Podvodné Antiviry (rogue/suspect antivirus)




Takový „Antivir“ najde na disku fiktivní „viry“ a k tomu začne razantně zpomalovat běh OS




Uživatel je neustále zahlcován hlášením o nutnosti zakoupit plnou verzi Antiviru a mnoho uživatelů rádo zašle několik desítek dolarů......




Klasický příklad takového podvodného Antiviru je například Antivirus XP 2008

Dnešní způsoby


Další zajímavou oblastí, odkud může uživatel „chytit“ virus je tzv. Šedá zóna




Šedá zóna – stránky s warez, porno nebo multimediální tématikou




Princip sociálního hackingu




Stránky s porno tématikou - „nadržený“ uživatel jde přímo za cílem, nekouká na nebezpečí




Stránky s warezem - nelegálním softwarem (+cracky, keygeny...) - hranice mezi "dobrem" (například v podobě cracku, tedy programu, který například obejde zabezpečení hry před nelegálním kopírováním) a skutečným zlem (trojský kůň vydávájící se crack) je zde velice úzká. Je to prostě dáno tím, že již samotný obsah warez stránek není zcela legitimní a uživatel musí při vstupu omezit "pud sebezáchovy".




"Uživatel jde za viry", nikoliv viry za uživatelem. Tato havěť nedorazí uživateli e-mailem, ale uživatel jí jde naproti. Obvykle si stanoví cíl "surfování" a vše může následně začít nevinným vyhledáváním na google. Pak už je to zase o šikovnosti útočníků, zda dokážou uživatele přesvědčit o legitimnosti webových stránek a skvělých aplikacích, které jsou tam ke stažení.

Prevence



Samotný antivir ještě neznamená bezpečí Samotný firewall ještě neznamená bezpečí


ZDRAVÝ ROZUM je nejúčinnější prevencí. Nevěřit všemu, neklikat na každou "ptákovinu", nespoléhat se plně na bezpečnostní software (na antivirus apod.)...




Aktualizace – nejen AV, ale také OS a aplikací, které využívají ke své práci prostředí Internetu




Antivir – pravidelnou, AUTOMATICKOU aktualizaci. Vzhledem k rychlosti šíření malware (především prostřednictvím elektronické pošty) není aktualizace 2x za hodinu žádným luxusem. Obecně platí, že čím častěji se bude antivirový systém pokoušet o stažení aktualizace, tím.

Likvidace


Malware se stále po restartu odněkud vrací:




Pokud je PC ve firemní síti (LAN), je potřeba zkontrolovat, zda síťově nesdílíme celý pevný disk, popřípadě systémové adresáře (celý adresář Documents and Settings, Windows...). Taková síťová sdílení je potřeba zakázat. Některá havěť se dokáže šířit z jiných infikovaných PC právě přes tato sdílení.




Zároveň je vhodné zkontrolovat, zda uživatel "Administrator" má nastaveno heslo a pokud nemá, nastavit ho. Ideálně nějaké rozumné a nikoliv "profláknuté" jako "abc" nebo "123". Tato a další hesla totiž znají i některé potvory.




Pokud je aktivní funkce OBNOVA SYSTÉMU, havěť může "vylézat" ze složky System Volume Information (_RESTORE). Je potřeba vypnout funkci OBNOVA SYSTÉMU. Odtud může systém automaticky obnovovat soubory - bohužel i v infikované podobě.




V počítači se může nacházet další infikovaný objekt (nejčastěji soubor), který antivirus nedokáže detekovat (popř. odborník přehlédl) a právě tento vrací známou část infekce (např. opakovaným stahováním z Internetu).

Likvidace


Infikovaný soubor nelze odstranit:



Infikovaný soubor je v archivu RAR, ZIP, CAB... - vnořený objekt. Pokud to antivirus nedokáže sám, je nutné infikovaný soubor v archivu odmazat pomocí archivačního programu (WinRAR), popřípadě smazat celý archiv. Typickým případem je havěť v adresáři Internet Temporary Files. S úspěchem lze použít aplikaci CC Cleaner, právě pro pročištění těchto adresářů.



Infikovaný soubor je v držení samotné havěti (běží jako aktivní proces...). To je naprosto normální :-) Doporučujeme použít aplikaci The Avenger- "mstitele". Rychlý a smrtící :-)

Závěr


Antivir sám o sobě bezpečnost nezaručí




Antivir spolu s Antispyware a firewallem dramaticky zvyšuje ochranu




Antivir+Antispyware+firewall+aktualizace+zdravý rozum=BEZPEČNĚJŠÍ POČÍTAČ

Závěr


Děkuji za pozornost