Vírusok

Vírusok

            A számítógépvírus olyan néhány bájtos számítógépprogram, amely más programba beépülve megsokszorozza önmagát. A vírus önmagában életképtelen, működéséhez megfelelő hardver és szoftverkörnyezet szükséges.

            Az elterjedtebb vírusok közül a legtöbb tartalmaz valamilyen aktivizáló (trigger) mechanizmust, amely adott feltételek esetén indítja el a víruskód további részének végrehajtását (pl. Péntek 13, Michelangelo család dátumfigyelése).

Más vírusok adott számú programindítás után kezdenek csak fertőzni vagy pusztítani. (a magyar fejlesztésű Gömbvírus csak a fertőzött program indítását követő 20 másodperc elteltével kezdi meg tevékenységét, addig rejtve marad, ezzel kerülve meg a TSR vírusfigyelőket, amelyek a programindításkor azonnal fertőző vírusokat keresnek.)

Olyan vírusok is vannak, melyek adott szó, név beírásakor aktivizálódnak. A vírusok trigger mechanizmusa indítja a pusztításért közvetlenül felelős modulokat.(pl. egy fájlvírus csak akkor fertőz, ha a gazdaprogramot elindítják, s a vírusnak sikerül megkaparintania a vezérlést.) A boot vírus is csak akkor fertőz, ha a merevlemez fertőzött, illetve a bootolási folyamat során a boot vírussal fertőzött lemez az A: meghajtóban van.

            Ma már több olyan hardveres vírusvédelmi megoldás létezik, amely már a bootolás folyamatában átveszi az ellenőrzést, és megakadályozza a vírusprogram betöltődését és/vagy lefutását.

Vírusjelenségek:

            A számítógép működése során időnként nem várt jelenségekkel találkozhatunk. Ezek egy része vírusok jelenlétére vezethetők vissza. A jelenségek többségének észlelése önmagában még nem feltétlen, és nem egyértelmű bizonyítéka a vírusfertőzésnek. Ha több tünet is egyszerre jelentkezik, akkor már egyértelműen arra utal, hogy az észlelt jelenségek nem véletlen egybeesés következményei.

Gyanús, vírus jelenlétére utaló jelenségek:

·        a korábban elegendő memória egyszerre csak kevés lesz a megszokott programok futtatására

·        a floppy és/vagy a merevlemezeken a vártnál gyorsabban fogy a szabad terület

·        látszólag ok nélküli, megmagyarázhatatlan programhibákkal találkozunk az addig megbízhatóan üzemelő szoftvereink futtatásakor

·        egyes programok működése lassul, vagy teljesen leáll

·        a karakteres vagy grafikus képernyőkön fura üzenetek, ábrák jelennek meg

·        időnként szokatlan hangeffektusokat produkál a számítógép

·        a képernyőn nem a begépelt szöveg jelenik meg, a billentyűzet úgy viselkedik, mintha átprogramozták volna

·        a merev- és floppylemezek adatforgalmát jelző LED-ek minden látható ok nélkül aktivitást jeleznek

·        a csak olvasási jogkörrel rendelkező programok és futtatható programállományok módosításával próbálkoznak

·        fájlok, könyvtárak tűnnek el, vagy jönnek létre minden különösebb ok nélkül

·        anélkül, hogy megnyomtuk volna a RESET gombot, vagy bármi erre okot adó tevékenységet végeztünk volna, váratlanul újra bootol a számítógép

·        megmagyarázhatatlan adatvesztések jelentkeznek

·        hozzáférés-védelmi rendszerünk nem engedélyezett lemezre írási kísérleteket jelez

·        a háttérben futó vírusellenőrző szoftver vírust jelez

·        a rendszeres vagy alkalmi vírusellenőrzéskor a kereső program vírusok jelenlétét jelzi a memóriában, a merevlemezen, a floppylemezeken vagy a hálózati meghajtókon

Vírusok fajtái

            01. Fájlvírusok: a vírusok első nemzedékének tagjai. Csak úgy tudnak szaporodni, hogy egy (elsősorban a COM vagy EXE kiterjesztésű) programállomány belsejébe- fájl elejére, fájl végére, ill. fájl belsejébe- másolták be magukat.

A fájlvírusok akkor fertőznek, ha fertőzött programot indítunk el. Kártevésük rendszerint két fő fázisból áll. Az első fázisban mindössze szaporodnak, azaz bemásolják magukat más programba. Ilyenkor még többnyire megállítható és visszafordítható a folyamat. A második fázist valamely figyelt esemény (pl. dátum elérése) váltja ki. Ekkor azonban már többnyire súlyosan károsítja a programkártevő floppy vagy a merevlemez állományait.

            02. Boot vírusok: nem a fájlokba írják be a kódjaikat, hanem a floppy, vagy a merevlemez boot területeinek egyikére. A boot vírusok akkor fertőznek, ha a fertőzött lemezről indul a számítógép.

Gyakran adatlemezeinken is megtelepednek, ahonnan rendszerint nem tudnak fertőzni, de egy véletlen RESET vagy áramszünet itt is sok galibát okozhat. Éppen ezért az adatlemezeket is ellenőrizni kell, méghozzá rendszeresen.

            03. Új típusú vírusok: egyes vírusok már nem is a rendszerterületre írják kódjukat, de nem is a fertőzött állományokba, hanem elrejtik valahol egy kevéssé használt lemezterületen. A vírus a FAT bejegyzéseit módosítja annak érdekében, hogy a lemezen található programok indítása helyett/előtt a víruskód legyen végrehajtva. Csakúgy, mint a többi fertőzés esetén, itt is a megelőzés a legjobb védekezés ill. az észlelt fertőzés azonnali eltávolítása.

            04. Mutáló vírusok: saját kódjukat módosítani képes vírusok, amelyek minden fertőzéskor változtatnak a víruskódon, és emiatt hatékony detektálásukra nem alkalmasak a hagyományos szekvencia-kereső módszerek. Több olyan technika is létezik, mellyel ezeket nemcsak észlelni lehet, de el is tudjuk távolítani, terjedésüket, fertőzésüket meg tudjuk akadályozni.

            05. Többlaki vírusok: a többlaki vírusok esetén a fertőzés után hiába takarították ki a fertőzött fájlokat, a fertőzés újra és újra felbukkan annak ellenére, hogy semmiféle lemezforgalom nem volt, a hálózatról is lekapcsolták a gépet és modemen sem kaptak programokat. Olyan vírus okozta a fertőzést, amely a COM és EXE fájlokon kívül a partíciós táblát, vagy a boot szektort is megfertőzte.

            06. Dropperek: a paraziták egy olyan csoportja, melyek egyébként működő programok, de mellékesen vírusokat, ill. egyéb károkozókat eresztenek ki magukból.

            07. Vírusgyártó automaták: olyan programok, programcsoportok, amelyekkel több-kevesebb programozói tudással ezerszámra lehet új vírusokat létrehozni. Ma már az így előállított vírusok is viszonylag könnyen felfedezhetők és eltávolíthatók.

            08. Trójai programok: a tőlük várt hatások mellett váratlan, rendszerint káros melléktevékenységeket is folytatnak, mint ahogy a vírusok nagy része is teszi. A közönséges vírusoktól a trójai programok abban különböznek, hogy nem tartalmaznak önreprodukáló rutinokat.

            09. Férgek: a vírusoknak olyan alfaja, amely azzal okoz kárt, hogy addig másolja be magát a fertőzött állományokba, amíg azok végül futtathatatlanul hosszúak lesznek, ill. amíg meg nem telik a lemez. E programok kifejezetten romboló algoritmusokat nem tartalmaznak, pusztán a memória és az erőforrások lefoglalásával okoznak károkat.

            10. ANSI bombák: a DOS op. rendszerek egyik kiegészítése az ANSI:SYS nevű meghajtóprogram, melynek alkalmazásával a szövegfájlokban speciális vezérutasítások helyezhetők el. Ha a számítógép indításakor az ANSI:SYS-t eszközvezérlőként telepítettük a CONFIG:SYS-ből a DEVICE vagy DEVICEHIGH paranccsal, akkor minden szövegmegjelenítés azzal a veszéllyel járhat, hogy akaratlanul is átprogramozzuk a billentyűzetet. (pl. enter billentyűhöz a Format C: vagy a Deltree /Y C:\ parancs hozzárendelése).

Az ANSI billentyűátdefiniáló képességét letilthatjuk, ha a megfelelő DEVICE sorban az ANSY:SYS-t a /k kapcsolójával kiegészítve töltjük be.

ANSI bombák nem csupán a tiszta szövegfájlban fordulhat elő, de a programok rendszer- és hibaüzeneteikben, valamint a tömörített fájlok archív, vagy fájl kommentjeiben is.

            11. Batch vírusok: három típusa létezik.

Az egyik dropper jellegű. A DOS Debug programja segítségével legyártja a terjesztő vírust, majd elindítja azt. A beépítendő víruskódot maga batch fájl is tartalmazhatja, de igénybe vehet munkájához forrásként ASCII szövegfájlokat is.

A másik batch vírus típus szintén dropper jellegű. Működése arra épül, hogy kiterjesztés nélküli vagy semleges kiterjesztéssel ellátott fájlokba helyezik el a víruskódot, majd a batch fájl ezeket lemásolja, illetve átnevezi COM vagy EXE kiterjesztéssel. Az így végrehajthatóvá tett vírusprogram már a megszokott módon fertőz tovább.

A batch vírusok harmadik típusa arra épül, hogy a batch fájlokban ritkán keresnek vírust. Így a batch vírus készítői a szövegfájlok végét jelző Ctrl-Z karakter után helyezik el a tulajdonképpeni vírusokat.

Vírus a hálózaton:

            A számítógép hálózat a vírusoknak is több támadáspontot biztosít. A hálózatba bejutó vírus két okból is különösen veszélyes. Mivel a szerver winchesterre több felhasználó adatait őrzi, a szerver adatállományainak sérülése nem csupán egyetlen felhasználót érint. Másrészt a sok felhasználó a programokat közösen használja, ami alkalmat kínál a vírusoknak a továbbterjedésre.

            A hálózat a vírusok hatását megsokszorozza, a szerverre került vírusok az ellenőrzéseken átjutva az összes bejelentkező munkaállomáson fertőzhetnek. Ha a munkaállomáson elindítják a vírust tartalmazó programot, az a lokális géphez hasonlóan átveszi a vezérlést.

            Munkaállomásra bejelentkező felhasználók nem ellenőrzik az onnan letöltött programokat. Az új programok kötelező ellenőrzését elmulasztva akaratlanul is továbbterjesztik a vírust, amikor a fertőzött szerverről származó szoftverek újabb gépeken, hálózatokon telepítik.

            Az Internet, a BBS rendszerek, és egyéb hálózatok a legnagyobb vírushordozók. Akik hálózatokon dolgoznak, számíthatnak vírusfertőzésre.

Vírusfertőzések megelőzése:

            A vírusfertőzések bekövetkezése ellen több rendelkezésre álló eszköz közül választhatunk. Ezek között vannak szervezési, vezetési eszközök (pl. oktatás, továbbképzés); szoftveres és hardveres eszközök. Megkülönböztetünk passzív és aktív vírusvédelmi eszközöket.

            Passzív védelemnek azt tekintjük, amely állandóan a rendelkezésre áll, de használata a telepítést követően nem automatikus, hanem a felhasználóra van bízva. Passzív, mivel a védelem csak akkor kapcsol be, ha a számítógép kezelője elindítja a programot. A víruskereső és eltávolító programok többsége passzív.

            Aktív védelemnek azt tekintjük, amelyben a védelmi rendszer telepítését követően a vírusellenőrzés minden esetben megtörténik, amikor a számítógép olyan eszközhöz fordul, amely forrása lehet egy vírusfertőzésnek. A memóriarezidens vírusellenőr és hozzáférés ellenőrző programok alkalmazása, valamint a hardveres megoldások közül a víruskártyák tekinthetők aktív védelemnek.

            A vírusvédelmi rendszerek kiegészítéseként alkalmazott egyfajta vírusfertőzés-megelőző eszközök a hozzáférés-védelmi megoldások. Ugyanis a legtöbb fertőzés azért következik be, mert arra fel nem jogosított személyek bizonytalan forrásból származó szoftvereket telepítenek, használnak a számítógépen. Az ellenőrizetlen lemezek, programok használatának hatékony letiltása nagymértékben csökkenti a vírusfertőzés bekövetkezésének valószínűségét. Erre a célra több megoldás is kínálkozik:

·                    floppymeghajtó kiszerelése

·                    floppymegható szoftveres letiltása

·                    floppymegható blokkolása speciális zárszerkezettel

·                    gépindítás jelszóhoz kötése

·                    futtatható programok hozzáférésének korlátozása

·                    programindítás jelszóhoz kötése

Néhány tanács a vírusvédelemre:

·                    szerezzünk be hatékony vírusellenőrző programokat, és rendszeresen frissítsük azokat

·                    használjunk memóriarezidens vírusfelderítő programot

·                    készítsünk garantáltan vírusmentes rendszerlemezt, és másoljuk fel rá a víruskezelő programokat

·                    minden dokumentumunkról, programunkról legyen biztonsági másolat, mert van olyan vírusfertőzés, melytől csak úgy szabadulhatunk meg, ha az egész winchester tartalmát töröljük

·                    ellenőrizzük rendszeresen a rendszerünket a vírusfelderítő programokkal

·                    az idegen eredetű programok lemezeit ellenőrizzük, mielőtt a programot felvinnénk a számítógépünkre

Az antivírus eszközök kiválasztásának szempontjai:

            Amióta megjelentek a víruskereső és eltávolító programok, azóta folyik a versengés a fejlesztők között, hogy kinek a programja képes több vírust felismerni, eltávolítani. Különböző programok más-más módszerrel keresik a vírusokat, ezért nem lehet minden esetben egyértelmű különbséget tenni az önálló vírusok és a variánsok között.

            A vírusvédelem hatékonyságát növelhetjük, ha nem csupán egyetlen programot alkalmazunk víruskeresésre. Az időszakos és eseti ellenőrzések hatékonyabbak, ha legalább két, különböző fejlesztőktől származó, eltérő vírusadatbázisra alapozó szoftvert használunk.

            A legnépszerűbb vírus-írtó programok egyike a McAfee antivírus programcsalád (VirusScan, Vshield, Vcopy, Winscan, Sentry, Proview for Windows, Netshield)

            A víruskezelő programoknak készül Windows 3.x, ill. Windows 95 alatt futtatható változata is, melyek interaktívak, kezelésük felhasználóbarát, nem igényel különösebb ismereteket. Egy hátrányuk van, hogy drágák, shareware (szabadon terjeszthető verzió) változatuk nincs, míg parancssori változatuknak igen.

Víruskereső és irtó programok:

·        F-PROT

·        AVP

·        F-SECURE

·        A DOS 6.22-es verziójában található MSAV program

·        Tbav

·        VBaster