Vírusok
A számítógépvírus olyan néhány
bájtos számítógépprogram, amely más programba beépülve megsokszorozza önmagát.
A vírus önmagában életképtelen, működéséhez megfelelő hardver és
szoftverkörnyezet szükséges.
Az elterjedtebb vírusok közül a
legtöbb tartalmaz valamilyen aktivizáló (trigger) mechanizmust, amely adott
feltételek esetén indítja el a víruskód további részének végrehajtását (pl.
Péntek 13, Michelangelo család dátumfigyelése).
Más
vírusok adott számú programindítás után kezdenek csak fertőzni vagy pusztítani.
(a magyar fejlesztésű Gömbvírus csak a fertőzött program indítását követő 20
másodperc elteltével kezdi meg tevékenységét, addig rejtve marad, ezzel kerülve
meg a TSR vírusfigyelőket, amelyek a programindításkor azonnal fertőző vírusokat
keresnek.)
Olyan
vírusok is vannak, melyek adott szó, név beírásakor aktivizálódnak. A vírusok
trigger mechanizmusa indítja a pusztításért közvetlenül felelős modulokat.(pl.
egy fájlvírus csak akkor fertőz, ha a gazdaprogramot elindítják, s a vírusnak
sikerül megkaparintania a vezérlést.) A boot vírus is csak akkor fertőz, ha a
merevlemez fertőzött, illetve a bootolási folyamat során a boot vírussal
fertőzött lemez az A: meghajtóban van.
Ma már több olyan hardveres
vírusvédelmi megoldás létezik, amely már a bootolás folyamatában átveszi az
ellenőrzést, és megakadályozza a vírusprogram betöltődését és/vagy lefutását.
Vírusjelenségek:
A számítógép működése során időnként
nem várt jelenségekkel találkozhatunk. Ezek egy része vírusok jelenlétére
vezethetők vissza. A jelenségek többségének észlelése önmagában még nem
feltétlen, és nem egyértelmű bizonyítéka a vírusfertőzésnek. Ha több tünet is
egyszerre jelentkezik, akkor már egyértelműen arra utal, hogy az észlelt
jelenségek nem véletlen egybeesés következményei.
Gyanús, vírus jelenlétére
utaló jelenségek:
·
a korábban
elegendő memória egyszerre csak kevés lesz a megszokott programok futtatására
·
a floppy és/vagy
a merevlemezeken a vártnál gyorsabban fogy a szabad terület
·
látszólag ok
nélküli, megmagyarázhatatlan programhibákkal találkozunk az addig megbízhatóan
üzemelő szoftvereink futtatásakor
·
egyes programok
működése lassul, vagy teljesen leáll
·
a karakteres vagy
grafikus képernyőkön fura üzenetek, ábrák jelennek meg
·
időnként
szokatlan hangeffektusokat produkál a számítógép
·
a képernyőn nem a
begépelt szöveg jelenik meg, a billentyűzet úgy viselkedik, mintha
átprogramozták volna
·
a merev- és
floppylemezek adatforgalmát jelző LED-ek minden látható ok nélkül aktivitást
jeleznek
·
a csak olvasási
jogkörrel rendelkező programok és futtatható programállományok módosításával
próbálkoznak
·
fájlok,
könyvtárak tűnnek el, vagy jönnek létre minden különösebb ok nélkül
·
anélkül, hogy
megnyomtuk volna a RESET gombot, vagy bármi erre okot adó tevékenységet
végeztünk volna, váratlanul újra bootol a számítógép
·
megmagyarázhatatlan
adatvesztések jelentkeznek
·
hozzáférés-védelmi
rendszerünk nem engedélyezett lemezre írási kísérleteket jelez
·
a háttérben futó
vírusellenőrző szoftver vírust jelez
·
a rendszeres vagy
alkalmi vírusellenőrzéskor a kereső program vírusok jelenlétét jelzi a
memóriában, a merevlemezen, a floppylemezeken vagy a hálózati meghajtókon
Vírusok fajtái
01. Fájlvírusok: a
vírusok első nemzedékének tagjai. Csak úgy tudnak szaporodni, hogy egy
(elsősorban a COM vagy EXE kiterjesztésű) programállomány belsejébe- fájl
elejére, fájl végére, ill. fájl belsejébe- másolták be magukat.
A
fájlvírusok akkor fertőznek, ha fertőzött programot indítunk el. Kártevésük
rendszerint két fő fázisból áll. Az első fázisban mindössze szaporodnak, azaz
bemásolják magukat más programba. Ilyenkor még többnyire megállítható és
visszafordítható a folyamat. A második fázist valamely figyelt esemény (pl.
dátum elérése) váltja ki. Ekkor azonban már többnyire súlyosan károsítja a
programkártevő floppy vagy a merevlemez állományait.
02.
Boot vírusok: nem a fájlokba írják be a kódjaikat, hanem a floppy, vagy a
merevlemez boot területeinek egyikére. A boot vírusok akkor fertőznek, ha a
fertőzött lemezről indul a számítógép.
Gyakran
adatlemezeinken is megtelepednek, ahonnan rendszerint nem tudnak fertőzni, de
egy véletlen RESET vagy áramszünet itt is sok galibát okozhat. Éppen ezért az
adatlemezeket is ellenőrizni kell, méghozzá rendszeresen.
03.
Új típusú vírusok: egyes vírusok már nem is a rendszerterületre
írják kódjukat, de nem is a fertőzött állományokba, hanem elrejtik valahol egy
kevéssé használt lemezterületen. A vírus a FAT bejegyzéseit módosítja annak
érdekében, hogy a lemezen található programok indítása helyett/előtt a víruskód
legyen végrehajtva. Csakúgy, mint a többi fertőzés esetén, itt is a megelőzés a
legjobb védekezés ill. az észlelt fertőzés azonnali eltávolítása.
04.
Mutáló vírusok: saját kódjukat módosítani képes vírusok, amelyek minden
fertőzéskor változtatnak a víruskódon, és emiatt hatékony detektálásukra nem
alkalmasak a hagyományos szekvencia-kereső módszerek. Több olyan technika is
létezik, mellyel ezeket nemcsak észlelni lehet, de el is tudjuk távolítani,
terjedésüket, fertőzésüket meg tudjuk akadályozni.
05.
Többlaki vírusok: a többlaki vírusok esetén a fertőzés után hiába
takarították ki a fertőzött fájlokat, a fertőzés újra és újra felbukkan annak
ellenére, hogy semmiféle lemezforgalom nem volt, a hálózatról is lekapcsolták a
gépet és modemen sem kaptak programokat. Olyan vírus okozta a fertőzést, amely
a COM és EXE fájlokon kívül a partíciós táblát, vagy a boot szektort is
megfertőzte.
06.
Dropperek: a paraziták egy olyan csoportja, melyek egyébként működő
programok, de mellékesen vírusokat, ill. egyéb károkozókat eresztenek ki magukból.
07.
Vírusgyártó automaták: olyan programok, programcsoportok, amelyekkel
több-kevesebb programozói tudással ezerszámra lehet új vírusokat létrehozni. Ma
már az így előállított vírusok is viszonylag könnyen felfedezhetők és
eltávolíthatók.
08.
Trójai programok: a tőlük várt hatások mellett váratlan, rendszerint káros
melléktevékenységeket is folytatnak, mint ahogy a vírusok nagy része is teszi.
A közönséges vírusoktól a trójai programok abban különböznek, hogy nem
tartalmaznak önreprodukáló rutinokat.
09.
Férgek: a vírusoknak olyan alfaja, amely azzal okoz kárt, hogy addig
másolja be magát a fertőzött állományokba, amíg azok végül futtathatatlanul
hosszúak lesznek, ill. amíg meg nem telik a lemez. E programok kifejezetten
romboló algoritmusokat nem tartalmaznak, pusztán a memória és az erőforrások
lefoglalásával okoznak károkat.
10.
ANSI bombák: a DOS op. rendszerek egyik kiegészítése az ANSI:SYS
nevű meghajtóprogram, melynek alkalmazásával a szövegfájlokban speciális
vezérutasítások helyezhetők el. Ha a számítógép indításakor az ANSI:SYS-t
eszközvezérlőként telepítettük a CONFIG:SYS-ből a DEVICE vagy DEVICEHIGH
paranccsal, akkor minden szövegmegjelenítés azzal a veszéllyel járhat, hogy
akaratlanul is átprogramozzuk a billentyűzetet. (pl. enter billentyűhöz a
Format C: vagy a Deltree /Y C:\ parancs hozzárendelése).
Az
ANSI billentyűátdefiniáló képességét letilthatjuk, ha a megfelelő DEVICE sorban
az ANSY:SYS-t a /k kapcsolójával kiegészítve töltjük be.
ANSI
bombák nem csupán a tiszta szövegfájlban fordulhat elő, de a programok
rendszer- és hibaüzeneteikben, valamint a tömörített fájlok archív, vagy fájl
kommentjeiben is.
11.
Batch vírusok: három típusa létezik.
Az
egyik dropper jellegű. A DOS Debug programja segítségével legyártja a terjesztő
vírust, majd elindítja azt. A beépítendő víruskódot maga batch fájl is
tartalmazhatja, de igénybe vehet munkájához forrásként ASCII szövegfájlokat is.
A
másik batch vírus típus szintén dropper jellegű. Működése arra épül, hogy
kiterjesztés nélküli vagy semleges kiterjesztéssel ellátott fájlokba helyezik
el a víruskódot, majd a batch fájl ezeket lemásolja, illetve átnevezi COM vagy
EXE kiterjesztéssel. Az így végrehajthatóvá tett vírusprogram már a megszokott
módon fertőz tovább.
A
batch vírusok harmadik típusa arra épül, hogy a batch fájlokban ritkán keresnek
vírust. Így a batch vírus készítői a szövegfájlok végét jelző Ctrl-Z karakter
után helyezik el a tulajdonképpeni vírusokat.
Vírus a hálózaton:
A számítógép hálózat a vírusoknak is
több támadáspontot biztosít. A hálózatba bejutó vírus két okból is különösen
veszélyes. Mivel a szerver winchesterre több felhasználó adatait őrzi, a
szerver adatállományainak sérülése nem csupán egyetlen felhasználót érint.
Másrészt a sok felhasználó a programokat közösen használja, ami alkalmat kínál
a vírusoknak a továbbterjedésre.
A hálózat a vírusok hatását
megsokszorozza, a szerverre került vírusok az ellenőrzéseken átjutva az összes
bejelentkező munkaállomáson fertőzhetnek. Ha a munkaállomáson elindítják a
vírust tartalmazó programot, az a lokális géphez hasonlóan átveszi a vezérlést.
Munkaállomásra bejelentkező
felhasználók nem ellenőrzik az onnan letöltött programokat. Az új programok
kötelező ellenőrzését elmulasztva akaratlanul is továbbterjesztik a vírust,
amikor a fertőzött szerverről származó szoftverek újabb gépeken, hálózatokon
telepítik.
Az Internet, a BBS rendszerek, és
egyéb hálózatok a legnagyobb vírushordozók. Akik hálózatokon dolgoznak,
számíthatnak vírusfertőzésre.
Vírusfertőzések megelőzése:
A vírusfertőzések bekövetkezése
ellen több rendelkezésre álló eszköz közül választhatunk. Ezek között vannak
szervezési, vezetési eszközök (pl. oktatás, továbbképzés); szoftveres és
hardveres eszközök. Megkülönböztetünk passzív és aktív vírusvédelmi eszközöket.
Passzív
védelemnek azt tekintjük, amely állandóan a rendelkezésre áll, de
használata a telepítést követően nem automatikus, hanem a felhasználóra van
bízva. Passzív, mivel a védelem csak akkor kapcsol be, ha a számítógép kezelője
elindítja a programot. A víruskereső és eltávolító programok többsége passzív.
Aktív
védelemnek azt tekintjük, amelyben a védelmi rendszer telepítését követően
a vírusellenőrzés minden esetben megtörténik, amikor a számítógép olyan
eszközhöz fordul, amely forrása lehet egy vírusfertőzésnek. A memóriarezidens
vírusellenőr és hozzáférés ellenőrző programok alkalmazása, valamint a
hardveres megoldások közül a víruskártyák tekinthetők aktív védelemnek.
A vírusvédelmi rendszerek
kiegészítéseként alkalmazott egyfajta vírusfertőzés-megelőző eszközök a hozzáférés-védelmi megoldások. Ugyanis a
legtöbb fertőzés azért következik be, mert arra fel nem jogosított személyek
bizonytalan forrásból származó szoftvereket telepítenek, használnak a
számítógépen. Az ellenőrizetlen lemezek, programok használatának hatékony
letiltása nagymértékben csökkenti a vírusfertőzés bekövetkezésének
valószínűségét. Erre a célra több megoldás is kínálkozik:
·
floppymeghajtó
kiszerelése
·
floppymegható
szoftveres letiltása
·
floppymegható
blokkolása speciális zárszerkezettel
·
gépindítás
jelszóhoz kötése
·
futtatható
programok hozzáférésének korlátozása
·
programindítás
jelszóhoz kötése
Néhány tanács a vírusvédelemre:
·
szerezzünk be
hatékony vírusellenőrző programokat, és rendszeresen frissítsük azokat
·
használjunk
memóriarezidens vírusfelderítő programot
·
készítsünk
garantáltan vírusmentes rendszerlemezt, és másoljuk fel rá a víruskezelő
programokat
·
minden
dokumentumunkról, programunkról legyen biztonsági másolat, mert van olyan
vírusfertőzés, melytől csak úgy szabadulhatunk meg, ha az egész winchester
tartalmát töröljük
·
ellenőrizzük
rendszeresen a rendszerünket a vírusfelderítő programokkal
·
az idegen eredetű
programok lemezeit ellenőrizzük, mielőtt a programot felvinnénk a
számítógépünkre
Az antivírus eszközök kiválasztásának szempontjai:
Amióta megjelentek a víruskereső és
eltávolító programok, azóta folyik a versengés a fejlesztők között, hogy kinek
a programja képes több vírust felismerni, eltávolítani. Különböző programok
más-más módszerrel keresik a vírusokat, ezért nem lehet minden esetben
egyértelmű különbséget tenni az önálló vírusok és a variánsok között.
A vírusvédelem hatékonyságát
növelhetjük, ha nem csupán egyetlen programot alkalmazunk víruskeresésre. Az
időszakos és eseti ellenőrzések hatékonyabbak, ha legalább két, különböző
fejlesztőktől származó, eltérő vírusadatbázisra alapozó szoftvert használunk.
A legnépszerűbb vírus-írtó programok
egyike a McAfee antivírus programcsalád (VirusScan, Vshield, Vcopy, Winscan,
Sentry, Proview for Windows, Netshield)
A víruskezelő programoknak készül
Windows 3.x, ill. Windows 95 alatt futtatható változata is, melyek
interaktívak, kezelésük felhasználóbarát, nem igényel különösebb ismereteket.
Egy hátrányuk van, hogy drágák, shareware (szabadon terjeszthető verzió)
változatuk nincs, míg parancssori változatuknak igen.
Víruskereső és irtó programok:
·
F-PROT
·
AVP
·
F-SECURE
·
A DOS 6.22-es
verziójában található MSAV program
·
Tbav
·
VBaster
0 megjegyzés:
Megjegyzés küldése