Viry a vy

NA ÚVOD, ANEB PROČ VZNIKLA TATO KNIHA
Je několik dobrých důvodů, proč nabídnout uživateli výpočetní techniky základní informaci o počítačových virech.
Důvod 1. Problematika počítačových virů je mediálně propírána
v intervalech zhruba 1/2 až 3/4 roku. Většinou u příležitosti destruktivní akce nějakého výjimečně rozšířeného viru nebo u příležitosti
okurkové sezóny. Denní tisk se vyjadřuje s přesností papouška tahajícího z koše horoskopy a běžného uživatele tím jen mate. Objektivní
a přitom stručná informace, to je to, co vám chceme v naší knížce
nabídnout.
Důvod 2. Skoro ke každému komerčnímu počítačovému programu je
přiložena dokumentace, sdělující, že tlačítkem A, vyvoláte funkci B,
která otevře okno C, vy pak jen zadáte D a je to hotovo. Možná to
stačí u textového editoru nebo tabulkového procesoru, ale u antiviru
to rozhodně nestačí. Nebezpečí chyby z neznalosti je v případě
užívání antiviru o řád vyšší, než u jiného software. A základy problematiky počítačových virů mohou pomoci jednak lépe užívat antivirový software a jednak se i vyhnout častým uživatelským chybám
mnohdy s těžkými následky.
Důvod 3. Mezi uživateli koluje celá řada pověr o tom, co jsou všechno schopny počítačové viry natropit a co zase prý rozhodně nemohou. Tyto pověry je nutno mýtit, protože záporně ovlivňují přístup
uživatele k problematice antivirové ochrany. A tak se v kapitole,
speciálně tomu věnované, vyjadřujeme k takovýmto pověrám a
mýtům a boříme je.
Možná, že bychom našli další důvody, ale tyto budou hlavní. A tak si
Počítačové Viry a Vy, prosím, přečtěte, protože Vám nabyté znalosti
mohou být v budoucnu užitečné.
5
TROŠKA ANATOMIE VAŠEHO POČÍTAČE
Pro vcelku úspěšnou obsluhu automobilu jistě stačí vědět kudy se
dolévá benzín a k čemu je to velké kolo před sedadlem řidiče. Přesto
se asi shodneme na tom, že je dobré vědět i něco málo navíc.
Pokusíme se tedy v této kapitole shrnout (nutně s troškou
zjednodušení) nejdůležitější informace o anatomii počítače.
Pokud víte co je to boot sektor a nezaskočí vás dotaz "Jaký používáte
souborový systém ?", tak tuto kapitolu můžete v naprostém klidu
přeskočit.
My ostatní začneme tím, že se podíváme do počítače, co vlastně
obsahuje.
Základní deska
Základní deska (motherboard) je to, co dělá počítač počítačem. Zde
je (mimo jiné) vlastní procesor, operační paměť, BIOS a paměť
CMOS.
Z našeho pohledu stojí za bližší zmínku především:
BIOS
BIOS je nemazatelná paměť, obsahující nejnižší úroveň obsluhy počítače. Jsou zde všechny podprogramy pro obsluhu disku, klávesnice,
zobrazovaní atp.
Chytří výrobci základních desek v poslední době přišli (bohužel) na
skvělou ideu - umístit BIOS do Flash paměti, kterou je možné přeprogramovat. Je obtížné odhadnout jak užitečná je tato vlastnost pro
uživatele, nicméně autorům virů jako Win32/CIH nebo Emperor to
jistě udělalo radost - jejich výtvory se v rámci svých destrukčních
hrátek pokouší obsah BIOSu přepsat náhodnými nesmysly a tím
vyřadit počítač z provozu. Naštěstí i ve způsobech přeprogramování
Flash BIOSu vládne stejná kompatibilita, jako v jiných oblastech
dnešních PC a tak většina základních desek tento útok přečká bez
újmy na zdraví.
6
CMOS
Paměť CMOS je vybavena samostatným napájením a obsahuje veškeré informace o konfiguraci základní desky - počínajíc počtem
disketových mechanik a reálným časem, přes typy pevných disků,
sériových portů až po ty strašlivosti, které najdete v SETUPu každého
počítače (a kterým stejně nikdo nerozumí).
Pro viry je CMOS zajímavá především jako oblíbený cíl destrukčních
akcí. Triviální útoky spočívají v přepsání obsahu CMOS nesmysly a
existují i poněkud sofistikovanější viry, které se třeba pokusí nastavit
nějaké heslo pro přístup k počítači nebo vypnout integrovanou antivirovou ochranu. Kompatibilita, tak typická pro současná PC, ovšem
vládne i v této oblasti a tak se viru často stane, že přepíše položku,
která má pro konfiguraci jiný význam. Výsledky takové změny jsou
obtížně predikovatelné.
Z technického pohledu je ještě důležité upozornit na to, že CMOS
paměť nemůže obsahovat žádný program a nemůže se tedy stát
místem, kde by nějaký (obzvlášť zlomyslný) virus přežíval.
Operační paměť
V této paměti se odehrává veškerá činnost počítače a zde sedí
i všechny běžící programy (viry v to počítaje). Naštěstí (v případě
výpadku proudu naneštěstí) ztrácí při vypnutí počítače svůj obsah.
To ovšem neznamená, že viru přítomného v paměti se zbavíte vypnutím a zapnutím počítače - odněkud se do paměti dostal a jistě
bude schopen a ochoten si to zopakovat.
Diskety, CD-ROM mechaniky
Diskety a CD jsou pro nás zajímavé především jako potencionální
brána do systému, kudy může vstoupit infekce.
Disketa
Diskety (díky své omezené kapacitě nebo možná přesněji díky bumbrlíčkovským nárokům dnešních programů) už dávno ztratily své výsadní
postavení nejčastěji používaného média pro přenos informací.
7
Historické tradice (v tomto případě pocházející z dob, kdy ceny
pevných disků nedovolovaly tak odvážné myšlenky jako strčit do PC
prostor k uložení až 20 MB) jsou respektovanou součástí dnešního
stavu PC. V těch blahých dobách představovala disketa jediné médium, na kterém mohl být uložen operační systém (pokročilejší verze
operačního systému byly tak velké, že musely být dokonce uloženy
na dvou nebo třech disketách!) a tomu je podřízena i její struktura.
Na jejím samotném začátku (boot sektor) se nachází magický záznam, který obsahuje nejen informace o typu diskety, ale také krátký
zaváděcí program.
Pokud počítač při svém startu zjistí přítomnost diskety v mechanice,
tak definovaným způsobem zavede obsah boot sektoru do paměti a
předá řízení programu, který se v něm nachází. Tzv. boot viry
(o kterých se tady ještě dočtete) zneužívají této vlastnosti počítače ke
svému šíření, ale ústup od používání disket způsobil jejich pomalé
vymírání.
Mimochodem. K definitivnímu vymření této kategorie virů můžete
přispět i vy (pokud nepatříte k radikálním ekologickým aktivistům,
pak by to mohlo být v rozporu s vaším přesvědčením). Stačí si nastavit v SETUPu BIOSu pořadí zavádění operačního systému na hodnotu "C:, A:".
Za boot sektorem následuje tabulka se záhadným označením - FAT.
Jde o zkratku z anglického File Allocation Table a nemá smysl na
tomto místě podrobněji rozebírat její obsah. Stačí vědět, že tato tabulka obsahuje klíčové informace o rozložení souborů na disketě a její
poškození nebo zničení vede ke ztrátě dat, která mohou být obnovena pouze speciálním servisním zásahem.
FAT je na disketě dokonce dvakrát, jde zřejmě o pozůstatek optimismu tvůrců MS-DOSu, kteří předpokládali, že DOS vybaví nějakou
schopností korekce dat, která by umožnila číst obsah diskety i při
poškození jedné z kopií FAT.
Za FAT následuje tzv. kmenový adresář (root directory), obsahující
jména adresářů a souborů a pak už jsou zde jenom roztroušeny
kousky souborů (právě FAT určuje co patří k sobě) a případných
dalších adresářů.
8
CD-ROM
Vnitřní struktura CD-ROM pro nás není nijak zajímavá. Za zmínku
stojí spíše (mnohdy neoprávněná) důvěra uživatelů - je to na CD, tak
tam přece nemůže být virus. Není to pravda a víme o mnoha CD
(počínajíc přílohami herních časopisů, přes demonstrační CD
renomovaných firem až po materiály rozesílané vládními institucemi), nad kterými by srdce sběratele virů zajásalo.
Mezi "virově nejhodnotnější" CD patří pirátské disky s rozsáhlými
sbírkami her i užitečných programů. Tady ovšem platí, že kdo podobné věci používá, tak si své problémy zasloužil.
Pevný disk
Pevný disk obsahuje všechna vaše data a proto je bezkonkurenčně
nejcennější částí vašeho počítače. Pevné disky existují v nepřeberném množství typů, druhů a odrůd - to nás ovšem zajímá pramálo.
Podstatný je způsob, jakým si váš disk ukládá informace.
Něco málo mají všechny existující způsoby (souborové systémy)
společného: Stejně jako u disket má i u pevného disku jeho první
sektor zvláštní význam. Obsahuje kraťoučkou tabulku, která říká jak
je disk rozdělen (partition table). Tato tabulka je zodpovědná za to,
že i na jednom fyzickém disku můžete vidět několik tzv. logických
disků (to je to, čemu operační systém říká C:, D:, E:, F:, atd:).
Konkrétní obsah jednotlivých částí disku, popsaných tabulkou
rozdělení disku, už je závislý na použitém souborovém systému.
A asi nepřekvapí, že v prvním sektoru pevného disku je kromě tabulky rozdělení i krátký zaváděcí program, který slouží ke spuštění
operačního systému po startu počítače - oblíbený to cíl útoku boot
virů a multipartitních virů. Proto se tomuto sektoru také občas říká
MBR (master boot sector).
Souborový systém FAT
Ano. Je to náš starý dobrý známý, kterého jsme potkali už u disket.
Od doby svého vzniku se naučil předstírat podporu dlouhých jmen
9
souborů a ve své poslední reinkarnaci (FAT-32) umí zacházet
i s velkými disky, ale jinak se příliš nezměnil. Začíná boot sektorem,
následuje tabulka FAT, kmenový adresář a vlastní prostor pro uložení
dat.
Dlouhá jména souborů si zaslouží zmínku - ve skutečnosti pracuje
souborový systém FAT s krátkými jmény (maximálně 8 znaků jména
plus tři znaky přípony) a dlouhá jména si ukládá zvlášť.
To může být zdrojem obtíží - například nápad nastartovat počítač
v nějakém historickém MS-DOSu a na disk obsahující dlouhé názvy
souborů poštvat některý z programů pro úklid disku, je možno
označit za velmi nešťastný.
Druhou kategorii obtíží představuje použití českých znaků v názvech
souborů. Takové názvy jsou zpracovány stejně jako dlouhé názvy
souborů - pro ukládání na disk jsou převedeny i na krátký tvar. Tato
konverze je provedena podle chytrých tabulek, které obsahuje vaše
lokalizovaná verze operačního systému. Na tom jistě není nic špatného. Škoda, že pak takový soubor (v důsledku jiné konverze)
nemusí jít otevřít v prostředí jiné jazykové lokalizace.
Nové souborové systémy (NTFS, HPFS, EXT2, ...)
Souborový systém FAT byl původně navržen skutečně pro diskety a
pro operační systém ve kterém může současně pracovat pouze
jeden program. Přes všechny úpravy a vylepšení už dnes patří do
muzea - někam k děrným štítkům.
Moderní operační systémy si proto přinášejí i vlastní souborové systémy jako je NTFS (Windows NT), HPFS (OS/2), EXT2 (Linux) a mnoho
dalších. Jejich vnitřní struktura je řádově složitější a nemá žádný
smysl se jí na tomto místě podrobněji zabývat.
Důležité je si jenom uvědomit, že pokud provedete start počítače
z čisté systémové diskety (což může být v případě některých typů
virové infekce zatraceně důležité), tak neuvidíte obsah disků s těmito souborovými systémy.
10
Nezajímavé zbytky
Video karta, síťová karta, modem, napájecí zdroj - všechny tyto
součásti počítače nejsou (z hlediska jejich zneužití počítačovými viry)
nijak zajímavé a nemá smysl plýtvat zde místem na jejich popis.
11
POČÍTAČOVÉ VIRY
POČÍTAČOVÝ VIRUS ?!
Je zajímavé, že se počítačové viry objevují ve sci-fi literatuře již
v šedesátých letech. V té době opravdu pouze jako produkt fantazie
spisovatelů tohoto žánru. Teprve v letech osmdesátých jim však
rozvoj techniky dovolil reálnou existenci. V roce 1983 Dr. Frederick
Cohen experimentuje na Pennsylvánské univerzitě se
“samomnožícím se” kódem a v souvislosti s ním začíná používat
označení “virus”. Uvědomme si však, že v té době o existenci počítače PC v jeho dnešní podobě, a hlavně rozšíření, se nezdálo ani
autorům již zmíněné sci-fi literatury.
Skutečným počátkem existence počítačových virů, tak jak je známe
dnes, je rok 1986, kdy se narodil Brain - první virus pro osobní počítače IBM PC. Bratři Basid a Amjad Farooq Alvi (provozující v pakistánském Lahore malý softwarehouse) tak odstartovali závod virů
a antivirů, kterého se všichni (většina ovšem nedobrovolně) účastníme dodnes.
Od té doby se mnoho změnilo. Autoři virů zvládli techniky, které byly
označovány jako nemožné - objevily se viry, ukrývající se před antivirovými programy (stealth viry), objevily se viry, které modifikují svůj
vlastní kód (polymorfní viry), objevily se viry, které dokázaly napadnout i jiné objekty než výkonné programy (makroviry). To vše dává
předpoklad k tomu, že vývoj ve virovém světě se rozhodně nenachází
ve své konečné fázi. S příchodem nových operačních systémů se
objeví nové viry, které budou využívat jejich specifických vlastností a
z dnešního pohledu budou vybaveny “neuvěřitelnými a nemožnými”
schopnostmi. Na druhou stranu je však stejně dobře zřejmé, že
neustrne ani vývoj v oblasti antivirových programů, které dosud
dokázaly bez větších problémů zvládnout všechny virové triky.
Vraťme se však k vlastnímu počítačovému viru. Bývá zvykem začít
definicí, pokusme se tak učinit i v tomto případě:
12
Počítačový virus je spustitelný nebo interpretovatelný program,
který je schopen sám sebe připojovat k jiným programům a
dále se z nich (bez vědomí uživatele) šířit.
Tato definice sice není obzvlášť dokonalá a možná není ani na první
pohled příliš srozumitelná, ale to nejdůležitější obsahuje.
Existují totiž další programy, které bývají občas za viry zaměňovány
nebo vydávány. Příkladem může být třeba trojský kůň - program,
který se vám za své spuštění odvděčí několika řádky sprostých textů
a smazáním obsahu pevného disku nebo nějakou jinou destrukční
akcí. Méně škodlivou variantu představují různé žertovné programy
způsobující pobíhání roztomilých broučků po obrazovce nebo zoufalé
výkřiky počítače, který se dožaduje odstranění vody ze svého matematického koprocesoru.
Jak se viry šíří
Šíření je základní a nutnou vlastností programu označovaného jako
počítačový virus. K tomu, aby se virus mohl šířit, potřebuje několik
maličkostí. Především vhodné prostředí (počítač s operačním systémem, který virus zná a je schopen jej používat) a objekty, které
dokáže napadnout (a které jsou nějakým způsobem šířeny).
Na počítačích označovaných jako PC známe zatím pouze tyto typy
objektů, které mohou být napadeny virem:
Spustitelné soubory - programy
Jedná se obvykle o soubory s příponami EXE, COM, SYS. Program
může být uložen i v souboru s jinou příponou - typicky tehdy, když
rozsáhlejší systém používá několik různých modulů a nahrává si je
do paměti sám podle potřeby. Bývá zvykem takové soubory označit
příponou OVL, ale často jim jejich autoři dávají zcela nahodilé
přípony. Dobrým příkladem spustitelného souboru s neobvyklou
příponou je třeba šetřič obrazovky pro Windows (.SCR).
13
Systémové oblasti
Cílem virové nákazy mohou být tyto systémové oblasti - Partition
tabulka nebo Boot sektor pevného disku a Boot sektor diskety.
Pokud jste pozorně četli předchozí kapitolu víte, že tyto systémové
oblasti obsahují kód, který je vykonáván při startu počítače.
Poznámka: V prostředí Windows mohou viry napadat některé klíčové
systémové soubory (třeba KRNL32.DLL) speciálním způsobem,
zcela odlišným od jejich útoku na běžné spustitelné soubory. Není
příliš jasné, zda jde spíše o infekci systémové oblasti nebo o infekci
spustitelného souboru, ale debatu na toto téma raději přenecháme
nadšeným teoretikům.
Dokumenty, které mohou obsahovat makra
Jde o texty napsané v Microsoft Wordu (obvykle mají příponu DOC
nebo DOT), tabulky z Excelu (obvykle XLS), prezentace vytvořené
PowerPointem (obvykle PPT), databáze z Accessu (obvykle MDB) a
některé další datové soubory.
Ostatní objekty
Pokusy o napadání jiných typů objektů (třeba zdrojové texty, OBJ
soubory, dávky) jsou sice zajímavé, ale z praktického hlediska představují velmi malé nebezpečí.
Zábavnější jsou pokusy infikovat Java applety, případně VBScripty a
JScripty obsažené v HTML stránkách. Microsoft navíc připravil i variantu těchto scriptů jako náhrady historických DOSových dávek - VBS
(Visual Basic Scripting) je standardně instalovanou součástí
Windows 2000 a může být instalován i ve starších verzích tohoto
operačního systému. V době uzávěrky tohoto textu je známo prvních
pár pokusů o “viry” infikující výše uvedené objekty a pozorně sledujeme další vývoj v této oblasti.
Kde se viry nešíří
Kromě těchto virových cílů existují objekty, které v žádném případě
nemohou být virem napadeny, přestože “lidové zkazky” (a bohužel
občas i články v časopisech) to tvrdí:
14
CMOS paměť
Tato paměť slouží k uchování informací o konfiguraci počítače. Virus
může tuto paměť smazat nebo v ní změnit některé údaje, ale
nemůže ji použít pro umístění svého kódu. Brání tomu nejen její
velikost (či snad přesněji její malost), ale hlavně to, že nemůže obsahovat spustitelný kód.
Datový soubor
Virus se samozřejmě může ukrýt kam chce, ale napadení souboru
JPG (nejlépe s nějakým obrázkem anatomických detailů lepé děvy) je
pro něj zhruba stejně efektivní, jako kdyby při hře na schovávanou
spáchal hráč sebevraždu. Takový soubor totiž nemůže obsahovat
spustitelný program. Virus by napadení takového objektu sice
pravděpodobně zvládl (a tento objekt zničil), nicméně již nikdy by se
z tohoto objektu nedokázal rozšířit dále.
Poznámka: O tom co je (a co není) spustitelný soubor nerozhoduje
jeho přípona, ale jeho obsah a způsob jakým je používán. Už
v dobách DOSu se stávalo, že programátoři (často autoři her) pojmenovali některé moduly oku lahodícím, ale nic neříkajícím,
jménem. Nebohý uživatel pak netušil, jak je možné, že se mu v počítači neustále znova a znova objevuje triviální virus napadající pouze
EXE soubory, i když všechny tyto soubory kontroloval a byly v pořádku - virus číhal třeba v souboru JBOND.007. Z dnešní doby stojí za
zmínku třeba spořiče obrazovky pro Windows, které jsou sice normálními EXE soubory, ale jejich standardní přípona je SCR.
Významnou výjimku z tohoto pravidla představují dokumenty obsahující makra (Microsoft Word, Excel a některé další moderní
kancelářské balíky).
Tiskárna
Komunikace s tiskárnou probíhá tak, že počítač odesílá data a jediné, co dostává zpět, jsou signály potvrzující jejich přijetí a informující o stavu, ve kterém se tiskárna nachází. Nic viru pochopitelně
nebrání, aby se na tiskárnu odeslal, ale výsledkem bude pouze pár
stran papíru potištěného nesmysly. S jistotou dále sdělujeme, že se
virus nedokáže usadit ani v monitoru nebo třeba klávesnici.
15
Obecně oblíbené omyly
Virům je také přisuzována i řada dalších schopností, kterými ovšem
nedisponují, především z toho důvodu, že jimi disponovat nemohou.
Zlý virus může zničit hardware
Snad nejstručnějším možným komentářem je, že hardware, který lze
zničit programovými prostředky si ani nic jiného nezaslouží. Bývají
občas uváděny příklady muzeálních kousků počítačových komponentů, které byly ochotny se špatným ovládáním poškodit. Například
některé pevné disky, které po provedení low-level formátu upadly do
stavu hluboké letargie, odstranitelného pouze firemním softwarem.
Nebo monitory, které, nedbajíce vlastního nebezpečí, se pokoušely
vyhovět jakémukoli nesmyslnému požadavku o nastavení synchronizačních frekvencí, což mohlo způsobit tepelné přetížení. Dnešní
hardware by měl podobné pokusy zvládat bez potíží, a pokud by se
přece jenom našel nějaký méně odolný kousek, tak půjde zcela jistě
o velmi lokální problém. S troškou zlomyslnosti si také můžeme uvědomit, že ladění viru, s podobnými schopnostmi, by pro jeho autora
bylo poněkud nákladnou záležitostí.
Poznámka: Jedno nebezpečí ovšem hardwaru hrozí. Viry, které se
snaží (jako třeba virus CIH) modifikovat nebo přepsat flash BIOS na
základní desce počítače nebo obdobnou (upgrade umožňující) ROM
v modemech, tiskárnách apod.
Rafinovaný virus dokáže v paměti přežít reset počítače
Na každém šprochu je pravdy trochu. Stisk oblíbené trojkombinace
Ctrl-Alt-Del některé viry skutečně neznervózní. Reset počítače provedený pomocí tlačítka na čelním panelu ovšem není možné softwarově ošetřit.
Mazaný virus zaútočí z napadené diskety, i když se na tuto disketu pouze podíváte (např. příkaz DIR)
Jak jsme si již řekli, k tomu aby se virus mohl stát aktivním, musí být
spuštěn, tj. procesor musí začít provádět jeho instrukce. K tomu
16
může dojít pouze spuštěním napadeného souboru nebo pokusem
o zavedení systému z infikované diskety (zapomenutá disketa
v mechanice A: při startu počítače).
Pouhým čtením jakýchkoli dat (tedy i virových) nelze počítač infikovat.
To se tedy týká nejen prohlížení dat na disku či disketě, ale také
dalších operací, které čtení využívají - tisk, kopírování souborů ze
vzdáleného systému pomocí modemu.
Někdy se Vám může stát, že bezprostředně po prohlížení napadené
diskety Vám antivirový program oznámí nalezení viru v operační
paměti. Vysvětlení je prosté - při prohlížení diskety si operační systém
část diskety načte do paměti - ovšem pouze jako data (nikdy je nespustí). Tato data zde zůstanou tak dlouho, než jsou přepsána jinými
daty, a jsou neškodná. Při prohlížení operační paměti však antivirový
program nalezne kód viru, a protože nemá možnost posoudit, zda je
zde virus aktivní či nikoliv, tuto skutečnost ohlásí.
Výjimkou z tohoto pravidla jsou makroviry, kterým stačí načtení
infikovaného dokumentu do Wordu resp. Excelu (jakákoli jiná manipulace s ním je ovšem bezpečná).
Zákeřný virus napadne i disketu chráněnou proti zápisu
Ochrana proti zápisu na disketu je realizována hardwarem a lze ji
obejít pouze hardwarovou úpravou disketové mechaniky. Existují viry,
které se snaží s tímto handicapem vypořádat způsobem založeným
spíše na psychologii, než na softwarovém inženýrství. Drzý virus
prostě uživatele požádá, aby zápis na disketu povolil. Jistě se najde
dost lidí, kteří zdvořilé žádosti bez dalšího přemýšlení vyhoví.
Hoax
Jde o poplašnou zprávu, která vyhrožuje nějakým strašlivým
nebezpečím a obvykle obsahuje výzvu “pošli mne všem lidem, které
znáš”.
Jeden příklad je možná lepší, než deset stránek popisu:
17
Předmět: Nový virus
Důležitost: Nejvyšší
Jestliže dostanete email s předmětem PENPAL GREETINGS!, tak ho okamžitě smažte ANIŽ
byste ho četli. Následuje stručný popis této zprávy a toho, co by následovalo po jejím
přečtení. Pokud máte nějaké dotazy, obrate se SAF-IA Info (697-5059).
Toto je varování pro všechny uživatele Internetu. Nový nebezpečný virus se šíří elektronickou poštou ve zprávách s předmětem “PENPAL GREETINGS!”.
V ŽÁDNÉM PŘÍPADĚ NEOTEVÍREJTE ŽÁDNOU ZPRÁVU S PŘEDMĚTEM “PENPAL GREETINGS!”
Tato zpráva na první pohled vypadá jako nevinný dopis s dotazem, zda si chcete dopisovat. V okamžiku kdy čtete její text, tak je už ovšem pozdě. V té době už virus napadnul boot sektor Vašeho disku a zničil všechna data. Vzápětí se AUTOMATICKY poslal všem
lidem z VAŠEHO seznamu adres.
Tento virus zničí Váš disk a může zničit disky všech lidí kterým jste kdy poslali nebo
od kterých jste kdy dostali zprávu. Pokud ho nezastavíme, tak má velkou šanci zničit
počítačové sítě na celém světě !!!!
Smažte prosím každou zprávu s předmětem “PENPAL GREETINGS!” okamžite, jakmile ji
uvidíte! Pošlete tuto zprávu všem svým přátelům a známým aby nemohli být napadeni
tímto nebezpečným virem !!!!
Pokud dostanete podobné varování nikoli přímo z důvěryhodného zdroje,
ale zprostředkovaně, podívejte se na naše stránky nebo na stránky ICSA
(http://www.icsa.net/services/consortia/anti-virus/alerthoax.shtml)
věnované této problematice.
Nerozesílejte podobné zprávy dalším osobám, dokud nemáte
naprostou jistotu, že jde o reálný problém.
Trojský kůň
Trojský kůň je typickým příkladem škodlivého programu (malware),
který bývá často zaměňován za počítačový virus. Nejčastěji jde
o jednoduché programy předstírající nějakou užitečnou činnost, které
místo toho smažou soubory, přepíšou konfiguraci počítače uloženou
v CMOS paměti nebo provedou nějakou jinou destruktivní akci.
18
Některé z nich jsou určeny speciálně proti konkrétnímu programu mění jeho konfiguraci, pokouší se vykrást hesla apod.
Poznámka: Velmi nebezpečnou skupinu tvoří trojské koně
umožňující vzdálenou kontrolu počítače (například BackOrrifice).
Stačí spustit takový soubor na vašem počítači a útočník může
přenášet soubory z všeho disku a nebo na váš disk, snímat obsah
obrazovky a spouštět nebo ukončovat programy. Další repertoár
tohoto prográmku už zahrnuje spíše žertovné, než nebezpečné akce
- může vám přehrát nějaké zvuky nebo třeba otevírat a zavírat
mechaniku CD-ROM.
Primárním úkolem AVG je rozpoznat a likvidovat počítačové viry.
Detekci rozšířených nebo velmi nebezpečných trojských koňů ovšem
také doplňujeme.
TYPY VIRŮ
Doposud jsme se o počítačových virech bavili obecně, jako o jednom
celku. Počítačové viry však používají rozdílné způsoby šíření a je tedy
nutné je rozdělit do několika skupin.
Základní dělení virů je odvozeno z toho, které objekty napadají:
• Bootviry - napadají pouze systémové oblasti
• Souborové viry - napadají pouze soubory
• Multipartitní viry - napadají soubory i systémové oblasti
• Makroviry - napadají dokumenty
V případě souborových virů se můžeme dobrat i k podrobnějšímu
dělení. Podle způsobu manipulace s “obětí” známe tyto viry:
Přepisující virus
Při napadení přepíše část těla oběti vlastním kódem. Takto
napadené programy jsou nenávratně zničeny a nejsou kromě dalšího
19
šíření viru schopny žádné jiné činnosti, což je podezřelé i velmi otrlým uživatelům. Díky tomu je šíření těchto virů krajně
nepravděpodobné.
Link virus
Virus se připojí k tělu oběti a může tak zachovat původní funkc
programu.
Kdybychom chtěli dosáhnout dokonalosti, tak můžeme pokračovat
v dalším dělení podle způsobu, kterým se virus připojí (před
napadený program, za napadený program, doprostřed souboru).
Doprovodný virus
Virus, který nezapisuje svůj kód přímo do napadeného EXE souboru,
ale vytváří stínový soubor stejného jména s příponou COM. Využívají
tak vlastnosti MS-DOSu, který při spouštění dává COM souborům
přednost.
A dále můžeme rozlišit některé speciální vlastnosti:
Virus přímé akce
Primitivní souborový virus. Jakmile je spuštěn, tak vykoná vše,
co chtěl a skončí. Typicky přepisující viry patří většinou do této
kategorie.
Rezidentní virus
Je přítomen v paměti a může tak neustále ovlivňovat činnost počítače. Velkou výhodou rezidentního viru je, že si nemusí sám hledat
programy vhodné k napadení. Viru stačí sledovat, se kterými soubory uživatel pracuje a útočit na ně.
Stealth virus
Pokud je virus tohoto typu přítomen v paměti, dokáže převzít kontrolu
některých funkcí operačního systému a při pokusu o čtení infikovaných objektů a místo skutečného obsahu (tedy sebe sama) vracet
20
stav před infekcí. Antivirový program, pokud není vybaven antistealth technikami tedy nemá možnost podobný virus zjistit.
Zakódovaný virus
Takový virus je zašifrován s nějakým proměnným klíčem a pouze
krátká dekryptovací funkce je vždy stejná.
Tyto viry už dnes v podstatě vymřely - nahradily je technicky
dokonalejší polymorfní viry.
Polymorfní virus
Tento typ viru si pro každý napadený soubor vytváří zcela jinou
dekryptovací funkci a v napadených souborech nelze najít žádné
sekvence stejného kódu.
Poznámka: Objevily se i polymorfní viry pracující na trošku jiném
principu (například slovenský virus TMC). Viry své tělo nešifrují, ale
obsahují jakési “tabulky” popisující jak se má výsledný kód chovat a
sestavují své tělo pro každý infikovaný soubor znovu tak, že na
náhodná místa vkládají polymorfně vygenerované skupinky
instrukcí.
Také makroviry mohou být polymorfní. Triviální polymorfismus
makrovirů spočívá ve vkládání náhodně vygenerovaných komentářů
a návěští do těla viru.
Fast infektor
Rezidentní virus, který soubory napadá nejen při jejich spouštění, ale
téměř při jakékoli manipulaci s nimi. Jeho rychlost šíření v počítači je
sice impozantní, ale současně tím zvyšuje pravděpodobnost, že na
sebe upozorní.
Slow infektor
Opak fast infektoru. Virus, který se snaží šířit co nejobezřetněji.
Například napadá pouze ty soubory, které jsou na disku nově
vytvářeny (třeba při jejich kopírování z diskety). Šíří se sice pomalu,
ale může tak unikat i testům integrity (srovnávacím testům).
21
Bootviry
Bootviry donedávna představovaly nejčastější typ infekce, se kterým
se uživatel mohl setkat. A to i přesto, že jich je asi dvacetkrát méně,
než souborových virů. Za toto rozšíření vděčí bootviry zejména tomu,
že diskety jsou stále ještě médiem hojně mezi uživateli vyměňovaným.
Mechanismus jejich šíření je velmi jednoduchý. Získáte disketu, jejíž
boot sektor je napaden virem. Stačí zapomenout tuto disketu
v disketové mechanice, označované jako A: při startu nebo resetu
počítače.
Jak jsme si vysvětlili v textu, popisujícím start počítače, pokud startovací rutina nalezne při startu systému v mechanice A: založenou
disketu, považuje ji za systémovou a pokusí se provést start operačního systému z ní.
V praxi tedy předá řízení kódu, uloženému v Boot sektoru této
diskety.
Virus zde uložený je tak aktivován a zahájí svoji činnost. Nejprve
ověří, jestli už pevný disk počítače není infikován a pokud ano, tak
ukončí svou činnost. Skutečnost, že disk ještě není napaden,
považuje virus za hrubou chybu a okamžitě ji napraví.
Vlastní infekce disku spočívá nejčastěji v tom, že se virus zapíše do
Partition tabulky pevného disku (pro přesnost - existují také viry,
které napadají Boot sektor pevného disku, ale to pro naše vysvětlování není podstatné) a její původní obsah odklidí na nějaké
“bezpečné” místo.
Na obrázcích na následující stránce si prohlédněte zjednodušené schéma
"čistého" disku (1) a schéma různých možností jeho nákazy (2,3,4). Za povšimnutí stojí, že v případě (3) je přepsána poslední část prostoru kořenového
adresáře (pokud adresář obsahuje mnoho souborů, je zničena informace
o názvech a poloze části z nich), a že v případě (4) je přepsána část prostoru
sloužícího k uložení vlastního obsahu souborů (je-li disk dostatečně zaplněn,
může dojít ke zničení části souboru).
22
(1)
(2)
(3)
(4)
– Partition tabulka
– virus
– FAT tabulka
– kmenový adresář
– nevyužité místo
– soubor (nebo jeho část)
– odložený původní obsah prvního sektoru (Partition)
Díky tomu, že virus napadl systémovou oblast pevného disku, je nyní
při každém startu operačního systému z infikovaného pevného disku
zaveden do paměti a stává se aktivní. Převezme kontrolu nejnižší
úrovně diskových služeb operačního systému a teprve poté spustí
správný zaváděcí kód (má jej přece bezpečně odložený). Na první
pohled se tedy počítač chová přesně tak, jak by měl. Že jeho start
trvá o pár zlomků vteřiny déle, si nikdo ani nevšimne. Při normální
práci počítače si takový bootvirus v klidu sedí v paměti. Díky své kontrole diskových služeb v podstatě bezpracně monitoruje všechny
požadavky na diskové operace - mezi nimi i operace s disketou.
Jakmile zachytí požadavek na práci s disketou, dozví se, že do
mechaniky byla vložena disketa. Stačí si pouze prohlédnout její Boot
sektor, zda již obsahuje kód našeho viru. Pokud ne, postačí do něj
vepsat vše potřebné. Od tohoto okamžiku je taková disketa napadena virem - stává se médiem, s jehož pomocí se virus přenáší na jiné
počítače. Zvláštním požadavkem, který virus monitoruje, je pokus
o čtení Partititon tabulky pevného disku. Jak víme, Partition tabulka
přece obsahuje virový kód a požadavek na čtení mohl být vydán
antivirovým programem, který právě kontroluje čistotu počítače.
Virus tedy na požadavek čtení nevrátí skutečný obsah Partition tabulky, ale původní obsah tak, jak vypadal před nákazou (má jej
23
bezpečně odložen). Pokud se skutečně jednalo o antivirový program,
ten nezjistí na načtených datech nic závadného. Tomuto postupu
říkáme stealth technika (neviditelnost) a jeho hlavním cílem je
zamaskovat přítomnost viru před antivirovým programem. Stealth
technika není běžným jevem u všech bootvirů, přesto se s ní však
setkáváme u velkého počtu současných virů .
Souborové viry
Jak již bylo uvedeno, souborové viry se orientují na jistý typ objektu soubory. Opakujeme, že v tomto případě pojmem soubory myslíme
programové soubory - zkráceně programy.
Přepisující souborové viry
Pravděpodobně nejstupidnější existující formou počítačových virů
jsou viry přepisující. Jsou uživatelem okamžitě zpozorovány a tak se
jejich šance na šíření z počítače na počítač blíží nule. Virus pouze
vyhledává spustitelné soubory, přepisuje jejich původní obsah sám
sebou a tím je vlastně ničí. Skutečnost, že napadený program není
nadále možné spouštět, se obvykle viry snaží maskovat nějakým
(více či méně nejapným) chybovým hlášením.
(1)
(2)
– kód viru
– původní obsah souboru
Zjednodušené schéma čistého souboru (1) a obraz jeho infekce přepisujícím
virem (2).
24
Doprovodné viry
Operační systém MS-DOS se při požadavku na spuštění programu X
snaží nejprve spustit soubor X.COM a teprve poté X.EXE. Toho
využívají doprovodné viry, které k existujícím EXE souborům vytvoří
své kopie s příponou COM. Při spuštění programu se tak nejprve
spustí virus, který provede vše, co uzná za vhodné, a poté předá
řízení původnímu programu.
Tento způsob šíření není příliš efektivní a má jedinou výhodu doprovodný virus nemusí modifikovat obsah žádného existujícího
souboru a je tedy méně pravděpodobné, že ho zachytí nějaká kontrola integrity dat nebo rezidentní ochrana.
(1)
EXE
(2)
EXE
COM
– kód viru
– původní obsah souboru
Existuje ještě další metoda, kterou mohou využít doprovodné viry.
Stačí soubor s virem umístit do některého z adresářů, které jsou
v cestě (definované pomocí PATH) dříve, než ve kterém je vyhlédnutá
oběť.
Link viry
Jako "Link viry" označujeme ty souborové viry, které se připojují
k infikovanému souboru a zachovávají jeho původní funkce. Je zřejmé, že tyto viry mají daleko větší šance než zástupci dvou výše popsaných skupin (přepisující a doprovodné viry).
Tyto viry modifikují kód své oběti tak, aby při spuštění infikovaného
souboru byl spuštěn kód viru, který vykoná vše, co považuje za
nutné, a poté obnoví a spustí původní program.
25
(1)
(2)
(3)
(4)
(5)
(6)
– kód viru
– původní obsah souboru
– instrukce skoku
– odložený původní obsah
Zjednodušené schéma infekce link virem. Nejčastěji je na začátek zdravého
souboru (1) vloženo několik instrukcí, které předají řízení viru umístěnému za
koncem původního souboru (2). Jednodušší viry se vkládají na začátek své oběti
(napsat takový virus je snadnější) a původní obsah jejího začátku připojí na
konec (3) nebo za své tělo přikopírují celý původní program (4). Virus se také
může vložit kamkoli do těla své oběti (5), může se (v obvykle marné snaze
o zmatení antivirového programu) spouštět přes několik roztroušených ostrůvků
instrukcí (6) a bylo by možné najít mnoho dalších způsobů.
Připojení těla viru ke kódu jeho oběti ovšem znamená zvětšení
velikosti původního souboru. To je přímo inzerát viru "Haló, jsem
tady" a tak se pisálci virů snaží tuto skutečnost nějak zamaskovat.
Pěkným pokusem je vyhledat v těle napadaného souboru nějakou
oblast s konstantním obsahem a vložit se do ní. Odpadne nutnost
ukládat velký blok dat - stačí si zapamatovat jedno číslo. Většímu
rozšíření této metody brání zejména fakt, že podobné "díry" nejsou
v souborech příliš častým jevem, a tak se snižují šance viru na
nalezení vhodného nosiče a tím i na přežití. Současné viry tuto
26
techniku ještě občas používají při útoku na COMMAND.COM, který
vhodné prostory obsahuje ve všech verzích DOSu a současně je souborem, jehož délku si (alespoň přibližně) část uživatelů pamatuje.
EXE soubory pro Windows často obsahují "ostrůvky" nevyužitého
místa. Toho využívá například virus CIH, který do nich rozloží svůj kód
a nemusí tak prodlužovat napadený soubor.
Lépe může fungovat "aktivní" ochrana. Pro rezidentní virus je totiž relativně jednoduché převzít kontrolu služeb operačního systému pro
práci s adresáři a u infikovaných souborů korigovat informaci o jejich
délce na původní hodnotu. Tato stealth technika má ovšem sama
o sobě řadu nepříjemných důsledků. Pokud nějaký program otevře
takto chráněný soubor, tak zjistí, že skutečná délka neodpovídá údajům z adresáře a může se začít chovat zmateně. Utility typu CHKDSK
nebo NDD zase zjistí, že obsah disku je nějak poškozen a pokusí se
ho s více či méně katastrofálními důsledky "opravit".
Multipartitní viry
Hlavní výhodou bootvirů je to, že se dostanou do paměti jako vůbec
první program zaváděný z disku nebo diskety. Díky tomu mají k dispozici informace o stavu počítače bezprostředně po jeho startu a
mohou také ovlivňovat činnost všech následně spuštěných programů. Časné zavedení je ovšem současně i jejich nevýhodou nemají totiž ještě k dispozici operační systém a jsou tak odkázány na
nejnižší úroveň systémových služeb BIOSu, nemohou napadat
soubory a možnosti jejich rychlého šíření jsou tudíž omezené.
Souborové viry mají k dispozici "vyšší" úroveň služeb operačního systému a napadají soubory - daleko častěji šířené objekty.
Multipartitní viry kombinují výhody obou výše zmíněných postupů.
Dokáží infikovat nejen Partition tabulku pevného disku, ale
i spustitelné soubory. Při útoku na soubor mohou multipartitní viry
použít libovolný postup souborové infekce a napadení systémové
oblasti je shodné s technikami používanými běžnými bootviry.
Jediná technicky poněkud obtížnější pasáž spočívá v tom, že multipartitní virus se po svém zavedení ze systémové oblasti do paměti musí
chvíli chovat trpělivě - počkat, až bude dokončeno zavádění operačního
systému a teprve poté převzít kontrolu nad "vyšší úrovní" služeb DOSu.
27
Že tento problém je řešitelný, předváděl "k velké radosti" uživatelů
třeba One_Half - jeden z vůbec nejrozšířenějších multipartitních virů
na světě.
Makroviry
Makroviry jsou bezesporu nejběžnějším typem infekce, který můžete
na dnešních PC potkat. Hlavním důvodem tohoto rozšíření je, že
infikují dokumenty, tedy objekty, které jsou nejčastěji sdíleny mezi
uživateli.
Díky tomu je šíření makrovirů jednoduché a rychlé.
Už starý Microsoft Word byl vybaven Word Basicem, jazykem
dostatečně silným, který umožňoval psaní makrovirů. Současné
verze aplikací z Microsoft Office používají Visual Basic for
Applications (VBA), nástroj ještě dokonalejší, který perfektně kombinuje schopnosti moderních programovacích jazyků s jednoduchostí Basicu.
Jméno makroviru, hlášené programem AVG, začíná vždy identifikací
platformy, pro kterou je makrovirus určen. Například WM/ znamená
Word 6, W97M/ Word z Office 97 a W2KM/ Word z Office 2000.
To, že je makrovirus určen pro konkrétní verzi Wordu, ještě nemusí
nutně znamenat, že se ve vyšší verzi nebude schopen šířit. Pokud
dokument z Wordu 6, infikovaný virem WM/Napriklad, otevřeme ve
Wordu z Office 97, může se stát následující:
• Získáme perfektně funkční makrovirus W97M/Napriklad.
• Makra budou konvertována, ale virus ztratí schopnost šířit se.
Pokud ovšem obsahoval nějakou destrukční akci, tak ta může
zůstat funkční.
• Word rozpozná prvky známého makroviru a odmítne konverzi
provést.
Ještě mnohem zábavnější je situace v Excelu, který podporuje
i konverzi z vyšších verzí do nižších.
28
Proč je vlastně konverze maker tak důležitá ?
Neprobíhá totiž vždy zcela stejným způsobem. Jestliže konvertujete
makro z Excelu 5 do Excelu 97 a výsledek poté zpět do Excelu 5
dostanete nepatrně odlišná makra. Vlastně vytvoříte novou variantu
viru, aniž o tom víte a aniž to byl váš úmysl. Milé je, že my musíme
i tyto věci detekovat a léčit.
Makroviry pro Word
V létě 1995 se objevil první makrovirus vůbec - WM/Concept.A
určený pro Word 6. Jeho autor zjevně chtěl pouze demonstrovat, že
je něco takového možné. Concept sice obsahoval makro určené
k nějaké obtěžující nebo destrukční akci, ale to neobsahovalo žádný
kód, pouze poznámku s textem:
That’s enough to prove my point
Ve velmi krátkém čase následovala nejen řada variant tohoto viru,
ale objevily se i zcela nové makroviry.
Většina makrovirů pro Word zneužívá tzv. automaker. Vlastně jde
o to, že makra se speciálními názvy Word spouští sám (například při
otevírání nebo zavírání dokumentu nebo třeba při startu Wordu) uživatel o jejich spuštění nemusí požádat.
Word sice umožňuje (dokonce několika způsoby) toto chování
zakázat, ale šíření makrovirů to nezabrání. Existují i další možnosti
jak převzít kontrolu nad funkcemi Wordu.
Jednou z občas doporučovaných metod ochrany je nastavit standardní šabloně NORMAL.DOT atribut Read only (jen pro čtení, nikoli
pro zápis). Ani to ale není ideální řešení.
Makroviry pro Excel
Excel nabízí virovým pisálkům v podstatě stejné možnosti jako Word.
Má automakra a adresář XLSTART, ze kterého si automaticky zavádí
šablony.
29
Kromě VBA má Excel navíc ještě možnost vkládat makra i do buněk
vlastního speadsheetu. Tato technologie byla použita poprvé
v makroviru XF/Paix.
Makroviry pro ostatní části MS Office
Makroviry existují i pro další aplikace z Microsoft Office - například
pro Access nebo PowerPoint.
Jejich nebezpečnost je ovšem nižší - přece jenom uživatelé mnohem
častěji sdílejí DOC a XLS soubory než MDB nebo PPT.
Existují i makroviry schopné současně napadat více různých typů
objektů. Například C97M/Tristate je schopen infikovat Wordové
dokumenty, Excelové tabulky a PowerPointové prezentace.
PowerPoint umožňuje i další zajímavou hrátku - můžete do své
prezentace zahrnout kompletní Wordový dokument nebo Excelovou
tabulku a tyto objekty mohou být infikované. Jakmile někdo otevře
vložený dokument v jeho aplikaci (t.j. ve Wordu nebo Excelu) může se
makrovirus dál vesele šířit.
Makroviry pro ostatní platformy
Ostatní platformy jsou proti virům odolnější. Má to dva hlavní důvody:
• Podstatné je rozšíření daného produktu. Jestliže word procesor
XYZ používá na celém světě pouze hrstka lidí, je velmi
nepravděpodobné, že by se makroviry pro něj určené mohly
nějak rozumně šířit.
• Další důvody jsou technické. Například Amí Pro odkládá makra
do zvláštního souboru a tak se nemůže stát, že by někdo
nevěděl o makrech připojených k jeho dokumentu. Jediný
dosud existující makrovirus pro Ami Pro je tak spíše zajímavou
technickou hračkou než náznakem nějakého reálného
nebezpečí.
Situace se ale v blízké budoucnosti může dramaticky změnit.
Microsoft licencoval technologii VBA řadě firem, takže se můžeme
těšit ...
30
Projevy virů
Základní projevy virů souvisí s jejich nejdůležitější vlastností - se
schopností šířit se. Jde o změny obsahu systémových oblastí nebo
souborů, v případě rezidentních virů o úbytek volné paměti a v případě doprovodných virů o vytváření spustitelných souborů s příponou COM v těch adresářích, kde už existuje soubor stejného jména
s příponou EXE.
Tyto projevy jsou nutné. Ostatní projevy viru již lze považovat za nadstandardní péči autora viru o nechtěného uživatele. Jedná se o milé
(a častěji nemilé) žertíky viru na vrub uživatele a úmyslné nebo
neúmyslné destrukce dat. Tyto vedlejší projevy lze na základě jejich
typu rozčlenit do několika skupin.
Efekty
Uvědomte si, že virový pisálek trpí vážným problémem. Uživatel
nesmí příliš brzo poznat, že jeho počítač je napaden (výrazně by to
snížilo šance viru na přežití), ale současně by se autor rád nějak
zviditelnil. Výsledkem je nejčastěji načasování efektu na konkrétní
dobu (obligátní pátek třináctého, datum narození nějaké osobnosti,
sedmnáctý listopad ...). Další možností je, že efekt není nijak
načasován, ale jeho spuštění je vázáno na nějaký jev s malou
pravděpodobností (hodnota systémového času v okamžiku spuštění
infikovaného souboru, vygenerované náhodné číslo je v nějakém
intervalu ...).
Vlastní efekt často spočívá v nějaké manipulaci s obsahem obrazovky (padání písmen, průjezd sanitky na několika dolních řádcích ...)
nebo ve vypsání nějakého objevného sdělení. Obsah těchto sdělení
by mohl být zajímavým materiálem pro psychologa. Viry propagují
hudební skupiny, komentují politické události a názory, vyhrožují
destrukcí disku nebo se třeba jenom představují.
Kromě efektů optických se setkáváme i s akustickými. Jakkoli nejsou
zvukové možnosti interního reproduktoru počítače nijak oslnivé, na
31
jednoduchou melodii bohatě stačí. Jeden z virů bulharského původu
třeba hraje každý den ráno jednoduchou melodii a první květen
oslaví Internacionálou.
Obtěžující chování
Nepříjemným projevem virů bývají různé pokusy o obtěžování
uživatele. Existuje třeba virus, který převezme kontrolu klávesnice a
občas zamění stisknutou klávesu za sousední. Vžsledlem je, že
vxroste ovvyklá míoa překleoů a nicbetušící užuvatel se vzteký.
Podobným efektem je “polykání” stisknutých kláves. Zděšený uživatel mlátí vší silou do kláves a virus se tiše směje.
Zajímavé jsou i hrátky se systémovým časem počítače. Takové
hodiny jdoucí pozpátku pěkně vystraší uživatele, kterému konec pracovní doby mizí v nedohlednu. Ještě větší radost z podobných hrátek
mají uživatelé přechytralých programů, které si pečlivě vybírají nejaktuálnější informace podle data a času vytvoření souborů.
Poněkud drastičtější je virus, který sleduje používání příkazu COPY a
občas zamění jeho parametry. Když je místo příkazu COPY NOVE.TXT
STARE.TXT provedeno COPY STARE.TXT NOVE.TXT, tak zcela jistě
jedno oko nezůstane suché.
Slušným zdrojem inspirace je i přítomnost modemu v počítači,
pomocí kterého může virus protelefonovat docela slušné peníze
(zatím neznáme virus volající na nějaké “0609-čekám jenom na
Tebe”, ale i toho se asi časem dočkáme).
Pokud jde jenom o peníze, tak čert s tím, ale autor viru volajícího
pravidelně na číslo 911 (tísňové volání v USA) by si jistě zasloužil některý z trestů, které toto osvícené století bohužel zrušilo.
Krádeže
Dostatečné rozšíření Internetu umožňuje autorům virů vykrást libovolné údaje z vašeho počítače a kamkoli je přenést pomocí FTP nebo
elektronické pošty. Například virus W97M/Caligula se takto pokouší
odeslat kopii vašeho privátního klíče pro šifrovací systém PGP.
32
A není problém si představit virus, který prohledá vaše textové
soubory a odešle kopie těch, které obsahují takto formátovaná čísla:
nnnn nnnn nnnn nnnn
nn/nn
Milá představa, že ?
Destrukce
Až příliš častým projevem virů bývá snaha zničit data na pevném
disku. Za zmínku stojí, že mezi kvalitou kódu viru (a tedy programátorskými schopnostmi jeho autora) a mezi mírou destrukce, kterou
virus působí, je obvykle nepřímá úměra.
Triviální viry se spokojí s tím, že bez varování přepíší obsah celého
disku nesmysly. V takovém případě nezbývá, než sáhnout po
pravidelně prováděných zálohách a obnovit poslední stav. To je sice
pracné, ale pokud existují aktuální zálohy, tak se zase nic tak tragického nestalo.
Pokud zálohy neexistují, tak si zodpovědný pracovník může v klidu
naházet obsah svého psacího stolu do igelitové tašky a podle míry
způsobených škod zamířit buď domů nebo na letiště.
Existuje i daleko zákeřnější forma destrukce - pomalé a nenápadné
změny v datech. Pokud na počítači nějaký čas působí virus, který
kontroluje zápisy na disk a tu a tam prohodí dva bajty, tak je velmi
pravděpodobné, že i záložní kopie obsahují poškozené soubory a
neexistuje žádný způsob, jak zjistit co je, a co není, v pořádku.
Poznámka: Výborné příležitosti pro hrátky s daty mají makroviry.
Například WM/Wazzu vkládá slovo ‘wazzu’ do náhodně vybraného
místa v dokumentu. Schválně si zkuste na Internetu najít stránky,
které obsahují slovo ‘wazzu’, ale nemají nic společného s viry ani
s Washingtonskou univerzitou. Budete překvapeni jak velké množství
lidí připravovalo texty pro své stránky v infikovaném Wordu.
A asi není potřeba rozvádět jak milým efektem je, když makrovirus
pro Excel projde tabulku a nepatrně změní náhodně vybrané
položky.
33
Něco je špatně
Obvyklé fámy okolo virů prezentují jejich autory jako programátory
téměř geniální, jejichž dokonalá dílka jsou schopna všeho. Pravdivá
je jenom polovina tohoto tvrzení. Naprostá většina virů je totiž napsána takovým způsobem, že jejich autoři by si zřejmě programováním nevydělali ani na suchý chleba. Takové programy jsou
pak samozřejmě schopny téměř všeho, aniž by to viroví pisálci tušili.
Některé viry jsou dokonce v takovém stavu, že sice napadnou soubor, ale už z něj nejsou schopny dalšího šíření.
I relativně dobře napsané viry se ale mohou dostávat (a často se
dostávají) do konfliktů s jinými programy nebo s operačním systémem. Je to daň za použití některých nedokumentovaných postupů,
případně za snahu obejít kontrolní mechanismy antivirových
systémů.
Zejména rezidentní viry mají často potíže, které se navenek projevují tím, že počítač často havaruje a některé programy (typicky třeba
Windows) se chovají prapodivně nebo vůbec nefungují. Takové
chování ovšem nemusí být příznakem výskytu viru. Dnešní PC je
obvykle zmateným chumáčem hardwaru různého původu se spoustou
ovladačů. Když se k tomu připočtou různé (vzájemně více či méně
nekompatibilní) verze DOSu a spousta nejrůznějších rezidentních
programů, které si většina uživatelů spouští, tak je skoro až podivné,
že to celé nějak funguje. A ono to navíc dost často funguje prapodivně. Proto je velmi obtížné rozlišit mezi potížemi, které má na svědomí vir, a těmi, za které mohou hádající se “korektní” programy.
Nechtěná destrukce
I když autor viru nenaprogramoval žádnou destrukční akci, neznamená to, že virus je neškodný. Musí totiž ke svému šíření modifikovat existující soubory nebo systémové oblasti.
Typickým příkladem takové nechtěné destrukce je útok bootviru na
disk s instalovaným Ontrack Disk Managerem. Chudák virus si myslí,
že na nulté stopě disku je zcela volné místo a zapíše si tam pár maličkostí.
Stejný názor měl bohužel Disk Manager, který na nultou stopu odložil
sám sebe. Výsledkem “kooperace” obou programů je nepřístupný
disk.
34
Dalším krásným kouzlem je kombinace nedokonale implementovaných stealth technik a některých programů pro komprimaci dat,
která může skončit tak, že archiv obsahuje pouze trosky souborů,
které byly komprimovány.
S nechtěnou destrukční akcí se také setkalo několik tisíc uživatelů
na celém světě při instalaci Windows’95 z disket. Microsoft totiž
ponechal pouze první disketu v obvyklé velikosti a všechny ostatní
byly naformátovány na 1,7 MB. Pro bootviry bylo toto uspořádání
novinkou a jejich pokus infikovat disketu skončil zničením části jejího
obsahu.
Sebeobrana viru
Autoři virů si pochopitelně přejí, aby jejich “děťátka” měla šťastný a
nerušený život. Proto se je často snaží vybavit nějakou formou
obrany proti antivirovým systémům.
Pasivní obrana
Viry se snaží zabránit svému odhalení různým způsobem. Pasivní
ochranou je použití takových programových konstrukcí, které znesnadní analýzu viru a ochrání ho před některými technikami hledání.
Příkladem podobné ochrany jsou polymorfní viry, které vlastně
vznikly jako reakce na scannery vyhledávající konstantní kousky
virového kódu.
Čas pokročil a antivirové systémy jsou schopny obecně analyzovat
polymorfní kód a vyhledávat své virové identifikátory až v dekryptovaném těle viru. Reakcí ze strany virových pisálků je snaha
o vytvoření tak komplikovaných dekryptovacích funkcí, aby je antivirový systém nedokázal vůbec projít nebo je považoval za korektní
kód zdravého programu a analýzu ukončil.
Dalším významným pokrokem v antivirových technikách je heuristická analýza, která dovoluje s vysokou účinností odhalit i viry, které
nejsou v dané době autorům antivirového systému známy. Proto se
dnes stále častěji setkáváme s více či méně úspěšnými pokusy
o vytvoření takového kódu, který heuristická analýza “nepochopí”,
nebo který jí bude připadat zcela korektní.
35
Existuje třeba virus, který zašifruje své tělo náhodně vygenerovaným
klíčem, ale jeho hodnotu si nikam neuloží. Pokud je napadený soubor spuštěn, tak virus hledá správný klíč tak, že zkouší všechny
možné hodnoty dokud nenajde tu správnou (vznešeně se tomu říká
brute force attack).
Aktivní obrana
Aktivní metody sebeobrany spočívají především v ochraně vlastního
kódu viru a v pokusech o likvidaci nebo poškození antivirového systému a jeho částí. Nejjednodušší viry se snaží alespoň vyhledat a
zničit databáze informací, které si antivirový systém vytvořil, případně jej celý smazat.
Chytřejší rezidentní viry používají Stealth techniky a zjistí-li přístup
k infikovaným souborům tak je dočasně vyléčí nebo předstírají, že
jsou v pořádku. Mohou také sledovat spouštění programů a reagovat tak na spuštění antivirového programu. Rejstřík reakcí je bohatý
a fantazii se meze nekladou. Obvyklé bývá odmítnutí spuštění
programu nebo jeho smazání (doprovázeno nějakým stupidním chybovým hlášením), případně dočasné pozastavení všech aktivit viru.
Občas se vyskytují i viry extrémně chytré, které modifikují kód antiviru
a pokoušejí se tak vypnout některé jeho funkce.
Naštěstí ojedinělé jsou viry považující spuštění antivirového systému
za hrubou provokaci vyžadující odvetný úder - třeba okamžité formátování disku.
Past
Past představuje nejzlomyslnější formu sebeobrany viru. Model je
jednoduchý - spokojeně žijete s virem a vše zdánlivě funguje
správně. Odhalíte jeho přítomnost, odstraníte jej a najednou je
všechno špatně, soubory už nejsou co bývaly, disk vůbec není přístupný nebo je dokonce počítač v takovém stavu, že pokus o start
z čisté systémové diskety skončí jeho “zatuhnutím”.
Jednou z nejznámějších pastí je průběžné šifrování obsahu disku,
které provádí multipartitní virus One_Half. Pokud jeho odstranění
36
z Partition tabulky není doprovázeno dekódováním disku, tak některé adresáře neuvidíte, obsah jiných adresářů bude prapodivný a
část souborů nebude k poznání. Tento stav je sice velmi špatný, ale
stále ještě řešitelný. Jestliže ale v této situaci požádáte nějakou diskrepair utilitu (NDD, SCANDISK ...) o “opravu” disku tak tím vaše data
končí definitivně.
Problém je v tom, že utilita určená pro řešení běžných (a obvykle relativně malých) problémů na disku najde místo poškozeného obsahu
totální nesmyly, pokusí se je vzít vážně a na základě těchto (díky
šifrovací funkci vlastně náhodných) dat provést opravu. Kvalita výsledku pak bohužel odpovídá kvalitě dat, která měla utilita k dispozici.
ANTIVIROVÉ TECHNIKY
Sebelepší antivirový program není k ničemu, jestliže s ním jeho uživatel neumí zacházet a nerozumí jeho výsledkům. Porozumět jim znamená především porozumět tomu, jak jednotlivé technologie hledání
virů pracují.
AVG používá pro detekci virů tři techniky. Pokud vás zajímají detaily,
najdete je v:
• Hledání známých virů
• Pokus o hledání neznámých virů
• Sledování změn
Tyto techniky nejsou použity pouze v kontrolním programu AVG, ale
také v Rezidentním štítu a v AVG pro E-mail.
Zpracování souboru
Stručně se dá říct, že AVG kontroluje soubory tímto způsobem:
• AVG nejprve ověří, zda má o kontrolovaném souboru k dispozici
nějaké detailní informace v databázi integrity .
37
• Poté hledá známé viry a pokud není žádný objeven, tak se ke
slovu dostává heuristická analýza.
• Jestliže soubor může obsahovat několik infikovatelných objektů
(například EXE soubor pro Windows, prezentace vytvořená
v Power Pointu nebo soubory v archivu) je druhý krok zopakován
pro všechny tyto komponenty.
• Jestliže žádný z předchozích kroků nenajde infekci, poznačí si
AVG (pokud je to potřeba) informace o souboru do databáze
integrity a pokračuje v testování dalších souborů.
Přehled všech hlášení produkovaných testy systému AVG naleznete
v Nápovědě programu AVG pro Windows.
Hledání známých virů
Úplně první antivirové programy se snažily vyhledávat konkrétní viry
na základě nejrůznějších znaků, které doprovázely infekci. Vycházely
ze skutečnosti, že první viry byly velmi jednoduché a kopii od kopie,
až na nepatrné vyjímky, totožné. Tedy něco na způsob: Jestliže první
bajt je E9 a současně další dva bajty po přičtení čísla 907 odpovídají
délce souboru a zároveň má posledních dvacet bajtů tyto hodnoty ...
atd, atd.
Dobře napsaný vyhledávací program, používající tuto techniku, je relativně spolehlivý, ale jeho údržba je velmi pracná. Při dnešním počtu
virů by podobné testování navíc trvalo neúměrně dlouho.
Dalším krokem bylo vytvoření scanneru - programu, který se snažil
v souboru najít nějaké posloupnosti instrukcí, typické pro jednotlivé
viry. Pro každý virus se tedy vybere vhodná sekvence znaků - např.
B4 3D CD 21 B8 00 00. U testovaných objektů se pak kontroluje, zda neobsahují tuto sekvenci. Pokud ano, je objekt označen jako napadený
virem.
Je samozřejmé, že výběr vhodné sekvence znaků, která bude pro
detekci viru používána, není jednoduchý - sekvence se nesmí vyskytovat v žádném korektním programu, aby nedocházelo k mylným
38
hlášením. Největší výhoda scanneru, oproti vyhledávacímu programu, spočívá v možnosti snadného a rychlého doplnění informací pro
detekci nových virů. V době, kdy se roční nárůst počtu virů pohybuje
okolo 2000 kousků je to výhoda velmi podstatná.
Autoři virů se samozřejmě snaží vyhledání svého dítka co nejvíce
znesnadnit. Objevuje se nový termín - polymorfní virus . Takový virus
se snaží většinu svého kódu pravidelně měnit tak, aby určení vhodné sekvence znaků ztížil či znemožnil. Zpočátku tuto úlohu obstarávala krátká funkce, která vlastní tělo viru zakódovala. Většinou však
tato kódovací funkce byla sama o sobě dostatečně dlouhá k tomu,
aby poskytla vhodnou sekvenci znaků. Postupem času se ale algoritmy, zajišťující viru jeho proměnlivost, zdokonalily. Na tuto změnu
museli reagovat samozřejmě také autoři antivirových programů.
Nějaký čas se snažili pouze doplnit své programy o rozpoznávání
polymorfních virů pomocí jednoúčelových funkcí, ale to byl vlastně
krok zpět k vyhledávacím programům se všemi jejich nevýhodami.
AVG proto obsahuje emulátor strojového kódu, kterým se pokouší
“napodobit” provedení dekódovací části. V praxi to znamená, že
dokáže “rozbalit” zakryptovaný virus do jeho nekódované podoby a
sekvence hledá až v dekryptovaném těle viru.
Použití vyhledávacích sekvencí může vést k problémům při léčení
(například pokud se objeví nová verze viru).
Proto je AVG vybaveno mnohem komplexnějšími informacemi - může
kontrolovat speciální vlastnosti nalezených sekvencí (např. jejich
absolutní nebo relativní polohu) a ověřovat si kontrolní součty dalších
oblastí těla viru. To umožňuje spolehlivější identifikaci a odstranění
viru.
Uživatel antivirového programu - scanneru, musí samozřejmě
používat takovou verzi, která tento virus již umí nalézt. Tato
skutečnost je největší a podstatnou nevýhodou scannerů i vyhledávacích programů. Jejich bezmocnost proti novým virům. Dobře
udržovanýscanner sice obvykle dokáže detekovat některé nové varianty starších virů, ale proti zcela movým virům jsou jeho šance malé.
Proto AVG používá také heuristickou analýzu.
39
Heuristická analýza
Heuristická analýza není marketingovým blábolem, ani nějakým
druhem černé magie. Jde o pokus zjistit analýzou programu, zda
obsahuje konstrukce typické pro počítačový virus.
Jak může heuristická analýza vypadat
Začněme malým kouskem kódu, vyrvaným ze dvou různých virů,
napadajících systémové oblasti počítače. V levém sloupci je
instrukce CPU vyjádřena číselně a v pravém symbolicky.
A3
B1
D3
2D
8E
BE
8B
B9
F3
13
06
E0
C0
C0
00
FE
00
A5
04
07
7C
01
MOV
MOV
SHL
SUB
MOV
MOV
MOV
MOV
REP
[0413h],AX
CL,6
AX,CL
AX,07C0
ES,AX
SI,7C00h
DI,SI
CX,100h
MOVSW
26
B1
D3
8E
33
B9
FC
F3
A1 13 04
06
E0
C0
FF
FF 00
A5
MOV
MOV
SHL
MOV
XOR
MOV
CLD
REP
AX,ES:[0413h]
CL,6
AX,CL
ES,AX
DI,DI
CX,00FF
MOVSW
Přestože jde o dva zcela rozdílné viry, můžeme v ukázce vidět (i bez
znalosti assembleru) značnou podobnost.
Porovnáním číselného vyjádření bez obtíží najdeme pasáž společnou
oběma úryvkům:
13 04 B1 06 D3 E0 (0-3) 8E C0 (6-8) F3 A5
(Poznámka: čísla v závorkách označují počet nezajímavých bajtů,
které mohou být při hledání vynechány. )
Tuto jednoduchoučkou “vyhledávací sekvenci” můžeme ještě trošku
zobecnit:
13 04 (0-18) B1 06 D3 (0-40) F3
Tato jediná sekvence je schopna detekovat cca 30% všech boot virů,
které jsou hlášeny ze světa jako rozšířené (In the Wild) a asi 50%
všech existujících.
40
Bylo by zřejmě možné říkat i tomuto postupu heuristická analýza (a
první heuristické analýzy, používané v pravěku antivirových programů, takto pracovaly), ale dovolme si raději tento termín rezervovat pro poněkud lepší postupy.
Jak pracuje naše heuristická analýza
Jádrem heuristické analýzy v AVG je emulátor instrukcí procesoru
Intel. Jde vlastně o “virtuální počítač”, ve kterém můžeme “spustit”
program nebo nějakou systémovou akci - třeba zavádění operačního
systému z boot sektoru nebo z MBR pevného disku.
Program emulovaný ve virtuálním počítači není v žádném slova
smyslu přímo spuštěn. Emulátor kódu bere jeho jednotlivé instrukce
a bezpečným způsobem napodobuje jejich činnost tak, že se vše
odehrává ve “virtuálním počítači” a instrukce nemohou žádným způsobem ovlivnit obsah reálné paměti, kterou mohou sdílet další programy nebo samotné AVG.
Díky existenci emulátoru kódu je nám zcela jedno jak složitě
zašifrovaný či nečitelně napsaný je zkoumaný program. Pokud bude
vykonávat nějakou smysluplnou činnost v reálném počítači, bude
přesně stejnou činnost provádět i emulátor. S troškou zlomyslnosti
věnujme minutu ticha virovým pisálkům, kteří se měsíce trápili
vytvářením “toho opravdu nejdokonalejšího generátoru polymorfních
dešifrovacích smyček”, aby AVG tuto pasáž kódu bez zájmu a
námahy prošlo a další kontrole už předložilo dešifrovanou, konstantní, část viru.
V průběhu emulace kódu probíhá i sběr informací o “významu”
emulovaného kódu a AVG se snaží jejich vyhodnocením odhadnout,
zda jde o činnost typickou pro neškodný program nebo naopak pro
počítačový virus.
Hlavní výhodu emulátoru oproti klasickému vyhledávání podezřelých
sekvencí dobře ilustruje tento příklad:
; Tento úryvek kódu zapisuje do souboru tři bajty
MOV AH,40h ; ID operace
MOV CX,3
; Počet bytů
INT 21h
; Volání funkce operačního systému
B4 40
B9 03 00
CD 21
41
Kód s přesně stejným významem ovšem můžeme napsat nekonečně
mnoha způsoby:
B4
80
B9
CD
45
EC 05
03 00
21
MOV
SUB
MOV
INT
AH,45h
AH,5h
CX,3
21h
29
83
B4
CD
C9
C1 03
45
21
SUB
ADD
MOV
INT
CX,CX
CX,3
AH,45h
21h
Je zřejmé, že není dost dobře možné najít (už jenom pro těchto pár
ukázek a takto triviální případ) nějakou společnou vyhledávací
sekvenci. Emulátor kódu je v tomto případě nad věcí. Projde
instrukce, odsimuluje jejich význam a v okamžiku volání služby operačního systému zná přesný obsah všech registrů mikroprocesoru,
bez ohledu na to, jak složitě byly spočteny.
Výhody a nevýhody heuristické analýzy
Hlavní výhodou heuristické analýzy je schopnost detekce nových virů
ještě dříve, než se nám dostanou do rukou a doplníme informace pro
jejich detekci do AVG. Existuje i jiný způsob jak zachytit nové viry: kontrola integrity. Tato metoda je založena na sledování a vyhodnocování změn programů a systémových oblastí počítače. Dokáže tedy
virus zachytit až po jeho průniku do chráněného počítače, což může
být příliš pozdě. Pouze heuristická analýza je schopna nalézt nový
virus dříve, než má šanci způsobit nějaké problémy.
V reálném světě se každou výhodu něčím platí. Heuristická analýza
není vyjímkou z tohoto pravidla. Její hlavní nevýhodou je možnost
výskytu tzv. falešného poplachu, kdy heuristická analýza označí za
podezřelý program, který žádný virus neobsahuje. Pravděpodobnost
podobného jevu je malá, ale zcela vyloučit jej nelze. Domníváme se
ovšem, že tato nevýhoda je v porovnání s výhodami heuristické
analýzy zcela zanedbatelná.
Meze možností
Jestliže rozumíme principům práce heuristické analýzy, rozumíme
i jejím omezením. Především není heuristická analýza schopna najít
42
viry naprogramované ve vyšších programovacích jazycích (C, Pascal,
Basic, ...). Zaváděcí kód a knihovny užívané těmito jazyky jsou velmi
rozsáhlé a i když by technicky nic nebránilo proemulovat i takový program do dostatečné hloubky, tak by zpracování jednoho souboru
přece jenom trvalo o pár hodin déle, než je snesitelné.
Druhým omezením heuristické analýzy je její schopnost zpracovat
pouze některé typy infikovatelných objektů. Heuristická analýza
vyžaduje velmi detailní informace o zkoumaném objektu. Pro programy to zahrnuje znalost všech instrukcí mikroprocesoru (včetně
takových, které nejsou dokumentovány a oficiálně podporovány jeho
výrobcem), znalost způsobu jakým je program při svém spuštění
zaváděn do paměti, přehled o službách poskytovaných operačním
systémem (samozřejmě včetně služeb nedokumentovaných či
vyhrazených pro interní potřebu autorů operačního systému) a informace o přesném významu některých rezervovaných oblastí paměti
počítače, které používá BIOS nebo operační systém. Pokud se objeví
nový druh infikovatelného objektu, musí o něm být shromážděny
všechny tyto informace a heuristická analýza musí být upravena tak,
aby byla schopna ho analyzovat. V horším případě (například pro
makroviry) musí být napsána nová analýza zcela “na zelené louce”.
V době uzávěrky tohoto textu máme připravenou beta verzi heuristické analýzy pro makroviry a doplníme ji do AVG 6 v některé
z aktualizací.
Výsledky heuristické analýzy
Je velmi důležité si uvědomit, že heuristická analýza není metodou
schopnou odhalit 100% všech známých a neznámých virů. Jde
o doplňkovou metodu, která výrazně zvyšuje šance na zachycení
nového viru. Nic víc a nic méně.
Podle našich testů je naše heuristická analýza schopna detekovat
více než 70% existujících souborových virů a bootvirů, při zanedbatelném počtu falešných poplachů.
43
Test integrity
Využití testu integrity při hledání virů
Po otestování souboru na přítomnost známých virů a jeho kontrole
heuristickou analýzou jsou nejdůležitější informace o souboru
uloženy do databáze integrity (databáze kompletního testu). Pokud
bude soubor při příštím testu ve stejném stavu (a AVG nebylo
mezitím aktualizováno), tak není nutné jej detailně testovat.
V případě detekované změny obsahu souboru se AVG pokouší analyzovat typ změny a odhadnout, zda se může jednat o infekci či nikoli
(samozřejmě pouze v případě, že už předchozí testy nenašly konkrétní
infekci nebo něco podezřelého).
Po aktualizaci AVG jsou všechny soubory testovány znovu. To je
nutné pro případ infekce novým virem, který ještě předchozí verze
nebyla schopna detekovat.
Využití testu integrity při léčení virů
Velmi důležitou roli hraje databáze integrity i při léčení souborů.
Neobsahuje totiž pouze kontrolní součet celého souboru, ale kontrolní součty několika oblastí souboru, kontrolní součet celého
souboru (vyrobený velmi bezpečným MD algoritmem) a navíc ještě
kopii obsahu malé (ale nesmírně důležité) části hlavičky souboru.
S těmito informacemi můžeme léčit soubory mnohem přesněji a
obnovit zcela správnou délku (některé viry zarovnávají délku infikovaného souboru na násobek 16 a nikam neukládají údaj o původní
délce souboru).
Omezení testu integrity
Jakkoli je tato metoda velmi spolehlivá, není (jako ostatně nic na této
planetě) perfektní.
44
• Nedokáže uživateli sdělit, zda se v jeho počítači objevil virus.
Veškerá zjištění, kterých je test integrity schopen, jsou omezena
pouze na sdělení - byla zjištěna změna a případné označení této
změny za podezřelou.
• Je bezmocná proti makrovirům. Je sice možné testem integrity
sledovat textové soubory, ale počet zjištěných (a zcela korektních) změn bude takový, že uživatele zcela zahltí.
• Kromě toho existují i programy, které svůj EXE soubor mění.
(Třeba TC.EXE - kompilátor Turbo C V2.0 - si sám do sebe poznamenává svou konfiguraci).
To jsou ovšem drobnosti. Daleko podstatnější nevýhodou kontroly
integrity je, že virus zachytí až při jeho šíření v chráněném systému.
Tento postup poněkud připomíná zavírání kurníku ve chvíli, kdy už
liška se zakrvavenou tlamou mizí směrem k lesu.
REZIDENTNÍ ŠTÍT
Rezidentní štít (on-access scanner) je zaveden do paměti při startu
počítače a průběžně monitoruje souborové operace, které jsou na
něm prováděny.
Pokud přistupujete k nějakému infikovanému souboru (například
spouštíte nakažený program, nebo otevíráte dokument
s makrovirem), tak rezidentní štít vypíše varování a odepře přístup
k tomuto souboru.
Zní to jako definitivní řešení všech problémů s viry, že ? Život bohužel
není tak jednoduchý. Rezidentní programy mají své limity nejdůležitějším z nich je rychlost. Zpomalení počítače způsobené
průběžnou kontrolou nesmí být příliš velké, jinak by bránilo
uživatelům v práci.
Rezidentní štít používá stejné antivirové techniky jako vlastní AVG.
Jediným rozdílem je, že se nesnaží kontrolovat archivy - podobná
operace by byla příliš časově náročná.
45
KONTROLA ELEKTRONICKÉ POŠTY
Nejlepším způsobem obrany hradu je důsledná ochrana všech bran.
Přílohy elektronické pošty dnes představují nejběžnější způsob šíření
souborů mezi uživateli.
Proto je součástí antivirového systému AVG i AVG pro E-mail, který
prověřuje připojené soubory, přesně v okamžiku, kdy “překročí hranice” mezi vaším serverem a poštovním klientem. Stejnou práci
může zajisté odvést (o něco později) rezidentní štít, ale díky kontrole
elektronické pošty vás můžeme varovat tak rychle, jak je to jenom
možné.
AVG pro E-mail používá stejné antivirové techniky jako vlastní kontrolní program AVG.
46
PRAKTICKÁ SEBEOBRANA PRO UŽIVATELE
Vlastní kontrolu počítače antivirovým programem lze označit za
aktivní ochranu. Kromě ní však existuje také tzv. ochrana pasivní v podstatě jde o způsob, jakým se uživatel k počítači chová a jak
s ním pracuje.
Existuje jediná 100% spolehlivá ochrana před počítačovými viry.
Stačí vložit počítač do velké dřevěné bedny, pečlivě přestříhat všechny
k němu vedoucí šňůry a zalít ho betonem. Použít tento postup je
poněkud nepraktické, takže se pokusme najít nějaký méně účinný,
ale o něco praktičtější. Pokud se ale právě teď smutně díváte na
obrazovku svého počítače s nápisem:
Your hard-disk is being corrupted, courtesy of PATHOGEN!
Programmed in the U.K. (Yes, NOT Bulgaria!) [C] The Black Baron 1993-4
Featuring SMEG v0.1: Simulated Metamorphic Encryption Generator!
‘Smoke me a kipper, I`ll be back for breakfast.....’
Unfortunately some of your data won`t!!!!!
tak je už pozdě myslet na nějakou prevenci. V této situaci si v klidu
uvařte kávu, vypijte ji a přitom vzpomínejte, kde máte záložní kopie
svých dat.
Nicméně předpokládejme, že tak daleko ještě situace nedospěla.
Zde jsou tedy zásady, jejichž dodržování vám pomůže výrazně snížit
pravděpodobnost virových radovánek na vašem počítači:
Váš počítač - váš hrad
Pokud to není nezbytně nutné, tak ke svému počítači nepouštějte
osoby, které se nejsou schopny a ochotny chovat podle vašich představ. Jakákoli pečlivost během dne je k ničemu, jestliže k vašemu
počítači večer zasedne náruživý hráč s balíčkem disket (dnes již
spíše CD) pochybného původu.
47
Nedůvěřujte nikomu
Každou disketu, kterou někdo chce vsunout do vašeho počítače,
nejprve otestujte. Možná tak budete vypadat jako nebezpečný paranoik, ale občas vám bude odměnou pohled na protažený obličej
vašeho přítele, který se dušoval, že opravdu, ale opravdu žádné viry
na své disketě nemá, a nyní tupě zírá na varovné hlášení.
Z tohoto pravidla nejsou vyňaty žádné diskety, byť by je přinesl zvláštní posel prezidenta republiky s osobním dopisem dotyčného, zaručujícím jejich “viruprostost”. Je zdokumentována řada případů, kdy se
vir šířil například na instalačních disketách přikládaných k hardwaru
nebo na disketě s programem odborného semináře pořádaného jedním z největších výrobců počítačů.
Nedůvěřujte ani sobě
Pokud na cizí disketu nechcete psát, ochraňte ji proti zápisu.
Vyvarujete se pak toho, že za vámi někdo přijde, bude tlouct disketou o stůl, vykřikovat sprostá slova a tvrdit, že byla ve vašem počítači
napadena virem. A kdyby se náhodou stalo, že nějaký nový vir do
vašeho počítače přece jenom pronikl, zpomalíte tak jeho další šíření.
To jistě stojí za trochu námahy.
Nepřeceňujte svůj antivirový program
Protože tato rada platí i pro náš antivirový systém AVG, zní možná
trošku prapodivně, ale pokusíme se ji vysvětlit. Pokud má autor viru
k dispozici aktuální verzi libovolného antivirového systému, umí
dobře programovat a má dostatek volného času, tak prostě je
schopen napsat virus neodhalitelný většinou funkcí tohoto systému.
Pravděpodobnost, že se s takovým virem stihnete potkat dříve, než
s aktualizací, která ho již bude znát, je sice velmi malá, ale existuje.
Právě zde je nejlepším řešením zajistit pro svůj program pravidelnou
aktualizaci s co nejkratší periodou.
48
Proveďte občas start systému z čisté diskety a kontrolujte
Jak jsme uvedli v předchozím odstavci, existuje teoretická šance, že
se na vašem počítači objeví virus. Virus, který je vybaven speciálními
technikami na ochranu právě před tím antivirovým programem, který
používáte. Přestože tento antivirový program je vybaven kvalitním
anti-stealth technikami (je schopen zjistit i jinak “neviditelné” stealth
viry) a nemusíte proto normálně před každým testem startovat operační systém z čisté diskety, nastane situace, kdy aktivní virus váš
program “obelstí”. V této chvíli je jedinou (a snadnou) možností, zajistit pro antivirový program čisté prostředí, kde virus není aktivní. Toho
dosáhnete tak, že provedete start operačního systému ze systémové
diskety (samozřejmě nenapadané virem). Nyní spusťte antivirový program a proveďte kontrolu - virus nemůže ovlivnit běh programu a
bude detekován.
Zálohujte svá data
Záložní kopie zdaleka nejsou důležité jenom kvůli počítačovým
virům. Pevné disky přece jenom nejsou nesmrtelné, počítače se
kradou a občas dojde i k požáru. V takovém případě může mít sada
bezpečnostních kopií, uložená na nějakém bezpečném místě, cenu
zlata. Velmi dobrým nápadem je mít několik sad záložních kopií
z různé doby. Existují totiž i zákeřné viry, které škodí zvolna a nenápadně. Například vir Ser_No občas mění náhodně vybraný Byte
v datech zapisovaných na disk. Pokud nemáte k dispozici zálohy
z doby, kdy počítač ještě nebyl infikován, může být záchrana dat
velmi pracná.
Braňte se včas
Antivirový systém má výrazně vyšší šance, jestliže je instalován na
zdravém počítači. Nainstalujte ho proto co nejdříve.
Braňte se pořád
Antivirové programy “stárnou” (a AVG není výjimkou), proto je nanejvýš nutné si antivirový systém pravidelně aktualizovat - jenom tak
49
může být schopen vám účinně pomoci i proti novým virům.
Uvědomte si, že vlastní aktualizace antivirového programu může
probíhat, a také probíhá, ve dvou rovinách. První je pouhé
doplňování nových virových identifikátorů, podle kterých antivirový
program známé viry vyhledává. Za smysluplnou rychlost aktualizace
virové databáze lze považovat interval jednoho, maximálně dvou
měsíců. V dnešní době se nabízí ideální platforma pro distribuci
těchto souborů - Internet. Pokud jste připojeni, tak je AVG schopno si
automaticky stahovat své aktualizace.
Druhým způsobem aktualizace je skutečný zásah do vlastních programů, obvykle ve větším rozsahu. Pro detekci nových, moderních
virů je nutné do programu zapracovat zcela nové techniky a vyhledávací algoritmy, nebo stávající funkce podstatně přepracovat.
Aktualizace touto formou je pak nejčastěji nabízena uživateli jako
přechod na novou verzi - UpGrade za poplatek.
Buďte pozorní
Všímejte si změn chování svého počítače. Přítomnost viru v systému
se může (ovšem nemusí) projevit celou řadou maličkostí.
Nebojte se zeptat
Když získáte pocit, že se na vašem počítači děje něco, co by se dít
nemělo, tak se nebojte zeptat někoho znalejšího. Nemít detailní
znalosti dnešních PC není žádná ostuda.
Na závěr
Přečtěte si dokumentaci. Pokud tak neučiníte u svého oblíbeného
textového editoru, tak nanejvýš riskujete, že některé operace budete
provádět zbytečně pracně. Ignorování dokumentace antivirového
programu vás může stát přece jenom o něco více. Vzhledem k tomu,
že právě čtete tento odstavec, tak ovšem nezbývá, než vás pochválit.
50