Co jsou viry

OBSAH
Úvodem
Počítačové viry jsou pomalu tak staré, jako
počítače samy. Mnoho programátorů se snaží si
dokázat, že na to mají, jiní chtějí na sebe upozornit a u dalších jde o chorobu. Tato publikace by
vás ráda seznámila s tím, co počítačový vir je
a jak se šíří. Dovíte se něco málo z historie, něco
o třídění virů, o vztahu virů k operačním systémům a také o antivirových programech. Texty
nezacházejí do příliš velké odborné hloubky, takže by mohli být zklamáni ti, kteří by čekali popis
stavby virů a příklady jejich programování.
Poměrně rozsáhlý je slovníček pojmů, kde si
můžete ověřit svoje znalosti a případně si pak
v textu najít i některé rozšířenější charakteristiky
daných pojmů (nebo naopak).
Autor své informace čerpal převážně
z internetu – odkazy na internetové stránky české
i ze světa najdete v poslední příloze.
Svoje připomínky, náměty a poznámky zasílejte na adresu:
UNIS Publishing, s.r.o.
Jundrovská 33, 624 00 Brno
tel.: 05 – 41 51 55 00
fax: 05 – 41 51 55 02
e-mail: [email protected]
Antivirové desatero
Co jsou viry
2
4
Rozdělení a vlastnosti virů
7
Viry počítačové
Viry a antiviry
Základní typy počítačových infiltrací
Nejběžnější typy počítačových virů
Další typy a vlastnosti počítačových virů
Červi podrobněji
4
5
7
8
10
15
Viry a internet
18
Ochrana dat před viry
22
Zálohování dat
Co se dá najít zadarmo
31
32
Viry na jiných operačních systémech
34
Nejznámější antivirové produkty
38
Slovníček pojmů
Příloha 1 – Příklady postupů odvirování
Příloha 2 – Nejfrekventovanější viry
Příloha 3 – Odkazy internetu na viry
54
65
71
79
Mobilita programového vybavení
18
Dokumenty Office
20
Dostupnost FTP a WWW serverů s virovým zaměřením 20
Komunikace virových skupin
20
Nejčastější zdroje nákazy
Jak jsou na tom lokální sítě
Pracovní stanice a individuální počítače
Léčba zavirovaného počítače
Skenování
Kontrola integrity
Heuristická analýza
Monitorovací program
Antivirový program a jeho aktualizace
Antiviry zadarmo
Počítače Macintosh
Novell NetWare
OS/2
Palm OS PDA
Unix a Linux
Mobilní telefony
Herní systémy
Antivirový systém Norman
F-Secure Anti-Virus
Dr. Web
Cheyenne Antivirus
Kaspersky Anti-Virus (AVP)
avast!3
AVG
22
23
24
25
26
27
28
29
30
32
34
35
36
36
37
37
37
38
39
42
45
47
49
52
13 - PCWorld Edition – Viry a počítače
ISBN 80-86097-74-9
Informace v této knize jsou zveřejněny bez ohledu na jejich případnou patentovou ochranu. Jména produktů byla použita bez záruky jejich volného použití.
Vydavatel a autoři nepřebírají žádnou odpovědnost ani žádnou jinou záruku za
použití údajů uvedených v této knize a z toho vyplývajících následků. Veškerá
práva jsou vyhrazena na kopie celé, ale i částí knihy pořízené jakýmkoliv způsobem pro účely obchodu. Žádná část této knihy nesmí být použita v žádném
jiném informačním médiu a na žádném jiném nosiči dat za účelem obchodu bez
předchozího písemného souhlasu vydavatele.
© Karel Heinige
© 2001 UNIS Publishing, s.r.o.
Vyšlo v září 2001
1
Viry a počítače
Antivirové desatero
Na www stránkách firmy AEC, která již přes deset let působí úspěšně na trhu s antivirovými systémy,
jsem našel desatero pro úspěšnou ochranu proti virům. Vypůjčil jsem si je tedy do této publikace, jednak
proto, že bych to výstižněji nenapsal a také proto, že mi to připomíná jiná sympatická x-tera, která se objevují na různých místech, kde se lidé potkávají a žijí.
1) Provádějte pravidelný update svého antivirového programu! Sebelepší antivir se zastaralou virovou
databází je k ničemu. Takřka každý den se objevují nové škodlivé kódy, ze kterých navíc mohou vznikat různé mutace. Pouze aktuální datové soubory poskytované výrobcem konkrétního antivirového
programu obsahují údaje umožňující spolehlivou detekci a odstranění i nejnovějších virů. Někteří výrobci dnes dokonce poskytují tyto aktualizace denně.
2) Nikdy neotvírejte e-mailovou přílohu, kterou jste nepožadoval(a)! Prudký nárůst škodlivých kódů šířících se pomocí elektronické pošty je v poslední době více než zřejmý. Brát tento způsob šíření virů
v úvahu nás přinutil například případ lavinovitého šíření viru „I love you“, který v květnu 2000 způsobil nemalé ekonomické škody (odhadují se asi na 8,7 miliardy USD). Programování těchto virů je poměrné jednoduché a jejich efekt rozsáhlý. Typický virus obsažený v příloze elektronické pošty, pokud
na něj uživatel klikne a tím jej otevře, nemusí zůstat pouze u svého šíření na adresy, které najde
v poštovním programu. Může obsahovat i další škodlivé rutiny, které například zlikvidují data na zasaženém počítači.
3) Mějte kontrolu nad svým počítačem a nad tím, kdo jej používá! Riziko virové nákazy a ztráty dat
vzrůstá úměrně s počtem lidí, kteří mají ke konkrétnímu počítači přístup. Stačí jediný nezodpovědný
člověk, který přinese z domova zavirovanou disketu nebo otevře e-mailovou přílohu s virem, a práce
všech ostatních přichází vniveč. V současné době se stává důležitým prvkem ochrany počítače jeho zabezpečení pomocí vhodného bezpečnostního programu, který zajistí přístup pouze definovaným uživatelům. Nejde pouze o zamezení virové nákazy, ale i o ochranu informací uchovaných v počítači. Je
třeba si uvědomit, že informace mají také svoji cenu. S připojením počítače na internet vyvstává potřeba chránit se i proti nežádoucím průnikům ze sítě.
4) Instalujte včas všechny „záplaty“ na používaný software! Existují viry, které používají tzv. bezpečnostní díry v operačních systémech a aplikacích. Pokud je taková chyba v programu zjištěna, jeho výrobce zpravidla připraví tzv. záplatu (patch), kterou lze na daný program aplikovat (nainstalovat), a tím
chybu odstranit. Tyto soubory jsou zpravidla k dispozici ke stažení na stránkách jednotlivých výrobců
software. Je v zájmu uživatele sledovat aktuální situaci a nové záplaty co nejdříve aplikovat. Toto pravidlo platí zejména pro operační systémy.
5) Vždy prověřujte diskety a CD média předtím, než je použijete! Přesto, že podle dostupných údajů asi
85 % zaznamenaných virových útoků přichází prostřednictvím e-mailu, nemůžeme podceňovat ani
„tradiční“ způsoby šíření škodlivých kódů. Proto je bezpečnější investovat několik minut času
a médium otestovat, než se potom několik hodin trápit nad zavirovaným počítačem, případně platit
specialistu.
6) S každým novým souborem (i z důvěryhodného zdroje) nakládejte s největší opatrností! Uvedené
pravidlo platí nejen pro pirátský software. Existují dokonce i případy, kdy instalační CD od známého
výrobce tiskáren obsahovalo virus. Mnohonásobně větší je riziko v případě souborů stahovaných z Internetu. Nezáleží na tom, komu stránky patří, i na stránkách renomované firmy mohou být soubory infikované viry. Připomeňme si případ, kdy na stránkách světově nejznámějšího výrobce nejmenovaného
2
Antivirové desatero
operačního systému byl několik týdnů k dispozici dokument nakažený makrovirem. Inu virus si nevybírá, komuže patří soubor, který napadá.
7) Využívejte více než jen jeden způsob antivirové ochrany! Z hlediska celkové bezpečnosti není dostačující použití pouze jednoduchého antivirového programu, který umí na požádání prověřit daný soubor
či adresář. Je žádoucí, aby antivirový program uměl kombinovat několik druhů ochrany. Mezi ně patří:
– antivirový monitor, který umí na pozadí (on-line) kontrolovat otevírané soubory; – integrity checker
(kontrolní součet), který umí zaznamenat modifikace souborů a adresářů, jež mohou indikovat napadení virem; – heuristická analýza, jež vyhledává viry ne pomocí typické sekvence kódu, ale pomocí jejich
chování a projevů. Kombinace těchto několika technologií může efektivně ochránit počítač před většinou škodlivých kódů.
8) Vytvořte si zaručeně „čistou“ bootovací disketu a pečlivě ji uložte na bezpečné místo! Může nastat
případ, že na počítači, který byl napaden virem, nelze spustit operační systém. Nemusí to však nutně
znamenat, že by virus data na pevném disku počítače smazal. V takovém případě je vhodné mít k dispozici předem vytvořenu tzv. bootovací disketu (samozřejmě nezavirovanou), která současně obsahuje
antivirový program. Pomocí této diskety lze napadený počítač spustit a infikované soubory vyléčit či
přinejhorším smazat.
9) Pravidelně zálohujte! Ačkoliv toto pravidlo přímo nesouvisí s antivirovou ochranou, jeho dodržování
umožňuje minimalizovat případné škody způsobené agresivním virem, nespolehlivým hardwarem
apod. V porovnání s cenou ztracených dat je čas strávený zálohováním zcela zanedbatelný. Vytvořené
zálohy je vhodné uložit na bezpečném místě (pro případ požáru či jiné živelné katastrofy).
10) Nepodléhejte panice!
Jak autor tohoto desatera dále praví, není cílem formulování těchto deseti pravidel strašení uživatelů počítačů, protože počítačové viry jsou v podstatě obyčejné programy. S tím rozdílem, že svoji činnost konají
nezávisle na vůli uživatele. Pokud už se stane a váš počítač je zavirovaný, dělejte vše s rozvahou a vlastním
konáním nenapáchejte větší škody, než by napáchal přítomný vir.
Část stránky pro stahování souborů firmy AEC – http://download.aec.cz
3
Viry a počítače
Co jsou viry
Podívejme se, co o virech říkají některé encyklopedie, v tomto případě ty, které si mohu nalistovat ve
své knihovně.
Ottův slovník naučný z roku 1906 je k virům velmi macešský a říká, že virus je zvláštní živočich nebo
nakažlivina, virus vaccinosum je pak látka očkovací (nyní živ. z telat).
O něco více říká Ilustrovaný encyklopedický slovník Academia z roku 1982. Je ovšem zajímavé, že
zmínku o viru najdeme nikoliv pod heslem vir nebo virus, ale pod heslem „viry“, tedy v množném čísle. Ty
definuje jako: „Nejmenší a nejjednodušší biologické jednotky, většinou neprokazatelné světelným mikroskopem. Jde v podstatě o jednotky genetického materiálu, jejímž základem jsou nukleové kyseliny. Podle
toho, zda obsahují DNK nebo RNK, se dělí na dvě základní skupiny. Některé mají vlastní, avšak neúplný
enzymový systém. Jiné jsou odkázány výlučně na parazitický způsob života v buňkách baktérií, rostlin, zvířat a člověka. Od jiných mikroorganismů se liší nepatrnou velikostí od 15 do 300 nanometrů, procházejí
bakteriálními filtry (proto se také nazývají filtrovatelné), mají jednoduchou chemickou a tvarovou strukturu
a charakteristicky se množí v napadené buňce. Jsou schopny vyvolávat chorobné stavy (virózy) u rostlin,
zvířat a lidí.“
Viry mají svůj původ přírodní, ale existují i viry záměrně vytvořené člověkem, většinou ne zrovna
z humánních důvodů. Viry počítačové pak jsou analogií na viry definované výše. Také způsobují „zdravotní“ problémy počítačům a je nutno se před nimi bránit. Definici počítačového viru uvádí on-line internetová
encyklopedie Diderot (srpen 2001) takto: „Počítačový virus – parazitní programový útvar, který proniká
zpravidla ze záznamového média nebo z komunikačního kanálu do exekutivních programů nebo do operačního systému, jejichž funkci pozměňuje nebo v řadě případů vede ke zničení datových souborů a snížení
spolehlivosti v řízení funkcí. Identifikace a diagnostika počítačového viru se provádí antivirovými programy“.
Viry počítačové
U počítačů je virus vždy útvar umělý, záměrně vytvořený člověkem. V zhoubnosti působení si ovšem
nic nezadá se svým jmenovcem přírodním a svým působením a způsobem „života“ se mu velmi podobá.
Označení virus zavedl do počítačové terminologie poprvé ve své odborné přednášce výzkumný pracovník
Fred Cohen v roce 1983. Cohenova definice počítačového viru zní: „Počítačový virus je počítačový program, který může infikovat jiný počítačový program takovým způsobem, že do něj zkopíruje své tělo, čímž
se infikovaný program stává prostředkem pro další aktivaci viru. První počítačový virus, který se dostal do
oběhu, byl virus Brain (mozek) v roce 1987, který napadal boot sektory počítačových disket (tehdy 5¼“
360KB) a způsoboval to, že počítač nebyl schopen diskety rozpoznat. V tom samém roce se objevil také virus Stoned, u nás také nazývaný Kameňák, který modifikuje zápis v Master Boot Record (MBR) a znemožňuje natahování systému z pevného disku.
Počítačové viry jsou většinou vytvářeny na té nejnižší programátorské úrovni, tedy přímo ve strojovém
kódu, nicméně je lze vytvářet i ve vyšších programátorských jazycích. Bývá to samostatně se reprodukující
instrukční kód (respektive program), který se obvykle skládá ze tří částí: spouštěcí, vlastní funkční
a reprodukční. Funkční část může mít za účel různé druhy činností, od naprosto neškodných až po ničivé.
Mezi neškodné mohou patřit různé žertovné nápisy, propagandistické nápisy, otravné viry vyžadující různé
činnosti, apod. Mezi nebezpečné viry pak patří ty, které způsobují zahlcení prostoru na disku, zahlcení průchodnosti internetových serverů a nejbezpečnější jsou viry způsobující ztrátu dat mazáním, přepisem
a likvidací magnetických záznamů na disketách a pevných discích. Podle druhu se viry reprodukují pro-
4
Co jsou viry
střednictvím běhu schopných programů, systémovými částmi paměťových médií, ve zdrojových textech
programů, makrech textových souborů, v souborech tabulkových procesorů, e-mailech atd. V poslední době
je zaznamenán zvláště rozvoj virů rozesílaných elektronickou poštou.
Viry počítačové, podobně jako viry přírodní, jsou velmi malé. Čím menší virus je, tím více je nenápadný
a o to právě tvůrcům virů jde. Běžná velikost virů se pohybuje v rozmezí desítek bajtů až po desítky kilobajtů. Viry s obranými a stealth technikami mají velikost kolem 4 kilobajtů.
Viry a antiviry
Ochrana před viry se děje očkováním, neboli vakcinací. Vaccine, neboli vakcína, je i v počítačové terminologii program, který slouží k detekci virů, omezení jejich činnosti a případně také k jejich odstranění.
V roce 1988 se objevuje první antivirový software, který vytvořil indonéský programátor, a umí najít virus Brain, odstranit ho a zajistit imunitu počítače proti dalšímu napadení stejným virem. Byla to předzvěst
dalších specializovaných systémů na ochranu počítačů před napadením viry a vzniku firem, které se zabývají tímto specifickým odvětvím počítačových programů. Dodnes ostatně podezírám tyto firmy, že v případě
opadávajícího zájmu o jejich výrobky prostě nějaký ten vir pustí do světa, aby pak mohly se zpožděním několika hodin oznámit, že mají patřičný antivir a následně ho zařadit do antivirové databáze jejich oblíbeného
produktu. Pravda je, že v roce 1989 se objevil nebezpečný virus Dark Avenger, který rychle napadá programy, ale následné páchání škod se děje poměrně pomalu, takže na počítačích bez antivirových ochran zůstává
dlouhou dobu neodhalen. I proto v té době přichází IBM s prvním komerčním antivirovým programem a je
zahájen intenzivní antivirový výzkum. Jak se hned v roce 1990 ukazuje, má to svoje opodstatnění, protože
na svět přicházejí nové rafinované formy virů, které nazýváme polymorfními (dovedou se při šíření modifikovat) a viry mnohostranné, které infikují různé oblasti v počítači. Pokud se v této chvíli podíváte znovu na
výše napsaný text, najdete v něm názvy pouze tří virů. Pokud si snad představujete, že žádné jiné viry v tuto
chvíli neexistovaly, děláte si marné iluze. Bylo jich samozřejmě daleko více a také já jsem měl možnost se
v roce 1989 seznámit s prvním virem takříkajíc na vlastní kůži. Byl jím vir, který se omezoval na působení
v počítačových systémech, které měly instalován grafický adaptér Hercules s jemu odpovídajícím typem
monitoru. Projevem působení tohoto viru bylo padání písmenek z řádků zobrazených na monitoru. To jste
na chvíli odešli od počítače, vrátili jste se, a z textu psaného třeba v oblíbeném a hojně kradeném dosovém
textovém editoru T602 jste měli na obrazovce jen několik kupek písmenek. Nebyl to sice vir nějak zvlášť
nebezpečný, ale značně protivný. Jinak je z uvedeného zřejmé, že spolu se zaostáváním ve vybavení počítačovou technikou za ostatním světem, zaostávali jsme i v množství a rozmanitosti virů, které mohly působit
na nečetné množství PC techniky, do té doby dovezené převážně velmi agilním JZD Slušovice a rakouskou
společností Wittrans (prodávající PC pod značkou LogoStar), ve spolupráci s tehdejší svazáckou organizací
ZenitCentrum. K nepříliš velkému rozšíření virů také přispívala skutečnost, že většina PC byla autonomních
a sítě se teprve začínaly zavádět. Šíření virů tedy bylo omezeno pouze na tzv. „kabelové přenosy“, tedy na
přenosy na disketách, které se nosily v kabelách.
Rok 1991 byl pro vznik nových virů obzvláště důležitý, neboť na Virus-exchange boards se začaly objevovat konstrukční soupravy, se kterými bylo umožněno vytvořit si vlastní vir komukoliv, kdo některou
soupravu vyzkoušel. Zatímco na začátku roku mělo zkušenosti s virovou nákazou asi 9 % společností, na
konci stejného roku to už bylo 63 %. O rok později se začal lavinovitě šířit virus Michelangelo, který se aktivoval ve výroční den narozenin tohoto renesančního umělce, tedy 6. března, a přepsal části napadených
pevných disků. V důsledku toho byla zaregistrována vzrůstající poptávka po antivirových programech
a společnostem, které se zabývaly antiviry, začaly žně. Tvorba a rozšiřování počítačových virů byla samo-
5
Viry a počítače
zřejmě od samého počátku považována za kriminální přečin, ale prvního autora viru vsadil za mříže až starý
dobrý Scotland Yard v roce 1994. Autor viru Pathogen byl odsouzen na odnětí svobody v délce 18 měsíců.
V roce 1995 se na virové scéně objevuje první makrovirus, napsaný v jazyce Word Basic. Šíří se bez
ohledu na používaný operační systém, stačí používat Microsoft Word. Jmenuje se Concept. Byl prvním
v lavinovité tvorbě dalších makrovirů, které bylo možné snadno vytvořit i rozšiřovat. Stačí se podívat do
první přílohy této publikace, kolik makrovirů pro Word je v současné době nejfrekventovanějších.
S vynecháním zhruba 4 let, kdy se ovšem viry nadále rozšiřovaly, se dostáváme do roku 1999. Je zajímavé, jak mají autoři virů v oblibě význačné osobnosti – zřejmě by se věhlasem jim chtěli rovnat – a také
smutná výročí. V dubnu totiž, ve výročí havárie černobylské atomové elektrárny, zaútočil virus nazvaný
Chernobyl, znemožnil přístup k datům na discích, a způsobil škody, které hlavně na Dálném východě byly
vyčíslovány ve stovkách miliónů dolarů. Ve stejném roce také zaútočil virus Melissa, který při využití
Microsoft Outlooku se sám rozesílá na dalších 50 adres z uživatelova adresáře. Stal se tak prvním virem,
který se samostatně rozšiřuje z počítače na počítač.
Zatím asi největší škody, vyčíslené na částku blížící se devíti miliardám dolarů, způsobil Milostný dopis
– Love Letter v roce 2000, který v předmětu zprávy nesl nápis „I love you“. Ke svému šíření opět použil
Microsoft Outlook a uživatelské adresáře mailových kontaktů. Napadaným uživatelům zlikvidoval obrázky
jpg a gif a udělal změny v registru Windows. Uživatelé, kteří v té době používali Outlook Express, mohli
hovořit o štěstí alespoň v tom smyslu, že nešířili nákazu dál. Útoky letošních virů (I-Worm.Magistr.b,
I-Worm.Sircam, ani mediálně nejznámějšího Code Red) takové škody zdaleka nenatropily.
Dle počítačových odborníků jsme však ještě ani zdaleka nepoznali to, co počítačové viry dokážou. Půjde o takový virus, který bude schopen zapisovat do programů. Ke své činnosti nebudou ani potřebovat otevření e-mailu nebo jeho přílohy. Konečně mě už teď přivádějí do nepříčetnosti maily, které už jenom proto,
že zůstanou při stahování do mnou používaného Outlook Expressu na aktivní pozici, které přísluší náhledové okno, spouští otevření připojené internetové stránky v Internet Exploreru. A to nejde o žádný virus!
Tak takto nějak vypadala obrazovka při aktivním viru, který způsoboval padání písmen
6
Rozdělení a vlastnosti virů
Rozdělení a vlastnosti virů
Základní definici a historii už máme za sebou, tak se pojďme zanořit trochu do hloubky. Počítačové viry
a podobné infiltrace představují problém, který je často zveličovaný (z komerčních důvodů) nebo naopak
zlehčovaný. V každém případě nemůžeme říci, že se nás viry netýkají a zavřít před nimi oči. Nejvíce virů
najdeme na nejrozšířenějších systémech, tedy na DOSu, Windows řady 3.1X a Windows 95/98. Méně virů
je na systémech Windows NT/2000 a uvidíme, jak se bude virům dařit na systémech Windows Me/XP, které
jsou už přece jenom jinak stavěny než Windows 95/98. Samostatnou kapitolku budou tvořit viry na jiných
systémech než DOS/Windows. Existují viry, které jsou nezávislé na operačním systému, ale pro jejich působení musí být přítomny zase například Office produkty Microsoftu nebo produkty využívající platformově
nezávislý programovací jazyk Java.
Základní typy počítačových infiltrací
Počítačový vir – Program (sekvence kódu), který se bez vědomí uživatele počítače připojuje, přepisuje
nebo jinak modifikuje ostatní programy, dokumenty nebo systémové oblasti pevného disku a disket s cílem
vlastní reprodukce. Kromě samotné reprodukce může přitom kód viru vykonávat různé grafické, zvukové
a textové efekty, ale i destrukční činnost, jako například mazání, kódování a jiné modifikace souborů respektive sektorů pevného disku. S výjimkou možnosti vymazání Flash BIOS paměti však v současnosti nejsou známé viry poškozující hardware počítače. Některé viry, podobně jako dále vzpomínané trójské koně
narušují bezpečnost počítače, respektive údajů na jeho pevném disku zasíláním tajných PGP klíčů, odchycených hesel a e-mailových adres a podobně různými komunikačními kanály mimo napadený počítač (např.
autorovi viru). Také na pohled neškodné viry však mohou způsobit svojí přítomností problémy v souvislosti
se spotřebou části operační paměti, výpočetní kapacity procesoru, ale hlavně vznikem různých typů interferencí s jinými aplikacemi, respektive i se samotným operačním systémem.
Červ (worm) – program, který parazituje v jednom exempláři (v jednej kompletní sadě souborů) na
hostitelském počítači, přičemž využívá jeho komunikační propojení s dalšími počítači (např. e-mail, IRC
kanál) na svoje další šíření. Klasický červ se tedy na rozdíl od viru nepřipojuje k žádnému hostitelskému
programu ani se na lokálním disku dále nešíří. Typickým příkladem červa je známý Happy99. Některé infiltrace klasifikované jako červi se však kromě šíření přes výše uvedené komunikační kanály šíří i po lokálních a síťových discích (LoveLetter), čímž se svými vlastnostmi přibližují k definici viru využívajícího na
svoje šíření kromě klasické technologie šíření (přepisování jiných souborů nebo šíření jako satelitní soubor)
i komunikační kanály. Obdobná kombinace různých algoritmů šíření se dá pozorovat i u některých novějších makrovirů (Melissa). Někteří červi zase obsahují některé znaky trójských koňů (Pretty Park), takže
v tomto smyslu se může konstatovat, že absolutně přesná klasifikace jednotlivých druhů infiltrací není možná. Možná se ptáte, proč vlastně uživatel PC takový soubor v e-mailu spustí. Ale to je jasné! Koho by nelákal soubor s názvem Anna Kurnikovová či Pamela Anderson, který je navíc v těle zprávy podpořen textem
„Koukni se do přílohy na nahatou Pamelu Anderson, nebudeš litovat !“. Běžný uživatel by se těšil na obrázek, ale ejhle, ve skutečnosti jde o červa, který jen čeká na to, až ho uživatel spustí.
Trójský kůň – program, který navenek navozuje dojem užitečnosti. V dokumentaci programu slibovanou činnost však buď vůbec nevykonává, nebo ji vykonává, ale v pozadí realizuje nepozorovaně nějaký
druh destrukce (maže soubory, formátuje pevný disk, skrytou komunikací přes internet narušuje soukromí
uživatele a podobně). Trójský kůň je buď naprogramovaný jako původní aplikace, nebo je vytvořený z už
existujícího programu jeho spojením s destrukčním kódem (který se vykonává před samotným programem),
přičemž takový program se potom od původního kromě délky navenek ničím neodlišuje (vzhled prostředí
7
Viry a počítače
i vykonávaná akce je shodná, dokumentace programu je původní, atd.), což v současné době rychlého střídání verzí programů není příliš nápadné. V poslední době jsou častými i trójské koně, které jsou vlastně instalačním souborem samotného programu, který se po své instalaci spouští při restartu operačního systému
Windows a skrytě vykonává nějaký typ destrukční akce. Mezi nejčastěji se vyskytující trojany patří v současnosti tzv. "zadní vrátka" - backdoor. Někteří autoři však backdoory řadí do zcela samostatné skupiny. Jde
o komunikačního klienta instalovaného bez vědomí uživatele počítače, který komunikuje se serverem obsluhovaným autorem programu nebo člověkem, který instalaci trójského koně provedl Takový klient umožňuje zasílání přístupových hesel, záznamů o aktivitách počítače nebo zvolených souborech mimo počítač,
respektive umožňuje jeho úplné dálkové ovládnutí (spouštění aplikací, manipulace se soubory apod.). Některé charakteristiky trójských koní v tomto smyslu splňují i někteří reklamní klienti (tzv. spyware) aplikovaní za účelem stahování reklam nebo zasílání různých formulářů charakterizujících uživatele, které jsou
dnes běžně přidávané ke zkušebním verzím některých programů - pokud si je uživatel zaregistruje, reklamní
klient se deaktivuje. Od počítačového viru nebo červa se přitom trójský kůň liší tím, že kód programu se dále nereplikuje. Pokud je příslušná destrukční akce vázaná na nějaký datum nebo jinou podmínku, mluvíme
také o tzv. logické bombě. Historicky prvním PC trójským koněm byl AIDS šířený v roce 1989. Jiným příkladem zcela typického trojského koně je falešná verze antiviru McAfee VirusScan. I když byl trojský kůň
vzhledově podobný (stejný výstup na monitor) jmenovanému antiviru, ve skutečnosti pouze mazal bezbranné soubory na disku. Speciální podskupinu trójských koňů tvoří nosiče vírů, tzv. droppery - programy jejichž destrukční akce spočívá ve vypouštění klasických počítačových virů, přičemž samotný dropper není
možné identifikovat vzorkem vypouštěného viru (i když samotný vypouštěný vir je známý).
Žertovný program (joke) – neškodný program, který simuluje chybové stavy operačního systému, nebo také nějaký druh destrukční činnosti (vymazávání souborů nebo formátování disku) a jsou určeny k pobavení ve formě kanadského žertíku. Kromě vystrašení uživatele tedy nezpůsobuje žádné škody, pokud však
uživateli neprasknou nervy a preventivně nezformátuje celý pevný disk.
HOAX - E-mailová zpráva obsahující falešné upozornění na nebezpečí nakažení se nějakým novým virem případně jinou na pohled důležitou (zajímavou, užitečnou) informaci, kterou uživatelé vlastnoručně
rozšiřují dále mezi svými spolupracovníky a přáteli, čímž způsobují lavinovité šíření zprávy po síti. Následkem je zbytečné dezinformování masy lidí, nemluvě o zahlcovaní sítě a dalších důsledcích. Příkladem mohou být e-mailové zprávy Good Times, Join the Crew, AOL4FREE a další. Seznam nejfrekventovanějších
najdete v příloze 2.
Nejběžnější typy počítačových virů
Boot vir
Historicky první typ PC viru (Brain, 1986), který byl už v roce 1987 následovaný velmi rozšířeným virem Stoned. Některé viry tohoto typu zaznamenaly vlivem zabudované destrukční akce poměrně velkou
"popularitu" - vzpomeňme např. virus Michaelangelo nebo J&M. Na svůj přenos využívá boot sektor (případně i několik dalších sektorů) diskety zasunuté v mechanice A:, kde nahrazuje původní boot sektor (bez
ohledu na to, zda šlo o bootovatelnou disketu nebo ne). Kód viru po svojí aktivaci (nabootování ze zavirované diskety ponechané úmyslně nebo ze zapomnětlivosti v mechanice) obvykle přenese svoje tělo do Boot
sektoru logického disku C: nebo častěji Master Boot sektoru pevného disku (případně i několik dalších sektorů). Při nejbližším bootu z pevného disku se tedy virus spouští po BIOSu jako první (ještě před samotným
operačním systémem) a záleží jen na typu viru, jak této skutečnosti využije. Obvykle se stává vir paměťově
rezidentním a od tohoto momentu infikuje všechny proti zápisu nechráněné diskety zasunuté do počítače.
8
Rozdělení a vlastnosti virů
Připomeňme si ještě, že samotným zasunutím zavirované diskety do mechaniky A: nedochází k zavirování
počítače, musí se z ní nabootovat. Dnes je tento druh virů vzhledem na snižující se význam disket jako média na přenos dat mezi výrobci software a uživateli, nebo mezi uživateli navzájem, na ústupu.
Souborový vir
Do příchodu makrovirů to byl nejběžnější typ virů, který na svoji replikaci využívá tělo jiného programu. Prvním experimentálním PC virem tohoto typu byl Burger pocházející z roku 1986, prvním virem tohoto typu v terénu byl virus Lehigh (1987) následovaný viry Jerusalem, Vienna, Cascade a dalšími. Vir se
nejčastěji připojuje na konec těla hostitelského programu, čímž způsobuje jeho prodloužení. Existují ale viry, které neprodlužují hostitelský soubor, což dělají tak, že začátek nakaženého programu jednoduše přepíší
(čímž ho zničí) nebo využívají "díry" v kódu programu, které zaplní svým kódem (tak funguje např. vir CIH
napadající 32bitové Windows EXE soubory). Po spuštění nakaženého souboru se vykoná nejdříve kód viru,
který buď uskuteční přímou akci (infikování dalších souborů podle vhodné strategie), ale častěji se virus
stane paměťově rezidentním a následně infikuje další spustitelné soubory (nejčastěji při jejich spouštění, ale
i při kopírování, prohlížení, komprimaci a jiné manipulaci s nimi). V závislosti na splnění určité podmínky
(čas, datum, počet spuštění) přitom může vir strategii svého šíření obměňovat, případně vykonávat i jinou
(nesouvisející se samotnou replikací), např. destrukční akci. Po vykonaní celého kódu viru se zabezpečí
(u nepřepisujících virů) aktivace samotného hostitelského programu. Doplňme ještě, že samotným kopírováním, prohlížením nebo jinou manipulací s nakaženým souborem nedochází k zavirování počítače - na to
je potřeba zavirovaný program spustit.
Makrovir
Dnes jednoznačně nejrozšířenější typ viru. První experimentální vir tohoto typu vznikl v roce 1994
(makrovir DMV) a v terénu se makrovir poprvé objevil v roce 1995 (Concept). Jde o viry, jejichž činnost je
řízená makrojazykem příslušné aplikace, přičemž jsou v tomto smyslu vázané na konkrétní formát dokumentu - makrojazyk Word Basic a dřívější verze MS Word, respektive dnes nejčastěji Visual Basic for Applications ve spojení s novějšími verzemi MS Word, MS Excel, MS Access, MS Power Point, MS Project
ale už i CorelDraw a dalšími aplikacemi. V tomto smyslu jsou nezávislé na samotném operačním systému
počítače (Win9x, WinNT/2000 i MacOS) nebo na jeho hardwarové platformě (Intel, Alpha a MAC). Vzhledem na jednotný typ makrojazyka existují i viry, které napadají dokumenty dvou i tří různých aplikací ze
stejného kancelářského balíku (např. MS Word, MS Excel a MS Power Point z balíku Office 97).
Standardní způsob šíření makroviru spočívá v následujícím postupu - po načtení zavirovaného dokumentu
příslušná aplikace interpretuje makra viru, která při různých doprovodných akcích zabezpečí napadnutí globální šablony. Zavirovaná makra šablony se potom vkládají do dalších otevíraných dokumentů a tím je infikují. Zdůrazněme ještě jednou, že makrovir se aktivuje už samotným prohlédnutím dokumentu v příslušném
typu editoru (který má používání maker povolené), což je zřejmý rozdíl proti souborovým virům. K aktivaci
makrovirů však nedochází při kopírovaní nebo jiné manipulaci se zavirovanými dokumenty.
Z výše jmenovaných tří nejběžněji se vyskytujících druhů virů se makroviry nejjednodušeji programují
(rozdíl v náročnosti zvládnutí programovacího jazyka Word Basic nebo Visual Basic a assembleru je značný) a navíc se také nejsnadněji šíří vzhledem na to, že výměna dokumentů mezi uživateli je mnohem častější jak výměna spustitelných souborů. Když k tomu přidáme nové možnosti šíření kanálem elektronické
pošty (e-mailem) využitím některých vlastností standardních e-mail klientů firmy Microsoft (Melissa), nedá
se v budoucnosti v tomto směru očekávat nic pozitivního.
9
Viry a počítače
Další typy a vlastnosti počítačových virů
Adresářový (linkovací) vir
Vir, který je na disku přítomný v jediném exempláři a který napadá jiné spustitelné soubory tak, že přepisuje v adresáři směrník na jejich začátek tak, aby ukazoval na začátek viru. Původní hodnotu směrníku si
ale ukládá, takže pokud je vir paměťově rezidentní, je schopný zabezpečit po provedení vlastního kódu
i spuštění původních souborů. Příkladem takovýchto virů mohou být např. DIR II nebo BYWay.
Kódované viry
Prvotním účelem kódování bylo znepřehlednit vlastní kód viru a ztížit tak jeho analýzu (která je nutná
k vytvoření antivirového programu). Navíc je tímto postupem zkomplikováno uzdravení napadeného programu, protože obsah začátku programu je také zakódován. Takové kódování bývá často realizováno tak, že
vlastní kód viru je v programu uložen - zakódován nějakým jednoduchým algoritmem (oblíbené je provedení operace XOR s každým bajtem kódu viru) a před vlastním virem se nachází krátká dekódovací smyčka,
která zajistí jeho transformaci do původní podoby.
Takto zakódovaný vir má téměř konstantní podobu (Téměř proto, že stejně jako běžné viry si potřebuje
do svého těla zapsat několik proměnných hodnot, které mohou být v každé generaci jiné; převážná část viru
však zůstává neměnná.)
Novější viry začaly využívat kódování s proměnnou hodnotou k dosažení toto, aby každý exemplář viru
byl z velké části odlišný; shodná zůstává pouze dekódovací smyčka na začátku programu. To sice značně
zkomplikovalo vyhledávání některým antivirovým programům používajícím charakteristické sekvence, ale
neustále je relativně snadné určit kódovací hodnoty a program dekódovat. Navíc lze stále použít vždy stejně
vypadající dekódovací smyčku k identifikaci viru.
Nástupce této technologie představují polymorfní viry (viz. dále), které používají poměrně komplikovaných metod k tomu, aby i dekódovací smyčka mohla mít proměnlivou podobu.
Metamorfní viry
Skupina je zajímavá tím, že v napadeném souboru se nenachází virus v klasickém smyslu. Napadený
soubor totiž obsahuje jen kompilátor, společně se zdrojovým pseudokódem viru. Při spuštění infikovaného
souboru vytvoří kompilátor v paměti novou, pokaždé odlišnou kopii viru. Kompilátor neobsahuje žádné podezřelé instrukce a virus je proto nedetekovatelný heuristickou analýzou. Statický zdrojový pseudokód viru
je v infikovaném souboru zakódován a odkódovává se průběžně během kompilace. Po kompilaci se opět
zakóduje, ale s jiným klíčem. Tato skupina je především zastoupena rodinou slovenských virů TMC.
Multipartitní vir
Vir kombinující víc výše uvedených mechanismů šíření. Typickou je např. kombinace souborového
a boot viru, kdy se při aktivaci zavirovaného EXE souboru na čistém počítači kód viru přenese do Master
Boot sektoru pevného disku. Po prvním nabootovaní z pevného disku si potom virus zajistí paměťovou rezidentnost a dále se chová jako vir souborový – napadá EXE soubory. Protože daný počítač už má vir pod
kontrolou, nemusí se už dále šířit na pevném disku, stačí když bude infikovat soubory směrem k síťovým
diskům nebo výměnným médiím (vir OneHalf). Jiným příkladem může být kombinace souborového viru
a makroviru (vir Anarchy), makroviru a skriptového viru (ColdApe) apod.
10
Rozdělení a vlastnosti virů
Polymorfní vir
Vir, jehož jednotlivé exempláře mají rozdílný kód. Typickou činností je vkládání prázdných instrukcí,
přehazování pořadí výkonu částí kódu nebo záměna sekvencí kódu jinými sekvencemi s ekvivalentní funkcí. V rámci úvodní části kódu viru spolu s technologií šifrování znemožňují zbývající části viru identifikaci
viru jednoduchým hledáním pevné sekvence kódu. Vir nelze hledat ani výpočtem CRC součtu pevně zvolené oblasti kódu. Viry je možné identifikovat jen specializovanými algoritmy, případně výkonnými heuristickými metodami. Mezi legendy v tomto směru patřil mutační algoritmus s názvem MTE, který byl vyvinutý
pro souborové viry pod platformou MS-DOS. Dnes existují polymorfní souborové viry i pod 32bitovými
Windows, respektive existují i polymorfní boot viry a makroviry (i když v posledně jmenovaném případě se
obvykle jedná o poměrně rozsáhlé a pomalé viry, které jsou svojí přítomností dost nápadné).
Předchůdcem těchto virů byly tzv. sebezakódovávací virové programy. Existují i starší a omezené "sebezakódovávací" virové programy, které jsou řazeny do skupiny virů polymorfních. Tyto sebezakódovávací
viry měly omezený počet "variant". Ovšem je pravda, že například nejlepší virus z této skupiny, Whale, dosáhl až čtyřiceti různých forem. Technikou využívanou těmito viry byla volba mezi různými zakódovávacími schématy, které vyžadují různé dekódovací programy. Pouze jeden z těchto programů mohl být jasně
viditelný v dané replikace viru. Virový skener by tedy pro detekci takového viru potřeboval mnoho charakteristických řetězců (jeden pro každou možnou metodu dekódování).
Retro vir
Jinak také odvetný vir. Hlavním heslem těchto virů je, že nejlepší obrana je útok. A to taky dodržují.
Snaží se obejít a ještě lépe znemožnit práci antivirovým programům. Proto je mažou, vypínají rezidentní
ochrany apod. Pozornost si zaslouží virus Tequila, který odstraňuje kontrolní součty přidané pomocí ViruScanu přímo ze souborů.
Satelitní vir
Vir šířící se na základě vlastnosti operačního systému DOS, respektive Windows, kdy v případě, že
v daném adresáři se nachází více souborů stejného jména, se postoupnost jejich spouštění řídí podle přípony
v pořadí BAT - COM - EXE. K souborům s příponou EXE je potom možné zkopírovat soubor obsahující
kód viru, který bude mít stejné jméno, ale příponu COM (nebo BAT), takže se bude aktivovat před samotným programem. Po provedení kódu viru, který zabezpečí svoji replikaci resp. i další doprovodnou akci se
aktivuje samotný volaný EXE program.
Skriptový vir
Vir napsaný v příslušném typu skriptového jazyka (jazyk BAT a INF souborů, Java Script a Visual Basic
Script), který se šíří buď jako samostatný soubor nebo jako součást jiných typů souborů (JS a VBS viry
v rámci HTML a CHM souborů). Na bázi VBScript jazyka jsou konstruované i různé typy červů šířících se
prostřednictvím programů MS Outlook, Outlook Express, mIRC, pIRCH a dalších.
Stealth vir
Vir, který využívá příslušné služby operačního systému na zamaskování svojí aktivity. Jako příklad můžeme uvést boot viry. Ty při čtení Master Boot sektoru vracejí prohlížeči původní (nezavirovaný) obsah tohoto sektoru. Jiným příkladem jsou souborové viry, které maskují změnu délky zavirovaného souboru nebo
se při otevření souboru za účelem hledání viru z hostitelského souboru vyčistí a po ukončení prohlížení souboru ho opětovně zavirují. U makrovirů se stealth charakteristikou se dá pozorovat například podsouvání
11
Viry a počítače
prázdného seznamu maker (navzdory přítomnosti virových maker v dokumentu), deaktivování funkce novějších aplikací MS Office upozorňujících na přítomnost maker v načítaném dokumentu a podobně.
Název těchto virů je odvozen od anglického slova stealth, což znamená lstivou činnost, vykonávanou
potajmu, kradmo apod. Už z názvu lze tedy leccos soudit o povaze těchto virů. Tímto slovem lze totiž označit ony speciální techniky, které takovým virům zaručují velmi obtížnou detekci jak uživatelem, tak
i antivirovými programy. Většina výzkumníků na poli boje proti virům souhlasí s tím, že viry typu stealth
mají následující charakteristiky:
• Virus skrývá jakoukoliv změnu proveditelných komponent v systému, jako je např. změna délky souboru, nebo změna boot sektoru, nebo tabulky rozdělení disku, jedná-li se o virus rezidentní v paměti nebo
o změnu velikosti paměti.
• Virus je schopen dezinfikovat programy "za letu". Když je například nakažený program načítán do paměti, je tento program dezinfikován. Tato technika umožňuje, že i po použití antivirového software není
známo nic o přítomnosti viru.
• Viry typu stealth ve většině případů (ale není to pravidlem) infikují programy v okamžiku, kdy jsou otevírány, kromě klasické možnosti infekce v okamžiku, kdy jsou spuštěny. Výsledkem toho, že proveditelné programy jsou rovněž infikovány při otevření, je velmi rychlé rozšíření viru po celém systému.
První charakteristika, že virus skrývá jakoukoliv změnu proveditelných systémových komponent, jej činí velmi těžko detekovatelným pro uživatele počítače. Jestliže máte důvod domnívat se, že se ve vašem počítači vyskytuje virus typu stealth nebo sub-stealth, vypněte celý systém a nově jej zaveďte z nenakažené,
proti zápisu chráněné, systémové diskety. Potom se pokuste spustit čistou kopii vašeho antivirového software z diskety, chráněné proti zápisu. Protože virus už není v paměti, není už zde žádné nebezpečí rozšíření
nákazy. Navíc je nyní možné rozeznat na systémovém pevném disku jakoukoliv změnu v délce souboru či
jinou změnu proveditelných systémových komponent, signalizující infekci virem.
Viry typu sub-stealth pak nazýváme ty viry, které vykazují třeba jen jednu z výše uvedených vlastností.
Přesto je třeba z hlediska úplnosti nutno řadit uvedené viry do této skupiny, neboť stejně jako typické viry
typu stealth představují pro antivirové programy vždy určitý problém.
Tunelující viry
Jak vidět, pojem tunel znaly viry dříve, než naši specialisti na banky. Nejznámější technika, kterou se virus brání, je známá pod pojmem tunelování. Ta spočívá ve schopnosti vyhledávat původní adresy systémových, nejčastěji diskových služeb, a ty pak používat při práci s disky ve snaze obejít případný antivirový
software. Ten totiž může, obdobně jako viry, obsahovat rezidentní část, která je nainstalována v paměti, má
převzaty adresy systémových služeb a monitoruje dění v systému a snaží se zabránit neoprávněným nebo
podezřelým akcím.
Jiný způsob aktivního boje proti antivirovým programům spočívá přímo v manipulaci s jeho rezidentní
částí. Některé antiviry totiž komunikují se svými rezidentními hlídači pomocí několika snadno přístupných
služeb (které jsou ke všemu v mnoha pramenech bohatě dokumentovány) a obsahují i funkci "dočasné deaktivace" hlídače. Pro vir tedy není nic snazšího, než se dotázat (jak jinak, než pomocí zmíněných služeb) na
přítomnost takovýchto rezidentních hlídačů v paměti, a pokud dostanou pokornou odpověď „ano, jsem tady“, pomocí známé služby je deaktivovat.
Vir může také obsahovat část kódu, která manipuluje s datovými soubory antivirů (to však jsou spíše retroviry), nejčastěji s databází sekvencí virů nebo kontrolních součtů. Jejich změnou nebo smazáním může
vir dosáhnout toho, že zůstane při antivirové kontrole neodhalen.
12
Rozdělení a vlastnosti virů
Systematické třídění virů vyžaduje zavedení ještě dalšího dělení. Jedním z hledisek může být umístění
v paměti. Pak rozeznáváme viry paměťově rezidentní, rezidentní TSR viry (týká se dosových virů) a viry
nerezidentní.
Paměťově rezidentní
Vir, který setrvává ilegálně v paměti. Takový vir se většinou při prvním spuštění infikovaného souboru
(pokud se jedná o souborový vir) nebo při prvním zavedení systému z infikovaného boot sektoru (pokud se
jedná o boot vir) stane rezidentním v paměti, a odtud potom provádí svoji škodlivou činnost. Vir zůstává
v paměti dokud není systém vypnut. Naprostá většina virů pro operační systém MS-DOS se umisťuje až na
vrchol systémové paměti, ale pod hranici 640 KB. Existují však i viry, které využívají nízkou systémovou
paměť, paměť videokarty atd. pro ukrytí kusu svého kódu. Oproti následující skupině, virů rezidentních –
TSR, jsou při své instalaci do paměti velmi těžko detekovatelné. Se zapnutím systému jsou okamžitě schopny infikovat soubory, boot sektor nebo tabulku rozdělení. A jen tak na okraj: boot viry jsou vždy paměťově
rezidentní. V dnešní době se však uživatel setkává především s viry a další infiltrací pro operační systém
Windows 9x/NT/2000. Jen minimálně uživatelů dnes pracuje ještě pouze pod systémem DOS, případně pod
DOSem a Windows 3.1X. U vyšších systémů Windows je situace okolo paměťově rezidentních virů daleko
složitější.
V systému DOS se vir umisťuje rezidentně do paměti ve dvou krocích. Prvním je vyhledání nebo vytvoření vhodného místa, kam by se vir umístil. Takové místo musí být dostatečně velké a současně dostatečně
bezpečné. U boot viru není výběr možností příliš velký. Vir se totiž instaluje do paměti v okamžiku, kdy ještě není zaveden operační systém a proto nemá k dispozici funkce pro manipulaci s pamětí, které DOS nabízí. Nejčastějším způsobem, kterým se boot viry s tímto problémem vypořádávají, je umělé snížení velikosti
základní paměti a využití uvolněného místa, které takto vznikne. Datová oblast BIOSu obsahuje proměnnou, která říká, kolik základní paměti je k dispozici. Ve většině případů obsahuje tato proměnná hodnotu
640 KB. Pokud vir tuto hodnotu sníží, operační systém se domnívá, že má k dispozici paměti méně,
a zbylou část se využívat nepokouší, protože podle něj neexistuje. Do zbylé části paměti se tedy bez problémů může přesunout vir. Z hlediska tvůrců virů je nevýhodou této metody poměrně snadná možnost zjistit
netypickou velikost základní paměti.
Jinou metodou, kterou používají zejména menší viry, je využití malých volných oblastí v datových oblastech v dobré víře, že do nich nebude nikdo jiný zapisovat. S využitím této techniky se lze občas setkat
i v těle některých souborových virů.
Důmyslnější boot viry využívají techniku jakéhosi "meziskladu", kterým řeší dočasnou nedostupnost
služeb pro manipulaci s pamětí. Její princip spočívá v tom, že se vir umístí do oblasti paměti, o které předpokládá, že nebude po určitou, poměrně krátkou, dobu změněna (typicky se k těmto účelům využívá horní
část videoRAM, která není v běžném textovém režimu využívána). Poté nechá zavést operační systém
a teprve pak se překopíruje na definitivní pozici s využitím všech možností, které mají souborové viry.
Souborové viry mohou využívat buď standardní kolekci tří služeb pro práci s pamětí (alokuj blok, uvolni blok, změň velikost bloku), nebo mohou použít několik různých, většinou nedokumentovaných zásahů do
řídících struktur DOSu. To má pro ně oproti využití systémových služeb tu výhodu, že takto zrezidentnělý
vir nebude figurovat na případném seznamu rezidentních programů.
Modernější viry se také naučily manipulovat nejen se základní pamětí, ale dokáží se usadit i v paměti
nad hranicí 640 KB, pokud je dostupná. Typickým příkladem může být virus Tremor. Některé
z pokročilejších virů mohou dokonce sledovat hospodaření jiných programů s pamětí a v případě, když
usoudí, že se pro ně uvolnilo vhodnější místo, mohou se přesunout ze svého současného působiště do nového. Aby mělo usídlení kopie viru v paměti nějaký smysl, musí být vir nějak spojen se systémem. Toto spo-
13
Viry a počítače
jení bývá realizováno přesměrováním vhodných systémových služeb do těla viru. Důsledkem takovéto vazby na systém je, že v průběhu řádné činnosti systému jsou ve vybraných okamžicích aktivovány určité části
viru. Přesměrování služeb se provádí změnou tzv. vektorů přerušení, což jsou adresy, na které se předává řízení v případě generování přerušení (systémové služby jsou realizovány právě voláním přerušení). Tabulka
adres těchto služeb je uložena na konstantním místě v operační paměti (na jejím úplném začátku) a v operačním systému DOS je bohužel nekontrolovatelně přístupná všem programům, které z ní mohou hodnoty
nejen beztrestně číst, ale také do ní zapisovat.
Standardní postup převzetí systémové služby virem spočívá v naplnění vektoru přerušení adresou směřující do těla viru. Při vyvolání přerušení vir provede vlastní činnost a poté, pomocí zapamatované původní
hodnoty vektoru přerušení zavolá původní funkci (možný je i opačný postup, kdy vir nejdříve zavolá původní systémovou službu a poté provede vlastní činnost, případně vir původní službu nevolá vůbec a její
činnost zcela nahradí). Velmi zjednodušeně ukazuje pochody v systému následující tabulka.
Zdravý systém
Zavirovaný systém
Běh uživatelského programu
Běh uživatelského programu
Vyvolání systémové služby
Vyvolání systémové služby
Provedení operace systémem
Prozkoumání požadavku virem, který udělá to, co
považuje za vhodné a možná pustí ke slovu
i systém.
Pokračování běhu uživatelského programu
Pokračování běhu uživatelského programu
Čtení a změnu hodnot vektorů přerušení lze realizovat opět pomocí služeb DOSu. Používání těchto služeb lze ovšem snadno monitorovat, proto se mnoho virů uchyluje ke změně vektorů přerušením přímo do
tabulky vektorů, které se nachází zcela na začátku operační paměti, což je jednak méně nápadné, a pokud je
programátor šikovný, i kratší. Složitější viry občas nevyužívají tuto přímou metodu převzetí vektoru, místo
toho směrují službu do svého těla před jakýsi "můstek" umístěný odděleně od těla viru, jehož kód nedělá nic
jiného, než že bezprostředně zavolá cílovou funkci viru. Toto řešení není samoúčelné, ale má z pohledu virů
jisté výhody. Jedná se o typický produkt souboje virů a antivirů; ty se totiž naučily sledovat, kam ukazují
vektory některých důležitých služeb, a pátrat v jejich okolí po kódu viru. Uvedený postup se jim to pokouší
alespoň zkomplikovat, také ruční analýza takového kódu je obtížnější.
Ve Windows 9x každý spustitelný program používá nejméně dvě základní volání API jádra systému.
Jsou to funkce GetModuleHandleA a GetProcAddress. Odkazy na tyto funkce jsou uloženy v PE-programu,
v tzv. tabulkách importu ve Windows. Analýzou této tabulky může virus zjistit další vstupní body do jádra
Windows a potom je využívat pro svou replikaci (množení). Tento přístup má také další výhody, virus je
např. přenositelný i pod operační systém Windows NT. Zatímco v prostředí MS-DOS použije virus při otevírání souboru vyvolání přerušení INT 21 s příslušnými parametry v registrech procesoru, v prostředí Windows uloží tyto parametry do zásobníku a skočí na příslušnou funkci API. Protože tyto funkce jsou
samozřejmě externí a jsou součástí knihoven DLL operačního systému, je třeba nějak zjistit adresu dané
funkce API.
U normálních aplikací je tento proces úkolem zavaděče, který danou aplikaci spouští. Ten potom zjistí
z informací zapsaných v PE-souboru, které knihovny DLL a které jejich funkce jsou aplikací volány, a korektně upraví na příslušných místech adresové odkazy na tyto funkce. Pokud však virus bude chtít využít
těchto automatických relokací, nezbývá mu, než se pustit do náročnějších modifikací PE-souboru a zejména
jeho relokační sekce. I zde se však nabízí určité zjednodušení. Při startu Windows 9x jsou totiž hlavní moduly API, jako je např. modul KERNEL32.DLL, natahovány do paměti na stále stejné místo. Pokud si tedy,
14
Rozdělení a vlastnosti virů
např. krokováním klasicky přeloženého programu, zjistíme adresy těchto funkcí, můžeme potom zjištěné
vstupní body využít přímo bez využití importovacího mechanismu a složitého zpracování struktur PEsouboru. tento způsob má i svá úskalí. Budete-li takto koncipovaný virus chtít přenést např. z operačního
systému Windows 9x do systému Windows NT, dojde samozřejmě k havárii, protože pod Windows NT se
nebudou příslušné funkce vyskytovat na stejných adresách jako ve Windows 9x. Také nové verze systému
by mohly podobně napsaným virům znepříjemnit život.
Nevýhodou je, že ukončením infikovaného programu ztrácí virus možnost kontroly nad operačním systémem. Nevýhodu lze vyvážit napadením frekventovaně volaných systémových knihoven, zejména
KERNEL32.DLL a USER32.DLL.
Dalším prvkem, na kterém jsou Windows z velké části postaveny, jsou takzvané virtuální ovladače zařízení - VxD. Jejich kódy pracují na nejvyšší úrovni oprávnění procesoru zvaném ring 0 a mohou si s celým
systémem dělat doslova, co chtějí bez jakýchkoliv ochran. Pro viry, které chtějí monitorovat souborový systém Windows 9x, je využití ovladačů VxD velice přínosné. Na této úrovni totiž pracuje ovladač IFS manager (IFS - installable file system), přes který prochází veškeré souborové operace Windows 9x, ať už jsou
volány ze 16bitové či 32bitové aplikace Windows nebo z virtuálního stroje MS-DOSu. Navíc zde existuje
velice podrobně dokumentované rozhraní API, které mohou tvůrci virů využít. Tato možnost je také pro virus velice výhodná, protože na úrovni ovladačů VxD je takový virus schopen úspěšně se ukrývat před antivirovými programy.
Tuto výhodu se samozřejmě moderní 32bitové viry naučily rychle využívat. Po "zavěšení" do rozhraní
IFS manageru je virus schopen lehce monitorovat veškeré souborové operace systému a dále se takto rozšiřovat. Tato metoda funguje pouze ve Windows 9x, nikoliv ve Windows NT, 2000.
Rezidentní - TSR viry
Některé souborové viry se mohou instalovat do paměti pomocí služeb DOSu (tedy relativně legálně) jako rezidentní TSR (podobně jako např. ovladač myši apod.) a pak tajně provozovat svoji škodlivou činnost
a replikovat se. Jedná se o podskupinu předchozích rezidentních virů. Pokud se jedná o rezidentní TSR virus, můžeme ho většinou lehce v paměti nalézt příkazem MEM s parametrem /C (MEM /C).
Nerezidentní viry
Jinak nazývané „viry přímé akce“ nevyužívají paměť pro své šíření. Stačí jim, když jsou aktivovány
společně s hostitelským programem. Pak přebírají řízení jako první, provedou svoji činnost, nejčastěji replikaci a pak předají řízení zpět hostitelskému programu. Replikací zde většinou rozumíme například napadení
všech vhodných souborů (postupně nebo naráz) v aktuálním adresáři, či napadení souborů uvedených
v proměnné PATH (v souboru AUTOEXEC.BAT, platí hlavně pro operační systém MS-DOS).
Červi podrobněji
Červ může být přímo součástí zprávy a není proto potřeba žádného souboru v příloze. Nutnou podmínkou pro úspěšné šíření takových červů je existence poštovních klientů, které dokážou přijímat poštu
v HTML formátu. HTML sice pozvedlo laťku v úpravě e-mailových zpráv směrem nahoru, protože se dají
využívat obrázky na pozadí, barevná písmena, vložené pohyblivé gify atd., ale otevřela se tak cesta červům.
Příkladem může být JS/Kakworm, který vkládá svoje „tělo“ přímo do HTML kódu zprávy ve formě JavaScriptu. Červ se aktivuje pouhým otevřením infikované zprávy, a to i v tzv. náhledu! Stačí tedy mít zavirovanou zprávu v aktivním postavení a mít zapnuté náhledové okno.
15
Viry a počítače
Přílohy e-mailu bývají tvořeny souborem s „dvojitou příponou“, čímž je využívána určitá nedůslednost
v možnostech označování souborů, které přinesly Winows95 a vyšší. Někteří červi se k e-mailu připojí souborem, u kterého je celý název zapsán jako {název}.{1.přípona}.{2.přípona}. Pokud má uživatel nastaveno
v možnostech složky, že se mu mají skrývat přípony známých typů, pak může vidět jen {název}.{1.přípona}. V praxi se tak může soubor PamelaAnderson.jpg.exe jevit jako PamelaAnderson.jpg, uživatel na to naletí a chce se podívat na obrázek JPG. Pokud se nebojíte upravovat registr Windows a tuto
záležitost jednou pro vždy smést z obrazovky (tedy to, aby se vám nezobrazovaly opravdové přípony), stačí
z vhodných klíčů ve větvi HKEY_CLASSES_ROOT odstranit položky s názvem NeverShowExt.
Ještě před nedávnem se aktualizovaly pouze antivirové programy. To už však dnes neplatí, protože tu
máme například červa I-Worm/Hybris, který sám sebe aktualizuje prostřednictvím Internetu ! Během svého
šíření tak může být neustále vylepšován samotným autorem této potvory. Pro jistotu jsou tyto „pluginy“ –
„vsuvky“ pro červa podepsány elektronickým podpisem, díky čemuž Hybris „sežere“ pouze to, co mu udělá
dobře.
Červy můžeme dělit například dle závislosti na poštovním klientu na červy nezávislé na použitém poštovním klientu a červy závislé na použitém poštovním klientu.
Do první skupiny můžeme zařadit například červ I-Worm/Haiku, který kromě skládání veršů hledá
emailové adresy dalších obětí v některých souborech po celém disku. Na získané emailové adresy pak hromadně, za podpory SMTP serveru někde ve světě, odesílá svoje kopie (tj. soubor haiku.exe, který tvoří přílohu emailové zprávy). Červ I-Worm/Happy99 (alias Ska) pro změnu modifikuje soubor WSOCK32.DLL
tak, aby se při volání služeb Connect a Send aktivoval kód červa, který připojí svoje tělo k odesílanému
emailu.Asi tak nějak mezi obě skupiny se řadí Win32/Magistr, který je kombinací červa a viru. E-mailové
adresy získává od některých poštovních klientů, zatímco k odesílání infikovaných zpráv je vůbec nepotřebuje.
Do druhé skupiny pak patří především všechny typy makrovirů, které jsou založeny na principech makroviru W97M/Melissa. Některé antiviry přidávají na konec takových makrovirů označení @mm. Patří sem
i VBS/LoveLetter, VBS/AnnaKurnikova apod. Tyto lidské výplody jsou závislé především na klientu MS
Outlook, který je součástí kancelářského balíku MS Office 97, 2000.
Červi ve Windows
Červi se nacházejí v souboru samostatně a nepotřebují žádného hostitele (až na výjimky). Antivirové
programy tak ve většině případů mažou všechny soubory, které si červ pro svůj chod v systému vytvořil.
Nevracejí však do původního stavu registry Windows, popřípadě soubory, které červ zmodifikoval tak, aby
si zajistil včasnou aktivaci po každém startu operačního systému Windows. Většina červů si zajistí automatické spuštění nejčastěji pomocí modifikace registrů nebo pomocí modifikace souboru WIN.INI, případně
SYSTEM.INI (ve složce s instalací Windows).
Do registru se můžeme podívat například pomocí příkazu regedit. Červi mají v oblibě především klíč:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
V něm vytvářejí nové položky s údaji obsahující cestu k souboru, který se pak při každém startu Windows aktivuje. Mezi další využívané klíče patří:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
V souboru WIN.INI je občas pod útokem červa řádek RUN= v sekci [WINDOWS].
Podobně je na tom může být i sekce [BOOT] s řádkem SHELL= v souboru SYSTEM.INI. Za sekvencí
znaků RUN= se zpravidla nic nenachází. Pokud ano, může to být známka toho, že na počítači je / byl červ.
16
Rozdělení a vlastnosti virů
Nemusí se však vždy jednat o červa, občas tyto možnosti využívají i některé užitečné programy. Za řádkem
SHELL= se pak běžně vyskytuje pouze příkaz EXPLORER.EXE. Nakonec bychom se mohli zmínit i o klíči
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open
Jeho modifikací si někteří červi zajistí to, že se aktivují přesně v okamžiku, kdy uživatel spustí nějaký
ten EXE soubor. Při léčení je nutné nejprve vrátit jmenovaný klíč do původního stavu "%1" %* a až potom
odstranit soubory patřící červu. V opačném případě nebude možné spustit žádný EXE soubor (Windows se
budou odkazovat na neexistující soubor červa). Problém je v tom, že i program na úpravu registrů je s příponou EXE (regedit.exe). Není tedy nic jednoduššího, než jeho příponu změnit na COM a červa tak oklamat. Příkladem z praxe může být červ I-Worm/PrettyPark, který původní hodnotu "%1" %* jmenovaného
klíče upraví na FILES32.VXD "%1" %*
Odstraňování červů
Ještě před tím, než se antivirem odmažou infikované soubory, doporučuji odstranit škody v registrech,
popřípadě ve WIN.INI či SYSTEM.INI. Tento postup je někdy nutné dodržet. V případě červa PrettyPark se
totiž může stát, že díky špatnému postupu, nebude spuštění programu regedit, který je východiskem ze situace, možné. Taky je nutné zjistit, co že to máme z registrů vůbec odstranit. Posloužit můžou některé "Virové
encyklopedie", kterých je ve světě Internetu hned několik desítek ( www.viruslist.com, www.sarc.com ).
Detailní popisy, i když ne v takovém množství lze najít i v češtině – www.viry.cz, www.asw.cz,
www.grisoft.cz. Dalším krokem je záloha stávajících registrů. Je dobré zálohovat systémové soubory (vlastně soubory registru) C:\WINDOWS\SYSTEM.DAT a C:\WINDOWS\USER.DAT, které se pak budou hodit
v případě nezdaru.
17
Viry a počítače
Viry a internet
Šíření počítačových virů a jejich další vývoj ve smyslu zdokonalování jejich vlastností, vývoje nástrojů
na jejich automatické generování jakož i průniku do nových počítačových platforem úzce souvisí se stále se
rozšiřující počítačovou komunikací. Rozsah dat (binární kód, dokumenty Office) přenášených po internetu
vzhledem na zvyšování počtu jeho uživatelů a zvyšování kapacity komunikačních linek neustále narůstá.
Narůstá též počet různých druhů služeb provozovaných v rámci sítě Internet, které nejsou vždy dostatečně
zabezpečené proti nebezpečí počítačové infiltrace (viz například vážné problémy s bezpečností programů
mIRC, Gnutella a dalších).
Rizika spojená s rozšiřováním výše vzpomínaných komunikačních možností se zviditelnily už v době
před masovým rozvojem internetu, a to v době FIDONETu a služeb BBS, které umožňovaly provoz služeb
obdobných jako dnes nabízí internet (přenos binárních souborů, zasílání pošty, provoz lokálních konferencí
apod.). Zejména existence husté sítě BBS přispěla v USA ke vzniku alternativního způsobu šíření software,
známému jako shareware. Vzpomínané BBS poskytovaly přístup k nejnovějším verzím nekomerčního programového vybavení, přičemž poskytovaly s menší či větší mírou liberalizace i možnost vzájemné výměny
dat mezi jejich uživateli v rámci "upload" adresářů. Zvláště pak posledně jmenovaná možnost spolu s anonymitou uživatelů těchto služeb umožnila průnik množství souborových virů a trójských koňů od autorů
přímo do terénu. Je třeba však poznamenat, že v porovnání s dnešním stavem rozvoje internetových služeb
nešlo v případe Fidonetu a BBS o tak masové fenomény a navíc uživatelé těchto služeb byli víceméně zkušení počítačoví nadšenci.
Dnes prostřednictvím internetu komunikují řádově vyšší počty uživatelů, často jen se základními vědomostmi o operačním systému a komunikačních aplikacích, což s ohledem na labyrint stále nových služeb
spojených s potencionálním rozšiřováním infiltrací nejrozličnějších druhů přináší nemalá rizika. I solidní
vědomosti z oblasti bezpečnosti dat mohou být přitom k ničemu vzhledem na trend zjednodušování obsluhy
komunikačních aplikací (speciálně v prostředí Windows), které stále víc rozhodovacích procesů řeší automaticky, takže jejich uživatel má stále menší možnosti ve smyslu jejich ovlivňování. Připojení individuálních PC případně lokálních sítí do internetu se sebou v souvislosti s bezpečností počítačových údajů
(a speciálně s potencionálním průnikem počítačových infiltrací) přináší vícerá nová rizika.
Mobilita programového vybavení
Obvykle se jedná o demo a beta verze programového vybavení, shareware a freeware programy a update komerčních programových balíků, které se šíří prostřednictvím e-mailových příloh nebo typicky přenosem z FTP a WWW serverů. Při sekundárním (nevědomém) šíření virů uvedenými kanály je třeba
vzpomenout i variantu primárního, tedy vědomého (úmyslného) šíření škodlivého kódu prostřednictvím
nemoderovaných konferencí nebo také neošetřených /incoming adresářů anonymních FTP serverů. Vzhledem na obvykle silně omezená přístupová práva jsou v tomto smyslu WWW servery vůči primárnímu šíření
infiltrací relativně imunní, přičemž navíc je jasná zodpovědnost provozovatele příslušné webové stránky za
potencionální šíření infiltrovaného kódu.
Výše uvedenými kanály je možné přenést souborové viry a trójské koně v rámci spustitelných souborů
a také makroviry v rámci jejich dokumentace. Obdobně nebezpečný potenciál skrývá masové šíření freeware/shareware programového vybavení prostřednictvím CD-ROM nosičů (přílohy počítačových časopisů,
shareware výběry), kde vzhledem na přenášený objem dat a často chabé technické (nebo časové) kapacity
jejich vydavatelů (co se týká schopnosti identifikace potencionálně škodlivého kódu) existuje nezanedbatelná pravděpodobnost průniku infiltrací (nové i neznámé druhy infiltrací v jednom ze stovek souborů nede-
18
Viry a internet
tekovatelných antivirovými balíky dostupnými v čase uzávěrky obsahu CD-ROM nosiče). Navzdory tomu,
že množství dat přenášené na CD-ROM nosičích a po internetu (co se týká volně šiřitelného programového
vybavení) je v dnešní době s nejvyšší pravděpodobností porovnatelné, šíření na CD-ROM je v jistém smyslu nebezpečnější. Je to dané tím, že zatímco po zjištění nebezpečného kódu na FTP nebo WWW serveru je
možné tento kód okamžitě stáhnout a v lepším případě dokonce na základě analýzy LOG souborů upozornit
uživatele, kteří si daný soubor stáhli, u CD-ROM média možností na korekci takovéhoto problému není
mnoho. Pokud se problém zjistí ještě před samotnou distribucí média, je možné zničit celý náklad. Pokud
ale médium už koluje v tisících exemplářů mezi uživateli a distribuce nebyla centrální, ale probíhala prostřednictvím dealerů a maloobchodní sítě, zůstává už jen ne nejlevnější možnost uveřejnit příslušné upozornění v odborném tisku nebo v jiném vhodném médiu, případně o problému taktně pomlčet.
V souvislosti se šířením spustitelného kódu přes internet nebo CD-ROM představuje velké riziko stále
častěji se vyskytující automatizace kroků souvisejících se získáním a interpretací proveditelného kódu. Co
se týká CD-ROM, jde bezpochyby o funkci AUTORUN, kdy dochází ke spuštění kódu bez toho, že by uživatel měl šanci automaticky spouštěný kód nejprve ověřit (pokud není aplikovaný rezidentní AV program).
Vrcholem v tomto směru je vlastnost e-mail klienta MS Outlook, který umožňuje aktivaci některých typů
virů jednoduchým přečtením e-mailové zprávy (neobsahující žádné klasické přílohy) - příkladem mohou být
červi BubbleBoy a Kak. Problémy s bezpečností mají i některé verze klientů Netscape Communicator
a Eudora Pro. V této souvislosti se dá doporučit přechod na bezpečnější typ e-mailového klienta, např. na
program The Bat! Pokud jde o nebezpečí číhající na uživatele při prohlížení internetu, situace se komplikuje
s příchodem technologií JAVA (od firmy SUN) a zejména ActiveX (Microsoft), které podporují přenos proveditelného kódu ze serveru na cílový počítač a jeho následnou aktivaci za účelem interpretace specifických
informačních zdrojů, jejichž zpracování původně v cílovém počítači nebylo implementováno. Systémy mají
sice zabudované četné algoritmy směřující k zabránění přenosu infiltrací (které mohou mít destrukční nebo
i "špionážní" charakter, přičemž v druhém případě může jít o snahu přenést data nebo minimálně log soubor
zaznamenávající aktivitu systému směrem k tvůrci), ale úplná odolnost vůči infiltracím byla původně proklamovaná i u jiných systémů a skutečnost je diametrálně odlišná. Argumentace tvůrců těchto systémů ve
smyslu možnosti ovlivnění chování se systému v rámci příslušného dialogu s uživatelem nebo možnosti deaktivace příslušných funkcí v konfiguraci operačního systému zase ignoruje skutečnost, že běžní uživatelé
vzhledem na svoje omezené technické a jazykové znalosti často úplně nerozumějí kladeným otázkám ani
smyslu položek nabídky. V souvislosti s nebezpečím spojeným s prohlížením infiltrovaných internetových
stránek ještě vzpomeňme, že mnohé ochrany se týkají jen prohlížení vzdálených souborů, ale na prohlížení
lokálních souborů se nevztahují. V tomto směru se dá označit off-line prohlížení dříve stáhnutých web stránek za méně bezpečné. Nejnovější informace navíc hovoří o virech umožňujících svoji aktivaci i prohlídkou
vzdáleného HTML souboru (Wscript/AM-Exploit) pomocí Internet Exploreru. V této souvislosti se dá všeobecně doporučit používání jiných, bezpečnějších internetových prohlížečů, např. prohlížeče Opera. Specifická možnost šíření infiltrace se objevila například i v souvislosti s některými klienty služby IRC (hlavně
mIRC), kdy ve snaze o maximální univerzálnost programového vybavení došlo k implementaci služby
umožňující přenos a následnou interpretaci nekontrolovaného kódu.
V blízké budoucnosti bezpochyby přinese úplně nové problémy dnes už částečně aplikovaný způsob instalování či doinstalování/updatu programových balíků ze síťových zdrojů, který pokud nepůjde ruku v ruce
s aplikací adekvátně výkonných kontrolních mechanismů, nutně povede k silnému oslabení obranyschopnosti počítačových systémů vůči infiltracím nejrozličnějšího druhu. Z hlediska bezpečnosti bude hrát přitom
významnou úlohu míra automatizace procesu instalace. To se týká i procesu instalace z lokálních zdrojů,
kdy často absentuje možnost zkontrolovat právě nainstalovaný program před jeho samotným spuštěním, neboť toto spuštění se aktivuje automaticky.
19
Viry a počítače
Dokumenty Office
Typicky se jedná o dokumenty programu MS Word a MS Excel, případně další programy firmy Microsoft (MS Access, MS Power Point, MS Project), přičemž perspektivně se zjevně nedají vyloučit ani jiné
druhy dokumentů vybavených makrojazykem umožňujícím samoreplikaci makrokódu nebo tvorbu a interpretaci binárního kódu. To je totiž základní předpoklad pro existenci makrovirů resp. nosičů binárních virů
a trójských koňů. Dokumenty jsou obdobně jako binární soubory šířené (buď ve společných archívech nebo
samostatně) přes FTP a WWW servery, ale zvláště pak prostřednictvím příloh elektronické pošty.
Může přitom jít jednak o vnitropodnikovou cirkulaci dokumentů, ale i o styk se zákazníkem, což je ve
smyslu případných škod v důsledku přenosu infiltrace značně choulostivá otázka. Hotové neštěstí v tomto
směru znamená stále se rozšiřující využívání e-mailových robotů, které rozesílají nevyžádané e-mail zprávy
reklamního charakteru (SPAM), často obsahující katalogy, ceníky a jiné informace v rámci Office dokumentů připojených ve formě přílohy e-mail zprávy. A tak navíc k obtěžování adresáta a zahlcování internetu
vzniká nemalé riziko masového šíření infiltrací. V této souvislosti je třeba poznamenat, že ne vždy je jednoduché zasílání takovýchto zpráv zastavit a proto je dobré si rozmyslet, zda poskytnete svoji e-mail adresu
v rámci dotazníku týkajícího se např. poskytnutí zkušební verze nějakého programového balíku nebo zda
použijete zdarma poskytované e-mail konto nějakého WWW serveru.
Šíření makrovirů přitom podporuje i jejich relativně krátká historie, takže mnozí uživatelé osobního počítače dodnes nechápou, jak se v rámci nějakého textu může přenášet virus, přestože při spouštění neznámého EXE souboru jsou už vzhledem na předešlé zkušenosti s viry opatrní. Situaci zhoršuje už výše vzpomínaná automatizace přenosu a zpracování dokumentů, kdy může dojít k přenosu, dekódování a interpretaci (načtení) dokumentů často i bez výslovného přání uživatele. Problém je tedy v tom, že v tomto řetězci není
vždy přítomný krok, v kterém dá uživatel k interpretaci dokumentu (a tedy i přítomných maker) souhlas.
Dostupnost FTP a WWW serverů s virovým zaměřením
Jedná se o dostupnost serverů, na kterých jsou k dispozici živé viry, nosiče virů, zdrojové kódy, generátory virů, návody na jejich psaní a další materiál. Vzhledem k absenci jakékoliv kontroly u provozovatelů
vyhledávacích služeb jsou tyto zdroje často běžně přístupné, což umožňuje napojení se i takových uživatelů,
kteří původně jejich návštěvu neplánovali nebo by na jejich adresu v jiných informačních zdrojích (AV tutoriály a konference) ani nenarazili. Podobně lze hodnotit i existenci stránek, kde sice nejsou přímo přístupné
viry, ale které obsahují seznam odkazů na takovéto servery. Tyto stránky často obsahují kombinaci odkazů
na virové servery v kombinaci s antivirovými nebo i odkazy na různé hackerské zdroje (registrační klíče
komerčního software apod.).
Řešení uvedeného problému eliminací těchto informačních zdrojů je obdobně jako například v případě
šíření pornografie nadmíru komplikované a zahrnuje celou škálu aspektů od vysloveně technickoorganizačních (identifikace provozovatele a míra jeho zodpovědnosti zvláště v případě, že inkriminovaná
stránka obsahuje "jen" odkazy na vírově zaměřené stránky), etických (cenzura nebo ne) až po legislativní
(v různých zemích se šíření virového kódu posuzuje různě).
Naprosto krajním řešením může být zakázání používání internetu. Že je něco takového možné, dokazuje
hnutí Taliban v dnešním Afganistánu.
Komunikace virových skupin
V daném případě jde o komunikaci virově orientovaných programátorských skupin směrem dovnitř
i ven prostřednictvím provozu lokálních konferencí, shromažďování virově orientovaného materiálu na pri-
20
Viry a internet
vátních i veřejných URL. To má jednoznačně synergický efekt co do programátorské kapacity takovýchto
skupin. Navíc třeba dodat, že privátní charakter a uzavřenost virových skupin je relativní pojem a v každém
případě existuje nezanedbatelné riziko, že virový kód se dostane i do rukou lidem, kteří počítačový virus vytvořit neumí, ale po aplikaci získaných poznatků a programových nástrojů (knihovny, generátory kódu) k této schopnosti mohou dospět.
K oběma posledně jmenovaným bodům je nutno dodat, že na druhé straně se obdobně zlepšuje přístupnost aktuálního AV vybavení (demo verze, shareware, updaty) a také informací o antivirové problematice
(AV konference, varování před aktuálními virovými epidemiemi, on-line AV informační databáze a pod.). Je
však otázkou, zda v tomto případě pozitivní vliv internetu převažuje nad negativním. Internet rovněž umožňuje zrychlit proces zasílání nových vzorků z terénu výrobci, který po zapracovaní viru do programu může
poměrně bezprostředně zabezpečit distribuci update (ve formě příloh e-mailových zpráv nebo upozorněním
na existenci nového update dostupného na domovské stránce).
Internet jako fenomén konce 20. století je nutné chápat ne jako modlu a rozhodně ne jako hrozbu. Na internetu, tak jako na vašem pracovišti, či v místě vašeho bydliště, působí lidé dobří i zlí. Tak jako si v obchodě zkontrolujete, zda vám nezabalili zkažené zboží a překontrolujete si vydávanou sumu, je potřebné
obdobně přistupovat k internetovým zdrojům. Je možné je využívat a rozšiřovat tak svoje obzory, ale je potřebné vědět o všech potencionálních rizicích a snažit se jim čelit aplikací dostatečně účinných preventivních opatření.
21
Viry a počítače
Ochrana dat před viry
Podívejme se nyní na nejčastější zdroje nákazy a také na opatření vedoucí ke snížení rizika průniku infiltrací na individuální osobní počítač nebo do lokální sítě. Na tomto místě je třeba hlavně zdůraznit, že je
vždy levnější vir zachytit ještě před jeho aktivací a rozšířením, než zachraňovat následky jeho činnosti.
Vždyť už jen aktivace těch nejběžnějších virů může byť spojená s ochromením celých lokálních sítí na několik hodin, aktivace složitějších virů se zabudovanou destrukční akcí může vést navíc ke ztrátě
nepostradatelných dat pro chod firmy, nepostradatelných osobních dat apod. Z tohoto důvodu je důležité se
seznámit s potencionálními riziky, případně učinit vhodná opatření na jejich eliminaci.
Nejčastější zdroje nákazy
V dnešní době bývají základním zdrojem nákazy instalace volně šiřitelných programů nebo čtení Office
dokumentů získaných z neznámých a nehodnověrných zdrojů (nefiremní internetové servery, výběrové CDROM, apod.). Je přitom nutno říci, že stoprocentní jistota není vzhledem na lidský faktor ani při firemních
zdrojích. Na tomto místě si stačí připomenout případ firmy Microsoft, která na svých CD ROM médiích šířila mezi zákazníky makrovirus Concept! Jednou z nejrizikovějších skupin nákazy jsou zdroje typu "kamarádův syn donesl ze školy". Co se týká web serverů, bezpečnější bude určitě domovský server daného
produktu nebo pravidelně udržovaný shareware server (Tucows, SimTel nebo SAC FTP) v porovnání se
stránkou soukromé osoby, která v položce "moje oblíbené freeware programy" nabízí návštěvníkům něco na
stáhnutí a přitom se nejedná o odkaz na domovskou stránku programu. Vysoce rizikovým zdrojem jsou
i hackerské stránky nabízející hacknuté verze komerčních resp. shareware programů, generátory klíčů a podobně. Tyto soubory jsou často zavirované, ať už z nepozornosti jejich tvůrců nebo i úmyslně. Prostě se dá
říci, že hackeří jsou nebezpečná cháska. Typickou psychologickou fintou používanou tvůrci virů s cílem jejich rychlého rozšíření je šíření zavirovaných souborů resp. trójských koní pod jménem některého z populárních freeware/shareware programů v ještě neexistující verzi, kterou uživatelé v naději na nové vylepšení
rádi vyzkoušejí. Jinou variantou je vybavení souboru fiktivní dokumentací slibující hesla XXX serverů, zajímavý spořič obrazovky apod.
Pokud jde o CD ROM nosiče, je opět možno za bezpečnější označit CD-ROM přiložený k renomovanému PC časopisu v porovnání s doprovodným CD-ROM z lokální počítačové výstavy. Speciální pozornost
je třeba věnovat e-mailovým přílohám (týká se to samozřejmě i internetových konferencí a dalších typů textové komunikace na internetu, jako například komunikace prostřednictvím některého typu IRC klienta,
programu ICQ a podobně) od neznámých odesílatelů, ale i od známých v případě, že je jasné, že pošta od
nich odešla bez jejich vědomí - například pokud obdržíte e-mail v angličtině od Čecha (ne Františka Ringo).
V posledně jmenovaném případě si můžete byť téměř jistí, že jde o vir nebo trójského koně.
Ostražitost je třeba zachovávat u všech souborů s rozšířeným formátem, který umožňuje přenesení viru
nebo aktivaci nějakého druhu destrukční akce. Jde hlavně o soubory s rozšířením ASP, BAT, BIN, CHM,
CLASS, COM, CSC, DLL, DO?, DRV, EXE, HLP, HT?, INF, INI, JS, MD?, OB?, OV?, POT, PP?, SCR,
SHS, SYS, VB?, VXD, XL? Bezpečnými (zatím) jsou multimediální formáty BMP, TIF, GIF, JPG, WAV,
MP?, RA, AVI, MOV a čistý textový formát TXT. V tomto smyslu jsou bezpečné i archivní formáty ZIP,
RAR, ARJ, ACE, LZH, TGZ a další, i když tyto mohou obsahovat potencionálně nebezpečné soubory s výše uvedenými příponami ve svém vnitřku. To ale samozřejmě neplatí pro jejich samorozbalovací verze,
které mohou byť nosičem viru jako každý jiný EXE soubor. Připomeňme, že pokud název souboru obsahuje
víc přípon, platí ta poslední. Pokud má tedy váš e-mailový klient aktivovanou funkci schovávání přípon názvů souborů, co nejdříve tuto funkci zrušte, protože lehko naletíte další psychologické fintě v poslední době
22
Ochrana dat před viry
často používané - např. známý červ LoveLetter se šířil pod názvem LOVE-LETTER-FOR-YOU.TXT.vbs přičemž uživatelé, kteří ho dostali jak přílohu E-mail zprávy ho viděli příponu TXT, protože VBS byla skryta. Obdobně byl šířen i červ Explore Zip, který byl pro změnu šířený jako zipped_files.exe, přičemž bol vybavený ikonou programu WinZip. Pokud zrušení této funkce program neumožňuje, je možné doporučit
přechod na jiný, bezpečnější typ e-mail klienta, např. na program The Bat!
Co se týká makrovirů – v případě, že uživatel nepředpokládá aplikaci maker v přicházejících dokumentech, je možno s výhodou použít funkci novějších verzí Office, která po své aktivaci upozorňuje uživatele na
existenci maker ve čteném dokumentu (ať už jde o makra užitečná nebo ne, to vám však už program neprozradí). V případě, že neumíte existenci maker (užitečných nebo potencionálně i škodlivých) dopředu vyloučit, je vhodné na prohlížení dokumentů používat specializované prohlížeče, které neinterpretují makra.
V poslední době populárních VB skriptových virů se zase můžete zbavit odinstalací Windows Scripting
Host procesu, který spouštění skriptových souborů zabezpečuje.
Upozornění programu
Microsoft Word, že
v textu (šabloně) jsou
obsažena makra
Jak jsou na tom lokální sítě
Na úrovni lokální sítě je potřebné správně určit pravomoci jednotlivých uživatelů co se týká dostupnosti
jednotlivých služeb Internetu (což má mimo jiné i souvislost s využíváním pracovního času, protože nejen
počítačové hry nemusí mít přímou vazbu s pracovními povinnostmi). S tímto bodem úzce souvisí adekvátní
zaškolení uživatelů sítě nejen ve smyslu antivirové (AV) ochrany, ale i seznámení se s potencionálními riziky spojenými s užíváním internetu. Hmotná (finanční) zainteresovanost pracovníků na případných škodách
jimi prokazatelně zaviněných určitě přesvědčí víc jak jakýkoliv druh domluv.
Ze strany serveru jako vstupního bodu do lokální sítě je třeba zauvažovat nad aplikací vhodného typu firewallu zaměřeného jednak na filtraci některých nežádoucích internetových služeb resp. konkrétních URL
v rámci nich (optimální nastavení však vyžaduje solidní rozhled v dané problematice), protokolování komunikačních aktivit a v lepším případě i možnost on-line antivirové kontroly přicházejících (případně
i odcházejících, protože si není možné představit horší reklamu, jak rozeslat svým zákazníkům např. zavirované ceníky) souborů přenášených přes FTP, HTTP či jiný typ komunikačního protokolu, nebo příloh emailových zpráv, tedy ještě před jejich distribucí na cílové stanice. Je třeba však poznamenat, že vzhledem
na různé druhy kódování a komprimace binárních souborů (méně časté komprimační formáty nebo různé
typy samorozbalovacích/samoinstalačních formátů) nelze očekávat, že tato ochrana bude dokonalá a navíc
neochrání síť před průnikem infiltrací jinými kanály (diskety, CD-ROM, atd.).
23
Viry a počítače
Pracovní stanice a individuální počítače
Ze strany pracovních stanic je potřebné aplikovat dostatečně výkonný rezidentní AV software schopný
kontroly boot sektorů disket, binárních souborů, dokumentů Office nebo dalších potencionálně nebezpečných souborových formátů. Pozor na to, že účinnost rezidentní verze AV programů není vždy totožná
s nerezidentní! Optimální je, když se dostatečně výkonný vzorkově orientovaný skener kombinuje s heuristickou analýzou kódu, což s vysokou pravděpodobností umožňuje odhalení i nového či neznámého viru,
často s možností jeho heuristické léčby. Při aplikaci heuristických metod, hlavně při vyšších stupních citlivosti, je přitom potřebné počítat s možností vzniku falešných poplachů. Typicky vznikají při přítomnosti
různých nestandardních boot manažerů (multi OS systémy, šifrování pevného disku), různých typů rezidentních driverů nebo souborů sbalených některým typem ochranné obálky (používaných na ochranu exekučních souborů před jejich analýzou hackery), případně i na některých dokumentech obsahujících
neškodná makra. Falešný poplach se dá od reálné nákazy rozeznat tak, že je hlášený jen na jednom nebo
menším počtu běžně používaných a na daném počítači už dávno instalovaných souborů, pocházejících
z jednoho instalačního balíku, nebo když se jejich počet dlouhodobě nezvyšuje. V případě jakýchkoliv pochybností je vhodné si obstarat originální soubory z instalačního média, nebo pokud jsou k dispozici ty samé soubory i z jiného počítače a otestovat i tyto. V případě, že antivir hlásí vir i na těchto souborech, je
vhodné je zaslat výrobci antivirového programu, který daný falešný poplach v dalších verzích vyloučí. Připomeňme, že tato metodika se nedá aplikovat na rozeznání falešných poplachů u trójských koní, protože jejich kód se typicky též vyskytuje v jednom nebo několika souborech a tento počet se dále nezvyšuje. Jiným
způsobem řešení falešných poplachů je používání dvou nebo více porovnatelně výkonných a aktuálních antivirových programů. Pokud sporný soubor (boot sektor) označí za infikovaný více antivirů nebo některý
z nich dokonce vir přesně identifikuje jménem, s největší pravděpodobností se jedná o skutečnou nákazu.
Souběžně s klasickými antivirovými programy pracujícími na principu prohledávání paměti a potencionálních nosičů virů na podezřelé kódové sekvence, existují i další typy programů pracující na bázi kontroly
integrity systémových oblastí disku nebo zvolené množiny souborů na pevném disku. Takovýto způsob kontroly je vhodný aplikovat hlavně na počítačích, u kterých nedochází k časté výměně programového vybavení (verzí dané aplikace nebo úplně nových aplikací), protože každá takováto výměna je spojena se změnami,
které daný program zachytí. V rámci příslušného dialogu je potřebné takové změny označit jako neškodné.
V poslední době se vzhledem na rostoucí počet trójských koní vybavených komunikačními schopnostmi
vynořila i možnost sledování komunikačních portů počítače s cílem zjištění jejich případné neopodstatněné
aktivace, což by mohlo nasvědčovat přítomnosti nějakého druhu infiltrace.
Eliminace už aktivovaného viru nebo následků aktivace trójského koně je omnoho komplikovanější jak
zábrana jeho prvotní interpretace. Tento poznatek platí především v případě paměťově rezidentních virů nebo virů vykonávajících nějakou destrukční činnost. Typicky je tedy AV kontrolu potřebné implementovat
těsně před samotnou interpretací potencionálně napadnutého kódu (spuštění EXE souboru, otevření
DOC/XLS dokumentu obsahujícího makra) nebo hned po jeho vytvoření (instalaci, zkopírování z výměnného média, rozbalení z archivního souboru nebo po oddělení a dekódování přílohy e-mail zprávy). Vítanou je
však možnost aktivace antivirové kontroly o jeden nebo víc kroků dříve – kontrola souborů ještě v archivech nebo v zakódovaném tvaru v rámci fronty přicházejících e-mail zpráv.
V případě aplikace jen nerezidentního AV balíku je potřebné snížit míru automatického zpracování (interpretace) spustitelných souborů/dokumentů/VB a Java skriptů přicházejících ze sítě (internetový prohlížeč,
e-mail klient, IRC klient), aby bylo možné do řetězce kroků zařadit AV kontrolu, která může případnou infiltraci vyloučit ještě před její aktivací. Obdobně, při používání pochybných CD-ROM nosičů, je vhodné
deaktivovat funkci AUTORUN. Úplně elementárním opatřením proti BOOT virům je nastavení BIOS
ochrany systémových oblastí disku, případně nastavení pořadí bootování na C, A místo A, C. Tím se vylou-
24
Ochrana dat před viry
čí elementární případ nákazy, kdy se po zapnutí počítače se zapomenutou disketou v mechanice A počítač
zaviruje ještě před aktivací jakékoliv antivirové ochrany. Vzhledem na existenci virů pokoušejících se
o destrukci Flash BIOS kódu, je vhodné zkontrolovat stav ochrany Flash BIOS paměti proti zápisu, což je
však spojeno s fyzickou kontrolou základní desky (motherboardu).
Léčba zavirovaného počítače
Pokud výše uvedená doporučení nebyla do důsledku aplikovaná nebo z nějakého důvodu selhala (úplně
nový typ nákazy apod.) a počítač už je zavirovaný, je potřebné v první řadě zachovat rozvahu – viz desátý
bod desatera – a neformátovat hned pevný disk a instalovat nový operační systém. V prvé řadě je třeba identifikovat (co nejpřesněji) druh aktivovaného viru a pokud je možnost, prostudovat jeho vlastnosti. K tomu
slouží nejrozličnější on-line databáze informací o virech dostupných na web stránkách renomovaných výrobců antivirových programů, některé jsou dostupné i v off-line verzi (AVP Virus Encyclopedia). Pokud jde
o paměťově rezidentní vir, je třeba počítač nabootovat z čisté systémové diskety (k čemuž je obvykle potřebné přestavit nastavení pořadí bootovaní v BIOSu na A: C:). Pokud systémovou disketu zasouváte do
mechaniky ještě před vypnutím počítače, je potřebné chránit ji proti zápisu, aby se nezavirovala. Potom je
potřeba spustit MS-DOS verzi příslušného antivirového programu (nejlépe též z diskety nebo z originálního
CD-ROM média, protože antivir na pevném disku už může být též zavirovaný a jeho spuštěním se vir opět
aktivuje v paměti) a aktivovat položku léčení. Některé antivirové programy umožňují několik konkrétních
typů paměťově rezidentních virů léčit i bez rebootovaní počítače jejich deaktivací. Tato technologie však
z pochopitelných důvodů nemůže dávat stoprocentní výsledky. V tomto smyslu je boot z čisté systémové
diskety vždy jistější.
V souvislosti s léčením zavirovaných souborů je ještě třeba doplnit, že některé viry se z principu nedají
vyléčit (přepisující viry) nebo se dají vyléčit s tím, že vzhledem na nedostatek virem odložených informací
o hlavičce původního souboru vyléčený soubor nebude po vyléčení binárně shodný s původním, což může
způsobit i jeho nefunkčnost (některé programy si ověřují při spouštění svoji integritu a v případě jejího narušení vypíší chybové hlášení - např. samoinstalační soubory vytvořené komprimačními programy WinZip
nebo ARJ). Příkladem problémů s léčením může být nechvalně známý vir CIH (Černobyl). Pokud si nejsme
jistí, zda léčením nakažených souborů dochází k úplné obnově souborů, je samozřejmě možné je nahradit
novými, čistými soubory přeinstalováním napadnutých aplikací z originálních instalačních médií (souborů).
Pokud daný vir není možné léčit (antivir neobsahuje příslušný algoritmus, nebo se to z principu nedá), je
možnost měnit přípony názvů zavirovaných souborů na příponu, kterou nelze spustit (např. EXE na VXE)
nebo zavirované programy jednoduše vymazat. Celý počítač tím ale může přestat fungovat a je potřeba přeinstalovat příslušné poškozené aplikace nebo celý operační systém. Zajisté se můžete zeptat, jaký význam
má takové léčení, když disk se mohl zformátovat přímo. Výhoda tohoto způsobu spočívá v možnosti zachování uživatelských dat, která by se v případě formátování musela překopírovat na jiné médium. Ve většině
případů se dokonce mohou zachovat konfigurační soubory jednotlivých aplikací, takže je není potřeba znovu nastavovat. V každém případě je vhodné při léčení vytvořit LOG soubor, aby jsme věděli, co vlastně bylo napadeno a co je třeba nahradit. Analýza LOG souboru nás též může přivést na stopu původci nákazy.
Léčení boot virů spočívá v nalezení původního Boot nebo Master Boot sektoru (pokud vůbec byl uchovaný) a v jeho zápisu do příslušného sektoru pevného disku (diskety). V případě, že vir původní sektor neuchoval nebo ho modifikoval, je možné do zavirovaného sektoru zapsat příslušný generický kód. Druhým
jmenovaným způsobem ale může dojít u některých typů virů, speciálních typů rozdělení disku (např. pokud
disk sdílí víc operačních systémů najednou) nebo při úmyslném (různé typy programů na ochranu bezpeč-
25
Viry a počítače
nosti údajů) nebo neúmyslném (vir OneHalf) šifrovaní disku vedoucím k nefunkčnosti počítače nebo ke
ztrátě dat.
Léčení makrovirů spočívá v lepším případě v odstranění vírových maker a zachování původních maker
dokumentu (pokud nějaké byly). Obvykle se ale odstraní (přepíší) všechna makra bez ohledu na to, zda patřila viru nebo původnímu dokumentu, čímž se jeho původní funkce naruší. Na druhou stranu je třeba říci, že
dokumentů s makry zase není až takové množství, aby uvedený způsob léčení představoval zásadní problém.
Jiný způsob odstranění je potřeba aplikovat u trójských koňů. V nejjednodušším případě ho je třeba jednoduše smazat. Pokud se ale jedná o program, který aktivně využívá služby operačního systému, je potřebné
ho nejdříve deaktivovat (tento krok buď zabezpečí příslušný antivirový program sám nebo ho zabezpečíme
nabootováním z čisté systémové diskety) a následně smazat nebo přejmenovat všechny relevantní soubory
(trójský kůň jich v rámci své instalace může využívat několik) a taktéž uvést do původního stavu příslušné
registry operačního systému Windows. Pokud trójský kůň už uskutečnil nějaký druh destruktivní akce (to se
týká samozřejmě i viru), některé škody se dají napravit, jiné ne. V každém případě je třeba říci, že operační
systém Windows v tomto směru není nijak zvlášť dobře vybavený (už na "výmaz" souboru je třeba aplikovat zvláštní externí program), nemluvě už o možnostech rekonstrukce systémových oblastí disku a podobně
(i tu se dobře uplatní různé typy zálohovacího software).
V souvislosti s léčením virů resp. červů, které využívají ke svému přenosu e-mail kanál, je ještě důležité
připomenout, že pokud aktivní vir identifikujete až po jeho replikační akci spočívající v zaslání jeho těla na
desítky e-mail adres z vašeho adresáře, patří k dobrým mravům rozeslat postihnutým uživatelům co nejdříve
varování týkající se obsahu (vaším jménem) virem/červem odeslané pošty. Toto varování je samozřejmě potřebné zaslat co nejdříve a je též vhodné vyjádřit jeho obsah už v položce Předmět (subject) e-mail zprávy,
aby byl postižený uživatel varovaný ještě před čtením dříve zaslané zprávy.
Skenování
Proberme si způsoby zjišťování nových virů detailněji. Na počátku technologie skenování programů
(Scanning) byl nápad, a to nápad geniální. Totiž vybrat z těla virů některé charakteristické skupiny instrukcí
a takto získané sekvence použít pro hledání napadených programů. Koncepce sama sice vyžaduje pravidelnou aktualizaci, protože skener umí najít pouze viry, které zná. Tato skutečnost je ale vyvážena jedinečnou
schopností rozpoznat napadený program ještě před tím, než se nám ho podaří spustit. Pokud si uživatel
zvykne prohlížet nově přicházející programy a diskety aktuální verzí nějakého kvalitního skeneru, snižuje
tak výrazným způsobem pravděpodobnost napadení počítačového systému. Dobré skenery jsou do jisté míry
schopné rozpoznat i nové varianty starších virů. Na tuto vlastnost ale není možné příliš spoléhat. Autor viru
je zde ve výhodě a má možnost si vyzkoušet, zda aktuální verze používaných skenerů jeho dílko odhalí, či
nikoliv. Pro zvýšení šance zachytit nové varianty virů používají skenery více různých sekvencí pro jeden virus. Tím je také umožněno přesnější rozpoznání konkrétního viru a snížena pravděpodobnost falešného
poplachu.
Ani více sekvencí však nedovoluje dostatečně přesně rozlišit jednotlivé varianty virů tak, jak to vyžaduje třeba CARO konvence pojmenování virů (nejblíže k ní má F-PROT antivirus). Některé skenery se proto
snaží o tzv. exaktní identifikaci, kdy po nalezení sekvence ještě spočítají kontrolní součty konstantních oblastí v těle viru a pak teprve mohou s jistotou tvrdit, že se jmenuje třeba Vienna.648.Reboot.A. Pro praktické
použití sice není takto detailní rozlišení nezbytně nutné, ale nějaká forma přesnější identifikace snižuje
pravděpodobnost, že se antivirový systém pokusí léčit napadený soubor nevhodným postupem a zničí ho.
26
Ochrana dat před viry
Výběr spolehlivé sekvence býval relativně snadnou záležitostí. Autoři virů se proto pokoušeli znesnadnit detekci svých dílek tím, že začali psát zakódované viry. V takovém případě je možné sekvenci vybrat
pouze z velmi malé části kódu - dekryptovací smyčky. Zbytek těla viru je v každém exempláři jiný.
Opravdová legrace ovšem začíná až s příchodem polymorfních virů, které umí generovat různé tvary
dekryptovacích smyček. Pro některé z nich je sice možné stvořit sekvence (nebo několik sekvencí), která vir
zachytí, ale ta už obsahuje tolik variabilních částí, že se často najdou i zdravé programy, ve kterých nějaký
fragment kódu nebo dat takové sekvenci vyhovuje. Většina polymorfních virů ale generuje takové dekryptory, že nelze hledání podle sekvencí použít. Skenery se nějaký čas snažily o rozpoznávání polymorfních virů
pomocí jednoúčelových funkcí, ale to byl vlastně krok zpět k vyhledávacím programům se všemi jejich nevýhodami. Moderní skenery proto obsahují emulátor strojového kódu, kterým se pokouší emulovat provedení smyčky, a pak mohou hledat sekvence až v dekryptovaném těle viru.
Kódování viru není jedinou metodou, jak skenerům znepříjemnit život. Skenery totiž obvykle nehledají
sekvence v celém souboru, ale pouze v jeho vybraných částech. Stačí tedy umístit tělo viru na náhodně vybrané místo uprostřed napadeného programu a vytvořit k němu "cestičku". Kvalitní skener se s tím vypořádá, ale jeho tupější bratříčci mají smůlu.
Kvalitní skenery obsahují tzv. anti-stealth techniky, které dokážou obcházet aktivní stealth viry. Pokud
je totiž takový virus rezidentní v paměti, a antivirus nemá anti-stealth techniky, bude se nám systém jevit jako čistý - nezavirovaný. V takovém případě musí skener spoléhat pouze na test operační paměti, který může
(ale nemusí virus) prozradit.
Lepší skenery dokážou prohlížet i komprimované soubory (PKLITE, LZEXE, ARJ, ZIP, RAR atd.).
Ukázkovým antivirem je v tomto směru například Kaspersky Anti-Virus. Skenery jsou celkově zřejmě nejdůležitější částí většiny antivirů. Pokud jsou doplněny heuristickou analýzou dokážou detekovat i neznámé
viry. Skenery chrání a dohlíží na výskyt virů u: operační paměti, souborů, dokumentů Wordu, sešitů Excelu,
systémových oblastí disku (boot sektor, MBR). Skenery mohou být navíc ve dvou provedeních:
Paměťově rezidentní skener (on-access scanner) – Podobně jako paměťově rezidentní viry hlídá
on-access skener systém z operační paměti. Kontroluje veškerou činnost uživatele se soubory (kopírování,
spouštění souborů) a pokud zjistí, že manipuluje s infikovaným programem, okamžitě ho na tuto skutečnost
upozorní. Hlavní výhodou je, že uživatel je upozorněn na tuto skutečnost těsně před nejhorším (před aktivací samotného viru). On-access skenery jsou tak v dnešní době velice důležitou a oblíbenou součástí většiny
antivirových programů. Použití on-access skeneru pro DOS sice viditelně zpomalovalo chod počítače, ale to
už prakticky neplatí v době rychlých počítačů s operačním systémem MS Windows. Windows je totiž sám
o sobě velice "náladový" produkt, a tak i bez on-access skeneru běhá někdy rychleji a někdy pomaleji. Některé viry mohou paměťově rezidentní skenery ovlivnit, či dokonce vypnout (viz. tunelující viry).
Skener "na požádání" (on-demand scanner) – Manuální typ skeneru. Uživatel obvykle definuje oblasti (pevný disk, adresář, disketa) které chce on-demand skenerem prohlédnout a stiskne tlačítko pro zahájení testu. On-demand skener pak hromadně prohlédne všechny vybrané oblasti na výskyt virů. On-demand
skener lze obvykle spojit s kalendářem úloh (scheduler) a kontrolu provádět automaticky v předem definovaných časech.
Kontrola integrity
Kontrola integrity (integrity checker, CRC checker) je založena na porovnávání aktuálního stavu důležitých programů a oblastí na disku s informacemi, které si o nich kontrolní program uložil při jejich příchodu
do systému nebo při své instalaci. Pokud se do tímto způsobem chráněného počítače dostane vir, tak na sebe
upozorní změnou některého z kontrolovaných objektů a je záhy detekován. Dají se tak spolehlivě zachytit
27
Viry a počítače
i nové viry, o jejichž existenci nemají ponětí skenery, a které nemusí odhalit ani heuristická analýza. Nejprve je ovšem nutno kontrolu integrity správně nainstalovat. To především znamená zahrnout do seznamu
kontrolovaných objektů pokud možno všechny důležité a často používané programy.
Je však také skupina souborů u nichž tato kontrola nemá smysl. Do této skupiny patří například některé
starší programy, které si svoji konfiguraci zapisují přímo do vlastního EXE souboru (například TC.EXE kompilátor Turbo C od firmy Borland). Jejich kontrola je samozřejmě také možná, ale při změně nastavení
spustí falešný poplach. Pak už záleží jen na znalostech uživatele, jestli dokáže rozpoznat, o co se jedná.
To ovšem není jediný problém. Snadno může dojít k této situaci: Na počítač napadený boot virem, je nainstalována kontrola integrity, která si mimo jiné uschová i kopii boot sektoru. Po čase je vir nalezen a odstraněn nějakým jiným antivirovým programem. Při svém dalším spuštění kontrola zjistí, že obsah boot
sektoru už není, co býval. Oznámí to uživateli a dotáže se, zda je vhodné obnovit správný stav. Pravděpodobně dostane souhlas a s pocitem dobře vykonané práce vrátí vir do boot sektoru.
Tato situace jistě není příliš milá. Proto jsou většinou i antivirové systémy založené na kontrole integrity
obvykle vybaveny nějakým skenerem. I tak se ovšem před jejich instalací vyplatí zkontrolovat i disk nějakým jiným, kvalitním, skenerem.
Viry většinou napadají soubory tak, že modifikují jejich začátek a za konec se připojí. Na základě odložených informací o souboru se tak se ho může program pro kontrolu integrity pokusit odstranit, aniž by
o něm cokoliv věděl. A protože si musí už kvůli detekci pamatovat kontrolní součty celého souboru, může
snadno kontrolovat, zda byl jeho pokus o léčení úspěšný. Díky tomu patří odstraňování viru programem pro
kontrolu integrity k relativně bezpečným postupům. Klasických programů pro kontrolu integrity pomalu ale
jistě ubývá. Většinou se vyskytují ve spojení s on-demand skenerem, což značně snižuje nároky na uživatele. Uživatel v tomto případě totiž nemusí ručně analyzovat změny v souborech, místo toho takto postižené
soubory automaticky otestuje on-demand skener, který je často obohacen i o heuristickou analýzou pro detekci neznámých virů.
Heuristická analýza
Heuristická analýza (Heuristic Analyzer – Code Analyzer) je další z mnoha kouzelných termínů, které
věrně doprovázejí moderní antivirové programy. V podstatě jde o rozbor kódu hledající postupy pro činnost
virů typické nebo nějak podezřelé. Tímto způsobem lze odhalit i dosud neznámé viry. Z propagačních materiálů a článků v populárních počítačových časopisech je snadno možné získat dojem, že heuristická analýza
navždy vyřešila všechny problémy se současnými i budoucími viry.
Není tomu tak. Stále se ještě objevuje mnoho virů, které heuristická analýza nepozná a snahy o zvýšení
její "citlivosti" jsou doprovázeny nárůstem počtu falešných poplachů. Právě falešné poplachy patří k velmi
nepříjemným průvodním jevům heuristické analýzy. Obtěžují uživatele a ti pak provádějí totéž výrobcům
antivirového systému.
Jestliže program dovoluje určení typů souborů, kterým se má analýza týkat, nebo jakékoliv nastavení její citlivosti, je dobré mít na paměti, že tvůrce systému zřejmě věděl jaké hodnoty (a proč) použít. Jejich
změnu by měl provádět pouze někdo, kdo ví, co dělá. V opačném případě se vaše heuristická analýza může
stát zcela flegmatickou a ignorovat i zcela zjevné viry, nebo propadne hysterii a začne za podezřelé označovat vše, co uvidí.
Kromě heuristické detekce virů existují i pokusy o jejich heuristické odstraňování. Vir se totiž po svém
spuštění dříve nebo později pokusí předat řízení původnímu programu. Pokud se podaří odsimulovat jeho
běh až k tomuto bodu, stačí napadený soubor správně zkrátit a všechno je v nejlepším pořádku.
28
Ochrana dat před viry
Heuristická analýza bývá většinou součástí skenerů (on-access i on-demand), samostatně ji provozovat
nelze (většinou).
Monitorovací program
Monitorovací programy (Behavior Blocker) obecně hlídají změny v nastavení systému a chrání systém
před replikací viru (i před provedením oněch nežádoucích akcí trojských koní), a to na základě neustále
kontroly a posléze aktivního zastavení takové ilegální akce.
Monitorovací programy jsou tedy aktivními nástroji pro detekci virů na základě změn v chování systému, a to v reálném čase. Tyto programy zabraňují nelegálním akcím a signalizují, kdykoliv se cokoliv v systému pokouší o nějakou podezřelou akci, která má charakteristiky chování viru, popř. jinak škodlivého,
ilegálního chování, např. pokus o zápis do chráněných souborů, změna tabulky vektorů přerušení apod. Protože však virus není ničím jiným než sekvencí příkazů, je zde značná pravděpodobnost, že i legitimní programy mohou provádět stejné akce, a povedou tedy ve svém důsledku k signalizaci stejně jako virus (např.
sebemodifikující programy). Při tvorbě takového systému se začíná s modelem "ilegálního" chování, pak se
staví moduly, které zachycují a zastavují pokus o provedení takových akcí. Tyto moduly pak pracují jako
součást operačního systému.
Monitorovací program předpokládá, že viry provádějí akce, které jsou svou povahou podezřelé, a proto
mohou být detekovány. To však nemusí být vždy platné tvrzení. Nové viry mohou využívat nové metody,
které mohou být mimo působnost naprogramovaných modulů. Takový virus pak nebude monitorovacím
programem detekován.
Techniky, které se využívají u monitorovacích prostředků pro detekci chování podobného chování viru,
rovněž nejsou neselhávající. Osobní počítače mají většinou slabinu v nedostatečné ochraně paměti, takže virový program může obvykle obejít většinu pokusů operačního systému o kontrolu. Navíc jako součást operačního systému jsou monitorovací programy rovněž napadnutelné. Existují totiž viry, které obejdou nebo
zcela vypnou celý monitorovací systém, např. virus Tremor a tunelující viry.
Na rozdíl od skenerů není tak snadné používat monitorovací programy. Dost totiž záleží na jejich nastavení. Obecně řečeno, je-li nastavení příliš jemné, bude program neustále hlásit poplach (a uživatele zákonitě
otráví a sníží jeho důvěru v software). Je-li naopak nastavení příliš hrubé, program nebude detekovat téměř
nic (tedy ani některé viry).
V případě, že monitorovací program ohlásí pokus o nějakou z jeho pohledu podezřelou akci, je na
uživateli, aby byl schopen posoudit, zda se jedná o falešný poplach (zda daný program provádí legitimní
činnost), nebo o pokus viru. Tím je kladen na uživatele značný nárok. Také instalace (a již zmíněné
nastavení) monitorovacího programu není snadné.
Na druhé straně jsou tu však i výhody monitorovacích programů:
• Tyto programy mohou být při optimálním nastavení velmi citlivými detekčními prostředky a mohou zachytit i některé dosud neznámé viry.
• Monitorovací software nemusí být tak často obnovován. Není závislý na konkrétních virech, a proto
v podstatě nevyžaduje obnovu, pokud nedojde ke vzniku nějaké nové virové techniky.
• Balíky monitorovacích programů jsou často integrovány s operačním systémem tak, aby bylo dosaženo
dodatečné bezpečnosti. Z toho samozřejmě vyplývá jisté zatížení při spuštění každého programu. Toto
zatížení je však minimální. Přesto, jak už bylo uvedeno, je zde i možnost, že virus dokáže celý takový
balík monitorovacích programů prostě obejít a tím vyřadit z činnosti.
29
Viry a počítače
Antivirový program a jeho aktualizace
Pokud hovoříme o antivirových programech, je potřebné vzpomenout i nutnost neustálé obnovy definičních souborů programu, které jsou dostupné z domovské stránky daného produktu (uživatel je na jejich
nové verze upozorněný e-mail zprávou od výrobce), jsou přímo zasílané v příloze e-mail zprávy, jsou obnovované centrálně přes lokální síť (přičemž o jejich obnovu se pravidelně stará pověřený pracovník) nebo si
update programu zabezpečuje individuálně z internetu. Pokud je program vybavený heuristickou analýzou,
nároky na frekvenci update se mírně snižují. V případě příchodu nových mechanismů šíření virů nebo nových rozšíření, které mohou být příslušným druhem viru napadnuté, může i sebelepší heuristický antivir totálně selhat. Taktéž je potřeba vzpomenout existenci různých protiheuristických triků. Ty se z pochopitelných důvodů zaměřují na nejrozšířenější antivirové programy. Při analýze virů a trójských koní napsaných
ve vyšším programovacím jazyku (Visual Basic, Visual C, Delphi apod.) je navíc heuristická analýza téměř
nepoužitelná.
30
Zálohování dat
Zálohování dat
Připomeňme si úplně elementární opatření, které může předejít nejhoršímu - ztrátě vašich dat (databází
vašeho účetnického programu, vaší korespondence, zdrojových kódů nebo vámi vytvořených multimediálních souborů). Ztráta výkonných souborů používaných aplikací nebude kromě ztráty času velkým problémem pro lidí vlastnící jejich originální instalační verze. Tímto opatřením je zálohování na jiné médium
(z tohoto hlediska se nejbezpečnějšími ukazují výměnná média skladovaná fyzicky na jiném místě než počítač, ale samozřejmě je možné i zálohování na druhý pevný disk, síťový disk a podobně). Řeší se tím problém nejen destrukce virem nebo trójským koněm, ale i neúmyslného smazání dat, hardwarové chyby
počítače (pevného disku), krádeže počítače, požáru apod. K tomuto účelu je možno doporučit vhodný typ
vysokokapacitního výměnného média, jako CD-ROM disky, ZIP média, LS-120 média a další, s výhodou
kombinované s vhodným typem komprimace dat (WinRAR, WinZip apod.), což jednak výrazně snižuje nároky na kapacitu výměnných médií nebo při aplikaci redundantního kódování (formát RAR nebo ARJ)
umožňuje obnovu dat i při jejich částečném poškození.
Jedním z dnešních nejlevnějších řešení zálohování zřejmě bude pořizování záloh na CD-R médium
s použitím vícesekčního (multisession) zápisu. Vypalovací jednotku i média CD-R dnes totiž pořídíte výrazně levněji, jak média ZIP, LS-120 nebo magnetooptiky a už vůbec nemluvě o speciálních řešeních pro zálohování v podobě různých páskových jednotek apod.
Proces zálohování je třeba organicky zapracovat do pracovní náplně zodpovědných pracovníků nebo do
vlastního rozvrhu práce - např. každý den na konci pracovní doby, každý pátek po obědě a podobně.
Sortiment metod šíření počítačových virů a jiných druhů infiltrací se neustále rozšiřuje a neustále přibývají nové, často s využitím připojení počítače na internet. Základním předpokladem existence jakéhokoliv
druhu infiltrace je ale vždy nějaká bezpečnostní díra v operačním systému nebo v rámci něho používaných
aplikacích spojených ruku v ruce s naivitou a nevědomostí relevantního počtu jeho (jejich) uživatelů. Proto
rozvaha a informovanost jsou spolu s výkonným, správně nakonfigurovaným a dostatečně často aktualizovaným antivirovým programem tou nejlepší zbraní vůči na každém kroku číhajícímu nebezpečí zavlečení
infiltrací na počítač.
Zálohu dat můžete
provádět ve Windows
i bez zálohovací jednotky – do souboru
31
Viry a počítače
Co se dá najít zadarmo
Je to tak trochu parafráze na starší článek mého bývalého kolegy do již zaniklého časopisu Win. A proto
začnu poněkud oklikou. Mnohokrát se objevují různé nabídky, že můžete získat něco zadarmo, a vy posléze
zjistíte, že to až tak zadarmo nebylo. Z mimopočítačové sféry si jen tak matně vzpomínám na akci, která se
jmenovala, dejme tomu, Mistr kuchař. Začalo to rozesláním pěkných barevných kartiček s kuchařskými návody na přípravu jídel a nabídkou, že vám může být zdarma zaslán ještě větší vzorek, a to dokonce
i s pořadačem. S tímto druhým vzorkem pak ovšem zasílající posílal i složenku na jistý obnos, který se později z adresátů snažil dostat. Ti slabší po několika upomínkách a pod pohrůžkou soudního vymáhání zaplatili, ti silnější odolali. Zajímavé je, že firma se pak neváhala obrátit na firmu specializovanou na vymáhání
pohledávek, která zkoušela peněžní částky za Mistra kuchaře vymáhat i na rodinných příslušnících toho,
kdo si nabídku vzorků objednal. Ti, co nereagovali ani na výhružky, však nakonec vyhráli, neboť celá akce
vymáhání vyšuměla do ztracena. Tak to byl první, poněkud odstrašující, případ nabídky zadarmo.
Jiné nabídky se objevovaly na internetu a kolem roku 1995 jste mohli najít mnoho nabídek zdarma vedených emailových schránek, volného prostoru na internetových serverech k vytváření vlastních stránek,
atd. Většina těchto nabídek přicházela z USA. A tak jsem si i já zřídil zdarma schránku na usa.net, do které
se dalo přistupovat POP3 protokolem a tak si stahovat poštu přímo do vlastního poštovního klienta. Po
dvou, možná třech letech však byla služba POP3 zpoplatněna (pro obyvatele USA jistě zcela zanedbatelným
poplatkem) a ti, co platit nechtěli, se už museli na poštu dívat pouze přes http. Letošním posledním zářím
schránky na usa.net zanikají úplně. Podobný osud potkal i „obyvatele“ serveru theglobe, kteří si mohli vytvářet svoje www stránky, zapojovat se do různých komunit a chatů a samozřejmě také mít svoji vlastní emailovou schránku. Také tyto služby už skončily, do 15. září byly zachovány pouze schránky.
U nás jsme zatím na tom ještě lépe než v USA, protože nabídky schránek, prostoru na serverech a zdarma připojení k internetu zatím nezmizely. Jde pouze o to, zda všechny tyto nabídky postupně neskončí podobně jako dva výše uvedené příklady z USA.
S nabídkou software zdarma, a ne zrovna malého balíku, přišla u nás první společnost Software602
v lednu 2000 (nepočítám nabídky Linuxu a aplikací na tomto systému běžících), a to s kancelářskou aplikací
602Pro PC Suite 2000 a také s programem WinBase602 SQL Server. Balík 602Pro PC Suite je funkční aplikace odpovídající balíku Microsoft Office, některé dnes už standardní funkce, jako je například kontrola
pravopisu, si však musíte dokoupit. Zde upozorňuji, že také při importu do Wordu je u importovaného textu
nastaveno, že se nemá kontrolovat pravopis. Takže zřejmě jedinou možností, jak natáhnout text do Wordu
s možností následné kontroly pravopisu, je natažení prostého textu bez jakéhokoliv formátování.
Akce software zadarmo se stala solí v očích mnohým obchodníkům a hlavně pak Microsoftu. Tehdejší
ředitel této společnosti v České republice dokonce prorokoval firmě Software602, že nepřežije rok 2000.
S despektem se o této akci zmiňovali i marketingoví odborníci a poradci. Software602 však zatím přežívá
a z hlediska nás uživatelů to je jenom dobře.
Antiviry zadarmo
Viry, ty se k vám dostanou zcela zadarmo a ani je nebudete chtít. S programy na odstranění virů už to
bude o něco horší. Prográmky antivirových nadšenců, které hasí aktuální virové epidemie, se dají na internetu určitě najít. Za zmínku určitě stojí česká Igiho stránka o virech, kde najdete většinu odkazů z druhé přílohy této publikace, některé soubory ke stažení i zasvěcené komentáře k posledním událostem ve světě virů.
Mně teď ovšem jde o komplexní antivirové systémy, které by snesly srovnání s akcí Software602. Jisté je,
že jsem nenarazil na antivirový prostředek žádného z proslulých virobijců, u kterého byste si zdarma ne-
32
Co se dá najít zadarmo
mohli stáhnout alespoň tzv. evaluation version, což je zkušební, plně funkční, ale časově omezená verze
normálního komerčního programu. Po skončení zkušební lhůty přestává program fungovat, některé však
pracují dál. Šetřílky upozorňuji, že mnohé programy po sobě zanechávají v systému „otisk“ a i při odinstalaci už nejde nainstalovat nová zkušení verze, respektive i po nové instalaci se objevuje hlášení, že čas
k vyzkoušení už vypršel. Pozor také u těchto zkušebních verzí na to, že mnohdy nemají aktualizovanou virovou databázi a tak si musíte zároveň stáhnout updatovací soubory.
Z toho, co bylo doposud napsáno by se mohlo zdát, že tedy něco opravdu zadarmo proti virům neexistuje. Od prvního června 2001 to však již neplatí, protože k tomuto datu se rozhodla společnost ALWIL Software spolu se svou distribuční společností ALWIL Trade uvolnit antivirový systém avast! a zpřístupnit ho
zdarma tzv. domácím uživatelům pouze za elektronickou registraci.
Postup získání tohoto produktu je zcela jednoduchý. Uživatel si stáhne z internetu (www.asw.cz nebo
www.alwil.cz) program avast!. Nainstaluje ho bez znalosti aktivačního klíče jako zkušební verzi, která je
plně funkční tři měsíce a během této doby si může produkt zaregistrovat. V tom případě obdrží unikátní aktivační klíč, který ze zkušební verze vytvoří neomezený produkt „avast! home“, včetně přístupu k aktivační
službě iAVS (inkrementální aktualizace virové databáze). Avast! home je určen jen pro domácí uživatele,
kteří nepoužívají počítač ke komerčním účelům, kterými se myslí například vedení účetních agend a vytváření webových stránek za úplatu. Zajímavé je, že ALWIL za domácí počítač považuje i přístroj v majetku
zaměstnavatele uživatele, který mu byl zapůjčen k domácímu používání. Pro všechny jiné účely, by si měli
uživatelé zakoupit některou z komerčních verzí avastu.
Zajímavá je také cesta, kterou marketingoví pracovníci ALWILu prošli, než zpřístupnili antivirový systém zcela zadarmo. A není nepodobná té, kterou prošel i Software602. Prvním krokem bylo zlevnění na
hranici 999 Kč, což byla akce, která přinesla prodej několika tisíc licencí. Po opadu zájmu přišla další cenová hranice, a to 499 Kč. Opět přibylo několik tisíc uživatelů. A nyní nastala otázka, zda distribuovat
a prodávat produkt za jedno sto nebo dvě stě korun. Při analýze se však zjistilo, že administrativní, účetní
a bankovní náklady by byly takové, že by nedocházelo k žádnému zisku, což vedlo ke konečnému kroku –
zpřístupnění produktu zdarma.
Uvidíme jak dlouho ještě tento trend vydrží, nicméně z hlediska nás, domácích uživatelů, platí zcela určitě rčení: jen houšť a větší kapky.
Část stránky Alwil software – http://www.anet.cz/alwil/czech/avahome.htm
33
Viry a počítače
Viry na jiných operačních systémech
Počítače Macintosh
Protože se stále v našich končinách mluví o PC a virech na nich, mohla by vzniknout mylná představa,
že uživatelé Macintoshů jsou virových nákaz ušetřeni, a tak bude nejlépe PC zahodit a pořídit si Maca. Pokud budete PC opravdu vyhazovat, tak dejte vědět a já si pro ně přijdu. Je totiž jasné, že ani na Macích se
virů nezbavíte. První viry se na těchto počítačích objevily v roce 1987 a nesly jména nVir a MacMag. Dnešní uživatelé si pak mohou pamatovat červa AutoStart, jehož invaze na macovské počítače byla poměrně nedávno, v roce 1998.
V dnešní době je známo více jak 40 000 různých virů a jen malá hrst z nich je zaměřena přímo na Macintoshe. Pokud používáte pravidelně obnovovaný antivirový prostředek, pak byste neměli přijít do žádných
problémů. Největšími šiřiteli antivirů pro Macintoshe jsou dobře známé firmy Symantec a McAfee. Zlí jazykové tvrdí, že chrání hlavně před makroviry, které napadají Microsoft Word 6, jehož rozšířenost mezi macisty je však mizivá.
Ale už na začátku jsme si řekli, že ani Macy se nevyhnou virové nákaze. Takovým nejpozoruhodnějším
virem z nedávné doby je AutoStart 9805, první známý Macintosh červ, který vznikl v Asii v roce 1998 a brzy se rozšířil po celém světě. Pokud byla možnost automatického startu CD a používala se součást QuickTimu nazvanou AutoStart, pak z nakaženého média červ a jeho různé varianty napadly Power Mac
systémy. Kontaminované systémy napadené z narušených souborů pak nevysvětlitelně havarovaly, případně
se objevovaly i jiné symptomy.
Viry napadají počítače tak, že se připojí k hostitelskému programu nebo jsou v zaváděcím (boot) sektoru
disket. Z těchto míst se kopírují na další soubory v systému, ale na další počítače se rozšiřují pouze náhodným kontaktem, kdy si uživatelé vymění diskety nebo provedou natažení infikovaných souborů. Červi, na
rozdíl od virů, ke svému rozmnožování nepotřebují hostitelský program a hledí se agresivně rozšiřovat do
dalších systémů. Trojský kůň je pak z tohoto pohledu zlomyslný program, který se tváří jako užitečný.
Červ AutoStart přiměl Johna Norstada k vytvoření sharewarového programu Disinfectant, který mnoho
uživatelů Maců spolehlivě používalo jako druhou volbu ke komerčním antivirovým programům. Později
Norstad sdělil uživatelům, že Disinfectant není vytvořen proti červům a doporučil jim zakoupení komerčního programu, jako například Virex nebo Norton Antivirus, jejichž vývojáři disponují většími prostředky pro
rychlé zareagování proti ohniskům nákazy.
Kombinace virů a červů, které poznali uživatelé PC systémů pod názvy I love you (Love Bug nebo Love Letter) a Melissa se sice na Macy dostaly, protože jejich hostiteli byly e-mailové programy. V Mac systémech ale nemohly nijak škodit, protože byly napsány ve VBScriptu, což je skriptovací jazyk, který Mac
OS nepodporuje. Někteří uživatelé však tvrdí, že tyto viry mohou napadat části Mac systémů, které se používají při emulaci PC, včetně Mac souborů mapovaných na tyto části.
Mnoho uživatelů Maců se seznamuje s makroviry pro Microsoft Word a Excel od roku 1997. Tyto makroviry jsou nezávislé na operačním systému a znají je tedy uživatelé microsoftích produktů na všech platformách. Viry jsou sice obecně stavěny na jeden operační systém, ale makroviry se drží v šablonách pro
Word a pro Excel, takže se s nimi seznamují jak uživatelé PC, tak uživatelé Macintoshů. Makroviry napadají Word a Excel, když otevíráte nakažený dokument. Infikované programy pak ukládají soubory s infikovanými šablonami, ve kterých se usazuje kopie viru. Virus se rozšiřuje dále výměnou dokumentů Wordu
a Excelu mezi uživateli. Word 98 a Excel 98 obsahují ochranu proti makrovirům, takže by si měli dávat pozor hlavně uživatelé starších verzí. Zde ovšem malá poznámka. Microsoft možná nazývá tuto ochranu
ochranou, ale nejde o nic jiného, než že se při zjištění maker v otevíraném souboru objeví varování před
34
Viry na jiných operačních systémech
možným virovým napadením. Nic méně, ale také nic více. Pokud zpracování maker povolíte, a ta byla napadena, pak šíříte viry dál. O žádnou skutečnou ochranu nejde.
Dalším terčem macovských virů jsou zásobníky HyperCard. Prvním známým HyperCard virem byl
MerryXmass, který sice nebyl destruktivní, ale při nákaze byla nahodile ukončována činnost HyperCard. Jiný nechvalně známý virus Blink způsoboval, že zásobníky se rozsvěcovaly a zhasínaly. Zde je nutno našim
čtenářům poznamenat, že HyperCard bylo prostředí pro programování, vytváření prezentací, různých školních úloh (například testů), her apod. Největší rozmach zažil HyperCard v letech 1993 až 1995, dnes však
už ani mnozí prodejci Maců a iMaců neví, co to HyperCard je. Nicméně na starších systémech toto prostředí
můžete najít a Norton Antivirus od Symantecu a Virex od McAfee nabízí proti těmto virům ochranu.
Jak u PC, tak i u Macintoshů se mnoho virů rozšiřovalo na počítačových hrách. Klasickým příkladem
takového „herního“ viru šířeného na Macintoshích je virus MBDF A, který se rozšířil za účinné pomoci
trójského koně, který byl instalován do hry Tetris. Vir napadá spouštěné aplikace, je funkční v systémech
System 6 a System 7 a neobsahuje destruktivní činnost. Virus napadá jádro systému, a proto musí systém
upravit a znovu zapsat na disk. Při této činnosti počítač vypadá, jako by zatuhl. Pokud během přepisu systému a domnělého zamrznutí počítač restartujete, narušíte operační systém tak, že nezbývá než ho znovu instalovat.
Viroví šprýmaři - rozšiřují dezinformace o neexistujících virech a virových napadeních - jsou téměř tak
velkým problémem, jako viry samotné. Například v roce 1999, kdy se začal šířit vir Melissa, dostalo mnoho
uživatelů e-maily podobné tomuto:
"Tato informace byla oznámena včera ráno firmou IBM; AOL uvedla, že jde o velmi nebezpečný vir,
mnohem horší než ´Melissa´, a že v současné době proti němu NENÍ léku. Jeden velmi nemocný jedinec
uspěl pouze za použití funkce Reformat z Norton Utilities, kterou kompletně smazal všechny dokumenty na
pevném disku. Vir ničí Macintoshe a IBM kompatibilní počítače. Jde o nový, velmi záludný virus a zatím
o něm ví velmi málo lidí."
Jako dodatek ke zbytečnému strašení uživatelů mají šprýmaři sklon vytvářet e-mailové zácpy tím, že
nabádají lidi k varování přátel a spolupracovníků o falešném viru. Výrobci antivirů seznamy takovýchto poplašných zpráv uvádějí na svých internetových stránkách.
Někteří experti na bezpečnost varují, že by v budoucnu mohly být hlavním zdrojem pro virová napadení
web stránky. I když se to zatím ještě nestalo, je možné, že vyvíječi virů začnou používat ActiveX a třeba také Javu pro psaní virů, červů a trójských koní. Ty si pak bude nevědomky stahovat člověk surfující po webových stránkách. Internetoví surfaři se za "pomoci" řízení ActiveX vystaví útoku viru na vlastní počítač
bez toho, že by sami něco stahovali, nebo otevírali e-mailové přílohy. Pisatelé virů by tak mohli dostat viry
do paměti RAM, poničit soubory a dostávat se na další soubory pomocí sítí a dalo by se vymyslet mnoho
dalších katastrofických scénářů.
Symantec například tvrdí, že Java je mnohem bezpečnější než ActiveX a měla by tedy napáchat mnohem menší škody.
Mezi nejznámější antivirové prostředky pro Macintoshe patří freewarový program Agax. Dále pak to
jsou BugScan, Disinfectant, Norton Antivirus for Mac, SAM (Symantec Antivirus for Macintosh), Vaccine
(freeware na odstraňování HyperCard virů), Virex for Macintosh (McAfee), WormFood a WormScanner.
Novell NetWare
Systém Novell se instaluje na disky serveru, jehož primární bootovací partition je dosovská. Proto je tedy splněn předpoklad pro šíření virů, které jsou určeny pro systém DOS a MS-DOS. Pokud se vám také dostane nějaký zavirovaný soubor na server, pak je více než pravděpodobné, že otevřením nebo spuštěním
35
Viry a počítače
daného souboru na pracovní stanici, bude tato stanice virem zamořena. Virus se může na novellovském serveru rozšířit pouze do míst, kam má uživatel, který ho do systému zavlekl, přístup. Uživatelská oprávnění
jsou na NetWare poměrně přísná a největší nebezpečí hrozí pouze v případě, kdyby vir získal oprávnění pro
správce sítě (do verze 3.12 se správce nazývá supervisor, od verze 4.0 admin[istrator]). Pro přímé napadení
systému serveru by musel mít vir charakter zaveditelného modulu NLM (NetWare Loadable Module) – to
pro systémy od verze 3.11 a existence takových virů zatím není známa.
Přesto světoví producenti antivirových programů nabízejí antivirové systémy přímo pro Novell NetWare, a to v podobě NLM modulu, který se instaluje přímo na server. Antiviry pro Novell NetWare se chovají jako virus skener a „filtr“ současně. Kontrola zpracovávaných souborů je nepřetržitá. Soubory se
kontrolují na přítomnost virů přímo na souborovém serveru běžícího na Novell NetWare, a rovněž se kontrolují soubory při čtení a zápisu na disk. Způsob skenování umožňuje skenovat servery jak podle nastavení
administrátora sítě (použitím plánovače), tak na vyžádání. Ve „filtr“ módu jsou antiviry schopny kontrolovat
soubory "on-the-fly", neboli v momentě čtení či zápisu na server. Typickou charakteristikou NetWare antivirových systémů je detekce a odstranění všech známých typů virů, včetně polymorfních virů, stealth virů,
phantom virů, mutant virů a trojských koní (např. Back Orifice). Jsou schopny rozeznávat a odstraňovat také Windows, UNIX, OS/2 viry a Java applety, HTML viry a makro viry, infikující dokumenty Microsoft
Word, Excel, Access a PowerPoint. Samozřejmostí se jeví detekce a odstranění virů v souborech zabalených
PKLITE, LZEXE, DIET, COM2EXE a také detekce virů v ZIP, ARJ, LHA, RAR (včetně RAR 2.0) archivech. Vzhledem k velké rozšířenosti virů rozšiřovaných elektronickou poštou je součástí antivirových systémů také detekce virů v e-mailových přílohách nejpoužívanějších uživatelských poštovních klientů.
OS/2
Ani tento vynikající, bohužel však poměrně málo rozšířený, operační systém se virům nevyhnul. Mohou
v něm působit viry vytvořené speciálně pro OS/2, některé viry stavěné pod DOS a viry, kterým živné podhoubí tvoří jiné programy, například Microsoft Word nebo Excel. Činnost dosových virů je omezena tím, že
v OS/2 schází úplná podpora dosových služeb a chybí podpora přerušení BIOS Int 13h pro provádění diskových operací. Například v uživatelské příručce k OS/2 Warp je zmínka o Joshi viru, který způsobuje náhodné zamykání systému. Opravdových virů stavěných přímo pro OS/2 není mnoho a hlavně využívají
systémové funkce API pro práci se soubory. V nabídce známých antivirových systémů nechybí samozřejmě
ani verze antivirů pro OS/2.
Švýcarská AVP virová encyklopedie na internetu (http://www.avp.ch/avpve/) uvádí tyto tři viry, psané
přímo pro systém OS/2: OS2.AEP, OS2.Jiskefet, OS2.MyName.
Palm OS PDA
Operační systém pro tzv. handheldy, tedy počítače do ruky, se virům také nevyhnul, i když ze všech operačních systémů patří k nejmladším. Tedy virům, našel jsem zatím zmínku pouze o jednom viru, a to
o Palm/Phage-963. Pokud spustíte soubor napadený tímto virem, začne vir hledat spustitelnou zdrojovou
sekci pro jinou aplikaci na Palmu a přepíše ji virovým kódem. Poté se objeví prázdná obrazovka a program
skončí. Jde tedy o klasický přepisující vir, který ovlivní funkčnost zavirované aplikace a napadá další aplikace v systému. Producenti antivirových programů samozřejmě na tuto skutečnost zareagovali a ihned se
objevily antivirové programy. Namátkou jmenuji Kaspersky Anti-Virus nebo Sophos Anti-Virus.
36
Viry na jiných operačních systémech
Unix a Linux
Oba systémy mají natolik odlišnou architekturu od systému DOS, že prakticky znemožňují působení dosových virů. Také jádro systému je z hlediska bezpečnosti proti útokům virů dostatečně zabezpečeno, protože by podobně jako v Novell NetWare musel vir mít správcovská oprávnění přístupu. První útok by tedy
musel být na součásti jádra, které hlídají přístup uživatelů. Virové a virům podobné činnosti se v první řadě
vztahují k získání potřebných práv. V již zmiňované virové encyklopedii AVP nacházíme tyto viry: Linux.Bliss, Linux.Diesel, Linux.Mandragore, Linux.Siilov, Linux.Silvio, Linux.Vit.4096, Linux.Zipworm,
Peelf.2132 a Worm.Linux.Ramen. Jak vidíte, všechny uváděné viry jsou pro Linux a nejsou zde uvedeny
žádné přímo Unix viry. Neznamená to však, že Unixu se viry vyhýbají, nebo neexistují. Spíše jde o to, že se
tvůrci virů snaží znepříjemnit život uživatelům systému, který je v podstatě zadarmo (a zadarmo jsou
i mnohé aplikace), což je důvodem k vysokému rozšíření. Nejen operačních systémů, ale i virů. Pro operační systém Unix a systému jemu podobné jsou největší hrozbou trójské koně, mající za úkol získávat uživatelská jména a hesla. Cílem nejvyšším pak je získání hesla správce systému. Nejde tedy vlastně o napadení
viry, ale o napadení hackery. Nejznámější útoky jsou na počítačovou sít Pentagonu ze strany jistého jugoslávského studenta, rovněž průnik do vojenských počítačových systémů během vojenské operace „Pouštní
bouře“ (1991-1992) a hlavně pak tzv. Morrisův červ studenta Roberta Morrise (1988). Kde u nás v té době
byly nasazeny UNIX systémy? Tento červ nakazil několik tisíc počítačů a paralyzoval mnoho sítí, protože
se rozesílal v neomezeném množství kopií.
Mobilní telefony
Myslím, že letos na jaře se objevily typické Hoaxes, tady poplašné zprávy, že se objevil virus, který dokáže infikovat mobilní telefon zasláním krátké textové zprávy, tedy SMS. Nebylo by to sice nic až tak divného, neboť podmínky pro život takového vira by tu určitě byly. Vždyť každý mobilní telefon je takový
malý počítač a v řízení mobilních sítí se počítače jistě také nacházejí. Ale stůjme na zemi a nepodléhejme
panice. Zatím se žádný virus, natož pak posílaný esemeskou, neobjevil. Dialektičtí materialisté by na to jistě
mohli vztáhnout některou ze svých pouček, já jsem je naštěstí všechny dávno zapomněl.
Herní systémy
Zde bychom se mohli zastavit u současných herních konzolí Sega, Nintendo, Playstation a jiných.
Všechny tyto systémy jsou však natolik uzavřené a specializované, že vniknutí viru, natož pak jeho šíření
zřejmě není dost dobře možné. Hry se většinou spouštějí přímo z CD nebo z paměťových modulů, takže vir
by musel být přímo na těchto médiích. Také při prohledávání internetu na žádný odkaz týkající se této problematiky nenarazíte. Pouze majitelé – pokud ještě vůbec takoví existují – starších systémů Amiga nebo
Apple by se mohli setkat s nějakou podobou bootovacího viru. Připadá mi však, že tato skupina je již uzavřenou kapitolou vývoje domácích výpočetních systémů, a tedy naprosto nezajímavá pro tvůrce virů.
37
Viry a počítače
Nejznámější antivirové produkty
K nadpisu bych ještě dodal – v nabídce našich obchodníků a tvůrců antivirových systémů. Obchod
s antivirovými produkty zřejmě bude vždy celkem lukrativní. Přesto však firmy i produkty vznikají a zanikají, větší kupuje menšího, bohatší chudšího. Prostě normální koloběh života. Jen tak mimoděk si vzpomínám, že existoval ryze český produkt Tři psi. Užíval ho jeden z mých kolegů a dokonce ho jako dealer dále
rozšiřoval. Dnes už byste však Tři psy hledali marně. Nechtěl bych vám uvádět nějaké nepravdivé informace, ale pokud si vzpomínám, před nějakým časem mi kolega říkal, že dostal nabídku od Alwilu, aby přešel
na avast!, že vývoj Tří psů už nebude pokračovat. Alwil tedy zřejmě koupil od tvůrců Tří psů jejich produkt,
aby nedělal konkurenci avastu a zároveň tak získal do svého „stáda“ uživatele, kteří používali Tři psy. Proces globalizace, zde naznačený v malém, konečně sledujeme nejen v této oblasti. Možná nebude trvat dlouho a někdo silnější koupí Alwil i s avastem, místo něho bude nabízet svůj vlastní produkt. a zároveň si tak
uhryzne větší kus podílového koláče trhu.
Z výše uvedeného vyplývá, že následující výčet rozhodně nebude úplný a za nějaký čas navíc možná
úplně neaktuální. Ale co ve výpočetní technice má trvalejší charakter? Snad jenom to, že základní jednotkou
informace je bit, který nabývá hodnot 0 a 1.
Antivirový systém Norman
Je to jeden z těch levnějších produktů, které nabízí
u nás společnost AEC. Zajímavé je, že doposud nabízí,
a to i na svých internetových stránkách, verzi 4.81, zatímco už existuje verze 5. Nicméně i ve starší verzi odpovídá antivir Norman svým vybavením standardu
a kromě klasického skenování provádí také stálou rezidentní ochranu proti virům, která zde nese název Cat´s
Claw, tedy kočičí dráp.
Samozřejmostí je možnost updatování skenovacích
řetězců po internetu pomocí utility Norman Internet Update, jejíhož zástupce najde uživatel po instalaci ve skupině programů Norman Virus Control. S touto
aktualizací nebudete mít problémy, pokud ovšem nejste
připojeni na internet přes nějaký firewall nebo proxy. U
verze 4.X totiž nemůžete nastavovat žádné možnosti
připojení, a tak se může stát, že neproběhne korektní
přihlášení k updatovacímu serveru a aktualizace neproběhne. Jak jsem se informoval, u verze 5 už je možno
nastavovat parametry proxy serveru nebo firewallu. Pokud však vlastníte verzi nižší, pak zřejmě nezbude
než si stahovat updaty přímo s downloadovacích stránek AEC nebo firmy Norman.
Jak vidíme z obrázku, je použitá verze určena pro Windows
95/98/ME, ale Norman samozřejmě nabízí antivirové systémy pro
všechny operační systémy a jde jen o to si k tomu svému vybrat správnou verzi.
38
Nejznámější antivirové produkty
Vlastní antivirový program se spouští příkazem Norman Virus Control a otevírá okno s přehlednou nabídkou možné
činnosti. Kromě roletových nabídek tu jsou k dispozici tlačítka, pomocí kterých si můžeme vybrat požadovanou činnost. Vezmeme-li tlačítka zleva doprava, máme možnost
výběru všech pevných disků, všech lokálních disků, síťových disků. Disky které jsou v dané chvíli k dispozici se
zobrazují v dolní největší části okna a stiskem tlačítka (tedy
klepnutím myší) se příslušná volba potvrdí zatržením u zvoleného disku. Další dvě tlačítka znamenají zrušení volby
a výběr adresáře (složky) nebo souboru. Další tři tlačítka
jsou pro přednastavení akcí a spuštění plánovače. Třetí tlačítko zprava nabízí otevření virové knihovny s popisy virů,
kde se dovíte o vybraném viru to, co potřebuje k životu a také z čeho se skládá. Tak například o viru WM/Alien.A se
Startovací okno AV Norman
můžete dozvědět, že může být vyčištěn, že infikuje OLE2
dokumenty a potřebuje pro svůj „život“ Word 6/7. Také se dovíte, že sestává ze tří různých maker a také ze
tři maker potřebuje definici.
Zbylá dvě tlačítka jsou už pouze pro kontextovou nápovědu a pro ukončení programu. Jak můžeme vidět
z obrázku, je program, zřejmě péčí AEC, počeštěn, ovšem výraz scenování se mi zrovna příliš nelíbí.
Ovládací panel programu Norman Antivirus Control
F-Secure Anti-Virus
Dalším antivirovým systémem dodávaným firmou AEC je F-Secure Anti-Virus, na rozdíl od Normana
je ovšem pohříchu na opačném konci, co se pořizovací ceny týče – je jedním z nejdražších produktů na na-
39
Viry a počítače
šem trhu. Ovšem ceně odpovídá také úroveň poskytovaných služeb. Startovací okno, které vidíte na obrázku
se při startu F-Secure Antiviru jen mihne na obrazovce, ale dovíte se na něm, kdo systém vyrábí, kým je
produkt zakoupen a také údaj o volné paměti počítače. Stejné okno si ovšem můžete vyvolat v nabídce Nápověda > O programu.
Startovací okno
programu F-Secure
Anti-Virus
Instalací F-Secure Anti-Viru, stále ještě majícího v názvu „pro Windows 95“, nainstalujeme kromě vlastního antivirového programu také F-Secure Manager, který se
spouští po startu počítače a svojí činností, podobně ostatně
jako i jiné antivirové (a nejen ty) programy, poněkud zdržuje start Windows a rychlost připuštění uživatele
k činnosti na počítači vyvíjené. Zvláště markantní to je na
starších a pomalejších typech počítačů.
Jak vidíte, komunikuje program s uživatelem plně česky. F-Secure Manager, který se po startu počítače
objeví jako ikona na dolním panelu nástrojů, zabezpečuje zapnutí dynamické kontroly dat proti virům nazvané F-Secure Gatekeeper a dá se z něho spouštět také přímo F-Secure antivirus, aniž byste museli vyhledávat nainstalovanou skupinu programů F-Secure AV, ve které kromě zástupců pro spuštění F-Secure AV
pro Windows 95, F-Secure Manager a Odinstalaci F-Secure AV najdeme také zástupce pro přímé spuštění
skenování diskety A, pevných disků a sítě.
Gatekeeper, neboli dynamická ochrana proti virům umožňuje také zapnutí skenu vytvářených a přejmenovávaných souborů, u preventivních akcí si můžeme nastavit odepření přístupu ke všem infikovaným souborům bez rozdílu nebo s dotazem, zda je možno přístup povolit, nebo ne. Také si můžeme zvolit jednu ze
čtyř akcí, které by byly aplikovány při zjištění infikovaného souboru. Jednak se nemusí stát vůbec nic, další
volbou je možnost přejmenování nakaženého souboru, smazání infikovaného souboru nebo dezinfikování
infikovaného souboru.
40
Nejznámější antivirové produkty
Okno nastavení F-Secure Gatekeeperu
Okno spuštěného F-Secure Anti-Viru pro
Windows 95 pak nabízí možnost spuštění
přednastaveného úkolu, skenování (vlastně
scanování) disket A a B, síťových disků, nastavené složky a všech disků při nečinnosti.
Skenování všech disků při nečinnosti je taková standardní funkce (nastavitelná asi
u všech antivirových programů), která automaticky spouští skenování na viry, když po
určitou, uživatelem nastavenou dobu stojí
systém bez uživatelských požadavků. Skenováním pak vlastně preventivně prochází
celý disk, nebo lépe řečeno všechny aktuálně
aktivně připojené diskové jednotky.
Tlačítka akcí, která – jak je zvykem –
dublují položky z rozvinovacích nabídek
jsou umístěna na liště a mají následující akce. První tři umožňují vytvoření nového úkolu, který si uživatel vymyslí, zkopírování
stávajícího úkolu a smazání vybraného úkolu
(zleva doprava ve vyjmenované pořadí). Další trojice má za úkol spuštění, editaci a zobrazení výsledků právě nastaveného úkolu.
Další čtveřice pouze dubluje standardně nastavené úkoly skenování disket, složek a síťových disků. Následuje tlačítko pro zobrazení log souboru, ve kterém si můžete zkontrolovat výsledky dříve dělaných skenování s uvedením úkolu, data, času, hodiny a výsledku.
41
Viry a počítače
Dvě tlačítka vpravo od tlačítka zobrazení logu slouží k nastavení preferencí pro Antivirus a pro Gatekeeper a kupodivu otevírají naprosto shodné okno s následujícími kartami. Na kartě Obecné si můžete nastavit
komunikační jazyk a zvolit automatické ukládání úkolů, uložit nastavení oken při ukončení a nastavit, jestli
se mají plánované úkoly spouštět minimalizovaně. Na kartě Scanování si můžete navolit extenze spustitelných souborů a dokumentů a také činnost při nalezení viru. Zde máte dvě možnosti, buď pípnutí nebo zobrazení navolené zprávy. Na kartě Ochrana se volí zapnutí Gatekeeperu, na kartě Stanice naleznete jméno
stanice, jméno uživatele a licenční číslo tak, jak jste je zadali při instalaci. V případě, že jste používali zkušební verzi a zakoupili jste si licenci, můžete vepsáním licenčního čísla změnit zkušební verzi v ostrou. Na
kartě Reporty pak volíte, zda se mají nové výsledky přidávat za předchozí nebo se jimi mají přepisovat a také nastavujete co se má zahrnout do log souboru a jak dlouho mají být uchovávány staré výsledky – počítáno v řádcích výsledků. Standardní hodnota je 500 řádků.
Okno informací o virech, tlačítko WWW slouží k otevření strany s informacemi o virech u výrobce
Tlačítko se zeměkoulí slouží k vyvolání internetového připojení do F-Secure Antivirus Web Klubu, dále
pak tu je tlačítko pro vyvolání informací o virech a tlačítko pro kontextovou nápovědu o programu. Informace o virech jsou poměrně dosti obsáhlé a dalo by se říci téměř vyčerpávající. Jedinou závadou na kráse je
skutečnost, že vše je pouze v angličtině, takže uživatelé bez znalosti angličtiny si příliš nepočtou.
Poslední tlačítko slouží k volbě menšího zobrazení ovládacího panelu bez okna s řádky úkolů.
Dr. Web
Zajímavý antivirový program Dr. Web pochází z Ruska, z Petrohradu. Má rozhodně jeden z nejlepších
designů, však ho můžete – i když v tiskové podobě černobíle – posoudit sami.
42
Nejznámější antivirové produkty
Vzhled ovládacího panelu programu Dr. Web je opravdu povedený
Po provedené instalaci a nezbytné restartu počítače se na dolním panelu Windows objeví vedle času také
ikony programu. Jednak je to ciferník, který je zástupce plánovače Dr. Web
Scheduler a dále pak malý pavouček SpiDer Guard, který symbolizuje spuštěnou rezidentní ochranu proti virům. Klepnutím na ikonku pavouka pravým tlačítkem myši se dostáváme
na možnosti volby komunikačního jazyka, nastavení akcí, připojení k internetu pro aktualizaci virové databáze a spuštění hlavního programu Dr. Web for Windows 95-2000. Protože program Dr. Web nabízí dvě
slovenské společnosti, existuje k tomuto programu slovenská lokalizace. V nastavení pavouka si můžeme
vybrat mezi chytrým skenováním a možnostmi Run and Open nebo Create and Write. Můžeme zde zapnout
heuristickou analýzu, řízení virové aktivity, skenování bootovací diskety a natažení při startu počítače.
Okno updatovací utility
Na dalších záložkách můžeme nastavit skenované soubory, mezi nimi i e-maily, ale tuto možnost nemá
zkušební verze. Také si můžete nastavit druh akce s objekty rozdělenými na infikované, nevyléčitelné a podezřelé. Nechybí nastavení log souboru, cest k důležitým souborům a statistika.
43
Viry a počítače
Záložky pro nastavení SpiDer Guard
Nastavení pro hlavní program Dr. Web má ještě další karty nastavení, a to Events, kde se nastavuje
zvuk, který se přehraje při nalezení viru, pak poměrně důležitá karta Update, na která se dají nastavit i parametry pro proxy server a karta General, kde se dá nastavit automatické uložení při ukončení programu,
použití nastavení dle registru Windows a priority skenovacího procesu.
Karty nastavení Dr. Web – karta Update a nastavení Proxy
Narozdíl od jiných programů je ovládací panel velmi jednoduchý, tlačítka slouží pouze pro zobrazení
reportu provedených skenování, zobrazení skenovaného stromu, statistiky a výmazu statistiky a dále pak pro
44
Nejznámější antivirové produkty
vyvolání připojení k internetu a provedení updatu databáze virů. Tlačítkem i ikonou šroubováku vyvoláme
možnosti nastavení výše probírané a poslední tlačítko slouží k ukončení běhu programu.
Nastavení naplánovaných úloh skenování v Dr. Web Scheduler
Klepnutím na ikonu plánovače si otevřeme patřičné okno, kde už jsou připraveny dvě skenovací úlohy
a další si můžeme naplánovat sami.
Cheyenne Antivirus
Už od samého počátku instalace obrazovým doprovodem a také hned po restartu, ještě v dosovém módu
dává o sobě tento antivirový prostředek od Computer Associates International znát, že je silný. Zatímco obrazový doprovod ukazuje všechny možné odrůdy antiviru pro všechny možné systémy, hned po restartu se
v dosovém režimu spustí první antivirové kontroly a objeví se první tabulka výsledků. Pravda, trochu to
zdržuje start počítače, ale kdo by nepočkal, že?
Po plném nastartování se objeví v pravém dolním rohu ikona rezidentní kontroly, která se zde nazývá Realtime monitor a první, co se po instalaci a restartu objeví je nabídka vytvoření bezpečnostní startovací diskety. Tu vám nabídne ostatně hned po spuštění i hlavní
antivirový program, a to do té doby, než opravdu disketu vytvoříte, nebo zakážete tuto nabídku ukazovat.
Realtime monitor má po klepnutí pravým tlačítkem na ikonu možnosti výběru nastavení tohoto rezidentního
hlídače a také, které soubory má hlídat. Je vidět, že tento produkt opravdu počítá se zapojením do sítě, protože v tomto směru nabízí standardně hlídání příchozích i odchozích souborů, případně volbu hlídání pouze
směru ven nebo směru dovnitř. Ve skupině programů Cheyenne se samozřejmě
objeví utilita pro automatické stažení aktualizačních souborů z internetu, kromě
toho také poslední poznámky k produktu
a tlačítka pro start antiviru, rezidentního
monitoru a odinstalační utility. Při startu
45
Viry a počítače
antivirového systému se nejprve objeví tento obrovský obrázek, který není sice uživateli nějak příliš užitečný, ale aspoň dává najevo, že produkt už nějakou dobu existuje.
Produkt je opět velmi uživatelsky přívětivý,
zvláště efektní je výběr složek pro skenování
v adresářovém stromu. Vybírá se klepnutím
myši, přičemž při spuštění jsou automaticky
vybrány všechny dostupné položky a prvním
klepnutím se daná složka nebo soubor ze skenování vyřazuje.
Jak uvidíme na obrázku na další straně,
program automaticky zařazuje do skenování také strom, který bychom našli až pod ikonou
okolní počítače, tedy jak už bylo řečeno dává
důraz na síťové připojení. Je ovšem nedůsledností nebo spíše chybou Windows, že zobrazují
lokální počítač jako počítač síťový, takže vlastně uživatel si může v síťovém připojení vybrat i sám sebe. I když jsem zatím příliš nepracoval s Windows
ME, mám za to, že tato chyba možná byla v tomto systému již opravena. Ovšem přísahat bych na to nemohl
a nechtěl.
46
Nejznámější antivirové produkty
V okně rychlého spuštění aplikace si, podobně jako v jiných programech můžeme spustit požadovanou
úlohu, i když se musím přiznat, že já osobně mám raději, když naběhne prázdné okno a pak teprve si klepnu
na patřičnou mnou chtěnou funkci.
Spuštění Cheyenne AntiViru pro Windows 95
Jak vidíme, je ovládací panel opravdu přehledný a jednoduchý. Tlačítko s puzzle slouží k vyvolání nastavení vlastností skeneru, kde se dají nastavit typy skenovaných souborů, objekty ke skenování, typ skenování, heuristické skenování a vlastnosti jako automatické zobrazení výsledku, potvrzování akcí a zvukové
oznámení. Tlačítko s papírem a brýlemi otevírá okno s výsledky skenování a každý jednotlivý řádek lze
otevřít k získání detailní zprávy. Třetí tlačítko otevírá pouze informační okno o počítači (uživatel, operační
systém a jméno stroje) a o antiviru. Zbylá dvě tlačítka slouží ke spuštění a případnému zastavení skenování.
Jak vidět, v jednoduchosti je síla. A to by přitom Cheyenne měl umět skenovat všechny pakované soubory
včetně CABů, UUEncodů a Mime, nehledě na další přednosti a vymoženosti.
Kaspersky Anti-Virus (AVP)
Kaspersky Labs dodává stejnojmenný antivirový systém, který u nás distribuují hned dvě společnosti,
a to již vícekrát zmiňovaná firma AEC a také firma PCS. Zkušební verzi jsem stahoval od firmy PCS a ejhle, hned jeden zádrhel. Verze umístěná na webu je sice plně česká, ale její platnost a možnost ji používat
skončila 1. září 2001. Nějaké screenshoty jsem sice ukořistil, ale vždy mi to hlásilo, že verze je stará a nemá
platný klíč. Ano, tak i toto se stává a uživatelé by si na to měli dát pozor.
Jinak Kaspersky antivirus opět vypadá jako velký nástroj. narozdíl od ostatních produktů se okna produktů otevírají na celou obrazovku, takže budu mít vůbec potíž, abych vám vůbec nějaké obrázky dokumentující vzhled programu ukázal. Už při instalaci je uživatel vyzván, aby zadal přístupové heslo pro přístup
a správu komponent, aby někdo nezvaný nemohl měnit nastavení antivirového systému.
Na dolní liště se objeví po instalaci a restartu dvě ikony, jedna od Řídícího
centra AVP a druhá signalizující povolení AVP monitoru. V řídícím centru,
které se otevře po klepnutí na první ikonu se nastavují úlohy, kontrolují nainstalované komponenty a provádí nastavení antiviru. V nastavení se dá pracovat s položkou Zabezpečení, kde se nastavují úlohy chráněné
heslem a zakázané úlohy. Dále se zde nastavuje způsob hlášení, včetně možnosti posílat hlášení elektronic-
47
Viry a počítače
kou poštou. Také tu je možno nastavit vzdálené řízení při využití Síťového řídícího centra AVP. Nastavují se
zde povolené IP adresy pro vzdálené administrátory a také použité TCP/IP porty.
Pro využití multimediálnosti počítačů je možno ve volbě Přizpůsobení možno navolit různé zvuky pro
jednotlivé události a také si nastavit vlastní vzhled celé aplikace.
Tak to je vzhled řídícího centra AVP
Z řídícího centra lze spouštět jednak AVP monitor a dále aktualizaci antivirových databází a AVP Skener. Všechny možnosti jsou editovatelné a lze je nastavovat opravdu velmi pružně. Okamžité spuštění je
možno provést vybráním úlohy a stiskem tlačítka ve tvaru trojúhelníkunebo mít vše zaznamenáno
v plánovači a spouštět úlohy v naplánovaných časech.
Kromě řídícího centra se také nainstaluje AntiViral Toolkit Pro, kterým lze skenovat jednotlivé objekty,
pevné disky a diskety. Jak už jsem výše napsal, stažená zkušební verze nebyla zrovna příliš aktuální, protože
měla databázi z 24. října 2000. Ovšem i tak obsahovala 40043 známých virů. Zde se nabízí srovnání například s programem Dr. Web, který avizuje asi 25000 virů v databázi. Je sice jasné, že databáze by asi nemusely obsahovat úplně všechny vzorky známých virů, protože mnohé jsou naprosto nefrekventované, ale co
kdyby? Zajímavé ovšem je, že zatímco dolní stavový řádek okna programu hlásí výše uvedené číslo
v nabídce Nápověda > O programu najdeme údaj známých virů 28590 i s datem stejné poslední aktualizace.
Tak teď opravdu nevím, čemu mám věřit. Možná si ze mne a potažmo i z vás dělají autoři antiviru legraci.
Ale pojďme dále. Na kartě Umístění si můžeme zvolit některou jednotku s daty (nebo všechny) a začít
přímo skenování. Na kartě Objekty se dají nastavit oblasti skenování (paměť, sektory, soubory, atd.) a maska souborů (inteligentní, programy, všechny soubory, uživatelem definované nebo s maskou pro vynechání).
Na kartě Akce se nastavuje, co se má dělat s infikovanými a podezřelými soubory. Na kartě nastavení se za-
48
Nejznámější antivirové produkty
pínají nebo vypínají možnosti upozornění, analýzy kódu, hloubkový sken, zobrazení čistých objektů a typu
komprimace v logu a také jméno a velikost souboru výsledných zpráv. Karta Statistiky už jen zobrazuje holá
čísla o počtech skenovaných sektorů, souborů, adresářů, archívů a komprimovaných souborů a počty nalezených známých virů, těl virů, desinfekcí atd.
Průběh skenování pevného lokálního disku C
avast!3
Tak takto se jmenuje antivirový systém firmy Alwil software. A navíc se opravdu píše s malým „a“ na
začátku. Píšu sice o tomto systému ještě na jiném místě této publikace, ale zde se díváme hlavně na uživatelské prostředí a tak nás až tak nebude zajímat, že tento produkt si můžeme do domácího použití pořídit
zcela zadarmo.
Je to také první ze zde popisovaných programů, který zcela nepokrytě tvrdí, že umí skenovat také došlou a odcházející poštu a už
v průběhu instalace se ptá na takové věci, jako je
server příchozí a odchozí pošty a jestli má obojí
kontrolovat. Zajímavé je, že uživatelé Microsoft
Outlook nemusí tito ochranu instalovat, protože
by měla být integrovaná přímo do produktu. Pokud ale používáte Microsoft Outlook Express,
jako já, nebo používáte úplně jiného klienta, pak
si určitě tuto možnost nainstalujte. Můžete i zvolit možnost přidávání zprávy do e-mailu o antivi-
49
Viry a počítače
rové kontrole odcházejícího obsahu. Někteří uživatelé toto upozornění vidí rádi, mně ovšem již jednou přišel e-mail s tímto tvrzením (od jednoho nejmenovaného domácího produktu) a přišel i s makrovirem. Ha,
ha. Přiznám se, že mne to tehdy opravdu docela rozesmálo, už jen proto, že mnou používaný antivir to poznal a neprodleně mi potencionální nákazu oznámil.
Průvodce instalací ochrany elektronické pošty Avast
Rezidentní ochrana počítače a elektronické pošty je signalizována na panelu vpravo dole malou animovanou ikonou modrého majáku (velký je tam
stále, ten malý se objevuje, pokud otevřete poštovního klienta), který tak rádi
používají vládní činitelé a velcí podnikatelé. Ti první většinou zcela legálně, ti druzí nezákonně. Ale to sem
nepatří. Ve volbách ikony majáku je možnost otevření hlavního dialogového okna a okna s globální konfigurací. Obě si ukážeme na další stránce, protože na tuto se už nevejdou. Proto se pojďme podívat na hlavní
aplikaci. Při první spuštění si vyžaduje ponechání času na vytvoření porovnávacích databází. Je to poněkud
nepříjemná záležitost
z hlediska času, ale pokud chcete, aby vše
fungovalo tak, jak má,
musíte databázi integrity nechat udělat. Pokud
totiž neuděláte databázi
hned, bude vás tato záležitost otravovat při
každém dalším spuštění.
50
Nejznámější antivirové produkty
Po spuštění antivirového programu si můžeme vychutnat ten nejmenší a nejkompaktnější ovládací panel, jaký jsem zatím u antiviru viděl. Nemá sice nějak příliš velkou hodnotu grafickou, ale je účelný a jednoduchý.
A ikonky pro volby skenované
oblasti, které se podsvěcují
v případě, že je vyberete, jsou
prostě skvělé. Po vybrání disku, diskety, síťového disku,
CD-ROMu nebo složky už používáme jen tlačítka jak u přehrávače záznamů pro spuštění,
pauzu a stop. Poslední funkční
tlačítko je pro zobrazení výsledků skenování. Jak se zdá,
tak je tento produkt také celkem příznivě hodnocen i ze
stran konkurence, takže nic neOvládací panel antiviru avast!
stojí v cestě k jeho ještě většímu rozšíření.
Teď ještě ta slíbená okna s globální konfigurací a hlavní dialogové okno rezidentní ochrany.
Tak toto je hlavní dialogové okno rezidentní ochrany
51
Viry a počítače
Globální konfigurace rezidentní ochrany avast.
AVG
AVG je produktem tuzemské firmy Grisoft. Firma je velmi agilní a díky celkem agresivní reklamě
v časopisech, novinách a na billboardech a také díky tomu, že má smlouvy s některými výrobci hardware
o jakési OEM instalaci produktu AVG, získala poměrně velký počet zákazníků a tedy uživatelů. Jisté je, že
program umí vše to, co bylo zmíněno u předchozích programů.
Vytvoření záchranné diskety
Nastavení ochran
Už při instalaci si zapínáte možnost rezidentní ochrany počítače, také volíte sledování elektronické pošty a spouštíte AVG Control Center spolu s Boot-Up Scannerem. Systém také nabízí vytvoření záchranné
52
Nejznámější antivirové produkty
diskety, jako jiné systémy renomovaných firem. A navíc je celý program opravdu dobře komponován graficky.
Hlavní panel antivirového programu AVG
Nahoře vidíte vzhled řídícího panelu antiviru AVG. Vlevo je stavové okno, vpravo tlačítka pro spuštění
kompletního testu a testu výměnných zařízení. Funkce dolních tlačítek je také zcela zřejmá už podle názvu.
Přesto bych se rád zmínil o tlačítku Info, pod kterým mimo jiného také najdete knihovnu virů a informace
o nich. A pozor, zde jako asi u jediného programu, jsou všechny informace o virech v češtině a nejsou zrovna na slovo skoupé. Prostě, kdo si chce počíst, tak si opravdu počte.
Je samozřejmé, že i AVG nabízí možnost spouštění a nastavení přímo z ikony
u hodin. Ikona jednak signalizuje spuštěnou rezidentní ochranu a také je možno
zde nastartovat AVG Control Center a také spustit antivirový program AVG. V plánovači můžete stejně jako
u jiných programů navolit určité úkoly a časy, kdy se mají provést.
Závěrem bych se u této kapitoly rád zmínil o tom, že vypsaný přehled rozhodně neměl být přehledem
kompletní nabídky, protože jen na mé pracovní stanici zůstalo ještě několik nenainstalovaných antivirových
programů jako Nod32, Norton Antivirus, Panda, PCcilin a Sophos, tedy další jistě známé firmy i programy.
A také tu nemělo jít o nějaké výkonnostní porovnání, to si jistě najdete v odborných počítačových časopisech.
53
Viry a počítače
Slovníček pojmů
ActiveX prvky – Řízení ActiveX jsou doplňkové prvky, které se mohou přidávat do webových stránek
pro zvýšení efektivnosti a funkčnosti. Příkladem mohou být animace, video, prostorové prohlížení, atd. Prvky jsou psány v programovacích jazycích (C, C++, Visual Basic apod.) a mohou být infikovány škodlivým
kódem.
Adresář (Directory) nebo také Složka (Folder) – Oba názvy označují nefyzické členění disku, do kterých jsou ukládány soubory. Ustavují metodu organizace dat na stejném principu jako u tradičních papírových souborů ve složkách a registraturách.
Adresářové viry (Cluster viruses) – Malá skupina virů, zastoupená například virem DirII. Tyto viry
modifikují vstupy adresářové tabulky tak, že virus je zaveden do paměti a spuštěn dříve než program, který
uživatel chce spustit. Léčení je poměrně snadné, ale zdlouhavé.
Antivirus – Program, který prochází paměť a diskové jednotky a hledá viry. V případě, že antivirus zjistí přítomnost viru, okamžitě o tom informuje uživatele a dle nastavení může provádět desinfekci souborů,
adresářů nebo floppy disků, které mohly být škodlivým kódem napadeny.
API (Application Program Interface) – V prostředí Windows speciální programové rozhraní pro komunikaci mezi programovými aplikacemi a jádrem systému, které mimo jiné umožňuje, aby při sdílení systémových zdrojů nedocházelo ke kolizím.
Applet – Program v jazyku Java, který se vkládá do webových stránek.
ASCII (American Standard Code for Information Interchange) – Standardní americký kód pro výměnu informací je používán pro kódování znaků (písmen, číslic, interpunkčních značek, atd.)
v osmibitovém kódu.
ASCIIZ – Označení textových řetězců ukončených nulovým znakem \0. Souvislost s konverzí programovacího jazyka C a některých systémových záležitostí MS-DOSu.
Assembler – Programovací jazyk nejnižší úrovně, velmi podobný strojovému kódu. Program je zapisován přímo pomocí instrukcí procesoru (jejich zkratek) a může tak maximálně využít vlastností počítače.
Převážná většina počítačových virů je vytvořena právě v tomto jazyce. Termín assembler také označuje překladač zmíněného jazyka do kódu proveditelného procesorem. S příchodem OS Windows 9x/2000/NT se ke
slovu dostávají i vyšší programovací jazyky (C++, Delphi, Visual Basic apod.).
Atributy – Všem souborům a adresářům (složkám) jsou přiřazovány určité vlastnosti, zvané atributy.
Jsou to: Pouze ke čtení (read only), Archivní (Archive), Skryté (Hidden) a Systémové (System).
Autoexec.bat – Textový soubor obsahující seznam příkazů, které operační systém provede automaticky
při svém startu. Lze jej mimo jiné využít k automatickému spouštění antivirové kontroly, stejně jako k automatickému zavirování počítače hned po startu (v případě, že je napaden program, který je z tohoto souboru spuštěn).
BAT – BATCH files – Dávkové soubory, které mají příponu BAT. Jsou to textové soubory, které obsahují na řádcích dosovské příkazy. Pokud se dávkový soubor spustí, jsou jednotlivé příkazy na řádcích postupně prováděny. Nejdůležitějším souborem je Autoexec.bat, který se nachází v kořenovém adresáři
bootovacího pevného disku, a jeho příkazy se provádí při každém spuštění počítače. Od Windows 95 se význam Autoexec.bat omezuje pouze na nastavení národního prostředí pro programy využívající prostředí
DOS a pro připojení některých zařízení, také pro DOS (například mechanika CD-ROM).
BBS (Bulletin Board System) – Stanice nebo služba počítačových sítí, které slouží zejména jako zdroj
programů a pro čtení zpráv. V dnešní době vytlačeno používáním internetu.
BIOS (Basic Input Output System) – Pod operačním systémem (MS-DOS, Windows 95, Windows
NT) se nachází ještě jedna vrstva programů tvořících tzv. BIOS. Tyto programy jsou důležité pro vlastní
54
Slovníček pojmů
spuštění počítače a komunikaci mezi procesorem, operační pamětí, sběrnicí a perifériemi. Jsou uloženy
v paměti ROM. BIOS transformuje požadavky od programů na sekvence pro řízení hardwaru (disky, klávesnice, myši, tiskárny, monitory...).
Boot sektor nebo také Boot record – Tento sektor se nachází na začátku diskety. U pevného disku je
boot sektor na začátku dosovské části pevného disku. V boot sektoru jsou uložené důležité informace (velikost sektoru, počet sektorů na stopu, počet sektorů na disku, atd.). Kromě těchto údajů se v boot sektoru nachází i zaváděcí program. Jeho úkolem je začít proces zavádění operačního systému. Na místě zaváděcího
programu se může nacházet boot virus. Boot sektor se vytváří při logickém formátování.
Boot viry (Boot viruses) – viry infikující systémové oblasti disku. Mezi tyto oblasti počítáme boot sektory disket a MBR (Master Boot Record) pevných disků. Napadením těchto oblastí si vir zabezpečuje svoje
spuštění ihned při startu počítače. Natáhne se do operační paměti jako paměťově rezidentní a infikuje diskety nechráněné proti zápisu, v systémech s výměnnými pevnými disky se natahuje do MBR.
CARO (Computer Anti-Virus Researchers Organisation) – Organizaci CARO založili v roce 1991
Fridrik Skulason (Virus Bulletin), Alan Solomon (S&S International) a Vesselin Bontchev (Univerzita
v Hamburgu). Zavedli a specifikovali pravidla pro pojmenovávání virů. Základní pojmenování by mělo vypadat takto: Family_Name.Group_Name.Major_Variant.Minor_Variant[:Modifier], přičemž musí být používány pouze alfanumerické znaky [A-Za-z0-9_$%&!'`#-], mezery se nahrazují podtržítkem _. Například:
Yankee_Doodle. Jednotlivé části pojmenování viru musí být dlouhé maximálně 20 znaků. Nesmí být používány názvy firem, jména, atd. Ne všichni výrobci antivirových programů specifikace CARO dodržují. Nejvíce je v souladu s pravidly je antivirový prostředek F-Prot, nejméně pak asi antivirový program PC-Cillin.
CMOS (Complementary Metal Oxid Semiconductor) – Jiné, spíše hovorové, označení paměti BIOS,
podle druhu použitého integrovaného obvodu. Paměť CMOS obsahuje velmi důležité informace o periferiích a částech počítače a pro udržování jejího obsahu je v počítači instalována baterie. Virus může údaje v této paměti poškodit a tak znemožnit start počítače. Náprava je jednoduchá. Po výpisu ve smyslu "CMOS
XXXXX error" je umožněn vstup do programového okna, zvaného Setup BIOSu. Zde stačí obnovit defaultní hodnoty, nastavit správnou velikost pevného disku (pokud není nastaven parametr automatické detekce)
a nastavení uložit. Po restartu PC by mělo být již vše v pořádku. Častá domněnka uživatelů, že BIOS byl
napaden virem (ztrácí se nastavené hodnoty a parametry), je způsobena vybitou alkalickou „knoflíkovou“
baterií, nebo NiCd články s prošlou životností.
Config.sys – Textový soubor, který obsahuje konfigurační pokyny pro operační systém DOS a dosovské
jádro Windows. Nacházejí se zde příkazy pro zavádění potřebných ovladačů. Config.sys má podobný účel
jako Autoexec.bat, jehož příkazy jsou však prováděny až později.
CRC (Cyclic Redundancy Check) – Kontrolní součet. Číselná hodnota vypočítaná podle daného algoritmu na základě obsahu souboru (případně libovolných dat). Případná změna výchozích dat se projeví jiným výsledkem kontrolního součtu. Ve původní specifikaci se jedná o prostý součet všech bajtů souboru.
Programy však používají nejrůznější modifikace tohoto algoritmu s cílem zvýšit spolehlivost a snížit napodobitelnost tohoto součtu. Kontrolní součty bývají používány pro přesnou identifikaci viru a jsou též důležitou součástí kontroly integrity.
Cylindr – Označení pomyslného válce, ve kterém se nachází skupiny sektorů, které je možno číst nebo
zapisovat hlavičkami pevného disku bez změny jejich polohy.
Červ (Worm) – Viru podobný program, jehož úkolem je vlastní maximální rozšíření pomocí prostých
kopií svého těla. Hlavním nositelem infiltrace je elektronická pošta.
DDO (Dynamic Drive Overlay) – technika zpřístupnění plné kapacity pevných disků větších než 528
MB speciálním ovladačem, jehož jádro je instalováno do tabulky rozdělení pevného disku. Novější verze
BIOSů podporují tzv. mód LBA (Logical Block Access), který techniku DDO nahrazuje na nižší úrovni.
55
Viry a počítače
Debugger – Ladící prostředek (program) určený k vyhledávání chyb při tvorbě programu. Umožňuje
mimo jiné sledovat vykonávání programu po jednotlivých instrukcích, což jej činí neocenitelným pomocníkem při analýze počítačových virů. Autoři virů si jsou této slabiny vědomi, a proto používají programové
konstrukce, které mají za úkol trasování programu co nejvíce zkomplikovat.
Dekryptor – Úsek kódu viru, který zajišťuje převedení zakódované části viru do původní spustitelné
podoby. Nejčastěji se vyskytuje na začátku viru. Může mít konstantní podobu v různých generacích téhož
viru.
Dezinfekce – Akce, kterou provádí antivirový program po zjištění přítomnosti viru. Viry jsou při této
akci odstraněny a data (pokud je to možné) jsou obnovena.
Doprovodné viry (Companion viruses) – Doprovodné viry způsobují infekci s poměrně obtížnou detekcí, protože při jejich replikaci nejsou měněny ani soubory, ani systémové oblasti disku. Jelikož tyto viry
tvoří samostatné soubory, lze je odstranit pouze vymazáním infikovaných souborů. Odstraňování těchto virů
je rychlé, efektivní a bez ztráty dat. Jejich působnost je omezena na operační systém DOS.
DES (Data Encryption Standard) – šifrovací mechanismus na principu tajného kódovacího klíče. Při
komunikacích musí znát komunikující strany hodnotu tohoto klíče. Kódované bloky jsou 64bitové a kódovací klíč je 56bitový.
DOS, MS-DOS – Zkratka pro diskový operační systém, předpona MS znamená Microsoft.
Dropper – Program navržený s cílem instalovat virus do systému. Podstatné je, že virus je v tomto programu obsažen tak, že nemůže být detekován virovými skenery. Jinými slovy, dropper není program infikovaný virem a velmi často jsou jako droppery používány trojské koně. Dropper může svou funkci splnit tím,
že virus instaluje do paměti a nebo přímo infikuje nějakou proveditelnou jednotku při instalaci viru.
DTA (Disk Transfer Area) – Systémová adresa místa pro přenos dat, využívaná aplikačními programy.
EICAR (European Institute for Computer Anti-virus Research) – Na testovací sekvenci o délce 68
bajtů se dohodlo několik firem a soubor s touto sekvencí nazvalo "Standard Anti-Virus Test File". Vypadá
takto: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*. Dnes
tuto sekvenci znaků dokáží vyhledat prakticky všechny antivirové programy. Antivirové programy detekují
tuto sekvenci znaků podobně, jako by šlo o skutečný virus, ve skutečnosti jde o zcela neškodný, spustitelný
program. To má význam hlavně v situaci, kdy si uživatel chce ověřit, zda je jeho antivirový program opravdu schopen detekovat viry. V některých případech se totiž může stát, že antivirus se tváří jako zcela funkční,
ve skutečnosti je ale zcela nefunkční a není schopen detekovat viry. Příčinou může být např. kolize s jiným
antivirem v paměti apod. a nejste pak chráněni před útokem virů!
Emulace kódu – Postup, při kterém nejsou jednotlivé instrukce programu prováděny přímo procesorem, ale jsou zpracovávány speciálním programem. Takto lze kromě jiného velmi bezpečně sledovat provádění kódu a jeho vliv na počítač, s možností zabránit nebo změnit provedení nevhodné instrukce. Toto
bezpečí je ovšem vykoupeno poměrně značným zpomalením oproti normálnímu zpracování procesorem.
Falešný poplach – Situace, kdy antivirový program označí zdravý soubor, či jinou oblast, za napadenou
virem. To se může stát při náhodné podobnosti kódu neškodného programu s částí skutečného viru. Falešné
poplachy se vyskytují například u programů, které se nechovají (obdobně jako viry) k systému zcela korektně. Rozhodnutí o tom, zda je soubor skutečně napaden, nebo se jedná o falešný poplach je nejlépe přenechat
odborníkům. Příliš vysoké procento falešných poplachů může jinak účinný antivir znehodnotit.
FAQ (Frequently Asked Question) – Často kladené otázky k různým problematikám. Nejčastěji se objevují v počítačových problematikách, ale dnes je to již zaběhlá zkratka, používaná i v jiných oborech.
V české verzi známé také jako „čakloty“.
FAT (File Allocation Table) – Alokační tabulka souborů – systémová datová struktura, která mapuje
rozložení jednotlivých souboru na pevném disku nebo na disketě. Každý soubor na disku má k dispozici ně-
56
Slovníček pojmů
kolik klastrů. Pokud však chceme na disk uložit nový soubor, začnou být problémy s volným místem. Abychom nemuseli prohledávat systematicky celý pevný disk a hledat volné místo, je na začátku disku uložena
tabulka, ve které jsou informace o všech klastrech na disku. Mluvíme o FAT (File Allocation Table - tabulka
umístění souborů). Pro každý klastr je vyhrazena jedna položka ve FAT. V položce FAT je informace, zda je
klastr volný, obsazený nebo chybný. Ve FAT ale není informace, kterému souboru patří daný klastr (tato informace je uložena v každém adresáři společně s dalšími informacemi o souborech). V položce FAT pro daný klastr je uvedeno číslo dalšího klastru patřícího k danému souboru. V posledně jmenovaném klastru je
číslo dalšího klastru atd. až dojdeme na konec, kde je kód (end of file - konec souboru) pro konec souboru.
Z toho vyplývá, že ve FAT jsou jakési řetězce čísel klastrů, patřící pro každý soubor.
FCB (File Control Block) – systémová datová struktura, která mapuje rozložení jednotlivých souborů
na disku nebo disketě.
Firewall – Ochranná (protipožární) počítačová zeď, kterou se zajišťuje bezpečnost vnitřních sítí zejména proti útokům z vnějšku.
Formátování – Proces, při kterém se vytvoří důležité oblasti na disku. Disk se rozdělí na systémovou
oblast (místo pro boot sektor, FAT, a hlavní adresář) a údajovou oblast (zde jsou naše programy atd.). Aby
bylo možné formátovat (příkaz FORMAT), musí existovat Partition table, kterou je nutné vytvořit již předtím pomocí programu FDISK. Viry můžeme najít v systémové (boot viry) i v údajové oblasti (souborové viry, makroviry, atd.). Formátováním zlikvidujeme viry uložené v boot sektoru a viry souborové (popř.
makroviry apod.). Nezbavíme se však virů, uložených v Partition table (MBR). Těch se zbavíme dosovským
příkazem FDISK /MBR, který přepíše zavaděč v Partition tabulce obecně platným kódem.
Fronta instrukcí procesoru (prefetch queue) – V době vykonávání jedné instrukce je několik následujících instrukcí již načteno v procesoru, kde čekají ve frontě na své dokončení. Změna těchto instrukcí
v operační paměti již nemá na jejich provádění vliv, což může způsobit na pohled nepochopitelné chování
programu. Délka fronty instrukcí (tj. počet a velikost instrukcí, které jsou ve frontě uloženy) se u různých
typů procesorů liší.
FTP (File Transfer Protocol) – Služba internetu, která slouží pro přenos souborů. Dá se říci, že právě
služba FTP nahradila původní službu BBS.
Generické viry (Generic viruses) – Viry, které jsou založené na stejném základě a jsou si navzájem
velmi podobné. Obvykle vznikají drobnými úpravami již existujících virů. Typickým příkladem mohou být
makroviry, například W97M/Melissa apod.
Germ virus – Jako germ virus se označuje virus ve své nulté generaci. Germ virus vzniká například po
jeho kompilaci ze zdrojového kódu (ASM) do spustitelného tvaru (COM,EXE). Po vyléčení má soubor délku 0. Germem je například i tříbajtový COM soubor napadený virem testujícím délku své oběti a který se
normálně takto krátkým souborům vyhýbá. Obdobně může být germem i COM virus přeložený ze zdrojového tvaru do tvaru EXE. Zde se však dost obtížné odlišuje, zda se jedná o Dropper či Germ.
Hacker – Běžně používané označení člověka, který se snaží o neoprávněné přístupy do počítačových
systémů. Snahou hackerů je detailní poznání zkoumaného objektu a využití jeho případných slabin.
Heuristika – Obecná sémantická analýza kódu programu, která se používá k detekci neznámých virů.
Hlavní adresář (Root Directory) – Hlavní adresář má svoje specifické postavení. Místo pro něj je předem vyčleněno a proto obsahuje jen omezený počet položek. V hlavním adresáři mohou být soubory, podadresáře nebo "volume label" - název disku. V adresáři je mnoho údajů o jednotlivých souborech (např.
i počáteční klastr souborů). Každá položka v adresáři má 32 bytů.
HMA (High Memory Area) – Označení prvních 64 KB operační paměti nad hranicí 1 MB, do kterého
ovladač himem.sys natahuje rezidentní programy a ovladače.
57
Viry a počítače
Hoax - Hoax je emailová zpráva, která většinou upozorňuje na velmi nebezpečné, ve skutečnosti
neexistující viry. Nezkušený uživatel pošle tuto zprávu dalším lidem, aby je upozornil před nebezpečím
(které ve skutečnosti neexistuje...). Hoax se mnohdy šíří rychleji než skutečný virus.
Chat – Služba dovolující psanou konverzaci, která se odbývá na internetu. Na internetu a při použití
speciálního programu je možné konverzovat s neomezeným počtem jiných počítačových uživatelů.
Identifikace viru – Identifikací viru se většinou rozumí spolehlivé rozpoznání viru včetně jeho přesného určení. Takováto přesná identifikace má význam pro uživatele, který může lépe zjistit na čem je, tak pro
vlastní antivir, který může poměrně bezpečně provádět další akce, jako je například léčení.
In the Wild (ItW) – Seznam In the Wild (V divočině) vytváří asi 46 specialistů z celého světa. Do tohoto seznamu jsou zapisovány viry, které se v jednotlivých oblastech světa nejvíce vyskytují (jsou hlášeny
jednotlivými pozorovateli). Podle tohoto seznamu lze zjistit, jaké viry nás mohou nejvíce ohrozit.
Infekce – Akce prováděná viry, pokud se dostanou do počítačového systému nebo na ukládací zařízení.
Infitrace – Jde o termín s velice širokým významem. Počítačovou infiltrací můžeme označit jakýkoliv
neoprávněný vstup do počítačového systému a tím i do jeho dat, v našem případě s omezením na infiltraci
způsobenou trojskými koňmi, červy, backdoory a viry.
Instrukce – Elementární příkazy pro práci procesoru.
Intended virus - Obvyklé označení pro viry, které by měly dělat něco, co ve skutečnosti dělají špatně,
nebo vůbec. Mohou za to samotní autoři virů, kteří se často snaží vytvořit něco, na co programátorsky nestačí.
Internet – dnes již obecné označení celosvětové počítačové sítě.
Interrupt – viz Přerušení.
IRC (Internet Relay Chat) – Služba internetu, která umožňuje se podílet na psané konverzaci
s ostatními uživateli připojenými na stejný chat kanál.
JAVA – programovací jazyk používaný pro vytváření Web stránek.
Jokes – Označení pro žertovné programy, které simulují činnost virů. Patří do podobné sorty, jako Hoaxes – poplašné zprávy. Jejich úkolem je vylekání uživatele.
JVM (Java Virtual Machine) – Interpret javového kódu, který je nezávislý na provozované platformě.
Klastr (Cluster) – Pokud chceme přečíst z disku jeden byte nepřečte se z disku pouze požadovaný byte,
ale celý sektor, kde je tento byte uložený. Sektor je nejmenší skupina údajů, se kterou disk pracuje. Pro pevný disk je sektor příliš malé množství údajů. Proto se sdružuje více sektorů a vytvářejí se tzv. klastry.
Pokud se na disku přiděluje místo souboru, přiděluje se po klastrech. Pevný disk má většinou klastr veliký
4, 8 nebo 16 KB. Pokud máme klastr 8 KB a chceme na disk uložit soubor dlouhý 1 KB, zůstane 7 KB nevyužito (tzv. slack). Teoreticky může být v této mezeře uložen virus. Clustery jsou také číslované, ale číslování začíná od 2 (stopy od 0, sektory od 1). Systémová oblast (boot sektor, FAT, hlavní adresář) není pod
číslování klastrů zahrnutá. Velikost klastrů může být ovlivněna použitým souborovým systémem (FAT,
FAT32, NTFS apod.).
Klíč (Key) – Pojem známý z registru Windows, ve kterém jsou uchovány nastavení a konfigurace počítače ve formě hodnot nebo klíčů. Hodnoty těchto klíčů jsou měněny nebo vytvářeny při instalaci nových
programů nebo změnách konfigurace systému. Viry jsou schopny tyto klíče modifikovat a tak vytvářet zničující efekty.
Kontrola integrity (Integrity checker) – Kontrola integrity je založena na porovnávání aktuálního stavu důležitých programů a oblastí na disku s informacemi, které si o nich kontrolní program uložil při jejich
příchodu do systému nebo při své instalaci. Jestliže se do takto chráněného počítače dostane vir, většinou
na sebe upozorní změnou některého z kontrolovaných objektů a může být detekován. Takto je možné spo-
58
Slovníček pojmů
lehlivě zachytit i nové viry. Může však způsobovat plané poplachy v případě neobnovení kontrolní databáze
po provedených změnách v některých souborech.
LBA (Logical Block Address) – způsob adresování místa na pevných discích, kterým bylo umožněno
používání velkoprostorových disků.
Link – Viz Odkaz.
Logické sektory – Pokud pracujeme s diskem na nízké úrovní (na úrovni BIOSu), používáme adresování místa na disku pomocí čísla válce (cylinder), povrchu (hlava - head) a sektoru (sector). Jde o trojrozměrné adresování. Pro DOS je tato adresace nepohodlná a proto používá jinou adresaci, jednorozměrnou –
tzv. logické sektorování. Logické sektory začínají od 0.
Makro viry (Macro viruses) – Makro (nebo souhrn maker), které je schopno zkopírovat sebe sama
z jednoho dokumentu do druhého, se nazýváno makrovirus. Pro úspěšné šíření viru je vyžadováno několik
podmínek. Používaná aplikace musí být široce používána a musí docházet k výměně dat včetně maker mezi
jednotlivými uživateli a počítači. Všechny tyto podmínky dnes splňují hlavně programy MS-Word a MSExcel, a proto jsou zdaleka nejrozšířenější právě makroviry pro tyto dva programy, a to bez ohledu na používaný operační systém.
MBR (Master Boot Record) – tabulka rozdělení pevného disku (jinak Partition Table). Udává způsob
rozdělení pevného disku na menší logické disky.
MCB (Memory Control Block ) – Systémová datová struktura řídícího bloku paměti, sloužící správě
přidělování a uvolňování operační paměti programům.
Metamorfní viry – V napadnutém souboru se nenachází virus v klasickém slova smyslu. Napadený
soubor obsahuje jen kompilátor společně se zdrojovým pseudokódem viru. Při spuštění infikovaného souboru vytvoří kompilátor v paměti novou, pokaždé odlišnou kopii viru. Kompilátor neobsahuje žádné podezřelé
instrukce a virus je proto nedetekovatelný heuristickou analýzou.
Mezerové viry (Cavity viruses) – Mezerové viry dokážou napadají soubory bez prodloužení jejich délky. Mnohé soubory totiž obsahují nepotřebné nebo prázdné oblasti, do kterých se vejde i poměrně velký virus (například sem patří virus BackForm, s délkou 2 kB). Je smutné, že poměrně typickým příkladem
souboru "plných mezer" je COMMAND.COM, který je nutný ke spouštění dosovských i windowsovských
programů.
Multipartitní viry (Multipartite viruses) – Multipartitní viry se chovají jako bootové viry a zároveň
jako viry souborové. Jsou tedy schopny infikovat různé oblasti disku. Většinou je napadena tabulka rozdělení disku a současně některé typy souborů. Díky tomu jsou tyto viry "všestranné". Nejznámějším virem
z této kategorie je virus OneHalf.
Nerezidentní viry – Říká se jim „viry přímé akce“. Stačí jim, když jsou aktivovány společně s hostitelským programem. Pak přebírají řízení jako první. Provedou svoji činnost, nejčastěji replikaci, a předají řízení zpět hostitelskému programu. Replikací zde většinou rozumíme například napadení všech vhodných
souborů (postupně nebo naráz) v aktuálním adresáři, nebo napadení souborů uvedených v proměnné PATH
v souboru AUTOEXEC.BAT (platí hlavně pro operační systém MS-DOS).
Neviditelné viry (Stealth viruses) – Rezidentní virus, který se pokouší vyhnout detekci skrytím projevů
své přítomnosti v infikovaných souborech. Aby toto dosáhl, zachycuje virus systémová volání, která prověřují obsah nebo atributy infikovaných souborů. Výsledky těchto volání musí být změněny tak, aby odpovídaly původnímu stavu souboru. Takto pracovat může pouze tehdy, je-li rezidentní v paměti.
Odkaz (Link nebo také Hyperlink) – Na webových stránkách mohou být v podobě textu, obrázků, tlačítek nebo sekcí HTML dokumentu. Postavením ukazatele myši na odkaz a klepnutím tlačítkem se uživatel
dostává na jinou stránku nebo na jiné místo právě prohlížené stránky.
59
Viry a počítače
Operační systém (OS - Operating System) - Operační systém umožňuje uživateli komunikovat s počítačem (spouštět programy, kopírovat, komunikovat s periferiemi, atd.). V operačním systému MS-DOS jsou
nejdůležitější tři soubory, a to IO.sys, MSDOS.sys a Command.com. IO.sys slouží ke komunikaci s BIOSem a tím i s hardwarem, nachází se na druhém klastru v údajové části disku. MSDOS.sys tvoří jádro operačního systému a při startu počítače se zavádí hned po IO.sys. Pokud zaváděcí program v boot sektoru
nemůže soubor IO.sys nalézt, nahlásí chybovou zprávu: "Non-System disk or disk error". Command.com se
zavádí jako poslední. Tento soubor přijímá od uživatele příkazy prostřednictvím příkazového řádku –
promptu. Obsahuje v sobě i základní příkazy na kopírování, mazání, tisk a prohlížení souborů atd. Nejznámější operační systémy jsou MS-DOS, Linux, UNIX, OS/2, Windows 95/98/2000/NT/ME, atd.
Pancéřování (Armouring) – Tak je označována technika, kterou se viry chrání proti analýze vlastního
kódu. Při analýze virů analytici používají speciální programy zvané debuggery, které umožňují zkoumat
každý řádek virového kódu v jazyce, v jakém byl vir vytvořen. Viry, které používají pancéřování, takové
prohlížení znemožňují.
Parazitické viry (Parasitic viruses) – Jako parazitické viry jsou označovány ty, které při infekci změní
obsah cílového spustitelného souboru. Parazitické viry však, narozdíl od přepisujících virů, obsah cílového
souboru nepoškodí. Parazitické viry se dokáží umístit před původní program (prepending) nebo za něj (appending). Existují také parazitické souborové viry, které se vkládají do středu souboru (inserting).
Partition Table (Tabulka rozdělení disku) – Jinak také PaT nebo MBR (Master Boot Record). Operační systém Windows (popř. DOS) nám poskytuje možnost rozdělit pevný disk na několik částí (partií –
logických disků). Tyto části se pak jeví jako disky D, E, atd. Rozdělení pevného disku se provádí programem FDISK. Jen jedna část disku může být označena jako aktivní. Z této části (partie) se nahrává operační
systém při startu počítače. Údaje o rozdělení pevného disku jsou uložené v prvním sektoru na pevném disku, tvoří tzv. Partition Table (MBR či PaT). Poškozením partition tabulky se může stát pro uživatele disk
nepřístupný. Často se v takovém případě jedná o poškození virem. Kromě partition tabulky se v partition
sektoru nachází i krátký, tzv. zaváděcí program. Tento program se spouští vždy po startu počítače (při bootování). Tento program skočí na zaváděcí program v boot sektoru aktivní partie. Mnoho virů využívá tuto
oblast.
PGPP (Pretty Good Privacy Program) – Program sloužící k zabezpečení hlavně obsahu elektronické
pošty metodou šifrování s veřejným šifrovacím kódem.
Polymorfní viry (Polymorphic viruses) – Polymorfní (nebo také mutační) virus vytváří během replikace kopie, které jsou funkčně ekvivalentní, ale jednotlivé replikace se od sebe odlišují - mají podstatně odlišné řetězce bajtů. Virus náhodně vkládá přebytečné instrukce, zaměňuje pořadí nezávislých instrukcí
a nebo volí z mnoha různých kódovacích schémat. Tato proměnlivost (polymorfnost) činí virus obtížně detekovatelným, identifikovatelným a odstranitelným především skenovacími metodami.
Povrchy, stopy, cylindry – Pevný disk tvoří několik ploten na sebou, v disketě se nachází tato plotna
pouze jedna. Na každé straně těchto ploten se nachází hlava, která čte a zapisuje údaje z daného povrchu
plotny. Plotny se otáčejí a hlavička se pohybuje ve směru střed-okraj plotny. Místo, kde se můžou zapisovat
údaje tvoří soustředné kružnice na plotně (podobně jako na gramofonové desce). Soustředné kružnice na
povrchu plotny nazýváme stopy (tracks). Stopy pod sebou na jednotlivých plotnách vytvářejí cylinder, válec. Stopy i cylindry jsou číslované. Stopa 0 je vnější kružnice, poslední stopa je vnitřní kružnice. Stopy mají příliš velkou kapacitu na to, aby se pracovalo přímo s nimi. Proto je každá stopa rozdělená na menší části
- sektory.
Programy (Programs) – Soubory a dokumenty, které mají jméno a příponu, například EXE nebo COM
a dají se spouštět. Jména byla dříve omezena na 8 míst, nyní mohou mít délku až 255 znaků.
60
Slovníček pojmů
Přepisující viry (Overwriting viruses) – Virus přepisuje obsah cílového souboru vlastním kódem (tělem) a ničí tak původní obsah souboru. Takto infikovaný soubor je již nefunkční a nemůže být opraven. Po
jeho spuštění dojde pouze k aktivaci viru, který se ve většině případů rozmnoží do dalších spustitelných
souborů. Snad ve všech případech se jedná o nerezidentní viry.
Přerušení (Interrupt) - hardwarový nebo softwarový signál, který indikuje operačnímu systému provedení specifické akce. Ve virové problematice je přerušení nástrojem, pomocí kterého se dostane virus
k prostředkům BIOSu a DOSu. Bez těchto prostředků by se virus neuměl množit ani škodit. Přerušení můžeme rozdělit na přerušení vyvolané hardwarem (nemaskovatelné signálem NMI, maskovatelné signálem
INTR) a softwarem (instrukce INT, chyba běhu programu). Softwarová přerušení jsou na úrovni BIOSu,
DOSu a uživatelských programů. Viry pracují s přerušeními vyvolanými instrukcí INT (je jich 256, tj. 0255). Při tomto přerušení následuje skok na místo, kde je obslužný program. Adresa pro obslužný program
se nachází v paměti RAM, kde je tzv. tabulka přerušovacích vektorů (adres obslužných programů).
Tabulka začíná od adresy 0000:0000 a má velikost 4*256 bytů. Na 1 vektor (adresu) potřebujeme 4 byty (2
na segment a 2 na offset).
Přerušení INT 21h – Patří mezi nejvýznamnější přerušení, jelikož poskytuje uživatelovi služby DOSu.
Toto přerušení přesměruje většina rezidentních virů. Podle hodnoty vstupních údajů poskytuje uživatelovi
různé funkce. Každá funkce má požadované vstupy a dává jistý druh výstupů. Většinou v registru AH je číslo požadované funkce.
Přerušení INT 27h - Toto přerušení slouží na uschování programu, který přerušení vyvolal v paměti
(TSR programy). Vstup: V DX je relativní adresa prvého bytu volné paměti v programovém segmentu, tj.
v DX je adresa posledního bytu kódu, který zůstane rezidentní. Takto se uchovávají .COM programy. Když
jde o .EXE program, rezidentní část kódu musí být na začátku programu a má maximálně 64 KB.
Přerušení TSR (Terminate Stay Resident) – Přerušení používané v operační paměti (Ukonči, zůstaň
rezidentní), zneužívané rezidentními viry pro vlastní reaktivaci.
Přesměrování přerušení (Hook interrupt) - Přerušení jsou uložené v tabulce, která je v paměti RAM.
Pokud změníme některý vektor (adresu) přerušení v tabulce, pak po vykonání příslušného přerušení bude
následovat odskok do jiné oblasti paměti. Takto se můžeme postarat o to, aby se na místo původního obslužného programu vykonal náš program a po skončení našeho programu následuje skok na původní obslužný program (hook interrupt). Toho hojně využívají viry, ale i jiné rezidentní programy. Virus je uložený
v paměti a některé z přerušení má přesměrované tak, že ukazuje do těla viru. Jestliže nějaká činnost vyvolá
přerušení (např. prohlížení, čtení, zavádění programu), dochází k aktivaci viru a ten může infikovat program
(prohlížený, čtený, zaváděný) nebo způsobit škodu. Hodně virů se pokouší infikovat programy na disketě.
Jestliže je disketa chráněna proti zápisu, je indikována chyba 00. Jestliže není ošetřená, objeví se hlášení:
"Write protect error...". Takto lze často objevit méně kvalitní neznámý virus. Dobře napsaný virus má tuto
chybu ošetřenou a hlášení se neobjeví.
PSP (Program Segment Prefix) – systémová datová struktura u každého spouštěného programu.
Přejmenování (Rename) – Činnost, kterou uživatel nebo program (jakož i antivirus) mění jméno souboru a dává mu nějaké nové.
Přesměrování (Redirect) – Akce používaná k přesměrování příkazu na jinou adresu. Viry tuto funkci
mohou používat k přesměrování systému na jinou adresu než kam se obvykle obrací a spouští tam soubor, či
aplikaci.
RAM (Random Access Memory) – Typ operační paměti s náhodným přístupem pro čtení i zápis.
Registr Windows (Windows Registry) – Soubor využívaný operačním systémem Windows k ukládání
konfiguračních informací pro všechny programy instalované na počítač, stejně jako pro určení operačního
61
Viry a počítače
systému samotného. Konfigurační informace jsou uloženy v klíčích, podklíčích a jejich hodnotách. Mohou
se nastavovat a modifikovat uživatelsky, většina programů ale nastavuje ideální hodnoty při instalaci.
Replikace – Termín používaný pro akci, při které virus vytváří svoje kopie za účelem pozdějšího rozšiřování infekce.
Retro viry –Nejlepší obrana je útok – to je hlavním mottem těchto virů. Snaží se obejít a nejlépe znemožnit práci antivirovým programům. Proto je mažou, vypínají rezidentní ochrany apod. Pozornost si zaslouží virus Tequila, který odstraňuje kontrolní součty přidané Viruscanem do souborů.
Rezidentní viry – Paměťově rezidentní viry setrvávají ilegálně v operační paměti. Většinou při prvním
spuštění infikovaného souboru (u souborového viru) nebo při prvním zavedení systému z infikovaného boot
sektoru (u boot viru) se stane rezidentním v paměti a odtud potom provádí svoji škodlivou činnost. Virus
zůstává v paměti dokud není systém vypnut. Naprostá většina virů pro operační systém MS-DOS se umisťuje až na vrchol systémové paměti, pod mez 640 KB. Existují však i viry, které využívají nízkou systémovou
paměť, paměť videokaret apod.
RFC (Request for Comments) – Obdoba dokumentů FAQ, úzce technicky zaměřené internetové „normy“.
Root – Kořenový adresář, označovaný opačným lomítkem za názvem disku. Např.: A:\, C:\, D:\, atd.
ROM (Read Only Memory) – typ paměti, do které je informace zapsaná natrvalo a je z ní možné pouze číst.
RSA (Rivest, Shamir, Adleman) – Označení šifrovacího mechanismu na principu veřejného kódovacího klíče. Délka kódovaných bloků je většinou tvořena násobky 64 bitů. Čím větší délka klíče, tím větší bezpečnost zašifrování.
SCR soubory – Známé také jako skriptovací soubory (Script files). Mají příponu SCR a definují parametry (podmínky), pod kterými mohou být určité programy spouštěny. Umožňují tedy otevírat program
v souladu s dříve zadanými podmínkami.
Sektor – Diskový úložný prostor je rozdělen na sektory, které připomínají díly koláče, a stopy, které
tvoří soustředné kružnice. Kombinací dvou nebo více sektorů na jedné stopě dostáváme klastr, neboli blok,
což je minimální jednotka použitá pro uložení informace. Počet sektorů na stopu určuje velikost každého
klastru. Počet klastrů na diskovém povrchu určuje úložnou kapacitu disku.
Sekvence - Signatura - Řetězec (String) - Skupina bajtů vyskytujících se v tělech virů, podle kterých
je skener hledá.
SFT (System File Table) – Systémová tabulka, ve které se udržuje přehled o aktivních souborech. Maximální počet souborů je dán příkazem Files v souboru Config.sys.
Skener (Scanner) – První a nejstarší metodou je hledání virů podle řetězců (tj. podle sekvencí bajtů obsažených ve viru). Metoda sice vyžaduje pravidelnou aktualizaci (skener umí najít pouze viry, které zná), ale
nabízí za to jedinečnou schopnost rozpoznat napadený program ještě před tím, než ho začneme používat.
Dobré skenery jsou do jisté míry schopné rozpoznat i nové varianty starších virů, ale na tuto vlastnost není
možné příliš spoléhat. Autor viru je zde ve výhodě a má možnost si vyzkoušet, zda aktuální verze používaných skenerů jeho dílko odhalí, či nikoliv. Skenery zvyšují své šance na zachycení nové varianty tak, že používají více různých sekvencí pro jeden virus. To také umožňuje přesnější rozpoznání konkrétního viru
a snižuje pravděpodobnost falešného poplachu.
Složka (folder) – Viz adresář.
Soubor (File) – Je fyzicky místo, kde je na skladovacím zařízení (pevný disk, disketa, CD, atd.) uložena
daná informace, například text, obrázek, databáze, tabulka, atd. Každému souboru nebo dokumentu je dáno
jméno a přiřazena přípona (extenze). Přípona je tvořena třípísmenným kódem, který identifikuje typ soubo-
62
Slovníček pojmů
ru. Příklady přípon: EXE, COM – pro spustitelné soubory a programy, TXT – textové soubory, DOC – soubory textového editoru Word.
Souborové viry (File viruses) – Svého času nejrozšířenější skupina virů, jejichž hlavním hostitelem
jsou soubory. Další třídění je možné podle mnoha hledisek, například podle toho, jaké soubory při infekci
napadají - vždy to jsou proveditelné soubory (COM, EXE, SCR, atd.). Může se též jednat o souborové viry
infikující batové soubory (BAT), ovladače (SYS). Podle metody infekce můžeme souborové viry rozdělit na
přepisující, parazitické a doprovodné.
Standard Anti-Virus Test File – viz EICAR.
Stealth viruses – Viz Neviditelné viry.
Stopa (Track) – Soustředné kružnice pružného nebo pevného disku, na kterých jsou zapisována data.
Stopy jsou na disky zapisovány při formátování. Diskový prostor je organizován ve stopách a sektorech.
Šablona (Template) – Soubor, který některé aplikace používají k inicializaci nově otevřené práce
s přednastavenými standardními hodnotami nebo parametry. Například Microsoft Word používá šablonu,
která se jmenuje Normal.dot.
Šifrování (Encryption) – jedna z technik užívaných některými viry k zamezení jejich detekce antivirovými programy. Metoda, při které se viry zašifrují (zakódují) automaticky při každém přenosu infekce. Zašifrování je pokaždé jiné a pokaždé jsou jiné i řetězce a kódy. To značně ztěžuje práci antivirů a nejsou
schopny detekovat takový virus svým detekčním zařízením.
Trasování – Stav, kdy je kód prováděn po jednotlivých strojových instrukcích, přičemž po každé instrukci je možno analyzovat její vliv na stav počítače. Trasování programu lze provádět ručně (např. pomocí
debugeru) nebo automaticky (tak to dělají některé antiviry).
Trigger - Anglický termín pro spouštěcí podmínku, jejíž splnění má za následek provedení nějaké speciální, často škodlivé, činnosti viru (do té doby se vir snažil být co nejméně nápadný). Typickým příkladem
takové podmínky je dosažení nějakého data.
Trójský kůň (Trojan horse) – Trojský kůň je většinou program, který se na první pohled chová jako
zcela legální program, ve skutečnosti však tajně provádí škodlivé operace. Příkladem zcela typického trojského koně je falešná verze antiviru McAfee VirusScan, který ve skutečnosti pouze mazal bezbranné soubory na disku. Důležitou skutečností je, že trojský kůň není narozdíl od viru schopen množení a nepřipojuje se
k hostiteli (souboru). Trojský kůň se tak nejčastěji vyskytuje na počítači pouze v jednom exempláři - souboru, který v sobě neobsahuje nic jiného, než jmenovaného trójského koně. Z předcházejícího je zřejmé, že jedinou metodou, jak se trojského koně zbavit, je smazání dotyčného souboru.
TSR viz Přerušení TSR.
Tunelující viry – Viry se schopností vyhledávat původní adresy systémových, nejčastěji diskových služeb, a ty pak používat při práci s disky ve snaze obejít případný antivirový software. Ten totiž může, obdobně jako viry, obsahovat rezidentní část, která je nainstalována v paměti, má převzaty adresy systémových
služeb, monitoruje dění v systému a snaží se zabránit neoprávněným nebo podezřelým akcím. Jiný způsob
aktivního boje proti antivirovým programům spočívá přímo v manipulaci s rezidentní částí antiviru.
UMB (Upper Memory Blocks) – Oblast operační paměti mezi 640 KB a 1 MB (segmenty A000h až
FFFFh). Při použití ovladačů zaváděných v Config.sys je používána pro rezidentní programy a ovladače.
Vakcinace – Antivirový program si uchovává informace o souborech uložených v systému. Kdykoliv
detekuje nějaký rozdíl v datech mezi svými údaji a stávajícím souborem, upozorňuje na tuto skutečnost uživatele. Jsou dva druhy vakcinace: Vnitřní (informace je uložena uvnitř souboru samotného, což znamená, že
při spuštění si sám kontroluje jakoukoliv změnu) a Vnější (informace je uložena ve speciálně vytvořeném
souboru, který program používá ke kontrole s originálem na možné změny).
63
Viry a počítače
VBS (Visual Basic Script) – Jeden z nejpoužívanějších skriptovacích nástrojů pro internetové aplikace,
a to na straně klientů i na straně serverů. Z dílny Microsoftu.
Vir (Virus) – Název je odvozen z podobnosti chování těchto programátorských produktů s biologickými originály. Počítačový virus je taková forma počítačové infiltrace, která má schopnost vlastního množení
a infikování dalších systémů bez vědomí uživatele.
VRAM (Video Random Access Memory) – Obrazová paměť, kterou adresují grafické adaptéry
v grafickém i textovém režimu. Počáteční segment pro monochromatické adaptéry je B000h, pro barevné
B800h.
Výjimky (Exceptions) – Doplňkovou metodou k vyhledávání řetězců je vyhledávání výjimek. Pokud
virus používá nákazu od nákazy jiné řetězce, nedají se tyto detekovat normální metodou vyhledání řetězce.
Proto bylo vypracováno speciální řešení, kterým se takové zvláštní viry dají najít.
WAP (Wireless Application Protocol) – Bezdrátový aplikační protokol, který využívají mobilní telefony, které mohou provozovat služby webového charakteru.
WWW (World Wide Web) – Doslova Celosvětová pavučina. Označení pro milióny propojených dokumentů uložených na počítačích po celém světě. O Webu se dá hovořit od počátku roku 1989, i když počátky internetu sahají někam do roku 1960.
Zdrojový text programu – (jinak také "zdroják") – Výchozí tvar programu, kdy jsou jednotlivé požadované činnosti popsány v textové formě pomocí smluvených konvencí daného programovacího jazyka.
Zdrojový text nemůže být přímo spuštěn. Nejprve musí být překladačem převeden do binární podoby.
64
Příloha 1 – Příklady postupů odvirování
Příloha 1 – Příklady postupů odvirování
Záchrana dat po viru CIH
V zásadě vir maže MasterBOOT, DOS BOOT, celou první FAT, část druhé FAT, ROOT direktorář a část
dat za ním. Postup záchrany spočívá v ruční rekonstrukci těchto systémových oblastí nebo jejich obnovení
ze zálohy (pokud ji máte a není moc stará - FAT se mění při každém zápisu či mazání disku). Ruční záchrana záleží na dvou věcech: A) Typu použité FAT, tedy FAT 16 nebo FAT 32; B) Fragmentaci souborů na disku.
A - Máte-li FAT 32 (Win98, Win95, SR2 a podpora velkých disků), jste na tom lépe, protože FAT 32 je
delší a vir zpravidla nepřepíše zcela její druhou kopii.
Postup je následující:
1.
2.
3.
4.
Zjistěte, odkud je druhá kopie FAT 32 v pořádku a začátek nahradíte vzestupnou sekvencí 32 bit
(4 Byte) čísel od 01 00 00 00 (Intel obrácená notace)
Tuto druhou kopii FAT 32 přesadíte do místa první kopie FAT 32 (tedy C0H1S33)
Z rekonstruujte první kopie C0H1S1 až 32 master BOOT (MBR C0H0S1) a DOS BOOT. Pozor!
Liší se od klasických MBR a DOS BOOT sektorů pro FAT 16!
Pokud zůstal ROOT, stačí jen nabootovat Win95 SR2 ze spouštěcí diskety a data na disku uvidíte.
Můžete také bootovat z jiného funkčního disku s Win95 SR2 nebo Win98. Data, jejichž clustery ve FAT
32 jste nahradil vzestupnou sekvencí 32bit. čísel, budou čitelná a funkční pouze v případě, že byla v minulosti defragmentována.
B - Máte-li FAT 16 (Win95 před SR2 nebo s vypnutou správou velkých disků), jsou pryč MBR, DOS
BOOT, obě FAT 16, ROOT direktorář a několik prvních souborů.
Postup je následující:
1.
2.
3.
4.
5.
Na disku vyhledat fyzicky místa odpojených adresářů z ROOTu a poznačit si jejich clustery, popřípadě i fyzické lokace
Vytvořit FAT 16 - sekvenci 16 bit čísel od 1 - FFFF (pozor Intel notace)
Zrekonstruovat MBR a DOS BOOT (klasický)
Vytvořit pseudoadresářové entry v ROOTu a napojit clustery zjištěné v bodě 1.
Po BOOTu (DOS 6.22 či Win95 - dlouhé názvy) se objeví struktura
Poznámka k defragmentaci
Soubory, které jsou fragmentované, půjdou zachránit jen z části nebo vůbec ne. Dle mých zkušeností lze
zachránit cca 80% dat i když jste nedělali defragmentaci. Další roli hraje, zda byl soubor používán často
(typická databáze), čím častější používání tím vyšší fragmentace a nižší šance na obnovu. Také platí, čím
delší soubor, tím více clusterů a tím větší možnost jejich fragmentace. Bohužel neexistuje žádná utilita která
by disk zachránila sama, protože vir maže začátek disku dosti různě a disky mohou být různě konfigurovány
(od pondělka jsem měl na stole cca 30 disků). Popsaným způsobem se zachránila téměř všechna data, postup bohužel vyžaduje poměrně zkušeného uživatele.
65
Viry a počítače
Virus Pretty Park
Pokud vám poštou dojde zpráva obsahující v příloze program Pretty Park.exe, buďte ujištěni, že nejde
o žádný pěkný park, ale pěkně hnusný virus.
Pretty Park je tradiční trójský koník s označením W32/Pretty.worm.unp. Oficiální zdroje uvádí, že soubor má ikonku postavičky ze South Parku, konkrétně se jedná o Kylea. Ve zprávě, která mi došla, byla tato
ikonka nicméně viditelná až po přesunutí souboru ze zprávy na plochu. Jedná se o nekomprimovanou verzi
dřívějšího viru W32/Pretty.worm. Napadá Windows 9x/NT a šíří se přes e-mail. V případě, že spustíte program v příloze, nakopíruje se do souboru FILES32.VXD v systémové složce a upraví v registrech položku
command v klíči
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open
Z "%1" %* na FILES32.VXD "%1" %*. Bystřejší čtenáři jistě pochopí, že to znamená, že se bude
spouštět při každém startu libovolného EXE souboru. Virus se dále pokusí každých 30 minut rozeslat na
všechny e-mailové adresy v adresáři e-mailových adres kopii sebe sama.
Aby toho nebylo dost, ještě se připojí na IRC server a připojí se na určitý IRC kanál. Bude posílat a přijímat příkazy, aby z kanálu nevypadl. Autor viru potom může přes toto spojení získat přístup k vašim soukromým informacím, jako je jméno počítače, jméno a heslo do telefonického připojení sítě, cestu
k systémovému adresáři a podobně.
Jak virus odstranit
Když jste zavirováni, pamatujte na to, že musíte nejprve opravit změny v registrech a až pak soubor
smazat, jinak byste se nedostali ve Windows k žádnému programu a museli byste to řešit úpravou registrů
z příkazové řádky.
Nejprve upravte v registrech položku command v klíči
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open
Na původní "%1" %*
Pak smažte případné odkazy na hlavní soubor viru v klíčích:
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\RunServices\
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run\
Pokud existuje, tak smažte klíč
HKEY_CLASSES_ROOT\.dl
Zkontrolujte ještě v souboru WIN.INI v sekci [windows] položku run=, jestli tam není také uveden soubor viru. V souboru SYSTEM.INI se podívejte do sekce [boot] na položku shell=. Měl by tam být uveden
pouze explorer.exe, tedy shell=explorer.exe.
Restartujte systém.
Smažte soubor viru. Pokud systém hlásí, že jej nelze smazat, něco jste asi přehlédli a musíte zkontrolovat všechny body. No a nakonec si zapište za uši, že spouštět EXE soubory došlé e-mailem se prostě nedělá.
66
Příloha 1 – Příklady postupů odvirování
Code Red
Mediálně asi letošní nejznámější červ. A zde je postup, který se doporučuje provést pro jeho odstranění.
1) Instalace bezpečnostní opravy
Z http://www.microsoft.com/technet/security/bulletin/MS01-033.asp získáte potřebnou opravu - stáhněte a nainstalujte. Pokud tento krok neuděláte, bude vámi "odvirovaný" počítač velmi brzy znovu napaden.
2) Likvidace EXPLORER.EXE (trojského koně)
V Task Manager aplikaci najděte (mezi Procesy) Explorer.exe procesy – je možné (spíše jisté), že v seznamu bude explorer.exe vidět víckrát – jeden je trojský kůň, druhý je legitimní. Neřešte příliš, který je který, doporučujeme "sestřelit" (kill process – End Process tlačítko) oba (v okamžiku, kdy zrušíte legitimní
explorer.exe, dojde k "restartu" pracovní plochy).
Pokud chcete vědět, který je který, můžete to zjistit doplněním zobrazení o "Thread Count" sloupec –
trojan explorer.exe bude mít pouze jeden thread (vlákno).
Poté, co se vám podaří odstřelit explorer.exe, musíte zrušit soubor s trojským koněm - explorer.exe soubor je v C:\ a případně i v D:\ – vždy je ale označen jako System, ReadOnly a Hidden – příznaky systémovosti, pouze pro čtení a skrytosti, můžete vždy snadno odstranit pomocí
attrib -h -s -r explorer.exe
a poté můžete explorer.exe smazat prostým "del explorer.exe"
Nezapomeňte prověřit případný disk D: (pokud jej máte).
3) Likvidace ROOT.EXE
ROOT.EXE (přejmenovaný CMD.EXE) najdete zpravidla v
c:\inetpub\scripts
d:\inetpub\scripts
c:\program files\common files\system\msadc
d:\program files\common files\system\msadc
S tímto souborem nemusíte dělat vůbec nic jiného, než jej smazat.
4) Náprava klíčů v registry
Rozhodně nevynechejte tuto fázi – změny v registru (registry) jsou nebezpečné zejména v tom, že zpřístupňují celý disk C: (i D:) pro HTTP protokol! RegEdt32 slouží k opravě registru – před vlastními zásahy
je doporučeno vytvořit si záchrannou kopii Registry databáze.
Najděte
HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots
V pravém okně poté uvidíte "/C" a "/D" – obě takovéto položky (klíče) prostě smažte – jsou vytvořeny
trojským koněm, aby bylo možné přistupovat přes HTTP na C: a D:
67
Viry a počítače
V pravém okně poté najděte "/MSADC", uvidíte "217" – místo této hodnoty je nutné vložit "201" (čímž
dojde k nápravě "práv" v /msadc virtuálním adresáři)
V pravém okně najděte "/Scripts" a rovněž nahraďte "217" za "201"
Poté najděte
HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
a zde SFCDisable – hodnota v tomto klíči je opět chybná, je potřeba, aby tento klíč měl hodnotu "0"
(nula)
5) Restart systému
Po provedení kroků jedna až čtyři restartujte systém, aby se skutečně všechny změny a nápravy měly
možnost projevit.
I-Worm/Sircam.A
Jde o cca 134KB otesánka napsaného v Delphi. Soudě dle zašifrovaných textů pochází z Mexika:
[SirCam Version 1.0 Copyright (c) 2001 2rP
Made in / Hecho en - Cuitzeo, Michoacan Mexico]
Tento text mimochodem obsahuje i v poněkud "odtučněné" verzi:
[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
Posílá se mailem, který má jako subject jméno přiloženého souboru a jehož text sestavuje z těchto vět:
Hi! How are you?
See you later. Thanks
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for
Pokud má uživatel ve Windows jako preferovaný jazyk nastavenou španělštinu, tak se tomu virus přizpůsobí:
Hola como estas ?
Nos vemos pronto, gracias.
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informacion que me pediste
68
Příloha 1 – Příklady postupů odvirování
Přiložený soubor je vytvořen z vlastního těla wormu, za kterým je připojen náhodně vybraný soubor
(archív, dokument, spustitelný soubor) pocházející z infikovaného počítače. Původní jméno je zachováno,
worm si pouze připojí další příponu (pif, lnk, bat nebo com).
Po spuštění se Sircam nakopíruje do několika různých adresářů pod různými jmény:
SirC32.exe, SCam32.exe, SirC32.exe, ScMx32.exe,
Microsoft Internet Office.exe a rundll32.exe
Poté zrekonstruuje kopii dokumentu, pod jehož jménem dorazil a pokud jde o EXE file, tak ho rovnou
spustí (ve snaze nebýt příliš nápadný). Pro ostatní typy souboru se pokusí v
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\App Paths\\
najít vhodnou aplikaci k otevření: Winzip pro .ZIP soubory, Excel pro .XLS a WinWord (nebo alespoň
WordPad) pro .DOC.
Své pravidelné spouštění při startu počítače se snaží si zajistit zápisem do hodnoty Driver32 klíče
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices\\
a modifikací klíče
HKCR\\exefile\\shell\\open\\command
(stejný trik používá například I-Worm/PrettyPark).
Jako většina novějších virů se i tento umí šířit po sdílených discích v rámci lokální sítě. Na namapovaných discích preferuje adresáře \\recycled a \\windows a své spouštění se pokusí zajistit vložením řádky
@win a odkazem na virus do \\autoexec.bat nebo tím, že zamění systémový soubor rundll32.exe svou kopii.
Upozornění: Nemažte prosím soubory viru dříve, než opravíte záznam v registru – nebyli byste potom
schopni spustit žádný .exe soubor!
Postup odstranění viru ILOVEYOU
Předpoklady:
• operační systém Windows NT
• systém nainstalován na disku C:
• poštovní klient Outlook 2000
Pozor, vir modifikuje soubory a registry různě, podle stavu, ve kterém se nachází! Znamená to tedy, že
napadá počítač v několika vlnách!!!
1) okamžitě v Task Manageru ukončit proces wscript.exe
2) zavřít Outlook, Internet Explorer a neotvírat!
3) smazat následující soubory
c:\winnt\system32\mskernel32.vbs
c:\winnt\win32dll.vbs
c:\winnt\system32\love-letter-for-you.txt.vbs
c:\winnt\system32\love-letter-for-you.htm
c:\temp\love-letter-for-you.txt.vbs
69
Viry a počítače
c:\temp\love-letter-for-you.txt1.vbs
4) spustit regedit a smazat následující záznamy
HKLM\Software\Microsoft\Windows\Current Version\RUN\MSKernel32
HKLM\Software\Microsoft\Windows\Current Version\RUN\WIN-BUGSFIX
HKLM\Software\Microsoft\Windows\Current Version\RunServices\WIN32DLL
5) zkontrolovat
HKLM\Software\Microsoft\Internet Explorer\Main\Start Page,
pokud ukazuje na podezřelé místo, smazat!
6) preventivně v celém registru prohledat ještě jednou následující (a případně smazat):
mskernel32
win32dll
bugsfix
7) preventivně prohledat všechny lokální disky (a případně smazat):
mskernel32.vbs
win32dll.vbs
love-letter-for-you.txt.vbs
love-letter-for-you.txt1.vbs
love-letter-for-you.htm
win-bugsfix
8) Nové natažení systému
Po přihlášení smazat cache Internet Exploreru, dále otevřít Outlook a sledovat, zdali se již nic neděje.
Taktéž smazat (SHIFT + DEL) maily s virem z Doručené i Odeslané pošty.
Uvedený postup by měl eliminovat nekalou činnost viru. Samozřejmě neodstraňuje veškeré jeho následky, mezi ně patří kopírování viru do souborů s některými koncovkami. Pokud jste se dostali až do tohoto
stadia činnosti viru, pomůže vám snad jen reinstalace.
Vir nastavuje startovací stránku Internet Exploreru na jistý soubor s určitým EXE souborem. Pokud jste
po napadení virem otevřeli prohlížeč, je pravděpodobné, že se váš počítač pokusil tento soubor stáhnout
(v tomto čase 4.5.2000 13:13 je vyžadovaný web server naštěstí již nedostupný). První rychlý pohled do kódu tohoto exe souboru přináší velká překvapení - zasílá citlivé informace z vašeho počítače kamsi do Internetu a pak (spekulace podle obsahu) maže nastavení sítě.
70
Příloha 2 – Nejfrekventovanější viry
Příloha 2 – Nejfrekventovanější viry
Boot viry
AntiCMOS.A
AntiCMOS.B
AntiCNTE Boot
AntiEXE
AntiEXE.A
Bleah
Boot-437
Boot-437.A
CMOS.Erase
Cruel
CST.Boot
Dead.Boot.448
Diablo
Eco.B)
Form.A
Form.D
Int_7F
J&M.A
Jumper.B
Junkie.mp.1027.A
Kampana.A
NYB
NYB.A
Parity_Boot.B
PG.C
PingPong.B
Polyboot.512
Polyboot.512.C
Quandary
Quox.A
Ripper
RP.A
Sampo
Sevilla2
Stealth.Boot
Stealth.Boot.C
Stoned.Angelina
Stoned.June.4th
Stoned.NoInt.A
Stoned.Standard.B
StonedSpirit
V-Sign Welcome.B
Wolleh
JS/The Fly
JSKak-m
JSUnicleAm
Kak.Worm.B
Kak.Worm.D
mIRC/Iblis_me.A
MIRC/PhageDosWorm.A
mIRC/Valentin.A
mIRC/Valentin.B
mIRC/WinSys.A
MIRCWormAzaco
Valentin.A
Valentin.B
VBS/777
VBS/AntiCheckThis
VBS/Assurance
VBS/Bubbleboy
VBS/CAS.1618
VBS/CoolNotepad.Worm
VBS/Fireburn.A
VBS/Fireburn.A-mm
VBS/Folder
VBS/Forgotten.A@mm
VBS/Freelink
VBS/Freelink-mm
VBS/Funny.A-mm
VBS/FunnyStory
VBS/FunnyStory.B
VBS/FunnyStory.C
VBS/GingSeng.A
VBS/Gnutella
VBS/Happy.A
VBS/Jean-A
VBS/kak.worm
VBS/LoveLetter
VBS/LoveLetter.A
VBS/LoveLetter.AS
VBS/LoveLetter.B
VBS/LoveLetter.BD
VBS/LoveLetter.C Very Funny)
VBS/LoveLetter.CD
VBS/LoveLetter.D Mothersday)
VBS/LoveLetter.E
VBS/LoveLetter.F
VBS/LoveLetter.G
VBS/LoveLetter.H
VBS/LoveLetter.I
VBS/LoveLetter.J
VBS/LoveLetter.K
VBS/LoveLetter.L
VBS/LoveLetter.M
VBS/LoveLetter.N
Červi
BAT/Worm.Firkin.A
BAT/Worm.Firkin.B
BAT/Worm.Firkin.C
ExploreZip
ExploreZip.Pak
HTML/LittleDavinia
HTML/LittleDavinia.B
HTML/Valentin.A
HTML/Valentin.B
IRC-Worm.Missy.A
IRC-Worm/Movie.A
I-Worm.Fix2001
I-Worm.Haiku
I-Worm.Irok
I-Worm.Plage2000
I-Worm.WinExt
I-Worm/Dilber
I-Worm/MTX
I-Worm/Pikachu
I-Worm/Scooter
I-Worm/Sonic.B
I-Worm/SouthPark
I-Worm/Verona.A
I-Worm/Verona.B
I-WormHappy
JS/Kak.Worm
71
Viry a PC
VBS/LoveLetter.O
VBS/LoveLetter.P
VBS/LoveLetter.Q
VBS/LoveLetter.R
VBS/LoveLetter.S
VBS/LoveLetter.T
VBS/LoveLetter.U
VBS/LoveLetter.UNK
VBS/LoveLetter.V
VBS/LoveLetter.W
VBS/LoveLetter.X
VBS/LoveLetter.Y
VBS/Millenium
VBS/Netlotg.A
VBS/Netlotg.D
VBS/NewLove.A
VBS/Pica.A
VBS/Satanic
VBS/ShellScrap.Worm
VBS/Sst.A
VBS/Stages.A-mm
VBS/TamA-m
VBS/Timofonica
VBS/Timofonica.A-mm
VBS/[email protected]
VBS/Tqll.A
VBS/Tune
VBS/Tune.B
VBS/Tune.B-mm
VBS/Valentin
VBS/Valentin.A
VBS/Valentin.B
VBS/VBSWG.J-mm
VBS/VBSWG.K
VBS/VBSWG.K-mm
Vbs/Vue_TS
VBS/Wobbler
W32/BleBla.A-mm
W32/BleBla.B-mm
W32/ExploreZip-m
W32/ExploreZipPak-m
W32/Fix2001
W32/Fix2001-m
W32/Hybris
W32/Hybris.A-m
W32/Hybris.B-m
W32/Hybris.D-m
W32/Magistr@mm
W32/MSInit.A
W32/MSInit.B
W32/Music
W32/MyBaby.A
W32/MyPics
W32/MyPics-m
W32/Naked
W32/Navidad
W32/Navidad.A-m
W32/Navidad.B
W32/Navidad.B-m
W32/NetWorm3
W32/NewApt.A
W32/NewApt.A-mm
W32/NewApt.C
W32/NewApt.C-mm
W32/NewApt.D
W32/NewApt.D-mm
W32/Olorin
W32/PrettyPark
W32/PrettyPark.37376-m
W32/PrettyPark.51433-m
W32/Prolin.A
W32/Prolin.A-mm
W32/Ska.A-m
W32/Universe
W32/WinExt.Worm
W32/WinExt-mm
W32MTX-m
W95Plage-m
Worm.DmSetup.A
Worm.DmSetup.C
Worm.DmSetup.E
Worm/Dnet_Winit
Worm/Kazimas.7504
Worm/Overnuke
Worm/W32.Elsa.A
WScript.Kak.Worm
Hoaxes – Poplašné zprávy
A.I.D.S Virus
Adult animation demo
AOL 2000 Update
AOL RIOT 2
Baby New Year Virus
Badtimes
Big Brother
Blue Mountain Cards
Blueballs are underrated
Bud frogs, Budsaver.exe
Buddylst.zip
Bug´s life (BUGGLST.ZIP)
By my Valentine
California IBM
Celcom Screen Saver
Death-Blaze
72
Deeyenda
Desi1love (What the fu)
Despite virus
E-flu
Fatcat virus
Flashing IM
FlashMaster G
Free M & M´s
Free Pizza
FreeMoney
Frog game & Elf bowling game
GAP email tracking
Get more money
Gift from Microsoft
Girl Thing
Hacky Birthday
Happy New Year
Hello Dear
Help poor dog
Hitler virus
How to give a Cat a Colonic
Intel and AOL e-mail beta test
Internet Flower For You
Irish virus
It takes Guts to Say Jesus
John Kennedy JR
Join the Crew
JokeLandCheck
Large Wooden Horse
Lets watch TV
Londhouse virus
Lump of Coal
Příloha 2 – Nejfrekventovanější viry
Macro virus from Microsoft
Microsoft email tracking
Microsoft home page (Red
Alert)
Millennium Time Bomb
NastyFriend99 virus
Nice day, good morning, new
Linux version
Open: Very Cool
Pandemic Computer Virus
Penpal Greetings
Perrin.exe
Pikachus ball.exe
Pluperfect virus
Problem with Norton AV v5
Returned or Unable to Deliver
SandMan
SARC
Screen name ZZ331
South Park news letter
Teletubbies
The Phantom Menace (Episodio
I)
Trick or treat (Halloween cartoon greeting)
Tuxissa virus
Una tarjeta virtual para ti
Very Serious Virus Warning!!!
Virtual Card
Virus on mobile phone
We are watching you
Win a Holiday
Win a Nokia handphone 8110i
(Matrix_99.mtx)
Windows fail
Wobbler virus
Work virus
Y2K7
Yahoo´s page
Year 2000 virus
Zlatko.exe
X97M/Divi.D
X97M/Divi.G
X97M/Divi.N
X97M/Enregistrer
X97M/Extras.A
X97M/Extras.B
X97M/Jini.A
X97M/Jini.A1
X97M/Jini.B
X97M/KHM.A
X97M/Killer
X97M/Laroux.GE
X97M/Laroux.A
X97M/Laroux.CA
X97M/Laroux.CF
X97M/Laroux.DI
X97M/Laroux.DO
X97M/Laroux.DX
X97M/Laroux.E
X97M/Laroux.HM
X97M/Laroux.HO
X97M/Laroux.KU
X97M/Laroux.KV
X97M/Laroux.MV
X97MManaloE
X97M/Oblivion.A
X97M/PTH.D
X97M/Sugar.D
X97M/VCX.A
X97M/Yawn.A
XF/Paix.A
XF/Sic.A
XM/Compat.A
XM/Extras.A
XM/Laroux.DX
XM/Laroux.E
XM/Laroux.GE
XM/Laroux.HO
XM/Laroux.JO
XM/Laroux.KU
Makroviry – Excel
O97M/Cybernet.A
O97M/Cybernet.A-mm
O97M/HalfCross
O97M/HalfCross.A
O97M/Jerk.A
O97M/Jerk.B
O97M/Shiver.N
O97M/Toraja.C
O97M/Tristate.C
O97M/Y2K
X97M/Adn.A
X97M/Barisada.A
X97M/Barisada.B
X97M/Barisada.C
X97M/Barisada.D
X97M/Barisada.G
X97M/Barisada.K
X97M/Chipper.A
X97M/Diablo.A
X97M/Divi.A
X97M/Divi.B
Makroviry – PowerPoint
O97M/Tristate.C
Makroviry – Word
O97M/Cybernet.A
O97M/Cybernet.A-mm
O97M/HalfCross
O97M/HalfCross.A
O97M/Jerk.A
O97M/Jerk.B
O97M/Shiver.N
O97M/Toraja.C
O97M/Tristate.C
73
Viry a PC
O97M/Y2K
W00M/Alex
W00M/Pinky
W00M/Tarapoto
W00M/Thus.O3
W97M/Admin
W97M/Afeto
W97M/Antisocial.AB
W97M/Antivirii
W97M/Appder.A
W97M/Aquiles
W97M/Arbind2000
W97M/ASSILEM.C
W97M/ASSILEM.G
W97M/Bablas.A
W97M/Bench.F
W97M/Blashyrkh.A
W97M/Blaster.B
W97M/Blee.A
W97M/Bobo.A
W97M/Bobo.B
W97M/Bobo.C
W97M/Bobo.O1
W97M/Bobo.O2
W97M/Bobo.E
W97M/Brenda.A
W97M/Bridge.A
W97M/Broken.A
W97M/Buendia.A
W97M/Caligula
W97M/CAP
W97M/Chack.B
W97M/Chack.H
W97M/Chack.K
W97M/Chantal.A
W97M/Chungalero
W97M/Class.B
W97M/Class.BI
W97M/Class.BT
W97M/Class.BV
W97M/Class.D
W97M/Class.ED
W97M/Class.O3
W97M/Class.Q
W97M/Claud.A
W97M/Claudio.A
W97M/ColdApe.A
W97M/ColdApe.AD
W97M/ColdApe.B
74
W97M/ColdApe.L
W97M/Colombia.O1
W97M/Cont.A
W97M/CronoMessage
W97M/CronoMessage.B
W97M/Cuenta.A
W97M/Dariem.A
W97M/DB.A
W97M/Ded.B
W97M/Ded.C
W97M/Destino.A
W97M/Eight.941.E
W97M/Eight.941.F
W97M/Eight.941.H
W97M/Eight.941.K
W97M/Eight941.M
W97M/Eight.941.O1
W97M/Ethan.A
W97M/Ethan.AK
W97M/Ethan.AT
W97M/Ethan.AW
W97M/Ethan.B
W97M/Ethan.BA
W97M/Ethan.BE
W97M/Ethan.BI
W97M/Ethan.BY
W97M/Ethan.BY2
W97M/Ethan.CG
W97M/Ethan.D
W97M/Ethan.O3
W97M/Ethan.O4
W97M/Ethan.Q
W97M/Ethan.V
W97M/FF.E
W97M/FF.A
W97M/Footer.A
W97M/FreeChan.A
W97M/Gamlet.A
W97M/Goober.C
W97M/Goodday.B
W97M/Groov.A
W97M/Groov.B
W97M/Heathen
W97M/Hope.S
W97M/Hunter
W97M/IIS.E
W97M/Imposter.E
W97M/INADD.D
W97M/Inspector.A
W97M/Jim.B
W97M/Jim.C
W97M/JulyKiller.D
W97M/Lacosa
W97MLocaleA
W97M/Locate.A
W97M/Lys.Kovick
W97M/Marker
W97M/Marker.A
W97M/Marker.Ae
W97M/Marker.AO
W97M/Marker.AU
W97M/Marker.AZ
W97M/Marker.BA
W97M/Marker.BJ
W97M/Marker.BN
W97M/Marker.BO
W97M/Marker.BS
W97M/Marker.BX
W97M/Marker.BY
W97M/Marker.C
W97M/Marker.CQ
W97M/Marker.CS
W97M/Marker.CW
W97M/Marker.CX
W97M/Marker.D
W97M/Marker.D(Spookie)
W97M/Marker.DB
W97M/Marker.DQ
W97M/Marker.DS
W97M/Marker.E
W97M/Marker.EF
W97M/Marker.FQ2
W97M/Marker.N
W97M/Marker.O
W97M/Marker.O4
W97M/Marker.O5
W97M/Marker.O6
W97M/Marker.O7
W97M/Marker.O9
W97M/Marker.OAK
W97M/Marker.{O,AO}
W97M/Marker.P
W97M/Marker.Q
W97M/Marker.X
W97M/Marker.Z
W97M/Melissa.A
W97M/Melissa.A-mm
W97M/Melissa.AL
Příloha 2 – Nejfrekventovanější viry
W97M/Melissa.AL-mm
W97M/Melissa.I
W97M/Melissa.I-mm
W97M/Melissa.M
W97M/Melissa.M-mm
W97M/Melissa.O-mm
W97M/Melissa.O@mm
W97M/Melissa.O2
W97M/Melissa.O3
W97M/Melissa.U
W97M/MMKVA
W97M/Model.A
W97M/RV
W97M/RV.A
W97M/Mrx.62
W97M/NSI.B
W97M/Murke.A
W97M/Nalp.A
W97M/NTTHNTA
W97M/Myna.B
W97M/Nagem.A
W97M/Nono.A
W97M/Nosn.A
W97M/Nottice.A
W97M/Nottice.D
W97M/Odious.A
W97M/ONEXE
W97M/Opey.A
W97M/Opey.AF
W97M/Opey.C
W97M/Opey.M
W97M/Osvald.A
W97M/Ozwer.A
W97M/Panther.A
W97M/Panther.N
W97M/PassBox.I
W97M/Plant
W97M/Pri.A
W97M/Pri.B
W97M/Prilissa
W97M/Pri.Q-mm
W97M/Pri.U
W97M/Protected.A
W97M/Proverb.A
W97M/Proverb.C
W97M/RCH
W97M/Replog.A
W97M/Resume.A@mm
W97M/Seliuq.A
W97M/Service.AMM
W97M/Shore.A
W97M/Shore.D
W97M/SkyNet
W97M/Smac.D
W97M/Steriod.B
W97M/Story.A
W97M/Surround.A
W97M/Talon.M
W97M/Taro.A
W97M/Teocatl
W97M/Thus.A
W97M/Thus.B
W97M/Thus.C
W97M/Thus.E
W97M/Thus.G
W97M/Thus.H
W97M/Thus.I
W97M/Thus.O1
W97M/Thus.O2
W97M/Thus.O4
W97M/Thus.O5
W97M/Thus.O6
W97M/Thus.O7
W97M/Thus.O8
W97M/Thus.Q
W97M/Thus.T
W97M/Thus.W
W97M/Thus.X
W97M/Titch.A
W97M/Titch.D
W97M/Title.A
W97M/TNT.A
W97M/Touchme.B
W97M/Turn.A
W97M/Verlor.A
W97MVisorA
W97M/VMPCK1.BY
W97M/VMPCK1.DD
W97M/VMPCK1.DG
W97M/Walker.D
W97M/Walker.E
W97M/Walker.F
W97M/Wrench.E
WM/Alex.E.Tw
WM/Cap.A
WM/Cap.DY
WM/Concept.A
WM/Copycap.A
WM/Date.B
WM/Helper.B
WM/Johnny.A
WM/MDMA.A
WM/Mental.A
WM/Niknat.A
WM/Nottice.A
WM/Npad.A
WM/Npad.O2
WM/Npad.018
WM/Wazzu.A
WM/Wazzu.C
WM/Wazzu.DO
Junkie.mp.1027.A
Pieck.4444.A
W95/Fabi.9608
Spanska.4250
W32/Coke22231A
Multipartitní viry
Dead.Boot.448
Delwin.1759
Polymorfní viry
Satan Bug
75
Viry a PC
W32/CTX.7066
W95/HPS
W95/Shoerec.8720
Win95/Inca.Trojan
Přepisující viry
Trivial.37.D
Trivial.88.B
Trivial.88.D
Stealth (neviditelné) viry
AntiCNTE
Boot
Bleah
Brain
Frodo (4096)
Natas.4988
Natas.4988.Mbr
Pieck.4444.A
Polyboot.512
Polyboot.512.C
Sevilla2 (Eco.B)
Major.1644.A
Malatinec.3737
Natas.4988
Natas.4988.Mbr
Pieck.4444.A
Polyboot.512
Polyboot.512.C
Sampo
Satan Bug
Smallpox.704
Smash.555
Spanska.4250
Stealth.Boot
Stealth.Boot.C
Tai-Pan.438.A
TMC_Level-42
TMC_Level-69
TPVO.mp.3783.A
Tremor.4000.A
Ulodozen
W32/Coke22231A
W32/Crypto
W32/Orochi.3982
W32/Orochi.5632
W95/Caw.1216
W95/Caw.1416
W95/CIH
W95/CIH.1003
W95/CIH.1019.A
W95/HPS
W95/LoveSong.998
W95/Luna.2724
W95/Najemnik.11776
Win95/Inca.Trojan
Backdoor/InvisibleFTP
Backdoor/Netget.A
Backdoor/Nightmare
Backdoor/SchoolB.C
Backdoor/SpyKing_20
Backdoor/Subseven.2
Backdoor/Subseven.213
Backdoor/VHM
BackDoor/XTCP
BackOrifice_2000
Batboy.1111
BCK/ControlTotal.10
BCK/DeepThroat.3.1
BCK/DonaldDick.154
BCK/Incommander.1.4
Bck/IpxCtrl
Bck/Jerwin
Backdoor/MoonPie.10
BCK/NetSphere.131
Bck/Nova.B
BCK/Skydance.2.29
BCK/Sub7.Apocalypse
Rezidentní viry
AntiCNTE
Boot - 437
Bleah.C
Burglar.1150A
Delwin.1759
DieHard.4000.A
Die_Hard4000A
Dir-II.A
Form.A
Form.D
Frodo (4096)
Gibmonk.2256
HLLP.7000.B
HLLP/Toadie.7800A-mm
Jerusalem.1808.A
Junkie.mp.1027.A
Kampana.A
Trójské koně
Backdoor/Binghe.1.1
Backdoor/Cafeini.09
BackDoor.Eclipse2000
Backdoor/BladeRunner
Backdoor/CCInvader2
Backdoor/Deep.D
Backdoor/Doly.17
Backdoor/FakeFTP
Backdoor/Farnaz
Backdoor/GDoor.B
Backdoor/Hyne
76
Příloha 2 – Nejfrekventovanější viry
BCK/SubSeven.21.D
BCK/Unin68
BCK/Unin68.100352
BCK/DonaldDick.152
GetIt.754
HTML/HTA.Dropper
JV/BrownOrifice
Nuker.W32PortFuck
Nuker.Wnuke4
Trojan/AcidShiver.3
Trojan.Annoy
Trojan.Ansi
Trojan.Anything
Trojan.AOLPS.24387
Trojan.AOLPS.J
Trojan.APS
Trojan.BackDoor.J.p
Trojan.BackOrifice
Trojan/Bat.Munga
Trojan.Binghe.Srv
Trojan/BO.A
Trojan.BO.DLL
Trojan.BO.Modified
Trojan/Butano
Trojan.Codec
Trojan.Codec.220
Trojan/Crack
Trojan/Crack.2000
Trojan/Darksun
Trojan/DeepThroat.B
Trojan/Delwin.B
Trojan/DOS32.QHA
Trojan/FPanda
Trojan.FFSysload
Trojan/FullHD
Trojan/GetIt.754
Trojan/Girlfriend
Trojan/Hack.A
Trojan/HakTek
Trojan/IconDance
Trojan/Internal
Trojan/Jiang
Trojan/Kaboom
Trojan.Klacke
Trojan/Loader
Trojan/Megabyte
Trojan/Megachar
Trojan/Megaword
Trojan/mIRC.Kill
Trojan/Mbrcom
Trojan/MonaGun
Trojan.MultiJoke
Trojan.MultiJoke.B
Trojan.Netbus.153
Trojan.Netbus.160
Trojan.Netbus.170
Trojan.Netbus.200
Trojan/Netconf
Trojan/NetInfo.A
Trojan.Netsphere.Final
Trojan.NoDesk
Trojan/Noname
Trojan/Notepad
Trojan/NtLoader.A
Trojan/NtLoader.B
Trojan/Nuker.clic.1.4
Trojan/Nuker.Portfu
Trojan.Papeator
Trojan.Parkinson
Trojan.PS.AOL.216576
Trojan/QAZ
Trojan/Restart.Tmr
Trojan/Seeker
Trojan/Sub7.2.13.Bonus
Trojan.Sub7.21.Gold
Trojan.Sub7.21.MUIE
Trojan.Sub7.21.UPX
Trojan/Sub7.214.DC8
Trojan.SubSeven.1.0.
Trojan.SubSeven.1.7.
Trojan.SubSeven.1.9.
Trojan.SubSeven.2.0.
Trojan.SubSeven.2.2.
Trojan.Tami54
Trojan/Varo31
Trojan.Winator
Trojan.Win.Crash.103
Trojan/Win.Nuker.Ew
Trojan.WinSKC
Trojan/Winsound
Trojan/Hackatack.2k
Trojan/Hiyoya
Trojan/Hochimin.B
Trojan/IconDance
Trojan/ICQ
Trojan.Kill_Inst98
Trojan/KillCMOS
Trojan/KillCMOS.C
Trojan/KiLLmE.Nk
Trojan/Ocnap
Trojan/Palm.Liberty
Trojan/PokeVB5
Trojan/Porca
Trojan/Pqwak
Trojan/PSW.AutoDel
Trojan/PSW.Kuang.B
Trojan/PSW.Kuang.C
Trojan/PSW.Kuang.E
Trojan/PSW.Pec.B
Trojan.PSW.Stealth.A
Trojan/PSW.StealthD
Trojan/PSW.Thief
Trojan/Raul.dlp
Trojan/Raul.B.dlp
TrojanRing0B
TrojanRunner.Smorph
Trojan/Shell
Trojan/Simpsons
Trojan/Telestore
Trojan/Twinshoe
Trojan.Ullysse
Trojan/W32.Assault.10
Trojan/W32.Click.21
Trojan/W32.Desktop.P
Trojan/W32.EliteWrap.103
Trojan/W32.GoHotlist
Trojan/W32.Nuker.69
Trojan/W32.Nuker.Cl
Trojan/W32.Nuker.Knewk
Trojan/Varo31
Trojan/W32.Nuker.A
Trojan/W32.Nuker.C
Trojan/W32.Reboot
Trojan/Webex1.2
Trojan/Webex1.3
Trojan/Webex1.4
Trojan/Win.Unnabomber
Trojan/Win32.Asit
Trojan/Win32.Click
Trojan/Win32.Runner
Trojan/Winfig
Trojan/WinFucker
Trojan/Winmisdoc
Trojan/XTCP
Vampire
VBS/Julien
VBS/UCRT.PWLSteal
77
Viry a PC
W32Qaz
Win32.HLLW.Aula
Win32/HLLO.Aula
Jiné viry (nepatří do předchozích skupin)
Aristotle.480
Barrotes.1310.A
Barrotes.1310.F
BW.679
Byway.A
Cascade.1701.A
Cascade.1704.A
Checkbox.936
Civil_War.586
CompBack.3783
Constructor/BW.100
Constructor/PSMPC
CPW.1527
DeDouble.7200
Delete.897
Delwin.1759
DieHard.4000.A
Die_Hard4000A
Dir-II.A
Drip
Dropper/Winstart
DSCE.2957
Fathermac39872
Flip.MP2153.A
Flip/Omicron
Frodo (4096)
Gibmonk.2256
HLLP.7000.B
HLLP/Toadie.7800A-mm
HTML/Sam
HTML/Sam.A
HTML/WindowBomb
Html.Zulu.A
Intov
IVP.684.A
Jerusalem.1808.A
JV/AppletKiller
Keyboard_Bug Family
LifeForm.2063
Lokky.336
78
Major.1644.A
Malatinec.3737
Manzon.1426
MegaDeath.687
Natas.4774
Natas.4774.Mbr
Natas.4988
Natas.4988.Mbr
NightFall.4518
One_Half.3544.A
One_Half.3577.A
PalmOS/Phage
Pieck.4444.A
Rideon.4313
Sarcoma.1328
Sarcoma.1328.B
Satan Bug
Smallpox.704
Smash.555
Spanska.4250
Tai-Pan.438.A
Tequila.mp.2468.A
TMC_Level-42
TMC_Level-69
Toadie.7800.A
Toadie.7800.B
Torero
TP44
TPVO.mp.3783.A
Tremor.4000.A
UHide.1205
Ulodozen
VBS/ColdApe
VBS/ColdApe.A
W32Babylonia-m
W32/Cabanas
W32/Crypto
W32/CTX.7066
W32/Disemboweler
W32/FunLove.4096
W32/FunLove.4099
W32.Girigat.A
W32/Hllo.Mip
W32/Hongko-4096
W32/Hortiga.4938
W32HTM.H4[H04.2048
W32/Kriz.3863
W32/Kriz.4029
W32/Kriz.4050
W32/Orochi.3982
W32/Orochi.5632
W32/Weird.10240.A
W95/Babylonia
W95/Beast.41472.A
W95/Caw.1216
W95/Caw.1416
W95/CIH
W95/CIH.1003
W95/CIH.1019.A
W95/Fabi.9608
W95/Heretic
W95/HLLC.4096.C
W95/HPS
W95/ILMX.1291
W95/Kenston.1895
W95/LoveSong.998
W95/Luna.2724
W95/Marburg.8590
W95/Najemnik.11776
W95/Nathan
W95/Scramble.B
W95/Shoerec.8720
W95/Spaces.1445
W95Weird10240
W98/Corvinus.A
Win2k/Stream
Win32.Kenston
Win95/Inca.Trojan
Win95Marburg
Yankee_Doodle2881A
Příloha 3 – Odkazy internetu na viry
Antivirové programy
AVAST (Alwil) – http://www.asw.cz/
AVG (Grisoft) – http://www.grisoft.cz/
AVX (SoftWin) – http://www.avp.com/
Command AntiVirus (Command Software Systems) – http://www.commandcom.com/
Dr.Solomon's Antivirus Toolkit - AVTK (S&S) – http://www.drsolomon.com, www.pcs.cz/
Dr.Web (DialogueScience) – http://www.drweb.ru/, http://www.avir.sk/, http://www.dsav.sk/
F-Secure (Data Fellows) – http://www.datafellows.com/, http://www.aec.cz/, http://www.aec.sk/
F-Prot (Frisk Software International) – http://www.complex.is/, http://www.aec.cz/, http://www.aec.sk/
InoculateIT (CAI) – http://www.cai.com/, http://ca.com/offices/czechslovak
Integrity Master (Stiller) – http://www.stiller.com/
iRiS AntiVirus (iRiS) – http://www.irisav.com/
Kaspersky Anti-Virus (Kaspersky Lab) – http://www.kaspersky.com/, http://www.aec.cz/,
http://www.pcs.cz/
NOD32 (Eset) – http://www.eset.sk, http://www.nod32.cz/
Norman Virus Control (Norman) – http://www.norman.com/, http://www.aec.cz/, http://www.aec.sk/
Norton Antivirus (Symantec) – http://www.symantec.com/avcenter, http://www.sarc.com/,
http://www.norton.cz/
Panda Antivirus (Panda) – http://www.pandasoftware.com/, www.pandasoftware.sk
PC-Cillin (Trend) – http://www.pc-cillin.com, http://www.antivirus.com
RAV (GeCAD) – http://www.gecad.ro, http://www.gecadsoftware.com
Sophos Antivirus (Sophos) – http://www.sophos.com, www.pcs.cz
The Cleaner (Moosoft) – http://www.moosoft.com
Vet AntiVirus (Cybec) – http://www.cybec.com.au
Virusafe (EliaShim) – http://www.eliashim.com
VirusScan (McAfee) – http://www.nai.com, www.mcafee.com, www.aec.cz (.sk), www.pcs.cz
Virus Alert (Look) – http://www.look.com
Virus Buster (Leprechaun) – http://www.leprechaun.com.au
Další stránky s virovou problematikou
Adam Young – http://www.cs.columbia.edu/~ayoung/
AVP Virová encyklopedie – http://www.viruslist.com, http://www.avp.ch/avpve/
AV-Test.org – http://www.av-test.org
CERT/CC Computer Virus Resources – http://www.cert.org/other_sources/viruses.html
Digital Information Society – http://www.phreak.org/html/main.shtml
Eddy Willems Free Anti-Virus Consultancy – http://gallery.uunet.be/ewillems/
EICAR (Europian Institute for Computer Antivirus Research) – http://www.eicar.com
Eliashim – http://www.eliashim.com
Hoax – http://www.hoax.cz
IBM antivirus online – http://www.av.ibm.com/InsideTheLab/VirusInfo
ICSA – http://www.icsa.net
79
Viry a PC
Igiho stránka o virech – http://www.viry.cz
InfoVir, Experti – http://infovir.experti.cz
Integrity Master – http://www.stiller.com/
Internet Explorer & Netscape crashing and security – http://www.nat.bg/~joro/
MessageLabs – http://www.messagelabs.com/
MRecover – http://members.xoom.com/monirdomain
Mýty o počítačových virech – http://kumite.com/myths
PC Viruses In The Wild – http://www.wildlist.org/WildList
Quarterdeck AV RC – http://www.quarterdeck.com/quarc/VirusHandbook/TOCVirusDescriptions.htm
Ralph Brown – http://www.cs.cmu.edu/afs/cs.cmu.edu/user/ralph/pub/www/
Rose SWE – http://members.tripod.de/rose_swe
Secureindex – http://www.morehouse.org/hin/index.htm
Slovenské antivirové centrum (SAC) – http://www.sac.sk/
Symantec – Antivirové centrum – http://www.symantec.com/avcenter
VGREP – http://www.virusbtn.com/Vgrep
Virová encyklopedie firmy Trend Micro – http://www.antivirus.com/vinfo/virusencyclo/default.asp
Virus Bulletin – http://www.virusbtn.com/
Virus Information Center of Computer Associates – http://www.cai.com/virusinfo/encyclopedia
Virus Research Unit, Universita v Tampere – http://www.uta.fi/laitokset/virus
Virus Test Center, Univerzita v Hamburgu – http://agn-www.informatik.uni-hamburg.de/vtc/naveng.htm
VSUM – http://www.vsum.com/
80
Igiho stránka o virech
HLAVNÍ STRANA
Kniha o virech
Popisy virù
Antivirové centrum
Testy antivirù
Slovník pojmù
Recenze
Vyhledávání na viry.cz:
Rozhovory
Odkazy
Download
Autor & Zdroje
Minimálnì 800x600
© 2001 Igor Hák - Igi
Vyhledat
[5.9.2001]
Nadìjný mladík, èerv I-Worm/Apost...
Spoleènost Grisoft (výrobce antiviru AVG) informuje o novém
èervu I-Worm/Apost, který se relativnì dobøe prosadil i na
VirusEye.
Na zaèátku by mohlo staèit, když uvedu: vyhnìte se e-mailùm s
pøedmìtem (subjektem) "As per your request!" !!!
Hledat na viry.cz
Jste pøipraveni na boj ?
Opravdu je Váš antivirus schopen
zachytit pøípadný virus ???
Mám infikovaný poèítaè !
Potøebuju zjistit, co je to za havì•!
Potøebuju se té havìti zbavit!
Podejte o tom hlášení ! (níže)
Ohlášení infekce virem:
Pokud jste byli napadeni virem,
podejte o tom hlášení !!!
[1.9.2001]
Norton AntiVirus 2002
Spoleènost Symantec
(www.symantec.com) vypustila do
svìta pøed nìkolika dny finální
verzi antiviru Norton AntiVirus
2002. Nejvìtší novinkou je zøejmì
podpora operaèního systému MS
Windows XP. Zajímavostí je i
skuteènost, že Norton AntiVirus
2002 pravdìpodobnì není schopen
provozu pod operaèním
systémem MS Windows 95. Pod
ním chodí pouze pøedchozí verze 2001.
Mùžete se tak podílet na seznamu
nejrozšíøenìjších virù.
E-konference o anti/virech:
Pøidejte se i Vy do velké emailové
konference o virech & antivirech, v niž
je pøihlášeno pøes 400 lidí, spolu s
øadou odborníkù !!!
Pøihlaste se ZDE !!!
Kontakt:
Mobil - nejrychlejší:
+420604691386
E-mail - pomalejší:
[email protected]
ICQ:
Igi - 29310272 - status:
Mr.Linx:
[1.9.2001]
NOD32 IIS - Virus-blocker
Firma ESET (www.eset.sk), slovenský výrobce AV systému NOD32, uvedla aplikaci "NOD32 IIS VirusBlocker". Jde o rezidentní filtr urèený pro poèítaèe, na kterých bìží Microsoft Internet Information
Server (IIS). Program kontroluje komununikaci pøes TCP/IP a chrání tak poèítaè pøed èervem
CodeRed. Samozøejmì chrání i pøed èervi, kteøí jsou založeny na stejném principu. Již pøed èasem
jsem informoval o filtru od spoleènosti Kaspersky. Filtr od Esetu je tak novou alternativou - ke stažení
http://www.viry.cz/ (1 of 11) [11.9.2001 17:26:09]
Igiho stránka o virech
zde.
A ještì jedna zpráva o Esetu: Èlovìk by se tìšil, že po verzi NODu32 1.98 a 1.99 bude následovat verze
2.0, místo toho spatøila svìtlo svìta verze 1.100 :)
[1.9.2001]
I-Worm/Cuervo, nadìjný èervík...
Kaspersky Lab. (www.kaspersky.com) informuje o novém èervu I-Worm/Cuervo, který podobnì jako
èerv KakWorm využívá "ïoury" Scriptlet.TypeLib. K aktivaci èerva tak staèí pouhé otevøení infikovaného
e-mailu (tj. pøeètení zprávy !). Samozøejmì se šíøí na další e-mailové adresy, získané z MS Outlooku.
Jinak nic zajímavého :)
[1.9.2001]
Win2k/Ketamine, aneb Benny ještì jednou...
A máme tu další èeský virus. Tentokrát jde o velice krátký virus pro operaèní systém MS Windows 2000.
Virus nepoužívá žádné API a má sloužit pouze jako dùkaz toho, že nic není nemožné. V praxi se s ním
pravdìpodobnì moc lidí nesetká... Virus Ketamine byl inspirován jiným èeským virem - Win2k/Joss. Jeho
autorem je tentokrát Ratter a vznik jeho díla jsem ponìkud zaspal :(
[1.9.2001]
Pozor na "Invalid SSL Certificate" !
Nìkteré servery informují o viru Win32/Invalid.A@mm. Pokud se rozšíøí, budu o nìm v budoucnu
informovat podrobnìji. Zatím snad bude staèit, když øeknu: vyhnìte se e-mailové zprávì se subjektem
"Invalid SSL Certificate", která je zaslaná z adresy "[email protected]".
[1.9.2001]
Hoax.cz a Hospodáøské noviny...
Josef Džubák se zlobí na autora jednoho èlánku v Hospodáøských novinách. Já osobnì jsem nadmíru
spokojen :) Autor èlánku "Experti varují: Viry nemají prázdniny !" v tìchto novinách totiž oznaèil jako
autora nìkterých citací Igora Háka (ano, to jsem já). Ve skuteènosti je pravým autorem Josef Džubák ze
serveru hoax.cz... Jak jsem øekl, já osobnì jsem spokojen :)
[26.8.2001]
ANTIVIROVÁ KONFERENCE !
Firmy ALWIL Software (www.asw.cz) a ALWIL Trade, které vyvíjejí a distribuují antivirový systém Avast!
poøádají antivirovou konferenci u pøíležitosti desátého výroèí od založení. Konference se koná 12. záøí
2001 od 13 hodin v hotelu DUO, Praha 9 - Prosek, Teplická 12.
Program:
13.00
13.05
Zahájení
Michal Kovaèiè - avast! 4
http://www.viry.cz/ (2 of 11) [11.9.2001 17:26:09]
Igiho stránka o virech
zejména jeho struktura a rozdìlení, popis návrhu sí•ové verze a
pøíklady použití na sítích rùzné velikosti
13.30
Michal Kovaèiè - Podpora ostatních OS
zejména Linux, ale také jiné operaèní systémy
13.45
Roman Švihálek - Øízení programu avast! WEBovým rozhraním novinka
podrobné pøedstavení a ukázka jak administrovat sí•ovou instalaci
programu avast! z www browseru, vèetnì praktické ukázky
14.00
Ing. Pavel Baudiš - viry v roce 2001
14.15
Vojtìch Peterka - Heuristická analýza obsahu pošty
pøedstavení projektu EPIDEM-x, který bude logicky zpracovávat obsah
pošty a na základì uživatelem definovaných pravidel informovat
uživatele o problémech
14.30
Pøestávka
15.00
Ondøej Vlèek - Serverové produkty programu avast! - novinka
pøedstavení verzí pro ISA server a další, vèetnì praktické ukázky
15.30
Diskuse
16:00
Raut
18.00
hra o exklusivní ceny - bowlingový turnaj ve sportovním centru
hotelu DUO
hlavní cena: IPAQ Pocket PC
Úèast lze zajistit vhodným e-mailem na adresu [email protected] :)
Pøi pohledu do programu mnì zaujalo hned nìkolik vìcí: Avast! verze 4, podpora dalších OS, øízení
pøes web, heuristická analýza... Snad se doèkám nìjakých podrobnìjších informací, zatím žádná
odpovìd :(
[26.8.2001]
Bennyho další èervík...
Benny/29A se po delší dobì rozhodl ukázat svìtu své nové dílo, èerv/virus I-Worm/WM2k.NeXT. Delší
pauza byla zpùsobena rozruchem, který zpùsobil jeho pøedchozí virus WINUX. Jelikož se tento virus
dokázal jako první na svìtì šíøit pod Windows i Linuxem zároveò, byly toho tehdy plné noviny...
Zpìt však k novince. Virus je rozdìlen do dvou èástí, díky kterým se dokáže šíøit jak pøes dokumenty
MS Wordu (podobnì jako makroviry), tak i pøes MS Outlook. V pøípadì MS Outlooku odešle svoji kopii
na všechny e-mailové adresy z "knihy adres". V tomto pøípadì jde o "èisto-krevný" EXE soubor, nikoliv
dokument MS Wordu. EXE soubor obsahuje ikonku WinZIPu (...takže se mùže zdát, že jde o archiv) a je
komprimován programem tElock 0.80.
[26.8.2001]
PC Viruses ITW, aneb seznam nejrozšíøejnìjších virù...
Na adrese www.wildlist.org/WildList lze stáhnout seznam nejvíce hlášených virù za srpen. Jako vždy
uvádím pouze struènou verzi. Hodnota pod "Freq" udává množství míst, ze kterých byl daný zmetek
hlášen. Za povšimnutí stojí Win32/Sircam.A (Freq:16), který se pomalu tlaèí nahoru. Wildlist není
bohužel natolik "pružný" aby zachytil aktuální stav zcela pøesnì. Typoval bych, že Win32/Sircam.A by
byl daleko výše.
Freq Name
Type
Aliases
============================================================================
40 | W32/MTX-m............... | File
| Matrix, Apology
37 | W32/Hybris.B-mm......... | File
| Hybris.23040-mm
34 | W32/Magistr.A-mm........ | File
| Disembowler
http://www.viry.cz/ (3 of 11) [11.9.2001 17:26:09]
Igiho stránka o virech
33
| VBS/VBSWG.J-mm.......... | Script | Anna K, SST, Kalamar.A,
|
| I-Worm.Lee.o
32 | VBS/LoveLetter.A-mm..... | Script |
30 | W32/Navidad.A-m......... | File
| Navidad-m
29 | VBS/Stages.A-mm......... | Script | VBS/ShellScrap-mm
29 | VBS/VBSWG.X-mm.......... | Script | HomePage, SST
28 | JS/Kak.A-m.............. | Script |
26 | W95/CIH.1003............ | File
| Spacefiller
25 | W32/Ska.A-m............. | File
| HAPPY99
24 | W97M/Ethan.A............ | Macro
|
23 | W32/PrettyPark.37376-mm. | File
|
23 | W97M/Marker.C........... | Macro
| W97M/Spooky.C
22 | W32/BadTrans.A-mm....... | File
| 13312
22 | W32/Funlove.4099........ | File
|
22 | W32/Qaz................. | File
|
22 | W97M/Melissa.A-mm....... | Macro
| Maillissa
21 | W97M/Thus.A............. | Macro
| W97M/Thursday.A
20 | O97M/Tristate.C......... | Macro
| O97/Crown.B
19 | VBS/LoveLetter.AS-mm.... | Script | VBS/Plan.A-mm
19 | W32/Navidad.B-m......... | File
| Emanuel-m
18 | W32/BleBla.B-mm......... | File
| W32/Verona.B-mm
17 | W32/Prolin.A-mm......... | File
| Creative.A-mm
16 | VBS/Haptime.A........... | Script | VBS/Help
16 | W32/SirCam.A-mm......... | File
|
16 | WM/CAP.A................ | Macro
|
============================================================================
[21.8.2001]
Stále žiju :)
● Na adrese www.root.cz/clanek.phtml?id=796 lze najít recenzi antivirového systému GeCAD RAV pro
Linuxové servery. Hlavní pozornost si zaslouží pøedevším zpùsob licencování. Produkt je totiž
licencován na poèet domén. Pøi troše štìstí lze nìkolik tisíc zamìstnancù firmy ochránit za smìšných 295
dolarù (cena za dvì domény) !!! U jiných antivirù by se nemuseli doplatit...
● Peter "Doktor" Kováè informoval na www.itnews.sk/buxus/generate_page.php3?page_id=3453 o
zatèení muže, který údajnì napsal èerva Win32/Leave.
● Èeskou skupinu MIONS, která "zamìstnává" nìkolik "pisálkù" virù, opustil i èlovìk, øíkající si Wion.
Nìkteré èásti jeho zprávy:
...na vojnu sice asi nepujdu, ceka me spis civilni sluzba, ale i presto se nebudu asi nijak zvlast ukazovat
na internetu.Nekoncim sice zatim na Vx scene, ale v mions uz dal byt nemuzu....
...kdyby mi nevysla ta civilka, tak je mozne ze se rok neuvidime...
Wion je evidentnì optimista :)
[9.8.2001]
Kaspersky Anti-Virus for IIS Servers...
Spoleènost Kaspersky Lab. (www.kaspersky.com) uvedla svùj nový produkt "Kaspersky Anti-Virus for
IIS Servers", jehož vývoj zøejmì znaènì urychlil èerv "Code Red" :) V podstatì jde o ISAPI filtr, který se
pøidá mezi ostatní ISAPI filtry WWW serveru. Zmiòovaný filtr by mìl zabránit prùnikùm variant èerva
"Code Red". Jak øiká sám "boss" Eugene Kaspersky, pøi použití tohoto filtru není potøeba instalovat
záplatu od Microsoftu. Budoucí verze filtru bude obsahovat údajnì i heuristiku pro detekci neznámých
http://www.viry.cz/ (4 of 11) [11.9.2001 17:26:09]
Igiho stránka o virech
èervù kteøí využívají "Buffer Overflow", podobnì jako "Code Red".
Bližší informace lze získat na adrese
http://www.kaspersky.com/news.asp?tnews=0&nview=8&id=214&page=0]. Filtr mùžete sosat z
ftp://ftp.kaspersky.com/utils/KAVISAPI.ZIP.
[8.8.2001]
PC Viruses ITW, aneb seznam nejrozšíøejnìjších virù...
Na adrese www.wildlist.org/WildList lze stáhnout seznam nejvíce hlášených virù (a další havìti) za mìsíc
èervenec. Jako vždy uvádím pouze struènou verzi. Hodnota pod "Freq" udává množství míst, ze kterých
byl daný zmetek hlášen.
Freq Name
Type
Aliases
============================================================================
39 | W32/MTX-m............... | File
| Matrix, Apology
34 | W32/Hybris.B-mm......... | File
| Hybris.23040-mm
32 | VBS/LoveLetter.A-mm..... | Script |
32 | VBS/VBSWG.J-mm.......... | Script | Anna K, SST, Kalamar.A,
|
| I-Worm.Lee.o
30 | VBS/Stages.A-mm......... | Script | VBS/ShellScrap-mm
30 | W32/Magistr.A-mm........ | File
| Disembowler
30 | W32/Navidad.A-m......... | File
| Navidad-m
27 | JS/Kak.A-m.............. | Script |
27 | VBS/VBSWG.X-mm.......... | Script | HomePage, SST
26 | W95/CIH.1003............ | File
| Spacefiller
25 | W32/Ska.A-m............. | File
| HAPPY99
24 | W32/PrettyPark.37376-mm. | File
|
24 | W97M/Ethan.A............ | Macro
|
23 | W97M/Melissa.A-mm....... | Macro
| Maillissa
23 | W97M/Thus.A............. | Macro
| W97M/Thursday.A
22 | W32/Funlove.4099........ | File
|
22 | W32/Qaz................. | File
|
22 | W97M/Marker.C........... | Macro
| W97M/Spooky.C
21 | O97M/Tristate.C......... | Macro
| O97/Crown.B
19 | W32/BadTrans.A-mm....... | File
| 13312
18 | VBS/LoveLetter.AS-mm.... | Script | VBS/Plan.A-mm
18 | W32/Navidad.B-m......... | File
| Emanuel-m
17 | W32/BleBla.B-mm......... | File
| W32/Verona.B-mm
17 | W32/Prolin.A-mm......... | File
| Creative.A-mm
17 | WM/CAP.A................ | Macro
|
15 | VBS/Freelink-mm......... | Script |
============================================================================
[7.8.2001]
VGREP po roce a pùl opìt žije !
"Virový slovník synonym" po roce a pùl opìt ožil ! Aplikace VGREP (http://www.virusbtn.com/VGrep)
umožòuje zjistit, jak který antivirus nazve daný virus. Èlovìk by nevìøil, co lze v názvech virù všechno
najít :) Menší úkázka:
Alwil AVAST! 7.70-54
DialogSci DrWeb 4.25
ESafe Desktop 3.0
http://www.viry.cz/ (5 of 11) [11.9.2001 17:26:09]
2001-06-28 : NO_VIRUS
2001-06-20 : NO_VIRUS
2001-06-27 : Sracka.1653
Igiho stránka o virech
ESET Nodice 1.97
Frisk F-Prot 3.09c
Gecad RAV 8.2.1.12
Grisoft AVG 6.0.264/136
Kaspersky AVP 3.0/133
McAfee Scan 4.5.4 V4146
Norman Virus Ctrl 5.10
Panda Anti-Virus 6.0
Sophos Sweep 3.47
Symantec NAV 5
Trend PCScan 7.51 v911
2001-07-09
2001-06-28
2001-07-06
2001-07-02
2001-07-06
2001-07-01
2001-06-27
2001-07-01
2001-07-01
2001-07-01
2001-07-01
:
:
:
:
:
:
:
:
:
:
:
UNKNOWN_VIRUS
Sracka.1653
Sracka.1653
MadDaemon
VGOL-based
NO_VIRUS
VGOL.1653
NO_VIRUS
Vgol.1579-1653
NO_VIRUS
VGOL.BR
[7.8.2001]
Pøírùstek mezi antiviry...
Na stránce "Antivirové centrum" lze najít dva nové antiviry na odstranìní:
● VBS/Haptime.A@mm, VBS/Haptime.B@mm
● VBS/Potok@mm
Oba jsou od spoleènosti Symantec (www.symantec.com), výrobce antiviru Norton AntiVirus.
[6.8.2001]
Nová varianta, CodeRedII (CodeRed.c) je tu !
V sobotu 4.8. 2001 se na Internetu objevila nová varianta wormu CodeRed. Tato varianta používá pro
svoje šíøení stejnou bezpeènostní díru jako pùvodní worm. Napadá poèítaèe, na nichž je instalován
Microsot IIS Web Server bez opravné záplaty (patch). Z infikovaného poèítaèe se posílá intenzivnìji ale
po kratší dobu. Nový worm je nebezpeèný zejména tím, že do napadeného poèítaèe instaluje jiný
program: trojského konì, který pak mùže fungovat jako zadní vrátka a mùže umožnit neautorizovaný
vstup do napadeného systému. O pùlnoci dne 1. øíjna se worm navždy deaktivuje. Worm na rozdíl od
pùvodní varianty nepodstrkává uživatelùm modifikované WWW stránky, neprovádí distribuovaný útok na
jediný poèítaè (Bílý dùm), jeho jediným cílem je dostateènì rozšíøit poèet poèítaèù se zadními vrátky do
systému. Pokud se mu podaøí napadnout podobný poèet poèítaèù jako pùvodnímu wormu (kolem 300
000), pak mùže být vážnì ohrožena integrita Internetu: tak velký poèet serverù, nad nimiž mùže mít
kontrolu tøetí strana, znamená obrovské bezpeènostní riziko. Správci takových systémù navíc nemohou
mít jistotu, zda jim pomocí tìchto zadních vrátek nìkdo nepøidal do systému nìco dalšího. A tak zatímco
proti pùvodnímu wormu staèilo uplatnit pøíslušnou záplatu a server pøestartovat, v tomto pøípadì je
nejspolehlivìjší metodou pøeformátování disku a nová kompletní instalace systému.
Zdroj: Alwil software - výrobce antiviru AVAST
[4.8.2001]
Èerv Sircam.A trhá rekordy !
Èerv Sircam.A se šíøí stále velice vesele. Zatímco populární èerv "I_love_you" (VBS/LoveLetter.A) byl
záležitostí doslova na nìkolik hodin, èerv Sircam.A obtìžuje statisíce lidí již nìkolik dní. Od objevení
tohoto èerva mi bez pøestávek chodí den co den mimimálnì jeden infikovaný e-mail. Nové návštìvníky
upozoròuji, že "postižený" e-mail obsahuje hned na zaèátku text "Hi! How are you?". Pokud jste nìjakou
takovou zprávu obdrželi, doporuèuji se ji vyhnout, popøípadì ji rovnou smazat.
Jednoúèelových antivirù proti èervu Sircam.A rapidnì pøibylo, zatím na mnì nejlépe zapùsobil ten od
Symantecu (FixSirc.com).
http://www.viry.cz/ (6 of 11) [11.9.2001 17:26:09]
Igiho stránka o virech
Mimochodem, už k Vám Sircam.A pøitáhl nìjaký ten dokument s dùležitým, èi tajným obsahem ?
Sircam.A na mnì zatím zapùsobil pouze s dokumentem MS Wordu: Minipivovar Vietnam.doc.pif :)
[4.8.2001]
Èerv "Code Red", aneb bojíme se novináøù :)
Èerv "Code Red" jednoznaènì dokazuje obrovskou pracovitost nìkterých novináøù. Ti vìtšinou dostupné
informace (potud ještì zcela pravdivé) upravují tak, aby jim sami rozumnìli. Výsledkem je napøíklad:
"Code Red napadá poèítaèe s operaèními programy Windows 2000 a Windows NT firmy Microsoft."
Igi/SPRÁVNÌ: šíøí se na systémech Windows NT a 2000 s nainstalovaným IIS, které nemají pár mìsícù
starou záplatu na jednu díru (cituji p. Tomáše Holèíka, www.zive.cz). V praxi to znamená asi to, že
uživatel, využívající Windows NT/2000 pro spouštìní oblíbeného textového editoru MS Word a surfování
po Internetu prostøednictvím modemu mùže být v klidu.
●
● "Program Code Red je vir èervího typu."
Igi: Tak tohle je opravdu vrchol. Virus je virus a èerv je èerv. Nelze tedy prohlásit, že jde o "vir èervího
typu". Rozdíl mezi èervem a virem je více než patrný (více zde). V dnešní dobì se vìtšinou pojmem
"èerv" (ponìkud nesprávnì) oznaèuje typ infiltrace, která do poèítaèe proniká prostøednictvím
elektronické pošty. Vùèi èervu Code Red je to trochu nefér, metoda šíøení Code Red je totiž zcela
odlišná (dírá v IIS). Vzhledem k tomu, že prvním populárním Internetovým èervem se stal (tuším, že
nìkdy v roce 1988) tzv. "Morrisùv èerv", který se v nìkterých ohledech podobá "rudému kódu", dovolil
bych si "Morrisùv èerv" a Red Code oznaèit za PRAVÉ ÈERVY a "havì•" šíøící se elektronickou poštou
pouze za "èervy" v uvozovkách.
Za vrchol považuji rozhovor s ing. Miluší Šubrtovou (pravdìpodobnì v poøadu "21" na ÈT2). Jen nìkteré
nesmysly:
● Redaktor: Dá se krátce øíci, v èem je rozdíl mezi èervem a virem ?
ing. Miluše Šubrtová: Vir je pouze pùsobící na øeknìme èást souboru, který se vlastnì pohybuje jen v
této èásti, kdežto èerv je v podstatì souèástí nìkolika souborù, který mají charakteristiku tøeba svojim
jménem vstoupit do nìkolika systémù naráz a tím je v podstatì poškodit.
Igi: Kdo to pochopil, a• dá vìdìt na [email protected]. Doporuèuji radši navštívit Knihu o virech :)
● Redaktor: Má už Code Red nìjakého pøedchùdce ?
ing. Miluše Šubrtová: Má, ve své podstatì jsou to všechny øady virù, èervù typu I Love You, I Form,
Melissa...
Igi: Za pøedchùdce lze považovat tak maximálnì "Morrisùv èerv". Vysvìtlení jsem uvedl nahoøe.
Kompletní rozhovor ve formátu MP3 lze stáhnout z http://pws.prserv.net/fpl/miluse.mp3, pøíjemnou
zábavu :)
●
[23.7.2001]
I-Worm/Sircam.A letí svìtem !!! - antivirus na stažení !!!
Èerv I-Worm/Sircam.A ohromnou rychlostí po celém svìtì. Èesko a Slovensko nejsou vyjímkou. Pokud
se tento èervík dostal i na Váš poèítaè, doporuèuji vyzkoušet tento jednoúèelový antivirus FixSirc.com.
Staèí ho stáhnout a spustit pøímo z Windows. Pokud používáte Windows 2000/NT, je nutné, aby mìl
uživatel práva administrátora. Antivirus totiž potøebuje pøístup ke všem souborùm na disku a k
registrùm Windows.
http://www.viry.cz/ (7 of 11) [11.9.2001 17:26:09]
Igiho stránka o virech
● Ještì jeden dodatek k popisu tohoto èerva:
I-Worm/Sircam.A obsahuje nìkolik škodlivých rutin. 16.øíjna mùže vymazat všechny soubory na disku
C:, popøípadì v adresáøi C:\RECYCLED vytvoøí soubor sircam.sys, do kterého zapisuje text
[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
popøípadì
[SirCam Version 1.0 Copyright (c) 2001 2rP Made in / Hecho en Cuitzeo, Michoacan Mexico]
tak dlouho, až dojde k vyèerpání volného místa na disku.
[21.7.2001]
Prázdninový dárek: èerv I-Worm/Sircam.A
Jsou prázdniny a "pisálkové virù" se pravdìpodobnì flákají podobnì jako já :)
Služba Viruseye hlásí nadmìrný výskyt nového èerva I-Worm/Sircam.A o kterém mimojiné informuje i
spoleènost Grisoft (www.grisoft.cz), výrobce tuzemského antiviru AVG. Díky tomu mám usnadnìnou
práci, následující informace jsem si dovolil pøevzít pøímo od nich :)
Další roztomilý mazlíèek se zaèal šíøit vèera ráno (našeho èasu). Jde o cca 134kB bubmbrdlíèka
napsaného v Delphi.
Soudì dle zašifrovaných textù pochází z Mexika:
[SirCam Version 1.0 Copyright (c) 2001 2rP
Made in / Hecho en - Cuitzeo, Michoacan Mexico]
Tento text mimochodem obsahuje i v ponìkud "odtuènìné" verzi:
[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
Posílá se mailem, který má jako subject jméno pøiloženého souboru a jehož text sestavuje z tìchto vìt:
Hi! How are you?
See you later. Thanks
I send you this file in order to have
I hope you can help me with this file
I hope you like the file that I sendo
This is the file with the information
your advice
that I send
you
that you ask for
Pokud má uživatel ve Windows jako preferovaný jazyk nastavenou španìlštinu, tak se tomu virus
pøizpùsobí:
Hola como estas ?
Nos vemos pronto, gracias.
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informacion que me pediste
http://www.viry.cz/ (8 of 11) [11.9.2001 17:26:09]
Igiho stránka o virech
Pøiložený soubor je vytvoøen z vlastního tìla wormu, za kterým je pøipojen náhodnì vybraný soubor
(archív, dokument, spustitelný soubor) pocházející z infikovaného poèítaèe. Pùvodní jméno je
zachováno, worm si pouze pøipojí další pøíponu (pif, lnk, bat nebo com).
Po spuštìní se Sircam nakopíruje do nìkolika rùzných adresáøù pod rùznými jmény:
SirC32.exe, SCam32.exe, SirC32.exe, ScMx32.exe,
Microsoft Internet Office.exe a rundll32.exe
Poté zrekonstruuje kopii dokumentu, pod jehož jménem dorazil a pokud jde o EXE file, tak ho rovnou
spustí (ve snaze nebýt pøíliš nápadný). Pro ostatní typy souboru se pokusí v
HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\
najít vhodnou aplikaci k otevøení: Winzip pro .ZIP soubory, Excel pro .XLS a WinWord (nebo alespoò
WordPad) pro .DOC.
Své pravidelné spouštìní pøi startu poèítaèe se snaží si zajistit zápisem do hodnoty Driver32 klíèe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
a modifikací klíèe
HKCR\exefile\shell\open\command
(stejný trik používá napøíklad I-Worm/PrettyPark).
Jako vìtšina novìjších virù se i tento umí šíøit po sdílených discích v rámci lokální sítì. Na
namapovaných discích preferuje adresáøe \recycled a \windows a své spouštìní se pokusí zajistit
vložením øádky @win a odkazem na virus do \autoexec.bat nebo tím, že zamìní systémový soubor
rundll32.exe svou kopii.
[13.7.2001]
Nové srovnávací testy èasopisu Virus Bulletin !!!
V èervencovém èasopisu Virus Bulletin (www.virusbtn.com) se objevil
srovnávací test antivirových programù pro DOS. Jako obvykle pøináším
kompletní výsledky.
Naprosto dokonalé výsledky (100% ve všech kategoriích) tentokrát podaly
ètyøi antivirové programy: DrWeb, Nod32, Kaspersky AntiVirus a NAI
VirusScan. U Nodu32 je to již celkem bìžná záležitost :), ovšem pro
Kaspersky AntiVirus to znamená po delší dobì perfektní návrat mezi "elitu"
(100% ve všech kategoriích nemìl již dlouhou dobu, navíc nezískal v
poslední dobì ani ocenìní "Virus Bulletin 100%"). Nod32 byl v testu
bezkonkurenènì nejrychlejší (viz. tabulky).
Na závìr bych mìl ještì vyjmenovat antiviry, které dokázaly odhalit všechny In-the-Wild viry (ty, které se
ve svìtì nejvíce šíøí):
● CA Inocucmd
● CA Vet Rescue
● Command AntiVirus
● DialogueScience DrWeb
● Eset Nod32DOS
● FRISK F-Prot
http://www.viry.cz/ (9 of 11) [11.9.2001 17:26:09]
Igiho stránka o virech
●
●
●
●
●
●
F-Secure Anti-Virus
Kaspersky Lab AvpDOS32
NAI VirusScan
Norman Virus Control
Symantec Norton AntiVirus
VirusBuster
Ocenìní "Virus Bulletin 100%" nebylo udìleno žádnému antiviru, jelikož nelze pod DOSem testovat
kategorii on-access skenerù (tj. pamì•ovì rezidentních antivirù - "štítù").
[7.7.2001]
Klid na bojišti...
Je èas prázdnin, èas klidu :)
● Den nezávislosti se stal (4. èervenec) za velkou louží terèem hoaxu MusicPanel. Tato nesmyslná
zpráva, kterou si uživatelé mezi s sebou posílají informovala o neexistujícím viru, který se šíøí v
souborech MP3. Právì 4. èervence se mìl tento virus aktivovat a zablokovat postižené poèítaèe.
Pokud si formát MP3 zachová v budoucnu podobu jako dnes, nikdy nevznikne virus, který by se dokázal
pøes soubory formátu MP3 šíøit.
● MIONS - jediná èeská VX skupina, zamìstnávající "pisálky virù" je v hluboké krizi. Osoby, øíkající si
Radix16 a Wion již nejsou èleny, Worf si dal roèní pauzu a Mimi je na vojnì.
[1.7.2001]
PC Viruses ITW, aneb seznam nejrozšíøejnìjších virù...
Na adrese www.wildlist.org/WildList lze stáhnout seznam nejvíce hlášených virù (a další havìti) za mìsíc
èerven. Jako vždy uvádím pouze struènou verzi. Hodnota pod "Freq" udává množství míst, ze kterých
byl daný zmetek hlášen.
Freq Name
Type
Aliases
============================================================================
39 | W32/MTX-m............... | File
| Matrix, Apology
35 | VBS/LoveLetter.A-mm..... | Script |
34 | W32/Hybris.B-mm......... | File
| Hybris.23040-mm
32 | VBS/VBSWG.J-mm.......... | Script | Anna K, SST, Kalamar.A,
| I-Worm.Lee.o
31 | VBS/Stages.A-mm......... | Script | VBS/ShellScrap-mm
30 | JS/Kak.A-m.............. | Script |
30 | W32/Navidad.A-m......... | File
| Navidad-m
27 | W32/Ska.A-m............. | File
| HAPPY99
27 | W95/CIH.1003............ | File
| Spacefiller
26 | VBS/VBSWG.X-mm.......... | Script | HomePage, SST
25 | W97M/Ethan.A............ | Macro
|
24 | W32/Magistr.A-mm........ | File
| Disembowler
24 | W32/PrettyPark.37376-mm. | File
|
24 | W97M/Marker.C........... | Macro
| W97M/Spooky.C
24 | W97M/Melissa.A-mm....... | Macro
| Maillissa
22 | O97M/Tristate.C......... | Macro
| O97/Crown.B
22 | W32/Qaz................. | File
|
22 | W97M/Thus.A............. | Macro
| W97M/Thursday.A
20 | W32/Funlove.4099........ | File
|
18 | VBS/LoveLetter.AS-mm.... | Script | VBS/Plan.A-mm
18 | W32/Navidad.B-m......... | File
| Emanuel-m
18 | WM/CAP.A................ | Macro
|
http://www.viry.cz/ (10 of 11) [11.9.2001 17:26:09]
Igiho stránka o virech
17 | W32/Prolin.A-mm......... | File
| Creative.A-mm
16 | W32/BleBla.B-mm......... | File
| W32/Verona.B-mm
15 | VBS/Freelink-mm......... | Script |
============================================================================
Archiv starších novinek:
Rok 1998
Rok 1999
Rok 2000
Rok 2001
Leden-Záøí 1998
(bez data)
Øíjen 1998
Listopad 1998
Prosinec 1998
Leden 1999
Únor 1999
Bøezen 1999
Duben 1999
Kvìten 1999
Èerven 1999
Èervenec 1999
Srpen 1999
Záøí 1999
Øíjen 1999
Listopad 1999
Prosinec 1999
Leden 2000
Únor 2000
Bøezen 2000
Duben 2000
Kvìten 2000
Èerven 2000
Èervenec 2000
Srpen 2000
Záøí 2000
Øíjen 2000
Listopad 2000
Prosinec 2000
Leden 2001
Únor 2001
Bøezen 2001
Duben 2001
Kvìten 2001
Èerven 2001
Èervenec 2001
Srpen 2001
Záøí 2001
Øíjen 2001
Listopad 2001
Prosinec 2001
Tato stránka je stále ve vývoji
http://www.viry.cz/ (11 of 11) [11.9.2001 17:26:09]