Miért kártékony programok ?

Az előadások a következő témára: "Miért kártékony programok ?"— Előadás másolata:

0 Készítette: Schveibert Róbert

1 Miért kártékony programok ?
erőforrásokat kötnek le (CPU, memória, lemez) program, vagy adatvesztést okozhatnak még súlyosabb a kár, ha hibás a víruskód (DOS boot vírus UNIX lemezen) laikus, kapkodó felhasználó kezd el írtani erkölcsi károkat okozhat a cégeknek Foglalkozni kell velük! Embereket, pénzt köt le! Készítette: Schveibert Róbert

2 Vírusok meghatározása
Olyan programok, melyek a rendszerbe ENGEDÉLY NÉLKÜL lépnek be önmaguk (esetleg módosított) változatát más, „gazda” programokhoz fűzve SZAPORODNAK bizonyos feltételek teljesülése esetén ROMBOLHATNAK (nem biztos) Készítette: Schveibert Róbert

3 Kártékony programok csoportosítása
Vírusok Rendszervírusok (boot szektor, MBR) Programvírusok („klasszikus” vírusok) Alkalmazás vírusok (makróvírusok) Egyéb kártékony programok (MalWare) Készítette: Schveibert Róbert

4 Egyéb kártékony programok - MalWare -
Készítette: Schveibert Róbert

5 Készítette: Schveibert Róbert
MalWare típusok Ezeket sem szeretjük, de vírusoknak a definíció alapján mégsem tekinthetők Trójai programok (nem szaporodnak) ANSI bombák (nem szaporodnak) Programférgek (nincs „gazda” program) Vírushordozók (csak a „termék” kártékony) Vírusgenerátorok (csak a „termék” kártékony) Készítette: Schveibert Róbert

6 MalWare Trójai programok
Olyan program, ami látszólag hasznosat, vagy érdekeset csinál, de káros, nem kívánt mellékfunkciókat is végrehajt mellette. Jellemző változatai: Hálózat felderítő programok (pl. login.exe módosítása) Másolásvédelem (pl. BIOS sorszám figyelése) Beépített vírust tartalmazó programok (adott feltétel teljesülése esetén szabadon engedi a vírust) Időzített bombát tartalmazó programok (adott idő után megszűnik működni - próba verzióknál normális) Készítette: Schveibert Róbert

7 Készítette: Schveibert Róbert
MalWare ASCII vírusok Víruskód szöveges állományban van, aktiválni egy batch fájl segítségével lehet (inkább rejtőzködés) átnevezés: ren virus.txt virus.com másolás: type virus.txt > virus.com copy virus.txt virus.com > nul debug: debug < virus.txt Aktiválás után azonnal rombol, majd kimúlik (leggyakoribb eset) ASCII vagy “klasszikus” vírusként szaporodik Készítette: Schveibert Róbert

8 Készítette: Schveibert Róbert
MalWare ANSI bombák A DOS ANSI.SYS meghajtója lehetővé teszi, hogy billentyűkkel programokat indíthassunk. (pl. F10 > dir) Az aktiválás minden olyan eszközzel lehetséges, melynek outputja a képernyő: type - vírus a szövegbe, vagy bináris fájlban dir - vírus a katalógusban prompt Készítette: Schveibert Róbert

9 MalWare ANSI bombák - folytatás
Ha az indított program megerősítést kér, az echo paranccsal vagy átirányítással becsapható: echo y | del *.* del *.* < x.txt (az x.txt tartalma ’y’) Ha nem töltjük be az ANSI.SYS-t, nem működnek A DOS-szal együtt az ANSI bombák kihalnak... Készítette: Schveibert Róbert

10 MalWare Programférgek
A UNIX rendszerek biztonsági réseit kihasználó programok. Céljuk általában az információ szerzés (pl. jelszótáblák, firewall). Nem irtották őket, hanem kijavították az operációs rendszer hibáit, így nem terjedtek el. Szaporodik, de nem igényel hordozót. Készítette: Schveibert Róbert

11 MalWare Vírustároló programok
Injektor - “vírusgazda”, ő maga nem beteg, de fertőz Germ normális úton terjedni nem képes vírusokhoz Dropper - indítás után előállítja a vírust, majd szabadon engedi. A Dropper nem kértékony, róla nem készül másolat sem Készítette: Schveibert Róbert

12 MalWare Vírusgenerátorok
Eredetileg: Az Assembly kód módosítása Paraméterei: új sorok szám, módosítandó tartomány Virus Mutator, Dark Avenger, TridentT stb. Újabban: A víruskészítés TELJES automatizálása, már nem kell programozni sem tudni! Paraméterei: lopakodó, titkosított, aktiválás stb Demolition Kit, MVDK, Crazy Bits stb. Készítette: Schveibert Róbert

13 Rendszervírusok (Boot rekord, Partíciós tábla)
Készítette: Schveibert Róbert

14 Az operációs rendszer betöltése
A Winchester 0. sávjának 0. szektorában (Master Boot Record, MBR) lévő program elindul, feladata, hogy az ugyancsak itt elhelyezkedő Partíciós táblából meghatározza, melyik partíció aktív, és ráadja a vezérlést az ott lévő betöltő programra (Boot record) Készítette: Schveibert Róbert

15 Készítette: Schveibert Róbert
Boot vírusok működése Mivel az MBR-ben, illetve a boot rekordban található program indul először (még az operációs rendszer betöltése előtt !!!), feltétlen ellenőrzése alá vonhatja a vírus a gépet. Megelőzés: Hardver (alaplap, kártya) védelem Helyreállítás: FDISK /MBR, vírusirtók Készítette: Schveibert Róbert

16 Készítette: Schveibert Róbert
Programvírusok Készítette: Schveibert Róbert

17 Készítette: Schveibert Róbert
Programvírusok Megfertőzhető állományok COM Max. 64 Kbájt hosszú (COMMAND.COM!) EXE Kicsit bonyolultabb szerkezet (EXE Header) SYS Eszközmeghajtók OVL Overlay állományok BIN végrehajtható kódú bináris állomány OBJ LIB Tárgykódos vagy könyvtárállományok Egyéb Windows-os állományok (DLL, PIF, DOT, stb.) Készítette: Schveibert Róbert

18 A számítógépvírus részei
Reprodukciós rutin Aktiválási mechanizmus ellenőrzi bizonyos feltételek teljesülését, illetve események bekövetkezését ha a feltételek teljesülnek, aktiválja a vírust Objektív (büntető) rutin romboló utasítások “reklámszövegek”, ijesztgető feliratok stb. Készítette: Schveibert Róbert

19 Készítette: Schveibert Róbert
A reprodukciós rutin Víruskód futtatása Célpont keresése - program - boot szektor - partíciós tábla (végrehajtási sorrend) Program módosítása (már fertőzött) Megjelöli a programot Víruskód beillesztése Fertőzött a célpont? nem igen Készítette: Schveibert Róbert

20 Vírusok csoportosítása
Generációk szerint Fertőzési sebesség szerint Visszafejthetőség szerint Objektív (büntető) rutin szerint Elhelyezkedés szerint Fájlban Memóriában Készítette: Schveibert Róbert

21 Vírusok csoportosítása Generációk szerint
Első generációs vírusok Egyszerű terjedésű, könnyen visszafejthető vírusok Lopakodó (stealth) vírusok Mindent az eredeti fertőzésmentes állapotban mutat Polimorf, mutációs vírusok Terjedés közben átírja magát, több változat készül FAT és CEB (companion) vírusok FAT: Egy példányban írja fel magát az utolsó clusterbe CEB: DOS programindítási rendszerét használja ki Készítette: Schveibert Róbert

22 Vírusok csoportosítása Fertőzési sebesség
Lassú fertőző (Általában a nem rezidens vírusok ilyenek) A fertőzött program indítása után keres egy-két áldozatot, és azt megfertőzi Gyors fertőző Minden elindított, vagy megnyitott fájlt megfertőz. Egy nem tökéletes víruskereső, amely minden fájlt megnyit, végigfertőzheti az összes fájlt. Készítette: Schveibert Róbert

23 Vírusok csoportosítása Visszafejthetőség
Nem ellenálló Könnyen visszafejthető, elég a DEBUG, vagy egy DISASSEMBLER Billentyűzet letiltó Letiltja a DEBUGGER billentyűzet kezelését Titkosító Kódolja magát, a visszafordított kód értelmetlen Készítette: Schveibert Róbert

24 Vírusok csoportosítása Objektív (büntető) rutin szerint
Romboló szándékú Fizikailag romboló (winchester, IC) Erőteljesen romboló (format) Részlegesen romboló (bad sector) Szelektíven romboló (bizonyos programokat támad) Nem romboló szándékú ("jópofa") Szöveg, zene, grafika megjelenítése Billentyűzet átdefiniálás stb. Objektív rész nélküli Készítette: Schveibert Róbert

25 Vírusok csoportosítása Elhelyezkedés a fájlban
Nem felülíró típusok Hozzáfűző (appendelő) Kód elé beszúró Felülíró típusok Program elejére író Véletlenszerű helyre író Felülíró és nem felülíró hibrid típusú Exe fejlécbe (stack terület) telepedő Command.com-ba telepedő Speciális (FAT, CEB) vírusok Készítette: Schveibert Róbert

26 Vírusok csoportosítása Elhelyezkedés a memóriában
Rezidens (kikapcsolásig a memóriában marad) TSR (Terminate and Stay Resident) Felső memóriába installálja magát Videomemória kihasználatlan részében MCB (Memory Control Block) keresztül DOS puffereiben memória tetejében mindig ugyanarra a címre tölti be magát 640 KB feletti részen Nem rezidens (csak a végrehajtás ideje alatt) Vegyes (az objektív rutin rezidens, a szaporodó tranziens) Készítette: Schveibert Róbert

27 Polimorf, mutációs vírusok
Alapötlet: Nehezebb felfedezni egy vírust, ha mindig más alakot ölt ! Kódoló (encryptor) Vírusmag Dekódoló (decryptor) Kódolt rész Nem kódolható Változó KULCS Készítette: Schveibert Róbert

28 Készítette: Schveibert Róbert
Változó bináris kód Változó kulcs (ezt mindegyik alkalmazza) Alternatív műveleti kód pl. MOV AX, BX 89D8 vagy 8BC3 Egyenértékű utasítássorozatok váltogatása pl. MOV AX, CS PUSH CS MOV DS, AX POP DS Hatástalan utasítások beszúrása - pl. NOP, vagy PUSH AX, POP AX Készítette: Schveibert Róbert

29 Készítette: Schveibert Róbert
Permutációs vírusok VIR1 VIR2 VIR3 PRG1 JMP VIR2 JMP VIR3 JMP PRG1 JMP VIR1 JMP PRG2 JMP PRG3 JMP PRG4 PRG2 PRG3 PRG4 A vírus egyes részei nem összefüggően nem állandó sorrendben nem feltétlenül kódoltan jelennek meg. pl. OneHalf Készítette: Schveibert Róbert

30 Rejtőzködés Lopakodó vírusok (stealth)
Egyszerű lopakodó: az eredeti file méretet mutatja, de a fájlt megnyitva észrevehető Teljesen lopakodó: Mindent a fertőzés előtti állapotban mutat Technika: Memory Control Block módosítása Nem dokumentált DOS funkciók használata DOS függvények ellenőrzése (25/26h disk I/O, 28h bill./mon. I/O - titkos!) Készítette: Schveibert Róbert

31 Készítette: Schveibert Róbert
Rejtőzködés Companion (CEB) vírusok Rendszerfüggő (főleg DOS), az eltérő végrehajtási sorrendet (pl. COM > EXE > BAT használja ki. Általános companion: Az EXE fájllal azonos könyvtárban hoz létre fertőzött, azonos nevű COM-ot Path companion: A fertőzött COM-ot a keresési útvonalban korábban szereplő könyvtárba teszi (vagy módosítja a keresési útvonalat) Alias companion: kihasználja, hogy a DOSKEY makróknak elsőbbsége van Készítette: Schveibert Róbert

32 Rejtőzködés FAT vírusok
A vírus a lemez utolsó (bad sector-nak jelzett) clusterében ül. A programok kezdetét önmagára irányítja, az eredeti FAT-et kódolja Egyetlen példányban létezik, de az összes programra hat Ha aktív, semmi nyoma nincsen Ha nem aktív, másoláskor CSAK a vírus megy! Készítette: Schveibert Róbert

33 Vírusvédelmi módszerek
Szignatúra vagy bájtminta keresés Ismert vírusokat eltávolító védelem Heurisztikus keresés Ellenőrző összeges védelem Általános rendszerfelügyelő védelem Hardveres védelem Vegyes védelmi módszerek Az operációs rendszer vírusvédelme Hálózatok védelme Készítette: Schveibert Róbert

34 Szignatúra, vagy bájtminta keresés
Vírusra jellemző adatok és utasítás sorozatok keresése a programban (esetleg nemcsak egy helyről). Például a hexa FC8BF281C60A00 megfelel a következő utasításoknak: FC CLD 8BF2 MOV SI,DX 81C60A00 ADD SI,000A Ha ez az utasítássorozat jellemző egy vírusra, akkor ennek alapján lehet keresni (CSAK ISMERT vírusok!) Lehet dzsóker karakterekkel kombinálni FCF281C60A00 helyett FC?281C*60A00 Készítette: Schveibert Róbert

35 Ismert vírusokat eltávolító védelem
A szignatúra kereséssel ellentétben, ez nemcsak felismeri a vírusokat a bájtminta alapján, hanem el is távolítja. Tudni kell hozzá, hogy a vírus milyen módosításokat végez a megtámadott objektumon. Figyelni kell, hogy a vírus melyik variánsa szerepel, mert kiirtásuk módszere nem feltétlenül azonos. Igen precíz azonosítás szükséges, ehhez több szignatúrát használ a vírusirtó program. Nem megfelelő eltávolítás esetén az antivírus program is rombolhatja az objektumot! Készítette: Schveibert Róbert

36 Készítette: Schveibert Róbert
Heurisztikus keresés Nem szignatúrákat keres a program, hanem műveletei és viselkedése alapján dönti el egy programról. hogy vírus-e. Processzoremulátorral futtatja a kereső a programokat. 1. Általános heurisztikus keresés Vírusra utaló műveleteket figyel a program futtatásakor (végrehajtható állományokba, boot szektorba akar írni, program végére mutató ugróutasítással kezdődik) 2. Specifikus heurisztikus keresés Számolja az azonos csoportba tartozó utasításokat. (pl.: MOV reg, reg; MOV reg,cím; stb.), Ha csoportok száma valamilyen vírusra jellemző, figyelmeztetnek. Készítette: Schveibert Róbert

37 Ellenőrző összeges védelem
1. A lemezen tárolt programok, boot-szektor és partíciós tábla ellenőrző összegeivel számol. (integrity checker). 2. A tárolt hexadecimális értékeket valamilyen algoritmus segítségével elkódolja egy értékkel. CRC - Cyclic Redundancy Check. 3. A CRC értéket eltárolja. 4. Később újra kiszámolva a CRC érték ugyanaz kell legyen. 5. Az eltárolt CRC értéket a program végén vagy külön állományban tárolja. Készítette: Schveibert Róbert

38 Általános rendszerfelügyelő védelem
Monitor vagy felügyelőprogram. Rendszerindítás után rezidens állapotban a memóriában marad és onnan felügyel a programokra. ellenőrzi a futatott programok működését, illegális lemez és memóriakezelésnél figyelmeztet, azokat az interruptokat figyeli, melyeket rendszerint vírusok hívnak meg. Heurisztikus és szignatúra keresés egyaránt. Készítette: Schveibert Róbert

39 Készítette: Schveibert Róbert
Hardveres védelem Kártyán keresztül valósul meg, hamarabb elindul a figyelés mint a bootolási folyamat (alaplapon is). Nem enged fertőzött boot lemezről bootolni. Követelmények: Ne zavarja sokszor a felhasználót. Legyen benne heurisztikus és szignatúra kereső, az utóbbi ne avuljon el, legyen frissíthető. Automatikusan induljon a gép indításakor. Készítette: Schveibert Róbert

40 Hardveres védelem - folytatás
Követelmények - folytatás: Támogassa a hozzáférés-védelmet, írásvédelmet és más adatbiztonsági szolgáltatásokat. Minden szoftverrel fusson együtt. A kártya lássa a memóriát, de a memória ne lássa a kártyát, hogy a vírusok elől védve legyen. Felhasználói programokból rendszerhívásokkal elérhető legyen. Készítette: Schveibert Róbert

41 Vegyes védelmi módszerek
Védőoltás a megfertőzhető programoknak Program létrehozási idejének átállítása. Hossz megváltoztatása. Azonosító hozzáadása a programhoz. Boot szektorba és partíciós táblába bájtok beírása. Környezeti változó beállítása. Program végéhez immunrutin hozzáadása. Hardver-Szoftver írásvédelem használata Csali programok Készítette: Schveibert Róbert

42 Az operációs rendszer vírusvédelme
A vírusok az operációs rendszerek gyengégit használják ki. Antivírus program az operációs rendszerhez. Figyelni kell melyik program milyen állományokhoz férhet hozzá. Tartalmazzon nem manipulálható ellenőrző összeges védelmet. Hardveres memória-védelem. Biztonságosabb operációs rendszerek kifejlesztése. Készítette: Schveibert Róbert

43 Készítette: Schveibert Róbert
Hálózatok védelme Az eddigi felsorolt védelmek is jól használhatók hálózatokban, de általában a hálózatok eleve tartalmaznak valamilyen védelmet. Felhasználók azonosítása, fájlok, könyvtárak különböző szintű elérése, memóriarészek védelme. Vírusvédelemmel kombinálva, jó védelmet nyújthatnak. A keresésnek figyelembe kell venni, hogy a hálózati meghajtók más felépítésűek mint a floppy vagy a winchester. Központi gépen és a munkaállomásokon is kell a védelem. Készítette: Schveibert Róbert

44 Vírusvédelmi tanácsok
A vírusfertőzési veszély jelentősen csökkenthető, bizonyos biztonsági szabályok betartásával. Néhány óvintézkedéssel jelentősen csökkenthetjük a fertőzésveszélyt illetve az esetleg keletkező kár mértéket. Vírusfertőzés megelőzése detektálása azonosítása helyreállítása Készítette: Schveibert Róbert

45 Vírusfertőzés megelőzése
Víruskapuk ellenőrzése Oktatás Adatforgalom ellenőrzése Backup Antivírus szoftverek használata Készítette: Schveibert Róbert

46 Vírusfertőzés megelőzése: Víruskapuk
Nem winchesterről vagy floppyról töltjük be az operációs rendszert, hanem Eprom-ról. Csak biztosan tiszta boot programmal és partíciós táblával rendelkező lemezről indítunk. Figyeljük milyen programokat indít az autoexec.bat illetve a config.sys. Program futtatáskor biztosan legyen tiszta, vírusmentes. Csak jogilag tiszta, vásárolt programot használjunk. Vigyázzunk a másolásvédelemmel ellátott programokkal, ezek is tartalmazhatnak romboló rutint. Készítette: Schveibert Róbert

47 Készítette: Schveibert Róbert
Vírusfertőzés megelőzése: Oktatás A rendszergazda a felhasználókkal: készítse fel őket az esetleges veszélyekre (vírusok, trójai programok, férgek) az általános védelmi eljárásokat ismertesse velük. Készítette: Schveibert Róbert

48 Vírusfertőzés megelőzése: Adatforgalom vizsgálata
Rendszer és más gépek között csökkenteni kell az adatok forgalmát. Más hálózatokról letöltött programokat futtatás előtt ellenőrizni, tesztelni kell. Készítette: Schveibert Róbert

49 Vírusfertőzés megelőzése: Backup
Gyári installációs lemezeket installálás előtt tegyük írásvédetté és készítsünk róluk biztonsági másolatot. Az általunk használt egyéb programokról is készítsünk másolatot, illetve legyen biztosan és gyorsan elérhető forrásunk. Adatainkat sűrűn mentsük el, a régebbi adatok esetleges felülírásával. Figyeljünk arra, hogy az elmentett állományok nehogy fertőzöttek legyenek! Készítette: Schveibert Róbert

50 Vírusfertőzés megelőzése: Antivírus termékek
Antivírus termékek használatával elérhetjük, hogy minél több vírust felismerhessünk rendszerünkben. Használjuk a víruskeresők memóriarezidens figyelő modulját. A vírus fertőzést megelőző program: általános rendszerfelügyelő vagy monitor program ellenőrző összeges program Mindig legyen rendszerlemezünk segédprogramokkal (vírusirtó program, fdisk, sys, ndd, stb.)! Készítette: Schveibert Róbert

51 Vírusfertőzés detektálása: Vírusra utaló jelenségek
Furcsa viselkedés a gép részéről. Programok hossza, létrehozási dátuma megváltozik. Furcsa állományok, könyvtárbejegyzések keletkeznek Szokatlan dolgok jelennek meg a képernyőn. Csökken memóriaterület, bad szektorok jelennek meg Állományaink eltűnnek. Lemez, vagy fájl tartalom sérül Feltűnően sokat nyúl a lemezhez egy program Különböző hibák jelentkeznek a gépen Víruskeresőnk vírust mutat ki Készítette: Schveibert Róbert

52 Vírusfertőzés helyreállítása
Jó vírusölő segítségével, ami a fertőzött programokat képes eredeti állapotukba visszaállítani. A vírus hibáját kihasználva a vírus önmagát távolítja el a rendszerből. Lementett adatok és programok visszatöltésével. Kézi módszerrel: például boot vírus esetén indítsuk újra a gépet rendszerlemezről. Segédprogramokkal távolítsuk el a vírust. (sys, fdisk /mbr, diskedit). Végső esetben alacsony szintű formázás segíthet, ha ez sem működik, akkor vírusokkal foglalkozó szakemberhez kell fordulni. Készítette: Schveibert Róbert

53 Ismertebb kereső és irtó programok
Általában shareware vagy freeware termékek. Regisztrációjukkal több vírusmintát, vagy több funkciót (irtás, immunizálás stb.) tartalmazó programhoz jutunk. MacAfee VirusScan Thunderbyte Antivirus F-prot Microsoft AntiVirus Készítette: Schveibert Róbert

54 Makróvírusok (Alkalmazás vírusok)
Készítette: Schveibert Róbert

55 Készítette: Schveibert Róbert
Mi is az a makró ? Makró = névvel rendelkező, automatikusan ismételhető utasítássorozat Operációs rendszerek makrói: DOS (OS/2) batch, Macro Assembler, Windows 3.x Makrórögzítő Alkalmazások makrói: Word, Excel, AmiPro, Lotus, Access stb. Készítette: Schveibert Róbert

56 Készítette: Schveibert Róbert
Makró vírusok Tágabb értelemben: a Batch és ASCII vírusok is ide tartozhatnak PLATFORMFÜGGŐ Szűkebb értelemben: Felhasználói alkalmazások makrói PLATFORM FÜGGETLEN DOKUMENTUMOKKAL TERJED Készítette: Schveibert Róbert

57 Készítette: Schveibert Róbert
Az első makróvírusok 1993 Telix (kommunikációs program scriptje) 1994 DMV (kísérleti Word makróvírus) 1995 Concept !!! (az első igazi makróvírus) Tendencia: Boot/File Makró 1998 … több, mint 2000 ! Készítette: Schveibert Róbert

58 Makróvírusok gyarapodása
Forrás: DataFellows Készítette: Schveibert Róbert

59 Készítette: Schveibert Róbert
Miért “előnyösek”? A vírusirtók “elaludtak”... A gyakori, gyanútlan dokumentumcsere Internet/Intranet fejlődése Word, Excel fejlődése és terjedése Nem kell mélyebb ismeret az írásához Dokumentumcsere több platformon, sőt alkalmazások között is (OLE) Készítette: Schveibert Róbert

60 Készítette: Schveibert Róbert
Gyors terjedés Internet letöltések csatolások Egységes dokumentumkezelés (OLE2) Floppy CD mellékletes balesetek Készítette: Schveibert Róbert

61 Makróvírusok tulajdonságai
Csak a makrónyelv lehetőségei között mozoghat Nagy CPU és memóriaigény lelassul a futás, könnyebben észrevehető Fertőzés területei: doc, dot, xl?, smm, mdb, wp*, wk*, wiz, wzs, cdr Készítette: Schveibert Róbert

62 Word dokumentum elemei
Dokumentumok: Szöveg (ábrák, formátumok) Stílusok (betű, bekezdés, keret, tabulátor…) Sablonok (a fentieken kívül): Makrók, gyorsszövegek (autotext) Menü, eszköztár, gyorsbillentyű beállítások Készítette: Schveibert Róbert

63 Készítette: Schveibert Róbert
Sablonok jellemzői (Dokumentum-típusokhoz tartozó tervek) Makrót CSAK sablon tartalmazhat, “igazi” dokumentum NEM! A sablonok kiterjesztése .DOT, de NEM FELTÉTLENÜL ! (A Word bármilyen kiterjesztés esetén felismeri, tehát DOC, RTF is lehet) A Word indításakor automatikusan betöltődő sablon a NORMAL.DOT Készítette: Schveibert Róbert

64 Készítette: Schveibert Róbert
A Word változatai Word 2.0, Word 6.0, Word 95, Word 97 WordBasic --> Visual Basic for Applications (VBA) 16 bit API --> 32 bit API Általában felülről kompatibilisek Angol, Magyar, Német, Orosz, Kínai … Egyes makró utasítások csak a saját nyelvükön értelmezhetők Készítette: Schveibert Róbert

65 Készítette: Schveibert Róbert
Word vírusok működése Betöltés DOC-nak álcázott DOT (sablon) DOC-hoz csatolt sablonon keresztül Vezérlésátadás (aktivizálódás, rezidenssé válás) Automakrók (AutoExec,-New,-Open,-Close,-Exit) Belső parancsok átdefiniálása (pl. FileSave) Billentyűzet, Eszköztár, Menü átdefiniálása Makrógomb, űrlapmező beszúrása a DOC-b Készítette: Schveibert Róbert

66 Szaporodási mechanizmus
NORMAL.DOT - elsődleges célpont A betöltés, változás nyugtázása letiltható Az AutoMacro-k letilthatók *.DOT a STARTUP könyvtárban Az AutoMacro-k nem hajtódnak végre WINWORD /mmakrónév Külső sablon hívása parancssorból Készítette: Schveibert Róbert

67 Károkozási lehetőségek
Külső erőforrások segítségével Katalógus- és fájlműveletek Task kezelés (elrejtés, indítás, leállítás) BIOS hívások (Debug, dropperként működhet) Belső erőforrások Üzenet, ábra megjelenítése, nyomtatása Nyelvi trükkök (szócsere, betűcsere) Jelszó elhelyezése (feltörhető, de bosszantó) Készítette: Schveibert Róbert

68 Lopakodási lehetőségek
Execute Only (MacroCopy) “Kellemetlen” menüpontok eltüntetése vagy átdefiniálása Makró forrás elrejtése a Gyorsszöveg mezőbe Készítette: Schveibert Róbert

69 Készítette: Schveibert Róbert
Mutációs lehetőségek Minden módszer működik, ami a klasszikus vírusoknál Rutinok permutációja, átnevezés, hatástalan utasítások beszúrása stb. DE ! Execute Only makro nem változtatható, a nem titkosított pedig könnyen észrevehető. Készítette: Schveibert Róbert

70 Készítette: Schveibert Róbert
Excel vírusok Makrónyelv: az Excel 5.0-tól a VBA Sablonok: a ..\XLSTART könyvtárban (Egyéni makrófüzet: ..\xlstart\Personal.xls) Dokumentum is tartalmazhat makró-lapot, ezért nem kell “trükközni”, mint a Word-nél Aktiválás a Word-höz hasonlóan (Automacro stb.) Rombolás: a VBA keretein belül mindent lehet Titkosítás: CSAK a makrólap elrejtésével Készítette: Schveibert Róbert

71 Készítette: Schveibert Róbert
AmiPro makrovírusok A makrókat külön fájlban tárolja (*.smm) Védekezés: az SMM állomány törlésével Eddig EGYETLEN ilyen vírust írtak !!! Készítette: Schveibert Róbert

72 Makróvírusok megelőzése
Víruskapuk ellenőrzése (floppy, mail, www, ftp) AutoMacro-k letiltása Másolatok készítése (sablonokról is!) Normal.dot csak olvashatóvá tétele Office 97 makróellenőrzési lehetőségei Makrókat nem ismerő nézegetők, formátumok használata (WordView, RTF) Készítette: Schveibert Róbert

73 Makróvírusok detektálása
Menüpontok eltűnése Mentési formátumok megváltozása Megváltoznak az eszköztár, makró beállítások Lassul a gép, nagy állományok keletkeznek Szokatlan grafikák, szövegek a képernyőn Mentési nehézségek (Már létezik, Tele a lemez) Készítette: Schveibert Róbert

74 Makróvírusok eltávolítása
Legjobb az elmentett állományok visszatöltése! Víruskeresők DOS (Gyors, kicsi, DE kevésbé megbízható) Windows (Megbízhatóbb, beépíthető, DE az operációs rendszer védi a futó alkalmazásokat) Kézi vírusirtás Szinte reménytelen Hasznos lehet a Normal.dot törlése Készítette: Schveibert Róbert

75 Néhány vírusvédelmi rendszer
McAfee - VirusScan, WebScanX, NetShield Datafellows - F-PROT, F-SECURE for DOS, Win, Novell Virus Buster - VisSec, VirusBuster for Win, Novell, Excel (!) Készítette: Schveibert Róbert