Számítógépes vírusok a számítógépes vírusok programok tönkretehetik, megsemmisíthetik programjainkat, fájljainkat - működésük, megjelenési formájuk sokféle lehet - csak néhány száz bájt méretűek - képesek lappangani
Vírus fogalma A vírus olyan program, mely képes: 1. reprodukálni önmagát (akár különböző formában is, mutálódhat), 2. várakozni egy adott esemény bekövetkezésére (lappangás, pl.: konkrét dátumig), 3. automatikus önfuttatásra az adott esemény bekövetkeztekor
Miért kártékony programok ? erőforrásokat kötnek le (CPU, memória, lemez) program, vagy adatvesztést okozhatnak még súlyosabb a kár, ha hibás a víruskód (DOS boot vírus UNIX lemezen) laikus, kapkodó felhasználó kezd el írtani erkölcsi károkat okozhat a cégeknek Foglalkozni kell velük! Embereket, pénzt köt le!
Vírusok típusai Vírusok alapvető fajtái: - bootszektor vírus - fájl vírusok vagy programvírusok - makró vírusok Egyéb vírus jellegű programok: - trójai falovak - programférgek - hardvervírusok
Hogy vehetjük észre a vírust? árulkodó jelek A fertőzés leggyakoribb tünetei: - a megszokottnál tovább tart betölteni a prg.-ot - szokatlan hibaüzenetek jelennek meg - memória ok nélkül lecsökken - egyes fájlok ok nélkül eltűnnek - Word alatt egyes menüpontok eltűnnek
Védekezés a vírusok ellen Ma több, mint 15 ezer vírus létezik, ebből kb.: 260 fertőz szabadon! Lemezek írásvédetté tétele Word-ben makrók nélküli fájlmegnyitás választása Vírusirtók beszerzése, gyakori használata, verziók frissítése Rezidens, levelező prg. –ba épülő vírusirtók telepítése Tartsunk otthon BOOT-lemezt, melyen van vírusirtó
Trójai programok Olyan program, ami látszólag hasznosat, vagy érdekeset csinál, de káros, nem kívánt mellékfunkciókat is végrehajt mellette. Jellemző változatai: Hálózat felderítő programok (pl. login.exe módosítása) Másolásvédelem (pl. BIOS sorszám figyelése) Beépített vírust tartalmazó programok (adott feltétel teljesülése esetén szabadon engedi a vírust) Időzített bombát tartalmazó programok (adott idő után megszűnik működni - próba verzióknál normális)
Programférgek A UNIX rendszerek biztonsági réseit kihasználó programok. Céljuk általában az információ szerzés (pl. jelszótáblák, firewall). Nem irtották őket, hanem kijavították az operációs rendszer hibáit, így nem terjedtek el. Szaporodik, de nem igényel hordozót.
Rendszervírusok (Boot rekord, Partíciós tábla)
Az operációs rendszer betöltése A Winchester 0. sávjának 0. szektorában (Master Boot Record, MBR) lévő program elindul, feladata, hogy az ugyancsak itt elhelyezkedő Partíciós táblából meghatározza, melyik partíció aktív, és ráadja a vezérlést az ott lévő betöltő programra (Boot record)
Boot vírusok működése Mivel az MBR-ben, illetve a boot rekordban található program indul először (még az operációs rendszer betöltése előtt !!!), feltétlen ellenőrzése alá vonhatja a vírus a gépet. Megelőzés: Hardver (alaplap, kártya) védelem Helyreállítás: FDISK /MBR, vírusirtók
Programvírusok
Programvírusok Megfertőzhető állományok COM Max. 64 Kbájt hosszú (COMMAND.COM!) EXE Kicsit bonyolultabb szerkezet (EXE Header) SYS Eszközmeghajtók OVL Overlay állományok BIN végrehajtható kódú bináris állomány OBJ LIB Tárgykódos vagy könyvtárállományok Egyéb Windows-os állományok (DLL, PIF, DOT, stb.)
Vírusok csoportosítása Generációk szerint Fertőzési sebesség szerint Visszafejthetőség szerint Objektív (büntető) rutin szerint Elhelyezkedés szerint Fájlban Memóriában
Vírusok csoportosítása Generációk szerint Első generációs vírusok Egyszerű terjedésű, könnyen visszafejthető vírusok Lopakodó (stealth) vírusok Mindent az eredeti fertőzésmentes állapotban mutat Polimorf, mutációs vírusok Terjedés közben átírja magát, több változat készül FAT és CEB (companion) vírusok FAT: Egy példányban írja fel magát az utolsó clusterbe CEB: DOS programindítási rendszerét használja ki
Vírusok csoportosítása Fertőzési sebesség Lassú fertőző (Általában a nem rezidens vírusok ilyenek) A fertőzött program indítása után keres egy-két áldozatot, és azt megfertőzi Gyors fertőző Minden elindított, vagy megnyitott fájlt megfertőz. Egy nem tökéletes víruskereső, amely minden fájlt megnyit, végigfertőzheti az összes fájlt.
Vírusok csoportosítása Visszafejthetőség Nem ellenálló Könnyen visszafejthető, elég a DEBUG, vagy egy DISASSEMBLER Billentyűzet letiltó Letiltja a DEBUGGER billentyűzet kezelését Titkosító Kódolja magát, a visszafordított kód értelmetlen
Vírusok csoportosítása Objektív (büntető) rutin szerint Romboló szándékú Fizikailag romboló (winchester, IC) Erőteljesen romboló (format) Részlegesen romboló (bad sector) Szelektíven romboló (bizonyos programokat támad) Nem romboló szándékú ("jópofa") Szöveg, zene, grafika megjelenítése Billentyűzet átdefiniálás stb. Objektív rész nélküli
Vírusok csoportosítása Elhelyezkedés a fájlban Nem felülíró típusok Hozzáfűző (appendelő) Kód elé beszúró Felülíró típusok Program elejére író Véletlenszerű helyre író Felülíró és nem felülíró hibrid típusú Exe fejlécbe (stack terület) telepedő Command.com-ba telepedő Speciális (FAT, CEB) vírusok
Vírusok csoportosítása Elhelyezkedés a memóriában Rezidens (kikapcsolásig a memóriában marad) TSR (Terminate and Stay Resident) Felső memóriába installálja magát Videomemória kihasználatlan részében MCB (Memory Control Block) keresztül DOS puffereiben memória tetejében mindig ugyanarra a címre tölti be magát 640 KB feletti részen Nem rezidens (csak a végrehajtás ideje alatt) Vegyes (az objektív rutin rezidens, a szaporodó tranziens)
Vírusok csoportosítása Generációk szerint Fertőzési sebesség szerint Visszafejthetőség szerint Objektív (büntető) rutin szerint Elhelyezkedés szerint Fájlban Memóriában
Vírusok csoportosítása Generációk szerint Első generációs vírusok Egyszerű terjedésű, könnyen visszafejthető vírusok Lopakodó (stealth) vírusok Mindent az eredeti fertőzésmentes állapotban mutat Polimorf, mutációs vírusok Terjedés közben átírja magát, több változat készül FAT és CEB (companion) vírusok FAT: Egy példányban írja fel magát az utolsó clusterbe CEB: DOS programindítási rendszerét használja ki
Vírusok csoportosítása Fertőzési sebesség Lassú fertőző (Általában a nem rezidens vírusok ilyenek) A fertőzött program indítása után keres egy-két áldozatot, és azt megfertőzi Gyors fertőző Minden elindított, vagy megnyitott fájlt megfertőz. Egy nem tökéletes víruskereső, amely minden fájlt megnyit, végigfertőzheti az összes fájlt.
Vírusok csoportosítása Visszafejthetőség Nem ellenálló Könnyen visszafejthető, elég a DEBUG, vagy egy DISASSEMBLER Billentyűzet letiltó Letiltja a DEBUGGER billentyűzet kezelését Titkosító Kódolja magát, a visszafordított kód értelmetlen
Vírusok csoportosítása Objektív (büntető) rutin szerint Romboló szándékú Fizikailag romboló (winchester, IC) Erőteljesen romboló (format) Részlegesen romboló (bad sector) Szelektíven romboló (bizonyos programokat támad) Nem romboló szándékú ("jópofa") Szöveg, zene, grafika megjelenítése Billentyűzet átdefiniálás stb. Objektív rész nélküli
Vírusok csoportosítása Elhelyezkedés a fájlban Nem felülíró típusok Hozzáfűző (appendelő) Kód elé beszúró Felülíró típusok Program elejére író Véletlenszerű helyre író Felülíró és nem felülíró hibrid típusú Exe fejlécbe (stack terület) telepedő Command.com-ba telepedő Speciális (FAT, CEB) vírusok
Vírusok csoportosítása Elhelyezkedés a memóriában Rezidens (kikapcsolásig a memóriában marad) TSR (Terminate and Stay Resident) Felső memóriába installálja magát Videomemória kihasználatlan részében MCB (Memory Control Block) keresztül DOS puffereiben memória tetejében mindig ugyanarra a címre tölti be magát 640 KB feletti részen Nem rezidens (csak a végrehajtás ideje alatt) Vegyes (az objektív rutin rezidens, a szaporodó tranziens)