2017.04.04. Számítógépes vírusok
A vírus fogalma, „célja” Önmagát reprodukálja, azaz szaporodik Hagyományos eszközökkel nem látható Valamilyen állományhoz kapcsolódik Lappangási idejük van Többnyire kárt, vagy bosszúságot okoz A víruskészítés- és terjesztés célja sokféle lehet: az egyszerű csínytevéstől a komoly politikai, katonai célokig.
A vírusok terjedése A vírusok mindig egy fertőzött programmal, dokumentummal jutnak a számítógépbe, valamilyen lemezről vagy a hálózaton keresztül.
Valós veszélyek Vírusfertőzés esetén: hardware tönkretétele adatvesztés, adatok összekeveredése szerver leállás, lebénulás (pl. levél vírusok) Spyware, trójai falovak: Teljes gépen tárolt adathalmaz idegenek kezébe kerülhet Titkos login/pwd párok ellopása Adatgyűjtés Adware: Felugró ablakok miatt lehetetlenné váló munkavégzés
Csoportosítási lehetőségek Típus szerint File vírusok (CEB) Boot vírusok Makró vírusok (Word, Excel, Powerpoint, Access) Java, jscript és vb script vírusok – webes vírusok Platform szerint Visszakeresés elleni védelem szerint Kártétel szerint Destruktív (romboló) nem destruktív
végrehajtható állományt fertőznek command, exe, bat file-okat (sys-t) Típus szerint File vírusok végrehajtható állományt fertőznek command, exe, bat file-okat (sys-t) vagy az indítási sorrendet kihasználva indul el a vírus Boot vírusok: az MBR-ben helyezkednek el, ált. TSR programok (pl.one Half)
Típus szerint Makró vírusok (Word, Excel, Powerpoint, Access) – Office 4 óta (1994-95) (mióta VB makrók kerültek az Office mögé) Java, jscript és vb script vírusok – webes, e-mail vírusok (pl. 2000.március „I love You” vbs alapú vírus – a generált levélforgalom miatt állt le minden)
További csoportosítások szerint Platform szerint: DOS, Windows, OS/2, Linux, Java, Makró Visszakeresés elleni védelem szerint Kódolt vírusok (vírustest kódolt, test + kibontó) Polimorf vírusok (változó kódolás) Lopakodó vírusok (pl. egy boot vírus ami a partíciós táblát manipulálja – így abban minden helyesnek tűnik) Visszafejtés elleni vírusok (többszörös ugrások a kódban, nyomkövetés figyelése…)
Destruktív (romboló, pusztító): hardware tönkretétele (HDD, FDD) Kártétel szerint Destruktív (romboló, pusztító): hardware tönkretétele (HDD, FDD) tárolt anyagok törlése, lemezek formázása adatok összekeverése (pl. I love You) Partíciós tábla manipulálása (pl. One half) „Nem destruktív” Számítógép lekapcsolása (pl. Sasser) – szerverek! régen: potyogtatós vírus, cookie vírus, Yankee doodle..
Hálózattal kapcsolatos fertőzések, támadások Minden TCP/IP alapú hálózatra kötött gépnek 64.000 logikai kapuja (port-ja) van – ezek mind támadási felületek lehetnek ha nincsenek lezárva (port-scan) 2001 őszén: nimdA (Admin) Win Nt-ket fertőzte 2001 nyarán: SirCam vírus ami minden Windows-os gépen egy saját kis SMTP host-ot nyitott és szórta a leveleket (önmagát), levélben terjedt – és a felhasználó okozta a fertőzést 2004 január: Sasser – Win 2000 gépeket fertőzte ha az SP2-nem volt telepítve – egyszerű gépleállás!!
Vírusírtás Vírusirtó programmal. Működésük: Memória és boot-szektor scan Keresés: program szekvencia azonosságát vizsgálják csak vagy heurisztikát is alkalmaznak F-Prot esetében: irtás (vírus), törlés (file), átnevezés (file) Követelmények manapság: napi webes frissítés, működés közbeni folyamatos védelem
Vírusirtó programok: MSAV, Scan (McAfee), F-Prot (F-Secure), MS Security Essentials Norton Antivirus (Symantec), Thunderbyte (TBAV), Kaspersky Lab, AVG, NOD32 Virusbuster, Panda
Hoax-ok Figyelmeztető körlevelek pl. bizonyos dll-ek vírus voltáról melyek letörlése után bizonyos funkciók elvesznek Rémhírterjesztés kategória: a fölhasználók tudatlanságának kihasználása Küld tovább még legalább 20 helyre típusú levelek – akár ingyen ajándékért – SPAM SPAM: kéretlen levelek
SPAM-ek Lottót nyertél! Afrikai király özvegye vagy hagyatéki biztosa bankszámlát kér, hogy kiküldhesse a $-jait Befektetési tanácsok Gyógyszerek (Cialis, Viagra, Xanax…) Software-ek Ezek egy részének valós háttere: e-mail címlisták gyűjtése Másik részük a gyűjtött e-mail címekre küldözgeti a leveleket és csalásra, visszaélésre használja majd fel a kapott adatokat
Spyware, Adware, Trójai falovak Spyware: kémprogram mely általában a felhasz-náló „aktív, de nem tudatos” közreműködése révén kerül a gépre. Onnantól kezdve adatokat gyűjt és küld megfelelő helyekre (pl. bankkártya információk, login/pwd, szoftver információk) Adware: hasonló módon kerül a gépre (DirectX, Active-X, telepedő exe….) és egyre gyakoribb pop up reklámablakok az eredmény Trójai falovak: gépre kerülés után port-okat nyit külső behatolók számára (korábban kicsit hasonlók voltak a cookie-k – vírusok is vannak)
Védekezés Legfontosabb: Megelőzés! Spybot Search and Destroy, Ad-aware, MS Anti Spyware Vírusirtó (F-Prot, Norton S.A., NOD32, Virusbuster…) – napi frissítés! Ismeretlen küldőtől származó anyagok törlése, nem ismert anyagok elutasítása (telepítés előtt) Operációs rendszer rendszeres biztonsági frissítése e-mail cím korlátozott és ellenőrzött kiadása Hálózatban: router és tűzfal mögé tűzfal program Explorer és Outlook használatának kerülése (VB script, Active-X, J script…)
Mit használjunk? Operációs rendszer: Linux disztribúciók (Redhat, Debian, SUSE, Mandrake, Uhu, Ubuntu…) Windows Seven SP1 – rendszeres frissítés, belső hálózaton belül vagy tűzfal mögött Windows XP SP3 - rendszeres frissítés Web böngésző: Mozilla-Firefox; Chrome, IE-9, Opera Levelező kliensek: Pegazus Mail Mozilla The Bat, vagy: Webes levelező rendszereket
Megelőzés - védekezés Megelőzhető a fertőzés: 2017.04.04. Megelőzés - védekezés Megelőzhető a fertőzés: Csak megbízható helyről származó, tesztelt lemezek alkalmazásával! Rendszeres antivírus-programok frissítésével és futtatásával! Ismeretlen eredetű e-mailek és csatolt fájlok óvatos kezelésével!