Wirusy komputerowe

WIRUSY KOMPUTEROWE

Wirus komputerowy jest to program posiadający zdolność samodzielnego powielania się i przenoszenia się na inne komputery. Terminem „wirus” często niesłusznie określa się wszystkie destrukcyjne programy np. konie trojańskie. Kiedyś wirus uruchamiany był przez uruchomienie zainfekowanego programu. Wirusy komputerowe różnią się pod względem działania - począwszy od \"nieszkodliwych\" wirusów samo powielających się, poprzez wirusy infekujące pliki, do wirusów niszczących pliki a nawet całe zawartości dysków twardych.

Do zwalczania, usuwania i zabezpieczania się przed wirusami używane są programy antywirusowe, jednak nie dają one czasami pożądanych efektów, czasami nawet są częściami wirusów. Niektóre przykłady robaków internetowych to :
-Babybear. Rozsyła własne kopie za pomocą poczty elektronicznej oraz uszkadza instalacje programu Norton AntiVirus.
-Fizzer. Rozsyła własne kopie za pomocą poczty elektronicznej oraz udostępniania dostęp do komputera ofiary za pośrednictwem IRCa i KaZaA.
-Opasoft. Rozprzestrzenia się w sieci lokalnej, a także w sieci Internet poprzez udostępnione dyski twarde oraz pobieraniu uaktualnień z Internetu. Wykorzystuje metodę rozprzestrzeniania się, poprzez wykorzystanie błędów w oprogramowaniu Microsoft Windows.

Rodzaje wirusów

Wirusy pasożytnicze
Wykorzystują ofiary do transportu, zmieniając ich strukturę wewnętrzną. Ratunkiem dla zainfekowanych obiektów jest użycie szczepionki lub w ostateczności kopii zapasowych, gdyż zarażone pliki z reguły nie są przez wirusa leczone. Wyjątek stanowią nieliczne wirusy wykorzystujące pliki tylko do transportu między komputerami. Po zainfekowaniu któregoś z tych obiektów wirus zmienia działanie i leczy wszystkie używane pliki znajdujące się na twardym dysku, a infekuje jedynie pliki już znajdujące się na dyskietkach lub dopiero na nie kopiowane.

Wirusy towarzyszące
Najczęściej pisane w językach wysokiego poziomu. Atakują one pliki, a ich działanie opiera się na hierarchii stosowanej w DOS podczas uruchamiania programów. W momencie uruchamiania programu, w przypadku nie podania rozszerzenia uruchamianego pliku, najpierw poszukiwany jest plik o rozszerzeniu COM, potem EXE, a na końcu BAT. Mogą także dojść pliki BTM w przypadku wykorzystywania interpretatora poleceń, poszukiwane podczas uruchamiania programu przed plikami BAT.

Bomby logiczne
Uaktywniają się w określonym odpowiednimi warunkami czasie. Należy ostrożnie obchodzić się z aplikacjami, których pochodzenie jest nieznane, ponieważ kod destrukcyjny może być ukryty w dowolnym miejscu programu zawierającego bombę. Może to też być kod destrukcyjny, który uruchamia się po spełnieniu warunków zawartych w jego kodzie.

Robaki internetowe
Tworzy własne duplikaty, tak, że nie atakuje on żadnych obiektów. Oprócz zajmowania miejsca na dysku program ten rzadko wywołuje skutki uboczne. Najczęściej pisane w językach wysokiego poziomu. Robaki są najbardziej popularne w sieciach, gdzie mają do dyspozycji protokoły komunikacyjne1, dzięki którym mogą przemieszczać się po całej sieci.

Polimorficzne
Najtrudniej jest je wykryć. Twórcy wirusów zaczęli szyfrować swoje dzieła. Szyfrowane są one w różnych językach i w różny sposób. Każda kopia wirusa jest, więc inna, ale nie do końca, gdyż procedura szyfrująca jest zawsze taka sama i po niej skanery rozpoznają wirusa. Jest na to jeden sposób. Trzeba szyfrować również procedurę szyfrującą, bowiem wszystkie one wykonują to samo zadanie. Procedura szyfrująca wirusa za każdym razem jest inna, mimo, że wykonuje to samo zadanie. W ten sposób może mieć kilkaset różnych postaci i dlatego skanery się po prostu gubią.

Wirusy plików wsadowych
Wykorzystują do transportu pliki BAT. Po uruchomieniu zainfekowanego pliku wsadowego tworzony jest plik uruchamialny COM lub EXE, zawierający właściwy kod infekujący pliki BAT. Po utworzeniu jest on wykonywany, a następnie kasowany.

Makrowirusy
Częste obiekty infekcji to pliki DOC, XLS oraz SAM. Do mnożenia się makrowirusy wykorzystują funkcje zawarte w językach makr, wbudowanych w dane aplikacje.

Wirusy Boot sector’a
Zmieniają zawartość sektora głównego dysku lub sektora ładowania. Zamiast prawdziwego kodu zapisują tam część samego siebie, a dobrą kopię zapisują zazwyczaj w innym miejscu. Takie wirusy uaktywniają się tylko podczas startu z zarażonego dysku. Kiedy \"ruszymy\" z takiego nośnika wirus znajdujący się tam zostaje uaktywniony. Wczytuje się on wówczas resztę swojego kodu, który się tam nie zmieścił i prawdziwy sektor. Jeśli mamy zainfekowany dysk twardy, to by go wyleczyć trzeba uruchomić komputer z dyskietki systemowej i uruchomić dobry program antywirusowy.

Hybrydowe
Łączą wirusy sektora ładowania z wirusem pasożytniczym. Daje to największe możliwości replikacji, a jednocześnie utrudnia leczenie zainfekowanego systemu.

Inicjujące
Inicjujące zmieniają zawartość albo głównego sektora ładowania, albo sektora ładowania DOS\'a, zależnie od wirusa i dysku, zwykle zastępując właściwą zawartość swoją własną wersją. Oryginalna wersja modyfikowanego sektora jest na ogół przechowywana w innym miejscu dysku tak, żeby wersja wirusowa była wykonywana jako pierwsza. Wirusy sektora ładowania są rozpowszechniane przez fizyczną wymianę każdego nośnika, który może być wykorzystany do uruchomienia systemu operacyjnego. Komputer zostaje zainfekowany wirusem sektora ładowania tylko wtedy , gdy użytkownik zainicjuje działanie systemu z zainfekowanego dysku. Całkowicie bezpieczne jest włożenie zainfekowanej dyskietki do kieszeni napędu i skopiowanie z niej danych.
Konie trojańskie
Koń trojański nie jest wirusem komputerowym. Ze względu na swoje działanie często bywa z nim utożsamiany. Uruchomiony, wykonuje niby to normalną pracę, bezpośrednio wynikającą z przeznaczenia programu, lecz dodatkowo, niejako w tle, wykonuje jakieś niezauważalne dla użytkownika operacje. Konie trojańskie najczęściej przenoszą się w plikach udających nowe, popularne programy kompresujące lub też udają programy narzędziowe do obsługi dysków.

Komórkowe
Wirusy komórkowe, na razie rzadkie ale być może w przyszłości mogą stanowić istotne zagrożenie w związku z rozwojem oprogramowania dla telefonów komórkowych i dostępnych usług. Przykładem może być wirus Cabir napisany w 2004 roku.

Skutki uboczne działania wirusów to :
- kasowanie i niszczenie danych
- rozsyłanie spamu
- dokonywanie ataków na serwery internetowe
- kradzież danych
- wyłączenie komputera
- wyświetlanie napisów lub rysunków na ekranie
- uniemożliwienie pracy na komputerze
- umożliwienie przejęcia kontroli nad komputerem osobie nieupoważnionej

Podział ze względu na rodzaj przenoszenia wirusa :
- przenoszące się za pomocą nośników: np. dysków twardych, dyskietek, płyt,
- doczepiające się do programów wykonywalnych np. programy systemowe, komercyjne aplikacje,
- przenoszące się przez sieć komputerową np. wirusy atakujące usługi sieciowe, rozpowszechnione robaki internetowe przenoszone przez pocztę elektroniczną,

Podział ze względu na funkcjonalność wirusów :

Konie trojańskie
Na pozór pożyteczne oprogramowanie. Uruchamiają się gdy użytkownik podejmuje pracę z danym programem. Dają całkowitą władzę atakującego nad komputerem ofiary. Wirus tego typu po jego uruchomieniu oprócz wykonywania swoich \"oficjalnych\" zadań dokonuje także spustoszenia w systemie. Przykładem takiego wiursa może być program NetBus, a najpopularniejszym polskim koniem trojańskim jest „Prosiak”.

Bomby logiczne
Wirus, który może pozostać w ukryciu przez długi czas. Aktywuje się w określonej dacie lub po wykonaniu określonych czynności.

Robaki
Małe, ale bardzo szkodliwe wirusy. Do prawidłowego funkcjonowania nie potrzebują nosiciela. Rozmnażają się samoistnie i w sposób ciągły, powodując w bardzo krótkim czasie wyczerpanie zasobów systemu. Najpopularniejszym i pierwszym robakiem był „Robak Morrisa”.

Zasady bezpiecznej pracy z komputerem

Bezpieczeństwo pracy naszego komputera to podstawa, ponieważ co nam przyjdzie z komputera, z którego można czytać jak z ksiązki. W celu uchronienia się przed niekontrolowanym dostępem do naszego komputera należy stosować się do tych poniżej wymienionych.

1. Przed użyciem własnych dyskietek na obcym komputerze zabezpiecz je przed zapisem.
2. Przed skopiowaniem plików z dyskietki sprawdź ją skanerem antywirusowym.
3. Zabezpieczaj dyskietki, na których nie będziesz niczego zapisywać.
4. Nie korzystaj z dyskietek kolegi bez sprawdzenia ich.
5. Nie uruchamiaj komputera z dyskietką w stacji.
6. Sporządzaj kopie zapasowe dyskietek z danymi i bardzo ważnymi programami.
7. Kopie zapasowe przechowuj w bezpiecznym miejscu.
8. Swoją nie zabezpieczoną dyskietkę używaną na innym komputerze sprawdź przed ponownym użyciem na prywatnym komputerze.
9. Unikaj pożyczania swoich dyskietek.
10. Zainstaluj na swoim komputerze jakikolwiek program antywirusowy ( im nowszy tym lepszy ).
11. Instaluj oprogramowanie tylko z oryginalnych nośników zabezpieczonych przed zapisem.
12. Nie korzystaj z pirackich kopii programów i gier.
13. Uaktywnij rezydentny monitor antywirusowy.
14. Nie uruchamianie załączników może uchronić przed wieloma infekcjami.
15. Kopiowanie plików z Internetu również naraża nas na niebezpieczeństwo.
16. Skanuj zawartość twardego dysku programem antywirusowym.

Firewall i jego typy

Zapora sieciowa to jeden ze sposobów zabezpieczania min. komputera przed intruzami. Określa sprzęt komputerowy wraz ze specjalnym oprogramowaniem bądź samo oprogramowanie blokujące niepowołany dostęp do sieci komputerowej, komputera, serwera itp. na której straży stoi. Spośród wielu zapór sieciowych można wymienić następujące ich rodzaje :

Filtrujące
Monitorują przepływające przez nie pakiety sieciowe i przepuszczają tylko zgodne z regułami ustawionymi na danej zaporze. Pozwalających nie tylko na analizę i filtrowanie pakietów IP, ale także na sprawdzanie poprawności pakietów z punktu widzenia wyższych warstw modelu ISO/OSI2 a nawet na prowadzenia ochrony antywirusowej. Przykładem takich zapór mogą być np.: hostWall, Kaspersky Anti-Hacker

Oprogramowanie komputerów stacjonarnych
Udostępnia wybrane porty do połączeń \"z zewnątrz\" monitorując ruch, udostępnia także połączenia na zewnątrz komputera wybranym usługom/programom. Często zintegrowane z ochroną antywirusową. Przykładem takiego programu może być min. dość słynna wśród użytkowników komputerów zapora Kerio Personal Firewall czy też MCS Firewall.

Zapory pośredniczące
Proxy, wykonujące połączenie w imieniu użytkownika.

Warto także wspomnieć, iż dość duża ilość zapór sieciowych jest hybrydą, która jest połączeniem właściwości kilku zapór w jedną.

Narzędzia antywirusowe

Program antywirusowy to program komputerowy, którego celem jest wykrywanie, zwalczanie, usuwanie i zabezpieczanie przed wirusami komputerowymi. Dobre antywirusy są wyposażone w dwa niezależnie pracujące moduły – skaner i monitor. Obecnie tego typu zabezpieczenia to standard. Dobry antywirus powinien również automatycznie pobierać nowe definicje odkrytych wirusów.
W Internecie możemy znaleźć wiele rodzajów antywirusów. Najłatwiej dostępne i wiążące się z zerowym kosztem to Skanery online. Są one oferowane przez różnych producentów oprogramowania antywirusowego są w stanie wykryć na naszym dysku wirusy, jednak nie wszystkie robią to tak samo dobrze jak inne. Przykładem dobrych skanerów online mogą być min.: Panda ActiveScan, BitDefender czy też mks_vir. Podobnym typem oprogramowania skierowanym przeciw wirusom są antywirusy, które przeważnie znajdują się na twardym dysku komputera. Niektóre, słabe antywirusy np.: Norton AntiVirus 2004 mogą łatwo ulegać zarażeniom wirusami. Nie zawsze antywirusy są złe, są też dobre antywirusy, które pomagają ludziom w rozwiązywaniu ich problemów związanych z niechcianymi gośćmi na dysku. Przykładem takich programów mogą być np.: Avast! Virus Cleaner, NOD32, Ad-aware, Spybot - Search & Destroy, Kaspersky Anti-Virus czy też AntiVirenKit 2005.


1 Protokoły komunikacyjne to zbiór ścisłych reguł i kroków postępowania, które są automatycznie wykonywane przez urządzenia komunikacyjne w celu nawiązania łączności i wymiany danych. Dzięki temu, że połączenia z użyciem protokołów odbywają się całkowicie automatycznie typowy użytkownik zwykle nie zdaje sobie sprawy z ich istnienia i nie musi o nich nic wiedzieć.

2 ISO/OSI jest połączeniem dwóch skrótów ISO to Międzynarodowa Organizacja Standaryzacyjna (ang. International Standards Organization), która tworzyła model. OSI to określenie Łączenie Systemów otwartych (ang. Open Sytems Interconnection). Ten model koncentruje się na wymianie informacji między dwoma systemami otwartymi i nie wnika w wewnętrzne funkcjonowanie każdego z nich. Nakłada na system wymagania dotyczące jego zdolności do wymiany informacji z innym systemem i realizowania pewnych zadań. Celem modelu jest zdefiniowanie standardów, które pozwolą współpracować systemom otwartym znajdującym się w dowolnych miejscach na kuli ziemskiej, połączonych standardowym kanałem komunikacyjnym dzięki realizowaniu modelu odniesienia ISO/OSI.
3 Heurystyka jest to wykrywanie nieznanych wirusów.

Źródła.
*Internet :
- http://www.programosy.pl/
- http://www.wikipedia.pl/
- http://www.idg.pl/
- http://www.searchengines.pl/
*Filmy :
- Hacker Documentaries Collection - Hackers Outlaws And Angels Sharereactor
- Hackers Computer Outlaws
- Hacking Con Divx - New York City Hackers Divx
- Hakerzy - Code Red Cnndotcom


Szymon M. I „G”


I tak przy okazji - pisałem tę pracę na szybko więc jest nieco okrojona :).