Jako první virus šířící se na platformě PC bývá uváděn virus Brain vytvořený v roce 1986, který napadal boot sektor 360 KB disket. Od té doby se počet známých virů rozrostl na několik desítek tisíc, přibyly nové vlastnosti a způsoby šíření. Současně s tím se ale rozvinul i antivirový průmysl. Desítky firem dnes nabízejí vlastní antivirové programy.
Počítačové viry se dělí do několika skupin, podle toho, jaké objekty napadají:
V závislosti na některých dalších vlastnostech virů mluvíme o těchto typech virů:
Nejenom zajímavá, ale i užitečná je informace o tom, jakým způsobem se viry nejčastěji šíří a odkud tedy hrozí nebezpečí, před nímž je potřeba se chránit. V roce 1998 provedla ICSA průzkum (ICSA 1998 Computer Virus Prevalence Survey) mezi zástupci státních a komerčních organizací v Severní Americe, jehož cílem bylo zjistit praktický stav virové problematiky.
V tabulce je uveden jeden z výstupů průzkumu, a to podíly různých
způsobů distribuce virů. Je vidět, že dva dominantní způsoby přenosu jsou diskety
různého původu a elektronická pošta. Přitom podíl elektronické pošty
rychle narůstá. Dynamika tohoto způsobu přenosu virů je dána rozvojem Internetu
a využíváním elektronické výměny dokumentů. Jak vyplývá z dalších výsledků
průzkumu, elektronickou poštou se šíří především makroviry.
| Zdroj | 1996 | 1997 | 1998 |
|---|---|---|---|
| Disketa, demoverze a podobně | 11% | 8.1% | 4.4% |
| Disketa, opravář | 3% | 3.4% | 3.0% |
| Disketa, správce počítačové sitě | 1% | 2.7% | 0.7% |
| Disketa, zabalený software | 2% | 4.4% | 1.7% |
| Disketa, záměrně infikovaná | 0% | 1.0% | 1.0% |
| Disketa přinesená z domu | 36% | 42.3% | 36.0% |
| Disketa, ostatní | 21% | 26.5% | 20.5% |
| Distribuční CD | 0% | 0.7% | 1.7% |
| Stažení z BBS, AOL, CompuServe, Internet | 10% | 16.1% | 9.4% |
| Stažení odjinud (terminálová emulace, klient server) | 2% | 2.4% | 3.0% |
| Příloha elektronické pošty | 9% | 26.2% | 32.3% |
| Automatická distribuce software | 0% | 1.7% | 1.3% |
| Prohlížení WWW | -- | 5.4% | 2.0% |
| Ostatní | 0% | 5.0% | 0.7% |
| Zdroj není znám | 15% | 7% | 5.4% |
Za pozornost stojí i výrazný pokles podílu virů, o kterých se neví, odkud přišly,
z 15% v roce 1996 na 5% v roce 1998, což je možné přičítat zvýšené
pozornosti věnované antivirové ochraně a prevenci.
Dalším zajímavým údajem je četnost výskytu jednotlivých výše uvedených typů virů v reálném světě.
Jak je vidět, s převahou vedou makroviry, s odstupem následované boot viry. Počet výskytů souborových a multipartitních virů je relativně nízký a nevzrůstá.
Mezi autory počítačových virů a antivirových programů probíhá od vzniku prvních virů závod přinášející neustále nové viry, ale i stále dokonalejší antivirové programy. Antivirových programů existuje mnoho, ale způsoby hledání viru se ustálily na následujících technikách.
Antivirový program využívá vlastní databázi známých virů. Testuje prohledávané soubory na výskyt určité posloupnosti bytů, která identifikuje vir z databáze. Jedná se o nejstarší a stále pravděpodobně nejrozšířenější způsob detekce napadení virem. Tato metoda umožňuje nalezení pouze těch virů, které jsou již zaneseny v databázi známých virů. Databáze musí být proto pravidelně aktualizována, aby bylo skenování skutečně účinné.
Antivirový program se nespoléhá na databázi známých virů, ale analyzuje kód souboru a jeho význam. Hledá v něm postupy, které jsou typické pro viry a které se v normálních programech nevyskytují. Výhodou této metody je možnost nalezení virů, které ještě nebyly analyzovány a zaneseny do databáze virů. Nevýhodou je možnost omylu a "nalezení" viru v souboru, který není virem napaden.
Antivirový program sleduje změny v systému souborů. Využívá toho, že uložením viru do některého souboru dojde ke změně souboru, kterou je možné detekovat. Pokud dojde ke změně textového souboru, pravděpodobně se nejedná o následek činnosti viru, ale pokud dojde ke změně v některém programu nebo systémovém souboru, je možné, že příčinou je napadení virem.
Antivirový program si nejprve při prvním spuštění vytvoří databázi souborů na disku. Při dalších spuštěních srovnává aktuální stav souborů s příslušnými položkami ve své databázi a zjišťuje, zda se od posledního průchodu nezměnily. Výhodou kontroly integrity je možnost nalezení dosud neznámého viru. Nevýhodou je, že antivirový program nedokáže sdělit, že nalezl vir, ale pouze že došlo ke změně v souboru. Záleží na uživatelově úsudku, zda se jedná o virový útok. Sledování změn také není efektivní ochranou proti makrovirům. Je sice možné zapnout sledování změn v dokumentech. Ty se ale obvykle mění tak často, že výsledkem by asi bylo zahlcení uživatele množstvím hlášení o změnách v souborech.
V systému je neustále spuštěn proces, který kontroluje prováděné operace. Mohou být sledovány podezřelé operace se soubory a systémovými oblastmi disku. Například při pokusu o zápis do boot sektoru je operace přerušena a uživatel dotázán, zda zápis povolí. Dále jsou při rezidentním sledování obvykle kontrolovány spouštěné programy na přítomnost viru. Když chce uživatel spustit některý program, antivirový program nejprve zkontroluje, zda neobsahuje virus.
Většina antivirových programů kombinuje více z uvedených způsobů a nechává na uživateli nastavení Ykombinace, která mu vyhovuje. Rezidentní sledování je obvykle neustále spuštěno na pozadí a v pravidelných intervalech podle nastavení uživatele se provádí kompletní kontrola souborů na pevných discích. Ta může mít například podobu kontroly integrity všech souborů a následné časově náročné heuristické analýzy pouze změněných souborů.
S propojováním PC počítačů do rozsáhlých počítačových sítí (především Internetu) se dnes otázka pouhé antivirové ochrany rozšiřuje na potřebu ochrany před všemi druhy "zlomyslného" softwaru, pro který se někdy používá pojem malware. Nejedná se už pouze o klasické počítačové viry, tak jak jsme je znali dříve, ale můžeme se setkat s vlastnostmi typickými pro síťové červy nebo trojské koně.
Další potenciální hrozbou jsou programové komponenty spouštěné při prohlížení WWW-stránek na straně klienta. Jedná se především o Java applety, ActiveX komponenty a Netscape plug-ins. Je zajímavé, že i když už několikrát byly demonstrovány bezpečnostní nedostatky a možnosti zneužití těchto technologií, nebyly zatím zaznamenány prakticky žádné útoky provedené tímto způsobem. Přesto se jedná o hrozbu, kterou je třeba mít na paměti.
| Program Firma | WWW |
| Avast32 3.0 Alwil Software | www.anet.cz/alwil |
| AVG 5.0 Grisoft | www.grisoft.cz |
| F-Secure Antivirus Data Fellows | www.datafellows.com |
| F-Prot Frisk Software | www.complex.is |
| Virus Scan McAfee | www.mcafee.com |
| AVP Kaspersky Lab | www.avp.ru |
| Norton Anitvirus 5.0 Symantec | www.symantec.com |
| NOD 32 ESET | www.eset.sk |
| ThunderByte (TBAV) Norman | www.thunderbyte.nl |
předchozí článek
