\"/
\"/ \"/    

Počítačové viry

Radim Peša, ÚVT MU
Ročník IX - číslo 5, červen 1999
Citace: R. Peša. Počítačové viry. Zpravodaj ÚVT MU. ISSN 1212-0901, 1999, roč. IX, č. 5, s. 11-15.
Tematické zařazení: Bezpečnost
 předchozí článek | následující článek 

Jako první virus šířící se na platformě PC bývá uváděn virus Brain vytvořený v roce 1986, který napadal boot sektor 360 KB disket. Od té doby se počet známých virů rozrostl na několik desítek tisíc, přibyly nové vlastnosti a způsoby šíření. Současně s tím se ale rozvinul i antivirový průmysl. Desítky firem dnes nabízejí vlastní antivirové programy.

Druhy virů

Počítačové viry se dělí do několika skupin, podle toho, jaké objekty napadají:

Boot viry
- napadají systémové oblasti disku. I přesto, že je jich méně než souborových virů, vyskytují se častěji. Šíří se následujícím způsobem: když restartujete počítač, který má povoleno zavádění systému z disketové mechaniky a v mechanice je disketa s boot virem, vir se spustí a napadne systémové oblasti pevného disku. Při dalším spuštění počítače se boot vir inicializuje z pevného disku a napadá diskety, které uživatel použije.
Souborové viry
- napadají pouze soubory. Přesněji řečeno soubory, které obsahují prováděný kód - programy. V napadeném programu přepíší část kódu svým vlastním, nebo vlastní kód k programu připojí a tím změní jeho velikost a chování.
Multipartitní viry
- napadají soubory i systémové oblasti disku. S výhodou kombinují možnosti boot virů i souborových virů.
Makroviry
- napadají datové soubory - dokumenty vytvořené v některých kancelářských aplikacích. Využívají toho, že tyto soubory neobsahují pouze data, ale i makra, která viry využívají ke svému šíření. Jsou napadány především dokumenty aplikací MS Office, výjimečně byly zaznamenány i případy dokumentů jiných aplikací. Možnosti jazyka Visual Basic for Aplications, ve kterém jsou psána makra v MS Office 97, jsou velmi rozsáhlé a bezpečnost je minimální. V nedávné době se o tom mohly přesvědčit oběti viru W97M Melissa, který při své aktivaci použije dokument, na němž uživatel zrovna pracuje, infikuje jej a rozešle elektronickou poštou na 50 náhodně vybraných adres z uživatelova adresáře. Následky takové akce pravděpodobně nebudou fatální, ale podobný makrovirus může například vykrádat z vašeho počítače důvěrné informace, pracovat s vašimi soubory, spouštět aplikace.
Makroviry jsou v současné době nejčastěji se vyskytující druh viru. Jsou také největší hrozbou do budoucna. Opatrný uživatel sice může omezit množství spustitelných souborů, které si kopíruje na počítač, ale výměně elektronických dokumentů se nevyhne.

V závislosti na některých dalších vlastnostech virů mluvíme o těchto typech virů:

Stealth viry
- jsou viry, které se chrání před detekcí antivirovým programem použitím tzv. stealth technik: pokud je takový virus v paměti, pokouší se přebrat kontrolu nad některými funkcemi operačního systému a při pokusu o čtení infikovaných objektů vrací hodnoty odpovídající původnímu stavu.
Polymorfní viry
- se pokouší znesnadnit svou detekci tím, že mění vlastní kód. V napadeném souboru není možné najít typické sekvence stejného kódu.
Rezidentní viry
- zůstávají po svém spuštění přítomny v paměti.

Způsoby šíření

Nejenom zajímavá, ale i užitečná je informace o tom, jakým způsobem se viry nejčastěji šíří a odkud tedy hrozí nebezpečí, před nímž je potřeba se chránit. V roce 1998 provedla ICSA průzkum (ICSA 1998 Computer Virus Prevalence Survey) mezi zástupci státních a komerčních organizací v Severní Americe, jehož cílem bylo zjistit praktický stav virové problematiky.

V tabulce je uveden jeden z výstupů průzkumu, a to podíly různých způsobů distribuce virů. Je vidět, že dva dominantní způsoby přenosu jsou diskety různého původu a elektronická pošta. Přitom podíl elektronické pošty rychle narůstá. Dynamika tohoto způsobu přenosu virů je dána rozvojem Internetu a využíváním elektronické výměny dokumentů. Jak vyplývá z dalších výsledků průzkumu, elektronickou poštou se šíří především makroviry.
 

Zdroj 1996 1997 1998
Disketa, demoverze a podobně 11% 8.1% 4.4%
Disketa, opravář 3% 3.4% 3.0%
Disketa, správce počítačové sitě 1% 2.7% 0.7%
Disketa, zabalený software 2% 4.4% 1.7%
Disketa, záměrně infikovaná 0% 1.0% 1.0%
Disketa přinesená z domu 36% 42.3% 36.0%
Disketa, ostatní 21% 26.5% 20.5%
Distribuční CD 0% 0.7% 1.7%
Stažení z BBS, AOL, CompuServe, Internet 10% 16.1% 9.4%
Stažení odjinud (terminálová emulace, klient server) 2% 2.4% 3.0%
Příloha elektronické pošty 9% 26.2% 32.3%
Automatická distribuce software 0% 1.7% 1.3%
Prohlížení WWW -- 5.4% 2.0%
Ostatní 0% 5.0% 0.7%
Zdroj není znám 15% 7% 5.4%


Za pozornost stojí i výrazný pokles podílu virů, o kterých se neví, odkud přišly, z 15% v roce 1996 na 5% v roce 1998, což je možné přičítat zvýšené pozornosti věnované antivirové ochraně a prevenci.

Dalším zajímavým údajem je četnost výskytu jednotlivých výše uvedených typů virů v reálném světě.


graf četnosti výskytu
 

Jak je vidět, s převahou vedou makroviry, s odstupem následované boot viry. Počet výskytů souborových a multipartitních virů je relativně nízký a nevzrůstá.

Principy antivirů

Mezi autory počítačových virů a antivirových programů probíhá od vzniku prvních virů závod přinášející neustále nové viry, ale i stále dokonalejší antivirové programy. Antivirových programů existuje mnoho, ale způsoby hledání viru se ustálily na následujících technikách.

Porovnání s databází virů (skenování, scan)

Antivirový program využívá vlastní databázi známých virů. Testuje prohledávané soubory na výskyt určité posloupnosti bytů, která identifikuje vir z databáze. Jedná se o nejstarší a stále pravděpodobně nejrozšířenější způsob detekce napadení virem. Tato metoda umožňuje nalezení pouze těch virů, které jsou již zaneseny v databázi známých virů. Databáze musí být proto pravidelně aktualizována, aby bylo skenování skutečně účinné.

Heuristická analýza

Antivirový program se nespoléhá na databázi známých virů, ale analyzuje kód souboru a jeho význam. Hledá v něm postupy, které jsou typické pro viry a které se v normálních programech nevyskytují. Výhodou této metody je možnost nalezení virů, které ještě nebyly analyzovány a zaneseny do databáze virů. Nevýhodou je možnost omylu a "nalezení" viru v souboru, který není virem napaden.

Sledování změn (kontrola integrity)

Antivirový program sleduje změny v systému souborů. Využívá toho, že uložením viru do některého souboru dojde ke změně souboru, kterou je možné detekovat. Pokud dojde ke změně textového souboru, pravděpodobně se nejedná o následek činnosti viru, ale pokud dojde ke změně v některém programu nebo systémovém souboru, je možné, že příčinou je napadení virem.

Antivirový program si nejprve při prvním spuštění vytvoří databázi souborů na disku. Při dalších spuštěních srovnává aktuální stav souborů s příslušnými položkami ve své databázi a zjišťuje, zda se od posledního průchodu nezměnily. Výhodou kontroly integrity je možnost nalezení dosud neznámého viru. Nevýhodou je, že antivirový program nedokáže sdělit, že nalezl vir, ale pouze že došlo ke změně v souboru. Záleží na uživatelově úsudku, zda se jedná o virový útok. Sledování změn také není efektivní ochranou proti makrovirům. Je sice možné zapnout sledování změn v dokumentech. Ty se ale obvykle mění tak často, že výsledkem by asi bylo zahlcení uživatele množstvím hlášení o změnách v souborech.

Rezidentní sledování

V systému je neustále spuštěn proces, který kontroluje prováděné operace. Mohou být sledovány podezřelé operace se soubory a systémovými oblastmi disku. Například při pokusu o zápis do boot sektoru je operace přerušena a uživatel dotázán, zda zápis povolí. Dále jsou při rezidentním sledování obvykle kontrolovány spouštěné programy na přítomnost viru. Když chce uživatel spustit některý program, antivirový program nejprve zkontroluje, zda neobsahuje virus.

Většina antivirových programů kombinuje více z uvedených způsobů a nechává na uživateli nastavení Ykombinace, která mu vyhovuje. Rezidentní sledování je obvykle neustále spuštěno na pozadí a v pravidelných intervalech podle nastavení uživatele se provádí kompletní kontrola souborů na pevných discích. Ta může mít například podobu kontroly integrity všech souborů a následné časově náročné heuristické analýzy pouze změněných souborů.

Nejenom viry...

S propojováním PC počítačů do rozsáhlých počítačových sítí (především Internetu) se dnes otázka pouhé antivirové ochrany rozšiřuje na potřebu ochrany před všemi druhy "zlomyslného" softwaru, pro který se někdy používá pojem malware. Nejedná se už pouze o klasické počítačové viry, tak jak jsme je znali dříve, ale můžeme se setkat s vlastnostmi typickými pro síťové červy nebo trojské koně.

Další potenciální hrozbou jsou programové komponenty spouštěné při prohlížení WWW-stránek na straně klienta. Jedná se především o Java applety, ActiveX komponenty a Netscape plug-ins. Je zajímavé, že i když už několikrát byly demonstrovány bezpečnostní nedostatky a možnosti zneužití těchto technologií, nebyly zatím zaznamenány prakticky žádné útoky provedené tímto způsobem. Přesto se jedná o hrozbu, kterou je třeba mít na paměti.

Praktické informace

Podle čeho si vybrat antivirový program

Jak se chránit

Současné trendy

Odkazy

Kontakty na některé antivirové firmy a jejich produkty

Program
Firma
WWW
Avast32 3.0
Alwil Software
www.anet.cz/alwil
AVG 5.0
Grisoft
www.grisoft.cz
F-Secure Antivirus
Data Fellows
www.datafellows.com
F-Prot
Frisk Software
www.complex.is
Virus Scan
McAfee
www.mcafee.com
AVP
Kaspersky Lab
www.avp.ru
Norton Anitvirus 5.0
Symantec
www.symantec.com
NOD 32
ESET
www.eset.sk
ThunderByte (TBAV)
Norman
www.thunderbyte.nl
Zpět na začátek
ÚVT MU, poslední změna 14.11.2011