Viry a počítače

Adresářový (linkovací) vir
Vir, který je na disku přítomný v jediném exempláři a který napadá jiné spustitelné soubory tak, že přepisuje
v adresáři směrník na jejich začátek tak, aby ukazoval na začátek viru. Původní hodnotu směrníku si
ale ukládá, takže pokud je vir paměťově rezidentní, je schopný zabezpečit po provedení vlastního kódu
i spuštění původních souborů. Příkladem takovýchto virů mohou být např. DIR II nebo BYWay.
Kódované viry
Prvotním účelem kódování bylo znepřehlednit vlastní kód viru a ztížit tak jeho analýzu (která je nutná
k vytvoření antivirového programu). Navíc je tímto postupem zkomplikováno uzdravení napadeného programu,
protože obsah začátku programu je také zakódován. Takové kódování bývá často realizováno tak, že
vlastní kód viru je v programu uložen - zakódován nějakým jednoduchým algoritmem (oblíbené je provedení
operace XOR s každým bajtem kódu viru) a před vlastním virem se nachází krátká dekódovací smyčka,
která zajistí jeho transformaci do původní podoby.
Takto zakódovaný vir má téměř konstantní podobu (Téměř proto, že stejně jako běžné viry si potřebuje
do svého těla zapsat několik proměnných hodnot, které mohou být v každé generaci jiné; převážná část viru
však zůstává neměnná.)
Novější viry začaly využívat kódování s proměnnou hodnotou k dosažení toto, aby každý exemplář viru
byl z velké části odlišný; shodná zůstává pouze dekódovací smyčka na začátku programu. To sice značně
zkomplikovalo vyhledávání některým antivirovým programům používajícím charakteristické sekvence, ale
neustále je relativně snadné určit kódovací hodnoty a program dekódovat. Navíc lze stále použít vždy stejně
vypadající dekódovací smyčku k identifikaci viru.
Nástupce této technologie představují polymorfní viry (viz. dále), které používají poměrně komplikovaných
metod k tomu, aby i dekódovací smyčka mohla mít proměnlivou podobu.
Metamorfní viry
Skupina je zajímavá tím, že v napadeném souboru se nenachází virus v klasickém smyslu. Napadený
soubor totiž obsahuje jen kompilátor, společně se zdrojovým pseudokódem viru. Při spuštění infikovaného
souboru vytvoří kompilátor v paměti novou, pokaždé odlišnou kopii viru. Kompilátor neobsahuje žádné podezřelé
instrukce a virus je proto nedetekovatelný heuristickou analýzou. Statický zdrojový pseudokód viru
je v infikovaném souboru zakódován a odkódovává se průběžně během kompilace. Po kompilaci se opět
zakóduje, ale s jiným klíčem. Tato skupina je především zastoupena rodinou slovenských virů TMC.
Multipartitní vir
Vir kombinující víc výše uvedených mechanismů šíření. Typickou je např. kombinace souborového
a boot viru, kdy se při aktivaci zavirovaného EXE souboru na čistém počítači kód viru přenese do Master
Boot sektoru pevného disku. Po prvním nabootovaní z pevného disku si potom virus zajistí paměťovou rezidentnost
a dále se chová jako vir souborový – napadá EXE soubory. Protože daný počítač už má vir pod
kontrolou, nemusí se už dále šířit na pevném disku, stačí když bude infikovat soubory směrem k síťovým
diskům nebo výměnným médiím (vir OneHalf). Jiným příkladem může být kombinace souborového viru
a makroviru (vir Anarchy), makroviru a skriptového viru (ColdApe) apod.
R o z d ě l e n í a v l a s t n o s t i v i r ů
11
Polymorfní vir
Vir, jehož jednotlivé exempláře mají rozdílný kód. Typickou činností je vkládání prázdných instrukcí,
přehazování pořadí výkonu částí kódu nebo záměna sekvencí kódu jinými sekvencemi s ekvivalentní funkcí.
V rámci úvodní části kódu viru spolu s technologií šifrování znemožňují zbývající části viru identifikaci
viru jednoduchým hledáním pevné sekvence kódu. Vir nelze hledat ani výpočtem CRC součtu pevně zvolené
oblasti kódu. Viry je možné identifikovat jen specializovanými algoritmy, případně výkonnými heuristickými
metodami. Mezi legendy v tomto směru patřil mutační algoritmus s názvem MTE, který byl vyvinutý
pro souborové viry pod platformou MS-DOS. Dnes existují polymorfní souborové viry i pod 32bitovými
Windows, respektive existují i polymorfní boot viry a makroviry (i když v posledně jmenovaném případě se
obvykle jedná o poměrně rozsáhlé a pomalé viry, které jsou svojí přítomností dost nápadné).
Předchůdcem těchto virů byly tzv. sebezakódovávací virové programy. Existují i starší a omezené "sebezakódovávací"
virové programy, které jsou řazeny do skupiny virů polymorfních. Tyto sebezakódovávací
viry měly omezený počet "variant". Ovšem je pravda, že například nejlepší virus z této skupiny, Whale, dosáhl
až čtyřiceti různých forem. Technikou využívanou těmito viry byla volba mezi různými zakódovávacími
schématy, které vyžadují různé dekódovací programy. Pouze jeden z těchto programů mohl být jasně
viditelný v dané replikace viru. Virový skener by tedy pro detekci takového viru potřeboval mnoho charakteristických
řetězců (jeden pro každou možnou metodu dekódování).
Retro vir
Jinak také odvetný vir. Hlavním heslem těchto virů je, že nejlepší obrana je útok. A to taky dodržují.
Snaží se obejít a ještě lépe znemožnit práci antivirovým programům. Proto je mažou, vypínají rezidentní
ochrany apod. Pozornost si zaslouží virus Tequila, který odstraňuje kontrolní součty přidané pomocí ViruScanu
přímo ze souborů.
Satelitní vir
Vir šířící se na základě vlastnosti operačního systému DOS, respektive Windows, kdy v případě, že
v daném adresáři se nachází více souborů stejného jména, se postoupnost jejich spouštění řídí podle přípony
v pořadí BAT - COM - EXE. K souborům s příponou EXE je potom možné zkopírovat soubor obsahující
kód viru, který bude mít stejné jméno, ale příponu COM (nebo BAT), takže se bude aktivovat před samotným
programem. Po provedení kódu viru, který zabezpečí svoji replikaci resp. i další doprovodnou akci se
aktivuje samotný volaný EXE program.
Skriptový vir
Vir napsaný v příslušném typu skriptového jazyka (jazyk BAT a INF souborů, Java Script a Visual Basic
Script), který se šíří buď jako samostatný soubor nebo jako součást jiných typů souborů (JS a VBS viry
v rámci HTML a CHM souborů). Na bázi VBScript jazyka jsou konstruované i různé typy červů šířících se
prostřednictvím programů MS Outlook, Outlook Express, mIRC, pIRCH a dalších.
Stealth vir
Vir, který využívá příslušné služby operačního systému na zamaskování svojí aktivity. Jako příklad můžeme
uvést boot viry. Ty při čtení Master Boot sektoru vracejí prohlížeči původní (nezavirovaný) obsah tohoto
sektoru. Jiným příkladem jsou souborové viry, které maskují změnu délky zavirovaného souboru nebo
se při otevření souboru za účelem hledání viru z hostitelského souboru vyčistí a po ukončení prohlížení souboru
ho opětovně zavirují. U makrovirů se stealth charakteristikou se dá pozorovat například podsouvání
V i r y a p o č í t a če
12
prázdného seznamu maker (navzdory přítomnosti virových maker v dokumentu), deaktivování funkce novějších
aplikací MS Office upozorňujících na přítomnost maker v načítaném dokumentu a podobně.
Název těchto virů je odvozen od anglického slova stealth, což znamená lstivou činnost, vykonávanou
potajmu, kradmo apod. Už z názvu lze tedy leccos soudit o povaze těchto virů. Tímto slovem lze totiž označit
ony speciální techniky, které takovým virům zaručují velmi obtížnou detekci jak uživatelem, tak
i antivirovými programy. Většina výzkumníků na poli boje proti virům souhlasí s tím, že viry typu stealth
mají následující charakteristiky:
• Virus skrývá jakoukoliv změnu proveditelných komponent v systému, jako je např. změna délky souboru,
nebo změna boot sektoru, nebo tabulky rozdělení disku, jedná-li se o virus rezidentní v paměti nebo
o změnu velikosti paměti.
• Virus je schopen dezinfikovat programy "za letu". Když je například nakažený program načítán do paměti,
je tento program dezinfikován. Tato technika umožňuje, že i po použití antivirového software není
známo nic o přítomnosti viru.
• Viry typu stealth ve většině případů (ale není to pravidlem) infikují programy v okamžiku, kdy jsou otevírány,
kromě klasické možnosti infekce v okamžiku, kdy jsou spuštěny. Výsledkem toho, že proveditelné
programy jsou rovněž infikovány při otevření, je velmi rychlé rozšíření viru po celém systému.
První charakteristika, že virus skrývá jakoukoliv změnu proveditelných systémových komponent, jej činí
velmi těžko detekovatelným pro uživatele počítače. Jestliže máte důvod domnívat se, že se ve vašem počítači
vyskytuje virus typu stealth nebo sub-stealth, vypněte celý systém a nově jej zaveďte z nenakažené,
proti zápisu chráněné, systémové diskety. Potom se pokuste spustit čistou kopii vašeho antivirového software
z diskety, chráněné proti zápisu. Protože virus už není v paměti, není už zde žádné nebezpečí rozšíření
nákazy. Navíc je nyní možné rozeznat na systémovém pevném disku jakoukoliv změnu v délce souboru či
jinou změnu proveditelných systémových komponent, signalizující infekci virem.
Viry typu sub-stealth pak nazýváme ty viry, které vykazují třeba jen jednu z výše uvedených vlastností.
Přesto je třeba z hlediska úplnosti nutno řadit uvedené viry do této skupiny, neboť stejně jako typické viry
typu stealth představují pro antivirové programy vždy určitý problém.
Tunelující viry
Jak vidět, pojem tunel znaly viry dříve, než naši specialisti na banky. Nejznámější technika, kterou se virus
brání, je známá pod pojmem tunelování. Ta spočívá ve schopnosti vyhledávat původní adresy systémových,
nejčastěji diskových služeb, a ty pak používat při práci s disky ve snaze obejít případný antivirový
software. Ten totiž může, obdobně jako viry, obsahovat rezidentní část, která je nainstalována v paměti, má
převzaty adresy systémových služeb a monitoruje dění v systému a snaží se zabránit neoprávněným nebo
podezřelým akcím.
Jiný způsob aktivního boje proti antivirovým programům spočívá přímo v manipulaci s jeho rezidentní
částí. Některé antiviry totiž komunikují se svými rezidentními hlídači pomocí několika snadno přístupných
služeb (které jsou ke všemu v mnoha pramenech bohatě dokumentovány) a obsahují i funkci "dočasné deaktivace"
hlídače. Pro vir tedy není nic snazšího, než se dotázat (jak jinak, než pomocí zmíněných služeb) na
přítomnost takovýchto rezidentních hlídačů v paměti, a pokud dostanou pokornou odpověď „ano, jsem tady“,
pomocí známé služby je deaktivovat.
Vir může také obsahovat část kódu, která manipuluje s datovými soubory antivirů (to však jsou spíše retroviry),
nejčastěji s databází sekvencí virů nebo kontrolních součtů. Jejich změnou nebo smazáním může
vir dosáhnout toho, že zůstane při antivirové kontrole neodhalen.
R o z d ě l e n í a v l a s t n o s t i v i r ů
13
Systematické třídění virů vyžaduje zavedení ještě dalšího dělení. Jedním z hledisek může být umístění
v paměti. Pak rozeznáváme viry paměťově rezidentní, rezidentní TSR viry (týká se dosových virů) a viry
nerezidentní.
Paměťově rezidentní
Vir, který setrvává ilegálně v paměti. Takový vir se většinou při prvním spuštění infikovaného souboru
(pokud se jedná o souborový vir) nebo při prvním zavedení systému z infikovaného boot sektoru (pokud se
jedná o boot vir) stane rezidentním v paměti, a odtud potom provádí svoji škodlivou činnost. Vir zůstává
v paměti dokud není systém vypnut. Naprostá většina virů pro operační systém MS-DOS se umisťuje až na
vrchol systémové paměti, ale pod hranici 640 KB. Existují však i viry, které využívají nízkou systémovou
paměť, paměť videokarty atd. pro ukrytí kusu svého kódu. Oproti následující skupině, virů rezidentních –
TSR, jsou při své instalaci do paměti velmi těžko detekovatelné. Se zapnutím systému jsou okamžitě schopny
infikovat soubory, boot sektor nebo tabulku rozdělení. A jen tak na okraj: boot viry jsou vždy paměťově
rezidentní. V dnešní době se však uživatel setkává především s viry a další infiltrací pro operační systém
Windows 9x/NT/2000. Jen minimálně uživatelů dnes pracuje ještě pouze pod systémem DOS, případně pod
DOSem a Windows 3.1X. U vyšších systémů Windows je situace okolo paměťově rezidentních virů daleko
složitější.
V systému DOS se vir umisťuje rezidentně do paměti ve dvou krocích. Prvním je vyhledání nebo vytvoření
vhodného místa, kam by se vir umístil. Takové místo musí být dostatečně velké a současně dostatečně
bezpečné. U boot viru není výběr možností příliš velký. Vir se totiž instaluje do paměti v okamžiku, kdy ještě
není zaveden operační systém a proto nemá k dispozici funkce pro manipulaci s pamětí, které DOS nabízí.
Nejčastějším způsobem, kterým se boot viry s tímto problémem vypořádávají, je umělé snížení velikosti
základní paměti a využití uvolněného místa, které takto vznikne. Datová oblast BIOSu obsahuje proměnnou,
která říká, kolik základní paměti je k dispozici. Ve většině případů obsahuje tato proměnná hodnotu
640 KB. Pokud vir tuto hodnotu sníží, operační systém se domnívá, že má k dispozici paměti méně,
a zbylou část se využívat nepokouší, protože podle něj neexistuje. Do zbylé části paměti se tedy bez problémů
může přesunout vir. Z hlediska tvůrců virů je nevýhodou této metody poměrně snadná možnost zjistit
netypickou velikost základní paměti.
Jinou metodou, kterou používají zejména menší viry, je využití malých volných oblastí v datových oblastech
v dobré víře, že do nich nebude nikdo jiný zapisovat. S využitím této techniky se lze občas setkat
i v těle některých souborových virů.
Důmyslnější boot viry využívají techniku jakéhosi "meziskladu", kterým řeší dočasnou nedostupnost
služeb pro manipulaci s pamětí. Její princip spočívá v tom, že se vir umístí do oblasti paměti, o které předpokládá,
že nebude po určitou, poměrně krátkou, dobu změněna (typicky se k těmto účelům využívá horní
část videoRAM, která není v běžném textovém režimu využívána). Poté nechá zavést operační systém
a teprve pak se překopíruje na definitivní pozici s využitím všech možností, které mají souborové viry.
Souborové viry mohou využívat buď standardní kolekci tří služeb pro práci s pamětí (alokuj blok, uvolni
blok, změň velikost bloku), nebo mohou použít několik různých, většinou nedokumentovaných zásahů do
řídících struktur DOSu. To má pro ně oproti využití systémových služeb tu výhodu, že takto zrezidentnělý
vir nebude figurovat na případném seznamu rezidentních programů.
Modernější viry se také naučily manipulovat nejen se základní pamětí, ale dokáží se usadit i v paměti
nad hranicí 640 KB, pokud je dostupná. Typickým příkladem může být virus Tremor. Některé
z pokročilejších virů mohou dokonce sledovat hospodaření jiných programů s pamětí a v případě, když
usoudí, že se pro ně uvolnilo vhodnější místo, mohou se přesunout ze svého současného působiště do nového.
Aby mělo usídlení kopie viru v paměti nějaký smysl, musí být vir nějak spojen se systémem. Toto
i r y a p o č í t a če
14
spojení bývá realizováno přesměrováním vhodných systémových služeb do těla viru. Důsledkem takovéto vazby
na systém je, že v průběhu řádné činnosti systému jsou ve vybraných okamžicích aktivovány určité části
viru. Přesměrování služeb se provádí změnou tzv. vektorů přerušení, což jsou adresy, na které se předává řízení
v případě generování přerušení (systémové služby jsou realizovány právě voláním přerušení). Tabulka
adres těchto služeb je uložena na konstantním místě v operační paměti (na jejím úplném začátku) a v operačním
systému DOS je bohužel nekontrolovatelně přístupná všem programům, které z ní mohou hodnoty
nejen beztrestně číst, ale také do ní zapisovat.
Standardní postup převzetí systémové služby virem spočívá v naplnění vektoru přerušení adresou směřující
do těla viru. Při vyvolání přerušení vir provede vlastní činnost a poté, pomocí zapamatované původní
hodnoty vektoru přerušení zavolá původní funkci (možný je i opačný postup, kdy vir nejdříve zavolá původní
systémovou službu a poté provede vlastní činnost, případně vir původní službu nevolá vůbec a její
činnost zcela nahradí). Velmi zjednodušeně ukazuje pochody v systému následující tabulka.
Zdravý systém Zavirovaný systém
Běh uživatelského programu Běh uživatelského programu
Vyvolání systémové služby Vyvolání systémové služby
Provedení operace systémem Prozkoumání požadavku virem, který udělá to, co
považuje za vhodné a možná pustí ke slovu
i systém.
Pokračování běhu uživatelského programu Pokračování běhu uživatelského programu
Čtení a změnu hodnot vektorů přerušení lze realizovat opět pomocí služeb DOSu. Používání těchto služeb
lze ovšem snadno monitorovat, proto se mnoho virů uchyluje ke změně vektorů přerušením přímo do
tabulky vektorů, které se nachází zcela na začátku operační paměti, což je jednak méně nápadné, a pokud je
programátor šikovný, i kratší. Složitější viry občas nevyužívají tuto přímou metodu převzetí vektoru, místo
toho směrují službu do svého těla před jakýsi "můstek" umístěný odděleně od těla viru, jehož kód nedělá nic
jiného, než že bezprostředně zavolá cílovou funkci viru. Toto řešení není samoúčelné, ale má z pohledu virů
jisté výhody. Jedná se o typický produkt souboje virů a antivirů; ty se totiž naučily sledovat, kam ukazují
vektory některých důležitých služeb, a pátrat v jejich okolí po kódu viru. Uvedený postup se jim to pokouší
alespoň zkomplikovat, také ruční analýza takového kódu je obtížnější.
Ve Windows 9x každý spustitelný program používá nejméně dvě základní volání API jádra systému.
Jsou to funkce GetModuleHandleA a GetProcAddress. Odkazy na tyto funkce jsou uloženy v PE-programu,
v tzv. tabulkách importu ve Windows. Analýzou této tabulky může virus zjistit další vstupní body do jádra
Windows a potom je využívat pro svou replikaci (množení). Tento přístup má také další výhody, virus je
např. přenositelný i pod operační systém Windows NT. Zatímco v prostředí MS-DOS použije virus při otevírání
souboru vyvolání přerušení INT 21 s příslušnými parametry v registrech procesoru, v prostředí Windows
uloží tyto parametry do zásobníku a skočí na příslušnou funkci API. Protože tyto funkce jsou
samozřejmě externí a jsou součástí knihoven DLL operačního systému, je třeba nějak zjistit adresu dané
funkce API.
U normálních aplikací je tento proces úkolem zavaděče, který danou aplikaci spouští. Ten potom zjistí
z informací zapsaných v PE-souboru, které knihovny DLL a které jejich funkce jsou aplikací volány, a korektně
upraví na příslušných místech adresové odkazy na tyto funkce. Pokud však virus bude chtít využít
těchto automatických relokací, nezbývá mu, než se pustit do náročnějších modifikací PE-souboru a zejména
jeho relokační sekce. I zde se však nabízí určité zjednodušení. Při startu Windows 9x jsou totiž hlavní moduly
API, jako je např. modul KERNEL32.DLL, natahovány do paměti na stále stejné místo. Pokud si tedy,
R o z d ě l e n í a v l a s t n o s t i v i r ů
15
např. krokováním klasicky přeloženého programu, zjistíme adresy těchto funkcí, můžeme potom zjištěné
vstupní body využít přímo bez využití importovacího mechanismu a složitého zpracování struktur PEsouboru.
tento způsob má i svá úskalí. Budete-li takto koncipovaný virus chtít přenést např. z operačního
systému Windows 9x do systému Windows NT, dojde samozřejmě k havárii, protože pod Windows NT se
nebudou příslušné funkce vyskytovat na stejných adresách jako ve Windows 9x. Také nové verze systému
by mohly podobně napsaným virům znepříjemnit život.
Nevýhodou je, že ukončením infikovaného programu ztrácí virus možnost kontroly nad operačním systémem.
Nevýhodu lze vyvážit napadením frekventovaně volaných systémových knihoven, zejména
KERNEL32.DLL a USER32.DLL.
Dalším prvkem, na kterém jsou Windows z velké části postaveny, jsou takzvané virtuální ovladače zařízení
- VxD. Jejich kódy pracují na nejvyšší úrovni oprávnění procesoru zvaném ring 0 a mohou si s celým
systémem dělat doslova, co chtějí bez jakýchkoliv ochran. Pro viry, které chtějí monitorovat souborový systém
Windows 9x, je využití ovladačů VxD velice přínosné. Na této úrovni totiž pracuje ovladač IFS manager
(IFS - installable file system), přes který prochází veškeré souborové operace Windows 9x, ať už jsou
volány ze 16bitové či 32bitové aplikace Windows nebo z virtuálního stroje MS-DOSu. Navíc zde existuje
velice podrobně dokumentované rozhraní API, které mohou tvůrci virů využít. Tato možnost je také pro virus
velice výhodná, protože na úrovni ovladačů VxD je takový virus schopen úspěšně se ukrývat před antivirovými
programy.
Tuto výhodu se samozřejmě moderní 32bitové viry naučily rychle využívat. Po "zavěšení" do rozhraní
IFS manageru je virus schopen lehce monitorovat veškeré souborové operace systému a dále se takto rozšiřovat.
Tato metoda funguje pouze ve Windows 9x, nikoliv ve Windows NT, 2000.
Rezidentní - TSR viry
Některé souborové viry se mohou instalovat do paměti pomocí služeb DOSu (tedy relativně legálně) jako
rezidentní TSR (podobně jako např. ovladač myši apod.) a pak tajně provozovat svoji škodlivou činnost
a replikovat se. Jedná se o podskupinu předchozích rezidentních virů. Pokud se jedná o rezidentní TSR virus,
můžeme ho většinou lehce v paměti nalézt příkazem MEM s parametrem /C (MEM /C).
Nerezidentní viry
Jinak nazývané „viry přímé akce“ nevyužívají paměť pro své šíření. Stačí jim, když jsou aktivovány
společně s hostitelským programem. Pak přebírají řízení jako první, provedou svoji činnost, nejčastěji replikaci
a pak předají řízení zpět hostitelskému programu. Replikací zde většinou rozumíme například napadení
všech vhodných souborů (postupně nebo naráz) v aktuálním adresáři, či napadení souborů uvedených
v proměnné PATH (v souboru AUTOEXEC.BAT, platí hlavně pro operační systém MS-DOS).
Červi podrobněji
Červ může být přímo součástí zprávy a není proto potřeba žádného souboru v příloze. Nutnou podmínkou
pro úspěšné šíření takových červů je existence poštovních klientů, které dokážou přijímat poštu
v HTML formátu. HTML sice pozvedlo laťku v úpravě e-mailových zpráv směrem nahoru, protože se dají
využívat obrázky na pozadí, barevná písmena, vložené pohyblivé gify atd., ale otevřela se tak cesta červům.
Příkladem může být JS/Kakworm, který vkládá svoje „tělo“ přímo do HTML kódu zprávy ve formě JavaScriptu.
Červ se aktivuje pouhým otevřením infikované zprávy, a to i v tzv. náhledu! Stačí tedy mít zavirovanou
zprávu v aktivním postavení a mít zapnuté náhledové okno.
V i r y a p o č í t a če
16
Přílohy e-mailu bývají tvořeny souborem s „dvojitou příponou“, čímž je využívána určitá nedůslednost
v možnostech označování souborů, které přinesly Winows95 a vyšší. Někteří červi se k e-mailu připojí souborem,
u kterého je celý název zapsán jako {název}.{1.přípona}.{2.přípona}. Pokud má uživatel nastaveno
v možnostech složky, že se mu mají skrývat přípony známých typů, pak může vidět jen {název}.{
1.přípona}. V praxi se tak může soubor PamelaAnderson.jpg.exe jevit jako PamelaAnderson.jpg, uživatel
na to naletí a chce se podívat na obrázek JPG. Pokud se nebojíte upravovat registr Windows a tuto
záležitost jednou pro vždy smést z obrazovky (tedy to, aby se vám nezobrazovaly opravdové přípony), stačí
z vhodných klíčů ve větvi HKEY_CLASSES_ROOT odstranit položky s názvem NeverShowExt.
Ještě před nedávnem se aktualizovaly pouze antivirové programy. To už však dnes neplatí, protože tu
máme například červa I-Worm/Hybris, který sám sebe aktualizuje prostřednictvím Internetu ! Během svého
šíření tak může být neustále vylepšován samotným autorem této potvory. Pro jistotu jsou tyto „pluginy“ –
„vsuvky“ pro červa podepsány elektronickým podpisem, díky čemuž Hybris „sežere“ pouze to, co mu udělá
dobře.
Červy můžeme dělit například dle závislosti na poštovním klientu na červy nezávislé na použitém poštovním
klientu a červy závislé na použitém poštovním klientu.
Do první skupiny můžeme zařadit například červ I-Worm/Haiku, který kromě skládání veršů hledá
emailové adresy dalších obětí v některých souborech po celém disku. Na získané emailové adresy pak hromadně,
za podpory SMTP serveru někde ve světě, odesílá svoje kopie (tj. soubor haiku.exe, který tvoří přílohu
emailové zprávy). Červ I-Worm/Happy99 (alias Ska) pro změnu modifikuje soubor WSOCK32.DLL
tak, aby se při volání služeb Connect a Send aktivoval kód červa, který připojí svoje tělo k odesílanému
emailu.Asi tak nějak mezi obě skupiny se řadí Win32/Magistr, který je kombinací červa a viru. E-mailové
adresy získává od některých poštovních klientů, zatímco k odesílání infikovaných zpráv je vůbec nepotřebuje.
Do druhé skupiny pak patří především všechny typy makrovirů, které jsou založeny na principech makroviru
W97M/Melissa. Některé antiviry přidávají na konec takových makrovirů označení @mm. Patří sem
i VBS/LoveLetter, VBS/AnnaKurnikova apod. Tyto lidské výplody jsou závislé především na klientu MS
Outlook, který je součástí kancelářského balíku MS Office 97, 2000.
Červi ve Windows
Červi se nacházejí v souboru samostatně a nepotřebují žádného hostitele (až na výjimky). Antivirové
programy tak ve většině případů mažou všechny soubory, které si červ pro svůj chod v systému vytvořil.
Nevracejí však do původního stavu registry Windows, popřípadě soubory, které červ zmodifikoval tak, aby
si zajistil včasnou aktivaci po každém startu operačního systému Windows. Většina červů si zajistí automatické
spuštění nejčastěji pomocí modifikace registrů nebo pomocí modifikace souboru WIN.INI, případně
SYSTEM.INI (ve složce s instalací Windows).
Do registru se můžeme podívat například pomocí příkazu regedit. Červi mají v oblibě především klíč:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
V něm vytvářejí nové položky s údaji obsahující cestu k souboru, který se pak při každém startu Windows
aktivuje. Mezi další využívané klíče patří:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
V souboru WIN.INI je občas pod útokem červa řádek RUN= v sekci [WINDOWS].
Podobně je na tom může být i sekce [BOOT] s řádkem SHELL= v souboru SYSTEM.INI. Za sekvencí
znaků RUN= se zpravidla nic nenachází. Pokud ano, může to být známka toho, že na počítači je / byl červ.
R o z d ě l e n í a v l a s t n o s t i v i r ů
17
Nemusí se však vždy jednat o červa, občas tyto možnosti využívají i některé užitečné programy. Za řádkem
SHELL= se pak běžně vyskytuje pouze příkaz EXPLORER.EXE. Nakonec bychom se mohli zmínit i o klíči
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open
Jeho modifikací si někteří červi zajistí to, že se aktivují přesně v okamžiku, kdy uživatel spustí nějaký
ten EXE soubor. Při léčení je nutné nejprve vrátit jmenovaný klíč do původního stavu "%1" %* a až potom
odstranit soubory patřící červu. V opačném případě nebude možné spustit žádný EXE soubor (Windows se
budou odkazovat na neexistující soubor červa). Problém je v tom, že i program na úpravu registrů je s příponou
EXE (regedit.exe). Není tedy nic jednoduššího, než jeho příponu změnit na COM a červa tak oklamat.
Příkladem z praxe může být červ I-Worm/PrettyPark, který původní hodnotu "%1" %* jmenovaného
klíče upraví na FILES32.VXD "%1" %*
Odstraňování červů
Ještě před tím, než se antivirem odmažou infikované soubory, doporučuji odstranit škody v registrech,
popřípadě ve WIN.INI či SYSTEM.INI. Tento postup je někdy nutné dodržet. V případě červa PrettyPark se
totiž může stát, že díky špatnému postupu, nebude spuštění programu regedit, který je východiskem.