Rozdělení a vlastnosti virů
Základní definici a historii už máme za sebou, tak se pojďme zanořit trochu do hloubky. Počítačové viry
a podobné infiltrace představují problém, který je často zveličovaný (z komerčních důvodů) nebo naopak
zlehčovaný. V každém případě nemůžeme říci, že se nás viry netýkají a zavřít před nimi oči. Nejvíce virů
najdeme na nejrozšířenějších systémech, tedy na DOSu, Windows řady 3.1X a Windows 95/98. Méně virů
je na systémech Windows NT/2000 a uvidíme, jak se bude virům dařit na systémech Windows Me/XP, které
jsou už přece jenom jinak stavěny než Windows 95/98. Samostatnou kapitolku budou tvořit viry na jiných
systémech než DOS/Windows. Existují viry, které jsou nezávislé na operačním systému, ale pro jejich působení
musí být přítomny zase například Office produkty Microsoftu nebo produkty využívající platformově
nezávislý programovací jazyk Java.
Základní typy počítačových infiltrací
Počítačový vir – Program (sekvence kódu), který se bez vědomí uživatele počítače připojuje, přepisuje
nebo jinak modifikuje ostatní programy, dokumenty nebo systémové oblasti pevného disku a disket s cílem
vlastní reprodukce. Kromě samotné reprodukce může přitom kód viru vykonávat různé grafické, zvukové
a textové efekty, ale i destrukční činnost, jako například mazání, kódování a jiné modifikace souborů respektive
sektorů pevného disku. S výjimkou možnosti vymazání Flash BIOS paměti však v současnosti nejsou
známé viry poškozující hardware počítače. Některé viry, podobně jako dále vzpomínané trójské koně
narušují bezpečnost počítače, respektive údajů na jeho pevném disku zasíláním tajných PGP klíčů, odchycených
hesel a e-mailových adres a podobně různými komunikačními kanály mimo napadený počítač (např.
autorovi viru). Také na pohled neškodné viry však mohou způsobit svojí přítomností problémy v souvislosti
se spotřebou části operační paměti, výpočetní kapacity procesoru, ale hlavně vznikem různých typů interferencí
s jinými aplikacemi, respektive i se samotným operačním systémem.
Červ (worm) – program, který parazituje v jednom exempláři (v jednej kompletní sadě souborů) na
hostitelském počítači, přičemž využívá jeho komunikační propojení s dalšími počítači (např. e-mail, IRC
kanál) na svoje další šíření. Klasický červ se tedy na rozdíl od viru nepřipojuje k žádnému hostitelskému
programu ani se na lokálním disku dále nešíří. Typickým příkladem červa je známý Happy99. Některé infiltrace
klasifikované jako červi se však kromě šíření přes výše uvedené komunikační kanály šíří i po lokálních
a síťových discích (LoveLetter), čímž se svými vlastnostmi přibližují k definici viru využívajícího na
svoje šíření kromě klasické technologie šíření (přepisování jiných souborů nebo šíření jako satelitní soubor)
i komunikační kanály. Obdobná kombinace různých algoritmů šíření se dá pozorovat i u některých novějších
makrovirů (Melissa). Někteří červi zase obsahují některé znaky trójských koňů (Pretty Park), takže
v tomto smyslu se může konstatovat, že absolutně přesná klasifikace jednotlivých druhů infiltrací není možná.
Možná se ptáte, proč vlastně uživatel PC takový soubor v e-mailu spustí. Ale to je jasné! Koho by nelákal
soubor s názvem Anna Kurnikovová či Pamela Anderson, který je navíc v těle zprávy podpořen textem
„Koukni se do přílohy na nahatou Pamelu Anderson, nebudeš litovat !“. Běžný uživatel by se těšil na obrázek,
ale ejhle, ve skutečnosti jde o červa, který jen čeká na to, až ho uživatel spustí.
Trójský kůň – program, který navenek navozuje dojem užitečnosti. V dokumentaci programu slibovanou
činnost však buď vůbec nevykonává, nebo ji vykonává, ale v pozadí realizuje nepozorovaně nějaký
druh destrukce (maže soubory, formátuje pevný disk, skrytou komunikací přes internet narušuje soukromí
uživatele a podobně). Trójský kůň je buď naprogramovaný jako původní aplikace, nebo je vytvořený z už
existujícího programu jeho spojením s destrukčním kódem (který se vykonává před samotným programem),
přičemž takový program se potom od původního kromě délky navenek ničím neodlišuje (vzhled prostředí
V i r y a p o č í t a če
8
i vykonávaná akce je shodná, dokumentace programu je původní, atd.), což v současné době rychlého střídání
verzí programů není příliš nápadné. V poslední době jsou častými i trójské koně, které jsou vlastně instalačním
souborem samotného programu, který se po své instalaci spouští při restartu operačního systému
Windows a skrytě vykonává nějaký typ destrukční akce. Mezi nejčastěji se vyskytující trojany patří v současnosti
tzv. "zadní vrátka" - backdoor. Někteří autoři však backdoory řadí do zcela samostatné skupiny. Jde
o komunikačního klienta instalovaného bez vědomí uživatele počítače, který komunikuje se serverem obsluhovaným
autorem programu nebo člověkem, který instalaci trójského koně provedl Takový klient umožňuje
zasílání přístupových hesel, záznamů o aktivitách počítače nebo zvolených souborech mimo počítač,
respektive umožňuje jeho úplné dálkové ovládnutí (spouštění aplikací, manipulace se soubory apod.). Některé
charakteristiky trójských koní v tomto smyslu splňují i někteří reklamní klienti (tzv. spyware) aplikovaní
za účelem stahování reklam nebo zasílání různých formulářů charakterizujících uživatele, které jsou
dnes běžně přidávané ke zkušebním verzím některých programů - pokud si je uživatel zaregistruje, reklamní
klient se deaktivuje. Od počítačového viru nebo červa se přitom trójský kůň liší tím, že kód programu se dále
nereplikuje. Pokud je příslušná destrukční akce vázaná na nějaký datum nebo jinou podmínku, mluvíme
také o tzv. logické bombě. Historicky prvním PC trójským koněm byl AIDS šířený v roce 1989. Jiným příkladem
zcela typického trojského koně je falešná verze antiviru McAfee VirusScan. I když byl trojský kůň
vzhledově podobný (stejný výstup na monitor) jmenovanému antiviru, ve skutečnosti pouze mazal bezbranné
soubory na disku. Speciální podskupinu trójských koňů tvoří nosiče vírů, tzv. droppery - programy jejichž
destrukční akce spočívá ve vypouštění klasických počítačových virů, přičemž samotný dropper není
možné identifikovat vzorkem vypouštěného viru (i když samotný vypouštěný vir je známý).
Žertovný program (joke) – neškodný program, který simuluje chybové stavy operačního systému, nebo
také nějaký druh destrukční činnosti (vymazávání souborů nebo formátování disku) a jsou určeny k pobavení
ve formě kanadského žertíku. Kromě vystrašení uživatele tedy nezpůsobuje žádné škody, pokud však
uživateli neprasknou nervy a preventivně nezformátuje celý pevný disk.
HOAX - E-mailová zpráva obsahující falešné upozornění na nebezpečí nakažení se nějakým novým virem
případně jinou na pohled důležitou (zajímavou, užitečnou) informaci, kterou uživatelé vlastnoručně
rozšiřují dále mezi svými spolupracovníky a přáteli, čímž způsobují lavinovité šíření zprávy po síti. Následkem
je zbytečné dezinformování masy lidí, nemluvě o zahlcovaní sítě a dalších důsledcích. Příkladem mohou
být e-mailové zprávy Good Times, Join the Crew, AOL4FREE a další. Seznam nejfrekventovanějších
najdete v příloze 2.
Nejběžnější typy počítačových virů
Boot vir
Historicky první typ PC viru (Brain, 1986), který byl už v roce 1987 následovaný velmi rozšířeným virem
Stoned. Některé viry tohoto typu zaznamenaly vlivem zabudované destrukční akce poměrně velkou
"popularitu" - vzpomeňme např. virus Michaelangelo nebo J&M. Na svůj přenos využívá boot sektor (případně
i několik dalších sektorů) diskety zasunuté v mechanice A:, kde nahrazuje původní boot sektor (bez
ohledu na to, zda šlo o bootovatelnou disketu nebo ne). Kód viru po svojí aktivaci (nabootování ze zavirované
diskety ponechané úmyslně nebo ze zapomnětlivosti v mechanice) obvykle přenese svoje tělo do Boot
sektoru logického disku C: nebo častěji Master Boot sektoru pevného disku (případně i několik dalších sektorů).
Při nejbližším bootu z pevného disku se tedy virus spouští po BIOSu jako první (ještě před samotným
operačním systémem) a záleží jen na typu viru, jak této skutečnosti využije. Obvykle se stává vir paměťově
rezidentním a od tohoto momentu infikuje všechny proti zápisu nechráněné diskety zasunuté do počítače.
R o z d ě l e n í a v l a s t n o s t i v i r ů
9
Připomeňme si ještě, že samotným zasunutím zavirované diskety do mechaniky A: nedochází k zavirování
počítače, musí se z ní nabootovat. Dnes je tento druh virů vzhledem na snižující se význam disket jako média
na přenos dat mezi výrobci software a uživateli, nebo mezi uživateli navzájem, na ústupu.
Souborový vir
Do příchodu makrovirů to byl nejběžnější typ virů, který na svoji replikaci využívá tělo jiného programu.
Prvním experimentálním PC virem tohoto typu byl Burger pocházející z roku 1986, prvním virem tohoto
typu v terénu byl virus Lehigh (1987) následovaný viry Jerusalem, Vienna, Cascade a dalšími. Vir se
nejčastěji připojuje na konec těla hostitelského programu, čímž způsobuje jeho prodloužení. Existují ale viry,
které neprodlužují hostitelský soubor, což dělají tak, že začátek nakaženého programu jednoduše přepíší
(čímž ho zničí) nebo využívají "díry" v kódu programu, které zaplní svým kódem (tak funguje např. vir CIH
napadající 32bitové Windows EXE soubory). Po spuštění nakaženého souboru se vykoná nejdříve kód viru,
který buď uskuteční přímou akci (infikování dalších souborů podle vhodné strategie), ale častěji se virus
stane paměťově rezidentním a následně infikuje další spustitelné soubory (nejčastěji při jejich spouštění, ale
i při kopírování, prohlížení, komprimaci a jiné manipulaci s nimi). V závislosti na splnění určité podmínky
(čas, datum, počet spuštění) přitom může vir strategii svého šíření obměňovat, případně vykonávat i jinou
(nesouvisející se samotnou replikací), např. destrukční akci. Po vykonaní celého kódu viru se zabezpečí
(u nepřepisujících virů) aktivace samotného hostitelského programu. Doplňme ještě, že samotným kopírováním,
prohlížením nebo jinou manipulací s nakaženým souborem nedochází k zavirování počítače - na to
je potřeba zavirovaný program spustit.
Makrovir
Dnes jednoznačně nejrozšířenější typ viru. První experimentální vir tohoto typu vznikl v roce 1994
(makrovir DMV) a v terénu se makrovir poprvé objevil v roce 1995 (Concept). Jde o viry, jejichž činnost je
řízená makrojazykem příslušné aplikace, přičemž jsou v tomto smyslu vázané na konkrétní formát dokumentu
- makrojazyk Word Basic a dřívější verze MS Word, respektive dnes nejčastěji Visual Basic for Applications
ve spojení s novějšími verzemi MS Word, MS Excel, MS Access, MS Power Point, MS Project
ale už i CorelDraw a dalšími aplikacemi. V tomto smyslu jsou nezávislé na samotném operačním systému
počítače (Win9x, WinNT/2000 i MacOS) nebo na jeho hardwarové platformě (Intel, Alpha a MAC). Vzhledem
na jednotný typ makrojazyka existují i viry, které napadají dokumenty dvou i tří různých aplikací ze
stejného kancelářského balíku (např. MS Word, MS Excel a MS Power Point z balíku Office 97).
Standardní způsob šíření makroviru spočívá v následujícím postupu - po načtení zavirovaného dokumentu
příslušná aplikace interpretuje makra viru, která při různých doprovodných akcích zabezpečí napadnutí globální
šablony. Zavirovaná makra šablony se potom vkládají do dalších otevíraných dokumentů a tím je infikují.
Zdůrazněme ještě jednou, že makrovir se aktivuje už samotným prohlédnutím dokumentu v příslušném
typu editoru (který má používání maker povolené), což je zřejmý rozdíl proti souborovým virům. K aktivaci
makrovirů však nedochází při kopírovaní nebo jiné manipulaci se zavirovanými dokumenty.
Z výše jmenovaných tří nejběžněji se vyskytujících druhů virů se makroviry nejjednodušeji programují
(rozdíl v náročnosti zvládnutí programovacího jazyka Word Basic nebo Visual Basic a assembleru je značný)
a navíc se také nejsnadněji šíří vzhledem na to, že výměna dokumentů mezi uživateli je mnohem častější
jak výměna spustitelných souborů. Když k tomu přidáme nové možnosti šíření kanálem elektronické
pošty (e-mailem) využitím některých vlastností standardních e-mail klientů firmy Microsoft (Melissa), nedá
se v budoucnosti v tomto směru očekávat nic pozitivního.
Komentáře
Přehled komentářů
TAKTO DOJEBANÝ WEB SEM JESTE NEVIDEL ..............
CO TO JE VOLE?
(user, 30. 1. 2015 11:30)