Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
04.01.2002 - Peter HUBINSKÝ - Publikácie
Existujúce typy počítačových vírusov  (článok)

Vzhľadom na neustály vývoj v oblasti operačných systémov (... od MS DOS cez MS Windows 3.x až po MS Windows 9x/Me/NT/2000/XP) a tiež vzhľadom na zmeny v prevažujúcom spôsobe výmeny dát medzi výrobcami softvéru a používateľmi, resp. medzi nimi navzájom dochádza v tejto oblasti k postupnému vývoju a dnes sa popri klasických počítačových vírusoch stretávame najmä s červmi a skriptovými vírusmi, často vybavenými schopnosťou šírenia prostredníctvom rôznych komunikačných kanálov... .

Boot vírus - historicky prvý typ počítačového vírusu (Brain, 1986), ktorý bol už v roku 1987 nasledovaný veľmi rozšíreným vírusom Stoned. Niektoré vírusy tohto typu zaznamenali vplyvom zabudovanej deštrukčnej akcie pomerne veľkú "popularitu" - spomeňme napr.: vírus Michaelangelo alebo J&M. Na svoj prenos využíva boot sektor (... prípadne aj niekoľko ďalších sektorov) diskety zasunutej v mechanike A:, kde nahrádza pôvodný boot sektor (... bez ohľadu na to, či išlo o bootovateľnú disketu alebo nie). Kód vírusu po svojej aktivácii (... nabootovanie zo zavírenej diskety ponechanej úmyselne alebo zo zábudlivosti v mechanike) obvykle prenesie svoje telo do boot sektora logického disku C: alebo častejšie Master Boot sektora pevného disku. Pri najbližšom nabootovaní z pevného disku sa teda vírus spúšťa po BIOSe ako prvý (... ešte pred samotným operačným systémom) a záleží len na type vírusu, ako túto skutočnosť využije. Obvykle sa stáva vírus pamäťovo rezidentným a od tohto momentu infikuje všetky proti zápisu nechránené diskety zasunuté do počítača. Pripomeňme ešte, že samotným zasunutím zavírenej diskety do mechaniky A: nedochádza k zavíreniu počítača, musí sa z nej nabootovať. Dnes je tento druh vírusov vzhľadom na zmenšujúci sa význam diskiet ako média na prenos dát medzi výrobcami software a používateľmi, resp. medzi používateľmi navzájom na ústupe.

Súborový vírus - do príchodu makrovírusov najbežnejší typ vírusov, ktorý na svoju replikáciu využíva telo iného programu. Prvým experimentálnym počítačovým vírusom tohto typu bol Burger pochádzajúci z roku 1986, prvým vírusom tohto typu v teréne bol vírus Lehigh (1987) nasledovaný vírusmi Jerusalem, Vienna, Cascade a ďalšími. Vírus sa najčastejšie pripája na koniec tela hostiteľského programu, čím spôsobuje jeho predĺženie. Existujú ale aj vírusy, ktoré nepredlžujú hostiteľský súbor, čo robia tak, že začiatok nakazeného programu jednoducho prepíšu (... čím ho zničia) alebo využívajú "diery" v kóde vírusu, ktoré zaplnia svojim kódom (... tak funguje vírus CIH napádajúci 32-bitové Windows EXE súbory). Po spustení nakazeného súboru sa vykoná najprv kód vírusu, ktorý buď uskutoční priamu akciu (... infikovanie ďalších súborov podľa vhodnej stratégie), ale častejšie sa vírus stane pamäťovo rezidentným a následne infikuje ďalšie spustiteľné súbory (... najčastejšie pri ich spúšťaní, ale aj pri kopírovaní, prezeraní, komprimácii a inej manipulácii s nimi). V závislosti od splnenia určitej podmienky (... času, dátumu, počtu spustení) pritom môže vírus stratégiu svojho šírenia obmieňať, resp. vykonávať aj inú (... nesúvisiacu so samotnou replikáciou). Po vykonaní celého kódu vírusu sa zabezpečí (... u neprepisujúcich vírusov) aktivácia samotného hostiteľského programu. Doplňme ešte, že samotným kopírovaním, prezeraním alebo inou manipuláciou s nakazeným súborom nedochádza k zavíreniu počítača - na to je potrebné zavírený program spustiť.

Makrovírus - dnes jednoznačne najrozšírenejší typ vírusu. Prvý experimentálny vírus tohto typu vznikol v roku 1994 (... makrovírus DMV) a v teréne sa makrovírus po prvýkrát objavil v roku 1995 (Concept). Ide o vírusy, ktorých činnosť je riadená makrojazykom príslušnej aplikácie, pričom sú v tomto zmysle viazané na konkrétny formát dokumentu - makrojazyk Word Basic a skoršie verzie MS Word, resp. dnes najčastejšie Visual Basic for Applications v spojení s novšími verziami MS Word, MS Excel, MS Access, MS Power Point, MS Project, ale už aj CorelDraw a ďalšími aplikáciami. V tomto zmysle sú nezávislé na samotnom operačnom systéme počítača (MS Windows 9x/Me/NT/2000/XP aj MacOS), resp. aj jeho hardverovej platforme (Intel, Alpha aj MAC). Vzhľadom na jednotný typ makrojazyka existujú aj vírusy, ktoré napádajú dokumenty dvoch i troch rôznych aplikácií z toho istého kancelárskeho balíka (napr.: MS Word, MS Excel aj MS Power Point). Štandardný spôsob šírenia makrovírusu spočíva v nasledovnom postupe - po načítaní zavíreného dokumentu príslušná aplikácia interpretuje makrá vírusu, ktoré popri rôznych sprievodných akciách zabezpečia napadnutie globálnej šablóny. Zavírené makrá šablóny sa potom vkladajú do ďalších otváraných dokumentov a tým ich infikujú. Zdôraznime ešte raz, že makrovírus sa aktivuje už samotným prezretím dokumentu v príslušnom type editora (... ktorý má používanie makier povolené), čo je zrejmý rozdiel oproti súborovým vírusom. K aktivácii makrovírusov však nedochádza pri kopírovaní alebo inej manipulácii so zavírenými dokumentmi.

Skriptový vírus - vírus napísaný v príslušnom type skriptového jazyka (... jazyk BAT a INF súborov, Java Script a Visual Basic Script), ktorý sa šíri buď ako samostatný súbor alebo ako súčasť iných typov súborov (JS a VBS vírusy v rámci HTML a CHM súborov). Na báze VBScript jazyka sú konštruované aj rôzne typy červov šíriacich sa prostredníctvom programov MS Outlook/Express, mIRC, pIRCH a ďalších.

Satelitný vírus - vírus šíriaci sa na základe vlastnosti operačného systému MS DOS / MS Windows, ktorý v prípade, že sa v danom adresári nachádza viac súborov rovnakého mena, postupnosť ich spúšťania riadi v závislosti od prípony v poradí: .BAT - .COM - .EXE. K súborom s príponou .EXE je potom možné skopírovať súbor obsahujúci kód vírusu, ktorý bude mať rovnaké meno, ale príponu .COM alebo .BAT, takže sa bude aktivovať pred samotným programom. Po zbehnutí kódu vírusu, ktorý zabezpečí svoju replikáciu, resp. aj ďalšiu sprievodnú akciu sa aktivuje volaný .EXE program.

Adresárový vírus - vírus, ktorý je na disku prítomný v jedinom exemplári a ktorý napáda iné spustiteľné súbory tak, že prepisuje v adresári smerník na ich začiatok tak, aby ukazovali na začiatok vírusu. Pôvodnú hodnotu smerníka si ale ukladá, takže pokiaľ je vírus pamäťovo rezidentný, je schopný zabezpečiť po zbehnutí vlastného kódu aj spúšťanie pôvodných súborov. Príkladom takýchto vírusov môže byť napr. DIR II alebo BYW.

Multipartitný vírus - vírus kombinujúci viac vyššie uvedených mechanizmov šírenia. Typickým je napr. kombinácia súborového a boot vírusu, kedy sa pri aktivácii zavíreného EXE súboru na čistom počítači kód vírusu prenesie do Master Boot sektora pevného disku. Po prvom nabootovaní z pevného disku si potom vírus zabezpečí pamäťovú rezidentnosť a ďalej sa chová ako súborový vírus - napáda EXE súbory. Keďže daný počítač už má vírus pod kontrolou, na pevnom disku sa už šíriť ďalej nemusí, stačí ak bude infikovať súbory smerom k sieťovým diskom resp. výmenným médiám (vírus OneHalf). Iným príkladom môže byť kombinácia súborového vírusu a makrovírusu (vírus Anarchy), makrovírusu a skriptového vírusu (ColdApe) a pod.

Polymorfný vírus - vírus, ktorého jednotlivé exempláre majú rozdielny kód. Vkladanie prázdnych inštrukcií, prehadzovanie poradia výkonu častí kódu, resp. zámenu sekvencií kódu inými sekvenciami s ekvivalentnou funkciou v rámci úvodnej časti kódu vírusu spolu s technológiou šifrovania zvyšnej časti vírusu znemožňujú identifikáciu vírusu jednoduchým hľadaním pevnej sekvencie kódu či výpočtom CRC súčtu pevne zvolenej oblasti kódu. Vírusy je možné identifikovať len špecializovanými algoritmami, resp. výkonnými heuristickými metódami. Medzi legendy v tomto smere patril mutačný algoritmus s názvom MTE, ktorý bol vyvinutý pre súborové vírusy pod platformou MS DOS. Dnes existujú polymorfné súborové vírusy aj pod 32-bitovými MS Windows, resp. existujú aj polymorfné boot vírusy a makrovírusy (... i keď v posledne menovanom prípade sa obvykle jedná o pomerne rozsiahle a pomalé vírusy, ktoré sú svojou prítomnosťou dosť nápadné).

Stealth vírus - vírus, ktorý využíva príslušné služby operačného systému na zamaskovanie svojej aktivity. Ako príklad možno uviesť boot vírusy, ktoré pri čítaní Master Boot sektora vracajú prehliadaču pôvodný (nezavírený) obsah tohto sektora, či súborové vírusy, ktoré maskujú zmenu dĺžky zavíreného súboru, resp. sa pri otvorení súboru za účelom hľadania vírusu z hostiteľského súboru vyčistia a po ukončení prehliadania súboru tento opätovne zavíria. Pri makrovírusoch so stealth charakteristikou možno pozorovať napr.: podsúvanie prázdneho zoznamu makier (... napriek prítomnosti vírusových makier v dokumente), deaktivovanie funkcie novších aplikácií MS Office 97/2000/XP upozorňujúcich na prítomnosť makier v načítavanom dokumente apod..


Záver
Počítačové vírusy prekonali za 15 rokov svojej praktickej existencie viaceré etapy. Vo všeobecnosti sa ale dá povedať, že sa orientujú na najmasovejšie rozšírené operačné systémy a v rámci nich na najčastejšie používané aplikácie. V súvislosti s rozvojom Internetu je mechanizmus ich šírenia, resp. príslušný typ deštrukčnej akcie stále častejšie spojený s využitím jeho jednotlivých komunikačných kanálov. Pokiaľ teda chce používateľ inštalovať operačný systém MS Windows, pokiaľ chce byť schopný vymieňať si so svojim okolím masovo používané formáty dokumentov a chce pritom využívať Internet, vystavuje sa nezanedbateľnému nebezpečiu aktivácie jednotlivých druhov infiltrácií. V tomto zmysle možno odporučiť aktívny kontakt s relevantnými informačnými zdrojmi i aplikáciu výkonného a najmä dostatočne často aktualizovaného antivírusového programu.

Vytlačiť článok... Zdroj: AVIR Pezinok


Súvisiace články:
16.08.2002  Počítačové vírusy a Internet II. - Publikácie
13.08.2002  Počítačové vírusy a Internet I. - Publikácie
31.05.2002  Ochrana pred počítačovými infiltráciami IV. - Publikácie
27.05.2002  Ochrana pred počítačovými infiltráciami III. - Publikácie
23.05.2002  Ochrana pred počítačovými infiltráciami II. - Publikácie
17.05.2002  Ochrana pred počítačovými infiltráciami I. - Publikácie
02.01.2002  Základné typy počítačových infiltrácií - Publikácie


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.