Počítačové vírusy

Počítačové vírusyPočítačové vírusy

Vývoj vírusovVývoj vírusov Rozdelenie Rozdelenie infiltrácií infiltrácií Najbežnejšie typy počítačových Najbežnejšie typy počítačových

vírusovvírusov Vlastnosti počítačových vírusov Vlastnosti počítačových vírusov Detekčné metódyDetekčné metódy ZZaujaujímavostiímavosti

Vývoj vírusovVývoj vírusov Prvý počítačový vírus vytvorili dvaja bratia Basit a Amjad v Prvý počítačový vírus vytvorili dvaja bratia Basit a Amjad v

Pakistane(1986), nazvali ho Brain vírus(mozgový vírus).Zistili že boot Pakistane(1986), nazvali ho Brain vírus(mozgový vírus).Zistili že boot sektor diskety môže obsahovať aj inštrukcie okrem inštrukcií nahrávania. sektor diskety môže obsahovať aj inštrukcie okrem inštrukcií nahrávania. Účelom víru bola snaha predísť nezákonnému získaniu programov, ktoré Účelom víru bola snaha predísť nezákonnému získaniu programov, ktoré bratia vytvorili .Tento vírus bol posledný, ktorý obsahoval mená, adresy a bratia vytvorili .Tento vírus bol posledný, ktorý obsahoval mená, adresy a tel. čísla tvorcov.tel. čísla tvorcov.

Vzhľadom na neustály vývoj v oblasti operačných systémov a na zmeny v Vzhľadom na neustály vývoj v oblasti operačných systémov a na zmeny v spôsobe výmeny dát dochádza v tejto oblasti k postupnému vývoju a dnes spôsobe výmeny dát dochádza v tejto oblasti k postupnému vývoju a dnes sa popri klasických počítačových vírusoch (Boot a DOS súborové vírusy, sa popri klasických počítačových vírusoch (Boot a DOS súborové vírusy, ktoré prevládali v polovičke 90.rokov) stretávame najmä s makrovírusmi a ktoré prevládali v polovičke 90.rokov) stretávame najmä s makrovírusmi a skriptovými vírusmi, často vybavenými schopnosťou šírenia cez rôzne skriptovými vírusmi, často vybavenými schopnosťou šírenia cez rôzne komunikačné kanály, ako napr. E-mail, IRC a podobne. komunikačné kanály, ako napr. E-mail, IRC a podobne.

Napriek tomu, že s počítačovými vírusmi sa môžeme stretnúť aj u Napriek tomu, že s počítačovými vírusmi sa môžeme stretnúť aj u platforiem Amiga a Macintosh (u platforiem UNIX takmer vôbec), platforma platforiem Amiga a Macintosh (u platforiem UNIX takmer vôbec), platforma Microsoft Windows spolu s ďalšími aplikáciami tejto firmy (Microsoft Word, Microsoft Windows spolu s ďalšími aplikáciami tejto firmy (Microsoft Word, Excel a Outlook) je dnes vzhľadom na svoje masové rozšírenie, odborné Excel a Outlook) je dnes vzhľadom na svoje masové rozšírenie, odborné zázemie ich používateľov ako aj slabú bezpečnosť týchto produktov zázemie ich používateľov ako aj slabú bezpečnosť týchto produktov (znásobenú silnými možnosťami na tvorbu vírusov) živnou pôdou drvivej (znásobenú silnými možnosťami na tvorbu vírusov) živnou pôdou drvivej väčšiny počítačových infiltrácií. väčšiny počítačových infiltrácií.

K dnešnému dňu je známych niekoľko desiatok tisíc rôznych vírusov, K dnešnému dňu je známych niekoľko desiatok tisíc rôznych vírusov, trójskych koňov a ďalších druhov infiltrácií.trójskych koňov a ďalších druhov infiltrácií.

Rozdelenie Rozdelenie infiltráciíinfiltrácií

Počítačový vírusPočítačový vírus - program (sekvencia kódu), ktorý sa bez vedomia - program (sekvencia kódu), ktorý sa bez vedomia užívateľa počítača pripája, prepisuje alebo inak modifikuje iné programy, užívateľa počítača pripája, prepisuje alebo inak modifikuje iné programy, dokumenty resp. systémové oblasti pevného disku a diskiet s cieľom dokumenty resp. systémové oblasti pevného disku a diskiet s cieľom vlastnej reprodukcie. Okrem samotnej reprodukcie môže pritom kód vírusu vlastnej reprodukcie. Okrem samotnej reprodukcie môže pritom kód vírusu vykonávať rôzne grafické, zvukové a textové efekty, ale aj deštrukčnú vykonávať rôzne grafické, zvukové a textové efekty, ale aj deštrukčnú činnosť, ako napr. mazanie, kódovanie a inú modifikáciu súborov resp. činnosť, ako napr. mazanie, kódovanie a inú modifikáciu súborov resp. sektorov pevného disku. S výnimkou možnosti vymazania Flash BIOS sektorov pevného disku. S výnimkou možnosti vymazania Flash BIOS pamäte však v súčasnosti nie sú známe vírusy poškodzujúce hardware pamäte však v súčasnosti nie sú známe vírusy poškodzujúce hardware počítača.počítača.

Červ (worm)Červ (worm) - program, ktorý parazituje v jednom exemplári (v jednej - program, ktorý parazituje v jednom exemplári (v jednej kompletnej sade súborov) na hostiteľskom počítači, pričom využíva jeho kompletnej sade súborov) na hostiteľskom počítači, pričom využíva jeho komunikačné prepojenie s ďalšími počítačmi (napr. E-mail, IRC kanál) na komunikačné prepojenie s ďalšími počítačmi (napr. E-mail, IRC kanál) na svoje ďalšie šírenie. Klasický červ sa teda na rozdiel od vírusu nepripája k svoje ďalšie šírenie. Klasický červ sa teda na rozdiel od vírusu nepripája k žiadnemu hostiteľskému programu ani sa na lokálnom disku ďalej nešíri. žiadnemu hostiteľskému programu ani sa na lokálnom disku ďalej nešíri. Typickým príkladom červa je známy Happy99.Typickým príkladom červa je známy Happy99.


Trójsky kôňTrójsky kôň - program, ktorý navonok navodzuje dojem užitočnosti. V - program, ktorý navonok navodzuje dojem užitočnosti. V dokumentácii programu sľubovanú činnosť však buď vôbec nevykonáva, dokumentácii programu sľubovanú činnosť však buď vôbec nevykonáva, alebo ju aj vykonáva, ale v pozadí realizuje nepozorovane nejaký druh alebo ju aj vykonáva, ale v pozadí realizuje nepozorovane nejaký druh deštrukcie (vymazáva súbory, formátuje pevný disk, skrytou komunikáciou deštrukcie (vymazáva súbory, formátuje pevný disk, skrytou komunikáciou cez Internet narušuje súkromie používateľa a podobne). V poslednej dobe cez Internet narušuje súkromie používateľa a podobne). V poslednej dobe patria medzi najčastejšie sa vyskytujúce trojany tzv. "zadné vrátka" - patria medzi najčastejšie sa vyskytujúce trojany tzv. "zadné vrátka" - backdoor. Ide o komunikačný klient inštalovaný bez vedomia užívateľa backdoor. Ide o komunikačný klient inštalovaný bez vedomia užívateľa počítača, ktorý komunikuje so serverom obsluhovaným autorom programu počítača, ktorý komunikuje so serverom obsluhovaným autorom programu (alebo človekom, ktorý inštaláciu trójskeho koňa zabezpečil), ktorý (alebo človekom, ktorý inštaláciu trójskeho koňa zabezpečil), ktorý umožňuje zasielanie prístupových hesiel, záznamov o aktivitách počítača umožňuje zasielanie prístupových hesiel, záznamov o aktivitách počítača alebo zvolených súborov mimo počítač alebo zvolených súborov mimo počítač


Základné delenieZákladné delenie vírusov vírusov – na "– na "rezidentnérezidentné" a " a ""nerezidentnénerezidentné„ znamená či sú trvalo v pamäti počítača, väčšina „ znamená či sú trvalo v pamäti počítača, väčšina rezidentných, po infikovaní sa spustí zo spustením počítača. Nerezidentné rezidentných, po infikovaní sa spustí zo spustením počítača. Nerezidentné po spustení hostiteľského programu urobia jednorázovú akciu, snažia sa po spustení hostiteľského programu urobia jednorázovú akciu, snažia sa rozšíriť buď do súboru (*.com, *.exe) v rovnakom adresári, alebo ktoré sú rozšíriť buď do súboru (*.com, *.exe) v rovnakom adresári, alebo ktoré sú spustené. Rezidentné sa šíria celkom rýchlo, pretože spravidla zavirujú spustené. Rezidentné sa šíria celkom rýchlo, pretože spravidla zavirujú každý spustený program. Z dôvodu, že sú v pamäti neustále, snažia sa každý spustený program. Z dôvodu, že sú v pamäti neustále, snažia sa svoju prítomnosť maskovať. svoju prítomnosť maskovať.

Najbežnejšie typy počítačových Najbežnejšie typy počítačových vírusovvírusov

Boot vírus Boot vírus Súborový vírus Súborový vírus Makrovírus Makrovírus Skriptový vírus Skriptový vírus Satelitný vírus Satelitný vírus Adresárový Adresárový Multipartitný vírus Multipartitný vírus Polymorfný vírus Polymorfný vírus Stealth vírus Stealth vírus


Boot vírusBoot vírus - historicky prvý typ PC vírusu (Brain, 1986), ktorý bol už v roku - historicky prvý typ PC vírusu (Brain, 1986), ktorý bol už v roku 1987 nasledovaný veľmi rozšíreným vírusom Stoned.1987 nasledovaný veľmi rozšíreným vírusom Stoned.

majú väčšinou len do 512 bitov a ukladajú sa na pevný disk, alebo disketu majú väčšinou len do 512 bitov a ukladajú sa na pevný disk, alebo disketu do tzv. boot sektoru. do tzv. boot sektoru.

Kód vírusu po svojej aktivácii (nabootovanie zo zavírenej diskety Kód vírusu po svojej aktivácii (nabootovanie zo zavírenej diskety ponechanej úmyselne alebo zo zábudlivosti v mechanike) obvykle prenesie ponechanej úmyselne alebo zo zábudlivosti v mechanike) obvykle prenesie svoje telo do Boot sektora logického disku C: alebo častejšie Master Boot svoje telo do Boot sektora logického disku C: alebo častejšie Master Boot sektora pevného disku (prípadne aj niekoľko ďalších sektorov).sektora pevného disku (prípadne aj niekoľko ďalších sektorov).

Pri najbližšom boote z pevného disku sa teda vírus spúšťa po BIOSe ako Pri najbližšom boote z pevného disku sa teda vírus spúšťa po BIOSe ako prvý (ešte pred samotným operačným systémom) a záleží len na type prvý (ešte pred samotným operačným systémom) a záleží len na type vírusu, ako túto skutočnosť využije.vírusu, ako túto skutočnosť využije.

Obdobou je vírus, ktorý sa zapisuje na pevný disk do tabuľky MBR (Master Obdobou je vírus, ktorý sa zapisuje na pevný disk do tabuľky MBR (Master Boot Record), která určuje rozdelenie disku. Z tejto oblasti sa víru Boot Record), která určuje rozdelenie disku. Z tejto oblasti sa víru nezbavíme ani formatovaním. Zbaviť sa ho môžme len Fdiskom, zrušením nezbavíme ani formatovaním. Zbaviť sa ho môžme len Fdiskom, zrušením tabuľky rozdelania disku a vytvorením novej, nebo Low Level Formatom tabuľky rozdelania disku a vytvorením novej, nebo Low Level Formatom

Túto vlastnost pouziva aj najslávnejší slovenský vírus: Túto vlastnost pouziva aj najslávnejší slovenský vírus: One HalfOne Half.. Prvý krát bol objavený v máji 1994, naraz v Európe aj USA. Je to Prvý krát bol objavený v máji 1994, naraz v Európe aj USA. Je to

deštruktívny, polymorfný, multipartitný vírus. Infikuje MBR a COM EXE deštruktívny, polymorfný, multipartitný vírus. Infikuje MBR a COM EXE súbory.súbory.


Súborový vírusSúborový vírus - do príchodu makrovírusov najbežnejší typ vírusov, ktorý - do príchodu makrovírusov najbežnejší typ vírusov, ktorý na svoju replikáciu využíva telo iného programu.na svoju replikáciu využíva telo iného programu.

Vírus sa najčastejšie pripája na koniec tela hostiteľského programu, čím Vírus sa najčastejšie pripája na koniec tela hostiteľského programu, čím spôsobuje jeho predĺženie. Existujú ale aj vírusy, ktoré nepredlžujú spôsobuje jeho predĺženie. Existujú ale aj vírusy, ktoré nepredlžujú hostiteľský súbor, čo robia tak, že začiatok nakazeného programu hostiteľský súbor, čo robia tak, že začiatok nakazeného programu jednoducho prepíšu (čím ho zničia) alebo využívajú "diery" v kóde vírusu, jednoducho prepíšu (čím ho zničia) alebo využívajú "diery" v kóde vírusu, ktoré zaplnia svojim kódom (tak funguje napr. vírus CIH napádajúci 32-ktoré zaplnia svojim kódom (tak funguje napr. vírus CIH napádajúci 32-bitové Windows EXE súbory).bitové Windows EXE súbory).

Po spustení nakazeného súboru sa vykoná najprv kód vírusu, ktorý buď Po spustení nakazeného súboru sa vykoná najprv kód vírusu, ktorý buď uskutoční priamu akciu (infikovanie ďalších súborov podľa vhodnej uskutoční priamu akciu (infikovanie ďalších súborov podľa vhodnej stratégie), ale častejšie sa vírus stane pamäťovo rezidentným a následne stratégie), ale častejšie sa vírus stane pamäťovo rezidentným a následne infikuje ďalšie spúšťateľné súbory (najčastejšie pri ich spúšťaní, ale aj pri infikuje ďalšie spúšťateľné súbory (najčastejšie pri ich spúšťaní, ale aj pri kopírovaní, prezeraní, komprimácii a inej manipulácii s nimi). kopírovaní, prezeraní, komprimácii a inej manipulácii s nimi).

Samotným kopírovaním, prezeraním alebo inou manipuláciou s nakazeným Samotným kopírovaním, prezeraním alebo inou manipuláciou s nakazeným súborom nedochádza k zavíreniu počítača - na to je potrebné zavírený súborom nedochádza k zavíreniu počítača - na to je potrebné zavírený program spustiť. program spustiť.


MakrovírusMakrovírus - - dnes jednoznačne najrozšírenejší typ vírusu. dnes jednoznačne najrozšírenejší typ vírusu. Ide o vírusy, ktorých činnosť je riadená makrojazykom príslušnej aplikácie, Ide o vírusy, ktorých činnosť je riadená makrojazykom príslušnej aplikácie,

pričom sú v tomto zmysle viazané na konkrétny formát dokumentu - pričom sú v tomto zmysle viazané na konkrétny formát dokumentu - makrojazyk Word Basic a skoršie verzie MS Word resp. dnes najčastejšie Visual makrojazyk Word Basic a skoršie verzie MS Word resp. dnes najčastejšie Visual Basic for Applications v spojení s novšími verziami MS Word, MS Excel, MS Basic for Applications v spojení s novšími verziami MS Word, MS Excel, MS Access, MS Power Point, MS Project ale už aj CorelDraw a ďalšími aplikáciami. Access, MS Power Point, MS Project ale už aj CorelDraw a ďalšími aplikáciami.

V tomto zmysle sú nezávislé na samotnom operačnom systéme počítača V tomto zmysle sú nezávislé na samotnom operačnom systéme počítača (Win9x, WinNT/2000 aj MacOS) resp. aj jeho hardwareovej platforme (Intel, (Win9x, WinNT/2000 aj MacOS) resp. aj jeho hardwareovej platforme (Intel, Alpha aj MAC). Vzhľadom na jednotný typ makrojazyka existujú aj vírusy, ktoré Alpha aj MAC). Vzhľadom na jednotný typ makrojazyka existujú aj vírusy, ktoré napádajú dokumenty 2 resp. aj 3 rôznych aplikácií z toho istého kancelárskeho napádajú dokumenty 2 resp. aj 3 rôznych aplikácií z toho istého kancelárskeho balíka (napr. MS Word, MS Excel aj MS Power Point z balíka Office 97).balíka (napr. MS Word, MS Excel aj MS Power Point z balíka Office 97).

Štandardný spôsob šírenia makrovírusu spočíva v následovnom postupe - po Štandardný spôsob šírenia makrovírusu spočíva v následovnom postupe - po načítaní zavíreného dokumentu príslušná aplikácia interpretuje makrá vírusu, načítaní zavíreného dokumentu príslušná aplikácia interpretuje makrá vírusu, ktoré popri rôznych sprievodných akciách zabezpečia napadnutie globálnej ktoré popri rôznych sprievodných akciách zabezpečia napadnutie globálnej šablóny. Zavírené makrá šablóny sa potom vkladajú do ďalších otváraných šablóny. Zavírené makrá šablóny sa potom vkladajú do ďalších otváraných dokumentov a tým ich infikujú. Zdôraznime ešte raz, že makrovírus sa aktivuje dokumentov a tým ich infikujú. Zdôraznime ešte raz, že makrovírus sa aktivuje už samotným prezretím dokumentu v príslušnom type editora (ktorý má už samotným prezretím dokumentu v príslušnom type editora (ktorý má používanie makier povolené), čo je zrejmý rozdiel oproti súborovým vírusom. K používanie makier povolené), čo je zrejmý rozdiel oproti súborovým vírusom. K aktivácii makrovírusov však nedochádza pri kopírovaní alebo inej manipulácii aktivácii makrovírusov však nedochádza pri kopírovaní alebo inej manipulácii so zavírenými dokumentami so zavírenými dokumentami


Skriptový vírusSkriptový vírus - vírus napísaný v príslušnom type skriptového jazyka - vírus napísaný v príslušnom type skriptového jazyka (jazyk BAT a INF súborov, Java Script a Visual Basic Script jazyk), ktorý sa (jazyk BAT a INF súborov, Java Script a Visual Basic Script jazyk), ktorý sa šíri buď ako samostatný súbor alebo ako súčasť iných typov súborov (JS a šíri buď ako samostatný súbor alebo ako súčasť iných typov súborov (JS a VBS vírusy v rámci HTML a CHM súborov). Na báze VBScript jazyka sú VBS vírusy v rámci HTML a CHM súborov). Na báze VBScript jazyka sú konštruované aj rôzne typy červov šíriacich sa prostredníctvom programov konštruované aj rôzne typy červov šíriacich sa prostredníctvom programov MS Outlook, Outlook Express, mIRC, pIRCH a ďalších. MS Outlook, Outlook Express, mIRC, pIRCH a ďalších.


Satelitný vírusSatelitný vírus - vírus šíriaci sa na základe vlastnosti operačného - vírus šíriaci sa na základe vlastnosti operačného systému DOS resp. Windows, ktorý v prípade, že v danom adresári sa systému DOS resp. Windows, ktorý v prípade, že v danom adresári sa nachádza viac súborov rovnakého mena, postupnosť ich spúšťania sa riadi nachádza viac súborov rovnakého mena, postupnosť ich spúšťania sa riadi na základe prípony v poradí BAT - COM - EXE. K súborom s príponou EXE je na základe prípony v poradí BAT - COM - EXE. K súborom s príponou EXE je potom možné skopírovať súbor obsahujúci kód vírusu, ktorý bude mať potom možné skopírovať súbor obsahujúci kód vírusu, ktorý bude mať rovnaké meno, ale príponu COM (alebo BAT), takže sa bude aktivovať pred rovnaké meno, ale príponu COM (alebo BAT), takže sa bude aktivovať pred samotným programom. Po zbehnutí kódu vírusu, ktorý zabezpečí svoju samotným programom. Po zbehnutí kódu vírusu, ktorý zabezpečí svoju replikáciu resp. aj ďalšiu sprievodnú akciu sa aktivuje samotný volaný EXE replikáciu resp. aj ďalšiu sprievodnú akciu sa aktivuje samotný volaný EXE program. program.


AdresárovýAdresárový (linkovací) vírus - vírus, ktorý je na disku prítomný v jedinom (linkovací) vírus - vírus, ktorý je na disku prítomný v jedinom exemplári a ktorý napáda iné spúšťateľné súbory tak, že prepisuje v exemplári a ktorý napáda iné spúšťateľné súbory tak, že prepisuje v adresári smerník na ich začiatok tak aby ukazovali na začiatok vírusu. adresári smerník na ich začiatok tak aby ukazovali na začiatok vírusu. Pôvodnú hodnotu smerníka si ale ukladá, takže pokiaľ je vírus pamäťovo Pôvodnú hodnotu smerníka si ale ukladá, takže pokiaľ je vírus pamäťovo rezidentný, je schopný zabezpečiť po zbehnutí vlastného kódu aj spúšťanie rezidentný, je schopný zabezpečiť po zbehnutí vlastného kódu aj spúšťanie pôvodných súborov. Príkladom takýchto vírusov môže byť napr.DIR II alebo pôvodných súborov. Príkladom takýchto vírusov môže byť napr.DIR II alebo BYWay. BYWay.


Multipartitný vírusMultipartitný vírus - vírus kombinujúci viac vyššie uvedených - vírus kombinujúci viac vyššie uvedených mechanizmov šírenia. Typickým je napr. kombinácia súborového a boot mechanizmov šírenia. Typickým je napr. kombinácia súborového a boot vírusu, kedy sa pri aktivácii zavíreného EXE súboru na čistom počítači kód vírusu, kedy sa pri aktivácii zavíreného EXE súboru na čistom počítači kód vírusu prenesie do Master Boot sektora pevného disku. Po prvom vírusu prenesie do Master Boot sektora pevného disku. Po prvom nabootovaní z pevného disku si potom vírus zabezpečí pamäťovú nabootovaní z pevného disku si potom vírus zabezpečí pamäťovú rezidentnosť a ďalej sa chová ako súborový vírus - napáda EXE súbory. rezidentnosť a ďalej sa chová ako súborový vírus - napáda EXE súbory. Keďže daný počítač už má vírus pod kontrolou, na pevnom disku sa už šíriť Keďže daný počítač už má vírus pod kontrolou, na pevnom disku sa už šíriť ďalej nemusí, stačí ak bude infikovať súbory smerom k sieťovým diskom ďalej nemusí, stačí ak bude infikovať súbory smerom k sieťovým diskom resp. výmenným médiám (vírus OneHalf). Iným príkladom môže byť resp. výmenným médiám (vírus OneHalf). Iným príkladom môže byť kombinácia súborového vírusu a makrovírusu (vírus Anarchy), makrovírusu kombinácia súborového vírusu a makrovírusu (vírus Anarchy), makrovírusu a skriptového vírusu (ColdApe) a pod. a skriptového vírusu (ColdApe) a pod.


Polymorfný vírusPolymorfný vírus - vírus, ktorého jednotlivé exempláre majú rozdielny - vírus, ktorého jednotlivé exempláre majú rozdielny kód. Vkladanie prázdnych inštrukcií, prehadzovanie poradia výkonu častí kód. Vkladanie prázdnych inštrukcií, prehadzovanie poradia výkonu častí kódu resp. zámenu sekvencií kódu inými sekvenciami s ekvivalentnou kódu resp. zámenu sekvencií kódu inými sekvenciami s ekvivalentnou funkciou v rámci úvodnej časti kódu vírusu spolu s technológiou šifrovania funkciou v rámci úvodnej časti kódu vírusu spolu s technológiou šifrovania zvyšnej časti vírusu znemožňujú identifikáciu vírusu jednoduchým zvyšnej časti vírusu znemožňujú identifikáciu vírusu jednoduchým hľadaním pevnej sekvencie kódu resp. výpočtom CRC súčtu pevne zvolenej hľadaním pevnej sekvencie kódu resp. výpočtom CRC súčtu pevne zvolenej oblasti kódu. Vírusy je možné identifikovať len špecializovanými oblasti kódu. Vírusy je možné identifikovať len špecializovanými algoritmami resp. výkonnými heuristickými metódami. Medzi legendy v algoritmami resp. výkonnými heuristickými metódami. Medzi legendy v tomto smere patril mutačný algoritmus s názvom MTE, ktorý bol vyvinutý tomto smere patril mutačný algoritmus s názvom MTE, ktorý bol vyvinutý pre súborové vírusy pod platformou MSDOS. Dnes existujú polymorfné pre súborové vírusy pod platformou MSDOS. Dnes existujú polymorfné súborové vírusy aj pod 32-bitovými Windows resp. existujú aj polymorfné súborové vírusy aj pod 32-bitovými Windows resp. existujú aj polymorfné Boot vírusy a makrovírusy (i keď v posledne menovanom prípade sa Boot vírusy a makrovírusy (i keď v posledne menovanom prípade sa obvykle jedná o pomerne rozsiahle a pomalé vírusy, ktoré sú svojou obvykle jedná o pomerne rozsiahle a pomalé vírusy, ktoré sú svojou prítomnosťou dosť nápadné).Podobný princíp používa skutočný vírus prítomnosťou dosť nápadné).Podobný princíp používa skutočný vírus

chrípkychrípky


Stealth vírusStealth vírus - vírus, ktorý využíva príslušné služby operačného systému - vírus, ktorý využíva príslušné služby operačného systému na zamaskovanie svojej aktivity. Ako príklad možno uviesť boot vírusy, na zamaskovanie svojej aktivity. Ako príklad možno uviesť boot vírusy, ktoré pri čítaní Master Boot sektora vracajú prehliadaču pôvodný ktoré pri čítaní Master Boot sektora vracajú prehliadaču pôvodný (nezavírený) obsah tohto sektora resp. súborové vírusy, ktoré maskujú (nezavírený) obsah tohto sektora resp. súborové vírusy, ktoré maskujú zmenu dĺžky zavíreného súboru resp. sa pri otvorení súboru za účelom zmenu dĺžky zavíreného súboru resp. sa pri otvorení súboru za účelom hľadania vírusu z hostiteľského súboru vyčistia a po ukončení prehliadania hľadania vírusu z hostiteľského súboru vyčistia a po ukončení prehliadania súboru tento opätovne zavíria. Pri makrovírusoch so stealth súboru tento opätovne zavíria. Pri makrovírusoch so stealth charakteristikou možno pozorovať napr. podsúvanie prázdneho zoznamu charakteristikou možno pozorovať napr. podsúvanie prázdneho zoznamu makier (napriek prítomnosti vírusových makier v dokumente), makier (napriek prítomnosti vírusových makier v dokumente), deaktivovanie funkcie novších aplikácií MS Office upozorňujúcich na deaktivovanie funkcie novších aplikácií MS Office upozorňujúcich na prítomnosť makier v načítavanom dokumente a podobne. prítomnosť makier v načítavanom dokumente a podobne.

Detekčné metódyDetekčné metódy

Detekčné metódy:Detekčné metódy: Úspešnosť v odhaľovaní napadnutých súborov je daná kombináciou Úspešnosť v odhaľovaní napadnutých súborov je daná kombináciou

niekoľkých úrovní detekcie. Pred vlastnou kontrolou na jednotlivých niekoľkých úrovní detekcie. Pred vlastnou kontrolou na jednotlivých úrovniach dochádza k predspracovaniu testovaného súboru, vrátane úrovniach dochádza k predspracovaniu testovaného súboru, vrátane vyradenia častí nepodstatných z hľadiska vírovej analýzy. vyradenia častí nepodstatných z hľadiska vírovej analýzy. (rýchlej(rýchlejší ší priebeh testupriebeh testu))

Detekčné metódyDetekčné metódy Detekcia známych vírovDetekcia známych vírov Je najjednoduchšia technika a spočíva v odhalení známeho víru pomocou sekvencie, Je najjednoduchšia technika a spočíva v odhalení známeho víru pomocou sekvencie,

ktorá je vo vírovej databáze zanesená ako jeho identifikátor. Na základe tohoto typu ktorá je vo vírovej databáze zanesená ako jeho identifikátor. Na základe tohoto typu nálezu sa rozbieha detailná analýza, vedúca k jednoznačnej identifikácii nákazy.nálezu sa rozbieha detailná analýza, vedúca k jednoznačnej identifikácii nákazy.

Generická detekciaGenerická detekcia Táto metóda sa používa na rozpoznanie nových variantov vírusov. Pokiaľ nieje Táto metóda sa používa na rozpoznanie nových variantov vírusov. Pokiaľ nieje

nájdený známy vírus, hľadajú sa sekvencie typické pre určitý vírus, ktoré sa pri jeho nájdený známy vírus, hľadajú sa sekvencie typické pre určitý vírus, ktoré sa pri jeho modifikáciách obvykle nemenia a nemusia ani súvisieť s "vírusovým " chovaním. Tato modifikáciách obvykle nemenia a nemusia ani súvisieť s "vírusovým " chovaním. Tato metóda je účinná predovšetkým pri detekcii makro vírov a skript vírov.metóda je účinná predovšetkým pri detekcii makro vírov a skript vírov.

Heuristická analýzaHeuristická analýza Poslednou možnosťou zachytenia víru v prípade neúspechu predchádzajúcich Poslednou možnosťou zachytenia víru v prípade neúspechu predchádzajúcich

metód je Heuristická analýza. Jej kúzlo spočíva v schopnosti v určitých prípadoch metód je Heuristická analýza. Jej kúzlo spočíva v schopnosti v určitých prípadoch odhaliť vírus, ktorý doposiaľ nieje vo vírusovej databáze známy. V priebehu odhaliť vírus, ktorý doposiaľ nieje vo vírusovej databáze známy. V priebehu Heuristické analýzy sa používajú dve metódy:Heuristické analýzy sa používajú dve metódy:

· Statická Heuristická analýza – hľadanie podozrivých dátových konštrukcií.· Statická Heuristická analýza – hľadanie podozrivých dátových konštrukcií. · Dynamická Heuristická analýza - emulácia kódu, to znamená jeho spustenie · Dynamická Heuristická analýza - emulácia kódu, to znamená jeho spustenie

v chránenom prostredí virtuálneho počítača vnútri antivírového programu v chránenom prostredí virtuálneho počítača vnútri antivírového programu a hľadanie typických akcií, odpovedajúcich chovaniu víru. Príkladom môže byť a hľadanie typických akcií, odpovedajúcich chovaniu víru. Príkladom môže byť program ktorý vyhľadáva spustiteľné súbory a modifikuje ich. program ktorý vyhľadáva spustiteľné súbory a modifikuje ich.

Test integrityTest integrity Okrem popísaných vyhľadávacích metód si Antivírový systém ukladá informácie Okrem popísaných vyhľadávacích metód si Antivírový systém ukladá informácie

o zmenách definovaných spustiteľných súborov na pevnom disku čo prispieva k o zmenách definovaných spustiteľných súborov na pevnom disku čo prispieva k odhaleniu nežiadúcich zmien. odhaleniu nežiadúcich zmien.

ZaujímavostiZaujímavosti

Vírusy ničiace hardwareVírusy ničiace hardware Tieto vírusy existovali dávno, ale zo zlepšovaním kvality a ochrany Tieto vírusy existovali dávno, ale zo zlepšovaním kvality a ochrany

hardware vymizli. Jednalo sa napr. o pokusy vypáliť luminofor monitora, hardware vymizli. Jednalo sa napr. o pokusy vypáliť luminofor monitora, tým že za každým bol pixel rozžiarený na maximum. Dnes sú obrazovky tým že za každým bol pixel rozžiarený na maximum. Dnes sú obrazovky monitoru veľmi kvalitné a ako op. systém tak monitor ovláda rôzne režimy monitoru veľmi kvalitné a ako op. systém tak monitor ovláda rôzne režimy úspory, ďalej sa začali používať šetriče obrazovky. Taktiež vznikali snahy úspory, ďalej sa začali používať šetriče obrazovky. Taktiež vznikali snahy o poškodenie rozkmitaním hlavy skokom z jednej stopy na druhou a späť o poškodenie rozkmitaním hlavy skokom z jednej stopy na druhou a späť pri harddisku typu MFM. Po príchode disku IDE a SCSI, ktoré zastaralé MFM pri harddisku typu MFM. Po príchode disku IDE a SCSI, ktoré zastaralé MFM vytlačili pominuli aj obavy o zničenie disku LLFormatom alebo vírom. vytlačili pominuli aj obavy o zničenie disku LLFormatom alebo vírom.

Dnes sa veľmi obľúbeným stal spôsob zaškodiť zápisom do EEPROM - Dnes sa veľmi obľúbeným stal spôsob zaškodiť zápisom do EEPROM - Flash pamäti kde je uložený BIOS s možnosťou softwarového updatu. Zápis Flash pamäti kde je uložený BIOS s možnosťou softwarového updatu. Zápis nezmyselných dát miesto BIOSu spôsobí , že po reštarte počítač už nezmyselných dát miesto BIOSu spôsobí , že po reštarte počítač už nenabehne. Z tých známejších vírov je to napr. nenabehne. Z tých známejších vírov je to napr. Win32.CIHWin32.CIH (Černobyl). (Černobyl).


Prichádza vojna červov?Prichádza vojna červov? Začiatok tohtoročného mesiaca marca je, aspoň čo sa týka diania na Začiatok tohtoročného mesiaca marca je, aspoň čo sa týka diania na

vírusovej scéne, fakt veľmi búrlivý. Prvýkrát v histórii škodlivých kódov pritom vírusovej scéne, fakt veľmi búrlivý. Prvýkrát v histórii škodlivých kódov pritom dochádza k naozaj zjavnému súpereniu medzi jednotlivými „rodinami červov“, dochádza k naozaj zjavnému súpereniu medzi jednotlivými „rodinami červov“, resp. medzi ich tvorcami, ktorí si prostredníctvom svojich výtvorov resp. medzi ich tvorcami, ktorí si prostredníctvom svojich výtvorov vymieňajú odkazy.vymieňajú odkazy.

Závažnosť situácie dokresluje i skutočnosť, že v priebehu stredy 3. marca 2004 sa Závažnosť situácie dokresluje i skutočnosť, že v priebehu stredy 3. marca 2004 sa len počas troch hodín objavilo päť nových verzií e-mailových červov. Konkrétne to len počas troch hodín objavilo päť nových verzií e-mailových červov. Konkrétne to bol: Bagle.I, Bagle.J, Mydoom.F, Mydoom.G a Netsky.F. A čo bolo ešte horšie, bol: Bagle.I, Bagle.J, Mydoom.F, Mydoom.G a Netsky.F. A čo bolo ešte horšie, každý z týchto červov spôsobil väčšiu či menšiu epidémiu. každý z týchto červov spôsobil väčšiu či menšiu epidémiu.

Táto situácia kladie stále väčšie nároky nielen na užívateľov počítačov a Táto situácia kladie stále väčšie nároky nielen na užívateľov počítačov a administrátorov antivírusových riešení, ale predovšetkým na samotných administrátorov antivírusových riešení, ale predovšetkým na samotných výrobcov, ktorí musia reagovať na stále väčšie množstvo nových červov v stále výrobcov, ktorí musia reagovať na stále väčšie množstvo nových červov v stále kratšom čase. Od piatka 27. februára do stredy 3. marca 2004 (vrátane) sa kratšom čase. Od piatka 27. februára do stredy 3. marca 2004 (vrátane) sa objavilo spolu štrnásť nových modifikácií červov Bagle, Netsky a Mydoom.objavilo spolu štrnásť nových modifikácií červov Bagle, Netsky a Mydoom.

Ďalším zaujímavým sprievodným javom súčasných epidémií e-mailových červov Ďalším zaujímavým sprievodným javom súčasných epidémií e-mailových červov je zvyšujúca sa rivalita medzi jednotlivými skupinami ich pisateľov. Posledné je zvyšujúca sa rivalita medzi jednotlivými skupinami ich pisateľov. Posledné verzie totiž často obsahujú rutiny, ktorými sa snažia z infikovanej stanice vytesniť verzie totiž často obsahujú rutiny, ktorými sa snažia z infikovanej stanice vytesniť všetkú ostatnú konkurenciu. Najčastejšie mažú spúšťacie kľúče zo systémového všetkú ostatnú konkurenciu. Najčastejšie mažú spúšťacie kľúče zo systémového registra. Každá nová verzia červa tiež väčšinou obsahuje odkaz pre inú „vírusovú registra. Každá nová verzia červa tiež väčšinou obsahuje odkaz pre inú „vírusovú skupinu“. To, že si pisatelia vírusov neberú servítky, dokladajú i nasledujúce skupinu“. To, že si pisatelia vírusov neberú servítky, dokladajú i nasledujúce citácie odkazov, ktoré jednotlivé verzie obsahujú: citácie odkazov, ktoré jednotlivé verzie obsahujú:

ZaujímavostiZaujímavosti Netsky.CNetsky.C we are the skynet - you can't hide yourself! - we kill malware writers (they we are the skynet - you can't hide yourself! - we kill malware writers (they

have no chance!) - [LaMeRz->]MyDoom.F is a thief of our idea! - -< SkyNet have no chance!) - [LaMeRz->]MyDoom.F is a thief of our idea! - -< SkyNet AV vs. Malware >- ->->AV vs. Malware >- ->->

Netsky.FNetsky.F Skynet AntiVirus - Bagle - you are a looser!!!!Skynet AntiVirus - Bagle - you are a looser!!!! Mydoom.FMydoom.F to netsky's creator(s): imho, skynet is a decentralized peer-to-peer neural to netsky's creator(s): imho, skynet is a decentralized peer-to-peer neural

network. we have seen P2P in Slapper in Sinit only. they may be called network. we have seen P2P in Slapper in Sinit only. they may be called skynets, but not your shitty app.skynets, but not your shitty app.

Bagle.IBagle.I Hey, NetSky, fuck off you bitch, don't ruine our bussiness, wanna start a Hey, NetSky, fuck off you bitch, don't ruine our bussiness, wanna start a

war ?war ? Bagle.JBagle.J Hey, NetSky, fu** off you bitch!Hey, NetSky, fu** off you bitch!


Tieto a ďalšie indície z poslednej doby môžu ukazovať i to, Tieto a ďalšie indície z poslednej doby môžu ukazovať i to, že internet sa stáva do istej miery vojnovou zónou, kde že internet sa stáva do istej miery vojnovou zónou, kde proti sebe stoja jednotlivé skupiny pisateľov škodlivých proti sebe stoja jednotlivé skupiny pisateľov škodlivých kódov, ktorí svoje výtvory úmyselne smerují proti sebe. kódov, ktorí svoje výtvory úmyselne smerují proti sebe. Podľa Eugena Kasperského zo známej spoločnosti Podľa Eugena Kasperského zo známej spoločnosti Kaspersky Lab môže súčasná situácia vyústiť v totálnu Kaspersky Lab môže súčasná situácia vyústiť v totálnu degradáciu internetu ako takého. Hlavný problém podľa degradáciu internetu ako takého. Hlavný problém podľa neho nie je v tom, že by túto situáciu nechcel nikto riešiť, neho nie je v tom, že by túto situáciu nechcel nikto riešiť, ale je predovšetkým v tom, že samotná architektúra ale je predovšetkým v tom, že samotná architektúra internetu nemá základné bezpečnostné prvky, ktoré by internetu nemá základné bezpečnostné prvky, ktoré by tomuto dokázali zabrániť. Situácia sa pravdepodobne tomuto dokázali zabrániť. Situácia sa pravdepodobne nezlepší a podobné incidenty sa budú vyskytovať stále nezlepší a podobné incidenty sa budú vyskytovať stále častejšie do tej doby, než budú metódy pre ich prevenciu, častejšie do tej doby, než budú metódy pre ich prevenciu, detekciu a neutralizáciu implementované priamo na úrovni detekciu a neutralizáciu implementované priamo na úrovni internetu ako takého… internetu ako takého…

Podľa materiálov spoločnosti Podľa materiálov spoločnosti Kaspersky LabKaspersky Lab..

Použitá literatúraPoužitá literatúra

http://www.drweb.sk http://www.aec.cz http://www.grisoft.cz/cz/cz_index.php http://biohazard.xz.cz

Documents

Počítačové vírusy