FŐOLDAL

KAPCSOLAT

MÉDIAAJÁNLAT


REGISZTRÁCIÓ HÍRLEVÉL
PC-ÁRUHÁZ DRIVERS SZAMITOGEP Antivirus SZAKÜZLET

· Friss (Vírusismeret)
·  A költséges férgek nyomában
·  Pályázati Felhívás
·  Mi a teendő vírusfertőzés esetén?
·  A vírusfertőzés tünetei
·  Miért védekezzünk a vírusok ellen?
·  Számítógép vírusok
· Vírusok > Vírusismeret
· Vírusokról általában
Dátum : 2001-04-15 16:20:33
Szerző : pet


A számítógépvírusok olyan parazita programok, amelyek önállóan képesek sokszorosítani magukat. Létezésük soha nem véletlenek szerencsétlen összjátékának következménye. Előre megfontoltan, tudatosan elkészített programozói végtermékek.

Vizsgálódásunk tárgya: a számítógépvírus.

Normális esetben legfontosabb tevékenységüknek saját maguk elterjesztését tekintik, de nagyon sok példány hordoz olyan kódrészletet is (töltetet), amelyiket valamilyen jelenség előidézésére programoztak.

Vizsgálódásunknak nem tárgya: a vírusok előállítói.

Vannak olyan vírus-példányok, amelyek, úgymond, ártalmatlan csínytevők (bár egyértelműen bizonyítható: ártalmatlanság ide vagy oda, kárt minden esetben okoznak) míg másokat adatmegsemmisítésre programoztak be.

Hogy ezt miért teszik egyesek?

A kérdés mindenképpen jogos, de boncolása messze meghaladja kereteinket. Dióhéjban annyit: a vírusok megszületésének legelterjedtebb oka egy olyan sajátos szaktudás, amelyhez programozói ötlettelenség párosul. A víruskészítőnek fölös energiái vannak, amivel nem tud mit kezdeni, ezért víruskészítéssel próbálja meg azt levezetni. Természetesen ennél jóval árnyaltabb a kép, lehetne beszélni a sokrétű egyéni gondokról éppúgy, mint társadalmi szintű kérdésekről, de ez tényleg nagyon messzire vezetne eredeti célunktól, ezért ezzel nem fogunk foglalkozni.

A vírushorda mérete.

Néhány darabbal kezdődött... Majd maroknyian lettek. Aztán egyre többen.

Napjainkra az ismert víruscsaládok száma meghaladja a 30-40 ezret, és a parazita programok köre egyre bővül.

Hogy miért nem pontos számot írtunk az előbb? Egyrészt azért, mert időnként megoszlik még a szakértők véleménye is arról, mi számít egyedi vírusjelenségnek, és mely példányok sorolhatók inkább valamely családba. Másrészt azonban, és éppen ez a lényeg, hogy e szám bizony, távolról sem állandó érték: az idő függvényében változik, mégpedig meglehetősen gyors növekedést mutatva. Tehát jobb, ha elfogadjuk ezt a kis bizonytalanságot, hiszen témánk szempontjából elegendő csak a nagyságrenddel tisztában lenni, ennél nagyobb pontosságra most nincs is szükségünk.

Csoportba sorolás.

A számítógépes vírusok csoportosítására több lehetőségünk is kínálkozik. Vizsgálhatjuk, hogy rendszerünk melyik elemét szemelik ki szaporodásuk közegének, elemezhetjük, hogy milyen módszereket használnak ehhez, de akár ABC sorrendbe is szedhetjük őfertőzőségüket, mint ahogy pl. a Data Fellows Ltd. hivatalos honlapján látható.

A megtámadott rendszerelemeket tekintve, négy, immár klasszikusnak tekinthető vírus-típusról szoktunk beszélni, úgymint állomány vírusok, boot szektor vírusok, társult vírusok és makró vírusok. Napjainkban jelentek meg híradások a Windows scripteket fertőző vírusokról és az Interneten tevékenykedő úgynevezett html férgekről (worm), amelyek valószínűleg a számítógépes paraziták új osztályának képviselőként futják majd be sötét karrierjüket.

CSOPORTOSÍTÁS A FERTŐZÉSKÖZVETÍTŐ ELEM SZERINT

Állomány vírusok

Róluk akkor beszélünk, ha a fertőzésük célpontjai végrehajtható kódokat tartalmazó állományok. Ilyenek a .com, .exe kiterjesztésű fájlok. Némelyik vírus overlay állományokat fertőz, ezek kiterjesztése bármilyen (általában .ovl vagy .ovr) lehet.

A fertőzés úgy zajlik le, hogy a vírus egy megfelelő végrehajtható programot keres magának, és vagy az elejéhez vagy a végéhez hozzáírja magát. Ez utóbbi esetben a biztos végrehajtás érdekében a gazdaprogram elejéhez egy ugrási utasítást fűz, amelyik a fertőzött program indításakor a vezérlést a víruskódnak adja át.

A hozzáírás következtében a program mérete megnövekszik. Ez szemmel is látható változás, ami megnöveli a lebukás kockázatát. Ezért egyes vírusok a kódjukat a gazdaállományon belül, annak nem használt területére rejtik el, így elkerülik a méretnövekedést.

Az állomány vírusok káros hatásainak megelőzésére, egy esetleg bekövetkezett fertőzés felszámolására megfelelő antivírus program szükséges.

Boot szektor vírusok

Minden formázott lemezen vannak a rendszer üzemeltetéséhez szükséges, a felhasználó elől elrejtett, fenntartott területek. Egy ilyen terület a boot szektornak nevezett rész is. Itt olyan kódok találhatók, amelyek az operációs rendszer állományainak betöltéséhez szükségesek. Amikor egy számítógépet beindítunk, akkor az öntesztek lefuttatása után következő rendszertöltéshez a boot szektorban található kód kerül végrehajtásra.

Azokat a vírusokat, amelyek saját kódjukat vagy annak egy részletét a merevlemez vagy a floppy lemezek boot szektorába helyezik, boot szektor vírusoknak nevezzük. Fentiekből következik, hogy éppen azért támadják ezt a pontot, mert így a vírus minden egyes gépinduláskor végrehajtási esélyt kap.

Amikor a boot szektor vírus beül a boot szektorba, az eredeti boot szektor tartalom természetesen megváltozik. A rendszer zökkenőmentes indításához azonban szükséges az eredeti kódtartalom, ellenkező esetben azonnal felfedezhetővé válna a változás. Ennek elkerülésére a boot vírus vagy átteszi az eredeti tartalmat egy olyan területre, amiről csak ő tud, vagy szimulálja az eredeti tartalom funkcióit, a saját maga kódjának teljes egészében az eredeti helyére írásával.

Ha egy számítógépet boot vírussal fertőzött lemezről indítunk, a vírus átveszi a vezérlést, elrejtőzik a RAM-ban, betölti az eredeti boot szektor tartalmat, a normális működés látszatát keltve. És megkezdi azt a tevékenységet, amiért elkészítették: az összes olyan floppy lemezt megfertőzi, amelyik bekerül a számítógépbe.

A boot szektor fertőzések megelőzésének egyik hatásos módszere az, ha a számítógép BIOS setup-jában letiltjuk a floppy lemezről bootolást. Ha erre valamiért nincs lehetőség, gondoskodjunk egy állandó, írásvédett indító lemezről.

 

Társult vírusok

A DOS programindítási tulajdonságát kihasználó vírusosztály.

A fertőzés úgy történik, hogy a vírus kiválaszt egy vagy több könyvtárban egy vagy több .exe kiterjesztésű programállományt, majd elkészíti az ugyanilyen nevű, de .com kiterjesztésű változatot, amit rejtetté tesz. A rejtés miatt, az új állomány nem fog megjelenni a könyvtár tartalom kilistázásakor.

Ha kiterjesztés nélkül írunk be egy parancsállomány nevet, a DOS először az aktuális könyvtárban a .com változatot fogja keresni. Normál esetben, ha nem talál ilyet, akkor tovább lép és a .exe állományok között fog tovább keresni, majd átvizsgálja a PATH környezeti változatban felsorolt könyvtárakat is. Fertőzés esetén azonban természetesen találni fog egyet, mégpedig a rejtett, víruskódot tartalmazó .com állományt és végre is fogja hajtani azt, amivel aktiválja a vírust. Az pedig elvégzi a maga kis gonoszságait, majd elindítja az aktuális programot, annak befejezése után pedig visszaveszi a vezérlést.

 

Makróvírusok

A dokumentumok makró nyelvén megírt vírusok tartoznak ebbe a vírusosztályba.

Jellemző képviselői a Microsoft Word, Excel és Access makró nyelvét használják. Terjedésükhöz általában egy fertőzött dokumentum megnyitása vagy egy dokumentum elmentése elegendő. A Word makróvírusok nem támadják meg a WordPerfect és az AmiPró programokat, annak ellenére, hogy ezek támogatják a Word dokumentumok elérését.

Széles körű elterjedésüket segíti az a tény, hogy a dokumentumok cseréje napjainkban jóval gyakoribb, mint a programállományoké. Jelentőségüket pedig aláhúzza az a tény, hogy manapság nagyon sok adat Word vagy Excel formátumban születik meg. Ezek elvesztésének veszélye tehát nem csekély kockázatot rejt magában.

 

Windows script vírusok.

Fiatal hajtása a vírus törzsfejlődésnek. Hálózati úton keresztül, a scriptekbe beírva magát hajtja végre a terjedését és szaporodását.

Internet férgek.

A magukat e-mailekhez csatoló, az Internetet, mint közvetítő közeget felhasználó vírusok egyik osztálya.

Első képviselőjükről a 2F 2000 Számítástechnikai és Szolgáltató Kft Műszaki Tanácsadó Szolgálatának munkatársa, Fórján Tamás (http://www.2f.hu/) írása alapján számolunk be:

“A féreg e-mailekhez csatolt HAPPY99.EXE állományként érkezik. A fertőzött levél küldője nem is tud arról, hogy a féreg is csatolta magát a levélhez.

A fertőzött melléklet végrehajtásakor a féreg, rosszindulatú természetét elrejtendő, szórakoztató tűzijátékot mutat be. Közben a háttérben azonban telepíti magát a rendszerbe, majd elfogja az Internetre küldött e-maileket, és mellékletként hozzájuk fűzi magát. Ennek eredményeképp képes továbbterjedni mindazokra a rendszerekre, amelyekre a fertőzött rendszerről levél érkezik.

Ne nyisson ki, és ne hajtson végre HAPPY99.EXE nevű, egy levél mellékleteként érkezett állományt; még akkor se, ha megbízik a levél küldőjében!

Mindig legyen tudatában annak, hogy az Internetről kapott állományok rosszindulatú kódot is tartalmazhatnak, amely megfertőzheti az Ön számítógépét, tönkreteheti az adatait, nyilvánosságra hozhatja az Ön bizalmas állományait, vagy akár olyan programokat is telepíthet, amellyel az Ön számítógépe egy távoli gépről figyelhető!

Az MS Office állományok megnyitása kikapcsolt vírusvédelem mellett, illetve nem megbízható forrásból származó programok futtatása rendkívül kockázatos. Erre mindig gondoljon, amikor az érkezett levelei mellékleteket tartalmaznak!”

Érdemes megfogadni a tanácsokat.

CSOPORTOSÍTÁS A FERTŐZÉSI MÓDSZEREK SZERINT

Alapmódszerek

Memóriában elrejtőzés. A fertőzött program lefuttatásakor a vírus beül a tárba, és általában a gép hardveres kikapcsolásáig (nem Ctrl+Alt+Del újraindítás!) ott is marad. A fertőzést azoknak az állományoknak adja át, amit a tárba beülése után indítanak el. A fertőzésnek ezt a módszerét választó parazita neve: rezidens vírus.

Közvetlen tevékenység. Az aktiválásuk után adott számú állományt megfertőző, majd a vezérlést a gazdaprogramnak visszaadó élősködők a közvetlen tevékenységű vírusok.

Időzített bombák azok a vírusok, amelyek a fertőzés szétterjesztésére fordított adott lappangási idő után, a szerző által beprogramozott feltétel (pl. időpont, esemény, indítás-szám, stb.) teljesüléskor aktív állapotba kerülnek Az aktív állapotban a legkülönbözőbb tevékenységet hajthatják végre, a "jópofizástól" az adatelrontáson keresztül a winchester formázásáig bezárólag bármit. Az aktív időszak alapvető ujjgyakorlata az adatok barbár megsemmisítése, de léteznek ennél sokkal kifinomultabb módszerek is. Léteznek olyan vírusok, amelyek a látens periódusban a kiviteli pufferben véletlen számú és véletlen helyen előforduló adatokat változtatnak meg. Ha elég idő van erre, akkor a teljes adathalmazunk, beleértve a mentéseket is, értéktelen bit-szemétdombbá válik.

Fejlett rejtőzési módszerek.

Lopakodó vírusok voltak azok a paraziták, amelyek az ellenőrző összeg (check sum) képzésén alapuló felderítések kijátszására jöttek létre. Ezek lemezolvasási kéréseket figyelnek és fognak el, hogy téves információkat szolgáltassanak a rendszer állapotáról, így a lemez olvasását végző program nem képes észlelni a lezajlott változásokat: a fertőzés tényét és mértékét.

Az ön-titkosító, a polimorfikus és a mutációs vírusok a vírusazonosító keresőkódok alkalmazásán alapuló víruskereső rendszerek működését teszik lehetetlenné. Alapvetően a végrehajtási kódjukat, de nem ritkán még a működésüket is képesek megváltoztatni generációról generációra. Némelyek nemcsak egyik rendszerből a másikba átemeléskor, hanem fertőzésről fertőzésre is megváltoztatják a megjelenési kódot. A kódolást végző úgynevezett generátorok egyike annyira képes átkódolni egy vírus megjelenését, hogy bármely két előfordulásakor csak egyetlen, az összes ilyen fedett állományban azonos byte marad változatlan. Erre azonban nem lehet keresőmintát alapozni, az ilyen osztályba tartozó vírusok felderítésére, azonosítására más módszert kell alkalmazni.

Retrovírusok, alkalmazásokra szakosodott vírusok tevékenykednek ismert antivírus programok működésének megakadályozására. Erre vagy azt a módszert használják, hogy megsemmisítik a kiválasztott antivírus programot, esetleg lefagyasztással, más módszerrel megakadályozzák a működését, de nem megvetendő az a módszer sem, amelyik ehelyett inkább észrevétlenül egy kicsit “megbabrálja” a vírusfelderítő kódot, éppen csak annyira, hogy az a bősz működés látszatát keltse, de valójában semmi érdemleges ne történjék.

Összetett fertőzési/rejtőzési módszerek.

A vírusok önmaguk védelmére, mások életének megkeserítésére természetesen a fenti elemek kombinációit is alkalmazhatják: fertőzhetnek boot szektort, MBR-t és állományokat egyidejűleg, miközben rejtőzködhetnek is, lopakodhatnak is, mutálódhatnak is. Aki nem hiszi, járjon utána, kezdje az ismerkedést, mondjuk, a Tequila vírussal, bár a Brain se kutya.

Forrás : Entiszoft Kft.


Warning: require(../forum/centercomments.php) [function.require]: failed to open stream: No such file or directory in /var/www/www.szamitogep.hu/show/read.php on line 95

Warning: require(../forum/centercomments.php) [function.require]: failed to open stream: No such file or directory in /var/www/www.szamitogep.hu/show/read.php on line 95

Fatal error: require() [function.require]: Failed opening required '../forum/centercomments.php' (include_path='.:/usr/share/php/') in /var/www/www.szamitogep.hu/show/read.php on line 95