Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Autor: Damian Mi ł osz. Wirus komputerowy – najcz ęś ciej prosty program komputerowy, który w sposób celowy powiela si ę bez zgody u ż ytkownika. Wirus.

Podobne prezentacje


Prezentacja na temat: "Autor: Damian Mi ł osz. Wirus komputerowy – najcz ęś ciej prosty program komputerowy, który w sposób celowy powiela si ę bez zgody u ż ytkownika. Wirus."— Zapis prezentacji:

1 Autor: Damian Mi ł osz

2 Wirus komputerowy – najcz ęś ciej prosty program komputerowy, który w sposób celowy powiela si ę bez zgody u ż ytkownika. Wirus komputerowy w przeciwie ń stwie do robaka komputerowego do swojej dzia ł alno ś ci wymaga nosiciela w postaci programu komputerowego, poczty elektronicznej itp. Wirusy wykorzystuj ą s ł abo ść zabezpiecze ń systemów komputerowych lub w ł a ś ciwo ś ci systemów oraz niedo ś wiadczenie i beztrosk ę u ż ytkowników. Cz ę sto wirusami komputerowymi mylnie nazywane s ą wszystkie z ł o ś liwe programy. Do zwalczania, usuwania i zabezpieczania si ę przed wirusami u ż ywane s ą programy antywirusowe.

3 Ka ż dy wirus ma zdolno ść samopowielania. Jest to warunek konieczny, aby dany program mo ż na by ł o nazywa ć wirusem. Wirusy przenoszone s ą przewa ż nie w zainfekowanych wcze ś niej plikach (wirusy plikowe) lub w pierwszych sektorach fizycznych (na zerowej ś cie ż ce) dysku twardego (wirusy dyskowe). Proces infekcji polega na odpowiedniej modyfikacji struktury plików lub sektorów. Zainfekowan ą ofiar ę nazywa si ę nosicielem, a proces samopowielania replikacj ą.

4 Rozmiar wirusa zale ż y od czynników takich jak: umiej ę tno ś ci programistyczne twórcy wirusa – wirus lepszego programisty napisany w tym samym j ę zyku b ę dzie mniejszy lub b ę dzie mia ł wi ę cej funkcji; u ż yty j ę zyk programowania – wirus o podobnej funkcjonalno ś ci napisany w j ę zyku maszynowym (asembler) zwykle b ę dzie mniejszy ni ż w j ę zyku skryptowym czy j ę zyku wysokiego poziomu; przewidywana funkcjonalno ść wirusa – prosty wirus b ę dzie mniejszy od szkodnika wykonuj ą cego wiele ró ż nych czynno ś ci; najmniejsze wirusy potrafi ą tylko si ę powiela ć ; wykorzystanie cech ś rodowiska operacyjnego – wirus napisany jako maksymalnie niezale ż ny musi mie ć wbudowane wszystkie potrzebne biblioteki, wirus korzystaj ą cy w pe ł ni ze ś rodowiska ma tylko minimum kodu niezb ę dne do wywo ł ania dost ę pnych w tym ś rodowisku funkcji.

5 Od programisty zale żą tak ż e efekty, jakie wirus b ę dzie wywo ł ywa ł po zainfekowaniu systemu, na przyk ł ad: kasowanie i niszczenie danych rozsy ł anie spamu dokonywanie ataków na serwery internetowe kradzie ż danych (has ł a, numery kart p ł atniczych, dane osobowe) wy łą czenie komputera wy ś wietlanie grafiki lub odgrywanie d ź wi ę ków uniemo ż liwienie pracy na komputerze umo ż liwienie przej ę cia kontroli nad komputerem osobie nieupowa ż nionej tworzenie botnetu

6 Istnieje wiele programów umo ż liwiaj ą cych stworzenie w ł asnego wirusa, nawet bez znajomo ś ci systemu czy mechanizmów wykorzystywanych przez wirusy. Mo ż na je bez problemu znale źć w Internecie. Korzystaj ą one z gotowych modu ł ów w asemblerze i umo ż liwiaj ą stworzenie wirusa o zadanych parametrach wybieranych zwykle przy pomocy przyjaznego u ż ytkownikowi menu. Mo ż na w nim okre ś li ć zakres infekowanych obiektów oraz rodzaj efektów które ma on wywo ł ywa ć. Oprócz kodu wynikowego wirusa, generatory tworz ą tak ż e ź ród ł a w asemblerze, co umo ż liwia zainteresowanemu pisaniem wirusów u ż ytkownikowi dokszta ł cenie si ę w tej dziedzinie. Najbardziej znane generatory wirusów to: IVP – Instant Virus Production Kit VCL – Virus Construction Laboratory PS-MPC – Phalcon-Skism Mass Produced Code Generator G2 – G Squared NRLG – Nuke Randomic Life Generator

7 Wirusy mo ż na podzieli ć wed ł ug wielu kryteriów. Przyk ł adowy podzia ł ze wzgl ę du na infekowany obiekt: wirusy dyskowe, infekuj ą ce sektory startowe dyskietek i dysków twardych wirusy plikowe, które infekuj ą pliki wykonywalne danego systemu operacyjnego wirusy skryptowe makrowirusy, których kod sk ł ada si ę z instrukcji w j ę zyku wysokiego poziomu, wykonywane przez interpreter. wirusy komórkowe, na razie rzadkie ale by ć mo ż e w przysz ł o ś ci mog ą stanowi ć istotne zagro ż enie w zwi ą zku z rozwojem oprogramowania dla telefonów komórkowych i dost ę pnych us ł ug. Przyk ł adem mo ż e by ć wirus Cabir napisany w 2004 roku.

8 Wi ę kszo ść z istniej ą cych wirusów to tzw. wirusy paso ż ytnicze. Charakteryzuj ą si ę one tym, ż e wykorzystuj ą swoje ofiary do transportu. Modyfikuj ą ich struktur ę wewn ę trzn ą i oczywi ś cie nie naprawiaj ą jej. Plik u ż yty do transportu jest uszkodzony. Jedynym dla niego ratunkiem mo ż e by ć u ż ycie szczepionki lub kopii zapasowych dla zainfekowanych plików. Ze wzgl ę du na miejsce zajmowane w zainfekowanych plikach wirusy paso ż ytnicze dzielimy na: Wirusy lokuj ą ce si ę na ko ń cu pliku (ang. end of file infectors). Dopisuj ą kod wirusa na koniec pliku, a nast ę pnie modyfikuj ą pocz ą tek pliku tak, aby wywo ł anie pliku uruchamia ł o wirusa Wirusy nadpisuj ą ce. Lokuj ą si ę na pocz ą tku pliku, zwykle nie zapami ę tuj ą poprzednich danych w pliku i nieodwracalnie go niszcz ą

9 Wirusy nag ł ówkowe (ang. header infectors). Lokuj ą si ę w nag ł ówkach plików EXE przeznaczonych dla systemu DOS. Ich nag ł ówek jest zawsze standardowo ustawiany przez programy linkuj ą ce na wielokrotno ść jednego sektora (512 bajtów). Wirusy te nie przekraczaj ą rozmiaru jednego sektora Wirusy lokuj ą ce si ę w pliku w miejscach gdzie jest jaki ś pusty obszar. Obszar ten wype ł niony jest ci ą giem zer i mo ż na go nadpisa ć nie niszcz ą c pliku. S ą to cave infectors Wirusy lokuj ą ce si ę w dowolnym miejscu pliku. S ą bardzo rzadkie i trudne do napisania, to tzw. surface infectors Wirusy wykorzystuj ą ce cz ęść ostatniej JAP (Jednostki Alokacji Pliku). Korzystaj ą z faktu, i ż plik rzadko zajmuje dok ł adnie wielokrotno ść jednej JAP. S ą to tzw. slack space infector

10 Wirusy te zwykle tworzone s ą w j ę zykach wysokiego poziomu. Wykorzystuj ą hierarchi ę stosowan ą przez system DOS, dotycz ą c ą kolejno ś ci uruchamiania programów o tych samych nazwach a innych rozszerzeniach. Je ś li w jednym katalogu jest kilka programów o tej samej nazwie ale o ró ż nych rozszerzeniach (EXE, COM, BAT), to w przypadku podania nazwy programu bez rozszerzenia, w pierwszej kolejno ś ci poszukiwany jest plik o rozszerzeniu COM, potem EXE, a na ko ń cu BAT. Wirusy towarzysz ą ce wykorzystuj ą t ę w ł a ś ciwo ść systemu DOS. Je ś li program ma rozszerzenie COM to wirus towarzysz ą cy nie dokona infekcji. Je ś li natomiast program ma rozszerzenie EXE lub BAT, to plik z wirusem b ę dzie mia ł rozszerzenie COM i mo ż e zosta ć omy ł kowo uruchomiony nawet przez samego u ż ytkownika systemu. Próba uruchomienia programu bez podania rozszerzenia w pierwszej kolejno ś ci uruchomi plik COM zawieraj ą cy kod wirusa. Nast ę pnie wirus po uaktywnieniu si ę przeka ż e sterowanie do programu macierzystego.

11 Sprytnym rozszerzeniem tej techniki jest sposób infekcji wykorzystuj ą cy zmienn ą ś rodowiskow ą PATH. Zmienna ta definiowana jest w pliku autoexec.bat i okre ś la list ę katalogów przeszukiwanych przez system DOS podczas uruchamiania programu. Wirus wykorzystuj ą cy t ę technik ę tworzy plik zawieraj ą cy kod wirusa w dowolnym katalogu którego ś cie ż ka znajduje si ę w zmiennej PATH przed katalogiem, w którym znajduje si ę zara ż ana ofiara.

12 S ą to tzw. batchviruses, gdy ż pliki wsadowe to pliki o rozszerzeniu BAT. Wirusy te wykorzystuj ą do transportu w ł a ś nie pliki BAT. Potrafi ą wbrew pozorom by ć bardzo niebezpieczne i infekowa ć równie ż pliki COM oraz EXE, a nawet tablice partycji dysku. Po uruchomieniu zainfekowanego pliku wsadowego tworzony jest plik uruchamialny COM lub EXE, który zawiera w ł a ś ciwy kod infekuj ą cy pliki BAT. Plik BAT jest nast ę pnie kasowany, a plik wykonywalny jest uruchamiany.

13 Makrowirusy nie zara ż aj ą programów uruchamialnych lecz dokonuj ą destrukcji dzi ę ki wykonywaniu swojego kodu zapisanego w plikach dokumentów Microsoft Office (doc, xls). W programie Microsoft Word jest to j ę zyk WordBasic, a w programie Microsoft Excel jest to Visual Basic for Applications. S ą to wirusy bardzo ł atwo wykrywalne, a ponadto ich dzia ł anie mo ż e zosta ć zablokowane przez macierzyste aplikacje. Od chwili, gdy aplikacje Microsoft Office ostrzegaj ą o istnieniu makr, wirusy tego typu nie s ą bardzo gro ź ne, nie powstaj ą tak ż e nowe. Wirusy tego typu mog ą dzia ł a ć w programach Microsoft Office w ś rodowisku Macintosh, pojawia ł y si ę jeszcze w pierwszych latach XXI wieku, ale nie by ł y szczególnie gro ź ne ani powszechne.

14 Obok powy ż ej opisanych rodzajów wirusów, istnieje szereg programów które cz ę sto uwa ż ane s ą za wirusy, lecz nimi nie s ą, gdy ż ich sposób dzia ł ania jest niezgodny z definicj ą wirusa. Owszem, ich dzia ł anie jest szkodliwe dla u ż ytkownika systemu, lecz programy te nie doczepiaj ą si ę do innych plików. S ą to: robaki bomby logiczne króliki fa ł szywki zakraplacz programy szpieguj ą ce

15 Robaki – programy, których dzia ł anie polega na tworzeniu w ł asnych duplikatów. Nie atakuj ą one ż adnych obiektów jak to czyni ą wirusy, a jedynie same si ę powielaj ą. Oprócz zajmowania miejsca na dysku niekiedy wywo ł uj ą równie ż negatywne skutki uboczne. Robaki s ą najbardziej popularne w sieciach, gdzie maj ą do dyspozycji ró ż ne protoko ł y transmisji sieciowej dzi ę ki którym mog ą si ę rozprzestrzenia ć. Konie troja ń skie – Program b ę d ą cy koniem troja ń skim, po uruchomieniu wykonuje normaln ą prac ę i u ż ytkownikowi wydaje si ę ż e uruchomi ł zwyk ł y program b ą d ź gr ę. Jednak dodatkowo wykonywane s ą operacje szkodliwe, niezauwa ż alne dla u ż ytkownika. Konie troja ń skie naj ł atwiej podrzuci ć w plikach udaj ą cych nowe, popularne programy b ą d ź gry.

16 Bomby logiczne – ró ż ni ą si ę od konia troja ń skiego tym, ż e ukryte operacje nie s ą wykonywane od razu po ich uruchomieniu, lecz dopiero w odpowiednim czasie. Mo ż e to by ć zaj ś cie okre ś lonego zdarzenia w systemie b ą d ź wielokrotne uruchomienie danego programu. Cz ę sto uruchomienie ukrytych operacji nast ę puje automatycznie po up ł yni ę ciu okre ś lonej liczby dni od momentu uruchomienia bomby. Króliki, okre ś lane s ą równie ż jako bakterie. To programy, które nie niszcz ą plików. Ich jedynym celem jest samokopiowanie. Typowy program w rodzaju bakterii lub królika mo ż e na przyk ł ad jednocze ś nie uruchomi ć kilka swoich kopii w systemach wieloprogramowych, lub stworzy ć dwa nowe pliki z których ka ż dy jest kopi ą oryginalnego pliku ź ród ł owego bakterii. Oba programy mog ą nast ę pnie skopiowa ć si ę podwójnie i w ten sposób mog ą rozmno ż y ć si ę do bardzo du ż ej liczby. Bakterie reprodukuj ą si ę wyk ł adniczo, zabieraj ą c ca łą moc obliczeniow ą procesora. Ten rodzaj ataku jest jedn ą z najstarszych form zaprogramowanych zagro ż e ń.

17 Fa ł szywki, zwane hoaxy, to inaczej ostrze ż enia przed nieistniej ą cymi wirusami. Cech ą charakterystyczn ą fa ł szywego ostrze ż enia jest pro ś ba o przes ł anie go do mo ż liwie du ż ej liczby osób – rzekomo w trosce o ich bezpiecze ń stwo. Pocz ą tkuj ą cy internauci rozsy ł aj ą fa ł szywe alarmy do kogo si ę tylko da, co pozwala fa ł szywkom kr ąż y ć po Internecie ca ł ymi miesi ą cami w milionach egzemplarzy, doprowadzaj ą c do w ś ciek ł o ś ci osoby, które otrzymuj ą je po raz n-ty. Mo ż emy równie ż otrzyma ć a z wiadomo ś ci ą, ż e plik o podanej nazwie jest wirusem i mo ż na si ę go pozby ć jedynie poprzez usuni ę cie go. W rzeczywisto ś ci plik ten nie jest wirusem i mo ż e by ć nawet cz ęś ci ą systemu operacyjnego, a jego usuni ę cie mo ż e spowodowa ć nieprzewidziane skutki. Je ś li trafi do nas takie ostrze ż enie, najlepiej wej ść na stron ę dowolnego producenta programów antywirusowych i sprawdzi ć czy nie jest to fa ł szywka. Z punktu widzenia memetyki fa ł szywki nale ż y uzna ć za wirusy umys ł u, infekuj ą ce nie komputery jako takie, lecz umys ł y u ż ytkowników, wykorzystuj ą c ich naiwno ść lub niedo ś wiadczenie jak luk ę w systemie.

18 WIRUSY NIEREZYDENTNE Wirusy te s ą najprostsz ą odmian ą wirusów zara ż aj ą cych pliki wykonywalne. Po uruchomieniu pliku nosiciela wirus poszukuje kolejnego obiektu, który mo ż e zarazi ć. Je ś li takowego nie znajdzie, sterowanie oddawane jest do nosiciela, a je ś li znajdzie to kolejny obiekt jest infekowany. Sposób poszukiwania ofiary mo ż e by ć ró ż ny. Zwykle przeszukiwany jest bie żą cy katalog oraz podkatalogi bie żą cego katalogu, a tak ż e katalog g ł ówny oraz katalogi okre ś lone w zmiennej ś rodowiskowej PATH. Wirusy nierezydentne posiadaj ą dwie zasadnicze wady. Pierwsz ą z nich jest to, ż e poszukiwanie ofiar po uruchomieniu pliku nosiciela wi ąż e si ę ze sporym opó ź nieniem w uruchomieniu w ł a ś ciwego programu, oraz z ł atwo zauwa ż aln ą przez u ż ytkownika wzmo ż on ą aktywno ś ci ą przeszukiwanego no ś nika. Drug ą wad ą jest to, i ż zara ż aj ą one inne pliki tylko i wy łą cznie po uruchomieniu nosiciela, a wi ę c nie mog ą efektywnie infekowa ć plików ani te ż skutecznie maskowa ć swej obecno ś ci w systemie, tak jak czyni ą to wirusy rezydentne. Wirusy nierezydentne s ą najcz ęś ciej tworzone przez pocz ą tkuj ą cych twórców wirusów. Bardzo ł atwo jest stworzy ć prostego wirusa nierezydentnego w asemblerze.

19 WIRUSY REZYDENTNE Mo ż na powiedzie ć, ż e wirusy nierezydentne s ą do ść ograniczone, gdy ż ł atwo je wykry ć. St ą d te ż wzi ęł y si ę poszukiwania aby odkry ć co ś nowego. Za czasów systemu DOS trzeba by ł o wynale źć jaki ś mechanizm, który pozwala ł by w typowo jednozadaniowym ś rodowisku stworzy ć mechanizm sztucznej wielozadaniowo ś ci. Tak powsta ł y wirusy rezydentne. Ich zasada dzia ł ania polega na zainstalowaniu si ę w pami ę ci operacyjnej komputera i przej ę ciu odpowiednich odwo ł a ń do systemu w sposób podobny do tego, w jaki czyni ą to programy typu TSR (ang. Terminate but Stay Resident). Wirus rezydentny to w zasadzie program TSR, który po zainstalowaniu ukrywa swój kod przed programami przegl ą daj ą cymi pami ęć. B ę d ą c jednocze ś nie aktywnym i ukrytym w pami ę ci ma o wiele szersze pole dzia ł ania ni ż wirusy nierezydentne. U ż ywa on techniki tzw. stealth do ukrywania si ę. Zaw ł adni ę cia systemem dokonuje poprzez przej ę cie odpowiednich przerwa ń sprz ę towych i funkcji obs ł ugiwanych przez ogólnie dost ę pne przerwania programowe. Ze wzgl ę du na szybko ść mno ż enia si ę wirusy rezydentne dzielimy na szybkie infektory i wolne infektory.

20 Najlepsz ą metod ą ustrze ż enia si ę przed wirusami jest ochrona prewencyjna, która opiera si ę na domy ś lnym odrzucaniu wszystkich plików, które docieraj ą do naszego komputera. Niekiedy nawet pliki od zaufanych osób mog ą zawiera ć wirusy, a osoby te mog ą o tym po prostu nie wiedzie ć. Wa ż nym elementem dzia ł a ń zapobiegawczych jest regularne tworzenie kopii awaryjnych dla najwa ż niejszych plików, programów b ą d ź dokumentów. Trzeba równie ż regularnie tworzy ć kopie zapasowe danych. W przypadku zainfekowania komputera nie nale ż y od razu w panice formatowa ć dysku twardego. Co wi ę cej, wykonanie formatowania dysku wcale nie oznacza pozbycia si ę wirusa z systemu (np. w przypadku Viruta).

21 Pliki wykonywalne mo ż na, oprócz sprawdzenia programem antywirusowym, dodatkowo mo ż na przeanalizowa ć przy u ż yciu strony analizuj ą cej pliki pod k ą tem ich zainfekowania (np. virustotal.com). Dzi ę ki temu rozwi ą zaniu mo ż na mie ć pewno ść, ż e dany plik jest/nie jest zainfekowany.

22 Konie troja ń skie i bomby logiczne ze wzgl ę du na sposób dzia ł ania s ą trudne do wykrycia, gdy ż w ł a ś ciwy, destrukcyjny kod mo ż e by ć umieszczony w dowolnym miejscu programu i trudno go odnale źć. Niekiedy jest to wr ę cz niemo ż liwe. Z pomoc ą przychodzi tu technika heurystyczna. Polega ona na wykrywaniu potencjalnych agresorów na podstawie charakterystycznych sekwencji kodu. Programy poszukuj ą ce koni troja ń skich w podejrzanych plikach najcz ęś ciej szukaj ą w nich instrukcji wywo ł a ń przerwa ń programowych. S ą to przerwania 13h lub 26h, u ż ywane do odczytywania i zapisywania sektorów. Ze wzgl ę du na swe dzia ł anie, przerwania te wyst ę puj ą bardzo rzadko w typowym oprogramowaniu u ż ytkowym, gdy ż normalne programy nie korzystaj ą z bezpo ś rednich operacji zapisu na sektorach. Potencjalnymi ko ń mi troja ń skimi s ą tak ż e najnowsze wersje typowych i cz ę sto u ż ywanych programów u ż ytkowych, programów kompresuj ą cych czy nawet antywirusowych, zatem nale ż y si ę z nimi obchodzi ć bardzo ostro ż nie i przed uruchomieniem ich wypada je przeskanowa ć. Dobrym rozwi ą zaniem, pozwalaj ą cym uchroni ć si ę przed wi ę kszo ś ci ą koni troja ń skich i bomb, mo ż e by ć zainstalowanie monitora antywirusowego. Konie troja ń skie s ą zwykle pisane przez pocz ą tkuj ą cych programistów, którzy do przeprowadzania destrukcji u ż ywaj ą przerwa ń programowych, a te mog ą by ć ł atwo przechwytywane i kontrolowane przez monitor.

23 Bez programu antywirusowego trudno jest wykry ć wirusy w plikach dokumentów DOC czy XLS, ale istniej ą metody aby zminimalizowa ć szans ę zainfekowania systemu. Mo ż na w tym celu: wy łą czy ć wszystkie makra automatyczne przy pomocy w ł asnor ę cznie napisanego makra: SUB MAIN DisableAutoMacros 1 END SUB aby przy uruchamianiu Worda wy łą czy ć makro AutoExec nale ż y uruchamia ć aplikacj ę z parametrem m: WINWORD.EXE /M podczas wczytywania plików trzyma ć wci ś ni ę ty klawisz SHIFT, co spowoduje zablokowanie automatycznego makra AutoOpen od czasu do czasu przegl ą da ć list ę makr zawartych w szablonie NORMAL.DOT. Je ż eli zawiera ona jakie ś makra automatyczne lub makra o dziwnych, niespotykanych nazwach, mo ż liwe, i ż szablon jest zainfekowany. Makra mo ż na przegl ą da ć za pomoc ą opcji wybieranych z menu Worda PLIK/SZABLONY/ORGANIZATOR/MAKRA, b ą d ź te ż NARZ Ę DZIA/MAKRO ze wzgl ę du na to, i ż wirus mo ż e nie przejmowa ć ż adnego makra automatycznego, lecz tylko podmienia ć polecenia menu (najcz ęś ciej menu PLIK/ZACHOWAJ, PLIK/ZACHOWAJ JAKO), powy ż sze ś rodki mog ą okaza ć si ę ca ł kowicie nieskuteczne.

24 Program antywirusowy (antywirus) – program komputerowy, którego celem jest wykrywanie, zwalczanie i usuwanie wirusów komputerowych. Wspó ł cze ś nie najcz ęś ciej jest to pakiet programów chroni ą cych komputer przed ró ż nego typu zagro ż eniami.

25 Programy antywirusowe cz ę sto s ą wyposa ż one w dwa niezale ż nie pracuj ą ce modu ł y (uwaga: ró ż ni producenci stosuj ą ró ż ne nazewnictwo): skaner – bada pliki na żą danie lub co jaki ś czas; s ł u ż y do przeszukiwania zawarto ś ci dysku monitor – bada pliki ci ą gle w sposób automatyczny; s ł u ż y do kontroli bie żą cych operacji komputera

26 Program antywirusowy powinien równie ż mie ć mo ż liwo ść aktualizacji definicji nowo odkrytych wirusów, najlepiej na bie żą co, przez pobranie ich z Internetu, poniewa ż dla niektórych systemów operacyjnych codziennie pojawia si ę oko ł o trzydziestu nowych wirusów.

27 Widoczna jest tendencja do integracji narz ę dzi do ochrony komputera. Kiedy ś by ł to jedynie skaner, który wyszukiwa ł wirusy, pocz ą tkowo na podstawie sygnatur znanych wirusów, a potem tak ż e typuj ą cy pliki jako zawieraj ą ce podejrzany kod za pomoc ą metod heurystycznych. Trzeba doda ć, ż e wspó ł cze ś nie programy antywirusowe jako jedyna linia obrony nie wystarczaj ą, Obecnie poza skanerem, monitorem i modu ł em do aktualizacji sygnatur z sieci, pakiet antywirusowy zawiera cz ę sto tak ż e zapor ę sieciow ą, modu ł y kontroli przesy ł ek poczty elektronicznej i plików pobieranych z sieci, modu ł wykrywania i zapobiegania w ł amaniom, skaner pami ę ci i stra ż nika MBR. Wszystkie te modu ł y posiadaj ą programy typu internet security - np. Kaspersky Internet Security, jednak mo ż na je zainstalowa ć oddzielnie, co wed ł ug licznych testów laboratoriów antywirusowych, oferuj ą znacznie wy ż szy poziom ochrony przed malware ni ż pakiety bezpiecze ń stwa.

28 Skanery Monitory Szczepionki Programy autoweryfikuj ą ce Programy zliczaj ą ce sumy kontrolne

29 Skanery to najstarszy i najprostszy sposób ochrony antywirusowej. Ich dzia ł anie polega na wyszukiwaniu okre ś lonej sekwencji bajtów w ci ą gu danych. W wi ę kszo ś ci wirusów mo ż na wyró ż ni ć unikaln ą sekwencj ę bajtów, tzw. sygnatur ę, dzi ę ki której mo ż liwe jest odnalezienie wirusa w pami ę ci lub w zara ż onej ofierze. Skuteczno ść skanera antywirusowego zale ż y od tego, jak bardzo charakterystyczna jest dana sekwencja. Najlepiej, je ż eli wirus zawiera w sobie jaki ś bardzo specyficzny napis lub ci ą g bajtów. Wraz z pojawieniem si ę wirusów polimorficznych znaczenie skanerów troch ę zmala ł o, jednak nadal jest to najwa ż niejsza metoda walki z wirusami. Wirusy polimorficzne s ą trudne do wykrycia, gdy ż ich ró ż ne próbki nie wygl ą daj ą tak samo. Cz ę sto dwie próbki danego wirusa nie maj ą ze sob ą nic wspólnego. Polimorfizm mo ż e by ć osi ą gni ę ty poprzez zakodowanie cia ł a wirusa. W przypadku tych wirusów równie ż u ż ywa si ę skanera, cho ć dopiero w pó ź niejszej fazie wykrywania.

30 Monitor to program antywirusowy zainstalowany jako TSR (ang. Terminate and Stay Resident) lub sterownik SYS, który – poprzez monitorowanie odpowiednich funkcji DOS i BIOS – pozwala na wykrywanie wszystkich wykonywanych za pomoc ą tych funkcji odwo ł a ń do dysków. To, czy monitor b ę dzie dzia ł a ł prawid ł owo zale ż y cz ę sto od momentu, w którym przej ął on kontrol ę nad systemem (przed dzia ł aniem wirusa, czy ju ż po) oraz od tego, jak g łę boko wnika on w system operacyjny. Jak wida ć autorzy programów antywirusowych musz ą korzysta ć z metod podobnych do tych, które stosuj ą twórcy wirusów. Du żą wad ą programów monitoruj ą cych jest to, ż e powoduj ą one cz ę sto fa ł szywe alarmy. Niekiedy zdarza si ę tak, ż e u ż ytkownik po kolejnym potwierdzeniu jakiej ś zwyk ł ej operacji dyskowej staje si ę mniej uwa ż ny i nawet usuwa program antywirusowy z pami ę ci[3].

31 S ą to programy skierowane przeciwko konkretnym wirusom. Na podstawie posiadanego czy wykrytego egzemplarza wirusa mo ż na, po odpowiedniej analizie jego kodu, zdefiniowa ć tzw. sygnatury, na podstawie których wykrywa si ę kolejne kopie wirusa w systemie. Dok ł adna analiza kodu wirusa pozwala niekiedy odnale źć w nim oryginalne warto ś ci pewnych parametrów, które mog ą pos ł u ż y ć do wyleczenia plików. Wi ę kszo ść z istniej ą cych szczepionek to rozbudowane programy, które potrafi ą wykry ć i usun ąć kilka tysi ę cy okre ś lonych wirusów. Tylko w przypadkach nowych wirusów szczepionki nie s ą efektywne.

32 Programy te s ł u żą do sprawdzania czy dany program nie zosta ł w jaki ś sposób zmieniony przez wirusa. Sprawdzanie to jest mo ż liwe poprzez dodanie do wskazanego pliku okre ś lonego, krótkiego programu. Dodawany kod dopisuje si ę do pliku wykorzystuj ą c te same mechanizmy co wirusy, i pozwala on na autoweryfikacj ę, czyli automatyczne sprawdzanie czy dany program nie zosta ł zmodyfikowany. Niestety, programy tego typu najcz ęś ciej nie s ą odporne na technik ę ukrywania kodu wirusa stealth i w systemie zainfekowanym przez wirusa u ż ywaj ą cego tej techniki oka żą si ę ca ł kowicie nieefektywne.

33 Dzia ł anie tego typu programów polega na obliczaniu odpowiednich sum kontrolnych dla żą danego pliku lub plików. Zliczane sumy kontrolne s ą przechowywane w osobnych plikach, tworzonych po pierwszym uruchomieniu programu. Je ż eli pliki te istnia ł y ju ż wcze ś niej, program antywirusowy wykorzystuje dane w nich zawarte aby porówna ć bie żą co wyliczon ą sum ę, z sum ą poprzednio zachowan ą w pliku. Istnieje szereg algorytmów do tworzenia sum kontrolnych dla plików. Ogromn ą wad ą programów tego typu jest to, ż e pliki przechowuj ą ce obliczone sumy kontrolne nie s ą wcale chronione. Dzi ę ki znajomo ś ci wielu algorytmów stosowanych przez programy antywirusowe, niektóre wirusy potrafi ą zarazi ć okre ś lony plik i obliczy ć dla niego now ą sum ę kontroln ą.

34


Pobierz ppt "Autor: Damian Mi ł osz. Wirus komputerowy – najcz ęś ciej prosty program komputerowy, który w sposób celowy powiela si ę bez zgody u ż ytkownika. Wirus."

Podobne prezentacje


Reklamy Google