Marcin Banasiak, Dominik Wójcik, Adam Kozłowski Wirusy Komputerowe Marcin Banasiak, Dominik Wójcik, Adam Kozłowski

Trochę podstaw

Wirusy Komputerowe Co to jest wirus? Wirus komputerowy to program, który posiada zdolność samoczynnego powielania się i przenoszenia z jednego komputera na drugi bez wiedzy i poza kontrolą użytkownika. Twórcą tego terminu, funkcjonującego od 1986 r., jest Fred Cohen, który za badania nad tym zjawiskiem otrzymał doktorat w dziedzinie inżynierii elektrycznej.

Wirusy Komputerowe Prehistoria - w latach ‘70 eksperymenty z programem testującym sieć - po całkowitym padzie sieci eksperymenty przerwano

Wirusy Komputerowe Pierwszy wirus? - Brain: odkryty w 1987 roku - zmieniał etykietę dyskietki - napisany w Pakistanie

Wirusy Komputerowe Kto i dlaczego pisze wirusy? - młodzi gniewni - specjaliści od bezpieczeństwa systemów - programiści

Wirusy Komputerowe Cechy wirusów: - najcześciej niewielkie programy - tempo rozmnażania - proces infekcji - proces replikacji - monitorują aktywność systemu

Wirusy Komputerowe Przykładowy software: - Virus Creation Laboratories - Virus Factory - Virus Creation 2000 - Virus Construction Set - The Windows Virus Engine

Wirusy Komputerowe W czym piszemy wirusy?

Klasyfikacja wirusów

Wirusy Komputerowe Wirusy głównego modułu rozruchowego (wirusy MBR) - rezydują w MBR dysku - ładowane wraz ze startem systemu - potrafią sprawdzać czy zainfekowany - zachowują oryginalny MBR - atakują dyskietki przy każdym użyciu

Wirusy Komputerowe Wirusy infekujące pliki - mogą rozprzestrzeniać się po całym systemie - określone typy plików (.com, .exe, .sys) - gwałtowna replikacja

Wirusy rezydentne Wirusy nierezydentne Wirusy stealth Wirusy Komputerowe Wirusy rezydentne Wirusy nierezydentne Wirusy stealth

Wirusy polimorficzne

Co to są wirusy polimorficzne? Wirusy Komputerowe Co to są wirusy polimorficzne? Samomutujący Wiele postaci Najtrudniej wykrywalne

Sposób działania wirusa polimorficznego Wirusy Komputerowe Sposób działania wirusa polimorficznego Każda kopia wirusa jest inna Ta sama procedura szyfrująca Szyfrowanie procedury szyfrujące

Przykład – wirus Criminal.1788 Wirusy Komputerowe Przykład – wirus Criminal.1788 Rezydentny Kopiuje swój kod do bloku MCB Przejmuje kontrole nad komputerem Zaraża uruchamiane pliki Exe i Com Po zarażeniu 4883 plików rozpoczyna procedure destrukcyjną

Wykrywanie wirusów polimorficznych Wirusy Komputerowe Wykrywanie wirusów polimorficznych Metody heurystyczne Analiza kodu Symulacja wykonania Duża czasochłonność metody Wysoka skuteczność Wykrywanie nieznanych wirusów

Wirusy e-mail oraz makrowirusy

Wirusy e-mail Wirusy Komputerowe Zainfekowanie przez otwarcie załącznika Dziury w zabezpieczeniach programów e-mail Zainfekowanie przez przeczytanie wiadomości

Wirus Nimda Wirusy Komputerowe Uznawany za najniebezpieczniejszy Zainfekowanie przez przeczytanie wiadomości Wirus jest skryptem vbs Samorozsyłający się Atakuje sieć lokalną

Fałszywki (hoaxes)

Rozsyłane przez e-mail, usenet, www Wirusy Komputerowe Rozsyłane przez e-mail, usenet, www Socjotechnika Uszkodzenie systemu operacyjnego Uszkodzenie danych Generowanie ruchu sieciowego Zdobywanie adresów e-mail

TROJANY

Wirusy Komputerowe Co to jest koń trojański? Koń trojański to ukryty w programie kod, który sprawia, że program ten po uruchomieniu realizuje oprócz swoich funkcji także różne przykre dla użytkownika działania jak np. zawieszanie systemu operacyjnego, usuwanie plików bądź też wyświetlanie na ekranie różnych komunikatów.

Wirusy Komputerowe Trojany, w przeciwieństwie do wirusów, nie powielają się samodzielnie - "złapać" trojana można jedynie poprzez zainstalowanie na dysku komputera programu będącego nosicielem. Komunikacja z trojanami – nasłuchiwanie na otwartych portach. Porty zależne od trojana.

Wirusy Komputerowe Trojany z którymi można spotkać się w sieci potrafią być naprawdę niebezpieczne. Pozwalają na podgląd wpisywanych znaków, kopiowanie plików, podgląd pulpitu itp.. Nawet bez specjalistycznego programu można uniknąć trojana – należy przestrzegać kilku prostych zasad: - własny firewall blokujący każdy podejrzany ruch a zwłaszcza próby otwarcia portów „bez powodu” - instalacja programów tylko w 100% pewnych - unikanie niewiadomych załączników poczty elektronicznej - ostrożność w trakcie przeglądania Internetu (pop-up’y) - instalacja programów pochodzących tylko z pewnych źródeł (shareware i freeware) - regularne skanowanie komputera darmowymi skanerami - instalacja darmowych programów wykrywających i usuwających trojany

Usuwanie wirusów

Wirusy Komputerowe Oprogramowanie antywirusowe - darmowe i komercyjne - skanery on-line - oprogramowanie dla serwerów plikowych - oprogramowanie dla serwerów mail Oprogramowanie monitorujące i usuwające trojany Firewalle Regularne update’y i fix’y (głównie Outlook)

Wirusy Komputerowe Przykład na podstawie Symantec Antivirus Corporate Edition 8.0 – podstawowe możliwości i nowości w wersji 8.0 - instalacja zdalna, topologia serwerów - zdalne zarządzanie, konsole - przygotowywanie instalacji typu unattended (symantec packager) - grupy użytkowników - zasada działania kwarantanny - LiveUpdate i wymuszony update