Kompiutriniai virusai. Pagrindinių virusų apžvalga
Turinys
Informacijos apsauga………………………… 3
Kompiuteriniai virusai………………………. 3
Černobylio virusas (CIH)……………………… 6
Virusas Bubbleboy………………………… 7Informacijos apsauga
Informacijos apsauga apima du skirtingus dalykus:
1) informacijos apsauga nuo klaidų ir jos iškraipymo ar praradimo kompiuterio techninės įrangos gedimų atveju,
2) informacijos apsauga nuo nesankcionuoto jos naudojimo arba piktavališko jos iškraipymo ar sunaikinimo.
Pirminę apsaugą nuo netyčinio informacijos praradimo naikinant failus atlieka operacinė sistema. Kiekvieną kartą vartotojui bandant pašalinti failą pateikiamas pranešimas, ar tikrai norima tai atlikti. Būtina turėti atsargines arba rezervines failų kopijas išorinėse informacijos laikmenose.Kompiuteriniai virusai
Įvairios kenkėjiškos kompiuterinės programos, sutrikdančios kompiuterio veikimą ar trukdančios ddirbti, vadinamos bendru kompiuterinių virusų vardu. Iki šiol nėra vieningo kompiuterinio viruso apibūdinimo. Daugelis naudojamų apibūdinimų arba nėra visiškai tikslūs, arba nekorektiški, arba paprasčiausiai neteisingi. Tikslaus apibrėžimo, ko gero, nebus niekada, kadangi nėra tikslios ribos tarp „normalių“ programų ir virusų. Vienu iš tinkamiausių apibrėžimų galima būtų laikyti šį, pateiktą A.V.Prudovskio:
Kompiuterinis virusas – programa (kodo/instrukcijų visuma), galinti kurti savo kopijas (nebūtinai panašias į originalą) ir įdiegti jas į įvairius kompiuterinių sistemų, tinklų ir pan. objektus / resursus apie tai nežinant vartotojui.
Šis aapibrėžimas nėra visiškai tikslus ir išsamus, kadangi tada kai kurias operacines sistemas taip pat galima vadinti virusu (paskutiniu metu labai madinga lyginti Windows operacines sistemas su virusais).
Dažniausiai užkrečiami yra failai, kurių pavadinimų pratęsimai yra *.com, *.exe, *.bat, *.sys, *.do*, **.xl*, *.drv, *.bin, *.dll, *.boo, *.obd, *.ov*, *.prg, *.vxd, *.386, *.rtf. Virusai pridaro įvairių nemalonumų: modifikuoja ar net sunaikina programas, dokumentus; sunaikina (užkoduoja, ištrina) visą diske laikomą informaciją; sumažina sistemos darbo našumą; sukelia įvairius garso ir vaizdo efektus ir t.t. Šiuo metu yra priskaičiuojama apie 60000 virusų, kurie “kompiuterinėje virusologijoje” skirstomi į šias grupes:
1) Standartiniai COM-EXE-TSR virusai. Tai pati didžiausia grupė. Šie virusai standartinėmis operacinės sistemos arba BIOS (arba ir tomis, ir kitomis) priemonėmis įsiskverbia į vykdomuosius failus, diskų sektorius ir operatyviąją atmintį. Toliau ši „terpė“ naudojama naujų viruso kopijų sukūrimui ir naujų objektų pažeidimui. Dažnai šie virusai primityvūs ir skiriasi tik efektais (video / muzikiniais / destruktyviniais ) ir tėra variacijos žinomomis temomis. Šiuos virusus aptikti galima iš karto ppagal nekorektišką kompiuterinės sistemos darbą, laisvų sisteminių resursų sumažėjimą (disko ir operatyviosios atminties) arba pagal vykdomųjų failų dydžio pasikeitimą.
2) “Stels” (Stealth) virusai. Šios grupės virusai naudoja tam tikrų priemonių rinkinį savo paties maskavimui. Dažnai tai pasiekiama „perimant“ kai kurias operacinės sistemos funkcijas, atsakingas už darbą su failais. “Stels” technologijos naudojimas praktiškai neleidžia viruso aptikti, kadangi virusas stengiasi maskuoti pažeistų failų padidėjimą ir savo kūną tame faile, pakišdamas vietoje savęs “sveikąją” failo dalį. Dėl šios priežasties rekomenduojama naudoti įvairias antivirusines priemones kkompiuteriuose, pakrautuose tik iš sisteminio diskelio (iš lankstaus diskelio, kuriame yra įrašytas tame kompiuteryje dirbančios operacinės sistemos branduolys). Nors dauguma antivirusinių priemonių gali rasti ir blokuoti aktyviąją žinomo „stels“ viruso dalį, bet yra praktiškai bejėgės prieš naujus virusus (žinomi atvejai, kai virusai naudodavo kai kurias antivirusines programas savo plitimui, t.y. pažeisdavo failus juos tikrinant antivirusu!).
3) Virusai, šifruojantys savo kūną, gavo „polimorfinių“ (polymorphic) virusų vardą. Dažniausiai šie virusai turi savo kūno šifruotojo ir dešifruotojo kodą. Generatorius įvairiais laiko momentais kuria vis kitokius šifruotojus ir jiems atitinkančius dešifruotojus. Polimorfiniuose virusuose dešifruotojas nėra vienodas – keičiasi kiekvienam užkrėstam failui. Dėl šios priežasties dažnai negalima aptikti užkrėsto failo pagal charakteringą viruso eilutę (signature). Dėl šios priežasties kai kurie antivirusai (pvz. Aidstest arba V-hunter) nesugeba aptikti polimorfinių virusų. Tarp polimorfinių virusų įžymūs Phantom1, OneHalf, Satanbug. Pagal sudėtingumą polimorfiniai virusai skirstomi į 6 lygius.
4) “Kompiuteriniai kirminai”. Šie virusai dažniausiai įlenda į įvairius archyvus (ARJ, ZIP). Kirminai gali netgi vogti failus iš kompiuterio. Žymiausias kompiuterinis kirminas – “Morriso kirmina.s”, naudodamas kai kurias UNIX sistemos ypatybes sugebėjo įsiskverbti (parinkdamas slaptažodžius) į daugelį JAV kompiuterinių tinklų ir užblokuoti kai kuriuos iš jų.
5) “Makro”(macro) virusai. Šiais virusais kompiuterį užkrėsti galima skaitant tekstinius failus, sukurtus tekstų redaktoriumi Microsoft Word (failų vardų ppratęsimai yra *.doc, *.dot) ir elektronine lentele Microsoft Excel (*.xls). Kai kurių šaltinių duomenimis nuostoliai dėl Microsoft Word makrovirusų JAV sudaro ne vieną milijardą dolerių. Virusais buvo užkrėsti Microsoft Word, Excel dokumentai Windows 3.1, Windows 95, Windows NT ir Mac operacinėse sistemose. Virusai sėkmingai plinta internet tinklu kartu su dokumentais, perduodamais elektroniniu paštu. Tokių virusų daroma žala gali būti labai įvairi: keičia duomenis dokumentuose arba juos sunaikina, keičia Windows spalvų parametrus, naikina failus kietuosiuose diskuose ar darbiniuose kataloguose. Labiausiai paplitę yra Word.Concept (WinWord dokumentuose) ir XM.laroux (Excel) virusai.
Virusus galima klasifikuoti pagal veikimo būdą. Šiuo atveju galima išskirti tokias pagrindines jų grupes:
1) Tikrasis virusas. Tai mažos apimties programos, kurios “prisiklijuoja” prie kitų programų ir atgyja, kai infekuota programa ruošiama vykdyti. Jie randa ir “užkrečia” kitas programas. Atlikęs visus nustatytus veiksmus, virusas gali grąžinti valdymą infekuotai programai. Tokie virusai sunkiai aptinkami, nes dažniausiai infekuotos programos veikia įprastai ir sėkmingai baigia savo darbą. Tikrojo viruso pagrindinis tikslas – savo paties kopijų kūrimas.
2) Programos –kirminai, kurie visą laiką dauginasi. Palaipsniui kirminai užima visą kompiuterio ar tinklo atmintį, ir tada negalimas joks tolimesnis naudingas darbas.
3) „Loginės bombos“ pradeda veikti, įvykus konkrečiam loginiam įvykiui, pvz., prisijungus prie tinklo naujam vartotojui.
4) „Laiko bombos“ pradeda veikti iš anksto nnumatytu laiko momentu (pvz., kai kompiuterio data pasiekia penktadienį, kuris yra mėnesio 13 diena).
5) Trojos arkliai – programos, įterptos į kitas programas. Jos atrodo kaip naudingos programos, tačiau atlieka kenkėjiškus veiksmus (pvz., groja nustatytą melodiją).
6) Nematomi virusai – programos slepiančios jų atliktus pakeitimus failuose ar išorinės atminties sektoriuose pakeisdamos sistemines funkcijas, kurias naudoja tuos failus ar sektorius skaitančios programos..
Pagal kenksmingumo lygį virusai skirstomi į nepavojingus, pavojingus ir labai pavojingus. Nepavojingi virusai kompiuterio darbui labai nekenkia, tik daugindamiesi užima tam tikrą atminties dalį. Be to, jie gali išvesti į ekraną grafinius vaizdus, pranešimus, imituoti įvairius garsus ir pan. Pavojingi virusai gali gerokai sutrikdyti kompiuterio darbą, o labai pavojingi virusai naikina programas ir duomenis, ištrina būtiną kompiuteriui sisteminę informaciją, gali fiziškai sugadinti informacijos laikmenas ar kai kuriuos įrenginius.
Užkrėsti kompiuteryje esančius failus galima įvairiais būdais:
1) pernešant diskeliais duomenis (programas, tekstinius dokumentus) iš vieno kompiuterio į kitą,
2) kopijuojant duomenis per lokalų kompiuterinį tinklą,
3) parsisiunčiant duomenis iš interneto,
4) naudojant nelegalias (piratines) programų kopijas (pvz. žaidimus) ir t.t.
Norint apsisaugoti nuo virusų daromos žalos arba greitai juos aptikti, patartina:
1) Reguliariai daryti svarbių duomenų rezervines kopijas.
2) Naudoti legalius programinius produktus, vengti naudoti iš neaiškių šaltinių gautas, nežinomas programas,
3) Skolindami diskelius ar kopijuodami duomenis iš diskelių naudokite
diskelių apsaugą nuo įrašymo.
4) Įsigyti antivirusinę programą, reguliariai ją atnaujinti ir visada tikrinti programas, dokumentus ar kitus duomenis, kopijuojamus iš kito kompiuterio, interneto, diskelių, kompaktinių diskų..Černobylio virusas (CIH)
CIH – virusas, infekuojantis 32-jų bitų Windows 9598NT vykdančiuosius failus. Paleidus užkrėstą programą, virusas įsiskverbia į kompiuterio atmintį. Tuomet CIH infekuoja naujus failus, kai tik jie yra atidaromi. Vienos viruso atmainos aktyvuojasi balandžio arba birželio 26-ąją, tuo tarpu kitos aktyvuojasi 26-ąją kiekvieno mėnesio dieną. Šis virusas stengiasi pakeisti arba sugadinti tam tikrus Flash BBIOS tipus, programinės įrangos, inicijuojančios, bei užtikrinančios ryšius bei duomenų srauto judėjimą tarp sistemos įrenginių: kietojo disko, nuosekliųjų ir lygiagrečių jungčių, klaviatūros ir pan. Perrašęs BIOS programos dalį, virusas gali sulaikyti kompiuterį nuo įsikrovimo, paleidus srovę, t.y. įjungus kompiuterį.
Vienu atskiru atveju, 26-ąją kiekvieno mėnesio dieną jis aktyvuojasi ir perrašo jūsų kietojo disko duomenis taip smarkiai, kad po to telieka įrašinėti absoliučiai viską iš naujo. Be to, jeigu motininė plokštė turi mikroschemų rinkinį Intel 430TX ir Flash BIOS, tai Černobylio virusas iištrins pastarąjį ir pavers prietaisą nebenaudojamu.
Turbūt kyla klausimas, ar yra būdų išsivaduoti nuo šio viruso? Jei yra, tai ką gi reikia daryti? Pirmiausia: kadangi CIH‘as įsikūręs atmintyje, tai bandymai paleisti antivirusinę programinę įrangą nėra saugūs, nes taip galima užkrėsti dar ddaugiau vykdomųjų failų (.exe). Taigi pirmiausia reikia atsisiųsti programą kill_cih.exe, kuri atpažins atmintyje CIH virusą ir įškels jį. Po to, kai virusas jau pašalintas iš atminties ribų, jūs galite pereiti prie savo sistemos apžiūros. Svarbu žinoti, kad nereikia paleisti nė vienos užkrėstos programos anksčiau nei šitai atliksite.
Šis Černobylio viruso pašalinimo įrankis gali būti paleidžiamas tiek iš DOS komandų, tiek ir iš įsijungimo į sistemą skripto, įgalinančio administratorių automatizuoti dezinfekcijos procesą. Tai reiškia, kad administratorius neprivalo prieiti prie kiekvienos tinklo darbo vietos ir įkrauti sistemą iš švaraus diskelio, kad išvalytų kompiuterį. Pasinaudoję šiuo įrankiu, jūs turėtumėte atnaujinti savo virusų aprašus ir tada pradėti pilną kompiuterio apžiūrą tokios antivirusinės programos, kaip Norton AntiVirus, pagalba. Šioji eliminuos virusą ir atkurs visus pažeistus ffailus. Pats įrankis sukurtas, siekiant išvengti užsikrėtimo šiuo virusu, ir gali būti saugiai paleidžiamas, neužkrėsdamas virusu net ir tada, kai pastarasis jau įsikūrė kompiuteryje.
Virusas veikia, pirmiausia ieškodamas tuščių, nenaudojamų failo erdvių. Vėliau jis susiskaido į smulkesnes daleles ir pasislepia šiose nenaudojamose erdvėse. Norton AntiVirus pajėgia atstatyti užkrėstą failą, surasdamas šias virusines daleles ir jas pašalindamas.Na o jeigu jūsų sistema patyrė CIH‘o užpuolimą, jam aktyvavusis balandžio 26-ąją, tai mažų mažiausiai jūs turėsite perinstaliuoti Windows operacinę sistemą ir atkurti bylas iš vėliausios aatsarginės kopijos, nes virusas savaip perrašys pakankamai didelę dalį kietojo disko, kad padarytų vargiai galimą, o gal ir neįmanomą jūsų bylų atgaminimą.Virusas BUBBLEBOY
Bubbleboy – tai virusas, parašytas VBScript‘e, t.y. programavimo kalboje, naudojamoje Microsoft taikomosiose programose.
Jau senokai virusai siuntinėja elektrononiu paštu žinutes su savo kopijomis, atrodančiomis kaip tipiškos failų priesagos, ir vartotojai turi spustelėti ant failo tam, kad aktyvuotų virusą. Bet Bubbleboy visa tai pakeičia.
Šį savotišką virusą ypač pavojingu daro ta aplinkybė, kad jums naudojant WSH (Windows Scripting Host) ir Microsoft Outlook, vos tiktai atidarote užkrėstą el. pašto žinutę, kodas yra paleidžiamas ir jūsų sistema užsikrečia. O dar blogiau tai, kad jums naudojantis Outlook Express, užtenka tik spustelėti ant el. pašto žinutės, ir kodas būna paleidžiamas, vos tik žinutė pakraunama į „preview“ langą. Virusas išsiplatina siųsdamas save patį naujoje žinutėje visais adresais, kokie tik yra jūsų kompiuterio Microsoft Outlook‘o ir Express‘o adresų knygutėse.
Kompiuterių ekspertai teigia, kad BUBBLEBOY nepriklauso itim pavojingiems virusams, kadangi viskas, ką jis padaro – tai pakeičia kompiuterio registravimo informaciją taip, kad savininkas rodomas Bubbleboy vardu, o kompanijos pavadinimas pakeičiamas į Vandelay Inc.(žr.pav.)
Windows Scripting Host tiekiamas su IE 5 ir paprastai instaliuojamas į Windows 98 arba Win 2000 ar NT sistemas. Taigi, jei naudojate šias sistemas, jūsų rizikos laipsnis ddidžiausias. Vis dėl to, net jeigu paleidžiate IE 5 su kita programine įranga, jūs jau kažkiek rizikuojate.
Kaip apsisaugoti nuo BUBBLEBOY? Greičiausias būdas – įeiti į savo IE 5 apsauginius nustatymus ir pakeisti Internet Zone apsaogos tipą į „aukštą“. Kitas ilgalaikis būdas – nustoti naudotis Microsoft programine įranga. Liūdna, bet kalbant apie šios kompanijos PĮ, tai tik viena iš visos eilės spragų apsauginėje sistemoje, tad labai tikėtina, jog kiti VBScript virusai paseks Bubbleboy pavyzdžiu.
Na, bet kas atsitinka, kai jis patenka į jūsų sistemą? Ogi jis sukuria failą: C:WindowsStart MenuProgramsStartupUpdate.hta. Kai kitą kartą jūs perkraunate savo sistemą, virusas aktyvuosis ir padarys kai kuriuos liūdnus pakeitimus jūsų registre. Dar svarbiau tai, kad jis pasidaugins, siųsdamas savo paties kopijas kiekvienam jūsų Outlook‘o adresatui. Laimei, siunčiama tik viena e-mail‘o žinutė ir tik vieną kartą, todėl apsieinama be katastrofiškų padarinių.
Kaip sutvarkyti jūsų sistemą po Bubbleboy įsiveržimo? Paprasčiausiai išmeskite jau anksčiau minėtą failą!( C:WindowsStart MenuProgramsStartupUpdate.hta) Dar paprastesnis būdas – turėti patikimą antivirusinę programinę įrangą, kuri užtikrintų stabilų kompiuterio darbą. Viena labiausiai rekomenduotinų tokių programų – Norton AntiVirus.
Informacijos šaltiniai
1. Žurnalas „Kompiuterija“
2. Žurnalas „Kompiuteriai“(nuskanuoti paveikslėliai)
3. Internetas (www.google.lt paieška)
