|
Strona przeznaczona do ogladania w rozdzielczosci 800 x 600.
Wirus komputerowy
Wirus komputerowy jest programem, który powiela się przez zarażanie zbiorów wykonywalnych, jednostek alokacji plików lub sektora startowego dyskietki lub dysku twardego. Od niedawna nosicielem może być także szablon dokumentów stworzonych za pomoca aplikacji wchodzacych w skład pakietów biurowych, wyposażonych w język makr (najczęsciej MS Office). Na niebezpieczeństwo narażeni sa wszyscy, którzy w dowolnej formie przenosza dane między komputerami. Zródłem infekcji może być plik skopiowany ze strony WWW, dołaczony do poczty elektronicznej albo wiadomosci zamieszczonej na liscie dyskusyjnej czy też przeniesiony z innego komputera za posrednictwem dyskietki. Znane sa przypadki gdy producent oprogramowania prawdopodobnie nieswiadomie rozpowszechniał swój produkt na oryginalnie zapakowanych, a jednoczesnie zawirusowionych dyskietkach lub płytach CD-ROM. Natomiast w czasach gdy do dystrybucji oprogramowania masowo wykorzystywano dyskietki, zdarzało się, że po zwrocie oprogramowania przez klienta przepakowany (i zarażony) towar trafiał w ręce innego nabywcy. Nikt nie sprawdzał, czy w międzyczasie nie doszło do zarażenia plików na dyskietkach instalacyjnych.
Pliki wykonywalne
Każdy wirus najpierw ulega replikacji, a ewentualnie pózniej powoduje szkody. Dlatego rozwój techniki pisania wirusów wiaże się z wynajdowaniem nowych obiektów zdolnych odgrywać rolę nosiciela. Poczatkowo na atak narażone były pliki wykonywalne COM i EXE oraz wsadowe BAT. Z czasem to grono powiększyło się o zbiory zawierajace wykonywalne fragmenty kodu. W ich przypadku wirus zazwyczaj modyfikuje poczatek zbioru i dopisuje swój kod wewnatrz lub na jego końcu. Załadowanie zainfekowanego pliku do pamięci jest równoznaczne z uaktywnieniem wirusa. Wiele mikrobów nie niszczy zaatakowanego pliku, dzięki czemu może pózniej wykonać program nosiciela, tak że użytkownik niczego nie podejrzewa.
Boot Sector
Nosicielem wirusa może być również sektor startowy dysku twardego (MBR - Master Boot Record) lub dyskietki (Boot Sector). Wynika to z faktu, ze komputer próbujac po uruchomieniu wczytać system , wykonuje program zawarty w pierwszym dysku lub dyskietki ( w zaleznosci od ustawień BIOSu).
Wirus może ulokować się w MBR, niszczac jego zwartosć i uniemożliwiajac dostęp do dysku.W innym przypadku wirus najpierw przenosi kod inicjujacy system z sektora startowego w inny obszar dysku, potem zajmuje jego miejsce. Jest on o tyle grozny, ze ładuje się przed startem systemu, czyli również zanim zacznie działać jakiekolwiek oprogramowanie antywirusowe i może przejsć nad nim kontrole. Należy mieć swiadomosć ze Boot Sector znajduje się na każdej sformatowanej dyskietce, także w przypadku gdy nie zawiera ona żadnych plików systemowych. Wobec tego czysta dyskietka znajdujaca się w napędzie podczas uruchamiania systemu może być przyczyna kłopotów, nawet jeżeli zobaczymy na ekranie tylko komunikat: "Non-System disk or disk error"
Dokumenty pakietów biurowych
Najmłodsza rodzina wirusów sa tzw makrowirusy, które pojawiły się jako skutek uboczny rozszerzenia możliwosci pakietów biurowych, takich jak Microsoft Office , a także Lotus SmartSuite oraz Corel WordPerfect Suite językiem pozwalajacym na tworzenie makr. Języki Word Basic, a potem Visual Basic for Applications wywodzace się jeszcze od prostego Basica , maja na tyle duże możliwosci , ze pozwalaja na stworzenie wirusa. Dzięki temu twórcy wirusów zostali wyposażeni w nowe łatwe narzędzie. Wprawdzie już od wielu lat napisanie wirusa nie wymaga znajomosci assemblera, ponieważ można posłużyć się językiem wysokiego poziomu(Turbo Pascal,C ,VBfA) Najczęsciej spotykane makrowirusy WORDA wykorzystuja fakt, że szablony dokumentów moga zawierać makra. Zazwyczaj wirus uaktywnia się w chwili otwarcia zainfekowanego szablonu w srodowisku aplikacji Microsoft Word, następnie zaraża zdrowe zbiory z rozszerzeniem .doc i zapisuje je jako szablony, ponieważ dokumenty nie moga zawierać makr. W ostatnim kroku jedno lub kilka automatycznie wykonywanych makr np.AutoOpen FileSaveAs, zostaje zastapionych kodem wirusa. Co prawda, standardowo szablony używaja rozszerzenia .DOT w odróżnieniu od .DOC zarezewowanego dla dokumentów. Nie ma jednak przeszkody, aby szablon również miał rozszerzenie .DOC i udawał dokument. Następnym razem użytkownik otwierajac plik , nie zdaje sobie sprawy ze faktycznie jest to zainfekowany szablon.
Łakomym kaskiem dla makrowirusa jest szablon NORMAL:DOT zawierajacy makra globalne. Po jego zarażeniu wirus może uaktywniać się wraz z każdym uruchomieniem Worda i przenosi się na wszystkie tworzone lub otwierane dokumenty. Znany jest także wirus o nazwie WORDMACRO.NUCLEAR, który oprócz zarażania dokumentów Worda potrafi umiescić w pamięci rezydentnego wirusa Ph33r atakujacego pliki .COM i .EXE. Wilcza przysługę może oddać przegladarka internetowa, która po załadowaniu pliku .DOC z serwisu WWW automatycznie uruchamia Worda w celu otwarcia dokumentu, ryzykujac przy tym infekcje. W takiej sytuacji bezpieczniej jest korzystać z przegladarki plików Worda.
Po pojawieniu się makrowirusow Worda było tylko kwestia czasu stworzenie ich klonów , atakujacych w ten sam sposób dokumenty Exela i Accessa, a także aplikacji wchodzacych w skład pakietów biurowych firm Corel i Lotus. ponadto istnieja już wirusy majace zdolnosć infekowania dowolnego dokumentu z pakietu Microsoft Office.
Stworzyć plik towarzyszacy
Najprostsza forma wirusa w sensie sposobu zadomowienia się w systemie jest wirus towarzyszacy. Jego działanie opiera się na DOS-owskiej kolejnosci uruchamiania plików o tej samej nazwie. Jesli podana zostanie nazwa zbioru bez podania rozszerzenia, wówczas system szuka najpierw pliku z rozszerzeniem .COM, następnie .EXE a na końcu .BAT . Wirus towarzyszacy odszukuje plik .EXE lub .BAT ,dla którego nie istnieje zbiór z ta sama nazwa ale z innym rozszerzeniem .COM, po czym tworzy zainfekowanego .COM-a . Próba załadowania programu bez podania rozszerzenia zakończy się wczytaniem wirusa. Także w tym przypadku własciwy plik może zostać uruchomiony dla niepoznaki w dalszej kolejności.
"Okienkowa" wersja wirusa towarzyszacego podmienia jedna z systemowych bibliotek DLL, autentyczna zapisujac pod zmieniona nazwa. Odwołanie do się funkcji z podstawionej biblioteki najpierw uaktywnia wirusa, a dopiero potem wywołuje żadana funkcję z oryginalnego DLL-a.
Ostatnia grupa mikrobów jest krzyżówka wirusów plikowych i zarażajacych boot sector. Do replikacji moga wykorzystać równie dobrze zbiór wykonywalny jak i sektor startowy. Używaja do tego takich samych technik jak ich protoplasci.
Struktura infekcji
Rezultat działalnosci "szkodnika" może wahać się od niegroznego wypisania komunikatu na ekranie monitora przez uszkodzenia pojedynczych plików do nieodwracalnego zniszczenia wszystkich danych znajdujacych się na dysku twardym. Wirus CIH zamazuje BIOS, unieruchamiajac w ten sposób płytę główna. Aby jednak wirus przetrwał i jednoczesnie zainfekował jak największa liczbę komputerów, jego obecnoać musi pozostać niezauważona możliwie jak najdłużej. Siła rzeczy, najczęsciej skutkiem jego działalnosci jest tylko nieodczuwalne nadszarpnięcie zasobów komputera w postaci "kradzieży" kilkuset bajtów pamięci operacyjnej i niewielkiej ilosci miejsca na dysku. Czasem wystarcza to do obniżenia stabilnosci systemu.
Kariera mikrobów siejacych spustoszenie jest zazwyczaj bardzo krótka, ponieważ wykrywane sa szybko, zanim się jeszcze nadmiernie rozprzestrzenia. Prawdziwym problemem sa wirusy które replikuja się przez długi czas niezauważone, a ich nieprzyjemne skutki ujawniaja się dopiero w okreslonych okolicznosciach. Co pewien czas media ostrzegaja przed wyjatkowo destrukcujnymi wirusem, który uaktywni się w chwili wybicia ustalonej godziny. Jak do tej pory takie alarmy wzbudzały tylko przerażenie wsród słabiej wyedukowanych jednostek społecznosci informatycznej i zwiększały nakład czasopism branżowych. Na nowych wirusach najbardziej korzystaja producenci oprogramowania antywirusowego.
Za prawdziwa plagę należy uznać wirusy wychodzace spod rak mniej wprawnych programistów. Często nieudolnie napisane powoduja niezamierzone skutki uboczne w wyniku błędów w kodzie zródłowym. Łatwo je wykrywać i unieszkodliwić, ale jesli już dojdzie do infekcji, to rzadko udaje się naprawić zarażone pliki.
Tak naprawdę do tworzenia wirusów nie jest potrzebna żadna wiedza, jeżeli wykorzysta się do tego jeden z generatorów wirusów, których wiele znalezć można w Internecie. Ich obsługa sprowadza się do wyboru funkcji udostępnianych w menu. Czasem można wpisać tylko tekst, wypisywany przez wirusa na ekranie jako rezultat infekcji, ale niektóre generatory pozwalaja okreslić rodzaj zarażonych plików i dołaczyć własne procedury.
Na szczęscie stworzone w ten sposób wirusy sa zwykle na tyle charakterystyczne, że skanery antywirusowe daja sobie z nimi radę bez większego problemu.
|