KLASYFIKACJA WIRUSÓW KOMPUTEROWYCH
Transkrypt
KLASYFIKACJA WIRUSÓW KOMPUTEROWYCH
KLASYFIKACJA WIRUSÓW KOMPUTEROWYCH Wirusy możemy podzielić według różnych kryteriów. Jednym z nich jest sposób umiejscowienia w pamięci operacyjnej: Wirusy rezydentne instalują się w pamięci i są aktywowane wówczas, gdy zostaną spełnione określone warunki (np. uruchomienie programu o określonej godzinie). Wirusy takie mają możliwość stałego kontrolowania systemu i maskowania swojej obecności dzięki czemu mogą dłużej być niezauważone i stanowić ciągłe niebezpieczeństwo. Wirusy nierezydentne aktywowane są wówczas, gdy wykonywany jest zainfekowany program. Po wykonaniu swoich funkcji wirusy takie są usuwane z pamięci. Wirusy dyskowe są wirusami rezydentnymi aktywującymi się podczas startu systemu z zainfekowanego nośnika (umiejscowione są w rekordzie ładującym). Za względu na fakt, iż zarażenie następuje w trakcie uruchamiania systemu wirusy takie nazywa się często wirusami sektora ładującego (bootsector virus). Wirusy plikowe dołączają się do plików wykonywalnych, a ich aktywacja następuje poprzez uruchomienie zarażonego programu. Po wykonaniu swoich funkcji wirus przekazuje sterowanie do programu-nosiciela. Wirusy takie mogą być zarówno rezydentne jak i nierezydentne. Wirusy hybrydowe są połączeniem innych typów wirusów (niekiedy nazywane są wirusami plikowo-dyskowymi). Najczęściej wirusy takie atakują zarówno główny rekord rozruchowy dysku jak i pliki przez co mają ułatwione możliwości replikacji przy jednoczesnym utrudnieniu ich dezaktywacji. Wirus może doczepić się do programu nie naruszając jego kodu (zwiększa się wówczas długość powstałego w ten sposób „nowego” programu) lub może być umieszczony zamiast części kodu programu (tzw. wirus zamazujący). BUDOWA WIRUSÓW KOMPUTEROWYCH Wirus komputerowy składa się z dwóch podstawowych części: głowy (jądra) i ogona (ciała). Za głowę uznaje się tę jego część, która steruje przebiegiem wykonania programu i służy do samopowielania się. W najprostszym przypadku jest to jedyna część wirusa. Ogon jest opcjonalną częścią i ma za zadanie realizację określonych funkcji (np. wyświetlenie komunikatu czy usunięcie pliku). FAZY DZIAŁANIA WIRUSÓW KOMPUTEROWYCH Zasada działania wirusów uzależniona jest od inwencji ich twórców. Możemy w nich wyróżnić trzy podstawowe fazy. Pierwsza faza występuje zawsze, natomiast moment wykonania dwóch pozostałych jest dowolny. Możliwe są następujące kolejności wykonania: 1-2-3, 1, 1-2, 1-3, 1-3-2. 1 – aktywacja: jest to uruchomienie głowy wirusa. W przypadku wirusów dyskowych polega na uruchomieniu komputera z zarażonego nośnika, natomiast w przypadku wirusów plikowych jest to uruchomienie zainfekowanego programu. Faza ta jest obligatoryjna i po jej zakończeniu wirus może zakończyć swoją działalność. 2 – destrukcja: polega na dokonaniu zniszczeń w systemie (np. na usunięciu plików). Jest to najniebezpieczniejsza część działalności wirusa. Faza ta jest opcjonalna, a niektóre wirusy na tym etapie kończą swoje działanie 3 – ujawnienie: polega na poinformowaniu użytkownika o obecności niechcianego programu (np. odegranie melodyjki czy wyświetlenie komunikatu). Faza ta jest opcjonalna. OBJAWY ZAINFEKOWANIA WIRUSOWEGO Typowe objawy zarażenia wirusem komputerowym: • • • • • • • wolniejsze działanie programu zmiana wielkości pliku brak pliku zablokowanie urządzenia (np. klawiatury) „ciężka” praca napędu bez powodu niezaplanowane efekty graficzne i/lub dźwiękowe zawieszanie się programów KONIE TROJAŃSKIE (TROJANY) Koń trojański jest kodem ukrytym w programie mogącym realizować także inne funkcje niż te, o których wie użytkownik. Program będący koniem trojańskim wykonuje najczęściej pożyteczne funkcje równocześnie realizując ukryte zadania (np. kasowanie pliku). Konie trojańskie (trojany) nie posiadają zdolności do samoreplikacji, a ich aktywacja może nastąpić poprzez ich uruchomienie i spełnienie określonych warunków. Do grupy tej zaliczyć można również miny (w skład których wchodzą bomby czasowe i bomby logiczne) oraz tzw. tylne wejścia. Bomby czasowe są programami, których ukryte funkcje aktywowane zostają w określonym czasie (np. w dni parzyste). Bomby logiczne są programami, których ukryte funkcje aktywowane zostają w momencie zajścia ustalonych wcześniej warunków (np. uruchomienie innego programu). Miny są bardzo trudne do wykrycia i dlatego stanowią szczególnie wysokie niebezpieczeństwo. Zakres ich wykorzystania jest niesłychanie szeroki, ale najczęściej bywają stosowane do szantażu komputerowego (np. zaszyfrowanie plików ze strategicznymi dla firmy danymi po usunięciu nazwiska pracownika z listy płac i wyświetlenie komunikatu o „okupie”). Tylne wejście (back door) jest luką w oprogramowaniu, która umożliwia wejście do zabezpieczonego programu lub użycie tajnej funkcji w programie. Luki takie mogą powstać celowo lub przypadkowo (np. „niezałatanie” wejścia serwisowego podczas przekazania programu użytkownikowi). ROBAKI KOMPUTEROWE Robak (worm) jest to program, którego głównym celem jest rozprzestrzenianie się za pośrednictwem sieci komputerowej. Po przemieszczeniu robak dalej się przemieszcza (jeżeli jest taka możliwość, np. wykorzystanie osób z książki adresowej programu pocztowego i wysłanie do nich swojej kopii) oraz może wykonać określone przez jego autora zadania. KRÓLIKI KOMPUTEROWE Królik (czasami nazywany bakterią) jest programem, który na skutek ciągłego powielania samego siebie wykorzystuje coraz większe zasoby systemu powodując jego destabilizację. MAKRA Makro jest programem napisanym przy użyciu wewnętrznego języka programowania określonej aplikacji (np. Visual Basic w pakiecie Office). Zdarza się, iż nieuczciwi programiści wykorzystują je do wprowadzania wirusów komputerowych. Dlatego wiele programów ostrzega przed uruchamianiem makr dołączonych do aplikacji. Nigdy nie włączamy makr jeśli nie jest nam znane źródło pochodzenia programu zawierającego makra. Tylko programy z makrami ze znanych sobie źródeł są bezpieczne. Użycie programów antywirusowych nie prowadzi do zabezpieczenia się przed wirusami w makrach, gdyż są to specyficzne algorytmy nie poddające się ogólnym regułom ani programowania ani tworzenia wirusów przez co trudno jest „antyrobalom” jednoznacznie określić funkcję aplikacji. FAŁSZYWKI Fałszywka (hoax) jest wykorzystaniem ludzkiej niewiedzy do rozprzestrzenienia podanej informacji. Polega to na tym, że użytkownik otrzymuje wiadomość (poprzez sieć, telefonicznie czy podczas rozmowy) o pewnym zdarzeniu powodującą podjęcie przez niego określonego działania. Może to być np. otrzymanie maila z wiadomością, że plik o podanej nazwie jest wirusem i można się go pozbyć jedynie poprzez usunięcie tego pliku. W rzeczywistości plik nie jest wirusem i może być nawet częścią systemu operacyjnego, a jego usunięcie może spowodować nieprzewidziane skutki. Użytkownik najczęściej zastosuje się do „wskazówek” zawartych w otrzymanej wiadomości i w dobrej wierze rozpowszechni ją dalej (w przypadku maili spowoduje to niepotrzebny wzrost generowanego w sieci ruchu). Oprócz wywołania zamieszania fałszywki mogą również przyczynić się do poniesienia szkód (np. otrzymanie wiadomości o awarii serwera i prośbie o wysłanie hasła do konta na podany adres). Walczyć z takimi fałszywymi alarmami jest szczególnie trudno gdyż nigdy nie ma 100% pewności czy są one prawdziwe czy nie. Najlepiej jest mieć ograniczone zaufanie do podejrzanych i pochodzących z niepewnych źródeł wiadomości i sprawdzać ich wiarygodność w serwisach antywirusowych. Źródło: www.zsz.wodzislaw.pl