Ucitel 2

Vírusy a antivírusové programy

24. 11. 2007

Vírus z biologického pohľadu je drobný, neustále sa rozmnožujúci organizmus, ktorý preniká telom svojho hostiteľa, napáda a postupne likviduje jeho bunky. V počítačovej praxi je vírus malý, veľmi jednoduchý program, ktorý je schopný rozmnožovať sa a vykonávať činnosť, pre ktorú bol napísaný.

Skladá sa z dvoch častí:

Jedna má na starosti rozmnožovanie (kopírovanie),
druhá obsahuje kód pre vonkajší efekt.

V minulosti sa najčastejšie prenášal ako cudzopasník na programoch alebo systémových súboroch, prípadne v boot-sektoroch (štartovacích sektoroch) diskiet. Dnes je najčastejším zdrojom nákazy Internet a elektronická pošta, spojením ktorých viac alebo menej rafinované vírusy (hovorí sa im červy alebo worms) dokážu samočinne obehať celý svet.

Prvé vírusy boli napísané skôr pre zábavu alebo z pasie, keď hlavným cieľom bolo pobaviť sa na bezradnosti užívateľa, ktorému popadali písmenká do dolnej časti obrazovky alebo mu prácu každé dve minúty „spríjemňovala“ snaha lietajúceho taniera o nadviazanie kontaktu. Tieto vírusy boli relatívne neškodné a hlavým cieľom bolo spomaľovanie práce a frontálny útok na nervy užívateľa.
Postupom času však začali vírusy nielen napádať a zabávať, ale aj napádať a ničiť.

Z hľadiska nebezpečnosti by sme mohli vírusy rozdeliť do štyroch skupín:

Napádajú a ničia len spustiteľné (systémové) súbory
Sú schopné zničiť údaje (napr. databázy, textové súbory) na disku jeho zablokovaním, prekódovaním alebo naformátovaním
Modifikujú údaje bez iných vedľajších príznakov
Odosielajú z počítača údaje alebo sprostredkúvajú prístup neoprávneným osobám
Ničia hardware počítača.

Vírusy napádajúce programy

Vírusy, ktoré patria do tejto skupiny, sú relatívne neškodné, pretože jediná zákernosť, ktorej sú schopné, je prepísanie používaného programu.
Takto postihnutý súbor väčšinou normálne spustiť nedokážeme alebo nám zahniezdený vírus počas činnosti znepríjemňuje prácu, no väčšinou stačí súbor vymazať a postihnutý program nainštalovať nanovo.

Vírusy ničiace údaje

Skutočnou pohromou sú vírusy, ktoré ničia údaje. Spôsobov delenia je veľa, možno ich rozdeliť napr. na:

vírusy napádajúce a modifikujúce FAT tabuľku (miesto, kde sú uložené informácie o pozícii súborov na disku)

vírusy, ktoré formátujú disk alebo zablokujú prístup k nemu

vírusy, ktoré prekódujú obsah disku, a po ich odstránení zakódované údaje nemožno prečítať.

Ak sa v takomto prípade liečenie antivírusovým programom nepodarí, prichádzate o uložené údaje. Pokiaľ máte zálohované údaje, nie je to také hrozné. Veľmi zle je, ak vírus nenapadne len jeden počítač, ale celú sieť.

Vírusy modifikujúce údaje

Najhoršou a najzákernejšou kategóriou sú vírusy, ktoré si „sedia“ v počítači a občas kde-tu zmenia údaj. Niektoré pracujú podľa konkrétneho algoritmu (je ešte šanca vrátiť modifikované údaje nazad), no existujú aj také, kde nie je možné zistiť, ktoré súbory boli napadnuté a ktoré údaje sa modifikovali. Je nepríjemné, že si nemôžeme byť istí ani tým, či zálohy sú správne, alebo údaje v nich boli tiež modifikované. Pre najbežnejšieho užívateľa nie je táto kategória zaujímavá. Horšie je to v systémoch, kde údaje hrajú hlavnú úlohu.

Vírusy poskytujúce neautorizovaný prístup a odcudzujúce údaje

Do tejto kategórie môžeme zaradiť vírusy, ktoré porušujú súkromie užívateľa tým, že náhodne vyberú súbor z jeho pevného disku alebo správu z emailovej schránky či adresu elektronickej pošty z adresára kontaktov a odošlú ich na emailovú adresu (spolu so svojou kópiou), ktorá môže byť vybraná náhodne alebo účelne (tvorcovi vírusu do pazúrov). Obvykle sa k nám dostanú prostredníctvom elektronickej pošty, no niektoré verzie počítačových červov (worms) sa vďaka chybám v operačnom systéme dokázali šíriť úplne samočinne.
Červy sú veľmi nepríjemné, no ešte nebezpečnejšie sú tzv. trójske kone, ktoré sa po preniknutí do cudzieho systému nerozmnožujú, ale len ticho pozorujú systém a čakajú na svoju chvíľu.
Trójske kone dokážu zistiť heslo, vymazať konkrétny program, „nakradnúť údaje“ (ktoré zistia pozorovaním činnosti užívateľa). Často majú okrem pozorovacej činnosti v sebe skryté aj zadné dvierka (backdoor), ktoré umožnia záškodníkovi pripojenie do nakazeného počítača a prezeranie obsahu jeho diskov.

Vírusy ničiace hardware počítača

Do tejto kategórie patria vírusy, ktoré dostali priestor vďaka starostlivosti o užívateľa. V nedávnych rokoch bolo pri skladaní počítačov nutné nastaviť frekvenciu, napätie procesora a mnoho ďalších vlastností manuálne – prepojením na doske. Dnes sa všetky zmeny urobia automaticky a zapíšu sa do pamäte príslušného zariadenia. Pre tvorcu vírusu z toho plynie, že nastavenia a vlastnosti hardwari je možné prepísať (alebo vymazať).

V tomto duchu bolo vytvorených niekoľko vírusov, ktoré modifikujú BIOS základnej dosky a vymažú napr. štartovací kód. Nech robíte čokoľvek, dosku viac (bežným spôsobom) neoživíte. Nie ste schopní údaje prepísať nazad, pretože počítač s takouto doskou nenaštartujete a ani bez naštartovania údaje neprepíšete. Môžete ju zahodiť.
Vírusy dokážu zničiť počítač aj ďalším spôsobom:

Vysielaním signálov na zariadenia (tlačiareň, disk, monitor) tak rýchlo po sebe, že tie sa v snahe o spracovanie prehrejú a zničia.

Ako vzniká vírus ?

Vírus nevzniká samočinne. Jeho autorom je človek, ktorý veľmi dobre pozná počítač, jeho správanie, slabiny a ovláda programovanie (alebo aspoň časť). Zvyčajne má záškodnícke sklony, je škodoradostný alebo mu ide o potrebu dokázať sám sebe, e je lepší ako tí, ktorým vírus spôsobí problémy.
V čase studenej vojny (a aj v tých súčasných) údajne vírusy vytvárali aj znepriatelené strany a snažili sa pomocou nich znefunkčniť jadrové zbrane protivníka.

Ako to funguje ?

Vírusy sa šíria kopírovaním. Vírus nevznikne samočinne (aj keď už existujú programy na ich generovanie), ale má autora. Ten nainfikuje počítač, disketu, sieť ... a už to ide.
Vírusy sa dnes najčastejšie šíria Internetom v podobe príloh emailových správ, občas sa môžeme stretnúť aj s deduškami, ktorí sú uložení v súboroch (môžu to byť programy alebo dokumenty Wordu, Excelu a pod. – hovoríme im makrovírusy) alebo boot-sektore (v takýchto prípadoch sa vírus aktivuje po spustení súboru alebo počítača).
Staršie vírusy ihneď napádali všetko čo sa dalo, niektoré sa len uhniezdili v pamäti a čakali (rezidentné vírusy). Strážili spúšťanie súborov a kopírovanie na disketu. Ak ste vložili disketu a kopírovali na ňu údaje, škodlivý kód sa k nim pribalil. Ak ste spustili súbor, vírus ho „prezrel“ a ak nebol infikovaný, nakazil ho. „Internetové“ vírusy prehľadávajú súbory, v ktorých by sa mohli skrývať adresy elektronickej pošty a rozmnožujú sa odosielaním svojho kódu na ne často v lákavom obale využívajúc metódy sociálneho inžinierstva a naivitu neskúsených užívateľov .

Ako zabrániť nákaze ?

Jediný spôsob, ako stopercentne zabrániť nákaze, je nepoužívať počítač. Denne totiž vznikajú nové a nové vírusy, ktorých prítomnosť v počítači ani nemusíme odhaliť a preto si úplne istí „zdravím“ svojho počítača nemôžeme byť nikdy.

Hovorí sa, že dôležitejšia ako samotné liečenie je prevencia.

Ako teda zabrániť preniknutiu vírusu do vášho počítača ?

http://viry.cz/go.php?p=viry&t=clanek&id=1#zasady

Nepoužívajte cudzie, neznáme diskety, najlepšie ich nepoužívajte vôbec. V dobe rýchleho mobilného internetového pripojenia, HD- DVD, Blue-raid médií, USB flash diskov, disketová mechanika stráca na význame.

neotvárajte neočakávané dokumenty vo svojej emailovej schránke

pravidelne aktualizujte systém a inštalujte záplaty odstraňujúce „diery“ v systéme

Obvykle sú dostupné na stránkach autorov operačného systému alebo ich môžete získavať prostredníctvom služby Windows Update, ktorá je súčasťou položiek k menu tlačidla „Start“.

pravidelne zálohujte údaje. Túto činnosť oceníte najmú vtedy, keď sa na vašom disku vybúri niektorý z vírusov likvidujúcich údaje

nenechávajte pri štarte počítača disketu v mechanike

snažte sa používať originálny softvér od autorizovaných distribútorov

pokiaľ možno, obmedzte prenos údajov a programov medzi počítačmi

Ani dodržiavanie týchto zásad vás nemusí ochrániť pred napadnutím, preto je rozumné okrem spomínaných zásad používať aj antivírusové programy .

Antivírusové programy

Programy, ktoré sa zaoberajú hľadaním a odstraňovaním (liečením) vírusov, sa nazývajú antivírusové programy.

Čo by mal dokázať dobrý antivírusový program ?

nájsť vírus ukrytý v pamäti, na disku, diskete alebo v elektronickej pošte
dokázať ho odstrániť, zničiť
odstrániť aj napáchané škody
mal by byť rýchly, aby príliš nespomaľoval prácu

Ďalej by mal byť schopný zapnúť ochranu počítača počas činnosti, t.j. byť neustále v pamäti a strážiť počítač pred rizikovými operáciami, ktoré sú pre vírusy charakteristické (zapisovanie do FAT- tabuľky, priamy prístup na disk, útoky zo siete....).

Väčšina dokáže zálohovať aj citlivé časti disku (partition table, boot-sektor) a CMOS (BIOS).
Štandardom je používanie kontrolných súčtov (CRC). Každý vírus po zapísaní (prepísaní) zmení kód programu (súboru).

Vzhľadom na to, že autori vírusov sú vždy o krok pred autormi anitivírusových programov, rozšírilo sa hľadanie vírusov heuristickou analýzou.

Pri bežnom hľadaní (hovorí sa scanovanie) sa prezerajú súbory a porovnáva sa ich kód s kódom evidovaných vírusov. Ak sa v súbore nájde časť, ktorá zodpovedá kódu vírusu, vyhlási sa za nakazený. Nevýhodou je, že scanovanie dokáže nájsť len evidované vírusy.

Okrem toho existujú aj vírusy, ktoré počas existencie menia svoj programový kód (polymorfné). Nájsť polymorfný vírus pomocou scanovania je prakticky nemožné.

V snahe o vyriešenie tohto problému zakomponovali tvorcovia antivírusových programov do svojich systémov heuristickú analýzu, ktorá dokáže odhaliť aj neznáme vírusy, ktoré sa prejavujú typickými inštrukciami (priamy zápis na disk, modifikovanie citlivých sektorov na disku..).

Okrem polymorfných vírusov existuje ďalšia skupina – stealth vírusy. Tieto vírusy zmanipulujú operačný systém tak, že dokážu skryť svoju prítomnosť pred antivírusovým programom. Vírusy tohto typu máte šancu nájsť len v prípade, ak spúšťate antivírusový program v prostredí nenakazeného systému (napr. z disku, na ktorom je iná kópia operačného systému ako na nakazenom).

Ako odhaliť napadnutie ?

Pokiaľ považujete pravidelné scanovanie a kontrolu počítača za zbytočné, môžete rozpoznať vírus podľa neobvyklého správania sa vášho počítača:

pomalé vykonávanie operácií (najmä čítanie a zápis na disk)
podozrivá činnosť disku alebo siete aj v momentoch, keď s počítačom nepracujete
zlé reakcie na klávesnicu
„zamŕzanie“
náhodné resetovanie
odmietanie poslušnosti a netradičné správanie sa programov.

Napriek tomu, že ide o najčastejšie príznaky, netreba spanikáriť, pretože na každú z týchto možností existuje aj iné vysvetlenie (preťaženosť systému, chybný hardvér...).

Čo robiť v prípade napadnutia ?

Máte istotu, že váš počítač je napadnutý, treba urýchlene vírus likvidovať.

Pokiaľ v ňom máte dôležité údaje a nedisponujte zručnosťami skúseného užívateľ, je lepšie ponechať riešenie na odborníkov.

V opačnom prípade si v prvom rade zálohujte všetky údaje, ku ktorým sa dostanete a potom nainštalujte najnovšie aktualizácie antivírového programu a dúfajte, že liečenie bude úspešné.
Pokiaľ antivírový program nedokáže z nejakého dôvodu vírus odstrániť a pomoc odborníka je v nedohľadne, môžete skúsiť „načerpať rozum“ napr. z www -stránky www.virusy.sk, ktorá aktuálne reaguje na najnovšie vírusy a poskytuje množstvo jednoúčelových (len na jeden vírus) liečiacich programov.

Ak sú napadnuté systémové oblasti a vírus nemožno odstrániť, neformátujte ho (niekedy to pomôže, no stretávame sa aj s prípadmi, že vírus formátovanie „prežije“). Zožeňte si lepší antivírusový program alebo lepšieho odborníka.

Mať raz jeden antivírusový program neznamená byť zabezpečený na celý život, pretože vírusy sa neustále vyvíjajú, a čo bolo dobré pred mesiacom, môže byť už zajtra zastaralé. Väčšina výrobcov aktualizuje svoje programy (databázy vírusov) v priebehu niekoľkých dní, a pokiaľ chcete mať aspoň akú - takú istotu, že váš počítač je zdravý, snažte sa mať vždy aktuálne verzie.

Konkrétne antivírusové programy

Medzi najpopulárnejšie antivírusové programy u nás patria NOD a AVG. K obom aplikáciám možno získať aktuálne manuály priamo zo stránky výrobcov, preto sa nimi detailne zaoberať nebudeme.

NOD je slovenský antivírusový program. Okrem testovania je k dispozícii aj rezidentná ochrana a možnosť ochrany voči útokom z Internetu.

Skúšobnú 30 – dňovú verziu si možno stiahnuť z domovskej stránky www.nod.s k .

AVG je produktom českej firmy Grisoft s dlhoročnou tradíciou. Má podbné funkcie ako NOD, okrem rezidentnej ochrany dokáže realizovať i heuristickú analýzu. Skúšobnú 30 – dňovú verziu si možno stiahnuť z domovskej stránky www.grisoft.sk

Ani používanie toho najlepšieho antivírového programu vám však nezaručí, že počítač je zdravý

Menu

Vírusy a antivírusové programy

Portrét

Oblíbené odkazy

Vyhledávání

Archiv