1. Viskas apie virusus
1.1 Viruso apibrėžimas Virusas – tai kompiuterinis kodas, kuris savo plėtimuisi turi infekuoti kurią nors programą-nešėją. Paprastai kompiuterinis virusas infekuoja kitas programas įjungdamas į jas programos-viruso kodą. Virusas projektuojamas taip, kad po tam tikro laiko galėtų keisti savo formą ir tikslą. Virusai dažniausiai programuojami tam, kad atliktų įvairius kenkėjiškus veiksmus: 1. Plistų 2. Blokuotų programų darbą 3. Naikintų, trintų kompiuteryje esančią informaciją4. Lėtintų procesoriaus darbą5. Keistų, modifikuotų kompiuterinių programų ar failų parametrus1.2 Viruso kilmė Pirmą kartą (1949m.) programos-viruso modelį pateikė Džonas fon Neimanas (John fon Neumann). Pirmas užregistruotas kompiuterinis virusas buvo žaidimas “Karas operatyvioje atmintyje” (“Core War”), kurį 6-ajame dešimtmetyje sukūrė kompanijos Bell Laboratories darbuotojas M.Duglas. Žaidimo tikslas buvo parašyti programą, kuri ištrintų priešininko informaciją ir blokuotų jo įrašus atmintyje.
1.3 Virusų evoliucija1987 m.Virusas „Brain“ir „Stoned“1988 m. Programuotojas iš Indonezijos sukuria pirmąją antivirusinę programą, kuri suranda ir pašalina iš kompiuterio virusą „Brain“, bei apsaugo nuo būsimų šio viruso atakų.1988 m. kompanija IBM išleidžia pirmąją komercinę antivirusinę programą. 1992 m. „Michelangelo“ virusas (sugadindavo diskinio kaupiklio turinį).1993 m. buvo žinoma 3200 virusų, šiandien – daugiau nei 40 tūkst. Per dieną sukuriama apie 12 virusų.1994 m. nubaustas viruso „Pathogen“ autorius. Jis nuteistas 18 mėnesių kalėti. Tai pirmasis atvejis, kai nubaustas viruso kūrėjas.1995 m. „Microsoft“ kompanija išleido makrokomandų programavimo kalbą „WordBasic“, kuri labai supaprastino naujų virusų kūrimą.1995 m. pirmasis makrovirusas „Concept“ parašytas „WordBasic“ veikdavo bet kuriame kompiuteryje, kuriame būdavo „Word“ programa1999 m. išplinta „Chernobly“ virusas, gadinantis diskinio kaupiklio duomenis (milijardiniai nuostoliai).1999 m. „Melissa“ virusas plinta pats išsiųsdamas savo kopijas adresais iš „Outlook“ pašto programos.2000 m. „LoveLetter“ virusas iš Filipinų per šešias valandas nusiaubė Europą; užkrėtė iki 3mln. Kompiuterių (34,8 mlrd. Litų nuostolis).
1.4 Virusų simptomai
1. Neaiškūs pranešimai2. Kompiuteris visiškai nepasikrauna 3. Lėtai veikia 4. Diske netikėtai ima stigti vietos1.5 Virusų savybės1. Plinta patys save perkopijuodami;2. Savo kopiją prilipdo prie „nešėjo”, kad, kreipiantis į „nešėją”, ji galėtų pradėti veikti. Nešėju gali būti failas, atmintis (laikmena), pakrovimo sektorius; 3. Kenkia vartotojo programoms – nuo darbo trukdymo iki visiško duomenų sunaikinimo.
1.6 Virusų klasifikacija Kadangi virusų yra labai daug ir įvairių rūšių juos imta klasifikuoti. Štai kelios pagrindinės jų grupės:1. Užkrovimo virusas2. Tikrasis virusas 3. Kirminas 4. Loginė bomba 5. Laiko bomba 6. Trojos arklys 7. Virusai palydovai 8. Polimorfinis virusas9. Nematomi virusai
Virusai taip pat gali būti rūšiuojami pagal:1. kenksmingumą2. užkrėtimo būdą 3. “gyvenimo” aplinką.
1.7 Keletas patarimų, kaip apsisaugoti nuo virusų• nepakanka turėti antivirusines programas,– reikia naudotis jomis • stenkitės įsigyti naujausias antivirusinių programų versijas • nepasitikėkite net ir patikimiausio žmogaus garantija apie jo diskelio „švarą“• visuomet turėkite sisteminį diskelį, iš kurio būtų galima pakrauti kompiuterį• turėkite svarbiausių dokumentų atsargines kopijas• atsiradus „neįprastam” kompiuterio elgesiui, patikrinkite kompiuterio kietąjį diską su visomis turimomis antivirusinėmis programomis.1.8 Virusų pasirodymo dažnis Pagal Kaspersky Lab užregistruotus incidentus taip atrodo virusų pasirodymo dažnis (Virus Top 20) 2003 m. gegužės mėnesį.
Nr. Virus Procentas1 I-Worm. Sobig 21,67 %2 I-Worm. Lontin 16,96 %3 I-Worm. Kloz 15,39 %4 I-Worm. Fizzor 0,57 %5 I-Worm. Roron 0,51 %6 Worm. Win32. Randon 0,35 %7 I-Worm. Ganda 0,25 %8 Macro. Word97. Thus 0,23 %9 Backdoor. Assasin 0,24 %10 I-Worm. Tanatos 0,21 %
2. Antivirusinė programa, kas tai ?
Antivirusinė programa – tai specialios kovos su kelties virusais mikroschemos. Jos perima valdymą sistemos pradinės kelties metu anksčiau už sisteminės kieto disko informacijos ir OS keltį. Be to, antivirusinės mikroschemos tikrina kiekvieno diskelio kelties sektorių prisijungimo metu, ir tai trunka tik kelias milisekundes. Antivirusinė programinė įranga – tai populiariausia kovos su virusais priemonė. Reikėtų naudoti rinkinį, turintį visus galimus antivirusinių programų grupių atstovus, įvertinant kiekvieno jų privalumus bei trūkumus ir paskirtį.
2.1 Antivirusinės programos sudėtis Kad antivirusinė programa galėtų patikimai atlikti savo funkcijas, ją turėtų sudaryti:1. Programos – revizoriai. Jos naudojamos atliekant ankstyvąją viruso diagnostiką ir turi du darbo etapus. Pirmiausia revizoriai atsimena duomenis apie programų ir diskų sisteminių sričių (kelties sektoriaus ir sektoriaus su disko paskirstymo lentele) būklę (pvz., jų dydžius). Traktuojama, kad tuo momentu programos ir sisteminės diskų sritys neužkrėstos. Po to revizoriai gali kiekvienu momentu palyginti esamą jų būklę su pradine. Jei randamas neatitikimas (“prikibęs” prie programos virusas padidina ją standartiniu, jam būdingu dydžiu), apie tai pranešama vartotojui. Tai suteikia galimybę nustatyti užsikrėtimą virusu iki tol, kol jis dar nepadarė didelių nuostolių. Be to, programa – revizorius gali rasti viruso paveiktus failus. Norint patikrinti, ar nepasikeitė failas, skaičiuojamas arba jo ilgis, arba kontrolinė suma – tai tam tikra speciali viso failo turinio funkcija (pvz., bendras vienetų skaičius failo duomenyse). Jei pasikeitė ilgis ar kontrolinė suma, tai aišku, kad pasikeitė ir failas. Pakeisti failą taip, kad nepakistų kontrolinė jo suma, praktiškai neįmanoma. Norint suskaičiuoti kontrolinę sumą, būtina perskaityti visą failą, o tai santykinai ilgas procesas. Kadangi tikrinti, ar kompiuteryje nėra virusų, reikia dažnai (geriausiai OS kiekvienos pradinės kelties metu), tai ilgas tikrinimo laikas nepageidautinas. Todėl paprastai kontrolinės sumos skaičiavimą ir pastovų jos tikrinimą tikslinga atlikti tik itin svarbiem, dažniausiai vykdomiems failams (programoms) (pvz., COMMAND.COM, IO.SYS, MSDOS.SYS ir pan.). O kitų failų gali būti tikrinamas tik dydis. Taigi programos – revizoriai gali “išgaudyti” ir žinomus, ir visai nežinomus virusus.2. Programos – filtrai. Jos dar vadinamos rezidentinėmis antivirusinėmis programomis arba bendrojo monitoringo (įspėjimo) programomis. Šios programos talpinamos rezidentiškai kompiuterio operatyviojoje atmintyje ir perima tuos kreipinius į OS, kuriuos virusai naudoja dauginimuisi ir kenkimui. Apie tai jos praneša vartotojui, kuris gali leisti atlikti atitinkamą operaciją ar ją uždrausti. Tokie “įtartini” kreipiniai (veiksmai) yra šie: vykdomųjų failų keitimas, failo atributo “tik skaitymui” panaikinimas, disko formatavimas, tiesioginis įrašymas (įrašymas pagal absoliutinį adresą) į diską, programos padarymas rezidentine.Kai tik yra kreipinys (į OS) atlikti “įtartiną” veiksmą, į ekraną išvedamas pranešimas apie tai, kokį veiksmą reikia atlikti ir kokia programa nori jį atlikti. Jei šis veiksmas realiai nereikalingas vykdant tą programą, jį reikia uždrausti, nes tai, matyt, yra viruso reikalaujamas veiksmas. Programų – filtrų naudojimo pagrindiniai trūkumai: 1) jos pastoviai užima tam tikrą operatyviosios atminties dalį ir kartu mažina atminties dalį, į kurią gali kreiptis kitos programos; 2) vartotojas turi atsakinėti į klausimus: leisti ar uždrausti konkrečius veiksmus kompiuteryje; jei šie klausimai dažni, vartotojui jie gali nusibosti; 3) jų užtikrinamo apsaugos laipsnio nereikia pervertinti, nes daugelis virusų, norėdami plisti ir kenkti, tiesiogiai kreipiasi į OS programas, nenaudodami šių programų standartinio iškvietimo per pertraukimus būdo. O rezidentinės programos perima tik šiuos pertraukimus. Be to, jos nepadeda apsaugoti diską nuo užsikrėtimo virusais, kurie plinta per kelties sektorių – toks užsikrėtimas gali įvykti OS pradinės kelties metu, t.y., prieš bet kurių programų vykdymą ar tvarkyklių nustatymą. Pagrindinis programų filtrų privalumas tas, kad jos gali nustatyti ankstyvos stadijos virusą, t.y., kol jis dar nespėjo išplisti ir pakenkti. Tuo būdu, nuostolius dėl virusų galima sumažinti iki minimumo.
3. Programos – detektoriai. Jos suteikia galimybę rasti failus, kurie užkrėsti kokiu nors žinomu virusu. Detektoriai tik aptinka virusą, bet nuo jo neišgydo. Virusas gali būti randamas pagal parašą, t.y., kaip minėjome, pagal jam būdingų baitų kombinaciją. Todėl šiose programose yra virusinių parašų bankas. Banko sudėtis apsprendžia aptinkamų virusų rūšis ir jų skaičių. Be to, kai kuriems virusams surasti gali būti pasitelkiama vadinamoji euristinė analizė. Tai rinkinio taisyklių, apibrėžiančių virusus, panaudojimas jiems lokalizuoti. Detektoriai gali tikrinti nurodytus diskus ar failus. Daugelis jų turi užkrėstų failų naikinimo priemones. Dirbant su programomis detektoriais, reikia jas reguliariai (bent kas 1-3 mėnesius) atnaujinti, t.y., dirbti su konkrečios programos paskutine versija, galinčia aptikti ir naujai pasirodžiusius virusus.4. Programos – daktarai. Tai antivirusinės programos, ne tik aptinkančios virusus, bet ir išgydančios nuo jų, t.y. atliekančios priešingus veiksmus nei atliko virusas, užkrėsdamas kompiuterį. Jos iš užkrėstos programos ar disko “iškanda” (išmeta) virusą, t.y., grąžina programą į tą būseną, kuri buvo prieš užsikrečiant. Failai, kurių nepasiseka grąžinti, paprastai daromi neveikliais (nedarbingais) arba išmetami. Programų – daktarų pagrindiniai trūkumai: gydant kai kuriuos virusus, gali būti sugadinta programa ar palikti viruso fragmentai, kai kurie virusai gali būti klaidingai atpažinti ir tada blogai išgydoma. Programos – daktarai dažniausiai neišskiriamos į atskirą grupę. Traktuojama, kad tai yra programa – detektorius, turinti galimybę gydyti. Pavyzdžiui programa F-Prot, kuri naudojama antivirusinėje sistemoje F-Prot Professsional, sukurtoje bendrovėje “Frisk Software International”, identifikuoja per 7000 virusų ir apie 85% atvejų nuo jų išgydo. Specialistai šiai sistemai suteikia apie 94% patikimumo lygį.2.2 Kaip veikia antivirusinė programinė įranga? Antivirusinės programos tikrina –skenuoja kompiuterio atmintį ir failų sistemą ieškodamos virusų infekcijos požymių. Naudojamos dvi skenavimo strategijos :1. pagal poreikį (on demand) 2. automatinė( on access). Virusų ieškoma vienu iš dviejų galimų būdų :1. Jei tai yra žinomas virusas, tai programinė įranga vykdo viruso šablono – signatūros (signature) paiešką,2. Jei virusas yra visai naujas, kuriam dar nėra ir antiviruso, naudojama euristika, kuri ieško neįprasto, panašaus į virusinį, aktyvumo jūsų sistemoje.3. Antivirusinių programų apžvalga
3.1 Panda Titanium 2006 Antivirus + Antispyware Naujasis Panda Titanium 2006 Antivirus + Antispyware suteikia nuolatinę ir automatinę apsaugą nuo visų rūšių virusų ir šnipinėjimo grėsmių. Jūsų pačių saugumui yra integruotos TruPrevent Technologijos, kurios suteikia dvigubą apsaugos liniją nuo nežinomų virusų. Jis taip pat apsaugo nuo hakerių, „phishing“ ir kitų tiesioginių apgavysčių.Pagrindinės savybės:1. Automatiškai aptinka ir sunaikina visų rūšių virusus, kirminus ir Trojos arklius, kol Jūs siunčiate ir gaunate e-laiškus, persikeliate duomenis ar tiesiog dirbate Internete.2. TruPrevent Technologijos. Protingiausios technologijos, kurios teikia papildomą apsaugą, susidorodamos su nežinomais virusias ir įsilaužėliais.3. Apsaugo kompiuterį nuo šnipinėjimo programų. Titanium 2006 aptinka ir sunaikina šnipinėjimo ir kitas erzinančias programas, kurios įdėgia save į kompiuterį be leidimo.4. Sustabdo hakerius ir kitus įsilaužėlius, bandančius pateikti net per bevielį tinklą.5. Apsaugo nuo „phishing“ ir kitų tiesioginių apgavysčių.
3.2 „McAffee VirusScan“ Labai išvaizdi programa, suteikianti vartotojui galimybę vizualiai pamatyti aktualią statistinę informaciją, taip pat pateikiamos išvados apie programos būseną: neatliktą diskinio kaupiklio tikrinimą, neatnaujintas „parašų“ bazes. „VirusScan“ nuolatinio skanavimo modulis darbą atlieka gerai, nesunkiai aptinka „Explorer“ lange paslėptus virusus. Modulį galima lengvai pritaikyti savo reikmėms. „McAffee“ bene labiausiai pasirengusi atakoms iš interneto. Pakete yra „WebScanX“ modulis, skirtas apsaugai nuo „Java“ ir „ActiveX“ įskiepių. Tačiau ši programa turi ir keletą nežymių trūkumų: užima beveik 30Mb, programa negalima tikrinti kelių archyvų lygių, t.y., vieną archyvą įtraukus į kitą pastarajame virusas nebus aptiktas. Adresas internete: www.mcafee.com
3.3 „InoculateIT Personal Edition 5.2.5.0“ Iš seno įpročio į namų kompiuterius vis dar diegiamos komercinės antivirusinės programos “Doctor Web”, “Norton Antivirus”, “MacAfee VirusScan”, AVP ir pan., tačiau esama ir nė kiek neblogesnių nemokamų. “InoculateIT Personal Edition” gali aptikti visas virusų rūšis – nuo įkrovos sektoriaus virusų iki “Visual Basic” skriptų ir “Trojos arklių”. Programos antivirusinių duomenų failai papildomi beveik kas porą dienų, o programa gali juos atsiųsti iš interneto ir įdiegti automatiškai. Namų kompiuteriui ši antivirusinė programa ypač tinkama dėl realaus laiko antivirusinio skenerio, kuris nuolat stebi sistemą ir laiku perspėja apie virusą. Šis skeneris neužima nė megabaito atminties ir darbo su kompiuteriu beveik visiškai nestabdo. Tereikia nepamiršti bent kas mėnesį atnaujinti virusų duomenų failus – ir namų kompiuteris bus nuo virusų saugus.
3.4 „Norton Antivirus“ Įdiegus „Norton Antivirus“ programą iš karto pasiūloma ją atnaujinti, naudojant programą „LiveUpdate“, kuri yra „NortonSystemWorks“ paketo dalis. Šios antivirusinės programos nuolatinis modulis konfigūruojamas labai lanksčiai. Jame galima nustatyti kokius „įtartinus“ veiksmus galima atlikti programoms ar toleruoti aptiktus virusus. Šios antivirusinės programos kūrėjai pasistengė, kad vartotojas gautų kuo daugiau naudos iš šio programinio paketo. Pavyzdžiui galime nuolat tikrinti savo sistemą, t.y. aktyvuoti programoje nuolatinio budrumo rėžimą, galime tikrinti Windows sistemą (NortonWinDoctor) ir prireikus ją sutaisyti (Norton Disk Doctor). Taip pat ši programa gali suteikti vartotojui visą informaciją apie kompiuterį, jame esančias programas, jų darbą, kompiuterio priedus, jo sudedamąsias dalis ir t.t. Atlikusi patikrinimą „Norton Antivirus“ programa gali pateikti vartotojui išsamų raportą apie rastas klaidas, virusus ar sistemos sutrikimus. Šioje programoje ypač išplėtotos ir gana tobulos Interneto ir vidinio kompiuterių tinklo apsaugos priemonės. Programa kainuoja apie 198 litus. Dabar jau galima įsigyti įvairias „Symantec“ kompanijos sukurtas specializuotas antivirusines programas: Norton AntiVirus 2004 Professional; Symantec AntiVirus™ for Handhelds; Norton Internet Security 2004 Professional; Norton Personal Firewall 2004. Šios programos yra sukurtos specialiai interneto, elektroninio pašto ar profesionaliai kompiuterio apsaugai nuo virusų. Adresas internete: www.symantec.com
4. Ateities apsaugos priemonės
Ekspertai prognozuoja, jog neilgai trukus virusai bus per daug sudėtingi, kad asmeniniai kompiuteriai galėtų juos sustabdyti. “MessageLabs” vyriausiasis technikas Markas Saneris. Teigia jog saugos dėmesys nuo asmeninių kompiuterių ims krypti į dideles interneto duomenų bazes. Tokių bazių galingumas yra tūkstančius kartų didesnis nei paprastų asmeninių kompiuterių. Asmeninių kompiuterių antivirusinės programos yra priklausomos nuo duomenų, parsisiunčiamų iš saugos bendrovių. Tačiau, M. Sanerio teigimu, asmeniniuose kompiuteriuose galima sukaupti tik ribotą tokių duomenų kiekį. “Mūsų duomenų bazės atpažįsta virusų protrūkius ir gali juos nustatyti daug greičiau ir veiksmingiau”, – sakė M. Saneris. Todėl paprasti vartotojai, užuot pasikliovę komercinėmis antivirusinėmis programomis, asmeninėmis užkardomis ir operacinių sistemų atnaujinimu, labiau priklausys nuo atakas fiksuojančių ir su jomis kovojančių interneto paslaugų teikėjų ar įmonių tinklų.
5. Išvados
Antivirusinės programos kolkas pakankamai gerai atlieka savo darbą ir gali pasiūlyti vartotojui daug apsisaugojimo nuo virusų priemonių. Jas paprasta įdiegti, prižiūrėti ir atnaujinti, tačiau bėgant laikui tobulėja ir virusai. Jau dabar kompiuterių saugos ekspertai neslepia, kad šiemet pasirodę virusai buvo sudėtingesni, plito greičiau ir galėjo padaryti daugiau žalos už ankstesnius. Pavyzdžiui prie viruso “Sobig” pavadinimo esanti raidė “F” rodo, jog tai – šeštoji nuolat tobulinamo viruso versija. Todėl vien antivirusinėmis programomis pasikliauti negalima. Atvertinėjant elektroninio pašto laiškus, naršant po tinklą reikia elgtis taip, kaip keliaujant pavojingomis gatvėmis. Tačiau nuo virusų apsisaugoti galima. Tereikia turėti patikimą antivirusinę programą, tinkamai suderintą specialiai Jūsų darbo aplinkai, nuolat ją (antivirusinę programą) atnaujinti ir domėtis, kokie nauji virusai atsirado, kaip jie plinta, kokios jų savybės. O bene geriausias ir patikimiausias būdas – išsaugoti informaciją atskiroje (nuo kompiuterio, interneto ir pašalinių asmenų) laikmenoje pvz.: CD-ROM ar floppy disc.
6. Naudota literatūra
1. http://distance.ktu.lt/kursai/informatika1/5/2. http://pandasoftware.sonex.lt3. „Kompiuterija“, 2001 spalis 4. R. Ališauskas, A. Balvočius, T. Balvočienė, V. Brazdeikis, V. Gudonienė, G. Leonavičius, A. Miežinienė. “Informatikos skaitiniai”. Šviesa, Kaunas 19965.