Virusai

Vilniaus Gedimino Technikos Universitetas

Verslo vadybos katedra

Informatikos katedra

Vilnius 1999

Turinys:1.Viruso samprata…………………………………………32.”Kirminas”………………………………………………33.”Trojos arklys”………………………………………….44.”Metikai”…………………………………………………45.”Bombos”……………………………………………….46.Kaip veikia virusai……………………………………….67.Naudota literatura………………………………………..7

Viruso samprata Virusas yra tyčia sukurta kompiuterinė programa, skirta įsiskverbtį į kitą programą taip, kad paleidus pastarąją būtų paleidžiamas ir virusas, kuris savo ruožtu plinta užkrėsdamas ir kitas programas. Virusas prisijungia prie programos – nešėjos failo, o kartais net pakeičia visą programą. Neretai kiti programų failai užkrečiami jau pakitusia viruso forma. Užkrečiama programa gali būti ir makrokomandų failas arba disko pakrovimo sektorius – pirmoji programa, paleidžiama diske su pakraunama operacine sistema. Pastebėkite žodžius “tyčia sukurta” viruso apibrėžime. Virusai neatsiranda šiaip sau. Juos kuria ir tobulina nemažų sugebėjimų programuotojai, vėliau randantys būdų užkrėsti virusais naivių vartotojų AK. Kuo galingesnės tampa antivirusinės programos, tuo labiau virusų autoriai stengiasi jas pergudrauti. Daugeliui virusų programuotojų tokio kodo kūrimas yra tiesiog iššūkis; o kitiems – galimybė pasismaginti AK vartotojų bėdų ir baimės sąskaita. Gaila, juk šie žmonės galėtų uždirbti krūvą pinigų padėdami spręsti 2000 metų krizę. Virusai pelningai turi kenksmingų programų reputaciją, tačiau tikrovėje daugelis jų nieko blogo nedaro. Tiesa, kai kurie jų gadina failus ar kaip kitaip kenkia, bet didžioji dauguma tik erzina arba iš vis yra vartotojui nematomi. Tam, kad programa būtų laikoma virusu, jie turi automatiškai daugintis; visa kita yra neprivalu. Žinoma, net “neskausmingi” virusai nėra visiškai nepavojingi. Jie užima atmintį, vietą diske, naudoja procesoriaus resursus ir todėl turi įtakos jūsų kopiuterio spartai ir našumui. Dar daugiau – antivirusinės programos skirtos kovoti su jais taip pat naudoja atminties ir procesoriaus resursus; daug vartotojų tikina, kad jos lėtina kompiuterį daug labiau ir yra gerokai įkyresnės už pačius virusus. Kitaip tariant, virusai turi įtakos jūsų darbui su kumpiuteriu net tuomet, kai nieko kenksmingo nedaro.

Pateiktas virusų apibrėžimas iš tikrųjų yra gerokai siauresnis, nei tai, ką mes paprastai laikome virusais. Kiti programų tipai tik iš dalies atitinka apibrėžimą. Kaip ir virusai , tokios komandos veikia be vartotojo žinios ir kompiuteryje atlieka vienokius ar kitokius veiksmus, kuriems yra sukurtos. Į tokių sąrašą galėtume įtraukti “kirminus” (worms), “Trojos arklius” ir “metikus” (dropers). Visos jos kartu su virusais vadinamos kenkėjiškomis programomis.“Kirminas” “Kirminas” gali daugintis per diskelius arba tinklais. Kartais “kirminas” veikia naudodamasis tinklu kaip pagrindu. Tačiau kitų programų jis niekada neužkrečia. Kai kurios “kirminų” rūšys naudojasi tinklu tik tam, kad nukopijuotų save iš vieno kompiuterio į kitą, jie vadinami “sistemos kirminais”, o kiti – “tinklo kirminai” – pasklinda po visą tinklą ir juo naudojasi atskirų savo dalių funkcionavimui. “Kirminai” gali daugintis ir neprijungtame prie tinklo kompiuteryje. Tuomet jie kopijuoja save į skirtingas kietojo disko vietas.

“Trojos arklys” “Trojos arklio” pavadinimas kilo iš graikų mito, kurį geriausia paskaityti “Odisėjoje”. Pasak jo, graikai trojiečiams padovanojo medinį arklį, kurio viduje slėpėsi kariai. Kai arklys buvo atgabentas į Troją, graikų kariai iššoko lauk ir užgrobė miestą, taip užbaigdami ilgai trukusią Trojos apsuptį. Panašiai veikia ir “Trojos arklys”, kuris paslepiamas iš pažiūros visai nekaltoje programoje. Pastarąją paleidus ji pradeda tam tikrus iš anksto numatytus veiksmus, – tuo gerokai nustebina nieko neįtariantį vartotoją. Šio tipo programos pačios nesidaugina.

“Metikai” “Metikai” sukurti taip, kad antivirusinės programos nesugebėtų atpažinti jų kodo, todėl jie lengvai prasiskverbia į AK. Pagrindinė jų užduotis – atgabenti ir paleisti virusą. Stebėdami sistemą “metikai” sulaukia tam tikro įvykio ir užkrečia kompiuterį savo virusu.

“Bombos”

Panašiai veikia ir “bombos”. Įtaisytos kenkėjiškose programose jos veikia kaip detonatoriai. Kitaip tariant, “sprogsta” atsiradus tam tikroms sąlygoms. Kai kurios “bombos” reaguoja į sistemos laikrodį, kitos gali Naujųjų metų proga ištrinti visus DOC tipo failus ar parodyti kokį nors pranešimą, per kokio nors garsaus žmogaus gimtadienį. Dar kitos sulaukia, tarkime, dvidešimties tam tikros programos paleidimo kartų ir paskui ištrina visus šios programos failų šablonus. Iš esmės “bomba” yra piktavališkų veiksmų sekos aprašas ar planavimo programa.

Dažnai pačiuose virusuose panaudojamos viena ar kelios kenkėjiškos programos. Virusai gali būti platinami per “metikus” (nors nebūtinai) ar naudotis “kirminų” principu kopijuoti pačius save. Nebūdami “Trojos arkliais” virusai gali atitikti “arkliams” keliamus reikalavimus: daryti tai, ko nenori vartotojas, ir pasislėpę programose paversti jas “Trojos arkliais” (t.y. veikti joms pasileidus ir atlikti nepageidaujamus veiksmus).

Pavadinimas Tipas Ką užkrečia CharakteristikosAol4free.com Trojos arklys Nieko (kenkia, bet į kitas programas neplinta) Paleistas pasinau-doja DOS komanda “Deltree” ir ištrina diską; skiriasi nuo netikro “Aol4free” viruso, kuris atsira-do ankščiauForm Pradinio sektoriaus, atminties Diskelio pradinį sektorių Gana senas, bet dažnai pasitaikantis. Padariniai: spaudant klaviatūros klavišus sklaidžia garsą Hare Atminties polimor-finis, daugiaveiks-mis COM ir EXE failus, pradinius disko įrašus, diske-lio pradinius sekto-rius. Rugpjūčio 22 ir rug-sėjo 22 bando ištrin-ti A, B ir C diskusJava.App Strange Brew Tiesioginio veiksmo failų užkrėtėjas “Java” klasės failus Pirmasisi virusas, užkrečiantis “Java” programėles.Plinta visose OS. Nežino-ma, ar kenksmingasMicrosoft.Excel. Spellcheck Makrokomanda “Excel” elektroni-nes lenteles Sukuria “Excel” segtuve failą Spellck.xla. Nepiktybinis, bet perspėja, kad kom-piuteris užkrėstas makrovirusu Monica (Hanko.4167) Atminties, “nema-tomas” failų užkrėtėjas COM, EXE failus Liepos 7 d. 7:07 val. sustabdo kompiu-terio veikimą ir pa-rodo užrašą “Monica”W95.CIH Atminties failų užkrėtėjas “Windows 95” EXE failus Kiekvieno mėnesio 26 d. bando perra-šyti keičiamo BIOS duomenis ir sunai-kinti kietojo disko informacijąW95.Marburg Tiesioginio veikimo failų užkrėtėjas “Windows” 95/98/NT įvairių tipų paleidimo failus Praėjus trims mėne-siams po užkrėtimo paleidus užkrėstą programą visas ekranas pasidengia “Windows” klaidos pranešimo lentelė-mis. Ištrina antiviru-sines programasW97/X97M Shiver Makrokomanda “Word 97” ir “Excel 97” dokumentus Pirmasis makroviru-sas, užkrečiantis ir “Word”, ir “Exel” dokumentus. Nelei-džia atidaryti už-krėstų dokumentų

Win32/Semisoft Atminties, failų užkrėtėjas “Windows” EXE failus Siunčia kai kurių failų duomenis tam tikru IP adresuWM.PolyPoster Makrokomanda “Word” dokumentus Siunčia pranešimą į kai kurias naujienų grupes, naudodama-sis “Free Agent” programa. Prie pra-nešimų prisega “Word” dokumen-tusXM.Compat Polimorfinis makrovirusas “Excel” elektro-nines lenteles Vartotojui uždarant užkrėstą lentelę at-sitiktinai parenka skaitines vertes ir pakeičia jas 5 pro-centais

Kaip veikia virusai Virusų yra daug ir jie veikia skirtingais būdais, todėl apžvelgti visus yra ganėtinai sunku. Mes aprašysim tik pagrindinį procesą. Iš pradžių virusai kokiais nors būdais atsiranda kompiuteryje. Dažniausiai taip įvyksta su užkrėstų programų (COM, EXE failų ar pakrovimo sektoriaus) pagalba. Praeityje virusai buvo platinami išskirtinai per užkrėstus dikelius. Šiais laikais jie dažnai siunčiami tinklais (taip pat ir “Internetu”) kaip bandomųjų programų failų, makrokomandų failų ar prisegtų prie elektroninio pašto žinutės failų dalys. Elektroninio pašto žinutė savaime negali būti virusu. Virusas yra progama, jis privalo būti paleistas. Elektroniniu paštu virusas atkeliauja prisegtas prie žinutės kaip failas, todėl niekas negali įvykti tol, kol jūs jo nepaleidžiate. Tai padaryti galima įvairiai, bet dažniausiai užkrėsti failai paleidžiami du kartus spragtelėjus juos pelyte. Vienintelis būdas apsaugoti save nuo taip atkeliaujančių virusų – niekada neatidarinėti prisegtų duomenų, kuriuose yra paleidimo failai (EXE ir COM) ar tokių programų kaip “Office”, kurios laidžia rašyti makrokomandas, failai. Grafiniai, garso ar kitokie duomenų failai yra saugūs. Virusas kompiuteryje elgiasi visai taip, kaip ir “Trojos arklys”. Jis slepiasi kitoje programoje ar faile ir paleidžiamas kartu su juo. Kad taip įvyktų, virusas pakeičia užkrėsto failo kodą. Jis duoda nurodymą progamai aptikti virusą ir jį paleisti. Paprastai šis procesas vyksta taip: programos vykdymas nutraukiamas, peršokama į užkrėstą dalį, įvykdomos viruso komandos ir sugrįžus į pradžią tęsiamas programos vykdymas. Nuo tada virusas ima veikti ir užkrečia kitus failus.

Virusai gali pradėti veikti iš karto – tokie virusai vadinami tiesioginio veikimo virusais – arba pasinaudoję operacinės sistemos leidimu psikrauti į atmintį ir ten tūnoti. Daugelis virusų priskiriami antrajai kategorijai. Tokie virusai vadinami “atminties virusais”. Pasilikdami atmintyje jie įgyja daug laisvės – gali stabėti atsarginių kopijų darymo procesą, sekti klaviatūros ar pelės veiklą ir daug kitų dalykų. Atmintyje įsikūręs virusas gali daryti beveik viską, ką daro operacinė sistema. Naudodamas “bombas” virusas gali palaukti tam tikro įvykio ir tik paskui pradėti savo veiklą kompiuteryje. Virusas taip pat gali rasti kompiuterio diske (ar kur kitur tinkle) paleidžiamųjų failų ir juos užkrėsti.

Virusų autoriai yra itin išradingi. Jie nuolat randa naujų būdų sukliudyti antivirusinėms programoms. Pavyzdžiui, “nematomi” virusai apgauna antivirusinę programą parodydami, kad kompiuteris yra švarus. Dažniausiai jie išsaugo informaciją apie pradinę failų būseną tam, kad galėtų ją pateikti tikrinant antivirusinę programą.

Polimorfiniai virusai daugindamiesi šiek tiek pasikeičia, todėl antivirusinė programa, ieškodama virusų pagal tam tikrą šabloną, nesugeba aptikti visų jo variantų. Likę neaptikti virusai gali daugintis toliau. Kompiuterių pasaulyje atsiranda vis naujų gudriai sukurtų virusų, tad šis “katės ir pelės” žaidimas tarp virusų kūrėjų ir antivirusinių programų gamintojų tęsiasi. Tikriausiai virusų taip greit neatsikratysime.

Naudota literatūra:

Neil Randall “Kaip veikia virusai”; “Naujoji komunikacija” 1999m. vasario 11 – 25 d. Nr. 3

Vygintas Krasauskas “Kitokie virusai”; “Naujoji komunikacija” 1999m. sausio 14 – 28 d. Nr. 20