Virusai

Kompiuteriniai virusai. Antivirusinės programos Virusai Egzistuoja tūkstančiai įvairių virusų, skirstomų į daug kategorijų, bet beveik visada jie apibrėiami gan paprastai. Virusas yra tyčia sukurta kompiuterinė programa, skirta įsiskverbti į kitą programą taip, kad paleidus pastarąją būtų paleidiamas ir virusas, kuris savo ruotu plinta ukrėsdamas kitas programas. Virusas prisijungia prie programos-neėjos failo, o kartais net pakeičia visą programą. Neretai kiti programų failai ukrečiami jau pakitusia viruso forma. Ukrečiama programa gali būti ir makrokomandų failas arba disko pakrovimo (boot) sektorius – pirmoji programa, paleidiama diske su pakraunama operacine sistema. Pastebėkite odius “tyčia sukurta” viruso apibrėime. Virusai neatsiranda iaip sau. Juos kuria ir tobulina nemaų sugebėjimų programuotojai, vėliau randantys būtų ukrėsti virusais naivių vartotojų AK (AK – asmeninis kompiuteris). Kuo galingesnės tampa antivirusinės programos, tuo labiau virusų autoriai stengiasi jas pergudrauti. Daugeliui virusų programuotojų tokio kodo kūrimas yra tiesiog iūkis, o kitiems – galimybė pasismaginti AK vartotojų bėdų ir baimės sąskaita. Virusai pelnytai turi kenksmingų programų reputaciją, tačiau tikrovėje daugelis jų nieko bloga nedaro. Tiesa, kai kurie jų gadina failus ar kaip kitaip kenkia, bet didioji dauguma tik erzina arba ivis yra vartotojui nematomi. Tam, kad programa būtų laikoma virusu, ji teturi automatikai daugintis, visa kita yra neprivalu. inoma, net “neskausmingi” virusai nėra visikai nepavojingi. Jie uima atmintį, vietą diske, naudoja procesoriaus resursus ir todėl turi įtakos jūsų kompiuterio spartai ir naumui. Dar daugiau – antivirusinės programos skirtos kovai su jais taip pat naudoja atminties ir procesoriaus resursus. I savo patirties galiu pasakyti, kad jos lėtina kompiuterį bent jau taip pat ir yra gerokai įkyresnės u pačius virusus. Kitaip tariant, virusai turi įtakos jūsų darbui su kompiuteriu net tuomet, kai nieko nedaro. Kaip atsirado virusai Pirmosios programos – virusų prototipai – buvo sukurti 1962 metais, kai trys amerikiečiai programuotojai H.McCilroy, V.Visotsky ir R.Moriss sukūrė kompiuterinį aidimą “Darwin”. aidiant jį maininiais kodais paraytos programos turėjo sunaikint viena kitą ir uimti visą mainos atmintį. Nugalėdavo ta programa, kuri “ugrobdavo” visą atmintį arba sunaikindavo daugiau kitų programų. 1988-ųjų metų rudenį R.Moriss_o sūnus Robertas Moriss_as sukūrė ir iplatino pirmąjį virusą. Universiteto diplomantas įvedė virusą į kompiuterį, tikėdamasis, kad is pradės veikti tik po kelių dienų, tačiau apsiskaičiavo ir virusas isprūdo į Internetą. Per penkias pirmąsias valandas virusas ivedė i rikiuotės 800 sistemų, atakavo universitetų ir NASA kompiuterius. I JAV virusas netruko patekti į Europą ir Australiją. Per 3 dienas pirmasis virusas “pribaigė” 6000 kompiuterių. Antrąją viruso pabėgimo naktį R.Moriss_as pats atėjo į FTB ir pasidavė. Prisiekusiųjų teismas nuteisė paskutinio kurso studentą kalėti 5 metus ir sumokėti 250 tūkst. dolerių baudą, tačiau kaltinamojo advokato pastangomis bausmė buvo pakeista į 3 mėnesius kalėjimo ir 270 tūkst. dolerių baudą. Virusai ir į juos panaios programos Pateiktas virusų apibrėimas i tikrųjų yra gerokai siauresnis, nei tai, ką mes paprastai laikome virusais. Kiti programų tipai tik i dalies atitinka apibrėimą. Kaip ir virusai, tokios programos veikia be vartotojo inios ir kompiuteryje atlieka vienokius ar kitokius veiksmus, kuriems yra sukurtos. Į tokių sąraą galėtumėme įtraukti “kirminus” (worms), “Trojos arklius” ir “metikus” (droppers). Visos jos kartu su virusais vadinamos kenkėjikomis (malware) programomis. “Kirminas” gali daugintis per diskelius arba tinklais. Kartais “kirminas” veikia naudodamasis tinklu tik tam, kad nukopijuotų save i vieno kompiuterio į kitą, jie vadinami “sistemos kirminais” (host worms), o kiti – “tinklo kirminai” – pasklinda po visą tinklą ir juo naudojasi atskirų savo dalių funkcionavimui. “Kirminai” gali daugintis ir neprijungtame prie tinklo kompiuteryje. Tuomet jie kopijuoja save į skirtingas kietojo disko vietas. “Trojos arklio” pavadinimas kilo i graikų mito, kurį geriausia paskaityti “Iliadoje”. Pasak mito, trojiečiai u miesto sienų įsitempė graikų paliktą medinį arklį, kurio viduje slėpėsi kariai. Trojoje graikų kariai ioko lauk ir ugrobė miestą, taip baigdami ilgai trukusią Trojos apsuptį. Panaiai veikia ir “Trojos arklys”, kuris paslepiamas i paiūros visai nekaltoje programoje. Pastarąją paleidus ji pradeda tam tikrus i anksto numatytus veiksmus, tuo gerokai nustebina nieko neįtariantį vartotoją. io tipo programos pačios nesidaugina. “Metikai” sukurti taip, kad antivirusinės programos nesugebėtų atpainti jų kodo, todėl jie lengvai prasiskverbia į AK. Pagrindinė jų uduotis – atgabenti ir paleisti virusą. Stebėdami sistemą “metikai” sulaukia tam tikro įvykio ir ukrečia kompiuterį savo virusu. Panaiai veikia ir “bombos”. Įtaisytos kenkėjikose programose jos veikia kaip detonatoriai. Kitaip tariant, “sprogsta” atsiradus tam tikroms sąlygoms. Kai kurios “bombos” reaguoja į sistemos laikrodį, kitos gali Naujųjų metų proga itrinti visus DOC tipo failus ar parodyti kokį nors praneimą per kokio nors garsaus mogaus gimtadienį. Dar kitos sulaukia, tarkime, dvideimties tam tikros programos paleidimo kartų ir paskui itrina visus ios programos failų ablonus. I esmės “bomba” yra piktavalikų veiksmų sekos apraas ar planavimo programa. Danai pačiuose virusuose panaudojamos viena ar kelios kenkėjikos programos. Virusai gali būti platinami per “metikus” (nors nebūtinai) ar naudotis “kirminų” principu kopijuoti pačius save. Nebūdami “Trojos arkliais” virusai gali atitikti “arkliams” keliamus reikalavimus: daryti tai, ko nenori vartotojas, ir pasislėpę programose paversti jas “Trojos arkliais” (t.y. veikti joms pasileidus ir atlikti nepageidaujamus veiksmus). Kaip virusai veikia Virusų yra daug ir jie veikia skirtingais būdais, todėl apvelgti visus yra ganėtinai sunku. Apraysiu tik pagrindinį procesą. I pradių virusai kokiais nors būdais atsiranda jūsų kompiuteryje. Daniausia taip įvyksta su ukrėstų programų (COM, EXE failų ar pakrovimo sektoriaus) pagalba. Praeityje virusai buvo platinami iskirtinai per ukrėstus diskelius. iais laikais jie daniausiai siunčiami tinklais (taip pat ir Internetu) kaip bandomųjų programų failų, makrokomandų failų ar prisegtų prie elektroninio pato inutės failų dalys. Elektroninio pato inutė savaime negali būti virusu. Virusas yra programa, jis privalo būti paleistas. Elektroniniu patu virusas atkeliauja prisegtas prie inutės kaip failas, todėl niekas negali įvykti tol, kol jūs jo nepaleidiate. Tai padaryti galite įvairiai, bet daniausiai ukrėsti failai paleidiami du kartus spragtelėjus juos pelyte. Vienintelis būdas apsaugoti save nuo taip atkeliaujančių virusų – niekada neatidarinėti prisegtų duomenų, kuriuose yra paleidimo failai (EXE ar COM) ar tokių programų kaip “Office”, kurios leidia rayti makrokomandas, failai. Grafiniai, garso ar kitokie duomenų failai yra saugūs. Virusas jūsų kompiuteryje elgiasi visai taip pat, kaip ir “Trojos arklys”. Jis slepiasi kitoje programoje ar faile ir paleidiamas kartu su juo. Kad taip įvyktų, virusas pakeičia ukrėsto failo kodą. Jis duoda nurodymą programai aptikti virusą ir jį paleisti. Paprastai is procesas vyksta taip: programos vykdymas nutraukiamas, perokama į ukrėstą dalį, įvykdomos viruso komandos ir sugrįus į pradią tęsiamas programos vykdymas. Nuo tada virusas ima veikti ir ukrečia kitus failus. Virusai gali pradėti veikti i karto – tokie virusai vadinami tiesioginio veikimo virusais – arba pasinaudoję operacinės sistemos leidimu pakrauti į atmintį ir ten tūnoti. Daugelis virusų priskiriami antrajai kategorijai. Tokie virusai vadinami “atminties virusais”. Pasilikdami atmintyje jie įgyja daug laisvės gali stebėti atsarginių kopijų darymo procesą, sekti klaviatūros ar pelės veiklą ir daug kitų dalykų. Atmintyje įsikūręs virusas gali daryti beveik viską, ką daro operacinė sistema. Naudodamas “bombas” virusas gali palaukti tam tikro įvykio ir tik paskui pradėti savo veiklą, jūsų kompiuteryje. Virusas taip pat gali rasti jūsų kompiuterio diske (ar kur kitur tinkle) paleidiamųjų failų ir jos ukrėsti. Virusų tipai Virusų autoriai nuolat ieko naujų būdų ukrėsti kompiuterius, tačiau tokių būdų i tikrųjų yra labai nedaug. Virusai ukrečia disko paleidimo sektorius, paleidimo failus ir makrokomandų failus. Yra begalė skirtingai besivadinančių virusų, bet jų veikimo principas yra toks pat. Pradinio disko sektoriaus virusai ir ukrėtėjai įsirao tam tikroje AK kietojo disko vietoje ir būna paleidiami kraunant kompiuterį. Anksčiau pradinio sektoriaus virusai ukrėsdavo tiktai DOS pradinį sektorių, tačiau atskiras jų porūis dabar ukrečia ir visą pagrindinį disko pradios įraą (master boot record – MBR). Abu ie sektoriai skaitomi kraunantis kompiuteriui. Tuo metu virusai ir kraunami į atmintį. Pakrauti sistemą i urakinto sisteminio diskelio yra vienas geriausių būdų apsisaugoti nuo tokio tipo virusų. inoma, negali būti įsitikinęs, kad diskelis nebuvo ukrėstas prie sisteminių failų įraymą, bet tai galima patikrinti antivirusinėmis programomis. Failų ukrėtėjai, kitaip dar vadinami “parazitiniais virusais”, yra programos, kurios prisijungia prie paleidimo failo. Jos yra labiausia paplitusios ir geriausiai inomos. Kaip dera tikram virusui, jos įsikuria atmintyje ir laukia, kol vartotojas paleis kitą programą naudodamos tai kaip signalą ją ukrėsti. Yra daugybė skirtingų failų ukrėtėjų tipų, bet jie nedaug tesiskiria. Makrovirusai pasirodė ganėtinai neseniai. Savo tikslams jie naudoja vidinę programavimo kalbą, kurią turi kai kurie programų rinkiniai. Makrokalba vartotojui leidia sukurti pagalbines programėles, vadinamas makrokomandomis, kurių dėka jis gali automatizuoti norimas uduotis. Tokią kalba, pavyzdiui, turi “Microsoft Office”. I tikrųjų makrovirusas yra paprasčiausia komandų seka. Pirmasis tokio tipo virusas buvo sukurtas “Microsoft Word” failams. Kai tik atidaromas dokumentas ar ablonas, turintis viruso makrokomandą, virusas pradeda savo kenkėjiką veiklą. Be to, makrokomanda gali būti suprogramuota taip, kad nukopijuotų save į kitus dokumentus. Taigi toliau naudojant programą virusas vis labiau plinta. Ketvirto tipo virusai vadinami daugiaveiksmiais arba daugialypiais (multipartite). Jie ukrečia ir pradinius disko sektorius, ir failus. Karas su virusais Kadangi visikai ivengti virusų galima tik spausdinant raomąja mainėle, atsiradus virusinėms programoms, buvo pradėtos kurti ir antivirusinės programos. Visas jas būtų galima suskirstyti į tokias grupes: 1. programos detektoriai, aptinkantys virusą, bet jo nesunaikinantys; 2. programos fagai, ne tik aptinkantys virusą, bet ir atstatantys ukrėstos programos pradinį variantą; jei to padaryti nepavyksta, siūloma paalinti paeistą bylą (čia verta pastebėti, kad kol kas nėra antiviruso, sugebančio sunaikinti bet kurį virusą); 3. programos sargai, pasiliekantys rezidentinėje dinaminėje atmintyje (RAM) ir tikrinantys įtartinus veiksmus paleidiant programas, taip pat blokuojantys įraymą, bylos atvėrimą ir panaias operacijas; 4. programos vakcinos, pakeičiančios programas (tai ne visada saugu) taip, kad virusai prie jų “nekimba”, nes laiko ukrėstomis. Daugelis virusų palieka kaką tokio, kas leidia jiems nustatyti, ar byla jau ukrėsta. Pačių virusų kodo eilutės vadinamos viruso parau. Būtent jis yra iekomas antivirusinių programų. Kas mėnesį atsiranda apie 200 naujų virusų, polimorfiniai (pavyzdiui, OneHalf)virusai daugindamiesi kartu pakeičia ir savo kodą, tad jų nebeįmanoma surasti iekant viruso parao. iuolaikinės antivirusinės programos daniausiai apjungia visas aukčiau ivardintų antivirusinių programų grupių savybes. Iekant neinomų virusų danai griebiamasi euristinių metodų. Ko gero inomiausia, bet toli grau ne geriausia yra “Dr.Web” antivirusinė programa bei AIDSTEST. Lengviausiai galvos skausmo dėl virusų ivengsite įsigiję firmos Symantec gaminamą “Norton Antivirus 5.0”. i programa, bent jau kol kas, tvirtai engia priekyje kovoje su virusais. Ne ką prasčiau su jais dorojasi “McAfee Virus Scan 4.0”, nuo “Norton Antivirus” atsiliekanti tik greičiu. Naudodamiesi programa “Panda Antivirus” galite turėti bėdos su makrovirusais, bet iaip ji yra pakankamai efektyvi ir naudinga. Geriausia inoma, nesinaudoti monių (net ir gerų paįstamų!) diskeliais, prie tai jų nepatikrinus. Būtinai patikrinkite atsiųstus elektroniniu patu ar Internetu failus patikimu antivirusu. Danai atnaujinkite antivirusinių programų duomenų bazes ir inokite kokie nauji virusai atsirado bei kaip jie plinta. Vis protingesni Makrovirusų idėja nemirta todėl, kad makroprogramavimo kalba leidia tiesiogiai kreiptis į atmintį ir kietąjį diską. Yra ir daugiau naujų virusams pritaikomų technologijų. Pavyzdiui, “ActiveX” moduliai ir “Java” programėlės. Tiesa, jos turi apsaugą nuo virusų (“Java” turi geresnę nei “ActiveX”), bet tokio tipo programos gali būti automatikai įdiegiamos į jūsų kompiuterį paprasčiausia apsilankius jums kokioje nors Interneto svetainėje. Akivaizdu – kuo labiau integruosimės į pasaulinį tinklą ir naudosimės tokiais patogumais kaip sistemos atnaujinimas per “Internetą”, tuo labiau padidės tikimybė usikrėsti AK virusais ir kitomis kenkiančiomis programomis. Virusų autoriai yra itin iradingi. Jie nuolat randa naujų būdų sukliudyti antivirusinėms programoms. Polimorfiniai virusai daugindamiesi iek tiek pasikeičia, todėl antivirusinė programa, iekodama virusų pagal tam tikrą abloną, nesugeba aptikti visų jo variantų. Likę neaptikti virusai gali daugintis toliau. Kompiuterių pasaulyje atsiranda vis naujų gudriai sukurtų virusų, tad is “katės ir pelės” aidimas tarp virusų kūrėjų ir antivirusinių programų gamintojų tęsiasi. Tikriausiai virusų taip greit neatsikratysime.