1. 3. Wirusy i spyware
Kolejnym etapem mojej pracy jest przedstawienie czym są tak naprawdę wirusy
i spyware. Rozdział ten przedstawia w jaki sposób funkcjonują, dzieli ich na grupy. Wszystko
to po to by poznać je od środka. Wiedza ta jest niezbędna do skutecznej walki z wirusami
i spyware. Nasuwają się tu słowa „Ten, kto zna siebie i wroga, będzie zawsze wygrywał jeśli
zna warunki pogodowe i ukształtowanie terenu, zwycięstwo jego będzie całkowite”. Czyli po-
siadając wiedze i znając działanie wirusów i spyware zwycięstwo w walce z zagrożeniami bę-
dzie po naszej stronie. Jeśli do tego zna się jeszcze dokładnie miejsce walki i odpowiednio się
do tego przygotuje stosując odpowiednie zapory to „zwycięstwo będzie całkowite”.
3.1. Pojęcie wirusów i spyware
Wirus to kod komputerowy dołączający się do pliku lub programu, dzięki czemu
może rozprzestrzeniać się na inne komputery, infekując je. W latach sześćdziesiątych
powstały pierwsze wirusy były to programy zwane królikami, które przede wszystkim
powielały się i zapełniające system.
Ale dopiero lata dziewięćdziesiąte stały się okresem najintensywniejszego rozkwitu
wirusów komputerowych. Miliony osób na całym świecie z własnej woli lub z konieczności
stało się użytkownikami komputerów. Umiejętność obsługi stała się nieodzownym atutem
każdej wykształconej osoby. Rozwój technik przesyłania informacji stworzył idealne warunki
dla powstawania wirusów. Na początku wirusy były tworzone w wielkich, coraz to większych
ilościach, jednak ich „jakość” pozostawiała wiele do życzenia. W chwili obecnej sprawa
przedstawia się odwrotnie, prymitywni prekursorzy są zastępowani nowymi szczepami
wirusów posiadającymi zdolność do adaptacji się w nowych warunkach. Dzisiejsze wirusy
nie tylko niszczą pliki, restartują system czy też odgrywają nieszkodliwe melodie, niektóre
z nich mogą nawet zniszczyć cenne informacje.1
Jednakże zadaniem wirusa komputerowego nie jest szkodzenie jak mylnie myśli wielu
użytkowników a polega ono na jak najszybszym i najszerszym rozpowszechnieniu się.
1
D.Doroziński: Hakerzy: Technoanarchiści cyberprzestrzeni. Wydawnictwo HELION, 2001
2. Niszczenie to drugorzędne cele wirusów komputerowych. Wynika to z prostej zasady,
pozostając dłużej w ukryciu mogą wygenerować większą liczbę potomków.
By skutecznie zabezpieczyć się przed wirusami należy najpierw zapoznać się z ich
zasadą działania, a w szczególności z metodą rozmnażania. Wirusy działają na wybranym
systemie operacyjnym lub programie. Pierwsze z nich nazywa się systemowymi a drugie
aplikacyjnymi. W ciągu ostatnich lat liczba wirusów szybko wzrasta. Jest to możliwe dzięki
powstawaniu wielu mutacji istniejących wirusów i stosowanie kilku form rozmnażania przez
jeden wirus. Z tego powodu mówi się o rodzinach wirusów, które się ciągle na nowo szyfrują,
a kolejne nie przypominają swoich poprzedników. Stwarzają one duże zagrożenie,
użytkownik może jedynie zminimalizować szansę na zarażenie, ale nie zabezpieczyć się
przed nimi całkowicie. Jedynym sposobem na całkowite zabezpieczenie systemu jest odcięcie
się od świata zewnętrznego, lecz wątpię by komukolwiek taki sposób odpowiadał.
Miejsca w systemie komputerowym, które mogą być narażone na rozmnażanie wirusów
to:2
− programy typu EXE , COM
− pliki z rozszerzeniem OVL, BIN, SYS
− biblioteki DLL
− pliki systemowe COMMAND.COM, IBMBIO.COM, IBMDOS.COM
− tablica partycji dysku stałego
− boot - sektor dysku lub dyskietki
− tablica partycji dysku twardego FAT
− sektory zaznaczone jako uszkodzone tzw. bad sectors
− zagubione klastery tzw. lost clusters
− dokumenty programu WORD FOR WINDOWS
− skoroszyty programu EXCEL FOR WINDOWS
− bazy danych programu ACCESS FOR WINDOWS
− inne miejsca wymyślone przez komputerowych terrorystów
2
http://www.oeiizk.edu.pl/informa/jazdzewska/wirusy.html
3. 3.2. Powstawanie i opis funkcjonowania.
Wielu programistów tworzy wirusy z wykorzystaniem środowisk wyższego rzędu, lub
też pojedynczych aplikacji, specjalnie zaprojektowanych do generowania ich kodu. Takie
pakiety programowe są dostępne w Internecie. Oto nazwy kilku z nich: Virus Creation Labo-
ratories, Virus Factory, Virus Creation 2000, Virus Construction Set, The Windows Virus En-
gine. Zestawy te są na ogół łatwe w obsłudze, pozwalając na stworzenie wirusa prawie każde-
mu zainteresowanemu. (Zupełnie inaczej niż dawniej, gdy potrzebna była do tego spora wie-
dza programistyczna). Dzięki temu liczba znanych wirusów „na wolności" zwiększa się gwał-
townie z każdym dniem.3
Rys. 3. 1 Infekowanie
Źródło: Opracowanie własne
Kiedyś wirusy do uruchomienia się potrzebowały zainfekowanego programu, obecnie
wirus przeważnie nie wymaga uruchomienia przez ofiarę zainfekowanego pliku.
Najczęściej do zarażenia dochodzi podczas otwierania stron internetowych z elementami Java
lub ActiveX, które ukrywają wirusy. Wiele bardzo groźnych wirusów przenosi się również za
pośrednictwem załączników do poczty e-mail, co staje się coraz częstszym problemem.
Następną drogą infekcji są różnego rodzaju nośniki takie jak dyskietki, płyty, nośniki pamięci
czy dyski twarde. Do zarażenia w takich przypadkach dochodzi przeważnie podczas
kopiowania plików.
3
http://stud.wsi.edu.pl/~dratewka/crime/wirusy.htm
4. Wirusy mogą ukrywać się w pamięci operacyjnej, gdzie czekają na uruchomienie
programu (pliki z rozszerzeniami COM lub EXE), który chcą zainfekować. Ten rodzaj wirusa
znany jest, jako wirus rezydentny.
Skutki działania wirusów są bardzo różne od mało groźnych do takich, przez które
użytkownik można stracić bardzo wiele. Do tych mało groźnych można zaliczyć wirusy
stworzone w celu zabawy lub dowcipu, które umieszczają na ekranie monitora informacje.
Jeszcze inne denerwują użytkownika zawieszając komputer czy zwalniając jego prace. Gorzej
jeśli taki wirus ma za zadanie niszczyć informacje zawarte w dokumentach lub same
dokumenty. Są tez takie wirusy, które niszczą wszystkie informacje zawarte na dysku
twardym w tym nawet system operacyjny. Mogą one kosztować użytkowników wiele
nerwów, pieniędzy czy pracy, jeśli wcześniej nie zadbało się o kopie zapasową danych.
3.3. Podział i przykłady wirusów
Pasożytnicze (plikowe). Wirusy tego typu modyfikują zawartość plików
wykonywalnych (COM , EXE , SYS i innych). Dołączają się one do pliku pozostawiając
nienaruszoną większość programu. Przebieg wykonywania programu zostaje odwrócony
w taki sposób, aby kod wirusa był wykonywany, jako pierwszy. Po wykonaniu programu
wirusa następuje uruchomienie oryginalnego programu. Jedną z odmian wirusów
pasożytniczych są wirusy zamazujące. Infekując program zamazują jego początek własnym
kodem. Uruchomienie takiego programu powoduje, że wirus poszukuje następnej ofiary
a oryginalny program nigdy nie jest uruchamiany. Wirusy pasożytnicze rozpowszechniają się
za pomocą każdego nośnika, który może być użyty do przechowywania lub przekazywania
programu wykonywalnego np. dyskietki, płyty CD, sieci itp. Ogólnie infekcja się
rozpowszechnia, gdy zainfekowany program jest wykonywany.
Wirusy towarzyszące, ich działanie opiera się na hierarchii stosowanej w DOS
podczas uruchamiania programów (najpierw otwierane są pliki z rozszerzeniem COM,
a następnie EXE). Tworzą plik COM z identyczną nazwą, co plik EXE. W momencie
uruchamiania programu, w przypadku nie podania rozszerzenia uruchamianego pliku,
najpierw poszukiwany jest plik o rozszerzeniu COM, co spowoduje wykonanie kodu wirusa
a następnie, załadowanie i wykonanie pliku EXE.
5. Bomby logiczne swe destrukcyjne oblicze ukazuje tylko w określonym odpowiednimi
warunkami czasie (najczęściej zależnie od aktualnej daty). Ze względu na to, że właściwy
destrukcyjny kod może być ukryty w dowolnym miejscu programu zawierającego bombę,
należy ostrożnie obchodzić się z aplikacjami, których pochodzenie jest nieznane. Mianem
bomby określa się często także destrukcyjny, uruchamiany tylko po spełnieniu jakiegoś
warunku.
Robaki internetowe to programy, których działanie sprowadza się do tworzenia
własnych duplikatów tak, że nie atakuje on żadnych obiektów, jak to czynią wirusy. Oprócz
zajmowania miejsca na dysku program ten rzadko wywołuje skutki uboczne. Podobnie jak
wirusy towarzyszące, robaki są najczęściej pisane w językach wysokiego poziomu. Są one
najbardziej popularne w sieciach, gdzie mają do dyspozycji protokoły transmisji sieciowej,
dzięki którym mogą przemieszczać się po całej sieci. Robaki przesyłane są zazwyczaj pocztą
elektroniczną, ale mogą rozprzestrzeniać się również za pośrednictwem sieci lokalnych,
komunikatorów (np. Gadu-Gadu, MSN Messenger), kanału IRC czy programów do
internetowej wymiany plików, takich jak KaZaA czy Ares. 4
Wirusy Polimorficzne są najgroźniejsze, gdyż najtrudniej jest je wykryć są
szyfrowane, dzięki czemu programistą piszącym programy antywirusowe ma większe
problemy ze znalezieniem „antidotum”. Szyfrowane są one w różnych językach i w róży
sposób. Każda kopia wirusa jest, więc inna, ale nie do końca, gdyż procedura szyfrująca jest
zawsze taka sama i po niej skanery rozpoznają wirusa. Jest na to niestety sposób. Trzeba
szyfrować również procedurę szyfrującą, bowiem wszystkie one wykonują to samo zadanie.
Zerują rejestr AX. Istnieje jeszcze wiele innych instrukcji, które wykonują to samo zadanie,
a mają inne kody. Procedura szyfrująca wirusa za każdym razem jest inna, mimo, że
wykonuje to samo zadanie. W ten sposób może mieć kilkaset różnych postaci i dlatego
skanery się gubią.
Wirusy Hybrydowe łączą w sobie jedne z powyższych metod. Najbardziej popularne
jest łączenie wirusa sektora ładowania z wirusem pasożytniczym plikowym. Daje to
największe możliwości replikacji a jednocześnie utrudnia leczenie zainfekowanego systemu.
Wykorzystują kombinacje różnych metod. Możliwy jest przykład, gdy wirus jest nie
rezydentny a po uzyskaniu kontroli pozostawia w pamięci rezydentny fragment swego kodu.5
4
http://oceanic.wsisiz.edu.pl/~juszkiew/tai/rodzaje.html
5
http://gkrol.nex.com.pl/wirusy/
6. Wirusy powolne - są wirusami trudnymi do wykrycia, ponieważ zarażają one pliki
tylko wtedy, gdy użytkownik komputera przeprowadza na nich jakieś operacje. Na przykład
nie zainfekuje pierwotnego pliku, a zainfekuje kopiowane przez użytkownika pliki.
Konie trojańskie - są one programami dołączonymi do prawidłowego programu
komputerowego. Zadaniem ich jest realizowanie zadań niepożądanych przez użytkownika.
Program z dołączonym koniem trojańskim wykonuje zarówno prawidłowe operacje jak
i zadania, których nie spodziewa się użytkownik, np. kopiowanie zasobów pliku lub całkowite
jego usunięcie.6
Na świecie jest wiele różnych wirusów komputerowych, które zagrażają naszym
systemom informatycznym, przykładami są:
Babybear jest robakiem internetowym, którego działanie polega na rozsyłaniu
własnych kopii za pomocą poczty elektronicznej oraz na uszkadzaniu instalacji programu
Norton AntiVIrus.
Fizzer jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych
kopii za pomocą poczty elektronicznej oraz udostępnianiu dostępu do komputera ofiary za
pośrednictwem IRCa i KaZaA.
Opasoft jest robakiem, którego działanie polega na rozprzestrzenianiu się w sieci
lokalnej, także w sieci internet poprzez udostępnione dyski twarde oraz pobieraniu
uaktualnień internetowych. Robak wykorzystuje nową metodę rozprzestrzeniania się, poprzez
wykorzystanie błędów w oprogramowaniu Microsoft Windows.
Wirus albański albo ściema - popularna nazwa jednej z odmian złośliwych
internetowych łańcuszków rozsyłanych pocztą e-mail i skierowanych do odbiorców słabo
zorientowanych w użytkowanym przez siebie sprzęcie i oprogramowaniu. Rozsyłana w ten
sposób wiadomość zawiera najczęściej ostrzeżenie przed nowym niezwykle groźnym
wirusem i zachęca do ostrzeżenia niezwłocznie wszystkich korespondentów z własnej książki
adresowej.7
AJ (rodzina) - są to rezydentne wirusy pasożytnicze. Przechwytują przerwanie 21h i
dopisują się do uruchamianych plików EXE. AJ.793 jest bardzo niebezpieczny. Wirus niszczy
pliki ANTI-VIR.DAT oraz CHKLIST.MS, a także formatuje dysk twardy.
6
www.gimlubasz.vel.pl/publikacje/wirusy.ppt
7
http://www.zgapa.pl/zgapedia/Wirus_alba%C5%84ski.html
7. 3.4. Spyware
Spyware to programy komputerowe, których celem jest szpiegowanie działań
użytkownika. Ciągłe zbieranie danych, które często bez zgody użytkownika wysyłane są do
autora programu np.: (adresy www stron internetowych odwiedzanych przez użytkownika,
numery kart płatniczych, itp.), wyświetlanie reklam oraz śledzenie informacji wysyłanych lub
odbieranych z sieci internet, powoduje występowanie błędów tych w programach, przez co
niejednokrotnie aplikacja taka może spowodować nawet zawieszanie się całego systemu.
Jeśli na pasku przeglądarki pojawiły się nowe elementy, najprawdopodobniej na dysku
znajduje się oprogramowanie szpiegowskie. Oprogramowanie to potrafi dodać do
wyszukiwarki niechciane paski narzędzi oraz inne opcje. Najczęściej po usunięciu tego
dodatku i zrestartowaniu komputera dodatek pojawia się ponownie.
Spyware typu malware może zmienić ustawienia przeglądarki tak by zamiast
ulubionej strony startowej otwierał zupełnie inna stronę, albo tapeta pulpitu zmieniła się
i w żaden sposób nie da się nic z tym zrobić. Nawet, jeżeli uda się wrócić do pierwotnych
ustawień to i tak po ponownym restarcie komputera te podstawione strony pojawiają się
ponownie.
Występuje również spywere adwere charakteryzuje się zasypywaniem wyskakującymi
okienkami, które uruchamiają się automatycznie nie mając żadnego związku ze stronami
www, które akurat są odwiedzane. Na dodatek bardzo często są to reklamy stron erotycznych.
Jeżeli takie okienka pojawiają się praktycznie od razu po uruchomieniu komputera lub nawet
wtedy, gdy akurat w ogóle nie zaglądasz do Internetu może to oznaczać, że na komputerze
zostało zainstalowane oprogramowanie szpiegowskie (spyware).8
Występują również programy tego typu Malware. Funkcjonują one prawie tylko
w środowisku Microsoft Windows. Do pozbywania się tego typu programów służą różne
programy takie jak Ad-Aware, Spybot - Search & Destroy czy Spy Sweeper. Najlepszym
i najbardziej popularnym z nich jest Spybot - Search & Destroy, który cechuje się wysoką
wykrywalnością i dość częstymi aktualizacjami.
8
http://spyware.e6.pl/spyware.php