Manapság naponta keletkeznek új vírusok, amelyek egyre nagyobb károkat okoznak, és egyre ügyesebben rejtik el magukat a víruskereső programok elől. Az internet és a számítógépes hálózatok elterjedésével határok nélkül, egyre nagyobb területeken támadnak.
Számítógépes vírusok: olyan rosszindulatú programok, melyek más programokat a saját kódjának beléjük juttatásával fertőző, a fertőzött szoftver működését a vezérlés átvételével megváltoztató programok.
Közös jellemzőjük:
A vírust tartalmazó, fertőzött programok futtatásakor a vírusprogram is lefut. Ekkor reprodukálja, sokszorosítja önmagát, és minden új példánya egy további állományt fertőz meg. Szaporodik és fertőz
Valamilyen közvetlenül, vagy közvetve futtatható bináris programfájlhoz, makróhoz, vagy forráskódú szkripthez csatolja magát, miközben módosítja annak kódját úgy, hogy annak futásakor saját kódjuk is lefusson.
A vírusprogram valamely feltétel hamis vagy igaz voltát is figyeli. Ennek logikai értékétől függően aktivizálhatja az büntető rutinját. Azt a programrészt, amely törölheti a lemezről az állományokat, formázhatja a merevlemezeket, vagy csak játékos üzeneteket, reklám szövegeket jelenít meg képernyőn. Adott jelre vár és kárt okoz.
Rejtőzködnek azért, hogy ne lehessen olyan könnyen felfedezni őket.
Az informatika rohamos fejlődésével a vírusok is jelentős változáson mentek keresztül. Számos típusuk közül a legismertebbek a következők.
Boot vírusok
A boot vírusok az első vírusok közé tartoznak. A boot-szektor-fertőző vírusok a számítógépeknek azt a tulajdonságát használják ki, hogy az operációs rendszer is lemezről töltődik be. Ezek a vírusok arra a lemezterületre írják magukat, ahol normális esetben az operációs rendszert indító rész van, ezért amikor a gép (BIOS) megpróbálja betölteni a rendszert, helyette a vírust fogja elindítani. A vírus persze utána elindítja a rendszert is, de ekkor már a memóriában van. A Boot vírusok a floppy lemezek Boot Sector-át vagy a merevlemezek Master Boot Record-ját fertőzik meg. Leggyakrabban akkor terjednek, ha fertőzött lemezzel indítjuk el a rendszert. Hatására a fertőzött merevlemez az összes meghajtóba helyezett lemezt megfertőzi. A boot vírusok napjainkban a kevésbé elterjedt vírusfajták közé tartoznak.
Programvírusok (Állomány, fájl)
A programvírusok általában a .COM, .EXE (közvetlenül futtatható fájlok) és .DDL, .BIN, .SYS, kiterjesztésű fájlokba ágyazódnak, mert a futtatható programok kódját változtatja azáltal, hogy saját kódját – és egyéb megtévesztő jeleket – írja bele a programszövegbe. Általában kisméretűek és hozzáfűzik magukat valamilyen futtatható fájlhoz. A fájl mérete a vírus hosszával megnőhet. Amikor a fertőzött programot elindítjuk, a vírus a memóriába töltődik, és minden futtatott programra átterjed.
Makrovírusok
A makrovírusok gyakoriságát az internet elterjedése okozta. A makro nem más, mint névvel ellátott, automatikusan ismételhető utasítássorozat. A makrovírusok azt a lehetőséget használják ki, hogy például a szövegszerkesztőkben, táblázatkezelőkben a gyakran ismételt lépéssorozatokat makrókkal automatizálhatjuk. Terjedésükhöz egy fertőzött dokumentum megnyitása vagy egy dokumentum elmentése is elegendő. Dokumentum fájlokkal terjednek (Word, Excel).
Férgek és trójai programok
A vírusokkal kapcsolatban beszélhetünk még úgynevezett férgekről és trójai programokról. A férgek és a trójai programok hagyományos értelemben nem vírusok, de hatásukat tekintve igen hasonlóak hozzájuk.
A férgek (worm) a vírusokhoz hasonlóan szaporodnak, de nem fájlokat fertőznek meg, hanem az interneten vagy a hálózaton magukat e-mailekhez csatolva gépről gépre terjednek.
A kártékony programok ezen osztálya a terjedéshez hálózati erőforrásokat használ. Kihasználva az operációsrendszerek réseit, hiányosságait. Azért kapták a „féreg” elnevezést, mert hálózati, e-mail vagy más csatornák használatával képesek „átkúszni” egyik számítógépről a másikra. Azokra melyek operációsrendszerei kapcsolatban vannak egymással.
Valamilyen vivőközegre van szükség. Ennek köszönhetően, különösen nagy sebességgel képesek terjedni. Egy számítógépbe behatolva, a férgek meghatározzák más számítógépek hálózati (IP) címét, és másolataikat szétszórják azokba a gépekbe is. A hálózati címek mellett gyakran használják a fertőzött gépen telepített levelező kliensek címjegyzékében található adatokat is. A címjegyzékben szereplő összes címre elküldi másolatát.
Néha munkafájlokat készítenek a háttértáron, ám a fertőzött gép memóriájának kivételével más erőforrásra nincs szükségük. Bár a víruskeresők többnyire el tudják távolítani, de az igazi védekezés ellenük az operációsrendszer hiányosságainak megszüntetése. Ha ez utólag történik, akkor ezt foltozásnak hívjuk (patch).
Levelekhez csatolt állományként terjednek (pl. az „I love you”), ezt megnyitva jöhet létre a vírusfertőzés. Megszerezhetik jelszavainkat, személyes információkat gyűjthetnek, ezeket eljuttathatják a készítő részére vagy szétkürtölik a külvilágba. A férgek elsődleges célja, hogy egyetlen futtatással minél több számítógépre terjedjenek.
A trójai programok olyan ártalmatlannak tűnő önálló alkalmazások, amelyek első pillantásra hasznos alkalmazásnak tűnnek, miközben kártékony kódot tartalmaznak, esetleg vírust tartalmazó programok (pl. játék vagy animáció), amiket a gyanútlan felhasználó elindít, s feltelepíti a vírust.
Nem igazi vírusok, mert nem tartalmaz szaporító részt, a felhasználó által jóvá nem hagyott műveleteket hajtanak végre a fertőzött gépeken: pl. törlik a merevlemezen található adatokat, lefagyasztják a rendszert vagy bizalmas információkat lopnak és küldenek el egy harmadik személynek. Nem fertőznek programokat vagy adatokat, és nem önállóan hatolnak be a számítógépbe, hanem rosszindulatú felhasználók, mint „hasznos” szoftvert terjesztik, vagy elektronikus levélben érkeznek. Hatásukat csak az elindításuk után fejtik ki.
Levélszemét, átverés, kémprogramok
Nem vírusok ugyan, de terjedésük hasonló a vírusokéhoz. A felhasználók terjesztik az interneten a jópofa szövegeket, láncleveleket, rémhíreket, kacsákat, átveréseket (hoax). Levélszemét (spam) a kéretlen reklámot tartalmazó cégek által küldött levél is.
A kémprogramok bizalmas adatainkat (jelszavak, IP cím, email címek, számlaszám!, stb.) fürkészik ki. Kémprogramok (Spyware): Célja, hogy adatokat gyűjtsenek személyekről, vagy szervezetekről azok tudta nélkül a számítógép-hálózatokon. Az információszerzés célja lehet békésebb, például reklámanyagok eljuttatása a kiemelt címekre, de ellophatják a számlaszámainkat, jelszavainkat, vagy más személyes adatainkat.
Vírusok jellemzői
A vírusok tulajdonságait tekintve minden vírus csoportok valamelyikébe sorolható:
Rezidens vírusok: Elindulás után a memóriában marad, s innen vezérli a fájlhozzáférési műveleteket.
Retrovírus család: Olyan vírus létezik (retrovírus család tagjai), amelyik egyes antivírus programokat próbál meg blokkolni, de ezek a blokkolás után ugyanúgy tevékenykednek, mint egy „átlag” vírus.
A lopakodó (stealth) vírusok úgy terjednek, hogy a fájlba ágyazódva bekerülnek a memóriába, és ott a fájlok eredeti hosszát mutatják, esetleg a fájl eredeti tartalmát szimulálják. Különböző programozási trükkökkel megpróbálja kikerülni azt, hogy a víruskeresők felismerjék. (Pl. elmenti valahova a boot szektor egy tiszta másolatát, s ezt látja a víruskereső.) A lopakodó vírusok az operációs rendszert megkerülve meghamisítják az információkat így játsszák ki a vírusvédelmi programokat. Látszólag tiszta (fertőzésmentes) állapotot képesek mutatni.
A polimorf vírusok önmaguk titkosításával, állandó változtatásával terjednek. A legveszélyesebb vírusok (vírustest, mutációs motor, dekódoló program) közé tartozik, hiszen hosszát, terjedési algoritmusát, saját víruskódját is változtatja így megnehezítve a felismerését. Rejtőzködhetnek, használhatnak titkosítást, lehetnek önkódváltók (polimorfizmus), mindezeket alkalmazhatják egyenként, de létezik olyan is, ami saját maga védelmére a fentiekből egynél többet / mindent felhasznál. Képesek változtatni a megjelenési formájukat, mely többnyire minden fertőzéskor változik, így nehezítve a felismerést.
Backdoor (hátsóajtó) programok: A hátsóajtó program olyan, a felhasználó számára általában nem látható elem, amely telepítése után teljes kontrollt adhat a számítógép felett egy vagy több távoli személynek. A hátsóajtó program terjesztőjének vagy használójának így lehetősége nyílik arra, hogy az Interneten keresztül egy másik gépen tárolt adatokat megtekintsen, módosítson vagy töröljön, de emellett segítségével „megfigyelhető” a gépen dolgozó felhasználó: követhető, hogy mely billentyűket nyomta le, milyen jelszavakat használt, mely Web-lapokat látogatott meg stb. A lehetőségek elméletileg korlátlanok, gyakorlatilag a megvalósítástól függenek.
Vírusfertőzés felismerése, jelei
gépünk lassabban működik a megszokottnál (vagy el sem indul)
egyes programok és fájlok mérete jelentősen megnő
egyes programok nem a megszokott módon (furcsán) működnek (vagy el sem indulnak)
bizonyos menüpontok vagy ikonok eltűnnek
Vírusvédelem
A vírusok terjedésének megakadályozására az egyik legbiztosabb módszer a megelőzés. A vírusfertőzés során okozott károk mértéke csökkenthető:
rendszeres, vírusmentes mentéssel;
tiszta és írásvédett rendszerlemezünk (fertőzés esetén erről indíthatjuk a gépet);
fontos adatok írásvédetté tétele;
a beérkező levelek, lemezen szállított adatok használat előtti ellenőrzésével;
internetes támadások elleni használjunk tűzfalat;
rezidens vírusirtó program telepítésével (és rendszeres frissítésével), amely a memóriában marad és folyamatosan ellenőrzi a használt fájlokat;
rendszeres biztonsági másolat készítésével;
jogtiszta szoftverek használatával.
Antivírus termékek csoportosítása
Napjainkban egyre több vírusirtó programmal találkozhatunk. Ezek a programok lehetőséget nyújtanak arra, hogy használat előtt ellenőrizzük állományainkat. Az általunk ismert vírusok ellen megfelelő védelmet nyújtanak, de az új vírusok rohamos terjedése miatt nem árt rendszeresen frissíteni őket. A legismertebb vírusirtó programok közé tartozik az F-PROT, F-Secure, Virus Buster, eTrust Antivírus, a McAfee VirusScan, a TBAV, az InoculateIT vagy a Norton AntiVirus (NAV), NOD 32 Antivirus System, Panda Antivírus. Tudásuk kiterjed: telepítés, beállítás, frissítés, keresés, irtás, figyelés.
A víruskereső programok gyakran alkalmaznak figyelő rendszert (vírus pajzsot). Melyek az operációs rendszer betöltésétől a leállításáig figyeli a rendszert. Sajnos ez lelassítja a rendszert. A gyorsabb működése érdekében csak részellenőrzést szoktak végeztetni vele, ezért időközönként ki kell egészíteni egy-egy teljes körű ellenőrzéssel is.
Rendelkezik víruspajzzsal és alkalmazza a szignatúra, valamint a heurisztikus keresési módszert is. Frissítése automatikusan történik az Internetről, és a tűzfal programmal együttműködik. Ellenőrzi az elektronikus leveleket és azok mellékletét is. Segítséget nyújtó technikai háttér áll a felhasználók rendelkezésére.
víruskeresők – ellenőrzik a háttértárak azon részét, amelyeket képesek megfertőzni a vírusok (rendszerindító területek, programfájlok, Word dokumentumok, tömörített fájlok, csatolt fájlok, stb.)
vírusirtók – ha már megtörtént a baj, megkísérli eltávolítani a vírust, és rendbe tenni az általa okozott károkat (vagy azok egy részét)
vírusfigyelők – lényege a megelőzés, állandóan a memóriában van, a felhasználó műveleteit ellenőrzi (lemeznyitás, fájlnyitás, bejövő levelek, stb.)
Víruskeresési módszerek
aláírásos keresés – a vírusra jellemző bytesor (aláírás) alapján, ezeket tárolják a vírusadatbázisok
heurisztikus keresés – Nem keres vírusmintákat, hanem a lehetséges célfájlokhoz olyan szituációkat teremt, hogy a vírus aktivizálja magát, és a rá jellemző műveletek felismerhetők legyenek. Nagy előnye az, hogy az ismeretlen vírusokat is felismeri, melyekről még nem tudnak a víruskereső programok. Hátránya a gyakori téves riasztás mellyel elbizonytalanítja a felhasználót.
Minta, vagy szignatúra keresés – A víruskereső programok a cél fájlokat átolvasva olyan kódsorokat keresnek bennük, melyek a vírusokra jellemzők. Ha fertőzött fájlt találnak, akkor a felhasználó akaratától függően eltávolítják a vírust, törlik a fertőzött fájlt a vírussal együtt, vagy „elzárják” (karanténba helyezik), megakadályozva megnyitásukat. Jellemzője az, hogy gyors és gyakran megtudja „gyógyítani” a fertőzött fájlokat. Hátránya az, hogy a legújabb vírusokat nem ismeri fel, vagy a ”gyógyítás” a fájl sérülésével jár.
A víruskereső programok használata mellet célszerű a biztonság megőrzése érdekében az anti-spayware programok alkalmazása is. Ezek feladata az Internetről érkező kém- és hátsókapu programoknak a számítógépünkre való településének megakadályozása, felderítése, eltávolítása. Pl.: Ad-Aware
A fertőzések és a károkozás csökkentésére az felhasználó felelősége elsődleges. Ez vonatkozik a korábban leírt vírusfertőzése megelőzésére, biztonsági mentések készítésére, és az Internetes csalások kivédésére is.
Figyeljünk oda számítógépünk biztonságára is, ne adjunk lehetőséget a hackereknek és víruskészítőknek, hogy bejuthassanak a rendszerünkbe! Tartsuk naprakészen az operációs rendszerünket, böngészőnket, antivírus szoftverünket, azaz minden programot, amit használunk! Mindig telepítsük fel a gyártó által kiadott javítófoltokat!