Kompiuteriniai virusai
5 (100%) 1 vote

Kompiuteriniai virusai

Turinys

1. Kas yra kompiuterių virusai ?

2. Virusų atsiradimas.

3. Ar gali būti „naudingi“ virusai?

4. Virusai ir antivirusai.

5. Antivirusinių programų efektyvumas.

6. Ka daryti susidurus su kompiuteriniu virusu?

7. Virus Hoax: netikri virusai.

8. Kas jie tokie?

9. Kaip juos atpažinti?

10. Kaip jie atsiranda?

11. Kaip elgtis, gavus tokį įspėjimą?

12. Kitos parazitų rūšys.

13. Grandininio laiško pavyzdys.

14. Virus Hoax“ pavyzdys („Good Times“).

15. Kenkėjiškos „Java“, „JavaScript“ bei „ActiveX“ programėlės.

16. Pagrindiniai užkrėtimo šaltiniai.

17. Virusų poveikis darbui.

18. Virusų rušys ir pavojingumas.

19. Virusų klasifikacija.

20. Virusų evoliucija.

21. Išvada.

Kas yra kompiuterių virusai ?

Viruso apibrėžimas būtų toks:

Kompiuterių virusas – programa, kuri savavališkai trikdo kompiuterio programų darbą bei keičia kompiuteryje esančią informaciją: įrašo naują, ištrina esamą, modifikuoja vartotojo programas (ar bylas), įterpdama į jas savo pačios kopijas (ar perdirbtus variantus), ir šiaip pakenkia programų darbui.

Virusų atsiradimas

Teorines virusų sukūrimo galimybes galime aptikti kompiuterių principų kūrėjo ir jų pradininko Džono fon Noimano darbuose. Jo teorija , kad galima parašyti tokias programas, kurios vietoj duomenų pradeda “ryti” kitas programas ir šitaip sutrikdo jų darbą. Jis pradėjo nagrinėti virusų dauginimąsį, tačiau savo darbo nebaigė.

Pirmieji virusų prototipai buvo žaidimų programos, kurios stengėsi sudoroti priešininkų programas ir užimti jų vietą atmintinėje.

Drauge su šiomis žaidžiančiomis programomis ėmė rastis programos, kurios nepriklausomai nuo vartotojo noro pakeisdavo jo vykdomų programų veiksmus. Taip atsirado kenkėjiškų programų tipas, jas imta vadinti virusinėmis programomis arba virusais.

Ar gali būti „naudingi“ virusai?

„Nedoro“ programinio kodo tipų yra daugybė: virusai (failų ir laikmenų), kirminai (el,pašto ir tinklo), „Trojos arkliai“, loginės bombos, „užpakalinės durys“ ir t.t. Bet gal virusų savybes turinčios programos gali būti naudingos?

Argumentai „prieš“:

1. Kontrolės nebuvimas;

2. Identifikavimo problemos (AV programos nesugebės atskirti, tai „geras“ ar „blogas“ virusas);

3. Klaidų poveikio rizika;

4. Suderinamumo su kita programine įranga problema;

5. Efektyvumas;

6. Autorinių teisių ir nuosavybės problemos;

7. Galimybė (pagunda) panaudoti neteisėtai;

8. Psichologinės priežastys:

o pasitikėjimo problema;

o neigiamas pojūtis.

Galimi variantai:

iii. virusas nukreiptas prieš virusus;

iv. failų suspaudimo virusas;

v. informacijos šifravimo virusas;

vi. palaikymo virusai;

vii. paskirstytas skaičiavimas;

Virusai ir antivirusai

Programos, skirtos kovoti su virusais, vadinamos antivirusinėmis programomis.

JAV kompiuterių saugumo asociacijos NCSA (National Computer Security Association) duomenimis 99,3 proc. kompiuteris turinčių firmų ir organizacijų yra bent kartą susidūrę su kompiuteriniais virusais. Jau daugiau nei trečdalis virusų šiuo metu atkeliauja iš „Interneto“ elektroniniu paštu arba drauge su iš pasaulinio tinklo parsisiųsta programa ar dokumentu. Tokiu būdu virusai plinta vis dažniau. Kiekvieno kompiuterio vartotojo pareiga yra turėti antivirusinę programą ir ja pasitikrinti visas iš „Interneto“ parsisiunčiamas ar kitu būdu gaunamas programas bei dokumentus. Jei Jūs esate „Interneto“ vartotojas, tai nėra didelė problema, nes iš pasaulinio tinklo galima parsisiųsti tikrai daug įvairių kovos prieš nepageidautinus kompiuterio įnamius priemonių.

Dauguma modernių antivirusinių programų, pav., „Thunderbyte Antivirus“, gali veikti foniu režimu ir automatiškai tikrinti programas bei dokumentus, netrukdydamos Jūsų įprastam darbui. Mažiau yra programų, automatiškai tikrinančių elektroniniu paštu gaunamą korespondenciją. Iš tokių galima paminėti „McAfee WebScanX“. Jei panašių priemonių Jūs neturite, visas elektroniniu paštu gaunamas programas ir dokumentus prieš vartojant derėtų perrašyti į atskirą katalogą ir patikrinti priešvirusine programa. Jeigu pridedama byla pasirodys besanti užkrėsta, nepamirškite ištrinti ir ją atgabenusio laiško, kad nebeliktų rizikos užsikrėsti iš jo kitą kartą. Būtinai praneškite apie virusą laiško siuntėjui ir kitiems jo gavėjams!

Antivirusinių programų efektyvumas.

Pagrindinė apsaugos nuo kompiuterių virusų priemonė yra antivirusinės programos. Neužtenka vien tik naikinti jau atsiradusius virusus, tačiau reikia užkirsti virusams kelią prieš jiems patenkant į įstaigą. Tam naudojami apsaugos skydai (firewall), el.pašto serveriai, Interneto protokolai.

Antivirusinės programos turi būti nuolat atnaujinamos (kas 2-3 mėn.)

Kelios nuorodos i antivirusinių programų gamintojų puslapius:

„Norton antivirus 2001“. Informacija apie naujausius ir pavojingiausius virusus adresu:

www.symantec.com/avcenter.

„McAfee VirusScan“.

http://download.mcaffe.com/updates/vs_update.asp.

Ka daryti susidurus su kompiuteriniu virusu?

Svarbiausia žinoti, kad kiekviena viruso šalinimo procedūra gali pasibaigti visišku duomenų praradimu kietame diske.

Pragaištingiausia pasitikėti antivirusinių programų automatinio gydymo funkcija, nes virusas iš infekuotos bylos ne visada gali būti sklandžiai
pašalinamas (be strūktūrinių pažeidimų). Prisiminkite: kada paskutinį kartą darėte svarbiausių duomenų kopijas? Kiek dažnai tai darote? Ar tuos duomenis laikote kitame kompiuteryje, kaupiklyje? Jei ne, pats laikas tai padaryti. Tik tokiu būdu apsisaugosite nuo virusų poveikio bei kitų apokaliptinių duomenims reiškinių (kieto disko gedimas, gaisras, vagystės ir t.t.).Beje, rezervinėse duomenų kopijose irgi gali būti virusų, tad prieš kopijuojant patartina viską tikrinti ir su naujausiomis antivirusinių programų versijomis.Ką daryti, jei antivirusinė programa pranešė, kad Jūsų kompiuteryje aptiko virusą?

• Tuojau pat nustokite dirbti ir kol kas nieko nedarykite!

• Prisiminkite, kada paskutinį kartą dirbote šiuo kompiuteriu, byla? Jei vartotojų keletas, susisiekite su jais, klauskite to paties. Pagalvokite kokiu būdu ir iš kur galėjo atkeliauti virusas.

• Pasistenkite viską išsiaiškinti apie surastą virusą.

• Tik po šių procedūrų, galite pereiti prie kito žingsnio – viruso šalinimo. (Patarimas: jei apie kompiuterį neperdaug išmanote, geriau tai patikėkite išmanančiam žmogui ar įstaigai, antraip galite tik pabloginti padėtį!).

Virus Hoax: netikri virusai

Jau kelinti metai po kibernetinį pasaulį klajoja pranešimai apie pavojingus virusus, plintančius elektroniniu paštu. Tokius įspėjimus dažniausiai platina naiviai pareigingi „Interneto“ vartotojai, gavę juos iš tokių pačių kaip jie. Dažnai jie įsivaizduoja darą didelę paslaugą savo laiškų adresatams ir apsaugą juos nuo kone mirtino pavojaus. Šie įspėjimai ragina tučtuojau ištrinti laiškus, turinčius vieną ar kitą frazę „Subject“ laukelyje. Priešingu atveju virusas užkrėstų visus duomenis nelaimėlio diske, juos ištrintų ar netgi sugadintų kompiuterio procesorių.

Kas jie tokie?

Visi šie įspėjimai neturi jokio rimto pagrindo. Tai yra sociologinis reiškinys, elektroninio amžiaus fenomenas, pavadintas „Virus Hoax“ vardu (angl. „hoax“, lot. „hocus“ – apgavystė, mistifikacija, pokštas). Pavojingųjų laiškų ir virusų, dėl kurių keliama painka, dažniausiai nėra ir nebuvo. Virusu galima pavadinti patį įspėjimą, bet tai yra ne kompiuterinis, o socialinis virusas, užkrečiantis ne pačius kompiuterius, o jų vartotojus ir plintantis ne pats savaime, o naivių internautų dėka. Šis „virusas“ unikalus dar ir tuo, jog gali plisti net ir faksu. Jo keliama žala – tai bereikalingai sugaištas elektroninio pašto skaitytojų bei rašytojų laikas ir beprasmaiais įspėjimais užterštos pašto dėžės. Ypač pirmaisiais „Hoax“ gyvavimo mėnesiais „supervirusų“ egzistavimu buvo patikėję tokių solidžių firmų ir organizacijų kaip NBC, NASA, JAV gynybos ministerijos ir netgi „Microsoft“ darbuotojai.

„Virus Hoax“ pranešimuose dažnai teigiama, jog elektroninio pašto virusai gali ištrinti kompiuterio kietąjį diską, užkrėsti programas ar sugadinti aparatinę įrangą vien tik „atidarius“, t.y., pabandžius perskaityti laišką. Taip tiesiog negali būti. Elektroninis laiškas pats savaime nėra programa ir neturi jokių galimybių daryti kažką savarankiškai. Elektroninis paštas čia naudojamas tik kaip programos ar dokumento transporto priemonė ir šia prasme nesiskiria nuo diskečių. Paties laiško skaitymas negali būti pavojingas. Pavojingi patys savaime ar apkrėsti virusais gali būti tik pridedami failai (attachments).

Kaip juos atpažinti?

Netikrą aliarmą skelbiantys ir paniką keliantys laiškai dažnai būna pavadinti („Subject“ eilutėje) „Virus Warning“ ar panašiai. Adresatas primygtinai prašomas (kartais net kelis kartus) parsiųsti laišką visiems draugams ir pažįstamiems. Tariamas virusas apibūdinamas kaip baisiai pavojingas, galintis ištrinti visą informaciją ar net sugadinti kompiuterio elektroniką. Įspūdžio sustiprinimui kartais trumpai aprašomas viruso veikimo principas, vartojami sudėtingi techninai terminai. Jei tikri virusai gali pakenkti tik tam tikrą operacinę sistemą ar programą turintiems kompiuteriams, tai „Virus Hoax“ laiškuose aprašomi užpuola ir sunaikina viską. Labai dažnai informacijos šaltiniu vadinama žinoma firma ar organizacija („Microsoft“, AOL, „McAfee“). Nė viena iš jų neplatino ir neplatins tokių pranešimų ir neinformuos apie tikrą pavojų tokiais būdais.

Kaip jie atsiranda?

Dauguma tokių įspėjimų neturi visiškai jokio pagrindo. Labiausiai tikėtina, jog pirmuosius tokius pokštus pradėjo platinti koks nors šmaikštus studenčiokas, o jo pavyzdžiu vėliau pasekė ir kiti. Seniausias ir labiausiai žinomas iš tokių yra pranešimas apie „Good Times“ virusą, atsiradės 1994 m. pabaigoje ir sėkmingai besidauginantis iki šiol.

Kai kurie „Virus Hoax“ pranešimai kažkada turėjo ir realią priežastį. Antai prieš porą metų pasirodė ir vėl greit išnyko pavojinga programa („Trojos arklys“), ištrinanti kai kuriuos kompiuterio sisteminius failus. Ji pasirodė ir vėl prapuolė, o įspėjimai apie ją klajoja po „Internetą“ iki šiol. Ir juose kalbama jau nebe apie programos, o apie paties laiško pavojingumą.

Yra tokių pagąsdinimų, kurie yra nukreipti prieš vadinamus grandininius arba piramidės laiškus , kurie tikrai egzistuoja, bet yra visiškai nepavojingi. Prie tokių galima priskirti raginimą tučtuojau ištrinti „Get More Money“ besivadinančius pranešimus. Gandus apie laiškuose esantį virusą
paskleisti ir tų laiškų priešininkai, norintys sustandyti jų platinimą.

Kaip elgtis, gavus tokį įspėjimą?

Svarbiausia – nepulti persiuntinėti laiško kitiems elektroninio pašto gavėjams, t.y., neužsikrėsti „Hoax“ virusu pačiam ir neplatinti jo kitiems. Paprasčiausiai ištrinkite tokį laišką. Jeigu vistik abejojate, ar atėjęs įspėjimas tikrai neturi pagrindo, galite paieškoti informacijos apie laiške minimą virusą „Interneto“ paieškos sistemose, pav., „HotBot“, „Altavista“ ar „InfoSeek“.

Kitos parazitų rūšys

Prie „Hoax“ priskiriami ir tokie (beveik) savaime besiplatinantys laiškai, kurie nėra susiję su tariamais virusais. Jie vadinami grandininiais. Galima išskirti kelias tokių pranešimų rūšis.

Piramidinės sistemos laiškai („Make Money Fast“) ragina sumokėti tam tikrą pinigų sumą vienam iš laiške minimų žmonių ir išsiųsti pranešimą keliems savo pažįstamiems, įrašius į jį savo duomenis. Kiekvienas jų parsiųs laišką dar keliems, ir t.t. Tokiu būdu per trumpą laiką laiškas pasieks kelis tūkstančius gavėjų. Kiekvienas jų galų gale sumokės po porą dolerių jums, ir turtai garantuojami! Sistema paprasta ir logiška, bet realiame gyvenime visiškai nepasiteisinanti. Panašūs laiškai prieš keliolika metų buvo siuntinėjami po plačiąją tėvynę paprastu paštu, kai kas tikrai siuntė penkis rublius kažkokiam Leningrado gyventojui, bet anas turbūt ir liko vienintelis, iš tokios sistemos pasipelnęs… Beje, piramidinės sistemos laiškai kai kuriose pasaulio šalyse yra draudžiami įstatymais.

Kitas iš ankstesnių laikų žinomas reiškinys – tai išganingi laimės laiškai, turintys 9 kartus apkeliauti pasaulį. Juos ignoravę suserga, bankrutuoja ar numiršta, o per 96 valandas persiuntę devyniems pažįstamiems – praturtėja, pasveiksta ar būna kitai pamaloninti. Naujųjų technologijų laikais tokie pranešimai siunčiami ir elektroniniu paštu.

„Nike“ dovanoja sportinius batelius, „Walt Disney“ suteikia galimybę nemokamai nuvažiuoti į „Disneilendą“, pats Billas Gatesas asmeniškai žada 1 000 dolerių ir nemokamą „Windows 98“ licenciją,- tereikia persiųsti laišką kuo didesniam skaičiui gavėjų, ir laimė tikrai aplankys Jūsų namus. Tokie pranešimai apie nemokamas loterijas ar naujos elektronio pašto sekimo sistemos bandymus su proga pasipelnyti kartais pasiekia ir Lietuvą.

Ir dar viena „Hoax“ veislė – tai graudūs laiškai, prašantys pagalbos ir solidarumo. Tipiškas scenarijus: Floridoje (Niujorke, Australijoje, Norvegijoje, …) gyvena mažas vaikas, beviltiškai sergantis vėžiu (ar kita mirtina liga) ir nori, kad šis laiškas keliautų po pasaulį (ar visi rašytų būtent jam). Kartais netgi pridedama, jog už kiekvieną persisųstą laišką ligoninė (ar specialus fondas) gaus po kažkiek dolerių (ar centų) reikiamai operacijai. Yra buvę atvejų, kai tokias laiškų siuntinėjimo akcijas iš tiesų paskelbdavo sergantys, bet absoliuti dauguma tokių laiškų – kažkieno šmaikščios (ar ligotos) fantazijos vaisius. Grandininio laiško pavyzdys:

> GOOD LUCK TOTEM

>

> \|||///

> =========

> | O O |

> v_’/

> # _| |_

> (#) ( )

> #//|* *|\

> #/( * )/

> # =====

> # ( /)

> # || ||

> .#—‘| |—-.

> #—-‘ —–‘

>

> This message has been sent to you for good luck. The original is

> in New England. It has been sent around the world nine times.

> The luck has now been sent to you. You will receive good luck

> within four days of receiving this message — provided you, in

> turn, send it on. This is no joke. You will receive good luck

> in the mail — but no money.

>

> Send copies to people you think need good luck. Don’t send money

> as fate has no price. Do not keep this message.

>

> This message must leave your hands in 96 hours. Please send ten

> copies and see what happens in four days. The chain comes from

> United States and was written by Diana Li, a missionary from

> Asia. Since the copy must tour the world, you must make ten

> copies and send them to friends and associates. After a few

> days, you will get a surprise. This is true, even if you are

> not superstitious.

>

> Good luck, but please remember: 10 copies of this message must

> leave your hands in 96 hours… You must not sign on this

> message… Virus Hoax“ pavyzdys („Good Times“):

Here is some important information. Beware of a file called Goodtimes.

Happy Chanukah everyone, and be careful out there.There is a virus on America Online being sent by E-Mail. If you get anything called „Good Times“, DON’T read it or download it. It is a virus that will erase your hard drive. Forward this to all your friends. It may help them a lot. Kenkėjiškos „Java“, „JavaScript“ bei „ActiveX“ programėlės.

„Chaos Computer“ klubo nario sukurtas virusas gali surasti duomenis apie Interneto vartotojų asmenines sąskaitas banke ir be kodo paimti iš jos

pinigus. Laimei, toks virusas tėra demonstracija, ką galima padaryti

pritaikius naujausias technologijas. Dabar, kai informacija yra viena vertingiausių prekių, kompiuterių pasaulyje populiarėja vadinamas

„kiberterorizmas“, keliantis neviltį daugeliui kompiuterių kompanijų, tarnybų, pavienių vartotojų. Nuo jo buvo nukentėjusi viena didžiausių Interneto kompanijų „Yahoo“. Taip pat buvo įsibrauta į Pentagono

kompiuterius. Tačiau „kiberterorizmas“ – ne tik kompiuteriniai
ir naujausios kartos virusai. Jie gali patekti į kompiuterį ir pridaryti daug žalos jums „klaidžiojant“ po Internetą. Pastaruoju metu vis daugiau „Web“ tinklapių kūrėjų ima naudoti „ActiveX“ bei „Java“ programėles, kurios išplečia bendravimo su vartotoju galimybes. Puslapiai, sukurti

„ActiveX“ arba „Java“ priemonėmis, atrodo patrauklesni, juose geriau pritaikomi daugialypės terpės privalumai. Kad visa tai veiktų, reikalingi vartotojo kompiuterio ištekliai bei leidimas kontroliuoti operacinės sistemos darbą. Tokį leidimą gali gauti ir piktadariškų kėslų turinčios programos. Pavyzdžiui, „ActiveX“ programa „Exploder“ gali nutraukti (shut down) „Windows 95“ sistemos darbą arba net išjungti kompiuterį.

Maža to, jeigu kompiuteris įjungtas į vietinį kompiuterių tinklą, šios programos- virusai gali pasiekti ir kitus tinklo kompiuterius. Be to, jos gali

veikti daugelį operacinių sistemų ir padidinti galimų „aukų“ skaičių. Virusinės“Java“ programos gali pakenkti ir naudodamos

elektroninio pašto pranešimus, nes prie gauto laiško prijungta

„Java“ programa yra automatiškai įvykdoma. Vienas paprasčiausių

apsaugos būdų – tiesiog uždrausti Interneto naršyklės nuostatose

„Java“ ir „ActiveX“.

Tačiau šiuo metu dauguma WWW tinklapių teisėtai naudoja „Java“ ir „ActiveX“ priemones, todėl toks „apsidraudėlis“ gali prarasti ne

tik malonumą žvalgytis WWW pasaulyje – kai kurios Interneto sritys ne „Java“ bei „ActiveX“ gali veikti nepakankamai gerai . Taip pat patartina

turėti naujausią tinklo naršyklę. Tiek „Microsoft“, tiek „Netscape“ kompanijos gana greitai reaguoja į pranešimus apie naršyklėse

rastas „skyles“ bei kitus trūkumus ir operatyviai ištaiso. Todėl galima tikėtis, kad naudodami naujausią naršyklę, būsite apsaugoti bent jau nuo tuo metu žinomų kenkėjų. Norint apsaugoti vartotojus nuo nežinomų, galbūt pavojingų, programų, „Java“ ir „ActiveX“ programos sertifikuojamos. Kompanijos „Eliashim“ padalinys „eSafe Technologies“ siūlo programą „eSafe Protect 1.1“, skirtą asmeninių kompiuterių apsaugai. Šią programą galima atsisiųsti iš Interneto srities www.esafe.com/download1.html. Be to, minėtoje Interneto srityje galima rasti įvairios informacijos apie vandalus, piktavališkus „hakerius“, jų buvusius bei galimus antpuolius. Kad ir kokios grėsmingos pasirodytų „Java“ ir „ActiveX“ programinių virusų galimybės, saugoti savo kompiuterį vien nuo tokio tipo virusų nereikėtų. Kol kas pranešimų apie ypač smarkius šių „kenkėjų“ antpuolius nėra. Laimei, daugumos naršyklių pažeidžiamumas aptinkamas ir ištaisomas anksčiau, negu tai

panaudojama blogiems tikslams.Pagrindiniai užkrėtimo šaltiniai :

Iš kur kilęs virusas 1998 1999 2000

El.laiško priedai 32% 56% 87%

Diskeliai (iš namų) 36% 25% 4%

Neaišku 5% 7% 2%

Diskeliai (kiti) 21% 9% 2%

Internetas 9% 11% 1%

Vidinis tinklas 3% 2% 1%

Platinami CD 2% 0% 1%

Demonstraciniai diskeliai 4% 2% <1%

Naršymas po WWW 2% 3% 0%

Virusų poveikis darbui :

Poveikis Poveikio dydis, procentais

Darbo efektyvumo sumažėjimas 70

Pažeisti failai 66

Negalima dirbti su PK 50

Nėra priėjimo prie duomenų 49

Sutrikimai dirbant su failais 44

Prarasti duomenys 40

Pranešimai ekrane, mirguliavimas 33

Vartotojo konfidencialumo pažeidimas 22

Sutrikimai išsaugant duomenis 30

Nestabilus programų darbas 14

Sutrikimai spausdinant 9

Virusų rušys ir pavojingumas :

Viruso pavadinimas Nukentėjusių per 2000 metus PK skaičius

VBS/Love Letter.A 456.570

W97M/Mellisa 22.350

Other 6.355

X97M/Laroux 8.150

W32/Funlove 1.900

W97M/Ethan 4.200

W97M/Marker 6.050

W95/CIH 1.100

WIN32/Ska (Happy99) 1.200

JS/Kak.Worm 500

W97M/Class 1.500

Virusų klasifikacija. Virusus galima klasifikuoti pagal įvairius požymius. Vienas jų – viruso algoritmo ypatybės ir veikimo būdas. Šiuo atveju galima išskirti tokias pagrindines jų grupes.

Tikrasis virusas. Tai mažos apimties programa, kuri “prisiklijuoja” prie kitų programų. Kai infekuota programa ruošiama vykdyti, valdymą pirmiausia gauna viruso kodas. Jis randa ir “užkrečia” kitas programas, taip pat gali atlikti konkrečius kenkėjiškus veiksmus, pvz., gadinti failus. Atlikęs visus nustatytus veiksmus, virusas gali grąžinti valdymą infekuotai programai. Tokie virusai sunkiai aptinkami, nes dažniausiai infekuotos programos veikia įprastai ir sėkmingai baigia savo darbą. Tikrojo viruso pagrindinis tikslas – savo paties kopijų kūrimas.

Kirminas. Tai programa, kuri paprasčiausiai visą laiką dauginasi. Palaipsniui kirminai užima visą kompiuterio ar tinklo atmintį, ir tada negalimas joks tolimesnis naudingas darbas.

Loginė bomba. Tai programa, kuri pradeda veikti, įvykus konkrečiam loginiam įvykiui, pvz., prisijungus prie tinklo naujam vartotojui.

Laiko bomba. Tai loginė bomba, kuri “sprogsta” (pradeda veikti programa) iš anksto numatytu laiko momentu (pvz., kai kompiuterio data pasiekia penktadienį, kuris yra mėnesio 13 diena).

Trojos arklys. Tai programa, kuri gali egzistuoti tik pasislėpusi kitoje programoje. Ji išoriškai atrodo kaip naudinga programa, bet realiai atlieka kenkėjiškus veiksmus (pvz., groja nustatytą melodiją). Trojos arklys, kitaip negu tikrasis virusas, nesidaugina (negamina savo kopijų). Tačiau pasislėpęs (pvz., kompiliatoriuje) jis gali lengvai įdiegti kenkėjiškas programas į
programų kodą.

Virusai palydovai. Tai programos, kurios nemodifikuoja egzistuojančių failų. Jos sukuria naujas programas, vykdomas vietoj tų, kurias norėjo įvykdyti vartotojas.

Polimorfinis virusas. Tai programa, kuri generuoja nepanašias, nors visiškai veiklias savo kopijas. Šis virusas šifruoja savo esminę dalį ir dažniausiai turi jos šifruotojo ir dešifruotojo kodą. Generatorius įvairiais laiko momentais kuria vis kitokius šifruotojus ir juos atitinkančius dešifruotojus. Polimorfiniuose virusuose dešifruotojas nėra vienodas – keičiasi kiekvienam infekuotam failui. Dėl šios priežasties dažnai negalima nustatyti infekuoto failo pagal charakteringą viruso eilutę – parašą (signatūrą).

Nematomi virusai. Tai gana tobulos programos, perimančios DOS kreipinius į užkrėstas bylas arba sektorius ir savo vietoje paliekančios neužkrėstas informacijos dalis. Taip užmaskavusių virusų neįmanoma pamatyti operacijų sistemos priemonėmis. Šios programos paslepia jų atliktus pakeitimus failuose ar šorinės atminties sektoriuose pakeisdamos sistemines funkcijas, kurias naudoja tuos failus ar sektorius skaitančios programos. Šis virusas, sakysime, gali perimti operacinės sistemos funkcijas, nustatančias failo ilgį, ir “sumažinti” užkrėstų failų ilgį iki ilgio, buvusio iki u˛krėtimo. Nematomieji virusai gali būti tiek įsikraunamieji, tiek DOS bylų, tiek makrovirusai.

Makrovirusai užkrečia kai kurių populiarių redaktorių bylas – dokumentus ir elektronines lenteles. Tinklų virusai plisti naudojasi kompiuterių tinklų ar elektroninio pašto protokolais bei komandomis.

Kitas virusus klasifikuojantis požymis yra jų kenksmingumas. Pagal tai virusai gali būti skirstomi į nepavojingus, pavojingus ir labai pavojingus. Nepavojingi virusai kompiuterio veikimui nedaro jokios įtakos, tik daugindamiesi užima tam tikrą atminties dalį. Be to, jie gali išvesti į ekraną grafinius vaizdus, pranešimus, imituoti įvairius garsus ir pan. Pavojingi virusai gali gerokai sutrikdyti kompiuterio darbą. Labai pavojingi virusai naikina programas ir duomenis, ištrina būtiną kompiuteriui sisteminę informaciją (pvz., failų išdėstymo lenteles).

Pagal užkrėtimo būdą virusai skirstomi į rezidentinius ir nerezidentinius. Rezidentiniai virusai kompiuterio atmintinėje lieka aktyvūs tol, kol kompiuteris išjungiamas arba perkraunamas, nors yra virusų, kurie lieka ir perkrovus kompiuterį. Neretai tokio tipo virusais nepavyksta atsikratyti net tada, kai užkrėstos ar tiesiog pažeistos bylos atkuriamos iš originalių šaltinių ar atsarginių kopijų. Rezidentinė viruso kopija lieka aktyvi ir užkrečia iš naujo įrašomas ar atkuriamas bylas. Pirmieji kompiuterio operatyviojoje atmintyje saugo savo rezidentinę dalį ir yra aktyvūs iki kompiuterio išjungimo ar sistemos pakartotinės kelties. Nerezidentiniai virusai kompiuterio atminties neužkrečia ir yra aktyvūs tik tam tikrą laiko tarpą. Yra nerezidentinių virusų, kurie palieka kompiuterio atmintinėje nedideles rezidentines dalis, tačiau jos neplatina viruso.

Rezidentiniai, polimorfiniai ir nematomieji virusai yra vadinami parazitiniai, nes platindami savo kopijas, jie keičia disko sektorių ir bylų turinį. Parazitų kategorijai nepriklauso dvi virusų rūšys: virusai kirminai, virusai palydovai.

Pagal “gyvenimo” aplinką virusus galima skirstyti į failų ir kelties. Pagrindiniai failų, kurie dažniausiai infekuojami, tipai yra šie: .BAT, .COM, .EXE, .SYS, .OVL, .LIB, .OBJ, .PRG, .DOC, .DOT. Kai kuriuos jų panagrinėsime detaliau.

Virusas, esantis užkrėstuose vykdomuosiuose failuose (.BAT, .EXE, .COM), pradeda savo darbą, paleidus vykdyti tą programą, kurioje jis slepiasi. Tiesa, .BAT tipo failų virusai labai primityvūs, juos lengva surasti ir sunaikinti.

Pavojingas yra keliamų tvarkyklių (t.y. failų, turinčių plėtinį .SYS ir nurodomu sakinu DEVICE konfigūravimo faile (CONFIG.SYS)) užkrėtimas. Šiuo atveju virusas pradeda savo darbą kiekvieną kartą kreipiantis į atitinkamą (tvarkyklės valdomą) įrenginį. Keliant užkrėstą tvarkyklę, virusas patenka į operatyviąją atmintį, perima operacinės sistemos užklausą, perduoda šią užklausą tvarkyklei, sulaukia tvarkyklės atsakymo ir jį koreguoja. Šie virusai lieka operatyviojoje atmintyje kartu su tvarkykle. Jie labai gyvybingi, nes į atmintį patenka atkeliant operacinę sistemą, t. y. anksčiau už bet kurią antivirusinę programą.

Winword sistemos dokumentų failus (.doc tipo) “puola” virusai,kurie plinta per makrokomandas. Jie užkrečia naujus dokumentų failus bei šablonų failus (.dot tipo).

Kelties virusai įsiskverbia į pradinės kelties sektorius, turinčius sistemos veikimui būtiną informaciją. Dažniausiai virusas užkrėtimo metu perkelia šį įrašą į kitą laisvą disko sektorių. Po to virusas kopijuoja sisteminę kelties informaciją į savo programą ir persikelia į pradinės kelties sektorių. Jei viruso kodas netelpa šiame sektoriuje, tai dalis viruso kodo pereina į kitus laisvus sektorius. Kelties virusai yra rezidentiniai. Nuskaičius pradinės kelties sektoriaus turinį, sisteminė programa perkelia ten saugomą viruso programą į operetyviąją atmintį ir perduoda jai valdymą. Gavęs valdymą, virusas atlieka tokius įprastinius veiksmus: a) sumažina laisvos atminties kiekį; b) skaito iš disko savo tęsinį (jei
yra); c) perkelia viruso kodą į kitą operatyviosios atminties vietą; d) nusako reikalingus pertraukimų vektorius; e) atlieka papildomus veiksmus – tai gali būti garsiniai ar vaizdiniai efektai, kenkėjiški veiksmai ir pan.; f) kopijuoja į atmintį originalią disko ar diskelio pradinės kelties programą ir perduoda jai valdymą. Po to virusas veikia kaip rezidentinis vykdomųjų failų virusas: perima operacinės sistemos kreipinius į diskus ir juos užkrečia. Yra paplitę ir mišrūs virusai, kurie užkrečia ne tik, sakysim, vykdomuosius failus, bet ir diskų pradinės kelties sektorius.

Prie kelties virusų gali būti priskirti ir virusai, modifikuojantys disko failų sistemą. Šie virusai slepiasi kuriame nors disko fragmente, pažymėdami jį failų išdėstymo lentelėje (FAT) kaip failo pabaigą. Katalogo elementuose, turinčiuose nuorodas į pirmus vykdomųjų (.com ir .exe) failų fragmentus, jos keičiamos nuorodomis į disko fragmentus, kuriuose pasislėpęs virusas. Teisinga nuoroda saugoma koduotu pavidalu katalogo elemento nenaudojamoje dalyje. Pradėjus vykdyti bet kurią programą, į atmintį įkeliamas virusas, kuris ten lieka ir veikia kaip rezidentinis vykdomųjų failų virusas.

Toliau apibūdinsime kai kuriuos žinomus virusus.

WORD CONCEPT – tai 1997m. labiausiai paplitęs pasaulyje virusas, kuris priklauso WORD MACRO 9508 šeimai. Jis veikia Microsoft Word redaktoriaus terpėje, kuri gali funkcionuoti DOS, Macintosh, OS/2 ar WINDOWS bazėje. Jo pasirodymo simptomai: keičia makrokomandas WORD dokumentuose ir šablonuose, standartines makrokomandas papildo kitomis: AAAXAO, AAAZFS, File Save As, Payload.

STONED – tai labai pavojingų kelties virusų šeima (joje daugiau kaip 10 išvestinių virusų), kuri 1997m. buvo šešta pasaulyje pagal paplitimą. Veikia OS DOS terpėje. Jų pasirodymo simptomai: užkrečia diskų pradinės kelties sektorius,suardo failų paskirstymo lentelės informaciją, kompiuterio pradinės kelties metu gali išvesti tokio tipo pranešimus: “Your computer is now stoned”, “Your PC is now stoned” ir panašiai.

MICHELANGELO – tai 1997m. dešimtas pasaulyje pagal paplitimą virusas, veikiantis DOS terpėje. Tai rezidentinis virusas. Pasirodymo simptomai: mažina sisteminės atminties dydį 2048 baitais, užkrečia diskelių ir sisteminio disko pradinės kelties sektorius. Jis dažniausiai pasireiškia kovo 6 dieną ir paprasčiausiai formatuoja diską, užrašydamas į jį atsitiktinius duomenis iš operatyviosios atminties.

Virusus klasifikuoti bei atpažinti padeda ir specialus trumpas jų aprašymas, kuris paprastai susideda iš trijų elementų: kodo, aprašo (deskriptoriaus) ir parašo (signatūros).

Kodą sudaro raidinis priešdėlis (prefiksas), skaitinė šaknis (charakteristika) ir nebūtina raidinė priesaga (sufiksas). Pvz., viruso RCE-1813c priešdėlis yra RCE, šaknis – 1813, priesaga – c. Be to, kodo gale, atskirtas nuo jo tašku, gali būti užrašomas plėtinys, rodantis šeimą (grupę), kuriai priklauso virusas. Nagrinėjamas virusas RCE-1813c.IER priklauso Jeruzalės šeimai. Šios grupės virusas pirmą kartą (1989m. gruodžio mėn.) aptiktas Izraelyje (Jeruzalėje). Tai failų virusas, kuris gali sukelti OS DOS “pakibimą” su pranešimu “Stack overflow” (steko persipildymas). Kairiajame ekrano kampe gali atsirasti juodas kvadratas (todėl šis virusas dar vadinamas Black Hole –Juoda skylė). Penktadieniais, kurie yra 13 mėnesio diena, šis virusas naikina infekuotoje sistemoje vykdomas programas (todėl jis dar vadinamas Black Friday – Juodasis penktadienis).

Priešdėlis nurodo, kur virusas yra. Raidės C, E rodo, kad virusas yra .COM ir .EXE tipo failuose. Raidės B, D, M nurodo kelties virusus. Raidė J rodo, kad virusas yra eilutė arba programa, parašyta OS užduočių valdymo kalba (Job Control Language). Jei virusas yra mišrus, tai priešdėlyje naudojamas atitinkamų raidžių junginys: pvz., BRCE arba MRCE.

Viruso šaknis yra skaičius. Failų virusams jis paprastai parodo užkrėsto failo padidėjimą.

Priesagos vartojamos, norint atskirti virusus, turinčius vienodus priešdėlius ir šaknis.

Viruso aprašas koduoja pagrindines jo charakteristikas. Kodavimą sudaro simbolių grupė. Kiekvienos grupės pradžioje rašoma didžioji raidė, o už jos mažosios – raidės ar skaičiai. Didžioji raidė rodo savybės tipą, kiti simboliai – jo reikšmę. Pvz., aprašas “Xab Yc Zdmt” nurodo, kad savybė X nagrinėjamam virusui turi reikšmę ab, savybė Y – reikšmę c, savybė Z– reikšmę dmt.

Viruso parašas – tai simbolių eilutė, padedanti identifikuoti konkretų virusą.

Išoriškai infekuotos sistemos veikimas užkrėtimo pradžioje gali atrodyti kaip ir neužkrėstos. Tačiau vėliau gali atsirasti įvairūs sistemos darbo sutrikimai. Tai gali būti:

a) sistemos greičio pastebimas mažėjimas;

b) nenumatytų programose simbolių, pranešimų, paveiksliukų, muzikos ar kitų pašalinių efektų atsiradimas;

c) failų turinio ar dydžio pasikeitimas;

d) pertraukimų vektorių pasikeitimas (jis gali būti toks, kad, pavyzdžiui, viruso programos atliktų vieną iš tokių veiksmų: grąžintų fiktyvų atminties dydį, iškvietus pertraukimą Memory Size, arba trintų visą atmintį, atliekant šį pertraukimą);

e) nepaaiškinamas atminties naudojimas arba pasiekiamos atminties dydžio sumažėjimas (pvz., jei sistemoje
nustatyta 32MB operatyvioji atmintis, o patikrinus, tarkim, su DOS komanda CHDSK, rodoma mažesnė, tada reikia susirūpinti).

Virusų padaroma žala gali būti įvairi – labai didelė ir neištaisoma arba nežymi. Galima būtų išskirti tokius jos atvejus:

programų užkrėtimas – kai kurios užkrėstos programos nustoja veikti arba veikia blogai;

garso ir video efektai – pavyzdžiui, krintantys simboliai, įvairūs ekrano režimų trukdymai muzika ir kt., trukdantys kompiuterio darbą ;

sistemos darbo lėtėjimas, pavyzdžiui įvedimo – išvedimo metu;

tam tikrų operacijų, pavyzdžiui programų vykdymo arba OS kelties trukdymas kompiuteryje;

nepastebimas duomenų failų modifikavimas, pavyzdžiui skaičių sukeitimas failuose;

informacijos diskuose sunaikinimas, pavyzdžiui formatuojant diską ar trinant tam tikras disko sritis;

failų sistemos sugadinimas – failų išdėstymo lentelės, katalogų, disko sistemos kelties ir kieto disko paskirstymo lentelės modifikavimas;

fiziškai kai kurių kompiuterio įrenginių sugadinimas, pavyzdžiui, kai kurie virusai nuolat rašo į tą patį disko takelį, ir todėl nusitrina jo magnetinis sluoksnis, kiti virusai gadina diskus, atlikdami nekorektiškas skaitymo ir rašymo operacijas, ar gadina monitorius, suvesdami visus simbolius į vieną tašką.

Virusų evoliucija

1983 m. Virusų tyrinėtojas Fredas Cohenas straipsnyje pirmą kartą pavartojo terminą „kompiuterinis virusas“.

1987 m. pasirodė virusas „Brain“. Jis užkrečia 360K diskelių įkrovos sektorius ir sugeba užmaskuoti, kad kompiuteris jo nepastebėtų. Tais pačiais metais pasirodė virusas „Stoned“. Jis užkrečia kompiuterio MBR (pagrindinį įkrovos sektorių), sistemos, neįmanoma įkrauti.

1988 m. programuotojas iš indonezijos parašė pirmąją antivirusinę programą. Ji suranda ir pašalina „Brain“ virusą iš kompiuterio bei apsaugo nuo būsimų šio viruso atakų.

Po internetą (tuo metu jis dar tik formavosi) pasklido „Internet Worm“ virusas, kuris sutrikdė maždaug 6000 kompiuterių darbą. 1989 m. atsirado „Dark avenger“ virusas. Jis greitai užkrečia kompiuterį, bet kenkia lėtai, todėl viruso ilgai nepavyksta aptikti. IBM kompanija išleido pirmąją komercinę antivirusinę programą. Pradėtas intensyvus virusų tyrimas.

1990 m. pradėti kurti polimorfiniai ir daugialypiai virusai. Polimorfiniai virusai keičiasi plisdami o daugialypiai užkrečia kelias kompiuterio vietas iš karto. Viruso autoriai pradėjo keistis virusų išeities tekstais naujienų grupėse.

1991 m. atsirado virusų konstravimo priemonės, kuriomis beveik kiekvienas gali sukurti savo virusą. Metų pradžioje devyni procentai bendrovių pranešė nukentėjusios nuo virusų, metų pabaigoje šis skaičius išaugo iki 63 procentų.

1992 m. atsirado „Michelangelo“ virusas, kuris pirmasis atkreipė žiniasklaidos dėmesį. Šis virusas kovo 6 dieną sugadino diskinio kaupiklio turinį. Antivirusinių programų paklausa gerokai padidėjo, tačiau virusas užkrečia palyginti nedaug kompiuterių.

1994 m. Anglijos policija sulaikė viruso „Pathogen“ autorių, ir jis nuteisiamas aštuoniolikai mėnesių kalėti. Tai pirmas kartas, kai nubaustas viruso autorius.

1995 m. parašytas pirmasis makrovirusas „Concept“. Jis parašytas „WordBasic“ kalba ir gali veikti bet kuriame kompiuteryje, kuriame yra „Word“ programa. Vėliau atsiras daug makrovirusų, nes juos lengva parašyti ir platinti.

1999 m. balandžio mėnesį išplinta „Chernobyl“ virusas, gadinantis diskinio kaupiklio duomenis. Vien Kinija patyrė daugiau negu 291 mln. JAV dolerių nuostolių. Nukentėjo Pietų Korėjos ir Turkijos kompiuterių sistemos. „Melissa“ virusas užkrečia šimtus tūkstančių viso pasaulio kompiuterių. Jis plinta išsiųsdamas savo kopijas penkiasdešimčiai adresatų iš „Outlook“ pašto programos užrašų knygelės.

2000 m. „LoveLetter“ virusas, kilias iš Filipinų, per šešias valandas nusiaubė Europą ir JAV. Jis užkrėtė nuo 2,5 iki 3 mln. kompiuterių ir padarė 8,7 mlrd. dolerių nuostolių. Virusas „NewLove“, pasklidęs iš karto po „LoveLetter“, buvo panašiausias į supervirusą. Jis netik greitai plito, bet ir sugadindavo sistemines bylas, todėl kompiuteriu naudotis tapdavo neįmanoma. Jeigu būtų veikęs tinkamai, virusas būtų padaręs labai daug žalos. Tačiau jo autorius padarė klaidą: kompiuteris nustodavo veikęs anksčiau, negu virusas spėdavo išsiųsti savo kopijas į kitus kompiuterius.

Išvada:

Apsaugoti kompiuterį nuo virusų galite tik laikydamiesi tam tikrų kompiuterinės “higienos” taisyklių:

programai instaliuoti naudokite tik originalios firmos gamintojos disketes arba CD-ROM diskelius;

niekada nenaudokite nepatikrintų diskečių ar CD-ROM diskelių;

naujas ar iš kitur atneštas disketes, preiš naudodami, būtinai patikrinkite antivirusine programa (geriau keliomis) ;

prieš įrašydami į disketę informaciją iš kito kompiuterio, patikrinkite, ar jame nėra viruso. Nesiskolinkite “*.com” ir “*.exe” failų, nes juos labiausiai mėgsta virusai;

saugokitės iš disketės paleidžiamų žaidimų, nes jie išvengia galimos profilaktinės kontrolės, be to, jų programos keliauja iš vieno kompiuterio į kitą be profesionalios priežiūros.

periodiškai tikrinkite diskus ir darbe naudojamas disketes naujausiomis antivirusų programomis, nes naujų virusų atsiranda kasdien;

nevykdykite neaiškių ar elektroniniu paštu gautų programų.

bylas kompiuteryje laikykite suglaudintas – į tokias bylas virusas neprasiskverbtų.

turėkite svarbiausių programų bei duomenų kopijas. Taip išvengsite informacijos praradimo, jei virusas sugadintų kompiuteryje esančias bylas.

žinokite, kad nėra tokios virusų kontrolės programos, kuri apsaugotų nuo visų virusų;