Virusai4
5 (100%) 1 vote

Virusai4

5.3. Viruso apibrėžimas

Biologo požiūriu, virusas yra genetinės medžiagos fragmentas, kuris savo gyvavimui ir dauginimuisi turi infekuoti (užkrėsti) kokį nors organizmą-nešėją. Kad virusas plistų tarp organizmų, jam paprastai būdingos savybės , priverčiančios nešėją atlikti tam tikrus patologinius (liguistus) veiksmus, pvz., čiaudėjimą. Vieni virusai turi ribotą nešėjų skaičių, o kiti – labai platų jų diapazoną, pvz., bakterijas, gyvūnus ir pan. Dalis virusų yra sunkių infekcinių susirgimų priežastis.

Todėl nieko nuostabaus, kad įvairios kenkėjiškos kompiuterinės programos (t.y. tokios, kurios, įvestos į sistemą, sutrikdo jos veikimą) pavadintos bendru, virusų, vardu. Taigi, programuotojo požiūriu, virusas – tai kompiuterinis kodas, kuris savo plėtimuisi turi infekuoti kurią nors programą-nešėją. Paprastai kompiuterinis virusas infekuoja kitas programas įjungdamas į jas programos-viruso kodą. Virusas projektuojamas tokiu būdu, kad jis po tam tikro laiko galėtų keisti savo formą ir tikslą. Be to, jis dauginasi ir prisijungia prie programų arba kitų failų ir, “pasislėpęs” ten, “keliauja” nuo vieno kompiuterio prie kito. Virusai programuojami, siekiant atlikti įvairius kenkėjiškus veiksmus: trinti kieto disko informaciją, modifikuoti ar naikinti tam tikrus failus ir kt.

Pirmą kartą (1949m.) programos-viruso, t.y. kompiuterinės programos, galinčios daugintis, modelį pateikė Džonas fon Neimanas (John fon Neumann). Pirmas užregistruotas kompiuterinis virusas buvo žaidimas “Karas operatyvioje atmintyje” (“Core War”), kurį 6-ajame dešimtmetyje sukūrė kompanijos Bell Laboratories darbuotojas M.Duglas Makilroi. Žaidimo tikslas buvo parašyti programą, kurį ištrintų priešininko informaciją ir blokuotų jo įrašus atmintyje. EGABTR – pirmas IBM PC virusas, atsiradęs 1985m. liepos mėnesį. Šiuo metu pateikti visą esamų virusų sąrašą praktiškai neįmanoma, nes nauji virusai sukuriami beveik kiekvieną dieną. Be to, specialistai, kuriantys virusus aptinkančias programas ir bandantys nustatyti, ar du virusai yra to paties, ar skirtingo tipo, dažnai naudoja skirtingus kriterijus. Vieni specialistai laiko virusus skirtingais, jei jų kodai skiriasi bent vienu bitu. Kiti – grupuoja virusus į šeimas ir vienos šeimos virusų nelaiko skirtingais. Todėl, priklausomai nuo vertinimo kriterijų, šiuo metu pasaulyje suskaičiuojama nuo 50 iki daugiau kaip 10000 (šiuo atveju manoma, kad kasdien sukuriami bent 6 nauji virusai) skirtingų virusų.

5.4. Virusų klasifikacija

Virusus galima klasifikuoti pagal įvairius požymius. Vienas jų – viruso algoritmo ypatybės ir veikimo būdas. Šiuo atveju galima išskirti tokias pagrindines jų grupes.

Tikrasis virusas. Tai mažos apimties programa, kuri “prisiklijuoja” prie kitų programų. Kai infekuota programa ruošiama vykdyti, valdymą pirmiausia gauna viruso kodas. Jis randa ir “užkrečia” kitas programas, taip pat gali atlikti konkrečius kenkėjiškus veiksmus, pvz., gadinti failus. Atlikęs visus nustatytus veiksmus, virusas gali grąžinti valdymą infekuotai programai. Tokie virusai sunkiai aptinkami, nes dažniausiai infekuotos programos veikia įprastai ir sėkmingai baigia savo darbą. Tikrojo viruso pagrindinis tikslas – savo paties kopijų kūrimas.

Kirminas. Tai programa, kuri paprasčiausiai visą laiką dauginasi. Palaipsniui kirminai užima visą kompiuterio ar tinklo atmintį, ir tada negalimas joks tolimesnis naudingas darbas.

Loginė bomba. Tai programa, kuri pradeda veikti, įvykus konkrečiam loginiam įvykiui, pvz., prisijungus prie tinklo naujam vartotojui.

Laiko bomba. Tai loginė bomba, kuri “sprogsta” (pradeda veikti programa) iš anksto numatytu laiko momentu (pvz., kai kompiuterio data pasiekia penktadienį, kuris yra mėnesio 13 diena).

Trojos arklys. Tai programa, kuri gali egzistuoti tik pasislėpusi kitoje programoje. Ji išoriškai atrodo kaip naudinga programa, bet realiai atlieka kenkėjiškus veiksmus (pvz., groja nustatytą melodiją). Trojos arklys, kitaip negu tikrasis virusas, nesidaugina (negamina savo kopijų). Tačiau pasislėpęs (pvz., kompiliatoriuje) jis gali lengvai įdiegti kenkėjiškas programas į kompiliuojamų programų kodą.

Virusai palydovai. Tai programos, kurios nemodifikuoja egzistuojančių failų. Jos sukuria naujas programas, vykdomas vietoj tų, kurias norėjo įvykdyti vartotojas.

Polimorfinis virusas. Tai programa, kuri generuoja nepanašias, nors visiškai veiklias savo kopijas. Šis virusas šifruoja savo esminę dalį ir dažniausiai turi jos šifruotojo ir dešifruotojo kodą. Generatorius įvairiais laiko momentais kuria vis kitokius šifruotojus ir juos atitinkančius dešifruotojus. Polimorfiniuose virusuose dešifruotojas nėra vienodas – keičiasi kiekvienam infekuotam failui. Dėl šios priežasties dažnai negalima nustatyti infekuoto failo pagal charakteringą viruso eilutę-parašą (signatūrą).

Nematomi virusai. Šios programos paslepia jų atliktus pakeitimus failuose ar išorinės atminties sektoriuose pakeisdamos sistemines funkcijas, kurias naudoja tuos failus ar sektorius skaitančios programos. Šis virusas, sakysim, gali perimti operacinės sistemos funkcijas, nustatančias failo ilgį, ir “sumažinti” užkrėstų failų ilgį iki ilgio, buvusio iki užkrėtimo.

Kitas virusus

klasifikuojantis požymis yra jų kenksmingumas. Pagal tai virusai gali būti skirstomi į nepavojingus, pavojingus ir labai pavojingus. Nepavojingi virusai kompiuterio veikimui nedaro jokios įtakos, tik daugindamiesi užima tam tikrą atminties dalį. Be to, jie gali išvesti į ekraną grafinius vaizdus, pranešimus, imituoti įvairius garsus ir pan. Pavojingi virusai gali gerokai sutrikdyti kompiuterio darbą. Labai pavojingi virusai naikina programas ir duomenis, ištrina būtiną kompiuteriui sisteminę informaciją (pvz., failų išdėstymo lenteles).

Pagal užkrėtimo būdą virusai skirstomi į rezidentinius ir nerezidentinius. Pirmieji kompiuterio operatyviojoje atmintyje saugo savo rezidentinę dalį ir yra aktyvūs iki kompiuterio išjungimo ar sistemos pakartotinės kelties. Nerezidentiniai virusai kompiuterio atminties neužkrečia ir yra aktyvūs tik tam tikrą laiko tarpą.

Pagal “gyvenimo” aplinką virusus galima skirstyti į failų ir kelties. Pagrindiniai failų, kurie dažniausiai infekuojami, tipai yra šie: .BAT, .COM, .EXE, .SYS, .OVL, .LIB, .OBJ, .PRG, .DOC, .DOT. Kai kuriuos jų panagrinėsime detaliau.

Virusas, esantis užkrėstuose vykdomuosiuose failuose (.BAT, .EXE, .COM), pradeda savo darbą, paleidus vykdyti tą programą, kurioje jis slepiasi. Tiesa, .BAT tipo failų virusai labai primityvūs, juos lengva surasti ir sunaikinti. Ypač pavojinga, jei bus “užkrėstas” OS DOS komandų procesorius, t.y. failas COMMAND.COM, nes šiuo atveju virusas dirbs, vykdant bet kokią DOS komandą, ir visos vykdomos programos bus užkrėstos (jei virusas jas gali užkrėsti). .EXE ir .COM tipų failų virusai daugindamiesi gali prijungti savo kodą infekuojamo failo pradžioje, viduryje ar pabaigoje.

Pavojingas yra keliamų tvarkyklių (t.y. failų, turinčių plėtinį .SYS ir nurodomų sakiniu DEVICE konfigūravimo faile (CONFIG.SYS)) užkrėtimas. Šiuo atveju virusas pradeda savo darbą kiekvieną kartą kreipiantis į atitinkamą (tvarkyklės valdomą) įrenginį. Keliant užkrėstą tvarkyklę, virusas patenka į operatyviąją atmintį, perima operacinės sistemos užklausą, perduoda šią užklausą tvarkyklei, sulaukia tvarkyklės atsakymo ir jį koreguoja. Šie virusai lieka operatyviojoje atmintyje kartu su tvarkykle. Jie labai gyvybingi, nes į atmintį patenka atkeliant operacinę sistemą, t.y. anksčiau už bet kurią antivirusinę programą.

Winword sistemos dokumentų failus (.doc tipo) “puola” virusai, kurie plinta per makrokomandas. Jie užkrečia naujus dokumentų failus bei šablonų failus (.dot tipo).

Kelties virusai įsiskverbia į pradinės kelties sektorius, turinčius sistemos veikimui būtiną informaciją. Dažniausiai virusas užkrėtimo metu perkelia šį įrašą į kitą laisvą disko sektorių. Po to virusas kopijuoja sisteminę kelties informaciją į savo programą ir persikelia į pradinės kelties sektorių. Jei viruso kodas netelpa šiame sektoriuje, tai dalis viruso kodo pereina į kitus laisvus sektorius. Kelties virusai yra rezidentiniai. Nuskaičius pradinės kelties sektoriaus turinį, sisteminė programa perkelia ten saugomą viruso programą į operatyviąją atmintį ir perduoda jai valdymą. Gavęs valdymą, virusas atlieka tokius įprastinius veiksmus: a) sumažina laisvos atminties kiekį; b) skaito iš disko savo tęsinį (jei tęsinys yra); c) perkelia viruso kodą į kitą operatyviosios atminties vietą; d) nustato reikalingus pertraukimų vektorius; e) atlieka papildomus veiksmus – tai gali būti garsiniai ar vaizdiniai efektai, kenkėjiški veiksmai ir pan.; f) kopijuoja į atmintį originalią disko ar diskelio pradinės kelties programą ir perduoda jai valdymą. Po to virusas veikia kaip rezidentinis vykdomųjų failų virusas: perima operacinės sistemos kreipinius į diskus ir juos užkrečia. Yra paplitę ir mišrūs virusai, kurie užkrečia ne tik, sakysim, vykdomuosius failus, bet ir diskų pradinės kelties sektorius.

Prie kelties virusų gali būti priskirti ir virusai, modifikuojantys disko failų sistemą. Šie virusai slepiasi kuriame nors disko fragmente, pažymėdami jį failų išdėstymo lentelėje (FAT) kaip failo pabaigą. Katalogo elementuose, turinčiuose nuorodas į pirmus vykdomųjų (.com ir .exe) failų fragmentus, jos keičiamos nuorodomis į disko fragmentus, kuriuose pasislėpęs virusas. Teisinga nuoroda saugoma koduotu pavidalu katalogo elemento nenaudojamoje dalyje. Pradėjus vykdyti bet kurią programą, į atmintį atkeliamas virusas, kuris ten lieka ir veikia kaip rezidentinis vykdomųjų failų virusas.

Šiuo metu Jūs matote 31% šio straipsnio.
Matomi 1408 žodžiai iš 4480 žodžių.
Peržiūrėkite iki 100 straipsnių per 24 val. Pasirinkite apmokėjimo būdą:
El. bankininkyste - 1,45 Eur.
Įveskite savo el. paštą (juo išsiųsime atrakinimo kodą) ir spauskite Tęsti.
SMS žinute - 2,90 Eur.
Siųskite sms numeriu 1337 su tekstu INFO MEDIA ir įveskite gautą atrakinimo kodą.
Turite atrakinimo kodą?
Po mokėjimo iškart gausite atrakinimo kodą, kurį įveskite į laukelį žemiau:
Kodas suteikia galimybę atrakinti iki 100 straispnių svetainėje ir galioja 24 val.