V Slovenskej lekárskej knižnici pracujem asi 3 roky. Za ten čas bolo treba formátovať veľa počítačov,
vyskytlo sa množstvo vírusov. Dnes je problémov podstatne menej. Realizovali sa opatrenia, ktoré zvýšili bezpečnosť
našej siete a mne uľahčili prácu s vírusmi. Ale poďme pekne po poriadku. Najprv uvediem základné informácie o
vírusoch, potom niečo o spôsobe ich šírenia. Záver bude venovaný opatreniam na ochranu pred vírusmi.
Čo je to počítačový vírus
Ako počítačové vírusy označujeme manipulačné programy alebo prídavné inštrukcie, ktoré sa po vniknutí do
systému skryto množia (kopírujú) a môžu neočakávane meniť činnosť programu – až po naprogramované “sebazničenie”
celých súborov s časovým oneskorením (tzv. časovaná bomba). Vírusy, ktoré prenikli do systému pomocou zdanlivo
nevinných programov (tzv. trójske kone), môžu napríklad zničiť ochranu heslom. Ak je váš počítač zapojený do
siete, je prístupný aj “hackerom”.
Takáto formálna definícia je uvedená v maturitnej otázke číslo 21 z informatiky na stránke
http://www.studentske.sk/web.php?sk=MO21_Pocitacove_virusy.htm&pred=informatika.
Jednoduchšie povedané, je to zvláštny program, ktorý sa bez vedomia používateľa dostáva do počítača a tam
prepisuje iné pro-
gramy, dokumenty, prípadne systémovú oblasť pevného disku, diskiet s cieľom vlastného rozšírenia. Môže pritom
vykonávať rôzne grafické, zvukové, textové efekty, ale aj deštruktívnu činnosť, ako je mazanie, kódovanie súborov,
časti sektorov disku, narušenie bezpečnosti počítača, ale aj údajov na disku zaslaním tajných kľúčov, odchytených
hesiel mimo napadnutého počítača autorovi vírusu. Vírus môže formátovať disk a dokonca aj zničiť samotný počítač,
napríklad rozkmitaním hlavičiek pevného disku alebo vysielaním chybných signálov na grafickú kartu.
Aké typy vírusov rozlišujeme
-
Boot vírus
– na svoj prenos využíva boot sektor diskety. Vírus po svojej aktivácii, t. j. nabootovaní zo zavírenej
diskety, prenesie svoj kód do boot sektora logického disku C: a pri najbližšom nabootovaní z pevného disku sa
vírus spúšťa ako prvý ešte pred samotným operačným systémom. Obvykle sa stáva pamäťovo rezidentným a infikuje
všetky pred zápisom nechránené diskety. Dnes sa už tento druh vírusu málo vyskytuje.
-
Súborový vírus
– bol to dlho najbežnejší typ, ktorý na svoje šírenie využíva iný program. Najčastejšie sa pripája na
koniec tela hostiteľského programu, čím spôsobuje predĺženie jeho veľkosti. Sú aj vírusy, ktoré veľkosť
programu nemenia, čo robia tak, že začiatok napadnutého programu prepíšu (čím ho zároveň zničia) alebo
využívajú “diery” v kóde programu, ktoré zaplnia svojím kódom. Po spustení nakazeného súboru sa najprv aktivuje
vírus a ten infikuje ďalšie súbory. Najčastejšie sa stáva pamäťovo rezidentným a infikuje spúšťacie
súbory.
-
Makrovírus
– činnosť tohto vírusu je riadená makrojazykom príslušnej aplikácie viazanej na konkrétny formát
dokumentu, najčastejšie Visual Basic for Aplications v spojení s MS Word, MS Excel, MS Access, MS Pover Point,
MS Project, ale už aj CorelDraw. Takéto vírusy sú nezávislé od samotného operačného systému. Vírus sa šíri
načítaním zavíreného dokumentu. Príslušná aplikácia vykoná makrá vírusu, ktoré zabezpečia napadnutie globálnej
šablóny. Zavírené makrá šablóny sa potom ukladajú do ďalších otvorených dokumentov a tým ich infikujú.
Makrovírus sa aktivuje prezeraním v príslušnom type editora, ktorý má povolené používanie makier. Vírus sa
nešíri kopírovaním alebo inou manipuláciou so zavíreným dokumentom.
-
Skriptový vírus
– vírus napísaný v niektorom zo skriptových jazykov. Môže to byť BAT, INF, Java Script alebo Visual
Basic Script súbor. Šíria sa ako samostatný súbor alebo ako súčasť iných typov súborov v rámci HTML a CHM
súborov.
-
Satelitný vírus
– vírus šíriaci sa na základe vlastností operačného systému MS DOS, MS Windows. V prípade, že sa v
danom adresári nachádza viac súborov rovnakého mena, postupnosť ich spúšťania sa riadi podľa prípony v poradí:
BAT, COM, EXE. Do súboru s príponou EXE sa skopíruje kód s vírusom a vznikne nový súbor s rovnakým menom, ale s
inou koncovkou, napríklad COM alebo BAT. Najprv sa spustí vírus, rozmnoží sa a zabezpečí aktiváciu samotného
programu.
-
Adresárový vírus
– vírus sa nachádza na disku v jednom exemplári a napáda iné spúšťacie súbory. Prepisuje v smerníku
začiatok adresára tak, aby ukazoval na začiatok vírusu. Pôvodnú hodnotu smerníka si ukladá a pokiaľ je vírus
pamäťovo rezidentný, po spustení vlastného kódu zabezpečí spustenie pôvodného súboru.
-
Multipartitný vírus
– vírus kombinujúci viac typov spôsobov šírenia, napríklad súborového a boot vírusu (OneHalf) alebo
súborového a makrovírusu (Anarchy), makrovírusu a skriptového vírusu (ColdApe).
-
Polymorfný vírus
– vírus, ktorý mení poradie vykonávania častí kódu alebo zamieňa sekvencie kódu inými sekvenciami s
rovnocennou funkciou v úvodnej časti vírusu. Zvyšná časť vírusu sa šifruje, čím sa znemožňuje identifikácia
vírusu jednoduchým hľadaním pevnej sekvencie kódu. Vírus je možné identifikovať len špecializovanými
algoritmami.
Napadnúť počítač môže aj červ
Červ
(Worm) – program sa nachádza v jednej sade súborov na hostiteľskom počítači. Na svoje šírenie využíva spojenie
daného počítača s ďalšími. Červ sa na rozdiel od vírusu nepripája k žiadnému programu ani sa na lokálnom disku
nešíri. Takýto typický červ sa šíril pod názvom Happy99 a menil obrazovku na ohňostroj.
Nájdu sa i červy, ktoré sa šíria aj po lokálnych a sieťových diskoch, čím sa svojím správaním približujú k
vírusom. Niektoré červy zase majú vlastnosti pripomínajúce trójske kone. Presné vymedzenie jednotlivých druhov
napadnutia červom nie je možné.
Trójsky kôň – veľké nebezpečenstvo
Trójskym koňom sa označuje program, ktorý okrem užitočnej funkcie obsahuje aj skrytú časť a tá sa aktivuje po
splnení určitej podmienky, napríklad viazanej na určitý dátum (napríklad Michelangelo sa prejavoval 6. marca).
Charakter činnosti skrytej časti je väčšinou deštrukčný, ako napr. modifikácia údajov, odstránenie súborov, formát
disku, tajná komunikácia cez internet. Navonok sa program môže ukazovať ako veľmi užitočný. Často sa vyskytuje
trójsky kôň, ktorý je vlastne inštalačným programom. Po inštalácii sa spúšťa hneď pri štarte operačného systému a
skryte vykonáva deštrukciu. V hojnom počte sa vyskytuje aj trójsky kôň
backdoor – “zadné dvierka”. Je to komunikačný klient, ktorý bez vedomia používateľa počítača komunikuje s
autorovým serverom. Môže posielať prístupové heslá zadávané z klávesnice, záznam o aktivite počítača, ale aj
umožniť úplné diaľkové ovládanie. Od počítačového vírusu alebo červa sa trójsky kôň líši tým, že sa ďalej
nekopíruje.
Žartovný program (joke)
Je to neškodný program, ktorý môže simulovať chybové hlásenie operačného systému alebo iný druh deštrukčnej
činnosti. Určený je na pobavenie sa vo forme kanadského žartu. Okrem vystrašenia používateľa nespôsobuje žiadne
škody. Spomínam si na program, ktorý otočil obraz na obrazovke o 180° alebo na okrajoch začali blikať vianočné
sviečky.
HOAX – patologická správa
Správa, ktorá využíva komunikáciu medzi používateľmi v lokálnych sieťach a cez internet. Elektronická pošta
je zneužitá vypustením falošnej poplašnej správy. E-mail obsahuje rôzne falošné upozornenia. Môže upozorňovať na
nový nebezpečný vírus alebo na dôležitú, zaujímavú a užitočnú informáciu, ktorú používatelia vlastnoručne posielajú
svojim kolegom a priateľom, čím správu hromadne šíria po sieti. Takto sa zbytočne podávajú zlé informácie masám
ľudí a zahlcujú sa siete, servery. Poplašné správy môžu obsahovať nepravdivé informácie napríklad o firme, čím
poklesne cena jej akcií.
Iný typ predstavujú “správové smeti” – pri rôznych konferenciách sa účastníkom automaticky posielajú všetky
príspevky. Ak sa posielajú do schránky s ostatnými správami, môže sa medzi nimi stratiť dôležitá správa.
Nie je to tak dávno, čo kolovala informácia o nebezpečnom víruse, ktorý sa mal nachádzať v adresári C:\
WINDIWS\ , s inkonku medvedíka. Používateľ sa nad správou nezamyslel a nájdený súbor urýchlene odstránil. Potom sa
nestačil čudovať, prečo sa operačný systém zrútil. Neuvedomil si, že sám je toho príčinou. Záleží na zvážení
každého, kto dostane podobnú správu, či ju pošle ďalej, alebo dá rovno do koša. Pri veľkom množstve takýchto správ
sa občas nájde aj pravdivá. Je dôležité sa nad každou správou poriadne zamyslieť.
Spyware – ohrozenie z internetu
Ide o programy, ktoré sa v niektorých prípadoch správajú ako trójske kone. Považujem ich za veľmi nebezpečné.
Málo sa o nich vie. Na svoje šírenie využívajú webové rozhranie. Cieľom sú rôzne informácie zamerané na reklamné
účely. Skoro na každej webovej stránke sa nachádza okno s reklamou, na ktorej sa pohybuje napríklad panáčik, je tam
určitá animácia. Netreba nikam kliknúť, animácia sa spustí otvorením samotnej stránky v prehliadači. Aktivuje sa
určitý špionážny program. Výsledkom je, že počítač sa začne spomaľovať, Internet Explorer má zrazu veľa nových líšt
alebo sa zmení domovská stránka, na paneli úloh pri hodinkách vpravo je nová akože užitočná ikonka a neviete sa jej
zbaviť. Navonok sa takto má prejavovať, že niekto sleduje prácu počítača.
Spyware bývajú rôzne, od jednoduchého sledovania práce až po deštrukciu.
Typy spyware:
-
Adware (z angl. ad – inzerát, ware – tovar) – program, ktorý sa ponúkne na bezplatné používanie, ale
autor žije z pribalenej reklamy. Do systému sa na pozadí nainštalujú ďalšie programy, ktoré sledujú využitie
počítača – aké stránky sa navštevujú, ako často, aká adresa elektronickej pošty sa používa, kontaktné adresy…
Získané informácie autor posiela spoločnostiam, ktoré sa zaoberajú reklamou. Tie sa snažia zistiť okruh záujmu
a potom posielajú cielenú reklamu. Do schránky sa začne valiť nevyžiadaná pošta. Niektoré firmy využívajú
adware tak, že neplatené verzie obsahujú reklamy, ale v platenej verzii sa nevyskytujú. Takýmto programom je
napríklad kodek DivX alebo prehliadač Opera. (Podľa článku Adware, spyware a malware z IT magazínu PC REVUE
číslo 6/2004.)
-
Spyware (z angl. spy – špión) – programy, ktoré bez súhlasu používateľa sledujú činnosť počítača. Často
sú však aj inštalačné programy, ktoré si pri inštalácii vyžadujú vyplniť určité informácie ako e-mail. V texte
o licenčných pravidlách je uvedené, aké informácie sa budú sledovať. Väčšina používateľov si tieto informácie
neprečíta. Býva tam právnická formulácia, ktorá je zavádzajúca; nie je jasné, na čo sa dáva súhlas, alebo text
je v angličtine, používateľ mu nerozumie a klikne na “súhlasím s licenčnými pravidlami”. Toto sa veľmi nedá
považovať za spyware, lebo používateľ dobrovoľne dal súhlas na sledovanie počítača. Informácie sa budú ďalej
posielať spoločnostiam, ktoré ich poskytnú zase ďalej.
-
Malware (z angl. malicious – zákerný, zlomyselný) – programy ako spyware, ktoré sa šíria nielen
inštaláciou, ale aj surfovaním po internete, môžu obsahovať keylogger, ktorý zaznamenáva všetky stlačené
klávesy, sniffer, ktorý sleduje sieťovú komunikáciu, odchytáva heslá, čísla sieťových kariet, dialer, ktorý vie
zmeniť nastavenia telefonického pripojenia do internetu cez cudziu krajinu. Okrem toho, že počítač môže byť
sledovaný, dá sa aj na diaľku ovládať niekým iným. Z počítača sa môže stať odosielateľ SPAM-u (nevyžiadanej
pošty), alebo slúži pri koordinovaných útokoch na iné počítače.
V spomínanom článku z PC REVUE číslo 6/2004 je odporúčanie – mať kvalitný antivírusový program s aktuálnou
databázou, dobrý firewall. Zásadne sa nemá inštalovať neznámy program. Vhodné je mať aj špecializovaný program na
odstránenie spyware. V čísle je aj test nástrojov na očistenie počítača od takýchto programov. Najlepšie sa
umiestnil program Ad-aware 6 od švédskej firmy LavaSoft. Bezplatná verzia sa dá nakopírovať z
www.lavasoft.de/support/download/. Mám s ním veľmi dobré
skúsenosti, zatiaľ rekord bol 500 procesov bežiacich na pozadí jedného počítača. Platená verzia poskytuje aj
blokovanie vyskakujúcich okien a ochranu pred malware. V SlLK používame ešte program Ccleaner, ktorý kontroluje
registre, hľadá nekorektné záznamy v registroch a odstraňuje ich. Dá sa nastaviť, aby kontrolu vykonával pri každom
štarte počítača. Je tiež bezplatný a dá sa nakopírovať z
www.ccleaner.com. Je potrebné sa však starať o ich aktualizáciu. V spomínanom
článku sa uvádza aj ďalší program SpyBot Search&Destroy od nemeckého autora Patrika M. Kolla, ale ten som
zatiaľ nevyskúšala.
Kde všade na nás číha nebezpečenstvo
V súčasnosti prostredníctvom internetu komunikuje veľké množstvo používateľov, často len so základnými
vedomosťami o operačných systémoch a aplikáciách. Stále sa vyskytujú nové a nové služby, čo značne umožňuje
napadnutie počítača. Vzhľadom na trend zjednodušenia obsluhy čoraz viac rozhodovacích procesov sa rieši
automaticky, používateľ má čoraz menšiu možnosť ich ovplyvniť.
Zdroje nákazy
Obvykle vírus môže byť v demo a beta verziách programov, rôznych shareware, freeware, update komerčných
programov, ktoré sa šíria elektronickou poštou alebo kopírujú z FTP, WWW serverov. Podobne nebezpečné sú takéto
programy na CD nosičoch ako prílohy počítačových časopisov.
Funkcia AUTORUN predstavuje tiež určité riziko. Dochádza k spusteniu kódu bez toho, aby používateľ mal šancu
automaticky spúšťaný kód najprv overiť.
Veľa vírusov využíva vlastnosť poštového klienta MS Outlook Express, ktorý umožňuje aktiváciu vírusov
jednoduchým prečítaním správy. V tejto súvislosti veľa odbornej literatúry odporúča prechod na bezpečnejší typ
poštového klienta, napríklad The Bat! Bližšie informácie možno nájsť na
www.ritlabs.com.
Dnes sa vyskytujú vírusy, ktoré sa aktivujú prezeraním vzdialeného HTML súboru pomocou Internet Explorera. Aj
tu sa odporúča používanie iných, bezpečnejších prehliadačov internetu, napríklad Mozilla alebo Firefox. Bezplatne
sa dá nakopírovať z
www.mozilla.org/products/firefox/.
Pri tejto príležitosti neslobodno zabudnúť na otvorený komunikačný kanál, ktorý vytvárajú programy, ako
napríklad IRC, ICQ, MSN messanger. Takisto predstavujú určitú hrozbu.
Špeciálnu pozornosť treba venovať prílohám v elektronickej pošte. Súbory, ktoré umožňujú prenesenie alebo
aktiváciu vírusu, môžu mať jednu z koncoviek: ASP, BAT, BIN, CHM, CLASS, COM, CSC, DLL, DO_, DRV. EXE, HLP, HT?,
INF, INI, JS, MD?, OB?, OV?, POT, PP?, SCR, SHS, SYS, VB?, VXD, XL?.
Formáty, ktoré nešíria vírus, sú multimediálne tzv. bezpečné koncovky: BMP, TIF, GIF, JPG, WAV. MP?, RA, AVI,
MOV.
Stáva sa, že ako príloha v elektronickej pošte príde súbor, ktorý má viac prípon. Je pravidlo, že v takom
prípade platí tá posledná. Ak má poštový klient nastavenú funkciu schovávania prípon, treba ju čo najskôr
odstrániť. Ľahko sa môže stať, že používateľ naletí psychologickej finte, lebo vidí prílohu ako textový súbor
(napríklad červ I-Worm/LoveLetter má prílohu LOVE-LETTER-FOR-YOU.
TXT.VBS, ale pri takomto nastavení sa zobrazí ako LOVE-LETTER-FOR-YOU.TXT).
Ako sa chrániť
Chrániť treba lokálnu sieť, server, ale aj pracovnú stanicu. Na úrovni lokálnej siete je dôležité správne
určiť oprávnenia pre jednotlivých používateľov, čo sa týka dostupnosti jednotlivých služieb internetu, náležite
zaškoliť používateľov siete nielen v zmysle antivírusovej ochrany, ale aj oboznámiť sa s potenciálnymi rizikami
spojenými s používaním internetu. Na strane servera ako vstupného bodu do lokálnej siete je potrebná aplikácia
vhodného typu firewall software, antivírusovej kontroly prichádzajúcej aj odchádzajúcej pošty aj s prílohami. Zo
strany pracovných staníc je potrebné aplikovať dostatočne výkonný rezidentný antivírusový program a zabezpečiť jeho
pravidelnú aktualizáciu. Asi najznámejším antivírusovým programom je NOD, ďalej Dr. Slolmon Toolkit, Norton
Antivirus a mnohé iné.
Ako je to u nás
V Slovenskej lekárskej knižnici na pracovných staniciach používame cenovo dostupný systém AVG 7. Mali sme
problémy s jeho aktualizáciou cez internet. Teraz máme nastavenú jednu pracovnú stanicu, ktorá aktualizačné súbory
kopíruje večer a ukladá na server. Stanice sa aktualizujú potom zo servera. Takto sa nám podarilo ako-tak zachovať
aktuálnosť antivírusovej databázy bez nutnej účasti používateľov. Občas sa stane, že máme trójskeho koňa. Opíšem si
jeho názov a v núdzovom režime odstránim daný súbor z disku a registrov. Nesmiem zabudnúť vysypať kôš a po reštarte
je počítač bez trójskeho koňa.
Za to, že máme málo vírusov, vďačíme dobre postavenému serveru. Nezanevreli sme na Novell a ako server
aplikáciu používame produkt tejto spoločnosti Novell Small Bussiness Suite 6. V tomto balíku je Proxy server,
BorderManager, čo je vlastne firewall, a nesmiem zabudnúť na GroupWise – E-mail server. Posledný spomínaný produkt
nám umožňuje vytvárať a rušiť poštové schránky vo vlastnej réžii. GroupWise umožňuje spravovať dokumenty, obsahuje
kalendár, plánovač úloh a tie sa dajú posielať používateľom. Prípadným formátovaním počítača sa nestratí ani pošta,
ani dokumenty.
Naše schránky sú prístupné aj cez webové rozhranie. Používateľ nemusí byť vo svojej kancelárii ani pri svojom
počítači, stačí mu internet a vie si skontrolovať správy. Má prístupné dokonca aj dokumenty, ak si ich spravuje cez
tento systém. Zničením údajov na disku z akéhokoľvek dôvodu nedochádza k strate dokumentov, lebo sú spravované cez
server. Je možné pozerať ich aj na mobilnom telefóne cez WAP.
Na strane servera máme inštalovaný antivírusový produkt maďarskej spoločnosti VirusBuster. Kontroluje
prichádzajúcu aj odchádzajúcu poštu, obsah príloh, poradí si aj s HTML textom v samotnej správe. Sám sa stará o
aktualizáciu. Stalo sa mi, že adresár, do ktorého sa ukladajú zachytené prílohy, za týždeň mal veľkosť až 70 MB.
Môžem povedať, že stráži veľmi dobre.
Na záver chcem upozorniť na článok uverejnený v týždenníku Profesia 20. augusta 2003, zdroj Mladá fronta, pod
názvom
Desatoro antivírusovej ochrany
. Možno si ho prečítať na
http://info.profesia.sk/buxus/generate_page.php?page_id=3382#top.
Píše sa v ňom o nutnosti vypracovať bezpečnostnú politiku, zabezpečiť správne používanie antivírusovej
ochrany spolu s aktualizáciou. Upozorňuje, že neexistuje univerzálny recept, ako rozpoznať nebezpečnú prílohu,
vírus sa na prvý pohľad snaží tváriť čo najpriateľskejšie. Tu je úryvok z neho.
Skúste si pred otvorením každej prílohy položiť otázku: Nie je na správe niečo čudné? Očakávam poštu od
dotyčnej osoby? Pokiaľ sa vám pošta nepozdáva a napriek tomu sa rozhodnete prílohu spustiť, položte si ešte jednu
otázku: Stojí mi moja zvedavosť za prípadné problémy?
Informácie dôsledne filtrujte. Pokiaľ príde e-mailom od priateľa či kolegu varovanie pred najobludnejším
vírusom všetkých dôb, ktoré vás vyzýva k odoslaniu správy na čo najviac adries, ide pravdepodobne o nezmyselnú
poplašnú správu, ktorá sa šíri svetom s cieľom obťažovať používateľov počítačov.
Tvorcovia počítačových vírusov (bohužiaľ celkom správne) rátali s ľudskou lenivosťou.
Sú veci medzi nebom a zemou, ktoré ovplyvniť nie je v ľudských silách. Ale na druhej strane sú veci, ktoré
ovplyvňovať môžete a ani to veľmi nebolí. Súvisí to jednak s predošlými i nasledujúcimi bodmi tohto “desatora”,
nejde o žiadne nadľudské úlohy. Rovnako tak si môžete sledovať počítač, aby k nemu nemali prístup nepovolané
osoby (a pokiaľ možno ani povolané, pretože každý problém bude len a len vaším problémom, pretože išlo o váš
počítač). Je viac ako rozumné počítač blokovať heslom i v prípade veľmi krátkeho opustenia pracoviska (káva,
obed, toaleta a pod.). Na začiatku to síce bude pre vás nezvyčajné, ale za pocit pokoja sa to vyplatí.
Svoje cenné dáta zašifrovaním ochránite pred napadnutím či modifikáciou vírusov, navyše tým vyriešite aj
ďalšie bezpečnostné problémy – možnosť odcudzenia dát, únik citlivých informácií pri krádeži či “hacknutí”
počítača.
Zálohovať, zálohovať a zase zálohovať! Zálohujte ráno, zálohujte naobed, zálohujte večer! A v noci nech sa
vám sníva o zálohovaní… Trochu preháňame, ale skutočne len trochu. Zatvorte teraz na chvíľu oči a skúste
odpovedať na otázku: Keby mi teraz nenávratne zmizli z počítača všetky dáta, ako dlho by mi trvala ich obnova zo
záloh a iných zdrojov? Pritom nejde o nejaké čary, ale napríklad práve o útok počítačového vírusu, krádež
počítača či úplne obyčajnú vázu s vodou šikovne prevrátenú do počítača… Takže ešte raz: Zálohujte, zálohujte a
zase zálohujte!
Toľko z článku Desatoro antivírusovej ochrany. Dnes na každom kroku číha nebezpečenstvo nakazenia počítača
alebo lokálnej siete. S rozvahou a informovanosťou sa dá čeliť každej hrozbe.
|