Professional Documents
Culture Documents
13 Vírusok
13 Vírusok
Számítógépes vírusok:
olyan rosszindulatú programok, melyek más programokat a saját kódjának beléjük juttatásával
fertőző, a fertőzött szoftver működését a vezérlés átvételével megváltoztató programok.
Közös jellemzőjük:
a) A vírust tartalmazó, fertőzött programok futtatásakor a vírusprogram is lefut.
Ekkor reprodukálja, sokszorosítja önmagát, és minden új példánya egy további
állományt fertőz meg. Szaporodik és fertőz
b) Valamilyen közvetlenül, vagy közvetve futtatható programfájlhoz, makróhoz,
vagy forráskódú szkripthez csatolja magát, miközben módosítja annak kódját
úgy, hogy annak futásakor saját kódjuk is lefusson.
c) A vírusprogram valamely feltétel hamis vagy igaz voltát is figyeli, időzítheti
magát. Ennek logikai értékétől függően aktivizálhatja a büntető rutinját: azt a
programrészt, amely törölheti a lemezről az állományokat, formázhatja a
merevlemezeket, vagy csak játékos üzeneteket, reklám szövegeket jelenít meg
képernyőn. Lappang, majd adott jelre vár és kárt okoz.
d) Rejtőzködnek azért, hogy ne lehessen olyan könnyen felfedezni őket.
Csoportosításuk:
Fájl vírusok: a katalógusokba bejegyzett állományokat fertőznek meg. A közvetlenül
futtatható fájlokat a com, exe kiterjesztésű fájlok. A közvetve, egy futó program által
aktivizálható programrészek, mint pl. a dll, bin, sys, ovl kierjesztésű
Férgek: a kártékony programok ezen osztálya a terjedéshez hálózati erőforrásokat
használ. Kihasználva az operációsrendszerek réseit, hiányosságait. Azért kapták a "féreg"
elnevezést, mert hálózati, e-mail vagy más csatornák használatával képesek "átkúszni" egyik
számítógépről a másikra. Azokra melyek operációsrendszerei kapcsolatban vannak
egymással. Valamilyen vivőközegre van szükség. Ennek köszönhetően, különösen nagy
sebességgel képesek terjedni. Egy számítógépbe behatolva, a férgek meghatározzák más
számítógépek hálózati (IP) címét, és másolataikat szétszórják azokba a gépekbe is. A hálózati
címek mellett gyakran használják a fertőzött gépen telepített levelező kliensek
címjegyzékében található adatokat is. A címjegyzékben szereplő összes címre elküldi
másolatát. Néha munkafájlokat készítenek a háttértáron, ám a fertőzött gép memóriájának
kivételével más erőforrásra nincs szükségük. Bár a víruskeresők többnyire el tudják távolítani,
de az igazi védekezés ellenük az operációsrendszer hiányosságainak megszüntetése. Ha ez
utólag történik, akkor ezt foltozásnak hívjuk (patch)
Trójai programok: Nem igazi vírusok, mert nem tartalmaz szaporító részt, a
felhasználó által jóvá nem hagyott műveleteket hajtanak végre a fertőzött gépeken: pl. törlik a
merevlemezen található adatokat, lefagyasztják a rendszert vagy bizalmas információkat
1
lopnak és küldenek el egy harmadik személynek. Szigorúan véve, a trójaiak nem vírusok,
mert nem fertőznek programokat vagy adatokat, és nem önállóan hatolnak be a számítógépbe,
hanem rosszindulatú felhasználók, mint "hasznos" szoftvert terjesztik, vagy elektronikus
levélben érkeznek. Ma a trójaiak messze nagyobb kárt okozhatnak, mint egy hagyományos
vírusfertőzés.
Boot-szektor fertőzők: A boot-szektor-fertőző vírusok a számítógépeknek azt a
tulajdonságát használják ki, hogy az operációs rendszer is lemezről töltődik be. Ezek a
vírusok arra a lemezterületre írják magukat, ahol normális esetben az operációs rendszert
indító rész van, ezért amikor a gép (BIOS) megpróbálja betölteni a rendszert, helyette a vírust
fogja elindítani. A vírus persze utána elindítja a rendszert is, de ekkor már a memóriában van.
A Boot vírusok a floppy lemezek Boot Sector-át vagy a merevlemezek Master Boot Record-
ját fertőzik meg. (napjainkra a boot-vírusok szinte teljesen eltűntek)
Javaslat: Ne hagyjunk floppylemezt a meghajtóban, vagy pendrive-ot az usb portban ha
elmegyünk a géptől. Áramszünet esetén, vagy másnap reggel ha bekapcsoljuk a gépet
előfordulhat, hogy a gép a ezekről tölt be, akkor a fertőzés máris a memóriába illetve a
winchesterünkre kerülhet át.
- társult vírusok
- script vírusok
Polimorf vírusok Rejtőzködhetnek, használhatnak titkosítást, lehetnek önkódváltók
(polimorfizmus), mindezeket alkalmazhatják egyenként, de létezik olyan is, ami saját maga
védelmére a fentiekből egynél többet / mindent felhasznál. Képesek változtatni a megjelenési
formájukat, mely többnyire minden fertőzéskor változik, így nehezítve a felismerést
Makro vírusok A makróvírusok felhasználói környezetben tevékenykednek
(alkalmazói szoftver indítja el őket). Olyan vírusok, melyek általában a Microsoft Office
programjaiba ágyazódva különböző kártékony hatást fejtenek ki. Ez akár régebbi file vírus
különböző könyvtárakba való kibocsátása is lehet (dropper funkció).A makróvírusok elleni
védelem érdekében a Microsoft Office szoftverekben kapcsoljuk be a makróvédelmet.
(napjainkra a makróvírusok szinte teljesen eltűntek)
Retrovírus család: Olyan vírus, amelyik egyes antivírus programokat próbál meg
blokkolni, de ezek a blokkolás után ugyanúgy tevékenykednek, mint egy "átlag" vírus.
Lopakodó (stealth) vírusok: A lopakodó vírusok az operációs rendszert megkerülve
meghamisítják az információkat így játsszák ki a vírusvédelmi programokat. Látszólag tiszta
(fertőzésmentes) állapotot képesek mutatni, például az intézőben a fertőzött állomány hossza
az eredeti, tiszta állapotnak megfelelő értéket mutatja, illetve látszólag még a fájl tartalma is
az eredeti.
Backdoor (hátsóajtó) programok: A hátsóajtó program olyan, a felhasználó számára
álltalában nem látható elem, amely telepítése után teljes kontrollt adhat a számítógép felett
egy vagy több távoli személynek. A hátsóajtó program terjesztőjének vagy használójának így
lehetősége nyílik arra, hogy az Interneten keresztül egy másik gépen tárolt adatokat
megtekintsen, módosítson vagy töröljön, de emellett segítségével "megfigyelhető" a gépen
dolgozó felhasználó: követhető, hogy mely billentyűket nyomta le, milyen jelszavakat
használt, mely Web-lapokat látogatott meg stb. A lehetőségek elméletileg korlátlanok,
gyakorlatilag a megvalósítástól függenek.
Kém programok (Spyware): Célja, hogy adatokat gyűjtsenek személyekről, vagy
szervezetekről azok tudta nélkül a számítógép-hálózatokon. Az információszerzés célja lehet
2
békésebb, például reklámanyagok eljuttatása a kiemelt címekre, de ellophatják a
számlaszámainkat, jelszavainkat, vagy más személyes adatainkat.
Vírusfertőzésre utaló jelek: Akkor kell vírusfertőzésre gyanakodni, ha jól
ismert számítógépünk, programjaink
a) furcsán viselkednek,
b) gépünk lelassul.
c) folyamatos lemeztevékenységet észlelünk, pedig nem is csinálunk semmit
d) hálózati forgalom van anélkül, hogy kezdeményeznénk
e) lassabban indul/áll le a gépünk a megszokottnál, esetleg spontán újraindul.
Védekezés vírusok ellen: A legfontosabb feladat a vírusfertőzés megelőzése.
Ehhez ne tegyünk fel ismeretlen forrásból származó programokat! Vagyis csak hivatalos
forgalmazótól vásárolt jogtiszta szoftvert használjunk. Legyünk óvatosak bármilyen idegen
adathordozóval! Ne nyissunk meg ismeretlen feladótól származó gyanús dokumentumokat
ellenőrzés nélkül! Pl. E-mail mellékletben érkezőket. Víruskereső és vírusmentesítő
programok használata.
Víruskeresési módszerek:
a) Minta, vagy szignatúra keresés: A víruskereső programok a cél fájlokat
átolvasva olyan kódsorokat keresnek bennük, melyek a vírusokra jellemzők. Ha
fertőzött fájlt találnak, akkor a felhasználó akaratától függően eltávolítják a vírust,
törlik a fertőzött fájlt a vírussal együtt, vagy „elzárják” (karanténba helyezik),
megakadályozva megnyitásukat. Jellemzője az, hogy gyors és gyakran megtudja
„gyógyítani” a fertőzött fájlokat. Hátránya az, hogy a legújabb vírusokat nem
ismeri fel, vagy a ”gyógyítás” a fájl sérülésével jár.
b) Heurisztikus keresés: Nem keres vírusmintákat, hanem a lehetséges célfájlokhoz
olyan szituációkat teremt, hogy a vírus aktivizálja magát, és a rá jellemző
műveletek felismerhetők legyenek. Nagy előnye az, hogy az ismeretlen vírusokat
is felismeri, melyekről még nem tudnak a víruskereső programok. Hátránya a
gyakori téves riasztás mellyel elbizonytalanítja a felhasználót.
A víruskereső programok gyakran alkalmaznak figyelő rendszert (vírus pajzsot).
Melyek az operációs rendszer betöltésétől a leállításáig figyeli a rendszert. Sajnos ez lelassítja
a rendszert, A gyorsabb működése érdekében csak részellenőrzést szoktak végeztetni vele,
ezért időközönként ki kell egészíteni egy-egy teljes körű ellenőrzéssel is.
Milye ismérvekkel rendelkezzenek a megfelelő víruskereső programok?
Rendelkezzenek az előbb említett víruspajzzsal és alkalmazza mindkét keresési módszert.
Frissítésük automatikusan történjen az Internetről, tűzfal programmal együttműködjön.
Ellenőrizze az elektronikus leveleket és azok mellékletét is, Segítséget nyújtó technikai háttér
álljon a felhasználók rendelkezésére. Feladatok ütemezése (frissítés, keresés).
Néhány víruskereső program:
a) F-Secure
b) VirusBuster
c) Norton Anti Vírus (NAV)
d) Panda Anti Vírus
e) NOD32
f) McAfee stb.
3
A víruskereső programok használata mellet célszerű a biztonság megőrzése érdekében
a anti-spayware programok alkalmazása is. Ezek feladata az Internetről érkező kém és
hátsókapu programoknak a számítógépünkre való településének megakadályozása, felderítése,
eltávolítás Néhány ilyen program: Ad-Aware,
A fertőzések és a károkozás csökkentésére az felhasználó felelőssége elsődleges. Ez
vonatkozik a korábban leírt vírusfertőzése megelőzésére, biztonsági mentések készítésére,
és az Internetes csalások kivédésére is stb.