A számítógépes vírusok olyan rövid programok, amelyek képesek önmaguk
megsokszorozására (reprodukálására). A vírusokat azzal a céllal hozzák létre, hogy észrevétlenül terjedve a számítógép egyes részeibe (tárban, lemezen, fájlokban) befészkelődve különböző mértékű károkat okozzanak. Fertőzésnek nevezzük a vírusprogram befészkelődését a gép rendszerterületeire vagy a fájlokba. Az az állomány, amelybe a vírus beépíti magát, a gazdaprogram. Aktivizálódásnak nevezzük azt, amikor a vírusprogramok kifejtik kártékony hatásukat a gépben. A fertőzés és az aktivizálódás járhat együtt is, de külön-külön is előfordulhatnak. Mindemellett a fertőzés és az aktiválódás elindulhat egy fertőzött program indításakor, vagy pedig egy feltétel teljesülésekor. Ez utóbbira számtalan példa van: Ha a pénteki nap 13-ára esik, Ha a gépünket újraindítjuk, Ha a gépünket a fertőzés után X- edszer újraindítjuk, Ha július 13-án indítjuk el a gépünket, Ha egy korábban megírt és elmentett állományt megnyitunk. Láthatjuk, hogy a vírusok alapvetően egy esemény bekövetkezésekor kezdhetik meg működésüket. A vírusnak – mint programnak – a fertőzéshez és/vagy az aktivizálódáshoz át kell vennie a vezérlést. Ez vagy egy fertőzött program indításakor, vagy pedig az operációs rendszer valamely műveletének végrehajtásakor következhet be (rendszervírus). Ilyen pl. a gép indítása, egy állomány betöltése. Egy vírus általában egyfajta számítógépben és operációsrendszer mellett működik, más környezetben ugyanaz a vírus hatástalan. Néhány olyan „tünet, amelyből feltételezhetjük a vírus jelenlétét: A nincs elég memória, valamint a nincs szabad hely a lemezen jellegű üzenetek egyre gyakoribb megjelenése a képernyőn. A gép működése észrevehetően lassul, vagy a gép magától újraindul. Furcsa üzenetek jelennek meg a képernyőn és váratlan hangeffektusokat hallunk. A billentyűzet és a képernyő a megszokottól eltérően működik. A lemezeken fájlok, könyvtárak eltűnnek, vagy gyanús fájlok jönnek létre; Adatvesztések (programok nem indulnak, levélrészletek hiányoznak).
Vírusok fajtái és hatásaik:
A vírusokat sok szempont szerint osztályozhatjuk. A csoportosított jellemzők megismerése révén még többet megtudhatunk a vírusok működéséről. A vírus és a kár helye szerint. A fájl-vírusok állományokat fertőznek meg (overwrite (felülíró), append(hozzáfűző) )). A rendszervírusok a lemezek boot-szektorába, a merevlemezek rendszerterületeire (partíciós tábla, FAT) és a CMOS RAM-ba fészkelik be magukat. Állomány fájlok, adat fájlok (pl. Office makró vírusok), companion vírusok[Általános companion: Az EXE fájllal azonos könyvtárban hoz létre fertőzött, azonos nevű COM-ot. Path companion: A fertőzött COM-ot a keresési útvonalban korábban szereplő könyvtárba teszi (vagy módosítja a keresési útvonalat) Alias companion: kihasználja, hogy a DOSKEY makróknak elsőbbsége van ] A fertőzés jellege szerint. A felülíró (overwrite) vírusok átírják a gazdaprogramok egyes részeit. A megváltozott program a vírus funkcióit látja el, eredeti szerepében használhatatlan lesz. A nem felülíró vagy hozzáfűző (append) vírusprogramok saját magukat hozzáillesztik a különböző programokhoz. Emiatt a gazdaprogram továbbra is működőképes. A gazdaprogram mérete a vírusprogram méretével megnövekszik – ez megkönnyíti a vírus felismerését. Az időbeni működés szerint. A rezidens vírusok az aktivizálódás kezdetétől a gép kikapcsolásáig a tárban maradnak. Rendszerint igen rövid, ezért nehezen felismerhető vírusok. Az ilyen vírus akár egy melegindítás után is a tárba képes maradni! A nem rezidens vírusprogramok működésbe lépnek, majd leállnak. A kiterjedés szerint. Vannak olyan vírusok amelyek egyedi lemezeken terjednek, és vannak, amelyek vadászterülete a számítógép-hálózat. Ez utóbbi igen sok gondot okoz napjainkban. Egyrészt a központi gép (szerver) fertőzése jelenthet problémát, mivel azon sok felhasználó adatait tároljuk, s így a szerver meghibásodása sokszorosan jelent veszélyt. A hatás kifejtése szerint. A legtöbb vírus valamilyem módon bekerül egy számítógépbe, megfertőzve az állományokat vagy rendszerterületeket, és megteszi a maga hatását. Az ilyen vírusok működése állandó, ezért általában felismerhetők és kivédhetők. Vannak azonban olyan vírusok, amelyek hatásukban sokkal károsabbak, így veszélyesebbek is. A számítógépek trójai falovai olyan programok, amelyek önállóan nem terjednek és nem okoznak kárt, de vagy vírusrészeket hordoznak és telepítenek az állományokhoz, vagy az egyes programok használatán keresztül támadnak. A mutáns vírusok olyan programok, amelyeket egy vírusprogram a saját maga megváltoztatásával hagyott hátra a lemezen. Ezek a vírusok tehát állandóan változtatják magukat, megnehezítve a felismerésüket. A kétéltű vírusok olyanok, hogy nem csak az állományokba, hanem rendszerterületeken is megbújnak. Így a fájlokból való sikeres kiirtásuk után a rendszerterületekről újra aktiválódnak. A programférgek a hozzáfűző állományvírusokhoz hasonlítanak leginkább. A hozzáfűzött kód rendszerint nem romboló hatású program. Mindössze annyiról van szó, hogy a férgek addig fűzik magukat a programhoz, amíg az használhatatlanná nem válik, vagy be nem telik a lemez. Ez pedig mentési problémákhoz vezethet, aminek adatvesztés lehet a következménye. A veszélyesség szerint. Vannak igazán romboló jellegű, ártalmas vírusok, amelyek sokszor adatvesztés, vagy a gép leállásához vezetnek, és így rengeteg komoly problémát okoznak. Vannak azonban kevésbé veszélyes, csaknem ártalmatlan is, amelyek feliratokkal, hangokkal vagy effektusokkal igyekeznek megzavarni a munkánkat. Állomány típusa szerint. A vírusokra az is jellemző, hogy milyen fájlokon keresztül terjednek és fejtik ki hatásukat. Az állományvírusok rendszerint a programfájlokon (*.com, *.exe) keresztül terjednek és fejtik ki hatásukat. Napjaink egyik legveszélyesebb vírusa a Windows alkalmazások (World, Excel) belső programjait megtámadó makróvírus. A szöveges állományokat igen ritkán támadják meg vírusok, ezért ritkán is ellenőrizzük ezeket. Ilyen módon különösen veszélyesek lehetnek az ilyen vírusok. A Vírusok védekezési képességei sok vírus rendelkezik valamilyen víruskereső elleni védelemmel, ami megnehezíti a megtalálását. Polimorf vírusok: minden egyes futás után újrakódolják magukat. Így a víruskereső nehezebben tudja megtalálni (alapos elemzés). Stealth (lopakodó technológia) Amíg a vírus aktív, addig a fertőzött állományt, bootsektort, stb. mindig eredeti állapotában mutatja. A megtalálása csak tiszta rendszer esetén lehetséges(vírus mentes) A Vírus keresési technológiák
szignatúrakeresés: gyors, de nem túl hatékony. Az egymástól nem függő
utasítások sorrendjének megcserélésével kijátszható Utasításminta keresés: bizonyos utasításokat keres, ha vírusra jellemzőket talál jelez. Heurisztikus keresés: Nem mintákat keres, hanem egy virtuális gépben futtatja a programokat és ellenőrzi mit csinálnak, ha vírusra utaló tevékenységet tesz, akkor jelez.
Védekezés a számítógépes vírusokkal szemben:
A programok beoltása vírusok ellen (pl. a fájl idejének megfelelő beállítása, stb.) Használjunk eredeti, vagy tiszta forrásból származó szoftvereket! A szoftverekről készítsünk másolatot, s lássuk el írásvédelemmel az eredeti és a másolt lemezeket is! Dolgozzuk ki a magunk védelmi rendszerét, igyekezzünk azt betartani, s időnként felülvizsgálni, korszerűsíteni! Szerezzünk be hatékony víruskezelő programokat, és fordítsunk gondot azok állandó frissítésére! Ha tehetjük, használjunk rezidens vírusfigyelő programot! Az operációs rendszerrel töltődő vírusok ellen használjunk hardveres víruskeresőt, és frissítsük. Készítsünk gépünkhöz garantáltan vírusmentes rendszerlemezt, amellyel a merevlemez fertőzöttsége esetén a gépünket újraindíthatjuk! Másoljuk át erre a lemezre a víruskezelő programokat is! Ellenőrizzük rendszeresen gépünket és lemezeinket! Kerüljük a szabad kézen forgó lemezek használatát! Óvakodjunk a postán kapott vagy a hálózatról letöltött programok ellenőrzés nélküli futtatásától! Idegen, és főként kétes eredetű lemezről csak vírusellenőrzés után töltsünk a gépünkbe programokat, adatokat! Gondoskodjunk arról, hogy minden fontos programunkról és adatunkról legyen másolatunk, mert komoly vírusfertőzés esetén lehet, hogy csak a fájl törlésével, vagy a lemez formázásával tudunk a vírustól megszabadulni!