Damian Stygar kl. 1 TI2
Strona główna
I semestr
MBR
Instalacja Windows
System dwójkowy
System szesnastkowy
BIOS
HTML
Prawa autorskie
Ghost
II semestr
Procesory
Sposoby przyspieszania pracy komputera
Wirusy
Antywirusy
Przeglądarki internetowe
DOS
Pliki wsadowe
Windows XP
Windows Vista
Windows 7
Linux










Jak przenosi się i jak działa wirus komputerowy?
Języki programowania wykorzystywane do pisania wirusów.
Platformy programistyczne
Generatory wirusów
Wirusy nierezydentne
Wirusy rezydentne




Wirus komputerowy to program komputerowy posiadający zdolność replikacji, tak jak prawdziwy wirus - stąd jego nazwa. Wirus do swojego działania potrzebuje i wykorzystuje system operacyjny, aplikacje oraz zachowanie użytkownika komputera. Wirusa komputerowego zalicza się do złośliwego oprogramowania. Do zwalczania i zabezpieczania się przed wirusami komputerowymi stosuje się programy antywirusowe oraz szczepionki antywirusowe.





Jak przenosi się i jak działa wirus komputerowy


Wirus komputerowy przenosi się poprzez pliki, co wymaga obecności systemu plików, lub przez bezpośredni zapis w wybranym sektorze bądź jednostce alokacji zewnętrznego nośnika danych np. dysku twardego, dyskietki lub pendrive'a. Proces replikacji wirusa komputerowego polega na odpowiedniej modyfikacji zawartości pliku, sektora lub jednostki alokacji. Tak zmodyfikowany nośnik danych nazywa się nosicielem wirusa komputerowego, analogicznie do prawdziwego nosiciela wirusa.

Rozmiary pierwszych wirusów komputerowych zawierały się w granicach od kilkudziesięciu bajtów do kilku kilobajtów. Obecnie, takie klasyczne wirusy spotyka się rzadziej, częściej jest to połączenie wirusa z robakiem komputerowym o rozmiarze rzędu kilkadziesiąt kilobajtów. Taką, stosunkowo niewielką ilość kodu binarnego, z łatwością można ukryć w dużym pliku zawierającym program komputerowy, o rozmiarze rzędu kilku megabajtów. Sam rozmiar wirusa zależy od czynników takich jak:

* umiejętności programistyczne twórcy wirusa – wirus lepszego programisty napisany w tym samym języku będzie mniejszy lub będzie miał więcej funkcji;
* użyty język programowania – wirus o podobnej funkcjonalności napisany w języku maszynowym (asembler) zwykle będzie mniejszy niż w języku skryptowym czy języku wysokiego poziomu;
* przewidywana funkcjonalność wirusa – prosty wirus będzie mniejszy od szkodnika wykonującego wiele różnych czynności; najmniejsze wirusy potrafią tylko się powielać;
* wykorzystanie cech środowiska operacyjnego – wirus napisany jako maksymalnie niezależny musi mieć wbudowane wszystkie potrzebne biblioteki, wirus korzystający w pełni ze środowiska ma tylko minimum kodu niezbędne do wywołania dostępnych w tym środowisku funkcji.


Od programisty zależą także efekty, jakie wirus będzie wywoływał po zainfekowaniu systemu, na przykład:

* nieupoważnione kasowanie danych
* rozsyłanie spamu poprzez pocztę elektroniczną
* dokonywanie ataków na inne hosty w sieci, w tym serwery
* kradzież danych: hasła, numery kart płatniczych, dane osobowe
* zatrzymanie pracy komputera, w tym całkowite wyłączenie
* wyświetlanie grafiki i/lub odgrywanie dźwięków
* utrudnienie lub uniemożliwienie pracy użytkownikowi komputera
* przejęcie kontroli nad komputerem poprzez sieć przez osobę nieupoważnioną
* tworzenie grupy hostów zarażonych danym wirusem, tzw. botnet



Języki programowania wykorzystywane do pisania wirusów


Do napisania prostego wirusa wystarczy znajomość dowolnego popularnego języka programowania, takiego jak Pascal czy Język C. Najwięcej wirusów pisanych jest jednak w czystym asemblerze. Spowodowane jest to głównie zwięzłością kodu generowanego przez ten język. Kod programu, który z punktu widzenia użytkownika nie robi nic, w językach wysokiego poziomu zajmie od kilkuset bajtów do nawet kilkuset kilobajtów. W asemblerze podobny program zajmie zaledwie kilka bajtów. Jest tak dlatego, ponieważ do każdego wygenerowanego przez siebie programu kompilatory języków wysokiego poziomu dodają sporo kodu niewidocznego dla programisty. Kod ten odpowiedzialny jest między innymi za obsługę błędów, obsługę stosu oraz operacji wejścia-wyjścia. Na korzyść asemblera przemawia również to, że z jego poziomu mamy bardzo dużą swobodę w dostępie do pamięci i portów, a programista ma możliwość świadomego wpływu na kształt przyszłego programu, na przykład w zakresie używanych instrukcji czy rozwiązań programowych. Programy napisane w asemblerze są optymalne pod względem szybkości działania i długości kodu, a więc język ten jest jakby stworzony do programowania wirusów. Jedyną wadą asemblera jest to, że programów w nim napisanych nie można przenosić na komputery o innej architekturze, stąd mogą one egzystować tylko w jednej rodzinie komputerów.

Oprócz typowych języków programowania do stworzenia wirusa można wykorzystać języki makr wbudowane w nowoczesne edytory tekstów lub arkusze kalkulacyjne. Zawarte w nich mechanizmy pozwalają na infekcję każdego otwieranego przez program dokumentu lub arkusza. Są one wymarzonym narzędziem do tworzenia wirusów dla początkujących programistów, gdyż wszystkie operacje na fizycznych obiektach są zaimplementowane w makrach i wykonują się bez konieczności ingerencji programisty.



Platformy programistyczne


Uważa się, że systemy komputerowe o architekturze uniksowej są lepiej zabezpieczone przed wirusami niż systemy operacyjne Microsoftu. Główną przyczyną takiego stanu rzeczy jest ciągła praca z uprawnieniami administratora we wcześniejszych systemach (DOS, Windows 9x). W nowszych wersjach Windows zostało to poprawione, lecz ze względu na kompromisy związane z łatwością używania i przyzwyczajenia użytkowników, wciąż uprawnienia administratora nie są dostatecznie chronione w domyślnej instalacji. Popularność wirusów komputerowych jest związana z popularnością danej platformy, która tworzy środowisko do rozprzestrzeniania się wirusa. Wynika to z działania wirusów komputerowych w środowiskach homogenicznych.



Generatory wirusów


Istnieje wiele programów umożliwiających stworzenie własnego wirusa, nawet bez znajomości systemu czy mechanizmów wykorzystywanych przez wirusy. Można je bez problemu znaleźć w Internecie. Korzystają one z gotowych modułów w asemblerze i umożliwiają stworzenie wirusa o zadanych parametrach wybieranych zwykle przy pomocy przyjaznego użytkownikowi menu. Można w nim określić zakres infekowanych obiektów oraz rodzaj efektów które ma on wywoływać. Oprócz kodu wynikowego wirusa, generatory tworzą także źródła w asemblerze, co umożliwia zainteresowanemu pisaniem wirusów użytkownikowi dokształcenie się w tej dziedzinie.



Wirusy nierezydentne


Wirusy nierezydentne (ang. non-resident viruses) są najprostszą odmianą wirusów zarażających pliki z programami. Po uruchomieniu programu z zarażonego pliku, kod binarny wirusa instaluje się w pamięci operacyjnej, uruchamia się i poszukuje kolejnego obiektu do zarażenia. Jeśli go nie znajdzie, sterowanie oddawane jest z powrotem do programu z zarażonego pliku. W poszukiwania pliku ofiary, wirus przeszukuje katalog bieżący wraz z podkatalogami, katalog główny oraz katalogi określone w odpowiedniej zmiennej środowiskowej systemu operacyjnego. Uaktywnieniu wirusa nierezydentnego towarzyszy wyraźne opóźnienie w uruchomieniu właściwego programu oraz, łatwo zauważalna, wzmożona aktywność nośnika danych: dysku twardego, dyskietki czy pendrive'a.



Wirusy rezydentne


Można powiedzieć, że wirusy nierezydentne są dość ograniczone, gdyż łatwo je wykryć. Dlatego pojawił się nowy rodzaj wirusa – wirus rezydentny (ang. resident virus). Jego zasada działania polega na zainstalowaniu się w pamięci operacyjnej komputera i korzystaniu z odwołań do systemu operacyjnego w taki sposób jak czynią to programy rezydentne (ang. Terminate but Stay Resident, TSR). Wirus rezydentny to w istocie program rezydentny ukrywający swój kod binarny przed programami zarządzającymi pamięcią operacyjną. Będąc jednocześnie aktywnym i ukrytym w pamięci ma o wiele szersze pole działania niż wirusy nierezydentne. Wirus rezydentny, aby działać, musi jednak korzystać z systemu przerwań i z tego powodu trudniej jest go programować.

Ze względu na szybkość działania, wirusy rezydentne dzielimy na:

* szybkie (ang. fast infectors), ich celem jest jak najszybsza infekcja całego systemu. Przejmują wszystkie możliwe funkcje systemu operacyjnego używane do obsługi plików i zarażają wszystko, co się da, w jak najkrótszym czasie. Często pierwszą czynnością wykonywaną przez szybkiego wirusa jest zamazanie swoim kodem fragmentu kodu interpretera poleceń, co sprawia, że przy wywołaniu jakiegokolwiek polecenia, kod binarny wirusa zaczyna na nowo działać. Działanie takiego wirusa jest zwykle łatwo zauważalna dla użytkownika komputera np. ze względu na irytujące opóźnienia i anomalie podczas wykonywania jego poleceń.

* wolne (ang. slow infectors), można powiedzieć, że są bardziej inteligentne od wirusów szybkich. Ich głównym celem jest jak najdłuższe przetrwanie w celu infekowania systemu tak, aby użytkownik się w niczym nie zorientował. Wirusy te używają powolnych, zmiennych procedur szyfrujących i techniki ukrywania się (ang. stealth). Infekują przeważnie tylko takie pliki, które tworzy lub modyfikuje użytkownik. Powoduje to, że niedoświadczony użytkownik, nawet w przypadku sygnalizowania niebezpiecznej operacji przez program antywirusowy, będzie przekonany, że potwierdza wykonywane przez siebie czynności. Wirusy tego typu są trudne do wykrycia i usunięcia nawet przez programy antywirusowe i zaawansowanych użytkowników znających dobrze system operacyjny.