3. Wirusy i spyware

Kolejnym etapem mojej pracy jest przedstawienie czym są tak naprawdę wirusy

i spyware. Rozdział ten przedstawia w jaki sposób funkcjonują, dzieli ich na grupy. Wszystko

to po to by poznać je od środka. Wiedza ta jest niezbędna do skutecznej walki z wirusami

i spyware. Nasuwają się tu słowa „Ten, kto zna siebie i wroga, będzie zawsze wygrywał jeśli

zna warunki pogodowe i ukształtowanie terenu, zwycięstwo jego będzie całkowite”. Czyli

posiadając wiedze i znając działanie wirusów i spyware zwycięstwo w walce z zagrożeniami

będzie po naszej stronie. Jeśli do tego zna się jeszcze dokładnie miejsce walki i odpowiednio

się do tego przygotuje stosując odpowiednie zapory to „zwycięstwo będzie całkowite”.

3.1. Pojęcie wirusów i spyware

Wirus to kod komputerowy dołączający się do pliku lub programu, dzięki czemu

może rozprzestrzeniać się na inne komputery, infekując je. W latach sześćdziesiątych

powstały pierwsze wirusy były to programy zwane królikami, które przede wszystkim

powielały się i zapełniające system.

Ale dopiero lata dziewięćdziesiąte stały się okresem najintensywniejszego rozkwitu

wirusów komputerowych. Miliony osób na całym świecie z własnej woli lub z konieczności

stało się użytkownikami komputerów. Umiejętność obsługi stała się nieodzownym atutem

każdej wykształconej osoby. Rozwój technik przesyłania informacji stworzył idealne warunki

dla powstawania wirusów. Na początku wirusy były tworzone w wielkich, coraz to większych

ilościach, jednak ich „jakość” pozostawiała wiele do życzenia. W chwili obecnej sprawa

przedstawia się odwrotnie, prymitywni prekursorzy są zastępowani nowymi szczepami

wirusów posiadającymi zdolność do adaptacji się w nowych warunkach. Dzisiejsze wirusy

nie tylko niszczą pliki, restartują system czy też odgrywają nieszkodliwe melodie, niektóre

z nich mogą nawet zniszczyć cenne informacje.1

Jednakże zadaniem wirusa komputerowego nie jest szkodzenie jak mylnie myśli wielu

użytkowników a polega ono na jak najszybszym i najszerszym rozpowszechnieniu się.

1 D.Doroziński: Hakerzy: Technoanarchiści cyberprzestrzeni. Wydawnictwo HELION, 2001

Niszczenie to drugorzędne cele wirusów komputerowych. Wynika to z prostej zasady,

pozostając dłużej w ukryciu mogą wygenerować większą liczbę potomków.

By skutecznie zabezpieczyć się przed wirusami należy najpierw zapoznać się z ich

zasadą działania, a w szczególności z metodą rozmnażania. Wirusy działają na wybranym

systemie operacyjnym lub programie. Pierwsze z nich nazywa się systemowymi a drugie

aplikacyjnymi. W ciągu ostatnich lat liczba wirusów szybko wzrasta. Jest to możliwe dzięki

powstawaniu wielu mutacji istniejących wirusów i stosowanie kilku form rozmnażania przez

jeden wirus. Z tego powodu mówi się o rodzinach wirusów, które się ciągle na nowo szyfrują,

a kolejne nie przypominają swoich poprzedników. Stwarzają one duże zagrożenie,

użytkownik może jedynie zminimalizować szansę na zarażenie, ale nie zabezpieczyć się

przed nimi całkowicie. Jedynym sposobem na całkowite zabezpieczenie systemu jest odcięcie

się od świata zewnętrznego, lecz wątpię by komukolwiek taki sposób odpowiadał.

Miejsca w systemie komputerowym, które mogą być narażone na rozmnażanie wirusów

to:2

programy typu EXE , COM

pliki z rozszerzeniem OVL, BIN, SYS

biblioteki DLL

pliki systemowe COMMAND.COM, IBMBIO.COM, IBMDOS.COM

tablica partycji dysku stałego

boot - sektor dysku lub dyskietki

tablica partycji dysku twardego FAT

sektory zaznaczone jako uszkodzone tzw. bad sectors

zagubione klastery tzw. lost clusters

dokumenty programu WORD FOR WINDOWS

skoroszyty programu EXCEL FOR WINDOWS

bazy danych programu ACCESS FOR WINDOWS

inne miejsca wymyślone przez komputerowych terrorystów

2 http://www.oeiizk.edu.pl/informa/jazdzewska/wirusy.html

3.2. Powstawanie i opis funkcjonowania.

Wielu programistów tworzy wirusy z wykorzystaniem środowisk wyższego rzędu, lub

też pojedynczych aplikacji, specjalnie zaprojektowanych do generowania ich kodu. Takie

pakiety programowe są dostępne w Internecie. Oto nazwy kilku z nich: Virus Creation Labo-

ratories, Virus Factory, Virus Creation 2000, Virus Construction Set, The Windows Virus En-

gine. Zestawy te są na ogół łatwe w obsłudze, pozwalając na stworzenie wirusa prawie

każdemu zainteresowanemu. (Zupełnie inaczej niż dawniej, gdy potrzebna była do tego spora

wiedza programistyczna). Dzięki temu liczba znanych wirusów „na wolności" zwiększa się

gwałtownie z każdym dniem.3

Rys. 3. 1 Infekowanie

Źródło: Opracowanie własne

Kiedyś wirusy do uruchomienia się potrzebowały zainfekowanego programu, obecnie

wirus przeważnie nie wymaga uruchomienia przez ofiarę zainfekowanego pliku.

Najczęściej do zarażenia dochodzi podczas otwierania stron internetowych z elementami Java

lub ActiveX, które ukrywają wirusy. Wiele bardzo groźnych wirusów przenosi się również za

pośrednictwem załączników do poczty e-mail, co staje się coraz częstszym problemem.

Następną drogą infekcji są różnego rodzaju nośniki takie jak dyskietki, płyty, nośniki pamięci

czy dyski twarde. Do zarażenia w takich przypadkach dochodzi przeważnie podczas

kopiowania plików.

3 http://stud.wsi.edu.pl/~dratewka/crime/wirusy.htm

Wirusy mogą ukrywać się w pamięci operacyjnej, gdzie czekają na uruchomienie

programu (pliki z rozszerzeniami COM lub EXE), który chcą zainfekować. Ten rodzaj wirusa

znany jest, jako wirus rezydentny.

Skutki działania wirusów są bardzo różne od mało groźnych do takich, przez które

użytkownik można stracić bardzo wiele. Do tych mało groźnych można zaliczyć wirusy

stworzone w celu zabawy lub dowcipu, które umieszczają na ekranie monitora informacje.

Jeszcze inne denerwują użytkownika zawieszając komputer czy zwalniając jego prace. Gorzej

jeśli taki wirus ma za zadanie niszczyć informacje zawarte w dokumentach lub same

dokumenty. Są tez takie wirusy, które niszczą wszystkie informacje zawarte na dysku

twardym w tym nawet system operacyjny. Mogą one kosztować użytkowników wiele

nerwów, pieniędzy czy pracy, jeśli wcześniej nie zadbało się o kopie zapasową danych.

3.3. Podział i przykłady wirusów

Pasożytnicze (plikowe). Wirusy tego typu modyfikują zawartość plików

wykonywalnych (COM , EXE , SYS i innych). Dołączają się one do pliku pozostawiając

nienaruszoną większość programu. Przebieg wykonywania programu zostaje odwrócony

w taki sposób, aby kod wirusa był wykonywany, jako pierwszy. Po wykonaniu programu

wirusa następuje uruchomienie oryginalnego programu. Jedną z odmian wirusów

pasożytniczych są wirusy zamazujące. Infekując program zamazują jego początek własnym

kodem. Uruchomienie takiego programu powoduje, że wirus poszukuje następnej ofiary

a oryginalny program nigdy nie jest uruchamiany. Wirusy pasożytnicze rozpowszechniają się

za pomocą każdego nośnika, który może być użyty do przechowywania lub przekazywania

programu wykonywalnego np. dyskietki, płyty CD, sieci itp. Ogólnie infekcja się

rozpowszechnia, gdy zainfekowany program jest wykonywany.

Wirusy towarzyszące, ich działanie opiera się na hierarchii stosowanej w DOS

podczas uruchamiania programów (najpierw otwierane są pliki z rozszerzeniem COM,

a następnie EXE). Tworzą plik COM z identyczną nazwą, co plik EXE. W momencie

uruchamiania programu, w przypadku nie podania rozszerzenia uruchamianego pliku,

najpierw poszukiwany jest plik o rozszerzeniu COM, co spowoduje wykonanie kodu wirusa

a następnie, załadowanie i wykonanie pliku EXE.

Bomby logiczne swe destrukcyjne oblicze ukazuje tylko w określonym odpowiednimi

warunkami czasie (najczęściej zależnie od aktualnej daty). Ze względu na to, że właściwy

destrukcyjny kod może być ukryty w dowolnym miejscu programu zawierającego bombę,

należy ostrożnie obchodzić się z aplikacjami, których pochodzenie jest nieznane. Mianem

bomby określa się często także destrukcyjny, uruchamiany tylko po spełnieniu jakiegoś

warunku.

Robaki internetowe to programy, których działanie sprowadza się do tworzenia

własnych duplikatów tak, że nie atakuje on żadnych obiektów, jak to czynią wirusy. Oprócz

zajmowania miejsca na dysku program ten rzadko wywołuje skutki uboczne. Podobnie jak

wirusy towarzyszące, robaki są najczęściej pisane w językach wysokiego poziomu. Są one

najbardziej popularne w sieciach, gdzie mają do dyspozycji protokoły transmisji sieciowej,

dzięki którym mogą przemieszczać się po całej sieci. Robaki przesyłane są zazwyczaj pocztą

elektroniczną, ale mogą rozprzestrzeniać się również za pośrednictwem sieci lokalnych,

komunikatorów (np. Gadu-Gadu, MSN Messenger), kanału IRC czy programów do

internetowej wymiany plików, takich jak KaZaA czy Ares. 4

Wirusy Polimorficzne są najgroźniejsze, gdyż najtrudniej jest je wykryć są

szyfrowane, dzięki czemu programistą piszącym programy antywirusowe ma większe

problemy ze znalezieniem „antidotum”. Szyfrowane są one w różnych językach i w róży

sposób. Każda kopia wirusa jest, więc inna, ale nie do końca, gdyż procedura szyfrująca jest

zawsze taka sama i po niej skanery rozpoznają wirusa. Jest na to niestety sposób. Trzeba

szyfrować również procedurę szyfrującą, bowiem wszystkie one wykonują to samo zadanie.

Zerują rejestr AX. Istnieje jeszcze wiele innych instrukcji, które wykonują to samo zadanie,

a mają inne kody. Procedura szyfrująca wirusa za każdym razem jest inna, mimo, że

wykonuje to samo zadanie. W ten sposób może mieć kilkaset różnych postaci i dlatego

skanery się gubią.

Wirusy Hybrydowe łączą w sobie jedne z powyższych metod. Najbardziej popularne

jest łączenie wirusa sektora ładowania z wirusem pasożytniczym plikowym. Daje to

największe możliwości replikacji a jednocześnie utrudnia leczenie zainfekowanego systemu.

Wykorzystują kombinacje różnych metod. Możliwy jest przykład, gdy wirus jest nie

rezydentny a po uzyskaniu kontroli pozostawia w pamięci rezydentny fragment swego kodu.5

4 http://oceanic.wsisiz.edu.pl/~juszkiew/tai/rodzaje.html5 http://gkrol.nex.com.pl/wirusy/

Wirusy powolne - są wirusami trudnymi do wykrycia, ponieważ zarażają one pliki

tylko wtedy, gdy użytkownik komputera przeprowadza na nich jakieś operacje. Na przykład

nie zainfekuje pierwotnego pliku, a zainfekuje kopiowane przez użytkownika pliki.

Konie trojańskie - są one programami dołączonymi do prawidłowego programu

komputerowego. Zadaniem ich jest realizowanie zadań niepożądanych przez użytkownika.

Program z dołączonym koniem trojańskim wykonuje zarówno prawidłowe operacje jak

i zadania, których nie spodziewa się użytkownik, np. kopiowanie zasobów pliku lub całkowite

jego usunięcie.6

Na świecie jest wiele różnych wirusów komputerowych, które zagrażają naszym

systemom informatycznym, przykładami są:

Babybear jest robakiem internetowym, którego działanie polega na rozsyłaniu

własnych kopii za pomocą poczty elektronicznej oraz na uszkadzaniu instalacji programu

Norton AntiVIrus.

Fizzer jest robakiem internetowym, którego działanie polega na rozsyłaniu własnych

kopii za pomocą poczty elektronicznej oraz udostępnianiu dostępu do komputera ofiary za

pośrednictwem IRCa i KaZaA.

Opasoft jest robakiem, którego działanie polega na rozprzestrzenianiu się w sieci

lokalnej, także w sieci internet poprzez udostępnione dyski twarde oraz pobieraniu

uaktualnień internetowych. Robak wykorzystuje nową metodę rozprzestrzeniania się, poprzez

wykorzystanie błędów w oprogramowaniu Microsoft Windows.

Wirus albański albo ściema - popularna nazwa jednej z odmian złośliwych

internetowych łańcuszków rozsyłanych pocztą e-mail i skierowanych do odbiorców słabo

zorientowanych w użytkowanym przez siebie sprzęcie i oprogramowaniu. Rozsyłana w ten

sposób wiadomość zawiera najczęściej ostrzeżenie przed nowym niezwykle groźnym

wirusem i zachęca do ostrzeżenia niezwłocznie wszystkich korespondentów z własnej książki

adresowej.7

AJ (rodzina) - są to rezydentne wirusy pasożytnicze. Przechwytują przerwanie 21h i

dopisują się do uruchamianych plików EXE. AJ.793 jest bardzo niebezpieczny. Wirus niszczy

pliki ANTI-VIR.DAT oraz CHKLIST.MS, a także formatuje dysk twardy.

6 www.gimlubasz.vel.pl/publikacje/wirusy.ppt7 http://www.zgapa.pl/zgapedia/Wirus_alba%C5%84ski.html

3.4. Spyware

Spyware to programy komputerowe, których celem jest szpiegowanie działań

użytkownika. Ciągłe zbieranie danych, które często bez zgody użytkownika wysyłane są do

autora programu np.: (adresy www stron internetowych odwiedzanych przez użytkownika,

numery kart płatniczych, itp.), wyświetlanie reklam oraz śledzenie informacji wysyłanych lub

odbieranych z sieci internet, powoduje występowanie błędów tych w programach, przez co

niejednokrotnie aplikacja taka może spowodować nawet zawieszanie się całego systemu.

Jeśli na pasku przeglądarki pojawiły się nowe elementy, najprawdopodobniej na dysku

znajduje się oprogramowanie szpiegowskie. Oprogramowanie to potrafi dodać do

wyszukiwarki niechciane paski narzędzi oraz inne opcje. Najczęściej po usunięciu tego

dodatku i zrestartowaniu komputera dodatek pojawia się ponownie.

Spyware typu malware może zmienić ustawienia przeglądarki tak by zamiast

ulubionej strony startowej otwierał zupełnie inna stronę, albo tapeta pulpitu zmieniła się

i w żaden sposób nie da się nic z tym zrobić. Nawet, jeżeli uda się wrócić do pierwotnych

ustawień to i tak po ponownym restarcie komputera te podstawione strony pojawiają się

ponownie.

Występuje również spywere adwere charakteryzuje się zasypywaniem wyskakującymi

okienkami, które uruchamiają się automatycznie nie mając żadnego związku ze stronami

www, które akurat są odwiedzane. Na dodatek bardzo często są to reklamy stron erotycznych.

Jeżeli takie okienka pojawiają się praktycznie od razu po uruchomieniu komputera lub nawet

wtedy, gdy akurat w ogóle nie zaglądasz do Internetu może to oznaczać, że na komputerze

zostało zainstalowane oprogramowanie szpiegowskie (spyware).8

Występują również programy tego typu Malware. Funkcjonują one prawie tylko

w środowisku Microsoft Windows. Do pozbywania się tego typu programów służą różne

programy takie jak Ad-Aware, Spybot - Search & Destroy czy Spy Sweeper. Najlepszym

i najbardziej popularnym z nich jest Spybot - Search & Destroy, który cechuje się wysoką

wykrywalnością i dość częstymi aktualizacjami.

8 http://spyware.e6.pl/spyware.php