Wirus komputerowy jest programem posiadającym zdolność do replikacji bez wiedzy użytkownika (samoreplikacja). Dzięki samoczynnemu powielaniu się takiego programu może on szybko rozprzestrzenić się w zainfekowanym systemie jak i poza nim (np. przez sieć komputerową czy za pośrednictwem nośników danych).

Koń trojański jest kodem ukrytym w programie mogącym realizować także inne funkcje niż te, o których wie użytkownik. Program będący koniem trojańskim wykonuje najczęściej pożyteczne funkcje równocześnie realizując ukryte zadania (np. kasowanie pliku). Konie trojańskie (trojany) nie posiadają zdolności do samoreplikacji, a ich aktywacja może nastąpić poprzez ich uruchomienie i spełnienie określonych warunków. Do grupy tej zaliczyć można również miny (w skład których wchodzą bomby czasowe i bomby logiczne) oraz tzw. tylne wejścia. Miny są bardzo trudne do wykrycia i dlatego stanowią szczególnie wysokie niebezpieczeństwo. Zakres ich wykorzystania jest niesłychanie szeroki, ale najczęściej bywają stosowane do szantażu komputerowego (np. zaszyfrowanie plików ze strategicznymi dla firmy danymi po usunięciu nazwiska pracownika z listy płac i wyświetlenie komunikatu o okupie).

Bomba czasowa to program, którego ukryte funkcje aktywowane zostają w określonym czasie (np. w dni parzyste).

Bomba logiczna to program, którego ukryte funkcje aktywowane zostają w momencie zajścia ustalonych wcześniej warunków (np. uruchomienie innego programu).

Tylne wejście (back door) jest luką w oprogramowaniu, która umożliwia wejście do zabezpieczonego programu lub użycie tajnej funkcji w programie. Luki takie mogą powstać celowo lub przypadkowo (np. niezałatanie wejścia serwisowego podczas przekazania programu użytkownikowi).

Działanie wirusów komputerowych uzależnione jest na ogół od zamierzeń ich twórców jednak czasami zdarzają się sytuacje gdy wirus działa inaczej niż został zaprogramowany (np. jego autor nie uwzględnił jakiejś specyficznej sytuacji). Wyróżniamy trzy podstawowe fazy działania wirusa komputerowego:

I faza - aktywacja: jest to uruchomienie głowy wirusa. W przypadku wirusów dyskowych polega na uruchomieniu komputera z zarażonego nośnika, natomiast w przypadku wirusów plikowych jest to uruchomienie zainfekowanego programu. Faza ta jest obligatoryjna i po jej zakończeniu wirus może zakończyć swoją działalność.

II faza - destrukcja: polega na dokonaniu zniszczeń w systemie (np. na usunięciu plików). Jest to najniebezpieczniejsza część działalności wirusa. Faza ta jest opcjonalna, a niektóre wirusy na tym etapie kończą swoje działanie.

III faza - ujawnienie: polega na poinformowaniu użytkownika o obecności niechcianego programu (np. odegranie melodyjki czy wyświetlenie komunikatu). Faza ta jest opcjonalna.

Wirus komputerowy składa się z dwóch podstawowych części: głowy (jądro) i ogona (ciało). Głowa to ta część wirusa, która uzyskuje sterowanie przebiegiem wykonania programu i służy do samopowielania się. W najprostszym przypadku jest to jedyna część wirusa. Ogon jest opcjonalną częścią i ma za zadanie realizację określonych, najczęściej szkodliwych, funkcji (np. wyświetlenie komunikatu czy usunięcie pliku).

Przeważenie, jeżeli chodzi o podział obiektów pewnej dziedziny można tego dokonać na różne sposoby. W zależności od zadanych kryteriów istnieć może wiele rodzajów podziałów. Poniżej przedstawiony jest przykładowy podział wirusów komputerowych:

Wirusy rezydentne instalują się w pamięci i są aktywowane wówczas, gdy zostaną spełnione określone warunki (np. uruchomienie programu o określonej godzinie). Wirusy takie mają możliwość stałego kontrolowania systemu i maskowania swojej obecności dzięki czemu mogą dłużej być niezauważone i stanowić ciągłe niebezpieczeństwo.

Wirusy dyskowe są wirusami rezydentnymi aktywującymi się podczas startu systemu z zainfekowanego nośnika (umiejscowione są w rekordzie ładującym). Za względu na fakt, iż zarażenie następuje w trakcie uruchamiania systemu wirusy takie nazywa się często wirusami sektora ładującego (boot-sector virus).

Wirusy plikowe dołączają się do plików wykonywalnych, a ich aktywacja następuje poprzez uruchomienie zarażonego programu. Po wykonaniu swoich funkcji wirus przekazuje sterowanie do programu nosiciela. Wirusy takie mogą być zarówno rezydentne jak i nierezydentne.

Wirusy hybrydowe są połączeniem innych typów wirusów (niekiedy nazywane są wirusami plikowo-dyskowymi). Najczęściej wirusy takie atakują zarówno główny rekord rozruchowy dysku jak i pliki przez co mają ułatwione możliwości replikacji przy jednoczesnym utrudnieniu ich deaktywacji.

Wirusy nierezydentne aktywowane są wówczas, gdy wykonywany jest zainfekowany program. Są to typowo plikowe wirusy, które po wykonaniu swoich funkcji są usuwane z pamięci.

Wirus może doczepić się do programu nie naruszając jego kodu (zwiększa się wówczas długość powstałego w ten sposób nowego programu) lub może być umieszczony zamiast części kodu programu (tzw. wirus zamazujący).

Wirus komputerowy przenosi się poprzez pliki, co wymaga obecności systemu plików, lub przez bezpośredni zapis w wybranym sektorze bądź jednostce alokacji zewnętrznego nośnika danych np. dysku twardego, dyskietki lub pendrive'a. Proces replikacji wirusa komputerowego polega na odpowiedniej modyfikacji zawartości pliku, sektora lub jednostki alokacji. Tak zmodyfikowany nośnik danych nazywa się nosicielem wirusa komputerowego, analogicznie do prawdziwego nosiciela wirusa.

Rozmiary pierwszych wirusów komputerowych zawierały się w granicach od kilkudziesięciu bajtów do kilku kilobajtów. Obecnie, takie klasyczne wirusy spotyka się rzadziej, częściej jest to połączenie wirusa z robakiem komputerowym o rozmiarze rzędu kilkadziesiąt kilobajtów. Taką, stosunkowo niewielką ilość kodu binarnego, z łatwością można ukryć w dużym pliku zawierającym program komputerowy, o rozmiarze rzędu kilku megabajtów. Sam rozmiar wirusa zależy od czynników takich jak:

umiejętności programistyczne twórcy wirusa – wirus lepszego programisty napisany w tym samym języku będzie mniejszy lub będzie miał więcej funkcji;

użyty język programowania – wirus o podobnej funkcjonalności napisany w języku maszynowym (asembler) zwykle będzie mniejszy niż w języku skryptowym czy języku wysokiego poziomu;

przewidywana funkcjonalność wirusa – prosty wirus będzie mniejszy od szkodnika wykonującego wiele różnych czynności; najmniejsze wirusy potrafią tylko się powielać;

wykorzystanie cech środowiska operacyjnego – wirus napisany jako maksymalnie niezależny musi mieć wbudowane wszystkie potrzebne biblioteki, wirus korzystający w pełni ze środowiska ma tylko minimum kodu niezbędne do wywołania dostępnych w tym środowisku funkcji.

Od programisty zależą także efekty, jakie wirus będzie wywoływał po zainfekowaniu systemu, na przykład:

nieupoważnione kasowanie danych

rozsyłanie spamu poprzez pocztę elektroniczną

dokonywanie ataków na inne hosty w sieci, w tym serwery

kradzież danych: hasła, numery kart płatniczych, dane osobowe

zatrzymanie pracy komputera, w tym całkowite wyłączenie

wyświetlanie grafiki i/lub odgrywanie dźwięków

utrudnienie lub uniemożliwienie pracy użytkownikowi komputera

przejęcie przez osobę nieupoważnioną kontroli nad komputerem poprzez sieć

tworzenie grupy hostów zarażonych danym wirusem, tzw. Botnet

Wirusy komputerowe najczęściej klasyfikuje się ze względu na infekowany obiekt:

Wirusy dyskowe[edytuj]

infekujące sektory startowe dyskietek,

infekujące początkowe sektory dysków twardych.

Wirusy plikowe[edytuj]

lokujące się na końcu pliku (ang. end of file infector),

nadpisujące (ang. overwriting infector). Lokują się na początku pliku, zwykle nieodwracalnie go niszczą,

nagłówkowe (ang. header infector). Wirusy te nie przekraczają rozmiaru jednego sektora (512 bajtów),

wykorzystujące niezapisaną część ostatniej jednostki alokacji pliku (ang. slack space infector).

lokujące się w pliku w miejscach gdzie jest niewykorzystany obszar pliku (ang. cave infector),

lokujące się w dowolnym miejscu pliku (ang. surface infector).

Wirusy skryptowe[edytuj]

wsadowe (ang. batch virus), infekują pliki wsadowe np. typu .bat, .vbs,

powłokowe (ang. shell virus), infekują pliki zawierające skrypty języka skryptowego powłoki systemowej np. dla linuxowego basha,

makrowe (ang. macro-virus), infekują pliki makropoleceń np. procesora tekstu czy arkusza kalkulacyjnego.

lokacyjne (ang. locator-virus),infekuje daną lokacje lub plik.

Wirusy telefonów komórkowych[edytuj]

infekujące telefony komórkowe, które w istocie są hostami sieciowymi.

Co to jest trojan??

Koń trojański jest to pozornie nieszkodliwy program, który umożliwia przejęcie kontroli nad komputerem bez wiedzy właściciela. Można się nim zarazić na wiele sposobów, oglądając stronę www, otwierając plik od kolegi, ściągając "patch" do gry... Trojany w przeciwieństwie do wirusów nie powielają swojego kodu (przeważnie), doklejając się do różnych plików. Jest to o tyle dobre, że gdy odkryjemy trojana w swoim systemie łatwo go usunąć.

Trojany często wykorzystywane są przez administratorów systemów jako "Narzędzia zdalnej administracji" pozwalające im oszczędzić czas i ułatwić pracę ("Jak podają statystyki, ponad 80% wszystkich włamań do sieci Pentagonu, było przeprowadzonych właśnie przy użyciu tych "luk" pozostawionych przez administratorów).

Co robi trojan po uruchomieniu w systemie??

Po uruchomieniu trojan kopiuje się przeważnie do katalogu z systemem operacyjnym (np. Windows), co powoduje że nawet po usunięciu pierwotnej kopii trojan nadal działa. Następnym krokiem jest spowodowanie aby trojan odpalał się przy uruchomieniu systemu. Najczęściej trojan dokonuje wpisu w rejestrze, w którymś z tych miejsc:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru nServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru n]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ]

Lub jak na przykład cafeini, jeżeli to możliwe dokleja swój kod do jakiegoś pliku, który używa system (w przypadku cafeini-ego jest to rundll32.exe)

Po tych czynnościach trojan otwiera ustalony wcześniej port na komputerze ofiary i rozpoczyna na nim nasłuch w oczekiwaniu na komendy.

Najczęściej trojany maja wbudowane następujące funkcje:

- przesyłanie informacji systemowych: nazwy komputera, nazwy użytkownika, typu procesora, wielkości pamięci, wersji Windows, zainstalowanych sterowników, etc.;

- wyświetlanie zawartości dysków;

- odszukiwanie określonych plików, a także ich wysyłanie, pobieranie, kopiowanie, usuwanie oraz uruchamianie;

- tworzenie i kasowanie katalogów;

- wyświetlanie i kończenie aktywnych procesów;

- udostępnianie rejestrów systemowych;

- pobieranie haseł znajdujących się w pamięci podręcznej;

- przechwytywanie znaków wprowadzanych przez użytkownika z klawiatury przyłączanie się do zasobów sieciowych;

- przechwytywanie transmitowanych informacji;

- przekierowywanie połączeń;

- uruchomienie prostego serwera HTTP dającego dostęp do komputera przez przeglądarkę; zawieszanie komputera;

- wyświetlanie okien z dowolnymi komunikatami;

- odgrywanie plików dźwiękowych;

- Zaawansowane konie trojańskie mogą być rozszerzane o dodatkowe funkcje poprzez zastosowanie plug-inów. Takie wtyczki mogą być rozprowadzane wraz z serwerem lub przesyłane do serwera i tam instalowane.

Do czego można go wykorzystać

Najczęściej wykorzystuje się trojany do uprzykrzenia komuś życia i pokazania jaki to z nas "hakier".

Jednak istnieją także inne sposoby wykorzystania tego typu oprogramowania np.:

- podsłuch rozmów gg, czata innych

- uzyskiwanie haseł, loginów itp... (w ogóle wszystkich poufnych informacji)

- kontrola np. w szkole ucznia, czy nie robi czegoś niedozwolonego

- możliwość wykorzystania komputera jako narzędzia do ataku na jakiś serwer (ale w tym przypadku pojawia się taki termin jak robak)

- programu typu NetOP pozwalające na przykład na wyświetlanie prezentacji komputerowej na wszystkich komputerach jednocześnie z 1 stanowiska

- kontrola pracowników w firmie (np. Oko szefa)

- wykorzystanie przez administratorów (patrz Ad.1)

- itd. itp.....

Podstawowa budowa Trojana

Trojan składa się przeważnie z 4 części:

1. Część odpowiedzialna za ukrywanie jego obecności w systemie

Chodzi tu o to, że użytkownik nie wie, że załapał trojana na pasku startu (listwie) nie widać paska programu, na liście menadżera zadań nie widnieje nasz program, po uruchomieniu nic się nie pokazuje ... (Czasami jakaś informacja o błędzie)

2. Część odpowiedzialna za uruchamianie trojana przy starcie systemu

Czyli dopisywanie odpowiednich linijek do rejestru, kopiowanie kodu do jakiegoś pliku itp.

3. Część ochronna trojana

Kiedy użytkownik (mniej zaawansowany) odkryje obecność trojana w komputerze ten system zapobiegnie usunięciu programu z komputera.

Głównie jest to osiągane przez to, że podczas działania trojan stale dopisuje linijkę uruchamiającą go przy starcie, przy wyłączeniu samoistnie się włącza...

4. Część, w której zawarte są wszystkie funkcje trojana oraz elementy pozwalające połączyć się z zainfekowanym komputerem

Innymi słowy funkcje zamieszczone w Ad.2 oraz system bindujący się na jakimś porcie (otwierający dany port) i nasłuchujący zewnętrznych komend, które program interpretuje i wywołuje odpowiednią funkcję.