Wirusy i ochrona antywirusowa

Autorzy: imie_nazwisko

imie_nazwisko

Spis treści

CTRL + kliknięcie śledź łącze

Złośliwe oprogramowanie, malware (z ang. malicious software) - wszelkie aplikacje, skrypty itp. mające szkodliwe, przestępcze lub złośliwe działanie w stosunku do użytkownika komputera.

Problem dotyczy przede wszystkim komputerów pracujących w środowisku Microsoft Windows.

Malware graph.svg Podstawowe grupy złośliwego oprogramowania i wzajemne ich powiązania.

Wirus komputerowy - to krótki program komputerowy, zwykle szkodzący systemowi operacyjnemu lub utrudniający pracę użytkownikowi komputera. Każdy wirus ma zdolność samopowielania. Jest to warunek konieczny, aby dany program można było nazywać wirusem.

Często wirusami komputerowymi mylnie nazywane są wszystkie złośliwe programy.

Do zwalczania, usuwania i zabezpieczania się przed wirusami używane są programy antywirusowe.

Pliki narażone na ataki wirusów

W ostatnich latach powstało tysiące wirusów komputerowych. Mają różną budowę i atakują różne typy plików, (choć początkowo atakowały z reguły pliki wykonywalne). Gdy plik wykonywalny z doczepionym wirusem zostanie uruchomiony będzie infekować inne pliki, doprowadzając w krótkim czasie do zainfekowania całego systemu. Z racji tego, że otworzenie nawet pojedynczej aplikacji w środowisku Windows powoduje uruchomienie kilku, czy nawet kilkunastu plików wykonywalnych, proces replikacji postępuje lawinowo. Oprócz wirusów infekujących pliki wykonywalne istnieją tysiące innych - rezydujących w plikach danych. Są to tzw. wirusy makr, infekujące między innymi pliki dokumentów generowanych przez edytor Microsoft Word i arkusz kalkulacyjny Excel. Takie wirusy zazwyczaj atakują globalne szablony dokumentu, ostatecznie uszkadzając każdy otwarty dokument edytora Word lub arkusza kalkulacyjnego Excel.

Trzecią grupą plików, które mogą zostać zainfekowane, są sterowniki urządzeń. Dotyczy to głównie starszych systemów operacyjnych - takich jak kombinacja DOS/Windows 3.11.

Objawy zainfekowania wirusowego

• wolniejsze działanie systemu operacyjnego i aplikacji

• zmiana wielkości plików

• brak plików, które wcześniej były

• blokada urządzeń (np. klawiatury)

• bezpodstawna praca napędów dyskowych (np. HDD)

• niezaplanowane efekty graficzne i/lub dźwiękowe

• zawieszanie się programów

Fazy funkcjonowania wirusa komputerowego

Zasada działania wirusów uzależniona jest od inwencji ich twórców. Możemy w nich wyróżnić trzy podstawowe fazy. Pierwsza faza występuje zawsze, natomiast moment wykonania dwóch pozostałych jest dowolny. Możliwe są następujące kolejności wykonania: 1-2-3, 1, 1-2, 1-3, 1-3-2.

1 - aktywacja: jest to uruchomienie głowy wirusa. W przypadku wirusów dyskowych polega na uruchomieniu komputera z zarażonego nośnika, natomiast w przypadku wirusów plikowych jest to uruchomienie zainfekowanego programu. Faza ta jest obligatoryjna i po jej zakończeniu wirus może zakończyć swoją działalność.

2 - destrukcja: polega na dokonaniu zniszczeń w systemie (np. na usunięciu plików). Jest to najniebezpieczniejsza część działalności wirusa. Faza ta jest opcjonalna, a niektóre wirusy na tym etapie kończą swoje działanie

3 - ujawnienie: polega na poinformowaniu użytkownika o obecności niechcianego programu (np. odegranie melodyjki czy wyświetlenie komunikatu). Faza ta jest opcjonalna.

Działanie Trojanów

Trojany składają się głównie z klienta(za pomocą niego sterujemy komputerem ofiary) i serwera(program działacy w ukryciu) a czasem konfiguratora. Klient jak wcześniej wspomniałem służy do wywoływania komend do serwera. Serwer odbiera taka komendę i ja wykonuje np., gdy klient ma opcje "otwórz CD", wtedy na komputerze, na którym znajduje sie serwer zostanie wysunięta szuflada CD-ROM-u.

Aby klient mógł połaczyc sie z serwerem potrzebny jest numer IP komputera, na którym znajduje się serwer trojana i port, poprzez który Trojan wysyła informacje. Obecnie w większości Trojanów jest możliwość przydzielania portu, dzięki, czemu ten sam Trojan może przybierać dowolne porty. Dzięki konfiguratorowi możemy zmienić niektóre domyślne ustawienia serwera, takie właśnie jak port, czy nawet skrzynkę pocztowa, tak, aby dochodziło do nas, kiedy komputer ofiary został włączony.

Backdoor - luka w zabezpieczeniach systemu utworzona umyślnie w celu późniejszego wykorzystania. Backdoor w systemie może być np. pozostawiony przez crackera, który włamał się przez inną lukę w oprogramowaniu (której przydatność jest ograniczona czasowo do momentu jej usunięcia) bądź poprzez podrzucenie użytkownikowi konia trojańskiego.

Backdoor, może być również umyślnie utworzony, przez twórcę danego programu. Jednym ze znanych błędów, podejrzewanych o bycie backdoorem jest "Microsoft Windows Graphics Rendering Engine WMF Format Unspecified Code Execution Vulnerability"

Spyware to programy komputerowe, których celem jest szpiegowanie działań użytkownika.

Programy te gromadzą informacje o użytkowniku i wysyłają je często bez jego wiedzy i zgody autorowi programu. Do takich informacji należeć mogą:

• adresy www stron internetowych odwiedzanych przez użytkownika

• dane osobowe

• numery kart płatniczych

• hasła

• zainteresowania użytkownika (np. na podstawie wpisywanych słów w oknie wyszukiwarki)

• adresy poczty elektronicznej

• archiwum

Keylogger - typ programów komputerowych służących do wykradania haseł.

Programy te działają na zasadzie przejęcia kontroli nad procedurami systemu operacyjnego (głównie Microsoft Windows) służącymi do obsługi klawiatury. Każde wciśnięcie klawisza jest odnotowywane w specjalnym pliku. Opcjonalnie informacje o wciśniętych klawiszach poszerzone są o dodatkowe informacje, jak nazwa aktywnego programu lub okna.

Dialer to wyspecjalizowany rodzaj programu komputerowego do łączenia się z Internetem za pomocą modemu. Niekiedy program tego rodzaju, instalowany w komputerze bez wiedzy i zgody użytkownika, jest wykorzystywany do nawiązywania połączenia z siecią.

Nieświadoma instalacja dialera ma najczęściej miejsce przy wchodzeniu na strony pornograficzne lub z nielegalnym oprogramowaniem i plikami mp3.

Czasem dialery są wykorzystywane przez właścicieli serwisów pornograficznych w sposób otwarty, za zgodą i wiedzą użytkownika, w celu ominięcia konieczności posługiwania się kartą kredytową do zapłaty za usługi takiego serwisu.

Programy zagrażają użytkownikowi tylko wtedy, kiedy używa modemu podłączonego do linii telefonicznej.

Cechy charakterystyczne szkodliwego dialera:

· podczas otwierania żądanej strony internetowej pojawiają się wyskakujące okienka,
· informacja o cenie, jeśli w ogóle się pojawia, jest prawie niewidoczna,
· okienko nie znika nawet po wciśnięciu komendy „anuluj”,
· w trakcie połączenia poprzez dialer nie pokazuje się na ten temat żadna informacja,
· dialer dokonuje połączenia niezależnie od woli i reakcji użytkownika,
· dialera nie da się odinstalować w konwencjonalny sposób.

Obrona bierna przed wirusami:

Polega na „unikaniu” wirusów tzn. niepopieranie oprogramowania z nieznanych źródeł.

Nie odwiedzanie stron budzących jakieś wątpliwości. Nie pobieranie żadnych plików z nieautoryzowanego źródła.

Obrona aktywna przed wirusami:

• Używanie i aktualizowanie oprogramowania antywirusowego.

• Korzystanie z ściany ogniowej (firewall).

• Korzystanie z oryginalnych programów.

Programy anty-virusowe

1) Kaspersky jeden z najlepszych produktów antywirusowych na rynku. Posiada bardzo dobry silnik skanowania. Jest wyposażony w bardzo dobrą bazę sygnatur wirusów. Jego zaletą jest ciekawa i intuicyjna wykrywalność niektórych ataków sieciowych, co czyni produkt firmy kaspersky lab bardzo wszechstronnym. Posiada polską wersje językową a instalacja programu przebiega bezproblemowo. Waga wacha się w granicach 16 mb.
Program zawiera moduł kwarantanny, możliwość wyboru obszaru skanowania z okna programu i skanowanie plików i folderów z menu kontekstowego, co ułatwia użytkownikowi połapanie się w produkcie a przejrzysty interfejs wspomaga znajdowanie dokładnych opcji i zastosowań produktu. Wadami programu jest m.in nie możliwość wyboru typów plików do skanowania, tworzenie dyskietek ratunkowych.
2) norton antivirus produkt fimy symantec jest bardzo ciekawą aplikacją ochronną. Zawiera bardzo dużo modułów, co stanowi o sle produktu. Lecz wpływa także na wagę. Wacha się ona w graniach 100 mb. instalacja programu może sprawić małe kłopoty, ponieważ wymaga wpisania kodu i instalacji. Zaletami są m.in moduł kwarantanny, możliwość wyboru typów plików do skanowania, tworzenie dyskietek ratunkowych i blokowanie skryptu kasującego pliki. Wadami produktu są długie skanowania, czasem pokazuję się błędy sesji.

3) panda antivirus ciekawy produkt, lecz nie najlepszy na rynku. Oferuje wiele ciekawych opcji. Instalacja programu wymaga rejestracji na stronie producenta. Obsługa jest doskonała. Natomiast produkt nie zawiera terminarza, modułu kwarantanny, lecz występuje możliwość wyboru typów plików do skanowania, co jest napewno plusem. Ogólnie to jest to "twardy" av, który się dobrze trzyma na nogach
4) mks_vir polski produkt, lecz bardzo skuteczny, gdy mamy na uwadze ciągłe przegląd zmian w rejestrze. Bardzo dobrze wychwytuje spyware i adware. Posiada dość niezły silnik skanowania i obszerną bazę wirusów. Obsługa jest bardzo wygodna. Terminarz również występuje. Do tego jest zamieszczony moduł kwarantanny, możliwość tworzenia dyskietek ratunkowych.
5) f-secure ciekawa inicjatywa dla innych antywirusów. Występuje polska wersja językowa, obsługa jest bardzo wygodna. Ponadto występuje terminarz i możliwość wyboru typów plików do skanowania. Wadami produktu są waga, brak kwarantanny. Brak tworzenia dyskietek ratunkowych.
6) BitDefender produkt firmy Softwin. Na rynku światowym ceni się go dość wysoko. W Polsce nie zdobywa aż tylu zwolenników, lecz coraz częściej się po niego sięga. Może, dlatego instalacja programu jest bezproblemowa tak samo jak odinstalowywanie, obsługa jest bardzo wygodna, znaleźć można terminarz, moduł kwarantanny, możliwość wyboru typów plików do skanowania i interesująca baza sygnatur, lecz w tym przypadku nie jest dostępna encyklopedia wirusów.

7) Nod32 firma Eset przygotowała bardzo dobry produkt, który z dnia na dzień zachwyca swą funkcjonalnością, brakiem fałszywych alarmów, małą wagą produktu i szybkim skanowaniem. Niedługo może zacząć dominować rynkiem światowym. Występuje bardzo wygodna obsługa, jest terminarz, moduł kwarantanny i wybór typów plików do skanowania. Warto na niego zwrócić uwagę. jest on dobrą alternatywą dla słabszych jak i szybszych komputerów.
8 ) McAfee Virus Scan jakość tego produktu jest bardzo dobra. Obsługa jest dobra, są wszystkie najważniejsze moduły, lecz typy plików do skanowania są bardzo ograniczone. W Polsce niezbyt popularny antywirus. Trzeba uważać gdyż już 2 razy był podany exploit na przejęcie kontroli nad systemem przy użyciu właśnie luki w tym produkcie. Cena wg mnie zbyt duża jak na taki produkt.

9) Norman Virus Control jest to średni antywirus, raczej niepolecany. Nie uważam żeby mógł dorównać takim programom jak Kaspersky czy Nod32. Jest to program dla ludzi, którzy nie chcą płacić więcej niż 100 zł za aplikacje a chcę mieć "jakieś" zabezpieczenie.
10) AntiVirenKit 2005 bardzo potężny produkt fimy gdata. Posiada dwa bardzo dobre silniki skanowania. Obsługa programu jest wyśmienita. Do tego wszystkie moduły, które powinny być są zawarte. Program dla tych lepszych pcetów gdyż proces skanowania plików jest dość długi i męczący a także zżerane zasoby mogą nie odpowiadać użytkownikowi ze słabszym sprzętem
11) dr.web dobry av, lecz niedopracowany wg mnie. Nie przekonuje mnie w nim wykrywanie zawirusowanych plików exe i zaszytych obiektów office. Wykrywalność wacha się w granicach 60 %. Ogólnie nie polecam tego produktu.

12) Pc-cllin firma trendmicro trochę przesadziła z ceną produktu. Cena 249 zł może zdenerwować a wykrywalność i szybkość skanowania wirusów wcale nie są dobre, wręcz słabe. Do tego duża waga produktu zniechęca nabywcę. ogólnie średni produkt.

Różnica między usunięciem i zamrożeniem wirusa

Gdy z jakiś powodów nie może dokonać całkowitego leczenia, program antywirusowy proponuje zamrożenie wirusa. Zamrożenie to polega na tym, że wirus nadal jest w systemie, lecz traci właściwość rozmnażania się. Gorzej przedstawia się sytuacja, gdy program nie może sobie poradzić wirusem i proponuje całkowite usunięcie zarażonego pliku.

Ochrona komputera przed wirusami

• Używanie oprogramowania antywirusowego

• Korzystanie z firewalla

• Używanie oprogramowania z autoryzowanego źródła

• Pobieranie plików tylko z zaufanych źródeł

• Korzystanie ze skanera i monitora plików

Czy wirus może zarazić program umieszczony na dyskietce zabezpieczonej mechanicznie przed zapisem?

Nie ma możliwości, by na sprawnym napędzie dyskietek zmodyfikowano informację zapisaną na dyskietce, w której zaklejono otwór zezwalający na zapis (dyskietki 360KB lub 1,2 MB), lub otwarto otwór zabezpieczający (dyskietki 1,44 MB).

Spam - niechciane lub niepotrzebne wiadomości elektroniczne. Najbardziej rozpowszechniony jest spam za pośrednictwem poczty elektronicznej oraz w Usenecie. Część użytkowników doświadcza także spamu w komunikatorach (np. ICQ czy Gadu-Gadu). Zwykle (choć nie zawsze) jest wysyłany masowo.

Istotą spamu jest rozsyłanie dużej ilości informacji o jednakowej treści do nieznanych sobie osób. Nie ma znaczenia, jaka jest treść tych wiadomości. Aby określić wiadomość mianem spamu, musi ona spełnić trzy następujące warunki jednocześnie:

1. Treść wiadomości jest niezależna od tożsamości odbiorcy.

2. Odbiorca nie wyraził uprzedniej, zamierzonej zgody na otrzymanie tej wiadomości.

3. Treść wiadomości daje podstawę do przypuszczeń, iż nadawca wskutek jej wysłania może odnieść zyski nieproporcjonalne w stosunku do korzyści odbiorcy.

Jak chronić się przed spamem?

Powstało wiele sposobów obrony przed spamem. Pierwszą jest nie przyjmowanie wiadomości od serwerów znanych spamerów i zgłaszanie administratorom, jeśli jeden z ich użytkowników jest spamerem.

Jednym z najważniejszych działań przeciwdziałających temu zjawisku jest też odpowiednie zabezpieczenie każdego komputera podłączonego do sieci - zarówno serwerów, jak i komputerów domowych czy biurowych.

Administratorzy serwerów pocztowych powinni zadbać o to, żeby były one skonfigurowane tak, aby wymagały autoryzacji (SMTP AUTH). Powinni również zainstalować i poprawnie skonfigurować na nich filtry antyspamowe, np. SpamAssassin. Bardzo skuteczną metodą obrony przed spamem jest greylisting.

Osoby zajmujące się tworzeniem i utrzymaniem stron WWW mogą włączyć się w walkę ze spamem, tworząc generatory fałszywych stron, zawierających generowane dynamicznie adresy poczty elektronicznej w domenach nieistniejących lub należących do spamerów. Strony takie:

• dają zajęcie programom poszukującym adresów na stronach, zwiększają koszty ich działania, zmniejszają efektywność;

• zmniejszają wartość baz adresów;

• dzięki zastosowaniu domen znanych spamerów w adresach, mogą oni lepiej na własnej skórze odczuć problem spamu;

• dodatkowo stosuje się adresy-pułapki, które przeznaczone są specjalnie do gromadzenia spamu, służącego potem np. do uczenia filtrów antyspamowych.

Oprócz rozwiązań technicznych, można też stosować rozwiązania prawne, oskarżając spamerów o straty materialne spowodowane ich działalnością. Główną przeszkodą jest to, że straty poniesione przez pojedynczego użytkownika są relatywnie niewielkie. Istnieją też na świecie specjalne prawa przeciwko spamowi, np. w Ohio odbiorcy indywidualni mogą dochodzić po 100 dolarów + koszty sądowe za każdą niechcianą wiadomość do granicy 50 000 dolarów dla użytkownika i 500 000 dolarów dla ISP.

Jak samemu bronić się przed spamem?

Po pierwsze, nie należy nigdy odpowiadać spamem na spam. Spam generowany w odpowiedzi na spam jest nazywany flames i tak samo jak spam pierwotny, blokuje łącza, miejsce na twardych dyskach i czas procesora. Często też adres podany, jako adres nadawcy nie jest prawdziwym adresem spamera, ale adresem innej jego ofiary.

Bardzo ważne jest, aby nigdy nie reagować pozytywnie na spam, np. nie odwiedzać zawartych w nim adresów, nie podawać swoich danych, itp. W przypadku pojedynczego spamu z jednego miejsca najlepiej jest go po prostu zignorować. W przypadku, gdy spam jest systematycznie wysyłany z jednego adresu, lepiej nie mścić się, wysyłając flames, lecz zawiadomić administratora i założyć filtr na ten adres.

Istnieją również filtry antyspamowe, działające po stronie klienta, również takie, które „uczą się” wyszukiwać pewne słowa charakterystyczne dla takich przesyłek. Te najbardziej zaawansowane - korzystające z tzw. filtru Bayesa - potrafią analizować cała strukturę e-maila przed podjęciem decyzji czy zakwalifikowac go, jako spam czy nie^[7].

Żadne z rozwiązań filtrujących nie jest doskonałe i te, które filtrują dużą część spamu, mogą też niezamierzenie odfiltrować list wysłany w dobrej wierze.

Należy zwrócić uwagę na wyłączenie w programie pocztowym automatycznej obsługi JavaScriptu oraz HTML oraz wyłączenie automatycznego otwierania programów załączonych do maili. Warto też uaktualnić swój program pocztowy, instalując uaktualnienia. W menadżerach poczty firmy Microsoft należy również wyłączyć opcję autopodglądu.

Dobrym pomysłem jest używanie niestandardowych programów do obsługi poczty, ponieważ nawet, jeśli oferują one podobny poziom bezpieczeństwa, to konie trojańskie tworzone są z myślą o „współpracy” z programami najczęściej używanymi. Dobrze jest również zainstalować program antywirusowy oraz zwalczający programy szpiegujące.

Należy też unikać podawania adresu poczty elektronicznej tam, gdzie nie jest to konieczne. Podając adres innemu użytkownikowi w miejscu ogólnodostępnym, jak np. grupy dyskusyjne, strony WWW, fora dyskusyjne, itp., nie podajemy go w dokładnym brzmieniu, ale lekko „udziwniamy”, np. zastępując znak @ innym znakiem lub ciągiem znaków (np. *, (at, na), #) czy też wstawiając w miejsce kropki słowo „(kropka)” (np. „adres@domena(kropka)pl”) lub wstawiając do adresu dodatkowy kawałek tekstu, np. _wytnij_to_ lub _NIE_SPAMEROM_. „Wstawki antyspamowe” najlepiej jest umieszczać w takim miejscu adresu, aby „zafałszować” nazwę domeny, w której posiadamy skrzynkę pocztową - list wysłany na adres konto@_wytnijto_.domena.pl czy konto_wytnijto_@domena.pl i tak trafi do naszego dostawcy, niepotrzebnie obciążając łącze i procesor serwera. Dlatego lepiej jest stosować adresy w formie np. „konto@domena.pl_wytnij_to”. W ten sposób utrudniamy działanie automatom pozyskującym adresy (harvester), które przeszukują pliki w poszukiwaniu „małpek”. Im więcej będzie różnorodnych technik tego typu, tym trudniejsze będzie kolekcjonowanie adresów. Jeśli konieczne jest podanie adresu wprost, to przeznaczmy na to dodatkowe konto lub alias pocztowy.

Jak uchronić system operacyjny przed programami szpiegowskimi (spyware) i reklamowymi (adware).

Wraz z popularyzacją Internetu gwałtownie wzrosła ilość komputerów podłączonych do tej globalnej sieci. Jednym z nowszych zagrożeń są niepożądane komponenty szpiegujące (spyware) i reklamowe (adware). Jak się przed nimi chronić pokazujemy w tej właśnie demonstracji.

Prezentacja (wymagany dostęp do Internetu)

CTRL + kliknięcie śledź łącze

Jak odróżnić program od pliku z danymi?

Programy (pliki wykonywalne) posiadają zazwyczaj rozszerzenia .exe, .com, lub .bat są to pliki, które mogą być uruchomione bezpośrednio w środowisku systemu operacyjnego. Natomiast pliki z danymi muszą być uruchomione za pomocą jakiegoś programu lub mogą stanowić jego część, nie mogą funkcjonować samodzielnie jak jakiś program.

Wirusy i ochrona antywirusowa

Strona 1

---