background image
background image

Co to jest wirus?

    Wirus to kod komputerowy dołączający się do 

programu lub pliku, dzięki czemu może 

rozprzestrzeniać się na inne komputery, infekując 

je. Wirusy mogą uszkadzać oprogramowanie, 

sprzęt i pliki. Podobnie jak ludzkie wirusy, które 

mogą być tak groźne jak Ebola lub łagodne jak 

jednodniowe przeziębienie, wirusy komputerowe 

mogą być co najwyżej lekko irytujące lub 

niezwykle destrukcyjne. Na szczęście prawdziwy 

wirus nie może się rozprzestrzeniać bez ludzkiego 

działania, takiego jak udostępnianie pliku lub 

wysyłanie wiadomości e-mail.

background image

Głównym źródłem infekcji jest Internet. Jest tak z powodu ogromnych 
możliwości szybkiej wymiany informacji jakie stwarzają sieci (e-mail, 
przeglądanie stron WWW, pobieranie plików, czaty, komunikatory, 
grupy dyskusyjne, sieci peer-to-peer itp.). Tradycyjne źródła infekcji 
takie jak płyty CD, dyskietki itp. mają obecnie drugorzędne 
znaczenie. 

background image

Rodzaje wirusów

                    Podział ze względu na sposób infekcji:

-Rezydentne - Wirusy tego typu instalują się w pamięci jako rezydentne 
programy usługowe TSR. Przejmują jedno lub więcej przerwań i infekują , gdy 
spełnione są określone warunki np. uruchomienie programu. 

-Nie rezydentne - Są aktywne jedynie wtedy , gdy jest wykonywany 
zainfekowany program użytkowy. Wykonują one całkowicie swój program na 
tym etapie i nie pozostają w pamięci. 

-Szybkie infektory - Przejmują one wszystkie funkcje systemu DOS, używane 
do obsługi plików, zarażają wszystko co się da w jak najkrótszym czasie. To 
powoduje ,że po okresie bardzo szybkiego rozprzestrzeniania się wirusa w 
danym systemie następuje jakby jego uśpienie, gdyż wirus nie może znaleźć 
kolejnej ofiary. Często pierwszą rzeczą jaką robi wirus jest niszczenie w 
pamięci kodu zamazywalnej części interpretatora poleceń, co sprawia, że 
przy następnym wywołaniu jakiegoś polecenia z poziomu DOS plik 
zawierający interpretator poleceń zostanie ponownie uruchomiony i w efekcie 
natychmiast zainfekowany. Duża aktywność szybkiego infektora będzie łatwo 
zauważalna dla użytkownika, nawet takiego, który słabo zna system. W tego 
rodzaju wirusach nie sprawdza się nawet użycie technik stealth, zwłaszcza 
gdy użytkownik wykonuje dużo operacji dyskowych. 

background image

Wolne infektory - Są one bardziej wyrafinowane niż szybkie infektory, 
ponieważ ich głównym zadaniem nie jest jak najszybsze rozprzestrzenienie 
się lecz jak najdłuższe przetrwanie. Wirusy te używają najczęściej wolnych, 
kilkustopniowych, zmiennych procedur szyfrujących, oraz techniki stealth. 
Najczęściej infekują one tylko te obiekty które modyfikuje lub tworzy 
użytkownik. Wirusy te są bardzo trudne do wykrycia i usunięcia nawet dla 
zaawansowanych programów antywirusowych. 

Technika stealth- w języku angielskim znaczy niewidzialny, jest to „sztuczka” 
polegająca na kontroli odpowiednich funkcji systemu DOS lub BIOS, 
obsługujących pamięć i operacje dyskowe. Oszustwo polega na tym, że 
fizycznie zarażony obiekt, po odpowiedniej obróbce przez wirusa, wygląda, 
jakby był niezainfekowany.

background image

Ze względu na wynik ich 
działań:

-Wirusy pasożytnicze - Ten rodzaj wirusów jest najszerzej rozprzestrzeniony 
na świecie i najczęściej spotykany, wykorzystują swoje ofiary do transportu 
modyfikując ich strukturę wewnętrzną. Często pliki używane do transportu 
przez wirusy pasożytnicze są trwale niszczone, jedynym ratunkiem jest 
użycie szczepionki lub kopii zapasowych, ponieważ zarażane pliki z reguły nie 
są przez wirusa leczone. Wyjątkiem są wirusy których celem jest infekcja 
tablicy partycji lub BOOT sektora dysku twardego, wtedy pliki używane są 
tylko do transportu. Taki wirus po zainfekowaniu tablicy partycji lub BOOT 
sektora, leczy pliki znajdujące się na twardym dysku ,których użył do 
transportu, a infekuje jedynie te znajdujące się na dyskietkach lub na nie 
kopiowane.
Wirusy pasożytnicze można podzielić ze względu na zajmowane przez nie 
miejsce w zainfekowanych plikach na:

*Wirusy nadpisujące
* Wirusy lokujące się na końcu pliku                                                                   
                * Wirusy nagłówkowe
* Wirusy lokujące się w pliku w miejscu gdzie jest jakiś wolny obszar                
                * Wirusy wykorzystujące część ostatniej jednostki alokacji pliku JAP

-Wirusy towarzyszące - Wirusy te pisane są najczęściej w językach wysokiego 
poziomu. Atakują one pliki a ich działanie opiera się na hierarchii systemu 
DOS podczas uruchamiania programów. Oznacza to, że w przypadku 
uruchamiania jakiegoś programu bez podania rozszerzenia, najpierw 
poszukiwany jest plik o rozszerzeniu COM, później EXE a na końcu BAT.

background image

-Wirusy plików wsadowych - Wykorzystują one do transportu pliki z 
rozszerzeniem BAT, są to raczej starsze wirusy. Jednak mimo raczej ubogiego 
zestawu środków jakimi operują twórca, potrafią często infekować nie tylko 
pliki BAT, ale często pliki COM i EXE czy sektor tablicy partycji. Po 
uruchomieniu zainfekowanego pliku wsadowego tworzony jest plik 
uruchamiany COM lub EXE, zawierający właściwy kod infekujący pliki BAT. Po 
tym jak zostanie stworzony i wykorzystany jest kasowany.

-Makrowirusy - Wirusy tego typu to jeden z nowszych wynalazków, nie 
zarażają one programów uruchamialnych, lecz pliki zawierające definicje 
makr. Wśród najczęściej zarażanych plików górują pliki z rozszerzeniami DOC, 
XLS, SAM. Makrowirusy do rozprzestrzeniania się wykorzystują funkcje 
zawarte w językach makr, wbudowanych w różnych aplikacjach np.: 
WordBasic w MS Word.

-Robaki - Są to programy, których celem jest tworzenie własnych duplikatów, 
także nie atakują one żadnych obiektów . Robaki zwykle nie wywołują 
żadnych skutków ubocznych, jedynie zajmują coraz więcej miejsca na dysku. 
Są one bardzo popularne w sieciach, ponieważ mają do dyspozycji protokoły 
transmisji sieciowej, dzięki którym mogą dowolnie przemieszczać się. 

-Królik - Program wielokrotnie kopiujący i uruchamiający swój własny kod 
źródłowy celem pełnego zagarnięcia zasobów komputera (czasu procesora, 
pamięci operacyjnej, przestrzeni dyskowej) i doprowadzenia do upadku 
systemu.

-Konie trojańskie - Koń trojański bywa utożsamiany z wirusem ze względu na 
swoje działanie destrukcyjne. Koń trojański uruchomiony wykonuje niby 
normalną pracę, bezpośrednio wynikającą z przeznaczenia programu, lecz 
dodatkowo, w tle wykonuje jakieś niezauważalne dla użytkownika operacje. 
Konie trojańskie najczęściej przenoszą

background image

się w plikach udając np.: nową wersje oprogramowania, programy 
narzędziowe.

-Bomby logiczne - Są podobne do koni trojańskich, tyle, że koń trojański 
działa od razu, natomiast bomba logiczna swe destrukcyjne oblicze ukazuje 
tylko w określonym odpowiednimi warunkami czasie. Ze względu na to, że 
właściwy kod destrukcyjny może być ukryty w dowolnym miejscu programu 
który zawiera bombę logiczną, należy się ostrożnie obchodzić z aplikacjami 
które są nieznanego pochodzenia, często mianem bomby określa się 
destrukcyjny kod zawarty w wirusach, którego wywołanie następuje tylko po 
spełnieniu jakiegoś warunku. 

Document Outline