Wirusy komputerowe

Sieci komputerowe

Marek Pudełko

 

 

2

Spis treści

• Definicja wirusa 

komputerowego

 

 

3

Wirus komputerowy

• Wirus komputerowy to program 

komputerowy, który w sposób celowy 
powiela się bez zgody użytkownika i 
wykonuje destrukcyjne operacje.

• Wirus nie działa samodzielnie.

– Do swojej działalności wymaga nosiciela w 

postaci programu komputerowego, poczty 
elektronicznej, dokumentu itp.

 

 

4

Charakterystyka wirusa

1. Możliwość samopowielania się,
2. Nie może działać samodzielnie,
3. Szkodliwe działanie

 

 

5

 

 

6

Szczególnie wrażliwe 

miejsca

• programy wykonywalne typu EXE, COM
• pliki z rozszerzeniem OVL, BIN, SYS
• biblioteki DLL
• pliki systemowe COMMAND.COM, IBMBIO.COM, 

IBMDOS.COM

• tablica partycji dysku stałego
• boot - sektor dysku lub dyskietki
• tablica partycji dysku twardego FAT
• sektory zaznaczone jako uszkodzone tzw. bad sectors
• zagubione klastery tzw. lost clusters
• dokumenty pakietu MICROSOFT OFFICE (każde 

środowisko dopuszczające pisanie makropoleceń może 

być inspirujące dla autorów wirusów).

• inne miejsca wymyślone przez komputerowych 

terrorystów 

 

 

7

 

 

8

 

 

9

Podział wirusów ze względu na 

sposób infekcji

•

 Wirusy sektora ładowania /inicjującego/ (boot sector virus)

–

Zmieniają zawartość głównego sektora ładowania ( master boot sector)  zwykle zastępując właściwą 

zawartość swoją własną wersją. Oryginalna wersja modyfikowanego sektora jest na ogół 

przechowywana w innym miejscu dysku tak , by wersja wirusowa była wykonywana jako pierwsza. 

Zwykle ładuje ona pozostałą część kodu wirusa do pamięci, poprzedzając wykonanie oryginalnej wersji 

sektora ładowania. W ten sposób wirus rezyduje na stałe w pamięci dopóki komputer jest włączony.

–

Wirusy sektora ładowania są rozpowszechniane przez fizyczną wymianę każdego nośnika , który może 

być wykorzystany do uruchomienia systemu operacyjnego. Komputer zostaje zainfekowany wirusem 

sektora ładowania tylko wtedy , gdy użytkownik zainicjuje działanie systemu z zainfekowanego dysku. 

Całkowicie bezpieczne jest włożenie zainfekowanej dyskietki do kieszeni napędu i skopiowanie z niej 

danych.

•

 Pasożytnicze (plikowe)

–

Wirusy tego typu modyfikują zawartość plików wykonywalnych (COM , EXE , SYS i innych). Dołączają 

się one do pliku pozostawiając nienaruszoną większość programu. Przebieg wykonywania programu 

zostaje odwrócony w taki sposób , aby kod wirusa był wykonywany jako pierwszy. Po wykonaniu 

programu wirusa następuje uruchomienie oryginalnego programu. Jedną z odmian wirusów 

pasożytniczych są wirusy zamazujące. Infekując program zamazują jego początek własnym kodem. 

Uruchomienie takiego programu powoduje , że wirus poszukuje następnej ofiary a oryginalny program 

nigdy nie jest uruchamiany.

–

Wirusy pasożytnicze rozpowszechniają się za pomocą każdego nośnika , który może być użyty do 

przechowywania lub przekazywania programu wykonywalnego np. dyskietki , taśmy , sieci itp.

•

Towarzyszące

–

 Wykorzystują tę właściwość, że gdy w katalogu występują dwa programy o tej samej nazwie , to 

system operacyjny wykonuje plik COM przed plikiem EXE. Wirus towarzyszący tworzy plik COM o tej 

samej nazwie co plik EXE, umieszczając w nim własny kod. Gdy użytkownik poda nazwę programu 

(bez rozszerzenia) do uruchomienia , system operacyjny wczyta COM , co spowoduje wykonanie kodu 

wirusa i w następstwie , załadowanie i wykonanie pliku EXE.

•

Sprzęgające

–

Wirusy sprzęgające nie modyfikują żadnego pliku na dysku ale pomimo tego są bardzo żywotne i 

szybko się mnożą. Wirusy sprzęgające działają przez dołączenie wskaźnika pierwszego JAP'a katalogu 

zapisu każdego pliku wykonywalnego do pojedynczego JAP'a zawierającego kod wirusa.

•

Hybrydowe

–

Wirusy hybrydowe łączą w sobie jedne z powyższych metod. Daje to największe możliwości replikacji a 

jednocześnie utrudnia leczenie zainfekowanego systemu. 

 

 

10

Podział wirusów ze względu na 

zachowanie się po uzyskaniu 

kontroli

• Rezydentne

–

Wirusy tego typu instalują się w pamięci jako rezydentne 

programy usługowe TSR (Terminate and Stay 

Resident). Przejmują jedno lub więcej przerwań i 

infekują, gdy spełnione są określone warunki np. 

uruchomienie programu.

• Nie rezydentne

–

Są aktywne jedynie wtedy , gdy jest wykonywany 

zainfekowany program użytkowy. Wykonują one 

całkowicie swój program na tym etapie i nie pozostają w 

pamięci.

• Hybrydowe

–

Wykorzystują kombinacje powyższych metod. Możliwy jest 

przykład gdy wirus jest nie rezydentny a po uzyskaniu 

kontroli pozostawia w pamięci rezydentny fragment 

swojego kodu. 

 

 

11

Inne typy programów 

sabotażowych

• Bomba logiczna

– Złośliwy kod umieszczony w programie , który uaktywni się , gdy zostaną 

spełnione określone warunki np. program załamania systemu po 

usunięciu nazwiska autora z listy płac.

• Koń trojański

– Dowolny program , który zawiera kod realizujący funkcje inne niż te , 

których spodziewa się użytkownik lub deklarowanych w dokumentacji 

systemu (programu). Obejmuje to również bomby logiczne. Koniem 

trojańskim może być np. Norton Commander z dołączonym kodem który 

sformatuje dysk twardy po obejrzeniu w oknach Norton'a 10.000 plików.

• Robak

– Program, który mnoży się w sposób nie kontrolowany w sieci 

komputerowej.

• Królik

– Program wykorzystujący w pełni określone zasoby systemu na skutek nie 

kontrolowanego powielania się.

• Wirus Makr

– Wirus Makr nie jest programem w dosłownym znaczeniu. Jest on 

zbudowany z poleceń rozumianych przez konkretny program np. edytorski 

i infekuje jedynie dokumenty tekstowe lub arkusze kalkulacyjne.

• Prowadzone były również próby nad innymi typami "programów" 

sabotażowych takimi jak np. wirus plików wsadowych BAT oraz 

bomby ANSI. 

 

 

12

•

Techniki stosowane przy tworzeniu wirusów:

•

    * Wirusy wielopostaciowe (polimorficzne)

•

    Od dawna twórcy wirusów marzyli aby ich "dzieła" były niewykrywalne przez skanery antywirusowe. Rozwiązanie było proste: wczesne skanery 

antywirusowe posługiwały się próbką (łańcuchem bajtów charakterystycznych) ze złapanego i przeanalizowanego wirusa. Taki skaner przeszukując plik 

porównywał jego strukturę ze składowanymi w swojej bazie próbkami. W razie wykrycia podobieństwa wszczynany był alarm. Wystarczyło stworzyć 

wirusa z którego nie można było pobrać próbki. Aby było to możliwe wirus po każdym swoim powieleniu powinien wyglądać inaczej.

•

    Początkowo wprowadzono procedury szyfrujące kod wirusa za pomocą stałego lub zmiennego klucza. Ta procedura zawsze wyglądała jednakowo i z 

niej można było wyznaczyć bajty charakterystyczne. Następnie programiści poszli dalej. Aby "zamydlić oczy" skanerowi wprowadzono do kodu procedury 

deszyfrującej dodatkowych , nieistotnych dla algorytmu instrukcji , zmienianych podczas każdej infekcji. W odpowiedzi na to autorzy skanerów 

antywirusowych wprowadzili do swoich próbek tzw. znaki zastępcze (np. bajt ignorowany , przyjmujący dowolną wartość).

•

    Kolejnym ruchem autorów wirusów było utworzenie algorytmów generujących od kilkudziesięciu do nawet 1 miliarda różnych postaci procedury 

deszyfrującej. Przy procedurach które generują małą ilość wariantów możliwe jest wykrywanie przez zapisanie w bazie skanera wszystkich możliwych do 

wygenerowania ciągów. Jednak przy dzisiejszych możliwościach autorów i ich wirusów ta metoda wykrywania nie zdaje egzaminu.

•

    Autorzy nowoczesnych wirusów stosują metody : zastępowania i przestawiania instrukcji procedury deszyfrującej , mieszania instrukcji właściwego 

kodu procedury z instrukcjami "jałowymi" np. NOP (nic nie rób) oraz rozsiewania kodu procedury deszyfrującej w kodzie nosiciela. Metoda szyfrowania 

polimorficznego jest również stosowana dla kodu wirusa rezydującego w pamięci komputera. Utrudnia to jego identyfikację i obezwładnienie.

•

    * Wirusy utajnione (ang. Stealth)

•

    Jedną z metod uczynienia wirusa niewykrywalnym jest jego utajnienie. Na ogół kod wirusa jest widoczny w kodzie zarażonego programu. Możemy się o 

tym przekonać oglądając zarażony program np. edytorem binarnym. Metoda utajniania polega na podsuwaniu programom czytającym zarażony plik , 

obrazu jego sprzed infekcji.

•

    Wirus wykorzystujący technikę STEALTH przechwytuje odpowiednie przerwania i na żądanie odczytu odkaża nosiciela (wirusy plikowe) lub podsuwa 

oryginalny kod ze swojej przechowalni (wirusy dyskowe). W przypadku wirusów plikowych plik odkażony po zamknięciu jest ponownie infekowany. 

Wirusy dyskowe ukrywają swój kod na dysku również w inny sposób. Formatują sobie dodatkową ścieżkę na której umieszczają swój kod. Do tak 

spreparowanej ścieżki system operacyjny nie ma dostępu i kod wirusa nie jest narażony na wykrycie. Wirusy typu STEALTH przekłamują odczyty 

rozmiaru pliku , odejmując od oryginalnego rozmiaru wielkość wirusa. Użytkownik komputera nie zauważy więc faktu powiększenia się rozmiarów 

zbiorów na skutek infekcji. Aby ukryć fakt rezydowania w pamięci komputera wirusy typu STEALTH podsuwają programom oryginalne adresy wektorów 

przerwań oraz ukrywają zajęte przez siebie bloki pamięci oznaczając je najczęściej jako nie przydzielone.

•

    * Wirusy opancerzone (ang. Armory)

•

    Dobry wirus musi nie tylko się ukrywać ale również musi być odporny na jego analizę. Aby zapobiec de-asemblacji kodu wirusa , autorzy wstawiają do 

jego kodu wiele pojedynczych bajtów dobranych w taki sposób , aby przy próbie przetłumaczenia go występowały przekłamania. Procesor wykonujący 

rozkazy kodu wirusa w jednoznaczny sposób "wie" jakie rozkazy pobrał i ma wykonać , lecz program tłumaczący ten kod w mniejszym lub większym 

stopniu nie jest w stanie zinterpretować instrukcji które zostały obstawione "lewymi bajtami".

•

    Inną metodą analizy kodu wirusa jest jego śledzenie pod kontrolą programu śledzącego (ang. debugger).W tym trybie kod wirusa jest wykonywany 

krok po kroku. Aby to było możliwe debugger wstawia w kodzie śledzonym specjalne bajty tzw. punkty zatrzymania (ang. breakpoint) . 

 

 

13

 

 

14

 

 

15

Języki do tworzenia wirusów

• Najlepsze niskopoziomowe języki 

programowania  - Asembler

– Generują zwięzły kod. Umożliwia dużą swobodę w 

dostępie do pamięci i portów.

– Mogą jednak egzystować w obrębie jednej 

rodziny komputerów.

• Języki wyższego poziomu - Pascal, C/C++

– Wirusy takie można wdrożyć na różne platformy.

• Języki makr wbudowane w nowoczesne 

edytory tekstów lub arkusze kalkulacyjne.

– Pozwalają na infekcję każdego otwieranego przez 

program dokumentu lub arkusza. Wymarzone 

narzędzie do tworzenia wirusów dla 

początkujących programistów.

 

 

16

Generatory wirusów

•

Generator wirusów to program umożliwiający 

stworzenie wirusa w oparciu o gotowe procedury. 

Nie wymaga nawet znajomości systemu czy 

mechanizmów wykorzystywanych przez wirusy.

•

Programy korzystają z gotowych modułów w 

asemblerze i umożliwiają stworzenie wirusa o 

zadanych parametrach wybieranych zwykle przy 

pomocy menu.

– Można w nim określić zakres infekowanych obiektów i 

rodzaj efektów które ma on wywoływać.

•

Najbardziej znane generatory wirusów to:

– IVP 

- Instant Virus Production Kit

– VCL  - Virus Construction Laboratory

– PS-MPC- Phalcon-Skism Mass Produced Code 

Generator

– G2 

- G Squared

– NRLG 

- Nuke Randomic Life Generator

 

 

17

 

 

18

Czynniki sprzyjające 

wirusom

• Brak wiedzy użytkowników
• Niefrasobliwość użytkowników
• Jednorodny sprzęt i oprogramowanie
• Systemy operacyjne podatne na wirusy
• Błędy w oprogramowaniu
• Korzystanie z nielegalnego 

oprogramowania

 

 

19

Ochrona przed wirusami

• Używać i regularnie aktualizować program 

antywirusowy

• Niezwłocznie wgrywać wszystkie poprawki 

systemu operacyjnego i oprogramowania

• Unikać niepewnego oprogramowania
• Niepewne programy uruchamiać w maszynie 

wirtualnej

• Nieukrywanie rozszerzeń plików
• Nadawać nazwom katalogów rozszerzenia
• Pliki ustawiać w trybie „READ ONLY”
•  W Biosie włączenie opcji VIRUS PROTECTION
• Nośniki typu dyskietka, pendrive zabezpieczać 

przed zapisem.

 

 

20

 

 

21

Wirusy Linuksa

•

Marek Sell, twórca programu antywirusowego mks_vir, w 

wywiadzie udzielonym tygodnikowi "Computerworld"

 stwierdził: "Zdecydowanie wzrasta liczba wirusów linuxowych, obecnie przybywa ich 20-30 miesięcznie." 

Ostatnie Felietony 

•

Jądro wolnej kultury

 

•

Kowal zawinił...

 

•

Koniec strachu? 

•

Opcja nuklearna 

•

Przeszłość i przyszłość pakietowania 

•

W pierwszej chwili nie zwróciłem uwagi na powyższe zdanie, doczytałem spokojnie do końca zadowolony, że po raz kolejny w "tygodniku menedżerów i informatyków" pojawia się słowo Linux. Dam sobie głowę uciąć, że 

mniej wyczulonych na Linuksa czytaczy zdanie to zupełnie nie obeszło.

Zaciekawiony i lekko zaniepokojny, bo przecież o system na którym pracuję chodzi, rozpoczałem gorączkowe poszukiwania tych wszystkich krwiożerczych wirusów o których do tej pory nie miałem pojęcia.

Drżącymi rękami wklepałem w Netscape'a adres witryny Marka Sella: http://www.mks.com.pl/baza.html, i rozpocząłem szukanie wszystkiego co zwiera słowo "Linux". Wirusów i nie tylko znalazłem aż... 10, a są to:

•

Lion - znany również jako Linux.Lion, robak. Pełni on funkcję konia trojańskiego, umożliwiając zdalny dostęp do komputera oraz wykradając hasła. 

•

Ramen - znany również jako Linux.Ramen, robak. Jego działanie polega na zamianie strony głównej serwera http. 

•

PK14 - tzw. fałszywy alarm czyli email wysłany przez dowcipnisia. W treści emaila pojawia się Linux. 

•

Pandemic - fałszywy alarm, jak wyżej. 

•

Music Panel - fałszywy alarm, jak wyżej. 

•

Cheese - robak, który łata dziury wykorzystywane przez Liona. 

•

Jac - jest wirusem infekującym pliki w linuksowym formacie ELF, znajdujące się w tym samym katalogu. 

•

Winux - jest wirusem jednocześnie infekującym pliki wykonywalne typu PE systemu Windows oraz pliki wykonywalne w linuksowym formacie ELF. Wirus ten jest jedynie prezentacją możliwości stworzenia mikroba 

wieloplatformowego i nie zawiera żadnych procedur destrukcyjnych, a ponadto nie występuje na wolności. 

•

Prolin - jest robakiem internetowym rozsyłającym się przy użyciu poczty elektronicznej. Z Linuksem ma tylko tyle wspólnego, że wyświetla komunikat "change atleast now to LINUX" - i pewnie ma rację. :) 

•

MTX.Worm - to robak internetowy, dołącza się do emaila pod różnymi nazwami, jedna z nich to "Is_linux_good_enough!.txt.pif". [1] 

•

Jak widać tylko 5 z nich rzeczywiście potrzebuje Linuksa, żeby siać spustoszenie lub... naprawiać szkody.

A przecież co miesiąc według Marka Sella, pojawia się ich conajmniej 20 sztuk! Może pan Sell jest tak bardzo zajęty ich łapaniem i analizą, że nie ma czasu na aktualizację bazy danych?

Jeśli tak, to z pewnością informacje o wirusach znajdę po prostu w Internecie gdzie aż roi się od serwisów poświęconych bezpieczeństwu. Warto też zajrzeć na strony firm produkujących oprogramowanie antywirusowe - 

może byli pierwsi lub po prostu mają więcej czasu lub ludzi by uaktualnić dane? Sprawdźmy to.

Fraza "linux virus" daje 8.490 hitów w Googlach. Część linków to odwołania do HOWTO, część do tekstów Silvia Cesare poświęconych tworzeniu wirusów pod Linuksa, spora część to powtarzające się doniesienia prasowe.

Spróbowałem zawęzić krąg poszukiwań wyłączając znalezione już na stronach Marka Sella "wirusy". Kolejna fraza wyglądała więc tak:

"linux virus" -lion -ramen -pk14 -pandemic -cheese -prolin -winux -jac

Liczba trafień spadła o ponad 1100 co sugerowało, że jednak robali jest sporo. Ale wystarczyło pominąć strony zawierające słowo "HOWTO" by dostać o 3300 hitów mniej, "silvio cesare" to kolejne 460 mniej hitów. 

Wyłączenie z szukania słowa "bliss" - nazwy najsłynniejszego i pierwszego wirusa linuksowego dało w efekcie prawie 1000 mniej hitów.

Ciężko idzie, może z innej mańki?

Ile jest stron z frazą '"linux virus" reported'? Tylko 470! Z czego część to takie kwiatki jak artykuł o tytule "First Successful Linux Virus Reported" z... 22 stycznia 2001, a jak pewnie wszystkim wiadomo Bliss, pierwszy wirus 

na Linuksa, pojawił się w roku 1997. Całe 4 lata wcześniej. W co mam wierzyć? A raczej komu?

Sporo ze znalezionych stron odesłało mnie do domeny www.viruslist.com na której udało mi się znaleźć aż... 19 wzmianek o wirusach pod Linuksa z czego 4 to jednak wirusy windowsowe, a o 5 już wspomniałem wcześniej. 

Nowych zatem znalazło się 9. Oto one:

•

Linux.Satyr - nie czyniący szkód nie-rezydent. 

•

Linux.Zipworm - infekujący archiwa ZIP. 

•

Linux.RST - infekujący binarki i dający root-shella. 

•

Linux.Winter - również infekujący binarki lecz nie czyniący szkód. 

•

Linux.Kagob - jak wyżej. 

•

Linux.Nuxbee - jak wyżej. 

•

Linux.Diesel - jak wyżej. 

•

Linux.Vit.4096 - drugi po Blissie wirus linuksowy, atakujący binarki. 

•

Linux.Bliss - dzierżący palmę pierwszeństwa. 

•

Worm.Linux.Adm - po prostu kolejny robal. 

•

Na stronach producentów programów antywirusowych również trudno znaleźć więcej niż kilkanaście wzmianek o wirusach linuksowych. Zmowa milczenia? [2]

Wrócę jeszcze na koniec do wypowiedzi pana Marka Sella. Po bliższym przyjrzeniu okazała się błędna. Jeśli nawet redakcja "Computerworlda" popełniła błąd dodając po jednym zerze do podawanych przez Sella liczb to i tak 

nie ma to żadnego odzwierciedlenia w rzeczywistości. Od publikacji artykułu minął juz prawie miesiąc i nie słychać o nowych dwóch, trzech a tym bardziej trzydziestu wirusach. Linux ma się dobrze. [3]

Wygląda na to, że moda na Linuksa dotyknęła także firmy antywirusowe. Szkoda, że objawia się to też nierzetelnymi informacjami przez nie podawanymi.

Szkoda, że menedżerowie i informatycy do których "Computerworld" jest skierowany czytają takie informacje. Szczególnie teraz gdy Linux z systemu dla zapaleńców staje się dojrzałym systemem nieraz wykorzystywanym 

w poważnych projektach informatycznych. To nie fair panie Sell!

[1] Opisy zaczerpnąłem ze stron firmy Marka Sella.

[2] Sprawdzałem Sophosa, Symanteca, Antivira, McAfee.

Co ciekawe Symantec listuje sporo wirusów z adnotacją "No additional information" - o co chodzi? Nie wiedzą jak działają ale program je wykrywa?

McAfee w swojej bibliotece wirusów ma aż 26 linuksowych lecz po bliższym sprawdzeniu okazuje się, że zjadują się tam konie trojańskie i exploity.

[3] Pomijam zupełnie fakt, że wszystkie prawdziwe wirusy na Linuksa bazują na głupocie administratorów i przy zastosowaniu podstawowych zasad bezpieczeństwa są groźne jedynie dla danych użytkowników. System może 

stać się ich ofiarą jedynie z wydatną "pomocą" roota. 

 

 

22

• Marek Sell, twórca mks_vira, 

wielokrotnie podkreślał, że antywirusy 
różnią się od innych aplikacji 
komercyjnych. "Program antywirusowy 
jest bardziej usługą niż towarem. Tak 
naprawdę ważne jest nie to, co 
kupujemy, ale co dostajemy po kupnie, 
czyli stała aktualizacja" (dla 
"Magazynu Internetowego WWW", 
listopad 2002 r.). 

 

 

23

 

 

24

 

 

25

 

 

26

Linki

•

http://pl.wikipedia.org/wiki/Wirus_komputerowy

•

http://wyborcza.pl/1,76842,4337762.html

•

http://jnaszkiewicz.wodip.opole.pl/

•

http://wirusykomputerowe.webpark.pl/

•

http://www.oeiizk.edu.pl/informa/jazdzewska/wirusy.

html

•

http://www.chip.pl/arts/archiwum/n/printversion/pri

ntversion_90615.html

•

http://www.viruslist.pl/

•

http://poradnik.2lo.elblag.pl/800/wirusy-pm/index.ht

ml

• http://technologie.gazeta.pl/technologie/5,85

155,5134590.html?i=0

•

http://en.wikipedia.org/wiki/Computer_virus

•

vx.netlux.org/lib/aps00.html

 

 

27

Pytania powtórkowe

1. Podaj definicję wirusa komputerowego.
2. Jakie miejsca w systemie komputerowym mogą być 

narażone na rozmnażanie wirusów?

3. Opisz fazy funkcjonowania wirusa komputerowego
4. Jak działają wirusy zwane końmi trojańskimi?
5. Na czym polega obrona bierna przed wirusami?
6. Na czym polega obrona aktywna przed wirusami?
7. Opisz rodzaje programów antywirusowych.
8. Podaj nazwę znanych polskich programów 

antywirusowych.

9. Czy wirus może zarazić program umieszczony na 

dyskietce zabezpieczonej mechanicznie przed zapisem?

10.Na czym polega różnica między usunięciem i 

zamrożeniem wirusa?

11.Czy wirus komputerowy może przeskoczyć na człowieka?