Czym sa wirusy komputerowe? Skad sie biora? Jak bardzo nam zagrazaja? Jak zabezpieczac komputer, aby uniknac infekcji wirusowej? Sa to pytania na ktore postaram sie w duzym skrocie odpowiedziec.
Czym sa wirusy komputerowe?
Sa to niewielkie programiki, ktore dolaczaja sie do znajdujacych sie na dysku programow lub pozostaja ukryte w jego obszarach systemowych. Dzieki temu sa one do pewnego stopnia niewykrywalne dla uzytkownika (czyli dla nas). Ich uaktywnienie nastepuje w momencie uruchamiania zakazonego programu, badz tez ladowania systemu operacyjnego (np. DOS, Windows 95 ...) z zainfekowanego dysku. Ze wzgledu na "efekt" mozemy je podzielic na:
- lagodne wirusy wyswietlajace komunikaty na ekranie w stylu "Jestem glodny, wloz hamburgera do stacji dyskow A" lub "Twoj twardy dysk jest radioaktywny", nie niszczac przy tym zbiorow na dysku
- inna grupa dowcipnych wirusow bedzie nam na przyklad odgrywala hymn narodowy codziennie o 12 w poludnie lub litery z dokumentu nad ktorym w tej chwili pracujemy zaczna spadac na dol monitora
- wirusy z grupy niszczacych nie maja nic wspolnego z humorem (chyba, ze z jego czarna odmiana). Po prostu po uaktywnieniu wymazuja systematycznie (zwykle nieodwracalnie) dane z naszego dysku. Sa tez i takie wirusy, ktore losowo wybieraja sobie sektory do skasowania, ale sa rowniez "typki", ktore po prostu kasuja bezpowrotnie wszystko "jak leci".
- wirusy, ktore atakuja obszary systemowe dysku twardego potrafia w ciagu kilku chwil zniszczyc cala zawartosc naszego dysku.
Zasadniczo wirusy dzielone sa na dwa rodzaje: dolaczajace sie do programow i zarazajace obszary systemowe dysku. Sa rowniez takie, ktore zarazaja jednoczesnie pliki i obszary systemowe dysku. Okolo 60% wirusow po uaktywnieniu rezyduje w pamieci, pozostale wykonuja swoje zadanie natychmiast po uruchomieniu zarazonego programu lub przy ladowaniu systemu. Wirusy rezydujace w pamieci koncentruja sie glownie na systematycznym zarazaniu kazdego wykorzystywanego przez uzytkownika pliku oraz dysku.
Typowym sposobem dolaczania sie wirusa do pliku jest dodanie do jego poczatku polecenia skoku do dolaczonego na koncu tego samego pliku programu wirusa. Czasami wirus niszczy czesc kodu programu zastepujac go swym wlasnym. Program wtedy nie daje sie uruchamiac i zwykle nie ma juz mozliwosci odtworzenia jego tresci. Coraz popularniejsze staja sie wirusy typu stealth (niewidzialne). Umykaja one wielu programom antywirusowym. Przykladem moze byc wirus "Frodo", ktory po aktywacji laduje sie do pamieci operacyjnej RAM, gdzie pozostaje niewidoczny dla polecenia "mem", zarazone przez niego programy nie wykazuja zmian wielkosci, komendy edycyjne nie ujawniaja jego obecnosci w programach zakazonych. Nastepnym przykladem moze byc slynny juz wirus "Tremor". Potrafi on bez trudu wyrzucic z pamieci komputera rezydencjalny program antywirusowy Vsafe dolaczony do DOS 6.0 i ulokowac sie w sposob bezpieczny na dysku. Istnieja setki wirusow tego typu.
Wirusy polimorficzne sa chyba najtrudniejsze do wykrycia. Charakteryzuja sie tym, ze w miare rozmnazania sie zmieniaja swoje kody, tak wiec programy antywirusowe nie sa w stanie znalezc odpowiedniego ciagu bajtow (ciag bajtow jest charakterystyczny dla kazdego wirusa, cos w rodzaju odcisku palcow u czlowieka).
Skad sie biora wirusy?
Sa one pisane, jak to kiedys ktos zrecznie okreslil, przez "sfrustrowanych, zle oplacanych programistow i wiecznie nudzacych sie studentow informatyki". Potwierdzenie tego faktu mozemy znalezc w tym, iz najwiecej wirusow powstaje w miesiacach wakacyjnych - lipcu i sierpniu. Kraje, ktore przoduja w produkcji wirusow to Bulgaria, dawne terytorium Zwiazku Radzieckiego, Polska, Niemcy, USA, Izrael, Holandia i Indonezja. Nie we wszystkich tych krajach jest to wynikiem niskich plac programistow, czesto powodem jest zlosliwosc ludzka.
W jaki sposob nasz komputer moze zostac zainfekowany wirusem?
Jest wiele drog, ktorymi przemieszczaja sie wirusy. Glownie wraz z kopiami programow, a w szczegolnosci gier. Bardzo czesto osoby, ktore daja (lub co gorsza sprzedaja) wyzej wymienione nie zdaja sobie sprawy z tego, ze dyskietka lub CD z kopia ich ulubionej gry zawiera wirusa. Czesto programisci gier komputerowych, aby zabezpieczyc swoja prace przed kopiowaniem dokladaja "malutkiego wiruska", ktory nie uaktywnia sie, gdy korzystamy z oryginalnej dyskietki, ale natychmiast zaczyna rozrabiac, gdy korzystamy z jej nielegalnej kopii. Niewiele ma to wspolnego z etyka, no ale coz, bywaja i takie przypadki. Druga, ostatnio bardzo modna droga rozprzestrzeniania sie wirusow jest Internet i niepewne BBS. Internet z samego zalozenia jest rozlegla siecia ogolno dostepna, tak wiec jest to wspaniale miejsce dla zlosliwych. Nie mozemy zarazic (przynajmniej jak dotad) naszego komputera wirusem, do momentu dopoki nie sciagamy (ang. download) programow z innych komputerow. Ostatnio pojawily sie wirusy, ktore "doczepiaja sie" nie tylko do programow, ale takze dokumentow (ang. macro virus). Wirusy ponadto potrafia przemieszczac sie po sieciach biurowych (Novel, Unix, NT...), a wtedy ten, ktory przytargal wirusa do biura moze byc w powaznych opalach. Nie przemieszczaja sie natomiast wirusy wraz z faxami (przynajmniej na razie).
Objawy infekcji wirusowej
Jak wczesniej pisalem, objawy moga byc rozne. Poczawszy od wygrania przez komputer hymnu, poprzez test z tabliczki mnozenia, skonczywszy na odmowieniu przez komputer calkowicie pracy. Ponizej pare typowych objawow, ktore powinny dac nam do myslenia:
- dluzszy niz zwykle czas ladowania programu lub systemu operacyjnego. Jezeli konfiguracja komputera nie ulegla zmianie i w pamieci znajduja sie te same co zwykle programy, zaden program nie ma prawa ladowac sie nawet pol sekundy dluzej niz zwykle.
- zwolnienie pracy systemu. Dotyczy to szczegolnie pracy z dyskietkami.
- nieuzasadnione zmniejszenie ilosci pamieci operacyjnej. Informacje na ten temat mozna uzyskac wpisujac komende mem. Nie ma powodu, jezeli nie instalowalismy zadnych programow rezydencjalnych, aby z dnia na dzien ubywalo nam pamieci w komputerze.
- uszkodzone sektory na dysku twardym. Mozemy to sprawdzic przy okazji uruchamiania komendy defrag (powinnismy wykonywac defragmentacje dysku mniej wiecej raz w miesiacu) lub komendy scandisk. Jezeli zauwazymy tzw. Bed Sectors nalezy natychmiast przeprowadzic zabezpieczenie waznych danych na dysku poprzez backup na dyskietki badz tasme. Sytuacja ta oznacza jedno z dwoch: albo nasz dysk fizycznie poprzez wady fabryczne zaczyna tracic swoja sprawnosc albo destrukcyjny wirus kasuje nam programy i w miejscach gdzie one byly zaznacza bed sectors. Obydwie sytuacje sa jednakowo niebezpieczne.
- znikajace programy sa nastepnym objawem obecnosci wirusa lub fizycznych klopotow z dyskiem.
- nieoczekiwany restart systemu. Jezeli komputer robi cos "sam" niezaleznie od uzytkownika, zawsze nalezy podejrzewac obecnosc wiruska.
- Dziwne zachowanie ekranu badz dziwne dzwieki wydawane przez nasze glosniki. Wyzej opisane spadajace litery, hymny i piosenki, zabawne komunikaty informujace nas o "wodzie w twardym dysku" ...
- zmiany dlugosci lub daty powstania programow. Programy same z siebie nie zmieniaja dat i swojej dlugosci (pliki z rozszerzeniem COM, EXE, SYS, BIN, OVL, OVR...) natomiast wirusy owszem tak.
- ciagla praca twardego dysku mimo, iz nie otwieramy zadnego programu, a wrecz nie dotykamy komputera. Owszem bardzo czesto dysk jest wykorzystywany jako pamiec wirtualna, lecz nie powinien pracowac non stop.
Jak sie chronic przed wirusami?
Zasadnicza rzecza we wlasciwej profilaktyce anty wirusowej jest zrozumienie, ze nowy wirus przybywa z nowa dyskietka lub innym nosnikiem danych. Jego uruchomienie moze zostac spowodowane proba zaladowania systemu z zarazonej dyskietki badz uruchomieniem zainfekowanego programu.
Najskuteczniejsza profilaktyka jest zaopatrywanie sie w najnowsze wersje programow antywirusowych i dokladne przegladanie (sprawdzanie) za ich pomoca kazdej nowej dyskietki, zapisywalnego dysku optycznego lub innego nosnika danych przed kopiowaniem czy tez uruchomieniem w naszym komputerze. Dodatkowo mozemy zainstalowac rezydencjalne wersje programow antywirusowych, ktore dodatkowo czuwaja nad bezpieczenstwem naszego komputera. Dodatkowo co tydzien powinnismy przeprowadzac skanowanie calego dysku naszym programem antywirusowym.
Sytuacja staje sie bardziej skomplikowana w wypadku sieci biurowych czy tez korzystania z Internetu. Nie nalezy ufac nikomu! Nie jest niegrzecznym wobec znajomego "fachowca" czy tez przyjaciela propozycja sprawdzenia dyskietek przez niego przyniesionych przed ich uruchomieniem w naszym komputerze. Wszystkie nasze dyskietki z programami powinnismy zabezpieczac przed nagraniem zanim pozwolimy im wyjsc do znajomego. Wykonujemy to poprzez przesuniecie malej czesci plastyku w lewym gornym rogu dyskietki.
Jedna z najskuteczniejszych metod jest systematyczny back-up danych i programow z naszego komputera na tasme badz Zip Drive. W ostatecznosci jezeli nie mamy tych urzadzen systematyczne tworzenie kopii naszych waznych danych (dokumentow, listow, danych z programow ksiegowych, baz danych...). Programy zawsze mozemy zainstalowac ponownie, danych zmudnie wpisywanych czesto latami nie jestesmy w stanie odzyskac. Wtedy nawet jezeli dysk twardy zostanie fizycznie uszkodzony poprzez wade fabryczna (a bywaja takie przypadki dosyc czesto) lub przez wirusa nie tracimy wiecej niz dzien czy tez tydzien swojej pracy. Zawsze nalezy robic druga kopie waznych danych!
Co robic w przypadku wykrycia wirusa?
Gdy tylko pojawi sie podejrzenie, ze system zarazony zostal wirusem, nalezy:
- natychmiast przerwac prace,
- powrocic do linii komend DOS-u,
- wlozyc do stacji A: dyskietke systemowa (powinna byc zawsze pod reka),
- wykonac ponowny restart komputera (poprzez jednoczesne nacisniecie klawiszy Ctrl+Alt+Delete lub nacisniecie przycisku na obudowie Reset, badz tez wylaczenie na chwile zasilania),
- zaladowac system operacyjny z pewnej, koniecznie zabezpieczonej przed zapisem dyskietki systemowej zawierajacej program antywirusowy (powinnismy ja miec zawsze pod reka),
- uruchomic program antywirusowy i przeskanowac pamiec jak i dysk,
- w wypadku znalezienia wirusa nalezy po jego usunieciu (o ile jest to mozliwe) poddac kontroli wszystkie dyskietki, co do ktorych istnieje nawet najmniejsze podejrzenie, ze mogly stac sie nosnikiem wirusa. Szczegolnie uciazliwe moga stac sie dyskietki ze skompresowanymi programami. Programy skompresowane (rozszerzenia ZIP, ARJ, LHA...) sa wymarzona kryjowka dla wirusow, gdyz bardzo czesto programy antywirusowe nie sa w stanie ich ze skanowac,
- ostrzec wszystkie osoby, ktore mialy kontakt z naszymi dyskietkami o prawdopodobienstwie wystapienia wirusa (troche etyki nie zaszkodzi).
Sytuacja ma sie znacznie gorzej, gdy wirus znaleziony u nas na dysku jest nieusuwalny przez nasz program, badz stopien zniszczen, ktorych dokonal i jego "zagniezdzenie" uniemozliwia jego bezpieczne usuniecie. W tym momencie nalezy zaladowac system z pewnej czystej dyskietki (patrz wyzej) po czym jezeli nie mamy aktualnego backup przekopiowanie wszystkich naszych danych (nie nalezy kopiowac programow tylko dane ) na dyskietki. Nastepnie musimy przeformatowac nasz twardy dysk. Czyli w konsekwencji wymazac cala jego zawartosc. Nalezy przy tym pamietac aby przed uzyciem komendy format (z czystej pewnej dyskietki systemowej) koniecznie zdjac tzw. "partycje dysku" poprzez uzycie komendy Fdisk. Dopiero ta operacja gwarantuje nam calkowite usuniecie wirusa. Nastepnie zaczyna sie zmudna praca ponownej instalacji systemu, programow i danych.
Wykrywanie wirusow - programy antywirusowe
Jak juz zdazylismy sie zorientowac, podstawowym narzedziem do walki z wirusami sa programy antywirusowe. Ci, ktorzy maja jeszcze na dysku DOS 6.XX moga korzystac z uproszczonej wersji bardzo dobrego programu firmy Central Point, ktory zostal umieszczony przez Microsoft w tej wersji DOS. Niestety, Ci, ktorzy juz nie maja poczciwego DOS-u, a za to sa szczesliwymi posiadaczami Windows 95 skazani sa na zakup innych programow antywirusowych. Jest to jak najbardziej celowe, jako ze MSAV jest stary i od czasu kiedy wszedl na rynek ukazaly sie setki (jezeli nie tysiace) nowych wirusow, ktore z latwoscia go omijaja. Jeszcze jedna uwaga dla tych, ktorzy w tym momencie chca siegnac po dyskietki z DOS, aby do swojego komputera obok Windows "95 wgrac sobie system DOS - TEGO NIE WOLNO ROBIC - uszkodzilibyscie Panstwo w ten sposob cale Windows"95!
Jest kilkadziesiat znanych programow antywirusowych, a do tego w kazdym kraju dochodzi jeszcze co najmniej kilka rodzimych producentow, jest wiec w czym wybierac.
MKS-VIR
Jako Polacy mozemy byc dumni z jednego z najlepszych programow antywirusowych, naszego rodzimego produktu programu MKS-VIR, ktorego autorem jest Marek Sell. Reprezentuje on swiatowa czolowke. Mozemy go nabyc w Polsce, lub dla tych, ktorzy chca sprobowac i posiadaja dostep do Internetu podaje adres z ktorego mozecie Panstwo sciagnac (za darmo!) najbardziej aktualna wersje demonstracyjna programu MKS-VIR. Rozni sie ona od wersji pelnej tym, ze znajduje wszystkie wirusy, jednakze ich nie usuwa (zreszta jak wiekszosc bezplatnych programow antywirusowych - nie wszystko za darmo).
Adres Internetowy MKS_VIR: http://www.atm.com.pl/~apeximwa/MkS_vir/mks_pl.html .
McAfee
Jednym z najpopularniejszych programow antywirusowych jest McAfee Virus Scan. Ta poczatkowo niewielka firma produkuje antywirusy od konca lat 80. Swoja popularnosc SCAN zawdziecza trzem elementom: sposobowi rozprowadzania programu, czestym aktualizacjom sygnatur (fragmentow kodu, po ktorych rozpoznawany jest wirus) oraz oczywiscie doskonalej technologii. McAfee jako pierwszy z producentow rozpoczal rozprowadzanie swoich programow jako shareware. Okazalo sie to strzalem w dziesiatke. Uzytkownicy mogli z tysiecy BBS-ow czy Internetu sciagnac sobie najnowsza wersje programu i uzywac go przez 30 dni. Nie mniej wazne byly czeste aktualizacje; nowa wersja programu lub sygnatury nowych wirusow pojawialy sie co najmniej raz w miesiacu, a nieraz czesciej. Obecnie McAfee produkuje Scana w kilku wersjach: dla DOS, Windows 3.11 oraz dla Win95. Zarowno wersja dla DOS jak i Win 3.11 nie roznia sie od siebie niczym oprocz interfejsu. Wersja dla Win 3.11 jest zdecydowanie prostsza w uzyciu i nie wymaga zapamietywania calego szeregu magicznych polecen. Istotnym novum bylo wprowadzenie wersji dla nowego Win95, okazalo sie bowiem, ze programy dla poprzednich wersji nie potrafily wykryc niektorych wirusow, niekoniecznie specyficznych dla Win95. Produktem McAfee jest rowniez WebScan, pierwszy program antywirusowy dla Internetu. Sprawdza on kazdy scigany przez siec program i dokument. Jezeli wykryje cos podejrzanego alarmuje o tym uzytkownika. Kazdy zainteresowany kopiami ewaluacyjnymi moze je sciagnac z internetowego serwera McAfee ( http://www.mcafee.com ). Jezeli uzywacie DOS lub Win 3.11, to skopiujecie sobie wersje dla jednego z tych systemow. Obydwie sa rownie skuteczne, ale wersja dla Win 3.11 jest latwiejsza i wygodniejsza w obsludze. Wlasciciele Win95 powinni skopiowac wersje dla tego systemu. Wykrywa ona zarowno "stare"" jak i specyficzne dla Win95 wirusy. Nazwa: scnb230e.zip (DOS), s95i110.zip (Win95)
TBscan
TBscan pochodzacy z holenderskiej firmy ThunderByte. Do niedawna byl to jedyny z popularnych programow, w ktorych stosowano metody heurystyczne do wyszukiwania wirusow. Dzieki temu TBscan potrafil wykryc wirusy, ktorych nie znal, tzn. ktorych sygnatur nie mial (rozpoznawal je analizujac kod programu). Podobnie jak Scan produkowany jest w trzech wersjach: dla DOS, Win311 oraz Win95. Niewatpliwa zaleta TBscana jest szybkosc. Potrafi niezwykle szybko przeszukac caly twardy dysk. Mozna go tak skonfigurowac, aby sprawdzal komputer po kazdym uruchomieniu lub np. tylko raz dziennie. Do programu dolaczono obszerna dokumentacje oraz liste wirusow.
Adres Internet: http://www.thunderbyte.com/tbavw95.html#thunder95
Norton AntyVirus
Innym bardzo znanym programem jest komercyjny Norton AntyVirus, dotychczas rozprowadzany jedynie w postaci pakietow z polki. Popularnosc sharewarowych programow sklonila jednak producenta, firme Symantec, do sprobowania tego sposobu dystrybucji. Producent pozwala na ich rozpowszechnianie i uzywanie przez okreslony (w licencji) czas pod warunkiem, ze udostepniony zostanie oryginalny pakiet (z wszystkimi plikami) i ze uzytkownik zgadza sie z warunkami umowy licencyjnej. Norton AntyVirus nie jest ani tak szybki jak TBScan, ani tak czesto aktualizowany jak McAfee Scan. Jego zaleta jest bardzo duza baza sygnatur i mozliwosc sprawdzania spakowanych plikow. Do niewatpliwych wad nalezy szybkosc dzialania programu. Aby bezplatnie sciagnac demo via Internet: http://www.onanalysis.com/symcorp/win95/nav.html
Istnieja oczywiscie setki innych miejsc, gdzie mozecie otrzymac programy antywirusowe. Te wyzej wymienione szczegolnie polecam. Jak to mawia Marek Sell "do nastepnego wirusa"
