Kazdy z nas wie, ze wirus w swiecie komputerow to nie jest zadna zlosliwy biologiczny drobnoustruj, a jedynie program, ktory zostal napisany przez "kogos" po to aby "komus" innemu zrobic dowcip lub wyrzadzic szkody. Pierwsze wirusy pisane byly przez "niespelnionych" programistow lub studentow w celu zwrocenia na siebie uwagi. Ich dzialanie bylo bardzo proste i ich usuwanie nie nastręczalo problemow. Oczywiscie aby wirus mogl zaczac swoja dzialalnosc musial trafic na odpowiedni system operacyjny i tym systemem zwykle byl kiedys MS DOS. Sama budowa MS DOS-u sprawiala ze infekcja (w naszym wypadku skopiowanie programu zawierajacego wirusa) odbywala sie zwykle poprzez przeniesienie dyskietki z jednego komputera do drugiego lub zainstalowanie kopii jakiegos programu z nieznanego zrodla. Dzialanie tych wirusow sprowadzalo sie zwykle do uruchomienia w okreslonych warunkach prostego skryptu, przykladowo: codziennie o godzinie 5pm komputer gral nam kolede (wirus dowcipnis) lub 13 danego miesiaca wykasowywal nam wszystkie pliki z rozszerzeniem *.txt z naszego dysku (wirus destrukcyjny). Dawne wirusy nie mialy zbyt duzego pola do popisu, gdyz stosunkowo latwo bylo je wytropic. Oczywiscie w momencie pojawienia sie pierwszych wirusow pojawily sie na rynku pierwsze firmy walczace z nimi (stara zasada: jezeli sa zlodzieje to jest zapotrzebowanie na policje). Od tego czasu zaczal sie nieustajacy wyscig. Hackerzy i Krakerzy wymyslaja coraz bardziej zaawansowane programy (wirusy), a inni programisci (czesto byli Hackerzy) programy wykrywajace i niszczace wirusy. Niestety czasy poczciwego MS DOS-a dawno odeszely w zapomnienie i obecnie Hackerzy maja do dyspozycji znacznie wieksze obszary do zaimplementowania wirusa - srodowisko windows, siec internet, poczta elektroniczna, wielkie sieci lokalne… Zmienily sie tez ich narzedzia czyli programy jakie sa uzywane do tworzenia wirusow. Tak wiec wyscig pomiedzy "zlodziejami" i "policjantami" wciaz trwa i jak to zwykle bywa my szarzy uzytkownicy komputerow tracimy przy okazji najwiecej.
Rodzaje wirusow
Tradycyjny wirus dopisywal sie do programow uruchamianych przez nas lub system operacyjny, czyli zwykle byly to pliki z rozszerzeniem *.com lub *.exe . Dawalo mu to mozliwosc kopiowania (rozprzestrzeniania sie) wraz z tym programem i jednoczesnie pozwalalo na uruchomienie dzialania w momencie wykonywania danego programu czy tez skryptu. Czyli użytkownik komputera musiał fizycznie otworzyć (uruchomić) dany program. Zwykle po uruchomieniu zainfekowanego programu pierwsza funkcja jaka wykonywal bylo dopisanie sie do wszystkich programow na naszym dysku twardym co dawalo zlosliwemu programowi mozliwosc przetrwania i czesto przeniesienia sie na inny komputer. Nie mniej wrunkiem koniecznym zaiinicjowania dzialania wirusa bylo uruchomienie przez nas lub System Operacyjny zainfekowanego programu. Po uruchomieniu takiego pliku wirus wpisywal sie na stale na przyklad do sektora startowego dysku twardego co dawalo mu gwarancje, ze bedzie jednym z pierwszych programow wczytanych do pamieci komputera jeszcze przed wczytaniem programow antywirusowych. Dawalo to mozliwosc przejecia calkowitej kontroli nad naszym systemem. Bardzo czesto przez pierwszych kilka dni nic nie wskazywalo na to, ze system jest zarazony. Wirus dopisywal sie do wiekszej ilosci plikow i "liczyl" na to ze wraz z nimi zostanie przetransportowany do nastepnych komputerow - to mu zapewnialo byt. Efekt dopisywania sie do plikow objawia sie zwykle zwolnieniem pracy systemu, ciagla praca dysku twardego i czestymi "mrozeniami" windows. Po tem w zaleznosci od typu wirusa dzieją sie rozne inne rzeczy.
Kon trojanski - program, ktory imituje dzialalnosc uzytecznego programu lub gry. W odroznieniu od tradycyjnych wirusow programy te niszcza sie wraz z danymi na dysku wiec nie maja mozliwosci rozprzestrzeniania sie lub ujawniaja sie i sa kasowane przez uzytkownikow. Do tej grupy naleza takze tzw "zakraplacze wirusow". Programy te sa czesto trudne do wykrycia poprzez programy antywirusowe gdyz czesto wlasciwy program wyrzadzajacy nam szkody jest zaszyfrowany niestandartowym archiwizerem i dopiero w momencie ataku ujawniaja swoj wlasciwy program. Kolejnym nie mniej groznym przedstawicielem tej grupy sa programy Hoax czyli "zarty". Dzialanie ich polega na tym, iz na ekranie pojawia sie nam komunikat o zainfekowniu systemu i na przyklad informacja, ze wszystkie pliki na naszym dysku beda skasowane za minute. Problem z Hoaxami jest duzy, gdyz zaden program antywirusowy nie moze nam wykryc wirusa ktorego nie ma (jest tylko komunikat), a uzytkownik nie wie co ma zrobic i czesto decyduje sie na niepotrzebna reinstalacje systemu.
Backdoors - programy ktore pozwalaja trzecim osobom (Hackerom) na przejecie kontroli nad naszym komputerem. Programy tego typu nie ujawniaja sie, nie mozemy ich takze znalezc na liscie procesow windows (Task Manager). Programy te moga zrobic wszystko co zaplanowal ich autor czyli na przyklad wysylac i odbierac pliki, uruchamiac inne programy kasowac i zmieniac nazwy plikow przejmowac funkcje klawiatury , krasc dane i wreszcie uruchamiac inne wirusy.
Makro Wirusy - wraz z wprowadzeniem do programow biurowych mozliwosci wykonywania procedur makro pojawily sie makro wirusy. Bylo to nowe swietne pole do popisu dla hackerow. Wirus nie musi dolaczc sie do pliku typu *exe lub *.com, dolaczal sie natomiast do dokumentu edytora tekstu lub arkusza kalkulacyjnego. Wszyscy wiedza ze nalezy sprawdzic pliki *exe lub *.com nie wielu z nas podejrzewa, ze wirus moze dostac sie do naszego komputera wraz ze sprawozdaniem miesiecznym wykonanym w arkuszu Excel przez naszego szefa. Makro Wirusy wyrzadzily bardzo powazne starty w ostatnich kilku latach.
Wirusy Intended - najmniej grozna grupa, sa to poprostu wirusy z bledami napisane przez poczatkujacych programistow.
W ostatnich latach bardzo popularne sa wirusy typu Backdors (worm) czesto uzywane przez Hakerow do ataku typu DOS (Deny of Service) na okreslone osrodki internetowe. Atak tego typu polega na zmasowanym wysylaniu o okreslonym czasie poczty elektronicznej na konkretny serwer z setek tysiecy komputerow co w efekcie powoduje zablokowanie tego serwera i wylaczenie takiego osrodka na kilka do kilkunastu godzin. Ofiarami tego ataku sa agencje rzadowe, wielkie korporacje. Ostatnio glosno bylo wirusie CodeRed ktory wykorzystuac blad w systemie zabezpieczen NT/2000 i IIS zainfekowal okolo 250,000 komputerow i przygotowywal sie do zablokowania strony internetowej Bialego Domu www.whitehouse.gov Po wyslaniu skomasowanej poczty wirus na zainfekowanych komputerach uszkadzal system operacyjny co zmuszalo czesto do przeinstalowania calego systemu.
Nastepny wirus, ktory spedza obecnie sen z powiek administratorom sieci i firmom antywirusowym to SirCam. Poczatkowo nie wykrywany przez programy antywirusowe zainfekowal juz ponad 500,000 komputerow. Jego metoda rozprzestrzeniania to poczta elektroniczna. Scenariusz wyglada nastepujaco. Otrzymujemy email od znanej nam osoby (juz zainfekowanej) z trescia wiadomosci zaczynajaca sie od: "Hi! How are you?" i konczaca sie "See you later. Thanks." W tresci wiadomosci znajduje sie jedno nastepujacych zdan:
• I send you this file in order to have your advice
• I hope you can help me with this file that i send
• I hope you like the file that i send you
• This is the file with the information that you ask for
Po kliknieciu na "attachment" wirus uruchamia sie i wykonuje nastepujace dzialania:
1. wirus tworzy w katalogu windows zbior scam32.exe
2. zmienia rejestr systemu tak, ze kazdorazowo startuje z uruchomieniem systemu
3. zmienia plik rundll32.exe
4. poniewaz posiada wbudowany wlasny server SMTP losowo rozsyla sie do osob, ktore przeslaly na poczte email z naszymi danymi jako nadawcy.
5. instaluje sie na innych komputerach i serwerach do, ktorych mamy dostep w sieci lokalnej
6. W pazdzierniku zacznie dzialalnosc destrukcyjna kasujac nasze dane lub wypelniajac nasz twardy dysk kawalkami programow blokujac w konsekwencji system operacyjny
Jak widzimy jest to bardzo niebezpieczny szybko rozprzestrzeniajacy sie wirus ostatnio zagrozenie jego infekcja zostalo ocenione jako 7 (najwyzszy stopien zagrozenia). Aby usunac SirCam z naszego systemu musimy sprowadzic ze strony Symantec specjalny program z adresu http://www.sarc.com/avcenter/FixSirc.com i zgodnie z instrukcja przeprowadzic usuniecie wirusa z systemu. Aby nie zarazic naszego systemu NIE OTWIERAJMY zalacznika do wiadomosci zawierjacej powyzsze teksty w tresci wiadomosci.
Najgrozniejszym wirusem w historii jest chyba Win95.CIH (Czarnobyl). Infekuje on pliki typu PE w srodowisku Win95/98/Me. Odkryty na Tajwanie 1998 roku, autor wprowadzil go do sieci uczelnianej skad rozprzestrzenil sie na caly swiat. Jego celem jest programowalny uklad scalony znajdujacy sie na plycie glownej komputera - BIOS. Jezeli wirusowi uda sie dostac do BIOS-u przeprogramowuje go i przy kolejnej probie uruchomienia komputer nie startuje. BIOS jest odpowiedzialny za procedure startowa komputera i jego przeprogramowanie moze zmusic uzytkownika do zakupu nowej plyty glownej. Druga forma dzialalnosci "Czarnobyla" to uszkodzenia sektorow startowych twardego dysku i tablicy FAT. Dane znajdujace sie na dyskach twardych sa praktycznie nie do odzyskania. Ze wzgledu na swoja destrukcyjna dzialalnosc Czarnobyl jest uwazany za jeden z najgrozniejszych wirusow. Dodatkowo jest to wirus, ktory wciąż pojawia się w nowych zmutowanych odmianach
