Brouzdej.cz

Průvodce světem počítačových virů

V jedné nejmenované české firmě si sekretářka krátí pracovní dobu brouzdáním na Internetu. Přitom si ještě stačí zkontrolovat e-mail, kde zjistí, že jim odběratel Pan Novák posílá soubor objednavka_zbozi.doc.pif. Stačí jednou kliknout myší, a dokument je uložen na disk počítače.

Možná si vzpomenete z biologie na viry, které napadají buňky hostitele a donutí je produkovat další viry. Počítačové viry mají obdobné chování jako viry biologické, ale působí na počítače. Když manipulujete s disketami, stahujete soubory z Internetu nebo jenom píšete dokumenty ve Wordu, číhá na vás velké nebezpečí v podobě počítačových virů. Přestože viry mohou ohrozit také váš počítač, nemusí to nutně znamenat, že jej raději přestanete používat. Důležitá je prevence a dostatek informací, což je také důvod, proč jsem napsal průvodce světem počítačových virů. Virus je člověkem napsaný program (sled příkazů pro počítač), který dokáže bez vědomí uživatele přenášet sám sebe na jiné počítače. K tomu používá několik technik, které si musíme pro pochopení virové problematiky vysvětlit.

1. Přenos virů pomocí disket (boot viry)
Protože diskety patří mezi často používaná média, začaly je využívat některé viry pro přenos svého kódu na jiné počítače. Každá disketa obsahuje oblast, které se odborně říká boot sektor. Pokud zapomenete disketu v mechanice, pokusí se počítač po zapnutí přečíst z boot sektoru příkazy pro spuštění systému (např. Windows). V případě, že se na disketě takové příkazy nevyskytují, zobrazí počítač hlášení: Invalid system disk. Replace the disk, and press any key. Pro virus je právě boot sektor ideálním místem, kam může umístit svůj vlastní kód. Jak se tedy chová boot virus? Ukryt v boot sektoru čeká, až disketu necháte v mechanice a zapnete nebo restartujete počítač. Poté se spustí kód viru v boot sektoru diskety a současně zobrazí hlášení Invalid system disk. Virus si nejprve ověří, jestli už pevný disk počítače není infikován, a pokud ano, nejspíš ukončí svojí činnost. V opačném případě zkopíruje virus sám sebe do tzv. partition tabulky nebo boot sektoru pevného disku. Od této chvíle začne virus kontrolovat požadavky uživatele na čtení z disket a ověřuje, zda právě vložená disketa není infikována, případně napadne její boot sektor. Virus má samozřejmě velký zájem o to, aby nebyl odhalen například antivirovým programem. Některé typy boot virů si proto původní obsah boot sektoru pevného disku zálohují a na vyžádání jej předkládají k nahlédnutí.

Pokud se virus uloží do partition tabulky, představuje jeho odstranění docela vážný problém. Partition tabulka je opět určité místo na pevném disku, které v sobě obsahuje instrukce pro spuštění operačního systému. Při použití příkazu format se sice odstraní veškerá data, ale partition sektor zůstává stále zavirovaný. Řešení této situace je dobré přenechat buď odborníkovi, nebo antivirovému programu. Disketa na rozdíl od pevného disku nemá partition tabulku, takže ji stačí pouze naformátovat. Pokud je váš počítač již napaden boot virem, můžete mu znepříjemnit rozmnožení tím, že budete chránit diskety proti zápisu. Protože ochranu proti zápisu nelze nijak obejít, snaží se viry například hlásit přítomnost fiktivního viru na disketě. Nezkušený uživatel na základě tohoto hlášení bude chtít disketu otestovat svým antivirovým programem, odemkne ji, a tím umožní viru její infikování.

Proti boot virům se můžete bránit poměrně snadno. Stačí jen nezapomínat zastrčené diskety v mechanice při startu nebo restartu počítače (stáhněte si program, který vám vyjmutí diskety připomene). Pokud vlastníte antivirový program, doporučuji každou disketu nejprve otestovat, a teprve potom s ní začít pracovat. Ovšem veškerá ostražitost přes den je zbytečná, když k počítači večer usedne nadšený počítačový hráč s balíčkem disket pochybného původu. Důvěřovat se nevyplatí ani disketám od renomovaných společností, protože jsou známy případy, kdy se nebezpečné boot viry skrývaly na disketě s ovladači zvukové karty.

2. Šíření virů pomocí souborů (souborové viry)
Všechny informace jsou na disku uloženy v podobě souborů. U každého souboru rozlišujeme vlastní název, např. command, a jeho příponu, např. .com. Podle přípony rozlišujeme soubory obsahující spustitelný kód (exe, com) a ostatní datové soubory (jpg, gif). Protože virus obsahuje spustitelný kód, musí se logicky vložit do souborů stejné povahy. Virus se sice může také vložit do nějakého obrázku (nejlépe polonahé slečny), ale v tomto případě nebude nikdy spuštěn. Proto viry zneužívají tohoto faktu a předstírají, že se jedná o neškodný datový soubor.

Poslední dobou zaznamenávám zvýšený počet virů, které se vydávají za nějaký neškodný datový soubor. Možná teď někdo správně namítne, že se viry nemohou z datových souborů spustit. Souhlasím, ale je velký rozdíl mezi obrazek.jpg a obrazek.JPG.exe. První soubor s názvem obrazek.jpg je naprosto neškodný datový soubor, naproti tomu obrazek.JPG.exe v sobě skrývá virus. Přípona JPG napsaná velkými písmeny utvrzuje uživatele v tom, že se jedná o neškodný obrázek, a klidně jej otevře. Skyrý virus okamžitě převezme kontrolu nad systémem a vyhledá další soubory k napadnutí. Zapamatujte si: důležitá je úplně poslední přípona, která udává, zda je soubor spustitelný, nebo datový! Jenže určení poslední přípony může být někdy problém, protože Windows umožňují skrýt příponu souborů, jejichž typ je registrován. V takovém případě nezbývá nic jiného než tuto možnost ve Windows vypnout (v nastavení Možnosti složky - odškrtněte "Skrýt příponu souborů známých typů").

Obrana proti souborovým virům je složitější, protože uživatel nemá možnost jak zjistit přítomnost viru v souboru. Určitě se vyplatí pořídit si kvalitní antivirový program (některé společnosti jej nabízejí i zadarmo) a pozorně sledovat, jaké přípony mají soubory přikládané k e-mailu. Pokud dostanete od neznámého člověka e-mail s podezřelou přílohou, raději jej neotevírejte anebo si zaslání souboru ověřte dotazem.

3. Viry v dokumentech (makroviry)
Původní účel tzv. maker byl v usnadnění určitých operací, které uživatel napsal do makra a po stisku klávesy se tyto operace vykonaly. S postupem doby se makra zdokonalila, takže si jich brzy všimli i viroví pisálci. Dnes jsou poměrně rozšířené makroviry pro Microsoft Office 97 a jejich počet neustále stoupá. Jak tedy makrovirus funguje? Když otevřete infikovaný dokument, zkopíruje makrovirus svůj obsah do tzv. globální šablony (soubor normal.dot). Od této chvíle každý nově napsaný nebo uložený dokument obsahuje makrovirus. Aby nebylo příliš snadné odhalit přítomnost viru, skryje většinou makrovirus nabídku Nástroje/Makra. Přesto existuje několik postupů, jak s určitostí zjistit přítomnost makroviru v systému.

Některé makroviry jsou nastaveny tak, aby infikovaly dokument při jeho uzavírání (funkce AutoClose nebo AutoExit). Zvolte si nabídku Soubor/Nový a do nově otevřeného dokumentu nic nepište. Nyní vyberte z nabídky Soubor/Zavřít a sledujte stavový řádek vlevo dole. Pokud je přítomen makrovirus, objeví se ve stavovém řádku animace signalizující ukládání a dokument se zároveň umístí do složky C:Dokumenty. Za normálních okolností by Word prázdný dokument vůbec neukládal (natož ještě automaticky do složky Dokumenty), takže si můžete gratulovat k úspěšnému odhalení makroviru. Word 97 lze nastavit také tak, aby před otevíráním dokumentu obsahující makra zobrazil varování.

Všechny makroviry toto nastavení vypínají, protože by stálý výskyt varovného okna začal být podezřelý. Vyberte si z nabídky Nástroje, zvolte Možnosti a na kartě Obecné zaškrtněte nabídku Antivirová ochrana maker. Klikněte na tlačítko OK a ukončete Word 97. Znovu spusťte Word a podívejte se, zda zůstala možnost Antivirová ochrana maker zaškrtnutá. Pokud není zaškrtnutá, jedná se s jistotou o zásah makroviru. Určitě budete chtít makrovirus odstranit, což je poměrně jednoduchá záležitost. Jako první vymažte z adresáře MS Office soubor normal.dot a vyprázdněte adresář XLS Start. Znovu aktivujte ochranu maker a pokuste se spustit z nabídky Nástroje/Makra Editor jazyka Visual Basic. Otevře se vám vývojové prostředí, ve kterém viroví pisálci tvoří makroviry. Jednou klikněte na "+" vedle nápisu Normal (NORMAL) a v rozbalené nabídce poklepejte na ThisDocument. Pokud nově otevřené okno obsahuje nějaký kód, vymažte jej, klikněte na ikonku diskety a ukončete Word 97.

První část průvodce máme za sebou. Naučili jste se rozeznávat jednotlivé typy virů, úspěšně se dokážete ubránit a umíte odstranit makrovirus. Také již víte, že počítačové viry stvořil člověk. Příště se podíváme na důvody, proč někteří lidé viry tvoří a jak vlastně virus vzniká.

Příklad z praxe


Virus předstírá, že se má adresa dostala do tzv. spamového listu a nabádá mě, abych si to prověřil.

| DarkMaster