Brouzdej.cz

Průvodce světem počítačových virů - II. část

Minule jsme se seznámili s různými druhy virů, takže už víte, že se virus musí spustit, aby mohl vykonávat svoji činnost. Mezi nejvíce rozšířené viry patří bezpochyby červy - worms.

Jedná se o viry napsané pomocí skriptovacích jazyků Windows a poznáte je podle přípony vbs, wsc, sct a scf. Tento druh červů se šíří prostřednictvím elektronické pošty a snaží se uživatele přimět k otevření připojeného souboru s virem pomocí lákavých názvů např. pamela_anderson.AVI.vbs nebo LOVE-LETTER-FOR-YOU.TXT.vbs.

Jakmile je červ spuštěn, vytvoří si někdy v adresáři Windows jeden nebo dva "systémové soubory" (např. MSKernel32.vbs, Win32DLL.vbs - ve skutečnosti se o žádné systémové soubory samozřejmě nejedná) obsahující zdrojový kód viru. Současně prohledá adresář poštovního programu MS Outlook a připraví e-mail s textem, který obvykle obsahuje výzvu k otevření přiloženého souboru.

Ve většině případů také virus pozmění registry tak, aby se spouštěl automaticky po startu systému. Některé viry v sobě obsahují pokus rozšířit se pomocí komunikačních programů IRC a ICQ. Jakmile je červ úspěšně odeslán dalším uživatelům, provede různé akce - zobrazení hlášení, změní domovskou stránku v Internet Exploreru, smaže soubory atd.

Červy využívající skriptovací jazyky však mají jedno velké omezení - ke svému spuštění potřebují, aby bylo na počítači nainstalováno odpovídající skriptovací jádro. Stačí tedy v Ovládacích panelech zvolit Přidat nebo ubrat programy, záložka Systém/Příslušenství a odebrat Windows Scripting Hosts, což znemožní spuštění tohoto typu virů. Pokud není možné odstranit Windows Scripting Hosts touto cestou, je nutné vymazat z adresáře Windows soubor wscript.exe a ve Windows/System ovladač Vbscript.dll.

Novější červy zneužívají chyb v programu MS Outlook a jsou schopné aktivace při pouhém čtení infikovaného e-mailu. Proto doporučuji změnit používaný poštovní program - dobrou alternativou je např. Eudora nebo Paegasus Mail.

Červy se mohou vyskytovat také ve spustitelných souborech exe, com, pif, bat, lnk a scr. Po spuštění obvykle nenapadají jiné soubory, pouze umístí svůj program do systémového adresáře a modifikací Winsock.dll si zajistí kontrolu nad odesílanou poštou. Většina červů se dokáže rozšířit na ostatní počítače v síti. Konkrétně červ SirCam k tomu používá velmi rafinovaný způsob: svůj kód zkopíruje do libovolného souboru a k jeho názvu připojí spustitelnou koncovku. Nic netušící uživatel takto upravený soubor spustí, a virus tak aktivuje. Proti červům existuje poměrně jedoduchá obrana - stačí správným způsobem nastavit Windows a sledovat, jaké přípony mají připojené soubory ve vašem poštovním programu. Otevřete si libovolnou složku, klikněte na Zobrazit/Možnosti, otevře se dialogové okno Možnosti, zvolte záložku Zobrazit a zrušte zaškrtnutí políčka Skrýt příponu souborů jejichž typ je registrován. Od této chvíle se budou všechny soubory zobrazovat svým celým názvem, a snadno tak zjistíte, že vám e-mailem přišel červ.

Jak vznikl počítačový virus
Roku 1983 vyzkoušel Dr. Frederick Cohen na Pensylvánské univerzitě kód, který byl schopen samostatného šíření, a v této souvislosti označil svůj kód přiléhavým slovem virus. Prvním virem pro osobní počítače IBM se stal v roce 1986 Brain. Viry byly v minulosti poměrně jednoduché, ale s postupem času došlo k jejich velkému zdokonalení. Objevily se viry snažící se maskovat svoji přítomnost (stealth), šifrované nebo viry schopné generovat svůj kód (polymorfní). Současný vývoj ukazuje, že mezi virovými tvůrci stoupá obliba makrovirů, jejichž tvorba je velmi snadná, a červů, kteří se dokáží velmi rychle šířit pomocí e-mailů. Naopak klesá počet boot virů a klasických souborových virů.

Proč lidé píší viry?
Viry také někdy vznikají jako pomsta za určité příkoří. Světově proslul filipínský červ I LOVE YOU, jehož tvůrce na začátku připsal komentář I hate go to school. A virus vznikl proto, že mu lektoři soukromé počítačové školy neuznali diplomovou práci. Tady si dovolím odbočit a poukázat na důvěřivost českých uživatelů. I LOVE YOU se rozesílal prostřednictvím e-mailu s textem kindly check the attached LOVELETTER coming from me, takže by se měl český příjemce zarazit a položit si otázku: Proč mi můj známý, který žije v České republice, posílá anglicky psaný dopis a ještě mi říká drahoušku, zkontroluj přiložený zamilovaný dopis, co ti posílám?

Protože po výrazném TXT následovala přípona vbs, mohlo rozvážného Čecha napadnout, že je přijatý soubor červ. Většina příjemců bohužel bez uvažování přiložený soubor otevřela a virus se mohl vesele šířit dál. Červ I LOVE YOU ničil soubory JPG, GIF, MP3 a VBS tím, že jejich původní obsah přepsal svým kódem, takže došlo k aktivaci viru pokaždé, když uživatel spustil takto upravený soubor. Některé viry patří mezi kuriozity. Rezidentní virus CARA napadá soubory s koncovkou com a současně se snaží zjistit přítomnost boot viru na disku. Pokud je boot virus nalezen, CARA pípne a oznámí: Virus es en memoria! Clandestino Auto- Reproductivo Anti-virus. Současně kontroluje všechny diskety, s nimiž pracujete, a dokáže zničit boot viry Ping-Pong, Stoned, Brain, Microbes a Pentagon.

Podobných kuriozit bychom ve světě virů nalezli mnoho, ale nyní zaměříme svoji pozornost na samotné autory virů. Někdy se můžete setkat s tvrzením, že jsou tvůrci počítačových virů geniální programátoři, jejichž viry jsou schopné všeho.

Skutečnost je ovšem jiná: většina autorů tvoří viry metodou pokus-omyl nebo kopíruje zdrojové kódy z jiných virů a provádí pouze drobné změny. Často také ani sám tvůrce viru neví, jak se jeho dílko bude po svém spuštění chovat. Samozřejmě se mezi tvůrci virů najdou opravdu zkušení programátoři, kteří se snaží upozornit na chyby v operačním systému, ale takoví často viry přestávají psát a odcházejí k renomovaným společnostem pracovat jako antiviroví specialisté.

Autoři virů se podobně jako jiné skupiny (např. hackeři) sdružují, publikují své "úspěchy" na webu, mají vlastní způsob vyjadřování, pořádají setkání a utvářejí jakýsi underground. Myslím si, že by bylo spravedlivé dát na závěr slovo také samotným tvůrcům virů. Následující citaci jsem vybral z příspěvku Bennyho/29A zveřejněného na Viry.cz:

Proc tedy programuji viry? Aktivne se zajimam o pocitacovou bezpecnost, mam rad systemove programovani, mam rad vrtani v systemu. Bavi me zjistovat, jak to vlastne pod temi okynky doopravdy pracuje, jestli to pracuje spravne a jestli by to treba nemohlo pracovat lip. Mam rad pocitace a mnoho z toho, co s nimi ma neco spolecneho. Svym myslenim se radim mezi hackery, mezi lidi zvidave, kteri nejsou spokojeni, dokud neukoji svou zizen po znalostech a schopnostech. Svym zpusobem touto filozofii ziju, ackoliv to na prvni pohled nemusi vypadat - vypadam jako normalni mladej clovek, opravdu neni na mne nic zvlastniho. Naprogramoval jsem uz pres desitku viru a cervu a ani jeden z nich nenajdete in-the-wild. Jedinou skodu, kterou vam moje dilka udelala, je, ze vam antivirova databaze zabira o jedno kilo na vic. Tot vse.

Dnešní průvodce vám poradil, jak se chránit před červy a nahlédli jsme do historie počítačových virů. Příště se společně podíváme, pomocí kterých nástrojů se viry programují. Pokud máte nějaké dotazy ohledně virů, napište mi, pokusím se v některém z dalších dílů Průvodce vaše otázky zodpovědět.

Průvodce světem počítačových virů - I.

| DarkMaster