Viry existujφ - zkuÜenosti z praxe
1. PC Viruses in the Wild
Na zaΦßtek bych rßd °ekl, s jak²mi viry se v∙bec v praxi m∙₧eme setkat. Hodn∞ m∙₧e napov∞d∞t nap°φklad seznam "PC Viruses in the Wild", kter² obsahuje takzvanΘ In-the-Wild viry. Pojem In-the-Wild, co₧ v ΦeÜtin∞ znamenß "v divoΦin∞" oznaΦuje viry, kterΘ jsou v praxi nejvφce rozÜφ°enΘ. Tento seznam je vlastn∞ souhrnem hlßÜenφ z celΘho sv∞ta. ╚eskou Republiku zastupuje Pavel BaudiÜ (Alwil) a pokud se v seznamu vyskytuje i virus, u jeho₧ nßzvu jsou uvedeny pφsmena "Pb", je z°ejmΘ, ₧e se tento virus vyskytuje i na ·zemφ ╚R. Seznam In-the-Wild vychßzφ ka₧d² m∞sφc a Φasto se stßvß zßkladem pro srovnßvacφ testy antivir∙, kterΘ provßdφ nap°φklad Φasopis Virus Bulletin.
Kousek seznamu "PC Viruses in the Wild".
Ji₧ ze zmi≥ovanΘho seznamu je z°ejmΘ, ₧e nejrozÜφ°en∞jÜφ jsou makroviry a to nejΦast∞ji pro aplikaci Microsoft Word 97 Φi Word 2000. MΘn∞ rozÜφ°enou skupinou jsou souborovΘ viry pro Windows 95, 98, NT Φi 2000. Pat°φ sem i Φervi, kterΘ se Üφ°φ prost°ednictvφm email∙. ╚erva vÜak nelze v tomto p°φpad∞ oznaΦovat jako virus, ale spφÜe jako "k°φ₧ence" trojskΘho kon∞ a viru. Do postupn∞ mizejφcφ skupiny vir∙ pat°φ p°edevÜφm ty, kterΘ jsou urΦeny pro operaΦnφ systΘm DOS.
2. Makroviry
Nejprve bych se d∙kladn∞ji v∞noval makrovir∙m. V∞tÜina produkt∙ kancelß°skΘho balφku Microsoft Office obsahujφ takzvanou "antivirovou ochranu maker" (verze 97), Φi "zabezpeΦenφ" (verze 2000). I kdy₧ se nßzvy odliÜujφ, v obou p°φpadech jde o stejnou v∞c. Tato vymo₧enost umo₧≥uje zablokovat aktivaci p°φpadn²ch maker v otevφranΘm dokumentu a zabrßnit tak i p°φpadnΘ aktivaci makroviru (makrovirus je jak znßmo slo₧en prßv∞ z takov²ch maker).
V MS Office 97 mß ochrana pouze dv∞ polohy:
Vypnuto - u₧ivatel nenφ o existenci maker v∙bec informovßn - jsou automaticky spuÜt∞na.
Zapnuto - u₧ivatel musφ v₧dy rozhodnout, zda p°φpadnß makra zakß₧e, Φi je provede.
V MS Office 2000 mß zabezpeΦenφ t°i stupn∞:
VysokΘ - automaticky je zakßzßno spouÜt∞nφ vÜech maker. U₧ivatel se nem∙₧e ani nijak jinak rozhodnout.
St°ednφ - ekvivalentnφ k poloze Zapnuto v MS Office 97.
Nφzkß - ekvivalentnφ k poloze Vypnuto v MS Office 97.
V MS Office 97 i 2000 je ochrana standardn∞ nastavena na maximum a tak nenφ makrovirus prakticky v∙bec schopen se v tomto prost°edφ Üφ°it. A₧ po zßsahu u₧ivatele do nastavenφ, mß makrovirus v∞tÜφ Üance. Pokud je ochrana MS Office 2000 nastavena v poloze St°ednφ, staΦφ ji₧ jedno zavßhßnφ u₧ivatele a makrovirus se v systΘmu pohodln∞ "usadφ". V∞tÜina makrovir∙ navφc tuto ochranu vypφnß, nap°. vhodnou modifikacφ registr∙ Windows, Φi p°φmo zßsahem do nastavenφ programu.
Pokus o otev°enφ dokumentu, kter² obsahuje makra (MS Office 2000 - ZabezpeΦenφ: st°ednφ).
Makroviry pro Word 97 toho m∙₧ou nap°φklad dosßhnout nßsledujφcφmi p°φkazy:
Options.VirusProtection = False
System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\8.0\Word\Options", "EnableMacroVirusProtection") = "0"
Krom∞ toho se makrovirus v∞tÜinou po aktivaci sna₧φ trvale usφdlit v systΘmu. K tomu mu poslou₧φ globßlnφ Üablona NORMAL.DOT, kterß se automaticky spouÜtφ po startu Wordu. V p°φpad∞ Excelu staΦφ infikovan² list ulo₧it do adresß°e XLStart, kter² se nejΦast∞ji vyskytuje v C:\Program Files\Microsoft Office\Office\.
2.1. P°φznaky napadenφ makrovirem
JakΘ jsou p°φznaky napadenφ makrovirem ? T°eba prßv∞ vypnutß ochrana maker (pokud ji nevypnul u₧ivatel zßm∞rn∞). Pokud tomu tak je, doporuΦuji:
Antivirovou ochranu maker op∞t zapnout, Φi nastavit na nejvyÜÜφ ·rove≥.
Vypnout a op∞t aktivovat posti₧enou aplikaci (Word, Excel).
Znovu se podφvat na nastavenφ ochrany maker.
Pokud je op∞t vypnutß, za vÜφm stojφ s nejv∞tÜφ pravd∞podobnostφ makrovirus a je dobrΘ pokraΦovat nßsledovn∞:
Smazat globßlnφ Üablonu NORMAL.DOT v p°φpad∞ Wordu, Φi vyprßzdnit adresß° XLStart v p°φpad∞ Excelu.
Spustit Word, Excel - podle situace.
Antivirovou ochranu maker op∞t aktivovat.
V p°φpad∞, ₧e se u libovolnΘho otevφranΘho dokumentu zobrazφ dialog informujφcφ o existenci maker, zvolit "zakßzat makra" a dokument ulo₧it ve formßtu RTF (tj. menu Soubor/Ulo₧it jakoà/ - typ souboru: RTF).
P°evodem do formßtu RTF jsou odstran∞na veÜkerß makra z dokumentu, tedy i p°φpadnß makra viru.
V∞tÜina dneÜnφch makrovir∙ vyu₧φvß techniku "Class", dφky nφ₧ uklßdajφ svoje t∞lo do modulu ThisDocument (Word 97/2000) Φi ThisWorkBook (Excel 97/2000). To mß za nßsledek, ₧e makra viru nejsou vid∞t v menu Nßstroje/Makro. T∞lo takovΘho makroviru lze snadno odhalit p°es menu Nßstroje/Makro/Editor jazyka Visual Basic, kde staΦφ "poklepat" myÜφ na objekt ThisDocument pop°φpad∞ ThisWorkBook.
Ukßzka jednoho z makrovir∙ °ady Class - O97M/Triplicate v objektu ThisDocument.
3. ╚ervi - Internet Worms
PoΦφtaΦov² Φerv je vlastn∞ "k°φ₧encem" viru a trojskΘho kon∞. Po viru zd∞dil replikaΦnφ schopnosti a od trojskΘho kon∞ schopnost obejφt se bez hostitele - Φerv tak nenφ p°ipojen k ₧ßdnΘmu p∙vodnφmu souboru.
╚ervi se, jak znßmo, Üφ°φ prost°ednictvφm emailov²ch zprßv, ke kter²m jsou nejΦast∞ji p°ipojeny ve form∞ souboru, v n∞kolika mßlo p°φpadech jsou vno°eny p°φmo ve zprßv∞ - ve form∞ VBSkriptu. V tomto p°φpad∞ je nutnΘ, aby emailov² klient podporoval p°φjem v HTML formßtu.
V dneÜnφ dob∞ lze rozd∞lit Φervi nap°φklad nßsledovn∞:
╚ervi nezßvislΘ na pou₧itΘm poÜtovnφm klientu.
╚ervi zßvislΘ na pou₧itΘm poÜtovnφm klientu.
Prvnφ skupinu zastupuje nap°φklad Φerv Haiku, kter² krom∞ sklßdßnφ verÜ∙ hledß emailovΘ adresy dalÜφch ob∞tφ v n∞kter²ch souborech po celΘm disku. Na zφskanΘ emailovΘ adresy pak hromadn∞, za ·Φasti SMTP protokolu, odesφlß svoje kopie (tj. soubor haiku.exe, kter² tvo°φ attachment - p°φlohu emailovΘ zprßvy). ╚erv Happy99 (alias Ska) pro zm∞nu modifikuje soubor WSOCK32.DLL tak, aby se p°i volßnφ slu₧eb Connect a Send aktivoval k≤d Φerva, kter² p°ipojφ svoje t∞lo k odesφlanΘmu emailu.
Do druhΘ skupiny pak pat°φ p°edevÜφm vÜechny typy makrovir∙, kterΘ jsou zalo₧eny na principech makroviru W97M/Melissa. N∞kterΘ antiviry p°idßvajφ na konec takov²ch makrovir∙ oznaΦenφ @mm. Pat°φ sem i VBS/LoveLetter (I_Love_You).
Tyto lidskΘ v²plody jsou zßvislΘ p°edevÜφm na klientu MS Outlook, kter² je souΦßstφ kancelß°skΘho balφku MS Office 97, 2000. MajitelΘ "odlehΦenΘho" Outlooku, tj. Outlooku Express, mohou z∙stat v klidu. Nebudou Üφ°it infekci na dalÜφ poΦφtaΦe, o infekci vlastnφho poΦφtaΦe vÜak p°ijφt nemusφ, zßle₧φ, zda p°φlohu spustφ, Φi ne.
MS Outlook Express 5 a setkßnφ s Φervem VBS/LoveLetter.
Jak u₧ bylo °eΦeno, Φervi se nachßzejφ v souboru samostatn∞ a nepot°ebujφ ₧ßdnΘho hostitele. AntivirovΘ programy tak ve v∞tÜin∞ p°φpad∙ ma₧ou vÜechny soubory, kterΘ si Φerv pro sv∙j chod v systΘmu vytvo°il. Nevracejφ vÜak do p∙vodnφho stavu registry Windows, pop°φpad∞ soubory, kterΘ Φerv zmodifikoval tak, aby si zajistil vΦasnou aktivaci po ka₧dΘm startu operaΦnφho systΘmu Windows.
V∞tÜina Φerv∙ si zajistφ automatickΘ spuÜt∞nφ nejΦast∞ji:
pomoci modifikace registr∙.
pomoci modifikace souboru WIN.INI nebo SYSTEM.INI (v adresß°i s instalacφ Windows).
K chaosu, kterΘmu se °φkß "registry", lze p°istoupit nap°φklad pomoci p°φkazu regedit. ╚ervi majφ v oblib∞ p°edevÜφm klφΦ:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
V n∞m vytvß°ejφ novΘ polo₧ky s ·daji obsahujφcφ cestu k souboru, kter² se pak p°i ka₧dΘm startu Windows aktivuje. Mezi dalÜφ vyu₧φvanΘ klφΦe pat°φ p°edevÜφm:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
V souboru WIN.INI je obΦas pod ·tokem Φerva °ßdek RUN= v sekci [WINDOWS].
Podobn∞ je na tom m∙₧e b²t i sekce [BOOT] s °ßdkem SHELL= v souboru SYSTEM.INI. Za sekvencφ znak∙ RUN= se zpravidla nic nenachßzφ. Pokud ano, m∙₧e to b²t znßmka toho, ₧e na poΦφtaΦi je / byl Φerv. Nemusφ se vÜak v₧dy jednat o Φerva, obΦas tyto mo₧nosti vyu₧φvajφ i n∞kterΘ u₧iteΦnΘ programy.
Za °ßdkem SHELL= se pak b∞₧n∞ vyskytuje pouze p°φkaz EXPLORER.EXE.
3.1. Jak se zbavit p°φpadnΘho Φerva
JeÜt∞ p°ed tφm, ne₧ se antivirem odma₧ou infikovanΘ soubory, doporuΦuji odstranit Ükody v registrech, pop°φpad∞ ve WIN.INI Φi SYSTEM.INI. Tento postup je n∞kdy nutnΘ dodr₧et. V p°φpad∞ Φerva PrettyPark se toti₧ m∙₧e stßt, ₧e dφky ÜpatnΘmu postupu, nebude spuÜt∞nφ programu regedit, kter² je v²chodiskem ze situace, mo₧nΘ. Taky je nutnΘ zjistit, co ₧e to mßme z registr∙ v∙bec odstranit. Poslou₧it m∙₧ou n∞kterΘ "VirovΘ encyklopedie", kter²ch je ve sv∞t∞ Internetu hned n∞kolik desφtek ( www.viruslist.com, www.sarc.com ). Detailnφ popisy, i kdy₧ ne v takovΘm mno₧stvφ lze najφt i v ΦeÜtin∞ - www.viry.cz, www.asw.cz, www.grisoft.cz.
DalÜφm krokem je zßloha stßvajφcφch registr∙. Je dobrΘ zßlohovat soubory C:\WINDOWS\SYSTEM.DAT a C:\WINDOWS\USER.DAT, kterΘ se pak budou hodit v p°φpad∞ nezdaru.
Jeden z ₧ivotn∞ d∙le₧it²ch klφΦ∙ v registrech. Stav p°ed infekcφ Φervem VBS/LoveLetter.
A stav po infekci. V klφΦi p°ibyl °ßdek MSKernel32 - za jeho vznikem stojφ Φerv VBS/LoveLetter.
V p°φpad∞ infekce Φervem VBS/LoveLetter.A, lze dßle postupovat nap°φklad nßsledovn∞:
spustit utilitu regedit (menu Start/Spustit).
dostat se v levΘ Φßsti okna a₧ do v∞tve / klφΦe: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
(v °ad∞ p°φpad∙ staΦφ pouze 6x sprßvn∞ poklepat levΘ tlaΦφtko myÜi).
v pravΘ Φßsti okna oznaΦit kliknutφm myÜi °ßdek MSKernel32, kde sloupec "·daj" ukazuje na soubor MSKernel32.VBS.
tlaΦφtkem DEL tento vybran² °ßdek odstranit.
Podobn² postup je nutnΘ zopakovat i v klφΦi:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
Zde je nutnΘ odstranit °ßdek s nßzvem Win32DLL, kter² ukazuje (sloupec "·daj") na soubor Win32DLL.VBS.
Po modifikaci registr∙, pop°. soubor∙ WIN.INI, SYSTEM.INI (platφ i pro drtivou v∞tÜinu Φerv∙) je vhodnΘ cel² systΘm Windows restartovat a pak ji₧ antivirem odstranit vÜechny soubory, kterΘ si s sebou Φerv p°inesl.
4. SouborovΘ a dalÜφ viry
4.1. Viry pro DOS pod Windows
V²skyt vir∙, kterΘ jsou napsßny pro operaΦnφ systΘm MS DOS ji₧ nenφ v tΘto dob∞ p°φliÜ b∞₧n². Prsty v tom mß p°edevÜφm operaΦnφ systΘm MS Windows 9x/NT. Viry, kterΘ jsou napsßny pro operaΦnφ systΘm MS-DOS, se mohou pod MS Windows 9x/NT chovat nßsledovn∞:
fungujφ korektn∞, Windows jim nevadφ.
fungujφ jen "na p∙l". N∞co, co by m∞li d∞lat, ned∞lajφ.
nefungujφ v∙bec.
K prvnφ jmenovanΘ skupin∞ nenφ prakticky co dodßvat. VÜechny DOS viry pod Windows samoz°ejm∞ majφ svß omezenφ. Dokß₧φ se Üφ°it jen v "DOSovskΘm okn∞", ve kterΘm b∞₧φ n∞jakß aplikace pro DOS. Typick²m p°φkladem m∙₧e b²t souborov² mana₧er M602. SpoleΦn∞ s uzav°enφm okna konΦφ i ₧ivot viru. D∙le₧itΘ je poznamenat, ₧e souborov² virus pro MS DOS se Üφ°φ pouze v rßmci jednoho DOS okna, ve kterΘm byl aktivovßn. Pokud je souborov² virus spuÜt∞n p°es n∞jakou aplikaci typu "Pr∙zkumnφk" (Explorer), nemß Üanci. O n∞co v∞tÜφ Üance mß souborov² virus, kter² se staΦφ zavΘst d°φve, ne₧ samotn² operaΦnφ systΘm Windows. To si m∙₧e zajistit nap°φklad napadenφm souboru WIN.COM. Pokud se tak stane, dokß₧e se takov² virus Üφ°it v jakΘmkoliv "DOSovskΘm okn∞". Mß to vÜak i jednu nev²hodu. Monstrum, jak²m je Windows, toti₧ kv∙li tomuto "drobeΦku" - viru, musφ nab∞hnout v daleko pomalejÜφm re₧imu, kter² vyhovuje viru. Windows 95 na tento fakt dokonce v∙bec neupozornφ. Windows 98 u₧ ano:
Po stisknutφ tlaΦφtka ANO se zobrazφ troÜku detailn∞jÜφ informace:
K zmi≥ovanΘmu problΘmu samoz°ejm∞ dochßzφ pouze v p°φpad∞, ₧e se jednß o pam∞¥ov∞ rezidentnφ souborov² virus pro DOS, Φi boot virus, kter² je v₧dy pam∞¥ov∞ rezidentnφ.
DalÜφ skupinou jsou viry, kterΘ pracujφ "na p∙l". Do tΘto skupiny pat°φ nap°φklad klasick² virus OneHalf.3544, kter² pod operaΦnφm systΘmem MS DOS napadß soubory pouze na disketßch. Na pevnΘm disku se zajφmß pouze o jeho zavßd∞cφ sektor. V p°φpad∞, ₧e je nedostupn², napadß soubory i na disku. To je i p°φpad Windows. OneHalf tedy pod Windows napadß pouze soubory - zavßd∞cφ sektor pevnΘho disku je nep°φstupn².
Poslednφ jmenovanß skupina vir∙ to °eÜφ s Windows rychle a rßzn∞. Po spuÜt∞nφ takovΘho viru obdr₧φme ihned zprßvu o chyb∞ v chodu programu.
DOS viry doporuΦuji odstra≥ovat pomocφ "bootovacφ" diskety, kterß by m∞la krom∞ zßkladnφch nßstroj∙ (FORMAT, FDISK atd.) obsahovat i antivirov² program.
4.2. Win32 viry aneb viry p°φmo pro Windows
Prvnφ Win32 viry se zaΦaly objevovat a₧ s p°φchodem Windows 95. Za t∞ch n∞kolik let posbφraly °adu v∞cφ od sv²ch starÜφch "brat°φΦk∙" pro operaΦnφ systΘm MS DOS. Dodnes vÜak platφ, ₧e drtivou v∞tÜinu Win32 vir∙ lze odstra≥ovat v re₧imu MS-DOS (menu Start/Vypnout/Restartovat v re₧imu MS-DOS). NejlepÜφ je samoz°ejm∞ pou₧φt "bootovacφ" disketu, Φi dokonce "bootovacφ" cΘdΘΦko.
5. "Igiho strßnka o virech" - www.viry.cz
"Igiho strßnka o virech" je jedna z nejrozsßhlejÜφch webov²ch strßnek na ΦeskΘm Internetu, kterß se zab²vß problΘmem poΦφtaΦov²ch vir∙. Strßnka existuje ji₧ vφce ne₧ dva roky a za tu dobu se toho hodn∞ zm∞nilo. P∙vodn∞ se jednalo o ne p°φliÜ Φasto aktualizovanou webovou strßnku. D∙vod byl jednoduch², nem∞l jsem modem.
Dnes ho ji₧ mßm a tak mohu reagovat na virovΘ, ale i ostatnφ novinky prakticky okam₧it∞. Jistou brzdou jsou vÜak telefonnφ poplatky ╚eskΘho Telecomu. Jako jedin² Φlov∞k, kter² na "Igiho strßnce o virech" pracuje, musφm tomuto konφΦku v∞novat hodn∞ Φasu. Na existenci strßnky majφ zßsluhu i jejφ Φtenß°i, kte°φ m∞ svou nßvÜt∞vou utvrzujφ v domn∞nφ, ₧e celou tu prßci ned∞lßm jen pro sebe. Je opravdu p°φjemn² pohled na statistiky nßvÜt∞vnosti obzvlßÜt∞ v dob∞, kdy "°ßdφ" n∞jak² rozÜφ°en² virus (Win95/CIH, VBS/Loveletter, W97M/Melissa apod.). Na existenci mß v²znamn² podφl i slu₧ba www.woko.cz, dφky nφ₧ jsem u vÜeho vΦas.
"Igiho strßnka o virech" v dneÜnφ dob∞ nabφzφ:
aktußlnφ novinky o virech/antivirech.
knihu o virech - elektronickΘ informace o vÜem, co se vir∙ / antivir∙ t²Φe.
popisy nejrozÜφ°en∞jÜφch vir∙.
recenze antivirov²ch program∙ - tak, jak je vidφm jß.
rozhovory s antivirov²mi experty, ale i s lidmi, kte°φ viry pφÜou. V ╚R existujφ t°i lidΘ, kte°φ aktivn∞ pφÜou viry - Benny, Prizzy, Mort. Nutno podotknout, ₧e n∞kterΘ jejich viry vynikajφ i v celosv∞tovΘm m∞°φtku.
rozsßhlou sbφrku univerzßlnφch antivir∙.
v²sledky srovnßvacφch test∙, jinak prakticky nedostupnΘho Φasopisu Virus Bulletin.