Igiho stránka o virech
Novinky
Kniha o virech
1.Pomoc
Testy
Odkazy
Download
AV-Konference
Akce
Autor

FAQ

Může se počítač infikovat prohlédnutím obsahu diskety, zkopírováním infikovaného souboru apod. ?

Pouhým čtením jakýchkoli dat nelze počítač infikovat. To se týká jak prohlížení dat na disku či disketě, tak například i prohlížení či kopírovnání souborů ze vzdáleného systému pomocí modemu. Jistou vyjímku tvoří makroviry. U nich stačí, aby byl infikovaný dokument (tabulka) otevřen příslušným programem (Microsoft Word, Excel, Access...).Aby se mohl kterýkoli vir šířit a provádět libovolnou činnost, musí být jeho kód zaveden do paměti a musí být spuštěn, tj. procesor musí začít provádět jeho instrukce. K tomu může dojít v zásadě třema odlišnými způsoby:

  • Spuštěním napadeného souboru (v případě souborového viru).
  • Zavedením systému z infikované diskety (v případě boot viru). K tomu dochází nejčastěji neúmyslně tak, že napadená disketa zůstala zamčena v disketové mechanice v době, kdy byl počítač zapnut, nebo resetován. Některé počítače mají možnost zakázat zavádění systému z diskety a tím eliminovat tento nečekaně častý zdroj nákazy.
  • Otevřením zavirovaného dokumentu, popřípadě tabulky příslušným programem (Microsoft Word, Excel, Access). Tento bod se však týká především dokumentů, napsaných ve Wordu, které navíc mohou obsahovat makra (=> makroviry).

Prohlížet bez nebezpečí je možné nejen data, ale i infikovaný program; ten je totiž v době prohlížení zpracováván stejně jako jakýkoli jiný datový soubor. Bez existence faktu by nemohla pracovat ani většina antivirových programů.
Pravděpodobným původcem této pověry je zřejmě fakt, že při většině v úvodu zmíněných činností dochází k načtení dat (a tedy i jejich uložení) do paměti. Tato data v dané chvíli nemají povahu programu (nejsou spuštěna), což je ovšem přesně to, co některé známé antivirové programy nekontrolují a místo toho vyhlásí falešný poplach.

Může vir poškodit nebo zníčit hardware počítače ?

Stručnou odpovědí na tuto otázku je známé pořekladlo, které tvrdí, že hardware, který lze zničit programovými prostředky, si ani nic jiného nezaslouží. V současné době používaný hardware by měl být odolný proti jakémukoli zpsobu manipulace ze strany softwaru a tedy i proti úmyslnému pokusu o poškození virem. Některé, dnes už značně zastaralé, počítačové komponenty měli jisté nedomyšlenosti ve firmwaru či konstrukci, takže bylo možné softwarově tyto díly poškodit nebo alespoň způsobit majiteli nepříjemné komplikace. Nejčastěji citovanými zástupci jsou:

  • Diskové mechaniky, které při požadavku na vystavení hlavičky na neexistující stopu snaživě točily hřídelkou tak dlouho, dokud hlavičku úplně nevyšroubovaly.
  • Některé pevné disky, které po provedení low-level formátu upadly do stavu hluboké letargie, odstranitelného pouze firemním softwarem.
  • Monitory, které, nedbajíce vlastního nebezpečí, se pokoušely vyhovět jakémukoli nesmyslnému požadavku o nastavení synchronizačních frekvencí, což mohlo způsobit tepelné přetížení.

Znovu opakujeme, že takový hardware je zastaralý a prakticky nepoužívaný. Navíc je zřejmé, že ke zmíněnému poškození mohlo dojít (a také docházelo) daleko častěji při běžné práci v důsledku chyby obsluhy nebo některého z programů než v důsledku útoku virů. (Zmíněné komponenty byly používány v době, kdy viry nejenže nebyly rozšířené, ale ani obecně známé.). Dokumentace k některým softwarovým produktům však přesto obsahuje zmínky o možných následcích nespávné instalace, což napomáhá přežívat strašidelným historkám mezi uživateli. Příkladem může být následující úryvek z instalační příručky k operačnímu systému Linux:
… Takto je možné přetížit horizontální synchronizaci většiny monitorů a způsobit jejich poškození nebo dokonce požár. (Ano, monitor bude hořet plamenem - to se stalo)…
Jistou vyjímkou může být virus Win95/CIH (a některé další), který dokáže přepsat obsah paměti flash-bios, a znemožnit tak chod některým novějším základním deskám. Zde je nutný zásah odborníka přes hardware.

Může se vir rozšířit i na diskety chráněné proti zápisu ?

Ochrana disket proti zápisu pomocí přelepek (v případě 5.25" disket) nebo pomocí posuvného čtverečku (v případě 3.5" disket) je zřejmě jedna z mála věcí, které na počítačích PC opravdu fungují. Na disketu chráněnou proti zápisu nemůže žádný software (tedy ani vir) jakákoli data zapsat, ani je změnit nebo smazat (mazání není nic jiného než zápis správných hodnot do správných oblastí).
K selhání této ochrany může dojít pouze v případě hardwarového poškození použité disketové mechaniky (porucha řadiče, poškozené optické čidlo a podobně) nebo při použití nevhodných přelepek.
S tímto problémem se snaží viry vypořádat různými způsoby. Drzý vir prostě uživatele požádá, aby zápis na disketu povolil. Jistě se najde dost lidí, kteří zdvořilé žádosti bez dalšího přemýšlení vyhoví.
Geniální trik obsahuje virus Sampo. Když zjistí, že disketa je chráněná proti zápisu, začne předstírat, že je napadena jednoduchým boot virem Kampana. Uživatel pravděpodobně zruší ochranu, aby vir vyhnal svým oblíbeným antivirovým programem, a to je přesně okamžik, na který Sampo čeká. Napadne disketu a začne předstírat, že je v naprostém pořádku.

Je opravdu nezbytné před vyhledáváním virů zavádět systém ze systémové diskety ?

Pokud má být činnost antivirového programu maximálně účinná, je zavedení systému ze systémové diskety v podstatě nezbytné. Tento krok, který kromě nepatrného zdržení nic nestojí, je nejúčinnější způsob jak zajistit, že po dobu činnosti antivirového programu nebude v paměti žádný aktivní vir, který by mohl ovlivňovat průběh a výsledky kontroly. Převážná většina moderních antivirových systémů sice disponuje různými mechanismy, kterými se snaží jak odhalit případné aktivní viry v paměti, tak minimalizovat jejich vliv na průběh kontroly, na druhé straně všichni seriózní autoři těchto programů přiznávají, že tyto mechanismy nejsou tak účinné, aby se na ně dalo plně spolehnout. Navíc, často jedinou činností, kterou může antivirový program bez rizika provést, pokud nalezne aktivní vir v paměti, je výpis hlášení "Chopte se systémové diskety, zaveďte systém a pak po mně něco chtějte".
Pro ilustraci uvádíme přehled několika typických scénářů, které se mohou odehrát, pokud vir zůstal v průběhu kontroly v paměti neodhalen:

  • Vir hlídá, který soubor je otevírán, a každý takový soubor napadne (vir typu "fast infector"). Vzhledem k tomu, že antivirové programy při kontrole otevírají všechny soubory, které považují za spustitelné, budou po dokončení kontroly všechny tyto soubory infikovány virem.
  • Vir kontroluje, jaká data jsou načítána z disku, a v případě čtení infikované části souboru nebo sektoru "podstrčí" antivirovému programu původní obsah (vir z kategorie stealth). Důsledkem toho je, že programy pro vyhledávání virů nebo změn v souborech nenajdou nic závadného a prohlásí disk za zdravý.
  • Antivirový software identifikoval vir a napadený soubor úspěšně obnovil. Poté, co byl soubor zbaven viru a byl uzavřen, vir jej znovu infikoval. Výsledkem je hlášení antivirového programu o tom, že soubor je zdravý, což je v rozporu se skutečným stavem věci. Obdobně povzbudivých výsledků můžeme dosáhnout, pokud se pokusíme vir odstranit jakýmkoli jiným postupem, např. pomoci FDISK /MBR nebo i formátováním disku. Mnoho virů je schopno, pokud jsou aktivní v paměti, infikovat např. MBR bezprostředně poté, co z něj byly odstraněny.
  • Vir obsahuje kód, který aktivně bojuje proti konkrétnímu antivirovému programu. Útok může být veden velmi rozličnými prostředky (využití interních služeb antiviru, změna databáze informací o virech apod.). V podstatě žádný antivirový systém nemá možnost (v dané verzi) se bránit proti takovému viru, který byl napsán s konkrétní znalostí antivirového programu. Jediným účinným prostředkem v takovém případě je zajistit, aby daný vir nebyl aktivní v paměti, což lze efektivně provést právě zavedením systému z diskety.

K dosažení očekávaného efektu je samozřejmě nezbytné, aby systémová disketa nebyla infikovaná, obsahovala patřičnou verzi operačního systému a všechny ovladače potřebné ke zpřístupnění disku a souborů a byla chráněna proti zápisu. Pokud takové ovladače nemáte k dispozici, nebudou po zavedení systému data na pevném disku dostupná a nebude tedy ani možno provést jejich kontrolu.

Je formátování disku spolehlivým způsobem, jak odstranit viry ?

V případě formátování pevného disku (například příkazem FORMAT) zní odpověd: NE.
Při formátování disku dojde ke smazání všech souborů a k přepsání systémových oblastí na logickém disku. Nedotčen však zůstane kód master boot recordu (MBR), který může být a také často bývá hostitelem viru. Takový vir se může nerušeně dále šířit a provádět svou případnou škodlivou činnost.
Může také dojít k situaci, kdy by byl přeformátován disk a zároveň vir zůstal aktivní v paměti. V takovém případě může zůstat nakažen i boot sektor daného disku a navíc programy, které by na takto "vyčištěný" disk byly kopírovány, by mohly být okamžitě znovu napadeny.
V zásadě tedy může v případě pevného disku dojít ke dvěma odlišným situacím. V první jsou napadeny pouze programy souborovým virem. Zde by sice správně provedené formátování (za předpokladu zavedení systému ze systémové diskety) pomohlo, avšak na druhé straně lze použít méně drastické metody a smazat pouze napadené soubory (v nejhorším případě všechny potenciální nosiče viru) a zachovat tak důležitá data.
V druhém případě je vir obsažen i v master boot recordu (MBR) pevného disku a pak by formátování kromě ztráty dat nemělo žádný kladný přínos (ano, budete mít zase po čase dostatek volného místa na disku).
Pokud jde o formátování diskety, pak lze říci, že disketu formátovanou na zdravém počítači lze považovat za "viruprostou".

Zpět