D∞lenφ podle oblastφ, kterΘ jsou napadeny

Boot viry - Boot viruses

Tato prvnφ nejstarÜφ skupina vir∙ infikuje Φßsti nachßzejφcφ se v urΦit²ch systΘmov²ch oblastech disku. T∞mito oblastmi mohou b²t: boot sektory disket a MBR (Master Boot Record) pevnΘho disku. Napadenφm n∞jakΘ z t∞chto oblastφ si boot virus zajistφ svoje spuÜt∞nφ hned po startu poΦφtaΦe.

UvedenΘ viry se chovajφ tak, ₧e obvykle p°epφÜφ sv²m vlastnφm k≤dem boot sektor, a p∙vodnφ p°epsanou Φßst boot sektoru uschovajφ na jinΘ mφsto disku. Bu∩ do n∞jakΘho jinΘho sektoru, kter² je pak v tabulce FAT oznaΦen jako vadn², a nebo vyu₧ijφ b∞₧n∞ nevyu₧φvanΘ 40. stopy. Takovß virovß infekce se potom Üφ°φ pomocφ boot sektor∙ disket, kterΘ p°iÜly do styku s naka₧en²m systΘmem. OperaΦnφ systΘm DOS je pro n∞ toti₧ velmi v²hodn²m hostitelem vzhledem k malΘ mo₧nosti jeho kontroly a vzhledem k vysokΘ frekvenci pou₧φvßnφ t∞ch nejjednoduÜÜφch povel∙ jako je zßpis a Φtenφ z disku, kopφrovßnφ disket, prohledßvßnφ obsahu adresß°e atd.

Bootov² virus infikuje systΘm (tj. instaluje se do pam∞ti a zapφÜe svoje t∞lo do MBR pevnΘho disku p°i zavßd∞nφ systΘmu z infikovanΘ diskety. Virus se obvykle nainstaluje do pam∞ti jako pam∞¥ov∞ rezidentnφ, a jakmile dojde k novΘmu zavßd∞nφ systΘmu, zaΦne infikovat boot sektor disket, kterΘ nejsou ochrßn∞ny proti zßpisu, a p°i tom p°ijdou do styku se systΘmem (nap°φklad p°i kopφrovßnφ na disketu apod).

V obou p°φpadech, jak u infekcφ MBR nebo infekcφ boot sektoru diskety, tento typ viru obvykle ulo₧φ p∙vodnφ boot sektor nebou tabulku rozd∞lenφ disku n∞kam jinam na disketu Φi disk, aΦkoliv to nenφ v₧dy pravidlem. Jestli₧e virus zapφÜe p∙vodnφ boot sektor do kritickΘ oblasti disku Φi diskety, jako je nap°. sektor obsahujφcφ Φßst tabulky FAT, nebo hlavnφ diskov² adresß°, m∙₧e dojφt k tomu, ₧e data na disku jsou nav₧dy ztracena.

Charakteristick²m symptomem p°itomnosti infekce bootov²m virem, kter² lze zaznamenat i u neznßm²ch boot vir∙ je skuteΦnost, ₧e kapacita systΘmovΘ pam∞ti, ocen∞nß programem chkdsk Φi mem, je v∞tÜinou nejmΘn∞ o 1024 byt∙ menÜφ, ne₧ jakß je ve skuteΦnosti pam∞¥ instalovanß v systΘmu (tj. nenφ 640 KB, ale t°eba jen 639 KB).

SouborovΘ viry - File viruses

Druhou a svΘho Φasu nejrozÜφ°en∞jÜφ skupinou jsou viry souborovΘ. Jak ji₧ z nßzvu vypl²vß, jejich hlavnφm hostitelem jsou soubory.
Tyto viry bychom mohli dßle t°φdit podle toho, jakΘ soubory p°i infekci napadajφ - v zßsad∞ jsou to v₧dy proveditelnΘ soubory (COM, EXE, SCR...), nebo¥ cφlem viru je, aby provedenφm hostitelskΘho k≤du doÜlo k rozmno₧enφ virovΘho k≤du. N∞jΦast∞ji se tedy jednß o soubory spustitelnΘ binßrnφ (COM, EXE, SCR...). M∙₧e se tΘ₧ jednat o souborovΘ viry infikujφcφ batovΘ soubory (BAT), ovladaΦe (SYS). Navφc jsou souborovΘ viry zam∞°eny na r∙znΘ operaΦnφ systΘmy (DOS, Windows 3.x, Windows9x/NT/2000, OS/2, Macintosh, Unix...) Mechanismus Φinnosti souborov²ch vir∙ je vÜak podobn² ve vÜech p°φpadech. Podle metody infekce m∙₧eme souborovΘ viry rozd∞lit na n∞kolik skupin:

  • Overwriting viruses - p°episujφcφ viry

    Tato metoda infekce je jednoduchß. Virus p°epφÜe obsah cφlovΘho spustitelnΘho souboru vlastnφm k≤dem (t∞lem), a tak znφΦφ p∙vodnφ obsah souboru. Takto infikovan² soubor je ji₧ nefunkΦnφ a nem∙₧e b²t opraven. Po jeho spuÜt∞nφ dojde pouze k aktivaci viru, kter² se ve v∞tÜin∞ p°φpad∙ rozmno₧φ do dalÜφch spustiteln²ch soubor∙. Snad ve vÜech p°φpadech se jednß o nerezidentnφ viry (viry p°φmΘ akce). Na masovΘ rozÜφ°enφ nemajφ p°episujφcφ viry ₧ßdnou Üanci.

  • Parasitic viruses - parazitickΘ viry

    Jako parazitickΘ viry jsou oznaΦovßny ty, kterΘ p°i infekci zm∞nφ (v∞tÜinou prodlou₧φ) obsah cφlovΘho spustitelnΘho souboru. ParazitickΘ viry vÜak obsah cφlovΘho souboru nepoÜkodφ (narozdφl od p°episujφcφch vir∙). ParazitickΘ viry se dokß₧ou umφstit p°ed p∙vodnφ program (prepending), nebo za n∞j (appending). Existujφ taky parazitickΘ souborovΘ viry, kterΘ se vlo₧φ do st°edu souboru (inserting). NejΦast∞ji se vÜak parazitickΘ viry p°ipojujφ na konec souboru.
    D∙le₧itΘ je, aby virus upravil infikovan² soubor tak, aby p°i spuÜt∞nφ tohoto souboru doÜlo krom∞ aktivace p∙vodnφho programu i k aktivaci t∞la viru. Detaily k jednotliv²m variantßm parazitick²ch vir∙ naleznete na strßnce "souborovΘ viry - detaily".

  • Companion viruses - doprovodnΘ viry

    DoprovodnΘ viry jsou typem infekce, kterß se detekuje pom∞rn∞ obtφ₧n∞ proto, ₧e p°i jejich replikaci nejsou m∞n∞ny ani soubory, ani systΘmovΘ oblasti disku. Nßstup operaΦnφho systΘmu Microsoft Windows vÜak zp∙sobil tΘm∞° jistou smrt tΘto skupiny vir∙. Zp∞t ale k tΘmatu :)
    Virus napadß soubor typu EXE tak, ₧e vytvo°φ nov² soubor se stejn²m jmΘnem, ale s p°φponou COM a do n∞j umφstφ jen svoje t∞lo. P°i volßnφ p∙vodnφho souboru se pak podle dosovsk²ch priorit volß p°i shodnosti jmen jako prvnφ v₧dy soubor s p°φponou COM - a tφm se vlastn∞ p°edß °φzenφ p°φmo viru, ani₧ dojde ke spuÜt∞nφ ₧ßdanΘho programu.
    Druhou metoda je, ₧e virus p°ejmenuje cφlov² soubor (nap°φklad XCOPY.EXE na XCOPY.EXD) a pak sßm sebe umφstφ do souboru, kter² nazve po p∙vodnφm jmΘnu (v naÜem p°φpad∞ XCOPY.EXE). P°i spuÜt∞nφ tohoto souboru pak virus p°evezme kontrolu jako prvnφ a pak nastartuje originßlnφ p°ejmenovan² soubor (XCOPY.EXD). Zajφmavostφ je, ₧e tato metoda pracuje i v jin²ch operaΦnφch systΘmech.
    T°etφ metodou jsou "Path companion" viry, kterΘ p°i infekci vyu₧φvajφ priorit uveden²ch v prom∞nnΘ DOS PATH. Pokud se toti₧ nachßzφ na disku vφce soubor∙ se stejn²m nßzvem, je nejd°φve spuÜt∞n ten, kter² se nachßzφ v prom∞nnΘ PATH jako prvnφ. Toho tyto viry vyu₧φvajφ, a duplikßty umis¥ujφ do poΦßteΦnφch adresß°∙, uveden²ch v prom∞nnΘ PATH.
    Jeliko₧ tyto viry tvo°φ samostatnΘ soubory, lze je odstranit pouze vymazßnφm infikovan²ch soubor∙. Odstra≥ovßnφ t∞chto vir∙ je tak rychlΘ, efektivnφ a bez ztrßty dat.

Detailn∞jÜφ informace o souborov²ch virech naleznete v nßsledujφcφch Φlßncφch:
SouborovΘ viry pro Windows - detaily
SouborovΘ viry pro DOS - detaily

Multipartitnφ viry - Multipartite viruses

Jako viry multipartitnφ jsou oznaΦovßny ty, kterΘ se chovajφ jako bootovΘ viry, a zßrove≥ jako viry souborovΘ. Jin²mi slovy, jsou schopny infikovat r∙znΘ oblasti disku - v∞tÜinou je to tabulka rozd∞lenφ disku, a souΦasn∞ n∞kterΘ typy soubor∙. Dφky tomu jsou tyto viry "vÜestrannΘ". Do tΘto skupiny pat°φ i populßrnφ virus OneHalf.

Makro viry - Macro viruses

Makroviry jsou relativn∞ mladou skupinou vir∙. Prvnφ se zaΦaly objevovat a₧ v roce 1995. Makroviry souvisφ p°edevÜφm s äv²robkyô kterΘ vzniknou po₧φvßnφm kancelß°skΘho balφku Microsoft Office. Makroviry se tak mohou vyskytnout v dokumentech MS Wordu (majφ p°φponu DOC), v seÜitech MS Excelu (s p°φponou XLS) a obΦas i v prezentacφch MS PowerPointu (p°φpona PPT). Jak ji₧ nßzev naznaΦuje, tyto viry jsou tvo°eny makry. Makra jsou programy, kterΘ si u₧ivatel m∙₧e vytvo°it sßm pro usnadn∞nφ prßce v n∞kter²ch aplikacφch. Takovou typickou aplikacφ je prßv∞ Microsoft Office, tj. MS Word, MS Excel apod. Makrojazyk, ve kterΘm lze makra vytvß°et je v t∞chto produktech natolik dokonal², ₧e v n∞m lze vytvo°it i Üφ°φcφ se program - makrovirus. Cel² chod makroviru je obvykle zßvisl² na existenci auto-maker (samo-spouÜt∞cφ makra). Auto-makra jsou specißlnφ makra, kterß se spouÜt∞jφ automaticky p°i urΦitΘ operaci (nap°φklad p°i otev°enφ dokumentu, uzav°enφ dokumentu apod.). Pokud tedy dokß₧e makrovirus tyto auto-makra vyu₧φt, m∙₧e se ·sp∞Ün∞ Üφ°it (p°ipojφ se k dalÜφmu dokumentu op∞t ve form∞ maker). D∙le₧itΘ je poznamenat, ₧e makra (a¥ u₧ makroviru, Φi makra u₧ivatele) jsou spoleΦn∞ ulo₧eny s dokumentem (v p°φpad∞ MS Wordu) Φi s seÜitem (v p°φpad∞ Excelu) v jednom souboru. "P°estupn²m mφstem" se v p°φpad∞ makroviru pro MS Word stßvß globßlnφ Üablona, kterß se jmenuje NORMAL.DOT. Tato Üablona obsahuje n∞kterß nastavenφ u₧ivatele (formßt strßnky apod.) a automaticky se otevφrß p°i ka₧dΘm spuÜt∞nφ MS Wordu, tak₧e pokud ji makrovirus napadne, mß kontrolu nad MS Wordem hned po jeho startu. V p°φpad∞ MS Excelu hraje velkou roli adresß° XLStart.

V dneÜnφ dob∞ dokß₧ou b²t makroviry:

  • Stealth - tyto makroviry maskujφ svoje makra, aby se tak brßnily proti snadnΘmu odhalenφ. B∞₧n² makrovirus lze nap°φklad jednoduÜe odhalit pomocφ menu Tools/Macro, v n∞m₧ uvφdφme jednotlivΘ makra viru. Stealth virus tomu vÜak dokß₧e zabrßnit, i kdy₧ mo₧nß jeÜt∞ podez°elejÜφm zp∙sobem. Menu Tools/Macro toti₧ ·pln∞ odstranφ, nebo ho znefunkΦnφ... Jistou vyjφmkou jsou makroviry oznaΦenΘ jako "Class". Ty svoje t∞lo uklßdajφ do specißlnφho modulu ThisDocument, pop°φpad∞ ThisWorkBook a tak se dokß₧ou vyhnout detekci p°es menu Tools/Macro i bez pou₧itφ "stealth" technik. Metodu "Class" lze vyu₧φvat a₧ v jazyce VBA5.

  • Polymorfnφ - tyto makroviry dokß₧ou modifikovat strukturu vlastnφho t∞la. Polymorfnφ makroviry pak nelze detekovat podle sekvencφ, Φi podle klasick²ch kontrolnφch souΦt∙ (CRC).

  • Multipartitnφ - tato skupina makrovir∙ se dokß₧e Üφ°it n∞kolika zp∙soby. Nap°φklad makrovirus Shiver je napsßn tak, ₧e se dokß₧e Üφ°it jak v programu Word, tak i v programu Excel. Makrovirus vÜak m∙₧e vypouÜt∞t nap°φklad i souborov² virus (WM/Navrhar), Φim₧ se makrovirus stßvß op∞t multipartitnφm.

  • Multiplatformnφ - n∞kterΘ makroviry se dokß₧ou Üφ°it pod r∙zn²mi systΘmy, kde se n∞kterΘ produkty, p°edevÜφm spoleΦnosti Microsoft pou₧φvajφ (PC, MAC...).

V dneÜnφ dob∞ se vyskytujφ makroviry t∞chto typ∙ (podobnΘ oznaΦenφ pou₧φvß i spousta antivir∙):

    WM/
    Üφ°φ se pod produktem Microsoft Word 6.0/7.0. Vyu₧φvajφ jazyk "WordBasic".

    W97M/
    Üφ°φ se pod produktem Microsoft Word 8/9 (Office 97/2000). Vyu₧φvajφ jazyk VBA5.

    XM/
    Üφ°φ se pod produktem Microsoft Excel 5.0/6.0. Vyu₧φvajφ jazyk VBA3.

    X97M/
    Üφ°φ se pod produktem Microsoft Excel 8/9 (Office 97/2000). Vyu₧φvajφ jazyk VBA5.

    A97M/
    Üφ°φ se pod produktem Microsoft Access 8/9 (Office 97/2000). Vyu₧φvajφ jazyk VBA5. PoΦet t∞chto makrovir∙ je vÜak velmi mal², a nep°edstavujφ v∞tÜφ hrozbu.

    P97M/
    Üi°φ se pod produktem Microsoft PowerPoint. Vyu₧φvajφ jazyk VBA5. Jeliko₧ nenφ aplikace Microsoft PowerPoint tolik pou₧φvanß jako Word, Φi Excel, nenφ moc Üancφ, ₧e se makrovirus pro PowerPoint rozÜφ°φ.

    XF/ (Excel Formula)
    JeÜt∞ p°ed vznikem jazyku VBA byl "Excel Formula" jedinou mo₧nostφ, jak v Excelu n∞co naprogramovat. P°φkazy se zadßvajφ p°φmo do bun∞k seÜitu (!). Tyto makroviry se op∞t vyskytujφ v minimßlnφm mno₧stvφ...

    Specißlnφm p°φpadem jsou makroviry, kterΘ se dokß₧ou Üφ°it v n∞kolika podobßch - jako makrovirus pro Word, Excel, Φi PowerPoint (dφky stejnΘmu jazyku VBA). Typick²m p°φkladem je makrovirus Triplicate (Tristate), jen₧ se n∞kdy oznaΦuje takΘ jako O97M/Triplicate.

    S p°φchodem Microsoft Office 2000 p°ichßzφ i novΘ oznaΦenφ pro makroviry urΦenΘ pro tuto platformu. VÜechny aplikace Office 2000 pou₧φvajφ spoleΦn² jazyk - VBA6 (Visual Basic for Application). Nßzvy makrovir∙ pro Office 2000 se v∞tÜinou oznaΦujφ jako: W2KM/ (W2000M/), X2KM/ (X2000M/), podle aplikace, kterou pro Üφ°enφ vyu₧φvajφ.

O makrovirech by se toho dalo napsat daleko vφce, proto jsou k dispozici i nßsledujφcφ Φlßnky:
Makro viry - ochrana / lΘΦenφ
Makroviry - vÜe o nich

Adresß°ovΘ viry - Cluster viruses

Miniaturnφ skupina vir∙, zastoupenou virem Dir II, jsou tzv. clusterovΘ viry. Tyto viry modifikujφ vstupy adresß°ovΘ tabulky tak, ₧e virus je zaveden do pam∞ti a spuÜt∞n d°φve ne₧ program, kter² u₧ivatel chce spustit. Samotn² virus se na disku nachßzφ pouze jednou, n∞kde na konci disku. LΘΦenφ tohoto viru je velmi jednoduchΘ (ale zdlouhavΘ). StaΦφ pouze "zavirovan² soubor" p°ekopφrovat do jinΘho adresß°e a zm∞nit mu p°φponu (aby nebyla COM, EXE). Prvnφ obrßzek je situace p°ed napadenφ virem (data adresß°e sm∞°ujφ na prvnφ klastry soubor∙). Druh² obrßzek je situace po infekci adresß°ov²m virem (data adresß°e ukazujφ na virus):

GenerickΘ viry - Generic viruses

Jednß se o viry, zalo₧enΘ na stejnΘm zßklad∞, kterΘ jsou si navzßjem velmi podobnΘ. Obvykle vznikajφ drobnou ·pravou ji₧ existujφcφho viru. Typick²m p°φkladem m∙₧ou b²t makroviry W97M/Melissa apod.