HlßÜenφ antivirovΘho programu

Toto zjiÜt∞nφ je z°ejm∞ nejb∞₧n∞jÜφ. Virus je tudφ₧ odhalen antivirem (nebo rezidentnφm Ütφtem). Jednß se z°ejm∞ o nejlepÜφ variantu :)

Vlastnφ projevy vir∙ (viditelnΘ projevy vir∙)

Destrukce dat

DestrukΦnφ aktivaΦnφ rutiny mohou b²t dßle rozd∞leny na bezprost°ednφ a postupnΘ. Win95/CIH, Win32/Magistr jsou p°φklady bezprost°edn∞ destruktivnφch vir∙ û jednoduÜe p°epφÜou Φßst dat na pevnΘm disku. Postupnß destrukce je provßd∞na takov²mi viry, jako jsou nap°. Ripper nebo Nomenklatura (oba pro DOS), kterΘ pomalu niΦφ data na pevnΘm disku. To je znßmΘ tΘ₧ jako data-diddling. TakovΘ poruchy jsou toti₧ s velkou pravd∞podobnostφ zaznamenßny velmi pozd∞, a₧ kdy₧ u₧ poÜkozenß data byla mezitφm n∞kolikrßt zßlohovßna. To Φinφ obnovu dat mnohem obtφ₧n∞jÜφ, a ve v∞tÜin∞ p°φpad∙ je znaΦnß Φßst dat ztracena nav₧dy. NaÜt∞stφ destruktivnφ aktivaΦnφ rutiny velmi Φasto nefungujφ dφky chybßm v programovßnφ. Zdß se, ₧e tv∙rci vir∙ nedostateΦn∞ testujφ tyto rutiny na sv²ch poΦφtaΦφch.

Pokus o likvidaci hardwaru

N∞kterΘ viry pro Windows se pokouÜejφ p°emazat obsah pam∞ti Flash-BIOS na zßkladnφ desce, Φφm₧ znemo₧nφ start poΦφtaΦe. Pro opravu je nutn² mechanick² zßsah do vnit°nostφ poΦφtaΦe. Bli₧Üφ informace k tomuto tΘmatu lze najφt v Φlßnku "26.duben je den viru CIH - ╚ernobyl".

Zprßvy

Vypisovßnφ vÜemo₧n²ch zprßv na obrazovku nenφ nic neobvyklΘho :)

Zvuky, melodie, °eΦ

Existuje n∞kolik vir∙, kterΘ p°i aktivaci hrajφ melodii ze systΘmovΘho reproduktoru PC, pop°φpad∞ vyu₧φvajφ p°φmo zvukovΘ karty. JinΘ viry zase p°φle₧itostn∞ pφpajφ a cvakajφ. Pak jsou tu takΘ n∞kterΘ viry, kterΘ se pokouÜejφ mluvit û jednφm z p°φklad∙ je virus Dreamer, kter² se sna₧φ °φci do systΘmovΘho reproduktoru slovo Hitler!

Animace

Viry, kterΘ se projevujφ pomocφ animace, mohou b²t dßle rozd∞leny na viry s animacφ v textovΘm modu a na viry s animacφ v grafice. P°φkladem viru s animacφ v textovΘm modu je nap°. virus Cascade.1701.A, kter² nechßvß padat znaky z obrazovky na jejφ dno, a virus Walker, kter² produkuje na obrazovce animaci chodφcφho mu₧e. GrafickΘ aktivaΦnφ rutiny jsou mnohem vzßcn∞jÜφ p°edevÜφm u vir∙ pro operaΦnφ systΘm DOS. U MS Windows je grafick² re₧im samoz°ejmosti. Typickou ukßzkou grafickΘho v²stupu viru, p°esn∞ji Φerva je I-Worm/Hybris.F, kter² za urΦit²ch podmφnek zobrazφ na monitoru toΦφcφ se Φernobφlou spirßlu :)

PraktickΘ vtipy

N∞kterΘ viry zkouÜejφ na u₧ivatele praktickΘ vtφpky. N∞kterΘ viry ·mysln∞ obΦas vlo₧φ do psanΘho textu n∞jak² ten znak navφc a u₧ivatel tak m∙₧e p°ijφt o nervi p°i zjiÜt∞nφ, kolik p°eklep∙ vytvo°il :)
Podobn∞ virus WMo/Nuclear p°idßvß na konec dokument∙ komentß°e zam∞°enΘ proti francouzsk²m nukleßrnφm test∙m v Pacifiku; ty jsou potom tiÜt∞ny nebo faxovßny z Microsoft Wordu spoleΦn∞ s p∙vodnφm textem
Jak vidφte, podobnΘ "psychologickΘ testy" p°ipravujφ pro u₧ivatele p°edevÜφm makroviry :)
N∞kolik vir∙ se pro zm∞nu pokouÜφ neustßle prost°ednictvφm modemu volat na telefonnφ Φφsla policie apod.

FaleÜnß selhßnφ hardwaru

N∞kterΘ viry se pokouÜejφ simulovat selhßnφ hardwaru. Nap°φklad virus Azusa vypφnß sΘriovΘ a paralelnφ porty poΦφtaΦe a virus Parity_Boot dokß₧e vzbudit zdßnφ, ₧e poΦφtaΦ mß vadnΘ pam∞¥ovΘ Φipy. V nejhorÜφm p°φpad∞ je u₧ivatel napßlen tak, ₧e vym∞nφ p°φsluÜnΘ souΦßstky systΘmu d°φve, ne₧ si uv∞domφ, ₧e v jeho poΦφtaΦi nenφ fyzicky nic vadnΘho.

Virus zjiÜt∞n² samotn²m u₧ivatelem

Jde o p°φpad, kdy u₧ivatel sßm poznß, ₧e jeho poΦφtaΦ je napaden virem. Nßsledujφcφ informace se t²kajφ p°edevÜφm vir∙ pro DOS (nikoliv Windows). VedlejÜφm ·Φinkem aktivnφch vir∙ m∙₧e b²t zpomalenφ chodu poΦφtaΦe. Toto tvrzenφ platilo p°edevÜφm v operaΦnφm systΘmu DOS, Windows je natolik "nßladov²" systΘm, ₧e plus/mφnus n∞kolik sekund nehraje ₧ßdnou roli :)

Boot viry

Boot viry lze n∞kdy poznat podle toho, ₧e v boot sektoru nechßvajφ r∙znΘ zprßvy, pop°φpad∞ vzkazy. Nap°φklad u OneHalfa je v boot sektoru zprßva "Dis is one half......".

SouborovΘ viry

Virus Bobo.530 a jeho typickß v∞ta, kterou nikdy nevypisuje. Na konci je jeho identifikace (BOBO).

TypickΘ znaky pro n∞kterΘ jednoduÜÜφ viry. Pro jistotu jsem je efektn∞ zakrouÜkoval.

U jednoduÜÜφch nijak k≤dovan²ch vir∙ mßme celkem velkou Üanci na jejich vlastnφ detekci. ╚asto se na koncφch (zaΦßtcφch) soubor∙ objevujφ r∙znΘ masky, podle kter²ch jsou soubory napadßny. N∞kdy jsou vid∞t i r∙znΘ v∞ty. V∞tÜinou ·pln∞ na konci souboru lze objevit n∞kolik v₧dy stejn²ch znak∙, podle kter²ch virus poznß, ₧e v danΘm souboru ji₧ °ßdil (ji₧ ho napadl). TΘto kontroly m∙₧e taky docφlit pomocφ nastavenφ nesmyslnΘho Φasu, datumu (nap°. n∞kterΘ viry nastavujφ sekundy na hodnotu 62, m∞sφc na 13 nebo p°iΦtou k roku +100). Jistß malß Φßst vir∙ zaokrouhluje dΘlku souboru nap°φklad tak, aby byl beze zbytku d∞liteln² 16 apod. Pokud se tyto p°φznaky vyskytujφ na vφce souborech, lze mφt velkΘ podez°enφ, ₧e poΦφtaΦ je napaden. Tyto p°φznaky jsou vid∞t na nßsledujφcφch obrßzcφch. Na prvnφm je vid∞t soubor p°ed napadenφm a po napadenφ (virus Bobo.530). Na konci viru je vid∞t i identifikace viru, ₧e soubor je napaden. Na druhΘm obrßzku jsou pak vid∞t typickΘ znaky pro jednoduÜÜφ viry (ty jsou zakrou₧kovanΘ). PodobnΘ znaky jako na druhΘm obrßzku m∙₧eme zφskat i z takovΘho "odpadu", kter²m jsou n∞kterΘ varianty viru Vienna. N∞kolik znak∙ p°ed zakrou₧kovanou oblastφ se nachßzφ p∙vodnφ hlaviΦka souboru.

Jako velmi ·Φinnß metoda na detekci spousty rezidentnφch vir∙ (i stealth viry) se mn∞ zdß p°φkaz DOSu "mem". Snad vÜechny rezidentnφ viry zm∞nφ velikost volnΘ pam∞ti. StaΦi si jen zapamatovat volnou pam∞t p°ed napadenφm a pak ji porovnat po napadenφ. V∞tÜinou b²vß zmenÜenß zßkladnφ pam∞t. N∞kterΘ viry uklßdajφ svoji kopii do HMA (Tremor). Proto je nutnΘ prohlΘdnout hodnotu "Upper Memory Block". Pokud budete volat p°φkaz "mem" s parametrem "/c" m∙₧eme ve v²pisu najφt i virus samotn² (jen v p°φpad∞ TSR vir∙).