Hlášení antivirového programu

Toto zjištění je zřejmě nejběžnější. Virus je tudíž odhalen antivirem (nebo rezidentním štítem). Jedná se zřejmě o nejlepší variantu :)

Vlastní projevy virů (viditelné projevy virů)

Destrukce dat

Destrukční aktivační rutiny mohou být dále rozděleny na bezprostřední a postupné. Win95/CIH, Win32/Magistr jsou příklady bezprostředně destruktivních virů – jednoduše přepíšou část dat na pevném disku. Postupná destrukce je prováděna takovými viry, jako jsou např. Ripper nebo Nomenklatura (oba pro DOS), které pomalu ničí data na pevném disku. To je známé též jako data-diddling. Takové poruchy jsou totiž s velkou pravděpodobností zaznamenány velmi pozdě, až když už poškozená data byla mezitím několikrát zálohována. To činí obnovu dat mnohem obtížnější, a ve většině případů je značná část dat ztracena navždy. Naštěstí destruktivní aktivační rutiny velmi často nefungují díky chybám v programování. Zdá se, že tvůrci virů nedostatečně testují tyto rutiny na svých počítačích.

Pokus o likvidaci hardwaru

Některé viry pro Windows se pokoušejí přemazat obsah paměti Flash-BIOS na základní desce, čímž znemožní start počítače. Pro opravu je nutný mechanický zásah do vnitřností počítače. Bližší informace k tomuto tématu lze najít v článku "26.duben je den viru CIH - Černobyl".

Zprávy

Vypisování všemožných zpráv na obrazovku není nic neobvyklého :)

Zvuky, melodie, řeč

Existuje několik virů, které při aktivaci hrají melodii ze systémového reproduktoru PC, popřípadě využívají přímo zvukové karty. Jiné viry zase příležitostně pípají a cvakají. Pak jsou tu také některé viry, které se pokoušejí mluvit – jedním z příkladů je virus Dreamer, který se snaží říci do systémového reproduktoru slovo Hitler!

Animace

Viry, které se projevují pomocí animace, mohou být dále rozděleny na viry s animací v textovém modu a na viry s animací v grafice. Příkladem viru s animací v textovém modu je např. virus Cascade.1701.A, který nechává padat znaky z obrazovky na její dno, a virus Walker, který produkuje na obrazovce animaci chodícího muže. Grafické aktivační rutiny jsou mnohem vzácnější především u virů pro operační systém DOS. U MS Windows je grafický režim samozřejmosti. Typickou ukázkou grafického výstupu viru, přesněji červa je I-Worm/Hybris.F, který za určitých podmínek zobrazí na monitoru točící se černobílou spirálu :)

Praktické vtipy

Některé viry zkoušejí na uživatele praktické vtípky. Některé viry úmyslně občas vloží do psaného textu nějaký ten znak navíc a uživatel tak může přijít o nervi při zjištění, kolik překlepů vytvořil :)
Podobně virus WMo/Nuclear přidává na konec dokumentů komentáře zaměřené proti francouzským nukleárním testům v Pacifiku; ty jsou potom tištěny nebo faxovány z Microsoft Wordu společně s původním textem
Jak vidíte, podobné "psychologické testy" připravují pro uživatele především makroviry :)
Několik virů se pro změnu pokouší neustále prostřednictvím modemu volat na telefonní čísla policie apod.

Falešná selhání hardwaru

Některé viry se pokoušejí simulovat selhání hardwaru. Například virus Azusa vypíná sériové a paralelní porty počítače a virus Parity_Boot dokáže vzbudit zdání, že počítač má vadné paměťové čipy. V nejhorším případě je uživatel napálen tak, že vymění příslušné součástky systému dříve, než si uvědomí, že v jeho počítači není fyzicky nic vadného.

Virus zjištěný samotným uživatelem

Jde o případ, kdy uživatel sám pozná, že jeho počítač je napaden virem. Následující informace se týkají především virů pro DOS (nikoliv Windows). Vedlejším účinkem aktivních virů může být zpomalení chodu počítače. Toto tvrzení platilo především v operačním systému DOS, Windows je natolik "náladový" systém, že plus/mínus několik sekund nehraje žádnou roli :)

Boot viry

Boot viry lze někdy poznat podle toho, že v boot sektoru nechávají různé zprávy, popřípadě vzkazy. Například u OneHalfa je v boot sektoru zpráva "Dis is one half......".

Souborové viry

Virus Bobo.530 a jeho typická věta, kterou nikdy nevypisuje. Na konci je jeho identifikace (BOBO).

Typické znaky pro některé jednodušší viry. Pro jistotu jsem je efektně zakrouškoval.

U jednodušších nijak kódovaných virů máme celkem velkou šanci na jejich vlastní detekci. Často se na koncích (začátcích) souborů objevují různé masky, podle kterých jsou soubory napadány. Někdy jsou vidět i různé věty. Většinou úplně na konci souboru lze objevit několik vždy stejných znaků, podle kterých virus pozná, že v daném souboru již řádil (již ho napadl). Této kontroly může taky docílit pomocí nastavení nesmyslného času, datumu (např. některé viry nastavují sekundy na hodnotu 62, měsíc na 13 nebo přičtou k roku +100). Jistá malá část virů zaokrouhluje délku souboru například tak, aby byl beze zbytku dělitelný 16 apod. Pokud se tyto příznaky vyskytují na více souborech, lze mít velké podezření, že počítač je napaden. Tyto příznaky jsou vidět na následujících obrázcích. Na prvním je vidět soubor před napadením a po napadení (virus Bobo.530). Na konci viru je vidět i identifikace viru, že soubor je napaden. Na druhém obrázku jsou pak vidět typické znaky pro jednodušší viry (ty jsou zakroužkované). Podobné znaky jako na druhém obrázku můžeme získat i z takového "odpadu", kterým jsou některé varianty viru Vienna. Několik znaků před zakroužkovanou oblastí se nachází původní hlavička souboru.

Jako velmi účinná metoda na detekci spousty rezidentních virů (i stealth viry) se mně zdá příkaz DOSu "mem". Snad všechny rezidentní viry změní velikost volné paměti. Stači si jen zapamatovat volnou pamět před napadením a pak ji porovnat po napadení. Většinou bývá zmenšená základní pamět. Některé viry ukládají svoji kopii do HMA (Tremor). Proto je nutné prohlédnout hodnotu "Upper Memory Block". Pokud budete volat příkaz "mem" s parametrem "/c" můžeme ve výpisu najít i virus samotný (jen v případě TSR virů).