Alwil Software BART
Situace v detekovßnφ a lΘΦenφ nßsledk∙ poΦφtaΦov²ch vir∙ se dß p°irovnat ke stojatΘ vod∞, kterß, pokud t°eba v akvßriu nenφ dlouho m∞n∞na, zaΦφnß zapßchat.
LidΘ chodφ kolem takovΘho akvßria nevÜφmav∞ a v∞nujφ mu stßle menÜφ pozornost.
Dokud n∞kdo vodu v akvßriu nevym∞nφ za Φistou a û nedej bo₧e û nenasadφ tam
t°eba zlatΘ rybiΦky.
A tak se u₧ n∞kolik let setkßvßme prakticky s n∞kolika zaveden²mi metodami
detekce vir∙: se skenovßnφm û co₧ je porovnßvßnφ °et∞zc∙ obsa₧en²ch v souboru
se znßm²mi vzorky vir∙ û a s heuristickou anal²zou û co₧ je zase p°edpovφdßnφ
chovßnφ viru v souboru, pokud mu dßme tu mo₧nost b²t chvφli aktivnφ.
Jak to chodφ
Prvnφ metoda je jasnß a v∞tÜinou zdlouhavß û virus se musφ najφt a stanovit, kter² k≤d je tak jedineΦn², aby byl p°esn∞ detekovßn skenerem (Φßst antivirovΘho programu, kterß detekuje p°φtomnost °et∞zce v souboru). Tento k≤d musφ b²t jedineΦn², proto₧e jinak se zvyÜuje riziko faleÜn²ch poplach∙, kterΘ jedince, sedφcφho p°ed obrazovkou svΘho poΦφtaΦe, dokß₧e n∞kdy vybudit k neuv∞°iteln²m v²kon∙m ve zbyteΦnΘm mazßnφ vÜeho pot°ebnΘho, co mß na disku. Vzhledem k tomu, ₧e Üφ°enφ vir∙ je dφky internetu bleskovΘ, je jasnΘ, ₧e firmy p°ikroΦily k aktualizaci virov²ch databßzφ, kterΘ jsou souΦßstφ vyhledßvacφch program∙ û a to i n∞kolikrßt t²dn∞.
Druhß metoda je podobnß, i zde Φasov∞ nßroΦnß, ovÜem s rozdφlem, ₧e se hledajφ podez°elΘ k≤dy, kterΘ än∞co n∞kamô uklφzejφ a sna₧φ se pak p°edat °φzenφ än∞kam jinamô. To ovÜem velmi zjednoduÜen∞ °eΦeno. Takov² program p°edvφdß chovßnφ ·toΦnφka a hledß neobvyklΘ smyΦky, skoky, ·klidy, p°esuny, aby mohl zodpov∞dn∞ °φci: Hle, zde je virus, zabijme ho! Nebo û zabijme je rad∞ji vÜechny (kill┤em all)à
Musφm °φci, ₧e v hledßnφ vir∙ jsme asi sv∞tovß jedniΦka v poΦtu firem zab²vajφcφch se touto problematikou v p°epoΦtu na tisφc obyvatelà Mßme tu AEC, kterΘ svou mozkovnu vyu₧φvß sice ve prosp∞ch zahraniΦnφ spoleΦnosti, dßle je to Alwil Software, Grisoft Software, a snad se na mne nebudete zlobit, kdy₧ k tomu p°idßm i v²teΦnou slovenskou firmu ESET. Ti vÜichni se ka₧d² rok sna₧φ objasnit stavy vir∙ na naÜich tocφch na konferenci Security (zßb∞ry a rozhovory z tΘ letoÜnφ najdete v rubrice Bonus Chip CD) a na naÜφ invexovskΘ AntivirovΘ konferenci. To jen tak mimochodem.
Doufßm, ₧e se zßstupci jmenovan²ch (i nejmenovan²ch) firem neurazili ·vodem Φlßnku, ale cht∞l jsem p°irovnat to, o Φem je tento Φlßnek, k n∞Φemu, co doopravdy rozvφ°ilo stojatΘ hladiny naÜich antivirov²ch vod nebo proΦistilo akvßria, ve kter²ch se dosud beztrestn∞ prohßn∞ly ÜkodlivΘ, ÜpinavΘ, zßke°nΘ a mnohdy i nebezpeΦnΘ viry.
V obou v²Üe popsan²ch p°φpadech na Φinnost skeneru navß₧e dalÜφ program, kter² likviduje nebo deaktivuje, nebo dokonce opravuje napadenΘ soubory. OvÜem i tady se m∙₧e stßt, ₧e jednou se utrhne ucho û a je pozd∞. Napadeny jsou programy, zavirovßny jsou d∙le₧itΘ soubory, registraΦnφ databßze jsou zcela pod vlivem cizφch vir∙. P°i ka₧dΘm spuÜt∞nφ poΦφtaΦe jsou nemilosrdn∞ se₧rßny dalÜφ nevinnΘ soubory. Jak dßl?
A co vφc: jak na to, kdy₧ jste se t°eba p°i instalaci Windows XP spolehli, ₧e souborov² systΘm NTFS bude tφm prav²m o°echov²m pro vßÜ poΦφtaΦ? Zkusφte nabootovat z instalaΦnφ diskety û a pokud budete sakra p°em²Ület a postupovat logicky, urΦit∞ se vßm povede dostat se do struktury adresß°∙, tak₧e t°eba zachrßnφte Φßst sv²ch soubor∙, kterΘ jsou vßm nade vÜe drahΘ. Pokud vÜak ve sprßvnΘm okam₧iku zareagujete zbrkle nebo nesprßvn∞ û adios û a m∙₧ete tvo°it megalomanskΘ tabulky, dlouhΘ rozvahy, milostnΘ dopisy a zprßvy pro ÜΘfa Φi n∞meckΘ majitele firmy znovu. Upozor≥uji, ₧e i oblφben² pochod p°es startovacφ zaruΦen∞ nezavirovanou disketu se soubory IO.SYS a MSDOS.SYS a COMMAND.COM, toti₧ start p°es MS-DOS, je vßm v tento okam₧ik (NTFS) houby platn². A to za to snad nestojφ, ₧e?
Jdeme na v∞c
Snad jsem vßs u₧ dost poblouznil tφm, co se m∙₧e stßt, kdy₧ prost∞ poΦφtaΦ u₧ neovlßdßte ani vy, ani operaΦnφ systΘm. Pak je tu poslednφ spßsa, se kterou p°ichßzφ firma Alwil Software. Tuhle v∞c dlouho tajila pod pokliΦkou a nynφ tasila. Mohu vßm °φci, ₧e b∞hem p∙l roku Φi roku bude tenhle postup souΦßstφ i jin²ch program∙ renomovan²ch antivirov²ch laborato°φ û ale, jak se °φkß, äu₧ budou druzφàô.
Princip celΘ v∞ci tkvφ v tom, ₧e nehledßte viry pod °φzenφm operaΦnφho systΘmu, kter² m∙₧e b²t naka₧en, ale sv∙j operaΦnφ systΘm si zavedete z CD, tak₧e programy na n∞m jsou neporuÜenΘ. Zapnete poΦφtaΦ, ovlivnφte BIOS a naÜeptßte mu, ₧e bootovacφ sekvence nebude zaΦφnat na pevnΘm disku, ale ₧e si mß nejprve olφznout CD (nebo DVD) mechaniku. A tam se po chvφli rozjede BART. S rozdovßd∞n²m klukem z americkΘho serißlu vÜak tahle v∞c nemß v∙bec nic spoleΦnΘho, proto₧e zkratka po rozvinutφ znaΦφ Bootable Antivirus & Recovery Tools CD. Voln∞ p°elo₧eno: zavede vßm systΘm a nabφdne soubory, se kter²mi m∙₧ete p°ivΘst sv∙j poΦφtaΦ k posluÜnosti nebo pomocφ nich alespo≥ zachrßnit Φßst sv²ch p°edrah²ch dat. Program vznikl za spoluprßce firem Alwil Software a Microsoft. A tak zde najdete utility, kterΘ mßte na svΘm pevnΘm disku, ovÜem dost pravd∞podobn∞ jsou se₧rßny nebo naka₧eny virem û jedin² rozdφl je v tom, ₧e utility majφ podobnou nebo stejnou funkΦnost, ale jinΘ nßzvy (to je dßno tφm, ₧e Microsoft mß nßzvy sv²ch program∙ chrßn∞ny). Tak₧e je tu Disk Checker (Microsoft jej u₧ d°φve nazval VyΦiÜt∞nφ disku), Registry Editor (znßm² Editor registru neboli tΘ₧ RegEdit.exe), Command-line Tool (P°φkazov² °ßdek û jen tak mezi nßmi, jak se jeÜt∞ dneska hodφ!) a Text Editor (WordPad). Poslednφ nabφdkou na prvnφm mφst∞ je ovÜem Avast! Antivirus, kter² dovede detekovat soubory (vzpomφnßte si na zaΦßtek Φlßnku?), a p°φpadn∞ kill┤em all, pokud obsahujφ n∞co, co sprßvn² program v sob∞ nenosφ.
Genialita °eÜenφ je tedy v tom, ₧e krom∞ likvidace napaden²ch soubor∙ (m∙₧ete pou₧φt i aktualizovanou databßzi vir∙, sta₧enou t°eba na disk) m∙₧ete nechat opravit povrch disku, zasßhnout do registraΦnφ databßze (databßzφ) a vyhßzet to, co tam zaruΦen∞ nepat°φ û podot²kßm, ₧e to chce u₧ vyÜÜφ dφvΦφ (ostatn∞ nasazenφ programu se p°edpoklßdß p°edevÜφm u sprßvc∙ systΘm∙) û, p°epnout se do re₧imu p°φkazovΘ °ßdky a tam pou₧φt p°φkazy znßmΘ z Φas∙, kdy p°φkazovß °ßdka byla krßlovnou, a mßte tu i editor soubor∙, kter² nevnese do souboru ₧ßdnΘ formßtovacφ znaΦky, poznßmky, prost∞ to, co tam nemß co d∞lat, proto₧e ätomuô Windows jako takovΘ nerozumφ. A tak m∙₧ete upravit soubory, kterΘ vßm virus nakoplà
Bohu₧el tento program nem∙₧eme z d∙vodu äbootovatelnostiô p°inΘst na naÜem
Chip CD, ale napsat si o Φasov∞ omezenou verzi m∙₧ete na bart@asw.cz.
A jeÜt∞ n∞co: jsem rßd, ₧e tomuhle programu m∙₧eme ud∞lit Chip tip, proto₧e
si jej jako ona pomyslnß zlatß rybka v antivirovΘ problematice urΦit∞ zaslou₧φ!
A co vφc û pochßzφ z naÜich luh∙ a hßj∙à
Kdo bude ten druh²à?
BART Bootovacφ CD s nßstroji umo₧≥ujφcφmi lΘΦbu viry napadenΘho disku s
operaΦnφm systΘmem Windows. |
