Alwil Software BART
Situace v detekování a léčení následků počítačových virů se dá přirovnat ke stojaté vodě, která, pokud třeba v akváriu není dlouho měněna, začíná zapáchat.
Lidé chodí kolem takového akvária nevšímavě a věnují mu stále menší pozornost.
Dokud někdo vodu v akváriu nevymění za čistou a – nedej bože – nenasadí tam
třeba zlaté rybičky.
A tak se už několik let setkáváme prakticky s několika zavedenými metodami
detekce virů: se skenováním – což je porovnávání řetězců obsažených v souboru
se známými vzorky virů – a s heuristickou analýzou – což je zase předpovídání
chování viru v souboru, pokud mu dáme tu možnost být chvíli aktivní.
Jak to chodí
První metoda je jasná a většinou zdlouhavá – virus se musí najít a stanovit, který kód je tak jedinečný, aby byl přesně detekován skenerem (část antivirového programu, která detekuje přítomnost řetězce v souboru). Tento kód musí být jedinečný, protože jinak se zvyšuje riziko falešných poplachů, které jedince, sedícího před obrazovkou svého počítače, dokáže někdy vybudit k neuvěřitelným výkonům ve zbytečném mazání všeho potřebného, co má na disku. Vzhledem k tomu, že šíření virů je díky internetu bleskové, je jasné, že firmy přikročily k aktualizaci virových databází, které jsou součástí vyhledávacích programů – a to i několikrát týdně.
Druhá metoda je podobná, i zde časově náročná, ovšem s rozdílem, že se hledají podezřelé kódy, které „něco někam“ uklízejí a snaží se pak předat řízení „někam jinam“. To ovšem velmi zjednodušeně řečeno. Takový program předvídá chování útočníka a hledá neobvyklé smyčky, skoky, úklidy, přesuny, aby mohl zodpovědně říci: Hle, zde je virus, zabijme ho! Nebo – zabijme je raději všechny (kill´em all)…
Musím říci, že v hledání virů jsme asi světová jednička v počtu firem zabývajících se touto problematikou v přepočtu na tisíc obyvatel… Máme tu AEC, které svou mozkovnu využívá sice ve prospěch zahraniční společnosti, dále je to Alwil Software, Grisoft Software, a snad se na mne nebudete zlobit, když k tomu přidám i výtečnou slovenskou firmu ESET. Ti všichni se každý rok snaží objasnit stavy virů na našich tocích na konferenci Security (záběry a rozhovory z té letošní najdete v rubrice Bonus Chip CD) a na naší invexovské Antivirové konferenci. To jen tak mimochodem.
Doufám, že se zástupci jmenovaných (i nejmenovaných) firem neurazili úvodem článku, ale chtěl jsem přirovnat to, o čem je tento článek, k něčemu, co doopravdy rozvířilo stojaté hladiny našich antivirových vod nebo pročistilo akvária, ve kterých se dosud beztrestně proháněly škodlivé, špinavé, zákeřné a mnohdy i nebezpečné viry.
V obou výše popsaných případech na činnost skeneru naváže další program, který likviduje nebo deaktivuje, nebo dokonce opravuje napadené soubory. Ovšem i tady se může stát, že jednou se utrhne ucho – a je pozdě. Napadeny jsou programy, zavirovány jsou důležité soubory, registrační databáze jsou zcela pod vlivem cizích virů. Při každém spuštění počítače jsou nemilosrdně sežrány další nevinné soubory. Jak dál?
A co víc: jak na to, když jste se třeba při instalaci Windows XP spolehli, že souborový systém NTFS bude tím pravým ořechovým pro váš počítač? Zkusíte nabootovat z instalační diskety – a pokud budete sakra přemýšlet a postupovat logicky, určitě se vám povede dostat se do struktury adresářů, takže třeba zachráníte část svých souborů, které jsou vám nade vše drahé. Pokud však ve správném okamžiku zareagujete zbrkle nebo nesprávně – adios – a můžete tvořit megalomanské tabulky, dlouhé rozvahy, milostné dopisy a zprávy pro šéfa či německé majitele firmy znovu. Upozorňuji, že i oblíbený pochod přes startovací zaručeně nezavirovanou disketu se soubory IO.SYS a MSDOS.SYS a COMMAND.COM, totiž start přes MS-DOS, je vám v tento okamžik (NTFS) houby platný. A to za to snad nestojí, že?
Jdeme na věc
Snad jsem vás už dost poblouznil tím, co se může stát, když prostě počítač už neovládáte ani vy, ani operační systém. Pak je tu poslední spása, se kterou přichází firma Alwil Software. Tuhle věc dlouho tajila pod pokličkou a nyní tasila. Mohu vám říci, že během půl roku či roku bude tenhle postup součástí i jiných programů renomovaných antivirových laboratoří – ale, jak se říká, „už budou druzí…“.
Princip celé věci tkví v tom, že nehledáte viry pod řízením operačního systému, který může být nakažen, ale svůj operační systém si zavedete z CD, takže programy na něm jsou neporušené. Zapnete počítač, ovlivníte BIOS a našeptáte mu, že bootovací sekvence nebude začínat na pevném disku, ale že si má nejprve olíznout CD (nebo DVD) mechaniku. A tam se po chvíli rozjede BART. S rozdováděným klukem z amerického seriálu však tahle věc nemá vůbec nic společného, protože zkratka po rozvinutí značí Bootable Antivirus & Recovery Tools CD. Volně přeloženo: zavede vám systém a nabídne soubory, se kterými můžete přivést svůj počítač k poslušnosti nebo pomocí nich alespoň zachránit část svých předrahých dat. Program vznikl za spolupráce firem Alwil Software a Microsoft. A tak zde najdete utility, které máte na svém pevném disku, ovšem dost pravděpodobně jsou sežrány nebo nakaženy virem – jediný rozdíl je v tom, že utility mají podobnou nebo stejnou funkčnost, ale jiné názvy (to je dáno tím, že Microsoft má názvy svých programů chráněny). Takže je tu Disk Checker (Microsoft jej už dříve nazval Vyčištění disku), Registry Editor (známý Editor registru neboli též RegEdit.exe), Command-line Tool (Příkazový řádek – jen tak mezi námi, jak se ještě dneska hodí!) a Text Editor (WordPad). Poslední nabídkou na prvním místě je ovšem Avast! Antivirus, který dovede detekovat soubory (vzpomínáte si na začátek článku?), a případně kill´em all, pokud obsahují něco, co správný program v sobě nenosí.
Genialita řešení je tedy v tom, že kromě likvidace napadených souborů (můžete použít i aktualizovanou databázi virů, staženou třeba na disk) můžete nechat opravit povrch disku, zasáhnout do registrační databáze (databází) a vyházet to, co tam zaručeně nepatří – podotýkám, že to chce už vyšší dívčí (ostatně nasazení programu se předpokládá především u správců systémů) –, přepnout se do režimu příkazové řádky a tam použít příkazy známé z časů, kdy příkazová řádka byla královnou, a máte tu i editor souborů, který nevnese do souboru žádné formátovací značky, poznámky, prostě to, co tam nemá co dělat, protože „tomu“ Windows jako takové nerozumí. A tak můžete upravit soubory, které vám virus nakopl…
Bohužel tento program nemůžeme z důvodu „bootovatelnosti“ přinést na našem
Chip CD, ale napsat si o časově omezenou verzi můžete na bart@asw.cz.
A ještě něco: jsem rád, že tomuhle programu můžeme udělit Chip tip, protože
si jej jako ona pomyslná zlatá rybka v antivirové problematice určitě zaslouží!
A co víc – pochází z našich luhů a hájů…
Kdo bude ten druhý…?
BART Bootovací CD s nástroji umožňujícími léčbu viry napadeného disku s
operačním systémem Windows. |
