╚ßst 16 - CW 26/97

Viry a Φervi

Zßkladnφ informace, potφ₧e s definicemi

PoΦφtaΦovΘ viry se objevily poprvΘ v 80. letech. Tehdy provßd∞l Fred Cohen pokusy na poΦφtaΦφch s operaΦnφm systΘmem Unix pro svoji doktorskou prßci a poprvΘ pou₧il termφn, kter² se od tΘ doby v₧il. V tΘ dob∞ o virech nikdo nic nev∞d∞l, n∞kte°φ odbornφci (nap°φklad Peter Norton) jeÜt∞ koncem 80. let dokonce tvrdili, ₧e takovΘ programy principißln∞ nemohou existovat.

KusΘ zprßvy o virech se tu a tam objevovaly v ned∞lnφch p°φlohßch novin, spoleΦn∞ se zprßvami o Φesk²ch uΦitelkßch v Jugoslßvii a o kanibalech v Africe.

Situace se zm∞nila a₧ po nßstupu osobnφch poΦφtaΦ∙ IBM PC. Ty toti₧ p°inesly jednoduch² operaΦnφ systΘm, binßrnφ kompatibilitu program∙ a hlavn∞ masovou v²m∞nu dat a program∙ mezi u₧ivateli. To vÜechno jsou toti₧ faktory, bez nich₧ by poΦφtaΦovΘ viry neznamenaly v∙bec nic.

Obecn∞ je mo₧no °φci, ₧e virus je program, kter² je schopen p°idat (modifikovanou) kopii sebe sama k jin²m program∙m. Z tΘto jednoduchΘ (a ne ·pln∞ p°esnΘ) definice vypl²vß i princip, jak²m poΦφtaΦovΘ viry fungujφ. Aby mohly viry pracovat, musφ se "napojit" na n∞jak² k≤d, kter² je v poΦφtaΦi provßd∞n a kter² je zßrove≥ sdφlen mezi r∙zn²mi poΦφtaΦi. Pro sv∞t "pΘcΘΦek" z tΘto definice vypl²vajφ i r∙znΘ typy poΦφtaΦov²ch vir∙: viry, kterΘ napadajφ programy ulo₧enΘ v souborech (aplikaΦnφ programy), viry, kterΘ napadajφ systΘmovou oblast disku a nov∞ i makro viry. Z uvedenΘ definice vypl²vß i to, ₧e vir nemusφ obsahovat ₧ßdnou destrukΦnφ Φinnost (i kdy₧ samo jeho Üφ°enφ je ÜkodlivΘ) a naopak -- ne vÜechny programy, kterΘ destrukΦnφ Φinnost obsahujφ, jsou poΦφtaΦov²mi viry.

KrßtkΘ ohlΘdnutφ zp∞t

Prvnφm virem, kter² byl vytvo°en pro IBM PC, byl boot vir Brain v roce 1985. Prvnφm virem, kter² se objevil u nßs, byl v roce 1988 vir Vienna, nßsledovßn o rok pozd∞ji viry Cascade a Dark Avenger. TehdejÜφ viry byly velice jednoduchΘ. A₧ s postupem doby se objevovaly i mnohem komplikovan∞jÜφ p°φstupy, kterΘ souvisely zejmΘna s "bojem" autor∙ vir∙ proti ·sp∞Ün²m antivirov²m program∙m. Objevily se nap°φklad pam∞¥ov∞ rezidentnφ viry s technikami "stealth" proti jejich detekci, polymorfnφ viry, kterΘ jsou v ka₧dΘ svΘ kopii jinak k≤dovanΘ, tak₧e nenφ mo₧no vybrat jednoduch² vyhledßvacφ °et∞zec, multipartitnφ viry, kterΘ napadajφ jak soubory, tak systΘmovou oblast disku a podobn∞. ╪ada vir∙ zejmΘna v poslednφ dob∞ pou₧φvß techniky, kterΘ jsou p°φmo namφ°eny proti heuristickΘ anal²ze.

Nejd∙le₧it∞jÜφm faktorem, kter² nelze p°ehlΘdnout, je vÜak poΦet existujφcφch vir∙. Jestli₧e v roce 1988 existovalo kolem deseti r∙zn²ch druh∙ vir∙, na konci roku 1996 jich ji₧ bylo vφce ne₧ deset tisφc. Ne vÜechny byly samoz°ejm∞ p∙vodnφ (velkß v∞tÜina je jen modifikovanou variantou jinΘho viru) a ne vÜechny se voln∞ Üφ°φ mezi u₧ivateli -- °ada z nich toho nenφ mimochodem v∙bec schopna, proto₧e obsahuje spoustu chyb.

Voln∞ mezi u₧ivateli se Üφ°φ v souΦasnΘ dob∞ asi 500 druh∙ vir∙. Jejich seznam, na jeho₧ vytvß°enφ se podφlφ °ada odbornφk∙ z celΘho sv∞ta, je pravideln∞ publikovßn na Internetu.

SouΦasn² stav

S nßstupem nov²ch operaΦnφch systΘm∙ typu Windows 95 a Windows NT dochßzφ i ke zm∞nßm ve struktu°e vir∙. KlasickΘ souborovΘ viry jsou ΦßsteΦn∞ na ·stupu (je to dßno i tφm, ₧e programy nar∙stajφ na objemu a proto se daleko mΘn∞ distribuujφ Φi "vym∞≥ujφ" na disketßch). TakΘ v²skyt boot vir∙ pon∞kud poklesl. O to v∞tÜφ nebezpeΦφ mohou znamenat makroviry, kterΘ naÜly zejmΘna v aplikaci MS-Word ideßlnφ prost°edφ pro svoje p∙sobenφ.

Makroviry

Makroviry vyu₧φvajφ toho, ₧e modernφ aplikace jsou mocn²m nßstrojem a ve sv²ch "datov²ch" souborech neuschovßvajφ pouze Φistß data, ale i nßstroje na jejich dalÜφ zpracovßnφ. P°φkladem mohou b²t makra v MS-Wordu. Tato makra jsou bohu₧el ulo₧ena ve stejnΘm dokumentu jako text (ve formßtu OLE2) a °ada z nich m∙₧e b²t vyvolßna automaticky -- se spuÜt∞nφm Wordu, s otev°enφm dokumentu a podobn∞. DalÜφ mohou b²t automaticky spjaty s polo₧kami menu, s ikonami na pracovnφ liÜt∞ Φi s libovolnou klßvesou.

Existuje jednoduch² zp∙sob, jak makro zkopφrovat z dokumentu do globßlnφ Üablony, odkud pak vir m∙₧e b²t aktivovßn p°i ka₧dΘm nßsledujφcφm pou₧itφ MS-Wordu. Makra jsou psßna v jazyce WordBasic Φi nov∞ji p°φmo ve VBA (Office 97). Tyto jazyky jsou velmi mocnΘ a p°itom pom∞rn∞ jednoduchΘ. Navφc dφky elektronickΘ poÜt∞ si °ada u₧ivatel∙ vym∞≥uje dokumenty velmi intenzivn∞, a proto v poslednφm roce makroviry zaznamenaly neuv∞°iteln² nßr∙st v²skytu. ZvyÜuje se i poΦet nov²ch druh∙, p°φr∙stky v poslednφch m∞sφcφch se m∞°φ na stovky a jejich poΦet ji₧ p°esßhl 700. Mimo jinΘ je to zp∙sobeno i samotn²m MS-Wordem, proto₧e za urΦit²ch podmφnek m∙₧e dojφt k poÜkozenφ maker, p°iΦem₧ vir z∙stßvß nadßle funkΦnφ.

U nßs je situace zatφm pom∞rn∞ klidnß, proto₧e lokalizace MS-Wordu byla natolik d∙kladnß, ₧e v∞tÜina makrovir∙ v prost°edφ ΦeskΘho Wordu nefunguje. P°esto se u nßs prvnφ makroviry objevily ji₧ p°ed rokem a p∙l a v poslednφch n∞kolika m∞sφcφch se vyskytly masov∞ n∞kterΘ makroviry, kterΘ jsou schopny se Üφ°it i v lokalizovanΘ verzi (CAP, Bertik). Bohu₧el, s nßstupem Office 97 se situace pravd∞podobn∞ v²razn∞ zhorÜφ, proto₧e lokalizace prob∞hla pon∞kud jin²m zp∙sobem. Lze tak i u nßs v blφzkΘ budoucnosti Φekat velkou vlnu makrovir∙.

MS-Word nenφ jedinou aplikacφ, pro kterou existujφ makroviry, i kdy₧ je jist∞ tou "nejposti₧en∞jÜφ". Makroviry existujφ i pro MS-Excel, AmiPro, Lotus a podobn∞. Sv²m rozÜφ°enφm a zp∙sobem vyu₧itφ a bohu₧el i svou "podporou" z∙stane ale MS-Word cφlem Φφslo jedna i v budoucnu.

Viry, Φervi a Internet

U₧ jsme se zmφnili o elektronickΘ poÜt∞ a Internetu v souvislosti s makroviry. Z jednoho hlediska m∙₧e b²t pou₧φvßnφ Internetu velmi bezpeΦnΘ: novou verzi sharewarovΘho programu nemusφm hledat na mφstnφ "BBSce", kam ji mohl nahrßt kdokoli a program samotn² u₧ toho mohl mφt hodn∞ za sebou; na Internetu lze nalΘzt poslednφ verze program∙ pochßzejφcφch p°φmo od autor∙. To samoz°ejm∞ nezaruΦuje, ₧e se zde vir nem∙₧e vyskytnout, ale riziko je mnohem ni₧Üφ. Internet nabφzφ i znaΦnou podporu ze strany antivirov²ch firem: nejnov∞jÜφ informace o virech, aktualizace antivirov²ch program∙, vlastnφ produkty a podobn∞.

Na druhou stranu je mo₧no na Internetu nalΘzt i velkΘ mno₧stvφ vir∙ (vΦetn∞ zdrojov²ch text∙), problΘmy mohou zp∙sobit viry, zaslanΘ do diskusnφch skupin Φi nap°φklad napadenΘ dokumenty s informacemi tak, jak se to v minulosti ji₧ mnohokrßt stalo.

Vlastnφ b∞h Internetu viry ovlivnφ jen t∞₧ko -- Internet je p°φliÜ rozmanit², pou₧φvß r∙znΘ poΦφtaΦe s r∙zn²mi operaΦnφmi systΘmy a podobn∞. P°esto ji₧ v minulosti k jednomu velkΘmu ·toku doÜlo -- jednß se o nechvaln∞ znßm² program Roberta Morrise, kter² v roce 1988 postihl asi 6 000 poΦφtaΦ∙. V tomto p°φpad∞ Ülo spφÜe o program typu Φerv, kter² nenapadß jinΘ programy, ale vyu₧φvß slabin sφt∞ a Üφ°φ se z jednoho poΦφtaΦe na druh².

V souvislosti s Internetem se hovo°φ i o celkovΘ bezpeΦnosti a vyu₧itφ nov²ch technologiφ (Java, ActiveX). Ani tady nehrozφ masovΘ vytvß°enφ vir∙, spφÜe ohro₧enφ bezpeΦnosti formou trojsk²ch konφ.

K Internetu je tedy nutno p°istupovat opatrn∞ a m∞la by se dodr₧ovat stejnß pravidla, jakß platφ v "b∞₧nΘm poΦφtaΦovΘm" ₧ivot∞.

Pohled do budoucnosti

PoΦφtaΦovΘ viry z naÜeho ₧ivota bohu₧el v nejbli₧Üφ dob∞ nezmizφ. NovΘ viry se budou objevovat i nadßle, novΘ operaΦnφ systΘmy a technologie budou p°inßÜet novΘ a novΘ problΘmy, kter²m se budou muset antivirovΘ firmy i u₧ivatelΘ p°izp∙sobit. Zatφm se vÜak v₧dy naÜlo odpovφdajφcφ °eÜenφ, a tak tomu bude jist∞ i v budoucnu.

N∞kolik rad na zßv∞r

Zßv∞rem bych cht∞l p°ipomenout n∞kolik zßsad, kterΘ je velmi u₧iteΦnΘ dodr₧ovat:

1. zßsadn∞ nespouÜt∞jte ₧ßdnΘ programy s nejasn²m p∙vodem,

2. diskety, kterΘ v poΦφtaΦi pou₧φvßte, zabezpeΦujte proti p°epsßnφ, originßlnφ diskety p°ed instalacφ programu opat°ete ochranou proti zßpisu, zkopφrujte a ulo₧te na bezpeΦnΘ mφsto,

3. diskety zanechßvejte v jednotce jen po nezbytn∞ nutnou dobu, po ukonΦenφ prßce s nφ ji okam₧it∞ vyjm∞te; pokud na nφ nechcete zapisovat, opat°ete ji ochranou proti zßpisu,

4. zkuste p°ehodnotit sv∙j postoj k nelegßln∞ zφskanΘmu programovΘmu vybavenφ; jeho cesta od v²robce a₧ na vßÜ poΦφtaΦ mohla b²t dosti svΘrßznß (jeho pou₧itφ je navφc nezßkonnΘ!),

5. pokud to Setup vaÜeho poΦφtaΦe umo₧≥uje, vypn∞te zavßd∞nφ systΘmu z disketovΘ jednotky,

6. nikdy nepouÜt∞jte ke svΘmu poΦφtaΦi cizφ osoby, vhodnΘ je pou₧φvat prost°edky pro °φzen² p°φstup k poΦφtaΦi,

7. pou₧φvejte veÜkerΘ dostupnΘ prost°edky pro antivirovou prevenci, vhodn∞ zvolenΘ a sprßvn²m zp∙sobem pou₧φvanΘ antivirovΘ programy mohou p°φtomnost vir∙ detekovat vΦas a zabrßnit tak p°φpadn²m Ükodßm,

8. pozorn∞ sledujte chovßnφ svΘho poΦφtaΦe a vΦas reagujte na veÜkerΘ odchylky od normßlnφho stavu (podivnß hlßÜenφ, zvuky, chyby apod.),

9. Φasto a pravideln∞ zßlohujte data; pokud budete mφt zßlo₧nφ kopie, nem∙₧e vßs nic zaskoΦit,

10. pokud si nejste jisti tφm, co chcete ud∞lat, nesna₧te se problΘm s viry °eÜit sami. ╚asto neodborn² zßsah zp∙sobφ v∞tÜφ Ükody, ne₧ samotn² vir!

Seznamy voln∞ se Üφ°φcφch vir∙:
http://www.virusbtn.com/WildLists/

Virus Test Centrum University v Hamburgu:
http://agn-www.informatik.uni-hamburg.de/vtc/naveng.htm

Virus Research Unit University v Tampere:
http://www.uta.fi/laitokset/virus/

Seznam antivirov²ch firem:
http://www.virusbtn.com/AVLinks

Seznam dalÜφch strßnek s virovou problematikou:
http://www.virusbtn.com/AVLinks/sites.html