Úvod

Definícia počítačového vírusu
Poškodenie a zneužitie záznamu na nosiči informácií
Základné rozdelenie počítačových infiltrácií
Ciele vírusu
Potenciálne zdroje nákazy

Médiá na prenos údajov
Počítačové siete
Šírenie poplašných správ (HOAX)
 

Klasifikácia vírusov a metódy ochrany

Možné prejavy infikovaného počítačového systému
Neopodstatnenosť podozrenia na vírusovú infekciu
Pasívna ochrana voči zápisu do tabuliek partícií a pred BOOT vírusmi
Opis správania niektorých BOOT vírusov
Makro vírusy
Pasívna ochrana pred makro vírusmi
Súborové vírusy
Internet červy

červ Bagle.AB
červ Netsky.B
červ Sasser.A

Zálohovanie dôležitých údajov
Antivírusové programové prostriedky

Neustála ochrana
Kontrola na požiadanie
Ochrana siete, serverov, počítačových systémov a počítačov

Riešenie vírusových incidentov

Antivírusové pracovisko
Riešenie akútnej infekcie šíriacej sa cez elektronickú poštu
Nástroje pre dezinfekciu vírusov
Program PAVCL

 

Úvod

[ Náhor ]

Definícia počítačového vírusu

[ Náhor ]

Poškodenie a zneužitie záznamu na nosiči informácií

a) také informácie neoprávnene použije,

b) informácie zničí, poškodí alebo urobí neupotrebiteľnými, alebo

c) urobí zásah do technického alebo programového vybavenia počítača,

potresce sa odňatím slobody na šesť mesiacov až tri roky alebo zákazom činnosti, alebo peňažným trestom, alebo prepadnutím veci.
 

(2) Odňatím slobody na jeden rok až päť rokov sa páchateľ potresce,

a) ak spácha čin uvedený v odseku 1 ako člen organizovanej skupiny alebo

b) ak sposobí takým činom značnú škodu, alebo ak získa sebe alebo inému značný prospech.

(3) Odňatím slobody na dva roky až osem rokov sa páchateľ potresce, ak spôsobí činom uvedeným v odseku 1 škodu veľkého rozsahu alebo ak získa sebe alebo inému prospech veľkého rozsahu.

[ Náhor ]

Základné rozdelenie počítačových infiltrácií

Počítačové infiltrácie možno rozdeliť do jednotlivých množín a podmnožín, napríklad podľa správania, podľa cieľov infekcie, podľa operačného systému alebo určenia vírusu.

Vírusy: - Pôsobením ho možno prirovnať k vírusom biologickým. Vírus pri aktivovaní infikovaného súboru spravidla zaistí vykonanie svojho vlastného tela a následne vykonanie príslušného infikovaného súboru. Jeho cieľom je vlastné šírenie v PC systémoch. Možno ich ďalej deliť:

Rezidentné: - vírus rezidentný v pamäti - počas behu počítača si vírus rezervuje časť pamäti a obsadí ju. Infikuje ostatné spustené programy.

Nerezidentné: - spôsob šírenia je prostredníctvom iných hostiteľských súborov, kde vírus nahradí časť tela svojim kódom, ktorý sa vykoná napríklad pri spustení programu. Po vykonaní vírusu môže napadnutý program pracovať ďalej.

Stealth: Túto techniku využívajú niektoré rezidentné vírusy. Technika pozostáva z maskovania prítomnosti vírusu pred používateľom. Vírus zakrýva akúkoľvek zmenu komponentov systému, napríklad dátum, čas, dĺžku súboru, zmenu zavádzacieho sektoru. Vírus simuluje neinfikované prostredie operačného systému a predkladá systému údaje, ktoré zodpovedajú správaniu neinfikovaného systému. Ak sa napríklad vyskytne požiadavka na čítanie sektoru, kde si však vírus uložil svoje telo, vírus presmeruje požiadavku na miesto, kde sa momentálne nachádza obsah originálneho sektoru. Systému sa však javí všetko v poriadku. Podmienka existencie stealth vírusov je ich zavedenie v operačnej pamäti. Ak používateľ naštartuje systém z čistej diskety, nemôže dôjsť k aktivácii vírusu, ktorý je uložený na pevnom disku.

Kódujúci: Tieto typy vírusov sa bránia detekcií tým spôsobom, že žiadna z kópii vírusového tela nie je rovnaká (kódovanie tela vírusu). Tieto druhy vírusov nemožno vyhľadať prostredníctvom metódy, ktorá vyhľadáva reťazce, ktoré zodpovedajú určitému vírusu. Našťastie vírus potrebuje aj dekódovacie rutiny, ktoré mu umožnia dekódovanie do pôvodnej podoby. Tieto rutiny možno vyhľadať a zabrániť šíreniu vírusov.

Prepisujúci: Tieto vírusy môžu byť rezidentné i nerezidentné. Premazávajú časti súborov, ktoré infikovali a to buď vlastným telom alebo "zhlukmi" reťazcov, ktoré narúšajú pôvodnú štruktúru programu. Dĺžka súboru sa však nemení. Tým sa stáva súbor nepoužiteľný. Jediná možnosť dezinfekcie je vymazať takýto súbor a nahradiť ho neinfikovaným. Antivirus však musí zabezpečiť úplnú likvidáciu a prevenciu voči takýmto vírusom v celom počítači.

Polymorfný: Polymorfné vírusy sú "zveľadené" samokódované (Encryption) vírusy. Tieto vírusy sa bránia voči antivírusovej kontrole tým, že žiadne dve kópie ich vírusového tela nie sú totožné. Tým je úplne obmedzená kontrola prostredníctvom metódy, ktorá vyhľadáva reťazce, ktoré zodpovedajú určitému vírusu. Vírus je zvyčajne tvorený dekódovacou rutinou, ktorá dekóduje zakódované telo vírusu v pamäti po jeho spustení. Úvodná dekódovacia rutina však umožňuje v prípade semipolymorfných vírusov jeho lokalizáciu (používajú statickú dekódovaciu rutinu). Plne polymorfné vírusy majú aj dekódovacie rutiny generované rôznymi spôsobmi, pričom aj dĺžka týchto rutín môže byť rôzna. Vírus ďalej môže svoje telo rozdeliť na niekoľko častí, ktoré sú náhodne umiestňované do súboru, čo sťažuje jeho detekciu.

Makro: Makro je program, ktorého účelom je uľahčiť a automatizovať používateľovi prácu s napríklad dokumentami, tabuľkovým procesorom, atď. (MS Excel a MS Word). V súčasnosti asi najrozšírenejší druh vírusov, ktorý sa vie šíriť bez ohľadu na platformu operačného systému. Tieto vírusy zneužívajú možnosť samospustenia makier napríklad pri otvorení infikovaného dokumentu alebo pri jeho uzavretí. Šírenie sprostredkuje šablóna dokumentov (NORMAL.DOT), ktorá sa po otvorení infikovaného dokumentu stáva nositeľom a šíriteľom vírusu. Každý ďaľší otvorený dokument je automaticky infikovaný.

Jeden vírus môže mať viaceré z uvedených vlastností.

Podľa cieľa infekcie

Bootovacie (Tabuľka oblastí disku, Boot sektory): Tieto vírusy zvyčajne uskutočňujú zápis do MBR (Master Boot Record - Partition Table - Tabuľka partícií - rozdelenia pevného disku), v ktorej sa určuje spôsob rozdelenia pevného disku na logické disky.

Súborové (súbory *.COM, *.EXE, *.SYS, PE súbory, ...): Sú to najrozšírenejšie vírusy a "špecializujú" sa na napádanie a poškodzovanie údajov súborov, pričom sa šíria výlučne prostredníctvom nich.

Multipartitné (tabuľky oblastí diskov, súbory): Vírusy sa môžu šíriť vo viacerých prostrediach a dokážu infikovať rôzne časti pevného disku (boot sektor, súbor)

Makro vírusy (napádajú: (*.doc, *.dot, *.wiz, *.xls, *.xlt, ...)). Makrovírusy môžu byť tiež multipartitné (napádajú dokumenty Word i Excel, niektoré dokážu vytvoriť svoju vlastnú súborovú kópiu).

Internet červy (šíria sa prostredníctvom správ elektronickej pošty, napádajú Windos PE súbory, dynamické knižnice, modifikujú registry systému). Využívajú neskúsenosť používateľov a vlastnosti klientov elektronickej pošty.

Podľa operačného systému

MS DOS vírusy - využívanie niekoľkých štandardných prerušení, nedokumentovaných funkcií DOSu. Tieto vírusy nemôžu pracovať pod iným operačným systémom (napr UNIX), ak iný operačný systém neobsahuje emulátor DOSu. Aj keď už nie je výskyt týchto vírusov bežný, vzhľadom na spätnú kompatibilitu s operačnými systémami rady Windows 9x s OS DOS, môžu pracovať „správne“, niektore nemusia pracovať vôbec. Medzi DOS vírusy, ktoré môžu v súčastnosti ohroziť funčnosť PC možno zaradiť BOOT vírusy, resp. multipartitné vírusy.

Vírusy pre Windows 95/98/Me/NT/2000. Programovanie vírusov pre uvedené operačné systémy vyžaduje väčšiu programovaciu zručnosť ako v prípade MS DOSu. Ako bolo uvedené skôr, systémy sú však čiastočne kompatibilné s DOSom, majú vstavaný emulátor DOSu, čo umožňuje vírusom určeným pre DOS čiastočné rozšírenie aj na týchto platformách. K štandardným vírusom sa naviac nabaľuje problém makro a skript vírusov a Internet červov, ktoré sú naprogramované na platforme VB, pričom v súčasnosti majoritným „médiom“ na ich šírenie je elektronická pošta.

Internet červy. Po týmto pomenovaním sa neskrývajú červy typu Morrisov červ (opísané ďalej), ale Trójske kone kombinované s vírusmi. Z definície Trójskeho kona možno prevzali schopnosť šíriť sa za výraznej pomoci samotného používateľa (napr. spustenie prílohy elektronickej pošty) a nevyžadujú vírusového hostiteľa. Na druhej strane sa dokážu tieto „červy“ replikovať, čo im prisudzuje základný znak vírusu.

Za posledné dva roky získali toto pomenovanie aj známe I LOVE YOU, HAPPY99. Nemožno ich však nazvať Internet červom. Sú to samostatné sebareplikujúce programy, ktoré využívajú vlastností používaných aplikácií systémov Windows. Množia sa prostredníctvom klientov elektronickej pošty, ktoré obsahujú v Address Booku zoznamy ďaľších adries elektronickej pošty, na ktoré rozosielajú svoje telo. Vytvára tak svoje kópie, ktoré s pomocou neznalosti používateľov umožňujú ich šírenie. Môžu infikovať súbory na pevnom disku (dynamické knižnice, PE Windows súbory, atď.).

Vírusy pre UNIX/Linux. Svojou štruktúrou a architektúrou nevytvára UNIX/Linux vhodné prostredie pre šírenie klasických vírusov. Jeho koncepcia poskytuje silnú ochranu, obsahuje vstavané kontroly na úrovni jadra OS. Sú tu jasne definované používateľské úrovne prístupu a systém používateľský účet + heslo.

Operačný systém OS/2 je veľmi príbuzný s prostredím MS DOS. Tieto operačné systémy môžu napr. spolunažívať na rovnakom dosovskom logickom disku. Ako vieme, DOS vírusy sú životaschopné a je jedine otázkou vzájomnej kompatibility, medzi DOSom a OS/2, či sa niektoré vírusy budú šíriť v prostredí OS/2. Skutočných OS/2 vírusov je však veľmi málo.

Iné ohrozenia bezpečnosti

Trójske kone. Sú to programy, ktoré môžu vykonávať oficiálne nedokumentovanú činnosť spôsobom "Trójsky kôň". Skrývajú sa poväčšinou za pláštikom "FREEWARE" a systém ich šírenia spočíva v tom, že používateľ si ich dobrovoľne nainštaluje do počítača s tým, že získa zaujímavý produkt. Po určitom čase sa začnú prejavovať príznaky, zvyčajne je to čas takej dĺžky, že používateľ stihne "odporučiť" takýto software iným osobám. Tieto programy nemožno označiť ako vírusy, pretože sa nerozširujú kopírovaním svojho tela, ale vlastnou iniciatívou používateľa. Prejav práce Trójskeho koňa môže byť napríklad simulácia prihlasovania do siete po spustení počítača tak, že sa zobrazí dialógové okno, kde má používateľ možnosť zadať meno a heslo. Po potvrdení však program ohlási, že heslo nebolo správne zadané a až teraz sa spusí pravé dialógové okno a používateľ sa prihlási do siete. Trójsky kôň v tomto prípade predstavuje hrozbu, ak sa prihlasuje správca siete so všetkými privilégiami.

Backdoors. Základná myšlienka je podobná Trójskym koňom. Rozdiel je v „architektúre“ takýchto programov, ktorá pracuje na báze klient-server. Na poškodzovanom počítači sa zabezpečí spustenie nenápadného programu – servera, ktorého úlohou je sprostredkovanie služieb a komunikácie poškodzovaného počítača ku klientovi. Klient môže pracovať na počítači v rámci lokálnej siete, Internetu a umožňuje ovládať prostredníctvom servera poškodzovaný počítač.

Bomby. Sú obdobou Trójskych koňov, môžu vykonávať nedokumentovanú činnosť, môžu odstrániť operačný systém. Zvyčajne sa spúšťajú na určitý podnet používateľa (čas, po inštalácií určitého software, atď.).

Worm (Červ). Takýto program tiež nemožno nazvať vírus. K svojmu šíreniu nepotrebuje hostiteľa – je sebestačný. Obsahuje nástroje k vytváraniu kópií v napadnutých PC. Je charakteristický pre šírenie sa v sieťach. Cieľom Wormu je vyčerpať systémové zdroje (strojový čas procesora, priestor na diskoch počítačov v sieti).

[ Náhor ]

Ciele vírusu

• študenti, ktorí si chcú vyskúšať, či "to" naozaj pracuje,
• hackers (záškodníci), ktorí sa so škodoradosťou tešia na to, že práve ich vírus niekomu spravil škodu alebo ho naplašil,
• paranoidné jedince, konkurenčné firmy - profesionálni záškodníci, profitujúci z niekoho škody.

Každý, kto napíše vírus, musí rozmýšľať nad dvoma základnými faktami:

• aby sa vírus dostatočne rozšíril (počiatočné utajenie činnosti vírusu),
• aby vírus akýmkoľvek spôsobom zaujal alebo šokoval poškodených a upozornil tým na svoju programátorskú zručnosť (prejavy činnosti vírusu).

Ak by bol vírus naprogramovaný tak, že po vniku do PC systému hneď sformátuje disk, používateľ by sa nikdy nemusel dozvedieť, že škodu mu spôsobil vírus. A naviac vírus by zničil sám seba, čím by vlastne poprel svoju identitu.

Väčšina vírusov spočiatku pracuje na pozadí bez toho, aby používateľ zistil akýkoľvek prejav chyby, čo sa vírus snaží maskovať.

[ Náhor ]

Potenciálne zdroje nákazy

[ Náhor ]

Médiá na prenos údajov

• Internet, elektronická pošta,
• diskety,
• CD-ROM médiá, optické disky a ďaľšie prenosné médiá,
• výmenné pevné disky,
• prepojenie počítačov - lokálna sieť, sériová linka, paralelná komunikácia, Internet, BBS.
• programátor, ktorý naprogramuje vírus priamo na PC.

Diskety sú často používaným médiom na zálohovanie a prenos menšieho množstva informácií, ale v kratších časových intervaloch, t.z. jedna disketa sa môže ocitnúť v krátkom čase vo viacerých mechanikách počítačov.

CD-ROM médiá sú používané na distribúciu kompletných programových balíkov. Na diskoch sa šíria aj reklamné materiály mnohých spoločností, ktoré nemusia pred výrobou CD kontrolovať obsah údajov. Týmto spôsobom dochádza k masovému šíreniu vírusov. CD môžu obsahovať aj zaujímavý freeware alebo shareware, ktoré ak nie sú nositeľmi vírusov, môžu byť tzv. "Trójskymi koňmi". Ich činnosť sa prejavuje až po určitom čase a používateľ nemusí zistiť (alebo až neskoro), že jeho systém nepracuje správne.

Nebezpečenstvo CD-ROM spočíva najmä v automatizácií niektorých postupov - napríklad automatické spustenie programu (napr. autorun.exe) pri vložení CD-ROM média do mechaniky. Používateľ nemá v takýchto prípadoch možnosť pasívnej ochrany. Ochranu mu môže poskytnúť napríklad antivírusový modul, ktorý kontroluje všetky súbory, s ktorými je vykonávaná operácia (t.z. spustenie programu autorun.exe).

Prenos vírusov sa môže uskutočňovať prostredníctvom údajových kanálov. Najväčším rizikom prenosu vírusov v súčastnosti je globálna počítačová Internet, ktorá obsahuje množstvo informačných vírusových zdrojov (zdrojové kódy vírusov, vírusy (droppers), principiálne vysvetlenie ako naprogramovať vírus, generátory vírusov, ...).

Tieto informácie sa môžu šíriť prostredníctvom rôznych služieb Internetu (WWW, FTP, ...). Určité nebezpečenstvo v sebe skrýva aj služba elektronickej pošty (e-mail). Pripojením infikovaného súboru k samotnej textovej správe môže dochádzať k jednoduchému spôsobu šírenia vírusov.

[ Náhor ]

Počítačové siete

A. nárast množstva prenesených údajov - binárnych súborov, dokumentov MS Office, komprimovaných súborov a skriptov najmä prostredníctvom elektronickej pošty,

B. záškodníctvo v podobe možnosti zverejnenia zdrojových kódov vírusov, infikovaných súborov, dropperov, generátorov vírusov, infikovaných dokumentov prostredníctvom www, ftp a iných služieb, hromadné rozosielane (SPAM) údajov na náhodne získané adresy elektronicje pošty,

C. zvýšená výmena informácií medzi tvorcami vírusov (zároveň aj antivírusových spoločností),

Šírenie vírusov však nemusí byť vedomé. Ak vírus nakazí počítač používateľa, môže jeho klient elektronickej pošty bez jeho vedomia rozosielať hromadne poštu s infikovaným obsahom. Vírusy sa ďalej môžu nechtiac skrývať v programových balíkoch BETA, FREEWARE alebo SHAREWARE verzií. Ďaľšie riziko v takomto prípade je, že principiálne nemožno zistiť kto si infikované súbory stiahol a teda nemožnosť uskutočniť zodpovedajúce opatrenia. V prípade FTP je tu možnosť identifikácie e-mail adresy, ktorá sa definuje ako prístupové heslo pri prihlasovaní (anonymous), ale len za predpokladu, že používateľ zadal korektnú adresu.

Ďaľšia hrozba spočíva v zasielaní roznych materiálov, demonštračných verzií alebo dokumentov prostredníctvom elektronickej pošty. Ak sa používateľ registruje na niektorých službách, sú mu automaticky zasielané spomínané materiály, ktoré vzhľadom na masovosť nemusia byť kontrolované.

Používateľ má možnosť pasívnej ochrany:

A. pristupovať len na známe a overené www, ftp servery, u ktorých sa predpokladá určitá zodpovednosť z hľadiska overenia zverejnených údajov,

B. s tým súvisí nevyhnutnosť vysokej opatrnosti pri prístupe na neznáme adresy,

C. nesťahovať komprimované súbory, dokumenty alebo iné formy údajov, najmä nie zo zrkadlových www alebo ftp serverov,

D. zo strany správcu siete by mali byť prijaté opatrenia na zamedzenie niektorých služieb Internetu (napríklad špecifikácia adries a služieb, ku ktorým má používateľ prístup),

E. neevokovať zasielanie správ elektronickej pošty, ignorovať propagačné materiály v pošte,

F. neotvárať pripojené dokumenty a nespúšťať súbory v elektronickej pošte z neznámych zdrojov,

Uvedené postupy by mali byť dodržané nielen v sieti Internet, ale aj v iných alternetívnych sieťach vrátane lokálnej.

[ Náhor ]

Šírenie poplašných správ (HOAX)

[ Náhor ]

Klasifikácia vírusov a metódy ochrany

• Žiadny jednorázovo aplikovaný spôsob ochrany nie je absolútny a konečný, aplikované opatrenia môžu byť časom morálne alebo principiálne znehodnotené, programy a databázy vlastností vírusov musia byť neustále a pravidelne aktualizované (Panda Antivirus – každých 24 hodín),
• Pri aplikácii zabezpečnia systému treba zladiť viacero systémových opatrení:
• Školenie používateľov,
• Predpisy pre účastníkov systému,
• Programové prostriedky Panda Antivirus,
• Sankcie za porušenie predpisov.

[ Náhor ]

Možné prejavy infikovaného počítačového systému

Počítače vykonávajú iba činnosť, na ktorú boli naprogramované. Niekedy možno sledovať odchýlky správania počítača od toho, čo sme mu zadali robiť, alebo od pôvodného správania. Niektoré charakteristické znaky môžu znamenať napadnutie počítača vírusom, ale treba si uvedomiť, že nie každý z týchto príznakov správania počítača má na svedomí vírus.

Medzi najčastejšie prejavy vírusovej infekcie patria:

Panda Antivirus

• Hlásenie antivírusového programu o operáciách s infikovanými údajmi. Programy obsahujú rezidentnú ochranu, ktorá kontroluje všetky možné body prieniku do PC systému.
• Hlásenie o nájdení vírusu.
• Hlásenie o nájdení podozrivých súborov alebo údajov.
   

Prejavy vírusu

• Počítač pracuje pomalšie (spúšťanie programov alebo otváranie súborov je výrazne časovo náročnejšie, výrazne pomalšia práca s diskovými, resp. prenosnými médiami).
• Neopodstatnený rast veľkosti niektorých súborov (zrejme infikovaných).
• Zmenšenie obsahu voľnej pamäti, neopodstatnená rezidentná inštalácia programov, nedostatok pamäti.
• Objavovanie sa náhodných neopodstatnených správ systému, neželané správy vírusu zobrazované na obrazovke, resp. na vytlačených dokumentoch.
• Problémy so štartom operačného systému.
• Zmena obsahu obrazovky (vymazanie, zmena).
• Zmiznutie niektorých súborov bez príčiny.
• Niektoré sektory alebo stopy na disku sú formátované.
• Niektoré programy sa nedajú spustiť alebo sa zmenilo ich správanie.
• Výskyt chaotických zvukových efektov, resp. nežiadaných zvukov.
• Zmenšenie obsahu (kapacity) voľnej pamäti na disku.
• Poškodenie integrity súborov a dát, poškodenie operačného systému.
• Zmena parametrov súborov, dátumu, času, nemožné dátumy a časy (napr. 30.2.2002).
• Systém nedokáže namapovať niektoré disky alebo médiá.
• Neodôvodnený prístup k disketovej jednotke (blikanie LED diódy), resp. k CD-ROM.
• Havária operačného systému.

[ Náhor ]

Neopodstatnenosť podozrenia na vírusovú infekciu

• Nesprávne nastavenie konfigurácie (štartu) počítača - v súboroch CONFIG.SYS, MSDOS.SYS, AUTOEXEC.BAT. K týmto situáciam môže dôjsť pri nesprávnej inštalácií programov (napríklad programy určené pre iný operačný systém), neukončenej inštalácií, "experimentálnom" zásahu používateľa (neodborná úprava REGISTRY, atď.).
• Použitie chybných alebo nesprávnych ovládačov periférnych zariadení (grafická karta, modem, myš, CD-ROM, tlačiareň, ...). K takémuto stavu môže dôjsť "automatizáciou" niektorých operácií systému (napríklad pri rozpoznávaní nového periférneho zariadenia).
• Nesprávne vypnutie počítača (bez "SHUTDOWN"). Na disku môžu byť otvorené súbory, alebo systémové odkladacie súbory (SWAP súbory), ktorých obsah sa nestihne vyprázdniť, čo môže viesť k chybám v FAT tabulke alebo strate dôležitých údajov napríklad v určitých adresároch.
• Zaplnenie operačnej pamäti, alebo miesta na disku a následný pád systému (napríklad spomínaným SWAP súborom). K situácií môže dôjsť pri paralelnom používaní niektorých aplikácií, ktoré vyžadujú voľnú pamäť alebo priestor na disku.
• Zaplnenie disku. Niektoré programy si odkladajú do záložných (TEMP) adresárov niektoré potrebné informácie, čo môže zabrať až niekoľko desiatok MB. V tomto prípade môže hrať rolu aj veľkosť jednotiek (UNITS) disku. Pri väčších diskoch, ktoré nie sú delené na menšie logické disky, majú jednotky veľkosť až 32 KB. To znamená, že aj 10 B súbor zaberá na disku až 32 KB. Tento problém môže súvisieť s pripojením používateľa do siete Internet, kde sa sťahuje a ukladá veľké množstvo malých súborov (100 B - 10 KB) do odkladacieho adresára (Temporary Internet Files).
• Výrazné spomalenie práce počítača - pri inštalácií programov, ktoré vyžadujú rezidentné (trvalé) zavedenie v pamäti. Napríklad sa môže jednať o programy typu "Schedule" (plánovanie úloh) alebo aj o nevhodný antivírusový software.
• Nesprávne dátumy alebo časy súborov. Možu byť spôsobené samotným používateľom (napríklad pri "experimentoch") alebo výrobcom programov, ktorý úmyselne posunul alebo zmenil dátumy alebo časy (napríklad to vyžadujú interné algoritmy programov).
• Hoax v elektronickej pošte. Hoax je textová správa, ktorá sa k používateľovi dostane elektronickou poštou. Jej obsahom je väčšinou upozornenie na veľmi nebezpečné vírusy s nedoziernymi dôsledkami po infiltrácii do počítača. Takáto hrozba však v skutočnosti neexistuje.

[ Náhor ]

Pasívna ochrana voči zápisu do tabuliek partícií a pred BOOT vírusmi

• Pri štarte počítača stlačiť DEL (Press DEL to ENTER setup),
• V CMOS SETUP UTILITY vyhľadať menu "BIOS FEATURES SETUP",
• Položku "VIRUS WARNING" nastaviť na "ENABLED".

Takáto alebo podobná správa je upozornením na zápis do bootovacieho sektoru pevného disku. Túto správu negeneruje žiadny antivírus, ale ochrana voči zápisom, ktorá je implementovaná priamo v BIOSe. Ochrana môže ale nemusí byť aktivovaná.

Táto správa nemusí znamenať, že vírus sa pokúša vniknúť do systému, ale len upozorňuje na zápis do BOOTu pevného disku. Pritom príslušný "agent", ktorý spôsobil túto správu môže byť vírus, štandardný program (FORMAT, FDISK).



Boot sektor je prvým sektorom diskety alebo logickej časti disku a jeho obsahom je kód na zavedenie operačného systému. Boot vírus uloží časť svojho tela do tohoto sektora pevného disku alebo diskety. K aktivácií takéhoto vírusu môže dôjsť jedine v prípade, že systém je zavedený (zavádzaný) z infikovaného disku alebo diskety. Zvyčajne je vírus naprogramovaný tak, že sa zavedie do pamäti odkiaľ sa uskutoční infekcia súborov na pevnom disku. V prípade, že zabudnutá disketa v mechanike pri štarte počítača má infikovaný zavádzací sektor, ale neobsahuje operačný systém, zobrazí počítač hlásenie, že neobsahuje operačný systém, ale vírus je aktivovaný.

Ak po takomto incidente vložíme napríklad do disketovej mechaniky disketu a pokúsime sa s ňou vykonať operáciu, vírus ju infikuje obdobným spôsobom. Tomu sa dá zabrániť chránením diskety voči zápisu.

Ak sa takto infikovaná disketa dostane do iného počítača, je "pripravená" infikovať ho, čo sa môže uskutočniť pri pokuse o štart z tejto diskety. V nových BIOSoch možno nastaviť poradie bootovania systému (napr.: C:, A:, CD-ROM), čím sa čiastočne môže obmedziť riziko infekcie boot vírusom z infikovanej diskety.

Ak má disketa napadnutý boot sektor, nemusí to znamenať, že sú napadnuté aj súbory na nej. Používateľ môže súbory z nej kopírovať, spustiť bez obáv z infekcie s BOOT vírusom.

Ochrana voči BOOT vírusom:
 

• Nezabúdať diskety v disketovej mechanike - vyprázdniť obsah mechaniky pred zapnutím počítača,
• Nastaviť poradie štartovacích diskov v SETUP UTILITY (C:, ...),
• Chrániť voči zápisu diskety, ktoré budú použité na iných počítačoch,
• Nastaviť varovanie pred zápisom do MBR v SETUP UTILITY,
• Kontrolovať diskety antivírusovým programom.

[ Náhor ]

Opis správania niektorých BOOT vírusov

[ Náhor ]

Makro vírusy

[ Náhor ]

Pasívna ochrana pred makro vírusmi

• obmedzenie rozsahu zmien dokumentu, ktoré môže bežný používateľ uskutočniť,
• priradenie hesla k dokumentu (zabránenie používateľovi zmenu konfigurácie ochrany), ostatní používatelia budú mať k dispozícií dokument len pre čítanie,
• označenie dokumentu len na čítanie - po realizácie zmien ho možno uložiť len s iným názvom

Tieto funkcie programov sú podrobne opísané v príslušnej dokumentácií, ktorú dodáva výrobca programov.

Prvý skutočný makro vírus pre Microsoft Excel n zachytený v júli 1996. Makro ví

O stické známym vírusom " WordMacro/Concept", pričom v prípade MS Excelu je to skupina vírusov s názvom "ExcelMacro/Laroux".

Ak bol otvorený infikovaný súbor programom Excel, vírus sa stane aktívny pri každom spustení Excelu a infikuje všetky súbory, s ktoré budú vytvorené alebo otvorené. Vírus sa môže šíriť prostredníctvom diskiet, lokálnej siete a Internetu - napríklad prostredníctvom elektronickej pošty.

Vírusy skupiny ExcelMacro/Laroux sú napísané v Visual Basic for Applications (VBA), čo je jazyk makier založený na Visual Basicu spoločnosti Microsoft. Vírusy sú určené pre verzie všetky verzie MS Excel a pre všetky jeho lokalizácie.

Vírusy ExcelMacro/Laroux zvyčajne pozostávajú z dvoch makier auto_open a check_files. Auto_open makro sa spúšťa a infikuje Zošit pri otváraní súboru.

Jednou z možností ako sa čiastočne ochrániť voči niektorým makro vírusom je naprogramovať si vlastné makro (prostredníctvom hlavného menu Tools/Macro).

Vytvorte nové makro s názvom "AutoExec" a napíšte doň:

Sub MAIN
DisableAutoMacros
MsgBox "AutoMacros are now turned off.", "Virus protection", 64
End Sub

Súbor uložte. Toto makro sa vykoná automaticky pri spustení MS Wordu. Neumožňuje spustenie (DisableAutoMacros) vírusov typu Contept, DMV a Nuclear.

Laroux (Microsoft Excel Workbooks)
Veľkosť: Okolo 2400 bytes

Ak sa otvorí infikovaný súbor s MS Excel, vírus vytvorí súbor pomenovaný "PERSONAL.XLS" v adresári, kde je Excel inštalovaný (/Program Files/ Microsoft Office/) a skopíruje sem vlastné makrá. Ak sú makrá aktívne, každý ďaľší otvorený dokument bude infikovaný. Vírus neobsahuje deštrukčné nástroje, možno ho odstrániť manuálne z infikovaných súborov. Pred vymazaním makier (Nástroje/Makro) je nevyhnutné zmeniť atribúty súboru PERSONAL.XLS "Skrytý" a "Len na čítanie". Potom možno vymazať všetky makrá (zvyčajne nazývané auto_open, check_files) zo všetkých infikovaných dokumentov.

CAP (Šablóny Word)
Veľkosť: Okolo 2400 bytes

Ak sa otvorí infikovaný súbor s MS Word, vírus zmaže všetky existujúce makrá (aj globálne) a nakopíruje svoje. Ak vírus zapíše svoje makrá do globálnej šablóny, nemožno zmazať žiadne z nich.
   
Ochrana pred vírusmi MS Access

MS Access je súčasťou programového balíka MS Office 97, 2000. Vírusy pre MS Access môžu byť naprogramované v tom istom programovacom prostredí - VBA, ale nemožno ich kombinovať s vírusmi pre Word alebo Excel.

Príklady makrovírusov


Meno: WM/Npad.018
Typ: Makro (Word)
Skupina: NPAD
Infikuje: Microsoft Word (verzie 6 a 7)
Dezinfekcia: Áno, s Panda Antivirus
In The Wild: Nie
Charakteristika: Je jedným zo skupiny vírusov "NPAD". Infikuje MS Word dokumenty a šablónu NORMAL.DOT. Vírus obsahuje počítadlo napadnutých/otvorených dokumentov. Ak dosiahne hodnotu 23, vírus sa aktivuje (prejavom je pohybujúci sa text v stavovom riadkuWord).
Spôsoby šírenia: Tento vírus sa môže šíriť všetkými bežnými spôsobmi: prenosom na diskete, CD-ROM, zdieľané pevné disky, sieť počítačov, Internet, v príponách elektronickej pošty, atď. Infikuje šablónu dokumentov MS Word.
Príznaky infekcie: Po infekcii a otvorení 23 súborov, vírus zobrazuje v stavovom riadku Wordu nasledovný text:
D0EUNPAD94, v.2.21, (c) Maret 1996, Bandung, Indonesia
Ak sa prvý krát otvorí nakazený súbor, vírus použije WIN.INI súbor, v ktorom vytvorí "počítadlo" s počiatočnou hodnotou 1. Toto číslo sa inkrementuje pri otvorení každého ďaľšieho dokumentu. Ak je hodnota rovná 23, vírus zobrazuje pohybujúci sa text v stavovom riadku programu MS Word. Po vykonaní týchto operácií, sa počítadlo vynuluje a cyklus pokračuje.
Spôsoby infekcie: WM/Npad.018 pozostáva z makra AutoOpen. Toto makro je kódované, nemožno ho prezrieť prostredníctvom menu Tools - Macro. Na začiatku makra možno nájsť text:
 

'C.A.P: Un virus social... y ahora digital..

'"j4cKy Qw3rTy" ( This e-mail address is being protected from spam bots, you need JavaScript enabled to view it ).

'Venezuela, Maracay, Dic 1996.

'P.D. Que haces gochito ? Nunca seras Simon Bolivar.. Bolsa !

Meno: W97M/Marker.BX
Typ: Makro Word
Skupina: W97M - Marker
Infikuje: Microsoft Word 97 dokumenty a šablónu
Dezinfekcia: Áno, s Panda Antivirus
Dátum aktivácie: (od) 30. júna 2000
In The Wild: Áno
Charakteristika: W97M/Marker.BX je vírus, ktorý infikuje Microsoft Word 97 dokumenty a šablónu dokumentov. Je jedným z variantov rodiny W97M/Marker makrovírusov. Dokumenty Word sú infikované ak ich používateľ otvorí a opätovne uloží.
Deštruktívna vlastnosti vírusu spočívajú v tom, že (od) 30. júna 2000 uložia aktuálne otvorený dokument 999999991 krát do systémového adresára C:\WINDOWS\ .
Spôsoby šírenia:Tento vírus sa môže šíriť všetkými bežnými spôsobmi: prenosom na diskete, CD-ROM, zdieľané pevné disky, sieť počítačov, Internet, v príponách elektronickej pošty, atď. Infikuje šablónu dokumentov MS Word.
Príznaky infekcie:Vírus kontroluje systémový čas a dátum. Ak je dátum od 30. júna 2000, aktivuje sa. Vykoná operáciu, ktorá pozostáva z 999999991 násobného uloženia aktuálneho dokumentu do C:\WINDOWS\.
Mená súborov majú nasledovný formát: AA*AA.DOC, kde * je číslo medzi 1 a 999999991. Výsledkom je nedostatok miesta na pevnom disku.
Spôsoby infekcie: Vírus pozostáva z dvoch makier Document_Close a Document_Open. Obe makrá sa spustia pri otvorení a zatvorení dokumentu.
Po zatvorení dokumentu infikovaného s W97M/Marker.BX sa uzavrie i vírus, ktorý infikoval i NORMAL.DOT.
Infikujúce makro obsahuje kód:"la macro SDF de colmbia xxa"

[ Náhor ]

Súborové vírusy

• Zmena veľkosti súborov,
• Nesprávne dátumy a časy,
• Zobrazovanie chybových hlásení

Vizuálne prejavy po spustení programu a pri práci s počítačom:

• nežiadúce zvukové a obrazové efekty

Identifikácia a riešenie infiltrácií so súborovými vírusov vyžaduje dokonalé zvládnutie spomínanej problematiky. Bežný používateľ pri spozorovaní príznakov infekcie by mal v každom prípade zachovať rozvahu a obrátiť sa na špecialistu v uvedenej problematike.

[ Náhor ]

Internet červy

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

alebo

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

do ktorých vkladajú hodnoty (cesta k súboru, ktorý sa pri každom štarte operačného automaticky aktivuje).

Pri dezinfekcii týchto vírusov antivírusovým programom je potrebné dodržať postup (napr. PrettyPark), pri ktorom sa odstránia napred záznamy v REGISTRY a potom sa dezinfikuje počítač, pretože pri opačnom postupe by niektoré aplikácie nemuseli byť funkčné.

Panda Software publikuje na svojich stránkach, prípadne dodáva s inštalačným CD čističe systémových REGISTRY a dezinfektory pre tých, ktorí sa už stali obeťou vírusovej infekcie (napr. pre vírusy COOL NOTEPAD, FUNLOVE, I LOVE YOU, KAK WORM, MATRIX, NAVIDAD, SHELL SCRAP, VERONA, PRETTY PARK, ANNA KOURNIKOVA, atď.).

Pre stručnosť uvádzame informácie o aktuálnych vírusových infekciách. Informácie o ostatných počítačových infiltráciách možno nájsť na www.pandasoftware.sk .


Meno: W32/Hybris
Alias: I-Worm/Hybris, W32/Hybris.gen @ M
Typ: Windows červ
Veľkosť: Od 23.040 do 28.672 bajtov v závislosti od inštalovaného plug-in.
Liečiteľný: Áno, s Panda Antivirus
Pôvod: Brazília
"In The Wild": Áno
Charakteristika: W32/Hybris je kódujúci červ, ktorý sa šíri prostredníctvom správ elektronickej pošty. Jedným z cieľov tohoto Trójskeho koňa je monitorovanie odchádzajúcich správ elektronickej pošty. Ďalej je ešte schopný vlastnej aktualizácie prostredníctvom Internetu, ktorý mu umožňuje inštaláciu stále nových plug-in. To mu umožňuje modulárnosť pri vykonávaní rôznych nežiadúcich operácii po napadnutí systému.
Spôsoby šírenia: Tento červ používa na svoje rozširovanie do ďaľších systémov správy elektronickej pošty. Presnejšie, vždy pri odoslaní e-mail správy vykoná odoslanie ďaľšej tomu istému príjemcovi. Táto správa obsahuje text a jeho kópiu - pripojený súbor. Obsah správy sa môže rôzniť podľa jazykovej mutácie systému.
Príznaky infekcie: Ačkoľvek používateľ nebadá žiadne príznaky infekcie, skutočnosť, že správy elektronickej pošty od neho odchádzajúce obsahujú "samoaktualizovateľný" infektor, je nebezpečná. Používateľom, ktorí nepoužívajú antivírusovú ochranu možno doporučiť nespúšťanie akéhokoľvek programu, ktorý im príde elektronickou poštou.
Červ vytvorí súbor "WININIT.INI" v adresári, kde je nainštalovaný operačný systém. Obsah tohoto súboru bude použitý k premenovaniu "WSOCK32.DLL", ktorú červ infikoval pri nakazení. Samostatne sa aktualizuje prostredníctvom Internetu - umožňuje mu inštaláciu stále nových plug-in.
Ciele infekcie:

• Infikuje " WSOCK32.DLL", ktorá sa nachádza v adresári, kde je inštalovaný Windows.
• Vytvorí "WININIT.INI" v tom istom adresári.
• Inekcia pozostáva z kopírovania dekódovaného kódu červa do "WSOCK32.DLL" rovnako ako úprava niekoľkých jeho funkcií, ktoré môže vykonať. Používa niektoré funkcie k odosielaniuprijímaniu údajov. Takto je schopný monitorovať odchádzajúce správy elektronickej pošty.
• Červ obsahuje kód k modifikácii Windows REGISTRY. Umožňuje mu zotrvať aktívnym počas práce s OS.
• Správanie vírusu je závislé od inštalovaného "plug-in". Možno zdôrazniť nasledovné:

Jeden plug-in umožňuje aktiváciu 24. 9. 2001, kedykoľvek sa hodnota minút systémovehó času bude rovnať "59". Ak nastane takáto situácia, zobrazí sa obrázok, ktorý znázorňuje animovanú špirálu.

Ďaľší plug-in infikuje Windows PE súbory s "EXE" príponou.

Niektoré ďaľšie plug-in umožňujú červu modifikovať text subjektu (Subject) správ elektronickej pošty tým istým menom, ako pripojený súbor.

Zaujímavosťou je možnosť aktualizácie jednotlivých plug-in. Červ používa dve rozdielne metódy. Jednou je pokus k stiahnutiu plug-in z www stránok. Druhou je možnosť aktivácie spojenia s "news group" nazvanou alt.comp.virus.

Panda Antivirus začne testovať Váš systém. Počas procesu bude antivírus detekovať infikovaný súbor (WSOCK32.DLL). Zvoľte jeho dezinfekciu.


Meno: VBS/SST.A
Alias: I-Worm/Lee.O
Typ: Internet červ
Dezinfekcia: Áno, s Panda Antivirus
"In The Wild": Nie
Charakteristika: VBS/SST.A je červ napísaný vo Visual Basic Script (VBS). Jeho činnosť mu umožňuje inštalovaný Windows Scripting Host (napríklad, ak máte na PC inštalovaný MS Internet Explorer 5). Infektor sa šíri prostredníctvom elektronickej pošty ako súbor s menom AnnaKournikova.jpg.vbs. Nie je to však grafický súbor s menovanou tenistkou, ale VBS skript.
Ak je červ uvedený do činnosti, vykoná nasledovné zmeny:

 

• HKCU\software\OnTheFly. s hodnotou "Worm made with Vbswg 1.50b", ktorá slúži ako podpis.
• HKCU\software\OnTheFly\mailed. Táto hodnota vymedzuje, či je červ zaslaný elektronickou poštou. V tomto prípade je ďalej postúpený v ďaľších správach.

Po spustení programu sa vírus nakopíruje do adresára, kde je inštalovaný Windows s nasledovným menom: AnnaKournikova.jpg.vbs. Potom je postupne rozosielaný na adresy uvedené v používateľovom adresári Outlook nasledovne:

Subject: Here you have, ;o)
Telo správy: Hi: Check This!

Pripojený súbor: ANNAKOURNIKOVA.JPG.VBS, ktorý je kópiou pôvodného súboru. Správa je zmazaná akonáhle bola odoslaná. Nezaznamenáva sa v zložke "sent items". Nakoniec je zaujímavé spomenúť, že červ obsahuje komentár, ktorý určuje zdroj (vírusový generátor): Vbs Worms Generator 1.50b (Vbswg 1.50b).


Meno: W32/Disemboweler
Alias: W32/Magistr@mm
Typ: Polymorfný červ
Infikuje: Windows PE súbory (EXE, DLL, DCX, SCR, CLP, atď.).
Dezinfekcia: Áno, s Panda Antivirus
"In The Wild List": Nie
Charakteristika: W32/Disemboweler je polymorfný červ s nasledovnými vlastnosťami:
 

• Červ sa šíri prostredníctvom droppera (prvotného infektora) elektronickou poštou ako príloha. Náhodne si vyberá adresy elektronickej pošty zo správ v napadnutom počítači a odosiela na ne svoju kópiu. Červ si kontroluje či záznam v registry HKEY_LOCAL_MACHINE\Software\Clients\Mails je korešpondujúci s Outlook Express alebo Netscape.
• Infikuje Windows PE files (EXE, DLL, OCX, SCR, CPL, atď.) nájdené na pevnom disku. Ako u všetkých polymorfných vírusov, infikujúca rutina sa mení. Jeho detekcia je preto obtiažna.
• Červ používa techniku, ktorá sťažuje debugovanie. Kontroluje, či sú aplikácie debugované na Windows 95 platforme alebo s použitím iného software (typu Softice), ktorý môže byť inštalovaný v PC. V takomto prípade si podchytí prerušenie INT 13.

Spôsoby šírenia: W32/Disemboweler sa šíri elektronickou poštou ako príloha. Správy sú odosielané náhodne na viacero adries elektronickj pošty, ktoré sú získané z prišlých správ v počítači. Subjekt a telo odosielanej správy je zvolené náhodne. Červ generuje text náhodne z textov, ktoré sú nájdené na pevnom disku. Je zaujímavé dodať, če si uchováva zoznam adries, na ktoré odoslal svoju kópiu.
Príznaky infekcie: Infikuje PE súbory s príponou EXE, DLL, OCX, SCR, CPL, a pod. Možno pozorovať zmenu veľkosti týchto súborov. Prvým varovným príznakom je však prijatá podozrivá správa elektronickej pošty. Používateľ si musí uvedomiť, že nemôže spúšťať všetko, čo sa mu do mailboxu dostane.
Vírusový kód obsahuje text:

ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler. by: The Judges Disemboweler. written in Malmo (Sweden).
 

Another haughty bloodsucker

YOU THINK YOU ARE GOD, BUT YOU ARE ONLY A CHUNK OF SHIT

sentences you, sentences him to, sentence you to, ordered to prison, convict, judge, circuit judge, trial judge, found guilty, find him guilty, affirmed, judgment of conviction, verdict, guilty plea, trial court, trial chamber, sufficiency of proof, sufficiency of the evidence, proceedings, against the accused, habeas corpus, jugement, condamn, trouvons coupable, Ó rembourse, sous astreinte, aux entiers dÚpens, aux dÚpens, ayant dÚlibÚrÚ, le prÚsent arrŰt, vu l,27h,arrŰt, conformÚment Ó la loi, exÚcution provisoire, rdonn, audience publique, a fait constater, cadre de la procÚdure, magistrad, apelante, recurso de apelaci, pena de arresto y condeno, mando y firmo, calidad de denunciante, costas procesales, diligencias previas, antecedentes de hecho, hechos probados, sentencia, comparecer, juzgando, dictando la presente, los autos, en autos, denuncia presentada

Na záver možno konštatovať, že vírusový kód obsahuje znaky, ktoré ho "pomenovali" a poukazujú na jeho údajný pôvod:

ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler. by: The Judges Disemboweler. written in Malmo (Sweden)

Meno: W32/Naked
Alias: W32/Naked@mm, NakedWife
Typ: Internet červ
Veľkosť: 73728 bajtov
Dezinfekcia: Áno, s Panda Antivirus
" In The Wild List": Nie
Charakteristika:W32/Naked je Internet červ skrývajúci sa pod hlavičkou Macromedia Flash. Ak spustíte program "Nakedwife.EXE", ktorý Vám príje napríklad elektronickou poštou, rozošle kópie svojho tela všetkým, ktorých adresa elektronickej pošty je MS-Outlook Address Book. Vírus maže súbory s príponami *.INI, *.LOG, *.DLL, *.EXE, *.COM, *.BMP v adresári Windows a *.INI, *.LOG, *.DLL, *.EXE, *.BMP v Windows/System.
Súbor, ktorý obsahuje tohoto červa má veľkosť 73728 bytes, je napísaný vo Visual Basic 6.
Spôsob šírenia:
Červ je naprogramovaný tak, že rozošle kópiu svojho tela na všetky adresy elektronickej pošty MS-Outlook. Rozosielané správy majú nasledovné vlastnosti:

Subjekt: "FW: Naked Wife" ".

Telo správy: " > My wife never look like that! ;-) ".

Best regards

Príloha: "NAKEDWIFE.EXE"

Je zaujímavé, že vírus kopíruje svoje telo do dočasného adresára (/Windows/Temp/) aby sa mohol ďalej rozoslať. K vykonaniu rozoslania musí byť jeho meno totožné: NAKEDWIFE.EXE. Ináč sa nekopíruje do Temp adresára. Ak bol aktivovaný pod iným menom, rozpošle správy používateľom, ktorých adresy boli v Address book-u, ale bez pripojeného súboru.
Príznaky infekcie: Ak spustíte program, zobrazí sa okno "Flash":
Používateľ má jedinú možnosť menu: Help -> About Macromedia Flash Player. Ak ju zvolí zobrazí sa okno so správou:

You´re are now FUCKED! (C) 2001 by BKG (Bill Gates Killer)

Rozšírené informácie: Kód vírusu pozostáva z Unicode textu, ktorý určuje cestu k zdrojovému súboru, kde bol vytvorený. Cesta obsahuje meno brazílskej poisťovacej spoločnosti. Cesta je nasledovná: C:\Documents and Settings\mhsantos\Desktop\Temp\ProjTemp\ProjTemp.vbp.

"mhsantos" hovorí o osobnom adresári tvorcu vírusu. Možno je to zastierací manéver, aby sa zabránilo odhaleniu skutočného tvorcu.

[ Náhor ]

Bagle.AB

Can't find a viewer associated with the file

Bagle.AB vytvára v systémovom adresári Windows nasledujúce súbory:

DRVDDLL.EXE a DRVDDLL.EXEOPEN. Tieto súbory sú kópie červa.
DRVDDLL.EXEOPENOPEN. Tento súbor vo VBS formáte vytvára a spúšťa kópiu červa v napadnutom počítači.

Červ vytvára tiež nasledujúci záznam vo Windows registry:

HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
drvddll.exe = %sysdir%\ drvddll.exe
kde %sysdir% je Windows systémový adresár.

Vytvorením tohto záznamu si Bagle.AB zabezpečí svoje spustenie pri každom spustení Windowsu.

Bagle.AB je naprogramovaný v jazyku Visual.C. Jeho veľkosť je približne 20.000 bytov a je komprimovaný pomocou UPX.

[ Náhor ]

Netsky.B

[ Náhor ]

Sasser.A a B

[ Náhor ]

Zálohovanie dôležitých údajov

• Kópie používaných programov (inštalačné diskety, CD, ...),
• Kópie systémových súborov,
• Kópie dokumentov, dôležitých súborov, údajov a informácií,
• Kópie šablón dokumentov.

Prostriedky na zálohovanie:

• Záložné servery, výpočtové stredisko, komunikačné linky,
• Externá servisná spoločnosť,
• Médiá (diskety, CD-ROM, ...).

Ak zálohujeme údaje na médiách, musíme brať do úvahy ich životnosť, preto je nevyhnutné najdôležitejšie súbory zálohovať na viacerých nezávislých médiách. Dôležité je aj zálohovanie niekoľkých posledných verzií programov alebo dokumentov za sebou preto, aby bolo možné sa vrátiť v prípade núdze k starším verziám.

Údaje je vhodné zálohovať v komprimovanom tvare. Väčšina vírusov je orientovaná na nakazenia špecifických súborov (napr. EXE alebo COM) a nepoznajú vnútornú štruktúru kompresného formátu (česť výnimkám). Tak isto nemôže dôjsť k otvoreniu dokumentu MS Word alebo Excel bez vedomého súhlasu používateľa (rozbalenie súboru).

Záloha systémových údajov:

• Obsah tabuľky partícií, boot sektorov a CMOS - údaje dôležité pre štart PC, je nevyhnutné aktualizovať ich napríklad po zmene konfigurácie CMOS (potrebné nástroje obsahuje Panda Safedisk – Záchranné diskety),
• Konfiguračné súbory operačného systému - je vhodné zálohovať pri zmene konfigurácie počítača alebo pred a po inštalácií nového software,
• Záloha systémových súborov - vytvorenie záchrannej štartovacej diskety diskety (napríklad pomocou príkazu format a: /s), disketa by mala obsahovať aj nevyhnutné oblužné nástroje (format, fdisk, ...

Záloha dokumentov alebo šablón:

• Šablóny dokumentov MS Office - nachádzajú sa v adresároch, kde je inštalovaný MS Office (Sablony, Templates),
• Pravidelná záloha všetkých cenných dokumentov.

[ Náhor ]

Antivírusové programové prostriedky

• Organizačné opatrenia,
• Technické opatrenia,
• Správa antivírusovej ochrany Panda a spôsob aktualizácie,
• Stratégia zálohovania údajov,
• Spôsob kontroly.

Realizácia systému antivírusovej ochrany Panda

Problém antivírusovej ochrany je spojený s problémom zabezpečenia sietí a oba sa na mnohých miestach prelínajú. V prípade vzniku infekcie je dôležitá úroveň a spôsob zálohovania.

Antivírusové programy Panda Antivirus ponúkajú pre všetky platformy viacero nástrojov na zabezpečenie voči infiltráciám vírusového typu.

Môžu to byť:

• Neustála ochrana súborového systému pracovných staníc a serverov,
• Neustála ochrana elektronickej pošty a Internetu vrátane komunikačných kanálov a groupware serverov,
• Kontrola na požiadanie, plánovanie tejto kontroly,
• Pre všetky uvedené ochrany je riešená automatická detekcia a dezinfekcia.

Antivírusové programové prostriedky Panda spĺňajú náročné kritériá:

• Vysoká detekčná schopnosť a rýchlosť procesu detekcie,
• Možnosť analýzy systému na doteraz nedokumentované vírusy (heuristická analýza),
• Riešenie pre širokú škálu najčastejšie používaných platforiem operačných systémov,
• Riešenie aktualizácie databáz vírusov, denná frekvencia aktualizácie, možnosť jednoduchej aplikácie pre správcu systému,
• Ponúkané zodpovedajúce antivírusové služby spoločnosti Panda Software Slovensko,
• Riešenie aplikácie na jednotlivé pracoviská, zaškolenie pracovníkov, jednoduché používateľské rozhrania produktov a jednoduchá obsluha.

[ Náhor ]

Neustála ochrana

• Pre bežiace programy,
• Pre kopírované súbory,
• Pre premiestňované súbory,
• Pre zmenu mena súborov,
• Pre dekomprimujúce sa súbory,
• Pre "sťahovanie" súborov z komunikačných liniek (LAN, Internet, ...),
• Pre infikované súbory rezidentným vírusom,
• Pri načítavaní bootovacích sektorov diskiet,
• Pre elektronickú poštu,
• Pre Internet komunikačné kanály,

[ Náhor ]

Kontrola na požiadanie

[ Náhor ]

Ochrana siete, serverov, počítačových systémov a počítačov

• Organizačné opatrenia,
• Zodpovednosť a zainteresovanie jednotlivých používateľov,
• Kompetencie správcu v prípade nebezpečenstva,
• Postihy používateľov v prípade porušenia technických opatrení,
• Technické opatrenia,
• Používanie len legálne zakúpených programových prostriedkov,
• Nasadenie antivírusovej ochrany Panda,
• Zálohovanie údajov.

Realizácia systému antivírusovej ochrany je spojená s problémom zabezpečenia sietí a oba sa na mnohých miestach prelínajú. V prípade vzniku infekcie je dôležitá úroveň a spôsob zálohovania.

[ Náhor ]

Riešenie vírusových incidentov

• Lokalizácia vírusových incidentov, upovedomenie kompetentných osôb (elektronickou poštou, SMS, ...),
• Zistenie aktuálneho stavu a dôvod, prečo nastal,
• Získanie a aplikácia aktualizovaných antivírusových programov.

Základnou prevenciou mimoriadnych situácií je pravidelne (každých 24 hodín) aktualizovaná antivírusová ochrana na pracovných staniciach pracovníkov. Súčasťou prevencia je antivírusové pracovisko obsahujúce programové prostriedky, ktoré pomáhajú vírusové incidenty riešiť.

Postup pri podozrení na vírusový incident:

• Prezrú sa antivírusové logy pracovnej stanice, mail servera, prípadne proxy servera, firewallu. Identifikuje sa, ci bol zaznamenaný výskyt vírusu vzťahujúci sa k danej stanici.
• Vykoná sa test podozrivého systému klasickým AV skenerom
• Podozrivé súbory sa odoslú ako príloha na This e-mail address is being protected from spam bots, you need JavaScript enabled to view it s popisom problémov
• V akútnych prípadoch sa vzorky posielajú priamo do laboratórií Panda Software ako príloha na This e-mail address is being protected from spam bots, you need JavaScript enabled to view it Treba uviest meno spoločnosti, registračné číslo, stručný opis v angličtine a do predmetu spr&a cute;vy SOS12.

[ Ná hor ]

Antivírusové pracovisko

Anti írusové pracovisko je nástroj pre správcu systému umožňujúci rýchle klasifikovanie súborov podozrivých na obsah vírusových infiltrácií. Obsahuje typickú konfigurácia klientskeho počítača organizácie. Obsahuje inštalovaný a aktualizovaný antivírusový systém Panda. Postup pri riešení vírusového incidentu:

• Na antivírusové pracovisko sa prenesú skúmané súbory (cez sieť, diskety, ...)
• Pracovisko sa odpojí od siete
• Urobia sa AV testy podozrivých súborov
• Podozrivé súbory sa aktivujú, pričom sa neustále monitoruje ich súborová aktivita, ako i intergrita systému.

Ak výsledky analýzy ukážu, že súbory boli infikované Antivírusové pracovisko sa celé pregeneruje zo zálohy.

Súčasťou pracoviska správcu systému je kompletný balík inštalačných CD a diskiet zakúpeného a inštalovaného programového vybavenia v organizácii. Može sa jednať o zálohy všetkých používaných operačných systémov (pracovné stanice, servery), kancelárskych balíkov, vrátane ich Service Pack-ov alebo upgrades a ďaľších používaných aplikácii.

U záloh operačných systémov je doporučované zálohovať i štartovacie diskety pre jednotlivé operačné systémy, poprípade boot CD.

Ďaľšou súčasťou pracoviska správcu systému je aktualizovaná antivírusová ochrana Panda. Obsahuje:

• CD s najaktuálnejšími verziami (mesačná aktualizácia – obsah aktualizačného CD upresňuje sprievodný list k aktualizácii),
• Pravidelne aktualizované nástroje pre dezinfekciu napadnutých PC (sú súčasťou aktualizačného CD, aktuálne k dispozícii na www.pandasoftware.sk a prácu s nimi upresňuje kapitola Nástroje pre dezinfekciu vírusov),
• Pravidelne aktualizované záchranné diskety pre všetky typy operačných systémov (vytvorenie, obsah a použitie upresňuje kapitola Program PAVCL, resp. dokumentácia k programom),
• Dokumentáciu k jednotlivým programom (je i súčasťou aktualizačného CD, aktuálne k dispozícii na www.pandasoftware.sk),
• Licenčnú zmluvu s uvedeným používateľským menom a heslom pre prístup k najaktuálnejším programom, informáciam a aktualizácii Panda,
• Inštalované a aktualizované nástroje pre sieťovú správu antivírusovej ochrany Panda v organizácii (Panda Administrator),
• Pokyny pre riešenie vírusových incidentov.

[ Náhor ]

---

Riešenie akútnej infekcie šíriacej sa cez elektronickú poštu

• Deaktivovať interný mail server organizácie, tým zabrániť ďalšiemu šíreniu vírusu.
• Okamžite varovať používateľov, aby neprijímali správy
• Identifikovať vírus
• Odstrániť vírus z pracovných staníc
• Odstrániť vírus z radov správ na mail serveri. Keďže toto môže byť u mnohých mail serverov problém, dá sa to riešiť tak, že sa varujú používatelia, aby nepoužívali poštu, povolí sa mail servera a pred dezinfekciou vírusu na stanici urobiť príjem pošty, tým sa vzprázdni rad správ pre danú stanicu.

[ Náhor ]

Nástroje pre dezinfekciu vírusov

• Stiahnite si PQREMOVE.COM (resp. nakopírujte z inštalačného CD Panda) a nakopírujte do adresára na pevnom disku infikovaného počítača (napr. na Plochu)
• Spustite PQREMOVE.COM poklepaním na ikonu.
• Po vykonaní týchto krokov bude PC dezinfikované, čo oznámi okno programu .

Počítač možno dezinfikovať aj nasledovnými spôsobmi:

Metóda 1 pre Windows 95/98/Me:

• Stiahnite si ANTINAV.REG (resp. nakopírujte z inštalačného CD Panda) a nakopírujte do adresára na pevnom disku infikovaného počítača (napr. na Plochu).
• Spustite ANTINAV.REG poklepaním na ikonu.
• Zmažte súbor WINTASK.EXE, ktorý sa nachádza v adresári C:\WINDOWS\SYSTEM (adresár SYSTEM sa nachádza tam, kde je inštalovaný operačný systém).
• Reštartujte počítač.

Pre Windows NT (UPOZORNENIE: k vykonaniu nasledovných krokov potrebujete privilégium administrátora):

• Stiahnite si ANTINAV.REG (resp. nakopírujte z inštalačného CD Panda) a nakopírujte do adresára na pevnom disku infikovaného počítača (napr. na Plochu).
• Spustite ANTINAV.REG poklepaním na ikonu.
• Ukončite úlohu WINTASK.EXE podľa nasledovných krokov:
• Stlačte naraz CTRL+ALT+ DEL. Zobrazí sa okno klepnite Správca úloh (Task Manager).
• Zvoľte záložku Úlo y (Tasks).
• Zobrazí sa zoznam aktívnych úloh.
• Zvoľte úlohu WINTASK.EXE a stlačte tlačítko Ukončiť úlohu (End Task). Týchto úloh môže byť v zozname aktívnych úloh viac, opakujte postup pre každú zvlášť.
• Zmažte súbor WINTASK.EXE, ktorý sa nachádza v adresári C:\WINDOWS\SYSTEM32 (adresár SYSTEM32 sa nachádza tam, kde je inštalovaný operačný systém).
• Reštartujte počítač.

Metóda 2 (prostredníctvom MS-DOS)

• Stiahnite si ANTINAV.REG cez neinfikovaný PC (resp. nakopírujte z inštalačného CD Panda) a nakopírujte do adresára na pevnom disku infikovaného počítača (napr. na Plochu).
• Nakopírujte ho na systémový disk alebo Záchrannú disketu (Safedisk).
• Naštartujte infikovaný počítač zo systémového disku, Záchranných diskiet (vložte systémovú disketu s ANTINAV.REG do mechaniky infikovaného počítača pri jeho zapnutí).
• Po naštartovaní systému vpíšte: PATH C:\WINDOWS a stlačte Enter.
• Spustite súbor ANTINAV.REG z diskety. Do príkazového riadku zapíšte: REGEDIT ANTINAV.REG a stlačte Enter.
• Zmažte súbor WINTASK.EXE, ktorý sa nachádza v adresári C:\WINDOWS\SYSTEM32 alebo SYSTEM (adresár SYSTEM32 alebo SYSTEM sa nachádza tam, kde je inštalovaný operačný systém).
• Reštartujte počítač.

[ Náhor ]

Program PAVC

• Pamätajte, že ak chcete testovať počítač v nezavírenom prostredí, musíte zaviesť systém z prvej (systémovej) diskety DISK1 a potom vložiť druhú, ktorá obsahuje program PAVCL.EXE (DISK2).
• Potom možno aktivovať Pavcl. Nasledujúci príkaz otestuje všetky disky na počítači a pokúsi sa dezinfikovať všetky nájdené vírusy:
  • PAVCL /ALL /CLV /AUT /AEX
• Program si po spustení vyžiada DISK3. Na ňom je komprimovaná databáza vírusov PAVSIG.CMP .
• Program si po skončení testu vyžiada disketu (spravidla DISK1), kde je program COMMAND.COM príslušného operačného systému.

Používateľ ktorejkoľvek verzie Panda Antivirus si môže všetky tri diskety vytvoriť priamo cez zodpovedajúce programové menu. Môže tým predísť neželaným škodám na svojich údajoch.

Syntax:
PAVCL [Parameter1] [Čo sa má testovať] [Parameter2]

napríklad:
PAVCL C:\DOS D: /AEX /CLV /AUT

Cesta (cesty) sa pod DOS-om uvádzajú podľa nasledovnej syntaxe:
[DISK:]\[CESTA][MENO_SUBORU]

Parametre programu PAVCL.EXE:

• /NOM
  bez kontroly pamäti
• /MEM
  kontrola pamäti
• /NOB
  bez kontroly BOOT systému
• /NOF
  bez kontroly súborov
• /ALL
  test všetkých diskov v počítači
• /LOC
  test lokálnych diskov
• /ITW
  test len "In the wild" vírusov
• /NBR
  zákaz prerušenia činnosti programu s ESC alebo Ctrl-Break
• /INVA
  vyhľadávanie neznámych vírusov na diskete A:
• /INVB
  vyhľadávanie neznámych vírusov na diskete A:
• /CLV
  odstránenie nájdených vírusov
• /LIS
  zoznam vírusov, ktoré sú známe tejto verzií
• /SAV
  uloží parametre do súboru
• /NSB
  bez kontroly vnorených podadresárov
• /PTH
  test adresárov špecifikovaných v DOS (resp. Windows) PATH
• /ISO
  izolácia
• /HEU
  aktivácia heuristickej analýzy
• /CMP
  hľadanie vírusov v komprimovaných súboroch
• /NOS
  bez zvukového upozornenia
• /AEX
  test všetkých súborov nezávisle od ich prípon
• /AUT
  test bez zásahu používateľa
• /OVR
  prepísať pred odstránením
• /NOR
  bez vytvorenia záznamu o kontrole
• /ENG
  po anglicky
• /SLV
  po slovensky

Parametrom “/?” si možno zobraziť uvedené parametre. Ak spustíte program pavcl.exe s parametrami “/?”, “/LIS” alebo “/INVx”, žiadna iná funkcia programu nebude aktivovaná. Po skončení zadanej úlohy sa program vráti do DOS-režimu.

Programom PAVCL možno kontrolovať nasledujúce časti systému:

• Kontrola pamäti.
• Kontrola boot sektorov.
• Kontrola súborov.
• Implicitne sú nastavené tieto parametre:
• Kontrola podadresárov.
• Bez dezinfekcie.
• Zvukové efekty.
• Kontrola len spúšťateľných súborov.
• Záznam kontroly a vytvorenie hlásenia a vykonanej kontrole (Results file).

[ Náhor ]