Virusi (računalni)

Grrrr...

23. 11. 2003.

Pojam računalni virus označava program koji ima sposobnost reproduciranja čim se prikvači za program domaćin ili za disk sektor često bez korisnikova znanja. Virusa ima raznih, od onih ozbiljnih koji vam mogu obrisati sadržaj cijelog diska do onih bezopasnih koji samo ispisuju razne poruke. Općenito govoreći viruse možemo podijeliti u dvije vrste:


           
-
boot sektor virusi

            - datotečni virusi.

 

Naravno, ima još vrsti virusa. Tako, na primjer, postoje virusi koji napadaju upravljačke programe (drivere) i batch datoteke iako su oni zaista rijetki. Dvije su osnovne vrste mehanizma zaraze. Direktni i indirektni.

Kad je pokrenut program zaražen sa 'direktnom zarazom', virus aktivno traži datoteku ili više njih koje bi zarazio. Može tražiti trenutačni disk ili direktorij ili izabrane direktorije kao što su direktoriji specifiranih u PATH-u. Nakon tog se pokreće zaražena datoteka. Direktna zaraza ne ostaje u memoriji i nije česta jer mehanizam zaraze nije jako efikasan i dodatna aktivnost diska je očita posebno kad su datoteke već zaražene.

Kad je pokrenut program sa 'indirektnom zarazom', virus se sam instalira u memoriju obično preusmjeravajući jedan ili više prekida i onda pokreće originalni program. Većina indirektno zaraženih programskih virusa zarazi svaki file koji je ubačen za upotrebu programa koji je zaražen.

 

Boot sektor virusi se obično ponašaju kao indirektni prenositelji zaraze pri zarazi floppy diskete, a kao direktni zaraznik kada napadaju hard diskove.

Neki virusi postoje samo da bi se širili, drugi pak imaju bojne glave. Ona može biti poruka, uvreda (kao: Your Computer is now Stoned!) ili se može miješati u operacije računala na zabavni, iritirajući ili destruktivni način. Općenito virus će se širiti na mnogo više polja ako se bojna glava aktivira odmah. Bojna glava je obično postavljena na neki događaj ili nakon određenog vremena.

 

Boot sektor virusi mogu zaraziti sustav jedino ako se podiže sa zaraženom disketom. Ipak disketa ne treba biti sistemska disketa da prenese virus. Najveća slabost IBM PC-a u najčešćoj konfiguraciji je ta da će uvijek probati bootati sa A diska (floppy-a). Ako nikad ne bootate PC sa floppy disketom onda ste uglavnom sigurni od boot sektor virusa. Ali samo bootanje sa floppy-a koji je slučajno ostavljen u disku A: može zaraziti PC. Zato se preporučuje da se provjeri da li je disketa možda ostavljena u računalu prije paljenja ili resetiranja PC-a. Neki virusi jednostavno premještaju boot sektor na fiksirano mjesto pokušavajući izabrati mjesto gdje neće biti previše očito. Kako je boot program vrlo kratak on ne može sadržavati i virus i originalni boot program pa se zato virus mora pobrinuti da se pokrene prvi. Zato kad virus zarazi novi disk mora sačuvati originalni boot program negdje drugdje na disku i onda staviti svoju instalacijsku proceduru u boot sektoru. Virus Stoned stavlja stari boot sektor na kraju direktorija gdje neće biti primijećen osim ako disk sadrži više od 96 datoteka u glavnom direktoriju (na 360 kilobajtnom disku). Virus Yale okupira posljednji sektor na posljednjoj traci i bit će primijećen jedino ako je disk kompletno pun, dok virus Den Zuck formatira dodatnu traku na disku poviše normalne posljednje trake gdje je potpuno nedostupna bilo kakvim procedurama i najčešćim uređivačkim alatima diska. Ostali virusi traže neiskorišten cluster na disku i sebe smještaju u njega te ga označavaju kao nevaljanog tako da MS DOS neće ni pokušati upotrijebiti ih za nešto drugo. Na normalnom disku gubitak kapaciteta je bezvrijedan, ali ako disk ima nestandardnu strukturu podataka, virus može sebe snimiti preko nečeg vitalnog. Dakle, virusi se pokreću kad pokrenete računalo ili uvijek kad on čita sa zaražene diskete. Jednom kad se kopiraju na disk šire se na druge diskove ili čak na druga računala koja su povezana u mrežu.

 

Datotečni virusi se općenito privežu ili prikvače za datoteke koji imaju ekstenziju .COM ili .EXE (executable files) i grupirani su prema vrsti programa koje napadaju. Mogu biti ekstremno zarazni i mnogo teže izbrojani od boot sektor virusa. Ovi virusi se mogu dalje podijeliti u parazitne viruse, overwriting viruse, companion viruse i linking viruse.

 

Parazitni virusi su oni virusi koji se prikvače za datoteke u cilju daljnjeg širenja. Oni općenito ne diraju cijelu datoteku nego se postavljaju na početku ili kraju virusa. Com datoteke su najpogodnije za zarazu jer su jednostavno ubačeni u memoriju i naredba uvijek počinje prvom instrukcijom. Ovako se virus jednostavno ubacuje na početak datoteke. Proces zaraze je brži ako je virus na početku datoteke, ali to stvara neke dodatne komplikacije. Dok .COM datoteke ne mogu biti veće od 64 kb .EXE datoteke mogu biti neograničeno velike, ali je struktura same datoteke puno složenija. Program može biti sagrađen od mnogobrojnih segmenata i datoteka, ima zaglavlja koja specificiraju veličinu programa.

Od trenutka kad su autori virusa naučili kako rukovati .EXE datotekama većina je otkrila da se tako može ponašati i sa .COM datotekama. Tako mnogi virusi ubacuju virus na kraju obje, .COM i .EXE datoteke. Mnoge datoteke sadrže prazna mjesta i neki virusi ovo iskorištavaju tako da napišu svoj kod na to mjesto tako da ne promijene dužinu datoteke. Makar jedan virus (Command Bomber) dolazi u nekoliko odsjeka koji su ubačeni na različitim lokacijama u datoteci.

 

Datotečni virusi postaju aktivni kada se pokrene program koji ih nosi ili u slučaju makro i skriptnih virusa, kad se otvori dokument koji ih nosi. Ovi virusi napadaju .EXE, .COM, .DLL datoteke ili wordove .DOC i excelove .XLS datoteke. Jednom kad se pokrene virus se ubacuje u memoriju računala, replicira se i naposljetku kvači za ostale izvršne programe (sa ekstenzijom .EXE).

 

Zašto programeri pišu viruse? Većinom zbog zabave ili žele nekom konkretnom nauditi. Problem je što se novi virusi pišu svaki dan te da nikad niste potpuno sigurni od njih. Jer neki se ne otkriju na vrijeme tako da postoji npr. mogućnost da ste sad zaraženi, a da ne znate jer je vaš susjed programer samo za vas napisao virus za koji se još nije čulo na Internetu tako da ne postoji zaštita od njega. Mogućnosti su različite.