Archiv autora: administrator

Trojské koně Jedná se o speciální typ programu, který je často označován za typ viru. Tento program ale není schopen šíření vlastního kódu. Jeho účelem je vykonat určitou činnost (většinou vtip). Identifikace probíhá většinou pouze na základě názvu (a datumu) souboru. 

Worms (Červi) Speciálním typem virů jsou červy. Neinfikují soubory, ale šíří se prostřednictvím počítačové sítě (většinou jako příloha e-mailu). Techniky možného šíření jsou zpravidla dvě: Dvojtá přípona (např. .PCX.EXE – Windows zpravidla zobrazí pouze první, takže uživatel si myslí, že se jedná o obrázek (.PCX), ne spustitelný soubor (.EXE) a HTML scripty, které zajišťují automatické spuštění přílohy. Proti červům se můžete chránit nastavením vyšší úrovně bezpečnosti ve vašem e-mailovém klientovi. Novější verze e-mailových klientů mají tuto bezpečnější úroveň již nastavenou. 

Logic bomb Jedná se o speciální typ programu, který má vlastnosti jako virus, projeví se ale až po určité době(např. 13. pátek, …) 

Souborové viry Bezesporu nejrozšířenější skupina počítačových virů. Souborové viry napadají, jak již vyplývá z jejich názvu, spustitelné soubory operačního systému MS-DOS. Standardními spustitelnými příponami jsou COM a EXE (přímo spustitelné programy), BAT (příkazové dávky), OVL (překryvné soubory – tzv. overlaye), BIN (binárné soubory) a SYS (systémové soubory, příp. ovladače zařízení – drivery). Terčem infikace se však mohou stát i jiné souborové varianty, dokonce jsou známy viry, které napadají OBJ soubory. Mechanismus jejich činnosti je obdobný ve všech případech s přihlédnutím na příslušná specifika platná pro daný typ infikovaného souboru. Zřejmě nejčastějším terčem infikace je dosovský příkazový interpret COMMAND.COM. Virus Ontario 3, za účelem jeho napadení, hledá dokonce nadefinovanou systémovou hodnocu COMSPEC. Některé viry se právě z dpůvodu časté infikace naopak napadení COMMAND.COMu vyhýbají (např. virus Phoenix). V dalším popisu budeme pro jednoduchost pochopení problematiky nazývat programem infikovaný soubor bez ohledu na příponu. Rozčlenit souborové viry není úplně triviální. Jednotlivé mechanismy se různými způsoby navzájem prolínají, nicméně principiálně lze souborové viry rozčlenit do tří základních oblastí podle způsobu, jakým tato skupina virů infikuje daný program. Jsou to prodlužující viry, které své tělo zkopírují nejčastěji na konec infikovaného programu; přepisující viry, které svým tělem přepíší úvod programu (to má za následek jeho porušení a tím pádem i nefunkčnost); a konečně tzv. duplicitní viry, které specifickým způsobem infikují pouze programy s příponou EXE tak, že v pracovním adresáři vytvoří duplicitní soubor se stejným jménem s příponou COM, která má v hierarchii MS-DOSu při spuštění přednost před EXE-tvarem. Netypický mechanismus infikace používají viry adresářové, napadající soubor prostřednictvím FAT tabulky. Všechny tyto podskupiny se pak mohou vyskytovat v již popisovaných rezidentních či nerezidentních variantách. Obecnou vlastností všech chytřejších souborových virů je skutečnost, že tyto viry zajistí, že při opětovném spuštění nebude program znovu stejným virem napaden. Nedochází tedy k vícenásobné infekci, která může přinést značné problémy při spuštění takto infikovaného programu. 

Stealth viry Název této skupiny je odvozen z anglického slova „stealth“, jež označuje tajnost a jehož odvozeniny jsou překládány jako: krást, potají si vzít, vplížit se, přebrat apod. To vše velice výstižně charakterizuje hlavní rys těchto virů – schopnost maskovat svoji přítomnost na počítači před uživatelovým zjištěním. Shoda názvu se stejně pojmenovanými americkými „neviditelnými“ podobně jako uvedené bojové letouny na obloze. 

Polymorfní viry Polymorfní viry se svým chováním podobají stealth virům. Avšak zatímco stealth viry provádějí své maskovací operace v reálném čase v závislosti na požadavcích kladených operačnímu systému, viry polymorfní provádějí svoji maskovací činnost způsobem odlišným. Hlavní charakteristický znak této skupiny je skutečnost, že žádné ze dvou kopií virového těla nejsou totožné. Polymorfní viry v prvé řadě demonstrují omezenost klasických antivirových scanerů, pracujících na principu charakteristických řetězců, které je nedokáží odhalit. 

Rezidentní viry Je přítomen v paměti – je rezidentní – a může tak neustále ovlivňovat činnost počítače. Velkou výhodou rezidentního viru je, že si nemusí sám hledat programy vhodné k napadení. Virus stačí sledovat, se kterými soubory uživatel pracuje, a útočit na ně. 

Přepisující viry Při napadení přepíše část těla oběti vlastním kódem. Takto napadené programy jsou nenávratně zničeny a nejsou kromě dalšího šíření viru schopny žádné jiné činnosti, což je podezřelé i velmi otrlým uživatelům. Díky tomu je šíření těchto virů krajně nepravděpodobné. 

Vir přímé akce Primitivní souborový virus. Jakmile je spuštěn, tak vykoná vše, co chtěl a skončí. Typicky přepisující viry patří většinou do této kategorie. 

Doprovodný vir Virus, který nezapisuje svůj kód přímo do napadeného EXE souboru, ale vytváří stínový soubor stejného jména s příponou COM. Využívají tak vlastnosti MS–DOSu, který při spouštění dává COM souborům přednost. 

Multipartitní viry Tento druh vznikl sloučením bootovacích a souborových virů. Miltipartitní virus se vyznačuje schopností infikovat jak zaváděcí sektor disku či diskety tak i spustitelný soubor. Prvním virem, který byl schopen infikovat jak soubor, tak i boot sektor, byl zřejmě virus Ghost. Tento virus infikoval pouze programy typu COM s tím, že vypouštěl bootovací virus typu Ping Pong, který však neobsahoval replikační rutinu. Ghost virus byl provopočátkem multipartitní techniky, jejímž klasickým představitelem je např. virus Starship. Jakmile je spuštěn program infikovaný vire Starship, dochází k modifikaci partition table a uložní viru na disk. Po příštím spuštění počítače se aktivuje bootovací varianta Starshipu, která infikuje všechny vytvářené programy typu COM a EXE na disketě. Vzhledem k aktivitě zajištěné bootovací variantou Starshipu nemá tento virus důvod infikovat programy uložené na hardisku, ale napadá pouze disketu, která je prostředkem pro zajištění přenosu viru na další počítač. Multiparitiní viry jsou typickým příkladem virů, jejichž délka bootovací varianty přesahuje velikost jednoho sektoru – 512 B – a proto své tělo ukládajjí, podobně jako bootovací viry, nejčastěji do několika po sobě jdoucích sektorů na nulté (systémové) stopě hardisku. Tím se samozřejmě zvětšuje i pravděpodobnost kolize vpřípadě vícenásobného zavirování popsaného výše. 

Jako virus se v oblasti počítačové bezpečnosti označuje program, který se dokáže sám šířit bez vědomí uživatele. Pro množení se vkládá do jiných spustitelných souborů či dokumentů. Takový program se tedy chová obdobně jako biologický virus, který se šíří vkládáním svého kódu do živých buněk. V souladu s touto analogií se někdy procesu šíření viru říká nakažení či infekce a napadenému souboru hostitel. Viry jsou jen jedním z druhů tzv. malwaru, zákeřného softwaru. V obecném smyslu se jako viry (nesprávně) označují i např. červi a jiné druhy malwaru.

Zatímco některé viry mohou být cíleně ničivé (např. mazat soubory na disku), mnoho jiných virů je relativně neškodných popřípadě pouze obtěžujících. U některých virů se ničivý kód spouští až se zpožděním (např. v určité datum či po nakažení určitého počtu jiných hostitelů), což se někdy označuje jako (logická) bomba. Nejdůležitějším negativním důsledkem šíření virů je však samotný fakt jejich reprodukce, která zatěžuje počítačové systémy a plýtvá jejich zdroji. Některé viry mohou být takzvaně polymorfní (každý jeho „potomek“ se odlišuje od svého „rodiče“). Viry se na rozdíl od červů samy šířit nemohou.