Arvuti viirused (0)

10
KUTSEHARIDUSKESKUS
LAOHOIDJA
ARVUTIVIIRUSED
Juhendaja :
Kus ja mis aastal

Sisukord

Sisukord 2
Sissejuhatus 3
Bootsektori viirused 4
Failiviirused ehk parasiitviirused 4
Kaasfailiviirused (companion virus ) 6
Hübriidviirus (multiple-infector virus, multipartite virus) 6
Peitviirused (stealth virus) ehk soomusviirused (armoured virus) 7
Polümorfsed ehk mutatsioonviirused 7
Vaktsiinihävitusviirused ( bounty hunter ) 7
Võrguviirused 8
Makroviirused 8
Soovitusi arvuti ja andmete kaitseks 9
Kasutatud allikad: 10

Sissejuhatus

Sõna arvutiviirus on kuulnud tänapäeval enamus inimesi. Kuid selle tähendust mõistetakse väga erinevalt. Mõned arvavad et see on midagi väga kauget ja teda, kui tavalist arvutikasutajat see ei puuduta . Kuid on ka neid, kes kardavad ülearu ja tekitavad paanikat. Tihti kardetakse , et viirused rikuvad ära arvuti riistvara , kuid arvutiviirused on ikkagi kahjulikud tarkvarale . Arvutiviiruseks nimetakse arvuti programmi, mis on mõeldud häirima arvuti tööd, rikkuma kettale salvestatud andmeid, tekitama teie arvutile juurdepääsu häkkeritele, koguma teie paroole ja saatma neid edasi ning tegema muud sarnast. Samuti halvavad viirused arvutivõrgu tööd, tekitades üleliigset liiklust võrgus. Arvutiviiruse esmane ülesanne on ennast edasi levitada teistesse arvutitesse. Viirused võivad levida väga kiiresti, kuid nendest vabanemine võib osutuda vägagi vaevarikkaks. Viirustest tulenev kahju võib olla erinev. Mõnel juhul võib viirus lihtsalt segada arvuti tööd. Näiteks kuvada pilte või teateid, anda kummalisi helisignaale. Halvemal juhul võib viirus kahjustada faile, kustutada kõvakettal leiduva info või teha muud kahju. Peaaegu kõik viirused ja paljud ussid ei saa levida, kui te ei ava või käivita nakatunud faili või programmi. Viirused võivad levida koos internetist alla laaditavate programmidega, sõpradelt laenatud või isegi poest ostetud ketastega. Taolised viiruste levimise viisid on vähem levinud. Enamasti saadakse viirus tundmatu meilisõnumi manuse avamisel ja käivitamisel.

Bootsektori viirused

Buutsektori viirused olid esimest tüüpi arvutiviirused, mis kunagi loodi. Buutsektori viirused peituvad kõvaketta laadesektoris ning laaditakse mällu enne süsteemifaile. Seega saavad nad täieliku kontrolli alla PC katkestused ning võivad modifitseerida katkestuste töötluse mooduleid. Maskeerimiseks väljastab viirus alglaadimisel normaalseid teateid. Kui viirus laadesektorisse ei mahu, paigutab ta ülejäägi mujale, märkides vastava osa kõlbmatuteks klastriteks (13). Tuntumaid esindajaid: Brain , Form, Mlchelangelo, Stoned (10).

Failiviirused ehk parasiitviirused

Failiviirused e parasiitviirused nakatavad programmifaile - tavaliselt COM-, EXE- või SYS-faile, kuid mõned viirused ka seadmedraivereid ja (OVL- või OVR-)ülekattefaile (on teada ka OBJ-failide viirus). Seega muutub fail viiruse koodi võrra pikemaks. Viirus kasutab ära faili alguses olevat käsku JMP, mida muudetakse nii, et see osutaks kõigepealt viiruse koodile faili lõpus ja seejärel käivitaks selle. Õige JMP-käsk kopeeritakse aga viiruse koodi lõppu. Pärast seda, kui viirus on nakatanud veel mõned EXE- või COM-failid, pannakse käima õige programm. Üsna tihti ei sisalda need viirused hävitavat koodi. Ainus asi, mis annab märku viiruse olemasolust, on faili suurenemine viiruse koodi võrra ja mingi viirusele iseloomulik string faili lõpus. Kuid uuematel viirustel ei peagi faili suurus kasvama, sest peremees -faili kood pakitakse kokku. (10)
Residentsed failiviirused nakatavad programmifaile kolmel erineval moel. Esimene viis on kirjutada programmifaili algus viiruselise koodiga üle, jättes originaalse faili sisu salvestamata. Niisugused viirused on oma ehituselt väga labased ja pole elujõulised. Nende põhjustatud kahju pole ka reeglina võimalik hüvitada, kuna originaalne fail rikutakse. Aitab vaid varukoopiate tegemine. Ülekirjutavate viiruste olemasolu on väga kergelt avastatav - programmifailid ei lähe lihtsalt käima või ei tee enam seda, mida nad peaksid tegema. Faili alguses on mingi võõras programmilõik. Teine nakatamise viis, mis töötab COM-failide puhul, on põhimõtteliselt sama alglaadimissektori viiruste tööpõhimõttega. Viirus salvestab originaalse faili alguse ja asendab selle viiruselise koodiga. Igal käivitusel kutsutakse seetõttu originaali asemel välja viiruseline kood, mis kontrollib, ega viirust juba mälus pole: kui on, siis käivitab kohe salvestatud originaalse programmi; kui pole, siis esmalt loeb end mällu ja käivitab alles seejärel algse programmi. Kolmandaks , EXE-faile nakatatakse programmi algusaadressi ümbersuunamisega viiruselisele koodile, mis on harilikult lisatud programmifaili lõppu. Ülejäänud tööpõhimõtted on tal samad, mis COM-faili viirustel. Kui viirus on mälus, siis seal haaratakse tavaliselt enda kätte mõni failidega opereerimisega tegelev katkestus , mis asendatakse faile nakatava programmilõiguga. Algne katkestus muidugi salvestatakse ja kutsutakse peale nakatamist vahelejäämise vältimiseks välja. Nagu näha, tegutsevad viirused suhteliselt märkamatult, tehes kõik ära kasutaja selja taga; ideaalse viiruse puhul võib täheldada vaid fakti, et mõnede programmide sisselugemine võtab rohkem aega, kui ta võtma peaks. Kiirnakatajate hulka kuuluvad näiteks Dark Avenger ja Green Caterpillar . Residentsete hulka kuulub ka levinuim failiviirus Jerusalem (ehk Friday 13th) oma paljude variantidega (Apocalypse, Barcelona, Nemesis , Payday).
Mitteresidentsed failiviirused on ehituselt lihtsamad ja suhteliselt vähe levinud. Need on peaaegu sama tööpõhimõttega nagu residentsed failiviirused, ainuke vahe seisneb selles, et nakatav kood ei asetse mõnel katkestusel arvuti mälus, vaid käivitub ainult nakatunud programmifaili käivitamisel, otsides viiruse algtekstis määratud algoritmiga kettalt nakatamata faile ja nakatades neid. Kui vaadata viirusega nakatunud faili, siis hakkab seal kohe silma, et programmi alguses on pikk hüpe kuskile faili lõppu. Üldse võib programmifaili tegevuse kõige elementaarsemal sammhaaval jälgimisel viiruselise koodi kergelt avastada -lihtsamatel juhtudel saab viiruse elimineerimisega hakkama isegi kõige vähemate assemblerkeele alaste teadmistega kasutaja. Selle vastu on viirusekirjanikud aga välja nuputanud stealth-viirused. Stealth-viirus haarab enda kätte lisaks failide käivitamise katkestusele ka teisi kettaoperatsioone teostavaid katkestusi: tema tööpõhimõte seisneb BIOS-i rutiinide saboteerimises nii, et nad annaks ketta kohta valeinformatsiooni. Lihtsamad stealth viirused näitavad nakatunud faili suuruse asemel algse faili suurust, põhjalikumad aga võltsivad lausa failide sisu, näidates viiruse asemel algset sisu. Tuntuim esindaja on Vienna oma arvukate variantidega (Apocalypse, Barcelona, Payday jt). (10)

Kaasfailiviirused (companion virus)

Esimene kaasfailiviirus avastati 1990.aasta aprillis . Selleks oli AIDS II. See oli esimene teadaolev viirus, mis kasutas "korrespondeeriva faili tehnikat ", nii et nakatatav sihtmärk: EXE-fail jäi tegelikult muutmata. Viirus kasutas ära DOS-i omapära lugeda kõigepealt COM-faili ja seejärel alles EXE-faili, juhul kui nad on samanimelised. Viirus ei nakatanud tegelikult EXE-faili. Ta lõi samanimelise korrespondeeriva viiruse koodi sisaldava COM-faili suurusega 8,064 baiti . Uus fail asetses tavaliselt samanimelise EXE-failiga ühes kataloogis, kuid see ei ole kõikide kaasfailiviiruste puhul nii. Mõned neist võisid COM- faili luua täiesti suvalisse DOS-i pathi. (10)

Hübriidviirus (multiple-infector virus, multipartite virus)

Hübriidviirus on buutsektori viiruse ja failiviiruse kombinatsioon. See liik ei ole eriti arvukas, kuid tema arvele langeb üsna suur hulk kahjustusi. Tuntumaid esindajaid: Tequila, Anticad, Anthrax. (10)

Peitviirused (stealth virus) ehk soomusviirused (armoured virus)

Peitviirused ehk soomusviirused kasutavad mitmesuguseid aktiivseid petmismeetodeid enda avastamise vältimiseks. Juba 1986. a leidus viiruseid, mis manipuleerisid DOSi katkestusvektoriga, suunates katkestuse viitama viiruse residentkoodile, millel on nüüd kõik võimalused häirida diagnostikatoiminguid. Süstee-36 mikutsete hõivamine võimaldab kasutajale esitada algse nakatamata faili või buutsektori (koos õige kontrollkoodiga), seejärel aga jätkata kahjus¬ tavat tegevust. Mitmed viirused sekkuvad DOSi kataloogifunktsiooni, esitades kataloogiandmetes faili algse pikkuse jm algrekvisiidid.

Polümorfsed ehk mutatsioonviirused

Polümorfsed ehk mutatsioonviirused on peitviiruste uus põlvkond, mis ilmus 1990tel aastatel. Nendes on rakendatud vahendeid peitumiseks mitte ainult lihtsa diagnostika , vaid ka viirusetõrjeprogrammide eest. Kuna niisugused tõrjeprogrammid põhinevad teatavate iseloomulike koodi-lõikude tuvastusel, on kood näiteks permuteeritud, üle külvatud juhusliku jaotusega tühikäskudega (NOP) või krüpteeritud. Igal nakatamisel raken¬datakse juhuslikkusel põhinevat mehhanismi uuesti, nii et viiruse eri eksemplarid oma välimuselt ei kattu. Tuntumad krüpteerivate viiruste polümorfismimootorid on MtE (Mutation Engine ) ja 1992. a lõpul ilmu ¬nud TPE (Trident Polymorphic Engine). (10)

Vaktsiinihävitusviirused (bounty hunter)

Vaktsiinihävitusviirused on peitviiruste edasiarendus. Nad tuvastavad viirusetõrjeprogramme ja hävitavad või nakatavad neid. Selliseid viiruseid on praegu üsna vähe, kuid mõned neist on osutunud väga tõhusateks. (14)

Võrguviirused

Võrguviirused on spetsialiseeritud ründama võrguoperatsioonisüsteemi (nt NetWare) ja kasutama seejärel võrku enda levitamiseks. Keskmiselt kulub kohtvõrgu järgmise tööjaama nakatamiseks 10-20 minutit, niisiis piisab mõnest tunnist kogu allüksuse või ettevõtte halvamiseks. (10)

Makroviirused

Makroviirused kasutavad ära makrode eelised, st käsud, mis on juurutatud failidesse ja need käivituvad automaatselt. Paljud programmid , näiteks nagu tekstiredaktorid ja tabelprogrammid kasutavad makrosid. Makroviirus on seega makroprogramm, mis kopeerib iseend ja levib ühelt faililt teisele. Kui Sa avad mingi programmiga faili, mis sisaldab makroviirust, siis see viirus kopeerib end selle rakendusprogrammi stardifailidesse/käivitusfailidesse. Nüüd on kompuuter nakatatud ja kui Sa järgmine kord avad sellesama programmiga mingi muu faili, siis nakatatakse ka see fail viirusega. Kui Sinu arvuti on võrgu osa, siis see viirus levib antud võrgus väga kiiresti ja kui Sa saadad selle nakatunud faili kellelegi, siis saab ka saaja "pasa" kaela... Makroviirusega faile kasutatakse väga paljudes kontorites ja mõned neist võivad nakatada ka erinevaid failitüüpe, näiteks nagu MS Word ja MS Excel faile. Nad levivad väga kiiresti, sest paljusid neist saadetakse e-mail dokumentidena ja paljusid neist kasutatkse ka saitides... (13)

Soovitusi arvuti ja andmete kaitseks

Teie kaitsmata arvutit ja internetiühendust võidakse teie teadmata kasutada uuteks rünnakuteks teiesuguste pahaaimamatute kasutajate vastu, rämpsposti ja pahavara laialisaatmiseks või pornopiltide vahelaona. Kontrolli, et sinu operatsioonisüsteemil oleksid peal värskeimad uuendused ehk update 'id. Iga tarkvaratootja üritab reeglina seista hea selle eest, et tema toodang oleks kvaliteetne ja töötaks korralikult, ning parandada avastatud turvaaugud nii kiiresti kui võimalik. Kasuta arvutis tasuta või tasulist antiviirustarkvara ja uuendage seda pidevalt, see on programm mis kontrollib arvutis olevaid faile ja kaitseb süsteemi viirusesse nakatumise eest. Mitut antiviirus programmi ei tasuks korraga arvutisse paigaldada nad võivad üksteise tööd segama hakata. (12) Suhtu umbusklikult failidesse mis on lisatud e-postile ja seda isegi juhul, kui saatjaks on teie tuttav. Tegemist võib olla hoopis tema arvutisse pesa teinud viirusega. Kui kirja sisus ei ole öeldud, miks on kirjaga kaasas mingi fail, siis küsi igaks juhuks üle. Ise e-kirjale faili lisades pange kindlasti kirja, millised failid ja miks lisasite, siis on teistel julgem tunne. Suhtuge ettevaatusega kõigesse, mida internetist alla laete, kui vähegi võimalik, üritage kontrollida selle päritolu! Tehke oma arvutis olevatest andmetest varukoopiaid, ka riistvara pole igavene . Varukoopiad tuleks kindlasti teha eraldi andmekandjatele, mitte kõvakettale. Looge endale ja kõigile teistele arvuti kasutajatele piiratud õigustega konto ning kasutage seda oma igapäevasteks toiminguteks. Administraatorina logige end sisse ainult siis, kui teil on vaja installeerida uusi programme , muuta olemasolevate programmide üldseadeid või teha vajalikke süsteemitoiminguid. Kui te ei saa aru või pole kindel, mida arvuti teie käest tahab, siis üritage välja selgitada, mida arvuti teie käest tahab ning kas see, mida ta tahab, on ikka mõistlik. (11) Kasutage turvalisi paroole ja ID- kaarti .

Kasutatud allikad:

Lauri säde, Kuidas Botnetiga raha teenitakse

http://web.zone.ee/arvutiviirused/05_liigid.html

http://www.ut.ee/it/juhendid/viirused

http://www.arvutikaitse.ee/?page_id=170

http://www.hot.ee/sm2/Viiruse_selgitus.ht m

http://www.cyber.ee/dokumendid/lisamaterjalid/turvarisk.pdf

http://www.vallaste.ee/