Arvutiviirused (0)

PÄRNUMAA KUTSEHARIDUSKESKUS
Ehitusviimistlus -11
Timo Reinpõld
Arvutiviirused
Referaat
Juhendaja Rita Pillisner
Pärnu 2011

Sisukord

Viirusprogrammid 4
Nakatumisstrateegiad 5
Mitteresidentsed viirused 5
Residentsed viirused 6
Faililaiendid ja viirused 6
Viiruste meetodid avastamise vältimiseks 8
Tahtmatud peremees -failid 8
Varjatud viirused 9
Moondumine 9
Krüpteeritud viirused 9
Kasutatud kirjandus 10
Lisa 1 11

sissejuhatus
Arvutiviirus ehk viirus on programm, mis on võimeline end iseseisvalt kopeerima ning arvutit nakatama. Mõistet „viirus“ kasutatakse ekslikult ka muud tüüpi, ka isepaljunemisvõimeta pahavaraprogrammide puhul: nt reklaam , nuhkvara, ussid ning trooja hobused. Ehtne viirus levib ühest arvutist teise nakatunud peremees-programmi ümbertõstmisel. Selline levimine toimub näiteks failide saatmisel üle võrgu ja interneti või nende transportimisel erinevate andmekandjatega, nt flopiketas, CD, DVD ja USB-mälupulk.
Viirused suudavad tõsta oma levimisefektiivsust, nakatades võrgus paiknevaid või teise arvuti poolt sagedasti kasutatavaid failisüsteeme.
Eelmainitult mõistetakse termini „viirus“ all ekslikult kõiki pahavaraprogrammide tüüpe: näiteks „ussid“ ning „trooja hobused“, mis on toimeloogikalt täiesti erinevad. Ussid kasutavad ära süsteemis leiduvaid turvaauke, et end võrgu kaudu, võrku lülitatud arvutist uutesse arvutitesse levitada ning trooja hobune on ohutuna näiv programm, kuid peidab endas pahatahtlikke funktsioone. Selline pahavara kahjustab andmefaile arvutisüsteemis ning vähendab selle jõudlust. Kui ühtede pahavaraprogrammide tegevusel tekivad kasutajale märgatavad sümptomid, siis teised tegutsevad süsteemis kahtlust äratamata. Lisa 1

Viirusprogrammid

1970-ndatel avastati esmakordselt ARPANET ’is. (s.o. interneti eelkäijas) viirus nimega Creeper. Tegemist oli Bob Thomase eksperimentaalse isepaljuneva programmiga. Creeper kasutas ARPANET’i võrku, et nakatada TENEX-i operatsioonisüsteemiga DEC PDP-10 arvuteid. Olles saanud ligipääsu, kopeeris programm end teistesse süsteemidesse, kus kuvati sõnum „Mina olen Creeper, püüa mind kinni, kui suudad!“ (inglise I'm the creeper, catch me if you can!). Viiruse eemaldamiseks loodi programm nimega Reaper.
Elk Cloner oli esimene arvutiviirus, mis ilmus väljaspool selle loomiskeskkonda: arvutit või laborit. Kirjutatuna aastal 1981 Richard Skrenta poolt, kinnitas programm end operatsioonisüsteemile Apple DOS 3.3 ning levis diskettide abiga. See pahavara, mis loodi ilma tõsisemate eesmärkideta ajal, mil R. Skrenta õppis veel keskkoolis, levis andmekandjal oleva mänguga. Pärast 50 kasutuskorda aktiveeriti viirus ning kuvati lühike luuletus algusega: „Elk Cloner: Iseloomuga programm“.
Enne arvutivõrkude ulatuslikku kasutamist levisid enamus viirustest irdkandjatega, peamiselt diskettidel ehk flopiketastel. Viimased olid personaalarvutite algusaegadel peamisteks vahenditeks informatsiooni ja programmide vahetamisel. Osad viirused levisid nakatades andmekandjal olevaid programme ning teised paigaldasid end ketta alglaadesektorisse, et aktiveerimine toimuks arvuti vahendilt käivitamisel automaatselt. Kasutati ära tolle aja arvutite omadust käivitumisel diskette lugeda. Kuni selliste andmekandjate kasutusaja lõpuni olid alglaadesektorit kasutavad pahavaralised failid kõige tavapärasemad ning edukamad teiste masinate nakatamisel .
Traditsioonilised arvutiviirused tekkisid 1980. aastatel tänu personaalarvutite, BBS-i (hiljem FidoNet) ja modemite populaarsuse kasvule. Bulletin board -il (BBS) põhinenud tarkvara jagamine aitas otseselt kaasa trooja hobuste levikule ning viiruseid hakati kirjutama enam kasutatavate programmide jaoks.
Makroviirused muutusid tavalisteks 1990. aastate keskpaigast. Enamus sellistest viirustest on kirjutatud Microsofti programmidele nagu Word ja Excel ning levivad läbi Microsoft Office’i nakatades dokumente ja arvutustabeleid. Macintoshi arvutid olid samuti haavatavad, sest mainitud programmid olid saadaval ka Mac OS’ile.
Mõned Microsoft Word’i vanemad versioonid lubavad makrodel imiteerida end tühjade ridadega. Kui kaks makroviirust nakatavad dokumendi samaaegselt, võib nende kombinatsioon olla tuvastatav täiesti uue pahalasena.
Viirused on ka võimelised saatma arvutikasutaja nimekirjas olevatele kontaktidele linke veebisaitidele, mille eesmärgiks on külastajate tehnika nakatamine.
Aastal 2002 teatati viirustest, mis kasutavad murdskirptimist (lüh. XSS). Selliste pahavaraliste failidega on seotud mitmeid juhtumeid MySpace’i ja Yahoo saitidel.

Nakatumisstrateegiad

Et viirus saaks paljuneda, peab olema võimaldatud programmijuppide jooksutamine ning arvuti mälusse kirjutamine. Selle tõttu kinnitavad paljud programmid end käivitatavate failide külge, mis võivad olla kasutaja poolt installeeritud tarkvara osaks. Strateegia abil aktiveeritakse viirusi tavaprogrammidega samaaegselt. Oma käitumismudeli poolest jagatakse viirused kaheks: mitteresidentsed ja residentsed. Mitteresidentsed viirused otsivad uusi nakatatavaid peremees-faile kohe peale käivitamist, sobivaid leides paljundavad end ning annavad seejärel kontrolli üle protsessi esile kutsunud põhiprogrammile. Residentsed viirused laevad end arvuti mälusse ning jäävad taustal aktiivseks. Uute failide nakatamine toimub nende kasutamisel programmide või operatsioonisüsteemi enda poolt

Mitteresidentsed viirused

Koosnevad leidja - ja replikatsioonimoodulist. Esimene viib läbi uute failide otsimist. Sobivate leidmisel kasutatakse teist moodulit leitud failide nakatamiseks.

Residentsed viirused

Residentsed viirused sisaldavad mitteresidentsetega sarnast replikatsioonimoodulit, mis laetakse aktiveerumisel arvuti mälusse. Moodulit kasutatakse iga kord, mil operatsioonisüsteem täidab kindlat ülesannet. Näiteks võib toimuda pahavara paljunemine iga käivitatava faili jooksutamisel, mille tulemusena nakatatakse kõik leitud sobivad programmid.
Residentsed viirused jagunevad kaheks: kiiresti ning aeglaselt levivateks. Kiiresti paljunevad residentsed viirused on kavandatud nakatama võimalikult paljusid süsteemi poolt kasutatud faile ning nende efektiivsus sõltub suuresti levimiskiirusest. Kiiresti paljunev pahavara kujutab endast erilist probleemi antiviirusprogrammidele, sest süsteemi mälus märkamata jäänud aktiivne viirus võib nakatada üldskaneerimise käigus igat kontrollitud faili. Sellist meetodit kasutades suureneb pahavara avastamise tõenäosus, kuna võib langeda nakatunud arvuti töökiirus ning esineda muidki kahtlust äratavaid sümptomeid. Aeglased residentsed viirused paljunevad aga harva, näiteks ainult failide kopeerimisel. Selliste programmide eesmärgiks on jääda madalat profiili hoides tabamatuks: arvuti aeglustumise võimalus on väiksem ning halvimal juhul esineb tõrjeprogrammide poolt väheseid viiruse jälgede tuvastamisi.

Faililaiendid ja viirused

Viirused on suunatud erinevatele failidele ja meediumitele, näiteks:

• Binaarsed käivitatavad failid (nagu COM ja EXE failid MS-DOS’is, kaasaskantavad käivitatavad failid Microsoft Windowsis, Mach-O formaat OSX’is ja ELF failid Linux’is).
  

• Sketsiooni alglaadekirjed floppy ketastel ja kõvaketastel.
  

Kõvaketaste peabuutsektorid. - Üldotstarbelised skript -failid nagu batch failid MS-DOS’is ning ka Microsoft Windowsis, VBScript failid ning kest-skript ( shell script) failid Unix’i platvormides.

• Programmipõhised skriptfailid (nagu Telix-skriptid).
  

• Süsteemipõhised automaatse käivitamise failid (nagu Autorun.inf fail Windows’i opsüsteemis, mida vajatakse tarkvara automaatseks jooksutamiseks USB-andmekandjatelt).
  
• Dokumendid , mis võivad sisaldada makrosid (nagu Microsoft Word’i dokumendid, Microsoft Excel’i arvutustabelid, AmiPro dokumendid ja Microsoft Access ’i andmebaasi failid.
  
• Cross-site skriptimise turvaaugud veebirakendustes (nagu XSS Uss).
  
• Programmides esinevad ärakasutatavad vead nagu puhvri ületäitumine, formaat string ja võidu-olek (race condition ), mille puhul on võimalik tarkvarasse peidetud pahavaralise koodi käivitamine. Sellise õelvara tööd on võimalik raskendada sisseehitatud kaitsefunktsioonidega nagu täitmist blokeeriv bit (execute disable bit) ja/või aadressiruumi suvaline paigutus (address space layout randomization).
  

PDF’ ides , nagu HTML failideski, on võimalik viitamine kuritahtlikule koodile. PDF-failid võivad ka ise olla pahavaraga nakatunud.
Operatsioonisüsteemides, kus kasutatakse faililaiendeid failide sidumiseks programmidega (nagu Microsoft Windows), võivad laiendid olla vaikeseadmena kasutaja eest peidetud. Selle tõttu on võimalik failide loomine, mille näiv tüüp ei vasta tegelikkusele (näiteks käivitatav fail „pilt.png.exe“, millest kasutajale kuvatakse „pilt.png“).
Teiseks meetodiks on tsükkelkoodkontrolli CRC16/CRC32 kasutades genereerida erinevate operatsioonisüsteemi failide osadest viiruse koodi. Moodust kasutades on võimalik lahti pakkida üsna suuremahulist pahavara. Selline rünnak on väga kergesti leitav traditsioonilise viiruse signatuuri tuvastamismeetodi poolt ning tänaseni pole seda avalikkuses leitud

Viiruste meetodid avastamise vältimiseks

Kasutaja poolt märkamata jäämiseks kasutasid osad viirustest, eriti MS-DOS platvormis, „viimati muudetud“ kuupäevaga manipuleerimist. Nimelt välditi nakatamisel selle faili kirje uuendamist. Meetod on viirusetõrjeprogrammide vastu ebaefektiivne.
Osad viirused (süvendviirused, inglise cavity viruses) on võimelised nakatama operatsioonisüsteemi osi muutmata suurusi ning kahjustamata nende sisu. Selleks kasutatakse failide poolt hõivamata jäänud alasid. Näiteks CIH viirus nakatab käivitatavaid faile, milles esinevate tühimike tõttu saab 1 KB suurune pahavara levida märkamatult.
Leidub ka õelvara, mis üritab tuvastamise vältimiseks katkestada tõrjeprogrammidega seotud protsesse.
Kuna arvutid ja operatsioonisüsteemid muutuvad üha suuremaks ja keerukamas, tuleb viiruste peitmistehnikaid pidevalt uuendada . Tulevikus võib arvuti pahavara eest kaitsmine nõuda failisüsteemidelt üksikasjalikuma ning rangema failide ligipääsupoliitika rakendamist.

Tahtmatud peremees-failid

Arvutiviirus peab edasi levimiseks nakatama uusi faile, mille seas võib leiduda ka viirusetõrje programme. Kuna paljud neist viivad iseenda peal läbi regulaarset kontrolli, suureneb vale faili nakatades viiruse tuvastamise tõenäosus. Sellel põhjusel on teatud pahalased programmeeritud ignoreerima kindlate tunnustega faile: näiteks väikseid, kindlat sisu omavaid. Viimaste seas võib leiduda ka nn. söötefaile, mis on spetsiaalselt anti-viiruse poolt nakatamiseks loodud.

• Viirusetõrje spetsialistid saavad söötefaile kasutada viiruselt proovi võtmiseks. Selline väikse failiga opereerimine on palju praktilisem, kui töödelda kogu nakatunud programmi.
  

• Söötefaile kasutatakse viiruse käitumismudeli õppimiseks ning tõrjeprogrammi efektiivsuse hindamiseks. See on eriti kasulik mitmekujuliste viiruste puhul, mil pahavara on suuteline nakatama suurt hulka söötefaile, sest viimaste abiga saab kontrollida kõikide viiruse variantide tuvastamist tõrje poolt.
  

• Teatud viirusetõrjeprogrammid kontrollivad loodud söötefaile regulaarselt. Kui neid on muudetud, hoiatatakse kasutajat võimalikust pahavara olemasolust.
  

Et söötefailide kasutamist raskendada, on mõned viirustest programmeeritud ignoreerima kindla käitumismudeli järgi muidu nakatamiseks sobivaid faile. Näiteks võib levik toimuda kindlatel nädalapäevadel või lihtsalt pisteliselt.

Varjatud viirused

Mõned õelvaralised programmid jälgivad tõrjeprogrammide tegevust ning aktiveeruvad, kui operatsioonisüsteemile esitatakse nende poolt päring faili avamiseks. Niimoodi on võimalik antiviirustarkvarale tagastada nakatatud faili terve versioon ja programmile tundub, et fail on muutmata. Kaasaegsed tõrjeprogrammid kasutavad sellega võitlemiseks erinevaid tehnikaid. Ainuke täielikult usaldusväärne meetod on arvuti nakatamata meediumilt käivitamine ja selle skannimine.

Moondumine

Enamik antiviirusprogrammidest kasutab pahavara leidmiseks signatuuridel põhinevat skannimist. Selle käigus võrreldakse andmebaasis olevaid baidimustreid kontrollitava faili sisuga. Kui selline muster leitakse, teavitatakse kasutajat õelvarast ning vastavalt paigaldatud tarkvarale lastakse valida järgmine samm (nt. kustutada /parandada fail, puhastada süsteem). Et sellist tuvastamist vältida, kasutavad osad viirused igal nakatamisel erinevat koodi ning tulemuseks on uus signatuur.

Krüpteeritud viirused

Üheks viiruste kaitsemeetodiks on enese krüpteerimine. Selline pahavara koosneb väikesest dekrüptiast ja krüpteeritud viiruskoodist. Kui iga uue faili nakatamisel kasutatakse krüpteerimiseks erinevat võtit, püsib muutumatuna vaid dekrüptimismoodul. Nendel juhtudel ei suuda tõrjeprogrammid otseselt pahavara signatuuri skannimisega leida, kuid sellest hoolimata jääb dekrüptia osa tuvastatavaks. Kasutatavad võtmed on sümmeetrilised ning neid hoitakse nakatunud peremees- failis . Tänu sellele on võimalik krüpteeritud viiruseid lahti kodeerida. Tihti pole aga antiviirusprogrammidel selleks vajadust, kuna isemuutuv kood on piisavalt haruldane, et lugeda fail halvimal juhul kahtlaseks.

Kasutatud kirjandus

• http://et.wikipedia.org/wiki/Arvutiviirus
  

Lisa 1

Joonis 1