homel.vsb.czhomel.vsb.cz/~dan11/...%20antivirove%20programy.docx · Web viewKontrola integrity...
Transcript of homel.vsb.czhomel.vsb.cz/~dan11/...%20antivirove%20programy.docx · Web viewKontrola integrity...
Vysoká škola báňská – Technická univerzita Ostrava
Hornicko-geologická fakulta
Bezpečnost informačních systémů
Princip a fungování antivirových programů
Monika Kramná
GB3ISM02
2010/2011
Anotace..................................................................................................................................................4
Klíčová slova...........................................................................................................................................4
Úvod.......................................................................................................................................................4
Historie antivirových programů..............................................................................................................5
Základní pojmy.......................................................................................................................................5
Antivirový program.............................................................................................................................5
Počítačový virus..................................................................................................................................6
Důvody vzniku virů.................................................................................................................................6
Typy infiltrace.........................................................................................................................................7
Viry.....................................................................................................................................................7
Červi...................................................................................................................................................7
Trojské koně.......................................................................................................................................8
Rootkity..............................................................................................................................................8
Adware...............................................................................................................................................9
Spyware..............................................................................................................................................9
Zneužitelné aplikace.........................................................................................................................10
Nechtěné aplikace............................................................................................................................10
Phishing............................................................................................................................................10
Spam.................................................................................................................................................10
Hoax.................................................................................................................................................11
Antivirový software..............................................................................................................................11
Jednoúčelové antiviry.......................................................................................................................11
On-demand skenery.........................................................................................................................12
Antivirové systémy...........................................................................................................................12
Přehled nejznámějších antivirových společností na českém trhu.........................................................12
Microsoft Security Essentials............................................................................................................12
Avira antivirus...................................................................................................................................13
Grisoft AVG.......................................................................................................................................13
Norton AntiVirus..............................................................................................................................14
ESET NOD32 Antivirus......................................................................................................................15
Kaspersky Antivirus..........................................................................................................................16
Avast!...............................................................................................................................................16
Dr.Web.............................................................................................................................................17
TrustPort Antivirus...........................................................................................................................17
2
Zoner Antivirus.................................................................................................................................17
Metody antivirových programů............................................................................................................18
Virové slovníky/databáze.................................................................................................................18
Dynamická emulace kódu.................................................................................................................19
Dynamická heuristická analýza.........................................................................................................20
Statická heuristická analýza..............................................................................................................20
Run-time heuristická analýza............................................................................................................20
Cílené a generické dekryptory..........................................................................................................20
Dekompresory archivních formátů...................................................................................................21
Nebezpečné chování........................................................................................................................21
Kontrola integrity.............................................................................................................................21
Další metody.....................................................................................................................................23
Činnosti antivirových programů po identifikaci....................................................................................23
Algoritmické léčení...........................................................................................................................24
Heuristické léčení.............................................................................................................................25
Očkování souborů.............................................................................................................................25
Kontrola Integrity.............................................................................................................................26
Sebeléčení........................................................................................................................................26
Aktivní / „mrtvá“ havěť....................................................................................................................26
Prevence...............................................................................................................................................27
Stupně ohrožení...............................................................................................................................27
Závěr.....................................................................................................................................................28
Zdroje...................................................................................................................................................29
Elektronické zdroje...............................................................................................................................29
3
Anotace
Tato práce pojednává o principu funkce antivirových programů v různých režimech. Jsou zde
zmíněny nejznámější antivirové programy na českém trhu, metody a činnosti těchto programů.
Součástí pojednání je rovněž infiltrace a prevence. Část práce je také věnována historii antivirových
programů.
Klíčová slova
Antivirový program, počítačové viry, ochrana, počítač.
Úvod
V této práci se budu věnovat antivirovým programům. Na začátku si řekneme základní pojmy
k této problematice a poté postupně o antivirových programech. Je velmi důležité, pokud vlastníte
počítač, abyste měli nainstalován antivirový program a měli ho správně aktualizován. Na několika
základních antivirových programech se Vám pokusím vysvětlit princip a fungování těchto programů.
4
Historie antivirových programů
Jsou známa konkurenční tvrzení, kdo vlastně vymyslel antivirový software. Pravděpodobně
první veřejně známé neutralizování rozšířeného viru byla provedena Evropanem Berntem Fixem na
počátku roku 1987. Bernd Fix neutralizoval takzvaný Vienna virus. Na podzim roku 1988 vznikl také
antivirový software jménem Solomons's Anti-Virus Toolkit (vydal Briton Alan Solomon). V prosinci
1990 bylo na trhu už devatenáct jednotlivých produktů ke koupi, mezi nimi také Norton AntiVirus a
VirusScan od McAfee.
Tippett vytvořil několik příspěvků k nadějnému řešení detekce virů. Byl to ambulantní doktor,
který zároveň vedl počítačovou softwarovou firmu. Po přečtení článku o tom, že Lehighovy viry byly
první, které se vyvinuly, se Tippett zajímal o Lehigha a ptal se, jestli budou mít stejné charakteristiky
virů jako ty, jež napadají lidi. Z epidemiologického pohledu byl schopen říci, jak budou tyto viry
napadat systémy v počítačích (Boot sektor byl zasažen tzv. Brain virem, „.com“ soubory zase Lehigh
virem a „.com“ i „.exe“ sobory virem jménem Jerusalem virus). Tippettova společnost Certus
International Corp poté začala vytvářet vlastní antivirové softwarové programy. Společnost se prodala
v roce 1992 společnosti Symantec Corp., a Tippett pro ně začal pracovat. Včleňováním softwaru
vyvinul produkt Symantecu, dnes velmi známý Norton AntiVirus.
Základní pojmy
Antivirový program
Antivirový program je počítačový software, který slouží k identifikaci, odstraňování a
eliminaci počítačových virů a jiného škodlivého software (malware). K zajištění této úlohy se
používají dvě odlišné techniky:
prohlížení souborů na lokálním disku, které má za cíl nalézt sekvenci odpovídající definici
některého počítačového viru v databázi
detekcí podezřelé aktivity nějakého počítačového programu, který může značit infekci. Tato
technika zahrnuje analýzu zachytávaných dat, sledování aktivit na jednotlivých portech či jiné
techniky.
Úspěšnost závisí na schopnostech antivirového programu a aktuálnosti databáze počítačových
virů. Aktuální virové databáze se dnes nejčastěji stahují z Internetu.
5
Počítačový virus
Jako virus se v oblasti počítačové bezpečnosti označuje program, který se dokáže sám šířit bez
vědomí uživatele. Pro množení se vkládá do jiných spustitelných souborů či dokumentů. Takový
program se tedy chová obdobně jako biologický virus, který se šíří vkládáním svého kódu do živých
buněk. V souladu s touto analogií se někdy procesu šíření viru říká nakažení či infekce a napadenému
souboru hostitel. Viry jsou jen jedním z druhů tzv. malwaru, zákeřného softwaru. V obecném smyslu
se jako viry (nesprávně) označují i např. červi a jiné druhy malwaru.
Zatímco některé viry mohou být cíleně ničivé (např. mazat soubory na disku), mnoho jiných
virů je relativně neškodných popřípadě pouze obtěžujících. U některých virů se ničivý kód spouští až
se zpožděním (např. v určité datum či po nakažení určitého počtu jiných hostitelů), což se někdy
označuje jako (logická) bomba. Nejdůležitějším negativním důsledkem šíření virů je však samotný
fakt jejich reprodukce, která zatěžuje počítačové systémy a plýtvá jejich zdroji. Některé viry mohou
být takzvaně polymorfní (každý jeho „potomek“ se odlišuje od svého „rodiče“). Viry se na rozdíl od
červů samy šířit nemohou.
Důvody vzniku virů
Je několik důvodů vzniku virů.
Vytvářejí je programátoři velkých softwarových firem, kteří byli propuštěni ze zaměstnání. Ti
se svým zaměstnavatelům pomstí vytvořením nějakého viru a jeho vpuštěním do jejich lokální
(firemní) sítě, aby zničili nebo poškodili firmu.
Vytvářejí je mladí programátoři, kteří si chtějí vyzkoušet své schopnosti. Pokud se takové viry
rozšíří, může to být důsledek chyby nebo neuvědomění si celkového dopadu svojí činnosti.
(málo pravděpodobná verze) Viry vytvářejí programátoři softwarových firem, které vytvářejí
antivirové programy, za účelem zvýšení prodeje svých výrobků.
Viry jsou jednou z cest, jak ovládnout a řídit větší množství počítačů a využívat je např. k
rozesílání spamu.
Jsou prostředkem, jak zdiskreditovat platformu, která není schopna sama sebe uchránit před
jejich šířením.
6
Typy infiltrace
Jako infiltrace je označován škodlivý software, který se snaží proniknout do počítače a
vykonávat škodlivou činnost.
Viry
Tento druh infiltrací obvykle napadá již existující soubory na disku. Pojmenován byl podle
biologického viru, protože se z počítače na počítač šíří obdobným způsobem. Počítačové viry napadají
nejčastěji spustitelné soubory a dokumenty. Děje se to tak, že „tělo“ viru se k nim připojí – obvykle na
konec souboru. Průběh aktivace počítačového viru je tedy zhruba následující: po spuštění napadeného
souboru nejprve dojde ke spuštění připojeného viru. Ten vykoná akci, kterou má v sobě
naprogramovanou. A až nakonec se ke slovu dostane původní aplikace. Vlastní činnost aktivovaného
viru může mít mnoho podob. Některé viry jsou krajně nebezpečné, protože dokážou cíleně smazat
soubory z disku, na druhé straně jiné mají pouze zdůraznit zručnost svých tvůrců a uživatele spíše
obtěžují, než aby způsobovaly reálnou škodu. Je třeba říci, že viry v dnešní době čím dál tím
vzácnější, protože jsou pro své tvůrce komerčně nezajímavé. V případě infikování virem je třeba
napadený soubor vrátit do původní podoby, tedy vyléčit jej pomocí antivirového systému.
Červi
Počítačový červ je program obsahující škodlivý kód, který napadá hostitelské počítače a šíří se
dál prostřednictvím sítě. Základní rozdíl mezi virem a červem je ten, že červ se dokáže šířit sám a není
závislý na hostitelském souboru (či boot sektoru disku). Červ využívá k šíření hlavně elektronickou
poštu nebo síťové pakety. Červi se proto dělí na základě způsobu šíření na:
e-mailove – rozesílají se na e-mailové adresy, které najdou v adresáři hostitelského systému.
síťové – zneužívají bezpečnostní díry v různých aplikacích.
Červ je tedy mnohem životaschopnější než virus. Díky značnému rozšíření Internetu se červ
dokáže dostat do celého světa během několika hodin od vydání, v některých případech dokonce
v průběhu několika minut – a proto je nebezpečnější. Aktivovaný červ v systému dokáže způsobit
celou řadu nepříjemností – od mazání souborů, přes značné zpomalení činnosti počítače, až po
deaktivaci některých programů. Díky svému charakteru je ideální jako „pomoc“ při distribuci jiných
druhů infiltrací. V případě infekce červem se doporučuje škodlivý soubor odstranit, protože obsahuje
pouze škodlivý kód.
7
Trojské koně
Počítačové trojské koně jsou typem infiltrace, které se snažili maskovat za užitečné programy,
aby tak zajistili své spuštění uživatelem. Je potřeba poznamenat, že to platilo pro počítačové trojské
koně v minulosti. Dnes se již takto obvykle neprezentují a jejich hlavním cílem je získat snadný
přístup do systému, aby tam mohli vykonávat škodlivou činnost. Termín trojsky kůň je v současnosti
obecný pojem, kterým je označovaná v podstatě jakákoli infiltrace, kterou nelze zařadit do jiné
kategorie. Vzhledem k tomu, že se jedná o poměrně širokou kategorii aplikací, existuje řada poddruhů.
Mezi nejznámější patří:
downloader – škodlivý kód, jehož úlohou je z Internetu stahovat do systému další infiltrace.
dropper – tzv. nosič. Přenáší v sobě ukrytý další škodlivý software (např. viry) a ztěžují tím
jejich detekci antivirovými programy.
backdoor – tzv. zadní dvířka. Je to program komunikující se vzdáleným útočníkem, který tak
může získat přístup a kontrolu nad napadnutým systémem.
keylogger – sleduje, jaké klávesy uživatel stisknul a odesílá informace vzdálenému
útočníkovi.
dialer – připojuje se na zahraniční telefonní čísla. Reálnou škodu mohou tyto programy
způsobit pouze uživatelům s vytáčeným připojením (tzv. dial-up).
Trojské koně se nejčastěji vyskytují ve formě spustitelného souboru s příponou „.exe“. Soubor
neobsahuje v podstatě nic jiného než samotný škodlivý kód, proto je v případě infekce doporučenou
akcí jeho smazání.
Rootkity
Rootkit je kategorie škodlivého softwaru, který útočníkovi zabezpečí průnik do systému,
přičemž utají svoji přítomnost. Jde o program, který po proniknutí do systému (obvykle s využitím
bezpečnostní díry) po sobě zahladí všechny stopy – přítomnost souborů, spuštěné procesy, zápisy v
registrech systému Windows… Díky tomu je běžnou kontrolou v podstatě neodhalitelný. Při prevenci
je nutné vzít v úvahu fakt, že s rootkitem je možné přijít do kontaktu na dvou úrovních:
v okamžiku, kdy se pokouší o proniknutí z Internetu. V tomto případě se ještě nenachází v
systému, takže se jedná pouze o potenciální rootkit a antivirový program si s ním poradí (za
předpokladu, že rozpozná, že jde o infiltraci).
v době, kdy je již zaveden v systému. V tomto případě již v podstatě nelze standardním
způsobem detekovat. Odhalit a eliminovat aktivní rootkity dokáže pouze antivirový program
používající technologii Antistealth.
8
Adware
Adware je zkratka termínu „advertising-supported software“. Do této kategorie patří
programy, jejichž úkolem je zobrazovat reklamy. Adware obvykle sám otevře nové okno (tzv.
automaticky otevírané okno) s reklamou v internetovém prohlížeči nebo změní nastavení výchozí
domovské stránky. Používají jej často výrobci volně šiřitelných (bezplatných) programů, aby si
finančně zajistili vývoj vlastní, v mnoha případech užitečné aplikace.Adware sám o sobě nebývá
škodlivý, pouze uživatele obtěžuje. Nebezpečí spočívá v tom, že bývá často spojen se spywarem.
Pokud se uživatel rozhodne pro volně šiřitelný software, doporučuje se věnovat procesu instalace
zvýšenou pozornost. Instalační program totiž často upozorňuje na to, že se spolu se zvoleným
programem nainstaluje také adware, a uživatel má často možnost jeho instalaci zakázat. Některé
programy ovšem bez přídavného adwaru nebude možné nainstalovat nebo budou mít omezenou
funkčnost. Z toho vyplývá, že adware se může do systému dostat „legální“ cestou, protože s tím
uživatel souhlasí. Pozornost je tedy namístě. Infikovaný soubor neobsahuje v podstatě nic jiného než
samotný škodlivý kód, proto je v případě infekce doporučenou akcí smazání.
Spyware
Kategorie spywaru zahrnuje programy, které odesílají informace bez vědomí uživatele.
Odesílány jsou různé statistické informace, jako například seznam navštěvovaných internetových
stránek, seznam e-mailových adres v adresáři nebo klávesy stisknuté uživatelem Tvůrci těchto
programů argumentují tím, že se pouze snaží zjistit potřeby nebo zájmy uživatele a zásobovat ho
cílenou reklamou. Hranice zneužitelnosti je však v tomto případě velmi nejasná a nelze zaručit, že
získané informace nebudou v budoucnosti zneužity. Údaje získané metodami spywaru totiž mohou
obsahovat různé bezpečnostní kódy, čísla bankovních účtů atd. Spyware se šíří společně s některými
volně šiřitelnými programy, jejichž autoři o této skutečnosti vědí a často o tom informují uživatele
během instalace. Tím pádem jde do velké míry i o etický problém. Příkladem volně šiřitelného
softwaru obsahujícího spyware jsou hlavně klientské aplikace sítí P2P (peer-to-peer) – Kazaa,
BearShare. Zvláštní podkategorií jsou programy, které se vydávají za antispyware, přičemž samy
obsahují spyware – např. Spyfalcon, Spy Sheriff. Infikovaný soubor neobsahuje v podstatě nic jiného
než samotný škodlivý kód, proto je v případě infekce doporučenou akcí smazání.
Zneužitelné aplikace
Existuje řada programů, které za běžných podmínek slouží uživatelům k ulehčení činnosti,
správě počítačových sítí apod. V nesprávných rukách však mohou být zneužity k nekalým účelům. V
9
převážné většině se jedná o komerční a legitimní software. Může se například jednat o aplikace pro
zobrazení vzdálené pracovní plochy (WinVNC), programy pro dešifrování kódů a hesel nebo tzv.
keyloggery (programy na monitorování stisknutých kláves). V případě, že uživatel zjistí přítomnost
zneužitelné aplikace, která se v systému nachází bez jeho vědomí, doporučuje se (po případné poradě
se správcem sítě) příslušnou aplikaci odstranit.
Nechtěné aplikace
Nechtěné aplikace jsou programy, které sice nemusí představovat bezpečnostní riziko, avšak
mohou mít určitý vliv na činnost počítačového systému. Tyto aplikace se obvykle do systému mohou
nainstalovat až po souhlasu uživatele. Jejich instalací dojde k určitým změnám v chování počítačového
systému oproti stavu bez instalace příslušné aplikace. Mezi tyto změny v systému patří zejména:
zobrazování oken, které by se jinak nezobrazovaly
aktivace a spuštění procesů, které jsou uživateli skryty
zvýšená spotřeba systémových prostředků
změny výsledků vyhledávání
komunikace se servery poskytovatele aplikace
Phishing
Phishing (někdy převáděno do češtiny jako rybaření) je podvodná technika používaná na
Internetu k získávání citlivých údajů (hesla, čísla kreditních karet apod.) od obětí útoku. Jejím
principem je rozesílání e-mailových zpráv, které se tváří jako oficiální žádost banky či jiné podobné
instituce a vyzývají adresáta k zadání jeho údajů na odkazovanou stránku. Tato stránka může
například napodobovat přihlašovací okno internetového bankovnictví a uživatel do něj zadá své
přihlašovací jméno a heslo. Tím tyto údaje prozradí útočníkům, kteří jsou poté schopni mu z účtu
vykrást peníze.
Spam
Spam je nevyžádané masově šířené sdělení (nejčastěji reklamní) šířené internetem. Původně se
používalo především pro nevyžádané reklamní e-maily, postupem času tento fenomén postihl i ostatní
druhy internetové komunikace – např. diskuzní fóra, komentáře nebo instant messaging. Používá se
též zkratka UBE/UCE (Unsolicited Bulk/Commercial Email).
10
Pro opak spamu, tj. poštu, která je zaslána konkrétní osobou se specifickým jednorázovým
účelem a adresát ji považuje za žádoucí, se řidčeji používá termín ham (anglicky šunka).
Hoax
Fáma (z anglického hoax) je zpráva masově šířená Internetem. Nejčastějším médiem je
elektronická pošta, případně komunikační nástroje typu ICQ a Skype. Jde o falešnou poplašnou
zprávu, žert nebo mystifikaci – zpráva sama o sobě se jednoduše nezakládá na pravdě. Mezi často
šířené fámy patří například informace o novém počítačovém viru, který má běžné (mazání souborů,
získávání hesel) nebo až přímo absurdně znějící schopnosti. Některé poplašné zprávy útočí na city
uživatelů. Autoři se snaží zabezpečit si co největší rozšíření zprávy výzvou k dalšímu přeposlání pod
různými záminkami. Časté jsou fámy o mobilních telefonech, prosby o pomoc, nabídky velkých sum
peněz ze zahraničí apod. V zásadě platí pravidlo, že pokud zpráva obsahuje výzvu k dalšímu
hromadnému rozesílání, jde s největší pravděpodobností o fámu. Na Internetu existuje několik
specializovaných stránek, na kterých se buduje databáze fám (hoaxů) a často je možné na nich
konkrétní zprávu najít.
Antivirový software
Antivirový software můžeme rozdělit do několika skupin podle složitosti:
Jednoúčelové antiviry
Jde o antivirové programy, které jsou zaměřeny na detekci, popřípadě i dezinfekci jednoho
konkrétního viru, popřípadě menší skupiny virů. Jednoúčelové antiviry nelze rozhodně použít jako
plnohodnotnou antivirovou ochranu. Pokud uživatel zjistí (popřípadě ho někdo upozorní), že je jeho
počítač infikován určitým virem, není nic jednoduššího, než využít právě schopností jednoúčelového
antiviru. Jednoúčelové antiviry jsou obvykle k dispozici zdarma a slouží k likvidaci pouze rozšířeného
viru v dané době.
On-demand skenery
I když jde zároveň o jednu ze součástí antivirového systému, je on-demand skener nabízen
některými AV společnostmi zdarma, popřípadě jako shareware. Obvykle jde o jednoduché verze pro
11
OS DOS ovládané přes příkazový řádek. Tato kategorie antivirových programů se uplatní především
při dezinfekci počítačů, kdy např. operační systém MS Windows není schopen provozu.
Zajímavou alternativou jsou i Internetové on-line skenery, které někteří výrobci antivirových
programů nabízejí na svých stránkách.
Antivirové systémy
V dnešní době jde o nejčastější formu antivirových programů. Antivirový systém se skládá s
částí, které sledují všechny nejpodstatnější vstupní/výstupní místa, kterými by případná infiltrace
mohla do počítačového systému proniknout. Mezi tyto vstupní/výstupní místa může patřit například
elektronická pošta (červi šířící se poštou), www stránky (škodlivé skripty, download infikovaných
souborů), média (diskety, CD, USB disky apod.). Nedílnou součástí dnešních antivirových systémů je
aktualizace prostřednictvím Internetu. Jde o komplexní antivirové řešení v některých případech
doplněno i o osobní firewall.
Přehled nejznámějších antivirových společností na českém trhu
Microsoft Security Essentials
Program Microsoft Security Essentials zajišťuje pro váš domácí počítač ochranu v reálném
čase a chrání před viry, spywarem a dalším škodlivým softwarem.
Program Microsoft Security Essentials je bezplatný program ke stažení od společnosti
Microsoft, který se snadno instaluje i používá a je vždy aktuální, abyste si mohli být jisti, že je váš
počítač chráněn nejnovější technologií. Snadno poznáte, jestli je váš počítač zabezpečen - pokud jste
zelení, nemáte se čeho bát. Je to tak snadné.
Program Microsoft Security Essentials běží tiše a efektivně na pozadí, takže můžete počítač se
systémem Windows používat tak, jak chcete - bez přerušování nebo dlouhého čekání.
Výhodou programu jsou podle Microsoftu minimální nároky na výkon počítače a úspěšnost
při odhalování nebezpečných útoků. Podle statistik detekoval program za poslední rok téměř 400
milionů bezpečnostních hrozeb, které uživatelé ve 366 milionech případů vyhodnotili jako rizikové a
odstranili. Rozhraní programu je lokalizované do češtiny.
12
Avira antivirus
Program Avira AntiVir je dalším z antivirových programů, které lze získat zcela zdarma.
Program poskytuje ochranu proti virům, červům a trojským koním. Avira AntiVir obsahuje real-time
ochranu souborového systému vašeho počítače. To je důležitá vlastnost, kterou by měl mít každý
program, který na počítači používáte jako hlavní antivir. Program umožňuje také bezplatné aktualizace
virové databáze přes internet.
Výkonný antivirus je spolehlivé bezplatné antivirové řešení, které neustále a rychle prohledává
váš počítač na škodlivé programy, jako jsou viry, trojské koně, backdoor programy, falešné zprávy,
červi, dialery atd. monitoruje každý čin provedený uživatelem nebo operačním systémem a reaguje
okamžitě, když je detekován škodlivý program. Avira AntiVir Personal je komplexní, snadno
ovladatelný antivirový program, jehož účelem je nabídnutí spolehlivé ochrany bez poplatku pouze pro
osobní použití není zdarma pro obchodní nebo komerční využití. K dispozici pro systémy Windows a
UNIX.
Kompletní sken probíhá plně automaticky. Kromě dat prověří také bootsektory a paměť RAM.
Ve skenovacím okně vidíme počet oskenovaných souborů, adresářů a archivů, délku testu, počet
detekcí, podezřelých souborů a varování a uběhnutý čas. I zde se v případě detekce zobrazí okno s
dotazem na požadovanou akci. Protože je vytížení systému při kompletním skenování vcelku vysoké,
je vhodné využít plánovače úloh a kompletní skeny nechat provádět například v noci nebo v době, kdy
jste v zaměstnání.
Grisoft AVG
AVG je jedním z celosvětově nejznámějších jmen v poskytování antivirové ochrany. Miliony
uživatelů po celém světě se při práci na počítači spoléhá na produkty AVG. Dnešní hrozby jsou více
než obyčejné viry. Jedině s produkty AVG získáte další úroveň zabezpečení, která vás chrání před
všemi nejnovějšími hrozbami. AVG 2011 kombinuje několik vrstev ochrany pro zajištění bezpečí
vašeho digitálního života.
Špičková ochrana webu
Aplikace AVG LinkScanner® je součástí všech produktů AVG, chrání před rychle se
měnícími internetovými hrozbami. Tyto hrozby mohou být skryty na jakékoliv webové stránce.
Technologie AVG LinkScanner® kontroluje obsah webových stránek v reálném čase a prověřuje, že
jsou stránky bezpečné v okamžiku, kdy je to nejdůležitější - když se chystáte otevřít adresu URL.
LinkScanner® také vedle každého výsledku vyhledávání zobrazuje bezpečnostní hodnocení, a vy tak
13
můžete zhodnotit bezpečnost dané stránky dříve, než na ni vstoupíte. V aplikaci AVG 2011 byla
technologie LinkScanner® rozšířena a nyní nabízí vyšší úroveň detekce než dříve.
Síla komunity
AVG Community Protection Network (Komunitní ochranná síť AVG) je novinkou verze 2011
a funguje jako online hlídka, díky které se mohou všichni členové komunity navzájem chránit.
Informace o nejnovějších hrozbách se shromaždují od zákazníků, kteří se účastní programu
vylepšování produktů. A tyto jsou sdíleny v komunitě, aby každý získal tu nejlepší možnou ochranu.
AVG Protective Cloud Technology (Ochranná technologie Cloud AVG) je také novinkou
verze 2011. Neustále provádíme testy prostřednictvím internetu v modelu Cloud, abychom mohli
identifikovat nově se objevující hrozby. Poté vyvineme řešení a aktualizujeme software AVG na
vašem počítači téměř v reálném čase. Společnost AVG tyto testy provádí na svých systémech, takže
nejste rušeni, a přesto můžete využívat tu nejkomplexnější ochranu.
Ochrana sociálních sítí
Ochrana sociálních sítí AVG je novinkou verze 2011 a je v rámci produktové řady AVG
jedinečná. Odkazy zasílané prostřednictvím portálů Facebook a MySpace jsou nyní kontrolovány v
reálném čase, takže vy, vaši přátelé, společnost a zaměstnanci jste v bezpečí. Ochrana sociálních sítí
AVG se automaticky aktivuje ihned po instalaci softwaru AVG, takže ji není nutné nijak konfigurovat.
Norton AntiVirus
Poskytuje nebývalé a bezkonkurenční zjišťování hrozeb – Přidává další vrstvu ochrany pro
zjišťování virů, trojských koní, spywaru a dalších hrozeb. Technologie služby pro hodnocení Norton™
zkoumá v reálném čase různé atributy souborů a aplikací a určuje, zda jsou bezpečné.
Analyzuje nové soubory a aplikace, zda neobsahují hrozby – Proaktivně upozorňuje uživatele
na možná nebezpečí v nově stahovaných souborech a aplikacích dříve, než je nainstaluje do počítače
nebo spustí.
Inteligentní technologie pro rychlé a přesné prověřování – S pomocí špičkového systému
online rychle a přesně prověřuje počítač, zda neobsahuje hrozby.
14
ESET NOD32 Antivirus
ESET se jednoduše instaluje a používá. Uživatelé si mohou následně zvolit mezi jednoduchým
a pokročilým ovládáním.
ESET nezpomaluje váš počítač. Vysoká rychlost kontroly i na pomalejších strojích.
Nezatěžuje paměť. Podívejte se na srovnání s konkurencí.
Test rychlosti spuštění Kopírování souborů Šifrování / Dešifrování
Chrání před neznámými hrozbami pomocí technologie ThreatSense®. Technologie
ThreatSense® dokáže odhalit neznámé hrozby dříve než produkty konkurenčních antivirových
programů.
15
ESET testuje soubory před tím, než je vpustí do vašeho počítače. Rezidentní ochrana systému
sleduje a kontroluje každý objekt, který by pro váš počítač mohl představovat hrozbu. Pokud ji
nalezne, zobrazí varování nebo podle nastavení škodlivý kód odstraní.
ESET se aktualizuje automaticky. Ve virové laboratoři analyzujeme každý den tisíce nových
vzorků škodlivých kódů. Aktualizace virové databáze probíhají i několikrát za den nebo co nejdříve po
zjištění hrozby.
Ochrana pro všechny platformy. ESET řešení chrání systémy Windows, Linux, Mac OS a
mobilní zařízení.
Kaspersky Antivirus
Vyvíjí, produkuje a distribuuje bezpečnostní řešení chránící zákazníky před IT hrozbami a
minimalizuje bezpečnostní rizika ve velkých firmách. Poskytuje produkty chránící jak domácí
uživatele, tak firmy před viry, spamem a hackerskými útoky.
Avast!
Antivir Avast! je založen na pokročilé testovací technologii ALWIL Software, nabízené již od
roku 1988. Mezi jeho hlavní přednosti patří rychlé inkrementální aktualizace a vyspělá vícevrstvá
rezidentní ochrana, která nabízí vysoký stupeň zabezpečení před všemi typy nebezpečného kódu.
Dr.Web
Většina antivirových programů má zejména preventivní účinek. Nyní vám přinášíme program,
který sice taktéž preventivně může odhalit vir, zejména je ale schopen i zavirovavý počítač vyčistit.
Většina antivirových programů, kterým jsme se věnovali, byly buď antiviry on-demand, které
tedy skenovaly, pouze pokud jste skenování spustili, nechrání tedy váš počítač samy nepřetržitě, nebo
se jedná o antiviry kompletní ochrany, které online monitorují a chrání počítač. Nyní vám přinášíme
program Dr.Web CureIt!, který je ještě něčím dalším. Je hlavně jakýmsi čističem, který vám umožní
vyčistit počítač od virů a to jednorázově.
Program Dr.Web CureIt! je kompletní antivirový program, který dokáže skenovat, odhalovat
ale i odstraňovat viry. Má to ale své ALE. Tento program není schopen aktualizace své virové
databáze. Když si stáhnete novou verzi z internetu, ta obsahuje aktuální nějnovější virovou databázi.
16
Pokud je ale virová databáze aktualizována musíte si celý program stáhnout znovu. Nelze jej nijak
aktualizovat. Tedy alespoň u bezplatné verze. Naopak výhodou je, že tento program se neinstaluje.
TrustPort Antivirus
TrustPort využívá dlouholeté zkušenosti svého vývojového týmu. To mu dovoluje přinášet
inovativní řešení v souladu se současnými potřebami zákazníků. TrustPort nabízí antivirové a
antispamové produkty pro osobní počítače, pro souborové servery, pro bezpečnostní brány, pro
přenosná zařízení. Zavádí progresivní novinky, které citlivě reagují na aktuální bezpečnostní rizika.
Jako příklady z oblasti osobních počítačů jmenujme automatické skenování výměnných médií, tvorbu
záchranného systémového disku nebo rezidentní ochranu přenosných paměťových médií. V oblasti
firemních sítí jde například o vyspělé metody detekce spambotů či obrany proti hromadnému
spamovému útoku.
Zoner Antivirus
Zoner Antivirus je moderní antivirový systém vyvinutý pro OS Windows a Linux. Jádro
ZAVu je nově navržené, vysoce výkonné a dokáže obsluhovat jak rozsáhlé poštovní servery velkých
korporací, tak pracovní počítače domácích i firemních uživatelů.
ZAV používá hned několik nejmodernějších technologií, které z něj činí hráče v nejtěžší váze
na poli antivirových detekčních systémů. Mezi tyto techniky kromě standardních detekčních algoritmů
na bázi vzorků a dekompresorů archivních souborů patří dynamická emulace kompilovaných i
interpretovaných programů, statická, dynamická i tzv. run-time heuristika a negenerické i generické
dekodéry programů se šifrovanými obálkami (tzv. run-time pakovače). Kód systému je interně
optimalizovaný pro potřeby dnešních počítačů, dovede využívat schopností paralelního zpracování
dat, vyniká tak velmi vysokou rychlostí a může si tak dovolit provádět hloubkovější analýzy.
Problémy s provozem tedy nemají jak domácí a firemní uživatelé, tak především vytížené poštovní
servery, které spoléhají na výkonné a stabilní programové zázemí. A právě pro toto prostředí byl ZAV
vyvinut predevším. Společně s technologii ZAV Sandbox dává Zoner Antivirus detekčním
schopnostem nový rozměr.
ZAV Sandbox
V některých případech pro kompletní analýzu podezřelého programu samotná emulace
nestačí, neboť není v silách emulátoru simulovat kompletně celé prostředí operačního systému. Potom
přichází na řadu technologie ZAV Sandbox. Jedná se o nově vyvinutou virtualizační technologii na
17
straně serveru, která umožňuje bezpečné spuštění ve chráněném prostředí, ze kterého virus nemůže
uniknout a dokonce ani nemůže zjistit, že se v takovém prostředí vůbec nachází. Veškeré činnosti
takto spuštěného viru se analyzují a zaznamenávají a po odeslání podrobných výsledků testu dochází
ke kompletnímu obnovení systému (vše modifikované a zavirované zaniká). Celý tento proces se
odehrává na straně výkonného a zabezpečeného ZAV serveru, uživatelova data jsou tedy ochráněna.
ZAV Laboratoř
Aby byl systém detekce účinný a dovedl včas reagovat na nové hrozby, je důležité, aby měla
virová laboratoř zajištěnou dostatečnou zpětnou vazbu od svých uživatelů. Systém Zoner Antivirus
nabízí svým uživatelům možnost automaticky notifikovat virovou laboratoř o existenci nového viru a
zabezpečeným kanálem ho tam dopravit. Tento systém neposílá žádné duplikáty ani vzorky, které už
laboratoř obdržela od jiného uživatele, takže nedochází ke zbytečnému zatěžování síťové linky.
Zoner Antivirus je dlouhodobě testovaný na velkých serverech, které zpracovávají miliony
emailových zpráv za jeden den. Snažíme se takovým dlouhodobým testováním zajistit přísun
posbíraných podezřelých a zavirovaných souborů pro virovou laboratoř a patřičnou stabilitu celého
systému pro naše uživatele.
Metody antivirových programů
Virové slovníky/databáze
Při kontrole souboru antivirový program zjišťuje, zda se nějaká jeho část neshoduje s
některým ze známých virů, které má zapsány v databázi. Pokud je nalezena shoda, má program tyto
možnosti:
pokusit se opravit/vyléčit soubor odstraněním viru ze souboru (pokud je to technicky možné)
umístit soubor do karantény (virus se dále nemůže šířit, protože ho nelze dále používat)
smazat infikovaný soubor (i s virem)
K dosažení trvalého úspěchu ve středním a dlouhém období vyžaduje virová databáze
pravidelné aktualizace, které obsahují informace o nových virech. Pokud je antivirový program
neaktualizovaný, představují viry přinejmenším stejné nebezpečí, jako kdyby antivir v počítači vůbec
nebyl! Uživatelé mohou sami zaslat svůj infikovaný soubor výrobcům antivirových programů, kteří
informaci o novém viru začlení do databáze virů.
18
Antivirový program fungující na platformě databáze virů kontrolují soubory v momentě, kdy
je operační systém počítače vytvoří, otevře, zavře nebo je zasílá/přijímá emailem. V takovém případě
je virus možné zjistit ihned po přijmutí souboru. Nutno podotknout, že uživatel může naplánovat
kontrolu celého systému (pravidelně, nebo na určitý čas). Lze tedy plánovat opakované kontroly
všech/části souborů, které se na jednotlivých discích nacházejí. Velmi často je antivirová kontrola
naplánována ihned po startu počítače.
Ačkoli lze při kontrole za pomoci virových databází virus spolehlivě zničit, tvůrci virů se vždy
snaží být o krok napřed v psaní virových softwarů pomocí "oligomorfních", "polymorfních" a stále
častěji "metamorfních" virů, které šifrují část sami sebe nebo jinak upravují vlastní kód jako metodu
zamaskování před rozpoznáním virovými databázemi. Dalo by se říci, že jde o jakési dynamické
mutace klasických virů, které není vždy jednoduché rozpoznat.
Dynamická emulace kódu
Je technika, která slouží k detekci složitějších a nejsložitějších typů infiltrací. Ty bývají velice
často proměnlivě zakódované a není možné je správně rozeznat podle statických signatur. Tato složitá
detekční metoda jednoduše řečeno simuluje vykonávání programu procesorem počítače (musí tedy
simulovat část funkcionality procesoru). Výhodou, kterou oproti polymorfním (proměnlivě
zakódované statické tělo s proměnlivým dekodérem) a metamorfním (vlastní proměnlivě generovaný
kód s proměnlivým dekryptorem nebo bez něj) virům tato technika disponuje, je možnost nechat virus
simulovaně (tedy nikoliv skutečně, ale jenom "jako") běžet do doby, než se začne sám projevovat.
Například do okamžiku, než se jeho proměnlivá část dekóduje do statické podoby, kdy je možné
provést detekci na základě signatur.
Dynamická heuristická analýza
Je společně s dynamickou emulací kódu silnou zbraní proti neznámé havěti, která nehledá v
kódu statické signatury, ale zkoumá chování programu jako takového po jeho simulovaném spuštění.
Na základě podezřelých příznaků, které jsou během testu sesbírány, jádro určí pravděpodobnost
výskytu neznámé infiltrace.
19
Statická heuristická analýza
Doplňuje analýzu dynamickou. Jejím smyslem je provedení prvotního rychlého "ohmatání"
souboru a jeho případné klasifikace ještě předtím, než dojde k emulaci, což se využívá i pro přesnější
stanovení dalšího postupu. Taktéž nepoužívá konkrétní signatury, ale řídí se výhradně obecnými
podezřelostmi, čímž dovede rozpoznat i dosud neznámé viry.
Run-time heuristická analýza
Neboli heuristika "za běhu". Tato metoda se stará o analýzu obsahu, který se vyhodnocuje v
průběhu kontrol všech souborů. Ještě než dojde ke spuštění sofistikovanějších a časově náročnějších
testů, se jádro pokusí zjistit, jestli podobný soubor již nebyl v uplynulém časovém rozmezí detekován.
V případě, že množství výskytů podobných souborů přesáhne určitou hranici, začnou se soubory
automaticky detekovat jako podezřelé. Ačkoliv se tuto techniku nedoporučuje používat na pracovních
stanicích při kontrole celého disku, na poštovních serverech dovede zavčas zastavit velkou virovou
epidemii i naprosto neznámého původu.
Cílené a generické dekryptory
Legitimní i nebezpečné aplikace mají často svůj kód nějakým způsobem zašifrovaný. K
překonání této bezpečnostní obálky je obvykle zapotřebí emulovat od několika tisíc po několik
miliónů instrukcí procesoru, což může být časově dost náročné. Na jednu emulovanou instrukci totiž
připadne sto až tisíc obslužných instrukcí emulátoru, což není problém při menším množství instrukcí,
při větším to už stojí více času. Z tohoto důvodu emulátor kódu obsahuje několik samostatných plug-
inů, které dovedou využít a ovlivnit průběh emulace. Některé takové moduly slouží pro rychlou
dekompresi cílenou na konkrétní dekódovací obálku, aby se proces emulace maximálně urychlil. Další
moduly slouží pro urychlení emulace bez ohledu na konkrétní typ obálky, což v praxi znamená
rekompilaci části zdlouhavého nebezpečného kódu do bezpečně proveditelného tvaru a jeho následné
spuštění v kontrolovaném prostředí. Tímto způsobem je možné dosáhnout závratné rychlosti emulace
současně s velmi vysokým počtem analyzovaných instrukcí a celkovou stabilitou.
Dekompresory archivních formátů
V dnešní době se používá velké množství různých archivátorů, pakovačů, instalátorů a
balíčkovacích systémů, které dovedou více souborů spojit do jednoho a ještě komprimací zmenšit jeho
20
velikost, případně ochránit heslem. Z toho zároveň ze strany antivirového systému vyplývá nutnost
podpory těchto souborových formátů.
Nebezpečné chování
Metoda zjištění nebezpečného chování se oproti virovým databázím nesnaží najít známé viry,
namísto toho sleduje chování všech programů. Pokud se takový program pokusí zapsat data do
spustitelného programu, antivirus například označí toto nebezpečné chování a upozorní uživatele,
který je antivirovým programem vyzván k výběru dalšího postupu.
Výhodu má tento postup zjištění nových virů v tom, že ačkoli je virus zcela nový, neznámý ve
virových databázích, může ho snadno odhalit. Nicméně i tato metoda má své nevýhody. Stává se, že
antivirový program hlásí spoustu falešných "nálezů" viru. To může mít za výsledek, že uživatel
postupem času přestane vnímat ta "pravá" varování. Pokud tedy uživatel automaticky povolí
pokračování programu, je jasné, že v takovém případě antivirus neplní dále svoji funkci varovat
uživatele před možným nebezpečím. Z tohoto důvodu tento postup stále více moderních antivirových
programů využívá méně a méně.
Kontrola integrity
Kontrola integrity je založena na porovnávání aktuálního stavu souborů a oblastí na disku s
informacemi, které si kontrolní program (integrity checker) uschoval při posledním spuštění,
popřípadě při jeho instalaci. Jestliže se do takto chráněného počítače dostane virus, zdvořile na sebe
upozorní změnou některého z kontrolovaných objektů a může být zachycen kontrolou integrity.
Spolehlivě tak lze zachytit i nové, doposud neznámé viry pro skener či dokonce heuristickou analýzu.
Nasbírané informace lze často využít i k velice účinnému léčení. Aby se tato idylka proměnila v
realitu je nutné kontrolu integrity správně nainstalovat a hlavně se o ni správně a pravidelně starat. To
je jeden z důvodů, proč kontrola integrity pomalu z antivirových systémů mizí, popřípadě je využita v
takové formě, že uživatel nemá o její přítomnosti potuchy. Běžné kontrole integrity je totiž potřeba
věnovat více času než skenerům.
Kontrola integrity pracuje v režimu on-demand, takže uživatel ji musí aplikovat ručně. Po
každém průchodu kontroly integrity diskem se musí uživatel správně rozhodnout, zda pozměněné
objekty jsou jeho dílem, popřípadě dílem nějakého viru. Pokud se rozhodne špatně (tj. změny
způsobené virem označí za změny, které způsobil systém, popřípadě uživatel), všechny další kontroly
postrádají smysl. Ve skutečnosti infikované objekty (soubory, systémové oblasti) budou považovány
21
za nezávadné, informace které by pomohly virus odstranit, budou přepsány informacemi, které již
vyjadřují infikovaný stav, atd. To jestli kontrola integrity dokáže objevit virus je zcela v rukou
uživatele. Dalším předpokladem pro úspěšné nasazení je provedení instalace kontroly integrity v době,
kdy počítač není infikován. Kontrola integrity by v opačném případě vycházela z uložených informací,
které by byly již ve stavu infekce. Dalším negativem je, že kontrola integrity dokáže zachytit virus až
ve chvíli, kdy je aktivní (již "řádí" na pevném disku uživatele). Mezi informace, které si kontrola
integrity zapisuje během průchodu disku, patří například:
délka souboru
datum souboru
atributy souboru
kontrolní součet souboru (popřípadě jeho části)
kontrolní součet systémové oblasti
informace pro budoucí léčení (část hlavičky souboru, část systémové oblasti apod.)
Jak už bylo řečeno, klasická forma kontroly integrity postupně mizí, místo ní lze najít u
některých antivirů kombinaci: kontrola integrity & on-demand skener. Díky tomu, že kontrola
integrity provádí jen několik základních operací, je podstatně rychlejší než skener. Některé antiviry
tohoto využívají a tak on-demand skener ve skutečnosti provádí kontrolu integrity. Pokud se skutečný
stav liší od stavu, který si kontrola integrity uložila při předchozím testu, dojde k vyšetření změny
skenerem (i s využitím heuristické analýzy, pokud ji antivirus nabízí). Stručně řečeno, skener je použit
pouze v případě modifikovaného či nového souboru na disku. Výsledkem tohoto spojení je vyšší
rychlost při zachování stejné spolehlivosti detekce.
Důležitým poznatkem je, že kontrolu integrity lze obvykle aplikovat pouze u pevných disků.
V případě disket a ostatních médií by se musely přenášet i posbírané informace kontroly integrity.
Uživatelé, mezi kterými by tato média putovala, by navíc museli používat kontrolu integrity stejného
výrobce - stejného antivirového systému. Kontrola integrity nepotřebuje pro svůj chod virovou
databázi. Viry dokáže (za spolupráce uživatele) detekovat pouze na základě změn v systému.
Další metody
Určité antivirové programy používají další typy heuristických analýz. Například se může
pokusit napodobit začátek kódu každého nového spustitelného souboru tak, že ho systém vyvolá ještě
před přenosem do tohoto souboru. Pokud se program chová tak, že použije "samo-modifikační" kód
nebo se jeví jako virus (pokud například začne hledat další spustitelné soubory), můžeme
předpokládat, že virus nakazil další spustitelné soubory. Nicméně i tato metoda může hlásit falešné
pozitivní nálezy.
22
Další metoda detekce virů se týká užití tzv. sandboxu. Sandbox, neboli pískoviště, napodobuje
systém a spouští „.exe“ soubory v jakési simulaci. Po ukončení programu software analyzuje sandbox,
aby zjistil nějaké změny, ty mohou ukázat právě přítomnost virů. Tato metoda může taky selhat a to
pokud jsou viry nedeterministické a výsledek nastane za různých akcí nebo akce nenastanou při běhu -
to způsobí, že je nemožné detekovat virus pouze z jednoho spuštění.
Perspektivní metoda, která si obvykle poradí s malware je tzv. "whitelisting". Spíše než
vyhledávání jen známého zákeřného softwaru tato technika předchází spouštění všech kódů kromě
těch, které byly již dříve označeny jako důvěryhodný administrátorem (uživatelem). Navíc aplikace v
počítači, které jsou označeny jako malware, mají automaticky zakázáno spouštění, jakmile nejsou na
"whitelist", tedy seznamu povolených programů. Dnes již existuje velké množství aplikací
vytvořených velkými organizacemi, které jsou široce používané a "whitelist" je tedy tvořen především
administrátory, kteří software rozpoznávají. Možné provedení této techniky zahrnuje nástroje pro
automatické zálohy a whitelist procesy údržby.
Činnosti antivirových programů po identifikaci
Antivirový systém dokáže aplikovat celou řadu činností, které mu uživatel předem definuje, popřípadě
je zvolí až při samotné identifikaci škodlivého kódu. Jednou z krajních a zároveň nejspolehlivějších
metod je smazání dotyčného infikovaného souboru. Kromě souborového viru tak často dojde i ke
ztrátě důležitých dat, které daný soubor obsahoval. Dočasnou alternativou je přejmenování souborů
tak, aby ho nebylo v budoucnu možno spustit a opět z něj aktivovat virus. Velice podobným zákrokem
je přesunutí souboru do karantény, pokud to daný antivirus nabízí. Každého bude jako první zajímat,
zda je možné škodlivý kód odstranit nedestruktivně a to formou „léčení“ infikovaného souboru.
Léčení můžeme rozdělit na základní skupiny:
Algoritmické léčení
Při aplikaci prvně jmenované metody je plně spoléháno na přesnost informací o
identifikovaném viru (kam si ukládá původní údaje z hlavičky? Jaká je jeho délka? Jaká je jeho pozice
v souboru?), které jsou uloženy ve virové bázi. Na základě těchto informací a obecných postupů je
identifikovaný virus „vystřihnut“ ze souboru a ten je následně zrekonstruován do původní podoby
(především jde o rekonstrukci hlavičky souborů a navrácení původního vstupního bodu – entry
pointu).
23
K úspěšné rekonstrukci může dojít pochopitelně pouze v případě, že jde co do způsobu
napadení souboru o nedestruktivní virus. Ani tím však není zaručen bezproblémový chod souboru do
budoucna. Problémy mohou kupříkladu nastat u tzv. „mezerových virů“ (cavity viruses), které
napadají oblasti souborů, které neobsahují data, což nemusí nutně znamenat, že jsou v těchto oblastech
pouze hodnoty 00h (například). Pokud antivirus takový virus „vystřihne“, na jeho místo musí nutně
vložit jiný kód (například znaky „X“). Díky tomu nemusí být vyléčený soubor přesně v těchto místech
shodný s původní neinfikovanou verzí a v případě, že je program, obsažený v tomto souboru, vybaven
interní sebe-kontrolou, nelze vyloučit, že bude o tomto rozdílu informovat a následně i odmítne
spolupracovat.
K podobným činnostem dochází i v případě starých boot virů, avšak s tím rozdílem, že je
rekonstruována příslušná systémová oblast. Je nutno navrátit původní obsah systémové oblasti, kterou
si nedestruktivní boot virus musel k zajištění své budoucí replikace někam uložit. Záleží opět na
antivirovém systému, zda dokáže tento obsah najít a boot virus tak úspěšně odstranit.
V krajních případech lze systémové oblasti nahradit obecně platným kódem, což dokážou jak
některé antivirové systémy, tak i příkaz DOSu: FDISK ve spojení s nedokumentovaným
parametrem /MBR. Tímto se odkrývá jeden ze špatných zvyků a tím je řešení infekce boot virem
formátováním. Ani sebelepším formátováním nelze boot virus z pevného disku odstranit.
Samotnou kapitolou jsou makroviry. Vzhledem k tomu, že formát dokumentů (MS Word) či
sešitů (MS Excel) je obecně známý, antivirus dokáže přesně vymezit oblast, kde jsou uložena
jednotlivá makra a tedy i případná makra viru. Pokud by nedokázal antivirový systém odlišit, jaká
makra jsou škodlivá a která patří k původnímu dokumentu, může v krajním případě odstranit veškerá
makra a to bez větších škod, jelikož nejcennější oblast, kterou je beze sporu samotný text dokumentu,
zůstane nepoškozen.
Speciální kapitolou jsou pak trojské koně, backdoory, doprovodné viry. „Léčení“ probíhá
formou mazání infikovaných souborů, jelikož z předchozích kapitol plyne, že soubory trojských koní,
backdoorů a doprovodných virů neobsahují žádná jiná data, než škodlivý program.
Heuristické léčení
24
Kromě heuristické detekce virů existují i pokusy o jejich heuristické odstraňování. Virus se
totiž po svém spuštění dříve nebo později pokusí předat řízení původnímu programu. Pokud se podaří
odsimulovat jeho běh až k tomuto bodu, stačí napadený soubor správně zkrátit a všechno je v
nejlepším pořádku.
Heuristické léčení sice umožňuje vyléčit i případný neznámý virus, ale vzhledem k tomu, že
jde o odstraňování na základě informací získaných až v průběhu samotné heuristické analýzy, nelze
touto operací vyloučit poškození souboru, ať už jde o známý či neznámý virus.
Heuristické léčení bylo fenoménem některých starších antivirových systémů (především AVG
3-4, TBAV) a dnes již ho nelze běžně spatřit.
Očkování souborů
V dávných dobách byly některé antivirové systémy (CPAV) vybaveny možností „očkování“
souborů. Takový soubor, dosud neinfikovaný, byl antivirem prodloužen o krátký kontrolní program.
Pokud byl takto upravený soubor v budoucnu infikován, po jeho spuštění uživatelem byl tento
upozorněn, že je soubor zmodifikován a následně mu bylo nabídnuto léčení. Pokud si vložený
kontrolní program před infekcí uložil důležité informace o původní zdravé variantě souboru, pak mu
nečinilo problémy virus odstranit a soubor zrekonstruovat do původní formy „zevnitř“.
Problémy mohly nastat opět v případě, že šlo o interně se kontrolující programy. Navíc mohly
tyto kontrolní programy způsobovat falešné poplachy některých heuristik, jelikož sami o sobě
připomínaly virus (formou připojení k souboru).
Kontrola Integrity
Viry lze úspěšně odstraňovat na základě informací, které si automaticky ukládá kontrola
integrity. Pokud je uložen dostatek informací o původním souboru před infekcí, může být nejen s
velikou úspěšností rekonstruován do neinfikované podoby, ale dle původního kontrolního součtu může
být i ověřeno, zda je vyléčená forma souboru 100% shodná s původní.
Sebeléčení
25
Jde o velice ojedinělou vlastnost malé skupiny virů a jim podobných. Konkrétním příkladem
může být starý polský virus Pieck.4444.A (Kaczor.4444.A), který sám sebe odstraní z počítače,
jakmile uživatel při startu PC vypíše dané slovo. Konkrétně v tomto případě to na dnešních rychlých
počítačích není možné, jelikož chvíle, během které je slovo očekáváno, je až příliš krátká.
Aktivní / „mrtvá“ havěť
Je velice důležité rozlišovat, zda je havěť v aktivním či „mrtvém“ stavu. Pokud je rezidentní
štít (on-access skener) antivirového systému plně funkční a uživatel přistoupí ke známému viru (tj.
antivirus ho dokáže detekovat), neměl by antivirus za žádnou cenu umožnit aktivaci takto
infikovaného souboru bez ohledu na to, jak bude na výstražné okno rezidentního štítu uživatel
reagovat. Je nutné si uvědomit, že již z principu bude např. infikovaný soubor odhalen rezidentním
štítem až v momentě, kdy bude vytvořen na pevném disku PC, tj. v momentě, kdy je soubor na disku
„dopsán“ a uzavřen (close). Právě tuto činnost (on-close – „při uzavření“) má rezidentní štít
podchycenu a jde o první příležitost, kdy může soubor prozkoumat. Na základě zjištěných výsledků je
buď zobrazeno varovné okno (nalezen virus) nebo lze v činnosti normálně pokračovat (soubor je v
pořádku). Ačkoliv se tedy infikovaný soubor dočasně na pevném disku objeví (např. do jeho smazání
volbou s varovného okna), nelze prohlásit, že PC je infikováno! To samé platí v případě, že uživatel
varovné okno pouze zavře (a přístup k již tak uloženému - infikovanému souboru při nejmenším
zablokuje), popřípadě když najde infiltraci v archivu (.CAB, .ZIP, .RAR…) nebo adresáři Internet
Temporary Files (kam si Internet Explorer odkládá soubory nahromaděné během „surfování“ po
Internetu). Počítač prostě není infikován a obsahuje pouze „mrtvou“ podobu havěti. O aktivní infiltraci
lze hovořit v případě, že tato běží v paměti, spouští se pomocí klíče RUN z registrů po každém startu
Windows, šíří se na další počítače, apod.
Prevence
Obecně funguje heslo: „neklikat na vše, co vidím“. Z dlouholeté praxe bylo usouzeno, že
pokud by bylo toto heslo dodržováno, 90% problémů souvisejících s infiltrací by bylo vyřešeno.
Případnou infekci lze významně omezit pravidelným stahováním aktuálních verzí softwaru (stahování
aktualizací pro antivirové systémy bylo rozebráno výše) a to bez ohledu na to, o jakou platformu jde.
Nás zajímá především operační systém Microsoft Windows, kde kromě aktualizací pro samotný
systém existují i velice důležité aktualizace pro aplikaci Internet Explorer. Šíření řady virů díky
bezpečnostním chybám v aplikaci Internet Explorer by bylo možno ihned omezit v případě, že by
takovou pravidelnou aktualizaci prováděl každý uživatel. Realita je bohužel smutnější.
26
Stupně ohrožení
Stupně ohrožení jsou umístěny na internetových stránkách výrobců antivirových programů a
indikují počet pokusů o infikování počítačů pomocí zneužívání bezpečnostních děr. Exploity bývají
typicky umístěné na kompromitovaných serverech a tak je uživatel vystavený riziku infikování se při
běžném prohlížení internetu. Linky vedoucí k nebezpečnému kódu bývají často rozesílané
nevyžádanými zprávami IM služeb (ICQ, MSN). Je proto důležité dbát na pravidelné instalování
bezpečnostních záplat. Zde je příklad stupňů ohrožení z internetových stránek společnosti eset.
Normální
Nejsou známé žádné zásadní hrozby, které by mohly bezprostředně ohrozit vaše data.
Doporučujeme však dbát na nezbytné opatření při práci s internetem a e-mailem, jako například
zapnutý a řádně aktualizovaný antivirový systém či firewall. Infiltrace se k vám může dostat například
e-mailem, proto je zapotřebí být obezřetný, pokud dostanete zprávu od uživatele, kterého neznáte.
Zvýšený
Zvyšte svoji opatrnost, míra škodlivého kódu na internetu vzrostla. Je možné, že se v nejbližší
době objeví infiltrace, která by mohla ohrozit vaše data. Věnujte pozornost svému antivirovému
systému, měl by být aktualizovaný. Pokud nemáte ve svém operačním systému zapnuté automatické
aktualizace, na stránce jeho výrobce zkontrolujte, jestli neexistuje důležitá bezpečnostní záplata.
Vysoký
Víme o konkrétních hrozbách, které můžou ohrozit váš počítač. Pro bezpečnost vašich dat je
důležité, abyste se na síti chovali maximálně bezpečně. V případě, že to bude potřebné, společnost
ESET vás bude na svých stránkách informovat o vývoji situace v souvislosti s jejím antivirovým
řešením. Lehce tak získáte informace o tom, jak se chránit před vzniklým nebezpečenstvím a vyhnout
tak ohrožení vašich dat.
27
Kritický
Buďte v plné pohotovosti, stav rozšíření škodlivého kódu na internetu je kritický a může vám
způsobit problémy. Pravděpodobně budete muset vykonat speciální opatření, v případě sítě bude
spuštěna historie běžných operací v infrastruktuře sítě.
Závěr
Pro ochranu počítačů je důležité mít dobře nainstalovaný antivirový program. Nesmíme
zapomenout na časté aktualizace těchto programů, které jsou nezbytné. Důležité je také zálohovat si
veškeré data. Být obezřetný na internetu, neotvírat nevyžádanou poštu či podezřelé emaily.
Samozřejmě bychom neměli šířit poplašné zprávy. Toto je pár rad k ochraně počítače před viry.
Zdroje
[1] Hák, Igor, Moderní počítačové viry, třetí vydání, 15. 9. 2005
28
Elektronické zdroje
[2] http://cs.wikipedia.org/wiki/Antivir, 2010
[3] http://www.viry.cz/go.php, 2010
[4] http://www.microsoft.com/security_essentials/, 2010
[5] http://cs.wikipedia.org/wiki/Avira_AntiVir, 2010
[6] http://www.avg.com/cz-cs/uvod, 2010
[7] http://cz.norton.com/index.jsp, 2010
[8] http://www.eset.cz/cz, 2010
[9] http://www.kaspersky.cz/, 2010
[10] http://www.avast.com/cs-cz/index, 2010
[11] http://www.antivirovecentrum.cz/doctor-web.aspx, 2010
[12] http://www.trustport.com/cz, 2010
[13] http://www.zonerantivirus.cz/homepage, 2010
29