Odstránenie škodlivého softvéru
Čo je to vírus
Počítačový vírus v oblasti počítačovej bezpečnosti označuje program alebo kód, ktorý sa dokáže sám šíriť bez vedomia používateľa. Aby sa mohol rozmnožovať, vkladá kópie svojho kódu do iných spustiteľných súborov alebo dokumentov, ktoré sa tak stávajú prostriedkom na aktiváciu ďalšieho vírusu. (Pri jednoduchších vírusoch dochádza ku kopírovaniu jeho samotného viackrát na disk poprípade premenovanie kópií.) Takýto program sa teda chová podobne ako biologický vírus ktorý sa šíri vkladaním svojho genetického kódu do živých buniek. Analogicky sa proces šírenia vírusu nazýva infekcia a napadnutému súboru sa hovorí hostiteľ. Vírusy sa rozširujú v rámci jedného počítača, ale i medzi viacerými počítačmi. Existuje viacero spôsobov, ako sa môžu počítače infikovať cez rôzne médiá ako je CD, sieťové linky, výmenné pevné, ale najmä cez internet. Vplyv vírusu je ľahko badateľný na spomalení a nestabilite systému, časté je poškodenie dokumentov, zmena veľkosti alebo obsahu súborov, úbytok kapacity pevného disku. Vírusy sú iba jedným z druhov zákerného softvéru tzv.malware. Vo všeobecnosti sa ako vírusy označujú napríklad aj počítačové červy a iné druhy malware. Zatiaľ čo niektoré vírusy môžu byť cielene ničivé (napr. mazať súbory na disku), mnoho iných vírusov je relatívne neškodných, poprípade iba obťažujúcich. Pri niektorých vírusoch sa ničivý kód spúšťa až s oneskorením (napr. v určitý deň či po nakazení určitého počtu iných hostiteľov), čo sa niekedy označuje ako logická bomba. Ďalší negatívny vplyv vírusov je ich samotná reprodukcia, ktorá zaťažuje počítačové systémy a obsadzuje ich zdroje.
Rozdelenie škodlivého software
Klasické počítačové vírusy
Počítačový vírus je program, ktorý dokáže rozmnožovať sám seba pridávaním svojho kódu do iných programov. Pre svoje rozširovanie teda podobne ako biologický vírus potrebuje hostiteľa – iný program. Z toho vyplýva, že do počítača sa môže dostať jedine tak, že spustíme nainfikovaný program. Spolu so spustením nainfikovaného programu sa aktivuje vírus v operačnej pamäti, a potom napadne i ďalšie súbory v počítači.
Špeciálnym druhom vírusov boli v minulosti tzv. Boot vírusy, ktoré namiesto bežných programov napádali miesto na nosiči dát, z ktorého sa dá zaviesť operačný systém. Najčastejšie sa prenášal pri zabudnutí diskety v disketovej jednotke pri zapínaní počítača. V dnešnej dobe už tento druh vírusov prakticky vymizol.
Ďalším špeciálnym druhom vírusov sú Makro vírusy, rozšírené najmä v prostredí kancelárskeho balíka MS Office (Word, Excel, PowerPoint, Outlook...), prípadne aj v iných, menej rozšírených programoch. Do softvéru bola pridaná možnosť vytvárať „makrá“ – malé programy zahrnuté v dokumentoch, ktoré mali pôvodne slúžiť na automatizáciu často vykonávaných krokov. Jazyk tvorby makier však umožňuje zahrnúť do nich aj potenciálne nebezpečné operácie ako napr. zápis na disk. Otvorením dokumentu, ktorý obsahuje makro vírus, sa telo vírusu najčastejšie skopíruje do šablóny „normal“, z ktorej sa vytvárajú všetky nové dokumenty. Každý nový dokument, ktorý potom vytvoríte, je napadnutý makro vírusom. Našťastie novšie balíky Office na prítomnosť makra upozorňujú a ich dôveryhodnosť sa dá zabezpečiť napríklad digitálnym podpisom, pomocou ktorého sa dá zistiť, kto makro vytvoril.
Podobným druhom sú i vírusy napísané pomocou skriptovacích jazykov, ako je jazyk VBS skript alebo WSH (Windows scripting host). VBScript bol podobne ako makrá pridaný do kancelárskeho balíka Office. Jazyk WSH bol zasa vytvorený na uľahčenie práce správcom systémov Windows.
Účinky nákazy počítača vírusom (alebo inými druhmi malware, ako sú trójske kone, červy atď.) sú rozličné - od vypísania "vtipných" textov až po zničenie dát uložených na diskoch alebo ich odoslanie záškodníkovi prostredníctvom Internetu - podľa toho, čo autor vírusu v ňom implementuje.
Internetové červy
V pôvodnom význame je červ tá časť vírusu, ktorá je zodpovedná za jeho šírenie. Kým klasickým súborovým vírusom trvalo mesiace až roky, kým sa rozšírili, internetovým červom na to stačí niekoľko dní až niekoľko minút. Kým súborový vírus potrebuje našu pomoc, aby sa dostal z jedného počítača na druhý pomocou diskety, CD alebo iného nosiča, internetový červ sa dokáže rozšíriť i sám pomocou počítačovej siete. Funguje tak, že sa skúša pripojiť na každý možný počítač v počítačovej sieti a na svoj prenos využiť slabé miesto zle zabezpečeného počítača (predovšetkým vďaka chybám v operačnom systéme Microsoft Windows). Na tomto počítači sa červ aktivuje a znovu sa skúša šíriť do ďalších počítačov. Počet nakazených počítačov teda stúpa lavínovite.
Trójske kone
Šíreniu sa dá zabrániť dobrým zabezpečením počítačovej siete, pretože napadnutiu vnútornej siete z internetu dnes už dokážeme zabrániť. Najzraniteľnejšia je sieť z vnútra. Túto skutočnosť využíva ďalší typ malwaru, trójsky kôň. Trójsky kôň (pomenovanie podľa Trójskeho koňa z Homérovho diela Illias) je škodlivý kód pribalený k zdanlivo neškodnému softwéru. Nachádzajú sa najmä v niektorých pochybnejších programoch ako sú napr. programy na výmenu dát cez tzv. peer-to-peer siete (cez ktoré sa dá okrem iného nelegálne sťahovať hudba, filmy a programy). Trójske kone môžu mať najrôznejšie účinky (môžu i priamo ohroziť počítač podobne ako vírusy vykonaním škodlivej akcie).
Najzákernejším druhom trójskych koňov sú však droppery (vypúšťače). Tieto v pravidelných intervaloch do systému vypúšťajú najrôznejší malware. Môžu obsahovať klasické vírusy, červy ale i spyware (špionážny program). Takto vypustený červ potom napadne sieť z vnútra, pričom je veľmi ťažké odhaliť zdroj nákazy. Odhalenie trójskeho koňa sťažuje i technika nazývaná rootkits (voľne preložené ako nástroje správcu). Touto technikou trójsky kôň dokáže poprieť svoju existenciu v systéme. Túto techniku môže trójsky kôň najľahšie využiť v prípade, že ho otvoríme s oprávneniami správcu systému.
Ďalšou nebezpečnou akciou, ktorú môžu trójske kone vykonávať, je otvorenie tzv. zadných vrátok (backdoor). Cez tieto „zadné vrátka“ sa vie útočník, tzv. hacker, dostať do systému bez toho, aby poznal prístupové meno a heslo do počítačového systému.
E-mailové červy
Rozdelenie vírusov do spomínaných kategórií (klasické, červy a trójske kone) nie je úplne jednoznačné. Typickým príkladom sú e-mailové vírusy, ktoré by sa dali zaradiť medzi červy, pretože sa šíria cez internet, ale i medzi klasické vírusy a trójske kone, pretože sa aktivujú otvorením spustiteľného programu v prílohe e-mailu. Typickým príkladom takýchto červov sú vírusy Mellisa a ILOVEYOU, ktoré sa aktivovali otvorením prílohy e-mailu. (Melisa bola vytvorená ako Makro a ILOVEYOU ako VBScript). Po aktivovaní takéhoto vírusu sa tento dokáže napríklad rozposlať na všetky e-mailové adresy zaznamenané v programe MS Outlook.
Zásuvné moduly ActiveX a Java applety
Trójske kone a vírusy sa objavujú nielen v e-mailoch ale celkom bezpečné nie je ani surfovanie po Internete, pretože i webové stránky (predovšetkým pochybného obsahu, ako je nelegálny softvér, pornografia a pod.) môžu obsahovať zákerné programy vo forme zásuvných modulov Active X a Java appletov . ActiveX je technológia firmy Microsoft, ktorá umožňuje do prehliadača Internet Explorer pripojiť zásuvný modul. Tento prvok je vlastne len inak vytvorený spustiteľný program, ktorý dokáže ovládať ktorúkoľvek službu operačného systému. I keď firma Microsoft urobila podstatné kroky aby zabezpečila túto technológiu i tak nebezpečenstvo stále hrozí. Jedným z bezpečnostných prvkov je podobne ako u makier digitálny podpis, pomocou ktorého sa dá zistiť kto ActiveX prvok vyrobil. Pre pripojením takéhoto prvku do prehliadača vás tento vždy upozorní a je na zvážení používateľa či ActiveX prvku bude dôverovať a nainštaluje ho.
Ani používatelia iných prehliadačov ako Internet Explorer nie sú v bezpečí, pretože ich môžu ohroziť Java applety, ktoré sú nezávislé na prehliadači. Java applet je program vytvorený v jazyku Java a vložený na stránku. Rovnako ako modul ActiveX i Java applet môže využiť ktorúkoľvek službu operačného systému. Na zvýšenie bezpečnosti sa používa technológia Java Virtual Machine, ktorá pred spustením overuje nebezpečnosť spúšťaného programu. Preto je dôležité mať čo najnovšiu verziu tejto technológie (pre používateľov je nazvaná Java Runtime Enviroment).
Spyware (spajvér)
V poslednom čase sa za škodlivé začali považovať aj programy, ktoré sú vytvorené za účelom neetického obohatenia. Bojovať proti tomuto problému sa začalo v roku 2003, keď množstvo nevyžiadanej pošty a vyskakujúcich okien s reklamou začal byť neúnosný.
Za škodlivé programy sa považujú i programy patriace do skupiny spyware. Tieto programy zisťujú informácie o počítači a jeho používateľovi a bez súhlasu odosielajú cudzej osobe. Informácie môžu byť najrôznejšieho druhu, ako napríklad zoznam emailových adries, zoznam najčastejšie navštevovaných stránok, atď. Najnebezpečnejším druhom spywaru sú tzv. keyloggery, ktoré zaznamenávajú všetky stlačené klávesy. Prostredníctvom takýchto programov sa dajú získať prístupové heslá do počítačového systému, čísla kreditných kariet, registračné kľúče k programom a ďalšie informácie.
Spyware je súčasťou mnohých programov najviac však v klientoch pre Peer-to-peer sietí ako EDonkey2000, Kazaa, BearShare a podobne. Spywarom sú tiež niektoré programy vydávajúce sa za programy na odstraňovanie Spywaru ako napríklad Malware Wipe, Pest Trap, SpyAxe, AntiVirus Gold, SpywareStrike, SpyFalcon, WorldAntiSpy, WinFixer, SpyTrooper, Spy Sheriff, SpyBan, SpyWiper, PAL Spyware Remover, Spyware Stormer, PSGuard, AlfaCleaner.
Adware
Do tejto skupiny patria softvery, ktoré zobrazujú reklamu. Slovo adware je skrátením slov advertising-supported software. Takéto programy sú najčastejšie súčasťou iného programu, ktorý nie je škodlivý. Je to cesta, akou sa snažia programátori získať peniaze za svoj program. Nebezpečenstvo týchto programov je v tom, že integrované reklamné systémy sú často spywarom.
Spammer
Spammery sú programy, šíriace sa podobne ako vírusy, ktoré rozosielajú spam – nevyžiadanú poštu, ktorá obsahuje reklamu. Každý napadnutý počítač sa stáva odosielateľom nevyžiadanej pošty. V takomto prípade nepomôže ani zablokovanie adresy odosielateľa, pretože počet počítačov, z ktorých sa spam odosiela, sa zväčšuje lavínovite. Na koordinovanie takýchto napadnutých počítačov sa používa systém nazývaný botnet. Sú to úplne nezávisle pracujúce programy vhodne rozmiestnené v sieti internet, cez ktoré útočník môže prikázať spammerom zmeniť obsah odosielanej správy, upraviť ich tak, aby sa nedali odhaliť ani najnovšími antivírovými systémami atď.
Dialery
Táto kategória programov je nebezpečná pre tých, ktorí používajú na pripojenie do internetu Dial Up (vytáčané spojenie cez telefónnu linku). Tieto programy presmerujú číslo, pomocou ktorého sa pripájame na internet, na audiotextové číslo. Niektoré dialery dokonca nastavia spojenie tak, aby zostalo otvorené aj po zatvorení prehliadača. Najčastejšie sa programy nachádzajú na stránkach s erotickým a pornografickým materiálom ponúkajúcich „Instant Access“ (priamy prístup), bez nutnosti použitia šekov a kreditných kariet. Z čoho vyplýva, že sa aktivuje pričinením používateľa, a preto ani poskytovateľ pripojenia neuzná reklamáciu vysokej faktúry. Našťastie sa dnes už vytáčané linky stávajú raritou, no svoj počítač môžete ochrániť i programom antidialerom, ktorý zabráni zmene nastavenia internetového pripojenia.
PopUp a Hijackery
Do tejto kategórie patria programy vložené do webových stránok, ktoré otvárajú okná s reklamou. Tieto okná sú najčastejšie také agresívne, že pri pokuse zatvoriť ich, sa otvoria ďalšie. Takéto programy sa nachádzajú na stránkach s pornografickými materiálmi, hudbou, či zvonení do mobilov. Tieto okná však dnes už blokuje väčšina moderných prehliadačov.
Niektoré druhy malware (tzv. Hijackers, v preklade únoscovia) spôsobujú "samovoľné" otváranie okien prehliadača i v čase, keď používateľ žiadne webové stránky neotvára, prípadne menia nastavenie Vašej domovskej stránky, stránok s chybovými hláseniami prehliadača a vyhľadávacie stránky na svoje vlastné. Nepríjemné je to, že znemožnia nastavenie týchto stránok späť. Ďalšou nepríjemnosťou je, že sú to najčastejšie stránky s pornografickým obsahom, na ktorých sa môže nachádzať ďalší škodlivý malware.
Hoaxy
Časté sú falošné správy nazývané tiež Hoax, čo sú poplašné správy napríklad varujúce pred počítačovými vírusmi, nebezpečenstvom zneužitia mobilných telefónov, e-mailové petície (ktoré v skutočnosti nemajú nijakú právnu váhu), prosby o darovanie krvi (ktoré môžu byť spočiatku legitímne, ale po strate aktuálnosti sa často šíria reťazovo ďalej, čím sa stávajú hoaxom) a mnoho ďalšieho.
Phishing
Správy Hoax sú väčšinou iba neškodným žartom (ak si odmyslíme stratu času vzniknutú zaoberaním sa nimi), ale existujú i také správy, ktoré sú písané s cieľom podvodu. Takéto správy sa odborne nazývajú Phishing (v preklade niečo ako rybačka). Typickým príkladom sú e-maily, ktoré vyzývajú na zmenu kódu k bankovému účtu. V takomto e-maile je umiestnený odkaz, na ktorom si heslo máte zmeniť. Odkaz však nesmeruje na stránku banky, ale na jej dokonalú napodobeninu. Takéto správy sú väčšinou veľmi formálne napísané. Niektoré dokonca vyzerajú tak, akoby ich odosielateľom bola samotná banka. Pri každej takejto správe treba spozornieť, keďže banky nikdy nevyzývajú na podobné operácie e-mailom.
Pharming
Najzákernejší spôsob, ktorým Vás hacker môže pripraviť o úspory, je Pharming (farmárčenie). Táto metóda spočíva v presmerovaní názvu www stránky na inú adresu. Každej mennej adrese napríklad ib.vub.sk prislúcha číselná adresa napríklad 215.5.214.144. Pomerne jednoduchým spôsobom sa dá toto nastavenie zmeniť. Ak zadáte mennú adresu do Vášho prehliadača, miesto stránky banky sa zobrazí jej dokonalá napodobenina. Vy teda ani nezbadáte, že ste na inej stránke. Po zadaní údajov, ich získa neoprávnená osoba, ktorá takúto falošnú stránku vytvorila. Proti takejto hrozbe sa môžete brániť rôznym spôsobom. Najjednoduchším spôsob je zistiť si číselný kód stránky internetbankingu. Stačí otvoriť príkazový riadok (štart→programy→príslušenstvo→príkazový riadok) a zadať príkaz ping adresa (napr. ping ib.vub.sk). Potom miesto mennej adresy do prehliadača zadáte číselnú adresu (nezabudnite pred ňu napísať https://). Niektoré banky vám ihneď po prihlásení pošlú SMS s kódom, ktorý musíte zadať alebo Vás aspoň upozornia, že sa niekto prihlásil k Vášmu účtu.
Spoofing
Do tejto kategórie patria všetky metódy, ktoré používajú hackeri na zmenu totožnosti odosielaných správ. Jednou z týchto metód je i náhrada emailovej adresy pri phishingu. Ďalšia spočíva v podvrhu IP adresy, na stránky, ktoré takýmto spôsobom overujú totožnosť prihlasujúceho. Najviac nebezpečnou je však metóda nazývaná „muž v strede“ (man-in-the-middle). Tato metóda spočíva v narušení komunikácie medzi klientom a serverom, pri ktorej útočník naruší šifrovací systém verejného a súkromného kľúča, ktorý sa používa pri komunikácií.
Zraniteľnosť systémov
Počítačové systémy sú zraniteľné najmä kvôli týmto dôvodom:
- Homogenita systémov - Väčšina počítačov v sieti je vybavená rovnakým operačným systémom, rovnakým prehliadačom Internetu a poštovým klientom. Toto umožňuje malwaru rýchle šírenie.
- Chybovosť - programy obsahujú chyby, ktoré malware dokáže zneužiť.
- Nepotvrdený kód - keď vkladáte CD, USB disk alebo iné médiá, po vložení sa hneď aktivuje program, ktorý môže obsahovať malware.
- Používateľ s nadmerným oprávnením - Malware získa také oprávnenie ako má ten, kto ich aktivuje. Niektoré systémy dokonca umožňujú meniť všetkým používateľom všetky súčasti systému (napr. Windows 95, 98, ME).