Maturitní kruhy: Pčítačvé viry (druhy, charakteristiky, antivirvá chrana) Pčítačvá infiltrace: neprávněný vstup d pčítačvéh systému, např. MALWARE= malicius sftware, škdlivý sftware (viry, červy, trjské kně, backdry) Viry nejčastější frma infiltrace schpen sebe-replikace, tedy mnžení sebe sama, všem za přítmnsti vyknatelnéh hstitele k němuž je připjen hstitelem mhu být např. spustitelné (executable) subry, systémvé blasti disku, ppřípadě subry, které nelze vyknat přím, ale za pužití specifických aplikací (dkumenty Micrsft Wrdu, skripty Visual Basicu apd.) jakmile je hstitel spuštěn (vyknán), prvede se rvněž kód viru, během tht kamžiku se bvykle virus pkuší zajistit další sebe-replikaci a t připjením k dalším vhdným vyknatelným hstitelům. Pdle typu hstitele a způsbů infekce lze viry rzdělvat d dalších skupin: Trjské kně (Trjan) není schpen sebe-replikace a infekce subrů nejčastěji vystupuje pd spustitelným subrem typu EXE, který nebsahuje nic jinéh (užitečnéh), než samtné těl trjskéh kně jedinu frmu dezinfekce je dmazání dtyčnéh subru - passwrd-stealing trjani (PWS): sleduje jedntlivé stisky kláves4 (keylggers) a tyt ukládá a následně i desílá na dané e-mailvé adresy. Majitelé těcht emailvých adres (nejčastěji samtní autři trjskéh kně) tak mhu získat i velice důležitá hesla. Tent typ infiltrace lze klasifikvat i jak spyware. - destruktivní trjani: klasická frma, pd kteru je pjem trjských kní becně chápán. Pkud je takvý trjský kůň spuštěn, pak likviduje subry na disku, neb h rvnu kmpletně zfrmátuje. D tét kategrie můžeme zařadit i většinu BAT trjanů, tj. škdlivých dávkvých subrů s přípnu BAT. V tmt případě může překvapit snad jen bčasné jednduché kódvání bsahu, díky čemuž není na první phled zřejmé, c takvý kód prvádí. - Backdr - drpper: škdlivý prgram, nejčastěji typu EXE, který p spuštění vypustí d PC další škdlivu havěť, kteru si nese s sebu ve vlastních útrbách - dwnlader (TrjanDwnlader): další škdlivé prgramy si nenese s sebu, ale snaží se je stáhnut z Internetu z pevně definvaných adres (url). Různé skripty na straně serveru mhu způsbit, že tentýž dwnlader může naknec stahvat rzdílný sftware. - prxy Trjan (TrjanPrxy): infikvaný pčítač může být zneužit např. pr desílání spamu nevyžádané pšty. Při využití prxy je téměř nulvá šance, že bude vypátrán skutečný autr nevyžádané pšty.
Backdr aplikace typu klient-server, které jsu schpnstmi velice pdbné kmerčním prduktům jak pcanywhere, VNC či Remte Administratr. Na rzdíl d nich všem vystupují annymně, uživatel není schpen jejich přítmnst běžným způsbem vypzrvat a t je důvdem, prč jsu preventivně detekvány antiviry jak jeden z typů infiltrace. Mluvíme neautrizvaném vstupu. služí pr vzdálenu správu PC a sama sbě nemusí být škdlivá. Záleží puze na sbě, která tut vzdálenu správu vyknává. Pkud půjde činnst škdlivu, pak tut sbu nazýváme vzdáleným útčníkem. klientská část vysílá pžadavky útčníka servervé části, ta tyt pžadavky plní, ppřípadě desílá zpět klientu pžadvané infrmace. Z předchzíh je zřejmé, že klientsku část aplikace by měl vlastnit útčník a servervá by měla být umístěna na pčítači, kde lze čekávat kupříkladu důležitá data. Pkud je servervá část backdru vypuštěna úspěšně se šířícím virem, má vzdálený útčník k dispzici tisíce pčítačů, ke kterým může vzdáleně přistupvat. Celá kmunikace prbíhá ve většině případů na bází TCP/IP, která ve spjení s celsvětvu sítí Internet umžňuje, aby útčník byl vzdálen tisíce kilmetrů d servervé části backdru. - IRC: backdry (nemusí jít nutně ně), kmunikující s útčníkem skrze dmluvený kanál v síti IRC Červi (wrms) prvně značen tzv. Mrrisův červ, který v rce 1989 dkázal zahltit značnu část tehdejší sítě, ze které pzději vznikl Internet pracují na nižší síťvé úrvni než klasické viry nešíří se ve frmě infikvaných subrů, ale síťvých paketů, pakety jsu směrvány již d úspěšně infikvanéh systému na další systémy v síti Internet šíření červa je tedy pstaven na zneužívaní knkrétních bezpečnstních děr peračníh systému, úspěšnst pak d rzšířensti danéh sftwaru bsahující zneužitelnu bezpečnstní díru červy nelze detekvat klasicku frmu antivirvéh sftwaru např. SQLSlammer, Lvsan / Blaster, Sasser Speciální případy infiltrace: Spyware využívá Internetu k desílání dat z pčítače bez vědmí jeh uživatele na rzdíl d backdru jsu dcizvány puze statistická data jak přehled navštívených stránek či nainstalvaných prgramů tat činnst bývá důvdňvána snahu zjistit ptřeby neb zájmy uživatele a tyt infrmace využít pr cílenu reklamu. Nikd však nedkáže zaručit, že infrmace neb tat technlgie nemůže být zneužita. Prt je spusta uživatelů rzhřčena samtnu existencí a legálnstí spyware šíří se splečně s řadu sharewarvých prgramů a jejich autři tét skutečnsti vědí Adware znepříjemňuje práci s PC reklamu vyskakující pp-up reklamní kna během surfvání, splečně s vnucváním stránek (např. výchzí stránka Internet Explreru), které nemá uživatel zájem část Adware je dprvázena tzv. EULA - End User License Agreement licenčním ujednáním, uživatel tak v řadě případů musí suhlasit s instalací
může být sučástí některých prduktů (např. DivX), větší mnžství funkcí, které nejsu v klasické free verzi (bez reklamy) dstupné
Hax pplašná zpráva, která bvykle varuje před neexistujícím nebezpečným virem šíření je zcela závislé na uživatelích, kteří takvu zprávu e-mailem bdrží (přepslánífrward) bsahují ppis nebezpečí (viru), ničivé účinky viru, důvěryhdné zdrje varují, výzva k dalšímu rzeslání Dialer změní způsb přístupu na Internet prstřednictvím mdemu míst běžnéh telefnníh čísla pr Internetvé připjení přesměruje vytáčení na čísla se zvláštní tarifikací, např. 60 Kč / minutu (tzv. žluté linky ) v některých případech se tak děje zcela nenápadně neb dknce autmaticky, zvlášť když běť pužívá špatně nastavený, ppř. děravý internetvý prhlížeč. Dialer může být na PC vypuštěn návštěvu nevhdné stránky (např. prngrafické), například za využití technlgie ActiveX, takže prblémy mhu nastat především uživatelům Internet Explreru. V jiném případě může jít nenápadný spustitelný subr (.EXE), který je nic netušícímu uživateli vnucván ke stažení klasickým dialgem (mluvíme-li prhlížeči Internet Explrer). antivirvý systém nedkáže rzpznat, zda je dialer nainstalván s vědmím, či bez vědmí uživatele Antivirvý sftware jednúčelvé antiviry: zaměřeny na detekci, ppřípadě i dezinfekci jednh knkrétníh viru, ppřípadě menší skupiny virů n-demand skenery: uplatní se především při dezinfekci pčítačů, kdy např. perační systém MS Windws není schpen prvzu Internetvé n-line skenery: někteří výrbci antivirvých prgramů nabízejí na svých stránkách. Obvykle jde skript, který ve spjení s internetvým brwserem (Internet Explrer, Netscape Navigátr atd.) dkážu plnhdntně prhledat na výskyt virů pevný disk uživatele, bez th, aby tent antiviru získal fyzicky natrval. antivirvé systémy: se skládají z částí, které sledují všechny nejpdstatnější vstupní/výstupní místa, kterými by případná infiltrace mhla d pčítačvéh systému prniknut. Mezi tyt vstupní/výstupní místa může patřit například elektrnická pšta (červi šířící se pštu), www stránky (škdlivé skripty, dwnlad infikvaných subrů), média (cédéčka, diskety apd.). Nedílnu sučástí dnešních antivirvých systémů je aktualizace prstřednictvím Internetu. Jde kmplexní antivirvé řešení v některých případech dplněn i sbní firewall. Např. avast!, AVG, Brtin Antivirus, Kaspersky Antivirus, NOD32, McAfee Viruscan atd. Metdy antivirů při detekci virů: antivirvé systémy bsahují něklik těcht uvedených metd hledání virů některé systémy nabízí různé kmbinace těcht metd, některé jimi kntrlují disk jednu všemi sučasně, některé zvláštní nabídku (menu) prgramu, kde si můžete vybrat, kteru z nich právě spustit minimalizvat rizik napadení Vašeh pčítače virem
Scanvání prvnávají kódy své interní databáze prgramu s kódy viru je-li kód v databázi shdný s nalezeným kódem viru v nějakém subru či jinde, hlásí, že je nalezen vir a jeh jmén antivirvý prgram má jeden subr (či více), bsahující v sbě kódy virů a bsah tht subru prvnává s bsahem subrů, které určíte, aby prhledával, kntrlvat se dá jak celý bsah nějakéh subru, tak jen jeh část, nejčastěji začátek a knec subru. nevýhda: splehlivá antivirvá chrana, ale závislá na aktuálnsti virvé databázenutná aktualizace Heuristická analýza rzbr bsahu subrů, c se týče jejich naprgramvání může být např. pdezřelé, když se prgram, tedy spustitelný subr, bude snažit tvírat a zapisvat d jiných spustitelných subrů dkáže dhalit nejnvější a dsud neznámý vir, tedy takvý, který není ještě ve virvé databázi nevýhda: může chybně značit subry, které jsu zcela v přádku díky tmu, že vnitřní kódvání některéh prgramu může být pdbné kódvání virů, záleží pak na: - zdrji prgramu (nedůvěryhdný zdrj prgramu jsu např. hry na disketách d známéh) - jeh nezávadnst v delší dbě pužívání (zda se v minulsti dtyčný prgram chval pdivně - zda antivir značil jak pdezřelé ty subry, které k sbě patří - tvří jeden prgramvý celek neb značil více subrů v různých adresářích na disku atd. není 100% účinná, ale je t velmi vhdný dplněk antiviru Test integrity (kntrla změn) prvnává infrmace subrech s infrmacemi databáze, prvnává především velikst subru s velikstí subru napsledy zapsané v databázi pkud se např. změní velikst spustitelnéh subru, lze předpkládat, že může být infikván virem, pkud nebyla například instalvána nvější verze prgramu kntrluje subry a všechny změněné subry následně kntrluje scanváním nevýhda: autr viru mhl znát jmén databáze, subru, kam se infrmace ukládají a mhl th zneužít při spuštění kntrly změn na disku se přesvědčte, zda nemáte vir v perační paměti, prtže při spuštění kntrly by mhl djít k další infekci dsud neinfikvaných dat na disku tat metda sama sbě viry nehledá, ale zkumá, zda nějaký vir nezačal na disku půsbit
Rezidentní sledvání při startu pčítače se autmaticky d perační paměti pčítače RAM umístí rezidentní antivir a sleduje prbíhající činnst antivir běží v pzadí a t může přijít uživateli velmi vhd, prtže např. při zápisu d systémvé blasti disku, neb mdifikaci subrů s přípnu EXE, COM Vás antivirvý systém upzrní na tt nebvyklé chvání a čeká na Vaši reakci (záleží na druhu antiviru a jeh nastavení) běh rezidentníh prgramu není uživateli viditelný a pkud máte více perační paměti a rezidentní prgram není umístěn v základní paměti, téměř vůbec rychlst pčítače nevlivní nevýhda: při malé perační paměti pčítače, např. 6 MB RAM a umístění rezidentníh driveru v základní paměti výrazně zpmalí rychlst práce pčítače, nekntrluje tlik virů jak klasický test scanváním Prevence: antivirvý sftware není jediným prstředkem prevence před infiltrací, zárveň nemusí jít dstačující prstředek. inteligence - u pdezřelých příchzích e-mailů (přílha e-mailu, který je napsán anglicky a adresa desílatele je viděna prvně...) infrmvanst - sledvání webvých stránek antivirvé splečnsti, jehž prdukt uživatel vlastní, stejně jak sledvání nezávislých stránek v pdbě www.viry.cz, www.hax.cz či www.virusy.sk. aktuální verze sftwaru - aktualizace pr MS Windws i pr Internet Explrer (šíření řady virů díky bezpečnstním chybám v aplikaci) - na http://windwsupdate.micrsft.cm průvdce již sám prvede kntrlu aktuální verze peračníh systému na uživatelvě PC a navrhne vhdné aktualizace a záplaty ke stažení - alternativu jsu samtné stránky www.micrsft.cm dkud je jedntlivé aktualizace záplaty mžn stahvat manuálně ve frmě htfixů (řeší jeden knkrétní bezpečnstní prblém), kumulativních záplat (řeší všechny dsud bjevené bezpečnstní prblémy pr URČITOU VERZI sftwaru) a service packů (bsahují jak vylepšení danéh prduktu, tak i celu škálu záplat)
nastavení sftwaru - mezit průnik lze i vhdným nastavením pužívanéh sftwaru. - Internet Explrer: vypnutím technlgie ActiveX (Nástrje / Mžnsti / Zabezpečení / Vlastní úrveň) lze značně mezit průnik škdlivých kódů a t především dialerů. Úrveň zabezpečení by přitm neměla klesnut níže než na Střední. - Outlk & Outlk Express: zde dšl v psledních verzích k rapidnímu zlepšení situace, takže paradxně je pskytnut návd, jak se těcht přehnaných patřeních zbavit. V případě Outlk Expressu jsu standardně blkvány přílhy v příchzích e- mailech, nelze je ani ulžit na disk. Tut vlastnst lze zrušit v Nástrje / Mžnsti / Zabezpečení. Pdbná situace je i v případě plnéh Outlku z kancelářskéh balíku Micrsft Office, jsu zakázány některé přípny přílh a k nápravě může djít puze zásahem d registrů. Naštěstí existuje něklik speciálních prgramů (stačí vyhledat přes ggle.cm). - MS Office: pčínaje verzí Micrsft Office 97 jsu jedntlivé prdukty tht kancelářskéh balíků vybaveny zabezpečením před aktivací maker. Je dbré se v Nástrje / Makra ujistit, že je tt zabezpečení aktivván. - pštvní servery: velice účinným řešením je filtrace nebezpečných přípn přílh. Skriptvé VBS viry lze zcela splehlivě a bez vedlejších účinků dstřihnut filtrací přípny VBS, jelikž ji běžně nikd nepužívá. S filtrací přípn EXE, PIF, SCR je t velice pdbné. Pkud t pštvní server umžňuje, lze bez vedlejších účinků filtrvat i některé MIME typy a dvjité přípny. - firewally: dpručen je na základě rutvacích pravidel pvlit směrem ven i dvnitř puze takvé pakety - služby, které jsu nezbytně nutné. Otevřené prty ve směru dvnitř je vhdné pvlit jen z určitých IP adres či rzsahů (například puze z IP adresy pbčky v případě, že se připjuje k centrále). Dbrým nastavením se byl zcela reálné vyhnut červu SQLSlammer, který útčil prstřednictvím tevřených prtů 1433-34 (Micrsft SQL Server).