GOL_LINDA

advertisement
USUWANIE ZŁOŚLIWEGO
OPROGRAMOWANIA
CO TO JEST ZŁOŚLIWE OPROGRAMOWANIE?
Złośliwe oprogramowanie - malware (z ang. malicious
software) – wszelkie aplikacje, skrypty itp. mające szkodliwe,
przestępcze lub złośliwe działanie w stosunku do
użytkownika komputera
RODZAJE ZŁOŚLIWEGO OPROGRAMOWANIA



Robaki (ang. worm) – złośliwe oprogramowanie podobne do wirusów,
rozmnażające się tylko przez sieć. W przeciwieństwie do wirusów nie
potrzebują programu „żywiciela”. Często powielają się pocztą
elektroniczną.
Wabbit – program rezydentny nie powielający się przez sieć.
Wynikiem jego działania jest jedna określona operacja, np.
powielanie tego samego pliku aż do wyczerpania zasobów pamięci
komputera.
Trojan – nie rozmnaża się jak wirus, ale jego działanie jest równie
szkodliwe. Ukrywa się pod nazwą lub w części pliku, który
użytkownikowi wydaje się pomocny. Oprócz właściwego działania
pliku zgodnego z jego nazwą, trojan wykonuje operacje w tle
szkodliwe dla użytkownika, np. otwiera port komputera, przez który
może być dokonany atak włamywacza (hakera).



Backdoor – przejmuje kontrolę nad zainfekowanym komputerem,
umożliwiając wykonanie na nim czynności administracyjnych,
łącznie z usuwaniem i zapisem danych. Podobnie jak trojan,
backdoor podszywa się pod pliki i programy, z których często
korzysta użytkownik. Umożliwia intruzom administrowanie
systemem operacyjnym poprzez Internet. Wykonuje wtedy zadania
wbrew wiedzy i woli ofiary.
Programy szpiegujące (ang. spyware) – oprogramowanie zbierające
informacje o osobie fizycznej lub prawnej bez jej zgody, jak
informacje o odwiedzanych witrynach, hasła dostępowe itp.
Występuje często jako dodatkowy i ukryty komponent większego
programu, odporny na usuwanie i ingerencję użytkownika. Programy
szpiegujące mogą wykonywać działania bez wiedzy użytkownika –
zmieniać wpisy do rejestru systemu operacyjnego i ustawienia
użytkownika. Program szpiegujący może pobierać i uruchamiać pliki
pobrane z sieci.
scumware (ang. scum – piana; szumowiny, męty) – żargonowe,
zbiorcze określenie oprogramowania, które wykonuje w komputerze
niepożądane przez użytkownika czynności.


Exploit – kod umożliwiający bezpośrednie włamanie do komputera
ofiary, do dokonania zmian lub przejęcia kontroli wykorzystuje się
lukę w oprogramowaniu zainstalowanym na atakowanym
komputerze. Exploity mogą być użyte w atakowaniu stron
internetowych, których silniki oparte są na językach skryptowych
(zmiana treści lub przejęcie kontroli administracyjnej), systemy
operacyjne (serwery i końcówki klienckie) lub aplikacje (pakiety
biurowe, przeglądarki internetowe lub inne oprogramowanie).
Rootkit – jedno z najniebezpieczniejszych narzędzi hackerskich.
Ogólna zasada działania opiera się na maskowaniu obecności
pewnych uruchomionych programów lub procesów systemowych (z
reguły służących hackerowi do administrowania zaatakowanym
systemem). Rootkit zostaje wkompilowany (w wypadku zainfekowanej
instalacji) lub wstrzyknięty w istotne procedury systemowe, z reguły
jest trudny do wykrycia z racji tego, że nie występuje jako osobna
aplikacja. Zainstalowanie rootkita jest najczęściej ostatnim krokiem
po włamaniu do systemu, w którym prowadzona będzie ukryta
kradzież danych lub infiltracja.


Keylogger – Odczytuje i zapisuje wszystkie naciśnięcia klawiszy
użytkownika. Dzięki temu adresy, kody, cenne informacje mogą
dostać się w niepowołane ręce. Pierwsze programowe keyloggery były
widoczne w środowisku operacyjnym użytkownika. Teraz coraz
częściej są procesami niewidocznymi dla administratora. Istnieją też
keyloggery występujące w postaci sprzętowej zamiast programowej.
Dialery – programy łączące się z siecią przez inny numer dostępowy
niż wybrany przez użytkownika, najczęściej są to numery o początku
0-700 lub numery zagraniczne. Dialery szkodzą tylko posiadaczom
modemów telefonicznych analogowych i cyfrowych ISDN, występują
głównie na stronach o tematyce erotycznej.
JAK DZIAŁA PROGRAM ANTYWIRUSOWY?

W programie antywirusowym stosowanych jest kilka metod ochrony,
niezależnie od tego, czy program działa w trybie dyskretnym czy
doraźnym. Jedną z najbardziej znanych metod ochrony jest dokładne
skanowanie komputera. Skanowanie (inicjowane przez użytkownika
lub przeprowadzane regularnie) pozwala przeanalizować wszystkie
pliki po kolei i sprawdzić, czy nie zawierają one wirusów. Metoda ta
jest najskuteczniejsza w przypadku podejrzenia o zainfekowanie
komputera wirusem. Istnieje możliwość sprawdzenia wszystkich
plików lub ich części albo skoncentrowania się tylko na plikach
przechowywanych na dyskietkach.

Podczas skanowania program antywirusowy szuka śladów wirusa za
pomocą własnej bazy danych sygnatur wirusów. Podobnie jak
wszystkie programy wykonywalne, wirusy składają się z kodów. Za
każdym razem, gdy zostanie odkryty nowy wirus, producenci
oprogramowania antywirusowego rejestrują kody nazywane
„sygnaturami” i dodają je do baz danych swojego oprogramowania.
Sygnatura składa się z ciągów znaków niezrozumiałych dla
użytkowników, ale czytelnych dla komputera.
Przykład: X5O!P%@AP[4\PZX54(P^)7CC)7$EICAR-STANDARDANTIVIRUS-TEST-FILE!$H+H*
Po skopiowaniu tych wierszy do pliku tekstowego i zapisaniu ich jako
pliku wykonywalnego o rozszerzeniu .com program antywirusowy
rozpozna ten plik jako wirusa, ponieważ kody te są przechowywane w
jego bazie danych.

Monitorowanie w czasie rzeczywistym
Skaner umożliwia uzyskanie obrazu systemu w dowolnym momencie.
W celu zapewnienia stałej ochrony w czasie rzeczywistym
oprogramowanie odwołuje się do środków bezpieczeństwa
wymagających zastosowania innej procedury: monitorowania w tle. Ta
funkcja ochrony antywirusowej, znana też jako „monitor”, jest przez
cały czas aktywna, działając w sposób niezauważalny dla
użytkownika. Monitoruje ona wszystkie pliki przychodzące i
wychodzące, analizuje każdy nowy dokument zapisany na dyskietce,
pobrany z sieci czy przesłany za pośrednictwem poczty e?mail.
Proces ciągłego monitorowania pozwala wykryć każdy podejrzany plik
i chroni system przed wirusami. Podobnie jak skaner, monitor także
korzysta z bazy danych sygnatur wirusów. Jeśli baza nie jest
aktualizowana, program antywirusowy nie może wykryć najnowszych
zagrożeń.

Mimo to wielu użytkowników nie aktualizuje baz sygnatur lub nie robi
tego wystarczająco często. Tymczasem zbyt późna aktualizacja bazy
może okazać się bardzo groźna w skutkach: pod koniec sierpnia w
ciągu zaledwie jednego tygodnia pojawiły się aż trzy wirusy poziomu 3
i 4. Istnieje jeszcze inne źródło zagrożenia: wirusy polimorficzne,
których sygnatury zmieniają się wraz z każdą kolejną infekcją. Takie
wirusy trudno zidentyfikować za pomocą sygnatur.
W celu rozwiązania tego typu problemów producenci oprogramowania
antywirusowego opracowali system wyszukiwania heurystycznego.
Pracując niezależnie od sygnatur, system ten wykrywa obecność
wirusów przy użyciu technologii sztucznej inteligencji. Rozpoznaje on
wzorce zachowań nietypowe dla normalnej pracy aplikacji.

Przykład: Po uruchomieniu normalnego programu zaczyna on szukać
opcji wiersza poleceń. Natomiast wirusy zachowują się w różny
sposób: szukają plików wykonywalnych, aby się powielić, próbują
zapisać się bezpośrednio na dysku lub — jeśli są to wirusy
polimorficzne — odszyfrować swój początkowo zaszyfrowany kod itd.
Jeśli program antywirusowy wykryje kilka anomalii w aplikacji (np. kod
formatowania dysku twardego), wygeneruje alarm wirusowy. Program
antywirusowy może następnie zablokować wirusy, które są wciąż
nieznane i nie ma ich w bazie danych sygnatur. Związane z tą metodą
ryzyko wystąpienia fałszywego alarmu (program antywirusowy może
np. pomylić narzędzie do formatowania z wirusem) jest
zminimalizowane dzięki jednoczesnemu zastosowaniu innych
narzędzi, takich jak kontroler spójności. Narzędzie to regularnie
sprawdza określone stałe wartości oprogramowania (takie jak
rozmiar, datę utworzenia itd.). Jeśli dane te zmieniły się, oznacza to
obecność wirusa.

Błyskawiczna naprawa
Po wykryciu zainfekowanych plików program antywirusowy najpierw
poddaje je kwarantannie, aby uniemożliwić wirusowi powielanie się.
Następnie próbuje je wyczyścić, usuwając kod wirusa i naprawiając
uszkodzone fragmenty. Zastosowanie takiej procedury naprawczej
jest możliwe, jeśli wirus rozprzestrzeniał się przez dodawanie swojego
kodu do kodu aplikacji. Jednak niektóre wirusy infekują całe pliki i
wówczas odzyskanie plików nie jest możliwe. W takim wypadku
program antywirusowy poddaje kwarantannie cały plik i zaleca jego
usunięcie.
KONIEC

Dziękujemy za uwagę:
Adrian Gołembiewski, Eryk Linda
Download