P°φznaky p°φtomnosti viry na poΦφtaΦi



Mezi oprßvn∞nΘ podez°enφ, ₧e vßÜ poΦφtaΦ je napaden pat°φ tyto:

  • HlßÜenφ antivirovΘho programu
  • Vlastnφ projev viru
  • Virus zjiÜt∞n² samotn²m u₧ivatelem

    HlßÜenφ antivirovΘho programu

    Toto zjiÜt∞nφ je z°ejm∞ nejb∞₧n∞jÜφ. Virus je tudφ₧ odhalen antivirem (nebo rezidentnφm Ütφtem). Jednß se z°ejm∞ o nejlepÜφ variantu.

    Vlastnφ projevy vir∙ (viditelnΘ projevy vir∙)

  • Destrukce dat
    DestrukΦnφ aktivaΦnφ rutiny mohou b²t dßle rozd∞leny na bezprost°ednφ a postupnΘ. Michelangelo, Kampana a Natas jsou p°φklady bezprost°edn∞ destruktivnφch vir∙ û jednoduÜe p°epφÜou Φßst pevnΘho disku nφzko·rov≥ovou funkcφ BIOSu. JinΘ viry s bezprost°ednφmi destruktivnφmi rutinami sma₧ou nebo p°epφÜφ soubory mφsto p°epsßnφ fyzick²ch sektor∙. Postupnß destrukce je provßd∞na takov²mi viry, jako jsou nap°. Ripper nebo Nomenklatura, kterΘ pomalu niΦφ data na pevnΘm disku. To je znßmΘ tΘ₧ jako data-diddling. TakovΘ poruchy jsou toti₧ s velkou pravd∞podobnostφ zaznamenßny velmi pozd∞, a₧ kdy₧ u₧ poÜkozenß data byla mezitφm n∞kolikrßt zßlohovßna. To Φinφ obnovu dat mnohem obtφ₧n∞jÜφ, a ve v∞tÜin∞ p°φpad∙ je znaΦnß Φßst dat ztracena nav₧dy. NaÜt∞stφ destruktivnφ aktivaΦnφ rutiny velmi Φasto nefungujφ dφky chybßm v programovßnφ. Zdß se, ₧e tv∙rci vir∙ nedostateΦn∞ testujφ tyto rutiny na sv²ch poΦφtaΦφch. Je t°eba si takΘ uv∞domit, ₧e je velmi mßlo destruktivnφch vir∙ na stran∞ Macintosh∙. To je pravd∞podobn∞ v²sledkem r∙znΘ kultury u₧ivatel∙ PC a Mac∙.

  • Zprßvy
    Viry, kterΘ zobrazujφ zprßvy na obrazovce, zahrnujφ nap°. virus Stoned.Standard.A, kter² p°φle₧itostn∞ zobrazφ zprßvu Your PC is now Stoned!, je-li poΦφtaΦ nabootovßn z diskety. Jin²m b∞₧n²m virem se zobrazovanou zprßvou je virus Parity_Boot.B, kter² se aktivuje zobrazenφm zprßvy PARITY CHECK. Mnohem zajφmav∞jÜφ je zobrazenφ viru Rescue, kter² produkuje obrazovku plnou nesmysln²ch zprßv.

  • Zvuky, melodie, °eΦ
    Existuje n∞kolik vir∙, kterΘ p°i aktivaci hrajφ melodii ze systΘmovΘho reproduktoru PC. Pravd∞podobn∞ nejb∞₧n∞jÜφm p°φkladem jsou r∙znΘ varianty viru Yankee_Doodle, kterΘ se aktivujφ n∞kolikrßt denn∞ a hrajφ melodii Yankee Doodle. JinΘ viry zase p°φle₧itostn∞ pφpajφ a cvakajφ. Pak jsou tu takΘ n∞kterΘ viry, kterΘ se pokouÜejφ mluvit û jednφm z p°φklad∙ je virus Dreamer, kter² se sna₧φ °φci do systΘmovΘho reproduktoru slovo Hitler!. KoneΦn∞ jsou tu n∞kterΘ viry, kterΘ se sna₧φ vyu₧φt zvukovou kartu, pokud infikovan² poΦφtaΦ n∞jakou mß.

  • Animace
    Viry, kterΘ se projevujφ pomocφ animace, mohou b²t dßle rozd∞leny na viry s animacφ v textovΘm modu a na viry s animacφ v grafice. P°φkladem viru s animacφ v textovΘm modu je nap°. virus Cascade.1701.A, kter² nechßvß padat znaky z obrazovky na jejφ dno, a virus Walker, kter² produkuje na obrazovce animaci chodφcφho mu₧e. Jin²m p°φkladem je virus Vienna.Bua AKA Big Caibua, kter² p°itßhl pozornost mΘdiφ svou aktivaΦnφ rutinou: zobrazuje v textovΘm modu animaci, kterß p°edstavuje na obrazovce penis, zatφmco dochßzφ k mazßnφ dat z pevnΘho disku. GrafickΘ aktivaΦnφ rutiny jsou mnohem vzßcn∞jÜφ. Mohou b²t nalezeny ve virech, jako je nap°. virus Den_Zuk, kter² zobrazuje logo, a virus HH&H, kter² ukazuje docela zajφmavou t°φrozm∞rnou animaci skßkajφcφho mφΦe, sestavenou z mal²ch bod∙.

  • PraktickΘ vtipy
    N∞kterΘ viry zkouÜejφ na u₧ivatele praktickΘ vtφpky. Nap°. virus Jerusalem.Fu_Manchu monitoruje, co u₧ivatel pφÜe, a vklßdß do textu komentß°e, kdy₧ se objevφ slova jako Thatcher, Reagan nebo Waldheim. Virus Armagedon, p∙vodem z ╪ecka, kontroluje, zda je k poΦφtaΦi p°ipojen modem, a zkouÜφ pak volat na mφstnφ stanici udßvajφcφ Φas, pokud je doba mezi 5. a 6. hodinou odpoledne. Virus Fone.688 se pokouÜφ o n∞co podobnΘho, ale s jednφm rozdφlem û volß na telefonnφ slu₧bu v USA. Virus Haifa vklßdß dva textovΘ °ßdky do st°edu DOC-soubor∙, kdy₧ je k nim umo₧n∞n p°φstup: 
    OOPS! Hope I didnÆt ruin anything!!!
Well, nobody reads those stupied
DOCS anyway!
    Podobn∞ virus WordMacro/Nuclear p°idßvß na konec dokument∙ komentß°e zam∞°enΘ proti francouzsk²m nukleßrnφm test∙m v Pacifiku; ty jsou potom tiÜt∞ny nebo faxovßny z Microsoft Wordu.

  • FaleÜnß selhßnφ hardwaru
    N∞kterΘ viry se pokouÜejφ simulovat selhßnφ hardwaru. Nap°φklad virus Azusa vypφnß sΘriovΘ a paralelnφ porty poΦφtaΦe a virus Parity_Boot dokß₧e vzbudit zdßnφ, ₧e poΦφtaΦ mß vadnΘ pam∞¥ovΘ Φipy. V nejhorÜφm p°φpad∞ je u₧ivatel napßlen tak, ₧e vym∞nφ p°φsluÜnΘ souΦßstky systΘmu d°φve, ne₧ si uv∞domφ, ₧e v jeho poΦφtaΦi nenφ fyzicky nic vadnΘho.

    Virus zjiÜt∞n² samotn²m u₧ivatelem

    Jde o p°φpad, kdy u₧ivatel sßm poznß, ₧e jeho poΦφtaΦ je napaden virem.

  • Boot viry
    Boot viry lze n∞kdy poznat podle toho, ₧e v boot sektoru nechßvajφ r∙znΘ zprßvy, pop°φpad∞ vzkazy. Nap°φklad u OneHalfa je v boot sektoru zprßva "Dis is one half......".

  • SouborovΘ viry
    U jednoduÜÜφch nijak k≤dovan²ch vir∙ mßme celkem velkou Üanci na jejich vlastnφ detekci. ╚asto se na koncφch (zaΦßtcφch) soubor∙ objevujφ r∙znΘ masky, podle kter²ch jsou soubory napadßny. N∞kdy jsou vid∞t i r∙znΘ v∞ty. V∞tÜinou ·pln∞ na konci souboru lze objevit n∞kolik v₧dy stejn²ch znak∙, podle kter²ch virus poznß, ₧e v danΘm souboru ji₧ °ßdil (ji₧ ho napadl). TΘto kontroly m∙₧e taky docφlit pomocφ nastavenφ nesmyslnΘho Φasu, datumu (nap°. n∞kterΘ viry nastavujφ sekundy na hodnotu 62, m∞sφc na 13 nebo p°iΦtou k roku +100). Jistß malß Φßst vir∙ zaokrouhluje dΘlku souboru nap°φklad tak, aby byl beze zbytku d∞liteln² 16 apod. Pokud se tyto p°φznaky vyskytujφ na vφce souborech, lze mφt velkΘ podez°enφ, ₧e poΦφtaΦ je napaden. Tyto p°φznaky jsou vid∞t na nßsledujφcφch obrßzcφch. Na prvnφm je vid∞t soubor p°ed napadenφm a po napadenφ (virus Bobo.530). Na konci viru je vid∞t i identifikace viru, ₧e soubor je napaden. Na druhΘm obrßzku jsou pak vid∞t typickΘ znaky pro jednoduÜÜφ viry (ty jsou zakrou₧kovanΘ). PodobnΘ znaky jako na druhΘm obrßzku m∙₧eme zφskat i z takovΘho "odpadu", kter²m jsou n∞kterΘ varianty viru Vienna. N∞kolik znak∙ p°ed zakrou₧kovanou oblastφ se nachßzφ p∙vodnφ hlaviΦka souboru.

    Virus Bobo.530 a jeho typickß v∞ta, kterou nikdy nevypisuje. Na konci je jeho identifikace (BOBO).
    TypickΘ znaky pro n∞kterΘ jednoduÜÜφ viry. Pro jistotu jsem je efektn∞ zakrouÜkoval.
    Jako velmi ·Φinnß metoda na detekci spousty rezidentnφch vir∙ (i stealth viry) se mn∞ zdß p°φkaz DOSu "mem". Snad vÜechny rezidentnφ viry zm∞nφ velikost volnΘ pam∞ti. StaΦi si jen zapamatovat volnou pam∞t p°ed napadenφm a pak ji porovnat po napadenφ. V∞tÜinou b²vß zmenÜenß zßkladnφ pam∞t. N∞kterΘ viry uklßdajφ svoji kopii do HMA (Tremor). Proto je nutnΘ prohlΘdnout hodnotu "Upper Memory Block". Pokud budete volat p°φkaz "mem" s parametrem "/c" m∙₧eme ve v²pisu najφt i virus samotn² (jen v p°φpad∞ TSR vir∙).