PoΦφtaΦovΘ sφt∞ a viry

PoΦφtaΦovΘ viry a sφt∞ jsou kapitolou samy pro sebe. Ne snad proto, ₧e by viry n∞jak specißln∞ sφ¥ vyu₧φvaly Φi naruÜovaly, ale prost∞ proto, ₧e v prost°edφ, sdφlenΘm mnoha u₧ivateli, m∙₧e dojφt k daleko rychlejÜφ nßkaze viry a jejφ odstran∞nφ je mnohem komplikovan∞jÜφ ne₧ u samostatn²ch poΦφtaΦ∙. TakΘ mo₧nost reinfekce - op∞tovnΘho napadenφ sφt∞ - je mnohem v∞tÜφ.
Koncepce ochrany v poΦφtaΦovΘ sφti je zalo₧ena na ov∞°enφ toto₧nosti u₧ivatele (definovanΘho nap°φklad pomocφ jmΘna a hesla) a na tom, ₧e tomuto u₧ivateli jsou p°id∞leny urΦitΘ pravomoci. ProblΘm, p°ed kter²m ovÜem takovß sφ¥ stojφ, je v tom, ₧e je sice prov∞°en (a p°edpoklßdejme, ₧e sprßvn∞) u₧ivatel, ovÜem zdaleka nemusφ b²t prov∞°eny programy, kterΘ spouÜtφ. P°itom tyto programy automaticky zφskavajφ vÜechna p°φstupovß prßva danΘho u₧ivatele. Pokud nap°φklad u₧ivatel s minimßlnφmi pravomocemi nahraje do jedinΘho adresß°e, kter² mß p°φstupn², n∞jak² program a spustφ ho, pak tento program nemß p°φstup do jin²ch oblastφ, spravovan²ch sφtφ. Jestli₧e ale tent²₧ program pozd∞ji spustφ u₧ivatel s prßvy Supervisora, mß tent²₧ program rßzem obrovskΘ pramovoci.
V praxi je proto nutnΘ d∙sledn∞ vyu₧φvat ty typy ochran, kterΘ sφ¥ nabφzφ. KterΘ to jsou ? Soubory mohou mφt nap°φklad nastaveny (podobn∞ jako v DOSu) urΦitΘ atributy. Rozdφl je v tom, ₧e atribut∙ je vφce, a nenφ zdaleka tak jednoduchΘ je zm∞nit. Navφc oproti DOSu existuje nap°φklad atribut "pouze pro spuÜt∞nφ" (execute only), kter² umo₧≥uje takto chrßn∞nΘ programy spouÜt∞t, ale ji₧ ne Φφst, kopφrovat Φi modifikovat. PodobnΘ atributy mohou b²t specifikovßny pro p°φstup u₧ivatele k adresß°∙m Φi soubor∙m. Tato koncepce vÜak pro n∞kterΘ programy bohu₧el nevyhovuje. ╪ada program∙ nem∙₧e b²t chrßn∞na proti zßpisu, proto₧e nap°φklad zapisuje svoji konfiguraci sama do sebe, a toho nenφ v uvedenΘm p°φpad∞ schopna. I atribut "pouze pro spuÜt∞nφ" je pot°eba pou₧φvat uvß₧en∞. M∙₧e toti₧ b²t dvouseΦn²: je pravda, ₧e takto chrßn∞nΘ programy nemohou b²t viry napadeny, nemohou vÜak b²t ani kotrolovßny antivirov²mi prost°edky, a pokud by byly infikovßny ji₧ p°i svΘ instalaci, virus by se pom∞rn∞ Üpatn∞ hledal. Navφc jsou zde Φasto op∞t problΘmy s urΦit²mi programy: pokud takov² program obsahuje overlay, kterou sßm naΦφtß, nebude fungovat. A takovΘ programy skuteΦn∞ existujφ - zß°n²m p°φkladem m∙₧e b²t T602. S tφm souvisφ i dalÜφ v∞ci: nap°φklad nastavenφ prom∞nnΘ PATH. Ta urΦuje adresß°e, ve kter²ch se hledajφ spouÜt∞nΘ programy. Sφ¥ by v ₧ßdnΘm p°φpad∞ nem∞la obsahovat "ve°ejnΘ" adresß°e, do kter²ch m∙₧e nahrßvat kdokoli cokoli. Na druhou stranu doporuΦujeme sprßvci sφt∞, aby z°φdil u₧ivatele s prßvy supervizora bez prßv zßpisu. Tohoto u₧ivatele m∙₧e sprßvce vyu₧φt pro testovßnφ bez nebezpeΦφ infekce dalÜφch soubor∙. V ka₧dΘm p°φpad∞ musφ sprßvce sφt∞ tΘto problematice v∞novat dostateΦnou pozornost.
Jak se viry po sφtφch v∙bec Üφ°φ ? Ve sv∞t∞ jsou Φas od Φasu provßd∞ny experimenty, kterΘ zkoumajφ, jak jsou konkrΘtnφ viry schopny se Üφ°it v prost°edφ sφtφ a do jakΘ mφry jsou sφt∞ proti nim odolnΘ. Ukazuje se, ₧e Φasto zßle₧φ na tom, v jakΘm okam₧iku zavßd∞nφ sφt∞ je virus aktivovßn (nap°. pro Novell p°ed, po Φi mezi programy IPX, NETx a LOGIN).
V zßsad∞ je mo₧no viry rozd∞lit podle jejich vztahu k sφtφm do Φty° skupin:

na viry, kterΘ pracujφ celkem normßln∞,
na viry, kterΘ nepracujφ v sφti v∙bec,
na viry, kterΘ jsou se sφtφ v konfliktu,
na viry, kterΘ jsou specißln∞ pro sφt∞ vytvo°eny.

Prvnφ skupinu tvo°φ v∞tÜina vir∙. Prßv∞ pro n∞ je d∙le₧itΘ sprßvnß konfigurace vÜech ochran sφt∞.
Do druhΘ skupiny pat°φ bezesporu vÜechny klasickΘ boot viry. Ty sice mohou napadat jednotlivΘ stanice sφt∞, za urΦit²ch podmφnek dokonce i server, ale nejsou schopny se Üφ°it po sφti z jednoho poΦφtaΦe na druh², jednoduÜe proto, ₧e sφ¥ slu₧by tak nφzkΘ ·rovn∞ (BIOS) neposkytuje. Dßle je mo₧no sem za°adit i n∞kterΘ dalÜφ viry, kterΘ jsou p°φliÜ spjaty s DOSem, tak₧e op∞t nejsou schopny pracovat se vzdßlen²mi za°φzenφmi. To je i p°φpad vir∙, kterΘ pou₧φvajφ "tunelovßnφ", tj. techniku, pomocφ kterΘ hledajφ vstupnφ bod pro svoji Φinnost hluboko v operaΦnφm systΘmu, aby tak obeÜly pou₧itΘ antivirovΘ ochrany. ╚asto vÜak souΦasn∞ obejdou i sφ¥ov² software.
Do t°etφ skupiny pat°φ viry, kterΘ jsou s poΦφtaΦovou sφtφ v konfliktu. Pokud jsou aktivovßny, bu∩ nepracujφ ony nebo sφ¥. NejΦast∞jÜφm p°φpadem je to, ₧e virus pro svoje rozpoznßnφ v pam∞ti volß n∞jakou nepou₧φvanou funkci operaΦnφho systΘmu, kterou vÜak ve skuteΦnosti pou₧φvß prßv∞ sφ¥.
Do ΦtvrtΘ skupiny m∙₧eme za°adit viry, kterΘ p°φmo obsahujφ prost°edky, vyu₧φvajφcφ mo₧nosti sφt∞. Vytvo°enφ takovΘho viru je nepom∞rn∞ te₧Üφ ne₧ vytvo°enφ viru pro DOS.

Zdroj: AVAST 7.70 - manußl

PoΦφtaΦovΘ viry v lokßlnφch sφtφch (LAN)

Doposud jsme mlΦky stßle p°edpoklßdali, ₧e se v₧dy jednß o samostatn∞ stojφcφ poΦφtaΦ. Jen₧e poΦφtaΦe spojenΘ do lokßlnφch sφtφ (LAN) mohou b²t stejn∞ tak vhodn²m prost°edφm pro poΦφtaΦovΘ viry jako samostatn∞ stojφcφ poΦφtaΦe. Z hlediska ochrany je tu vÜak p°eci jenom zapot°ebφ jin² pohled, proto alespo≥ krßtce si pov∞zme n∞co o mo₧nostech vir∙ a ochran∞ proti nim v lokßlnφch sφtφch osobnφch poΦφtaΦ∙.

Napadnutelnost LAN sφtφ

Abychom pochopili napadnutelnost lokßlnφch sφtφ (LAN) poΦφtaΦov²mi viry, je t°eba si p°ipomenout, ₧e viry jsou poΦφtaΦov²mi programy, kterΘ byly napsßny tak, aby se Üφ°ily a provßd∞ly v urΦitΘm prost°edφ. Viry, navr₧enΘ pro jedno prost°edφ, nebudou schopny svΘ Φinnosti v prost°edφ jinΘm. Stßle hovo°φme o virech a prost°edφ, kterΘ je dßno kombinacφ IBM osobnφch poΦφtaΦ∙ (a kompatibilnφch) a operaΦnφho systΘmu MS-DOS.
Situace v sφtφch LAN je vÜak komplikovanß tφm, ₧e takovß sφ¥ m∙₧e obsahovat n∞kolik takov²ch r∙zn²ch prost°edφ. V∞tÜina LAN systΘm∙ pou₧φvß koncept sφt∞, zalo₧en² na souborovΘm serveru a pracovnφch stanicφch. Jeden z t∞chto poΦφtaΦ∙, oznaΦen² jako souborov² server, pak pou₧φvß sφ¥ov² operaΦnφ systΘm. Tφmto operaΦnφm systΘmem p∙sobφ jako jak²si prost°ednφk mezi pracovnφmi stanicemi a LAN zdroji jako jsou nap°. mechaniky pevn²ch disk∙ souborovΘho serveru. Tento operaΦnφ systΘm takΘ p°evßdφ fyzickΘ umφst∞nφ dat na logickΘ umφst∞nφ, kterΘ je p°ijatelnΘ pro jednotlivΘ pracovnφ stanice. Tento software takΘ kontroluje p°φstupy k adresß°∙m, podadresß°∙m a soubor∙m, a to podle pravidel, kterß mu zadßvß systΘmov² administrßtor. Sφ¥ov² operaΦnφ systΘm nenφ v²konn²m programem v pravΘm slova smyslu, a pokud nenφ kompatibilnφ s DOSem, nem∙₧e b²t napaden MS-DOS viry.
KonkrΘtnφ u₧ivatel pracovnφ stanice vÜak ve v∞tÜin∞ p°φpad∙ spouÜtφ na svΘm systΘmu obvykle spustitelnΘ programy, a proto prost°edφ ka₧dΘ pracovnφ stanice musφ b²t kompatibilnφ s prost°edφm takovΘho spustitelnΘho programu. Proto pracovnφ stanice velmi Φasto pracujφ v prost°edφ PC-DOS a majφ ve svΘ pam∞ti instalovßny dva LAN programy jako TSR. Prvnφ z t∞chto program∙ je tzv. LAN shell program a p°edstavuje interface mezi DOSovsk²mi aplikaΦnφmi programy, b∞₧φcφmi na stanici, a zdroji z LAN. Druh² program pak p°edstavuje interface mezi LAN shell programem a samotnou sφ¥ovou interface kartou, instalovanou na pracovnφ stanici.
DOSovskΘ spustitelnΘ programy na pracovnφ stanici pak provßd∞jφ p°φstupy na jednotlivΘ mechaniky. Ne v₧dy vÜak jsou tyto mechaniky skuteΦn∞ fyzicky umφst∞ny v pracovnφ stanici, velmi Φasto jsou to logickΘ disky, fyzicky umφst∞nΘ na pevnΘm disku souborovΘho serveru. Toho si vÜak tyto programy nejsou v∞domy. Pro n∞ se vÜechny mechaniky jevφ b²t p°φtomny v pracovnφ stanici. Jin²mi slovy, pokud je LAN software kompatibilnφ s DOS prost°edφm v²konn²ch program∙, pak si tyto programy v∙bec nejsou v∞domy p°φtomnosti LAN softwaru.
Co tato skuteΦnost znamenß pro poΦφtaΦovΘ viry ? Jestli₧e v²konn² program z pracovnφ stanice m∙₧e modifikovat soubor proveditelnΘho programu na logickΘm disku, definovanΘm LAN softwarem, pak virus m∙₧e ud∞lat totΘ₧ - tedy m∙₧e infikovat DOSovsk² program, ulo₧en² na souborovΘm serveru. To je nev²hoda skr²vajφcφ se v tom, ₧e virus je vlastn∞ takov²m obyΦejn²m DOSovsk²m spustiteln²m programem.
Na druhΘ stran∞ prßv∞ tato skuteΦnost m∙₧e ale slou₧it i k obran∞ proti vir∙m. Nebo¥ v sφti b²vß obvyklΘ, ₧e ka₧d² u₧ivatel (a s nφm i jeho spustitelnΘ programy) mß jistß prßva a omezenφ.
Jestli₧e nap°.: u₧ivatel nemß prßvo zßpisu ani tvorby novΘho souboru na logickΘm disku, definovanΘm LAN softwarem, pak ani jeho programy, a tedy ani virus aktivovan² spuÜt∞nφm hostitelskΘho programu, nemohou uskuteΦnit ani zßpis ani vytvo°enφ novΘho souboru na souborovΘm serveru. A tudφ₧ k infekci nem∙₧e dojφt.
Podobn∞ platφ, ₧e DOSovskΘ spustitelnΘ programy z pracovnφch stanic nemajφ prßvo p°φstupu a modifikace sφ¥ovΘho operaΦnφho systΘmu souborovΘho serveru, a proto nebude mφt toto prßvo, a tφm ani mo₧nost, ani poΦφtaΦov² virus.
V p°φpad∞ vir∙, napadajφcφch tabulku rozd∞lenφ disku a boot sektory, je t°eba si uv∞domit, ₧e tyto oblasti nejsou soubory, ke kter²m by byl provßd∞n p°φstup prost°ednictvφm DOS adresß°ov²ch slu₧eb. Tyto oblasti jsou definovßny jako fyzickΘ pozice na fyzick²ch diskov²ch mechanikßch. A proto₧e LAN softwarem navr₧enΘ mechaniky mohou b²t Φßstφ pouze fyzick²ch mechanik na souborovΘm serveru, LAN shell program z pracovnφ stanice nem∙₧e p°ipojit volßnφ po naΦφtßnφ nap°. zavßd∞cφho programu boot sektoru k fyzickΘmu sektoru na pevnΘm disku souborovΘho serveru. Proto PC-DOS bootov² virus z pracovnφ stanice nem∙₧e infikovat tyto oblasti na pevnΘm disku souborovΘho serveru.
Kdybychom to tedy cht∞li shrnout a odpov∞d∞t si tφmto shrnutφm na Φasto se vyskytujφcφ otßzku, zda LAN sφt∞ napomßhajφ zastavit viry v jejich Üφ°enφ a nebo, zda jsou naopak vhodn∞jÜφm prost°edφm pro jejich Üφ°enφ ne₧ samostatnΘ poΦφtaΦe, museli bychom odpov∞d∞t Üalamounsky: ano i ne.
Skupina poΦφtaΦ∙ propojenß do dob°e °φzenΘ LAN sφt∞ s peΦliv∞ stanoven²mi a dodr₧ovan²mi bezpeΦnostnφmi opat°enφmi a minimßlnφmi prßvy jednotliv²ch u₧ivatel∙, bez n∞jakΘ tranzitivnφ cesty toku informacφ mezi u₧ivateli (tj. objekty zapisovatelnΘ kter²mkoliv u₧ivatelem u₧ jsou ΦitelnΘ pro kterΘhokoliv u₧ivatele), je mnohem odoln∞jÜφ proti virovΘmu ·toku ne₧ sada stejn²ch PC nepropojen²ch do sφt∞. D∙vod je ten, ₧e jestli₧e u₧ivatelΘ jednotliv²ch PC majφ obecn² (read only) p°φstup ke spoleΦnΘmu systΘmu provediteln²ch program∙, nenφ zde tak velkß pot°eba v²m∞ny softwaru na disketßch a tedy ani pravd∞podobnost p°enosu viru.
Na druhou stranu, jestli₧e sφ¥ LAN nenφ dob°e °φzenß a jejφ bezpeΦnostnφ zajiÜt∞nφ je laxnφ, bude takovß sφ¥ Üφ°enφ vir∙ napomßhat.

Infekce souborov²ch server∙

Obecn∞ se na souborovΘm serveru vyskytujφ dva typy program∙. Prvnφ typ p°edstavujφ programy, kterΘ jsou urΦeny pro pracovnφ stanice, a na souborovΘm serveru nejsou spouÜt∞ny. NejΦast∞jÜφm zp∙sobem infekce souborovΘho serveru v tomto p°φpad∞ je situace, kdy je virem infikovan² program ne·myslen∞ nahrßn na pevn² disk souborovΘho serveru. Zßkladem takovΘ situace je v∞tÜinou infekce pracovnφ stanice systΘmovΘho administrßtora.
StaΦφ, aby systΘmov² administrßtor vlo₧il infikovanou disketu do mechaniky svΘ pracovnφ stanice a t°eba jen na zkouÜku spustil infikovan² program. V²sledkem je infekce jeho program∙ na lokßlnφm pevnΘm disku. Nynφ systΘmov² administrßtor uploaduje jeden z t∞chto infikovan²ch program∙ do souborovΘho serveru s cφlem dßt ho k dispozici u₧ivatel∙m p°ipojen²ch pracovnφch stanic. Jakmile je takov² infikovan² program spuÜt∞n na pracovnφ stanici, jsou naka₧eny programy na jejφm pevnΘm disku.
VÜimn∞te si toho, ₧e instalace infikovanΘho programu na pevn² disk LAN souborovΘho serveru nemusφ jeÜt∞ znamenat naka₧enφ jin²ch programov²ch soubor∙. Dokud nenφ infikovan² program souborov²m serverem spuÜt∞n (a to by v tomto p°φpad∞ nem∞l b²t, proto₧e se jednß o programy, kterΘ se na serveru nespouÜt∞jφ), nemß virus mo₧nost nakazit ostatnφ soubory na serveru. Ale po ka₧dΘ, kdy je infikovan² program downloadovßn a spust∞n z pracovnφ stanice, virus hledß adepty pro infekci, a to jak na vlastnφch pevn²ch discφch pracovnφ stanice, tak i na jin²ch (sφtφ definovan²ch) logick²ch discφch pracovnφ stanice.
Existuje i jin² zp∙sob - mohli bychom °φci opaΦn² postup, kter² se uplat≥uje p°edevÜφm pro rozÜφ°enφ infekce mezi jednotliv²mi pracovnφmi stanicemi. Tentokrßt je cφlem zßkladnφ infekce obecnß pracovnφ stanice. Jejφ u₧ivatel m∙₧e kdykoliv po infekci uploadovat infikovan² program do sφ¥ovΘ mechaniky, na nφ₧ mß prßvo zßpisu a tvorby. Jestli₧e mß jin² u₧ivatel jinΘ pracovnφ stanice prßvo p°φstupu na tuto mechaniku, m∙₧e si zkopφrovat a spustit infikovan² program, a tφm nakazit svoji pracovnφ stanici.
Druh²m typem program∙, vyskytujφcφch se na souborovΘm serveru, jsou programy, kterΘ se zde spouÜt∞jφ. V tomto p°φpad∞ je situace slo₧it∞jÜφ. Bude toti₧ zßle₧et na tom, jakΘ prost°edφ LAN software vytvo°φ. Jestli₧e LAN software pracuje jako DOSovsk² shell, pak je naprosto kompatibilnφ s DOS prost°edφm, a tedy umo₧≥uje volnΘ Üφ°enφ jakΘhokoliv MS-DOS viru. V tomto p°φpad∞ bude ochrana takovΘho souborovΘho serveru obdobnß jako pro kter²koliv jin² samostatn∞ stojφcφ DOS PC. LAN software vÜak m∙₧e vyu₧φt vlastnφho zavßd∞cφho procesu a vytvo°it si vlastnφ prost°edφ, kterΘ pak nenφ kompatibilnφ s DOS prost°edφm. Zde je velmi pravd∞podobnΘ, ₧e DOSovsk² virus nebude schopen korektnφho p°e₧itφ a Üφ°enφ se v takovΘmto prost°edφ. Poslednφ mo₧nostφ je, ₧e souborov² server m∙₧e pro zavedenφ systΘmu vyu₧φt DOS rozd∞lenφ, ale potom si vytvo°φ op∞t svΘ vlastnφ prost°edφ. V tomto p°φpad∞ je situace nejslo₧it∞jÜφ, proto₧e DOS tabulka rozd∞lenφ disku, boot sektory i soubory mohou b²t infikovßny MS-DOS virem. A proto je t°eba to prvnφ DOSovskΘ prost°edφ, pou₧itΘ k zavedenφ systΘmu chrßnit. Po p°evzetφ kontroly LAN prost°edφm pak m∙₧e dojφt bu∩ ke znφΦenφ viru, a nebo za urΦit²ch okolnostφ m∙₧e virus p°e₧φt (nap°. jsou-li slu₧by LAN a DOS operaΦnφho systΘmu podobnΘ).