D∞lenφ vir∙
D∞lenφ podle oblastφ, kterΘ jsou napadeny
Boot viry - Boot viruses aneb doba operaΦnφho systΘmu DOS
Tato prvnφ nejstarÜφ skupina vir∙ infikuje Φßsti nachßzejφcφ se v urΦit²ch systΘmov²ch oblastech
disku. T∞mito oblastmi mohou b²t: boot sektory disket, tabulka rozd∞lenφ disku (partition table - MBR),
boot sektor pevnΘho disku apod. Napadenφm n∞jakΘ z t∞chto oblastφ si boot virus zajistφ svoje
spuÜt∞nφ hned po startu poΦφtaΦe.
UvedenΘ viry se chovajφ tak, ₧e obvykle p°epφÜφ sv²m vlastnφm k≤dem boot sektor, a p∙vodnφ p°epsanou
Φßst boot sektoru uschovajφ na jinΘ mφsto disku. Bu∩ do n∞jakΘho jinΘho sektoru, kter² je pak v tabulce
FAT oznaΦen jako vadn², a nebo vyu₧ijφ b∞₧n∞ nevyu₧φvanΘ 40. stopy. Takovß virovß infekce
se potom Üφ°φ pomocφ boot sektor∙ disket, kterΘ p°iÜly do styku s naka₧en²m systΘmem. OperaΦnφ systΘm DOS
je pro n∞ toti₧ velmi v²hodn²m hostitelem vzhledem k malΘ mo₧nosti jeho kontroly a vzhledem k vysokΘ
frekvenci pou₧φvßnφ t∞ch nejjednoduÜÜφch povel∙ jako je zßpis a Φtenφ z disku, kopφrovßnφ disket,
prohledßvßnφ obsahu adresß°e atd.
Bootov² virus infikuje systΘm (tj. instaluje se do pam∞ti a zapφÜe svoje t∞lo do tabulky rozd∞lenφ disku
- partition table pevnΘho disku) p°i zavßd∞nφ systΘmu z infikovanΘ diskety. Virus se obvykle nainstaluje
do pam∞ti jako pam∞¥ov∞ rezidentnφ, a jakmile dojde k novΘmu zavßd∞nφ systΘmu, zaΦne infikovat boot sektor
disket, kterΘ nejsou ochrßn∞ny proti zßpisu, a p°i tom p°ijdou do styku se systΘmem (nap°φklad p°i kopφrovßnφ
na disketu apod).
V obou p°φpadech, jak u infekcφ tabulky rozd∞lenφ nebo boot sektoru pevnΘho disku, tak i u infekcφ boot
sektoru diskety, tento typ viru obvykle ulo₧φ p∙vodnφ boot sektor nebou tabulku rozd∞lenφ disku n∞kam jinam
na disketu Φi disk, aΦkoliv to nenφ v₧dy pravidlem. Jestli₧e virus zapφÜe p∙vodnφ boot sektor do kritickΘ
oblasti disku Φi diskety, jako je nap°. sektor obsahujφcφ Φßst tabulky FAT, nebo hlavnφ diskov² adresß°,
m∙₧e dojφt k tomu, ₧e data na disku jsou nav₧dy ztracena.
Charakteristick²m symptomem p°itomnosti infekce bootov²m virem, kter² lze zaznamenat i u neznßm²ch boot
vir∙ je skuteΦnost, ₧e kapacita systΘmovΘ pam∞ti, ocen∞nß programem chkdsk, je v∞tÜinou nejmΘn∞ o 1024 byt∙
menÜφ, ne₧ jakß je ve skuteΦnosti pam∞¥ instalovanß v systΘmu.
Je t°eba si uv∞domit, ₧e bootovΘ viry se takΘ mohou Üφ°it pomocφ vypouÜt∞cφho programu (Dropper) a tento
zp∙sob je pravd∞podobn∞ primßrnφ.
Dropper je program, kter² byl navr₧en s cφlem instalovat virus do systΘmu. PodstatnΘ je, ₧e virus je v tomto
programu obsa₧en tak, ₧e nem∙₧e b²t detekovßn virov²mi skenery. Jin²mi slovy, dropper nenφ program infikovan²
virem a velmi Φasto jsou jako droppery pou₧φvßny trojskΘ kon∞. Dropper m∙₧e svou funkci splnit tφm, ₧e virus
instaluje do pam∞ti a nebo p°φmo infikuje n∞jakou proveditelnou jednotku p°i instalaci viru.
DalÜφ tΘmata - bootviry:
SouborovΘ viry - File viruses
Druhou a z°ejm∞ nejrozÜφ°en∞jÜφ skupinou jsou viry souborovΘ. Jak ji₧ z nßzvu vypl²vß, jejich hlavnφm hostitelem
jsou soubory.
Tyto viry bychom mohli dßle t°φdit podle toho, jakΘ soubory p°i infekci napadajφ - v zßsad∞ jsou to v₧dy
proveditelnΘ soubory (COM,EXE...), nebo¥ cφlem viru je, aby provedenφm hostitelskΘho k≤du doÜlo k rozmno₧enφ virusovΘho k≤du.
N∞jΦast∞ji se tedy jednß o soubory spustitelnΘ binßrnφ (COM, EXE). M∙₧e se tΘ₧ jednat o souborovΘ viry
infikujφcφ batovΘ soubory (BAT), ovladaΦe (SYS). Navφc jsou souborovΘ viry zam∞°eny na r∙znΘ operaΦnφ systΘmy (Windows 3.x, Windows95/NT, OS/2, Macintosh, Unix...)
Mechanismus Φinnosti souborov²ch vir∙ je vÜak podobn² ve vÜech p°φpadech. Podle metody infekce m∙₧eme souborovΘ viry
rozd∞lit na n∞kolik skupin:
- Overwriting viruses - p°episujφcφ viry
Tato metoda infekce je jednoduchß. Virus p°epφÜe obsah cφlovΘho spustitelnΘho souboru vlastnφm k≤dem (t∞lem), a tak znφΦφ p∙vodnφ obsah souboru.
Takto infikovan² soubor je ji₧ nefunkΦnφ a nem∙₧e b²t opraven. Po jeho spuÜt∞nφ dojde pouze k aktivaci viru, kter² se ve v∞tÜin∞ p°φpad∙ rozmno₧φ
do dalÜφch spustiteln²ch soubor∙ (COM, EXE...). Snad ve vÜech p°φpadech se jednß o nerezidentnφ viry (viry p°φmΘ akce). Na masovΘ rozÜφ°enφ nemajφ
p°episujφcφ viry ₧ßdnou Üanci.
- Parasitic viruses - parazitickΘ viry
Jako parazitickΘ viry jsou oznaΦovßny ty, kterΘ p°i infekci zm∞nφ (v∞tÜinou prodlou₧φ) obsah cφlovΘho souboru. ParazitickΘ viry vÜak obsah cφlovΘho
souboru nepoÜkodφ (narozdφl od p°episujφcφch vir∙). ParazitickΘ viry se dokß₧ou umφstit p°ed p∙vodnφ program (prepending), nebo za n∞j (appending). Existujφ
taky parazitickΘ souborovΘ viry, kterΘ se vlo₧φ do st°edu souboru (inserting). NejΦast∞ji se vÜak parazitickΘ viry p°ipojujφ na konec souboru.
Detaily k jednotliv²m variantßm parazitick²ch vir∙ naleznete na strßnce "souborovΘ viry - detaily".
- Companion viruses - doprovodnΘ viry
DoprovodnΘ viry jsou typem infekce, kterß se detekuje
pom∞rn∞ obtφ₧n∞ proto, ₧e p°i jejich replikaci nejsou m∞n∞ny ani soubory, ani systΘmovΘ oblasti disku.
Virus napadß soubor typu EXE tak, ₧e vytvo°φ nov² soubor se stejn²m jmΘnem,
ale s p°φponou COM a do n∞j umφstφ jen svoje t∞lo. P°i volßnφ p∙vodnφho souboru se pak
podle dosovsk²ch priorit volß p°i shodnosti jmen jako prvnφ v₧dy soubor s p°φponou COM - a tφm
se vlastn∞ p°edß °φzenφ p°φmo viru, ani₧ dojde ke spuÜt∞nφ ₧ßdanΘho programu.
Druhou metoda je, ₧e virus p°ejmenuje cφlov² soubor (nap°φklad XCOPY.EXE na XCOPY.EXD) a pak sßm sebe umφstφ
do souboru, kter² nazve po p∙vodnφm jmΘnu (v naÜem p°φpad∞ XCOPY.EXE). P°i spuÜt∞nφ tohoto souboru pak
virus p°evezme kontrolu jako prvnφ a pak nastartuje originßlnφ p°ejmenovan² soubor (XCOPY.EXD). Zajφmavostφ je,
₧e tato metoda pracuje i v jin²ch operaΦnφch systΘmech.
T°etφ metodou jsou "Path companion" viry, kterΘ p°i infekci vyu₧φvajφ priorit uveden²ch v prom∞nnΘ DOS PATH.
Pokud se toti₧ nachßzφ na disku vφce soubor∙ se stejn²m nßzvem, je nejd°φve spuÜt∞n ten, kter² se nachßzφ v prom∞nnΘ
PATH jako prvnφ. Toho tyto viry vyu₧φvajφ, a duplikßty umis¥ujφ do poΦßteΦnφch adresß°∙, uveden²ch v prom∞nnΘ PATH.
Jeliko₧ tyto viry tvo°φ samostatnΘ soubory, lze je odstranit pouze vymazßnφm infikovan²ch soubor∙. Odstra≥ovßnφ t∞chto
vir∙ je tak rychlΘ, efektivnφ a bez ztrßty dat.
DalÜφ tΘmata - souborovΘ viry:
Multipartitnφ viry - Multipartite viruses
Jako viry multipartitnφ jsou oznaΦovßny ty, kterΘ se chovajφ jako bootovΘ viry, a zßrove≥ jako viry souborovΘ.
Jin²mi slovy, jsou schopny infikovat r∙znΘ oblasti disku - v∞tÜinou je to tabulka rozd∞lenφ disku, a souΦasn∞
n∞kterΘ typy soubor∙. Dφky tomu jsou tyto viry "vÜestrannΘ". Do tΘto skupiny pat°φ i populßrnφ virus OneHalf.
Makro viry - Macro viruses
Makroviry pat°φ k nejrozÜφ°en∞jÜφ skupin∞ vir∙ i kdy₧ jich je o hodn∞ mΘn∞ ne₧ klasick²ch
vir∙.
Jak ji₧ z nßzvu vypl²vß, pro svΘ Üφ°enφ vyu₧φvajφ makra. Makra jsou programy, kterΘ si
u₧ivatel m∙₧e sßm vytvo°it pro usnadn∞nφ prßce v n∞kter²ch aplikacφch. Takovou
typickou aplikacφ m∙₧e b²t nap°φklad Microsoft Word, Φi Microsoft Excel. Makrojazyk,
ve kterΘm lze makra vytvß°et je v t∞chto produktech natolik dokonal², ₧e v n∞m lze vytvo°it
i Üφ°φcφ se program (makrovirus). Cel² chod makroviru je zßvisl² na existenci auto-maker (samospouÜt∞cφ makra).
Auto-makra jsou specißlnφ makra, kterß se spouÜt∞jφ p°i urΦitΘ operaci (nap°φklad p°i otev°enφ
dokumentu, uzav°enφ dokumentu apod.) a ne na p°φm² pokyn u₧ivatele (tedy manußlnφ spuÜt∞nφ
makra - klßvesovou zkratkou apod.). Pokud tedy dokß₧e makrovirus tyto auto-makra vyu₧φt, m∙₧e se ·sp∞Ün∞ Üφ°it (p°ipojφ
se k dalÜφmu dokumentu op∞t ve form∞ maker). D∙le₧itΘ je poznamenat, ₧e makra (a¥ makroviru,
Φi makra u₧ivatele) jsou spoleΦn∞ ulo₧eny s dokumentem (v p°φpad∞ Wordu) Φi s tabulkou (v p°φpad∞
Excelu) v jednom souboru. "P°estupn²m mφstem" makroviru se stßvß globßlnφ Üablona, kterß se v p°φpad∞
Wordu jmenuje NORMAL.DOT. Tato Üablona se automaticky otevφrß p°i ka₧dΘm spuÜt∞nφ Wordu, tak₧e pokud
ji makrovirus napadne, mß kontrolu nad Wordem hned po jeho startu. NutnΘ je tΘ₧ poznamenat, ₧e makrojazyky n∞kter²ch produkt∙ se mohou
liÜit, proto nap°φklad makrovirus pro textov² editor AmiPro nenφ schopen provozu pod editorem
Word apod.
Drtivß v∞tÜina makrovir∙ se dokß₧e Üφ°it v aplikacφch spoleΦnosti Microsoft (jak jinak).
V dneÜnφ dob∞ dokß₧ou b²t makroviry:
- Stealth - tyto makroviry maskujφ svoje makra, aby se tak brßnily proti snadnΘmu odhalenφ. B∞₧n² makrovirus
lze nap°φklad jednoduÜe odhalit pomocφ menu Tools/Macro, v n∞m₧ uvφdφme jednotlivΘ makra viru. Stealth virus
tomu vÜak dokß₧e zabrßnit, i kdy₧ mo₧nß jeÜt∞ podez°elejÜφm zp∙sobem. Menu Tools/Macro toti₧ ·pln∞ odstranφ, nebo
ho znefunkΦnφ... Jistou vyjφmkou jsou makroviry oznaΦenΘ jako "Class". Ty svoje t∞lo uklßdajφ do specißlnφho modulu ThisDocument,
pop°φpad∞ ThisWorkBook a tak se dokß₧ou vyhnout detekci p°es menu Tools/Macro i bez pou₧itφ "stealth" technik. Metodu "Class" lze vyu₧φvat a₧ v jazyce VBA5.
- Polymorfnφ - tyto makroviry dokß₧ou modifikovat strukturu vlastnφho t∞la. Polymorfnφ makroviry pak nelze detekovat podle sekvencφ, Φi
podle klasick²ch kontrolnφch souΦt∙ (CRC).
- Multipartitnφ - tato skupina makrovir∙ se dokß₧e Üφ°it n∞kolika zp∙soby. Nap°φklad makrovirus Shiver je napsßn tak, ₧e se dokß₧e Üφ°it
jak v programu Word, tak i v programu Excel. Makrovirus vÜak m∙₧e vypouÜt∞t nap°φklad i souborov² viru (WM/Navrhar), Φim₧ se makrovirus stßvß
op∞t multipartitnφm.
- Multiplatformnφ - n∞kterΘ makroviry se dokß₧ou Üφ°it pod r∙zn²mi systΘmy, kde se n∞kterΘ produkty, p°edevÜφm spoleΦnosti Microsoft pou₧φvajφ (PC, MAC...).
V dneÜnφ dob∞ se vyskytujφ makroviry t∞chto typ∙ (podobnΘ oznaΦenφ pou₧φvß i spousta antivir∙):
WM/
Üφ°φ se pod produktem Microsoft Word 6.0/7.0. Vyu₧φvajφ jazyk "WordBasic".
W97M/
Üφ°φ se pod produktem Microsoft Word 8.0 (Office 97). Vyu₧φvajφ jazyk VBA5.
XM/
Üφ°φ se pod produktem Microsoft Excel 5.0/6.0. Vyu₧φvajφ jazyk VBA3.
X97M/
Üφ°φ se pod produktem Microsoft Excel 8.0 (Office 97). Vyu₧φvajφ jazyk VBA5.
A97M/
Üφ°φ se pod produktem Microsoft Access 8.0 (Office 97). Vyu₧φvajφ jazyk VBA5.
PoΦet t∞chto makrovir∙ je vÜak velmi mal², a nep°edstavujφ v∞tÜφ hrozbu.
P97M/
Üi°φ se pod produktem Microsoft PowerPoint. Vyu₧φvajφ jazyk VBA5.
Jeliko₧ nenφ aplikace Microsoft PowerPoint tolik pou₧φvanß jako Word, Φi Excel, nenφ moc Üancφ, ₧e se makrovirus pro PowerPoint rozÜφ°φ.
XF/ (Excel Formula)
JeÜt∞ p°ed vznikem jazyku VBA byl "Excel Formula" jedinou mo₧nostφ, jak v Excelu n∞co naprogramovat. P°φkazy se zadßvajφ
p°φmo do bun∞k seÜitu (!). Tyto makroviry se op∞t vyskytujφ v minimßlnφm mno₧stvφ...
Specißlnφm p°φpadem jsou makroviry, kterΘ se dokß₧ou Üφ°it v n∞kolika podobßch - jako makrovirus pro Word, Excel, Φi PowerPoint (dφky stejnΘmu jazyku VBA).
Typick²m p°φkladem je makrovirus Triplicate (Tristate), jen₧ se n∞kdy oznaΦuje takΘ jako O97M/Triplicate.
S p°φchodem Microsoft Office 2000 p°ichßzφ i novΘ oznaΦenφ pro makroviry urΦenΘ pro tuto platformu. VÜechny aplikace Office 2000 pou₧φvajφ spoleΦn² jazyk -
VBA6 (Visual Basic for Application). Nßzvy makrovir∙ pro Office 2000 se v∞tÜinou oznaΦujφ jako: W2KM/ (W2000M/), X2KM/ (X2000M/), podle aplikace, kterou pro
Üφ°enφ vyu₧φvajφ.
DalÜφ tΘmata - makroviry:
Adresß°ovΘ viry - Cluster viruses
Skupina vir∙, zastoupenou znßm²m virem Dir II, jsou tzv. clusterovΘ viry.
Tyto viry modifikujφ vstupy adresß°ovΘ tabulky tak, ₧e virus je zaveden do pam∞ti a spuÜt∞n d°φve
ne₧ program, kter² u₧ivatel chce spustit. Samotn² virus se na disku nachßzφ pouze jednou, kdesi na konci disku.
LΘΦenφ tohoto viru je velmi jednoduchΘ (ale zdlouhavΘ). StaΦφ pouze "zavirovan² soubor" p°ekopφrovat do
jinΘho adresß°e a zm∞nit mu p°φponu (aby nebyla COM, EXE). Prvnφ obrßzek je situace p°ed napadenφ virem (data adresß°e sm∞°ujφ na prvnφ klastry soubor∙).
Druh² obrßzek je situace po infekci adresß°ov²m virem (data adresß°e ukazujφ na virus):
GenerickΘ viry - Generic viruses
Jednß se o viry, zalo₧enΘ na stejnΘm zßklad∞, kterΘ jsou velmi podobnΘ. Pat°φ sem p°edevÜφm takov² "odpad",
jako jsou n∞kterΘ varianty viru Vienna. U t∞chto vir∙ m∙₧ou vznikat problΘmy p°i p°esnΘ identifikaci varianty a
dalÜφ p°i lΘΦenφ (dφky nep°esnΘ anal²ze). Antivirov² program VirusScan pou₧φvß pojem "Generic" p°i nalezenφ
sekvence typickΘ pro virus (nap°φklad k≤d na instalaci viru do operaΦnφ pam∞ti).
DalÜφ tΘmata:
PokraΦovat m∙₧ete nap°φklad zde.