M∙₧e se poΦφtaΦ infikovat prohlΘdnutφm obsahu diskety, zkopφrovßnφm infikovanΘho souboru apod. ?
Pouh²m Φtenφm jak²chkoli dat nelze poΦφtaΦ infikovat. To se t²kß jak prohlφ₧enφ dat na disku Φi disket∞,
tak nap°φklad i prohlφ₧enφ Φi kopφrovnßnφ soubor∙ ze vzdßlenΘho systΘmu pomocφ modemu. Jistou
vyjφmku tvo°φ makroviry. U nich staΦφ, aby byl infikovan² dokument (tabulka) otev°en p°φsluÜn²m
programem (Microsoft Word, Excel, Access...).Aby se mohl kter²koli
vir Üφ°it a provßd∞t libovolnou Φinnost, musφ b²t jeho k≤d zaveden do pam∞ti a musφ b²t spuÜt∞n, tj. procesor
musφ zaΦφt provßd∞t jeho instrukce. K tomu m∙₧e dojφt v zßsad∞ t°ema odliÜn²mi zp∙soby:
- SpuÜt∞nφm napadenΘho souboru (v p°φpad∞ souborovΘho viru).
- Zavedenφm systΘmu z infikovanΘ diskety (v p°φpad∞ boot viru). K tomu dochßzφ nejΦast∞ji
ne·mysln∞ tak, ₧e napadenß disketa z∙stala zamΦena v disketovΘ mechanice v dob∞, kdy byl poΦφtaΦ
zapnut, nebo resetovßn. N∞kterΘ poΦφtaΦe majφ mo₧nost zakßzat zavßd∞nφ systΘmu z diskety a tφm
eliminovat tento neΦekan∞ Φast² zdroj nßkazy.
- Otev°enφm zavirovanΘho dokumentu, pop°φpad∞ tabulky p°φsluÜn²m programem (Microsoft Word, Excel, Access).
Tento bod se vÜak t²kß p°edevÜφm dokument∙, napsan²ch ve Wordu, kterΘ navφc mohou obsahovat makra (=> makroviry).
Prohlφ₧et bez nebezpeΦφ je mo₧nΘ nejen data, ale i infikovan² program; ten je toti₧ v dob∞ prohlφ₧enφ zpracovßvßn
stejn∞ jako jak²koli jin² datov² soubor. Bez existence faktu by nemohla pracovat ani v∞tÜina antivirov²ch program∙.
Pravd∞podobn²m p∙vodcem tΘto pov∞ry je z°ejm∞ fakt, ₧e p°i v∞tÜin∞ v ·vodu zmφn∞n²ch Φinnostφ dochßzφ k naΦtenφ dat
(a tedy i jejich ulo₧enφ) do pam∞ti. Tato data v danΘ chvφli nemajφ povahu programu (nejsou spuÜt∞na), co₧ je ovÜem
p°esn∞ to, co n∞kterΘ znßmΘ antivirovΘ programy nekontrolujφ a mφsto toho vyhlßsφ faleÜn² poplach.
M∙₧e vir poÜkodit nebo znφΦit hardware poΦφtaΦe ?
StruΦnou odpov∞dφ na tuto otßzku je znßmΘ po°ekladlo, kterΘ tvrdφ, ₧e hardware, kter² lze zniΦit programov²mi prost°edky, si ani nic jinΘho nezaslou₧φ.
V souΦasnΘ dob∞ pou₧φvan² hardware by m∞l b²t odoln² proti jakΘmukoli zpsobu manipulace ze strany softwaru a tedy i proti ·myslnΘmu pokusu o poÜkozenφ virem. N∞kterΘ, dnes u₧ znaΦn∞ zastaralΘ, poΦφtaΦovΘ komponenty m∞li jistΘ nedomyÜlenosti ve firmwaru Φi konstrukci, tak₧e bylo mo₧nΘ softwarov∞ tyto dφly poÜkodit nebo alespo≥ zp∙sobit majiteli nep°φjemnΘ komplikace. NejΦast∞ji citovan²mi zßstupci jsou:
- DiskovΘ mechaniky, kterΘ p°i po₧adavku na vystavenφ hlaviΦky na neexistujφcφ stopu sna₧iv∞ toΦily h°φdelkou
tak dlouho, dokud hlaviΦku ·pln∞ nevyÜroubovaly.
- N∞kterΘ pevnΘ disky, kterΘ po provedenφ low-level formßtu upadly do stavu hlubokΘ letargie, odstranitelnΘho
pouze firemnφm softwarem.
- Monitory, kterΘ, nedbajφce vlastnφho nebezpeΦφ, se pokouÜely vyhov∞t jakΘmukoli nesmyslnΘmu po₧adavku
o nastavenφ synchronizaΦnφch frekvencφ, co₧ mohlo zp∙sobit tepelnΘ p°etφ₧enφ.
Znovu opakujeme, ₧e takov² hardware je zastaral² a prakticky nepou₧φvan². Navφc je z°ejmΘ, ₧e ke zmφn∞nΘmu
poÜkozenφ mohlo dojφt (a takΘ dochßzelo) daleko Φast∞ji p°i b∞₧nΘ prßci v d∙sledku chyby obsluhy nebo n∞kterΘho
z program∙ ne₧ v d∙sledku ·toku vir∙. (Zmφn∞nΘ komponenty byly pou₧φvßny v dob∞, kdy viry nejen₧e nebyly
rozÜφ°enΘ, ale ani obecn∞ znßmΘ.). Dokumentace k n∞kter²m softwarov²m produkt∙m vÜak p°esto obsahuje zmφnky
o mo₧n²ch nßsledcφch nespßvnΘ instalace, co₧ napomßhß p°e₧φvat straÜideln²m historkßm mezi u₧ivateli.
P°φkladem m∙₧e b²t nßsledujφcφ ·ryvek z instalaΦnφ p°φruΦky k operaΦnφmu systΘmu Linux:
à Takto je mo₧nΘ p°etφ₧it horizontßlnφ synchronizaci v∞tÜiny monitor∙ a zp∙sobit jejich poÜkozenφ nebo dokonce
po₧ßr. (Ano, monitor bude ho°et plamenem - to se stalo)à
Jistou vyjφmkou m∙₧e b²t virus W95.CIH, kter² dokß₧e p°epsat obsah pam∞ti flash-bios,
a znemo₧nit tak chod n∞kter²m nov∞jÜφm zßkladnφm deskßm. Zde je nutn² zßsah odbornφka p°es hardware.
M∙₧e se vir rozÜφ°it i na diskety chrßn∞nΘ proti zßpisu ?
Ochrana disket proti zßpisu pomocφ p°elepek (v p°φpad∞ 5.25" disket) nebo pomocφ posuvnΘho ΦtvereΦku (v p°φpad∞
3.5" disket) je z°ejm∞ jedna z mßla v∞cφ, kterΘ na poΦφtaΦφch PC opravdu fungujφ. Na disketu chrßn∞nou proti zßpisu
nem∙₧e ₧ßdn² software (tedy ani vir) jakßkoli data zapsat, ani je zm∞nit nebo smazat (mazßnφ nenφ nic jinΘho ne₧
zßpis sprßvn²ch hodnot do sprßvn²ch oblastφ).
K selhßnφ tΘto ochrany m∙₧e dojφt pouze v p°φpad∞ hardwarovΘho poÜkozenφ pou₧itΘ disketovΘ mechaniky (porucha
°adiΦe, poÜkozenΘ optickΘ Φidlo a podobn∞) nebo p°i pou₧itφ nevhodn²ch p°elepek.
S tφmto problΘmem se sna₧φ viry vypo°ßdat r∙zn²mi zp∙soby. Drz² vir prost∞ u₧ivatele po₧ßdß, aby zßpis na
disketu povolil. Jist∞ se najde dost lidφ, kte°φ zdvo°ilΘ ₧ßdosti bez dalÜφho p°em²Ülenφ vyhovφ.
Genißlnφ trik obsahuje virus Sampo. Kdy₧ zjistφ, ₧e disketa je chrßn∞nß proti zßpisu, zaΦne p°edstφrat, ₧e je
napadena jednoduch²m boot virem Kampana. U₧ivatel pravd∞podobn∞ zruÜφ ochranu, aby vir vyhnal sv²m
oblφben²m antivirov²m programem, a to je p°esn∞ okam₧ik, na kter² Sampo Φekß. Napadne disketu a zaΦne
p°edstφrat, ₧e je v naprostΘm po°ßdku.
Je opravdu nezbytnΘ p°ed vyhledßvßnφm vir∙ zavßd∞t systΘm ze systΘmovΘ diskety ?
Pokud mß b²t Φinnost antivirovΘho programu maximßln∞ ·Φinnß, je zavedenφ systΘmu ze systΘmovΘ diskety v
podstat∞ nezbytnΘ. Tento krok, kter² krom∞ nepatrnΘho zdr₧enφ nic nestojφ, je nej·Φinn∞jÜφ zp∙sob jak zajistit, ₧e po
dobu Φinnosti antivirovΘho programu nebude v pam∞ti ₧ßdn² aktivnφ vir, kter² by mohl ovliv≥ovat pr∙b∞h a
v²sledky kontroly. P°evß₧nß v∞tÜina modernφch antivirov²ch systΘm∙ sice disponuje r∙zn²mi mechanismy,
kter²mi se sna₧φ jak odhalit p°φpadnΘ aktivnφ viry v pam∞ti, tak minimalizovat jejich vliv na pr∙b∞h kontroly, na
druhΘ stran∞ vÜichni seri≤znφ auto°i t∞chto program∙ p°iznßvajφ, ₧e tyto mechanismy nejsou tak ·ΦinnΘ, aby se na
n∞ dalo pln∞ spolehnout. Navφc, Φasto jedinou Φinnostφ, kterou m∙₧e antivirov² program bez rizika provΘst, pokud
nalezne aktivnφ vir v pam∞ti, je v²pis hlßÜenφ "Chopte se systΘmovΘ diskety, zave∩te systΘm a pak po mn∞ n∞co
cht∞jte".
Pro ilustraci uvßdφme p°ehled n∞kolika typick²ch scΘnß°∙, kterΘ se mohou odehrßt, pokud vir z∙stal v pr∙b∞hu
kontroly v pam∞ti neodhalen:
- Vir hlφdß, kter² soubor je otevφrßn, a ka₧d² takov² soubor napadne (vir typu "fast infector"). Vzhledem k tomu,
₧e antivirovΘ programy p°i kontrole otevφrajφ vÜechny soubory, kterΘ pova₧ujφ za spustitelnΘ, budou po dokonΦenφ
kontroly vÜechny tyto soubory infikovßny virem.
- Vir kontroluje, jakß data jsou naΦφtßna z disku, a v p°φpad∞ Φtenφ infikovanΘ Φßsti souboru nebo sektoru
"podstrΦφ" antivirovΘmu programu p∙vodnφ obsah (vir z kategorie stealth). D∙sledkem toho je, ₧e programy pro
vyhledßvßnφ vir∙ nebo zm∞n v souborech nenajdou nic zßvadnΘho a prohlßsφ disk za zdrav².
- Antivirov² software identifikoval vir a napaden² soubor ·sp∞Ün∞ obnovil. PotΘ, co byl soubor zbaven viru a byl
uzav°en, vir jej znovu infikoval. V²sledkem je hlßÜenφ antivirovΘho programu o tom, ₧e soubor je zdrav², co₧ je v
rozporu se skuteΦn²m stavem v∞ci. Obdobn∞ povzbudiv²ch v²sledk∙ m∙₧eme dosßhnout, pokud se pokusφme vir
odstranit jak²mkoli jin²m postupem, nap°. pomoci FDISK /MBR nebo i formßtovßnφm disku. Mnoho vir∙ je schopno,
pokud jsou aktivnφ v pam∞ti, infikovat nap°. MBR bezprost°edn∞ potΘ, co z n∞j byly odstran∞ny.
- Vir obsahuje k≤d, kter² aktivn∞ bojuje proti konkrΘtnφmu antivirovΘmu programu. ┌tok m∙₧e b²t veden velmi
rozliΦn²mi prost°edky (vyu₧itφ internφch slu₧eb antiviru, zm∞na databßze informacφ o virech apod.). V podstat∞
₧ßdn² antivirov² systΘm nemß mo₧nost (v danΘ verzi) se brßnit proti takovΘmu viru, kter² byl napsßn s konkrΘtnφ
znalostφ antivirovΘho programu. Jedin²m ·Φinn²m prost°edkem v takovΘm p°φpad∞ je zajistit, aby dan² vir nebyl
aktivnφ v pam∞ti, co₧ lze efektivn∞ provΘst prßv∞ zavedenφm systΘmu z diskety.
K dosa₧enφ oΦekßvanΘho efektu je samoz°ejm∞ nezbytnΘ, aby systΘmovß disketa nebyla infikovanß,
obsahovala pat°iΦnou verzi operaΦnφho systΘmu a vÜechny ovladaΦe pot°ebnΘ ke zp°φstupn∞nφ disku a soubor∙
a byla chrßn∞na proti zßpisu. Pokud takovΘ ovladaΦe nemßte k dispozici, nebudou po zavedenφ systΘmu data na
pevnΘm disku dostupnß a nebude tedy ani mo₧no provΘst jejich kontrolu.
Je formßtovßnφ disku spolehliv²m zp∙sobem, jak odstranit viry ?
V p°φpad∞ formßtovßnφ pevnΘho disku (nap°φklad p°φkazem FORMAT) znφ odpov∞d: NE.
P°i formßtovßnφ disku dojde ke smazßnφ vÜech soubor∙ a k p°epsßnφ systΘmov²ch oblastφ na logickΘm disku.
NedotΦen vÜak z∙stane k≤d master boot recordu (MBR), kter² m∙₧e b²t a takΘ Φasto b²vß hostitelem viru. Takov²
vir se m∙₧e neruÜen∞ dßle Üφ°it a provßd∞t svou p°φpadnou Ükodlivou Φinnost.
M∙₧e takΘ dojφt k situaci, kdy by byl p°eformßtovßn disk a zßrove≥ vir z∙stal aktivnφ v pam∞ti. V takovΘm p°φpad∞
m∙₧e z∙stat naka₧en i boot sektor danΘho disku a navφc programy, kterΘ by na takto "vyΦiÜt∞n²" disk byly
kopφrovßny, by mohly b²t okam₧it∞ znovu napadeny.
V zßsad∞ tedy m∙₧e v p°φpad∞ pevnΘho disku dojφt ke dv∞ma odliÜn²m situacφm. V prvnφ jsou napadeny pouze
programy souborov²m virem. Zde by sice sprßvn∞ provedenΘ formßtovßnφ (za p°edpokladu zavedenφ systΘmu
ze systΘmovΘ diskety) pomohlo, avÜak na druhΘ stran∞ lze pou₧φt mΘn∞ drastickΘ metody a smazat pouze
napadenΘ soubory (v nejhorÜφm p°φpad∞ vÜechny potencißlnφ nosiΦe viru) a zachovat tak d∙le₧itß data.
V druhΘm p°φpad∞ je vir obsa₧en i v master boot recordu (MBR) pevnΘho disku a pak by formßtovßnφ krom∞ ztrßty
dat nem∞lo ₧ßdn² kladn² p°φnos (ano, budete mφt zase po Φase dostatek volnΘho mφsta na disku).
Pokud jde o formßtovßnφ diskety, pak lze °φci, ₧e disketu formßtovanou na zdravΘm poΦφtaΦi lze pova₧ovat za
"viruprostou".
Praktickß sebeobrana proti vir∙m - Petr Odehnal, Petr ZahradnφΦek