Számítógépes vírusokSzámítógépes vírusok

A vírus fogalma, „célja”A vírus fogalma, „célja”

• Önmaga sokszorozására és terjesztésére képes számítógépes szoftver. – Csak megfelelő hardver- vagy szoftver környezetben,

más programokba beépülve működőképes.

• A víruskészítés- és terjesztés célja sokféle lehet: az egyszerű csínytevéstől a komoly politikai, katonai célokig.

A vírusok terjedéseA vírusok terjedéseA vírusok mindig egy fertőzött programmal, dokumentummal jutnak a számítógépbe, valamilyen lemezről vagy a hálózaton keresztül.

Valós veszélyekValós veszélyek

Vírusfertőzés esetén:Vírusfertőzés esetén:hardware tönkretétele

adatvesztés, adatok összekeveredéseszerver leállás, lebénulás (pl. levél vírusok)

Spyware, trójai falovak:Spyware, trójai falovak:•Teljes gépen tárolt adathalmaz idegenek kezébe kerülhet•Titkos login/pwd párok ellopása•Adatgyűjtés

Adware:Adware:Felugró ablakok miatt lehetetlenné váló munkavégzés

VírustörténelemVírustörténelem• Vírustörténelem (forrás: www.viruslist.com )

• 1970• Creeper (ARPANET), Tenex operációs rendszer,

szöveget írt ki• Reaper (ARPANET), Tenex operációs rendszer,

vírusként terjedt és leirtotta a Creeper vírust

• 1981• első vírus, Elk Cloner, Apple II számítógépeken,

szöveget írt ki, boot vírusként került a lemezekre, amelyen az operációs rendszert is tárolták

• 1986• első vírus IBM PC számítógépekre, Brain, boot

vírusként terjedt

VírustörténelemVírustörténelem

• 1987• első adatromboló vírus, Lehigh

• Suriv víruscsalád „elsői”: • Suriv-1: első .com fájlokat fertőző vírus• Suriv-2 : első .exe fájlokat fertőző vírus• Suriv-4: Jerusalem, .com és .exe fájlokat

fertőzött meg, memóriában megmaradt, világszerte elterjedt

•• első féreg, Christmas Tree Worm 4 nap alatt

megfertőzte a European Academic Research Network (EARN) hálózatán keresztül az IBM Vnet hálózatát

VírustörténelemVírustörténelem

• 1988• hírhedt féreg, Morris Worm, a UNIX operációs

rendszerek (VAX és Sun Microsystems számítógépeken) felhasználó-hitelesítési eljárását kerülte meg („login/authentication”), így szerzett adatokat és tudta magát továbbküldeni az ARPANET hálózaton

• 1989• első trójai, AIDS, az alkalmazás rejtjelezte a

merevlemez tartalmát és kiírta, hogy a visszafejtéshez szükséges kriptográfiai kulcsot a megfelelő pénzösszeg befizetése ellenében kaphatja meg a károsult

VírustörténelemVírustörténelem

• 1990• első polimorf vírus, Chameleon (Vienna és

Cascade vírus tulajdonságainak ötvözése), minden fertőzés alkalmával változott a kód, így a vírusmintákon alapuló keresés megnehezült

• 1992• első komolyabb károkat okozó vírus,

Michelangelo, rendszerfájlok, boot rekordok, FAT (MS-DOS) sérülése, a lemez használhatatlanná tétele

• az első „vírus kit” megjelenése, Dark Avenger Mutation Engine (MtE), amelyet hamarosan követ a többi (VCS, GenVir, PS-MPC, NGVCK, stb.), megkönnyítve az új vírusok írását

VírustörténelemVírustörténelem

• 1994• az első .obj fájlokat fertőző vírus, Shifter

• hírhedt rejtőzködő, polimorf fájl- és boot vírus, Onehalf, amely rejtjelezte a merevlemez tartalmát

• 1995• első makró-vírus, Concept

• 1996 • első Windows 95 vírus, Boza • első OS/2 .exe fájlokat fertőző vírus, AEP• első Excel vírus, Laroux

VírustörténelemVírustörténelem

• 1997• az első Linux vírus megjelenése, Bliss• IRC férgek megjelenése• FTP motorral rendelkező vírus megjelenése,

Homer

• 1998 • az első Access vírus, AccessiV• az első flash vírus, CIH, az alaplapi „flash

ROM” törlése• az első .vbs vírusok megjelenése• az első PowerPoint vírus megjelenése, Attach

VírustörténelemVírustörténelem

• 1999• első Outlook levelezőt támadó vírus,

Happy99• első önmagát frissítő vírus, Babylonia

• hírhedt makró-vírus és féreg egyben, Melissa

• első féreg, amely nem csatolt állományként terjedt a levelekben, hanem elegendő volt elolvasni azokat, Bubbleboy, KakWorm, biztonsági rést használt ki

• 2000• hírhedt .vbs vírus, LoveLetter

VírustörténelemVírustörténelem

2001hírhedt vírusok, CodeRed, SirCam (saját SMTP-motor), Mandragore (Gnutella), Nimda

2002első .NET vírusok, LFM, Donuthírhedt vírus, Klez

2003hírhedt férgek, Slammer, Sobig („zombi” hálózat)

2004hírhedt férgek, Bagle, Netsky, Sasser

Csoportosítási lehetőségekCsoportosítási lehetőségek

• Típus szerint– File vírusok (CEB)– Boot vírusok– Makró vírusok (Word, Excel, Powerpoint,

Access)– Java, jscript és vb script vírusok – webes

vírusok• Platform szerint• Visszakeresés elleni védelem szerint• Kártétel szerint

– Destruktív (romboló)

– nem destruktív

Típus szerintTípus szerint

• File vírusok – végrehajtható állományt fertőznek – command, exe, bat file-okat (sys-t)– vagy az indítási sorrendet kihasználva indul el

a vírus

• Boot vírusok:– az MBR-ben helyezkednek el, ált. TSR

programok (pl.one Half)• Makró vírusok (Word, Excel, Powerpoint, Access)

– Office 4 óta (1994-95) (mióta VB makrók kerültek az Office mögé)

• Java, jscript és vb script vírusok – webes, e-mail vírusok (pl. 2000.március „I love You” vbs alapú vírus – a generált levélforgalom miatt állt le minden)

További csoportosítások szerintTovábbi csoportosítások szerint

• Platform szerint:– DOS, Windows, OS/2, Linux, Java, Makró

• Visszakeresés elleni védelem szerint– Kódolt vírusok (vírustest kódolt, test +

kibontó)– Polimorf vírusok (változó kódolás)– Lopakodó vírusok (pl. egy boot vírus ami

a partíciós táblát manipulálja – így abban minden helyesnek tűnik)

– Visszafejtés elleni vírusok (többszörös ugrások a kódban, nyomkövetés figyelése…)

Kártétel szerintKártétel szerint

• Destruktív (romboló, pusztító):

• hardware tönkretétele (HDD, FDD)• tárolt anyagok törlése, lemezek formázása• adatok összekeverése (pl. I love You)• Partíciós tábla manipulálása (pl. One half)

• „Nem destruktív”• Számítógép lekapcsolása (pl. Sasser) –

szerverek!• régen: potyogtatós vírus, cookie vírus,

Yankee doodle..

Hálózattal kapcsolatos fertőzések, támadásokHálózattal kapcsolatos fertőzések, támadások

• Minden TCP/IP alapú hálózatra kötött gépnek 64.000 logikai kapuja (port-ja) van – ezek mind támadási felületek lehetnek ha nincsenek lezárva (port-scan)

• 2001 őszén: nimdA (Admin) Win Nt-ket fertőzte

• 2001 nyarán: SirCam vírus ami minden Windows-os gépen egy saját kis SMTP host-ot nyitott és szórta a leveleket (önmagát), levélben terjedt – és a felhasználó okozta a fertőzést

• 2004 január: Sasser – Win 2000 gépeket fertőzte ha az SP2-nem volt telepítve – egyszerű gépleállás!!

VírusírtásVírusírtás

• Vírusirtó programmal. Működésük:– Memória és boot-szektor scan– Keresés:

• program szekvencia azonosságát vizsgálják csak

• vagy heurisztikát is alkalmaznak – F-Prot esetében: irtás (vírus), törlés (file),

átnevezés (file)• Követelmények manapság:

– napi webes frissítés, működés közbeni folyamatos védelem

MSAV, Scan (McAfee), F-Prot (F-Secure),

Norton Antivirus (Symantec), Thunderbyte

(TBAV), Kaspersky Lab, AVG, NOD32

Virusbuster, Panda

Vírusirtó programok:Vírusirtó programok:

Hoax-okHoax-ok

• Figyelmeztető körlevelek pl. bizonyos dll-ek vírus voltáról melyek letörlése után bizonyos funkciók elvesznek

• Rémhírterjesztés kategória: a fölhasználók tudatlanságának kihasználása

• Küld tovább még legalább 20 helyre típusú levelek – akár ingyen ajándékért – SPAM

• SPAM: kéretlen levelek

SPAM-ekSPAM-ek

• Lottót nyertél!• Afrikai király özvegye vagy hagyatéki biztosa

bankszámlát kér, hogy kiküldhesse a $-jait• Befektetési tanácsok• Gyógyszerek (Cialis, Viagra, Xanax…)• Software-ek

– Ezek egy részének valós háttere: e-mail címlisták gyűjtése

– Másik részük a gyűjtött e-mail címekre küldözgeti a leveleket és csalásra, visszaélésre használja majd fel a kapott adatokat

Spyware, Adware, Trójai falovakSpyware, Adware, Trójai falovak

• Spyware: kémprogram mely általában a felhasz-náló „aktív, de nem tudatos” közreműködése révén kerül a gépre. Onnantól kezdve adatokat gyűjt és küld megfelelő helyekre (pl. bankkártya információk, login/pwd, szoftver információk)

• Adware: hasonló módon kerül a gépre (DirectX, Active-X, telepedő exe….) és egyre gyakoribb pop up reklámablakok az eredmény

• Trójai falovak: gépre kerülés után port-okat nyit külső behatolók számára (korábban kicsit hasonlók voltak a cookie-k – vírusok is vannak)

VédekezésVédekezés• Legfontosabb: Megelőzés!• Spybot Search and Destroy, Ad-aware, MS Anti

Spyware• Vírusirtó (F-Prot, Norton S.A., NOD32,

Virusbuster…) – napi frissítés!• Ismeretlen küldőtől származó anyagok törlése,

nem ismert anyagok elutasítása (telepítés előtt)• Operációs rendszer rendszeres biztonsági

frissítése• e-mail cím korlátozott és ellenőrzött kiadása• Hálózatban:

– router és tűzfal mögé – tűzfal program– Explorer és Outlook használatának kerülése (VB script, Active-

X, J script…)

Mit használjunk?Mit használjunk?

• Operációs rendszer:– Linux disztribúciók (Redhat, Debian, SUSE,

Mandrake…)– Windows 2000 SP4 – rendszeres frissítés,

belső hálózaton belül vagy tűzfal mögött– Windows XP SP3 - rendszeres frissítés

• Web böngésző:– Mozilla ; Firefox; Opera– Levelező kliensek:

– Pegazus Mail– Mozilla– The Bat, vagy:

• Webes levelező rendszereket

Megelőzés - védekezésMegelőzés - védekezésMegelőzhető a fertőzés:Csak megbízható helyről származó,

tesztelt lemezek alkalmazásával!Rendszeres antivírus-programok

frissítésével és futtatásával!Ismeretlen eredetű e-mailek és

csatolt fájlok óvatos kezelésével!