Új Szó, 2002. január (55. évfolyam, 1-26. szám)
2002-01-25 / 21. szám, péntek
ÚJ SZÓ 2002. JANUÁR 25. TÉMA: SZÁMÍTÓGÉPES VÍRUSOK Ne vegyünk olcsó kalózprogramokat, ne töltsünk le bármit ingyen az internetről, mert drágán megfizethetünk érte A legfontosabb, hogy ne essünk pánikba Ha megbetegszik a számítógép Az Ambulance vírus egyik megnyilvánulása a képernyőn (Archívum) A számítógép általában megkönnyíti az ember életét: sok mindent elvégez helyette. Elég azonban egy adag rosszindulat és némi hozzáértés, hogy az okos gépekből egy csapásra irányít- hatatlan, sőt károkozó masinák váljanak. ÖSSZEFOGLALÓ Számítógépet bárki vásárolhat a boltban, ugyanúgy, mint tíz deka szalámit és fél kiló kenyeret. A dobozba csomagolt szerkezet azonban önmagában csak egy köteg huzal és egy halom műanyag a megfelelő programok nélkül. Egész iparág foglalkozik a különböző szövegszerkesztő, írásfelis- meró, zenei szerkesztő programok készítésével, segítségükkel válik teljes értékűvé a számítógép. Létezik azonban emberek egy kis csoportja, amely - rosszindulatból, bosszúvágyból - ennek a harmóniának a megtörésére áldozza fel az idejét. Az általuk készített apró programok - vírusok - beépülnek a számítógép tárolóegységébe, és csak a kedvező alkalomra várnak, hogy működésbe lépjenek. Hatásuk eltérő: van, amelyik teljesen tönkreteszi a gépet, van, amelyik csupán egy szervezet jelszavát írja ki unos-untalan a képernyőre. Egy a közös bennük: alattomos módon férkőznek a „hasznos” programokhoz, törölnek ki fontos adatokat. Bárki írhat vírust. A gimnáziumokban már általában kötelező a programozási alapismeretek elsajátítása, a diákok, kis szerencsével és kitartással, az iskolában tanított programozási nyelv segítségével kártékony programokat készíthetnek. A „vérbeli” vírusok alkotói azonban már szinte versenyeznek, ki tud nehezebben felfedezhető, semlegesíthető kártékony számítástechnikai férgeket kitalálni. Az előbb említett szoftveripar egy különleges ága szállítja ellenük (jutányos áron persze) a megoldást. A különböző víruskereső és -irtó programok népszerűsége egyre nő, hiszen a vüá- gon egyre többen vásárolnak számítógépet. Az internet is robbanásszerűen terjed, segítségével nemcsak nagy mennyiségű adatot, hanem számtalan vírust is közvetíteni lehet két számítógép között. Egy másik problémát is megfertőztek a vírusok, ez az illegális szoftvermásolás. A számítógépünket okossá varázsoló programok pénzbe kerülnek, néha több tízezer koronát is elkérnek például egy grafikai tervező rendszerért. Egy ilyen program - a megfelelő biztonsági rendszer híján - azonban számtalan példányban lemásolható és terjeszthető. Például baráti társaságok „összedobhatnak” néhány ezer koronát, megveszik az áhított programot, aztán annyi másolatot készítenek belőle, amennyit csak akarnak. Ez az eljárás persze illegális, egyrészt szerzői jogi, másrészt adózási okokból. Néhány ilyen baráti társaságjóval áron alul terjeszt a maga másolta programokból (néha csak a hordozó, tehát a CD vagy a floppy árát kell kifizetni). Ha egy ilyen programot veszünk és nem működik, ez csak a kisebb baj. Nagyobb problémával szembesülünk, ha a program esetleg azt is végrehajtja, amire nem is kértük, sőt eszünk ágában sem volt ilyesmire kérni. Például letörli az ösz- szes fontos adatunkat, örökre bontja a csatlakozást a gép és a nyomtató között, a belső hűtő- rendszer kikapcsolásával túlhevíti a központi egységet, ami a rendszer és a számítógép halálához vezet. Ha nem is tudunk megvásárolni egy áhított játékprogramot, legalább azt ellenőrizzük, hogy a kalózkiadása megbízható forrásból származik, (szge) A vírusok típusai Programférgek (worms) Olyan programok, amelyek nem szaporodnak, hanem belépve egy rendszerbe keresztülrágják magukat a védelmi mechanizmusokon. Feladatuk legtöbbször az, hogy behatoljanak az operációs rendszer magjába, és onnan „kihozzanak” bizonyos információkat, például jelszótáblákat; és ezt az internet segítségével közvetítsék a féreg alkotójának. Ezután általában csendesen kimúlnak. Trójai programok (trojans) Ezek a programok csak álcázásra szolgálnak. Mást tesznek, mint amit ígérnek. Az ilyen programot a vírusok egyik alfajaként tisztelik, az általában nem viselkedik vírushoz méltóan. Legtöbbjük ugyanis aktivizálódása után azonnal rombol, olyannyira, hogy nincs is ideje elszaporodni, legfeljebb a gépen belül. Memóriaszemét A memóriát túltelítve lehetetlenné teszik egy másik program futását. Más kárt nem okoznak, mindössze az operációs rendszer „lefagyását”, általában több tucat gépen is. Nem rongálják meg a tárolt adatokat, s a Jóindulatúbbak” nem is másolják be magukat más programokba sem. Programkódot módosítók A legismertebb és leggyakoribb víruscsalád. Az eredeti programmal sohasem találkozunk, hacsak nem magunk írtuk. Viszont az általa módosított programmal már összefuthatunk. A víruskeresők általában nagyon hosszadalmasan tudják kiirtani, mivel állandóan változnak, csupán a céljuk ugyanaz - hasonlóak a „valódi”, a gyógyszerek ellen rezisztensé váló vírusokhoz. Hardvervírusok Természetesen a vírusok nem csak az eddig felsorolt módon tudnak terjedni. A hardvervírus már a gépen érkezik valamilyen formában. A hőskori PC-ken ez még nem volt lehetséges. Az úgynevezett AT-csa- lád megjelenése nyitotta meg az utat ezeknek a vírusoknak a terjedéséhez. Terjedési elvük a következő: a belső órát „szolgáltató” integrált áramkörnek vannak olyan részei (pontosabban az EEPROM regiszterei), ahova beírható egy meglehetősen rövid, de üzemképes víruskód. Komolyabb hardvervírust szinte kizárólag csak a gyártó helyezhet el a rendszerben. Üzleti érdekei azonban általában pont az ellenkezőek. Hardvermódosítók Bár hardvervírusoknak nevezik általában ezeket a vírusokat is, inkább a vírusprogramok speciális nemzedékének tekintendők. Találkoztak már olyan vírussal ebből a családból, amelyik az Intel 80386- os processzor mikro programját módosította. Ezek a vírusok a processzorba a gyártás során betöltött, elektromosan írható és törölhető regiszterekben található mikro programokat írják át. Nem a szoftvert fertőzi, hanem a hardver bizonyos részeit. A hibát képes úgy „szimulálni”, hogy a felhasználó először nem is gondol vírus jelenlétére. Hadivírusok Kimondottan hadviselésre alkalmas vírusok. Az USA-ban már az ötvenes évek végén, később Németországban a Bundeswehren belül is foglalkoztak olyan vírusok előállításával, amelyek megbéníthatják az ellenfél számítógépét. Ezeket a vírusokat elméletileg csak háborús célokra akarták felhasználni, de valahogy mégis sikerültjó párnak „megszöknie”. Az Israeli defence, a Fish-6, a Whale is így szabadult ki. Ezek a vírusok folyamatos mutációs lehetőségeikkel és a hagyományos módszerekkel észrevehetetlen terjedésükkel ideális hadviselési vírusok. Le- ningrádban a flotta egyik számítástechnikai intézete kifejezetten hardver tönkretételére alkalmas vírus kifejlesztésén dolgozott, lényegében a számítógép elektronikáját 10-20 másodperc alatt teljesen tönkreteszi. A lehetőségek keretein belül próbáljuk magunkat távol tartani a hadivírusoktól, mert utána már csak polcnak, alátétnek stb. használhatjuk a számítógépet. EXE-COM vírusok Csak az .EXE vagy a .COM típusú fájlokat támadja meg (MS-DOS és Windows operációs rendszerben). Kiirtásuk viszonylag egyszerű, a leggyakrabban használt víruskeresők azonosítják. BOOT-vírusok A beépített lemezegység úgynevezett boot-szektorában laknak. Amikor elindítjuk a számítógépet, először ennek a szektornak a tartalma töltődik a memóriába - természetesen a vírussal együtt, amely így már bármit megfertőzhet. Irtása: nem kell feltétlenül újratelepítenünk a rendszert, elég egy jobb (drágább) vírusirtó. MR-vírusok A vírus a memóriába fészkeli be magát (MR: memória-rezidens). A legegyszerűbb vírusirtók semlegesítik. Makrovirusok Főleg a .DOC és .XLS típusú fájlokat támadja meg (MS-DOS, Windows rendszerben). így egy ártatlannak tűnő dokumentum is végzetes lehet. Ha lehet, ne használjuk a .DOC fájltípust, mivel egyrészt terjedelmes, másrészt támogatja a makrókat, amely egy nagyon egyszerűen megírható utasítássorozat. Tulajdonképpen akár egy üres Word-dokumentummal - ha forráskódjában benne van a makró - teljesen letörölhetjük a merevlemez tartalmát. Más fájltípusok használatával megelőzhetjük a kellemetlenségeket. A makrovirusok irtása nehézkes, de nem lehetetlen. NewExe vírusok Csak a Windows 95/98/2000-es operációs rendszerek alatt terjednek. Kiirtásuk általában nem okoz gondot. Multiplatform vírusok Többféle operációs rendszer alatt is működő vírusok. Mivel léteznek platformfüggetlen és általánosan támogatott programnyelvek (Java, ActiveX), teljesen mindegy, hogy a MacOS és a Windows programok inkompatibilisek egymással, mert egy JavaScript vagy ActiveX elemeket tartalmazó internetes oldal mindkét rendszerben támadhat. Irtásuk elég bonyolult, de nem lehetetlen, viszont némi szakértelmet igényel. E-mail vírusok--------------m---------Az internet rohamos elterjedésének köszönhetően megjelentek az eleddig teljesen ismeretlen, elektronikus levélben terjedő vírusok. Főleg a Microsoft Outlook, illetve Outlook Express levelezőprogramjában terjednek. Bár észlelni nem könnyű őket, irtásuk nem nehéz, csak viszonylag hosszadalmas. (i-t, szge) Fertőzhet a gyógyszer is ISMERTETŐ Ha már egyszer megkaptuk a vírust és észleltük jelenlétét, a legfontosabb dolog, hogy ne essünk pánikba. A jó számítógépes szakember először elemzi a problémát, és csak ezután kezd neki a hiba elhárításának. A profi felhasználó rendelkezik úgynevezett rendszerlemezzel, amely segítségével el tudja indítani gépét akkor is, ha annak belső tárolóegysége (merevlemez) meghibásodott. Ha nem vagyunk járatosak a számítástechnikában, kérjük meg valamelyik ismerősünket, hogy készítsen ilyet. Ezen a lemezen jó, ha a víruskeresők és vírusirtók is rajta vannak. Az operációs rendszert ezután a szóban forgó lemez segítségével töltsük a gépbe. Futtassuk a víruskereső programot, majd segítségével - ezt a program általában maga is felajánlja - kíméletlenül töröljünk le minden fertőzött dokumentumot a gépről. A vírusirtás előtt nem javallott bármilyen más programot elindítani, mert elképzelhető, hogy az is hordozza a vírust, és a kis huncut elbújik a memóriába. Itt ül aztán hosszú méla lesben és csak arra vár, hogy a felhasználó elindítson valamilyen programot, amit ő meg tud fertőzni: A víruskereső is csak program, saját védekezési mechanizmusa ellenére maga is megfertőződhet és fertőzhet. (szge) Az egyik legravaszabb „trójai" fejedelem Back Orifice 124928 ISMERTETÉS A cifra nevű trójai program célja nem a köizvetlen károkozás, hanem egy hátsó nyílás (innen a neve) létrehozása. Kliensszerver módon működik; egyszerűbben fogalmazva a szerver a program vagy számítógép, amelyik adatokat szolgáltat, a kilens pedig ezeket fogadja. A szervert valahogyan be kell csempészni a kiszemelt áldozat gépére, hasznos programnak álcázva. Ha a felhasználó elindítja a programot, akkor az kitörli magát, de előtte megfertőzi az operációs rendszert: bemásolja magát <szóköz>.EXE néven a Windows könyvtárba - majdnem teljesen láthatatlanná válik -, majd egy utasítást ad, hogy ezután a program mindig fusson, amikor a Windows elindul. A vírus ekkor meghal, az előbb felsorolt műveletekhez elég mindössze két- három másodperc. A gép és a Windows legközelebbi elindításánál a <szóköz>.EXE is elindul: bekapcsolja a szerverprogramot, amely internetcsatlakozás után néz. Amikor a szerver fut, a kliens hálózati kapcsolatot tud vele kiépíteni, ehhez csak a címét (pontosabban az úgynevezett IP-számot) kell ismernie. Mivel a szerver mindent megtesz, amit a kliens kér, továbbá a Windows is megtesz mindent, amit a szerver kér, a távoli gépről a behatoló teljes hatalommal rendelkezik a gép felett. A gyanútlan felhasználó ebből semmit nem vesz észre, legfeljebb a gép lassulását, illetve a vendég szándékos magatartását (pl. egy figyelmeztető ablakot). Az áldozat gépe az internet segítségével elérhető, és a világon bárhonnan böngészhető, (i-t, szge) Murphy-törvények: 4 Pontosan akkor kapsz meg egy vírust, amikor azt hiszed, hogy egyeden vírusod sincs. 4 Pontosan akkor kapsz meg egy vírust, amikor a legkevésbé tudsz ellen mit tenni. ♦ A számítógépvírusoknak mindig csak azt a fajtáját kapod meg:- amelyekről a szakértők azt mondják, hogy az országunkban még nem fordultak elő,- amelyekhez még nem léteznek víruskereső programok,- amelyek az alattomosság és rombolóképesség új dimenzióját nyitják meg. ♦ Mindig eggyel több vírusod van, mint gondolnád. ♦ Az a vírus, amelyik megtámadta számítógépedet, csak azokat az állományokat teszi tönkre, amelyekről nincs biztonsági másolatod. 4 Ha lefuttatsz egy víruskeresőt, akkor ez kizárólag csak olyan vírusokat észlel és irt ki, amilyenek nincsenek is a rendszerben. ♦ Azt a vírust azonban, amelyik megtámadta a gépedet, megkíméli. ♦ Az a víruskereső program, amelyet lefuttatsz a számítógépeden, a keresés során valamennyi szöveges és programállományt jóvátehetetlenül elrontja, és csak a vírusokat hagyja épségben. 4 Mindabból, ami a számítógépeden volt, végül csak a vírus marad futtatható, (i-t) Túl jóra sikerült az amatőr keresőprogram Megcsapolt nagygépek ISMERTETÉS Az 1980-as évek legelején a számítógépek már tudtak kommunikálni egymással telefonvonalakon keresztül és az olcsó amerikai telekommunikáció miatt ez nem volt ritka esemény. A számítógépes vonalakon keresztül cseréltek egymással adatokat, illetve információkat a felhasznáók. A „hasznos” információk között persze megbújtak (igen gyakran) egyes kisebb-nagyobb játékok. A számítógépek telefonszámaira persze amatőr felhasználók is rájöttek és szerették volna a nagygépeken lévő játékokat ellopni a saját kicsi gépeikre. Persze addig nem akarták használni a méregdrága távolsági hívásokat, így olyan speciális programkákat írogattak, amelyek eme játékokat megkeresik és elküldik az otthoni számítógépükre. A keresőprogram olyannyira profira sikeredett, hogy szinte önálló életre kelt és sok nagyszámítógépben is tovább kutakodott. Egy idő után az USA szinte valamennyi nagyszámítógépe csak ezt a keresőprogramot futtatta. A nagygépeken dolgozó profi programozók persze fejvesztve kutatták az kereső program megállításának, illetve kiirtásának ellenszerét. A keresőprogram olyany- nyira elfajult, hogy már az interkontinentális ballisztikus (nukleáris robbanófejjel felszerelt) rakéták indítókódját is majdnem feltörte. Ekkor sikerült az első ellenprogramot megírni. Olyannyira sikeres volt, hogy valamennyi nagygépen lefuttatták, és így nem bénult le az USA teljes szuperszá- mítógép-parkja. A következő betörési kísérlet már a programok speciális fajtáját akarta letörölni és a gépeket használhatatlanná tenni. Ezt is sikerült kicselezni. A programok és az ellenprogramok párharca azóta is tart. Ma legalább 10000 ismert vírus fertőz szerte a világban, (i-t)
