Mi az a vírus?

A történelem legelsõ vírusai csak elméleti alapon léteztek. Feladatuk ugyanis a Neumann Jánostól származó teóriának az igazolása volt, hogy mesterséges életet lehet létrehozni a bináris világban, azaz lehet olyan programot írni, amely az élet alapvetõ jellegzetességeit (vagy legalább részleteiben) megvalósítja. Az elmélet napjainkra kissé elfajult...

Ezenkívül egy másik fontos történet is szerepet játszott a vírusok kialakulásában: az 1980-as évek legelején a számítógépek már tudtak kommunikálni egymással telefonvonalakon keresztül és az amerikai telekommunikáció olcsósága miatt ez nem volt egyedi, ritka esemény. Eme számítógépes vonalakon keresztül cseréltek egymással adatokat, illetve információkat. Az információk között persze megbújtak egyes kisebb-nagyobb játékok. A számítógépek telefonszámaira persze amatõr felhasználók is rájöttek és szerették volna a nagygépeken lévõ játékokat ellopni a saját kicsi gépeikre. Persze addig nem akarták használni a méregdrága távolsági hívásokat, így olyan speciális programkákat írogattak, amik ezeket a játékokat megkeresik és elküldik az õ otthoni számítógépükre. A keresõprogram olyannyira profira sikeredett, hogy átment sok nagyszámítógépbe is és ott tovább kutakodott. Egy idõ után az USA szinte valamennyi nagyszámítógépe csak ezt a keresõprogramot kutatta. A nagygépeken dolgozó profi programozók persze fejvesztve kutatták a keresõprogram megállításának, illetve kiirtásának ellenszerét. A keresõprogram olyannyira elfajult, hogy már az interkontinentális ballisztikus (nukleáris robbanófejjel felszerelt) rakéták indítókódját is majdnem feltörte. Ekkor sikerült az elsõ ellen-programot megírni. Az ellenprogram olyannyira sikeres volt, hogy valamennyi nagygépen felrakták és így nem bénult le az USA teljes szuperszámítógép-parkja. A következõ betörési kísérlet már a nagyprogramok speciális fajtáját akarta letörölni, és a gépeket használhatatlanná tenni. Ezt is sikerült kicselezni. A programok és az ellenprogramok párharca azóta is tart. A legkülönösebb dolog, hogy az eredeti keresõprogramot egy tinédzser írta.

Az idõk folyamán természetesen sok minden megváltozott, így a vírusok támadási módja is. A hirtelen halált okozó vírusok kihalófélben vannak, a vírusok szülõatyjai ugyanis rájöttek, hogy a valódi járvány kialakulásához a vírusnak hosszú ideig kell észrevétlenül lappangania, és késõbb, amikor már elterjedt, akkor kell aktivizálódnia. A vírusok osztályozását az operációs rendszertõl való függés, illetve a terjedési metódus alapján végzik el. Az operációs rendszereket is két részre oszthatjuk: immunis és nem immunis. Elõbbi kategóriába sorolhatók a különbözõ Unix-verziók, beleértve a Linuxot. Kifejezetten vírusra termett operációs rendszer a DOS, illetve a Windows különbözõ változatai. Az operációs rendszerek szerinti csoportosítás másik felét a platformfüggetlen vírusok jelentik. Ezek többségét a Microsoft által kifejlesztett, majdnem szinte minden platformon használt makrónyelveken írják. S ha már itt tartunk, a vírusok közé kell sorolnunk a com-objektumokat és az ActiveX-vezérlõket, amelyek a Windows világ mellett az egységesítés jegyében más rendszereken is megjelentek.

A legõsibb vírusok a DOS-világban jelentek meg. Elõször a *.com kiterjesztésû programoknál, amelyekhez hozzákapcsolódva jöttek, láttak, és megfertõzték az egész világot. Késõbb a lemez indítórekordját (boot sector), majd késõbb a partíciós tábla programját vették célba, így akár üres lemez segítségével is terjedni tudtak. Így jelent meg egy új iparág: megszülettek azok a vállalkozások, amelyek a vírusirtásra alapozták jövõjüket. Ezekbõl a cégekbõl nõtt ki jó pár ma világhírû, milliárdos forgalmú multinacionális vállalkozás: Symantec, McAfee Network Associates, Kaspersky Laboratorium.

Az antivírusprogramok legrégebbi technológiája a szekvenciális keresés, amit már a víruskorszak hajnalán alkalmaztak. Ilyenkor a program végigfut az állományokon, s a vírusok ismert és jellemzõ részleteit, a szekvenciasorokat igyekszik kimutatni azzal a felkiáltással, hogy a véletlenszerû egyezés nem valószínû. Ez így is van, ha a szakasz kellõ hosszúságú, és több jellegzetes részletet tartalmaz. Van azonban egy kis probléma: a tömörített állományokban, adatbázisokban lévõ vírus így nem ismerhetõ fel.

A vírus egy intelligens, önmagát reprodukáló számítógépes program. Terjedéséhez más programokat használ fel, hogy magát álcázhassa. Intelligenciáját a programozójától kapta, és olyan erkölcstelen dolgokat képes mûvelni, amelyekkel a programozója felruházta. Intelligencia, értelem nélkül.

A vírusok felosztása:

Boot vírusok: a DOS rendszerben élték virágkorukat. A Windows és nem Microsoft világban nem tudtak megélni, így most kihalásra vannak ítélve, bár ha egy fertõzött floppyról indítjuk a rendszert, képesek az újabb operációs rendszereket is megfertõzni, de terjedni már nem képesek.

Partíciótábla-vírusok: szintén a Dos-kor hozadéka. A vírus nagyobb volt, mint a partíciós tábla, ezért részeit a merevlemez rossz jelzéssel ellátott vagy nem használt szektoraiban rejtette el. Ebbe a családba tartoznak a merevlemezt részben vagy egészében átkódoló one-half típusú vírusok is. Irtásukhoz igen nagy szakismeret kell, mert tévedés esetében a teljes merevlemez tartalma elvész. Aki emlékszik, mindig meglapult a jó számítógépesnél egy one-half irtó progi.

*.com-vírusok: ugyancsak a Dos világ vírusai, a 64 kB-nál kisebb *.com kiterjesztésû állományok fertõzésére voltak képesek.

COM-objektumvírusok: rosszindulatú COM-objektummodulok, amelyek minden olyan platformon futni képesek, ahol a COM+ interpretert telepítették. Bármit elvégezhetnek, amire csak programozójuk felruházta õket.

OCX-objektumvírusok: a Windows ActiveX interfészét kihasználó rosszindulatú ActiveX-vezérlõk. Az Internet Explorert használva a COM-objektumokkal együtt a webrõl letölthetõk, így kivédésükhöz aktív vírusvédelem, azaz tûzfal szükséges.

*.exe-vírusok: a Dos *.exe futtatható formátumának vírusai. Általában Windows alatt rendszerlefagyást okoznak. Helyreállításuk nagyon nehéz, mert gyakran átkódolják, módosítják a célállományt. Itt jelentek meg a másodfajú technikák: a lopakodó vírus, amely a memóriában eltünteti saját futásának és létezésének tényét az ismert memóriamatató eszközök elõl, valamint itt jelentek meg az önmaguk kódját folyamatosan módosító, mutáló vírusok is.

Windows-vírusok: a Windows- és az NT-világ termékei. Gyakorlatilag a másodfajú Windows *.exe állományokra alkalmazták a Dos világ tapasztalatait, itt a *.exe állományon túl minden programjellegû Windows-modul, így a DLL, sõt egyes betûfonttípusok is fertõzhetõk. Felismerésük, helyreállításuk igencsak nehéz.

Önátíró (polimorf) vírusok: Saját kódjukat vagy hosszukat, esetleg mindkettõt idõnként megváltoztatják ezek vírusok. Észlelésük igen nehéz.

E-mail vírusok: az Internet rohamos elterjedésének köszönhetõen megjelentek az eddig teljesen ismeretlen, elektronikus levélben terjedõ vírusok. A legtöbb csak és kizárólag a Microsoft Outlook, illetve Outlook Express levelezõprogramjában terjednek.

Makróvírusok: elterjedtek a Windows, Excel és PowerPoint vírusok. A dokumentummal együtt terjednek, s az azokba ágyazott Visual Basic makróprogramok hordozzák õket. A probléma gyökere abban rejlik, hogy e makrónyelvvel minden rendszerközeli funkció elérhetõ. A belsõ beépített vírusvédelem nem elegendõ, ide is állandóan aktív vírusvédelem, azaz vírustûzfal szükséges.

Multipart (többrészes) vírusok: szinte minden vírustípusban elõfordulnak ilyen megoldások. A vírust nem egy, hanem több látszólag össze nem függõ állomány tartalmazza. A vírus akkor aktivizálódik, amikor mindegyik komponense egy helyre kerül. Ennek egyik formája a dual vírus, amely Dos esetén azt jelenti, hogy egy bootvírus *.exe-vírus formájában is létezik. Hadivírusok

Kimondottan hadviselésre alkalmas vírusok. Az USA-ban már az ötvenes évek végén, késõbb Németországban a Bundeswehr keretein belül is foglalkoztak olyan vírusok elõállításával, amelyek megbéníthatják az ellenfél gépét. Ezeket a vírusokat elméletileg csak háborús célokra akarták felhasználni, de valahogy mégis sikerült jó párnak kiszabadulnia. Az Israeli defence, a Fish-6, a Whale is így szabadult ki. Ezek a vírusok folyamatos mutációs lehetõségeikkel és a hagyományos módszerekkel észrevehetetlen terjedésükkel ideális hadviselési vírusok. Leningrádban a flotta egyik számítástechnikai intézete kifejezetten hardver tönkretételére alkalmas vírus kifejlesztésén dolgozott. A vírus lényege, hogy a gép elektronikáját 10-20 másodperc alatt teljesen tönkre teszi.

Hogy miért kell a hadivírusokat komolyan venni? Talán annyit elég elmondani, hogy a rendszerváltás elõtti román és szovjet katonai vírusok voltak talán a legveszélyesebbek. Ezeket ugyanis az akkori szocialista országok rendkívül tehetséges programozói írták, hogy az USA atom- és egyéb fegyvertitkait kifürkésszék, illetve elpusztítsák a titkos állományokat. A legtöbb vírus persze a számítógépekkel legjobban ellátott USA-ból származik.

Programférgek: olyan programok, amelyek nem szaporodnak, hanem belépve egy rendszerbe keresztülrágják magukat annak védelmi mechanizmusán. Feladatuk legtöbbször az, hogy behatoljanak az operációs rendszer magjába, és onnan kihozzanak bizonyos információkat, például jelszótáblákat. Ennek elvégzése után általában csendesen kimúlnak.(lsd. a Qaz féreg, a Microsoft rendszerében is ilyet fedeztek fel)

Memóriaszemét: a memóriát teleszemetelve lehetetlenné teszik egy másik program futását. Más kárt nem okoznak csak rendszerlefagyást... akár több tucat gépen is. Általában nem rongálják meg a rendszerben lévõ adatokat, s a jobb indulatúak nem is másolják be magukat más programokba.

A programkódot módosító vírusok: a legismertebb és leggyakoribb víruscsalád. Az eredeti programmal sohasem találkozunk, hacsak nem magunk írtuk. Viszont az általa módosított programmal már találkozhatunk. Ez a találkozás minden esetben emlékezetes marad. A szoftvermásolás és adatátvitel során fõképpen ezek a vírusok terjednek. Ebben a csoportban tartják számon a szakemberek az etikátlan másolásvédelmet, valamint egyes hasznos, a vírusok ellen használható szoftvertípusokat is.

Hardvervírusok: természetesen a vírusok nem csak az eddig felsorolt módon tudnak terjedni. A hardvervírus már a gépen érkezik valamilyen formában. A hõskori PC-ken ez még nem volt lehetséges. Az AT-k megjelenése nyitotta meg az utat ezeknek a vírusoknak a terjedésében. Terjedési elvük a következõ: a belsõ óra IC-nek vannak olyan EEPROM regiszterei, ahova beírható egy meglehetõsen rövid, de üzemképes víruskód. Komolyabb hardvervírust szinte kizárólag csak a gyártó helyezhet el a rendszerben.

Hardvermódosító vírusok: bár hardvervírusoknak nevezik általában ezeket a vírusokat is, inkább a vírusprogramok speciális nemzedékének tekintendõk. Találkoztak már olyan vírussal ebbõl a családból, amelyik az Intel 80386-os processzor programját módosította. Ezek a vírusok a processzorba a gyártás során betöltött, elektromosan írható és törölhetõ regiszterekben található mikro programokat írják át. A hibát képes úgy szimulálni, hogy a felhasználó elõször nem is gondol vírus jelenlétére.

A számítógépes magazinok óriási népszerûsége is a vírusok egyik terjedési okozója, 1997-ben a számítógépes magazinok döntõ többsége már cd-melléklettel jelenik meg (Chip, PC-World, Computer Panoráma, PC-X). Sajnos az óriási mennyiségû adathalmazban mellett idõnként becsúszik egy-egy vírusos program is. Tudjuk, hogy a CHIP magazin 1997. júliusi számának CD-melléklete vírusos volt. A fõ indítófile-ba beágyazódott magyar készítésû vírus neve: HDD Cleaner 2.0. Neve alapján kitalálható, hogy mit csinál, ha elindítják a cd-t, de szerencsére csak szeptember 8-án kezdte meg! Az újság kiadója, a Vogel több gyors megoldást is kínált a probléma kiküszöbölésére: bárki kicserélhette ingyen a cd-jét annál az újságosnál, ahol vette a lapot, illetve az elõfizetõknek ingyen küldték a javított változatot.

Szóval akkor mi is a vírus? A vírus egy intelligens, önmagát reprodukáló számítógépes program. Terjedéséhez más programokat használ fel, hogy magát álcázhassa. Intelligenciáját a programozójától kapta, és olyan erkölcstelen dolgokat képes mûvelni, amelyekkel a programozója felruházta. Intelligencia, értelem nélkül.