A számítógép A számítógép vírusokról általábanvírusokról általában

Bári ViktorBári Viktor

Miskolc, 2008.10.12.

BevezetésBevezetés Mottó: „Számítógépes vírusok már pedig nincsenek” – Mottó: „Számítógépes vírusok már pedig nincsenek” –

Peter Norton, 1984 (?) – a Symantec A.V. alapjául Peter Norton, 1984 (?) – a Symantec A.V. alapjául szolgáló Norton Antivirus írójaszolgáló Norton Antivirus írója

A mai hálózatba kötött PC-s Windows (és sajnos már A mai hálózatba kötött PC-s Windows (és sajnos már egyéb operációs rendszer) alapú gépek esetében egyéb operációs rendszer) alapú gépek esetében szükséges ismerni/megismerni a valós veszélyeket és a szükséges ismerni/megismerni a valós veszélyeket és a megtehető biztonsági óvintézkedéseketmegtehető biztonsági óvintézkedéseket

Korábban csak vírusok fordultak elő. Manapság, már Korábban csak vírusok fordultak elő. Manapság, már nyíltan a web felől érkező támadásokkal is nyíltan a web felől érkező támadásokkal is találkozhatunk (pl.Sasser, nimdA, Code Red, SirCam )találkozhatunk (pl.Sasser, nimdA, Code Red, SirCam )

Főbb témákFőbb témák

Vírusok:Vírusok: definíciókdefiníciók csoportosítási lehetőségekcsoportosítási lehetőségek csoportosításokcsoportosítások

Hálózaton keresztüli fertőzések, támadásokHálózaton keresztüli fertőzések, támadások VírusirtásVírusirtás „„Hasznos” hálózati kommunikációs programokHasznos” hálózati kommunikációs programok SPAM-ekSPAM-ek Spyware-ek, adware-ek – trójai falovakSpyware-ek, adware-ek – trójai falovak VédekezésVédekezés

Valós veszélyekValós veszélyekVírusfertőzés esetén:Vírusfertőzés esetén:

hardware tönkretételehardware tönkretétele adatvesztés, adatok összekeveredéseadatvesztés, adatok összekeveredése szerver leállás, lebénulás (pl. levél vírusok)szerver leállás, lebénulás (pl. levél vírusok)

Spyware, trójai falovak:Spyware, trójai falovak:- Teljes gépen tárolt adathalmaz idegenek kezébe Teljes gépen tárolt adathalmaz idegenek kezébe

kerülhetkerülhet- Titkos login/pwd párok ellopásaTitkos login/pwd párok ellopása- Adatgyűjtés Adatgyűjtés

Adware:Adware:- Felugró ablakok miatt lehetetlenné váló Felugró ablakok miatt lehetetlenné váló

munkavégzésmunkavégzés

DefiníciókDefiníciók Élővilágban: olyan önálló szaporodásra és életre Élővilágban: olyan önálló szaporodásra és életre

képtelen, örökítő-anyagot tartalmazó képtelen, örökítő-anyagot tartalmazó mikroorganizmusok, melyek élőszervezetek mikroorganizmusok, melyek élőszervezetek megfertőzésével biztosítják fennmaradásukat.megfertőzésével biztosítják fennmaradásukat.

„„A számítógépes vírus egy olyan program, A számítógépes vírus egy olyan program, amely más programokhoz kapcsolja hozzá saját amely más programokhoz kapcsolja hozzá saját kódját, oly módon, hogy a módosított program kódját, oly módon, hogy a módosított program elindításakor a vírus is lefusson.”elindításakor a vírus is lefusson.”

„„A vírus olyan program vagy utasítássorozat, A vírus olyan program vagy utasítássorozat, amelyik önmagát reprodukálja.”amelyik önmagát reprodukálja.”

Csoportosítási lehetőségekCsoportosítási lehetőségek Típus szerintTípus szerint

File vírusok (CEB)File vírusok (CEB) Boot vírusokBoot vírusok Makró vírusok (Word, Excel, Powerpoint, Access)Makró vírusok (Word, Excel, Powerpoint, Access) Java, jscript és vb script vírusok – webes vírusokJava, jscript és vb script vírusok – webes vírusok

Platform szerintPlatform szerint Visszakeresés elleni védelem szerintVisszakeresés elleni védelem szerint Kártétel szerintKártétel szerint

destruktívdestruktív nem destruktívnem destruktív

Típus szerintTípus szerint File vírusok File vírusok

végrehajtható állományt fertőznek végrehajtható állományt fertőznek command, exe, bat file-okat (sys-t)command, exe, bat file-okat (sys-t) vagy az indítási sorrendet kihasználva indul el a vírusvagy az indítási sorrendet kihasználva indul el a vírus

Boot vírusok:Boot vírusok: az MBR-ben helyezkednek el, ált. TSR programok (pl.one az MBR-ben helyezkednek el, ált. TSR programok (pl.one

Half)Half) Makró vírusok (Word, Excel, Powerpoint, Access) – Office 4 óta Makró vírusok (Word, Excel, Powerpoint, Access) – Office 4 óta

(1994-95) (mióta VB makrók kerültek az Office mögé) (1994-95) (mióta VB makrók kerültek az Office mögé) Java, jscript és vb script vírusok – webes, e-mail vírusok (pl. Java, jscript és vb script vírusok – webes, e-mail vírusok (pl.

2000.március „I love You” vbs alapú2000.március „I love You” vbs alapú vírus – a generált vírus – a generált levélforgalom miatt állt le minden)levélforgalom miatt állt le minden)

Csoportosítások szerintCsoportosítások szerint

Platform szerint:Platform szerint: DOS, Windows, OS/2, Linux, Java, MakróDOS, Windows, OS/2, Linux, Java, Makró

Visszakeresés elleni védelem szerintVisszakeresés elleni védelem szerint Kódolt vírusok (vírustest kódolt, test + kibontó)Kódolt vírusok (vírustest kódolt, test + kibontó) Polimorf vírusok (változó kódolás)Polimorf vírusok (változó kódolás) Lopakodó vírusok (pl. egy boot vírus ami a Lopakodó vírusok (pl. egy boot vírus ami a

partíciós táblát manipulálja – így abban minden partíciós táblát manipulálja – így abban minden helyesnek tűnik)helyesnek tűnik)

Visszafejtés elleni vírusok (többszörös ugrások a Visszafejtés elleni vírusok (többszörös ugrások a kódban, nyomkövetés figyelése…)kódban, nyomkövetés figyelése…)

VírusírtásVírusírtás

Vírusirtó programmal. Működésük:Vírusirtó programmal. Működésük:- Memória és boot-szektor scanMemória és boot-szektor scan- Keresés:Keresés:

- program szekvencia azonosságát vizsgálják csakprogram szekvencia azonosságát vizsgálják csak- vagy heurisztikát is alkalmaznak vagy heurisztikát is alkalmaznak

- F-Prot esetében: irtás (vírus), törlés (file), átnevezés (file)F-Prot esetében: irtás (vírus), törlés (file), átnevezés (file)Követelmények manapság:Követelmények manapság:

- napi webes frissítés, működés közbeni folyamatos védelemnapi webes frissítés, működés közbeni folyamatos védelemVírusirtó programok:Vírusirtó programok:

MSAV, Scan (McAfee), F-Prot (F-Secure), Norton Antivirus MSAV, Scan (McAfee), F-Prot (F-Secure), Norton Antivirus (Symantec), Thunderbyte (TBAV), Kaspersky Lab, AVG, (Symantec), Thunderbyte (TBAV), Kaspersky Lab, AVG, NOD32, PandaNOD32, Panda

Virusbuster, PandaVirusbuster, Panda

SPAM-ekSPAM-ek Lottót nyertél!Lottót nyertél! Afrikai király özvegye vagy hagyatéki biztosa Afrikai király özvegye vagy hagyatéki biztosa

bankszámlát kér, hogy kiküldhesse a $-jaitbankszámlát kér, hogy kiküldhesse a $-jait Befektetési tanácsokBefektetési tanácsok Gyógyszerek (Cialis, Viagra, Xanax…)Gyógyszerek (Cialis, Viagra, Xanax…) Software-ekSoftware-ek

Ezek egy részének valós háttere: e-mail Ezek egy részének valós háttere: e-mail címlisták gyűjtésecímlisták gyűjtése

Másik részük a gyűjtött e-mail címekre Másik részük a gyűjtött e-mail címekre küldözgeti a leveleket és csalásra, visszaélésreküldözgeti a leveleket és csalásra, visszaélésre használja majd fel a kapott adatokathasználja majd fel a kapott adatokat

Spyware, Adware, Trójai falovakSpyware, Adware, Trójai falovak Spyware: kémprogram mely általában a felhasz-Spyware: kémprogram mely általában a felhasz-

náló „aktív, de nem tudatos” közreműködése náló „aktív, de nem tudatos” közreműködése révén kerül a gépre. Onnantól kezdve adatokat révén kerül a gépre. Onnantól kezdve adatokat gyűjt és küld megfelelő helyekre (pl. bankkártya gyűjt és küld megfelelő helyekre (pl. bankkártya információk, login/pwd, szoftver információk)információk, login/pwd, szoftver információk)

Adware: hasonló módon kerül a gépre (DirectX, Adware: hasonló módon kerül a gépre (DirectX, Active-X, telepedő exe….) és egyre gyakoribb Active-X, telepedő exe….) és egyre gyakoribb pop up reklámablakok az eredménypop up reklámablakok az eredmény

Trójai falovak: gépre kerülés után port-okat nyit Trójai falovak: gépre kerülés után port-okat nyit külső behatolók számára (korábban kicsit külső behatolók számára (korábban kicsit hasonlók voltak a cookie-k – vírusok is vannak)hasonlók voltak a cookie-k – vírusok is vannak)

VédekezésVédekezés

Legfontosabb: Megelőzés!Legfontosabb: Megelőzés! Spybot Search and Destroy, Ad-aware, MS Anti SpywareSpybot Search and Destroy, Ad-aware, MS Anti Spyware Vírusirtó (F-Prot, Norton S.A., NOD32, Virusbuster…) – napi Vírusirtó (F-Prot, Norton S.A., NOD32, Virusbuster…) – napi

frissítés!frissítés! Ismeretlen küldőtől származó anyagok törlése, nem ismert Ismeretlen küldőtől származó anyagok törlése, nem ismert

anyagok elutasítása (telepítés előtt)anyagok elutasítása (telepítés előtt) Operációs rendszer rendszeres biztonsági frissítéseOperációs rendszer rendszeres biztonsági frissítése e-mail cím korlátozott és ellenőrzött kiadásae-mail cím korlátozott és ellenőrzött kiadása Hálózatban: Hálózatban:

router és tűzfal mögé router és tűzfal mögé tűzfal programtűzfal program Explorer és Outlook használatának kerülése (VB Explorer és Outlook használatának kerülése (VB

script, Active-X, J script…)script, Active-X, J script…)

Mit használjunk?Mit használjunk? Operációs rendszer:Operációs rendszer:

Linux disztribúciók (Redhat, Debian, SUSE, Mandrake…)Linux disztribúciók (Redhat, Debian, SUSE, Mandrake…) Windows 2000 SP4 – rendszeres frissítés, belső hálózaton Windows 2000 SP4 – rendszeres frissítés, belső hálózaton

belül vagy tűzfal mögöttbelül vagy tűzfal mögött Windows XP SP2 - rendszeres frissítésWindows XP SP2 - rendszeres frissítés

Web böngésző:Web böngésző: Mozilla 1.71Mozilla 1.71 FirefoxFirefox OperaOpera

Levelező kliensek:Levelező kliensek: Pegazus MailPegazus Mail MozillaMozilla The Bat, vagy:The Bat, vagy:

Webes levelező rendszereketWebes levelező rendszereket

Köszönöm a figyelmet!Köszönöm a figyelmet!