a számítógép vírusokról általában
DESCRIPTION
A számítógép vírusokról általában. Bári Viktor. Miskolc, 2008.10.12. Bevezetés. Mottó: „Számítógépes vírusok már pedig nincsenek” – Peter Norton, 1984 (?) – a Symantec A.V. alapjául szolgáló Norton Antivirus írója - PowerPoint PPT PresentationTRANSCRIPT
A számítógép A számítógép vírusokról általábanvírusokról általában
Bári ViktorBári Viktor
Miskolc, 2008.10.12.
BevezetésBevezetés Mottó: „Számítógépes vírusok már pedig nincsenek” – Mottó: „Számítógépes vírusok már pedig nincsenek” –
Peter Norton, 1984 (?) – a Symantec A.V. alapjául Peter Norton, 1984 (?) – a Symantec A.V. alapjául szolgáló Norton Antivirus írójaszolgáló Norton Antivirus írója
A mai hálózatba kötött PC-s Windows (és sajnos már A mai hálózatba kötött PC-s Windows (és sajnos már egyéb operációs rendszer) alapú gépek esetében egyéb operációs rendszer) alapú gépek esetében szükséges ismerni/megismerni a valós veszélyeket és a szükséges ismerni/megismerni a valós veszélyeket és a megtehető biztonsági óvintézkedéseketmegtehető biztonsági óvintézkedéseket
Korábban csak vírusok fordultak elő. Manapság, már Korábban csak vírusok fordultak elő. Manapság, már nyíltan a web felől érkező támadásokkal is nyíltan a web felől érkező támadásokkal is találkozhatunk (pl.Sasser, nimdA, Code Red, SirCam )találkozhatunk (pl.Sasser, nimdA, Code Red, SirCam )
Főbb témákFőbb témák
Vírusok:Vírusok: definíciókdefiníciók csoportosítási lehetőségekcsoportosítási lehetőségek csoportosításokcsoportosítások
Hálózaton keresztüli fertőzések, támadásokHálózaton keresztüli fertőzések, támadások VírusirtásVírusirtás „„Hasznos” hálózati kommunikációs programokHasznos” hálózati kommunikációs programok SPAM-ekSPAM-ek Spyware-ek, adware-ek – trójai falovakSpyware-ek, adware-ek – trójai falovak VédekezésVédekezés
Valós veszélyekValós veszélyekVírusfertőzés esetén:Vírusfertőzés esetén:
hardware tönkretételehardware tönkretétele adatvesztés, adatok összekeveredéseadatvesztés, adatok összekeveredése szerver leállás, lebénulás (pl. levél vírusok)szerver leállás, lebénulás (pl. levél vírusok)
Spyware, trójai falovak:Spyware, trójai falovak:- Teljes gépen tárolt adathalmaz idegenek kezébe Teljes gépen tárolt adathalmaz idegenek kezébe
kerülhetkerülhet- Titkos login/pwd párok ellopásaTitkos login/pwd párok ellopása- Adatgyűjtés Adatgyűjtés
Adware:Adware:- Felugró ablakok miatt lehetetlenné váló Felugró ablakok miatt lehetetlenné váló
munkavégzésmunkavégzés
DefiníciókDefiníciók Élővilágban: olyan önálló szaporodásra és életre Élővilágban: olyan önálló szaporodásra és életre
képtelen, örökítő-anyagot tartalmazó képtelen, örökítő-anyagot tartalmazó mikroorganizmusok, melyek élőszervezetek mikroorganizmusok, melyek élőszervezetek megfertőzésével biztosítják fennmaradásukat.megfertőzésével biztosítják fennmaradásukat.
„„A számítógépes vírus egy olyan program, A számítógépes vírus egy olyan program, amely más programokhoz kapcsolja hozzá saját amely más programokhoz kapcsolja hozzá saját kódját, oly módon, hogy a módosított program kódját, oly módon, hogy a módosított program elindításakor a vírus is lefusson.”elindításakor a vírus is lefusson.”
„„A vírus olyan program vagy utasítássorozat, A vírus olyan program vagy utasítássorozat, amelyik önmagát reprodukálja.”amelyik önmagát reprodukálja.”
Csoportosítási lehetőségekCsoportosítási lehetőségek Típus szerintTípus szerint
File vírusok (CEB)File vírusok (CEB) Boot vírusokBoot vírusok Makró vírusok (Word, Excel, Powerpoint, Access)Makró vírusok (Word, Excel, Powerpoint, Access) Java, jscript és vb script vírusok – webes vírusokJava, jscript és vb script vírusok – webes vírusok
Platform szerintPlatform szerint Visszakeresés elleni védelem szerintVisszakeresés elleni védelem szerint Kártétel szerintKártétel szerint
destruktívdestruktív nem destruktívnem destruktív
Típus szerintTípus szerint File vírusok File vírusok
végrehajtható állományt fertőznek végrehajtható állományt fertőznek command, exe, bat file-okat (sys-t)command, exe, bat file-okat (sys-t) vagy az indítási sorrendet kihasználva indul el a vírusvagy az indítási sorrendet kihasználva indul el a vírus
Boot vírusok:Boot vírusok: az MBR-ben helyezkednek el, ált. TSR programok (pl.one az MBR-ben helyezkednek el, ált. TSR programok (pl.one
Half)Half) Makró vírusok (Word, Excel, Powerpoint, Access) – Office 4 óta Makró vírusok (Word, Excel, Powerpoint, Access) – Office 4 óta
(1994-95) (mióta VB makrók kerültek az Office mögé) (1994-95) (mióta VB makrók kerültek az Office mögé) Java, jscript és vb script vírusok – webes, e-mail vírusok (pl. Java, jscript és vb script vírusok – webes, e-mail vírusok (pl.
2000.március „I love You” vbs alapú2000.március „I love You” vbs alapú vírus – a generált vírus – a generált levélforgalom miatt állt le minden)levélforgalom miatt állt le minden)
Csoportosítások szerintCsoportosítások szerint
Platform szerint:Platform szerint: DOS, Windows, OS/2, Linux, Java, MakróDOS, Windows, OS/2, Linux, Java, Makró
Visszakeresés elleni védelem szerintVisszakeresés elleni védelem szerint Kódolt vírusok (vírustest kódolt, test + kibontó)Kódolt vírusok (vírustest kódolt, test + kibontó) Polimorf vírusok (változó kódolás)Polimorf vírusok (változó kódolás) Lopakodó vírusok (pl. egy boot vírus ami a Lopakodó vírusok (pl. egy boot vírus ami a
partíciós táblát manipulálja – így abban minden partíciós táblát manipulálja – így abban minden helyesnek tűnik)helyesnek tűnik)
Visszafejtés elleni vírusok (többszörös ugrások a Visszafejtés elleni vírusok (többszörös ugrások a kódban, nyomkövetés figyelése…)kódban, nyomkövetés figyelése…)
VírusírtásVírusírtás
Vírusirtó programmal. Működésük:Vírusirtó programmal. Működésük:- Memória és boot-szektor scanMemória és boot-szektor scan- Keresés:Keresés:
- program szekvencia azonosságát vizsgálják csakprogram szekvencia azonosságát vizsgálják csak- vagy heurisztikát is alkalmaznak vagy heurisztikát is alkalmaznak
- F-Prot esetében: irtás (vírus), törlés (file), átnevezés (file)F-Prot esetében: irtás (vírus), törlés (file), átnevezés (file)Követelmények manapság:Követelmények manapság:
- napi webes frissítés, működés közbeni folyamatos védelemnapi webes frissítés, működés közbeni folyamatos védelemVírusirtó programok:Vírusirtó programok:
MSAV, Scan (McAfee), F-Prot (F-Secure), Norton Antivirus MSAV, Scan (McAfee), F-Prot (F-Secure), Norton Antivirus (Symantec), Thunderbyte (TBAV), Kaspersky Lab, AVG, (Symantec), Thunderbyte (TBAV), Kaspersky Lab, AVG, NOD32, PandaNOD32, Panda
Virusbuster, PandaVirusbuster, Panda
SPAM-ekSPAM-ek Lottót nyertél!Lottót nyertél! Afrikai király özvegye vagy hagyatéki biztosa Afrikai király özvegye vagy hagyatéki biztosa
bankszámlát kér, hogy kiküldhesse a $-jaitbankszámlát kér, hogy kiküldhesse a $-jait Befektetési tanácsokBefektetési tanácsok Gyógyszerek (Cialis, Viagra, Xanax…)Gyógyszerek (Cialis, Viagra, Xanax…) Software-ekSoftware-ek
Ezek egy részének valós háttere: e-mail Ezek egy részének valós háttere: e-mail címlisták gyűjtésecímlisták gyűjtése
Másik részük a gyűjtött e-mail címekre Másik részük a gyűjtött e-mail címekre küldözgeti a leveleket és csalásra, visszaélésreküldözgeti a leveleket és csalásra, visszaélésre használja majd fel a kapott adatokathasználja majd fel a kapott adatokat
Spyware, Adware, Trójai falovakSpyware, Adware, Trójai falovak Spyware: kémprogram mely általában a felhasz-Spyware: kémprogram mely általában a felhasz-
náló „aktív, de nem tudatos” közreműködése náló „aktív, de nem tudatos” közreműködése révén kerül a gépre. Onnantól kezdve adatokat révén kerül a gépre. Onnantól kezdve adatokat gyűjt és küld megfelelő helyekre (pl. bankkártya gyűjt és küld megfelelő helyekre (pl. bankkártya információk, login/pwd, szoftver információk)információk, login/pwd, szoftver információk)
Adware: hasonló módon kerül a gépre (DirectX, Adware: hasonló módon kerül a gépre (DirectX, Active-X, telepedő exe….) és egyre gyakoribb Active-X, telepedő exe….) és egyre gyakoribb pop up reklámablakok az eredménypop up reklámablakok az eredmény
Trójai falovak: gépre kerülés után port-okat nyit Trójai falovak: gépre kerülés után port-okat nyit külső behatolók számára (korábban kicsit külső behatolók számára (korábban kicsit hasonlók voltak a cookie-k – vírusok is vannak)hasonlók voltak a cookie-k – vírusok is vannak)
VédekezésVédekezés
Legfontosabb: Megelőzés!Legfontosabb: Megelőzés! Spybot Search and Destroy, Ad-aware, MS Anti SpywareSpybot Search and Destroy, Ad-aware, MS Anti Spyware Vírusirtó (F-Prot, Norton S.A., NOD32, Virusbuster…) – napi Vírusirtó (F-Prot, Norton S.A., NOD32, Virusbuster…) – napi
frissítés!frissítés! Ismeretlen küldőtől származó anyagok törlése, nem ismert Ismeretlen küldőtől származó anyagok törlése, nem ismert
anyagok elutasítása (telepítés előtt)anyagok elutasítása (telepítés előtt) Operációs rendszer rendszeres biztonsági frissítéseOperációs rendszer rendszeres biztonsági frissítése e-mail cím korlátozott és ellenőrzött kiadásae-mail cím korlátozott és ellenőrzött kiadása Hálózatban: Hálózatban:
router és tűzfal mögé router és tűzfal mögé tűzfal programtűzfal program Explorer és Outlook használatának kerülése (VB Explorer és Outlook használatának kerülése (VB
script, Active-X, J script…)script, Active-X, J script…)
Mit használjunk?Mit használjunk? Operációs rendszer:Operációs rendszer:
Linux disztribúciók (Redhat, Debian, SUSE, Mandrake…)Linux disztribúciók (Redhat, Debian, SUSE, Mandrake…) Windows 2000 SP4 – rendszeres frissítés, belső hálózaton Windows 2000 SP4 – rendszeres frissítés, belső hálózaton
belül vagy tűzfal mögöttbelül vagy tűzfal mögött Windows XP SP2 - rendszeres frissítésWindows XP SP2 - rendszeres frissítés
Web böngésző:Web böngésző: Mozilla 1.71Mozilla 1.71 FirefoxFirefox OperaOpera
Levelező kliensek:Levelező kliensek: Pegazus MailPegazus Mail MozillaMozilla The Bat, vagy:The Bat, vagy:
Webes levelező rendszereketWebes levelező rendszereket
Köszönöm a figyelmet!Köszönöm a figyelmet!