vírusok (jegyzetekkel ellátott változat)

A vrusok (http://infoerettsegi.blog.hu)

Vrusok

1


Az ember sokflt hall a szmtgpes vrusokrl

Az ember sokflt hall a szmtgpes vrusokrl. A legtbb ember nem igazn tudja, hogy mik a vrusok, mint ahogy azt sem tudja a legtbb ember, hogy mik azok a vrusok, amelyektl folyik az orra s harkol. Valami kicsi izk, amik bennnk szaporodnak, s mindenfle rosszasgot csinlnak. Meg elfertznek. Meg ilyesmi.

2


Az informatika rettsgi szbeli rszben te is hzhatsz vrusokkal kapcsolatos ttelt

Az informatika rettsgi szbeli rszben te is kaphatsz, akarom mondani hzhatsz olyan ttelt, amely a vrusokkal kapcsolatos. Mit kell tudnod neked a vrusokrl? Az informatika rettsgi rszletes kvetelmnyei kztt a vrusok az opercis rendszer s fbb feladatai tmakrn bell kaptak helyet:3.1.6. A szoftver s a hardver karbantart (segd)programjai: vruskeress s -irts, vruspajzs, lemezkarbantarts,

A hrom pont nem sajt agyszlemnyem, tnyleg gy szerepel benne. A kvetelmny kzpszinten:Ismerje a vrus fogalmt, a leggyakoribb vrusok terjedsi mdjt, valamint a vdekezs eszkzeit, mdszereit.

s ehhez nem tartozik semmifle kiegszts emelt szinten sem. A 2009. mjusi kzponti kzpszint tmakrkben ez gy jelenik meg:A szmtgpes vrusok fogalma, meghatrozsa s jellegzetes tulajdonsgaik. A szmtgp mkdsben bekvetkez vltozsok, amelyek alapjn vrustmadsra lehet gyanakodni. A vrusok trtneti fejldsnek nhny pldja. A vrusok fajti, kifejtett hatsuk, terjedsi mdjuk, vdekezsi mdszerek s eszkzk. Nhny hrhedt vrus krtev hatsnak ismerete. A vrusok elleni vdekezs mdszerei. Pldk a vruskeres s vrusirt programokra. (Vruspajzs, vrusdefnicis adatbzis.)

Az v emelt szint rettsgi tmakrei kztt mindez gy szerepel:Vrusirt program hasznlatnak ismerete. Vrusellenrzs a httrtrakon s a memriban. A vrusvdelem kialaktsa a szmtgpen. Aktv vrusvdelem. A vrusvdelem gyenge pontjai, hinyossgai (pl. emberi tnyez).

Vagyis ez utbbi esetben elkpzelhet, hogy ott helyben kapsz egy vrusellenrz programot, amit hasznlnod kell.a dihoz kapcsold tovbbi adalkok:http://www.oh.gov.hu/letolt/okev/doc/erettsegi_40_2002/informatika_vizsgakovetelmenyek.pdf http://www.oh.gov.hu/letolt/okev/doc/ketszintu_erettsegi_2009maj/info_oh_kozep_szobeli_tematika_2009maj.pdf http://www.oh.gov.hu/letolt/okev/doc/ketszintu_erettsegi_2009maj/info_emelt_szobeli_tematika_2009maj.pdf

3


mik a vrusok

milyen veszlyek

hogyan kzdhetnk

gy aztn az informatika rettsgire val felkszlsedet megknnytend, itt e prezentci, amelyben arrl elmlkednk pr percet, hogy

mik azok a szmtgpes vrusok, milyen veszlyeket hordoznak magukban, s hogyan kzdhet ellenk az egyszeri vizsgz.

4


Megtrgyaljuk, hogy mik a vrusok, s mikor gyanakodjunk vrusfertzsre

Elsknt a vrusok mibenltt tekintjk t, kitrnk a szmtgpes vrusok s hagyomnyos, biolgiai rtelemben vett vrusok kztti hasonlsgokra, majd felsorolunk nhny jelensget, amelyeket tapasztalva befszkeldhet agyunk egy nem is olyan tvoli zugba a gyan, hogy a szmtgpnk vrusos.

5


A bal oldalon egy vals vrus kpt ltjuk, a jobboldalin pedig egy szmtgpes vrust, pontosabban egy szmtgpes vrus forrskdjt: azt a programot, amelyet, ha lefuttatunk, akkor megtrtnhetnek a bajok. Nem tnnek hasonlnak, de azrt azok.

6


Mik ezek a hasonlsgok? Mindkett kpes szaporodsra, nmaga lemsolsra s tovbbterjesztsre. Mindkett egy gazdaszervezetben aktivizldik: az els esetben ez egy llny, pldul mi magunk, a msodik esetben egy szmtgp. Mindkt esetben a gazdaszervezet rdekei ellenben trtnik mindez: az igazi s a szmtgpes vrus is a gazdaszervezet erforrsait hasznlja a szaporodshoz: az igazi az anyagokat s az energit, a szmtgpes pedig a processzoridt, a memrit, a httrtrakat s a hlzati elrseket, svszlessget.

7


A szmtgpes vrusok, az igaziakhoz hasonlan nmagukrl kszlt msolatok segtsgvel fertznek. Ezek a msolatok klnbz, a vrusra jellemz mdszerek segtsgvel jabb gazdkba jutnak be, majd azok fltt is tveszik az uralmat. Fontos klnbsg, hogy az llnyeknek van eslyk sajt erejkbl legyzni a vrusokat a fertzs megtrtnte utn is, a szmtgpeknek viszont, ha egyszer megfertzdtek, mindenkpp kell gygyszer: valamilyen vrusirt program

8


Tovbbi fontos klnbsg, hogy az llnyeket fertz vrusokkal ellenttben a szmtgpes vrusok kztt nagyon gyakran van olyan, amely szinte semmilyen krt nem okoz, eltekintve egy olyan kicsi lassulstl (a szaporods sajt maguk lemsolsa miatt), amit a gp felhasznlja szre sem vesz. Tarts krokat okoz vrus a fehr hollnl is ritkbb: alig van olyan, hogy egy vrus miatt a gp rkre lebnul, megsketl, vagy meghal. (Mindez persze nem igaz a gpen lv opercis rendszerre ott van olyan helyzet, hogy csak az jratelepts oldja meg a problmt.)

9


A vrusfertzst sokflekpp megkaphatta a gpnk

J-j, ez mind szp, mondhatjuk, de mgis, hogyan lesz egy ilyen vrus, s fleg, hogyan jut be a szmtgpembe?

10


A vrusok programok: emberek rjk ket

A vrusok a szmtgpes programok egy klnleges fajtja. Ugyangy emberek rjk ket, mint a tbbi programot, csakhogy, amg a programok legtbbjvel valami tbb kevsb rtelmes dolgot lehet elvgezni, addig a vrus-programok leginkbb csak bajnak vannak.

11


mirt?

s hogy mirt r valaki vrust? Alapveten hrom f oka lehet. Vannak, akik csak tudsukat bizonytand rnak vrusokat. Az vk az a ktes rtk dicssg, hogy kpesek voltak kivitelezni egy nem is olyan egyszer feladatot. Egyre tbben vannak olyanok, akik vrusok rsval keresnek pnzt. Hogy miknt lehet ezzel pnzt keresni? Lssunk pr egyszer pldt. Az egyik legegyszerbben elkpzelhet az olyan vrus, amely tnzi a szmtgpnket jelszavak utn kutatva, majd a jelszt eljuttatja a vrus rjhoz. rhat valaki olyan vrusokat is, amelyek a szmtgphez kttt modemrl emelt djas telefonszmokat hvogat. A telefonvonal bevtelei persze a vrus rjhoz is vndorolhatnak. Elkpzelhet olyan vrus is, amely weboldalakat nyitogatnak meg. Mirt j ez? Pldul azrt, mert a weboldalakon a hirdetsek ra ugyanis arnyban ll az oldal ltogatottsgval, s gy a weboldalhoz hamisan magas ltogatottsgi mutatk alakthatak ki. Lteznek olyanok is akik krokozsi cllal rnak vrust. Csak mert mrgesek a vilgra, vagy esetleg, hogy befertzzk azt a cget, ahonna a mlt hten kirgtk ket, vagy hasonl.

12


Vrust brhonnan kaphatunk a bartunk adathordozjrl, az internetrl, vagy a helyi szmtgpes hlzatrl. A lnyeg, hogy a vrus ugyanazokat a csatornkat hasznlva jut el gpnkre, mint brmilyen egyb szmtgpes adat hiszen a vrus sem egyb, mint egy specilis adat: egy program.

13


A szmtgp viselkedse megvltozott vrusos lett??

A bemutat kvetkez rszben azt tekintjk t, hogy milyen jelekbl kvetkeztethetnk arra, hogy a szmtgpnket megfertzte egy vrus. Ezek a jelek mind olyanok lesznek, amit mindenki szrevehet. Fontos azonban leszgeznnk, hogy egyltaln nem biztos, hogy brmilyen jelt is szrevesszk a vrusfertzsnek. Ha egy vrus csak szaporodik s terjed, akkor az ltala okozott lassuls esetleg olyan kismrtk lesz a mai szmtgpek teljestmnyt figyelembe vve, hogy szre sem vesszk a lassulst s esetleg a vrusfertzst sem.

14


lassuls

A gp lassulsa taln a leggyakoribb tnet, amibl valaki vrusfertzsre kezd gyanakodni. A lassulst az okozza, hogy a vrus a gp erforrsait a sajt szaporodsra s terjedsre hasznlja. Mindazonltal ma mr ritka, hogy egyetlen vrus annyira lelasstan a gpet, hogy az gyant keltene. Ha a vrusok okozzk a lassulst, akkor, mire a lassuls szrevehet mrtk lesz, j esllyel soksok klnbz vrus fertzte meg a gpnket. A lassulst persze okozhatja ezer ms ok is, amelyekkel sokszor nehezen tudunk brmit is kezdeni. Lssunk hrom jellemz okot: Lehet, hogy pusztn annyirl van sz, hogy tl sok program fut egyszerre a gpnkn a httrben fut azonnali zenetkldk, az opercis rendszert frisstsei, mdialejtszk, keres- s indexel szolgltatsok, s hasonlk okozhatnak idegest lassulst. Sokszor a lassulsrt egyetlen alkalmazs a felels. Windows rendszereken a tl sok felteleptett s utbb eltvoltott program is okozhat lassulst. Hogy mirt? Tbbek kztt azrt, mert az eltvolts gyakran tkletlen.

15


ablakok nylnak s csukdnak

Programjaink vratlan megnylsa, vagy bezrdsa j esllyel vrusfertzst jelent. Ha azt ltjuk, hogy egy-egy ablak egy pillanatra megnylik, majd bezrul, akkor minden okunk megvan vrusok tevkenysgre gyanakodni. Fleg, ha olyan weboldalak nylnak meg, amelyekre vletlenl sem akartunk elltogatni. Ha azonban a programok vratlanul bezrulnak, de nmaguktl megnylni sosem szoktak, akkor persze nem ilyen egyrtelm a helyzet. A programok bezrulst ezer dolog okozhatja: egy hibsan felteleptett illesztprogram, egy hibs memriamodul, egy hibs alaplap, egy nem megfelelen belltott BIOS, vagy egyszeren az, hogy maga a program van rosszul megrva. Ha azonban azt ltjuk, hogy maga az opercis rendszer zrul be nha magtl, akkor megint csak rdemes gyanakodnunk. Fleg, ha a lells szablyosnak tnik, esetleg zenetet is kapunk, hogy mindjrt lell a gp.

16


e felbukkannakl t n nekHa llomnyok, ikonok, programok tnnek el, vagy jelennek meg, akkor szinte biztosan vrusunk van. Egy egy j pkerjtk, asztalon lv internetes hivatkozs, vagy hasonl nem krt jdonsg semmi jt nem jelent, s annak sem rlnk, ha dokumentumaink mennek vilgg. Egyb, vrusokra utal tnetek lehetnek mg: Megnyithatatlann vlnak llomnyaink. Valaki kattintgat a gpnkn: ltjuk mozogni az egeret, de nem mi mozgatjuk. Kinylik s becsukdik a DVD-olvas. zenetek jelennek meg, hangokat jtszik le a gp (beszl). Ezek a ltvnyos tnetek sosem voltak tl gyakoriak, manapsg meg kifejezetten ritkk. Mirt? Mert felhvnk a vrusfertzsre a figyelmet. Vannak olyan tevkenysgek, amelyeket nem ksr semmi lthat jelensg, de krt okoznak. Ide tartoznak a mr emltett llomny-eltnsek, de sok esetben a vrus jelszavakra vadszik a gpnkn, amit aztn mondjuk e-mailben elkld ide-oda.

programok

17


Szemrevtelezzk a vrusokat: hogyan terjednek, melyek a leghresebbek?

18


A vrusok

terjedse lehet sokfle

A vrusok terjedse sokfle lehet, s a szmtgpes vrusokat alapveten terjedsk mdja szerint szoks csoportokba sorolni. t csoportot klnbztetnk meg. Lssuk ket sorban.

19


Az llomnyvrusok a leghagyomnyosabb vrustpus

Az llomnyvrusok a leghagyomnyosabb vrustpus. A nevket azrt kaptk, mert nem kpeznek nll llomnyokat a szmtgp httrtrn, hanem egy mr ltez llomnyt mdostanak. A mdostott llomny a Windows opercis rendszereken ktfle szokott lenni. Az egyik csoport az indthat llomnyok, amelyeknek Windows rendszereken EXE kiterjesztsek. A vrus ebbe az llomnyba pl be, s amikor elindtjuk a programot, akkor a vrus is elindul. A program j esetben vgzi a dolgt s a vrus is: befertz tovbbi EXE llomnyokat. Ha a vrust bnn rtk meg, akkor persze a program sokszor fog kifagyni, elszllni ez a vrusnak nem j: hamar gyanakodni kezdnk. A vrus msik szmtgpre terjedshez ebben az esetben az kell, hogy a fertztt EXE kiterjeszts llomny tkerljn egy msik gpre. Ez manapsg leggyakrabban gy lehetsges, hogy a telept-llomny (vagyis az az llomny, amelyet el kell indtanunk, s amely a programot majd telepti a gpnkre) fertzdjk meg. gy azoknak a weboldalaknak, amelyek programokat knlnak letltsre, klnsen fontos vigyzniuk magukra: ha a weboldalt zemben tart gp fertzdik meg, akkor a fertztt telept-llomnyok letltsvel sok egyb gp is befertzdhet. A msodik jellemz vadszterlete az llomnyvrusoknak a Windows al rt programok DLL kiterjeszts llomnyai. Ezek sok szempontbl hasonltanak az EXE kiterjeszts llomnyokhoz is: programrszleteket trolnak, amelyeket ilyen-olyan megfontolsok miatt rdemesebb nll llomnyokban elhelyezni. Fontos, hogy llomnyvrus nem csak a fen ti kiterjeszts llomnyokban lehet, ezek csak a legjellemzbbek.

20


A boot-vrusok a boot-szektorokat fertzik meg

A msodik vrustpusba olyan vrusok tartoznak, amelyek nem vrjk meg, amg a szmtgpen az opercis rendszer elindul: igyekeznek mg az opercis rendszer elindulsa eltt aktivizldni. Ismertetskhz gondoljuk t, hogy miknt tltdik be az opercis rendszer. A rendszerindt mdiumot a BIOS-ban lltjuk be: ltalban a szmtgp merevlemezrl tltdik az opercis rendszer, de kivlaszthatunk hajlkonylemezt, CD-t vagy DVD-t, pendrive-ot, vagy hlzati bootolst is. A merevlemez, hajlkonylemez, CD/DVD, illetve a pendrive esetben a szmtgp az adathordoz elejn lv programocskt olvassa be, ennek a programnak a feladat a megmutatni, hogy a httrtron hol tallhat meg az opercis rendszer. A merevlemezek elejnek a neve Master Boot Record, a hajlkonylemezek Boot Sector, innen ered a vruscsoport neve. Nos, ha a gp indulsakor a httrtr elszr beolvasott rszn rgtn a vrust tallja meg a gp, akkor az indul el elsnek. A vrus ilyenkor biztostja magnak a helyet a gp memrijban, majd maga betlti az opercis rendszert is, hogy nehogy szrevegyk a fertzst. Kzben persze el tudja vgezni az aknamunkt: az opercis rendszert gy mdostja, hogy cskkenjenek az eslyeink a vrus felfedezsre. A boot-vrusok virgkorukat akkor ltk, amikor mg hajlkonylemezen hordoztk az emberek az adataikat egymshoz, ugyanis a legtbb gp akkoriban jraindulskor a hajlkonylemezen keresett elszr opercis rendszert. Ha benne hagytuk a fertztt lemezt a gpben, akkor a kvetkez indulskor mr meg is trtnt a baj. Tbb vrusellenrz ezrt figyelmeztet mind a mai napig, hogy a gp lelltsa eltt vegyk ki a hajlkonylemezt a gpbl.

21


A makrvrusok fleg a Microsoft Office termkcsald tagjait futtat gpeket veszlyeztetik

A makrvrusok fleg azokat a gpeket veszlyeztetik, ahol a Microsoft Office termkcsald, esetleg csak valamelyik rsze (Word, Excel, Powerpoint, stb.) teleptve van a gpre. Ezekben a programokban ugyanis kis bels programocskkat rhatunk, s ezeket a bels programokat nevezik makrnak. Pldul lehet Word-ben olyan programot rni, amely a mappa sszes dokumentumban automatikusan oldalszmozst llt be. Ilyenkor a Word egyenknt megnyitogatja a dokumentumokat, belltja az oldalszmozst, elmenti a vltozst, majd bezrja a dokumentumokat. Persze gy vrusokat is lehet rni: mondjuk olyat amely minden dokumentumban a z betk helyett berja a krumpli szt. A makrk magukban a dokumentumokban: pldul a Worddel ksztett szvegekben, az Excellel ksztett tblzatokban troldnak, gy ha ismeretlen helyrl kapunk egy Wordben rt szveget, rdemes vatosnak lennnk: lehet, hogy kis ajndk is lapul benne.

22


Nhny programot nem mindenki tekint

vrusnak.

?

A kt fennmarad vrustpust nem mindenki hvja vrusnak. Az egyik csoport a trjai vrusok, a msik a fregvrusok, amelyeket gy szoks trjai programoknak s fregprogramoknak is nevezni. Hogy mrt nem tekinti ezeket mindenki vrusnak? Mindjrt megltjuk.

23


A trjai vrusok hasznos programnak ltszanak.

A trjai vrusok a trjai falrl kaptk a nevket. A hagyomny szerint a grgk megptenek egy lovat, amiben elbjnak a katonk. Az ostromlott vros laki sajt maguk viszik a vrba a lovat, ahol aztn meg is trtnik a baj. A trjai vrusok szintn msnak ltszanak: manapsg ltalban valamilyen hasznos, vagy legalbb szrakoztat programocsknak lczzk ket ksztik: pldul valamilyen ingyenes jtknak: az aknakeres hatszzmilliomodik vltozatnak, vagy hasonlnak. Esetleg egy cukipofa kpernyvd lehet az lca. Az is lehet, hogy egyenesen vrusirtknt tlthet le a program, pedig maga a vrus. A lnyeg, hogy a felhasznl sajt maga tlti le s indtja el a programot, ami aztn, hasonlan a falbl kimsz grgkhz, nem egszen azt csinlja, mint amire szmtunk. Ltjuk teht, hogy a trjai vrusoknl nem valsul meg az nll terjeds: a felhasznlnak sajt magnak sokat kell tennie azrt, hogy fertzst kapjon. Az llomnyvrusoktl eltren ltalban nll llomnyknt vannak jelen a httrtron.

24


A fregvrusok a szmtgpes hlzatokon nllan terjednek

A fregvrusok elnevezse a trjai vrusokhoz hasonlan egy metaforn alapul: a frgek mindenen trgjk magukat hasonlan a fregvrusokhoz. Ezek a vrusok az opercis rendszer, vagy valamely rajta futtatott program hibjt hasznljk ki, s a hlzaton nllan terjedve gprl gpre haladnak. Ebben az esetben teht abban klnbznek a hagyomnyos hrom vrustpustl, hogy nem kell llomnyokat neknk tvinni egyik gprl a msikra: a fertzs a szmtgpes hlzaton nllan trtnik. Ha fregvrust szeretnnk kapni, elg, ha az internetre kitesznk egy service pack nlkli Windows XP-t. Nem kell betennnk semmilyen adathordozt, nem kell elmenni egyetlen weboldalra, semmit nem kell csinlnunk. A fertzs csak id krdse. ltalnos tvhit, hogy a vrusok ellen tzfalakkal vdekeznk. A tzfalak a nem kvnt hlzati forgalom korltozsra, kizrsra valk. Ha tgondoljuk, ltjuk, hogy a tzfalak az t alapvet vruscsoport terjedsben egyedl a fregvrusok ellen nyjthatnak segtsget.

25


Az t alaptpus

Megbeszltk ht az t alaptpust. A mai vrusok azonban ritkn elgszenek meg ennyivel. Sok esetben fordul el, hogy tbb terjedsi md keverkt alkalmazzk. Ezen fell van pr rdekes technika, amivel a vrusok felfegyverkezhetnek. A felismersket megneheztend, lteznek gynevezett lopakod vrusok, amelyek igyekeznek gy mdostani az opercis rendszert, hogy az nehezebben vehesse szre jelenltket. Mirl van sz? Pldul tudjuk, hogy a Jegyzettmb programot magban rejt notepad.exe llomny 69632 bjt (Windows XP-n). Ha ezt egy llomnyvrus megfertzi, akkor nagyobb lesz. De ha a vrus gyes, akkor figyel, s ha a Windows-ban le akarjuk krdezni a notepad.exe mrett, akkor hamis rtket mond a Windows-nak, s gy esetleg nem vesszk szre a jelenltt. Szintn a felismerst nehezti, ha a vrus nem mindig egyforma: ilyenek a metamorf vrusok, amelyek kpesek a sajt kdjuk mdostsra.

26


A vrusok kztt is vannak

hresek.

A vrusok kztt is vannak hresek. A kvetkez hrom dia hrom igen hres vrust mutat be.

27


Elk Corner 1982. az egyik legkorbbi hres boot-vrus

Az els vrus igen rgi darab. Az Apple cg Apple II. gpn kszlt, akkor, amikor jelen sorok rja mg vodba jrt. Boot-vrusrl van sz, olyanrl, amely berta magt a fertztt hajlkonylemez boot-szektorba, s gy terjed. A vrus rja is ismert, akkoriban pp tizent ves volt, s gimnziumba jrt. A vrus minden a gp minden tvenedik indulsakor egy korltozott irodalmi rtkkel br versikt jelentett meg a kpernyn, egyb galdsgot nem mvelt. Igazn attl lett hres a vrus, hogy ez az egyik els szles krben elterjedt vrus. A vrus programkdja letlthet, pldul innen:http://www.skrenta.com/cloner/clone-src.txt

28


Melissa 1999. a hrhedt interenet-dugt makr-freg

A Melissa volt taln az a vrus, amely igazn felhvta a figyelmet a makrvrusok kpessgeire. A vrus egy pnteki napon aktivizldott, s f tevkenysge abbl llt, hogy a Microsoft Outlook programmal levelezk esetben el tudta kldeni magt a cmjegyzk els 50 szerepljnek. Ez rkon bell oda vezetett, hogy az internet szinte bedugult a rengeteg levltl. A Microsoft, s pr egyb cg egyszeren lezrta a levelezst, a vrus ugyanis olyan gyorsan terjedt, amit addig nem ltott a vilg. Szakrtk szerint, ha nem pp pnteken aktivizldott volna a vrus, vagyis olyankor, amikor gyis kt szabadnap jtt, s a vrusmentestst sok helyen el tudtk vgezni htfig, akkor a fertzs sokkal nagyobb lett volna. A vrus azrt szmt fregvrusnak is, mert a szmtgpes hlzaton nllan tudott terjedni. A vrus programkdja letlthet, pldul innen:http://www.havenofbliss.com/melissa.txt

29


Storm-worm 2007. a zombi-hadat kialakt trjai vrus

A 2007. v volt az, amelyben kialakult az addigi idk leghresebb zombigp-hlzata (ms szval: botnet) igazn elhreslt. A zombi sz az informatikban olyan szmtgpet jelent, amelyet a rendes felhasznl mr csak rszben hasznl, nem is tudja, de sutyiban, tvvezrelve a gp mr valaki msnak dolgozik (vagyis olyan a gp, mint az nll akarattal mr nem rendelkez lhalottak, akiket a gonosz varzsl vezrel az akaratval). A gpek zombiv alaktsa sok esetben gy trtnt, hogy a kedves felhasznl valamilyen levlszemetet kapott, amelyben valamilyen csalogat internetes hivatkozs volt. A hivatkozsra kattintva a felhasznl a levlszemt grete szerint olyan weboldalakra juthatott, ahonnan ingyen zenket, az pp zajl sportesemnyekrl tudst programokat s hasonlkat tlthetett le. A letlttt program trjai vrus volt: a Storm-worm, ami aztn tvette a gp fltt az uralmat. A zombik kt jellemz tevkenysge az volt, hogy rszint jabb levlszemt-hullmot hoztak ltre: k maguk is kldtek olyan e-maileket, amelyek segtettek egyre tbb gpet bekapcsolni a hlzatba, a msik tevkenysg pedig abban jelentkezett, hogy internetes tmadsokat gynevezett szolgltats-megtagads tpus tmadsokat intztek klnbz internetes szerverek ellen. Az adathalszat (pr dia mlva szlunk errl) is olyasmi volt, amire a zombigpeket hasznltk a fertztt gpeket irnyt szmtgpes szakemberek. A zombi-hlzat virgkorra jellemz, hogy becslsek szerint egyedl 2007. augusztus 22. napjn tvenhtmilli levelet kldtt szt. Ms becslsek szerint akr tvenmilli fertztt gp is tartozhatott a zombihlzatba, br a legtbb becsls szerint az egy-kt millis szm kzelebb ll a valsghoz. A 2008. els negyedbl szrmaz becslsek szerint az akkori levlszemt minden tdik levelt ez a zombi-hlzat kldte, br ez az idszak sokak szerint mr cskken levlforgalmat generlt, s lassan a Strom-nak is bealkonyulni ltszik. Vannak azonban helyette msok. A Storm-botnetrl bvebben:http://en.wikipedia.org/wiki/Storm_botnet

30


Tenni akarok a szmtgpem s az adataim vdelme rdekben!

Most, hogy tudjuk, hogy mik a vrusok, s van fogalmunk arrl is, hogy milyen veszlyeket rejthetnek magukban, feltehetleg szndkszunk tenni valamit ellenk. A bemutat harmadik rszben azt vizsgljuk meg, hogy milyen lehetsgeink vannak a vdekezsre.

31


ne nyiss meg mindenflt

sz nlkl.

Az els szably, hogy ne nyitogassunk meg mindent. Nem biztos, hogy minden e-mailben fontos informci van. Nem biztos, hogy minden ingyenes programot rdemes letlteni. Nem biztos, hogy a haverunk pendrive-ja, mp3-lejtszja nem hordoz vrust.

32


gondolkodj,

mieltt kattintasz

A felbukkan ablakok nagy rszre a legtbb felhasznl gondolkods nlkl nyomkodja az OK-t. Lehet, hogy pp egy trjai vrus letltst okztuk le. Lehet, hogy most krdezte meg a Windows, hogy tnyleg ki akarom e nyitni a tzfalat. Az azonnali zenetkldk fknt pedig pp a legelterjedtebb, az MSN (vagy jabban Live) Messenger program is vlhatnak a vrusok terjedsnek eszkzv. Itt fknt rvnyes a szably: mg akkor sem rdemes programot elfogadni, ha a bartunk kldi. Lehet, hogy egy vrus kldi tovbb magt a bartunk gprl. Az ellenrzs egyszer: ha jn valami a havertl, ugyan krdezznk mr r, hogy tnyleg kldi-e.

33


amiben nem bzol, azt

ne tltsd leHa ismeretlen oldalrl jn a program, vagy esetleg file-cserlvel tltjk le, akkor senki nem garantlja, hogy nem jn vele a vrus is. Ht ennyi.

34


ki akarn pont az

? ?

n

? ?

gpemet megfertzni?Sokan persze arra gondolnak: mirt pont az n gpemet akarn valaki befertzni? Ht, a Storm-worm esetben lttuk a pldt. Ha a vrusunk naponta kt-hromszor megnyit egy weboldalt, akkor annak a weboldalnak a ltogatottsga megn, s tbbet lehet krni a rajta megjelen hirdetsekrt. Ha a gpnk egy fertzs miatt jjelente vagy akr csak egy jjel a rkttt faxmodemmel felhv egy emelt djas (Magyarosrzgon 06-90-nel kezdd) telefonszmot, akkor azt megrzi a pnztrcnk s a vrus rjnak a pnztrcja is. Ha valaki a mi gpnkre bejutva tri fel valamelyik cg honlapjt, nlunk fognak csngetni a rendrk. Ha a jelszavunkat megszerezve tutaljk a bankszmlnk tartalmt Dl-Amerikba, akkor esetleg elszegnyednk. Szval a Mirt pont n lennk az ldozat? krds hibs hozzllst tkrz.

35


teleptsnk vrusirtt!

Sajnos az elbb felsorolt intzkedsek egyttesen sem elegendek a vrusfertzs elkerlshez. Nagyban javulnak az eslyeink, ha valamilyen vruskeres programot teleptnk a gpnkre. Vlasztani van mibl. 100%-os biztonsg nem ltezik. Az eslyeink csak javulnak, de nem mehetnk biztosra. Vrusellenrzt nem elg akkor telepteni, amikor mr megtrtnt a fertzs. Elkpzelhet ugyanis, hogy a vrus elg gyes ahhoz, hogy elbjjon a vrusellenrz ell, vagy ha elbjni nem is tud, de esetleg meg tudja akadlyozni a vrusellenrzt abban, hogy az semlegesthesse a vrust. rdemes teht az opercis rendszer teleptse utn azonnal a vrusellenrzt telepteni. Hogy melyiket? Erre nem mernk vlaszolni, de rdemes tudnunk, hogy a vrusirtkbl is van olyan, ami ingyenes, nylt forrs (ClamAV, illetve Windowson ClamWin), s olyan is, amelyek otthoni hasznlatra ingyen vannak (AVG, Avast, Avira). Mit tesz a vrusellenrz a vrussal? Ht sok dolog lehetsges. A legegyszerbb, ha a vrus nll llomnyban van. Ekkor baj nlkl trlhet az llomny. Ha valamely szmunkra a fontos llomnyban van a vrus, akkor a trls nem olyan j tlet. Ilyenkor esetleg vrusmentesthet az llomny, vagyis a vrusirt trlni tudja a vrust, az eredeti llomnyt visszakapjuk. Ha a vrusellenrznk erre nem kpes, akkor esetleg lehet rtelme annak, hogy az llomnyt a vrusirt egy elklntett helyre, vagyis karantnba helyezi, s remnykednk benne, hogy a program kvetkez verzija mr kpes lesz a mentestsre. A kvetkez verzi gondolata el is vezet bennnket ahhoz a gondolathoz, hogy: -Ok, ok, a vrusellenrzm minden olyan vrussal elbnik, amit eddig a pillanatig rtak. De mi a helyzet holnap?

36


vrusdefincis llomnyokat tltnk le

Nos holnap, amikor bekapcsoljuk a gpnket, mr j vrusok is vannak. Azonban a gpnkre teleptett vrusellenrz program holnap megprblja frissteni magt. Hogy hogyan? Manapsg leginkbb az interneten keresztl. Szempontunkbl a legtbb vrusellenrz kt rszre oszthat: (1) a program, s (2) a vrusdefincis adatbzis, vagyis az a rsz, amiben benne van, hogy egy-egy vrus mirl ismerhet fel, s hogy miknt lehet vele elbnni. A gpnkn lv vrusellenrzben pedig bellthat, hogy mekkora idkznknt nzze meg, hogy van-e mr a kszt internetes szerverein jabb vrusdefincis adatbzis. Ha van mr j, akkor azt letlti, s a tudsa ismt napraksz. Ritkbban ugyan, de az is elfordul, hogy maga a fprogram frissl.

37


vruspajzs mindig figyel a vrusokra

internet

A mai vrusellenrzknl elvrs, hogy ne csak a mr a gpen lv vrusokat talljk meg, hanem akadlyozzk meg, hogy a vrus bejuthasson a gpre. A vrusellenrzk ezt gy oldjk meg, hogy folyamatosan dolgoznak, s a belltsuktl fggen ellenriznek minden olyan llomnyt, amelyhez az opercis rendszer hozznyl. Ennek a vdelemnek a neve ms s ms lehet. Van amelyik program rezidens vdelemnek nevezi, msok on-access-scan-nek, vagyis elrskori ellenrzsnek, az rettsgi tmakrk pedig vruspajzsnak, br ers a gyanm, hogy az egykor hres, mra kevsb ismert McAffee cg egyik VirusShield nev termke miatt...

38


heurisztikus elemzs

?

-Rendben, akkor ezek szerint a tegnapi vrusokat akr ismerheti is a gpem, hiszen tz perce tltttem le a vrusdefincis adatbzist. - mondhatjuk. Mi a helyzet azokkal a vrusokkal, amelyeket kt perce rtak? Ezekkel szemben sem vagyunk teljesen vdtelenek, ha a vrusellenrznk rendelkezik gynevezett heurisztikus elemzs funkcival aminek persze a mi vrusirtnkban nem felttlenl ez a neve. A heurisztikus elemzsnek az a szerepe, hogy a vrusellenrzt kpess tegye olyan vrusok megtallsra is, amelyek nem szerepelnek a vrusdefincis adatbzisban. Az alapelv az, hogy az j vrus valamennyire hasonlthat a mr ismert vrusokra. Vagyis, a vrusellenrz valahogy gy gondolkodik: -Nocsak. Talltam valamit, ami olyan, mint egy vrus. Nagyon hasonlt. Akkor alighanem vrus. Ha a heurisztikus elemz tall valamit, akkor persze nem biztos, hogy vrust tallt. Ilyenkor a jobb vrusellenrzk jelentst kldenek a cgknek az interneten t, s addig pldul karantnba teszik a gyans llomnyt. Ha minden jl megy, akkor pr napon bell kiderl, hogy tnyleg vrus-e a gyans llomny.

39


nem csak a vrusok jelentenek

veszlyt

Az utols pr din arra igyeksznk rmutatni, hogy ha a vrusok ellen a leghiperszuperebb vrusirtval rendelkeznk is, azrt mg korntsem vagyunk vdve az internet fenyegetsei ellen. Pr olyan veszlyrl tesznk emltst, amely ellen a vrusirtk semmire sem jk.

40


a kzvetlen internetes tmadsok ellen

tzfallalvdekeznk

ltalnos tvhit, hogy a tzfalak a vrusok ellen vdenek. Nos, maximum egyetlen csoportjuk, a frgek ellen. Ne feledjk, hogy a frgek voltak azok, amelyek a helyi hlzat, vagy az internet segtsgvel nllan terjednek gprl gpre. A tzfalak pedig ugyebr a hlzati forgalmazs szablyozsra valk, pldul a frgeknek is betehetnk velk. A tzfalak elssorban mgsem a vrusok ellen kszlnek, hanem a kzvetlen internetes tmadsok ellen, vagyis olyan tmadsok ellen. Ezekrl most nem beszlnk, s ha vrusos ttelt hzol, akkor neked sem kell: nem tartozik mlyebben a ttelhez.

41


fishing halszat

phishing adathalszat

Az emberi figyelmetlensget is kihasznljk az adathalszok. Lthatjuk, hogy a tevkenysg eredeti angol nevn kiejtve teljesen megegyezik a halszat szval, a nv egyszeren remek, s magyarra igazbl nem fordthat le. Tipikus plda, amikor szemlyes adatok megadsra kr egy levlszemt, amely ltszlag a bankunktl jtt, s tartalmaz egy hivatkozst. Kattints ide, add meg a felhasznlnevedet, jelszavadat, stb. Ht, a fenti bangkoki bank vletlenl pp egy magyar oldalrl jtt le a fnykp ksztjnl. Figyeljk meg az URL-t, s csodlkozzunk. A jelszavunk megadsa utn a hamis oldal zemelteti mr be is lphetnek az igazi szmlnkra, s mr el is utaltk a vagyonunkat. -Na j, de mirt rnm be a bngszbe a hamis weboldal cmt? - krdezhetjk. Ht, nem kell bernunk.

42


a legpitbb trkk is sokszor mkdik

Elg, ha szpen elmegynk egy oldalra, valami olyasmire, mint amilyen a fels ablakban van. Mieltt rkattintannk a hivatkozsra, vessnk egy pillantst a piros nyllal jelzett llapotsorra. Hova visz a hivatkozs valjban?! Az als ablakban lthat, hogy nem tl nehz megrni egy ilyen, hamis hivatkozst tartalmaz weboldalt, vagy e-mailt.

43


figyeljnk oda ht

Az utols dihoz rve levonhat teht a tanulsg: j, ha a vrusellenrz mellett ezer szemmel figyelnk.

44


Hlmat fejezem a kvetkez szemlyeknek, hogy lehetv tettk kpeik felhasznlst a bemutat elksztshez:

45


lintmachine, http://flickr.com/photos/lintmachine/2251514423/

Mr. Theklan, http://flickr.com/photos/theklan/638959301/

dkscully, http://flickr.com/photos/dkscully/2291816634/

xiaming, http://flickr.com/photos/xiaming/210839198/

Syd Daoust, http://flickr.com/photos/sdphotography/382059323/

twenty_questions, http://flickr.com/photos/twenty_questions/2192450204/

miss_rogue, http://flickr.com/photos/twenty_questions/2192450204/

.Nena., http://flickr.com/photos/fallen/567582934/

46


kellogg, http://flickr.com/photos/akellogg/115926305/

Emily, http://flickr.com/photos/modernemily/11195018/

Joe Hatfield, http://flickr.com/photos/jhat/80371024/

s,B - Michael Brenton, http://flickr.com/photos/smallcommabig/322381484/

M. Keefe, http://flickr.com/photos/mkeefe/3123775954/

cliff1066, http://flickr.com/photos/nostri-imago/2914145728/

Darren Hester, http://flickr.com/photos/ppdigital/2054988302/

nathanrandall, http://flickr.com/photos/nathanrandall/1977856072/

47


CraigPJ, http://www.sxc.hu/profile/CraigPJ

hisks, http://www.sxc.hu/photo/1102894

aubergene, http://flickr.com/photos/aubergene/1323351178/

Quiplash!, http://flickr.com/photos/quiplash/61309174/

lanx1983, http://flickr.com/photos/lanx/274271718/

baldiri, http://flickr.com/photos/baldiri/1946183935/

GoGap, http://flickr.com/photos/gogap/253649673/

Ben McLeod, http://flickr.com/photos/benmcleod/56388807/

48


smohundro, http://flickr.com/photos/smohundro/2423530387/

Storm Crypt, http://flickr.com/photos/storm-crypt/2894318763/

Florian Eckerstorfer, http://flickr.com/photos/florianeckerstorfer/1870727397/

ChicagoSage, http://flickr.com/photos/sage/2143086954/

Grant Neufeld, http://flickr.com/photos/grantneufeld/52927582/

Ian Hampton, http://flickr.com/photos/ianhampton/1197107567/

FlickrJunkie, http://flickr.com/photos/rabih/102552869/

sajt, http://www.flickr.com/photos/30650763@N03/3171766216/

49


mayhem, http://www.flickr.com/photos/mayhem/2939259129/

Ambuj Saxena, http://www.flickr.com/photos/ambuj/345356294/

Chengings, http://www.flickr.com/photos/chengings/528953632/

vissago, http://www.flickr.com/photos/vissago/2915163825/

Cayusa, http://www.flickr.com/photos/cayusa/1209794692/

Bairo, http://flickr.com/photos/bairo/428217774/

Howard.Gees, http://flickr.com/photos/cyberslayer/353045426/

50


raerek (http://infoerettsegi.blog.hu) 2009.

Ez a bemutat a Creative Commons Nevezd meg!-Ne add el!-gy add tovbb! 2.5 Magyarorszg licenc alapjn hasznlhat fel. http://creativecommons.org/licenses/by-nc-sa/2.5/hu/

51

vírusok (jegyzetekkel ellátott változat)

Documents