Automatikus vírusvédelmi megoldások az Interneten



Hasonló dokumentumok
Automatikus vírusvédelmi megoldások az Interneten

Történet. Számítógépes vírusok. Mik a vírusok? A vírusok felépítése

FÜGGETLEN ANTI-VÍRUS TESZTELÉS Dr. Leitold Ferenc Veszprog Kft., Veszprémi Egyetem Információs Rendszerek Tsz.

IV. Számítógépes vírusok és védekezési módszerek

MIT IS MONDOTT? HOGY IS HÍVJÁK? ELIGAZODÁS A KÁRTEVŐK VILÁGÁBAN

Számítógépes vírusok. Barta Bettina 12. B

17. témakör Vírusok - Víruskeresés

Eligazodás a kártevık rengetegében

Vírusok. - önreprodukcióra képes, károkat okozó program

1982-ben az akkor 15 éves amerikai diák, Rich Skrenta úgy döntött, hogy megvicceli ismerőseit, ezért írt egy programot. A kilencvenes évek közepén,

SZÁMÍTÓGÉPES KÁRTEVŐK (MALWARE)

MONDD, TE KIT VÁLASZTANÁL? VÍRUSVÉDELMI RENDSZEREK MINİSÍTÉSE ÉS TESZTELÉSE

Vírusok és kártékony programok A vírus fogalma, típusai Vírusirtás Védelem

SZOFTVER = a számítógépet működtető és az azon futó programok összessége.

Az operációs rendszer. Az operációs rendszer feladatai, részei, fajtái Az operációs rendszer beállítása

A Microsoft terminálszolgáltatás ügyfél oldali hardverigényének meghatározása

Programozás alapjai Bevezetés

Tét Város Polgármesteri Hivatal

Számítógép kártevők. Számítógép vírusok (szűkebb értelemben) Nem rezidens vírusok. Informatika alapjai-13 Számítógép kártevők 1/6

Az operációs rendszer fogalma

VBA makrók aláírása Office XP/2002/2003 esetén

A Clipper evolúciója

Informatika A versenyzők a feladatlapot mindkét kategóriában a II. kategória első fordulójának kivételével csak elektronikus formában kapják meg

ELSŐ LÉPÉSEK A SZÁMÍTÓGÉPEK RODALMÁBA AMIT A SZÁMÍTÓGÉPEKRŐL TUDNI ÉRDEMES

SZOFTVER Melyik operációs rendszer? a) DOC b) Mac OS c) Windows 2000 d) BeOS

Informatika Informatika

Szoftver alapfogalmak

A vírus olyan program, amely önmagáról másolatokat készít és terjeszt, miközben rejtőzködik. Egy idő után kárt okozhat a számítógépes rendszerben.

14. óra op. rendszer ECDL alapok

Kiegészítő témakörök: Táblázatkezelés történeti áttekintés

SZOFTVEREK (programok)

Alkalmazások típusai Szoftverismeretek

Vírusvédelmi szabályza. zabályzat

VBA makrók aláírása Office 2007 esetén

Munka a fájlokkal. Az általánosan használt fájltípusok. Programfájlok. Adatfájlok

Kaspersky Anti-Vírus

Operációs rendszerek. Elvárások az NTFS-sel szemben

DIGITÁLIS ALÁÍRÁS HASZNÁLATA A MICROSOFT OFFICE2000-BEN A MAKRÓK VÉDELMÉRE

Hardverkarbantartó programok

A KÖZÉPSZINTŰ ÉRETTSÉGI VIZSGA INFORMATIKA TÉMAKÖREI: 1. Információs társadalom

TestLine - zsoldosbeatesztje-01 Minta feladatsor

Számítógépes alapismeretek 2.

TestLine ae01tesztje-01 Minta feladatsor

TestLine ae01tesztje-01 Minta feladatsor

TestLine - kkvtestnk01tesztje-01 Minta feladatsor

TestLine - kkvtest02tesztje-01 Minta feladatsor

ÉRETTSÉGI TÉTELCÍMEK 2018 Informatika

Az MS Access adatbázis-kezelő program

Processzusok (Processes), Szálak (Threads), Kommunikáció (IPC, Inter-Process Communication)

A Hypertext. Dr. Nyéki Lajos 2019

Az ESET NOD32 program 2.7 verzió bemutatása a FU rootkit felismerése közben. Sicontact Kft

erettsegizz.com Érettségi tételek

Informatikai biztonság a kezdetektől napjainkig

NOLLEX Nemzetközi Kft. Magyarországi kizárólagos disztribútor.

OpenOffice.org irodai programcsomag

13. óra op. rendszer ECDL alapok

Operációs rendszerek. A védelem célja. A fenyegetés forrásai. Védelmi tartományok. Belső biztonság. Tartalom

Kiadványszerkesztő Kiadványszerkesztő

USB keylogger PRO. Használati útmutató. A szállító elérhetősége:

Vírusok típusai, működési elvük

Informatika szóbeli vizsga témakörök

TestLine - Szoftverek, vírusok fakt Minta feladatsor

Folyamatirányítás labor 4. mérés Gyártósori szállítószalag modell irányítása Modicon M340 PLC-vel. Feladat leírás

A számítógép egységei

Mértékegységek a számítástechnikában

13. Fájlformátumok. Schulcz Róbert Madarassy László 13. Fájlformátumok v

EGYSZERŰSÍTJÜK AZ IRODAI MUNKÁT.

Operációs rendszerek

A vírus olyan program, amely önmagáról másolatokat készít és terjeszt, miközben rejtőzködik. Egy idő után kárt okozhat a számítógépes rendszerben.

MALWARE: VÍRUSOK ÉS MÁS KÁROKOZÓK JELLEMZÉSE,

Mobil vírusirtók. leírása. i-store.hu Szoftver webáruház

HASZNÁLATI ESET DIAGRAM (USE CASE DIAGRAM)

OpenCL alapú eszközök verifikációja és validációja a gyakorlatban

Számítógépes alapismeretek 1.

Informatikai biztonság alapjai

A GeoEasy telepítése. Tartalomjegyzék. Hardver, szoftver igények. GeoEasy telepítése. GeoEasy V2.05 Geodéziai Feldolgozó Program

Utolsó módosítás:

A GeoEasy telepítése. Tartalomjegyzék. Hardver, szoftver igények. GeoEasy telepítése. GeoEasy V2.05+ Geodéziai Feldolgozó Program

Az Ön kézikönyve SAMSUNG CLP-770ND

A roma közösségekben dolgozó védőnők munkafeltételeinek javítása című projekt OKTATÁSI ANYAG

A Számítógépes alapismeretek témakör oktatása. Dr. Nyéki Lajos 2019

Indítsuk el a PowerPoint 2010 alkalmazást, majd a Nézet/Mintanézetek/Diaminta paranccsal lépjünk be a minta nézetbe.

Teljes vírusirtás a NOD32 Antivirus System segítségével. vírusirtási útmutató

Rövid útmutató az első lépésekhez

A 10/2007 (II. 27.) 1/2006 (II. 17.) OM

A 10/2007 (II. 27.) 1/2006 (II. 17.) OM

file://d:\melinda\2010_11_ii.félév\info1#\elektronikus számonkérés\~1~.xml

Gyakori Kérdések. VMC 870 adatkártyához

Operációs rendszerek - bevezető

A legfontosabb DOS parancsok

INFORMATIKA Felvételi teszt 1.

A CAD szoftver eszközei

A tömörítési eljárás megkezdéséhez jelöljük ki a tömöríteni kívánt fájlokat vagy mappát.

PolyVision illesztőprogram Kibocsátási megjegyzések 2.2. változat

Operációs rendszerek. Az Executive és a kernel Policy és mechanizmusok szeparálása Executive: policy - objektum kezelés Kernel: mechanizmusok:

Java-s Nyomtatványkitöltő Program Súgó

Informatikai biztonság, IT infrastruktúra

PDF DOKUMENTUMOK LÉTREHOZÁSA

Adatbiztonság és adatvédelem

Ismerkedés az Office 2007 felhasználói felületével

Átírás:

Automatikus vírusvédelmi megoldások az Interneten Dr. Leitold Ferenc (fleitold@veszprog.veszprem.hu) Erdélyi Gergely (dyce@veszprog.veszprem.hu) Laczkó Gábor (tiamat@veszprog.veszprem.hu) (Az F025166 sz. OTKA támogatás segítségével.) A számítógépes vírusok manapság egyre nagyobb mértékben veszélyeztetik a számítógépet használók munkáját. A vírusok elleni küzdelem az újabb operációs rendszerek (Windows 95, Windows 98), illetve makrózási lehet(ségeket biztosító alkalmazások (Word for Windows, Excel for Windows, ) megjelenésével egyre nagyobb feladatot ró a vírusellenes szakemberekre. Tovább nehezíti a problémát a vírusok folyamatosan növekv( száma, illetve az is, hogy a vírusok készít(i újabb és újabb technikákat vetnek be. Ezzel párhuzamosan a vírusellenes kutatások is újabb módszereket dolgoznak ki. Annak érdekében, hogy a vírusvédelem a még ismeretlen vírusokra is kell( gyorsasággal tudjon reagálni az Interneten keresztüli folyamatos kapcsolattartás jelenthet megoldást. Bevezetés Az els( számítógépes vírus megjelenése óta a vírusok egyre nagyobb mértékben veszélyeztetik a számítógép-felhasználók munkáját. A vírusok elleni küzdelem az exponenciálisan növekv( vírusmennyiség miatt egyre nagyobb feladatot ró a vírusirtókra. További gondot jelent, hogy a számítógépek fizikai korlátai (memória) határt szabnak a nagy számú vírus-információ tárolásának Nagyon nagy szükség van ezért olyan módszerek kidolgozására, amelyek a vírusvédelmet - a nagy vírusszám ellenére - hatékonyan képesek megoldani. Vírusfertzési technikák Az els( vírusok tulajdonképpen nem tartalmaztak különösebb álcázási technikákat, egyszer2en csak fert(ztek. Általában az eredeti hordozó programot sem tették tönkre, az visszaállítható maradt. El(fordult, hogy a vírus rezidensen a memóriába került, de az is, hogy a szaporodását a memóriában maradás nélkül biztosította. Az el(bbi esetben a vírus lényegesen gyorsabban volt képes terjedni, de könnyebben fel lehetett fedezni. Ezzel szemben az utóbbi esetben a vírus ugyan lassabban terjedt, de a felfedezése körülményesebb volt. A következ( csoportba tartozó vírusokat két f( osztályba sorolhatjuk. Egyik osztályukra az jellemz(, hogy a lappangási idejük alatt nehezen felfedezhet(ek, mivel ezen vírusok már lopakodó (stealth), illetve polimorf jelleg2ek. Lopakodó vírusok: Jellemz(jük, hogy megpróbálnak úgy terjedni, hogy a felhasználó csak nagyon nehezen vehesse észre a vírus jelenlétét. Ennek érdekében például a file végéhez f2z(d( vírusok esetén, ha azok már bekerültek a memóriába akkor a file-ok eredeti hosszát mutatják, néha még a file eredeti tartalmát is szimulálják. A lopakodó boot-vírusok pedig az eredeti boot-szektort mutatják meg, elfedve vele jelenlétüket.

Polimorf vírusok: Ezek a vírusok nem úgy próbálnak elbújni, hogy szimulálják a gép fert(zésmentes állapotát, hanem önmagukat titkosítják, változtatják megnehezítve ezzel felismerésüket. A másik osztály a felülíró (overwrite), gyorsan pusztító vírusok. Ezek már a hordozó programot is tönkreteszik, így jelenlétük azonnal felfedezhet(, de ekkor már többnyire a vírus az állományok nagy részét megfert(zte, azaz tönkre is tette. Felülíró, gyorsan pusztító vírusok: A felülíró vírusok általában azzal okoznak adatveszteséget, hogy a fert(zés el(tti állapotot nem tárolják el, hanem egy az egyben felülírják a megfert(zend( programterületet. Ebbe a kategóriába tartoznak a legrövidebb vírusok, hiszen nekik nem kell az eredeti állapotot szimulálniuk. A vírusok újabb csoportja azt használja ki, hogy a DOS-nak a fentebb említett módokon túl még elég sok kiskapuja van a vírusok számára. Így egy-egy új vírus úgy tud a legkönnyebben megélni, ha olyan módszerrel szaporodik, amit az eddigi vírusvédelmek nem ismernek. CEB vírusok: Az újabb típusú vírusok legszemléletesebb példája a CEB (companion) vírusok megjelenése volt. A CEB vírusok m2ködése azon az elven alapszik, hogy a DOS a futtatható állományokat prioritási sorrendben kezeli. Amennyiben a felhasználó egy program indításánál a kiterjesztést nem adja meg, úgy a DOS a prioritási sorrendben az els( létez( programot indítja. Ez a prioritási sorrend a kiterjesztések alapján:.com,.exe,.bat. Így egy CEB vírusnak semmi mást nem kell tennie, mint keresni egy.exe vagy.bat kiterjesztés2 file-t és ugyanolyan néven, de.com (vagy.exe) kiterjesztéssel lemásolnia magát. Ha ezek után az újonnan létrehozott.com állományt Hidden (rejtett) jelz(vel látja el, akkor az a DIR parancsra nem jelenik meg, vagyis a vírus láthatatlan! Mivel a vírus terjedése egy egyszer2 COPY parancsnak fogható fel, nem keltette fel a vírusvédelmek gyanúját sem. Device vírusok: A device vírusok a device driver-ek m2ködésébe avatkoznak be, a DOS legalsó szintjén dolgoznak, így a vírusvédelmek többsége alá kerülnek. Mivel az operációs rendszer magjába ágyazzák be magukat szinte tökéletesen tudnak lopakodni. ANSI bombák: Ezek a vírusok azt használják ki, hogy a DOS által a képerny(re kiírt szöveg tartalmazhat olyan vezérl( kódokat amelyek a billenty2zetet átdefiniálhatják, így egy egyszer2 TYPE parancs kiadása után egy billenty2lenyomásra elindulhat egy, akár vírusos program is. Ez a módszer csak az ANSI.SYS használatánál lehetséges. Makróvírusok Ma a makróvírusok okozzák a legtöbb fert(zést. Számuk 1998 februárjában már meghaladta a 2000-et. Ezek között már megjelentek olyanok is, amelyek képesek Word dokumentumból végrehajtható állományokat, valamint ezekb(l a végrehajtható állományokból Word dokumentumokat fert(zni. A makróvírusok fogalma nem új, 1989-ben Harold Highland volt az els( aki megjósolta (ket. Ekkor születtek az els( tanulmányok a makróvírusok írásának lehet(ségér(l. Joel McNamara 1994-ben egy tanulmányt is írt ezekr(l a vírusokról, s(t ( maga is készített egy ilyen vírust

DMV néven. Ezt azonban titokban tartotta az els( igazi makróvírus a Concept megjelenéséig, ami a megfelel( eszközök és ismeretek hiányában gyorsan elterjedt. A Concept nagyarányú elterjedése már újabb és újabb makróvírusok megjelenését eredményezte. A makróvírusok megírásához ugyanis nem szükséges a gép mélyebb ismerete. A DOS vírusoktól eltér(en a makróvírus nem a gép Assembly utasításkészletéb(l építkezik, hanem valamely makrónyelv lehet(ségeit használja ki, mely a magasszintü programozási nyelvek eszközeivel teszi egyszer2bbé a vírusok készítését. Elterjedségének másik oka, hogy a Word alatt terjed( vírusok a WordBasic makrónyelv parancskészletét használják. Ily módon függetlenek magától az operációs rendszert(l, akár különböz( platformokon is terjedhetnek, feltéve ha azokon léteznek kompatibilis WordBasic értelmez(k. Például a Word-nek van Macintosh gépeken futó változata is, így ezek a vírusok PC-r(l Macintosh-ra, illetve visszafelé is terjedhetnek! A Concept megjelenése után a vírusirtó cégek is elkezdtek komolyan foglalkozni a makróvírusok kérdésével. A fokozott figyelem ellenére egy másik vírusnak a CAP-nak sikerült ismét széles körben elterjedni. Ez a vírus els(ként valósította meg a teljesen nyelvfüggetlen terjedést. A vírus elterjedéséhez hozzájárulhatott az is, hogy makróit a fert(zött dokumentumban, külön segédeszköz nélkül nem lehet megnézni. Ezzel párhuzamosan a népszer2bb alkalmazásokra is megjelentek az els( makróvírusok, illetve Trójai Falovak (Excel, AmiPro, Lotus, stb.). Ezek száma azonban az Excel vírusok kivételével azóta sem emelkedett. A következ( lökést a vírusvédelem -mel ellátott WinWord 8 (WinWord/Office97) jelentette. Ebben a programban kétféle vírusvédelem is jelen van. Az egyik jelez minden olyan dokumentumnál ami makrót tartalmaz, a másik képes néhány Word6/7-es makróvírust a konvertálás során felismerni. Ezek a védelmek azonban nem érnek túl sokat, a programban megjelent új lehet(ségekkel szemben. Ezek közül a legfontosabb, és a legtöbb bajt okozó a makrók konvertálása. Az Office 97-ben mindegyik alkalmazás egységes makrónyelvet kapott, azonban a WinWord a kompatibilitás meg(rzése miatt képes a régebbi WordBasic-ben írt makrókat átkonvertálni az új Visual Basic környezetbe. Mivel ez automatikusan történik a betöltött vírusból automatikusan keletkezik egy új variáns, ami már képes az új környezetben m2ködni. Automatikus vírusvédelmi módszerek Egy új, ismeretlen vírus megjelenésével a szakembereknek el kell végezniük a vírus vizsgálatát, felvételét a vírus-adatbázisba, valamint elkészíteni a vírus ellenszerét. Ez a feladat a naponta megjelen( 5-10 egyre bonyolultabb és bonyolultabb, újabb és újabb technikákat felvonultató vírus esetén rengeteg manuálisan elvégzend( munkafázist jelent. Célszer2 ezeket a tevékenységeket automatikus, illetve félautomatikus rendszerek használatával egységessé és ezáltal könnyebben kezelhet(vé tenni. Ezen tevékenységek automatizálásában az els( lépésünk egy, a vírusok keresési és eltávolítási algoritmusait leíró formalizmus, a VIRSKILL (Virus Searching and Killing Language - Vírus Keres( és Irtó Nyelv) létrehozása volt [1,2,3]. A VIRSKILL formalizmus használatával a vírusok keresési és eltávolítási algoritmusainak a kezelése vált egységessé és így egyszer2bbé, de ez önmagában nem csökkentette a vírusokra

fordított manuális munkát: el kellett végezni a a vírusok vizsgálatát, a keresési és eltávolítási algoritmusok elkészítését, valamint a vírusok felvételét a vírus adatbázisba. Ezen cél megvalósításában hatékony segítséget nyújtott az Automatikus Vírusanalizáló Rendszer (AVAS - Automatic Virus Analyser System) [4,5]. Ez a rendszer már képes arra, hogy a vírusok nagy részének az esetében automatikusan el(állítsa az adott vírus keresési és irtási algoritmusát. Ezt nagy számú vírusminta elkészítésével és a vírusmintákból bizonyos következtetések levonásával éri el. Az AVAS rendszer már alkalmas arra, hogy akár az interneten on-line segítséget nyújtson egy esetlegesen még ismeretlen vírussal fert(zött rendszeren a vírus eltávolításában. Az AVAS célja Egy vírus vizsgálata során az AVAS az alábbi alaptulajdonságokat állapítja meg: - a vírus milyen kódterületeket fert(z, - polimorf, vagy nem polimorf a vírus, - melyik antivírus milyen néven azonosítja, tökéletesen el tudja-e távolítani, - szerepel-e már a víruspéldány az adatbázisban. Elképzelhet(, s(t gyakori, hogy egyes (pl. terjedési) tulajdonságok különböz( operációs rendszer alatt vizsgálva mások és mások. Így kívánatos a vizsgálatot több operációs rendszer alatt is elvégezni. Ez csak tovább növeli a rengeteg ismétl(d( tevékenység számát. Az alaptulajdonságok megállapítását követ(en az AVAS képes arra, hogy elkészítse a vírus keresési és irtási algoritmusát VIRSKILL nyelven. Az elkészített algoritmusokat nagy számú vírusfert(zésen ellen(rzi. Ezek után, amennyiben a víruspéldány még nem szerepelt a vírus adatbázisban, úgy a vizsgálat minden eredményével együtt bekerül oda. Az AVAS m.ködése Az AVAS két f( fázisban m2ködik: Vírusszaporítás és Analízálás. A vírusszaporítás a boot és a filevírusok esetén emulált környezetben történik. Attól függ(en, hogy a vírus mennyire igényel speciális környezetet a szaporodáshoz különböz( szaporító környezetek állnak rendelkezésre. Amennyiben a vírus a LINUX operációs rendszer alatt futó DOS emulátor alatt képes szaporodni, úgy 5-10 perc alatt képes a vírus szaporítását elvégezni. Amennyiben viszont a vírus az emulált rendszeren nem m2ködik tökéletesen és nem szaporodik, úgy a kétgépes rendszer képes elvégezni a szaporítást. Az AVAS által jelenleg támogatott operációs rendszerek magukba foglalják a vírusok kezdeti célpontját, az MS-DOS operációs rendszereket csakúgy, mint a Windows alapú operációs rendszereket (Windows 95, 98, NT). A makróvírusok esetén a szaporítás sokkal nehezebben oldható meg. Itt ugyanis nemcsak az operációs rendszert, hanem a futtató környezetet, magát a makrókat futtató alkalmazást is emulálni kell. A futtató alkalmazás pedig egyre tágabb kör2: Word, Excel, Access, Powerpoint,.

Irodalomjegyzék [1] Leitold, F.; Csótai, J.: Virus Searching and Killing Language Proceeding of the 2 nd International Virus Bulletin Conference, Edinburgh, 1992, pp. 159-172. [2] Leitold, F.: Vírus keres( és irtó nyelv Proceeding of the HISEC'93 Conference, Budapest, 1993, pp. 253-265. [3] Leitold, F.: A számítógépes vírusok felismerésének elmélete és gyakorlata Kandidátusi értekezés, Budapest, 1994 [4] Leitold, F.: Automatic Virus Analyser System Proceeding of the 5 th International Virus Bulletin Conference, Boston USA, 1995, pp. 99-107. [5] Leitold, F.: Automatikus vírusanalizáló rendszer Proceeding of the HISEC'96 Confrence, Budapest, 1996, pp. 112-119.

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés