Wirusy komputerowe są to najczęściej proste programy komputerowe, które celowo powielają się bez wiedzy i zgody użytkownika. W przeciwieństwie do robaków komputerowych, wirusy wymagają do swojej działalności nosicieli - programów komputerowych czy na przykład poczty elektronicznej. Wirus wykorzystuje luki w zabezpieczeniach systemów komputerowych bądź pewne właściwości tych systemów, jak i niedoświadczenie lub beztroskę użytkowników. Wirusy oprócz rozmnażania się, powodują również inne skutki uboczne, takie jak:

  • ataki na serwery internetowe
  • kasowanie oraz niszczenie zawartych na twardym dysku danych
  • kradzież danych, takich jak hasła, dane osobowe czy numery kart płatniczych
  • pozwolenie na przejęcie kontroli nad komputerem nieupoważnionej do tego osobie
  • rozsyłanie spamu
  • utrudnianie lub uniemożliwianie pracy na komputerze
  • wyłączenie systemu komputera
  • wyświetlanie grafiki bądź odtwarzanie dźwięków

Jeśli chodzi o twórców wirusów, spośród tej grupy wyodrębnić można następujące, główne typy:

    • cyber-wandale - (tu wyróżnia się dwa rodzaje tych osób)
    • profesjonalni twórcy wirusów
    • badacze wirusów

1. Cyber - wandale

Na początku autorami większość wirusów byli młodzi programiści, którzy niedawno posiedli tę umiejętność i starali się ją jakoś wykorzystać. Tylko niewielka liczba takich programów zdołała się dalej rozprzestrzenić, a cała reszta została zniszczona przy formatowaniu bądź wymianie dysków. Cyber-wandale nie mieli konkretnego celu w pisaniu wirusów prócz potwierdzenia własnych umiejętności.

Podobną grupę autorów wirusów stanowią młodzi ludzie - zwłaszcza studenci - którzy już podczas nauki programowania zaczęli wykorzystywać nabywane umiejętności do pisania złośliwych programów. Osoby te zatem decydują się utrudniać życie komputerowej społeczności poprzez akty cyber-chuligaństwa oraz cyber-wandalizmu, jednak wirusy te zazwyczaj były bardzo prymitywne, a ich kody zawierały często wiele błędów. Nieustanny rozwój Internetu dostarczał przestrzeni oraz nowych możliwości kolejnym twórcom wirusów - pojawił się wiele stron, czatów i innych dokumentów zawierających informacje dotyczące pisania wirusów. Sieć umożliwiała rozmowę z doświadczonymi twórcami tych programów, ściąganie wszelkich pomocy, narzędzi konstruujących, ukrywających wirusy oraz ich kody źródłowe.

2. Profesjonalni twórcy wirusów

Wielu młodocianych cyber-wandalów dorastając zaprzestało kontynuowania tego procederu, jednak pewna ich grupa nie zrezygnowała z pisania wirusów, wprost przeciwnie - osoby te zaczęły szukać komercyjnych zastosowań dla swoich umiejętności. Ta grupa twórców wirusów jest najlepiej zakonspirowanym oraz najniebezpieczniejszym ogniwem podziemia komputerowego. Ludzie ci stworzyli całą sieć profesjonalnych oraz utalentowanych programistów niezwykle poważnie traktujących swoje niebezpieczne zajęcie. Osoby te są autorami wielu innowacyjnych kodów, przeznaczonych do przenikania komputerów oraz sieci, badają oni luki w oprogramowaniu oraz w sprzęcie komputerowym do wszystkich swoich działań wykorzystując socjotechnikę.

3. Badacze wirusów (twórcy programów typu "proof-of-concept")

Jest to najbardziej nietypowa grupa, której członkowie sami siebie nazywają badaczami. Często zdarza się, iż są to bardzo zdolni programiści wykorzystujący swoje umiejętności w celu opracowywania nowych metod przenikania, infekowania systemów itp. Zazwyczaj są to pierwsze osoby, którym udaje się przeniknąć do nowego systemu czy sprzętu komputerowego, czego nie robią dla pieniędzy lecz w celach badawczych. Najczęściej nie rozprzestrzeniają oni kodu źródłowego wirusów, lecz omawiają swoje innowacje na odpowiednich stronach internetowych. Mimo, iż działalność taka może wydawać się pożyteczna, wirus pozostaje wirusem, a tego rodzaju badania powinni jednak przeprowadzać profesjonaliści, którzy zajmują się leczeniem zagrożeń, a nie amatorzy nie biorący odpowiedzialności za swoje działania. (np. wiele wirusów typu "proof-of-concept" stać się może poważnym zagrożeniem w przypadku dostania się w niepożądane ręce) .

MOŻLIWE CELE, W JAKICH SĄ PISANE WIRUSY TO MIĘDZY INNYMI:

1. Oszustwo

Podziemie komputerowe zdało sobie sprawę, że płatne usługi internetowe, takie jak dostęp do Internetu, prowadzenie serwerów WWW i poczty elektronicznej, dostarczają nowe możliwości nielegalnej działalności oraz dodatkową satysfakcję otrzymania czegoś za nic. Twórcy wirusów napisali szereg trojanów, które kradną informacje o loginach i hasłach, zapewniając im dostęp do internetowych zasobów użytkowników.

Pierwszy koń trojański z możliwością kradzieży haseł napisany został w 1997 roku. Jego głównym celem było uzyskanie dostępu do AOL. W 1998 roku powstały podobne trojany nastawione na atak wszystkich innych większych dostawców internetowych. Trojany wykradające informacje dotyczące logów do usług internetowych zazwyczaj pisane są przez ludzi, których na nie stać, bądź przez osoby nie akceptujące faktu, iż zasoby internetowe stanowią usługi komercyjne i jak w przypadku innych tego typu trzeba za nie zapłacić. Przez dłuższy czas ta odmiana trojanów stanowiła swego rodzaju koło napędowe dla firm produkujących oprogramowanie antywirusowe. Dzisiaj liczby te maleją wprost proporcjonalnie do malejących kosztów dostępu do sieci Internet. Gry komputerowe oraz klucze licencyjne do oprogramowania stanowią kolejny cel cybernetycznych oszustw. Konie trojańskie umożliwiające dostęp do takich zasobów pisane są głównie przez oraz dla osób o niewielkich zasobach finansowych. Pewne narzędzia hakerskie pisane są przez tzw. "wojowników wolności", czyli ludzie, którzy głoszą, że wszelkie informacje winny być bezpłatne i swobodnie dostępne dla wszystkich użytkowników Internetu. Oszustwo jednak zawsze będzie przestępstwem, bez względu na to, jakie szlachetne hasła mu towarzyszą.

2. Zorganizowana cyber-przestępczość

Najbardziej niebezpiecznymi twórcami wirusów są grupy i jednostki, które działają na tym obszarze w sposób profesjonalny. Jednostki te czerpią zyski wprost od użytkowników końcowych (przez kradzież bądź oszustwo) lub tworzą komputery "zombie", które pozwalające im zarabiać pieniądze w inny sposób, jak tworzenie oraz sprzedaż platform spamerskich, bądź przeprowadzanie ataków typu DoS w celach szantażu.

Dzisiaj większość poważnych epidemii komputerowych wywołują profesjonalni twórcy wirusów, organizujący zbiorowe instalacje swojego oprogramowania na komputerach w sieci. W tych celach mogą wykorzystywać robaki, linki do zarażonych stron bądź inne trojany.

3. Sieci komputerów zombie (tzw. botnety)

Dzisiaj twórcy złośliwego oprogramowania działają na usługach określonych spamerów bądź sprzedają swe towary tym, którzy zapłacą najwięcej. Istnieje standardowa procedura do tworzenia botnetów. Jeżeli sieci wykorzystywane są jako platformy rozsyłające spam, trojanowy serwer proxy przenika komputery użytkowników. Sieci te mogą liczyć nawet dziesiątki tysięcy zarażonych komputerów. Twórcy wirusów sprzedają je później osobom z półświatka komputerowego, oferującym najwyższe stawki. Głównym zadaniem takich sieci jest rozsyłanie spamu w jak największych ilościach. Aby zapewnić ich skuteczne działanie, używane są wyspecjalizowane narzędzia hakerskie. Złośliwe programy instalowane są bez zgody i wiedzy użytkowników a oprogramowanie typu adware może zostać zakamuflowane tak, by uniemożliwić jego wykrywanie i usuwanie. Zaatakowane mogą również zostać programy antywirusowe.

4. Zysk finansowy

Prócz wspomagania jednostek rozsyłających spam oraz adware, profesjonalni autorzy wirusów piszą również trojany szpiegujące, wykorzystywane do kradzieży środków finansowych z elektronicznych portfeli, internetowych kont w bankach czy kont PayPal. Trojany te gromadzą z lokalnych komputerów dane dotyczące bankowości oraz płatności, przesyłając je do cyber-przestępców.

5. Cyber-wymuszenia

Kolejną główną formę cyber-przestępczości stanowią wymuszenia lub haracze internetowe. Twórcy wirusów tworzą sieć tzw. komputerów "zombie" umożliwiających przeprowadzenie im ataku Dos, szantażując firmy poprzez groźbę wykonania takiego ataku na ich serwisy korporacyjne. Pośród popularnych celów znajdują się sklepy internetowe, strony banków oraz serwisy związane z grami hazardowymi, czyli firmy osiągające swoje zyski poprzez swa obecność w Internecie.

Inne złośliwe oprogramowanie

Twórcy wirusów oraz hakerzy przyczyniają się również do skutecznego funkcjonowania oprogramowania typu adware, wszelkich dialerów, narzędzi, które przekierowują określone strony internetowe na inne, często płatne. Z racji tego, że programy te generują zyski dla komputerowego podziemia, interesem twórców wirusów oraz hakerów jest uniemożliwianie wykrywania oraz ich regularna aktualizacja.

Mimo iż uwaga mediów skoncentrowana jest głównie na młodych twórcach wirusów, którzy wywołali globalne epidemie, to jednak profesjonaliści są autorami około 90% kodu i to oni stanowią najpoważniejsze zagrożenie.

Najczęstszym obiektem ataku wirusa jest dysk twardy komputera, chociaż czasem zdarzają się wirusy potrafiące zaatakować ekran monitora bądź drukarkę. Atak wirusa może polegać na:

  • wolnym, zauważanym po długim czasie, dokonywaniu modyfikacji pojedynczych bajtów sektorów zapisywanych na dysk
  • groźnych, ponieważ trudnych do zauważenia niewielkich uszkodzeniach logicznych systemu plików, które prowadzą do powstawania wielu plików o różnych początkach, ale fizycznie tym samym końcu
  • zniszczeniu obszarów systemowych dysku w sposób, który uniemożliwia odczytanie zawartych na nim danych
  • sformatowaniu całego dysku bądź części jego ścieżek
  • spowolnieniu pracy komputera
  • zniekształceniu wyświetlanej na monitorze informacji w sposób tonalny, obejmującym większą część ekranu, bądź selektywny, polegające przykładowo na trudnym do wykrycia przestawieniu dwóch cyfr w każdej liczbie prezentowanej na ekranie
  • próbie zniszczenia sprzętu, np.: drukarki, monitora, napędu dyskietek bądź dysku twardego.

Podział wirusów komputerowych

Istnieje wiele rozgraniczeń wirusów komputerowych. Patrząc od strony użytkowników komputerów, najistotniejszy wydaje się podział ze względu na:

1. Sposób przenoszenia się wirusa

  • wirusy rozpowszechniające się przy pomocy nośników: dyskietki, płyty CD, dyski twarde
  • wirusy, które doklejają się do plików wykonywalnych: aplikacje systemowe, narzędziowe, a nawet komercyjne
  • wirusy, które przenoszą się przez sieć: aplety Java, programy atakujące usługi sieciowe oraz najpopularniejsze robaki internetowe roznoszone poprzez pocztę elektroniczną

2. Działania, jakie wirus podejmuje po zarażeniu systemu operacyjnego

  • nieszkodliwe wirusy wyświetlające dowcipne informacje na monitorze komputera
  • wirusy, które dokonują zniszczeń informacji zawartych w dokumentach, bądź też same dokumenty użytkownika
  • wirusy kasujące wszelkie dane znajdujące się na dyskach komputer (włączając w to system operacyjny),
  • wirusy niszczące procedury BIOS-u komputera
  • wirusy mające na celu spowodowanie uszkodzenia sprzętu komputerowego

3. Sposób infekcji:

  • Pasożytnicze (plikowe) - infekują wszelkie pliki wykonywalne, dołączając się. do kodu zakażonego pliku. Wirusy te mogą doklejać się na jego początku, końcu lub w środku. Występują także wirusy plikowe, zamazujące część kodu pliku, co powoduje jego nieodwracalnie uszkodzenie. Zwykle wirusy plikowe uruchamiane są przed właściwym programem, istnieją jednak i takie, które uaktywnione zostają tuż po zakończeniu pracy pierwotnej aplikacji. Wirusów plikowych występuje najwięcej, gdyż są stosunkowo proste do stworzenia oraz dość szybko się rozprzestrzeniają
  • Wirusy atakujące boot sector - zmieniają zawartość głównego sektora dysku (ang. boot sector) bądź sektora ładowania. W miejsce prawdziwego kodu wstawiają tam fragment swojego dobrą kopię zapisując zazwyczaj w innej lokalizacji. Wirusy tego typu uaktywniają się podczas startu systemu z zakażonego dysku. Jeżeli system zostanie wystartowany z zarażanego nośnika, wirus zostanie uaktywniony i wczyta on wtedy resztę swego kodu, oraz prawdziwy sektor. Jeśli zainfekowany został dysk twardy, to aby go wyleczyć należy uruchomić komputer z płyty CD bądź dyskietki systemowej oraz uruchomić odpowiednie oprogramowanie antywirusowe
  • Towarzyszące - wykorzystują właściwość systemu DOS, polegająca na tym, że gdy w danym katalogu istnieją dwa pliki wykonywalne o takich samych nazwach, to system wykona plik typu COM przed plikiem typu EXE. Wirusy towarzyszące tworzą pliki COM o takiej samej nazwie jak pliki EXE, umieszczając w nich własny kod. Kiedy użytkownik wpiszę nazwę pliku do uruchomienia (bez rozszerzenia), system wczyta plik COM, co przyczyni się do wykonania kodu wirusa oraz w następstwie, załadowania oraz wykonania pliku typu EXE. Wirusy tego rodzaju nie powodują zmian w zawartości plików EXE. Wirusów towarzyszących jest bardzo mało i wolno się rozprzestrzeniają
  • Hybrydowe - wirusy łączące w sobie różne rodzaje wirusów. Jest ich bardzo dużo i dosyć szybko się rozprzestrzeniają. Najczęściej spotykanym połączeniem jest wirus boot sektora z wirusem plikowym
  • Polimorficzne - to najgroźniejsze wirusy, gdyż najtrudniej jest je wykryć. Autorzy wirusów, aby ich wirusy były jeszcze trudniejsze do wykrycia zaczęli stosować szyfrowanie swoich dzieł. Szyfrowanie odbywa się na różne sposoby, co powoduje, iż każda kopia danego wirusa jest inna. Jednak sama procedura szyfrowania jest zawsze jednakowa i po tym oprogramowanie antywirusowe identyfikuje wirusa. Lecz i na to twórcy wirusów wymyślili sposób, poprzez zaszyfrowanie samej procedury szyfrującej. W taki właśnie sposób funkcjonują wirusy polimorficzne. Procedury szyfrujące wirusa są za każdym razem inne, pomimo, iż wykonują zawsze to samo zadanie, przez co jeden wirus może mieć wiele różnych postaci.

4. Sposób funkcjonowania po uruchomieniu:

  • Nie rezydentne - to pierwsza i najprostsza odmiana wirusów, które zarażają pliki wykonywalne. Wirusy te aktywne są jedynie wtedy, kiedy uruchomiony zostanie zarażony program. Wirus wykonuje w tym czasie swój kod nie pozostając w pamięci komputera.
  • Rezydentne - twórcy wirusów dość szybko spostrzegli, że wirusy, które działają tylko w chwili uruchomienia programu nosiciela posiadają dość wąskie pole manewru, oraz zwalniają pracę programu, prowadząc do szybkiego ich wykrycia. Twórcy wirusów szukali więc jakiegoś mechanizmu, który umożliwiłby ciągłe monitorowanie systemu i w przypadku uruchomienia pliku umożliwiłby infekcję ofiary. Wykorzystano więc mechanizm programów rezydentnych (wprowadzony w systemie DOS). Funkcjonowanie wirusów rezydentnych opiera się na instalacji się w pamięci RAM oraz przejęciu określonych odwołań do systemu tak, jak robią to programy typu TSR. Wirus rezydentny jest typowym programem TSR, który po instalacji maskuje swoją obecność przed programami skanującymi pamięć.
  • Szybkie infektory - przechwytują wszelkie możliwe funkcje systemowe DOSa, obsługujące pliki, zarażając jak największa ilość plików w krótkim czasie, co prowadzi do bardzo szybkiej ekspansji a następnie do pasywacja wirusa, gdyż nie jest on już w stanie znaleźć nowych plików do infekcji. Aktywność szybkich infektorów będzie z pewnością łatwo zauważalna dla użytkowników.
  • Wolne infektory - to bardziej wyrafinowane wirusy. Ich podstawowym celem jest jak najdłuższe pozostawanie w zarażonym systemie. Wirusy tego typu najczęściej używają powolnych, kilku stopniowych procedur szyfrujących oraz technik zwanych stealth, polegających na ukrywaniu swego kodu. Wolne infektory są bardzo trudne do usunięcia i wykrycia, nawet przez zaawansowane aplikacje antywirusowe.

Jak ustrzec się wirusów?

Podstawową rzeczą jest instalacja oprogramowania antywirusowego. Większość takich aplikacji wyposażona jest w moduły rezydujące w pamięci RAM i na śledzące na bieżąco pracę systemu oraz programów w celu zapobiegania infekcji.

Kolejną rzeczą jest częsta aktualizacja aplikacji antywirusowych oraz bazy definicji wirusów. Większość programów posiada możliwość aktualizacji bazy przez Internet. Aby zminimalizować ryzyko zarażenia systemu robakami internetowymi, które roznoszone są przez pocztę elektroniczna, można podjąć dodatkowe środki ostrożności:

  • nie otwierać przesyłek od niezidentyfikowanych nadawców
  • nie uruchamiać załączników, które są programami wykonywalnymi
  • z dużą ostrożnością podchodzić do "nietypowych" przesyłek od znajomych - największa liczba robaków internetowych wyszukuje swe ofiary przez książkę adresową klienta pocztowego
  • dokonywać częstych aktualizacji systemu operacyjnego zgodnie z sugestiami producenta, w celu wyeliminowania dziur w systemie.

Postępowanie w przypadku zainfekowania systemu wirusem?

W chwili odkrycia w systemie obecności wirusa, należy natychmiast uruchomić oprogramowanie antywirusowe oraz postępować zgodnie z instrukcjami, które wyświetla. W wielu przypadkach będzie potrzeba skorzystania z dyskietki systemowej. Bywa czasami i tak, że wirusa nie da się skasować przy pomocy programu, postaje wtedy rozwiązanie ostateczne, czyli sformatowanie dysku twardego i ponowna instalacja systemu, co jednak spowoduje utratę wszystkich dotychczas zgromadzonych danych, dlatego też trzeba pamiętać o regularnym sporządzaniu kopii zapasowych. Przed sformatowaniem dysku należy jeszcze:

  • sprawdzić na stronach producenta oprogramowania antywirusowego, czy baza wirusów, którą posiadamy jest aktualna. Jeżeli nie, trzeba natychmiast ją uaktualnić
  • zastosować inny program antywirusowy, jeżeli istnieje taka możliwość
  • w sytuacji zainfekowania robakiem internetowym, który rozsyła się przez pocztę elektroniczną, trzeba odłączyć komputer od sieci, co zapobiegnie rozsyłaniu wirusa dalej
  • zasięgnąć informacji na temat danego wirusa: jak działa, jak się go pozbyć. Takie informacje udostępniane są często przez producentów programów antywirusowych, na stronach internetowych