Számítógépes vírus

A Wikipédiából, a szabad enciklopédiából
Universal Peace vírus egy Mac számítógépen (1988)

A számítógépes vírus olyan programkód, amely saját másolatait helyezi el más, végrehajtható programokban vagy dokumentumokban. Többnyire rosszindulatú, más állományokat használhatatlanná, sőt teljesen tönkre is tehet. Hatása ellen védekezni megfelelő vírusirtó szoftverrel többnyire lehetséges.

A vírusok manapság jellemzően pendrive, vagy e-mail segítségével terjednek az internetes böngészés mellett, valamint a megbízhatatlan oldalakról történő letöltések által.

A számítógépes vírusok működése hasonlít az élővilágban megfigyelhető vírus viselkedéséhez, mely az élő sejtekbe hatol be, hogy önmaga másolatait előállíthassa.

Ha egy számítógépes vírus kerül egy másik programba, akkor azt fertőződésnek nevezzük. A vírus csupán egyike a rosszindulatú szoftverek (malware) számos típusának. Ez megtévesztő lehet a számítógép-felhasználók számára, mivel mára lecsökkent a szűkebb értelemben vett számítógépes vírusok gyakorisága, az egyéb kártevő szoftverekhez, mint például a férgekhez képest, amivel sokszor összetévesztik őket.

Általános működése[szerkesztés]

Bár a számítógépes vírusok lehetnek kártékonyak (például adatokat semmisítenek meg), a vírusok bizonyos fajtái azonban csupán zavaróak. Némely vírus késleltetve fejti csak ki hatását, például csak egy bizonyos számú gazdaprogram megfertőzése után. A vírusok kártékony hatásának legenyhébbje az ellenőrizetlen reprodukciójuk, mely túlterhelheti a számítógépes erőforrásokat, lelassítja a gép működését, elfogyasztja a szabad helyet a merevlemezen. Súlyosabb ártalom, ha a vírus fontos fájlokat töröl a gépről, akár az operációs rendszert megbénítva, hasonlóképp törölhet célzottan dokumentumfájlokat, videofájlokat, programokat. A legsúlyosabb kár a merevlemez teljes tartalmának megsemmisítése vagy elérhetetlenné tétele,[1] vagy a számítógép valamelyik elektronikus alkatrészének szélsőséges túlterhelése révén műszaki meghibásodás, sérülés előidézése.

Az internet térhódításával a vírusok már valamivel kevésbé gyakoriak, mint a hálózaton terjedő férgek. Az antivírus szoftverek, melyeket eredetileg a számítógépes vírusok elleni védelemre fejlesztettek ki, mára már képesek a férgek és más veszélyes szoftverek, mint például a kémprogramok (spyware) elleni védelemre is.

2008-ban a Google elindított egy vírus elleni kampányt úgy, hogy megpróbálja elkapni a vírusterjesztő oldalakat, és azt a keresési találatokban vírusos oldalként megjeleníti.

A legtöbb fajta vírusprogram és a legtöbb vírusfertőzés a PC-ken leginkább elterjedt operációs rendszert, a Microsoft Windowst használó számítógépeken figyelhető meg. Sajnálatos jellegzetesség, hogy a vírusok terjedését sokszor csak megkönnyítik az operációs rendszerek és felhasználói programok által kényelmi szolgáltatásnak szánt megoldások. Azok, amikor a program nem terheli a felhasználót esetleg nem érthető kérdésekkel, hanem automatikusan hajt végre műveletsorokat, a program által optimálisnak tartott útvonalon. („Csak egy kattintás...”) Amikor a meghajtóba helyezünk egy DVD-t, akkor automatikusan elindul a rajta levő telepítőprogram, automatikusan megnyílik rajta a fotóalbum vagy a videofájl, a behelyezett pendrive-on levő programok esetében ugyanígy, a megnézett e-mail mellékletei automatikusan megnyílnak, a gépünkre bejegyzett (és bárki által átírható) című kezdőhonlap nyílik meg a böngésző elindításakor, a rendszer külön engedély nélkül letölti és telepíti a Flash-lejátszó program vagy a Java rendszer központi magjának legfrissebb változatát, és így tovább. Nem beszélve azokról a biztonsági résekről, amelyek az operációs rendszer vagy a böngésző „túlokosításának” következményeként létrejött speciális, de hozzáértő által a gép védelmeinek kijátszására is kihasználható kerülőutakat jelentik, ezeket a programok gyártói sűrű egymásutánban kibocsátott frissítésekkel, „foltokkal” (patch) próbálják lezárni utólag, amikor valaki felismer, és közzétesz a rendszer szövevényes szerkezetében egy ilyen kerülőutat. A rutinos felhasználó tisztában van ezekkel az eshetőségekkel, és csak annyi automatizmust enged meg a saját rendszerének, amennyinek a kockázatát még elfogadhatónak tartja.

Gyakori jellemzőik[szerkesztés]

A gazdaprogramok megfertőzése és az önsokszorosító viselkedés valamennyi vírusra jellemző. Ezenkívül gyakran rendelkeznek a következő tulajdonságokkal:

  • nagyon kis méretűek;
  • futtatható állományokat képesek megfertőzni;
  • általában ártó szándékkal készítették őket;
  • gyakran akár válogatva, időzítve tönkretesznek más fájlokat;
  • rejtetten működnek, esetleg akkor fedik fel magukat, ha feladatukat elvégezték;
  • egyre fejlettebb intelligenciával rendelkeznek, például változtathatják saját kódjukat és aktivitásukat.

Programvírusok[szerkesztés]

A programvírusok a klasszikus értelemben vett vírusok. Futtatható állományokhoz (program fájlokhoz) kapcsolódnak, amiknek megnyitására aktivizálódnak. Két fajtájuk van: A felülíró és a hozzácsapódó vírus. A felülíró vírusok a program elejét lecserélik a saját kódjukra, így az eredeti program életképtelenné válik, a hozzácsapódó vírusok a program végén helyezik el kódjukat, a program elejére pedig egy utasítást írnak, mely arra utasítja a rendszert, hogy először a víruskódot futtassa. A felülíró vírus jelenlétére az esetleges működésbeli problémákról, a hozzácsapódóéra az állományok méretének megváltozásából lehet következtetni.

Alkalmazásvírusok[szerkesztés]

A fájlfertőző vírusok futtatható programokat fertőznek meg (.EXE, .COM, .SYS stb. kiterjesztésűeket). Ha egy fertőzött program elindul, a vírus kódja bekerül a memóriába, aktivizálódik és elkezdhet más programokra átterjedni. Fertőzéskor a vírus mindig olyan programokat keres, amiket még nem fertőzött meg, így növelve másolatainak a számát.

BOOT-vírusok[szerkesztés]

A BOOT-vírusok közé szokás sorolni a számítógépes rendszer indulásakor aktiválódó vírusokat. A számítógép operációs rendszere valamely adathordozóról töltődik be és indul el, ezt nevezzük BOOT folyamatnak. Akad vírus jellegű károkozó, amely olyan módon kerül be a memóriába, hogy az adathordozón (pl. hajlékonylemez, fix lemez) a rendszerindító utasítássorozathoz kapcsolódik. E károkozók hatékonyságát nagyban növeli az, hogy a rendszer töltődése minden folyamatot megelőz, tehát a vírusellenes programok aktivizálódását is, ezért még a védelemre szolgáló programok indulása előtt betöltődhet és aktivizálódhat a károkozó.

Alaptípusaik[szerkesztés]

  • EXE-COM vírusok
  • BOOT-vírusok
  • MR-vírusok
  • New Exe vírusok
  • Multi platform vírusok
  • Önátíró (polimorf) vírusok (ez a vírus egyedi programrészletei alapján való azonosítást nehezíti meg)
  • Oligomorf vírusok
  • Metamorf vírusok
  • E-mail vírusok
  • Exomod vírusok
  • Bucket vírusok

Újabb fenyegetések típusai[szerkesztés]

  • Személyre szabott támadások
  • Csendes támadások
  • Zsaroló vírusok

A védekezés formái[szerkesztés]

A legfontosabb: Tudatos számítógép-használat!

A vírusok terjedésével és elhárításával foglalkozó nagy cégeknek van saját honlapja, ahol a friss vírusinformációkat közzéteszik; gyakran hírlevélre is fel lehet iratkozni, ahol az újonnan megjelenő kártékony programokról kaphatunk értesítést. (Ugyanakkor hagyjuk figyelmen kívül, ha bárkitől a „legújabb vírusra” figyelmeztető körlevelet kapunk, az ilyen levélben lévő linkekre ne kattintsunk rá! - lásd: hoax.)

A vírusok ellen védelmet jelenthet, ha a számítógépünkre víruspajzs programot telepítünk, amely állandóan figyeli a rendszert (letöltött és indított programokat, e-maileket, az operatív memória váratlan lefoglalását). A merevlemeznek a víruspajzshoz tartozó víruskereső programmal időnként történő teljes átvizsgáltatása is lényeges védelmi elem. A kártékony programok másik fajtája, a spyware-ek ellen külön arra készített keresőszoftverek segítenek.

Vírus vagy más kártevő azonosítása esetén nem szabad pánikba esni, kapkodni. Gondosan tanulmányozzuk a program üzenetét, esetleg jegyezzük fel a kártevő megadott nevét (pl. "Win32.Lareg") és a fertőzést hordozó fájl megadott nevét, majd válasszunk a felkínált lehetőségek közül. Ilyen lehetőség szokott lenni az, hogy a program használatba veszi vírusirtó képességét, és a vírus kódját az azt hordozó fájlból kitörli.

Ennél radikálisabb, de biztosabb eredményt ad, ha a fertőző (fertőzött) fájl törlését engedélyezzük. Viszont mivel könnyen lehet, hogy az így törölt fájl hiányozni fog valamely programunk működéséhez, jobb megoldás, ha engedjük a fájl karanténba helyezését. Ekkor a fájl nem törlődik teljesen, de az adott helyéről egy külön mappába lesz áthelyezve, működésképtelenné tett állapotban.

Előfordul, hogy a víruspajzs riasztást ad olyan fájl esetében is, amely nem tartalmaz vírust, csak valamelyik vonása összetéveszthető teszi a víruspajzs számára egy ismert vírussal. Ez kideríthető úgy is, hogy a karanténban levő fájlt egy másik víruskeresővel is megvizsgáltatjuk, és annak a jelentését is figyelembe vesszük. Ha úgy gondoljuk, hogy a riasztás téves, akkor a fájl a karanténból visszahelyeztethető az eredeti helyére.

A víruskereső programok legjobbjai számos (laikus által nehezen értelmezhető) beállítási lehetőséget kínálnak, amelyek révén a program által átvizsgálandó területek, mappák, fájlok határozhatók meg, valamint az átvizsgálás módszerei és alapossága állíthatók be. Két tényező áll egymással szemben: ha a vizsgálat alaposságát erősre állítjuk, akkor ez lassítani fogja a fájlok olvasását, lassítani fogja a programok működését, ha viszont gyengére, akkor megnő az esélye annak, hogy egy adott vírusfajta átcsúszik a „határzáron”.

Emellett az is változhat, hogy a program sok hamis riasztást ad, tehát a túl érzékeny védelmi rendszer ártalmatlan mozzanatokat is vírustámadásnak talál, vagy ellenkezőleg: nem háborgatja a felhasználót a sok hamis riasztással, hanem túl lezserré válik az ellenőrzés, és szintén átcsúszhatnak rajta valódi vírusok. A víruskereső programok optimális behangolásához, valamint a talált vírusokkal esetleg elvégzendő ellenőrzésekhez és biztonsági műveletekhez sosem fölösleges tapasztalt, hozzáértő „számítógépes” segítségét is kérni.

A víruskeresők gondoskodnak arról, hogy a vírushordozóként azonosított fájl ne induljon el, tehát amikor a vírusriasztást megkapjuk, akkor a vírus még nem aktiválódott, a pajzs ebben megakadályozta. Emiatt a riasztás nem a megfertőzöttség tényét, hanem csak a fertőzés lehetőségét hordozó fájl felbukkanását jelzi. A fertőzőnek jelzett fájlt ne indítsuk el újra, a vírusosnak jelzett honlapot ne nyissuk meg újra, csökkentendő a fölösleges kockázatot.

Nagyon fontos tudnivaló, hogy a komoly víruskereső és kémprogramkereső programok adatait a gyártó rendszeresen, olykor akár naponta frissíti, új változatokat tesz belőlük letölthetővé. Az új adatok az előző változat óta felbukkant új vírusok jellegzetes részleteinek adatait, vagy az esetleg megfigyelt új fertőzési technikák paramétereit tartalmazzák a víruskereső program részére.

Ha tehát a gépünkön levő programok és adatok megsérülése vagy megsemmisülése számunkra jelentős kárt okozna, akkor a keresőprogramokat és a hozzájuk járó adatfájlokat rendszeresen frissítenünk kell, vagyis be kell szereznünk, le kell töltenünk a legfrissebb változatot. Beállítható szokott lenni a programban az a szolgáltatás is, hogy a víruspajzs program bizonyos időnként az interneten keresztül ellenőrzi, hogy a gyártó honlapján megjelent-e új változata akár a kiegészítő adatbázisnak, akár magának a programnak, és ezeket automatikusan le is tölti, használatba is veszi, vagy jelzi a felhasználónak a frissítés lehetőségét és esedékességét.

A számítógépre telepített tűzfal program nem védi a gépet a vírusfertőzés ellen, nem jelzi a fertőzött fájlokkal való találkozást, mert nem ez a feladata. De a tűzfal az általa védett hálózat gépei között a háttérben észrevétlenül közlekedni próbáló vírusprogramok mozgását, behatolását megakadályozhatja. A tűzfal mellé víruspajzsra is szükség van a biztonsághoz.

Figyelembe kell venni, hogy a víruskereső programok többnyire csak azokat a kártevőket tudják felismerni és a működésüket megakadályozni, amelyeket a víruskereső gyártója már megismerhetett, a jellegzetességeit kielemezhette. Az általa még sosem észlelt, új, esetleg újszerű fertőzési technikát is használó kártevőt a pajzs még nem fogja felismerni, mindaddig, amíg a gyártó egy erre a típusra is kiterjedő védelmet nem dolgoz ki, és amíg mi azt a gépünkre nem tettük. Ezért sosem feledhető az a tény, hogy a víruskereső használata nem jelent tökéletes biztonságot, sosem zárható ki teljesen a megfertőződés veszélye. Ebből következően bármikor megtörténhet, hogy a gépünkön levő programok és dokumentumok megsérülnek vagy törlődnek, nem beszélve az időnként szükségképpen bekövetkező műszaki meghibásodásokról.

Adatmentés[szerkesztés]

Az ezen események által okozott kár enyhítésére az egyetlen kellően biztos megoldás a gépünkön tárolt értékesebb, esetleg pótolhatatlan, egyedi dokumentumok, képek, videók, hanganyagok, programok egy másolatát őrizni, méghozzá másik külső, független tárolóeszközön (DVD-n, pendrive-on, másik, kivehető merevlemezen).

A mentésre szolgáló külső merevlemez, pendrive csak a mentés idejére kapcsolódhat a géphez, erre az időre a többi program futását, az internethez való kapcsolódást célszerű felfüggeszteni. Telepített programok esetén a programfájlokat tartalmazó mappa mentéséből többnyire nem lehet a programot átmenteni, ehhez az eredeti telepítőfájlok szükségesek, melyeket szintén külső mentésben célszerű tárolni, majd szükség esetén abból a programot újra lehet telepíteni[2]

A valóban pótolhatatlan dokumentumokról célszerű akár egynél több, lehetőleg különféle fajtájú mentést készíteni (külső HDD, DVD, felhőtár stb.), egy példányt egy betörés, tűzeset, vagy hasonló esemény lehetősége miatt különálló helyen, másik lakásban, másik helyen tárolni, persze megfelelő körülmények között. Ha ugyanis a számítógépben valami kár esik, például egy vírus megsemmisíti a fájlokat, vagy egy villámcsapás, beázás, betörés miatt a fájlokat tartalmazó gép sem áll többé rendelkezésre, akkor adataink megmentésére kizárólag külső hordozóra korábban történt adatmentés szolgálhat.[3]

A másolatkészítés, archiválás nagyon kényelmetlen, időrabló tevékenység, de egy számítógépes „katasztrófa” esetére az egyetlen lehetőséget jelenti az adatok visszaszerzésére. A munkahelyi számítógépeken tárolt anyagok archiválását a rendszergazda, vagy legalább egy rendszeres karbantartást végző informatikus megoldja, de az otthoni számítógépek karbantartása a felhasználó feladata, amit elhanyagolni kockázatos dolog.

A fertőződés kockázatát csökkenti, ha az operációs rendszerünket, a böngészőt és a levelezőprogramot rendszeresen (automatikusan) frissítjük, így a már felismert hiányosságok nem maradnak nyitva a kártevők számára.

Jegyzetek[szerkesztés]

  1. Ez az az ok, amiért nem nevezhető biztonsági mentésnek az, ha egy fájlról (pl.) egy DVD helyett ugyanazon a merevlemezen tárolunk egy másolatot, mivel a törlés mindkettőt megsemmisíti.
  2. Egy telepített program lemásolásához (kevés kivétellel) sosem elegendő a már telepített, használatba vett programot tartalmazó mappa lemásolása, hanem mindig a program telepítőlemezét vagy telepítőfájljait kell megőrizni és biztonságba helyezni, probléma esetén arról a programot újra lehet telepíteni.
  3. A filmekben gyakran látható, lenyűgöző számítógépes eljárások messze járnak a valóságos lehetőségek előtt.

További információk[szerkesztés]

Kapcsolódó szócikkek[szerkesztés]