Viirused.

Uued programmid ja versioonid, probleemid ja abi
Vasta
Kasutaja avatar
Pistik
Ülemjuhataja
Postitusi: 843
Liitunud: Teisipäev, 31 Mai 2005, 16:58
Twitter: emolmesser
Kontakt:

Viirused.

Postitus Postitas Pistik »

Viirus - Pahatahtliku häkkeri kirjutatud programmijupike, mis on lülitatud mingi programmi koosseisu ning põhjustab ootamatuid ja kasutajale sageli äärmiselt ebameeldivaid tagajärgi.
Praeguseks on teada sadu tuhandeid erinevaid arvutiviirusi. Enamik neist levib ainult koos failidega ja teie arvuti saab nakkuse, kui laete sinna Internetist või kellegi käest flopikettal saadud nakatatud faili. Teatud tüüpi viirusi, mis hakkavad ennast ise Microsoft Outlook’i e-posti programmi kaudu arvutivõrkudes levitama, nimetatakse ussideks (worm) . Sageli pole viiruselevitajal endal aimugi, et tema arvuti saadab teistele arvutitele nakatatud faile. Kui olete viirust sisaldava faili salvestanud oma arvuti kõvakettale, siis on ta tavaliselt mõnda aega latentne, s.t. ei anna endast millegagi märku. Alles teatud kuupäeval või mingi tegevuse käivitamisel asub viirus tegutsema. Osa viirustest on suhteliselt kahjutud ja mõeldud naljategemiseks, näiteks ilmub ühel hommikul teie arvuti ekraanile mingi naljakas tekst või pilt ja muud ei juhtu midagi. Õelamad viirused võivad kustutada kõvakettal asuvaid faile või rikkuda failistruktuuri nii, et kõvaketas tuleb ümber vormindada, kusjuures hävib kogu kõvakettal olnud informatsioon.
Viirused võib jaotada kolme klassi:
Failiviirused. Need viirused haakuvad programmifailide, enamasti .COM ja .EXE laiendiga failide külge. Mõned võivad nakatada kõiki täidetavaid programme, kaasa arvatud .SYS, .OVL, .PRG ja .MNU failid. Koos programmi installeerimisega installeeritakse ka viirus
Süsteemi- või buudikirjeviirused. Need viirused nakatavad kõvaketta teatud piirkondades asuvaid täidetavaid programme. Nad haakuvad flopiketta DOS- buudisektori või kõvaketta Master Boot Record’i külge. Selline viirus võib tegutseda järgmiselt. Kui saate kellegi käest nakatatud flopiketta ja panete selle oma sisselülitatud arvutisse, toimib kõik normaalselt. Kui aga lülitate arvuti välja ja jätate flopiketta draivi sisse, siis järgmisel käivitamisel pöördub opsüsteem kõigepealt A-draivi poole, leiab sealt buudiviirusega nakatatud ketta, laeb viiruse arvutisse ja kõvaketta kasutamine muutub võimatuks
Makroviirused. Need kuuluvad enimlevinud viiruste hulka, kuid ei tee harilikult eriti suurt kahju. Makroviirused nakatavad Microsoft Word’i ja kõiki selle programmi abil loodud dokumente. Levivad nii e-posti teel kui dokumentide transportimisel flopiketastega
Alates 1987.a., kui viirus tungis USA Kaitseministeeriumi arvutivõrku ARPANET ja paljude USA ülikoolide võrkudesse, on hakatud aktiivselt tegelema viirusetõrjega. Saadaval on mitmed viirusetõrje programmid (Norton Antivirus, F-Prot, Panda Antivirus jt.). Need programmid kontrollivad regulaarselt teie arvutit tuntud viiruste osas ja kui avastavad nakkuse, siis likvideerivad selle. Kindlaim kaitse viiruste vastu on iga kord kindlaks teha kusagilt saadud programmi või faili päritolu, enne kui seda oma arvutisse laadida. Kuna see on väga tülikas, siis muretsetakse tavaliselt mõni viirusetõrjeprogramm ja värskendatakse seda regulaarselt, et ka uuemad viirused oleksid arvesse võetud

Antivirus software

Viirusetõrjetarkvara - programmid, mis avastavad ja eemaldavad arvutiviirusi. Kõige lihtsamad viirusetõrjeprogrammid skaneerivad täidetavaid faile ja buudiplokke teadaolevate viiruste loendi alusel. Teised on aktiivsed pidevalt, püüdes avastada üldiste viiruseklasside tegevust. Viirusetõrjetarkvara vajab pidevat värskendamist, et ka kõige uuemate viiruste kohta oleks võimalikult kiiresti olemas vajalik teave

Virus scanner

Viiruseskänner - Viirusetõrje programm, mis otsib teadaolevate viiruste binaarallkirju (mustreid), kui need on end haakinud täidetavate progammide külge. Sedamööda, kuidas avastatakse uusi viirusi, värskendatakse ka binaarallkirjade andmebaasi. Harilikult pakuvad viiruseskännerite müüjad võimalust värskendusi veebist alla laadida.
Viiruseskännerid võivad töötada kahel viisil. Üks tüüp skaneerib kõiki faile iga kord, kui te arvuti käivitate ja iga kord, kui mingi fail avatakse. Teine võtab ühekordselt jäljendi kõigist täidetavates failidest ja asub mingit faili skaneerima alles siis, kui midagi on muutunud. See meetod säästab aega arvuti käivitamisel, sest andmetöötlust pole vaja teha. Ka on failide avamine kiirem, kuna viirusetõrjeprogramm ei skaneeri faili, kui seda pole vahepeal muuudetud ning selle kindlakstegemine, kas faili on muudetud või mitte, võtab palju vähem aega kui tuhandete viiruste otsimine failist

Trojan horse

Trooja hobune - Kasuliku programmi või andmete sisse manustatud kahjulik programmiosa, mis täidab tegelikult mingit varjatud ülesannet, näiteks muudab teatud tingimustel andmeid, rikub kõvakettal failipaigutustabeli (FAT) või teeb arvutis muud kurja. Trooja hobust võib nimetada ka arvutiviiruseks, kui see laialt levib.
Mõiste "Trooja hobune" on pärit Homerose “Iliasest”. Trooja sõjas kinkisid kreeklased Trooja linnale suure puuhobuse, mille sisse olid peidetud Kreeka sõdalased. Kui troojalased hobuse linnaväravatest sisse olid vedanud, tulid sõdalased hobuse seest välja ja linn langes.

Esimesed arvutiviirused

Esimene laialt esinenud "metsik" (mitte teaduslikel eesmärkidel loodud) arvutiviirus oli Pakistanist pärit Brian Virus, mis sai avalikuks 1986. aastal. Järgmisel aastal alustasid tegevust Jerusalem -levinumaid ja visamaid raaliviirusi, millest on ohtralt erinevaid variante. Samal ajal tekitati ka viirus Stoned, mis on tänaseni levinuim ning üks raskesti tõrjutavaid. Tema päritolumaaks peetakse Itaaliat või Uus-Meremaad. Viiruse tunneb ära ekraanile ilmuva fraasi "Your PC is Stoned" järgi; stoned tähendab argoos meelemõistuse kaotanult purjus või narkootikumiuimas olemist.
Sellest ajast muutusid raaliviiruse nakkusjuhud üha sagedamateks. Tuli ette esimesi suurkahjustusi, kui viiruse ohvriks langes suur hulk arvuteid või siis suured terviksüsteemid. 1988.a. said lühikese aja jooksul nakkuse paljud Iisraeli arvutid Weitzmanni-nimelises Instituudis, Haridusministeeriumi teadus- ja pedagoogikakeskuses, ühes Tel-Avivi tarkvarafirmas ning Juudi Ülikoolis, mille mälu järk-järgult üle koormati ning lõpuks täielikult blokeeriti. Samal ajal said nakkuse ka paljud USA firmade ja ülikoolide arvutid.
Juba 1991. aastal sai USA-s viirusnakkuse keskmiselt neli personaalarvutit tuhandest ning see arv kasvab kogu aeg. 1993.aasta lõpuks oli identifitseeritud juba 2300 viirust ja nende modifikatsiooni. Raaliviiruste suhtes tundlikuks on osutunud IBM PC-ühilduvad arvutid, millele on suunatud ka viirusekirjutajate peamised jõupingutused. 1992.a. augustiks oli teada 1350 PC-viirust. Teistel arvutitüüpidel tunduvalt vähem -Amigat ähvardas 200 viirust, Macintoshi vaid 35.

Interneti uss

Esimene tõeline raaliviiruse epideemia puhkes USA-s 2.novembril 1988. Täpsemalt öeldes ei olnud tegu mitte viirusega, vaid vagelprogrammiga, mis erinevalt viirusest ei haaku mõne olemasoleva peremeesprogrammi külge, vaid levib ja paljune arvutivõrgus iseseisvalt. Vagla autoriks osutus Cornelli Ülikooli üliõpilane Robert Morris Jr, kes muide oli Rahvusliku Julgeolekuagentuuri Rahvusliku Arvutiturvakeskuse peateaduri poeg. Oma vaglale andis Morris nimeks worm (ingl.keeles: uss). Vagel ründas arvutivõrku Internet kell 5 pärast lõunat nakatades lühikese ajaga 6200 VAX- ja Sun-arvutit, mis töötasid operatsioonisüsteemi Unix teatud versioonidega. Paljud organisatsioonid, sealhulgas suured teaduskeskused nagu Lawrence Livermore Rahvuslik laboratoorium, olid sunnitud ennast mõneks ajaks Internetist täielikult lahti ühendama. Kahjud ründe tagajärgede likvideerimiskuludest moodustasid ühtekokku 98 miljonit dollarit.
Worm ise töötas järgmisel põhimõttel: nimelt kasutas ta ära muidu väga turvaliseks peetava operatsioonisüsteemi Unix-i augu programmi sendmail silumisreziimis (see meiliprogramm töötab ootereziimil ja ootab, kuni teised süsteemid temaga ühendust võtavad ja elektronposti annavad) ning ühe augu finger deemonis fingerd, mis teenindab fingeri kutseid.
Kui worm seadis end mõnes süsteemis sisse, hakkas ta koguma teavet teiste sellega ühendatud hostarvutite kohta ning tegi siis katset neisse siirduda, üritades seda teha järgemööda mitmel erineval viisil. Kui nakatumine õnnestus, katkestati side. Uues kohas oli vagla esimene ülesanne ennast maskeerida, kustutades kõik sissetungimise käigus loodud failid. Seejärel hakkas vagel üritama tungida mõne kasutaja pangaarvesse, püüdes leida parooli ning seejärel end kasutajaks maskeerides.
Et maskeering oleks veelgi täiuslikum, tekitas vagel nakatatud süsteemis aeg-ajalt enda koopiaid ning seejärel kustutas esialgse versiooni, nii et wormi ei saanud leida mingi ühe programmi poolt kasutatud ülemäärase protsessoriaja järgi. Iga 12 tunni järel kustutas ta tema poolt nakatatud arvutite nimekirja (s.t. viirus pidas jooksvat arvestust arvutite kohta, mida ta oli juba nakatanud). Seetõttu võis ta mõnda vahepeal vaglast puhastatud süsteemi uuesti nakatada.
Mõne päeva pärast hakkasid asjad aegamööda normaliseeruma. Robert T. Morris Jr. mõisteti süüdi arvutipettuse ja -kuritarvitusakti (§ 18) rikkumises ning ta sai kolm aastat tingimisi, 400 tundi paranduslikke töid ja 10 050 $ trahvi, lisaks pidi ta tasuma enda järelvalve kulud. 1990.aasta detsembris andis ta sisse appellatsiooni, mis lükati tagasi järgmise aasta märtsis.

Good Times

1994.a. detsembris levis interneti uudistegruppides haruldane Good Times nimeline worm. Good Times ei olnud viirus mitte tavalises mõttes: täpsemalt väljendudes oli ta asjatundlikult käimalastud kirjakett. Selle asemel, et ise arvutist arvutisse levida, usaldas Good Times selle inimestele.
Good Times töötas umbes järgmisel ideel: autor lasi ringlusse e-maili teate, mille pealkirjaks < Subject: > pani Good Times. Kiri ise sisaldas hoiatust, et mööda e-mail süsteeme liigub ringi ohtlik viirus nimega Good Times, mis aktiviseerub siis, kui lugeda viirust sisaldavat kirja. Kiri selgitas, et nakatunud kirja võib ära tunda pealkirja järgi, milleks on Good Times. Hoiatuse järgi tuli kõik sellist pealkirja kandvad kirjad kohe ilma lugemata hävitada.
Paljud kasutajad ei mõistnud, et see hoiatus oli nali -üldiselt ei võimalda elektrooniline kirjasüsteem teatud kirja lugemise peale programmide käivitamist. Teisest küljest, kuna hoiatus oli kirjutatud väga siiras vormis, siis saatsid inimesed selle edasi oma sõpradele, pealegi soovitas seda ka hoiatus.
Varem või hiljem tuli kiri sõprade sõpradelt või veel suurema ringiga tagasi. Esimese asjana märkas inimene loomulikult pealkirja, milleks oli Good Times. Uskudes, et teda ründab ohtlik viirus, kustutas ta selle kirja ilma lugemata. Loomulikult sisaldas see kiri vaid esialgset hoiatust. Pärast sellist pääsemist saatis see inimene arvatavasti veel mõned hoiatused...

Viiruste klassifitseerimine neid iseloomustava "käitumise" järgi

1. Käivitusfaile pakkivad viirused -pakivad koodi kokku, nii et saadud fail on kas sama suur või väiksem.
2. Kõiki programmifaile (*.EXE, *.COM) nakatavad viirused.
2.1. Ainult EXE-faili nakatavad viirused.
2.2. Ainult COM-faili nakatavad viirused.
2.2.1. COMMAND.COM nakatavad viirused.
Boot-sektori viirused.
3.1. Kõvaketta DOS Boot-sektorit nakatavad viirused.
3.2. 360 kB flopiketta viirused.
4. Ülekirjutavad viirused.
5. Parasiitviirused.
6. Mälus mitteresidentselt paiknevad viirused.
7. Mälus residentselt asetsevad viirused.
7.1. Alla 640 kB (segmendis A000).
7.2. Üle 640 kB.
7.2.1. Viirused mis kasutavad BIOS/Video/Shadow RAM-i (segment A000 - FFFF).
7.2.2. Viirused, mis kasutavad extended/expanded mälu.
8. Spawning (companion) viirused.
9. Viirused, mis manipuleerivad failipaigutustabeliga (FAT - File Allocation Table).
10. Viirused, mis nakatavad MBR-i (Master Boot Record, Partition Table).
11. Kataloge nakatavad viirused.

Spawning virus

Esimene Spawning või Companion tüüpi viirus avastati 1990.aasta aprillis. Selleks oli AIDS II. See oli esimene teadaolev viirus, mis kasutas "korrespondeeriva faili tehnikat", nii et nakatatav sihtmärk: EXE-fail jäi tegelikult muutmata. Viirus kasutas ära DOS-i omapära lugeda kõigepealt COM-faili ja seejärel alles EXE-faili, juhul kui nad on samanimelised.
Viirus ei nakatanud tegelikult EXE-faili. Ta lõi samanimelise korrespondeeriva viiruse koodi sisaldava COM-faili suurusega 8,064 baiti. Uus fail asetses tavaliselt samanimelise EXE-failiga ühes kataloogis, kuid see ei ole kõikide Spawning tüüpi viiruste puhul nii. Mõned neist võisid COM- faili luua täiesti suvalisse DOS-i pathi.
Viirus ise levis nii: kui inimene otsustas käivitada mõnd programmi, millel oli juba olemas korrespondeeriv COM-fail, siis käivitus kõigepealt viiruse koodi sisaldav COM-fail. Kõigepealt lõi viirus veel nakatamata EXE- failidele samanimelised aga viiruse koodi sisaldavad korrespondeerivad COM-failid. Pärast uute COM-failide loomist mängis AIDS II mingi meloodia ja kuvas ekraanile järgmise teate:
"Your computer is infected with ...
 Aids Virus II 
- Signed WOP & PGI of DutchCrack -"
Seejärel käivitas viirus EXE-faili ning programm käivitus probleemideta. Pärast töö lõpetamist programmiga võttis AIDS II jälle kontrolli enda kätte. Monitorile kuvati järgmine teade:
"Getting used to me? Next time, use a Condom . . . . ."
Viiruse koodis need teated nähtavad ei ole. Kuna EXE-fail töötas tõrgeteta, siis mõned viirusetõrje programmid ei suutnud viirust leida.

Katalooge nakatav viirus (DIR II)

DIR II (alias Creeping Death, FAT) avastati Ida-Euroopas (Bulgaaria, Ungari, Poola) 1991. aasta septembris. DIR II on residentselt mälus asetsev stealth-tüüpi viirus, mis kasutab täiesti uudset nakatamise tehnoloogiat. Ta on üsna raskesti avastatav, kuna tal ei ole kergesti nähtavaid ja mõõdetavaid suurusi.
Kui arvuti käivitatakse nakatunud kettalt, siis sel ajal kui DOS käivitab peidetud süsteemifaile, loeb DOS ka DIR II residentselt mällu. Viirus loetakse residentseks süsteemi alumisse mällu, kus asub informatsioon (IO ja MSDOS) süsteemi konfiguratsiooni kohta. Kui kasutaja peaks vaatama mälu jaotust mõne DOS-i tööriistaga, siis näeb ta seal, et Config on 1 552 baiti suurem kui oodatud.
Kui süsteemi kõvaketas ei olnud enne nakatunud, siis juhtus see viirusega nakatunud kettalt käivitamise ajal. Kuna DIR II on mälus residentselt, siis iga ketas, mis pole kaitstud ülekirjutamisseadmega, nakatatakse kasutamisel. Viirus paigutab oma koodi ketta viimasesse klastrisse (cluster). Süsteemi kõvakettal asetab viirus end eelnevalt kasutamata klastrisse. Seejärel kodeerib viirus õiged käivitusfailide viidad ja kopeerib need ketta kataloogi kasutamata osasse. Siis muudetakse õiged viidad nii, et need osutaksid viiruse koodile kõvakettal.
Vaadates nakatunud kataloogi ei märka kasutaja mingit erinevust. Kõik käivitusfailid säilitavad oma esialgse suuruse ja kuupäeva/kellaaja stambi. Tegelikult ei muudeta originaalprogramme üldse. Kui kasutaja käivitab mõne programmi, siis käivitub viirus. Kasutades kodeeritud viitasid, mis sisaldasid programmi tegelikke viitasid laeb DIR II programmi, mille kasutaja kavatses käivitada.
Üks põhilisi DIR II sümptomeid on see, et viirus on ka siis süsteemis, kui käivitatakse viirusvabalt kettalt. Kopeerides faile nakatunud kettalt on tulemuseks see, et failid ei kopeeru korralikult. Uued kopeeritud failid sisaldavad viiruse koodi, mis on paigutatud ketta viimasesse klastrisse. Juhul kui DIR II ei ole mälus residentne, käivitamisel DOS-i programmi CHKDSK, on resultaadiks teade suurest hulgast kadunud klastritest. Kõikide käivitusfailide kohta öeldakse, et nad on cross-linked ühes ja samas sektoris. See sektor on viiruse koodi asukoht kettal. Kui kasutada aga veel parameetrit /F, siis on tulemuseks kõigi käivitusfailide jääv moonutus. Käivitades aga CHDSK ajal, mil viirus on mälus residentne, ei järgne mingit teadet kahjustuste kohta.

MBR- (Partitsiooni tabeli) viirused (Stoned)

Viirus Stoned avastati esmakordselt Wellingtonis, Uus-Meremaal 1988. aasta alguses. Originaalne Stone nakatas ainult 360Kb 5¼'' flopisid, tegemata mingit destruktiivset kahju. Enamus ülejäänud Stoned-i modifikatsioonidest on võimelised nakatama master boot sector-t (partitsiooni tabelit) ja hävitama katalooge või failipaigutustabeli (FAT) informatsiooni. Paljud modifikatsioonidest on vaid väikese muudatusega teates, mis kuvatakse käivitamise ajal.
Kui arvuti käivitatakse viirusega nakatunud kettalt, siis installeerib Stoned end süsteemimälu algusesse residentselt. Katkestusvektor 12 liigutatakse ära ja CHKDSK teatab, et arvutil on 2Kb vähem mälu kui installeeritud. Tehes algkäivituse flopikettalt püüab viirus samuti nakatada kõvaketta master boot sector-t kui see on veel eelnevalt nakatamata.
Algkäivituse ajal võib Stoned suvalisel hetkel kuvada teate, mis enamasti näeb välja järgmine:
"Your PC is now Stoned!" või: "Your Computer is now Stoned."
Pärast seda kui Stoned on mälus residentne, nakatub iga kopeerimiskaitseta ketas süsteemi lülitumisel. Nakatamisel lükkab Stoned õige boot-sektori (sektor 0) sektoriks 11 ja kopeerib end sektorisse 0. Kuna 11. sektor on tavaliselt 360Kb 5¼'' flopi juurkataloogi osa, siis kõik failid, mille kataloogi kirjed asuvad selles sektoris, on määratud kaduma. Mõnede DOS-i versioonide korral on 11. sektor osa failipaigutustabelist (FAT) -seega ketta FAT rikutakse.
Kui Stoned nakatab süsteemi kõvaketast, siis kopeeritakse master boot sector uude kohta, milleks enamasti on side 0, cyl 0, sector 7. Viiruse enda koopia tehakse aga master boot sector-i endisse kohta side 0, cyl 0, sector 1. Juhul kui kõvaketas oli formaaditud tarkvaraga, mis paigutas boot-sektori, failipaigutustabeli või ketta kataloogi side 0, cyl 0 kohe peale master boot sector-t, siis on kõvaketas kahjustatud.

Ülekirjutavad viirused

Üheks ülekirjutavaks viiruseks on näiteks Bad Brian (samuti tuntud kui BB). Bad Brian avastati 1992.aasta aprillis. BB on destruktiivne viirus, sest kõik failid, mida ta nakatab, on seejärel kahjustunud. Nakatamise objektiks valib ta COM-failid, sealhulgas ka COMMAND.COM.
Kui käivitatakse programm, mis on nakatatud BB poolt, siis nakatab viirus ühe COM-faili, mis asub teises alamkataloogis. Failis, mis on nakatunud BB-ga, on 576 baiti faili algusest viiruse poolt üle kirjutatud. See osa sisaldab seejärel ainult viiruse koodi. Kuna esialgset koodi kuskile ümber ei kopeerita, siis faili pikkus pärast nakatumist ei muutu, küll aga kaotab fail oma endise ülesande. Samuti ei muutu ka faili modifitseerimise kuupäev ja kellaaeg.
Kuna ülekirjutavad viirused kirjutavad oma koodi peremees-faili koodi peale, siis ei saa neid faile enam pärast taastada. Need tuleb lihtsalt asendada viiruspuhaste failidega.

Parasiitviirused

Parasiitviirused on viirused, mis kirjutavad oma koodi peremees-faili otsa (EXE- ja COM-failid). Seega muutub fail viiruse koodi võrra pikemaks. Viirus kasutab ära faili alguses olevat käsku JMP, mida muudetakse nii, et see osutaks kõigepealt viiruse koodile faili lõpus ja seejärel käivitaks selle. Õige JMP-käsk kopeeritakse aga viiruse koodi lõppu. Pärast seda, kui viirus on nakatanud veel mõned EXE- või COM-failid, pannakse käima õige programm. Üsna tihti ei sisalda need viirused hävitavat koodi. Ainus asi, mis annab märku viiruse olemasolust, on faili suurenemine viiruse koodi võrra ja mingi viirusele iseloomulik string faili lõpus. Kuid uuematel viirustel ei peagi faili suurus kasvama, sest peremees-faili kood pakitakse kokku.

Zaraza

1994.a. oktoobri keskel leiti Moskvast uus bootviirus, millele pandi nimeks Zaraza (vene keeles nakkus). Viirus kasutab täiesti ainulaadset nakatamismeetodit. Zaraza nakatab flopide boot-sektoreid nagu tavaliselt. See-eest kõvakettal nakatab viirus DOS-i tuuma: faili IO.SYS. Seetõttu mõeldi välja kohe uus viiruste klass: kernel infectors. Viiruse pikkus on 1024 baiti (s.t. kaks sektorit). Flopil on viiruse esimene osa boot-sektoris, ülejäänud osa viirusest ja esialgset boot sektorit hoitakse juurkataloogi kahes viimases sektoris.
Kui arvuti käivitatakse nakatatud disketilt, siis püüab viirus nakatada esimest faili aktiivse DOS-partitioni juurkataloogis (tavaliselt on see IO.SYS). Kõigepealt teeb viirus failist koopia ja siis kirjutab faili algusse oma koodi. Hiljem pannakse nakatatud faili atribuudiks Volume label.
Kui arvuti järgmine kord käivitatakse, siis aktiviseerub ka viirus ja tegutseb edasi nagu tavaline boot-sektori viirus. Kõik arvutis kasutatavad kopeerimiskaitseta flopid muutuvad viirusekandjateks. Nakatunud kõvaketta nimeks on IO.SYS (Label seda nime muuta ei suuda!). Kuna Zaraza asub failis IO.SYS, siis ei aita ka FDISK/MBR, kuna see asendab vaid MBR-i ja boot-sektori. Samuti ei aita ka SYS C:, kuna see muudab/kustutab vaid IO.SYS faili nakatumata koopia.
Lisaks kõigele muule on Zaraza veel kergelt polümorfne: nakatunud ketaste boot-sektorid erinevad vähesel määral teineteisest. Ainult string MS DOS 5.0 sektori alguses ja 55AA sektori lõpus on alati nähtavad. Viirus sisaldab teksti "V boot sektore zaraza". Tekst on kodeeritud ja seda ei ole näha isegi mälus. Augusti jooksul näitab viirus seda teadet igal käivitamisel. Zaraza ei sisalda hävitavat koodi. Vea tõttu koodis jääb viirus sageli 386/486 protsessoriga arvutitel rippuma. Zaraza suudab nakatada vaid neid kõvakettaid, mille aktiivne DOS-partition on suurem kui 10,6 MB.

Shifting Objective

Siiamaani on kõikide viiruste üheks vältimatuks omaduseks olnud käivituvate failide nakatamine. Ent seda vaid 1994.a. alguseni. Nimelt siis tuli avalikkuse ette Shifting Objective, esimene viirus, mis ei nakata käivituvat koodi. Selle asemel lisab ta end hoopis OBJ moodulitele. (OBJ fail on vaheaste programmide lähtetekstide ja käivitatava koodi vahel.)
Mitte kõik inimesed ei kirjuta programme ja mitte kõik programmeerijad ei kasuta selleks C -d või assemblerit -seega nende arvutites Shifting Objective ei levi.
OBJ fail on põhimõtteliselt muutuva pikkusega kirjete jada. Iga kirje alguses on 3 baiti pikk päis ja lõpus kontrollsumma. Päise esimene bait defineerib kirje tüübi ja ülejäänud kaks baiti sisaldavad endas kirje pikkust baitides.
Osad kirjete tüüpidest on:
80h -OBJ faili esimene kirje
8Ah -OBJ faili viimane kirje
8Ch -väliste andmete definitsioonid
A0h -tavaline kood
A2h -kokkusurutud kood.
Tavaline OBJ fail algab esimese ja lõpeb viimase kirjega. Need kirjed sisaldavad OBJ mooduli nime, koodi algusaadressi ja muud taolist infot. Väliste andmete definitsioonide kirje sisaldab endas teistes OBJ moodulites paiknevate andmete ja koodide nimekirja. Viimased kaks kirjetüüpi sisaldavad tegelikku koodi ja andmeid (A0h) või korduvaid mustreid (DUP käskude tulemus lähtetekstis). Nendel kirjetel on pärast kolmebaidist koodi veel kolm baiti:segmendi indeks (esimene bait) ja koodi off-set (teised kaks baiti).
Kuidas viirus tegutseb? Viirus püüab nakatada ainult neid OBJ mooduleid, millest peaksid saama *.COM failid. Ta lisab end OBJ moodulile nii, et pärast linkimist on COM-failis viiruse kood esimene. Käivitamisel alustab viirus tegevust. Kõigepealt kontrollib ta, kas ta on juba residentne. Kui ei, siis see viga parandatakse. Edasi kutsub viirus välja residentse osa, mis tõstab vana koodi õigele kohale tagasi ja laseb selle käima. Viirus ronib DOS -le kättesaadava 640 KB lõppu, vähendades seda 2 KB võrra. Samuti haarab ta enda kätte katkestusvektori 2Ih.
Residentsena jälgib viirus failide sulgemist. Kui suletav fail on OBJ moodul, siis püütakse teda enne sulgemist nakatada. Viirus kontrollib iga kirje päist. Kui kirje on väliste andmete definitsiooni kirje, siis jäetakse fail puutumata. Kui kirje on koodikirje (A0h või A2h), siis muudetakse tema koodi off-set, liites sinna juurde viiruse pikkuse, ja lõpus kontrollsummat. Kui kirje on esimene koodikirje ja koodi off-set ei ole 100h, siis otsustatakse, et tegemist ei ole COM-faili jaoks mõeldud OBJ mooduliga ja jäetakse fail puutumata. Kui tegemist on viimase kirjega, siis loetakse see mällu, kirjutatakse asemele tavalise koodi kirjena viiruse kood ja pannakse viimane kirje tagasi faili.
Mingeid muid kõrvalefekte peale paljunemise viiruses ei esine. Samuti ei sisalda ta mingi hävitavat koodi. Viiruse koodis on lahtiselt näha teksti:
Shifting Objective Virus 3.0 © 1994 Stormbringer [Phalcon/Skism] Kudos go to The Nightmare!
Viirusega seoses tekib üks probleem. Nimelt on Shifting Objective võimeline korralikult töötama vaid COM-failis, aga OBJ-failis ei ole kuskil kirjas, et konkreetne moodul peaks saama COM-failiks. Keegi ei keela meil COM-failina mõeldud OBJ-moodulit linkimast EXE-failiks. Samuti võib EXE-faili lähteaadressiks olla 100h.
Shifting Objective ei kujuta endast suurt ohtu. Kui mitte arvestada ülaltoodud probleemi, siis ei tekita viirus mingeid kahjusid. Pealegi ei levi see viirus just eriti aktiivselt.

*.BAK ja *.PAS failide viirus

Üheks selliseks viiruseks, mis tegeleb *.BAK ja *.PAS failidega on Anti-Pascal. See viirus avastati 1990 aasta juunis Sofias Vesselin Bontchevi poolt. Arvatakse, et tegelikult kirjutati see viirus kas Venemaal või Poolas. Üldiselt on Anti-Pascal *.COM faili viirus (sealjuures on ta võimeline nakatama ka COMMAND.COM-i). Kui viirus ei ole veel mälus residentselt, siis nakatamise käigus hõivatakse vektor 24.
Kui käivitatakse nakatunud programm, siis on viirusel ülesandeks nakatada teisi *.COM faile aktiivsel kettal või D: kettal, aga ainult neid faile mis asuvad vahemikus 605 ja 64 930 baiti. Samuti ei tohi need failid sisaldada read-only atribuuti. Kui leitakse selline nakatumata *.COM fail, mis vastab viiruse kriteeriumitele, siis esimesed 605 baiti *.COM failis kirjutatakse üle viiruse koodiga. Õige kood kirjutatakse aga faili lõppu. Seega kasvab faili suurus 605 baidi võrra, muudetakse ka faili kuupäeva/kellaaja stampe, mis saavad nakatumise hetke andmed. Nakatunud fail sisaldab stringi "combakpas???exe".
Kui Anti-Pascal ei leia nakatamiseks vähemalt kahte *.COM faili, siis otsib ta aktiivsest kataloogist *.PAS ja *.Bak faile. Kui leitakse mõni sellise laiendiga fail, siis kirjutatakse esimesed 605 baiti viiruse koodiga üle. Kui ülekirjutavaks failiks oli *.PAS fail, siis kaotab kasutaja osa Pascali koodist. Pärast *.PAS ja *.BAK failide ülekirjutamist on viirusel ülesanne muuta need failid *.COM failideks, aga kui samanimeline fail juba eksisteerib, siis *.EXE failiks. Kuna Anti-Pascali esialgse variandi koodis oli viga sees, siis viimast ülesannet ei suutnud viirus täita. See viga parandati viiruse hilisemate versioonidega.
Anti-Pascal II koodis muudeti aga ümbernimetamise käsk ära kustutamiskäsuks. Seega mitte leides vähemalt kahte nakatamata *.COM faili, kustutas Anti-Pascal II ära kõik *.PAS ja *.BAK ja veel ka *.BAT failid, mis ta leidis. Anti-Pascal II erinevuseks tema eelkäijast on veel see, et selle viiruse kood kirjutatakse *.COM faili lõppu. Programmi käivitamisel suunatakse esimese JMP käsuga viiruse koodile ja alles seejärel käivitatakse õige kood. Samuti ei muudeta kuupäeva/kellaaja stampe. Anti-Pascal II nakatab kõigepealt iga ketta juurkataloogis asuva esimese *.COM faili (tavaliselt on selleks COMMAND.COM). Üheks oluliseks Anti-Pascal II sümptomiks on veel see, et ta võib kahjustada ketta boot-sektorit nii, et enne käivitatav ketas seda enam ei ole.
5. Viiruste klassifitseerimine nakatamiskiiruse järgi.
Nakatamiskiiruse (aktiivsuse) järgi saab viiruseid klassifitseerida kas aktiivseteks (Fast Infectors) või väheaktiivseteks (Slow Infectors). Aktiivne viirus on viirus, mis olles aktiivselt mälus ei nakata ainult parajasti käivitatavaid faile, vaid ka neid, mis on lihtsalt avatud. Sellise viiruse resultaadiks on see, et pärast mõne käivitusfailide kontrollprogrammi käivitamist on enamus käivitusfaile korraga nakatunud. Ühtedeks sellisteks viiruseks on Dark Avenger ja Frodo.
Terminit -"väheaktiivne viirus" kasutatakse põhiliselt viiruste kohta, mis olles aktiivselt mälus nakatab ainult neid faile, mida kas modifitseeritakse või parasjagu luuakse. Näiteks võib tuua viiruse nimega Darth Vader.

Arvutiviiruste "abi"tehnoloogiad

Stealth tehnoloogia

Paljud arvutiviirused kasutavad oma paremaks maskeerimiseks niinimetatud stealth tehnoloogiat. See käib eeskätt residentselt mälus asuvate viiruste kohta. Üheks selliseks on Venemaalt pärit AntiEXE.
Näiteks kui viirus on aktiivselt mälus, siis iga kutse, mis tehakse Master Boot Record-le, võetakse vastu viiruse poolt ja MBR kutsutakse välja. Kui aga proovida kirjutada midagi MBR-i, siis teeb arvuti algkäivituse.
Veel üks stealth tehnoloogiat kasutavate viiruste omaduseks on see, et nad nakatavad faile "lennult", s.t. kui mällu hakatakse lugema nakatunud programmi, siis desinfitseerib viirus selle faili. See raskendab aga tunduvalt viirusetõrje programmidel nakkust avastamast.
Kolmas omadus on viiruste suutlikkus nakatada ka neid käivitusfaile, mis antud hetkel on avatud. See aga avab suuremad võimalused levida kiiresti üle kogu süsteemi.

Koodi pakkimine

Seda tehnoloogiat kasutavad peamiselt parasiit-viirused. Pakkides põhiprogrammi koodi kokku ja seejärel enda koodi tekkinud vabale kohale kirjutades, ei ole näha, et fail suureneks, saadud fail võib olla isegi esialgsest väiksem. Käivitades sellist pakitud faili, hakkab viirus kõigepealt koodi lahti pakkima. Programm käivitub ja pärast töö lõpetamist pakib viirus faili koodi kokku tagasi.
Ühed selliseid viiruseid on Cruncher-i "perekonda" kuuluvad viirused. Pakkimiseks kasutavad nad Lempel-Zev-Huffman-i pakkimismeetodit.

Ketta krüpteerimine

Esimesena tuli sellise idee peale mitmete viirusealaste raamatute autor Mark Ludwig. Põhimõte on selles, et viirus, saades mälus residentseks, hakkab kettal olevaid andmeid tugeva algoritmiga kodeerima. sellised viirused on väga destruktiivsed, sest on oht jääda ilma kõikidest andmetest, mis asuvad kõvakettal.
Põhiline probleem sellistel boot-viirustel on see, et nad satuvad tihti vastuollu Windowsiga kuna seal kasutatakse 16bitise andmevahetuse asemel 32 bitist. Seega tuleb Windowsi peamine swap-fail jätta kodeerimata.

"Antiviirus"-viirus

Mõned arvutiviirused ei ole disainitud ainult nakatama käivitusfaile, vaid sisaldavad ka teatud antiviiruse koodi. Need viirused sisaldavad mootorit, mis on võimelised võimetuks tegema või kõrvaldama antiviiruse programme ja konkureerivaid viiruseid. Üheks selliseks on näiteks Den_Zuko (kustutab ära Brian või Ohio viiruse ja kirjutab oma koodi selle asemele), aga ka Yankee_Doodle (selle viiruse uuematel versioonidel on võime upgrade-da oma vana versioon, kustudades vana koodi ja kirjutades sinna peale uuema versiooni koodi aga ka muuta viiruse Ping Pong koodi nii, et pärast sajandat nakatamist hävitab Ping Pong end), Neuroquila seevastu suudab teha võimetuks mõningaid viirusetõrjeprogramme.


Arvutiviiruste suhtes kõige tundlikumaks on osutunud IBM PC-ühilduvad arvutid. Nendel arvutitel on avastatud praktiliselt kümme korda rohkem viiruseid kui teistel. Seni on viiruste suhtes kõige töökindlamaks osutunud Macintosh tüüpi arvutid.
Üldiselt võib IBM tüüpi arvuti viirused jagada kahte suurde gruppi. Esimeseks oleksid viirused, mis kasutavad oma levikuks faile (nakatades neid). Enamasti osutuvad nakatunuteks *.EXE ja *.COM failid, aga on olemas viiruseid, mis suudavad nakatada ka teistsuguste laienditega (*.SYS, *.OVL, *.PRG) faile. Faile nakatavad viirused võib omakorda jaotada kaheks:
a)viirused, mis loevad end residentselt mällu
b)viirused, mis ei loe end residentselt mällu
Teiseks viiruste rühmaks oleksid süsteemi või buut-sektori viirused. Siia gruppi kuuluvad viirused, mis kirjutavad oma koodi ketta buut-sektorisse. Seega tehes algkäivituse nakatunud kettalt aktiviseeritakse ka viirus. Sellised viirused on tavaliselt üsna destruktiivsed, sest kirjutades viiruse koodi buut-sektorisse, kirjutatakse üle seal eelnevalt asunud info ketta kohta.
Kuid on olemas ka viiruseid, mis suudavad nakatada nii faile, kui ka buut-sektorit. Selliseid viiruseid kutsutakse Multi-Partite viirusteks.
On välja mõeldud palju nn. "abi"tehnoloogiaid, mis raskendavad viirustõrje programmidel viirusi leidmast. Need on "mootorid", mida saab viiruse koodi juurde panna, et viirus oleks raskesti avastatav või oleks tema levik kiirem/laialdasem. Sellisteks abivahenditeks on: 1.ketta krüpteerimine
2.polümorfsus
3.failide pakkimine
4.stealth tehnoloogia
5."antiviirus" viirus.
4. Sõnaseletused.

Boot sector -
alglaadimissektor (sektor, kus asub info arvuti algkäivituse kohta)
File Allocation Table (FAT)-
failipaigutustabel (kirjeldab paigutust välissalvestist), info failide ja nende asukoha kohta.
Master Boot Record (MBR)-
info failisüsteemi ja kõvaketta kohta (operatsioonisüsteemi alguse aadress jne.). Esimene füüsiline sektor (track 1, head 0, sector 1) PC kõvakettal. See ei ole sama, mis esimene DOS-i sektor (logical sektor 0).
Partition Table-
info ketta kohta (kas ketas on buuditav, sektorite ja silindrite arv kõvakettal jne.)
CHKDSK-
MS DOS-i tööriist, mis näitab arvuti mälujaotust ja kas failid asuvad kettal samal aadressil kui FAT-is (cross-linked files).
Path-
kataloogide nimekiri, kust otsitakse sisestatavat käivitusfaili
Swap-file-
fail, kuhu salvestatakse operatsioonimälust teatud andmehulgad, mida ei kasutata aktiivselt.
Upgrade-
vanema tarkvara versiooni asendamine uue versiooniga

Minevik

Arvutiviiruste alged ulatuvad tagasi aega mil meie mõistes õiget arvutit veel polnud. Teeme tagasivaate minevikku.
1949
Ilmus teooria isepaljunevatest programmidest
1981
Apple viirused 1, 2 ja 3 on esimesed "vabas looduses" olevad viirused. Levisid nad Apple II diskettidel mis tol ajal sisaldasid ka operatsioonisüsteemi. Teadaolevatel andmetel sai asi alguse firmast Texas A&M.
Peale 50 buutimist nakatunud disketilt kuvas viirus teate:
"Elk Cloner: The program with a personality
It will get on all your disks
It will infiltrate your chips
Yes it's Cloner!
It will stick to you like glue
It will modify ram too
Send in the Cloner!"
Mingit tõsist kahju see viirus andmetele ei teinud. Mõnedel andmetel võis ta põhjustada diskide riknemist.
1983
Esimene dokumenteeritud arvutiviirus
Viirus loodi illustreerimaks turvalisuse alast seminari. Tema loomiseks kulus 8 tundi tugevat tööd. 10.11.1983 esitleti teda seminaril.
Fred Cohen defineeris oma väitekirja kallal töötades arvutiviiruse - see on arvutiprogramm mis suudab muuta teisi programme ning ennast nende abil paljundada.
1986
Kaks venda-programmeerijat Pakistanist nimedega Basit ja Amjad asendasid disketi alglaadimissektori koodi enda omaga, mis oli loodud nakatamaks igat 306kb disketti mis sisestatakse ükskõik millisesse draivi. Viruse nimeks sai Brain. Kuna see levis laialdaselt sel ajal kasutataval operatsioonisüsteemil MS-DOS, kutsutakse seda reeglina esimeseks viiruseks. Samal aastal ilmus ka esimene PC baasil trooja hobune mis töötas populaarse jaosvara programmil PC-WRITE
1987
Hakkasid ilmuma esimesed viirused mis nakatasid faile. Põhitähelepanu oli suunatud .com laiendiga failidele, eriti aga command.com failile. Sel ajal algasid ka tööd ka exe failide nakatajate kallal. Esimeseks oli Suriv-02 millest arenes edasi viirus nimega Jerusalem.
Kiiresti leviv(500 000 paljunemist tunnis) ussviirus lõi tummaks IBM peaarvuti: IBM Jõuluuss
1988
Ilmus Jerusalem, üks enim levinud viiruseid. Aktiviseerudes igal reedel 13. kuupäeval, nakatas ta .exe ja .com faile ning kustutas kõik sel päeval käivitatud programmid.
Robert Morrise loodud interneti uss põhjustas esimese interneti kaose ja lõi tummaks paljud arvutid.
1989
AIDSi Troojalane. See viirus saavutas laialdase tuntuse viisi järgi millega ta kohtles andmeid. Troojalane saadeti välja AIDSst informeerimise prorammi nime all. Kui ta käivitati siis krüpteeris ta kasutaja kõvaketta ning nõudis raha dekrüpteerimisvõtme eest.
1990
Onlaini läks esimene viiruste vahetamise BBS, see juhtus Bulgaarias. Mark Ludwig avaldas raamatu "The Little Black Book of Computer Viruses".
Symantec lasi välja Norton Antiviruse, mis oli üks esimesi suurfirmade poolt loodud viirusetõrje programm
1991
Avastati Tequila, esimene laialt levinud oma kuju muutev viirus. Saabus ta Shveitsist
1992
Avastatud oli 1300 viirust, see oli 420% enam kui 1990 aasta detsembris. Seoses Michelangelo nimelise viiruse levikuga ennustati et 06.03 langeb rivist välja 5 miljonit arvutit. Tegelikkuses oli see arv 5000 - 10000.
Samal aastal sai DAMEst(Dark Avenger Mutation Engine) esimene vahend millega sai muuta igat viirust muutuvaks. Samal aastal loodi ka esimene tõeliselt töötav vahend viiruste valmistamiseks(virus development kit).
1994
Good Times nimeline trikiviirus rändas läbi arvutivõrkude. Ta hoiatas meiliteel levivast viirusest mis kustutab kogu kõvaketta sisu. Selleks pidavat piisavat kui avate meili pealkirjaga Good Times.
1995
Loodi Concept. Esimene macroviirus mis oli ette nähtud ründama MS Wordi.
1996
Ilmus 3 huvitavat esiklast
Boza oli esimene viirus mis oli valmistatud ründamaks spetsiaalselt Windows 95 faile.
Laroux oli esimene Exceli makroviirus
Staog oli esimene Linuxi viirus(loojateks olid samad mehed kes lõid Boza)
1998
StrangeBrew oli esimene viirus mis nakatas Java faile. Viirus muutis CLASS failide sisu. Ilmumist alustasid MS Access makroviirused. Grupp nimega Cult of the Dead Cow lõi kaughaldustarkvara nimega Back Orifice. Asja sai kasutada nii ausatel kui ka ebaausatel eesmärkidel. Viiruseks on teda siiski nimetada ilmne liialdus.
1999
Grand Opening. Melissa alustas oma tegevust. Ta levis laialdasemalt kui ükski senine viirus, kasutades selleks Outlooki aadressiraamatus leiduvaid emaili aadresse. Ta oli kombinatsioon Wordi makroviirusest ja interneti ussist, kes kasutas levikuks MS Outlooki ja Outlook Expressi aadressraamatuid saatmaks iseennast mööda internetti laiali. Ilmus Corner, esimene viirus mis nakatas MS Projecti faile. Tristate oli esimene multifunktsionaalne makroviirus, töötas nii Wordi, Exceli kui ka PowerPointi failidega.Bubbelboy oli esimene ussviirus mis suutis aktiviseeruda kui kasutaja avas meili Outlookis(või vaatas meili eelvaates Outlook Expressis). Meililisand polnud enam vajalik. Bubbleboy oli kirjutatud kui concept viirus. KaK nimeline viirus kasutas seda teed aga levimiseks.
2000
Võeti ette suured DDoS(denial of service) rünnakud suurte saitide nagu Yahoo, Amazon jne vastu. Ilmusid mitmed huvitavad viirused.
Love Letter alias ILOVEYOU, saatis koopiad iseendast laiali Outlooki aadressraamatu järgi nagu ka Melissa ning muutus mais selle aja kiiremini levivaks viiruseks. Viirus saabus VBS meililisandina ja kustutas faile .mp3, .mp2 ja .jpg. Samuti saatis ta kasutajanimed ja paroolid oma autorile. Oma väga kiire ja laialdase leviku tõttu häiris või isegi peatas ta meiliserverite tööd üle maailma. 2000 juuni toimus esimene viirusrünnak telefonisüsteemi vastu. Visual Basicu uss nimega Timofonica üritas saate teateid telefonidesse millel interneti võimalus, see juhtus Hispaania võrgus. Hiljem ründas sarnane uss Jaapani hädaabikõnede võrku. 2000 august nägi esimest troojalast Palmi PDA jaoks. Stream sai esimeseks NTFS failisüsteemi vastu suunatud viruseks. Stream ei liikunud vabalt ringi, ta oli kirjutatud tõestuseks. Oli ainult aja küsimus millal ilmub tegelik viirus NTFS failisüsteemile.
Pirus oli teine sarnane tõestuseks kirjutatud viirus. Ta oli esimene php -s kirjutatud viirus, kes üritas ennast lisada veebilehtede html ja/või php koodi. W97M.Resume.A oli Melissa uus modifikatsioon. Käitus Melissale sarnaselt. Viirus nimega Stages oli maskeeritud naljaks eluastmete kohta. Erinevalt eelnevatest oli see viirus peidetud meililisandi sisse millel oli vale .txt laiend. Nii käivitasid seda meililisandit suurem hulk inimesi. Seni oldi tekstifaile peetud turvalisteks.
2001
Ilmus Anna Kournikova viirus. Maskeerus tennisetähe Anna Kournikova pildi taha. Käitumine oli tal sarnane Melissa ja Love Bug -le. Levitas iseennast, saates koopiaid laiali Outlooki aadressraamatust leitud aadressitele. Arvatakse, et see viirus loodi nö "virus development kit" -i abil. See muutis viiruste loomise lihtsaks ka algajale programmeerijale ning oli ühtlasi märguandeks underground ringkondades, et igaüks, seal hulgas ka sina võid luua oma viiruse.
Viirus nimega Homepage nakatas enam kui 10 000 MS Outlooki kasutajat. Käivitades suunas ta kasutajad seksuaalse sisuga veebilehtedele. Levis kiiresti Aasias ja Euroopas, vähem USAs. Viiruse autor elab väidetavalt Argentiinas ja oli ka Kournikova viiruse loojaks.
Ussviirused Code Red I ja II ründasid arvutivõrkejuulis ja augustis. Rajalt võeti maha üle 700 000 arvuti ning rahaline kahju ulatus 2 miljardi dollarini. Need viirused levisid tänu MS Windows NT ja Windows 2000 turvaaukudele. MS töötas välja veaparanduse.
Veebruaris hakkas levima Gnuman, viirus kes levitas ennast Gnutella nimelise failijagamissüsteemi kaudu. See oli esimene "peer-to-peer" kasutajaid ründav viirus. Märtsis lasti välja nö concept viirus mis suutis nakatada nii Windowst kui ka Linuxit ning ka neid ristamisi. Mais nägi ilmavalgust esimene Applescript viirus, mis ründas Apple kasutajaid kellede meiliprogrammiks juhtus olema MS Outlook. Nakatumisskeem sarnanes tavalise Outlooki viirusega. Augusti alguses tuli välja PeachyPDF-A, esimene viirus mis levis Adobe PDF formaadi kaudu. Asi oli ohtlik siiski ainult Acrobadi mitte Acrobat Readri kasutajatele. Septembris demonstreeris Nimda oma imepärast paindlikust levikus. Aasta esimesel poolel ilmus meiliviiruste hulka nimi Klez, mis oli tähelepanuväärne seetõttu, et suutis ennast ise levitada SMTP protokolli kaudu ega vajanud enam meilikliendi abi.
2002
Jaanuaris ilmus LFM-926, esimene viirus mis suutis nakatada ja levida Macromedia Shockwave Flash(*.swf) faile. Faili käivitades ilmus kiri "Loading.Flash.Movie..."(millest ka nimi), seeaeg laeti masinasse skript mis genereeris seal *.com faili mis siis nakatas teised *.swf failid. Samuti ilmus jaanuari alguses esimene MS .NET teenuste vastu suunatud viirus. Märtsis tuli välja esimene ainult .NET vastu suunatud viirus nimega Sharp-A. Sharp-A on huvitav ka seepoolest, et on üks väheseid viiruseid mis on kirjutatud naisterahva poolt, kes väidetavalt on hetkel 18 aastane üliõpilane. Mai lõpus lasti vabadusse Javaskripti uss SQLSpider mis ründas MS SQL Servereid ning programme mis kasutasid seda tehnoloogiat. Umbes samal ajal ilmus ka Benjamin, viirus kes kasutas levimiseks KaZaa peer-to-peer teenust. Juuni keskel kirjutati oma väite tõestuseks Perrun, esimene viirus kes lisas ennast JPEG failile. Asi on esialgu siiski kontrolli all kuna masinas peab olema ka avamisprogramm mis eraldaks viiruse pildifailist. 28.juunil avastati Scalper - uss kes ründas FreeBSD -l jooksvaid Apache veebiservereid.

Olevik

Teadaolevate viiruste arv ületab erinevate viirusetõrje firmade teadetel 70 000. Nendest 26,1% on makroviirused, 19,2% on käivitusfaili viirused, 26,1% trooja hobused ja 6,8% skriptiviirused. Muid viiruseid(Unix, boot sektori, ussviiruseid jne) on hinnanguliselt 21,8%. 2001 aastal toimus 79% nakatunmisi käivitusfaili, 12% skript ja 4% makroviiruste poolt. Ülejäänud 5% olid trooja hobused, Unixi ja boot sektori viirused. 2001 aasta lõpus avastati ca 1200 uut viirust igal kuul.

Juunis 2002 tuli juba 200 uut viirushoiatust päevas.
Ringi liiguvad nii uued kui vanad viirused. Peaaegu igal kuul ilmub uus Klezi versioon. Praktiliselt igas firmas on mingi viirus teinud suuremal või siis vähemal määral kahju. Kui vaadata sissetulevaid meile siis võib julgelt väita, et ca 20% arvutitest Eestis on nakatunud mõne meili teel leviva viirusega. Kui vaadata 80 porti(veebiserver) tulevaid päringuid siis on protsent mõnevõrra väiksem kuid siiski piisav. Vahel on seal rohkem viiruse päringuid kui asjalikke.
Uued viirused näevad päevavalgust praktiliselt igapäev. Kaitse nende vastu aga ilmub mõnevõrra hiljem. Ringi möllavad viirused a´la Slapper kes suudavad Linux(Red Hat, SuSE, Debian, Mandrake ja Slackware) ning Apache serveri kombinatsiooni siduda üheks peer-to-peer võrguks, et viiruse autorid saaks seda kasutada rünnakul suremate sihtmärkde vastu. 20.09 -ks oli nakatunud serverite arv ametlikult ca 7000, mitteametlikel hinnangutel ca 30 000. Viirus ostus nii edukaks kuna sisaldab oma peer-to-peer protokolli. Asjatundjad arvavad, et keegi üritab lua peer-to-peer võrku mida siis kasutada mõne suurema sihtmärgi ründamiseks. Siinkohal meenutagem mõne aja tagust rünnakut Amazonile ja mõnele teisele suurfirmale. Rünnak oli üsnagi edukas. Võibolla veel hullem kui nö normaalne viiruslik tegutsemine on Slapperi puhul üleskutse mida ta edastab. Nimelt saadab Slapper sihtmärgile oma kompileerimata lähtekoodi. Peale laadimist käivitab viirus pea igas Linuxi arvutis oleva C kompilaatori ning valmistab endast käivitatava koodi. Viimati kasutati sarnast lähenemist 1988 a kui Robert Morrise loodud uss nakatas tuhandeid arvutied sh ka NASA omi ning tõi kahju ca 96 miljonit dollarit. See võib anda innustust loomaks platvormivabu viiruseid, sest C kompilaatoreid on olemas iga platvormi jaoks.
Antud ajahetkel õnnestub viirustel teha oma laastamistöid üsna oma suva järgi. Hinnanguliselt umbes pooled koduarvutitest ja palju tööarvutid ei oma viirusetõrjet või asetseb see masinas puhtalt omaniku/kasutaja meelerahu tagamiseks. Pean silmas seda, et sageli on masinas viirusetõrje mille kasutamise aeg on ümber saanud. Omaniku süda on rahul, et tal on masinas viirusetõrje tarkvara, mida ta aga ei tea on see, et vimane uuendus pärineb paari kuu vanusest perioodist.
Enamik viiruseid on mõeldud kahjustama just kodukasutajaid ja tööjaamu. See on koht kus viirustekirjutajad saavd kõige paremini rahuldada oma egot.
Kui vaaadata viiruste levikut nö tarkavaralisel põhjal siis on siiani nokitud enamuses Windowsi operatsioonisüsteemil põhinevaid asju. Põhjuseks on suur kasutajate mass ja seega ka viiruse suur ja võimas levik mis omakorda tõstab viiruse autori enesetunnet :o). Samas ei saa ka seda maha salata, et Windowsi operatsioonisüsteem on Microsofti toodang ja see firma ei kuulu just paljude andekate koodikirjutajate lemmikute hulka. Paraku võib see aeg olla nüüdseks läbi saamas.
Linux on tänapäeval saavutanud sellise piiri kust alates pakub ka tema ründamine viirusekirjutajatele huvi. Praeguseks on hinnanguliselt ca 5% viirustest sellised mis sudavad nakatada Linuxi operatsioonisüsteemiga lauaarvuti tüüpkonfiguratsiooni. Siin pean silmas, et kasutaja ei kasuta arvutit millegi serveerimiseks vaid teeb sellega oma igapäevast tööd. Sageli peetakse Linuxi operatsioonisüsteemiga arvutied viiruste suhtes kindlamaks kui muid. Paraku pole ükski operatsioonisüsteem töökindlam kui on kasutaja kes on selle masina taga.
Nö riistvaralise poole pealt vaadates on viirusekindlaimad sellised meile mõnevõrra eksootilised masinad nagu Apple ja Sun. Kuid siingi tuleb tõdeda, et mitte riist- ega tarkvara viirusekindlus pole neid hoidnud vaid pigem on see piisava kasutus massi puudumine.
Kokkuvõtvalt võib öelda, et olevik on kurb ja ega tulevikuski midagi väga roosilist ei terenda.

Morrise uss

Interneti uss (worm) (2. nov. 1988) - USA
- Autoriks osutus Cornelli Ülikooli üliõpilane Robert Morris
- Erinevalt viirusest ei haaku mõne olemasoleva peremeesprogrammi külge, vaid levib ja paljuneb arvutivõrgus iseseisvalt.
- "Uss" nakatas lühikese ajaga 6200 VAX- ja Sun-arvutit, mis töötasid operatsioonisüsteemi Unix teatud versioonidega.
- Paljud organisatsioonid, sealh. Suured teaduskeskused olid sunnitud ennast mõneks ajaks internetist lahti ühendama.
- Kahju 98 milj. USD
Anti-antiviirus: Mõned arvutiviirused ei ole disainitud ainult nakatama käivitusfaile, vaid sisaldavad ka teatud antiviiruse koodi. Need viirused sisaldavad mootorit, mis on võimelised võimetuks tegema või kõrvaldama antiviiruse programme ja konkureerivaid viiruseid.
Den_Zuko kustutab ära Brian või Ohio viiruse ja kirjutab oma koodi selle asemele.
Yankee_Doodle uuematel versioonidel on võime upgrade-da oma vana versioon, kustudades vana koodi ja kirjutades sinna peale uuema versiooni koodi, aga ka muuta viiruse Ping Pong koodi nii, et pärast sajandat nakatamist hävitab Ping Pong end.
Neuroquila suudab teha võimetuks mõningaid viirusetõrjeprogramme.

Pc viirused

Bootsektori viirus: süsteemiviirused e. boot-sektori viirused (nt. Stoned) – viirused, mis kirjutavad oma koodi ketta boot-sektorisse. Seega tehes algkäivituse nakatunud kettalt aktiviseeritakse ka viirus. Sellised viirused on tavaliselt üsna destruktiivsed, sest kirjutades viiruse koodi boot-sektorisse, kirjutatakse üle seal eelnevalt asunud info ketta kohta. Viirus Michelangelo – aktiveerub Michelangelo Buonarotti sünnipäeval 6. märtsil, hävitab kogu boot-ketta info.

Residentsed: – peidab end nakatunud programmi esmakordsel käivitamisel mällu ja seejärel nakatab teisi aktiveeritud programme (nt. Dark Avenger ja Frodo)
Makroviirused – levivad makrokeele kasutamist võimaldavates süsteemides, lemmikobjektiks MS Wordi dokumendid ja MS Exceli töölehed
Failiviirused. Need viirused haakuvad programmifailide, enamasti .COM ja .EXE laiendiga failide külge. Mõned võivad nakatada kõiki täidetavaid programme, kaasa arvatud .SYS, .OVL, .PRG ja .MNU failid. Koos programmi installeerimisega installeeritakse ka viirus
Polümorfsus.
Bulgaaria üks tuntumaid viirusekirjutajaid Dark Avanger on lasknud välja mootori, millega saab praktiliselt igasuguse viiruse polümorfseks teha. seega ei ole see võimalus enam kitsa ringi viirusekirjutajate käes. See raskendab tunduvalt viiruse tabamist viirusetõrje programmide poolt.
Polümorfsus viiruse juures tähendab seda, et viiruse kood eri failides erineb üksteisest, aga viiruse põhiülesanne jääb samas endiseks.
yuuulyus
Uus kasutaja
Postitusi: 3
Liitunud: Reede, 13 Märts 2009, 12:02

Re: Viirused.

Postitus Postitas yuuulyus »

Kirjutage sellest mis siis teha kui viiruse tõrje leiab küll viiruse kuid ei suuda seda kustutada?
Üldjuhul viirustõrje teatab et ta edukalt kustutas ,kuid natukese aja pärast teatab et on
avastanud viiruse ja vaatad ikka see sama.Mul on 3 viirustõrjet 2 raha eest 1 ilma -pole neil
mingit vahet ,kõik leiavad aga ei kustuta .Niisugused mis võtavad arvutil pildi eest ära on
kahtlematta arvuti firmade eneste poot kirjutatud (pildita ei pane ise OS peale).
Kasutaja avatar
Pistik
Ülemjuhataja
Postitusi: 843
Liitunud: Teisipäev, 31 Mai 2005, 16:58
Twitter: emolmesser
Kontakt:

Re: Viirused.

Postitus Postitas Pistik »

3 viirusetõrje programmi üheaegselt arvutis jooksutada küll pole mõttet, nii teed hoopis rohkem kahju kasu, sest programmid hakkavad suure tõenäosusega üksteise tööd häirima.

Või on osa neist antiviirus programmid?
samara
Uus kasutaja
Postitusi: 3
Liitunud: Kolmapäev, 18 Märts 2009, 14:51

Re: Viirused.

Postitus Postitas samara »

mul on arvutil juba pikemat aega mingi trooja viirus.Äkki oskate aidata!!!

Tegid ise hiljuti formati kuskil 2 nädalat oli normaalne sis muutus jälle aeglaseks ja lülitas ennast ise välja.viirusetõrjetest on mul peal nod 32 tegin viiruse scanni ütles iga faili kohta et error opening proovisin ka safemodes teha aga ikka sama.nüüd hiljuti lülitas arvuti ennast jälle ise välja ja ennam tööle tagasi ei saand ütles et mingi asi on puudu ja windowst ei saa käivitada.siis kui vista plaadi sisse panin sain läpaka tööle kuid ikka käitub läpakas väga kahtlaselt ja lüllitab ennast pidevalt välja.läpakas on alt koguaeg tulikuum kuigi jahutus töötab koguaeg...tegin ka panda online viiruse scanni siis ütles et 18 nakatund faili poole peal jooksis aga kokku ja läpakas lülitas ennast välja.

ei oska enam midagi teha :?
Kasutaja avatar
Pistik
Ülemjuhataja
Postitusi: 843
Liitunud: Teisipäev, 31 Mai 2005, 16:58
Twitter: emolmesser
Kontakt:

Re: Viirused.

Postitus Postitas Pistik »

Võibolla on sellel Vistal mõned driverid puudu, et kuumaks läheb?

Mis protessoriga on tegu? AMD vs Intel
samara
Uus kasutaja
Postitusi: 3
Liitunud: Kolmapäev, 18 Märts 2009, 14:51

Re: Viirused.

Postitus Postitas samara »

intel...ja ma ei usu eriti et draiver puudu saab olla sest mul oli alguses vista peal sis läks ka hästi kuumaks sis tegin formati ja panin peale vista ultimate ja ikka sama isegi hullem ...kui läpakas on pool tundi töötand ei saa isegi kätt peal hoida
Kasutaja avatar
Pistik
Ülemjuhataja
Postitusi: 843
Liitunud: Teisipäev, 31 Mai 2005, 16:58
Twitter: emolmesser
Kontakt:

Re: Viirused.

Postitus Postitas Pistik »

Siis soovitan soojalt hooldusesse/garantiisse viia selle masina. See kuumaks minemine pole päris normaalne.
samara
Uus kasutaja
Postitusi: 3
Liitunud: Kolmapäev, 18 Märts 2009, 14:51

Re: Viirused.

Postitus Postitas samara »

ma ise arvan et see viirus koormab protsessorit nii palju ja sellepärast lähebki nii kuumaks ...sest alguses kui formati tegin oli normaalne enam ei läind nii kuumaks aga kuskil 2 nädalat hiljem oli sama lugu...aga jah kui viirusest lahti ei saa kuidagi sis tleb vist tõesti garantiise viia :?
Kasutaja avatar
Olavi
Tarkvara Spetsialist
Tarkvara Spetsialist
Postitusi: 1454
Liitunud: Pühapäev, 07 Mai 2006, 21:18

Re: Viirused.

Postitus Postitas Olavi »

Viimase aja üks tuntumaid ja kurjemaid ussviirusi aktiviseerub väidetavalt esimesel aprillil. Turvaanalüütikute sõnul pole teada, kas tegemist on nii-öelda „aprillinaljaga“ või kujuneb asi pigem tuumarünnaku sarnaseks.

Möödunud aasta oktoobris avastatud Conficker, teise nimega tuntud ka Downadup, kasutab ära Windows'i operatsioonisüsteemi nõrkusi. Viirusest on teada vähemalt neli versiooni, millest viimane avastati märtsi esimesel nädalal. Hinnanguliselt on nakatunud 12 miljonit arvutit üle maailma.
Ussi lähem uurimine on tuvastanud, et nakatunud "zombiarvutid" on programmeeritud võtma kontrollkeskusega ühendust esimesel aprillil, vahendab New York Times.

Kui peaaegu kõikide antiviiruse programmidega on võimalik ussi vanemad versioonid eemaldada, siis viimased väljalasksed on muutunud nii targaks, et lülitavad välja nii antiviiruse kui ka Microsofti turvatarkvara või modifitseerivad seda endale kasulikul viisil.

Ühe viite Confickeri eesmärgi kohta saab tolle viimase versiooni kasutajalt kasutajale (P2P) loogikast, mis võimaldab nakatunud arvuteid panna tööle kas kliendina või serverina ja lubab infot liigutada mõlemas suunas. P2P struktuuri tõttu (puuduvad kesksed serverid) on turvainimestel nimetatud ussi väljajuurimine ka keerukam.

Conficker meenutab Freenet’i, milles liikuvat infot on võimatu jälitada. Võimalik, et ussi loojate eesmärgiks on luua midagi „Musta Google'i“ sarnast, ehk tekitada võrk, kus ussi kontrollijad pääsevad ligi kogu nakatunud arvutites olevale kasutajate infole ja saavad seda oma äranägemise järgi kasutada.

Käesoleval hetkel Conficker-uss tegeleb arvutite nakatamisega, aga loodud robotvõrgu eesmärki pole veel tuvastatud. Teisiti öeldes, teatakse, et tegemist on loomult kurja asjaga (kuivõrd ilma kasutajate teadmata masinasse pugemine on juba iseenesest kuri), milles aga võimalikud pahateod seisnevad, selle kohta osatakse ainult üht-teist arvata. Tegemist võib olla "tavalise" robotvõrguga (varastab krediitkaardiandmeid, saadab spämmi, korraldab teenusetõkestamise rünnakuid jne) kui ka eelpoolmainitud kahtlaseid eesmärke täitva pimevõrgu ja "Musta Google'i" loomine.

Turvaanalüütikud tunnistavad, et uss on kirjutatud väga professionaalselt ja hoolikalt. Päritolu pole siiani teada, kuigi teatud viiteid on olnud Ida-Euroopale (üks väide oli isegi selline, et uss ei nakata ukraina-keelseid arvuteid).

Mis ussi (kirjeldatud ja kõikide teiste) vastu aitab? Tõmmake oma Windows'i operatsioonisüsteemile viimased uuendused. Kasutage uusimaid sirvikuversioone. Ilma antiviiruseta pole võrku asja. Kui arvuti keeldub käivitamast tulemüüri või turvatarkvara, siis võiks igaks juhuks operatsioonisüsteemi uuesti paigaldada. Vähemalt ussi vanemate versionide puhul mõjub BitDefenderi Downadup ussi eemaldamistööriistD. Ennetava vahendina võiks kasutada Secunia PSI arvuti programmide muutusi ja tervist jälgivat tarkvara.
Kui leiate vigu ,andke teada: https://www.pistik.net/foorum/viewtopic.php?f=60&t=715
Pistik.net Meeskond!
Vasta