G DATA Software AG: Antivirus, Virenschutz, Virenscanner, Internet Security

A sajtóban nap mint nap ellopott hitelkártya adatokról, kirabolt online számlákról, és különböző egyéb, az Internet veszélyeiről szóló információk jelennek meg. Talán az is elképzelhető, hogy már Önt is érte hasonló kellemetlenség. Annak érdekében, hogy minél jobban megvédhesse magát, nem árt, ha tisztában van az ilyen jellegű kockázatokkal, és a lehetséges védelmi intézkedésekről is rendelkezik megfelelő alaptudással.

Cyber biztonság

A körülöttünk lévő világ számítógépek nélkül szinte elképzelhetetlen lenne. Mindennapi életünk szinte minden területe kötődik a számítógéphez. Ebből kifolyólag a cyber biztonság mindenkit érint valamilyen szinten, még ha ezzel nincs is mindenki tisztában. A cyber biztonság kifejezés magába foglalja a személyes információk védelmét, valamint az ezen információk megszerzésére irányuló támadások elkerülését, megállapítását és az ezekre adott válaszokat.

Kockázatok

A lehetséges kockázatok igen sokrétűek. A rendszerét helyreállíthatatlanul letörlő káros szoftverektől kezdve, a számítógépes rendszerekbe való, az Ön adataival történő visszaélést szolgáló célzott betöréseken és személyi számítógépe más rendszerek megtámadásához történő visszaélésszerű felhasználásán át egészen személyes adatainak eltulajdonításáig, és az azokból eredő károkig bezárólag. Habár a százszázalékos védelem kétségtelenül illúzió, a támadásoknak triviális védelmi intézkedésekkel elejét lehet venni és ezáltal minimálisra csökkenteni a kockázatot.

A következőkben megpróbáljuk feltárni a kockázatokat és tisztázni az azokhoz tartozó alapfogalmakat.

Hacker / támadó

Ez a kifejezés olyan hívatlan vendégekre utal, akiknek igazából semmi keresnivalójuk nem lenne az Ön számítógépes rendszerében. Ezek a személyek kihasználják a biztonsági réseket és rendszere gyenge pontjait, és a saját céljaik megvalósítása érdekében visszaélnek a jogtalan hozzáféréssel hatalmukba kerített számítógépes rendszerrel.

Malware

A malware kifejezés olyan szoftverek gyűjtőneve, melyek az érintett személyi számítógépen nem kívánt funkciókat hajtanak végre, anélkül, hogy ezt a felhasználó észrevenné. A fent leírt malware kifejezés nagy vonalakban az alábbi alkategóriákra osztható:

Trójai lovak

A trójai ló - tévesen gyakran trójaiként is megnevezve - a férgektől és vírusoktól abban különbözik, hogy nem automatikusan sokszorozza meg magát. A "Trójai ló" név történelmi mintán alapul és olyan programot értünk alatta, amely a felhasználó számára megszabja, hogy meghatározott és akaratlagos funkcióval rendelkezzen. Ezen kívül a trójai vírus még olyan rejtett programelemet is tartalmaz, ami mintha rejtekajtót nyitna meg a megtámadott számítógéphez és így a teljes hozzáférést az érintett rendszerhez úgy biztosítja, hogy a felhasználó észre sem veszi azt.
A trójai vírus rejtőzködő módszerei korlátlanok. Álcázhatják magukat UNIX rendszergazdai parancssorokként, pl. "passwd, ps, netstat" (úgynevezett rootkitek) vagy "Trójai Remote Access"-ként (úgynevezett RAT-ok, ill. backdoor-ok) is. Ezek az alattomos programok képernyővédőként vagy játékként is küldhetők e-mail-ben. Egyszeri elindítás is elegendő ahhoz, hogy a kártevő megfertőzze a rendszert.

Férgek

A féreg a vírussal ellentétben nem a futtatható fájlokat támadja meg. Hálózatokon és számítógépes csatlakozásokon keresztül terjednek át másik számítógépre.

Hálózati férgek

A hálózatban véletlenszerűen kiválasztott számítógépeken néhány portot olvasnak be, és ha lehetőség nyílik a támadásra, a protokollok gyenge pontjait (pl. IIS) vagy azok terjedési hajlandóságát használják ki. A típus ismert képviselői a "Lovsan/Blaser" és a "CodeRed".

A Sasser a Buffer Overflow hibát használja ki a "Local Security Authority Subsystem Service "(LSASS) rendszerben és a számítógépet az Internethez csatlakozás közben azonosítja.

E-mail férgek

Az e-mailen keresztül történő terjedéskor a féreg meglévő e-mail programokat (pl. Outlook, Outlook Express) használhat vagy saját SMTP-Mail engine-t is hozhat magával. A keletkező hálózati forgalomtól és a megnövekedett hálózati erőforrásoktól eltekintve a férgek még további káros funkciókat is tartalmaznak. A csoport prominens tagjai a "Beagle" és a "Sober".

Peer-to-peer férgek

A P2P-férgek a peer-to-peer fájlcserélő hálózatokon (mint pl.: "Emule", "Kazaa" stb.) terjednek és másolják magukat számítógépről számítógépre. Ezután a gépen egy aktuális szoftver vagy prominens személyiség megtévesztő neve alatt vár áldozatára.

Instant Messaging-férgek

Az IM-férgek a chat programokat használják a terjeszkedésre. Ennek során nem csupán a fájlátvitel funkciót használják. A leggyakrabban egy linket küldenek, melyre rákattintva egy káros weboldalra jutunk. Egyes IM-férgek arra is képesek, hogy akár chateljenek is áldozataikkal.

Vírusok

A vírusok célja önmaguk sokszorosítása és más számítógépre való átterjedése. Ehhez más fájlokhoz csatolják magukat vagy befészkelődnek az adathordozó bootszektorába. Gyakran észrevehetetlenek a cserélhető adathordozók számára (pl. lemezek), hálózatokon (peer-to-peer) keresztül, e-mail révén vagy az Internet-ről kerülnek a számítógépre.

A vírusok az operációs rendszerek legkülönbözőbb pontjain épülhetnek be, ahol a legkülönbözőbb csatornákon keresztül hatnak. Az alábbi csoportok különböztethetők meg:

Bootszektor vírusok

A bootszektor vagy MBR vírusok (= Master Boot Record vírusok) mindig az adathordozó bootszektora elé települnek és gondoskodnak arról, hogy az indítási folyamat során az adathordozón keresztül először a víruskód, azután pedig az eredeti bootszektor kerüljön leolvasásra. Így a vírus észrevétlenül befészkelődhet a rendszerbe, és onnan a bootoláskor a merevlemezről megnyitásra kerül. Gyakran a víruskód a fertőzés után a tárhelyben marad. Az ilyen vírusokat memória-rezidensnek nevezzük. A lemezek formázásakor a vírus továbbadódik és így más számítógépekre is eljut. Azonban a boottartomány vírus nem csak a formázási folyamatok alatt aktiválódhat. A DOS "DIR" paranccsal így elindítható a vírus átvitele a fertőzött lemezről. A kárrutintól függően a boottartomány vírusok lehetnek rendkívül veszélyesek, vagy egyszerűen csak zavaróak. A legrégebbi és legelterjedtebb ilyen vírus a "Forma".

Fájl vírusok

Sok vírus kihasználja azt a lehetőséget, hogy a megnyitható fájlokat rejtekhelyként használja fel. Ehhez a gazdafájl törölhető/felülírható, vagy a vírus ráakaszkodik magára a fájlra. Az utóbbi esetben a fájl megnyitható kódja továbbra is működőképes. Ha a végrehajtható fájlt előhívta, akkor legtöbbször először az 'Assemblerbe' írt víruskód nyílik meg, utána indul az eredeti program (ha nem törlődött).

Többosztályú vírusok

Ez a víruscsoport különösen veszélyes, mivel képviselői nemcsak a bootszektort (ill. partíciós táblázatokat) azonosítják, hanem a végrehajtható fájlokat is megtámadják.

Companion vírusok

DOS alatt a COM fájlokat az azonos nevű EXE fájlok nyitják meg. Azokban az időkben, amikor a számítógépet kizárólag vagy gyakran csak parancssorokkal kezelték, ez hatékony mechanizmusnak bizonyult az észrevehetetlen káros kód számítógépen történő megnyitásához.

Makrovírusok

A makrovírusok is fájlokra akaszkodnak. Ezek azonban önmagukban nem futtathatóak. A makrovírusok nem az 'Assemblerben', hanem valamilyen makronyelven, pl. Visual Basic nyelven vannak megírva. A vírusok végrehajtásához egy olyan makronyelv értelmezőre van szükség, mint amilyen pl. a Word, Excel, Access és PowerPoint programokba vannak integrálva. Máskülönben a makrovírusok a fájl vírusokhoz hasonló mechanizmussal hatnak. Álcázhatják magukat, ezen kívül megfertőzhetik a bootszektort, vagy Companion vírust hozhatnak létre.

Stealth vírusok és rootkitek

A stealth vírusok, vagy láthatatlan vírusok speciális védelmi mechanizmusokkal rendelkeznek, hogy kivonják magukat a víruskereső programok felfedezése alól. Ehhez átveszik a különböző rendszerfunkciók feletti ellenőrzést. Ha ezt az állapotot csak egyszer hozták létre, akkor ezek a vírusok a fájlok vagy rendszertartományok normál hozzáférésekor már nem állapíthatók meg. A víruskereső programot megtévesztik egy fertőzött fájl nem fertőzött állapotát mutatva, vagy láthatatlanná teszik a fájlt a vírusvédelem előtt. A stealth vírus álcázó mechanizmusai csak akkor hatásosak, miután a vírus a munkamemóriában rezidens lett.

Polimorf vírusok

A polimorf vírusok mechanizmusokat tartalmaznak, hogy fertőzéskor megváltoztassák kinézetüket. Ehhez a víruselemek titkosításra kerülnek. A vírusba beépült titkosító rutin ekkor minden másolathoz új kulcsot, és részben még új titkosító rutint is generál. Ezen kívül kicseréli vagy véletlenszerűen összekeveri azokat a parancssorozatokat, melyek a vírus működéséhez nem szükségesek. Könnyen vírus-milliárdok keletkezhetnek. A titkosított és polimorf vírusok biztosabb felismeréséhez és megszüntetéséhez gyakran nem elegendő a klasszikus vírusszignatúrák alkalmazása. Gyakran speciális programokat kell írni. A megfelelő ellenszer elemzéséhez és rendelkezésre bocsátásához azonban rendkívül magas ráfordítás szükséges. A polimorf vírusokat minden túlzás nélkül a vírusok királyának nevezhetjük.

Intended vírus

Intended vírusnak a részben hibás vírust nevezzük, mely bár a fájl komoly fertőzését okozza, de onnan már nem sokszorosítható.

E-mail vírusok

Az e-mail vírusok az úgynevezett "Blended threats" (= többféle fenyegetés) csoporthoz tartoznak. Az ilyen malware kombinálja a trójaiak, a férgek és a vírusok tulajdonságait. A Bubbleboy vírus keretében ismertté vált, hogy már lehetséges HTML levél előnézetén keresztül is vírust átcsempészni a számítógépre. A veszélyes víruskód a HTML levélben bújik meg és a Microsoft Internet Explorer biztonsági rését használja ki. Ezen kombinált vírusok veszélyét nem szabad alábecsülni.