A számítógép biztonságos használata,
5. Számítógépes vírusok
Írta: Paul Mobbs az Association for Progressive Communications számára, 2002. márciusában.
Fordította: Hasznos Erika

5.02 Hogyan működnek a vírusok

Sima szöveges, formázatlan elektronikus üzenetben vagy egyszerűbb dokumentumfájlokban, tömörített adatállományokon (pkzip, gzip, arj), adatbázis vagy táblázatkezelő fájlokon keresztül nem kaphatunk vírust - ezek ugyanis nem futtatható programok. Az egyetlen kivétel, ha az adott fájl tartalmaz VisualBasic kódot vagy egyéb makrókat, amelyet az alkalmazás automatikusan futtathat a dokumentum megnyitásakor. Pl. ily módon terjednek a Word és Excel makrovírusok.

Ahhoz, hogy a vírus bekerüljön a rendszerünkbe, végre kell hajtanunk a programot. Ez azt jelenti, hogy:
Futtatnunk kell egy, az Internetről származó, vírussal fertőzött programot - megfelelő ellenszer, ha az ilyen programokat előbb vírusirtóval ellenőrizzük.

A vírus származhat fertőzött floppyról is - itt is az a megoldás, ha előbb vírusirtóval megvizsgáljuk a lemezt.
Meg kell nyitnunk/futtatnunk egy más programnyelven (Basic, C stb.) írt fájlt, amelyben vírus van elhelyezve; ezt kikerülhetjük, ha inkább nem futtatunk olyan programot, amelyet nem értünk.
Meg kell nyitnunk egy fejlettebb szövegszerkesztő vagy táblázatkezelő programmal egy olyan fájlt, amely 'objektum kódot' vagy 'makrót' (felhasználó által definiált utasítássorozatot) tartalmaz - a legegyszerűbb megoldás ilyenkor az adott alkalmazás beállításainál a "makrók letiltása" opciót kiválasztani.
A fájlokban lapuló vírusok, amelyeknél a programkód egyik fájlról a másikra terjed, néhány éve súlyos gondot jelentettek; ma már ez nem jellemző. Az utóbbi időben komoly problémát okoznak:

A "makro-vírusok", kicsiny beágyazott programok, amelyek elektronikus levélben terjednek; és Férgek és más programok, amelyek emailek csatolmányaként terjednek.

Az olyan programok, mint a Microsoft Outlook Express, egyáltalán nem biztonságosak, mivel megpróbálják az e-mailt integrálni az operációs rendszer többi részébe. Kétségtelen, hogy ez jelentően leegyszerűsíti a számítógép használatát a kezdő számára, de komoly biztonsági kockázatot jelent. A víruskészítők ki is használják ezt a gyengeséget, hogy vírust telepítsenek a rendszerünkre. A Windows-ról nem lehet leválasztani ezt a vonást; bár az "I love you" pusztítása után néhány cég előállt már olyan szoftverrel, amely képes megállítani a Microsoft Outlook hibáira épülő vírusokat.

Amikor olyan elektronikus levelet próbálunk elolvasni, amely visual basic kódot tartalmaz, az Outlook lefuttatja a kódot és ezzel aktiválja a makróvírust.

A csatolmányok további gondot jelentenek. Mivel nincsenek tisztában a kockázattal, sokan futtatják a programot, ha képernyővédő vagy "promóciós programot" kapnak. Viszonylag immúnisak a vírusveszélyre a Macintosh- és Linux-felhasználók, mivel a vírusok túlnyomó többsége kifejezetten a Microsoft programokhoz lett kitalálva.

Az általában hozzáférhető levelezőprogramokon keresztül elküldött bármely üzenet vagy sima szöveg, vagy kódolt szöveges állomány. Mint ilyen, nem tartalmazhat végrehajtható kódot. Ezért attól, hogy elolvasunk egy emailt, vagy ha a szövegét egy másik alkalmazásba átmásoljuk, még nem kaphatunk el semmilyen vírust.

Veszélyt csak az jelenthet, ha tudtunkon kívül letöltünk egy email csatolmányaként érkezett programot. Ám ha a levelek csatolmányainak tárolására használt könyvtárat elkülönítjük a rendszerfájloktól, a programot véletlenül nem, csak kifejezett utasításra lehet futtatni.

Miként nyelik el a vírusok a számítógépet?

Manapság az a legvalószínűbb, hogy az Internetről fertőz meg minket valamilyen vírus. A vírusirtók használatának köszönhetőn a lemezeken terjedő vírusok nagyrészt eltűntek. De a vírusok kihasználják azt a lehetőséget, hogy a számítógépek végrehajtják azokat a programokat vagy szkripteket, amelyek elektronikus levelek vagy Interneten terjesztett szoftverek részeiként érkeznek.

Az internetes vírusoknak négy fő formája van:

1. számítógépes programok - 99%-os biztonság érhető el, ha naprakész vírusirtóval ellenőrizzük őket futtatás előtt. Ez persze nem véd meg a teljesen új vírusoktól.

2. java- és egyéb internetes/weben használt szkripteket - a számítógépek képesek gépedre feltölteni kódokat (pl. zárt szerveroldali programként, mint amelyeket a banki szolgáltatások használnak). Egyre általánosabbá válik, hogy egy-egy honlapról java-szkriptek - rövid kis programok - töltődnek be a böngésződbe, hogy hang-effekteket és animált grafikákat játsszanak le (viszont az elérhető instrukciók korlátozottak, így jelenleg nincs túl sok gond velük). Korlátozhatod az okozható kárt azzal, hogy kikapcsolod a java- és egyéb plug-inek futtathatóságát a böngésződben. Alapelv, hogy ne mondj igent, ha egy nem biztonságos honlapon vagy.

3. beágyazott kód - ezek olyan programkódban (Visual Basicben, C-ben stb.) írt programok, amelyeket beépítenek a modern szövegszerkesztőkbe, táblázat- és adatbáziskezelő alkalmazásokba. Ahogy az alkalmazások egyre összetettebbek lesznek, a programozók nem programozhatnak be minden eshetőséget. Hogy ezt megoldják, apró kódot építenek bele a fájlba, amelynek elmentésével végrehajthatóak a speciális funkciók is. A felhasználó által definiált funkciókat - főleg szövegszerkesztő, táblázatkezelő és adatbázis alkalmazások esetén - rövid "szkriptekben" tároljuk, Lehetséges olyan utasításokat is beépíteni egy szkriptbe - főleg objektum kódban -, amelyek úgy viselkednek, mint egy vírus, trójai vagy egyéb káros program: megtámadja a gépet egy előre meghatározott időpontban. A legtöbb alkalmazás lehetővé teszi, hogy egy fájlt makrók aktiválása nélkül nyisd meg, ha ezt engedélyezed a program beállításainál. Természetesen az ilyen problémák kiküszöbölésére a legjobb módszer, ha csak olyan, régi formában fogadsz el fájlokat, amelyek nem tartalmaznak ilyen lehetőségeket, vagy csak megbízható helyről fogadsz el fájlokat.

4. forráskód -a számítógépes programokat alapvetően utasítássorozatok formájában írják meg, amelyeket azután speciális (interpreter) programok futtatnak vagy egy ún. compiler segítségével lefordítják őket számítógép által közvetlenül futtatható programmá. Ez az, amit gyakrabban használnak a Linux-rendszerek, mivel sok programot forráskódban terjesztenek, amelyet aztán lefordítasz, hogy saját gépeden fusson. Sok Basic, C, Pascal stb. nyelven írt program érhető el az Interneten. Nagy programokban, különösen, ha a felhasználó nem ismeri eléggé a programnyelvet, vagy ha a program gyengén strukturált, könnyű elrejteni kártékony hatású utasításokat, trójai programokat vagy vírusokat. Ne fordíts le vagy ne futtass egyetlen forrás fájlt se, kivéve, ha tudod, hogy az biztonságos! A forráskód nem ártalmas, még levelek csatolmányaként sem. Csak akkor válhat veszélyessé, ha egy fordító programmal lefordítod vagy interpreterrel futtatod.

A fentiek alapvető tanulsága, hogy nem kaphatsz vírust egy sima szöveges fájlban vagy egyszerű, tiszta HTML fájlban vagy FTP/telnet kapcsolat keretében. A fő veszélyt a böngésző és az olyan levelező programok jelentik, amelyek úgy vannak beállítva, hogy automatikusan futtassanak '.EXE' vagy '.BAT' vagy egyéb kiterjesztésű programokat. Ilyen esetekben nem leszel képes megakadályozni vírusok elindítását.

Az a szerepünkön is múlik, hogy miként kezeljük a vírusok okozta problémát. Ez a füzet elsősorban az egyéni számítógép-felhasználó számára íródott. Azok a felhasználók, akik helyi hálózatokhoz tartoznak, más, a hálózati rendszerekhez kapcsolódó kérdésekkel is szembesülnek. Rendkívül lényeges például, hogy megelőzzük a vírusok beférkőzését a hálózat valamely részébe; ezért a floppyhasználat hálózati számítógépeken korlátozott lehet. Fontos feladatuk van azoknak is, akik email-szervert működtetnek. Elláthatják a szervert olyan antivírus szoftverrel, amely megakadályozza a vírust tartalmazó csatolmányok továbbítását. Ha Internetet használunk, nem árt érdeklődnünk a szolgáltatónknál: védekeznek-e a vírusok ellen a szerveren, és ha nem, kérhetjük, hogy gondoskodjanak róla.

[előző]  [index]  [következő]