Profilaktyka antywirusowa

Profilaktyka antywirusowa

Najlepsza metoda ustrzeżenia się przed wirusami polega na sprawdzaniu nieznanych plików (programów, dokumentów) możliwie najnowszym programem antywirusowym (jeżeli to możliwe, to kilkoma różnymi). Bardzo ważnym elementem działań zapobiegawczych jest także regularne tworzenie kopii awaryjnych, zawierających najważniejsze pliki, będące zwykle efektami mozolnej pracy. Choć niektórym osobom może się to wydać niepotrzebne, prędzej czy później kopie te okażą się niezbędne, i to nie tylko ze względu na wirusy. Nie ma bowiem chyba takiego użytkownika, któremu w pewnym momencie komputer nie odmówił posłuszeństwa- Pół biedy, gdy usterka jest trywialna, gorzej, gdy zostanie uszkodzona najważniejsza chyba, poza procesorem, część komputera: dysk twardy, W takiej sytuacji kopia awaryjna jest jedyną deską ratunku. Obecność wirusa w systemie to nie straszna tragedia, zwłaszcza, że większość wirusów, wbrew powszechnej opinii, nie zawiera procedur destrukcyjnych. W przypadku zainfekowania komputera nie należy więc od razu formatować dysku twardego. Co więcej, wykonanie tej operacji wcale nie oznacza pozbycia się intruza z systemu. Poniżej zamieszczono informacje na temat specyficznych, działających tylko dla wybranych obiektów, metod.

14.1. Ochrona przed wirusami plików uruchamialnych

Oprócz sprawdzenia programem antywirusowym pliki uruchamial-ne można dodatkowo pobieżnie zanalizować przy użyciu debuggera.

Wprawny użytkownik bowiem często już po kilku, kilkunastu instrukcjach kodu programu rozpozna, czy nie zawiera on wirusa i poprzez przerwanie jego działania uniemożliwi infekcję systemu. Oczywiście powyższa metoda wydawać się może bardzo amatorska, jednak jest skuteczna, jak zresztą większość tego typu sposobów, gdyż pozwala wykryć nowe wirusy, których nie rozpoznają jeszcze programy antywirusowa. Na przykład wykrycie podanej poniżej sekwencji na początku badanego programu świadczy prawie na pewno o tym, że program ten zawiera wirusa. Jej wykonanie umożliwia bowiem uzyskanie relatywnego offsetu, pod którym umieszczony jest w pamięci kod wirusa. Wyznaczone przemieszczenie jest przez niego stosowane przy dostępie do zawartych w nim danych (za pomocą adresowania pośredniego: bazowego lub indeksowego).

; Sekwencja znajduj╣ca siΩ na pocz╣tku wiΩkszo£ci wirus≤w plikowych

CALL TRIK ; wywo│anie procedury TRIK umie£ci na stosie offset do

; nastΩpuj╣cej po niej instrukcji (POP REJ16)

TRIK:

POP REJ16 ; zdejmuje ze stosu offset, pod kt≤rym jest umieszczony

; rozkaz POP REJ16 i umieszcza go w rejestrze 16-bitowym,

najczΩ£ciej w kt≤rym£ z : SI, DI, BP, BX

SUB REJ16,???? ; ???? najczΩ£ciej =3, po tej operacji warto£µ REJ16

; bΩdzie ofsetem wskazuj╣cym na pocz╣tek kodu wirusa,

; warto£µ 3 wynika z d│ugo£ci rozkazu CALL TRIK, czyli

; (OE8h 00h 00h)

Poniżej podano wygląd tej sekwencji dla różnych typów rejestru Rejl6.

Sekwencje dla różnych kombinacji rejestru REJ16

14.2. Ochrona przed bombami logicznymi i końmi trojańskimi

Ze względu na sposób działania, nieznane szczepionkom antywirusowym konie trojańskie i bomby są trudne do wykrycia, gdyż właściwy, destrukcyjny kod może być umieszczony w dowolnym miejscu programu, tak więc znalezienie takiej sekwencji nie jest zbyt łatwe (a gdy program jest wewnętrznie skompresowany wręcz niemożliwe). Z pomocą przychodzi tu omówiona wcześniej heurystyka, technika polegająca na wykrywaniu potencjalnych agresorów na podstawie charakterystycznych sekwencji kodu. Najczęściej programy poszukujące koni trojańskich w podejrzanych plikach szukają instrukcji wywołań przerwań programowych 13h (sekwencja 0CDh, 013h) lub 26h (sekwencja CDh, 026h), używanych do odczytywania i zapisywania sektorów, które ze względu na swe działanie występują raczej rzadko w typowym oprogramowaniu użytkowym, gdyż normalne programy nie korzystają z bezpośrednich operacji zapisu na sektorach, a najniższy poziom, na jakim działają, to operacje na plikach.

Potencjalnymi końmi trojańskimi są najnowsze wersje typowych i często używanych programów użytkowych, np. antywirusowych i kompresujących, tak więc należy się z nimi obchodzić dość ostrożnie. Dobrym rozwiązaniem, pozwalającym uchronić się przed większością koni trojańskich i bomb, może być zainstalowanie monitora antywirusowego. Konie trojańskie są zwykle pisane przez początkujących programistów, którzy do przeprowadzania destrukcji używają funkcji bibliotecznych języków wysokiego poziomu, bądź też przerwań programowych, a te mogą być łatwo przechwytywane i kontrolowane przez monitor.

14.3. Ochrona przed makrowirusami

Ze względu na to, iż bez programu antywirusowego trudno jest wykryć wirusy w plikach DOC czy XLS, można przedsięwziąć pewne kroki, aby zminimalizować szansę zainfekowania systemu:

> wyłączyć wszystkie makra automatyczne przy pomocy własnoręcznie napisanego makra (najlepiej nazwać je AutoExec, dzięki czemu zostanie ono zawsze wywoływane podczas uruchamiania Worda):

SUB MAIN

DisableAutoMacros 1

END SUB

> aby wyłączyć przy uruchamianiu Worda makro AutoExec należy uruchamiać aplikację z parametrem /m (WINWORD.EXE /M);

> podczas wczytywania plików trzymać wciśnięty klawisz SHIFT, co spowoduje zablokowanie automatycznego makra AutoOpen;

> od czasu do czasu przeglądać listę makr zawartych w szablonie NORMAL.DOT; jeżeli zawiera ona jakieś makra automatyczne lub makra o dziwnych, niespotykanych nazwach, możliwe, iż szablon jest zainfekowany. Makra można przeglądać za pomocą

opcji wybieranych z menu Worda PLIK/SZABLONY/ORGA-NIZATOR/MAKRA, bądź też NARZĘDZIA/MAKRO (niektóre makrowirusy potrafią już oszukiwać użytkownika chcącego użyć tych funkcji);

> ze względu na to, iż wirus może nie przejmować żadnego makra automatycznego, lecz tylko podmieniać polecenia menu (najczęściej menu PLIK/ZACHOWAJ, PLIK/ZACHOWAJ JAKO), powyższe środki mogą okazać się całkowicie nieskuteczne. Jedynym rozwiązaniem jest wtedy użycie najnowszego programu antywirusowego.