Strona główna » Moja firma » Biznes » e-Firma » Słownik » W jak Wirus i WildList

W jak Wirus i WildList

18 lipca 2008, 12:24

Kaspersky Lab Polska

Co oznacza War Chalking, a co War Driving? Poznaj hasła na literę W.

War Chalking

Termin ten oznacza spacerowanie po mieście, aby zlokalizować bezprzewodowe punkty dostępowe (tzw. "hot spoty") w celu zdobycia nieautoryzowanego dostępu do niezabezpieczonych sieci bezprzewodowych. Nazwa "war chalking" pochodzi od czynności znakowania hot spotów za pomocą kredy.

War Driving

War driving polega na jeżdżeniu po mieście, aby zlokalizować bezprzewodowe punkty dostępowe, tzw. "hot spoty" w celu zdobycia nieautoryzowanego dostępu do niezabezpieczonych sieci bezprzewodowych. Mapowanie urządzeń w technologii Bluetooth określane jest jako "war nibbling".

Wariant

Termin wariant oznacza zmodyfikowaną wersję istniejącego złośliwego kodu. Jeśli jakiś wirus, robak czy trojan okazał się "skuteczny" lub opublikowano jego kod źródłowy, twórcy wirusów często bardzo szybko tworzą nową wersję takiego szkodnika.

Wiersz poleceń

Wiersz poleceń stanowi oparty na klawiaturze interfejs pomiędzy komputerem a użytkownikiem. Użytkownik wpisuje polecenie, a komputer przetwarza odpowiednią instrukcję dla tego polecenia, a następnie wyświetla określony komunikat, który informuje użytkowników, że system jest przygotowany na dalsze polecenia.

MS-DOS był systemem opartym na wierszu poleceń. Z kolei Microsoft Windows oferuje interfejs graficzny i umożliwia wprowadzanie instrukcji przy użyciu myszy (oprócz dostępu za pomocą wiersza poleceń). Większość systemów operacyjnych bazujących na Uniksie również oferuje zarówno interfejs oparty na wierszu poleceń, jak i interfejs graficzny.

WiFi

WiFi (skrót od ang. wireless fidelity) jest nazwą powszechnie nadawaną sieciom bezprzewodowym, które spełniają wymogi specyfikacji 802.11 ustanowionej przez IEEE (Institute of Electrical and Electronic Engineers). Sieć WiFi, która stała się ostatnio bardzo popularna, zapewnia dużą prędkość transferu (do 11Mbs).

Obecnie wiele komputerów PC i urządzeń przenośnych wyposażonych jest w karty bezprzewodowe, które umożliwiają im podłączenie do sieci bezprzewodowej. Sieć WiFi stała się powszechnym sposobem podłączania do sieci i bezprzewodowych punktów dostępowych, tzw. "hot spotów", i można ją znaleźć w domach, firmach, hotelach, na lotniskach, a nawet w fast foodach.

Z założenia, podłączenie do sieci bezprzewodowej nie wymaga żadnych kabli. Jeśli sieć bezprzewodowa jest niezabezpieczona, dostęp do niej łatwo mogą uzyskać hakerzy lub inni użytkownicy, którzy chcą korzystać z Internetu za darmo. Jest to tzw. "war driving" lub "war chalking".

WildList

Lista WildList została ustanowiona w lipcu 1993 roku przez specjalistę ds. rozwiązań antywirusowych Joe'a Wellsa. Następnie publikowana była co miesiąc przez WildList Organization, a obecnie przez ICSA Labs (która jest częścią TrueSecure Corporation). Jej celem jest prowadzenie rejestru wirusów, które rozprzestrzeniają się w rzeczywistym świecie (w FAQ-u WildLista określana jest jako "światowy autorytet w dziedzinie typów wirusów, które powinny wzbudzić rzeczywisty niepokój użytkowników").

Wykrywanie wirusów "na wolności" stało się de facto miernikiem oceny produktów antywirusowych. Testy certyfikujące oprogramowanie antywirusowe, w szczególności ICSA Labs oraz West Coast Labs, opierają się na wykrywaniu próbek z WildListy. Dodatkowo, wyróżnienie Virus Bulletin ‘VB100%’ przyznawane jest na podstawie zdolności produktu do wykrywania wirusów z tej listy.

Jednak w obecnych czasach ryzyko stania się ofiarą nowego złośliwego programu jest większe: około 80% nowych złośliwych programów wykrywanych jest na wolności, a nie w tak zwanych kolekcjach "zoo". W rezultacie, WildList nie stanowi już wiarygodnego miernika rzeczywistego zagrożenia.

Wirus

Obecnie termin wirus odnosi się do wszystkich rodzajów szkodliwego oprogramowania lub też określa wszystkie "szkodliwe zmiany", które powstały w wyniku działania szkodliwego programu w zaatakowanym systemie. Ściśle mówiąc, wirus jest definiowany jako kod programu, który rozmnaża się.

Wyróżnia się wiele sposobów podziału wirusów. Programy te mogą być klasyfikowane według rodzajów obiektów, które infekują. Na przykład, wirusy sektora startowego, wirusy plikowe, makrowirusy.

Wirusy mogą także być klasyfikowane pod względem metody używanej do zaatakowania obiektu. "Wirusy plikowe o działaniu pośrednim" ładują się do pamięci oraz przechwytują pewne funkcje systemowe w celu zainfekowania plików w momencie, kiedy są one otwierane/uruchamiane/zapisywane.

Inaczej działają "wirusy plikowe o działaniu bezpośrednim", które nie instalują się w pamięci, lecz infekują plik (lub pliki) w momencie, gdy zainfekowany program jest uruchomiony, po czym pozostają w uśpieniu aż do momentu ponownego uruchomienia zainfekowanego pliku.

Innym kryterium klasyfikacji wirusów są techniki, których używają do zainfekowania pliku. Istnieją wirusy, które dodają kod w końcowej części atakowanego pliku, wirusy, które dodają kod w początkowej sekcji atakowanego pliku oraz wirusy, które całkowicie zastępują atakowany plik swoim własnym kodem. Inaczej działają wirusy towarzyszące (Companion Viruses) oraz wirusy-odsyłacze (Link Viruses) – szkodniki te w ogóle nie dodają swojego kodu do atakowanych plików.

Istnieją także wirusy ukrywające się, które manipulują systemem w celu ukrycia spowodowanych przez nie zmian, oraz wirusy polimorficzne, które szyfrują swój kod, co utrudnia ich analizę i wykrycie.

Oczywiście, można wyróżnić także wirusy, które nie działają: nie potrafią infekować lub rozprzestrzeniać się.

Wirus nadpisujący

Wirusy często klasyfikowane są ze względu na wykorzystywane przez nie techniki infekcji. Wirus nadpisujący - jak sugeruje jego nazwa - całkowicie zastępuje kod w zainfekowanym pliku własnym kodem. Naturalnie, oryginalny program przestanie działać, co będzie oznaczać, że komputer został zainfekowany. Z tego powodu, wirusy nadpisujące nigdy nie rozprzestrzeniały się skutecznie na wolności.

Wirus plikowy

Wirusy często klasyfikowane są według rodzajów infekowanych obiektów. Wirusy plikowe, jak wskazuje nazwa, dodają swój kod do plików (zasadniczo są to pliki programów).

Wirus sektora startowego

Wirus sektora startowego to taki, który infekuje poprzez zmianę kodu w sektorze startowym dyskietki (czasami dysku twardego) na własny kod. W rezultacie, przy każdej próbie rozruchu z zainfekowanej dyskietki wirus zostanie załadowany przed systemem operacyjnym.

Wirusy te nie są obecnie rozpowszechnione, jednak w pierwszej połowie lat dziewięćdziesiątych, kiedy dyskietki były podstawowym sposobem przenoszenia danych, wirusy sektora startowego stanowiły główne zagrożenie dla użytkowników komputerów PC. Wirus sektora startowego infekował dysk twardy zazwyczaj po tym, jak użytkownik pozostawiał w napędzie A bezwiednie zainfekowaną dyskietkę.

Przy ponownym uruchomieniu komputera system próbował uruchomić się z dyskietki i następowało wykonanie kodu wirusa, bez względu na to, czy dyskietka była dyskiem systemowym czy tylko dyskietką z danymi. Następnie wirusy sektora startowego infekowały zazwyczaj MBR (Master Boot Record) dysku twardego, a nie sektor startowy.

Wirus towarzyszący

Wirusy towarzyszące to rodzaj klasycznych wirusów plikowych, które nie modyfikują atakowanego pliku. Zamiast tego tworzą jego kopię zawierającą wirusa. Podczas uruchamiania zainfekowanego pliku, pierwsza aktywowana zostanie kopia zawierająca wirusa.

Przykładowo wirus może zmienić nazwę pliku notepad.exe na notepad.exd i dopisać swój własny kod do pliku z oryginalną nazwą. Przy każdym uruchomieniu pliku notepad.exe przez użytkownika, najpierw aktywowany będzie kod wirusa, a dopiero potem oryginalny plik Notatnika - notepad.exd.

Wirus typu multipartite

Wirusy typu multipartite to takie, które stosują wiele różnych metod ataku. W czasach gdy MS-DOS był głównym systemem operacyjnym komputerów PC, termin "multipartite" stosowany był w odniesieniu do wirusów, które infekowały programy i sektory systemu.

Wirus ukrywający się

Wirusy ukrywające się próbują uniknąć skanerów antywirusowych przedstawiając po zapytaniu produktu antywirusowego czyste dane.

Niektóre z tych wirusów podczas skanowania ukazują czystą wersję zainfekowanego pliku. Inne ukrywają nowy rozmiar zainfekowanego pliku i wyświetlają rozmiar sprzed infekcji.

Wirus-odsyłacz

Wirusy są także klasyfikowane pod względem techniki wykorzystywanej do infekowania. Taki typ wirusa, jak sama nazwa sugeruje, nie dodaje swojego kodu bezpośrednio do zainfekowanych plików. Rozprzestrzenia się poprzez manipulowanie sposobem dostępu do plików w systemie plików FAT.

W momencie uruchamiania zainfekowanego pliku wirus przenika do pamięci oraz zapisuje (zazwyczaj ukryty) plik na dysku: ten plik zawiera kod wirusa. Następnie wirus modyfikuje system plików FAT tak, aby inne pliki były przekierowywane do sektora dysku zawierającego kod wirusa. W rezultacie, zawsze po uruchomieniu zainfekowanego pliku system przeskakuje najpierw do kodu wirusa i uruchamia go.

Przekierowanie może zostać wykryte po uruchomieniu programu CHKDSK, jednak jeżeli wirus jest aktywny w pamięci (komputer nie został uruchomiony z niezainfekowanego nośnika startowego), może on użyć technologii ukrywania się w celu zamaskowania zmian.

Wirusy polimorficzne

Wirusy polimorficzne próbują unikać wykrycia zmieniając własny kod wraz z każdą infekcją. Programy antywirusowe nie mogą więc poszukiwać stałej sekwencji bajtów. Niektóre wirusy polimorficzne używają również różnych technik szyfrowania przy każdej infekcji.

Termin "polimorficzny" pochodzi z języka greckiego i oznacza "wiele form". Stosowany jest jako określenie wirusów tego typu od wczesnych lat 90-ych.

Obecnie twórcy szkodliwego oprogramowania wciąż stosują polimorfizm. Częściej w połączeniu z robakami i spamem, coraz rzadziej natomiast z klasycznymi wirusami.

World Wide Web

Twórcą World Wide Web (w skrócie WWW) jest Tim Berners-Lee, brytyjski konsultant ds. oprogramowania, który szukał sposobu na stworzenie wszechstronnego systemu informacyjnego wykorzystującego komputery. Jego pierwszy program napisany w tym celu nazwał się "Enquire" i powstał w latach 80.

Następnie Tim Berners-Lee rozwinął swoją koncepcję oraz standardy w taki sposób, aby możliwe było współdzielenie danych poprzez Internet. Stworzył HTML jako standardową metodę kodowania stron www i opracował system adresowania mający na celu lokalizowanie stron www. Tim Berners-Lee stworzył również HTTP - protokół służący do przesyłania stron www za pośrednictwem Internetu.

World Wide Web, w znanej nam dzisiaj postaci, pojawił się w 1991 roku i od tego momentu gwałtownie się rozrosła. Tim Berners-Lee założył World Wide Web Consortium (W3C), organizację ustanawiającą standardy dla Sieci. W3C definiuje World Wide Web jako "wszechświat informacji dostępnych za pomocą sieci, wyraz wiedzy człowieka".

Wykrywanie generyczne

Termin wykrywanie generyczne odnosi się do wykrywania i usuwania różnych zagrożeń przy użyciu jednej definicji wirusa. Zagrożenia, które okazują się skuteczne, często kopiowane są przez innych twórców wirusów lub rozwijane przez ich autora(autorów). W rezultacie powstają liczne wirusy, robaki i trojany, z których każdy stanowi osobny egzemplarz, ale jest członkiem tej samej rodziny. W wielu przypadkach mogą istnieć dziesiątki, a nawet setki wariantów.

Wykrywanie generyczne polega na tworzeniu definicji wirusa, przy pomocy której możliwe będzie zidentyfikowanie wszystkich zagrożeń należących do tej samej rodziny. Kiedy więc pojawi się "NowyWirus", definicja stworzona w celu wykrywania go będzie również identyfikowała 'NowyWirus.b', 'NowyWirus.c', 'NowyWirus.d' itd., jeśli - i o ile - wirusy takie powstaną.

Techniki te można rozszerzyć również na wykrywanie kodu exploitów, który może być wykorzystywany przez wirusa lub robaka. Chociaż wykrywanie generyczne nie gwarantuje wykrycia wszystkich wariantów w rodzinie, skutecznie wykorzystuje je wielu producentów antywirusowych.

Kaspersky Lab Polska

Chcesz dowiedzieć się więcej, sprawdź »