Sissejuhatus.
Käesolevas uurimustöös olen vaadelnud peaasjalikult personaalarvuti DOS keskkonna viiruseid kuna selles keskkonnas on minu arvutialased teadmised suurimad.
Tegelikult on väga raske identifitseerida ja klassifitseerida arvutiviiruseid. Igaüks, kes avastab arvutiviiruse annab sellele nime ja iseloomustab seda. Paljudel juhtudel aga pole see viirus aga hoopiski uus, teda on juba kirjeldatud mitmeid kordi varem. Sageli ei kattu need kirjeldused täielikult. On üsna võimatu kirjeldada kõiki viiruste liike ja nakatumiste eri variatsioone. Seega on probleem number üks nakatumisraportite filtreerimine ja näidete kogumine. Teiseks suurimaks probleemiks on see, kuhu tõmmata joon originaalse viiruse või mõne teise viiruse variatsiooni vahele. Näiteks suudab originaalne Brian viirus nakatada vaid flopikettaid. Kas pidada Briani variatsioone, mis suudavad nakatada ka kõvaketast, aga mis kõiges muus on täiesti analoogsed, uuteks viirusteks või mitte? Aga kuidas suhtuda tulevastesse modifikatsioonidessse, mis sisaldavad juba destruktiivset (hävitavat) koodi? Kas see on juba uus viirus? Aga mida teha juhul, kui keegi võtab ühe segmendi Brian viirusest ja kasutab seda uue viiruse loomise baasina?
Samasugused raskused on ka viiruste klassifitseerimisega. Paljud viirused sisaldavad mitmeid eri viiruseklassidele iseloomulikke jooni. Seega on üsna raske neid mingi kindla tüübi alla paigutada.
Üldiselt võib viiruseid klassifitseerida nelja eri moodi:
1.Kahjustuste järgi. (kas viirus sisaldab destruktiivset koodi või mitte)2.Tõrjutavuse järgi.3.Töökeskkonna järgi.4.Viiruste (nakatamise) käitumise järgi.
Käesolevas töös on põhiliselt vaadeldud DOS-keskkonna viiruseid iseloomulike nakatamisviiside järgi. 1. Esimesed arvutiviirused.
Esimene laialt esinenud "metsik" (mitte teaduslikel eesmärkidel loodud) arvutiviirus oli Pakistanist pärit Brian Virus, mis sai avalikuks 1986. aastal. Järgmisel aastal alustasid tegevust Jerusalem -levinumaid ja visamaid raaliviirusi, millest on ohtralt erinevaid variante. Samal ajal tekitati ka viirus Stoned, mis on tänaseni levinuim ning üks raskesti tõrjutavaid. Tema päritolumaaks peetakse Itaaliat või Uus-Meremaad. Viiruse tunneb ära ekraanile ilmuva fraasi "Your PC is Stoned" järgi; stoned tähendab argoos meelemõistuse kaotanult purjus või narkootikumiuimas olemist.
Sellest ajast muutusid raaliviiruse nakkusjuhud üha sagedamateks. Tuli ette esimesi suurkahjustusi, kui viiruse ohvriks langes suur hulk arvuteid või siis suured terviksüsteemid. 1988.a. said lühikese aja jooksul nakkuse paljud Iisraeli arvutid Weitzmanni-nimelises Instituudis, Haridusministeeriumi teadus- ja pedagoogikakeskuses, ühes Tel-Avivi tarkvarafirmas ning Juudi Ülikoolis, mille mälu järk-järgult üle koormati ning lõpuks täielikult blokeeriti. Samal ajal said nakkuse ka paljud USA firmade ja ülikoolide arvutid.
Juba 1991. aastal sai USA-s viirusnakkuse keskmiselt neli personaalarvutit tuhandest ning see arv kasvab kogu aeg. 1993.aasta lõpuks oli identifitseeritud juba 2300 viirust ja nende modifikatsiooni. Raaliviiruste suhtes tundlikuks on osutunud IBM PC-ühilduvad arvutid, millele on suunatud ka viirusekirjutajate peamised jõupingutused. 1992.a. augustiks oli teada 1350 PC-viirust. Teistel arvutitüüpidel tunduvalt vähem -Amigat ähvardas 200 viirust, Macintoshi vaid 35.
2. Interneti uss.
Esimene tõeline raaliviiruse epideemia puhkes USA-s 2.novembril 1988. Täpsemalt öeldes ei olnud tegu mitte viirusega, vaid vagelprogrammiga, mis erinevalt viirusest ei haaku mõne olemasoleva peremeesprogrammi külge, vaid levib ja paljune arvutivõrgus iseseisvalt. Vagla autoriks osutus Cornelli Ülikooli üliõpilane Robert Morris Jr, kes muide oli Rahvusliku Julgeolekuagentuuri Rahvusliku Arvutiturvakeskuse peateaduri poeg. Oma vaglale andis Morris nimeks worm (ingl.keeles: uss). Vagel ründas arvutivõrku Internet kell 5 pärast lõunat nakatades lühikese ajaga 6200 VAX- ja Sun-arvutit, mis töötasid operatsioonisüsteemi Unix teatud versioonidega. Paljud organisatsioonid, sealhulgas suured teaduskeskused nagu Lawrence Livermore Rahvuslik laboratoorium, olid sunnitud ennast mõneks ajaks Internetist täielikult lahti ühendama. Kahjud ründe tagajärgede likvideerimiskuludest moodustasid ühtekokku 98 miljonit dollarit.
Worm ise töötas järgmisel põhimõttel: nimelt kasutas ta ära muidu väga turvaliseks peetava operatsioonisüsteemi Unix-i augu programmi sendmail silumisreziimis (see meiliprogramm töötab ootereziimil ja ootab, kuni teised süsteemid temaga ühendust võtavad ja elektronposti annavad) ning ühe augu finger deemonis fingerd, mis teenindab fingeri kutseid.
Kui worm seadis end mõnes süsteemis sisse, hakkas ta koguma teavet teiste sellega ühendatud hostarvutite kohta ning tegi siis katset neisse siirduda, üritades seda teha järgemööda mitmel erineval viisil. Kui nakatumine õnnestus, katkestati side. Uues kohas oli vagla esimene ülesanne ennast maskeerida, kustutades kõik sissetungimise käigus loodud failid. Seejärel hakkas vagel üritama tungida mõne kasutaja pangaarvesse, püüdes leida parooli ning seejärel end kasutajaks maskeerides.
Et maskeering oleks veelgi täiuslikum, tekitas vagel nakatatud süsteemis aeg-ajalt enda koopiaid ning seejärel kustutas esialgse versiooni, nii et wormi ei saanud leida mingi ühe programmi poolt kasutatud ülemäärase protsessoriaja järgi. Iga 12 tunni järel kustutas ta tema poolt nakatatud arvutite nimekirja (s.t. viirus pidas jooksvat arvestust arvutite kohta, mida ta oli juba nakatanud). Seetõttu võis ta mõnda vahepeal vaglast puhastatud süsteemi uuesti nakatada.
Mõne päeva pärast hakkasid asjad aegamööda normaliseeruma. Robert T. Morris Jr. mõisteti süüdi arvutipettuse ja -kuritarvitusakti (§ 18) rikkumises ning ta sai kolm aastat tingimisi, 400 tundi paranduslikke töid ja 10 050 $ trahvi, lisaks pidi ta tasuma enda järelvalve kulud. 1990.aasta detsembris andis ta sisse appellatsiooni, mis lükati tagasi järgmise aasta märtsis.3. Good Times
1994.a. detsembris levis interneti uudistegruppides haruldane Good Times nimeline worm. Good Times ei olnud viirus mitte tavalises mõttes: täpsemalt väljendudes oli ta asjatundlikult käimalastud kirjakett. Selle asemel, et ise arvutist arvutisse levida, usaldas Good Times selle inimestele.
Good Times töötas umbes järgmisel ideel: autor lasi ringlusse e-maili teate, mille pealkirjaks <> pani Good Times. Kiri ise sisaldas hoiatust, et mööda e-mail süsteeme liigub ringi ohtlik viirus nimega Good Times, mis aktiviseerub siis, kui lugeda viirust sisaldavat kirja. Kiri selgitas, et nakatunud kirja võib ära tunda pealkirja järgi, milleks on Good Times. Hoiatuse järgi tuli kõik sellist pealkirja kandvad kirjad kohe ilma lugemata hävitada.
Paljud kasutajad ei mõistnud, et see hoiatus oli nali -üldiselt ei võimalda elektrooniline kirjasüsteem teatud kirja lugemise peale programmide käivitamist. Teisest küljest, kuna hoiatus oli kirjutatud väga siiras vormis, siis saatsid inimesed selle edasi oma sõpradele, pealegi soovitas seda ka hoiatus.
Varem või hiljem tuli kiri sõprade sõpradelt või veel suurema ringiga tagasi. Esimese asjana märkas inimene loomulikult pealkirja, milleks oli Good Times. Uskudes, et teda ründab ohtlik viirus, kustutas ta selle kirja ilma lugemata. Loomulikult sisaldas see kiri vaid esialgset hoiatust. Pärast sellist pääsemist saatis see inimene arvatavasti veel mõned hoiatused...
4. Viiruste klassifitseerimine neid iseloomustava "käitumise" järgi.
1. Käivitusfaile pakkivad viirused -pakivad koodi kokku, nii et saadud fail on kas sama suur või väiksem. 2. Kõiki programmifaile (*.EXE, *.COM) nakatavad viirused.2.1. Ainult EXE-faili nakatavad viirused.2.2. Ainult COM-faili nakatavad viirused.2.2.1. COMMAND.COM nakatavad viirused.Boot-sektori viirused.3.1. Kõvaketta DOS Boot-sektorit nakatavad viirused.3.2. 360 kB flopiketta viirused.4. Ülekirjutavad viirused.5. Parasiitviirused.6. Mälus mitteresidentselt paiknevad viirused.7. Mälus residentselt asetsevad viirused.7.1. Alla 640 kB (segmendis A000).7.2. Üle 640 kB.7.2.1. Viirused mis kasutavad BIOS/Video/Shadow RAM-i (segment A000 - FFFF).7.2.2. Viirused, mis kasutavad extended/expanded mälu.8. Spawning (companion) viirused.9. Viirused, mis manipuleerivad failipaigutustabeliga (FAT - File Allocation Table).10. Viirused, mis nakatavad MBR-i (Master Boot Record, Partition Table).11. Kataloge nakatavad viirused.4.1 Spawning virus.
Esimene Spawning või Companion tüüpi viirus avastati 1990.aasta aprillis. Selleks oli AIDS II. See oli esimene teadaolev viirus, mis kasutas "korrespondeeriva faili tehnikat", nii et nakatatav sihtmärk: EXE-fail jäi tegelikult muutmata. Viirus kasutas ära DOS-i omapära lugeda kõigepealt COM-faili ja seejärel alles EXE-faili, juhul kui nad on samanimelised.
Viirus ei nakatanud tegelikult EXE-faili. Ta lõi samanimelise korrespondeeriva viiruse koodi sisaldava COM-faili suurusega 8,064 baiti. Uus fail asetses tavaliselt samanimelise EXE-failiga ühes kataloogis, kuid see ei ole kõikide Spawning tüüpi viiruste puhul nii. Mõned neist võisid COM- faili luua täiesti suvalisse DOS-i pathi.
Viirus ise levis nii: kui inimene otsustas käivitada mõnd programmi, millel oli juba olemas korrespondeeriv COM-fail, siis käivitus kõigepealt viiruse koodi sisaldav COM-fail. Kõigepealt lõi viirus veel nakatamata EXE- failidele samanimelised aga viiruse koodi sisaldavad korrespondeerivad COM-failid. Pärast uute COM-failide loomist mängis AIDS II mingi meloodia ja kuvas ekraanile järgmise teate:
"Your computer is infected with ...
© Aids Virus II ©
- Signed WOP & PGI of DutchCrack -"
Seejärel käivitas viirus EXE-faili ning programm käivitus probleemideta. Pärast töö lõpetamist programmiga võttis AIDS II jälle kontrolli enda kätte. Monitorile kuvati järgmine teade:
"Getting used to me? Next time, use a Condom . . . . ."
Viiruse koodis need teated nähtavad ei ole. Kuna EXE-fail töötas tõrgeteta, siis mõned viirusetõrje programmid ei suutnud viirust leida.4.2 Katalooge nakatav viirus (DIR II).
DIR II (alias Creeping Death, FAT) avastati Ida-Euroopas (Bulgaaria, Ungari, Poola) 1991. aasta septembris. DIR II on residentselt mälus asetsev stealth-tüüpi viirus, mis kasutab täiesti uudset nakatamise tehnoloogiat. Ta on üsna raskesti avastatav, kuna tal ei ole kergesti nähtavaid ja mõõdetavaid suurusi.
Kui arvuti käivitatakse nakatunud kettalt, siis sel ajal kui DOS käivitab peidetud süsteemifaile, loeb DOS ka DIR II residentselt mällu. Viirus loetakse residentseks süsteemi alumisse mällu, kus asub informatsioon (IO ja MSDOS) süsteemi konfiguratsiooni kohta. Kui kasutaja peaks vaatama mälu jaotust mõne DOS-i tööriistaga, siis näeb ta seal, et Config on 1 552 baiti suurem kui oodatud.
Kui süsteemi kõvaketas ei olnud enne nakatunud, siis juhtus see viirusega nakatunud kettalt käivitamise ajal. Kuna DIR II on mälus residentselt, siis iga ketas, mis pole kaitstud ülekirjutamisseadmega, nakatatakse kasutamisel. Viirus paigutab oma koodi ketta viimasesse klastrisse (cluster). Süsteemi kõvakettal asetab viirus end eelnevalt kasutamata klastrisse. Seejärel kodeerib viirus õiged käivitusfailide viidad ja kopeerib need ketta kataloogi kasutamata osasse. Siis muudetakse õiged viidad nii, et need osutaksid viiruse koodile kõvakettal.
Vaadates nakatunud kataloogi ei märka kasutaja mingit erinevust. Kõik käivitusfailid säilitavad oma esialgse suuruse ja kuupäeva/kellaaja stambi. Tegelikult ei muudeta originaalprogramme üldse. Kui kasutaja käivitab mõne programmi, siis käivitub viirus. Kasutades kodeeritud viitasid, mis sisaldasid programmi tegelikke viitasid laeb DIR II programmi, mille kasutaja kavatses käivitada.
Üks põhilisi DIR II sümptomeid on see, et viirus on ka siis süsteemis, kui käivitatakse viirusvabalt kettalt. Kopeerides faile nakatunud kettalt on tulemuseks see, et failid ei kopeeru korralikult. Uued kopeeritud failid sisaldavad viiruse koodi, mis on paigutatud ketta viimasesse klastrisse. Juhul kui DIR II ei ole mälus residentne, käivitamisel DOS-i programmi CHKDSK, on resultaadiks teade suurest hulgast kadunud klastritest. Kõikide käivitusfailide kohta öeldakse, et nad on cross-linked ühes ja samas sektoris. See sektor on viiruse koodi asukoht kettal. Kui kasutada aga veel parameetrit /F, siis on tulemuseks kõigi käivitusfailide jääv moonutus. Käivitades aga CHDSK ajal, mil viirus on mälus residentne, ei järgne mingit teadet kahjustuste kohta.
Wednesday, November 14, 2007
Wednesday, November 7, 2007
Karikamängu 7.nov 2007aasta.
täna toimub siis kaua ootatud hattricku jalgpalli mäng Roosna-alliku jalkapoiste areenal ootada on üle 27 000-tuhande pealtvaataja.....
kasu tuleb ligi 4.5miljonit .. ilmaennustus näitas päikselist ilma...
Roosna-alliku kasutab 3-5-2 taktikat (3kaitset,5keskpoolikut ja 2ründajat +väravavavaht..)
vastaste taktika on teadmatu ... kuid tundub et kasutatakse tavalist 4-4-2 taktikat (4kaitsjat 4keskpoolikut ja 2ründajat +väravavaht)..
ootused on roosna-allikul suured nimelt ennustati tulemisi kindlasti üle 5-0....
kasu tuleb ligi 4.5miljonit .. ilmaennustus näitas päikselist ilma...
Roosna-alliku kasutab 3-5-2 taktikat (3kaitset,5keskpoolikut ja 2ründajat +väravavavaht..)
vastaste taktika on teadmatu ... kuid tundub et kasutatakse tavalist 4-4-2 taktikat (4kaitsjat 4keskpoolikut ja 2ründajat +väravavaht)..
ootused on roosna-allikul suured nimelt ennustati tulemisi kindlasti üle 5-0....
Subscribe to:
Posts (Atom)