Olyan programok, amelyek képesek önmagukat másolni mindenféle operátori ellenõrzés nélkül, adathálózatokon vagy floppykon átkerülnek más számítógépekre, ahonnan szintén továbbterjednek más számítógépekre. Ezek sosem önmagukban indulnak el, kell egy olyan program (boot-szektor is az) ami hordozza.

3 részbõl áll:

reprodukciós rutin: célpontot keres, ellenõrzi a fertõzöttséget, lefertõzi a célpontot, a végrehajtási sorrendet úgy állítja be, hogy elõször a víruskód fusson le.
Ezt a rutint minden vírus tartalmazza.
aktiválási mechanizmus: ellenõriz feltételt, amitõl függõen indítja a vírus objektív részét.
Ez lehet: nap, idõpont, program futásának ténye, billentyûkombináció, számítógép újraindításának ténye, stb�
objektív rutin: valamely romboló utasítások sorozata vagy valamely reklámszöveg.

Vírusok osztályozása több féle szempont szerint történhet:

A fertõzés célpontja szerint
Boot-szektor és/vagy partíciós tábla vírusok: a boot-szektor vagy a MBR (partíciós tábla programja) helyére írja be magát az eredeti példányt pedig nem használt szektorra menti. Másik faja a fentiek egy tetszõleges szektorába írják be magukat.
Csak akkor aktivizálódik ha fertõzött diskrõl történik a gép indítása.

Végrehajtható állományokba beépülõ vírusok: COM, EXE, Command.com, BAT, SYS, OV?, BIN, Rutinkönyvtárak (OBJ, LIB, DLL, PIF, stb�) és a Novell NLM file-jait fertõzi.

Ha vírus adatállományba íródik bele, az sosem fog végrehajtódni, így a víruskód sem. Ez esetben a vírus �csak� megrongálja az adatállományunk, ami ettõl használhatatlanná válhat. De léteznek olyan vírusok, melyek úgy épülnek be adatállományba, ha az állományt átnevezzük futtatható formátumúvá, akkor abból képesek elszaporodni.
 

Hibrid típus: olyan vírusok, melyek képesek boot-vírusként és programvírusként is mûködni.
Egy ilyen vírus kódját elég bonyolult megírni és termetes a mérete is, de mivel mindkét fenti típus elõnyeit ötvözi magában, jóval szaporodóképesebb. Ilyen eléggé romboló hatású vírus az 1994. októberében hazánkban hirtelen elterjedt One-half vírus is.

A file-vírusok szaporodási szempont szerinti csoportosítása:
 

nem felülíró típusúak: úgy telepednek be a programba, hogy azt nem bántják, így a program a legközelebbi futtatáskor is le fog futni.

hozzáfûzõ típus (appendelõ): a program végéhez fûzi magát és az elejére ugró utasítást tesz a víruskódra mutatva. pl.: Vienna 648.
kód elé beszúró típus: a program elejére teszi magát, így nem kell ugró utasítás, viszont a víruskód helyérõl a programkód részt arréb kell tolnia vagy a file végére kell fûznie. pl.: Péntek 13 (Jerusalem).

felülíró típusúak (overwrite): a vírus a programba írja magát és a felülírt programkód részletet nem menti el. Így a program használhatatlanná fog válni az elsõ vírusos futás után. Mindig annyi byte-ot vesz el a programból, ahány byte-os a víruskód.

program elejére író, felülíró típus: a program elejére beírja magát, így a programkód eleje elveszik. pl.: V-405

véletlenszerû helyre író, felülíró típus: kis hányada a vírusoknak, de itt ha nem az elejére írja be magát a programkódban, akkor szükséges az ugróutasítás a program elején.

felülíró és nem felülíró hibrid típusúak

Exe fejlécbe telepedõ (COM file-nál nincs fejléc !!!)

Command.com-ba telepedõ: a command.com legvégén levû csupa 00-ból álló stack területre írja magát, így nincs file-méret növekedés, de más com file-okat sem fertõz le, mert nincs meg ez az üres terület számára.

CEB (Com, Exe, Bat) vírusok (companian vírusok): ha kiterjesztés nélkül indítunk egy programot akkor a fenti sorrendben keresi az adott könyvtárban a gép a programnévnek való megfelelést. Az ilyen vírusok általában rejtett com file-ok, így ha azonos néven exe vagy bat file-t akarunk kiterjesztés nélkül futtatni, akkor a vírus fog elindulni.

FAT vírusok: mindössze egyetlen példányát rakja fel a lemezre, a legutolsó clusterre. Könnyen rejtõzködik, hisz a programunk hossza és tartalma sem változott.

Az objektív rutin szerint:

Romboló szándékú

fizikailag romboló: pl. a winchester olvasófejének lejebb pozicionálásával, a 80386-os processzorok mikroprogramjának módosításával vagy az Epson nyomtató epromjának megkeverésével.

erõteljesen romboló: általában alacsony színtû vagy rendes lemezformázással.

részlegesen romboló: felülírják vagy módosítják a lemez bizonyos területeit. Egyes lemezterületeket hibás szektornak is bejelölhet a vírus. pl.: Badsectors.

szelektíven romboló: csak �kitüntetett� programokat ódosít vagy töröl.

véletlenszerûen romboló: általában a ki- és beviteli eszközökre irányuló adatokat megváltoztatja, így akár a gép lefagyásához is vezethet tevékenysége.

Nem romboló szándékú (�Jópofa�):

szövegmegjelenítés
zene - pl.: Yankee, Doodle, 8 Tunes.
grafika
billentyûzet átdefiniálás

Vegyes: ami elkápráztat és közben valami rosszat is cselekszik.

Nincs objektív része: közvetlen károkat nem okoz.

Memóriával való �viszony� szerint:

rezidens: a vírus kódja lefut, beül a memóriába és egészen addig fertõz, amíg a rendszert újra nem indítjuk. Ezek a vírusok valamilyen vezérlést, interruptot elvesznek a géptõl és felhasználják saját céljaikra.

nem rezidens: csak végrehajtáskor kerül a memóriába.

vegyes: a szaporító rutin csak a végrehajtás idejére kerül be a memóriába, ám a víruskód többi része rezidenssé válik.

Generációs típusok szerint:

Elsõ generációs vírusok: ezek kezdetleges, sima egyszerû szaporodó vírusok.

Lopakodó (stealth) vírusok: a fertõzése során bekövetkezett változásokat elrejti, mindent az eredeti fertõzetlen állapotban mutat. Rezidens hisz csak így képes a változásokat a felhasználó elõl elrejteni.

Polimorf, mutációs vírusok: lényege, hogy a vírus teljesen átírja magát, véletlenszerûen elõállított változatokat készít önmagáról. Ezek visszafejtés elleni trükköket is tartalmazhatnak.

FAT és CEB vírusok

Sebesség szerint:

lassú fertõzõ: rezidens vírusok, amelyek csak az elindított fertõzetlen programot támadják meg.

gyors fertõzõ: ha aktívak a memóriában, nemcsak az elindított programot fertõzik, hanem más programokat is egyidejûleg. Pl.: amelyeket a futó programok megnyitnak. Ez a technika veszélyes a víruskeresõknél, hisz azok pont a fertõzésre legcélszerûbb programokat ellenõrzik, nyitják meg.

VI. Visszafejthetõség szerint:
 

�nem ellenálló�: nem alkalmaznak trükköt kódjuk visszafejtése ellen.

billentyûzetet letiltó: ha nyomkövetni akarjuk a vírust, akkor letiltja a billentyû-zetet.

titkosító: titkosítja magát, így egy disassemblerrel visszafejtett lista sem lesz értelmes.
 

Trójai programok:

A trójai ostromról kapták nevüket és lényegük az álcázás. A programok egy idejig jól mûködnek, aztán egyszer csak tönkre mennek, néha a winchester tartalmával együtt.
 

Általános trójai programok: közismert és gyakran használt programokba építenek be valamilyen romboló rutint, de nem a gyártók hanem a hackerek.

Másolásvédelmi trójai programok: a kifejlesztõ cég a programot másolás-védelemmel ruházza fel. Így a program csak megadott feltételek között hajlandó mûködni. Ezek egy részénél ha a programnak nem megfelelõ a környezet, akkor lerombolja az adatokat vagy tönkreteszi a programot. Másik fajtája nem rombol, csak nem fog a program futni.

Bevételt növelõ trójai programok: a garanciaidõ lejárta után adatvesztést idéz elõ, hogy a felhasználó megvegye a következõ verziót is.

Hálózat felderítõ trójai programok: átállítja felhasználók file hozzáférési jogait, vagy jelszóval bejelentkezéskor a jelszót a szerzõje részére, egy általa is elérhetõ állományba lejegyzi.

Beépített vírust tartalmazó programok: olyan programok, amelyekben víruskód van és a program saját futása közben bizonyos feltételek teljesülésekor szabadjára engedi a vírust.
Vírusírók ilyen tréfája volt pl.: a Scan45 lefertõzése V-2000 vírussal és Scan65-ként terjesztették, vagy a képernyõre sast kirajzoló EAGLE.EXE, ami Péntek 13 (Jerusalem B) vírust hordozott.
 

Speciális trójai programok:

Szaporodni nem tudnak és nincs egy külsõ burok sem ami elrejtené a valóságot.
 

ASCII vírusok: nem más mint maga a víruskód egy szövegfile-ban.
Ilyen lehet egy futtatható állománynévre átnevezett szöveges állomány is ami tartalmazza pl. deltree c:\ -y >nul sor is mar szép kárt tud okozni.

ANSI vírusok: az ansi.sys lehetõségeit kihasználva okoz károkat. Elég ha csak a fenti példát véve a parancsot hozzárendeljük az Enter billentyûhöz.

Programférgek:

Nem szaporodnak, hanem belépve egy rendszerbe, keresztül rágják magukat a védelmi mechanizmusán. Feladatuk legtöbbször, hogy behatoljanak az operációs rendszer magjába, a kernelbe és onnan kihozzanak bizonyos információkat, például jelszótáblákat.
 

Vírustároló programok:

Olyan programok, amelyek valamilyen úton-módon vírust tárolnak önmagukban, más-más céllal.
 

Injector: hasonlít a trojai programokra. Nem fertõzött mégis tartalmaz vírust. Beoltják azt a gépet, amin futtatják a programot. Nehezen detektálhatók.

Germ: 2 részbõl áll. Abból a programocskából amely képes a vírust szabadon ereszteni és a vírusból. Természetesen mindkettõ egy végrehajtható állományban van.

Dropper: Olyan programok, melyek boot-vírust installálnak a floppy lemezre rendszerint a felhasználó beleegyezésével. Amennyiben kérik telepít a behelyezett (többnyire csak 360K-s) floppyra vírust, de winchesterre sohasem.
Vírusvédelmi módszerek és technikák

Szignatúra vagy byte-minta keresés
Az egyes vírusokra jellemzõ adatok és utasítássorok keresése a programban.
 

A szignatúra hexadecimális számsorozat, ami a vírusra jellemzõ. A szignatúrákat a vírusokból veszik és ilyen minták megléte alapján feltételezik, hogy az adott program a szignaturához tartozó vírussal fertõzött.

A szignatúra keresés tovább fejlesztett változata, amikor nem konkrét hexadecimális számsort figyel a keresõ, hanem ez a számsorozat tartalmaz joker-karaktereket (?,*) is. Erre a módszerre a polimorf vírusok megjelenése miatt volt szükség.
 

Hátránya: hogy csak a már ismert vírusokat lehet felismerni a byte-minta szerinti kereséssel. A rosszul megválasztott minta vakriadóhoz is vezethet, ezért napjainkban több specifikus mintát is választanak egy vírusból.
 

Ismert vírusokat eltávolító védelem
Ennek a védelemnek tudnia kell, hogy melyik vírus milyen módosításokat végez azon az objektumon, amit fertõz. Ezek alapján megpróbálják visszaállítani a fertõzés elõtti állapotot, feltéve ha a fertõzés nem járt végleges adatvesztéssel.
 

Hátránya: a víruskeresõ program a valójában jó file-t is fertõzöttnek vélheti és meg-rongálhatja.
 

Heurisztikus keresés
A program különbözõ mûveletei és �viselkedése� alapján próbálja eldönteni a programról, hogy vírusprogram-e. Beépített processzorszimulátorral rendelkeznek, így futtatják a programot és nem élesben.

Elõnye, hogy olyan vírusok is felderíthetõk ezzel a módszerrel amik szignatúra alapján nem deríthetõk fel.
 

Ellenõrzõ összeges védelem
A boot-szektor és a partíciós tábla ellenõrzõ összegeivel operál. Elsõ lépésként minden egyes rendszerterületre kiszámolják a CRC-t. A késõbbiekben vírusellenõrzéskor újra kiszámolásra kerülnek a CRC-k és összehasonlításra kerülnek. Ha változás történt, valószínûleg vírus van a rendszerben.
 

Az �épség� ellenõrzése jelenleg az egyik legerõsebb módszer a vírusok fékentartására, felfedezésére.
 

Hártánya: a CRC meghibásodása vakriadóhoz vezethet.
 

Általános rendszerfelügyelõ védelem
Olyan monitor program, ami a rendszer indulása után a memóriába kerül és onnan felügyel minden programra. Így próbálja megelõzni a vírus rendszerbe kerülését. Gyakran szignatúra kereséssel és egy heurisztikus keresõvel is egybe építik. Ha veszélyt észlel, akkor megakadályozza a program futását és így elkerülhetõ a fertõzés.
 

Hardveres védelem
Olyan kártyán keresztül valósul meg, melyben az antivírus program már akkor aktivizálódik, amikor a boot-folyamat elindul. Így elõnye, hogy nem engedi a boot-vírussal fertõzött lemezrõl indítani a rendszert.
 

A jó vírusvédelmi kártnyával szembeni követelmények:
 

minél kevesebb döntést bízzon a felhasználóra
legyen beleépítve szignatúra és heurisztikus keresõ (melyhez folyamatos frissítés biztosított)
ne függjön a felhasználó akaratától
a védõhatás érvényesüljön a processzor valamennyi üzemmódjában
ne foglaljon helyet a memóriában és a boot-folyamat elõtt aktivizálódjon
támogassa a hozzáférés- és írásvédelmet
szoftverek futását ne akadályozza
minden konfigurációjú gépen mûködjön
a kártya ne legyen megtámadható vírusok által (kártya elrejtése a memória elõl)
elérhetõ legyen rendszerhívásokkal
Következtetés: a legjobb az összetett, kombinált védelem

Vírusfertõzés megelõzése:
 

Víruskapuk: a floppyról való boot-folyamat elkerülése, a vírusmentes programok használata egyfajta védelmet nyújt már az ellen, hogy rendszerünkbe vírus kerüljön.

Oktatás: a rendszergazdák megfelelõ tudása és a technikailag nem eléggé védett helyeken a felhasználók jó felkészítése nagy nagy segítséget jelent az adott rendszer vírusokkal szembeni védelmében.

Cég tanácsok: legyen a cégen belül egy olyan elszigetelt gép amin a kívülrõl hozott anyagok kipróbálhatók, ezzel megelõzve a vírusok éles rendszerbe való bekerülését.

Adat- és programforgalom: minimalizálni kell a rendszeren belül a programok forgalmát, különös tekintettel a rendszer szempontjából külvilág felé vezetõ csatornákon, és ott is megfelelõ ellenõrzéseken kell, hogy átessenek az adatok.

Backup, másolás, biztonsági példány: A gyári telepítõ lemezeket felhasználás elõtt le kell ragasztani. A fontos adatokról készítsünk biztonsági másolatot, de fontos elõtte ellenõrizni, nehogy a másodpéldány is fertõzve készüljön el.

Trójai és kalózprogramok használata: Nem szabad használni olyan programokat, melyekrõl nincs megfelelõ dokumentáció, copyright információ. A gyártó cég létezõ legyen és a cég által forgalmazott verziót használjuk.

Boot vírussal fertõzött floppyk: Ahol csak lehet, le kell tiltani a gépekben CMOS-ban a floppyról való bootolás lehetõségét.

Rendszerlemez: A rendszer megsérülésekor elengedhetetlen lehet egy olyan boot-floppy, ,amin a legfontosabb programok megtalálhatók és biztos, hogy a boot-floppy nem fertõzött.

Hálózatok: a hálózati adatelérést célszerû védeni jelszóval. Sokat számít a hálózati adatoknál történõ felhasználói jogosultságok megadása, mely szintén segítséget jelent a vírusok elleni védekezésben. Lehetõleg kerülni kell a fontos adatokat tartalmazó szerverekre az anonymus felhasználók bejelentkezését.

Anti-vírus termékek: a vírusellenõrzés rendszeres elvégzésével, valamint megfelelõ monitorprogramok használatával megelõzhetõ a vírus rendszerbe kerülése, a bekerült vírusok nagyobb károkozásának.