HOME -> SIKKERHED -> sikart-02 Onsdag, 13. December 2017

HOME
FORUM
OPEN DIRECTORY
BOOKMARK
Offentliggjort 2003 - Opdateret n/a

Virus og virus scannere

Artiklen beskriver bl.a. hvordan virus kommer i udbrud, samt spredning af samme.

Indhold


TopBegrebet virus
En virus er et program som har følgende egenskaber: (Her opsat i tre overordnede punkter).

1) Formering / Spredning / Replikering.

Kræver at virus er indlæst i hukommelsen og at den har adgang til cpu'en.

Der er to typer af replikkation:
  • Fil infektion: Virus tilføjer sig i en fil. Typisk en eksekverbar fil. Det er dem som har efternavn som *.dll, *.com, *.exe.
  • Boot sector infektion: Angriber det data område i computeren der er ansvarlig for at starte systemet. - Virus lægger sig i boot sector, og flytter de oprindelige instruktioner til andre steder på harddisken.
2) Kamuflage / concealment (hemmeligholdelse).

  • En virus er et meget lille program.
  • Virus skjuler sig i programfiler.
  • "Cavity" = hulrum. - Virus lægger sig på tomme pladser i filen, fil størrelsen ændrer sig ikke.
  • Stealth virus (usynlig virus) skjuler modifikationer af filer og boot sektor, ved at den fanger fil og disk systemkald, og returnerer de originale info. Eks.: dir, fdisk.
  • Polymorfe virus ændrer sin signatur (sit bit mønster) fra infektion til infektion.
  • Krypteret virus benytter sig af krypteringalgoritmer. Det er svært at se, at det er en virus.
3) Trigger / udbrud / bomb (Det som udløser virusen).

De fleste virus venter på en bestemt handling, før de går i udbrud. Denne handling kan være:

  • En bestemt dato.
  • Data (aktivering).
  • Efter at have inficeret x antal filer starter virusen.


Ved udbrud kan følgende ske:

  • Filer bliver ødelagt.
  • Spiller en lille melodi.
  • Skriver en besked på skærmen.
  • Og andre "ugly" ting.


I vores linksektion er der et par gode referencer til organisationer der informerer om nye og gamle virus.

 

TopVirus scanner
Hvordan undgår man at bliver smittet med virus?

  • Access control (Administrator rettigheder).
F.eks. i Windows NT/W2K, kan man sætte rettigheder på filer/active directory. Dette hjælper ikke med at opdage eller fjerne virus, blot gøre det svære, for virus at have adgang til systemet.
  • Check sum / CRC check.
Kan bruges til at finde ud af, om en fil er blevet ændret.
  • Proces overvågning.
Observerer ændringer i systemet, f.eks. ændringer af adresse registre i netbios.
  • Virus scannere.
Den mest anvendte metode og den mest effektive, søger efter virus vha. signatur fil.
Virus signatur er dele af virus koden eller typiske kendetegn for virusen, f.eks. kan det være en tekststreng. Virus scanneren kan efter fundet af en sådan virus fjerne den.
En ulempe er at den ikke kan finde helt nye vira. Dette kræver en hyppig opdatering af virus scannerens software. Virus scanneren kan have problemer med krypterede og komprimerede filer (zip-filer).

 

Virus scannere kan sættes til to tilstande:

1) On demand scanning

Scanner når man beder den om det, eller den kan sættes manuelt op til at scanne automatisk på f.eks. et bestemt klokkeslæt - "Works after the fact".

 

2) Memory resident

Virus scanneren er resistent i hukommelsen hele tiden, den kan sættes til at scanne en fil før access, eller til at scanne hver gang computeren startes. - "Catching a virus before it infects your system".

 

Heuristik Scannere.

Bruger ikke signatur filer, men leder efter typiske tegn på virus, og behøver ingen opdatering. Den kan også opdage helt nye vira. Den store ulempe ved den type scanner er, at den har tendens til at rapportere fejl / falskalarm.

 

Applikation - Level virus scanning.

Scannere som er rettet mod bestemte applikationer. Mest almindelig til at scanne e-mail (SMTP relay).

 

Copyright © 2002 - 2017
NETeXplorer.dk · All rights reserved Top