Nepřítele uvidíte za každým rohem

Virus, původně pojem související pouze s biologickou říší, je dnes v počítačové terminologii synonymem zla, něčeho škodlivého. Dnes se ale čím častěji setkáte s pojmem malware (z anglického malicious software – škodlivý software), jako český ekvivalent se občas vynoří téměř roztomilý pojem „havěť“. Samotným pojmem virus se už v dnešní době označují samotné viry, ale také tzv. trojské koně a červy.

Návštěva v zoo
Pojem virus či vir označuje přesněji jen jednu ze skupin malwaru. Základní charakteristikou typického viru je schopnost kopírovat, a tedy množit, sama sebe. Toto kopírování se provádí za pomoci „vykonatelného hostitele“, kterým mohou být např. programy nebo systémové části disku. Škodlivý kód viru je s hostitelem spojen tak, že při spuštění se mimo obvyklé operace (nastartování systému, spuštění programu) provede i aktivace samotného škodlivého kódu. Paralela s biologickým pojmem virus je tedy naprosto jasná.

Největší klasikou je vir souborový. Jak už název napovídá, v této variantě je virus spojen s nezávadným hostitelským souborem, na první pohled nic nepoznáte – program běží jak má a o tom, že se s ním spustil i nějaký darebácký kus kódu nemáte tušení. O to více překvapeni ale budete, až zjistíte jakou paseku vám virus v počítači napáchal.

Velmi často se můžete setkat také s pojmem trojský kůň. Pod lákavým jménem se skrývá program, který provádí nekalou činnost – i zde je inspirace řeckou mytologií zřejmá. Na rozdíl od virů nejsou trojany schopné infikovat další soubory. Velmi často s sebou ale nesou (často i destruktivní) nástroje, které vám do počítače nainstalují spyware, backdoor nebo třeba rootkit.

Poslední kategorii programů běžně označovaných jako viry jsou červi. Červi, na rozdíl od virů nedokáží sami sebe šířit pomocí infikovaných souborů, ale přímo pomocí sítě a špatně zabezpečených serverů. Zneužívají přitom bezpečnostních děr v operačním systému nebo instalovaných aplikacích. Pokud máte děravou aplikaci nainstalovanou a červ infikuje váš počítač, pokusí se zneužít síťového připojení k dalšímu šíření sama sebe. Kvůli velké rozšířenosti využívají červi nejčastěji bezpečnostních děr v operačním systému Windows.

Zvláštní skupinou internetových virů jsou viry e-mailové, které jsou kvůli svému způsobu šíření označovány také jako červi. Tato havěť je nesena v podobě standardní zprávy elektronické pošty se spustitelnou přílohou, která obsahuje samotný škodlivý kód. Podaří-li se infikovat hostitele, dokáže kromě poškození systému rozesílat spousty svých vlastních kopií na další e-mailové adresy, aniž byste o tom něco tušili. Vir přitom jako odesílatele nastaví libovolné jméno (třeba i vaše) a přidá lákavý předmět, takže věřit se nedá ani e-mailům od známých a přátel!

Hrozbou jsou stále také makroviry. Na rozdíl od běžných virů se šíří v obyčejných dokumentech, přičemž využívají schopností vytvořit a spustit jednoduché programy (makra). Ty původně slouží ke zjednodušení práce (automatické rozeslání dopisů na adresy z tabulky, kontrola vyplněného formuláře), ale bohužel mohou vykonávat i destruktivní činnost. Cílem jsou nejčastěji dokumenty sady Microsoft Office, opět je důvodem velká rozšířenost.

Velmi populární byly ještě v nedávné minulosti boot viry. Ty se spouštějí spolu se startem počítače a automaticky infikují všechna přenosná média, která uživatel v počítači použije. Zmizely nejen díky nástupu účinějších antivirových ochran (zákaz zápisu do boot sektoru má dnes každý BIOS), ale také kvůli tomu, že šíření pomocí internetu je mnohem úspěšnější.

Opravdu vám ublíží
A čím jsou vlastně viry tak škodlivé? Záleží vždy na tom, jak krutý je jejich autor. Některé dokáží poškodit systém, jiné poničit nebo vymazat soubory, nejzákeřnější pak i zformátovat pevný disk počítače. Pokud nechce autor způsobit žádnou výraznější škodu, vytvoří virus, jehož jediným úkolem je kopírovat a distribuovat dále sám sebe. Tyto případy jsou často doprovázeny nějakým „vtipným“ textem, obrázkem či videozáznamem. Autoři virů jsou také jen lidé, a tak se může stát, že se v kódu vyskytne chyba. I tato chyba ale často přináší velké problémy, v extrémních případech může způsobit i kolizi a ztrátu dat.

Amatérské viry ale začínají být v menšině, do popředí se dostává malware ve službách organizovaného zločinu. Vir v počítači pak sice nic nezničí (naopak se snaží být tak nenápadný, jak jen to jde), ale krade čísla kreditních karet, hesla do banky, nabourává se do cizích počítačů nebo rozesílá z vašeho účtu spam.

Nejlepší obranou je instalace a pravidelná aktualizace antivirového softwaru. Kromě standardních softwarových balíčků existují i tzv. jednoúčelové antiviry, tedy malé prográmky určené k odstranění jen jednoho konkrétního typu havěti. Tyto nástroje většinou najdete na webových stránkách antivirových společností.

Jak to vše začalo

Jedním z prvních předchůdců současných počítačových virů (a první, který překročil dveře laboratoří) byl už v roce 1982 škodlivý prográmek Elk Cloner pro počítače Apple II. Sám dokázal infikovat přenosné floppy disky a šířit se tak na další počítače. Své oběti škodil tím, že při každém 50. spuštění vypsal na obrazovku svoji vlastní báseň. Pojem „virus“ se objevil v roce 1983, kdy jej student Fed Cohen použil v referátu o počítačové bezpečnosti a představil program pro počítače Vax.

Prvním virem pro PC byl v roce 1986 boot virus Brain vyvinutý dvěma pákistánskými bratry k ochraně počítačového softwaru, který vyvíjeli. Za zmínku stojí i první internetový červ, kterého pod jednoznačným názvem Worm (červ) vytvořil v roce 1988 Robert Tappan Morris, pracoval pod unixem a šířil se pomocí špatně nastavených programů pro rozesílání pošty a napadl celých deset procent internetových počítačů.

Bojovníci proti virům

Včasné odhalení viru je čím dál složitější a především rychlost vydávání aktualizací dnes antivirové programy prodává na trhu. Kvůli připojení k internetu se viry šíří okamžitě, autoři jsou navíc čím dál důmyslnější. Škodlivý program samotný tak mnohdy dokáže sám sebe upravovat, aby nebyl antivirem jednoduše odhalitelný. Detekce viru není jednoduchá, nákaza navíc může přijít prakticky kdykoliv a odkudkoliv. Antivirové programy proto musejí využívat více metod na odhalování škodlivého kódu.

•  Nejjednodušším způsobem je vyhledávání charakteristických řetězců. Pokud program podle definice ví, jak virus vypadá, může jej snáze odhalit a někdy i odstranit ze systému.
•  Některé antiviry si při spuštění systému vytvoří seznam souborů a jejich parametrů. Pomocí srovnávací metody pak během práce se systémem tento seznam srovnávají s aktuálním stavem. Každá větší změna v tomto seznamu je analyzována, a i neznámé viry tak mohou být jednodušeji odhaleny.
•  Proti neznámým virům je účinná i heuristická analýza. Při ní se v kódu programů hledají postupy, které se v běžných programech vyskytují jen výjimečně a naopak pro viry jsou typické (např. zápis do boot sektoru nebo do hlavičky exe souboru).
•  Většina antivirů si při startu systému zavede do paměti rezidentní štít. Ten pak kontroluje na přítomnost škodlivého kódu všechny operace se soubory, maily nebo třeba ineternetovou komunikaci.
•  Některé antiviry dokáží vytvářet tzv. návnady. Tyto spustitelné soubory na disku čekají, zda se do nich nějaká aplikace nepustí. V případě že ano, je pravděpodobné, že je v systému přítomen virus.

Většina antivirových programů se dnes snaží odhalovat i dosud neznámé viry. To je vždy spojeno s rizikem falešného poplachu. Ve srovnání se škodou, kterou mohou viry způsobit, je občasný zbytečný poplach přijatelný. Pokud je ale falešných poplachů mnoho, uživatel bude s velkou pravděpodobností ignorovat i skutečné nebezpečí.