Trojské koně
Jde většinou o zajímavý či nějak užitečný program, který kromě užitečného kódu v sobě obsahuje kód vykonávající nežádoucí činnost s těmito charakteristikami:
nereplikuje svůj kód a není schopen se šířit
škodlivá činnost směřuje často k útoku odposlechem (monitorování činnosti na sítí Internet, odposlech hesel apod.) a též k destrukci (smazání dat, formátování disku, vymazání náhodně vybraného sektoru pevného disku apod.)
škodlivou činnost provádí na předem definovaný uživateli neznámý impuls (počet spuštění nějakého programu, systémové datum apod.)
V posledních 2 letech jsou trojské koně šířeny v rámci jiných druhů infiltrace (červi). Dle manipulační činnosti je lze rozdělit na:
Spyware/Adware – programy skrytě sledující navštěvovaná místa na Internetu a následně šířící cílenou reklamu na základě profilování klienta
Key logger (zloděje hesel) – monitorují výstupní kódy řadiče klávesnice a zpřístupňují na dálku citlivé informace (přístupové heslo, šifrovací klíč, PIN apod.)
Remote Access Trojan (RAT) – umožňují vzdálený přístup
BOT – program reagující na příkazy řídicího serveru (robot), umožňují útok typu DDoS
Červy
Jde o samostatný program (sadu programů) nevyžadující žádný hostitelský kód s těmito charakteristikami:
„aktivní červ“ (active worm) je schopen replikovat a šířit své funkční kopie bez lidského přispění do jiných počítačových systémů pomocí sítě Internet – s využitím známých slabin aplikací a OS (služby e-mail, IRC, WWW a.j), nověji stejné funkce jako BOT
„poštovní červ“ (I-worm) se šíří jako příloha poštovní zprávy a používá většinou tzv. „sociální inženýrství“ a slabiny poštovních klientů, aby lstí a oklamáním přiměl uživatele ke své aktivaci (např. změní typ .exe souboru na .pif, .scr, .lnk, nebo zdvojí příponu na .txt.vbs, jpg.exe, .zip.exe a navíc změní ikonu v exe souboru na WinZip apod.)
automaticky se spouští při zavedení OS (infikuje Registry a *.ini soubory)
pro své šíření používají nejčastěji vlastní SMTP rutinu a adresy svých obětí vyhledávají na disku napadeného počítače ve windows address book, personal address book, v dočasně uložených webových stránkách, v ICQ databázi a v dalších souborech
jsou často schopné napadat soubory ve sdílených souborových systémech v lokální síti, pokud není přístup k nim dostatečně zabezpečen, nebo v peer-to-peer sítích provozovaných přes Internet
destruktivní činnost velmi široká, často zahrnuje i odposlech citlivých informací pomocí sítě Internet
velmi rozšířené
Viry
Jde o závislý programový kód připojený k hostitelské proveditelné jednotce, která je žádanou součástí počítačového systému (program, skript, příkazový soubor, makro, zavaděč OS apod.). Když je tato proveditelná jednotka spuštěna, vykoná se též kód viru s těmito dalšími charakterisitikami:
infikuje další dostupnou proveditelnou jednotku vložením své repliky (mutace) do této jednotky
je schopen se šířit do jiných počítačových systémů
provádí destruktivní činnost (nepovinná charakteristika)
Hoaxy
Jde o falešné poplašné e-mail zprávy, které využívají „sociální inženýrství“ (lest, lež, morální vydírání) k rozeslání této zprávy všem dostupným adresátům. Mají tyto charakteristiky:
oznamují šokující informace (např. o „nové“ infiltraci), nebo apelují na humanitární cítění (pomoc těžce akutně nemocným, pomoc v souvislosti se skutečnou humanitární krizí apod.)
odvolávají se na známé společnosti v IT průmyslu (IBM, Microsoft, apod.), uvádějí důvěryhodně vypadající kontakty
apelují na okamžité jednání, tj. rozeslání všem potenciálním obětem
jsou odesílány vědomě lidmi, které příjemce zná
Důvody vzniku hoaxů:
obtěžování adresátů a ochabnutí jejich pozornosti, následkem je zmatení uživatele a ignorování skutečných varovných zpráv
poškození systému uživatele tím, že jej přesvědčí k destruktivní akci (např. pod záminkou „odstranění infiltrace“ vymazáním součástí OS)
Ochrana spočívá ve sledování databáze „hoaxů“ např. na
http://www.hoax.cz/cze/
SPAM
Je nevyžádaná poštovní zpráva nabízející zboží nebo služby často s nemorálním obsahem. Je posílaná prostřednictvím infiltrovaných systémů připojených na Internet (BOT) s falešnou hlavičkou odesílatele, takže je těžké najít skutečného odesílatele a blokovat příslušnou SMTP komunikaci. E-mail adresy adresátů jsou shromažďovány např. v rámci předchozí infiltrace zprostředkujícího systému červem nebo z veřejně dostupných databází (ICQ).
Motivem je „levný“ marketing, neboť zákony v mnoha zemích regulují nevyžádanou elektronickou inzerci (v Č.R. jde o zákon 480/2004 Sb., o některých službách informační společnosti – tzv. „antispamový zákon“)
Doprovodný vir
Virus, který nezapisuje svůj kód přímo do napadeného EXE souboru, ale vytváří stínový soubor stejného jména s příponou COM. Využívají tak vlastnosti MS–DOSu, který při spouštění dává COM souborům přednost.
Vir přímé akce
Primitivní souborový virus. Jakmile je spuštěn, tak vykoná vše, co chtěl a skončí. Typicky přepisující viry patří většinou do této kategorie.
Multipartitní viry
Tento druh vznikl sloučením bootovacích a souborových virů. Miltipartitní virus se vyznačuje schopností infikovat jak zaváděcí sektor disku či diskety tak i spustitelný soubor. Prvním virem, který byl schopen infikovat jak soubor, tak i boot sektor, byl zřejmě virus Ghost. Tento virus infikoval pouze programy typu COM s tím, že vypouštěl bootovací virus typu Ping Pong, který však neobsahoval replikační rutinu. Ghost virus byl provopočátkem multipartitní techniky, jejímž klasickým představitelem je např. virus Starship. Jakmile je spuštěn program infikovaný vire Starship, dochází k modifikaci partition table a uložní viru na disk. Po příštím spuštění počítače se aktivuje bootovací varianta Starshipu, která infikuje všechny vytvářené programy typu COM a EXE na disketě. Vzhledem k aktivitě zajištěné bootovací variantou Starshipu nemá tento virus důvod infikovat programy uložené na hardisku, ale napadá pouze disketu, která je prostředkem pro zajištění přenosu viru na další počítač. Multiparitiní viry jsou typickým příkladem virů, jejichž délka bootovací varianty přesahuje velikost jednoho sektoru - 512 B - a proto své tělo ukládajjí, podobně jako bootovací viry, nejčastěji do několika po sobě jdoucích sektorů na nulté (systémové) stopě hardisku. Tím se samozřejmě zvětšuje i pravděpodobnost kolize vpřípadě vícenásobného zavirování popsaného výše.
Přepisující viry
Při napadení přepíše část těla oběti vlastním kódem. Takto napadené programy jsou nenávratně zničeny a nejsou kromě dalšího šíření viru schopny žádné jiné činnosti, což je podezřelé i velmi otrlým uživatelům. Díky tomu je šíření těchto virů krajně nepravděpodobné.
Rezidentní viry
Je přítomen v paměti - je rezidentní - a může tak neustále ovlivňovat činnost počítače. Velkou výhodou rezidentního viru je, že si nemusí sám hledat programy vhodné k napadení. Virus stačí sledovat, se kterými soubory uživatel pracuje, a útočit na ně.
Polymorfní viry
Polymorfní viry se svým chováním podobají stealth virům. Avšak zatímco stealth viry provádějí své maskovací operace v reálném čase v závislosti na požadavcích kladených operačnímu systému, viry polymorfní provádějí svoji maskovací činnost způsobem odlišným. Hlavní charakteristický znak této skupiny je skutečnost, že žádné ze dvou kopií virového těla nejsou totožné. Polymorfní viry v prvé řadě demonstrují omezenost klasických antivirových scanerů, pracujících na principu charakteristických řetězců, které je nedokáží odhalit.
Stealth viry
Název této skupiny je odvozen z anglického slova "stealth", jež označuje tajnost a jehož odvozeniny jsou překládány jako: krást, potají si vzít, vplížit se, přebrat apod. To vše velice výstižně charakterizuje hlavní rys těchto virů - schopnost maskovat svoji přítomnost na počítači před uživatelovým zjištěním. Shoda názvu se stejně pojmenovanými americkými "neviditelnými" podobně jako uvedené bojové letouny na obloze.
Souborové viry
Bezesporu nejrozšířenější skupina počítačových virů. Souborové viry napadají, jak již vyplývá z jejich názvu, spustitelné soubory operačního systému MS-DOS. Standardními spustitelnými příponami jsou COM a EXE (přímo spustitelné programy), BAT (příkazové dávky), OVL (překryvné soubory - tzv. overlaye), BIN (binárné soubory) a SYS (systémové soubory, příp. ovladače zařízení - drivery). Terčem infikace se však mohou stát i jiné souborové varianty, dokonce jsou známy viry, které napadají OBJ soubory. Mechanismus jejich činnosti je obdobný ve všech případech s přihlédnutím na příslušná specifika platná pro daný typ infikovaného souboru. Zřejmě nejčastějším terčem infikace je dosovský příkazový interpret COMMAND.COM. Virus Ontario 3, za účelem jeho napadení, hledá dokonce nadefinovanou systémovou hodnocu COMSPEC. Některé viry se právě z dpůvodu časté infikace naopak napadení COMMAND.COMu vyhýbají (např. virus Phoenix). V dalším popisu budeme pro jednoduchost pochopení problematiky nazývat programem infikovaný soubor bez ohledu na příponu. Rozčlenit souborové viry není úplně triviální. Jednotlivé mechanismy se různými způsoby navzájem prolínají, nicméně principiálně lze souborové viry rozčlenit do tří základních oblastí podle způsobu, jakým tato skupina virů infikuje daný program. Jsou to prodlužující viry, které své tělo zkopírují nejčastěji na konec infikovaného programu; přepisující viry, které svým tělem přepíší úvod programu (to má za následek jeho porušení a tím pádem i nefunkčnost); a konečně tzv. duplicitní viry, které specifickým způsobem infikují pouze programy s příponou EXE tak, že v pracovním adresáři vytvoří duplicitní soubor se stejným jménem s příponou COM, která má v hierarchii MS-DOSu při spuštění přednost před EXE-tvarem. Netypický mechanismus infikace používají viry adresářové, napadající soubor prostřednictvím FAT tabulky. Všechny tyto podskupiny se pak mohou vyskytovat v již popisovaných rezidentních či nerezidentních variantách. Obecnou vlastností všech chytřejších souborových virů je skutečnost, že tyto viry zajistí, že při opětovném spuštění nebude program znovu stejným virem napaden. Nedochází tedy k vícenásobné infekci, která může přinést značné problémy při spuštění takto infikovaného programu.
Logic bomb
Jedná se o speciální typ programu, který má vlastnosti jako virus, projeví se ale až po určité době(např. 13. pátek, ...)
