Virusten ominaisuuksia

Leviävillä pahoilla ohjelmilla on biologisperäisiä nimityksiä. Nimittely jatkuu vielä ensimmäisessä kolmesta päätyypistä, joihin viruksia jaotellaan niiden "asuinpaikan" mukaan:

  • parasiittinen, eli ohjelmavirus, perinteinen muoto ja yhä runsaslajisin, mutta levinneisyydeltään vähäisin. On tarttuneena ohjelmatiedostoon ja tarttuu uusiin, kun ohjelmaa ajetaan. Joissakin lajeissa osa koodista asettuu seuraavaan luokkaan:
  • käynnistyssektorivirus: leviää nimensä mukaisesta paikasta konetta käynnistettäessä, eli ladattaessa käyttöjärjestelmää ulkoisesta muistista (esim. levyltä). Levykkeeltä voi latautua tällainen virus muistiin vaikka käynnistys ei pitemmälle onnistuisikaan kyseiseltä levykkeeltä. Nämä ovat erittäin levinneitä viruksia, vaikka niiden lajisto ei ole kovin runsas. Esimerkkejä: Brain, Form, Michelangelo.
  • makrovirus: ei tartu ohjelmaan vaan dataan: sellaiseen dokumenttiin, joka voi sisältää ohjelman, makron, joka ajetaan osana dokumentin käsittelyä. Tällainen virus pystyy toimimaan kaikissa koneissa, joissa dokumentin käsittelyohjelmakin pystyy. Leviäminen tapahtuu dokumentin mukana, usein sähköpostitse. Makroviruksia ei tunnettu yleisesti ennen vuotta 1995, jolloin sittemmin erittäin levinnyt Concept löytyi MS-Wordista. Uusi vaihe alkoi jälleen syksyllä 1999 kun (sinänsä harmiton) BubbleBoy?-mato käynnistyi ilman, että käyttäjä avasi mitään liitetiedostoa. Kyseessä ei ole makro, vaan sähköpostiviestiin "upotettu" visual basic-skriptikielinen ohjelma.

Viimeksi mainittu makroa itsenäisempi komentojono on tavallaan neljäs tyyppi, "skriptivirus". Lisäksi on olemassa moniosaisia viruksia, jotka pystyvät "asumaan" useassa paikassa ja leviämään siis eri tavoilla.

Muita piirteitä, joilla viruksia voi luokitella (eivät toisensa poissulkevia):

  • muistinvarainen ('memory-resident'): asustaa systeemiohjelmien mukana muistissa ja tartuttaa kaikkia ohjelmia, joita koneessa ajetaan.
  • piilovirus ('stealth virus'): yleisnimi sellaisille viruksille, jotka on laadittu välttämään tarkistusohjelmia, esim. virus tiivistää tartuttamaansa ohjelmaa sen verran, ettei kokonaispituus muutu, tai kaappaa tätä selvittävän systeemikutsun ja palauttaa virheellisen vastauksen; virus voi myös laskea uuden ohjelmatiedostoon liitettävän tarkistussumman;
  • muuntuva ('polymorphic') virus: jokainen "kopio" on erilainen, esim. satunnainen salausavain ja pääosa koodista salattuna sillä. Paitsi purkualgoritmi myös avain esiintyy selväkielisenä jossain kohdassa tartutettua koodia (tai ainakin osoite, josta avain löytyy).

Viruksen elinkaaressa voidaan erotella seuraavanlaisia vaiheita.

  • virus "syntyy" eli jokin ohjelma ("virusemo") kirjoittaa sen ajettavaksi tai käännettäväksi koodiksi jonnekin, missä se voi tulla ajetuksi tai käännetyksi -- tai ainakin asennetuksi tällaiseen tilaan. Varsinaisen elinkaaren voi ajatella alkavan siitä, kun jokin viruksen koodirivi tulee ajetuksi:
  • passiivinen vaihe, jossa virus odottaa jotain tapahtumaa, vaikka siis tuleekin aika ajoin ajetuksi; tätä vaihetta ei ole kaikilla viruksilla;
  • etenemisvaihe: virus sijoittaa kopion itsestään johonkin ohjelmaan tai levyn systeemialueelle, itse asiassa mihin tahansa minne käyttäjäkin voi kirjoittaa. Tämä itsenäinen "uuden syntymän" aiheuttaminen rekursiivisesti (eli siten että jälkeläinen pystyy samaan) on viruksen määrittelevä piirre, eli muita vaiheita ei periaatteessa tarvita;
  • aktivoituminen: jokin tapahtuma laukaisee viruksen toimintavaiheeseen, esim. se, että virus on kopioitunut tietyn määrän;
  • toimintavaihe: virus suorittaa varsinaisen tihutyönsä tms. Tämä merkitsee siis vain tietyn koodinosan ajamista -- ei välttämättä ensimmäistä eikä viimeistä kertaa.

-- JukkaKoskinen?

SivuTiedotLaajennettu edit

Vaativuus Perus
Valmius Valmis
Tyyppi Ydin
Luokitus Uhkat
Mitä Useita
Miltä Tahallinen uhka
Missä Järjestelmä
Kuka Tite-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa

This topic: Tietoturva > Sisällysluettelo? > VirustenOminaisuuksia
Topic revision: r2 - 22 Apr 2010 - 11:32:18 - MaijuLehtonen?
 
Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback