Datavirus

DATAVIRUS

I min rapport inom ämnet "Operativsystem" har jag valt att skriva om datavirus och hur man skyddar sig mot att få virus i sin dator. Namnet "virus" kommer av att det "smittar", datavirus behöver precis som biologiska virus en värdcell för sin fortplantning. Det är inte passiva data som smittas utan uppsättningar av aktiva instruktioner till datorn, och dessa instruktionsföljder motsvarar då värdcellen för ett biologiskt virus. Det finns cirka 11 000 kända virus, och det kommer cirka 150 nya i månaden. Det gäller om man har PC. På Macsidan finns nästan inga virus alls. Virus kan i princip skrivas av vem som helst, det finns till och med färdiga mallar för den som vill göra ett eget virus men som inte är så teknisk kunnig. Det finns tre olika sorters virus: Sektorvirus, filvirus och makrovirus. Här följer en kort presentation av dessa.

FILVIRUS Filvirus är den vanligaste typen av virus. Den lägger sig som en del av ett program, alltså i program koden. Den smittar via program som man kan få via disketter, internet, nätverk mm. Ett filvirus kan göra lite av varje med en dator.

SEKTORVIRUS Sektorvirus lägger sig i startkoden på en hårddisk eller diskett. Den startar alltså samtidigt som datorn startar och oftast även innan operativsystemet startar (ex. windows 95). Viruset lägger sig som en del av datorns BIOS, det vill säga de inbyggda funktionerna för att läsa på hårddisken, skriva på skärmen mm. Sektorvirus smittar bara via diskett.

MAKROVIRUS Makrovirus är den snabbast växande gruppen av datavirus. Den lägger sig i makrokoden i ett skrivprogram som använder de språket, oftast MS Word eller Exel. Viruset lägger sig som en del av programmet och körs automatiskt när dokumentet öppnas eller när man trycker för fetstil etc. Makrovirus kan ställa till med lite av varje, bl a radera dokument. Eftersom Makrovirus gömmer sig i dokument så sprids dom oftast via e-post eller diskett. För att kunna skydda sig mot virus är det viktigt att känna till hur de fungerar. De som skrivit virusprogram har avsikten att de ska sprida sig. I ett virus-program ingår:

EN SMITTFUNKTION Denna del av programmet in en kopia av virusprogrammet i ett eller flera andra program. Den kan bl a smitta alla program som virusprogrammet kan hitta, smitta bara sådana program som inte smittats redan tidigare, smitta bara vissa utvalda typer av program.

EN AKTIVERINGSFUNKTION Smitta kan aktiveras t ex varje gång virusprogrammet exekveras, efter att virusprogrammet exekverats ett förutbestämt antal gånger (programmet kan innehålla en räknare som håller reda på antalet exekveringar), när virusprogrammet exekveras och något yttre villkor samtidigt är uppfyllt. Det är vanligt att aktivering sker efter att dagens datum jämförts med ett datum som är valt i förväg. Smittfunktionen aktiveras om de stämmer överens.

EN SKADEDEL Skadedelen är ofta det enda man märker av ett virusangrepp. Dessa effekter har kända virus haft i sin skadedel: - Filer på hårddiskar och disketter har raderats eller ändrats. - Bilder eller meddelanden har visats på bildskärmen. - Olika ljud hörs i högtalare. Ofta är skadedelarna harmlösa, men det betyder inte att viruset är ofarligt och kan tillåtas spridas okontrollerat. Ibland konstrueras viruset så att det ska bli svårare att upptäcka det. Virusprogrammet kan förändras för varje "generation" vartefter det sprider sig. Det kan också undvika att ändra skrivdatum och längd för smittade filer. Virusprogrammet kan vara krypterat. Krypteringen kan dölja viruset om någon tittar igenom en utskrift. Krypteringen kan också försvåra en analys för bekämpning av virus. Ofta blandar man ihop andra fenomen med virus. Några sådana kan vara Logisk bomb, Trojansk häst och Bakterier eller Maskar. En Logisk bomb är en förstörande programdel som bara utförs när ett bestämt yttre villkor gäller. Det kan vara när en viss användare kör programmet eller när en viss dag är inne. Ett datavirus kan innehålla en logisk bomb, men en logisk bomb har i övrigt ingenting med virus att göra. En Trojansk häst är ett program som helt öppet utför en funktion, men som samtidigt innehåller en dold del som inte är önskvärd. Den dolda delen i den Trojanska hästen kan dessutom i vissa fall radera ut sig själv för att sopa igen spåren. Denna dolda del kan vara ett virus, en icke smittsam logisk bomb eller någon annan sorts obehaglig programdel. Ett fristående program eller en självständig sekvens av kommandon som skapar kopior av sig själv och startar kopiorna i samma dator eller i andra datorer i ett nät kallas Bakterier eller Maskar. En mask finns inte dold i ett annat program till skillnad från ett virus. Den har en egen identitet och har startats direkt av någon. Man skulle kunna säga att ett virusprogram är en smittsam trojansk häst som kan innehålla en logisk bomb. Vad kan man då göra för att skydda sig mot virus? Till att börja med bör man skaffa sig ett antivirusprogram om man inte redan har det. Se till att programmet automatiskt undersöker alla disketter man försöker använda, även de som råkar sitta i datorn när den startar. Man bör inte ge andra som använder sin dator högre behörighet än nödvändigt. Det kan vara svårt på förhand att veta exakt vilka behörigheter en användare kommer att behöva. Då är det frestande att dra till med hög behörighet för att slippa klagomål i framtiden. Risken är att användaren börjar experimentera med filer och bibliotek där man inte vill ha något experimenterande. Det bästa är därför att administratören ger användarna den behörighet han vet att de behöver och inget mer. Nya virus dyker upp hela tiden och det är inte säkert att ditt antivirusprogram klarar av att upptäcka ett nytt virus. Dessbättre uppdaterar alla tillverkare av antivirusprogram sin databaser med virus nästan lika snabbt som virusen dyker upp. De flesta tillverkare lägger upp uppdateringar på Internet där man kan hämta den senaste virusdatabasen. Ett vanligt e-postmeddelande som bara består av text kan aldrig innehålla virus, men om meddelandet innehåller bifogade filer finns det en klar risk för virus. Man bör därför aldrig öppna bifogade filer om man inte vet vem som har skickat det och även då kan det vara en god idé att låta ett antivirusprogram undersöka filen.

VIRUSSVENSKTOPPEN

De tio vanligaste virusen i Sverige september 1996).

1. Junkie.1027 (boot/filvirus) 2. Form.a (bootvirus) 3. Antiexe (bootvirus) 4. Beijing (bootvirus) 5. AntiCMOS (bootvirus) 6. Grangrave.1150 (filvirus) 7. One-half (boot/filvirus) 8. WM.Concept (makrovirus) 9. Empire Monkey (bootvirus) 10. Ripper (bootvirus)

Antag att man har drabbats av virus och vill ta bort det. Detta kan man göra på olika sätt. Det första man bör göra är att använda sig av disketten Magic Bullet. Det går till på följande sätt: 1. Stäng av din dator med strömknappen 2. Stoppa in disketten märkt "Magic Bullet" i diskettstationen 3. Starta datorn 4. Välj sedan F4 för att reparera 5. När reparationen är klar tar man ur disketten och startar om datorn Om inte Magic Bullet inte löser problemet kan man göra på följande sätt: TA BORT MAKROVIRUS För att ta bort makrovirus behöver man inte starta om datorn från en systemdiskett. Det enda man behöver göra är följande: 1. Stäng Word och Excel 2. Starta Dr Solomon´s Anti-Virus Toolkit 3. Markera den enhet som är smittad och tryck på knappen "reparera" I vissa fall kan makrovirus förstöra inställningarna i Word när viruset infekterade den globala mallfilen NORMAL.DOT. Vid reparation kan viruset tas bort, men dessa skador ej återställas. Då kan man återskapa filen NORMAL.DOT från en säkerhetskopia. Om en säkerhetskopia saknas, kan man prova att ta bort filen NORMAL.DOT. Observera att då kan vissa inställningar också försvinna som är sparade i filen. TA BORT SEKTORVIRUS OCH FILVIRUS PÅ HÅRDDISK Om man har ett sektorvirus på en dator är det viktigt att starta datorn från en virusfri systemdiskett. 1. Stäng av datorn med strömknappen 2. Starta datorn från en osmittad systemdiskett 3. När datorn har startat byter man ut systemdisketten till Magic Bullet och skriver: FV86/LOCAL/REPAIR vid prompten 4. När reparationen är klar kan man ta ur disketten och starta om datorn TA BORT SEKTORVIRUS PÅ DISKETT Om man har ett sektorvirus på diskett finns viruset i det som kallas bootsektorn. För att bli av med viruset gör man så här: 1. Starta Dr Solomon´s Anti-Virus Toolkit 2. Stoppa in den smittade disketten i deskettstationen, se till att disketten inte är skrivskyddad 3. Markera diskettenheten och tryck på knappen Reparera Om det inte fungerar kan man göra så här: 1. Starta Dr Solomon´s Anti-Virus Toolkit 2. Välj menyn Reparera och Ersätta bootsektor… 3. Välj diskettyp, eller markera Bestäm diskettyp automatiskt om man är osäker 4. Tryck på knappen Ersätta Det tredje alternativet: 1. Kopiera filerna från disketten till en temporär katalog på hårddisken (viruset följer INTE med, det ligger ju i en sektor!) 2. Kopiera filerna till en ny osmittad och formaterad diskett 3. Formatera om eller förstör den smittade disketten. Vid omformattering av disketter försvinner virus. TA BORT FILVIRUS PÅ DISKETT Ett filvirus på diskett är ofta ganska enkelt att bli av med: 1. Starta Dr Solomon´s Anti-Virus Toolkit 2. Stoppa in den smittade disketten, se till att den inte är skrivskyddad 3. Markera diskettenheten och tryck på knappen Reparera TA BORT SEKTORVIRUS PÅ NTFS VOLYMER Om man har drabbats av ett sektorvirus på en NTFS volym, gör du så här: 1. Gör en säkerhetskopia på viktiga filer om NT fortfarande startar 2. Stäng av datorn med strömknappen 3. Starta datorn från en osmittad systemdiskett (MS-DOS) 4. När datorn har startat så byter man ut systemdisketten till Magic Bullet och skriver: FV86/LOCAL/REPAIR vid prompten 5. När reparationen är klar tar man ur disketten och starta om datorn FindVirus kan inte komma åt filerna på NTFS volymen, men kan fortfarande komma åt själva patitionssektorn och bootsektorn på volymen och reparera dessa! Om ovanstående inte fungerar måste man ta reda på var viruset finns. Om viruset finns i partitionssektorn kan man prova att använda programmet Cleanpar som följer med Toolkit.