Wirusy komputerowe - porady diagnoza, prognoza, porady

Do roku 1999 atak w skali światowej następował mniej więcej raz do roku. Linię zapoczątkowaną przez dosowe i bootsektorowe wirusy jak Brain, Jerusalem, Tequila czy Form, z których każdy powodował globalną epidemię, kontynuowały wirusy makr takie jak Concept, Laroux i CAP. Zainfekowały miliony komputerów, ale ich użytkownicy mieli wystarczająco dużo czasu między atakami, żeby naprawić zniszczone zasoby i zastąpić popsute programy nowymi.


Do roku 1999 atak w skali światowej następował mniej więcej raz do roku. Linię zapoczątkowaną przez dosowe i bootsektorowe wirusy jak Brain, Jerusalem, Tequila czy Form, z których każdy powodował globalną epidemię, kontynuowały wirusy makr takie jak Concept, Laroux i CAP. Zainfekowały miliony komputerów, ale ich użytkownicy mieli wystarczająco dużo czasu między atakami, żeby naprawić zniszczone zasoby i zastąpić popsute programy nowymi.

Teraz pojawiają się prawie co miesiąc. W styczniu 1999 roku mieliśmy życzenia noworoczne od Happy99 (aka SKA) (wirus ciągle je składa), w marcu była Melissa i jej taniec w Internecie, w kwietniu katastrofę spowodował wirus CIH, w maju i czerwcu robaki PrettyPark i ZippedFiles (aka ExploreZip) wyżerały kanaliki w sieciowych "jabłkach". Nie jest to pełna lista szkodników, które pojawiły się w 1999 roku i na pewno w chwili publikowania tego artykułu społeczność internetowa ma kolejne problemy z wirusami.

Wspomniane wirusy zwróciły wagę nie tylko ekspertów czy administratorów systemów, ale i milionów użytkowników komputerów. Trafiły na pierwsze strony gazet, stały się tematem dnia w radiu i telewizji nie dlatego, że media nie miały innych sensacji w sezonie ogórkowym, lecz dlatego, że spowodowały rzeczywiste straty, które dosięgły miliony stacji roboczych. Skutkiem ich działania były zniszczone dane i zawieszone tysiące sieci lokalnych, w tym sieci w Dużych Firmach znanych z nazwy każdemu.

Jeżeli ten trend się utrzyma, pod koniec roku można oczekiwać pojawienia się nowych wirusów, które będą debiutować, infekować i niszczyć przynajmniej raz na tydzień, a rok później poranne wiadomości oprócz doniesień sportowych i prognozy pogody będą zawierały informacje o wirusach komputerowych, w tym nazwy nowych i powody, dla których nie należy danego dnia pod żadnym pozorem czytać poczty elektronicznej. Administratorzy systemów będą musieli odłączać swoje sieci od Internetu, a użytkownicy przestać czytać i redagować listy elektroniczne w swoich stacjach roboczych.

Warto odnotować, że tylko około 0,1 procent (jeden promil) wszystkich odnotowanych wirusów jest znany na całym świecie. Tylko jeden wirus na tysiąc staje się tak popularny, że firmy zajmujące się zwalczaniem wirusów i ochroną danych otrzymują na jego temat raporty z różnych krajów. Element przypadkowości decyduje o tym, dlaczego niektóre szkodniki trafiają na forum publiczne, a inne umierają zapomniane w laboratoryjnych kolekcjach. Jest jednak bardzo prawdopodobne, że wypuszczony wirus się rozprzestrzeni, szczególnie gdy zostanie skierowany do grup dyskusyjnych albo gdy sam może wysyłać swoje kopie do Internetu.

Gdy takie "wirusy internetowe" pojawiają się w Sieci, niebawem (często już po kilku minutach) można je znaleźć w dowolnym miejscu świata. To z tego powodu robaki i wirusy komputerowe używające Internetu "w aktywny sposób" wymagają największej uwagi. Są najgroźniejsze. Pozostała część artykułu jest poświęcona właśnie tego typu szkodliwym programom.

Dlaczego rozprzestrzeniają się tak szybko?

Wirusy popularne za czasów DOS-u rozprzestrzeniały się bardzo wolno w porównaniu z nowoczesnymi. Był jeden bardzo ważny powód: wirusy te nie używały Internetu ani żadnych innych sieci jako kanałów komunikacyjno-rozprowadzających - nie działały aktywnie, lecz pasywnie.

Musiały być przenoszone ręcznie - za pośrednictwem dyskietek. Żeby doszło do ogólnoświatowej epidemii jakiegoś wirusa, trzeba było długo czekać, aż jego egzemplarze się powielą. W przypadku na przykład wirusa CIH zajęło to jeden miesiąc. O ile wiem, do rozpanoszenia się tego gagatka bardzo się przyczyniły zainfekowane internetowe witryny z grami.

Nowoczesne robaki internetowe rozprzestrzeniają się jak pożar lasu, ponieważ posługują się aktywnymi metodami internetowymi. Aby skopiować się do innego (odległego) komputera, wirus internetowy nie musi czekać na to, by jego kopie zostały przypadkiem dołączone do listu i wysłane. Dba o to sam - aktywnie, nie biernie. Po wypuszczeniu do Sieci natychmiast zaczyna wysyłać swoje kopie, używając zabawnych lub podrabianych listów zachęcających do otwierania i czytania. Ktoś klika załącznik, żeby go otworzyć - i to wszystko: wirus lub koń trojański przeniesiony.

Problemy laboratoriów wirusowych

Inny problem to czas reakcji firm antywirusowych, których zadaniem jest ochrona użytkowników Internetu przed nieproszonymi gośćmi. W przypadku szybko rozprzestrzeniających się robaków internetowych powinny one wydawać wznowione wersje swoich narzędzi możliwie najszybciej, najlepiej tydzień przed pojawieniem sie wirusa. Ten czas jest potrzebny po to, aby użytkownicy mogli zmodernizować pakiety antywirusowe, a administratorzy systemów zdążyli zaktualizować oprogramowanie w sieciach i przeszkolić pracowników. Niestety, widać tendencję odwrotną - najpierw odbywa się inwazja wirusa, potem laboratoria antywirusowe sprzedają antidotum, następnie użytkownicy zainfekowanych systemów pobierają szczepionki (przez Internet, jeśli mają jeszcze sprawne połączenie, bo w przeciwnym razie muszą otrzymać dyskietkę pocztą zwykłą lub kurierską).

Ile czasu upływa między "najpierw" i "potem" w powyższym zdaniu, między początkiem rozprzestrzeniania się nowego robala a momentem udostępnienia antidotum przez firmę antywirusową? Niestety, nie jest to czas zerowy. Przez pewien okres sieci i stacje robocze pozostają niezabezpieczone (zakładając nawet, że stacje robocze użytkowników są aktualizowane w chwili uzyskania antidotum, a tak nie jest). Rzeczywista wielkość tej niezerowej wartości zależy głównie od dwóch czynników.