וירוס מחשב

מתוך ויקיפדיה, האנציקלופדיה החופשית

וירוס מחשב הוא תוכנת מחשב שחודרת למחשב, או להתקן מיחשוב כמו מחשב כף יד או טלפון סלולרי חכם, ללא ידיעת המשתמש, וגורמת על פי רוב לשיבושים ולתקלות שונים בהפעלת המחשב, מתוך כוונת מכוון. התוכנה בנויה משורות קוד, שהן למעשה הוראות למחשב, ועוברת ממחשב למחשב דרך אמצעי הקלט/פלט של המחשבים (דיסקט או קובץ שמורידים מאתר אינטרנט או בדרכים דומות). כיוון שגם וירוס ביולוגי פועל בדרך דומה (הווירוס חודר לתאי הגוף וגורם להם לבצע הוראות הכתובות בקוד הגנטי שלו), התקבלה המילה "וירוס" בהקשר זה.

תוכן עניינים 1 הקדמה 2 דפוסי פעולה עיקריים של וירוס מחשב 2.1 הסוואה 2.2 הפצה 2.3 חבלה 3 מיקום הווירוס במחשב 4 עקרון פעולה 5 טכניקות של וירוסים 5.1 עקיפת ארגז החול 5.2 עקיפת חתימת הקובץ 5.3 עקיפת הבדיקה הגנרית 5.4 פולימורפיזם 5.5 אוליגמורפיזם 5.6 מטאמורפיזם 6 דרכי הפצה 7 כותבי וירוסים 8 דרכי הגנה 9 התאוששות מווירוס 10 וירוסים מפורסמים 11 ראו גם 12 קישורים חיצוניים

[עריכה] הקדמה

וירוסי מחשב זדוניים (באנגלית: Computer Viruses) הם מהצרות הגדולות ביותר של עולם המיחשוב, אך בניגוד לתקלות אחרות, שלרוב נגרמות באקראי בגלל רשלנות או בשל כשלי חומרה, הוא נעשה בזדון ומתוך כוונת מכוון להסב נזק.

כאמור, פעילותו דומה לזו של וירוס ביולוגי. כשם שווירוס ביולוגי חודר לגרעין התא של אורגניזם חי, ומורה לו לשכפל את ה-DNA הוויראלי, וכך הוא משתמש בחלבוני התא לייצר וירוסים נוספים במקום לשכפל את התא עצמו, כך וירוס מחשב הוא בעצם תוכנה לכל דבר ועניין, שחודרת למחשב באופן סמוי, משתמשת במשאבי המחשב להעתיק ולהפיץ את עצמה, ולרוב פוגעת בפעולה התקינה של המחשב הנגוע.

בשנת 1985 היו מוכרים 11 סוגי וירוסים שונים ובשנת 2008 המספר הגיע למליון וירוסים שונים. בממוצע מתגלים בכל חודש בין 50 ל־100 וירוסים חדשים. יש וירוסים מתקדמים יותר ופחות. וירוס עלול לגרום נזק בלתי הפיך למחשב - להרוס את מערכת ההפעלה או למחוק קובצי מידע חשובים, בנוסף ליכולותיו להפיץ את עצמו ביעילות מרובה ולהסוות את עצמו בפני תוכנת האנטי וירוס.

בשנת 2004 התגלה הווירוס הראשון לטלפון נייד. הווירוס, שכונה "קאביר", נוצר כדי להראות היתכנות של הדבקה. ב-2007 כבר היו ידועים כמה מאות של וירוסים לטלפונים ניידים. רובם של הווירוסים הניידים תוקפים טלפונים בעלי מערכת הפעלה סימביאן, שהיא המערכת הנפוצה בטלפונים חכמים.

[עריכה] דפוסי פעולה עיקריים של וירוס מחשב

על פי רוב גודל הווירוס הוא מזערי (כמה אלפי בתים), ונעשה מאמץ שיהיה קטן במידת האפשר, כדי שיועבר במהירות האפשרית, וכדי לצמצם את נוכחותו ולהקל על הסוואתו.

לווירוס מחשב יש כמה מאפיינים:

1. הסוואה
2. הפצה
3. חבלה (אופציונאלי)
4. מחיקת נתונים

הם נמדדים לפי קצב ההפצה שלהם (כמה מחשבים חדשים נדבקים בפרק זמן קצוב) ומידת הנזק שהם גורמים. מדד חלופי הוא הנזק הכספי (איבוד שעות עבודה) שהוא גורם למשק.

[עריכה] הסוואה

תוכנת וירוס לרוב מאחסנת את עצמה בתחילת קובץ יישום לגיטימי, או בגזרת ה-BOOT, וכותבת את עצמה לזיכרון ה-RAM, לאזור שהיא בוחרת בעצמה, וכך קשה לאתרה.

[עריכה] הפצה

תוכנת הווירוס משכפלת את עצמה לדיסק הקשיח, למדיות אחסון חיצוניות, למחשבים נוספים ברשת, או דרך האינטרנט באמצעות דואר אלקטרוני או תכנות שיתוף קבצים (בשני המקרים האחרונים הוא מכונה גם תולעת - Worm). כמו כן היא יכולה להופיע כהורדה\התקנה, כמו תוכנת הNetBus ששולטת לך על המחשב.

[עריכה] חבלה

רוב הווירוסים מחבלים באופן כזה או אחר בפעולת המחשב, אך קיים מיעוט של וירוסים "ידידותיים", שאינם גורמים לשום נזק. השבתה מוחלטת של המחשב גורמת לכך שהווירוס עצמו "מת" איתו, לכן חבלה טוטאלית של "תמות נפשי עם פלשתים", אינה מבוצעת על ידי רוב הווירוסים, שרוצים "לחיות" ולהמשיך לשכפל את עצמם ללא הפסק.

• ישנם וירוסים שנועדו להציק למשתמש ולהפחית ביעילותו של המחשב, למשל על ידי האטת פעולת העיבוד שלו, תפיסת זיכרון מחשב, הצגת הודעות מטרידות על הצג או שינוי הגדרות.
• וירוסים אחרים נועדו ליצור נזקים ממשיים, כמו מחיקת קובצי נתונים, קלקול מערכת ההפעלה, אתחול הדיסק הקשיח של המחשב או גרימת בעיות חומרה שונות.
• ישנם וירוסים, שנועדו להעביר מסרים אישיים או פוליטיים, כמו למשל גאונותו של מתכנן הווירוס.
• ישנם וירוסים, שנועדו להתקיף באופן ממוקד קהילה מסוימת או שרת אינטרנט מסוים, במטרה להפילו, כפי שאירע בתחילת שנת 2004, כאשר שרתים של חברת SCO הופלו בידי הווירוס MyDoom.
• וישנם וירוסים שמשרתים מטרות צבאיות, כמו הפלת מחשבי האויב בזמן קריטי.

לעתים, הפעילות החבלנית של הווירוסים מורדמת, כדי שיוכלו לצבור מסה קריטית של מחשבים נגועים, ואז לפי תאריך יעד מסוים, שנקבע על ידי מתכננו, הווירוס מתעורר לפעולה ותוקף את המחשב. ישנם וירוסים שמבצעים את הפעילות החבלנית שלהם ביום מסוים בשנה מדי שנה.

[עריכה] מיקום הווירוס במחשב

הווירוס צריך לכתוב את עצמו למקום, שבו ירוץ בכל הפעלה של המחשב.

א. גזרת ה-Boot 

מקום זה הוא אחד החביבים ביותר, מכיוון שגזרה זו נקראת על ידי הגרעין הראשוני של המחשב, הנקרא BIOS, בכל הפעלה של המחשב, וכל תוכנה שרשומה בו מורצת.

ב. בתחילת קובץ יישום 

בתחילת קובץ יישום מאחד הסוגים הבאים: COM ,EXE ,SYS ,BIN ,DLL, וכן בדרייברים. כאשר קובץ כזה מופעל, הווירוס מורץ לפניו, ומתחיל את פעולתו בזיכרון.

ג. כקובץ הרצה עצמאי 

ישנה אפשרות, שהווירוס ישכפל את עצמו כקובץ עצמאי בכל מקום בדיסק, עם הפנייה להרצה מקובץ אתחול אחר.

ד. בקובצי נתונים של תכנות, שיש להן תמיכה בשפה פנימית

בעיקר תוכנות אופיס כדוגמת וורד ואקסל המאפשרות אחסון של פונקציות בקובצי הנתונים. כך אפשר ליצור וירוס מקרו, המופעל בטעינת המסמך.

[עריכה] עקרון פעולה

כאמור, הווירוס מבקש ממערכת ההפעלה לקרוא לו בכל זמן שמערכת מתחילה לעבוד. לחלופין וירוסים רבים משמשים עלוקה ומסווים עצמם בתוך תוכנה חוקית (לדוגמה, מעבד תמלילים, תוכנת הגלישה באינטרנט ועוד), כן קיימים סוסים טרויאניים שהם תוכנות שמתחזות לתוכנות אמיתיות (למשל pkzip) וגורמות נזק למחשב. בשנים האחרונות וירוס טיפוסי ינסה להפיץ עצמו הלאה או על ידי כך שישלח עותק של עצמו לשרתי אינטרנט אקראיים שיבחר (תוך כדי ניצול בעיית אבטחה באותו שרת) או על ידי קריאת קובץ כתובת הדואר האלקטרוני ושליחה של עצמו כחלק מדואר תמים. מאפיין פעולה נוסף של וירוסים רבים הוא המתנה עד לתאריך מסוים שבו הווירוס יעבור ממצב של הפצה שקטה למצב של חבלה במחשב הפגוע. וירוסים "חכמים" יודעים לשנות את עצמם כדי להקשות על עבודות הזיהוי של תוכנות אנטי-וירוס נפוצות. עקרון הפעולה של וירוסים הגורמים לחלקים בחומרה להשרף מבוסס על כיבוי והדלקה מהירים ביותר של רכיבי חומרה מסוימים, וכתוצאה מכך לגרום לשריפתם.

[עריכה] טכניקות של וירוסים

[עריכה] עקיפת ארגז החול

פותחו שיטות לעקיפת ארגז החול. שיטות אלה משתמשות בחלוקת הווירוס לשני חלקים. החלק הראשון הוא הווירוס עצמו והחלק השני מתפקד כשומר שמטרתו להצפין את הווירוס ולשים את הקוד המוצפן בתוך קובץ טקסט רגיל, כל פעם שמתבצעת סריקה על ידי תוכנת האנטי וירוס. במקום שהאנטי וירוס ינתח את הווירוס האמיתי ויגלה שווירוס הסתנן למערכת, האנטי וירוס מנתח קובץ מוצפן שלכאורה אינו יכול לגרום שום נזק למערכת. לאחר שהסתיימה הסריקה, המחולל מפענח את הווירוס המוצפן חזרה והווירוס ממשיך לפעול.

וירוסים מסוימים מצליחים להימנע מארגז החול בדרך יותר ברוטלית, הם מונעים מתוכנת ארגז החול של האנטי וירוס לפעול ובעצם משתקים חלק מפעולת ניטור הווירוסים במערכת. המשתמש בעצמו יכול להקשות על וירוסים לסגור את האנטי וירוס, אחת הדרכים היא לשים סיסמה. לדוגמה, אם וירוס ינסה לסגור תוכנה של אנטי וירוס מסוים כשהמשתמש שם סיסמה בתוכנת האנטי וירוס, הווירוס לא יוכל לסגור אותו בגלל הסיסמה.

וירוסים מסוימים מבצעים מתקפת מניעת שירות על תוכנת האנטי וירוסים בזמן שהיא מבצעת סריקה.

[עריכה] עקיפת חתימת הקובץ

בעקבות פיתוח שיטת "חתימת הקובץ" פותחו טכניקות לעקיפת השיטה הזאת. אחת הטכניקות לעקוף את בדיקת החתימה מתבצעת בצורה הזו: בזמן כתיבת הווירוס, נכתבת פונקציה שתפקידה הוא לבדוק מתי מתבצעת סריקה על ידי האנטי וירוס. כשסריקה כזו מתבצעת הווירוס ינסה לסגור את התוכנה האחראית על אלגוריתם חתימת הקובץ של תוכנת האנטי וירוס. שיטה זו כבר לא נפוצה היום בגלל הקושי הרב בסגירת התוכנה הבודקת את חתימת הקובץ.

חלק מהווירוסים לעומת זאת מצפינים את עצמם כל פעם שמתבצעת בדיקת חתימות על ידי האנטי וירוס. שיטה זו עובדת מהסיבה שחתימתו של קובץ מוצפן שונה לגמרי מחתימתו של אותו קובץ לא מוצפן, מסיבה זו, האנטי וירוס לא יצליח לגלות את הווירוס. לאחר שתסתיים בדיקת החתימות, הפונקציה שאחראית על הצפנת הווירוס תסגר ותפתח שוב עם עליית מערכת ההפעלה.

[עריכה] עקיפת הבדיקה הגנרית

כיום אין שיטות מוגדרות לעקיפת הבדיקה הגנרית. עקיפת הבדיקה הגנרית היא אתגר קשה, מהסיבה הפשוטה, כדי שלא יזהו את ההתנהגות של וירוס, עליו להתנהג כמו משהו שלא נראה כמותו קודם, לכן מציאת טכניקות לעקיפת בדיקה זו נחשבת לערך רב אצל מפתחי הווירוסים. המצאה ופיתוח של שיטות כאלו נחשב למשהו קשה, שכן דרושה הכרה טובה של מערכת ההפעלה וחוש יצירתי פעיל.

לדוגמה, אם וירוס יכניס עצמו לערך HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run (בתוך הרג'יסטרי של מערכת ההפעלה חלונות) הוא יופעל כל פעם מחדש עם עליית מערכת ההפעלה. אפילו בדיקה פרימיטיבית תגרום לאנטי וירוס לחשוד שווירוס הכניס עצמו לשם. אם תהליך מסוים יתחיל להאזין לשער אשר ידוע כשער המשמש סוסים טרוייאנים רבים, הבדיקה הגנרית תתחיל לחשוד בכך שהתליך הינו סוס טרויאני.

[עריכה] פולימורפיזם

אלגוריתם זה מאפשר לתולעים לשנות את צורתם. התועלת משתנה בתדירות מסוימת ובאחד מהפעולות שהיא מבצעת למשל, בדרכי ההפצה שלה.

לפולימורפיזם יש כמה רמות, הפשוטה ביותר היא בתולעים שמשתמשות בפולימורפיזם על מנת ליצור שם אקראי - השם של התולעת משתנה בתדירות מסוימת כדי להקשות הן על המשתמש והן על האנטי וירוס.

רמה יותר גבוה של פולימורפיזם, תולעים המפיצות עצמן דרך הדואר האלקטרוני. תולעים אלה משתמשות בכותרת וטקסט אקראי כך שאי אפשר לגלותן רק על ידי תוכן המכתב שבעזרתו היא מפיצה את עצמה.

הרמה הגבוה ביותר היא, שינוי מלא של הצורה. לדוגמה - תולעת מסוימת תחדור למחשב ותפיץ את עצמה דרך הדואר האלקטרוני, כשתגיע למחשב הבא היא תפיץ את עצמה דרך תוכנת המסרים המידיים המותקנת במחשב וכן הלאה...

פולימורפיזם איטי
פולימורפיזם איטי נועד לבלבל בראש ובראשונה את חוקרי הווירוסים ולאו דווקא את תוכנת האנטי וירוס. טכניקה זו מחליטה לרוב באופן אקראי מתי הווירוס ישתמש בפולימורפיזם (דהיינו, יתנהג כוירוס פולימורפי לכל דבר) ומתי הוא לא ישתמש בפולימורפיזם (ויתנהג כוירוס רגיל). טכניקה זו גורמת בלבול בקרב חוקרי הווירוסים שחושבים שהם מסתכלים על מספר וירוסים שונים, בעוד הם מסתכלים רק על אחד. בשל בלבול זה לוקח יותר זמן לחוקרי הווירוסים להכניס את הווירוס למאגר החתימות.

[עריכה] אוליגמורפיזם

אוליגומורפיזם, הינו שינוי באלגוריתם הפענוח של הווירוס, שמצריך במקום שיטת פענוח אחת לווירוס, מספר שיטות שונות בסדר שונה כדי לפענח את הווירוס. כשאנטי וירוס נתקל בווירוס מוצפן שמנסה לחדור למחשב הוא ינסה לפענח את ההצפנה של הווירוס. אם האנטי וירוס לא ישתמש בפענוח ההצפנה הנכון ביחס לשיטה שהווירוס במחשב הספציפי בחר בה, הוא לא יוכל לדעת שהווירוס שבו הוא נתקל הינו בעצם וירוס ולא קובץ ג'יבריש סתמי, שכן הוא פשוט ינסה לחקור קובץ מוצפן. כתוצאה מכך הווירוס יוכל לחדור למחשב ללא קושי וללא התנגדות מצד האנטי וירוס.

[עריכה] מטאמורפיזם

וירוס מטאמורפי הוא וירוס אשר משנה את המבנה הבינארי של עצמו עד-כדי שכתוב כמעט מלא של הקוד; שיטה זו היא בין המסובכות ביותר מבין השיטות לכתיבת וירוסים, הן לכותב הווירוס עצמו והן לחברת האנטי וירוס שצריכה לזהות אותו ולדעת שזהו וירוס אחד שמשנה את עצמו, ולא עשרות וירוסים שונים. בזכות שינוי הקוד החתימה הדיגיטלית של הווירוס משתנה, דרכי הפעולה שלו כל הזמן שונות ולרוב הוא גם בעל שיטות הצפנה עצמית כדי להצליח להתחמק מבדיקה.

דוגמה לווירוס מטאמורפי הוא הווירוס Simile. וירוס זה התפרסם לראשונה בגיליון השישי של הקבוצה 29A בתחילת מרץ, 2002. וירוס זה הינו אחד הווירוס המתוחכמים והמסובכים שהופצו אי פעם, 90% מקודו של הווירוס הוא מנוע המטאמורפיזם שלו שנועד לשכתב את המבנה הבינארי של הווירוס וליצור עוד עשרות וירוסים דומים.

[עריכה] דרכי הפצה

וירוסים צריכים להשתמש בדרכי הפצה, שתגרומנה לכך שהווירוס יפגע בהרבה מחשבים, ולכן משתמשים בדרכי הפצה שונות. לפני המצאת האינטרנט השתמשו וירוסים בעיקר בהפצה על ידי העתקה ברשת פנימית והעתקה לתקליטונים. אך משהתרחב השימוש האינטרנט, החלו גם הווירוסים לנצל אותה. היום וירוסים מנצלים גם את האינטרנט, בכלל זה - שליחת עצמם לאנשים אחרים באמצעות דואר אלקטרוני, וכן הפצת עצמם בתכנות שיתוף קבצים.

[עריכה] כותבי וירוסים

נעשו מחקרים לא מעטים במטרה לאפיין כותבי וירוסים. בין התאוריות שהועלו, מדובר במתכנתים מתוסכלים שפוטרו מעבודתם, אנשים בעלי מטרות פוליטיות או אישיות, מעבדות מחקר צבאיות המפתחות וירוסים במסגרת לוחמה דיגיטלית, והועלתה אף סברה, שחברות האנטי-וירוס, הקיימות בזכות הווירוסים, עוסקות בפיתוח של זני וירוסים חדשים. סברה אחרונה זו כנראה לא נכונה, הואיל ולא נמצאו לה סימוכין משמעותיים. חברות תוכנה בשיתוף עם רשויות החוק האמריקניות הכריזו על פרסים כספיים למי שייתן מידע שיוביל לחשיפה של כותבי וירוסים ספציפיים. עד כה ללא הצלחה מרובה. קיימות גם תוכנות לכתיבת וירוסים (שהן בלתי חוקיות) ולעתים משמשות את כותביהם.

[עריכה] דרכי הגנה

בניגוד לווירוס ביולוגי, וירוס המחשב איננו עובר באוויר או במגע בין בני אדם למחשב, כיוון שהוא בסך הכול תוכנת מחשב ותו לא. הוא צריך להיות מאוחסן במדיום דיגיטלי מסוג כלשהו (מגנטי, אופטי או אחר). על מנת להגן על המחשב יש להשתמש בשיטות הבאות:

• יש להתקין תוכנת אנטי-וירוס, ולהקפיד לעדכן אותה באופן תדיר.
• יש להתקין תוכנת חומת אש (FireWall) להגנה על המחשב מפני ניסיונות חדירה והשתלטות מרשת אינטרנט, ובפרט הגנה מפני סוס טרויאני.
• אין לפתוח צרופות של קובצי ביצוע בדואר אלקטרוני בסיומות .EXE. COM. PIF. BAT. SCR. ZIP. VBS. VBE
• אין לפתוח הודעות דואר אלקטרוני ממקורות לא ידועים, ובוודאי שלא את הצרופות שלהן, אף אם הן נראות תמימות.
• בכל מקרה יש לבדוק את כל הצרופות של דואר אלקטרוני (גם ממקורות ידועים).
• אין להכניס תקליטונים או מקלוני זיכרון ממקורות לא ידועים. יש לנעול אותם כאשר מעבירים מידע למחשב לא בדוק, כדי שהם לא ידבקו.
• אין להיות מחוברים לתוכנות שיתוף קבצים, ובוודאי שלא באופן קבוע. במידה וכן מתחברים יש להגן על המחשב באמצעות תוכנת חומת אש מתאימה.
• במערכות הפעלה המאפשרות זאת (2000 XP וויסטה) - לא לבצע עבודה יומיומית בתור משתמש בעל הרשאות גישה לחמרה או לקבצים רגישים. דבר זה ממזער את הנזק, באופן שרק הקבצים הפרטיים של המשתמש פגיעים במקרה של פגיעת וירוס.
• לעדכן את התוכנות הנמצאות בשימוש שוטף (בעיקר דפדפן אינטרנט, לקוח דואר אלקטרוני ומערכת ההפעלה) על מנת להגן מפני פרצות אבטחה.
• ניתן לעבוד גם במערכות הפעלה שאינן חלונות, שכמעט ולא קיימים להן וירוסים (הווירוס תלוי במערכת ההפעלה על מנת לפעול).

• ליצור גיבויים של מידע חשוב באופן קבוע.

[עריכה] התאוששות מווירוס

במקרה שכבר יש וירוס במחשב:

• להפסיק מצב שחזור (בחלונות XP וויסטה)
• לעדכן את תוכנת האנטי וירוס דרך האינטרנט.
• לאתחל את המחשב מדיסקט או תקליטור, (אתחול רגיל של המחשב, אף כשקיימת במחשב תוכנת אנטי-וירוס מעודכנת, לא תועיל מכיוון שהווירוס עולה לזיכרון בהדלקה) לחילופין אפשר להעלות את המחשב במצב בטוח. (בחלונות יש להקיש F8 בתחילת ההדלקה ולבחור באופציה Safe Mode)
• להפעיל תוכנת אנטי-וירוס עדכנית, ולסרוק את כל הדיסק.
• לעתים יש לבצע הסרה ידנית (שאיננה מצריכה בהכרח תוכנת אנטי וירוס). כדאי לקרוא את ההוראות הספציפיות לכל וירוס, באתרים של חברות האנטי וירוס ולפעול בהתאם.

[עריכה] וירוסים מפורסמים

• Brain היה וירוס המחשב הראשון. הוא נוצר בשנת 1986 בפקיסטן. נועד לפגוע ב boot sector של דיסקטים "5.25 בנפח 360k.
• "וירוס ירושלים", הווירוס הראשון שהתגלה בישראל, היה מתוכנן לפעול בימי שישי ה-13 לחודש. יצא ב-1988)
• וירוס צ'רנוביל
• וירוס blaster
• וירוס האהבה

[עריכה] ראו גם

• תולעת מחשב
• תוכנת ריגול
• אבטחת מחשב אישי ברשת
• סוס טרויאני (תוכנה)

[עריכה] קישורים חיצוניים

• רויטל סלומון, 20 שנים של וירוסים, הארץ
• בדיקת וירוסים והסרתם בחינם באתר של פנדה, (הבדיקה דרך הדפדפן מבלי צורך להתקין תוכנה)
• אנטי וירוס חינמי - AVG, אתר הבית
• פורום אבטחת מידע, באתר "נענע"
• דוגמה למתקפת מניעת שירות על תוכנת אנטי וירוס מאתר סקיוניה
• מאמר על מטאמורפיזם + השוואה בין פולימורפיזם למטאמורפיזם
• הסבר על הווירוס simile, על תהליכיו + קוד מקור