reklama

Živý rozhovor: o počítačových virech

Na vaše otázky k počítačovým virům odpovídal Petr Odehnal, vedoucí virové laboratoře společnosti Grisoft. Petr Odehnal se počítačovými viry zabývá již patnáct let, z toho přes deset let v barvách Grisoftu.
Kapitoly článku

Klepněte pro větší obrázek

V tomto článku najdete otázky a odpovědi týkající se tématu rozhovoru. Některé dotazy a odpovědi jsme kvůli přehlednosti zkrátili, jiné rozdělili do více částí. Některé otázky se opakovaly a v takových případech byly zpravidla zodpovězeny jen jednou. Originální verzi rozhovoru najdete na této stránce.

Odpovědi na otázky čtenářů Živě.cz

Proč firma Grisoft neudělá místo antiviru tzv. holubičí program, který by šířil po celém internetu mír a lásku a také by pochopitelně hubil viry. Tento program by se mohl jmenovat třeba MartaJandova.W32 a ukazoval by ty nádherné oči Marty, zatímco by čistil PC od spyware. (anonymní dog)

Petr Odehnal: Už před lety napsal Vesselin Bontchev pěkný text Are „Good“ Computer Viruses Still a Bad Idea?, ve kterém ukazuje, proč to není zrovna šťastný nápad.

Pozorujete nějaký vývoj v postojích velkých softwarových gigantů vůči antivirovým firmám stran poskytování nedokumentovaných informací o proprietárních protokolech a souborových formátech? (Pavel Šrubař)

Petr Odehnal: Důležitost počítačové bezpečnosti si dnes všichni uvědomují a snaží se spolupracovat. Jediným problémem u skutečných „SW gigantů“ zůstává, že pro ně občas není jednoduché požadované informace sesbírat.

Jakým způsobem vlastně získáváte nové viry a jakým způsobem je analyzujete (zda na úrovni assembleru, nebo nějak jinak). A také by mě zajímalo, zda když AVG nebo jakýkoliv jiný antivir vyhledává viry, testuje každý soubor proti všem možným virům? Nebo jaký je v podstatě princip hledání virů v souborech? (Petr Tomíček)

Petr Odehnal: Nové vzorky dostáváme od uživatelů, různých „honeypot“ systémů a také z virových laboratoří ostatních antivirových firem.

Zcela detailní analýza má smysl u nových parazitických virů, ale prolézat na této úrovni sedmistou třicátou šestou variantu nějakého obskurního trojského koně (psaného třeba v Delphi) by bylo trestuhodným plýtváním časem. Z těch asi 600 novinek, zařazovaných každý den do databáze, se takto věnujeme maximálně pár desítkám kousků.

Asi není dost dobře možné popsat celý proces na pár řádcích, takže jen stručně a značně zjednodušeně: Každý objekt podléhá několika stupňům předzpracování, které mají za úkol získat data, ve kterých má vůbec smysl něco hledat. V případě spustitelných souborů jde o rozbalení dekryptovacích smyček polymorfního viru. U dokumentu MS Word je potřeba vytáhnout streamy obsahující makra, doplnit do nich správné odkazy na jména knihovních funkci a sjednotit jejich tvar tak, aby bylo lhostejno, ve které verzi Wordu byl dokument uložen. Pro skripty je potřeba odstranit nadbytečné mezery, sjednotit velikost písmen, atd.

V takto vzniklých datech si pak antivirus může spočítat nějaké kontrolní součty či vyhledat sekvence a ověřit, zda něco takového už nemá ve své databázi. Jestliže nic v databázi nenajde, tak ještě vezme dílčí informace sesbírané v předchozím zpracování (nálezy zajímavých konstrukcí, posloupnosti volání služeb operačního systému) a pokusí se odhadnout „míru podezřelosti“ zkoumaného kódu - této černé magii bývá zvykem říkat heuristická analýza.

Zkoumá se každý zachycený vir až na úrovni zdrojového kódu? Zjistí se úplně všechno, co a jak škodlivý kód dělá? (Petr Kapka)

Petr Odehnal: Jak jsem již psal, analýza „až do posledního bitu“ se dnes opravdu týká jen malé části vzorku.

Používá se k ladění virtual PC3? (Petr Kapka)

Petr Odehnal: Používáme reálné počítače i virtuální systémy (od VMwaru až po vlastní sandbox).

Používá se k ladění i OllyDbg, případně co používáte nejčastěji? (Petr Kapka)

Petr Odehnal: Podobně pestré je to i na úrovni debuggeru a disassembleru. IDA, AFD, Hiew, WinDbg, atd. Záleží hodně na osobních preferencích.

Stalo se už někdy, že místo trasování došlo je spuštění viru? (Petr Kapka)

Petr Odehnal: Asi třikrát nebo čtyřikrát se to stalo - vždy jako nechtěné odklepnuti klávesy Enter ve Faru.

Máte SW, který rozpozná, že vir obsahuje části kódu, jako je dekomprese, SMTP server, prohlížení služeb, atd.? Nebo to vždy musí nějaký člověk zjistit a analyzovat ručně? (Petr Kapka)

Petr Odehnal: Do jisté míry tyto informace z automatického předzpracování vzorku vylezou. Ale většina je získána na úrovni sandboxu (tj. sledování, co ten konkrétní vzorek dělá), nikoliv na úrovni hledání v kódu.

Jak rychle dokáže zkušený tvůrce antivirů najít v infikovaném souboru vir (jeho typický řetězec)? Slyšel jsem, že dojde soubor nakažený virem, programátor antivirů to otevře v hexaeditoru, mrkne, a vidí. Jelikož se mi to zdá nadnesené, zajímalo by mne, jak je to doopravdy. (Michal Špondr)

Petr Odehnal: Když už člověk pár tisícovek virů viděl, tak ta metoda „kouknu a vidím“ opravdu funguje. Ale to se bavíme především o klasických počítačových virech, napadajících jiné programy a nejčastěji psané v assembleru. Pokud jde o většinu dnešních problémů, tj. trojanů všech druhů, barev a vůní (psaných ve vyšších jazycích), tak tam vhodný způsob detekce dokáží vcelku spolehlivě navrhnout automatické nástroje.

Tak jak čas plyne a virů geometrickou řadou přibývá, virové databáze antivirů neúměrně rostou. Co bude za deset či patnáct let? Nebudeme stahovat aktualizace antivirů o objemech řádově několik GB a zabírat si tak prostor na našem pevném disku? (Michal V.)

Petr Odehnal: Netroufám si předpovídat budoucnost tak vzdálenou, ale myslím si, že běžné kapacity disku porostou rychleji než velikost databází AV programů. Když si uvědomím, že na klíčence v kapse mám 100× více paměti než měl můj disk v mém prvním PC...

Dejme tomu, že jsem si stáhnul .exe soubor, který může, ale nemusí, obsahovat nějaký virus/spyware. Jak doporučujete minimalizovat riziko pro počítač, pokud chci takový soubor spustit? (Štěpán Vlk)

Petr Odehnal: Pokud máte nějaké pochybnosti, tak se vyplatí předhodit tento soubor systémům, jako je Virustotal nebo Jotti, které ho zkontroluji aktuálními verzemi mnoha antiviru a zobrazí výsledek.

Máme dnes řadu dobrých antivirových programů, ale většina z nich používá svoje značení (pojmenování) konkrétních virů. Existuje nějaká přístupná databáze, která by uživateli umožnila nalézt hledané jméno viru a jeho vlastnosti, bez ohledu na to, zda jde o Norton, AVG, NOD32, Panda, aj.? Můžete, prosím, uvést alespoň hlavní linky na takovéto informační databáze o vlastnostech virů? (Yoki)

Petr Odehnal: Žádný „ Stopařův průvodce po virech“ neexistuje, ale na stránkách časopisu Virus Bulletin najdete databázi VGREP (Resources - vgrep), kterou už léta vytváří Dmitry Gryaznov, a kde lze ke známému jménu dohledat jména, která používají ostatní antiviry.

Co říkáte na aktivity Zoneru a jejich antiviru ZAV? (tomann)

Petr Odehnal: Zatím znám ZAV jenom z bájí a pověstí kolujících po internetu, tj. o něm nevím vůbec nic.

Ale na jaře bych snad měl dostat nějakou testovací verzi, takže uvidím.

Mohou viry hardwarově poškodit počítač? Popřípadě jaké? (Martin Štork)

Petr Odehnal: Hardware, který se nechá zničit softwarem, si nic jiného nezaslouží.

Ale vážně, slyšel jsem na toto téma spousty různých „urband legends“ a leccos ze „zaručených návodů“ jsem si vyzkoušel, ale žádný HW se mi zatím zničit nepodařilo. Blízko tomu snad byl jen blahé paměti Win32/CIH (aka Černobyl), který dokázal u některých motherboardu přepsat obsah BIOSu.

Jak dlouho (průměrně) trvá, než vydáte update proti novému viru, od doby kdy byl poprvé odeslán? Daří se vám autora viru „chytit“? (Roman Secret)

Petr Odehnal: Pokud se objeví nějaké silná epidemie a rozhodneme se vydat mimořádný update, tak to obvykle trvá tak 45-60 minut (od prvního vzorku, který se nám dostane do rukou, po zveřejnění update na internetu).

Lov autorů virů se týká spíše speciálních policejních jednotek (jako je třeba britská National High Tech Crime Unit), než antivirových firem.

Jaký názor máte na, i dnes stále diskutovanou, kvalitu/nekvalitu antiviru AVG? Respektive jaký antivir používáte vy? Jste v tomto směru loajální vůči „zaměstnavateli“? (MartinezZ)

Petr Odehnal: Kdybych měl soudit podle českých internetových debat, tak je AVG druhý nejhorší program na zeměkouli (hned po Windows).

Na pracovním počítači nemám žádný antivir - pracuji rutinně s viry a to se většině antivirů příliš nelíbí. Na domácích počítačích mám AVG.

Který antivirový program je nejlepší ? Mám Avast. (Lucie)

Petr Odehnal: Které auto je nejlepší? Mám Kia Cerato. :-)

Používám Avast Oct 2003 společně s A-Adware. Stačí to na běžnou práci? Co by jste mi doporučil pro větší bezpečnost. (Ludvím Hlaváč)

Petr Odehnal: Samozřejmě to stačí. Není ani tak důležité, který z „top ten“ antivirových programů máte, ale jak ho používáte - nastaveni, aktualizace, atd.

Pro větší bezpečnost je potřeba především se chovat opatrně.

Odhadněte, kdy se objeví první počítačový virus, který bude schopen napadnout i „živé“ počítače, tedy mozky. (saya)

Petr Odehnal: Při občasném sledování nedělních Otázek Václava Moravce se nemohu zbavit pocitu, že takový virus už nutně musí existovat.

Několikrát jsem už využil technickou podporu Grisoftu prostřednictvím standardního formuláře na webu. Ale e-mailová odezva byla někdy až po několika dnech. Nezdá se vám, že je tato doba reakce odezvy technické podpory výrobce antivirového programu svým zákazníkům časově neadekvátní? (Jiří Veselý)

Petr Odehnal: Podle statistik se průměrná doba reakce na e-mail registrovaného uživatele pohybuje od 2 do 7 hodin - hodně záleží na tom, jak velký je zrovna nápor dotazů. Ale je to čistá statistika na asi čtyřiceti tisících e-mailech měsíčně, takže určitě není problém mít lepší či výrazně horší zkušenost.

Když se mi trojský kůň dostane do systémové složky WIN32 a já ho antivirem najdu, mám ho mazat? Či raději vyléčit? Bojím se, že když ho smažu, tak spolu s ním vymažu i nějakou důležitou součást složky WIN32. (Michael Toms)

Petr Odehnal: Trojský kůň si tam jen odloží své tělíčko a nenaváže se na žádný ze systémových souborů. Stačí ho smazat.

Je bezpečné používat pouze jeden antivirový produkt, nebo je bezpečnější je kombinovat (různých výrobců)? (Petr Káňa)

Petr Odehnal: Na domácím počítači stačí jeden, ale u většiny firemních sítí už má smysl uvažovat třeba o jiném systému na pracovních stanicích a jiném na serverech.

Ale v obou případech platí, že ještě důležitější je rozumné chování (či v případě firmy bezpečnostní politika).

Často slyším názor, že na jednom PC nesmí být nainstalováno více antivirů. Domnívám se správně, že toto se týká jejich rezidentní ochrany? (Marin Vana)

Petr Odehnal: Jde opravdu o rezidentní ochranu. Jinak je koexistence více antivirů bez problému.

Je pravda, že mnoho virů záměrně vyrábí a šíří tajné bezpečnostní služby? Pokud ano, proč tak činí? (rucpic)

Petr Odehnal: Virus je něco, co se samo (tj. nekontrolovaně) šíří. Moc nevidím důvod, proč by něco takového vyráběla nějaká bezpečnostní služba.

Něco jiného jsou trojské koně určené k vykrádání informací či sledování aktivit uživatele. Víme o útocích speciálně napsaným trojanem proti firemním uživatelům (od konkurenční firmy) a vůbec bych se nedivil, kdyby něco podobného občas používaly i bezpečnostní složky.

Témata článku: Windows, Petr, Antivir, Kia, Legends, Sandbox, Vana, Airbag, Secret, Still, Mario, Concept, Pivo

46 komentářů

Nejnovější komentáře

  • wanrouter 13. 1. 2007 20:04:40
    preco niesu aj otazky slovenskych uzivatelov zverejnene resp. odpovedane?...
  • Zdeněk Pavlas 12. 1. 2007 15:23:33
    a) Diverzita windows samozřejmě existuje také (verze win, service packy,...
  • commodore 12. 1. 2007 10:12:08
    Mily Bendere. My se zde ale nebavime o tom, ze hloupy uzivatel dela vse...
reklama
Určitě si přečtěte

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

** V Brně byl velký výpadek služeb UPC ** Důvodem je překopnutý páteřní kabel ** V některých lokalitách služby stále nefungují

5.  12.  2016 | Jakub Čížek | 101

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

** Zmizí klasické vyhledávače ** Budeme programovat buňky ** Kvantové počítače překonají šifry

6.  12.  2016 | Jakub Čížek | 36

11 tipů na dobrý stolní počítač: od základu po herní mašiny

11 tipů na dobrý stolní počítač: od základu po herní mašiny

** Postavte si stolní počítač! Máme pro vás 11 vzorových sestav s rozpisem komponent ** Většina tipů cílí na hráče, věnujeme se ale i základnímu PC a počítačům na střih videa ** Nadělte si nový počítač třeba pod stromeček

5.  12.  2016 | Adam Kahánek | 73


reklama