וירוס

וירוס מחשב הוא תוכנת מחשב שחודרת למחשב ללא ידיעת המשתמש, וגורמת על פי רוב לשיבושים ולתקלות שונות בהפעלת המחשב. התוכנה עוברת ממחשב למחשב ומריצה פקודות מחשב זדוניות. כיוון שגם וירוס ביולוגי פועל בדרך דומה (הווירוס חודר לתאי הגוף וגורם להם לבצע הוראות הכתובות בקוד הגנטי שלו), התקבלה המילה "וירוס" בהקשר זה.

[עריכה]הקדמה

דוגמה לקוד מקור של וירוס מחשב

וירוסי מחשב (באנגלית: Computer Viruses) הם מהצרות הגדולות ביותר של עולם המיחשוב, אך בניגוד לתקלות אחרות, שלרוב נגרמות באקראי בגלל רשלנות או בשל כשלי חומרה, הוא נעשה בזדון ומתוך כוונת מכוון להסב נזק.

פעילותו דומה לזו של וירוס ביולוגי. כשם שווירוס ביולוגי חודר לגרעין התא של אורגניזם חי, ומורה לו לשכפל את ה-DNA הוויראלי, וכך הוא משתמש בחלבוני התא לייצר וירוסים נוספים במקום לשכפל את התא עצמו, כך וירוס מחשב הוא בעצם תוכנה לכל דבר ועניין, שחודרת למחשב באופן סמוי, משתמשת במשאבי המחשב להעתיק ולהפיץ את עצמה, ולרוב פוגעת בפעולה התקינה של המחשב הנגוע.

וירוס המחשב הידוע הראשון נוצר ברשת ה-ARPAnet, כאשר סטודנט ערך ניסוי בהחדרת קוד בלתי נראה לרשת, והצליח מעל לתחזיותיו.

בשנת 1985 היו מוכרים 11 סוגי וירוסים שונים, ובשנת 2008 המספר הגיע למיליון וירוסים שונים. בממוצע מתגלים בכל חודש בין 50 ל־100 וירוסים חדשים. יש וירוסים מתקדמים יותר ופחות. וירוס עלול לגרום נזק בלתי הפיך למחשב - להרוס את מערכת ההפעלה או למחוק קובצי מידע חשובים, בנוסף ליכולותיו להפיץ את עצמו ביעילות מרובה ולהסוות את עצמו בפני תוכנת האנטי-וירוס.

בשנת 2004 התגלה הווירוס הראשון לטלפון נייד. הווירוס, שכונה "קאביר", נוצר כדי להראות היתכנות של הדבקה. ב-2007 כבר היו ידועים כמה מאות של וירוסים לטלפונים ניידים. רובם של הווירוסים הניידים תוקפים טלפונים בעלי מערכת ההפעלה סימביאן, שהיא המערכת הנפוצה בטלפונים חכמים. שתי דרכי הפצה עיקריות בטלפונים ניידים הם באמצעות תקשורת הבלוטות' ובאמצעות מסרי המולטימדיה המהירים MMS.

[עריכה]דפוסי פעולה עיקריים של וירוס מחשב

על פי רוב גודל הווירוס הוא מזערי (כמה אלפי בתים), ונעשה מאמץ שיהיה קטן במידת האפשר, כדי שיועבר במהירות האפשרית, וכדי לצמצם את נוכחותו ולהקל על הסוואתו.

לווירוס מחשב כמה מאפיינים:

1. הסוואה
2. הפצה
3. חבלה (אופציונאלי)
4. מחיקת נתונים

וירוסים נמדדים לפי קצב ההפצה שלהם (כמה מחשבים חדשים נדבקים בפרק זמן קצוב) ומידת הנזק שהם גורמים. מדד חלופי הוא הנזק הכספי (אובדן שעות עבודה) שהוא גורם למשק.

[עריכה]הסוואה

תוכנת וירוס לרוב מאחסנת את עצמה בתחילת קובץ יישום לגיטימי או בגזרת ה-BOOT, וכותבת את עצמה לזיכרון המחשב באזור אקראי על מנת שיהיה קשה לאתרה.

[עריכה]הפצה

תוכנת הווירוס משכפלת את עצמה למחשבים נוספים באמצעות הדבקת קבצים העוברים בין מחשבים. המחשבים שיריצו את הקבצים ידבקו גם הם ויעבירו את הווירוס למחשבים נוספים.

[עריכה]חבלה

וירוסים מחבלים בפעילות המחשב, לעתים מדובר בחבלה חמורה של ממש (כגון מחיקת קבצים או גרימת תקלה בחומרה) ולעתים נזקי הווירוס מסתכמים בהימצאותו במחשב (בזבוז זיכרון או שטח אחסון).

• ישנם וירוסים שנועדו להציק למשתמש ולהפחית ביעילותו של המחשב, למשל על ידי האטת פעולת העיבוד שלו, צריכת זיכרון מחשב, הצגת הודעות מטרידות על הצג או שינוי הגדרות.
• וירוסים אחרים נועדו ליצור נזקים ממשיים, כגון מחיקת קובצי נתונים, פגיעה במערכת ההפעלה, פירמוט הדיסק הקשיח של המחשב או גרימת בעיותחומרה שונות.
• ישנם וירוסים שנועדו להעביר מסרים אישיים או פוליטיים.

לעתים, הפעילות החבלנית של הווירוסים מורדמת כדי שיוכלו לצבור מסה קריטית של מחשבים נגועים ובתאריך מסוים להתעורר לפעולה ולתקוף את המחשב. ישנם וירוסים שמבצעים את הפעילות החבלנית שלהם ביום מסוים מדי שנה.

[עריכה]מיקום הווירוס במחשב

הווירוס צריך לכתוב את עצמו למקום שבו ירוץ בכל הפעלה של המחשב.

א. גזרת ה-Boot 

זהו מקום נפוץ לאחסון וירוסים מכיוון שגזרה זו נקראת על ידי הגרעין הראשוני של המחשב, בכל הפעלה של המחשב, וכל תוכנה שרשומה בו מורצת.

ב. בתחילת קובץ יישום 

בתחילת קובץ בינארי. כאשר קובץ כזה מופעל, הווירוס מורץ לפניו, ומתחיל את פעולתו בזיכרון.

ג. כקובץ הרצה עצמאי 

הווירוס משכפל את עצמו כקובץ עצמאי, עם הפנייה להרצה מקובץ אתחול אחר.

ד. בקובצי נתונים של תוכנות, שיש להן תמיכה בשפה פנימית

בעיקר תוכנות אופיס כדוגמת וורד ואקסל המאפשרות אחסון של פונקציה בקובצי הנתונים. כך אפשר ליצור וירוס מקרו, המופעל בטעינת המסמך.

[עריכה]עקרון פעולה

בשנים האחרונות וירוס טיפוסי ינסה להפיץ עצמו הלאה או על ידי כך שישלח עותק של עצמו לשרתי אינטרנט אקראיים שיבחר (תוך כדי ניצול פרצת אבטחה באותו שרת) או על ידי קריאת קובץ כתובת הדואר האלקטרוני ושליחה של עצמו כחלק מדואר תמים. וירוסים יודעים לשנות את עצמם כדי להקשות על עבודות הזיהוי של תוכנות אנטי-וירוס נפוצות. עקרון הפעולה של וירוסים הגורמים לחלקים בחומרה להשרף מבוסס על כיבוי והדלקה מהירים ביותר של רכיבי חומרה מסוימים, וכתוצאה מכך לגרום לשריפתם.

[עריכה]טכניקות של וירוסים

[עריכה]עקיפת ארגז החול

פותחו שיטות לעקיפת ארגז החול. שיטות אלה משתמשות בחלוקת הווירוס לשני חלקים: החלק הראשון הוא הווירוס עצמו והחלק השני מטרתו להצפין את הווירוס ולשים את הקוד המוצפן בתוך קובץ טקסט רגיל בכל פעם שמתבצעת סריקה על ידי תוכנת האנטי וירוס. במקום שהאנטי וירוס ינתח את הווירוס האמיתי ויגלה שווירוס הסתנן למערכת, האנטי וירוס מנתח קובץ מוצפן שלכאורה אינו גורם נזק למערכת. לאחר שהסתיימה הסריקה, המחולל מפענח את הווירוס המוצפן חזרה והווירוס ממשיך לפעול.

וירוסים מסוימים מצליחים להימנע מארגז החול בדרך יותר ברוטלית, הם מונעים מתוכנת ארגז החול של האנטי וירוס לפעול ובעצם משתקים חלק מפעולת ניטור הווירוסים במערכת. המשתמש יכול לנסות למנוע מוירוסים לסגור את האנטי וירוס באמצעות סיסמה.

וירוסים מסוימים מבצעים התקפת מניעת שירות על תוכנת האנטי וירוס בזמן שהיא מבצעת סריקה, ראו למשל פצצת ZIP.

[עריכה]עקיפת חתימת הקובץ

בעקבות פיתוח שיטת "חתימת הקובץ" פותחו טכניקות לעקיפתה. אחת הטכניקות לעקוף את בדיקת החתימה מתבצעת בצורה הבאה: בזמן כתיבת הווירוס, נכתבת פונקציה שתפקידה הוא לבדוק מתי מתבצעת סריקה על ידי האנטי וירוס. כשסריקה כזו מתבצעת הווירוס ינסה לסגור את התוכנה האחראית על אלגוריתם חתימת הקובץ של תוכנת האנטי וירוס. שיטה זו אינה נפוצה כיום עקב הקושי הרב בסגירת התוכנה הבודקת את חתימת הקובץ.

חלק מהווירוסים מצפינים את עצמם כל פעם שמתבצעת בדיקת חתימות על ידי האנטי וירוס. שיטה זו עובדת כיוון שחתימתו של קובץ מוצפן שונה מחתימתו של אותו קובץ לא מוצפן, מסיבה זו, האנטי וירוס לא יצליח לגלות את הווירוס. לאחר שתסתיים בדיקת החתימות, הפונקציה שאחראית על הצפנת הווירוס תסגר ותפתח שוב עם עליית מערכת ההפעלה.

[עריכה]עקיפת הבדיקה הגנרית

כיום אין שיטות מוגדרות לעקיפת הבדיקה הגנרית. עקיפת הבדיקה הגנרית היא אתגר קשה, כדי שלא יזהו התנהגות של וירוס, עליו להתנהג כמו משהו שלא נראה כמותו קודם, לכן מציאת טכניקות לעקיפת בדיקה זו נחשבת לערך רב אצל מפתחי הווירוסים. המצאה ופיתוח של שיטות כאלו נחשב למשהו קשה, שכן דרושה מיומנת רבה לשם כך.

לדוגמה, אם וירוס יכניס עצמו לערך HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run (בתוך הרג'יסטרי של מערכת ההפעלה חלונות) הוא יופעל כל פעם מחדש עם עליית מערכת ההפעלה. אפילו בדיקה פרימיטיבית תגרום לאנטי וירוס לחשוד שווירוס הכניס עצמו לשם. אם תהליך מסוים יתחיל להאזין לשער אשר ידוע כשער המשמש סוסים טרוייאנים רבים, הבדיקה הגנרית תתחיל לחשוד בכך שהתהליך הינו סוס טרויאני.

[עריכה]אוליגמורפיזם

אוליגומורפיזם, הינו שינוי באלגוריתם הפענוח של הווירוס, שמצריך במקום שיטת פענוח אחת לווירוס, מספר שיטות שונות בסדר שונה כדי לפענח את הווירוס. כשאנטי וירוס נתקל בווירוס מוצפן שמנסה לחדור למחשב הוא ינסה לפענח את ההצפנה של הווירוס. אם האנטי וירוס לא ישתמש בפענוח הנכון לשיטה שהווירוס בחר בה עבור מחשב זה, הוא לא יוכל לדעת שהווירוס שבו הוא נתקל הינו בעצם וירוס ולא קובץ ג'יבריש סתמי, שכן הוא פשוט ינסה לחקור קובץ מוצפן. כתוצאה מכך הווירוס יוכל לחדור למחשב וללא התנגדות מצד האנטי וירוס.

[עריכה]מטאמורפיזם

וירוס מטאמורפי הוא וירוס אשר משנה את המבנה הבינארי של עצמו עד-כדי שכתוב כמעט מלא של הקוד; שיטה זו היא בין המסובכות ביותר מבין השיטות לכתיבת וירוסים, הן לכותב הווירוס עצמו והן לחברת האנטי וירוס שצריכה לזהות אותו ולדעת שזהו וירוס אחד שמשנה את עצמו, ולא עשרות וירוסים שונים. בזכות שינוי הקוד החתימה הדיגיטלית של הווירוס משתנה, דרכי הפעולה שלו משתנות בתדירות גבוהה ולרוב הוא גם בעל שיטות הצפנה עצמית כדי להצליח להתחמק מבדיקה.

דוגמה לווירוס מטאמורפי הוא הווירוס Simile. וירוס זה התפרסם לראשונה בגיליון השישי של הקבוצה 29A בתחילת מרץ, 2002. וירוס זה הינו אחד הווירוס המתוחכמים והמסובכים שהופצו אי פעם, 90% מקודו של הווירוס הוא מנוע המטאמורפיזם שלו שנועד לשכתב את המבנה הבינארי של הווירוס וליצור עוד עשרות וירוסים דומים.

[עריכה]דרכי הפצה

וירוסים צריכים להשתמש בדרכי הפצה, שתגרומנה לכך שהווירוס יפגע בהרבה מחשבים, ולכן משתמשים בדרכי הפצה שונות. לפני המצאת האינטרנט השתמשו וירוסים בעיקר בהפצה על ידי העתקה ברשת פנימית והעתקה לתקליטונים. אך משהתרחב השימוש האינטרנט, החלו גם הווירוסים לנצל אותה.

[עריכה]כותבי וירוסים

נעשו מחקרים לא מעטים במטרה לאפיין כותבי וירוסים. בין התאוריות שהועלו, מדובר במתכנתים מתוסכלים שפוטרו מעבודתם, אנשים בעלי מטרות פוליטיות או אישיות, מעבדות מחקר צבאיות המפתחות וירוסים במסגרת לוחמה דיגיטלית, והועלתה אף סברה, שחברות האנטי-וירוס, הקיימות בזכות הווירוסים, עוסקות בפיתוח של זני וירוסים חדשים (טרם נמצא אישוש לסברה זו). חברות תוכנה בשיתוף עם רשויות החוק האמריקניות הכריזו על פרסים כספיים למי שייתן מידע שיוביל לחשיפה של כותבי וירוסים ספציפיים. עד כה ללא הצלחה מרובה. קיימות גם תוכנות לכתיבת וירוסים (שהן בלתי חוקיות) ולעתים משמשות את כותביהם.

[עריכה]דרכי הגנה

בניגוד לווירוס ביולוגי, וירוס המחשב איננו עובר באוויר או במגע בין בני אדם למחשב. הווירוס צריך להיות מאוחסן במדיום דיגיטלי מסוג כלשהו (מגנטי, אופטי או אחר). על מנת להגן על המחשב יש להשתמש בשיטות הבאות:

• יש להתקין תוכנת אנטי-וירוס, ולהקפיד לעדכן אותה באופן תדיר.
• יש להתקין תוכנת חומת אש (FireWall) להגנה על המחשב מפני ניסיונות חדירה והשתלטות מרשת האינטרנט.
• אין לפתוח הודעות דואר אלקטרוני ממקורות לא ידועים, אף אם הן נראות תמימות.
• בכל מקרה יש לבדוק את כל הצרופות של דואר אלקטרוני (גם ממקורות ידועים). במיוחד חשודים קבצים בעלי יכולת הרצה כמו סיומות BAT ודומיהן, וכן קובצי אופיס.
• אין להכניס תקליטונים או מקלוני זיכרון ממקורות לא ידועים. יש לנעול אותם כאשר מעבירים מידע למחשב לא בדוק, כדי שהם לא ידבקו.
• רצוי לא להתחבר לתוכנות שיתוף קבצים, ובוודאי שלא באופן קבוע. במידה שכן מתחברים יש להגן על המחשב באמצעות תוכנת חומת אש מתאימה.
• במערכות הפעלה המאפשרות זאת (2000 XP ו-Vista) - לא לבצע עבודה יומיומית בתור משתמש בעל הרשאות גישה לחמרה או לקבצים רגישים. דבר זה ממזער את הנזק, באופן שרק הקבצים הפרטיים של המשתמש פגיעים במקרה של פגיעת וירוס.
• כדאי לעדכן את התוכנות הנמצאות בשימוש שוטף (בעיקר דפדפן אינטרנט, לקוח דואר אלקטרוני ומערכת ההפעלה) על מנת להגן מפני פרצות אבטחה.
• ניתן לעבוד גם במערכות הפעלה שאינן חלונות, שכמעט ולא קיימים להן וירוסים (הווירוס תלוי במערכת ההפעלה על מנת לפעול).

[עריכה]התאוששות מווירוס

במקרה שקיים וירוס במחשב כדאי לנקוט בצעדים הבאים

• להפסיק מצב שחזור (בחלונות XP ו-Vista)
• לעדכן את תוכנת האנטי וירוס.
• לאתחל את המחשב מדיסקט או תקליטור, (אתחול רגיל של המחשב, אף כשקיימת במחשב תוכנת אנטי-וירוס מעודכנת, לא תועיל מכיוון שהווירוס עולה לזיכרון בהדלקה) לחלופין אפשר להעלות את המחשב במצב בטוח. (בחלונות יש להקיש F8 בתחילת ההדלקה ולבחור באופציה Safe Mode)
• להפעיל תוכנת אנטי-וירוס עדכנית, ולסרוק את כל הדיסק.
• לעתים יש לבצע הסרה ידנית (שאיננה מצריכה בהכרח תוכנת אנטי וירוס). כדאי לקרוא את ההוראות הספציפיות לכל וירוס, באתרים של חברות האנטי וירוס ולפעול בהתאם.

[עריכה]ראו גם

• תולעת מחשב
• תוכנת ריגול
• אבטחת מחשב אישי ברשת
• סוס טרויאני (תוכנה)
• נוזקה
• נוזקות בלינוקס

[עריכה]קישורים חיצוניים

• כיצד להסיר וירוס במחשב, מגזין PCTalent
• רויטל סלומון, 20 שנים של וירוסים, הארץ
• פורום אבטחת מידע, באתר "נענע"
• דוגמה למתקפת מניעת שירות על תוכנת אנטי וירוס מאתר סקיוניה
• מאמר על מטאמורפיזם + השוואה בין פולימורפיזם למטאמורפיזם
• הסבר על הווירוס simile, על תהליכיו + קוד מקור
• דוידסון אונליין - מאגר מדע: מהו וירוס מחשב? סרטון עם הסברים.