45
MJEŠOVITA SREDNJA ŠKOLA „TRAVNIK“ FILOLOŠKA GIMNAZIJA DELIĆ REUF VIRUSI I ANTIVIRUSI MATURSKI RAD TRAVNIK, MAJ 2012.

Maturski Rad Anti Virus

Embed Size (px)

Citation preview

Page 1: Maturski Rad Anti Virus

MJEŠOVITA SREDNJA ŠKOLA „TRAVNIK“

FILOLOŠKA GIMNAZIJA

DELIĆ REUF

VIRUSI I ANTIVIRUSI

MATURSKI RAD

TRAVNIK, MAJ 2012.

MJEŠOVITA SREDNJA ŠKOLA „TRAVNIK“

Page 2: Maturski Rad Anti Virus

FILOLOŠKA GIMNAZIJA

VIRUSI I ANTIVIRUSI

MATURSKI RAD

Predmet: Informatika

Mentor: Mameledžija Altijana

Učenik: Delić Reuf, IV3

Travnik, maj 2012.

2

Page 3: Maturski Rad Anti Virus

SadržajSadržaj

SADRŽAJ 3

1. ŠTA JE KOMPJUTERSKI VIRS? 4

2. RAZLIKA IZMEĐU VIRUSA I DRUGIH PROGRAMA 6

3. KAKO RADI VIRUS? 7

4. VRSTE VIRUSA................................................................................9

Fajl virusi:...................................................................................................11

Boot virusi...................................................................................................14

Macro virusi................................................................................................15

Mrežni (network) virusi................................................................................15

5. TEHNIKE SAKRIVANJA VIRUSA 16

6. ISTORIJA VIRUSA 18

7. ZAŠTITA 19

Antivirus programi.......................................................................................20

8. LITERATURA 23

3

Page 4: Maturski Rad Anti Virus

1. Šta je kompjuterski virus?

Kompjuterski virusi su oduvek izazivali strah kod ljudi. Sama reč "virus",

priznatćete, asocira na nešto što pravi štetu, uništava i zadaje velike muke. Isto kao i

prirodni virusi, kompjuterski virusi su sposobni da se razmnožavaju, uništavaju i

skrivaju, samo što se svi ti procesi odvijaju na kompjuteru.

Definicija: Kompjuterski virusi su mali programi koji imaju za cilj nanošenje

štete tj. zloupotrebu. Nazvani su tako jer imaju sposobnost razmnožavanja (sami sebe

iskopiraju na više mesta na disku).

Aktiviraju se tako što se "zakače" za neki legalan program i startuju kada se

startuje i taj program. Obično ne počinju odmah sa pravljenjem štete, već na to

čekaju izvesno vreme (u nekim slučajevima je to određeni datum), kako bi njihovo

štetno dejstvo bilo što razornije. Tom prilikom će virus zaraženom računaru naneti

štetu koja se kreće od ispisivanja bezazlenih poruka pa sve do brisanja fajlova,

formatiranja diska, otkazivanja monitora… i zato je značajno da budu primećeni i

uklonjeni na vreme od strane antivirusnog programa.

Otkud naziv virus? Termin "Kompjuterski virus" prvi je koristio Fred Cohen

na Lehigh unirvezitetu u SAD 1984. godine. Kompjuterski virusi su nazvani

virusima zato što imaju dosta zajedničkih osobina sa prirodnim virusima.

Kompjuterski virus prelazi sa kompjutera na kompjuter isto kao što prirodni virus

prelazi sa čoveka na čoveka. Znači, isto kao i prirodni virusi sposobni su da se šire i

razmnožavaju. Dalje, kao i prirodni virusi, kompjuterski virusi su nežive stvari koji

ne mogu postojati bez svog nosioca. Kao što prirodni virus koristi ćeliju za

razmnožavanje kompjuterski virusi koriste kompjuterske resurse i veze. I ono što je

najvažnije, kompjuterski virusi su isto onako podmukli i opasni kao i njihovi prirodni

pandani.

4

Page 5: Maturski Rad Anti Virus

Kompjuterski virusi nemaju ničeg živog u sebi, ne prenose se putem vazduha

ili dodirom disketa sa drugim disketama. Pošto su oni samo programi, normalno je da

nisu sami nastali. Viruse pišu hakeri - iskusni programeri koji su ili stvarno zlobni ili

žele da pokažu kako su operativni sistemi namerno nezaštićeni, a antivirusne

kompanije neće da naprave univerzalni Antivirus.

 Rani virusi su bili komadići koda prikačeni na uobičajene programe kao što

su popularne igre ili tekst procesori. Uobičajeni tok zaraze je bio slijedeći:

Osoba download-uje ili na drugi način dođe do zaražene igre ili programa.

Virus je mali komadić koda ubačen u zaraženi, mnogo veći program. Virus je

napisan tako da kad se zaraženi program startuje, prvo se pokrene virus i učita se u

memoriju. Dalje, virus traži po disku neki drugi program na koji bi se mogao

prikačiti da bi postao manje sumnjiv. Ako ga nađe, virus ga zarazi, tj. "ugradi" se u

njega. Zatim pokreće originalni program. Tako su sada na neprimetan način zaražena

dva programa. Svaki put kada se pokrene zaraženi program, krug se nastavlja. Ako

se zaraženi program preko diskete ili na neki drugi način prebaci na drugi kompjuter,

tada to isto ponavlja i na drugom kompjuteru i na taj način se zaraza širi.

 Virusi ne bi bili tako opasni, kada bi zaraza bila sve što oni čine. Na žalost,

večina njih takođe imaju neku vrstu destruktivne "napadačke" faze kada čine štetu.

Ta faza se ispoljava uvek u zavisnosti od nekog događaja, to može biti npr. neki

određeni datum, broj pokretanja virusa ili nešto slično. Šteta može biti različita, od

ispisivanja blesavih poruka do brisanja čitavog diska a sa njim i vašeg kompletnog

(dugogodišnjeg) rada itd.

 Sa porastom korištenja Interneta virusi su, pošto su dobili novi medij za

prenos, postali još veća opasnost. Na primer, "Melissa virus", koji je postao svetski

fenomen u martu 1999. godine, bio je tako moćan da je primorao čak i “Microsoft”

da potpuno ugasi svoj e-mail sistem dok ne otkloni virus. To je prilično zadivljujuće

kad se uzme u obzir kako su u stvari jednostavni "Melissa" i ostali virusi.

Prvo se pojavio tzv. CRACK, a radi se o tome da su mnoge software firme

počele da reklamiraju svoje programe tako što bi ga dale na slobodnu upotrebu na

5

Page 6: Maturski Rad Anti Virus

internetu, kao shareware, demo ili trial verziju, sa ograničenim rokom korišćenja

najčešće na 30 dana, pa su mnogi hakeri krenuli u razvijanje tih zaštita, što je

rezultiralo nastajanjem pomenutog CRACK-a. I naravno, svoje rezultate su počeli

objavljivati i nuditi besplatno korisnicima u mreži što je izazvalo talase oduševljenja,

koji još uvek traju. Međutim da bi virus-manijaci još više naneli zla, oni su otkrili još

lepši način za distribuciju svojih virus programa. Kako? CRACK-ovi se koriste tako

što se prvo instalira demo program za koji je neki CRACK urađen, pa onda prije

ikakve upotrebe tog programa uzima se i CRACK pakovanje i ubacuje se, zatim se

pomiješa među ostale fajlove u programskoj fascikli tog demo programa, i tu onda

duplim klikom aktivira se taj CRACK exe fajl, a kako je to zapravo mali programčić

on onda izvršava sve neophodne izmene u demo verziji i ukine ograničenu upotrebu.

Time je nastala blagodet za virus manijake, jer sada samo prate koji su trenutno

demo-cracks najtraženiji i onda širom interneta nude svoje virus pakete kao crack-

ove, pa čak uz njih nude dotični demo program, da se ne bi kao zamarali tražeći ga

po mreži. Neupućeni to lepo downloaduju, da bi na kraju instalacije aktivirali lažni

crack-exe, te je stvar gotova, jer se time upravo obavilo i ono što je uglavnom i

najveći problem za uspešno aktiviranje nekog virus programa.

2. Razlika između virusa i drugih programa

- Virusi su napravljeni da se izvršavaju, kopiraju, često bez ičijeg znanja

- Često sadrže takozvane "payloads" akcije

- Virusi se sakrivaju u svim mogućim delovima sistema (floppy, cd, boot, e-

mail, picture...)

2.1. “Payload ”

6

Page 7: Maturski Rad Anti Virus

U prevodu znači naplata ili šteta koja će biti naneta ovim virusom. To može

biti:

- Brisanje, menjanje ili slanje poverljivih informacija

- Prepravljanje siguronosnih podešavanja

- Modifikovanje raznih fajlova

- Degradiranje performansi računara

- itd.

3. Kako radi virus?

Virusi mogu da napadaju sve vrste fajlova (exe, com, txt, doc, gif, jpg, jpeg,

bmp, ocx ...), takodje mogu da se upisuju u boot sectore hdd-a , floppy-a , mogu da

se ucitaju RAM ili cak i u BIOS.

Virusi uopšte rade iz dva dela, prvi deo je inficiranje a drugi je napad.

Inficiranje je radnja koja je najteža za ove programe, zato što moraju da zaobiđu sve

zaštite koje postoje na nekom sistemu. Zato virusi koriste razne vrste mutiranja tako

što menjaju svoj kod da ih antivirusni programi ne bi pronašli, neki se čak i kriju

određeno vreme u nekom fajlu pa onda tajmirano napadju svoje mete.

Napad ili "payload" je pravo lice virusa, neki mogu biti bezazleni, i takvi

virusi će vam otvarati cd-rom ili izbacivati poruke, dok postoje i mnogo opasniji koje

mogu da brišu fajlove, kradu lozinke i sl.

7

Page 8: Maturski Rad Anti Virus

Najčešći prenosioci su:

DOS BOOT sektor

MASTER BOOT zapis

izvršni fajlovi (com i exe)

fajlovi sadrže izvršni kod (npr. dokument word-a i excel-a)

Takođe je moguče napraviti viruse koji inficiraju drajv-ere i beč fajlove. Oba

tipa virusa postoje, ali ne objedinjeno.

Najdestruktivniji virusi su često nastali greškom i to greškom prilikom

programiranja jednostavnih virus programa koji su se na taj način pretvorili u razorne

viruse sa potencijalno teškim konsekvencama. Tvorci virusa se bore protiv velikih

mreža i korporacija, a ta bitka se nastavlja iz dana u dan kroz sve veći broj, manje ili

više destruktivnih virusa zvučnih naziva kao što su: RIPPER, BEJING, CHEMOBIL,

MELISSA. Virusi se najčešće prenose preko fajlova koji su prikaćeni uz e-mail

poruke. Izuzetak su slučajevi kada maliciozni programer iskoristi “rupe” u e-mail

klijentskim programima (kao što su Microsoft Outlook). Zato je potrebno redovno

pratiti obaveštenja proizvođača i redovno nabavljati softverske ''zakrpe''.

Primjer 1

8

Page 9: Maturski Rad Anti Virus

Kada bi preveli program od koga se virus sastoji na jezik razuman i ljudima

koji se ne razumeju tako dobro u računare, on bi izgledao ovako:

- Učitaj sebe u memoriju (kako bi postao samostalan program koji će biti

aktivan sve dok ne isključite kompjuter)

- Čekaj dok se ne pokrene neki drugi program

- Dok čekaš, ometaj tastaturu (ovo je deo koji pravi štetu)

- Kada se novi program pokrene ubaci u njega ceo ovaj program

Ovako recimo izgleda virus KeyPress koji je na našim prostorima bio veoma

aktivan, sve dok se nije pojavio prvi Windows.

Naravno, postoje virusi koji ne čekaju da se neki programi pokrenu da bi ih

zarazio, već sami pretražuju disk kako bi pronašli neki exe fajl (program) i zarazili ga

(ubacili svoj program u program koji su našli). Dio koji pravi štetu isto tako može

biti drugačiji, umesto da ometaju tastaturu, neki virusi brišu fajlove sa diska ili

ometaju neke druge periferne delove kompjutera kao što su štampač ili monitor.

Primjer 2

Pogledajmo sada kako sve to funkcioniše. Uzećemo jedan najčešći primer:

Kompjuter od vašeg druga je zaražen nekim virusom. Taj drug vam je doneo

novu igricu na jednoj disketi. Igricu je naravno snimio sa svog kompjutera tako da ta

igrica najverovatnije u sebi nosi virus. Vi ste tu igru pokrenuli na vašem kompjuteru i

virus je ušao u memoriju vašeg PC-a. Kada ste se izigrali, pokrenuli ste recimo

"Windows Explorer" i virus je ubacio svoj program u njega. Posle ste pokrenuli

verovatno još neke programe tako da je virus i njih zarazio. Dovoljno je da se samo

jedan program zarazi, jer će taj jedan, u slučaju da ste odmah posle pokretanja

9

Page 10: Maturski Rad Anti Virus

Explorera isključili kompjuter, zaraziti druge programe kada ga pokrenete sutradan.

Virus će u roku od samo nekoliko dana zaraziti skoro sve programe na vašem

kompjuteru. Davanje bilo kakvog programa sa vašeg kompjutera nekom drugom

vašem prijatelju će rezultirati infekcijom ostalih kompjutera. I tako, dan po dan, bez

antivirusa, jedan običan virus bi mogao zaraziti ceo komšiluk.

4. Vrste virusa

Virusi se mogu podijeliti u nekoliko

kategorija:

Hoax – E-mail tipa,

nekadašnjih "pisama za sreću", koji

upozorava na navodnu pojavu nekog

vrlo opasnog virusa. Možete ga

prepoznati po tome što nema

prikačenog fajla, ne ukazuje ni na koga ko može potvrditi postojanje

virusa i po generalnom tonu poruke.

Joke (Šala) – Bezopasni program koji uzrokuje razne

bezopasne pojave (npr. neočekivani screensaver)

Trojan Horse (Trojanski konj) – Program koji se retko

replicira, ali pravi štetu ili narušava sigurnost vašeg kompjutera.

10

Page 11: Maturski Rad Anti Virus

Virus – Program koji se replicira, inficira druge programe,

boot sektor ili dokument koji podržava makroe ubacujući sebe ili kačeći

sebe na taj medijum. Većina virusa se samo razmnožava, ali dosta ih i

uzrokuje neku štetu.

Worm (Crv) – Program koji pravi kopije samog sebe, npr. sa

jednog diska na drugi, ili kopira samog sebe koristeći e-mail ili druge

transportne mehanizme. Može praviti štetu ili narušavati bezbednost

vašeg kompjutera.

 

U poslednje vreme su vrlo popularni e-mail virusi. Kada kompjuter biva

zaražen virus uzme neki fajl sa diska, vrlo često dokument iz worda, i zatim se

pošalje na npr. 50 adresa koje nađe u Outlook-u, programu za čitanje i slanje

elektronske pošte uz neku prijateljsku poruku npr: "Čim sam vidio ovaj fajl, odmah

sam se setio tebe" ili "Želim da čujem tvoje mišljenje o ovome" i sl. Kada osoba

dobije e-mail, pošto vidi da je od nekog poznatog, jedva dočeka da otvori fajl. I tako

se krug zaraženih širi...

4.1. Trojan Horse (Trojanci)

Ime su dobili prema čuvenom trojanskom konju. U velikom drvenom konju,

koji je po Odisejevoj ideji poslat Trojancima na

11

Page 12: Maturski Rad Anti Virus

poklon, krila se grupa naoružanih Grka koji su pod okriljem noći napustili svoje

skrovište i otvorili vrata Troje omogućivši grčkoj vojci da zauzme grad, i tako

okonča desetogodišnji rat.

Kompjuterski "trojanski konji" na sličan način pod maskom nekog poklon

programa sa zanimljivim nazivom, stižu putem e-maila, news grupa ili popularnih

chat programa do lakovernih i nedovoljno informisanih korisnika mreže,

slatkorječivo ih navodeći da ga pokrenu i instaliraju na računar.

Za razliku od virusa, trojanci su kompleksne klijent-server aplikacije za

pristup udaljenom računaru u mreži. Server je trojanac koji se instalira na računaru

neopreznog korisnika i po uspostavljanju veze sa Internetom, otvara određeni port za

uspostavljanje sesije sa klijent aplikacijom preko koje takozvani haker sa svog

računara stupa u vezu sa trojancem i na taj način dolazi do poverljivih podataka.

Kako će se razorno dejstvo manifestovati, razlikuje se od trojanca do trojanca.

Trojanci mogu poslati korisničko ime i lozinku (koji se nalaze u pwl fajlovima na

računaru) na određene e-mail adrese, iskoristiti Vaš e-mail klijent da sami sebe

pošalju na sve adrese iz Vašeg address book-a, poslati svoju kopiju preko mIRC-a,

preuzeti celokupnu kontrolu nad Vašim računarom itd.

4.2. Fajl virusi:

4.2.1. "OverWriting" virusi

12

Page 13: Maturski Rad Anti Virus

To su najprostiji virusi čija je uloga da

pronađu određene vrste fajlova (exe, com) i da

prepišu deo koda programa. Kada se takav

program pokrene, pokrene se i virus i tako se

zarazi još fajlova. Ovakvi virusi često ne rade

zbog razlike u lokacijama funkcija na raznim mašinama i operativnim sistemima, pa

tako često dolazi "samo" do uništavanja programa. Postoji i takva vrsta koja prepiše

svoj kod u neki program i kada se izvrši vraća sve u normalu.

4.2.2. "Parasitic" virus ili "Cavity" virus

Svoje ime su dobili po načinu inficiranja, oni vrše ujedinjavanje sa nekim

fajlom i izvršavaju se u okviru njega. Mogu se upisati u bilo kojem delu fajla, pa se

zbog toga nazivaju i "Cavity" (šupljina), traže prazne dijelove koda i upisuju svoj

sadržaj. Neki od ovih virusa kompresuju svoj kod tako da ne menjaju veličinu fajla,

cime se teže pronalaze. Primer ovakvog virusa je “Lehigh” ili “CIH” virus.

4.2.3. "Companion" virus

Ovi virusi stvaraju klonove fajlova, tako da kada pokrenete neki fajl ustvari

pokrenete klona tj. virus. Često ovi virusi rade sledeće: Imate neki program.exe,

virus napravi klona program.com i kada vi u konzoli ukucate "program" izvršiće se

program.com (virus) zato što com ima veci prioritet nego exe.

4.2.4. "Link" ili "Cluster" virusi

13

Page 14: Maturski Rad Anti Virus

"Cluster" virusi menjaju direktorijume tako da kada pokrenete neki program

prvo pokrenete virus. Ovi virusi inficiraju fajlove ne menjajući kod već menjajuci

direktorijum informacije, tako da one pokazuju na virus a ne na program. Ovo je

urađeno stavljanjem linkova u fajlove. Najpoznatiji link virusi su virusi iz familije

"DIR-II".

4.2.5. "Sorce code " virusi

Ovi virusi napadaju izvorne kodove programa . Najčešće tako sto dodaju neki

trojanski kod u već postojeći. Postoje mnogo vrsta ovih virusa jer postoje mnogo

vrsta programskih jezika i compajlera.Najpoznatiji virus je "DIE HARD ".

4.2.6. "Tunneling" virusi

Ovakvi virusi pokušavaju da zaobiđu antivirusne programe tako što

pokušavaju da nađu direktne "interrupt-e" prekide BIOS-u nekog programa i tako

prekinu rad antivirusnog programa ili izvrše bilo koji drugi zadatak.

14

Page 15: Maturski Rad Anti Virus

4.2.7. "Camouflage" virusi

Kada antivirusni programi traže viruse, oni traže specifični deo koda u nekom

fajlu, kakav ima virus. Ali može se slučajno desiti da neki program ima isti takav

kod, a nije virus, u tim slučajevima u antivirusnim programima postoji logički deo

koji odlučuje da li je to virus ili ne. I u tome je problem, jer onda programeri

pokušavaju da napišu takve viruse koji će izgledati kao neki običan fajl i pokrenuće

samo lažnu uzbunu kod antivirusnog softvera, dok će sa druge strane biti pravi virus.

Zato bolji antivirusni programi koriste i druge načine za pronalaženje virusa,

koristeći naprednije tehnike od same provere koda.

4.2.8. "Batch File" virusi

Ovo su jednostavni virusi koji koriste DOS komande ispisane u .bat fajlu. Na

primer možemo napisati jednostavni virus tako što ćemo napisati u fajlu autoexec.bat

komandu koja će obrisati sve podatke iz direktorijuma ili formatirati disk ili bilo šta

drugo.

4.2.9. "Sparce" virusi

15

Page 16: Maturski Rad Anti Virus

Ovakva vrsta virusa koristiti mnogo tehnika za svoje skrivanje, na primer

može zaraziti svaki 10. fajl, napadati samo fajlove koji počinju sa određenim slovom,

ili napadati fajlove određenje veličine.

4.3. Boot virusi

Boot virusi kopiraju sebe u boot sectore floppy diska ili MBR (master boot

record) HDD-a. Većinom su pisani u asembleru. Prvi ovakav virus za DOS bio je

BRAIN.

4.3.1. "Parity" boot

Ovaj virus ispisuje grešku "Parity Check" i zamrzava OS. Ova greška stvarno

postoji i javlja se kada dođe do kvara memorije.

4.3.2. "Boot & File" virus ili "Multi Partite" virus

Ovi virusi napadaju i boot sectore i fajlove. Najpoznatiji su: Tequila, Empire,

4096, Michelangelo i dr.

16

Page 17: Maturski Rad Anti Virus

4.3.3. "System Sector" Virusi

System sector (Master Boot Record i DOS boot record) su najčešće mete

virusa. Ovi virusi koriste sve moguće tehnike da bi inficirali i sakrili svoj kod.

Systemski sectori su dostupni svim programima ali su od vitalnog značaja za sistem.

Ovakvi virusi mogu da kriju svoj kod tako što će predstaviti svoj kod kao "Bad

Sector" ili mogu da kopiraju predhodni sadržaj nekog koda i da ga zamene sa svojim,

a kada neko zatraži podatke sa tog mesta on tj. virus šalje kopiju i tako krije svoj kod.

4.4. Macro virusi

Obični fajlovi podataka ne mogu biti virusi ali uz pomoć skript jezika mogu

veoma lako postati, takvi su macro virusi. U običnom word-ovom dokumentu

možemo napisati virus koji će se izvršiti kada pokušamo da otvorimo taj dokument.

Postoje više vrsta skript jezika, a najpoznatiji su: Visual basic skript, Java skript i dr.

4.5. Mrežni (network) virusi

Ovi virusi su sposobni da koriste sve vrste mrežnih protokola da bi izvršili

svoj zadatak, tj. mogu da se kopiraju sa servera na neki udaljeni računar i obrnuto, ili

17

Page 18: Maturski Rad Anti Virus

da se učitavaju po potrebi sa nekog računara na neki udaljeni računar putem mreže.

Nazivaju se "worms" ili u prevodu crvi. Najpoznatiji ovakvi virusi su: Morris virus,

Christmas Tree, Wank Worm i dr.

Karakteristike su sledeće:

- Pronalaženje svih adresa (ip, irc, icq, e-mail...) i kopiranje na te adrese

- Kreiranje što više "temp" fajlova na sistemskom disku

- Zauzimanje što više memorije

4.6. WORMS (crvi)

Za razliku od virusa crvi ne inficiraju druge programe ili dokumenta već

imaju zadatak da se neprestano kopiraju,

znači da kada jedan početni crv bude

aktiviran on pravi kopiju sebe, zatim ta

kopija pravi svoju kopiju i tako redom.

Postoje dva tipa crva:

- "Host computer worms"

18

Page 19: Maturski Rad Anti Virus

Ova vrsta crva ne kopira sebe više puta na jedan računar već samo jednom i

onda se kopira na sledeći računar u mreži i tako redom. Ponekad se ovakvi crvi

nazivaju "rabbits".

- "Network worms"

Ovi crvi se sastoje iz više segmenata, svaki se nalazi na nekom drugom

računaru i izvršava svoj deo zadatka. Oni komuniciraju preko glavnog segmenta koji

im ujedno služi kao kordinator. Nazivaju se i "octopuses".

5. Tehnike sakrivanja virusa

Postoji više tehnika koje virusi koriste da bi se sakrili od antivirusnih

programa ali uglavnom su to sledeće tehnike:

5.1. TSR ("terminate and stay resident")

Radi tako što se virus ne nalazi na nekom fizičkom medijumu dok je uključen

računar već u memoriji računara, a pri gašenju se vraća na neki fizički medijum (hard

disk, floppy...)

19

Page 20: Maturski Rad Anti Virus

5.2. Stealth

Virusi sa ovom osobinom prate sve pozive funkcija ka zaraženim fajlovima i

kada se zatraži neki podatak oni šalju prethodno napravljene kopije.

5.3. Polymorphic

Ovo je princip kriptovanja svake kopije virusa tako da svaka kopija ima

različit kod. Postoji program koji ugrađuje ovu osobinu virusima i naziva se: "Dark

Avenger's Mutation Engine".

5.4. Virus droppers

To su programi koji u sebi nose kod virusa i kada zatreba oni kompajliraju

kod.

5.5. Logic bomb

20

Page 21: Maturski Rad Anti Virus

To je osobina virusa da se izvršavaju pri nekom određenom događaju. Na

primer to može biti neki određeni datum ili vreme, ili čak neka određena instalacija

programa i sl.

6. Historija virusa

1960/1970 - The rabbit (Univax 1108), Pervading Animal(Univax 1108)

1970 - The Creeper(Tenex OS)

1980 - Pojava trojanaca

1981 - Elk Cloner(Apple II)

1986 - Brain(IBM PC), VirDem

1987 - Vienna, Yale, Stoned, PingPong, Christmas Tree(VM/CMS)

1988 - Jerusalem, Morris

1989 - Daracrime, Yankee(IBM PC), Trojanski konj AIDS

1990 - Chameleon, DiskKiller

1991 - Dir-II

1992 - Michelangelo

1994 - GoodTimes, Shifter, SCRVir, OneHalf

1995 - Form(Windows 95), Concept(Windows 95)

1996 - Win95.Boza(Windows 95), Win.Tentacle(Windows 3.x),

OS2.AEP, Laroux, Win95.Punch

1997 - Linux.Bliss(Linux), ShareFun, crv Homer

21

Page 22: Maturski Rad Anti Virus

1998 - Win95.HPS(Windows), Win95.Marburg(Windows), AccessiV,

RedTeam, Win95.CIH(Windows), Java.StrangeBrew, VBScript.Rabbit,

HTML-Internal, Trojanci: BackOrifice, NetBus, Phase, Sub7...

Kasnije su se pojavljivale uglavnom samo mutacije svih ovih virusa.

7. Zaštita

Pored svih ovih virusa postavlja se pitanje kako se zaštiti, ali to i nije tako

teko. Evo nekoliko savjeta:

22

Page 23: Maturski Rad Anti Virus

- Koristite neki antivirusni program: Norton Antivirus, McAfee, PC clean,

Panda, Kasperski itd.

- Kada surfujete po internetu obavezno koristite "Firewall"

- Nikada ne kliktati na fajl prikačen za mail ako je pošiljalac nepoznat

- Sve prozore koji se otvaraju sami (popup windows) zatvarati jer su to

najčešće reklame sa prikačenim linkovima prema virusima, one koji se otvore tako

da im se ne vidi “x” za zatvaranje, zatvoriti sa Alt+F4 ili ih minimizirajte sa

ALT+SPACE

- Ako se sam pokrene download nekog nepoznatog fajla pri ulasku na neku

stranu ili u bilo kojoj drugoj situaciji odmah ga prekinuti

- Svaki fajl koji se skine sa Interneta osim sa velikih i zvaničnih sajtova

obavezno proveriti nekim od antivirus programa

- Redovno skidati nove definicije za antiviruse

- Ako na nekom sajtu ostavite e-mail adresu velika je verovatnoća da će te se

naći na meti virusa

- Ako želite da na vreme saznate da li ste zaraženi nekim virusom ili crvom

koji šalje e-mail preko programa Outlook uradite sledeće: U Address Booku ubacite

New Contact sa imenom !0000 bez email adrese. On će se pozicionirati na sam vrh

liste pa kada virus bude pokusao da se pošalje dobićete poruku:

"This message could not be sent. Please check your Address Book and make

sure all of the recipients have valid e-mail addresses."

Na ovaj način ćete saznati da vam je računar zaražen, a i poštedećete svoje

prijatelje.

23

Page 24: Maturski Rad Anti Virus

7.1. Antivirus programi

Ako su prethodni savjeti bili suviše komplikovni onda j najbolja zaštita - ne

paliti kompjuter. Pošto je to u većini slučajeva nemoguće, ostaje nam instalacija

nekog od antivirus programa.

Način rada antivirus programa je prost. Sprječavaju zarazu tako što skeniraju

fajlove koje pokrenete u potrazi za kodom (programom unutar programa) i ako nađu

kod koji odaje prisustvo virusa oni zabrane pokretanje zaraženog programa. Fajlove

koji su već zaraženi čiste tako što jednostavno unutar zaraženog fajla brišu kod za

koji su sigurni da je virus. Pri čišćenju od virusa naglasak se daje da ne dođe do

oštećenja vaših podataka, mada je to u nekim slučajevima nemoguće.

Najbitnije je da redovno dopunjavate svoj antivirus program novim

definicijama virusa, pošto antivirus sa starim definicijama ne može prepoznati nove

viruse, te je stoga beskoristan. Danas, većina antivirus programa omogućava vrlo

brzo i jednostavno dopunjavanje svojih definicija preko Interneta.

24

Page 25: Maturski Rad Anti Virus

Ovde dolazimo do pitanja kako su antivirusi sigurni da su pronašli virus, da li

su 100% sigurni (tj. da li je moguće da im neki virusi promaknu) i da li je moguće

napraviti univerzalni antivirus.

Antivirusi imaju bazu kodova virusa koje su proizvođaći antivirusa uspeli da

nabave. Antivirusi jednostavno traže kodove koje imaju u svojoj bazi, tako da ako ste

zaraženi nekim novim virusom, antivirusi neće otkriti ništa ili će ga otkriti kao

"mogući virus" koji naravno neće uspeti da očiste.

Zaključak je da ni jedan antivirus nije savršen i da vam u nekih 20% slučajeva

antivirusi neće pomoći.

7.2. Kako se koriste antivirus programi?

Antivirusi pronalaze viruse tako što u odabranim fajlovima traže kod koji

odaje prisustvo virusa, a čiste ih tako što jednostavno brišu kod za koji su sigurni da

je virus.

Problemi koji mogu da se jave pri takvom načinu traženja i čišćenja virusa su

neprepoznavanje virusa i nemogućnost uklanjanja nekih virusa.

Problem neprepoznavanja virusa se javlja zato što antivirusi prepoznaju samo

one viruse koje imaju u svojoj bazi, tako da ako je zaraženi kompjuter inficiran

nekim novim virusom antivirusi ga neće otkriti.

Problem nemogućosti čišćenja virusa je povezan sa problemom otkrivanja

virusa. Naime, antivirusi su u mogućnosti da otkrivaju neke nove viruse koji su slični

sa nekim virusom koga antivirusi imaju u svojoj bazi. Obično imaju neki klasićan

25

Page 26: Maturski Rad Anti Virus

kod tako da ga antivirusi otkrivaju kao "novi virus" ili "mogući virus". Zbog toga

nisu u mogućnosti da ga očiste jer zapravo ne razlikuju ostatak koda od pravog

programa u koga se ugnezdio virus.

Upravo je tu kluč "dobrog antiviusa" jer se neki antivirusi (kao Norton AV)

ne oslanjaju mnogo na tehniku prepoznavanja novih virusa već samo detektuju viruse

koji su im poznati, dok drugi antivirusi (kao AVP) koriste tu tehniku ali u umerenim

količinama.

Tehnika otkrivanja novih virusa može da dovede do lažnih uzbuna (mada se

to kod AVP-a nikad nije desilo) i to je verovatno razlog zašto Norton AV izbegava

ovu tehniku. Sa druge strane, ova tehnika može puno puta "spasiti glavu". Naime,

AVP koji koristi ovu tehniku je otkrio mnogo novih virusa što mu daje ogroman

plus, dok Norton AV nije otkrio bukvalno ništa od novih virusa.

7.3. AVP

Instaliranje protiče kao i kod običnih programa, tj. samo se pokrene

SETUP.EXE, izabere se instalacioni direktorijum i bez ikakvih specijalnih i suvišnih

pitanja se instalira.

Kada se AVP instalira podesiće da se AVP Monitor (koji ima ulogu u

sprečavanju infekcije) učita svaki put kada se startuje Windows. Naravno, vrlo lako

automatski skenirati svaki direktorijum koji otvotite i svaki program pre nego što ga

startujete.

Pored AVP Monitora, postoji i AVP Scaner koji predstavlja glavni program

ovog antivirusa. U njemu mogu da se skeniraju i čiste odabrani diskovi, direktorijumi

26

Page 27: Maturski Rad Anti Virus

ili fajlovi. Kada startujete AVP Scaner, u opciji "Drive selection" koje vam se

automatski otvori, imate mogučnost da izberete šta ćete skenirati. Dakle, možete

izabrati diskove, disketu ili direktorijum. U opciji "Detection" možete izabrati koje

tipove fajlova želite da skenirate a u opciji "Response" možete podesiti kako će AVP

reagovati ako nađe virus i tu treba izabrati "Prompt user for action". Pod opcijom

"Options" možete podesiti sitne opcije i to bi uglavnom bilo sve što se tiče

podešavanja. Sada treba kliknuti na "Search Now" i potraga za virusima će početi.

Ukoliko AVP pronađe viruse postupiće sa njima onako kako ste definisali u

opciji "Response". Ako ste izabrali "Prompt user for action" AVP će vas pitati šta da

radi sa virusom. Pokušajte da ga dezinfikujete a ako to ne uspe, pri sledećem

skeniranju izaberite brisanje. Zaražene programe koji su u toku skeniranja aktivni

neće uspeti da dezinfikuje već će na kraju skeniranja resetovati kompjuter i iz DOS-a

će ih očistiti. Kompjuter bi trebalo skenirati sve dok ne dobijete poruku da je sve u

redu.

7.4. Norton Antivirus

Kod Norton Antivirusa proces čišćenja virusa je isti kao kod AVP-a, a i

ostalih antivirusa. Jedina razlika je što se sve opcije podešavaju klikom na crno

27

Page 28: Maturski Rad Anti Virus

dugmence "Options". Opisatćemo, dakle, samo ono po čemu se Norton Antivirus

razlikuje od ostalih.

Kao prvo, Norton ima mogućnost da spreči bilo kakvo menjanje boota (startni

dio diska) što mu daje veliki plus jer je rešio problem boot virusa. Sada slobodno,

bez bojaznosti od boot virusa, možete pristupiti sumnjivim disketama.

Druga bitna razlika je Norton Antivirus Quarantine. O čemu se radi? Ako

Norton Antivirus pronađe neki sunjivi fajl, ili ako je vama nešto sumnjivo, odabrane

fajlove možete smestiti u Quarantine a potom poslati Nortonovom Antivirusnom

Centru na detaljnu analizu. Ukoliko fajl koji ste poslali stvarno sadrži virus, ljudi koji

rade u NAV Centru će vam putem e-maila poslati "update" koji će vašem NAV-u

pomoći da očisti virus.

7.5. Avast

Je antivirusni računarski program, koga objavljuje kompanija AVAST

Software a.s. (prije poznatija kao ALWIL Software a.s.), koja ima sjedište u Pragu,

Češkoj. Prvi put je objavljen 1988. godine. Avast! je baziran na komponenti za

skeniranje koja je ovjerena od strane kompanija ICSA Labs i West Coast Lab's

Checkmark, te ima ugrađenu anti-spyware tehnologiju, anti-rootkit i mogućnost

samo zaštite. Primio je nekoliko Virus Bulletin VB100 nagrada poput onih za

otkrivenih 100% "podivljalih" virusa, a u prošlosti je bila dobitnih nagrade Secure

Computing Readers' Trust Award. Ime Avast je proisteklo od imena "Anti-Virus -

napredni set alatki" (engl. Anti-Virus -- Advanced Set). Inače se označava samo sa

malim slovima i sa uzvičnikom na kraju (avast!).

Avast! Free Antivirus je besplatna verzija Avast! antivirusnog programa

dostupna za korisnike operativnih sistema Microsoft Windows i Linux-a, dok je ona

poslovna verzija (Avast! Pro Antivirus) namjenjena poduzećima ili većim

kompanijama i nudi napredne funkcije. Prioritetna ažuriranja se dostavljaju

automatskim putem "push" tehnologije u Avast! Pro Antivirus-u. Avast! Pro

28

Page 29: Maturski Rad Anti Virus

Antivirus takođe ima interfejs za komandnu liniju i bloker raznih skripta; iako, je od

verzije 6, bloker dostupan svim korisnicima besplatne verzije. Avast! Antivirus je

široko korišteni antivirusni program, sa 130 miliona korisnika širom svijeta (govore

podaci od septembra 2010. godine)

7.5.1. Funkcije

Avast! ima ovjerenu komponentu za skeniranje

Stalnu zaštitu, Avast dijeli u "štitove" koji se mogu podesiti ili isključiti:

Štit sistema podataka --- Pruži stalnu zaštitu od virusa i ostale zloćudne prijetnje

sistemu. Skenira datoteke čim su pokrenute da bi ih spriječio od izvšenja ozbiljnijih

radnji.

Štit e-pošte — Skenira poruke i njihove priloge u e-porukama (u programima

Microsoft Outlook ili Exchange).

Web štit --- HTTP zaštita (kroz lokalni providni proxy). Od verzije 4.8 takođe je

dostupno blokiranje određenih adresa. Skenira internetske adrese i nadolazeće

podatke te prekida vezu, ako je pronađena bilo kakva prijetnja računaru.

P2P štit — Skenira P2P datoteke od programa koji se bave tim prijenosom (npr.

uTorrent).

Štit trenutnih poruka (IM) --- Zaštita od nadolazećih podataka preko programa sa

trenutnim porukama (engl. Instant Messaging).

Štit za skripte --- Skenira web stranice za zloćudne skripte te ih onesposobljava time

spriječavajući inficiranje vašeg računara, iako se i dalje mogu koristiti (kao npr.

dugme na web strani)

Mrežni štit --- Osnovna zaštita od poznatijih mrežnih crva. Ponaša se u svrhu sistema

za otkrivanje upada u sistem.

Štit za ponašanje --- Obavještava o neobičnom ponašanju određenih programa.

Mogućnosti zaštite od spayware programa.

29

Page 30: Maturski Rad Anti Virus

Mogućnosti zaštite od rootkit programa.

Samo-zaštita --- Onemogućuje da zloćudni programi prekinu Avast! procese ili

oštete Avast! datoteke.

Automatska ažuriranja --- Ažuriranja i programa i virusnih definicija da bi se

indentificirale prijetnje --- Avast! ažuriranja se događaju redovito i dnevno (ponekad

nekoliko puta dnevno) te je ovaj proces automatski.

Zvučna upozorenja --- Glasovna upozorenja i obavještenja za engleskom jeziku

poput "Pažnja! Virus je pronađen!" i "Anti-virusne definicije su upravo ažurirane."

Skeniranje pri paljenju --- Korisnici mogu da zakažu skeniranje prije nego što se

Windows do kraja upali (tokom paljenja).

Virusna škrinja --- Drugo ime za karantenu; folder u kome su virusi spremljeni te ne

mogu naštetiti sistemu.

SafeZone --- SafeZone je posebni internetski pretraživač dostupan korisnicima

Avast! Pro sigurnosnog paketa, čime bi korisnici surfali sigurno i zaštićeno od drugih

djelova sistema.

WebRep --- Reputacijona alatka od strane zajednice prvi put ugrađena u verziji

6.0.

30

Page 31: Maturski Rad Anti Virus

9. Literatura

1. www.astalavista.org

2. www.antivirus.com

3. www.google.com

4. www.kaspersky.com

5. www.symantec.com

6. www.zastita.co.yu

31