Embed Size (px)
Citation preview
SADRZAJ:
1. UVOD ………………………………………………………… 12. STA JE TO VIRUS ? ……………………………………………. 23. ISTORIJA VIRUSA ……………………………………………… 34. PUTEVI ZARAZE VIRUSIMA …………………………………. 45. POSLEDICE NAPADA VIRUSA …………………………………. 56. VRSTE VIRUSA PREMA AKTIVNOSTI U MEMORIJI …………67. VRSTE VIRUSA PREMA NACINU SKRIVANJA ………………..78. VRSTE VIRUSA PREMA NACINU DELOVANJA ………………99. WORM – CRV …………………………………………………….1210. MAKRO VIRUS ……………………………………………………1311. METODE ZA OTKRIVANJE I UKLANJANJE VIRUSA ………..1412. ANTIVIRUSNI PROGRAMI ……………………………………….1613. ZAKLJUCAK ……………………………………………………..18
1. UVOD
Kompjuterski virusi iako postoje vec godinama stvaraju ipak velike probleme.Jos 1989 godine IBM –ove kompjutere je napalo samo cetrnaest virusa,a u maju 1995 taj broj se popeo na preko 6000 virusa.Danas se pretpostavlja da se svaki dan pojavi oko 400 novih virusa ,ali na srecusamo par postotaka novih virusa su zaista opasni.Uglavnom su mnogi ljudi misljenja da nece bas oni imati takvih problema sa virusimaali grese ,virusi su rasprostranjeni i u svakom momentu mozete osetiti napad virusa i njegove posledice po vas kompjuter ako nemate adekvatnu zastitu podataka.U ovom seminarskom radu pokusat cu da objasnim neke stvari o virusima,sta su to virusi njihova podela ,kako se manifestuju i nacine zastite od ovih zlobnika i nasrtljivaca.
1 2. STA JE TO VIRUS ?
Zlonamerno napisani kompjuterski program ili delovi programskog koda nazivaju se virusima.Kompjuterski virusi su mali programi koji imaju za cilj nanosenje stete tj.zloupotrebu.Nazvani su tako jer imaju sposobnost razmnozavanja tj. sami sebe iskopiraju na vise mesta na disku ili disketi.Prvi virusi su bili programi koji su ispisivali zanimljive propagandne ili duhoviteporuke na monitoru.Nisu bili destruktivni tako da nije bilo potrebe razvijati nekuposebnu zastitu,ali su se stvari brzo promenile.Kasnih 80-tih,kompjuterski virusibili su delovi koda prikaceni za program kao sto subile igre ili tekst procesori.Bili su dizajnirani tako da se izvrsavaju kada se pokrene neki od tih programa.Upisivali su se u memoriju i trazili pogodno tlo za sirenje .
Prema svom delovanju virusi mogu biti destruktivni tj. da izazovu razlicite oblike ostecenja podataka na disku ili disketi ili bezopasni samo da pokazu svoju prisutnostna kompjuteru.Jedna od osnovnih znacajki kompjuterskih virusa jeste mogucnost sirenja zarazeizmedju kompjutera.Za to se najcesce koriste razliciti mediji poput disketa,cd-a i slicno.Virus je deo programskog koda koji je sposoban izvrsiti samokopiranje i tako inficiratiprograme i delove operativnog sistema ubacivanjem svog sadrzaja.Oni se ponasajukao bioloski virusi i odatle i naziv za ova vestacki napravljena stvorenja.
Virus se obicno sastoji od dva dela.Prvi je samokopirajuci kod koji omogucavarazmnozavanje odnosno kopiranje virusa,dok je drugi deo takozvani korisni teretplayload koji moze biti opasan ili bezopasan.Neki se virusi sastoje iskljucivo od samokopirajuceg koda i nemaju nikakav koristan teret.Iako virus u promet najcesce pusta sam autor,kontrola nad razmnozavanjemoslobodjenog virusa vise nije u rukama autora .
2 3. ISTORIJA VIRUSA
Sezdesetih i sedamdesetih godina kada su veliki mainframe kompjuteri vladali svetom,postojao je fenomen zvan zec (rabbit).Zec je najcesce nastajao greskom kada je pomahnitali kompjuterski program poceo sam sebe kopirati po sistemu ,izazivajuciusporenje ili pad sistema.No nisu svi “zecevi” nastajali slucajno,Prevading Animalili prozimajuca zver bio je program sposoban da se nadodaje na druge kompjuterske programe na Univac 1108 kompjuterskom sistemu, a napadnuti programi su boli oznaceni posebnom signaturom u svrhu samoprepoznavanja.
Prevading Animal je bio pravi predak danasnjih virusa.Prvi potvrdjeni nalaz kompjuterskog virusa daleke 1981 godine bio je Elk Cloner virus koji je inficiraoboot sektor disketa za legendarni Apple ll kompjuter.Kada je jednom postao aktivan u memoriji,virus je bio sposoban inficirati druge diskette.Takodjer znao je izvoditi razne trikove sa ekranskim prikazom te ispisivati saljive poruke opisujuci se kao program sa dusom koji ce uvek biti uz vas.
U novembru 1983 godine dr Frederick Cohen je demonstrirao samokopirajuci kodserijom eksperimenata na Vax i Unix kompjuterima na Lehigh University, Pennsylvania,USA.Prica se da je tada Len Adleman Cohenov kolega prvi put u istoriji upotrebio rec virus opisujuci samokopirajuci kod.Prelomna godina je 1986. kada je sa mnogih strana poceo da stize izvestaj o kompjuterskom virusu Brain.Ovaj virus je bio sposoban inficirati boot sektore360k disketa IBM PC kompatibilnih kompjutera i brzo je osvojio svet.Unutar virusa se nalazila poruka(ASCll tekst) koja je upucivala na autore Basita i Amjada Farooq Alvi iz Lahora,Pakistan.Unutar poruke bila je njihova i njihova adresate broj telefona.Braca su vodila softversku kucu u Lahoru i bili su iziritirani rastucim piratskim softverom u Pakistanu,kao odgovor smislili su Brain,nespretan nacin da otkrijurazmere te necasne radnje.
Iako primitivan Brain je primenjivao i samosakrivanje (stealth) kada je bio aktivan u memoriji preusmeravao je zahteve za citanjem inficiranog boot sektora na pohranjeninezarazeni orginal.U maju 1988. godine probudio se virus Jerusalem,taj je virus jednostavno obrisao svaki program koji je toga dana izvrsen na zarazenom kompjuteru,iako je cinio stetu ona nije bila nepopravljiva.Prvi pravi destruktivac pojavio se 1989. virus Datacrime i bio je sposoban izvrsiti low-levelel format staze 0 na hard disku. Zavladala je panika u Sad-u i Holandiji gde je virus i otkriven.Iste godine aktivirana je i prava fabrika virusa u Bugarskoj.Izvesna osoba ili grupa autora koja sebe naziva Dark Avanger(crni osvetnik) do danas je napisala najmanje
3pedesetak virusa racunajuci brojne varijante.New Zeland,popularni Stoned udario je 1990a dve godine kasnije Michelangello je polozio jos jedan kamen temeljac na tom crno poplocenom putu.Jeka tada izazvanog publiciteta i panike odzvanja dan danas.
4. PUTEVI ZARAZE VIRUSIMA
Floppy diskovi (diskette) i CD-i su najcesce mediji kojima se prenose virusi.Buduci da su oni standardno sredstvo razmene programa i informacija,njima se odvija i najveci deo komunikacija izmedju korisnika i kompjutera.Diskete su pogodne za prenosenje svih vrsta virusa,diketa ne mora biti sistemskada bi prenela boot sektor virusi zarazila kompjuter.Korisnici najcesce zaboravljaju na boot sektor kao izvor infekcijeako diskette koriste iskljucivo za prenos informacija(baza podataka,tekstova isl.)Danas se diskette ne koriste u tolikoj meri ka pre desetak godina , a i razvojem mrezezaraze se menjaju i sve je vise zaraza putem mreze tj. interneta.
Neretko se virus nalazi na piratskom softveru,shareware,public domain a i dugi nisuiznimke.Neovlasceno kopirani i piratski softveri jedna su od glavnih izvora virusnihinfekcija.Zbog prolaska kroz mnogo ruku piratski softverje vise nego idealan da se na njega prikaci i neki virus.Prelaskom sa diskete na CD uveliko se smanjio rizik od virusa ali se pojavljuju stalno novi nacini. Microsoft je u dva navrata zarazio svoje korisnike koji su radili update svojihaplikacija.Do danas je poznato vise slucajeva distribucija virusa putem disketa i cd iz komjuterskihcasopisa.Izmenjivi hard diskovi,iako se redje koriste,takodjer predstavljaju pogodan medij za prenosenje virusa,za njih vredi isto sto i za diskette.Magnetske kasete (cartridge) kao popularan medij za arhiviranje back-up podatakaiako nemoze da sluzi za prenosenje boot sektor virusa,mogu da prenose parazitskei viseslojne viruse.CD –i su isto pogodan medij za prenosenje virusa ,mada kada se jednom snimi nesto na cd oni su zasticeni od bilo kakog virusa ako nisu snimljeni inficirani podaci.Preko njih se ne prenose boot sektor virusi jer po pravilu ne sluze za start sistema.
Mrezni adapteri,modemi (isdn,dls)usli su u svakodnevnu upotrebu.Preko internetamogu biti preneseni parazitski i visestrani virusi,mada se sve vise koriste programi bacaci koji sluze za prenosenje boot sektor virusa.Bulletin Boards System(BBS) je sve popularniji oblik elektronske komunikacijekoji dozvoljava razmenu informacija,programa i ideja ,pa je mogucnost zarazevrlo visoka.Slicno je is a news grupama i slicnim mestima gde se ostavljaju datoteke na slobodan download.zaraza je toliko rasirena da prosto vreba iz svih mogucih pravaca.
4 5. POSLEDICE NAPADA VIRUSA
Sta ce virus zapravo uciniti kompjuteru ovisi o programskom kodu tj.sadrzaju virusa.To moze biti obicna reklama(virus Amstrad),pesmica ,ljubavna ili politicka poruka(virusi Maltese Amoeba,Void Poem,Flash-Gyorgy,Milana),iskrivljivanje prikaza naekranu(virusi 757,1575,Ambulance,Caterpillar),unistavanje zarazenih EXE i COMprograma,ali i destruktivno delovanje kao sto je brisanje tablice smestaja datoteka(File Allocation Table)ili formatiranja nekih delova hard diska ili celog diska(virusi Casper,Datacrime,Michelangello) na visokoj ili niskoj razini(low level formatting)Svaki program inficiran virusom vec je u odredjenoj meri ostecen i potrebno ga je dovesti u ispravno stanje. To se desava uvek bez obzira da li virus ima “korisni”teret ili ne i bez obzira koja mu je namena.Danasnji trend izrade virusa je takav da pri infekciji jednostavno prepisu deo koda napadnutog programa i na taj nacin nepopravljivo ostete napadnuti objekat.Link virusi na primer mogu da naprave pravi haos na disku jer dovode do tzv. (crosslinked files) unakrsno povezanih datoteka.Program zarazen virusom moze gresiti u radu,virus koji se instalira u memoriju moze izazvati greske u radu drugih drugih programakoji se instaliraju u memoriji,ili im moze oduzeti memoriju potrebnu za rad.
Najgori moguci oblik stete je korupcija podataka,neprekidno i progresivno propadanjeintegriteta ili tacnosti podataka.Korupcija podataka moze biti izazvana namerno ili se javiti slucajno.Ostecene mogu bitibaze podataka,arhive sa programima i podacima ,tekstualne datoteke i sl.Slucajan oblik korupcije je kada virus greskom inficira tekstualnu datoteku.Datotekace biti ostecena , a virus u toj datoteci nece moci da se razmnozava.Nameran oblik korupcije je kada virus pregleda disk u potrazi za bazom podatakate u nadjenoj bazi podataka nasumice izmeni neki podatak.
Ako korupcija traje duze vreme doc ice do nepopravljivih posledica. Arhiviranje podataka nije dovoljna zastita od korupcije podataka ,jer ako korupcija ne bude otkrivenatokom jednog punog ciklusa arhiviranja ,podaci ce biti nepopravljivo osteceni,buducida ce sve arhivske kopije sadrzavati ostecene podatke.
5 6. VRSTE VIRUSA PREMA AKTIVNOSTI U MEMORIJI
Virusi se mogu podeliti na one koji posle inficiranja racunara ostaju u radnoj memoriji, i na one koji se ne smestaju u memoriju nego se aktiviraju samo po pokretanju zarazenog programa.
Virusi koji nisu rezidentni(aktivni) u memoriji :
Osnovna vrsta su virusi koji,kada njihov rad bude izvrsen i posto vrate kontrolu orginalnom programu,ne ostaje aktivan u memoriji. Ova vrsta operira tako da tokom svog izvrsenja pronadje objekat pogodan za infekcijui zarazi ga. Teoretski su ovi virusi manje infektivni od rezidentnih,alikada se neki zarazeni program koristi dosta cesto virus ce biti izuzetno ucinkovit. Kako ovi virusi ne menjaju kolicinu slobodne radne memorijemoguce ih je primetiti samo po promeni duzine programa na disku.Danas ova vrsta virusa izlazi iz mode buduci da se ne mogu koristi tehnikamasamosakrivanja koje zahtevaju da virus ostane aktivan.
Virusi rezidentni(aktivni) u memoriji :
Kao sto samo ime kaze ,ova se vrsta instalira u radnoj memoriji kompjutera i ostaje aktivna dugo nakon sto zarazeni program bude izvrsen. Virus aktivan u memoriji moze biti sposoban zaraziti svaki izvrseni program,svaku disketu koja bude pokrenuta (pod uslovom da nije zasticena od pisanja), on moze posmatrati aktivnost sistema i u svakom trenutku izvrsiti svoj korisni teret.Ovi su virusi iznimno infektivni . Oni su sposobni da koriste sve moguce virusne tehnike .Tako na primer virus moze inficirati programe na nacin koji je tipican za viruse koji nisu rezidentni u memoriji , ali nakon izvrsenja virusnog koda ostavlja u memoriji mali rezidentni program sa korisnim teretom koji sam po sebi nije sposoban inficirati druge programe.
6 7. VRSTE VIRUSA PREMA NACINU SKRIVANJA
Uspesnost virusa se meri duzinom vremena u kojem virus osaje neprimeceno aktivaninficirajuci pri tome druge programe.Sto je vreme inkubacije duze to su mogucnosti za opstanak virusa i eventualno izvrsenje korisnog tereta vece.Postoje tri vrste virusa prema nacinu na koji se skrivaju od otkrivanja:
Enkripcija(sifrirani virus-Encrypted Virus) Encryption, kodirana poruka koja se sastoji od teksta ili podataka koji pri prenosu ne mogu da budu procitani od strane ostalih korisnika u mrezi ,koji nemaju pravo da tu poruku procitaju.Sadrzaj poruke se moze otvoriti na prijemnoj stanici jer se na njoj nalazi isti algoritam kao i na stanici koja salje poruku. Enkripcija ili sifriranje je postupak kojim se orginalna informacija menja u cilju prikrivanja njenog pravog sadrzaja. U osnovi sifriranja postoji i obrnuti postupak desifriranja kojim se ponovo dobijaju orginalne informacije. Prvi razlog upotrebe sifrovanja je pokusaj otezavanja pronalazenja virusa. Ako virus menja svoj sadrzaj i u svakom inficiranom programu izgleda drugacije teze je njegovo otkrivanje ili pravljenje algoritma za njegovo pronalazenje. Naime ,nije u potpunosti moguce izvesti sifrovanje celog virusnog koda,buduci da onaj deo koda koji vrsi dekripciju mora ostati neenkriptovan. Upotreba enkripcije mozda moze otezati analizu virusa , ali ne mora nuzno i otezati njegovo pronalazenje.
Polimorfizam(polimorfni virusi-Polymorphic Virus)
Polimorfni virusi su samomodifirajuci i samosifrirajuci virusi,oni su sposobni da menjaju i sifruju sami sebe(mutation engine). Mutation engine program koji postojecem virusu daje mogucnost samomodificiranja i sifrovanja. Sam program nije virus , tim se programom svaki virus moze lako i jednostavno pretvoriti u polimorfni virus. Polimorfiazam ili viseoblicje predstavlja preoblikovanje izvrsnog koda, na takav nacin da se ocuva funkcija ,ali istovremeno bitno promeni njegov izgled. Polimorfizam je najcesce dopuna tehnike enkripcije.Nakon sto je glavnina tela virusa vec sifrovana,nastoji se premetanjem redosleda instrukcija ili koristenjem drugih instrukcija prilikom svake naredne infekcije izmeniti i deo virusa koji obavlja dekripciju.
7 Ovim se nastoji doskociti nemogucnosti sifrovanja i tog dela koda. Prvi pravi polimorfni virus napisao je samozvani “istrazivac” Mark Wasburn. Njegov eksperimentalni virus 1260 uskoro su pratile i druge kreacije. Ovi virusi su prvi pravi izazov za antivirusne kompanije ,ali nazalost id an danas neki od tih virusa prave probleme pojedinim antivirusnim kompanijama. Najveci napredak u razvoju polimorfnih virusa napravio je Dark Avenger svojim polimorfnim dodatkom za viruse Mutation engine(DAME). Enkripcija kombinovana sa polimorfizmom predstavlja danas jedan od najopasnijih trendova u razvoju virusa.
Stealt(skriveni virusi-Stealt Virus)
Stealt ili skriveni ,neprimetni virus, virus koji cini neprimetnom promenu velicine zarazene datoteke,ali i ostale moguce promene. Stealt ili nevidljivost ,samosakrivanje je jos jedna kompleksna tehnika koju koriste vesti pisci virusa. Temelj tehnike samosakrivanja je pokusaj prevare korisnika sistema ili antivirusnog programa na takav nacin da ga uveri da se sa sistemom ne desava nista neobicno. Tehnike samosakrivanja koriste nacin komunikacije izmedju softvera i hardvera na kompjuterima. U osnovi ova se komunikacija odvija preko interrupta.Kada procesor dobije zahtev za citanjem sa diska on ce izvrsiti deo koda na koji je usmeren odgovarajuci interrupt. Ako virus izmeni interrupt vektor i izvodjenje pojedinih funkcija preusmeri prvo na sebe , moze lako pratiti sva desavanja na sistemu i nijme bez problema vladati. Buduci da se dobro obrazovani korisnici mogu pomocu posebnih programa primetiti promene u interrupt vektorima ,neki virusi ne menjaju same vektore nego delove programa koji se preko vektora pozivaju.Stariji modeli kompjutera ne primenjuju nikakvu zastitu radne memorije ,ali dolaskom windowsa 2000 i svih sledecih generacija memorija se bitno bolje cuva. Autori virusa promasli su i tu neke propuste s kojima imaju mogucnost sarnja po memoriji. Napredne tehnike samosakrivanja ukljucuju motrenje funkcija interrupta kao sto su 21h (DOS Services) i 13h (Low-level Disc Services) koji su nadlezni za DOS i BIOS operacije sa disk jedinicama , tzv. tunneling(prekopavanje,raskopavanje) koji se primenjuju za trazenje lokacija programa koji se pozivaju preko interrupta u svrhu presretanja ,upotrebe “hardverskog” samosakrivanja nestandardnih i standardnih interrupta koji direktno komuniciraju sa delovima hardvera.
8 8. VRSTE VIRUSA PREMA NACINU DELOVANJA
U ovoj podeli razlikujemo sledece vrste virusa:
virusi pocetnog sektora ( Boot Sector Virus) virusi paraziti,nametnici (Parasite Virus) visedelne viruse ( Multi-partite Virus) viruse pratioce ( Companion Virus) vezujuce viruse (Link Virus)
Virusi pocetnog sektora (Boot sector Virus)
Sektor na kojem se nalaze podaci za podizanje sistema zove se boot sector.Virus koji napada i menja sadrzaj pocetnog sektora deluje tako da orginalni sadrzajpremesta na neki drugi deo diska , ali postoje virusi koji uopste ne premestaju tajsadrzaj vec ga jednostavno prepisuju.Tako se pri podizanju sistema najprije izvodi verzija koju je u boot sektor smestio virus ,a ona najcesce ucitava u radnu memorijuostatak virusnog koda. Tek posletoga se izvodi orginalna verzija boot sektora , a virus se za to veme vec smestio
u radnu memoriju gde ostaje sve dok se kompjuter ne iskljuci.Boot sector virusi napadaju Master boot sektor (partition table),DOS boot sectorili boot sector floppy disketu,odnosno program koji se nalazi u njima.Boot sector je idealan za infekciju ,buduci da sadrzi prvi program koji se izvrsava na kompjuterskom sistemu a ciji se sadrzaj moze menjati.Kada kompjuter jednom bude ukljucen ,program u ROM-u(BIOS) ce bez pitanjaucitati sadrzaj Master boot sektora u memoriju i izvrsiti ga. Ako se u Master boot sektoru nalazi virus ,on ce postati aktivan. Virus dospeva do boot sektora preko diskete ,ona ne mora da bude sistemska da bi virusu omogucila da zarazi Master boot sektor na hard disku. Infekcija se dogadja kada zarazena disketa biva nepaznjom ostavljena u floppy disc jedinici ,a kompjuter bude pokrenut ili restartovan.Boot sektor virusi se mogu siriti i pomocu posebnih programa ,trojanskih konjanazvanih dropper(bacac) kojima je glavna namena da neprimetno ubace virus u boot sektor.Ovakvi programi za razliku od boot sektor virusa osim disketama mogu se prenositi i putem BBS-ova i drugih slicnih oblika elektronske komunikacije,a antivirusni programi ih najcesce ne otkrivaju. Boot sektor virusi su iznimno uspesni u razmnozavanju.Jedni od poznatijih boot sektor virusa su: Form,New Zealand,Michelangelo,ItalianJoshi itd.
9 Virusi paraziti,nametnici(Parasite Virus)
Najcesca vrsta virusa su upravo parazitski virusi .Ovi virusi su sposobni zaraziti izvrsne datoteke na kompjuterskom sistemu,dodavanjem svog sadrzaja na kraj, umetanjem prije pocetka ili ugradjivanjem svog sadrzaja u samu strukturu programa menjajuci tok inficiranog programa,tako da se virusni kod izvrsi prvi. Oni su sposobni zaraziti COM,EXE,SYS,OVL i druge datoteke,neki od parazitskih virusa su sposobni zaraziti i vise vrsta izvrsnih datoteka. Za aktiviranje virusa potrebno je pokrenuti zarazenu datoteku.U vecini slucajeva datoteka ne gubi svoju funkcionalnost ,ali se prije pocetka njenog izvodjenja izvode instrukcije koje pripadaju virusu. Pokrenuti virus nastoji osigurati svoje daljnje sirenje zaraze jos nezarazenih datoteka, a u odredjeno vreme koje je autor virusa odredio(odredjeni dan u mesecu) aktivira se destruktivni kod virusa koji moze prouzrokovati unistavanje podataka na disku. Nekoliko najpoznatijih parazitskih virusa su: Cascade,Bobo-530,Jerusalem, Vbasic,Yankee,itd.
Visedelni virusi (Multi-partite Virus)
Multi-partite virus ili virus iz vise delova,jednim delom napada pocetni sektor (boot sector),a drugim EXE. i COM. programe. Ne sastoji se on fizicki od vise delova vec se njegova visedelnost odnosi na razlicitost nacina delovanja,parazitski kojim napada EXE i COM programe, i destruktivni kojim napada pocetni sektor na disku. Pokrecu se kod ukljucivanja racunara,zbog zarazenosti diska,ali kasnije menjaju i sadrzaj izvrsnih datoteka. poput boot sector virusa i ovi virusi su efikasni u razmnozavanju. Najpoznatiji takvi virusi su: Teqila,Spanish telecom,Flip,Liberty,V-1 itd.
Virusi pratioci (Companion Virus)
Companion virus, jeste virus koji stvara potpuno novu datoteku s COM produzetkom daje joj ime zarazene EXE datoteke i skriva je. Delovanje takvih virusa moze biti razlicito,od neopasnih radnji do vrlo opasnih. Ta vrsta virusa ne menja programski kod zarazene EXE datoteke, pri pokusaju aktiviranja zarazenog EXE programa,operacioni sistem izvodi istoimeni virusov COM program,a zatim COM program izvodi virusov kod koji ucitava i izvodi zarazeni EXE program. Najjednostavniji oblik kompjuterskih virusa su upravo virusi pratioci. Oni koriste prioritet kojim se izvrsavaju programi sa istim imenom pod DOS-om.COM datoteke se se uvek izvrsavaju prije EXE datoteka.
10 Programi iz direktorija koji su na pocetku PATH niza izvrsavaju se prije onih sa kraja tog niza,itd. Virus pratilac obicno stvori COM datoteku koristeci ime vec postojeceg EXE programa i ugradi u nju svoj kod. Kada program bude pozvan umesto orginala sa EXE ekstenzijom ,prvo ce se izvrsiti podmetnuti COM program sa virusnim kodom. Kada izvrsavanje virusnog koda bude gotovo virus ce kontrolu vratiti programu sa EXE ekstenzijom. Da bi prikrio prisustvo virus pratilac ce postaviti skriveni atribut za COM program u koji je sakrio svoj sadrzaj. Ova vrsta virusa ne menja napadnuti program,a i zbog nespretnog nacina sirenja ne predstavlja vecu opasnost. Nekoliko virusa pratioca: 16850,Clonewar,Even Beeper,Globe,Breeder itd.
Vezujuci, link virusi (Link Virus)
Virus koji inficira datoteke povezivanjem (link) jedne skupine podataka (clustera) koja sadrzi virusni kod sa pocetnom skupinom (cluster) podataka svake EXE datoteke u direktoriju. Najinfektivnija vrsta virusa su link virusi koji jednom pokrenuti u trenu inficiraju napadnuti kompjuterski sistem. Poput virusa pratioca ovi virusi ne menjaju napadnute programe vec menjaju pokazivace u strukturi direktorija na takav nacin da ih preusmere na cluster na disku gde je prethodno sakriven virusni kod . Kada napadnuti program bude izvrsen ,prvo ce se izvrsiti virusni kod buduci da je na njega uperen pokazivac. Nakon toga virus preuzima kontrolu i ucitava program sa ispravne lokacije na disku koju pohranjuje u samom telu virusa. Na srecu,ova veoma zarazna vrsta virusa koja zbog samog nacina razmnozavanja moze izazvati pravi haos na disku ima samo dva svoja predstavnika, a to su:
DIR-II- posle inficiranja ostaje rezidentan u memoriji,zauzme 1024 bajtamemorijskog prostora,napada datoteke s EXE i COM nastavcima,orginalni broj skupina podataka sifrovano sprema u neupotrebljeni deodirektorija.
DIR-II-1- posle inficiranja ostaje rezidentan u memoriji racunaranapada datoteke s EXE i COM nastavcima,poznate su dve mutacije tog virusa, asva tri virusa se pronalaze pomocu istog uzorka za trazenje.
11 9. WORM – CRV
Kompjutrski crv je program koji se siri kompjuterskom mrezom.On deluje tako storasprsi svoje funkcionalne kopije ili samo neke segmente na druge kompjutere.On ne deluje poput virusa ,tj. ne kaci se na neki program nego deluje samostalnokao program.Crv se sastoji iz dva dela. Glavni program pronalazi kompjutere pogodne za napadi razbija korisnicke lozinke,a vektor program ima ulogu prethodnice i nakon uspesnog napada prenosi glavni program.Glavni program pretrazuje datoteku /etc/hosts u kojoj su navedeni kompjuteri kojima se cesto pristupa,forward datoteke za preusmeravanje poste i datoteke( /etc/hosts. equiv i rhosts) te pomocu nijh odredjuje kompjutere i korisnike koje bi bilo zgodno napasti.Osim toga koristi i program netstat koji daje izvestaj o trenutno uspostavljenim vezama i stanju mreze.U isto vreme crv pokusava provaliti korisnicke lozinke na sve slozenije nacine .Kada uspostavi vezu sa komandnom ljuskom drugog racunara ,prenosi na njega vektor program(99 linija C koda),prevodi ga i izvrsi.Posle toga vektor uspostavlja vezu sa glavnim programom i preko TCP veze prenosi datoteke glavnog programa za razne arhitekture i verzije operatvnih sistema.Zatim povezuje kod namenjen racunaru na kome se nalazi sa lokalnim bibliotekama i izvrsi glavni program.Tako se ciklus prenosenja zatvara.Cim mu vise ne trebaju ,crv brise sve privremene datoteke koje stvori,da bi prikrio svoj rad.Ako zbog nepredvidjenih okolnosti ne moze nastaviti sa radom crv brise sve svoje tragove ,isto tako brise i komandne linije procesa koje koristi ,da se ne mogu uociti upotrebom programa (ps).Procesi koji predugo traju zamenjuju se novima da ne privuku paznju id a im se ne uspori izvrsavanje.Tokom rada crv pokusava kontaktirati druge kopije na istom kompjuteru preko lokalnog TCP porta 23357.Ukoliko se ova veza ostvari ,crv metodom slucajnosti odlucuje koji ce od nijh prestati s radom.Ipak crv ne prekida sa radom ni u kom slucaju sve dok razbijanje lozinke ne dodje u zavrsnu fazu.Tako su mnogi racunari bili prepravljeni kopijama crva.U proseku svaki sedmi crv postaje besmrtan,tj. ne pokusava uspostaviti vezu sa drugim kopijama s namerom da se s njima dogovori koja ce nastaviti s radom.Cilj toga je sprecavanje jednostavnog zaustavljanja crva pustanjem lazne kopije.Crvi su se pokazali kao najbolji nacin zaraze velikog broja racunara u vrlo kratkom vremenskom periodu.
12 10. MAKRO VIRUS
Makro virusi su mini programi napisani u nekom internom programskom jeziku nekog aplikativnog programa kao sto su WORD, EXCEL itd.Ovi su virusi pisani da se razmnozavaju unutar dokumenata kreiranih tom aplikacijom.Mogu se prosiriti i na druge kompjutere ukoliko se i na njima koriste isti program ii vrsi se razmena zarazenih dokumenata.Makro virusi mogu se izvrasvati na svakoj platformi na kojoj postoji ovakav program i pripadajuci interni jezik.Oni nisu ograniceni na pojedine kompjutere ili samo odredjene operativne sisteme.Za razliku od virusa koji napadaju izvrsne datoteke i u pravilu inficiraju datoteke oznacene specificnim ekstenzijama ,sto kasnije olaksava njihovo pronalazenje jersuzava izbor sumljivih objekata ,kod makro virusa ,a pogotovo WORD makro virusa,ekstenzija datoteke je nevazna jer Word ne postavlja zahtev za primenu neke ekstenzije.Uglavnom se ne poklanja paznja jednih te istih ekstenzija za oznacavanje dokumenatatako da je nemoguce prepoznati sumnjive datoteke samo na osnovu ekstenzija.Makro virusi su prvi pravi multiplatformni virus .Word makro virus tako radi u Wordu i na Windows-ima i na Macintoshu.Makro virusi su virusi koji su rezidentni u memoriji. To znaci da oni ostaju u memoriji nakon sto zatvorimo dokument ,i ceka sledecu zrtvu koju ce zaraziti. Kada otvorimo novi dokument virus ce se prilepiti za njega.Oni mogu da zaraze samo onu verziju Worda u kojoj su napravljeni ,ali ce on sacekati odgovarajucu verziju da napadne.
13 11. METODE ZA OTKRIVANJE I UKLANJANJE VIRUSA
Za otkrivanje i uklanjanje kompjuterskih virusa postoji vise razlicitih metoda,koje se medjusobno razlikuju po brzini izvodjenja,efikasnosti i nacinu.Metode za otkrivanje virusa jesu:
Usmerena dijagnostika s pregledom diska
Najjednostavnija metoda za otkrivanje virusa.Priliko pisanja antivirusnih programa koji koriste tu metodu ,svaki se poznati virus prvo analizira ,a nakon toga u njemu se pronadje karakteristican niz bajtova po kojem se prepoznaje zarareznost kompjutera tim virusom. Isti se niz bajtova nakon toga ugradjuje u antivirusni program. Ako se prilikom pregleda racunara u nekom njegovom delu pronadje isti niz bajtova postoji velika verovatnoca da je kompjuter zarazen tim virusom.
Usmerena dijagnostika sa sondiranjem
Ova se tehnika temelji na tacnom poznavanju delova odredjenog virusa . U toku pregleda kompjutera proveravaju se samo mesta koja uobicajeno napada taj virus (npr. delovi izvrsnih datoteka da bi se utvrdilo postojanje ili nepostojanje virusa na kompjuteru.
Diferencijalna dijagnostika (checksumm)
Ova dijagnostika temelji se na cuvanju karakteristicnih osobina raclicitih delova racunara (npr. pocetnog sektora, izvrsnih datoteka) . Svaki virus koji zarazi neki od tih delova mora barem delomicno da izmeni i sadrzaj tih datoteka. Usporedjivanjem sadasnjeg i prethodnog stanja moze se utvrsditi prisutnost nekog virusa. Najcesce se podaci za cuvanje smestaju u posebne datoteke koje se osiguraju i sifruju da neki od virusa ne bi eventualno ih promenio i tako prikrio zarazu.Ovom se tehnikom ustvari zaledi stanje za koje prethodno utvrdimo da nije zarazeno,i nakon toga se u odredjenim vremenskim razmacima proverava da li je na sistemu doslo do nekih promena.
14 Rezidentna dijagnostika (monitoring)
Ova dijagnostika predstavlja preventivnu metodu u borbi protiv virusa. Na pocetku rada s racunarom pokrece se program koji neprekidno kontolise pristup kljucnim delovima racunara, i ako bi virus pokusao pristupiti nekom od zasticenih delova ,antivirusnio program bi sprecio njegovo delovanje i o tome obavestio korisnika.
Heuristicka dijagnostika
Ova dijagnostika koristi posebnu,inteligentnu metodu pregleda kompjutera. Izvrsni kod svake datoteke se analizira i u njemu se pokusavaju pronaci destruktivne operacije karqakteristicne za delovanje virusa, ako se takve operacije nadju ,a pogotovo ako ih je mnogo,postoji verovatnoca da je pronadjen virus.
15 12. ANTIVIRUSNI PROGRAMI
U antivirusne programe spadaju:
Programi za pregledavanje – skeneri
Iako ne najsigurniji programi za pronalazenje kopjuterskih virusa,ali su za specificnu detekciju poznatih kompjuterskih virusa.Za prepoznavanje virusa skeneri koriste prethodno pribavljene informacije o svakom pojedinom virusu. Prvi su skeneri viruse prepoznavali po nizu heksadecimalnih znakovana temelju searh stringa,tj dela koda koji je sastavni deo virusa.Glavna prednost skenera je mogucnost trenutnog otkrivanja poznatih virusa jednostavnim pregledom sumljivog sadrzaja,ako skener prepozna virus on ce javiti tacno o kom virusu se radi,on ce pomoci da otkrijemo virus i na tek pristiglim diketama prije nego sto virus zarazi nas kompjuter.Nedostaci skenera odnose se na potrebu za stalnom nadogradnjom radi prepoznavanja novonastalih virusa,na nemogucnost prepoznavanja virusa o kojima nemaju potrebne podatke.
Programi za motrenje-blokeri,monitori
Ovakvi programi prate desavanja na sistemu i zaustavljaju sve sumnjive operacijetrazeci od korisnika autorizaciju.Neki od tih programa dolaze u hardveru.Vecina tih hardvera trazi i deo programa koji radi rezidentno u memoriji kompjutera.Vrlo cesto se komunikacija izmedju takvog hardvera i rezidentnog dela u memoriji odvija preko interrupta koji je slaba tacka sto se tice zastite.Svakom sadrzaju u kompjuteru moze se direktno pristupiti,i ne postoji nacin da se to spreci osim ako takva hardverska zastita nema svoju izolovanu memoriju,procesor i sve ostalo.
Heuristicki programi
Najnoviji trend u antivirusnoj industriji je tzv. heuristika-pronalazenje virusa temeljno na poznavanju karakteristika,nacina rada kompjuterskih virusa.Heuristika se zasniva na tehnologiji znanja,umetnoj inteligenciji i primeni pravila.Heuristicki program ne prepoznaje specificne kompjuterske viruse,oni prepoznaju skup obelezja koja su zajednicka svim kopjuterskim virusima kao sto je programski kod koji proverava da li pojedini sadrzaj na disku ima COM ili EXE ekstenziju,pokusaj pisanja po izvrsnoj datoteci,pokusaj ostajanja rezidentnim u memoriji i dr.Odredjen broj virusnih karakteristika u programu koji ne bi trebao biti inficiran ,
16 pobudjuje sumnju na postojanje virusa u kompjuteru.Neke od karakteristika zajednicke su i normalnim programima i virusima ,ali takve karakteristike su ipak naglasene u vecem broju kod virusa.
Programi za zaledjivanje sistema- ceksumeri
Ovi programi ne prepoznaju specificne viruse vec prepoznaju promene na postojecim sadrzajima. Takve promene pogotovo kada nastanu na delovima operativnog sistema ili na izvrsnim programima bude sumnju na postojanje virusa u sistemu.Ovo je jedina poznata metoda koja sigurno otkriva sve viruse bez obzira bili oni poznati ili ne .Nedostatak ove metode jeste taj sto se virus otkriva tek kada je sistem inficiran i mozda vec neka steta pricinjena, ali redovnom uptrebom ove metode sigurno se virus moze otkriti i na vreme pre nego sto ucini nekakvu stetu.
Da bi se uklonili virusi sa racunara potrebno je poznavati nacin na koji oni menjaju zarazene sadrzaje.Najbolji rezultati kod uklanjanja virusa postizu se koristenjem prosirene metode diferencijalne dijagnostike,osim podataka potrebnih za otkrivanje zaraze,mogu se sacuvati i podaci potrebni za obnavljanje zarazenih sadrzaja.Ali nazalost neki virusi tako drasticno mogu da uniste zarazene datoteke da ih ni jedna metoda ne moze vratiti u pocetno stanje.
17 13. ZAKLJUCAK
Od svog postanka kompjuterski virusi su tu da bi normalnim korisnicima kopjuterski uredjaja zagorcavali zivot,da bi im unistili sav trud i rad koji su ulozili da bi nesto pametno uradili na svom racunaru.U danasnje vreme tehnoloskog napretka virusi nisu postali nista slabiji nego su i ojacali.Koliko god da se sa borbom protiv virusa ide korak napred uvek se nadje neki novi virus da pokaze svoju snagu.Ali koliko god da su oni jaki uvek postoji nacin i sredstvo da se izadje na kraj sa tim stetocinama.U borbi sa virusima potrebno je imati znanje i dobar antivirusni program,uvek reagovati na vreme ,tj. redovna kontrola operativnog sistema drasticno ce smanjiti sanse da kompjuter bude ozbiljnije napadnut i ostecen.Naravno pored toga svega potrebna je i svest da virusi postoje i da i vas kompjuter moze da postane zrtva napada tih virusa.Kad imate te tri stvari,znanje, sredstvo i svestnemorate se bojati virusa.Virusi u jednu ruku teraju coveka da bude stalno na oprezu i da se trudi da stvori sto savrseniju masinu.
18 LITERATURA
Prof. dr Nikola Bracika , Poslovna Informatika, Cacak 2007www. Balkanforum.com.Kis M. ,Virusi i antivirusne mere,Procon Zagreb
![Antivirusni Lekovi [Compatibility Mode]](https://img.pdfslide.net/doc/110x75/563db9f2550346aa9aa15399/antivirusni-lekovi-compatibility-mode.jpg)
