Embed Size (px)
DESCRIPTION
teorija virusa u informatici
Citation preview
Seminarski rad
Virusi, vrste i zaštita
Sadržaj 1. Uvod.....................................................................................................................................................3
2. Zlonamjerni mobilni kod podjela..........................................................................................................3
3. Virusi....................................................................................................................................................4
4. Simptomi računarskog virusa...............................................................................................................8
5. Antivirusni programi.............................................................................................................................8
6. Šest zlatnih koraka u antivirusnoj zaštiti...............................................................................................9
7. Literature..............................................................................................................................................9
2
1. Uvod
Prvi računarski virus zvao se „Brain-mozak“. Pojavio se 1986 . godine, a kreiran je u Pakistanu. To je virus koji napada boot-sektor. Njegov uspjeh je bio velik jer ga je svijet docekao nespremno. U vecini slucajeva virusi nisu bili stetni u tolikoj mjeri. Medjutim, Pojavom veceg broja virusa pojavili su se i oni koji su mogli mijenjati ili unistavati podatke. Prvi takvi virusi su: „VirDem“, „Christmas Tree“, „Jerusalem“, „Cascade“, „Stoned“, „Aids“... Pocetkom devedesetih pojavio se i virus pod imenom „Crni osvetnik“, zatim „DiskKiller“, tako da je 1993. godine registrovano priblizno 3000 razlicitih virusa. Antivirusni centri dobijaju na analizi prosjecno 100 novih virusa mjesecno. Medjutim, osim stalnog mijenjanja broja virusa, mjenja se i njihov nacin razmnozavanja kao i tehnika otkrivanja istih. Cesto spominjan virus u 2002. godini bio je crv (worm) „ Anna Kournikova“, koji dolazi e-mailom, pretvarajuci se da je slika lijepe ruske teniserke. Mnogi virusi imaju zadan dan kada ce „istovariti“ svoj zarazeni „sadrzaj“. Jos neki opasni virusi „Brazilian Carnival“, „Happy New Year“, „Love“, „WBS/VBSWG-YQ“, koji dolazi u slici poznate pjevaciice Shakire.
Racunarski virus je dobio ime po bioloskim virusima otkrivenim u 19. vijeku. Kako i bioloski virusi imaju sposobnost samorazmnozavanja i to im je osnovna osobina. Dakle, racunarski virus je program koji ima sposobnost samopokretanja. To je najjednostavnija definicija virusa. Ustvari, vecina virusa, 95% njih, ne radi nista vise nego neku „nebitnu“ akciju kao sto je tonski signal ili ispisivanje poruke. Takav program se naziva „Trojan“, prema trojanskom konju. Npr. vrus „Form“ svakim pritiskom na neku tipku 18. u mjesecu proizvodi zvucni signal. Ili virus „Černobyl“ koji napada svakog 26. aprila. Ovi virusi mozda nisu destruktivni, ali zato svojom aktivnoscu gubite vase podatke sa racunara i to nepovratno.
Virusi predstavljaju parče komjuterskog programa koji se smješta u neki veći program za koji se ne sumnja da bi mogao da predstavlja opasnost. Isto tako, pri pokretanju, virusi se mogu ugnjezditi u druge programe, zbog čega su i dobili ime: ponašaju se kao pravi virusi, koji se šire ubacujući se u zdrave ćelije.Za računar na kome se nalaze virusi kažemo da je “zaražen”. Virusi su maliciozni programi, i osim uništavanja podataka, nemaju neku drugu svrhu. Računarskom sistemu mogu nauditi na različite načine, od uništavanja određenog tipa dokumenata preko brisanja sistemski fajlova, čime se onemogućava rad cjelokupnog sistema, do uništavanja samog hardvera.
2. Zlonamjerni mobilni kod podjela
U zlonamjeran softver ubraja se svaki program napravljen u namjeri da na bilo koji način ošteti umreženi ili neumreženi računat, i/ili onemogući negovo korišćenje. Zlonamjerni softveri mogu se podijeliti na sledeći način, kako je prikazano na slici.
3
Osnovni kriterijumi podjele su: Da li zahtijevaju nosioca Da li se repliciraju
Prvu grupu čine oni koji zahtijevaju nosioca, tj program na kojem će biti sakriveni dok drugu grupu čine oni koji su samostalni tj ne zahtijevaju nosioca.U grupu onih koji se repliciraju spadaju crvi i virusi.
U poslednje vrijeme su sve više prisutni I mobilni kodovi. To su programi koji samostalno pronalaze informacije na mreži ispunjavajući svrhu za koju su kreirani. Mogu biti statični ili mobilni. Statični agenti cijeli životni vijek provedu na jednom sistemu, material koji im je potreban dobijaju preko mreže.Mobilni Agenti su napredniji, pošto imaju sposobnost kretanja po mreži. Oni ne dovlače material do sebe već se kreću od server do server, istražuju I rade , da bi se na kraju vratili na matični system I podnijeli izvještaj. Ova teorijska postavka u praksi još nije dovoljno potvrđena, ali čini se da bi mogla imati puno uspjeha. Server na osnovu zahtjeva kreira agenta i dodjeljuje mu moć izražavanja. Agent postaje svjestan sebe i počinje posao. Server će odmah uputiti zahtjev za drugu lokaciju. Server će ga hibridizovati i poslati na drugu adresu, gdje prelazi u nadležnost drugog servera koji ga odmrzava i obavještava da je stigao na željeno mjesto. Agent ćepokupiti podatke, kada to završi odlazi na treće mjesto u potrazi za dodatnim informacijama ili se vraća kući.
Pojava i eksplozija Jave je pogodila razvoj mobilnih agenata. Bezbjednosni model Jave dozvoljava izvršenje stranih programa na računarima. Tu je interfejs preko kojeg se ostvaruje kontak sa sredinom u kojoj se nalazi a preko nje sa drugim agentima. Činjenica je da je korišćenje mobilnog koda rašireno u legitimne svrhe ali nijesu izbjegnute zlonamjerne svrhe.
3. Virusi
Virusi su samokopirajući programi koji ubacuju svoj izvršni kod u izvršne fajlovena zaraženom računaru ili preko mreže. Mogu da inficiraju čak i dokumente i to su macro virusi. Infekcije boot sektora
4
ZLONAMJERNI PROGRAMI
POTREBAN NOSIOC
SAMOSTALNI
TROJANSKI KONJ LOGIČKE BOMBE KLOPKE VIRUSI CRVIŠPIJUNSKI PROGRAMI
REPLICIRAJU SE
hard diskova ili disketa su nešto rijeđe u poslednje vrijeme. Zbog načina raznožavanja koji je sličan biološkim virusima, oni su tako i nazvani, a analogno tome, računar sa virusom se često naziva I inficirani ili zaraženi računar. Virusi mogu isključivo da nanesu štetu softveru, a ne i hardveru, ali je zanimljivo spomenuti da postoje virusi (npr. CIH 1) koji napadaju određene vrste BIOS-a,brišući sve podatke iz njega i ostavljajući računar neupotrebljivim sve dok se u BIOS ponovo ne upiše njegov program, tj. izvrši “flešovanje”. Međutim, mogućnost da virusi oštete hardver ne treba u potpunosti odbaciti jer postoje ideje na koji bi se načinto moglo postići. Recimo, virus koji bi mogao da promijeni rezoluciju slike na monitoru više puta u sekundi bi najverovatnije posle nekog relativno kratkog vremena izazvao kvar na istom. Mogućnost oštećenja hardvera uz pomoć malicioznog softvera u mnogome zavisi od same konstrukcije hardvera i od toga da li taj hardver ima grešaka u konstrukciji.U pogledu načina širenja postoje rezidentni I nerezidentni virusi.R e z i dentni virusi su oni koji ostaju u RAM memoriji posle izvršenja inficiranog programa, a nereziredni virusi odmah po pokretanju zaraženog programa zaražavaju ostale programe, ali ne ostaju u memoriji.Postoji nekoliko osnovnih vrsta malware programa, među kojima su:
•virusi•crvi (worms)•wabbiti•trojanci•backdoor programi•spyware/adware•exploiti•rootkit-ovi•phishing
Osobine različitih vrsta malware programa se u velikom broju kombinuju, tako da je ponekad veoma teško odrediti kojoj vrsti malware-a neki maliciozni softver pri-pada.
Trojanski konj - Naziv trojanski konj nastao je po poznatoj priči o osvajanju grada Troje zloupotrebom povjerenja. Na sličan se način virtualni trojanski konj može predstaviti kao igra ili zanimljiv sadržaj koji se šalje u e-mail poruci. Kada se pokrene, na računaru se npr. instalira aplikacija za udaljenu kontrolu.Može izvoditi razne aktivnosti poput krađe korisničkih lozinki, brojeva kreditne kartice, PIN-a i drugih osjetljivih informacija koje potom šalje nekoj drugoj osobi ili može nepotrebno zauzimati resurse računara usporavajući ga na taj način. Vrlo često moderniji trojanski konji pristupaju različitim internet stranicama kako bi preuzeli neku, obično inficiranu, datoteku ili više njih. Nakon preuzimanja ih pokreću te tako instaliraju dodatan maliciozni softver na zaraženom računaru. Mogu se također spajati na određene IRC kanale kako bi primali naredbe od zlonamjernog korisnika. Osim u e-mail porukama, trojanski konji mogu se pojaviti u obliku datoteka na Internetu ili mrežama za razmjenu datoteka (P2P programi - Kazaa, WinMX, Limewire itd.). Mogućnosti su neograničene jer je metoda širenja korisnikovo povjerenje. Jedan od "simptoma" koji pokazuje računar na kojem se nalazi trojanski konj je pokušaj podizanja servera na korisnikovom računaru koji očekuje naređenja autora. Uz instaliran i aktivan osobni vatrozid, ovaj pokušaj bit će evidentiran i moguće ga je zaustaviti.
Vrste trojanskih konja Dropper - služi za naseljavanje pravog računarskog virusa u napadnutiračunar. Dropper igra ulogu
žrtve, namjerno omogućujući virusu da se naseli u računar. Backdoor ("stražnja vrata") – naziv za različite postupke ili programe koji omogućuju drugom
korisniku da se služi žrtvinim računalom dok je spojena na Internet, a da ona to ne zna. U
5
opšteno, „zadnja vrata“ iskorištavaju sigurnosne propuste („rupe“) u računarskom sistemu. Nerijetko se trojanac i backdoor koriste zajedno: žrtva pokrene program za koji misli da je koristan (npr. download manager ili igra) i dok ga koristi, trojanac ubaci backdoor u računar.
Downloader - trojanski konj koji pristupa različitim internetskim stranicama kako bi s njih skinuo, obično maliciozne, datoteke te ih na koncu i pokrenuo
Crvi (worms) -Worm je mali računarski program koji koristi računarsku mrežu i sigurnosne propusteda se replicira sa računara na računar. Najčešći način širenja crva je putem e-maila ili IRC kanala. Kao uslov replikacije neophodna je računarska mreža (obično Internet). Koristeći se njom, program pretražuje mrežu i pronalazi računare sa specifičnim sigurnosnim propustima. Dalje se sam kopira na drugu mašinu, sve dok ne bude otkriven i uklonjen.Postoje dvije vrste crva: crv na domaćinskom računaru (HOST WORM) i mrežni crv (NETWORK WORM).
HOST WORM se cjelokupan nalazi i izvršava na domaćinskom računaru, a vezu s mrežom koristi samo za svoje razmnožavanje na druge računare. Ovaj tip crva nakon što pokrene svoju kopiju na novom inficiranom računaru samostalno uništava svoju prvobitnu kopiju. Na taj način u određenom trenutku negdje na mreži uvijek se nalazi samo jedna kopija tog crva. Ovaj tip crva naziva se još i ''zec'' (RABBIT) upravo zato što stalno bježi uokolo mrežom.
Mrežni crv (NETWORK WORM) sastoji se od više dijelova, segmenata, od kojih se svaki pokreće na različitom računaru u mreži i najčešće svaki segment obavlja različitu funkciju koristeći mrežu samo za određene komunikacijske svrhe. Mrežni crv koji ima jedan glavni segment koji koordinira radom ostalih segmenata na mreži naziva se još I ''hobotnicom'' (OCTOPUS).
19. jula 2001 godine pojavio se worm Code Red koji se za nepunih devet sati replicirao 250.000 puta. Napao je Windows platformu, i to NT i 2000 servere na kojima su se ''vrtili'' Internet Information Server-i.
Karakteristika crva je da pored standardne replikacije, nanose dodatno zlo. Code Red se replicirao prvih 20 dana u mjesecu, mjenjao sadržaj web sajtova na inficiranim serverima stranicom pod nazivom Hacked by Chinese. Code Red je usporavao Internet saobraćaj kada bi se replicirao. Svaka kopija provjerava da li WINDOWS NT ili WINDOWS 2000 server ima instalisanu sigurnosnu zakrpu i ukoliko ustanovi da nema – kopira se na njega. Ta nova kopija radi isto što i orginal, sve dok ne bude otkrivena i uklonjena.
Wabbits - Specijalna i veoma rijetka varijanta malware programa. Za razliku od virusa, ne inficiraju programe ili dokumente na hostu, već su to posebni programi koji se najčešće automatski pokreću. Za razliku od crva, ne koriste mrežu da bi se širili već se samo repliciraju u okviru zaraženog računara. Obično su maliciozni i koriste se najčešće kao baza za DOS napade. Najčešći oblik je tzv. Efekat Fork bomb. Fork bomb funkcioniše tako što stvara veoma brzo veliki broj procesa kako bi se “zasitio” raspoloživi prostor u tabeli procesa (proces tabele) u kojoj je definisano šta treba da izvrši operativni sistem računara. Ako je tabela procesa zasićena, nema novih programa koji mogu početi da se izvršavaju. Čak i ako se dogodi da se od strane operativnog sistema, ili preduzetih radnji korisnika napravi slobodno mjsto u tabeli procesa, nije vjerovatno da će se taj, nazovimo ga koristan program pokrenuti, jer će bomb program prije toga na to mjesto staviti na raspolaganje samog sebe. Pored korišćenja prostora u tabeli procesa, svaki novi proces Fork bomb napada koristi više procesorskog vremena i memorije. Kao rezultat toga, sistem usporava i postaje ga nemoguće koristiti.
Spyware/adware -Spyware i adware programi su varijante malicioznog softvera koji prikuplja išalje podatke o ponašanju korisnika računara bez njegovog znanja. Ovi programi mogu
6
vršiti puno različitih funkcija uključujući i prikazivanje neželjenih reklama, prikupljanje privatnih podataka (brojevi kreditnih kartica, rerutiranje zahtjeva za web stranicama kako bi se ostvarili prihodi od referisanja novih korisnika, instaliranje teško uočljivih “dialera”) itd. Adware se u mnogome poklapa sa definicijom spyware-a, sa tom razl i k o m d a adware-a isključivo služi u komercijalne svrhe ( a d j e s k r a ć e n i c a o d engleske reči advertisment – reklama). Adware programi prikupljaju informacije o ponašanju korisnika, web sajtovima koje korisnik posećuje i uz pomoć različitih mehani-zama (najčešće cookie, activex, javascript) istim korisnicima se serviraju odgovarajuće reklame, nude odgovarajući proizvodi putem emaila i sl. Zanimljiv podatak je da je čak 90% kompjutera u svijetu zaraženom nekomvrstom spyware programa
Exploiti - Exploiti su programi koji iskorišćavaju određenu slabost nekog programa, oni najčešće sami po sebi ne nanose štetu i postoje samo da bi se demonstrirala slabost nekog programa, ali njihove “usluge” često vrlo rado koriste wormovi, virusi, spyware i sl. U kombinaciji sa metodoma socijalnog inženjeringa Exploits napadom na klijentsku aplikaciju dolazi do interakcije sa korisnikom. To je hakerski način za ulazaku računare i web sajtove.
Rootkit-Rootkit je softver koji se ubacuje na kompjuter pošto je napadač dobio kontrolu sistema, a namjena mu je da olakša remote kontrolu i da sakrije tragove upada brisanjem log fajlova ili sakrivanjem procesa koji su pod kontrolom napadača. Često rootkitovi sadrže i backdoorove, omogućavajući olakšani naknadni upad ili exploit programe za napade na druge sisteme. Važno je primjetiti da se ciljani napadi obično izvode sa sistema, koji su takođe prethodno bili ugroženi, da bi se sa njih lako mogli ukloniti dokazi o identitetu napadača. Tom prilikom sam napadač dobija mogućnost da ukloni dokaze. Rootkitovi se vrlo često vezuju za kernel nivo, pa ih je teško otkriti, a kada se jednom otkriju vrlo je bitno da se kompletno reinstalira sistem, kako bi se sigurno uklonili svi tragovi rootkita.
Phishing -Phishing je kriminalna aktivnost koja koristi tehnike socijalnog inženjeringa kako bi se steklo poverenje korisnika i pomoću trikova otkrile osjetljive informacije (npr. lozinke za e-banking). Napadač pokušava da imitira poznate sajtove kao što su online prodavnice ili banke. Na primer, eBay i PayPal su u SAD dva najomiljeniji entite-a koja se koriste u tehnici phishing napada. Online Banking portali su, kao što je većpomenuto, postali popularni za napadače, jer uspiješan phishing daje potpun pristup neovlašćenim licima računu korisnika. Phishing kampanja se obično sprovodi korišćenjem softvera za ćaskanje ili putem neželjenih e-mailova (SPAM). Napadači postavljaju klon ciljanog sajta na nekibe splatni web server, komponuju e-mail poruke koje izgledaju legitimno i neoprezne korisnike preusmjeravaju na falsifikovani sajt. Neoprezni korisnik popunjava polja sa svojim do tada tajnim podacima (user name, password, PIN) i na taj način direktno ih predaje napadaču. Posledice ovakvog čina veoma je lako zamisliti
Izvori malware-a- Malware programi mogu dospjeti u operativni sistem na nekoliko načina: Prostim kopiranjem zaraženog programa sa mobilnog medija,preko LAN mreže ili preuzimanjem
sa Interneta putem FTP,HTTP, nekog od P2P protokola i slično; Putem e-mail attachmenta; Putem malicioznih ActiveX, Java i Javascript programa;
Iskorišćavanjem sigurnosnog propusta u sistemu (koristeći ex-ploite), a to je put kojim se šire crvi (worms);Preko multimedijalnih fajlova koji u sebi sadrže takav niz podataka, da iskorišćavaju propuste u klijentskim aplikacijama sistema
7
4. Simptomi računarskog virusa
Ako na računaru postoji računarski virus, neki osnovni indikatori da je računar možda zaražen mogu biti:
Računar radi sporije nego inače. Računar prestaje da se odaziva ili se često zaključava. Računar pada, a zatim se ponovo pokreće svakih nekoliko minuta. Računar se sam od sebe ponovo pokreće. Pored toga, računar ne funkcioniše na uobičajen način. Aplikacije na računaru ne rade ispravno. Diskovi ili disk jedinice su nepristupačni. Nije moguće ispravno štampati stavke. Vide se neuobičajene poruke o greškama. Vide se izobličene menije i dijaloge. Na prilogu koji ste nedavno otvorili postoji dvostruka oznaka tipa datoteke, na primer
oznaka .jpg, .vbs, .gif ili .exe. Antivirusni program je onemogućen bez razloga. Pored toga, nije moguće ponovo pokrenuti
antivirusni program. Nije moguće instalirati antivirusni program na računaru ili antivirusni program ne može da se
pokrene. Na radnoj površini se pojavljuju nove ikone koje niste vi postavili ili ikone koje nisu povezane ni
sa jednim nedavno instaliranim programom. Iz zvučnika se neočekivano čuju neobični zvuci ili muzika. Program nestaje sa računara iako ga
niste namerno uklonili.Ovo su uobičajeni znaci infekcije. Međutim, te znake možda izazivaju i hardverski ili softverski
problemi koji nemaju nikakve veze sa računarskim virusom. Osim ako se ne pokrene Microsoft alatku za uklanjanje zlonamernog softvera i zatim instalira ažuran antivirusni softver industrijskog standarda na računaru, ne možemo biti sigurni da li je računar zaražen računarskim virusom ili nije.
5. Antivirusni programi
Predstavljaju prvi nivo zaštite od virusa.To su softverski paketi sposobni da detektuju, izdvoje i(ili) eliminišu viruse. Svi antivirusni programi sastoje se iz više cijelina.Jedan njhov dio“monito“ je otporan u memoriji i obezbjeđuje neprestalnu zaštitu id virusa,dok drugi dio“scan“omogučava skeniranje cijelog sistema.Antivirusi su danas neophodan dio softvera koji svako treba iamti instalirano na svom računaru. Ovi programi uključuju različite načine nadgledanja i zaštite računara od malicioznog koda. Najčešće se radi o zaštiti u realnom vremenu i skeniranju na zahtjev korisnika,dok moderne verzije ovih programa nude razne druge vidove zaštite od virusa koji se šire putem interneta.Postoji dosta kompanija koje razvijaju i nude ove programe a najpoznatiji među njima: SYMANTAC,SOPHOS,PANDA,KASPERSKY...
One nude dopunu antivirusnih definicaja svakodnevnice. Današnja praksa bazirala se na petnaestno dnevnoj osvježavanju.Broj danas poznatih virusa je oko 65.000,s tim da se opasnim smatra nekoliko stotina.Kvalitetna zaštita svodi se na opreznost,uptrebu dobrih antivirusnih programa,redovno osvježavanje virusnih definicija. Najpoznatiji i najčešće korišteni antivirusni programi su:NORTON ANTIVIRUS,SOPHOS ANTIVIRUS,MCAFFEE,AVAST ANTIVIRUS,ESET NOD32...
8
6. Šest zlatnih koraka u antivirusnoj zaštiti
Korak 1:Obavezno instalirati neki od antivirusnih alata! Iako ne postoji apsolutna zaštita od virusa, instaliranjem i pravilnim podešavanjem nekih od ovih programa znatno se redukuje mogućnost zaraze.
Korak 2:Redovno ažuriratiantivirusne definicije. Podesiti alate da redovno automatski ''skidaju'' najnovije virusne definicije. Ako antivirusni program ne podržava automatsko osvježavanje,onda se to učini ručno sa sajta proizvođača.Ovaj korak je jako bitan jer se dnevno pojavi oko trinaest novih virusa. Osvježavanjem baze dajemo mogućnost antivirusnom alatu da štiti računar od većeg broja virusa.
Korak 3:Podesiti antivirusni softver da automatski skenira sve datoteke. Provjeravanjem svih datoteka, ne sami izvršnih, zaštita je potpuna i time se onemogućava širenje virusa. Potrebno je obratiti pažnju da se uključi skeniranje kompresovanih datoteka.
Korak 4:Skenirati sve datoteke koje dolaze sa Interneta. Prije svega, obavezno se uključi skeniranje svih odlaznih i dolaznih e-mail poruka. Email je trenutno najčešći način širenja virusa. Takođe, mnogobrojne web stranice sadrže softvere koji mogu biti zaraženi. Zato će i skeniranje svih datoteka kopiranih sa interneta pomoći u zaštiti.
Korak 5:Povremeno skenirati cijeli disk. Redovno vršiti skeniranje cijelog diska Proces skeniranja može potrajati i zavisi od veličine hard diska i broja datoteka kojima rasplaže. Zato nije lože ostaviti računar da skenira tokom noći.
Korak 6:Skenirati hard disk nakon instalacije softvera. Nakon instalacije raznih alata (posebno onih koji se kopiraju sa interneta) skenirati hard disk ili lokacije na koje se softver instalirao. Može se desiti da kompresovane arhive budu zaražene virusima.
7. Literature
1. Prof.dr. Milorad Obradović, dipl. Inž. Marija Paunović, dipl.inž “ Zaštita informacionih sistema I podatak” , Bar 2009.
2. http://support.microsoft.com/kb/129972/sr-cs
3. http://www.facebook.com/note.php?note_id=141095045905419
4. http://www.am.unze.ba/informatika/2012/15%20Racunarska%20sigurnost.pdf
5. http://hr.wikipedia.org/wiki/Trojanski_konj_%28softver%29
9
