You are on page 1of 21

Gimanzija Jovan Ducic , Trebinje

Maturski rad
Tema: Internet i virusi

Profesor : Gordana Skrivan

Ucenik : Lazar Ljubibratic IV1

[1]

SADRZAJ: 1. 2. 2.1. 2.2. 2.3 3. 3.1. 3.2. 3.3. 3.4. UVOD O VIRUSIMA Istorija virusa Sta je to virus? Posledice napada VRSTE VIRUSA PREMA NACINU DELOVANJA Virusi pocetnog sektora (Boot Sector Virus) Parazitski virusi, virusi nametnici (Parasite Virus) Svestrani virusi (Multipartite Virus) Vezujuci, link virusi (Link Virus)

4. VIRUSI NOVE GENERACIJE 4.1 Spywere,adwere,malware I keylogger 5. ZASTITA OD VIRUSA 5.1 Sta su antivirusi 5.2 Kako rade antivirusi? 6. ZAKLJUCAK

[2]

1. UVOD
Iako su kompjuterski virusi stara stvar, probleme koje izazivaju su vrlo veliki. Jos 1989. godine, IBM racunare napalo je samo cetrnaest virusa, a vec 1995. godine ,taj se broj povecao na blizu 6000 . Danas se prepostavlja da se svaki dan pojavljuju oko 400 novih virusa. Na nasu srecu samo par postotaka novih virusa su opasni. Iako virusi haraju godinama ,jos postoje oni koji zive u zabludi da nemaju , ne mogu ili nece imati problema s kompjuterskim virusima i da se takve stvari uvek dogadjaju drugima, no,naravno, grese!

Izgled IBM racunara iz 1985 godine.

[3]

2. O VIRUSIMA 2.1 Istorija virusa


Sezdesetih i sedamdesetih godina kada su veliki racuri vladali svetom, postojao je fenomen poznat kao zec (rabbit). Zec je najcesce nastajao greskom kada bi kompjuterski program poceo sam sebe da kopira po sistemu, izazivajuci usporavanje ili pad sistema. No, nisu svi zecevi nastajali slucajno. Procimanjuca zver (Prevading Animal), bio je program sposoban da se nadodaje na druge kompjuterske programe na Univac 1108 kompjuterskom sistemu, a napadnuti programi su cak bili oznaceni posebnom signaturom u svrhu samoprepoznavanja. Prevading Animal je bio prvi pravi predak danasnjih kompjuterskih virusa. Prvi potvrdjeni nalaz kompjuterskog virusa daleke 1981. godine bio je Elk Cloner - virus koji je inficirao boot sektor disketa za legendarni APPLE II kompjuter. Kada je jednom postao aktivan u memoriji, virus je bio sposoban inficirati druge diskete. Takodje, znao je izvoditi razne trikove sa ekranom, ispisivati razne poruke opisujuci se kao program sa dusom. 1983. dr. Frederick Cohen je demonstrirao samokopirajuci kod serijom eksperimenata na VAX i Unix kompjuterima na Lehigh Univerzitetu u Pensilvaniji. Prica se da je tada Len Adleman, Cohenov kolega, prvi put u istoriji upotrijebio rec virus opisivajuci samokopirajuci kod. Preloma je istorijska 1986. godina. Sa mnogih strana stizu izvjestaji o kompjuterskom virusu Brain. Ovaj kompjuterski virus, sposoban inficirati boot sektore 360K disketa IBM PC kompatibilnih kompjutera brzo se prosirio svetom. Unutar virusa se nalazila poruka koja je upucivala na autore , Basita i Amjada Faroku iz Pakistana. Unutar poruke bila je i njihova adresa i telefonski broj. Braca su vodila softversku kucu u Pakistanu i bila su iritirani rastucim softverskim piratstvom u Pakistanu. Kao odgovor smislili su Brain, nespretan nacin da otkriju razmjere te necasne rabote. Iako primitivan, Brain je primjenjivao i samosakrivanje (stealth) - kada je bio aktivan u memoriji preusmjeravao je zahtjeve za citanjem inficiranog boot sektora na nezarazeni original.Nakon toga stvari su krenule brze. U petak, 13. Maja 1988, probudio se virus Jerusalem. Virus je jednostavno obrisao svaki program koji je toga dana izvrsen na zarazenom kompjuteru. Iako je ovaj virus cinio stetu, ona uglavnom nije bila nepopravljiva. Prvi pravi destruktivac pojavio se vec 1989. Virus Datacrime bio je sposoban izvrsiti low-level format staze 0 na hard disku. U SAD je zavladala panika. U Holandiji, gde je virus i otkriven, prava histerija. No to jos nije bilo nista.Iste godine aktivirana je fabrika virusa u Bugarskoj. Izvesna osoba koja sebe naziva Dark Avenger (Crni osvetnik) do danas je napisala najmanje pedesetak virusa.
[4]

2.2. Sta je to virus?


Zlonamerno napisani kompjuterski programi ili delovi programskog koda nazivaju se raznim imenima. Uz vec spomenute praistorijske zeceve ima tu i crva (worm), trojanskih konja (trojan horse), logickih bombi (logic bomb), zamki (trap-door) i naravno, virusa. Crv je program koji se siri samoumnozavanjem kroz kompjuterske mreze. Crv je samostalni i za razliku od virusa ne treba program domacin da bi radio. Logicka bomba je metoda aktivacije procesa temeljem zadovoljenja logickog uslova - postojanja ili nepostojanja nekog podatka, protoka odredjenog vremena ili u odredjeno vreme i sl. Logicka bomba ustvari predstavlja princip delovanja, a ne celovit mehanizam. Logicke bombe su cesto sastavni dio mnogih kompjuterskih virusa. Trojanski konj je program koji naizgled sluzi za neku drugu operaciju od one za koju je napravljen. Trojanski konj bi recimo bio program koji izgleda kao tekst procesor, a zapravo jednom pokrenut formatira disk. Mnogi autori virusa koriste trojanske konje kako bi im olaksali razmnozavanje. Zamka predstavlja posebnu nedokumentovanu funkciju programa koja se moze pokrenuti na unaprijed odredjen nacin. Programeri koji pisu razlicite programe cesto znaju predvideti posebnu lozinku ili sekvencu znakova koja jednom utipkana omogucava dostup do inace nevidljivih funkcija programa. Racunalni je virus program koji se moze samostalno umnozavati (sto inace nije osobina korisnih programa), pri cemu moze da izvodi i sporedne radnje. Takve sporedne radnje mogu biti stetne, ali i ne moraju. Umnozava se pri izvodjenju zarazenog programa, a siri se prenosenjem zarazenog programa na druge racunare najcesce preko interneta. Racunarski virus jeste program posebne namjene koji u vecini slucajeva ima za cilj unistenje podataka i programa na zarazenom racunaru. Prema svom delovanju virusi mogu biti destruktivni (izazivaju razlicite oblike ostecenja podataka na disku ili disketi) ili bezopasni (samo pokazuju svoju prisutnost na racunaru). Jedna od osnovnih znacajnosti racunarskih virusa jeste mogucnost sirenja zaraze izmedju racunara. Za to se najcesce koriste razliciti mediji poput disketa, HDD, CD-a, itd... S cim zarazeni medijum prenosi virus na druge racunare.
[5]

Virus je deo programskog koda koji je sposoban izvrsiti samokopiranje (infekciju) dodavanjem svoga sadrzaja u druge programe ili dijelove operativnog sustava. Kao sto i sami mozete primetiti, postoji velika slicnost izmedju kompjuterskih i bioloskih virusa. Virus se obicno sastoji od dva dela. Prvi deo je samokopirajuci kod, koji omogucava razmnozavanje (kopiranje) virusa, a drugi je deo korisni teret (playload) koji moze biti bezopasan (benigan) ili opasan (destruktivan, maligan). Neki se virusi sastoje iskljucivo od samokopirajuceg koda i nemaju nikakav korisni teret. Iako virus 'u promet' najcesce pusta sam autor, kontrola nad razmnozavanjem oslobodjenog virusa nije vise u rukama autora.

[6]

2.3 Posledice napada

Sta ce virus zapravo uciniti na vasem racunaru zavisi od programskog koda - sadrzaju virusa. To moze biti obicna reklama (virus Amstrad), pesmica, ljubavna ili politicka poruka (npr. virusi Maltese Amoeba, Void Poem, Flash-Gyorgy, Milana, Jerusalem IRA, Macedonia, MCJ), menjanje desktop pozadine (virusi 757, 1575, Ambulance, Caterpillar), unistavanje zarazenih EXE i COM programa, ali i destruktivno deelovanje kao sto je brisanje tablice smestaja datoteka (File Allocation Table) ili formatiranje nekih delova diska ili celoga diska (npr. virusi Casper, Datacrime, Michelangello) na visokom ili niskom nivou (Low Level Formatting). Neki su virusi smesni, neki glupi, a neki odrazavaju netalentovanost svojih autora. Drugi su virusi destruktivni, lukavi, lucidni i vrlo opasni! Postoje virusi koji se samo prenose s racunara na racunar, a ima i takvih koji su tako lose napisani da se mogu kopirati samo jedanput ili ne rade ono za sta su ih namenili autori. Kada racunar, na primer, odsvira pesmicu Bratec Martin (Frere Jacques) ili se na desktopu pojavi poruka koja u tom trenutku na njemu ne bi smela biti, virus se vec udomio u vasem racunaru.. U pravilu, svaki program inficiran virusom vec je u odredjenoj meri ostecen i potrebno ga je dovesti u ispravno stanje. Ovo se desava uvek, bez obzira na to da li virus ima tzv. korisni teret i bez obzira koja mu je namena. Danas je sve veci trend izrade virusa koji pri infekciji jednostavno prepisu deo koda napadnutog programa i na taj nacin nepopravljivo ostete zarazeni objekat. Na primjer, link virusi mogu napraviti pravi krs na disku jer dovode do takozvanih cross-linked files (unakrsno povezanih datoteka). Program zarazen virusom moze gresiti u radu, virus koji se instalira u memoriju moze izazvati greske u radu drugih programa koji se instaliraju u memoriji, ili moze programima oduzeti memoriju potrebnu za rad. Ovo su samo neki od popratnih efekata koji nastaju nakon zaraze virusom. Vecina navedenih posljedica nastaje slucajno i mimo volje pisca virusa, najcesce kao posljedice njegovog ogranicenog znanja, nedovoljnog testiranja virusa ili nemogucnosti odgovarajuce provjere virusa u svim mogucim radnim uslovima. Naravno, neke posedice nastaju iskljucivo dobrom voljom pisca virusa. Mnogi pisci kompjuterskih virusa ukljucuju u virus koristan teret, kod koji je sposoban izvrsiti neku zadacu kao sto je na primjer ispisivanje poruke, ometanje rada sistema, brisanje odredjenih podataka, formatiranje diska ili korupcija podataka. Nedestruktivno ometanje rada sistema, blokiranje kompjutera, usporenje rada masine , predstavljaju drugu stepenicu. Ocigledno brisanje programa i podataka ili formatiranje diska, koliko je god nezgodno i stetno nije najveci stepen ostecenja, kako
[7]

to mnogi misle. Ako se redovno vrsi temeljno arhiviranje podataka, vec nakon kraceg vremena kompjuter moze ponovo biti osposobljen i spreman za rad. Najgori moguci oblik stete je korupcija podataka neprekidno i progresivno propadanje integriteta ili tacnosti podataka. Korupcija podataka moze biti izazvana namerno ili se javiti slucajno. Ostecene mogu biti baze podataka, arhive sa programima i podacima, tekstualne datoteke i sl. Slucajan oblik korupcije je kada virus greskom inficira tekstualnu datoteku. Datoteka ce biti ostecena, a virus u toj datoteci nece se moci razmnozavati. Nameran oblik korupcije je kada virus pregleda disk u potrazi za bazom podataka, te u nadjenoj bazi podataka nasumce izmeni neki podatak. Ako korupcija traje duze vreme doci ce do nepopravljivih posledica. Arhiviranje podataka nije dovoljna zastita od korupcije podataka, jer ako korupcija ne bude otkrivena tokom jednog punog ciklusa arhiviranja, podaci ce biti nepopravljivo osteceni, buduci da ce sve arhivske kopije sadrzavati ostecene podatke. Jedina zastita od korupcije podataka je provera njihovog integriteta, pri cemu nije dovoljno proveravati samo vanjski, vec i unutrasnji integritet.

[8]

3. VRSTE VIRUSA PREMA NACINU DELOVANJA

U takvoj podeli razlikujemo: - viruse pocetnog koda (Boot Sector Virus) - viruse nametnike (Parasite Virus) - visedelne viruse (Multi-partite virus) - viruse pratioce (Companion Virus) - vezujuce viruse (Link Virus).

[9]

Ova podela prvenstveno vodi racuna o nacinu na koji virus moze zaraziti razlicite delove kompjuterskog sistema. Bez obzira kojoj grupi pripada, svaki virusni kod mora biti izvrsen da bi proradio i razmnozavao se. Osnovna razlika izmedju razlicitih vrsta virusa je u nacinu na koji to pokusaju osigurati.

3.1. Virusi pocetnog sektora (Boot Sector Virus)


Sektor na kojem se nalaze podaci za podizanje sistema (bootstrapping, boot) zove se Boot sector. Virus koji napada i menja sadrzaj pocetnog sektora (boot sector) na tvrdom disku ili disketi (tj. stazu 0, glavu 0 (head), sektor 1 na disku) ili DOS boot sektoru. Deluju tako da originalni sadrzaj navedenih sektora zamenjuju vlastitom verzijom, pri cemu originalni sadrzaj premestaju na neki drugi dro diska (postoje virusi koji uopste ne premestaju taj sadrzaj, vec ga jednostavno prepisuju). Tako se pri dizanju operativnog sistema najpre izvodi verzija koju je u boot sektor smestio virus, a ona najcesce ucitava u radnu memoriju ostatak virusnog koda. Tek posle toga izvodi se originalna verzija boot sektora, a virus se za to vreme vec smestio
[10]

negdje u radnu memoriju, gde ostaje sve dok se kompjuter ne iskljuci. Pokusajmo to objasniti malo strucnije i detaljnije. Boot sector virusi napadaju Master Boot sektor (Partition Table), DOS Boot Sector (oba na hard diskovima) ili boot sector floppy disketa, odnosno program koji se u njima nalazi. Boot sektor je idealan objekt za infekciju, buduci da sadrzi prvi program koji se izvrsava na kompjuterskom sistemu ciji se sadrzaj moze menjati. Kada jednom kompjuter bude ukljucen, program u ROM-u (BIOS) ce bez pitanja ucitati sadrzaj Master Boot sektora u memoriju i izvrsiti ga. Ako se u Master Boot sektoru nalazi virus, on ce postati aktivan. No, kako je virus dospio u Master Boot sektor? Najcesce pokusajem startovanja sistema sa inficirane diskete. Infekcija se dogadja kada zarazena disketa biva nepaznjom ostavljena u floppy disk jedinici, a kompjuter bude pokrenut (ukljucen ili resetiran). Ako ugledate poznatu poruku Non-System disk or system error... Replace and strike any key when ready, a disketa zaboravljena u floppy disk jedinici bila je inficirana . Boot sektor virusi se mogu siriti i pomocu posebnih programa, trojanskih konja, nazvanih dropper (bacac) - kojima je glavna namena da neprimetno 'ubace' virus u boot sektor. 'Prednost' ovakvih programa je da se, za razliku od boot sektor virusa, osim disketama mogu prenositi i putem BBS-ova i drugih slicnih oblika elektronske komunikacije, a antivirusni programi ih najcesce ne otkrivaju. Boot sektor virusi su iznimno ucinkoviti u razmnozavanju.

Neki virusi pocetnog sektora: - Form - poreklom je iz Svajcarske; osim sto napada pocetni (boot) sektor, napada i datoteke s .EXE nastavkom; aktivira se 18. dana svakog meseca; smesten je u memoriji; premesta originalni sadrzaj pocetnog sektora na posljednji fizicki sektor; proizvodi zvukove prilikom pritiskanja tipki na tipkovnici. - New Zealand - zauzima 2K RAM-a; na disketama inficira logicki sektor 0, a na tvrdim diskovima sektor 1, glavu 1, stazu 0; originalni sadrzaj pocetnog sektora pohranjuje u stazu 0, glavu 1, sektor 3, a na tvrdim diskovima stazu 0, glavu 0, sektor 2; sadrzi delove teksta: Your PC is now Stoned! i LEGALISE MARIJUANA; poznata je jos jedna verzija tog virusa, ona sadrzaj pocetnog sektora premesta u stazu 0, glavu 0, sekor 7 na tvrdome disku i ona u sebi nosi poruku: Your PC
[11]

is now Sanded; druga dva imena virusu su Stoned i Marijuana. - Michelangello - mutacija virusa New Zealand; 6. marta svake godine prepisuje prvih sedamnaest sektora svake staze na tvrdome disku na glavama od 0 do 4, na disketama kapaciteta 360 KB unistava sektore od 1-9, glave 0 i 1, a na disketama drugog kapaciteta unistava prvih sedamnaest sektora svake staze; originalni sadrzaj pocetnog sektora premesta na glavu 0, cilindar 0, sektor 7. - Italian - sastoji se od pocetnog sektora i jedne grupe (cluster) koja je u prvoj kopiji tablice smestaja datoteka oznacena kao losa (bad sector); prvi sektor u oznacenoj skupini sadrzi ostatak virusa, a u drugome se nalazi originalni sadrzaj pocetog sektora; moze zaraziti sve diskove koji imaju najmanje po dva sektora u grupi, a zauzima 2000B prostora u RAM memoriji. - Joshi - virus dolazi iz Indije; smesten je u memoriji; 5. avgusta svake godine ispisuje na ekran: 'Type "Happy Birthday Joshi"', ako korisnik doslovno ne utipka poruku slijedi potpun prekid rada racunala; virus nadzire svako citanje s diska i dok je smesten u memoriji nece ga otkriti niti jedan antivirusni program; virus koristi stealth i prezivljava resetovanje pomocu tipki CTRL-ALT-DEL; originalni sadrzaj pocetnog sektora pohranjuje na glavu 0, cilindar 0, sektor 9.

3.2. Parazitski virusi (Parasite Virus)


Najcesca vrsta virusa su upravo parazitski virusi. Ovi su virusi sposobni zaraziti odredjene bitne datoteke na kompjuterskom sistemu dodavanjem svog sadrzaja na kraj, umetanjem pre pocetka ili ugradjivanjem svog sadrzaja u samu strukturu programa, menjajuci tok inficiranog programa tako da se virusni kod izvrsi prvi. Poznati kompjuterski virusi sposobni su zaraziti .COM, .EXE, .SYS, .OVL i druge datoteke. Neki parazitiski virusi sposobni su zaraziti i vise vrsta odredjenih datoteka. Za aktiviranje virusa potrebno je pokrenuti zarazenu datoteku. U vecini slucajeva zarazena datoteka ne gubi svoju funkcionalnost, ali se pre pocetka njenog izvodjenja izvode instrukcije koje pripadaju virusu. Pokrenuti virus nastoji osigurati svoje daljnje sirenje zarazom jos
[12]

nezarazenih datoteka, a u neko vreme koje je odredio autor virusa (npr. svakog petka), aktivira se destruktivni deo virusa, koji moze prouzrokovati unistavanje podataka na disku. Evo nekoliko parazitskih virusa: - Cascade - sifrovani (enkriptirani) virus koji napada datoteke s COM nastavcima; poslije inficiranja sistema smesta se u memoriju; deluje tako da se dodaje na kraj datoteka s .COM nastavcima povecavajuci ih za 1701 ili 1704 bajta; sifra sadrzi podatak o duzini zarazene datoteke, pa te datoteke izgledaju kao da nisu zarazene istim virusom; kako ostaje smesten u memoriji, inficira svaku COM datoteku koju izvodi korisnik na racunaru, ukljucujuci COMMAND.COM datoteku; originalna verzija uzrokuje 'padanje' znakova sa ekrana ako sistemski cas pokazuje datum izmedju 1. maja i 31. septembra 1988. godine; postoji i formatirajuca verzija koja formatira disk izmedju spomenutih datuma svake godine osim 1993.; poznat je i po imenima Fall, Russian, Hailstrom,170x. - Bobo-530 - ovaj virus napravljen je u Hrvatskoj, pronadjen je u Zagrebu 16. Jula 1994, jer tog datuma, bilo koje godine, ispisuje na vrhu ekrana "Happy birthday, Bobo!"; taj virus inficira datoteke s nastavcima .COM ukljucujuci datoteku COMMAND.COM i automatski ih produljuje za 530 bajta; izvrsimo li zarazeni program virus ce preuzeti kontrolu i ispitati da li vec postoji u memoriji, ako ne postoji, instalirat ce se preusmeravajuci pritom na sebe interrupte 12h (DOS Services) i 1ch (User Timer Interrupt), a nakon toga dolazi izvrsavanje zarazenog programa; ako je virus aktiviran u memoriji, zarazit ce svaku pokrenutu .COM datoteku; virus nije sifrovan i ne koristi tehniku sakrivanja (stealth) i u njemu nije nadjen nikakav destruktivan kod; postoji i Bobo-1363 koji je nesto slozeniji tj. koristi se sifrovanom i ogranicenom tehnikom sakrivanja. - Jerusalem - napada datoteke s nastavkom .EXE i .COM tako da stavlja svoj kod na pocetak .COM datoteke, odnosno na kraj .EXE datoteke; pokrene li se zarazeni program, virus ce ostati smesten u memoriji i inficirati ce svaki .COM i .EXE program koji ce se izvoditi, osim programa COMMAND.COM; virus ima gresku, datoteke .COM inficira jednom, dok datoteke .EXE inficira svaki put kada se izvode sto uzrokuje neispravnost rada racunala i nemogucnost sirenja zarazenog programa; kod .COM datoteka zauzima 1813 bajta, a kod .EXE datoteka 1808 bajta memorijskog prostora; kraj .EXE datoteke pronalazi prema podacima u zaglavlju te datoteke i ako je taj podatak manji od aktualne duzine datoteke, virus ce prepisati jedan njen deo;
[13]

30 minuta nakon inficiranja sistema podaci od 5. reda i 5. nivao do 16. reda i 16. nivao na ekranu pomicu se za 2 reda prema gore, nakon toga se pojavljuje crni, prazan prostor te se rad racunara uspori jer virus izvodi petlju koju je instalirao na svaki time interrup; svakog 13. u mjesecu bilo koje godine, svaki pokenuti program ce izbrisati; poznat je i po imenima kao sto su PLO, Friday the 13th i Israeli. - Vbasic - napada datoteke s .EXE i .COM nastavcima, a posle inficiranja ostaje smesten u memoriji; zauzima 5120 bajta memorijskog prostora; prilikom izvodjenja zarazenog programa, virus rekurzivno trazi .EXE i .COM datoteke i inficira ih; nakon 1. septembra 1992. godine zarazeni programi javljaju gresku "Access denied"; delovi virusa napisani su u BASIC-u; imena su mu jos i 5120 te Slayer. - Yankee - napada datoteke s .EXE i .COM produzecima; pre inficiranja ostaje smesten u memoriji; pripada grupi virusa kojoj je jedan nacin delovanja da starije verzije zamjenjuje novima, a duzina im je promenjiva i moze biti izmedju 1200 i 3500 bajta; nakon 17:00 sati ili nakon pritisnutih CTRL-ALT-DEL tipki (tipke za resetovanje) svira melodiju "Yankee Doodle Dandy."

3.3. Svestrani virusi (Multipartite Virus)


Multi-partite virus je visestruko opasan virus. Virus koji jednim delom napada pocetni sektor (boot sector), a drugim .EXE i .COM programe. Ne sastoji se fizicki od vise delova, vec se njegova visedelnost odnosi na razlicite nacine delovanja: parazitski, kojim napada .EXE i .COM programe, i destruktivni, kojim napada pocetni sektor na disku. Pokrecu se kod ukljucivanja racunara zbog zarazenosti boot sektora diska, ali kasnije menjaju i sadrzaj izvrsnih datoteka. Poput boot sektor virusa i ovi su virusi izuzetno efikasni u razmnozavanju. Evo nekoliko takvih virusa: - Spanish telecom - virus dolazi iz Spanije; koristi tehnike sakrivanja (stealth) i sifrovanja (enkripcije - encryption); napada Master Boot sektor i datoteke s .EXE i .COM nastavcima; deo virusa koji se nalazi
[14]

u Master Boot sektoru broji koliko puta je racunar puta pokrenut i kad taj broj dodje do 400 virus ce prepisati sve podatke na prva dva diska (naravno, ako imate jedan onda tog jednog); originalni sadrzaj Master Boot sektora pohranjuje na glavu 0, cilindar 0, sektor 7; kad se aktivira, na ekranu se ispisuje poruka u kojoj se moze videti i ovaj dio: "lower telephone tariffs, more services"; druga imena su mu Anti-Tel i AntiCTNE. - Tequila - virus dolazi iz Svajcarske; smesten je u memoriji; koristi tehnike enkripcije i polimorfizma (viseoblicja); napada datoteke sa .EXE nastavcima i Master Boot sektor; u njegovom kodu se nalazi sifrovani tekst: "Welcome to T.TEQUILA's latest production" i "Contact T.TEQUILA/P.o.Box 543/6312 St'hausen/Switzerland"; virus nije moguce pronaci prema uzorku (pattern), a nije vidljiva ni promena pocetnog sektora; originalni sadrzaj pocetnog sektora uvecava za 6 bajta te ga premesta na 1.sektor poslije kraja 1. particije, a takodjer i originalni Master Boot sektor; na ekran iscrtava grubi Mandelbrot. - Flip - napada Master Boot sektor (staza 0, glava 0, sektor 1 na disku) i datoteke s .COM i .EXE nastavcima; posle inficiranja ostaje u memoriji racunara i pri tom zauzima 2343 bajta memorijskog prostora; svakog drugog dana u bilo kojem mesecu izmedju 10:00 i 1:59 sati rotira prikaz na ekranu za 90 stepeni; zaljucan je i moze se samostalno modifikovatii; u zarazenoj datoteci virus podesava polje za sekunde na 62; nalazimo ga i pod imenom Omicron.

3.5. Vezujuci, link virusi (Link Virus)


Virus koji inficira datoteke povezivanjem (link) jedne grupe podataka (clustera) koja sadrzi kod virusa s pocetnom grupom (cluster) podataka svake EXE datoteke u direktorijumu (directory). Najinfektivnija vrsta virusa su link virusi koji, jednom pokrenuti, u trenu inficiraju napadnuti kompjuterski sistem. Poput virusa pratioca, ovi virusi ne menjaju 'napadnute' programe vec menjaju pokazivace u strukturi direktorijuma na takav nacin da ih oreusmere na klaster na disku gde je pethodno sakriveni virusni kod. Kada napadnuti virus bude izvrsen, prvo ce se izvrsiti virusni kod, buduci da je na njega uperen pokazivac. Nakon toga virus preuzima kontrolu i ucitava program sa ispravne lokacije na disku koju pohranjuje u samom telu virusa. Na srecu, ova izrazito infektivna i neugodna vrsta virusa, koja zbog samog nacina razmnozavanja moze izazvati pravi haos na disku, ima trenutno samo dva predstavnika i ukupno cetiri varijante. Evo ta dva 'zlatna' predstavnika:
[15]

- DIR-II - posle inficiranja ostaje smesten u memoriji; zauzima 1024 bajta memorijskog prostora; napada datoteke s .EXE i .COM nastavcima; originalni broj podataka sifrovano sprema u neupotrebljeni deo imena ; nisu otkriveni drugi nacini delovanja tog virusa. - DIR-II-1 - poslije inficiranja ostaje smesten u memoriji racunala; napada datoteke s .EXE i .COM nastavcima; poznate su dve mutacije tog virusa, a sva tri virusa pronalaze se pomocu istog uzorka za trazenje.

4. VIRUSI NOVE GENERACIJE 4.1 Spywere,adwere,malwere i keylogger

Spyware Spyware je mnogo opasniji od adware-a te napravi puno vie tete. Spyware radi ono to mu ime i govori. pijunira nas racunar, zapisuje lozinke i klikove misa, zapisuje otvarane stranice, kontakte u mejl listama, brojeve kreditnih kartica, itd. U globalu, snima sve to se dogaa na raunaru. Ti podaci se onda alju na Internet te ih koristi tvorac spyware-a ili se odmah objavljuju na Internetu.

[16]

Malware Malware je naziv u koji spadaju svi nedobronamerni programi. To je program koji radi bez naega znanja i pokuava svojim radnjama ometati sistem u normalnom radu. Radnje ovakvog software-a su uvek vezane za onesposobljavanje sistema. Ovo je ustvari grupa u koju spadaju virusi, trojanci i crvi. Imaju mogunost reprodukovati se i obino spremaju kopije tako da se mogu sami ''instalirati'' nakon to ga maknemo sa sistema. U prevodu to je program koji prikazuje reklame na stranicama koje poseujemo ili nas obasipa pop-up prozorima na raunalu i upozorava nas na neki proizvod. Obino dolazi uz neke besplatne programe, screensavere, pretraivake alate, dodatke za web pretrazivace, itd. Mnogi programi pri instalaciji ne napiu da e se dodatni program instalirati sa njima. Takoe, korisnici i ne itaju upute pri instalaciji pa zbog brzine sami preskoe i prihvate adware kao dio programskog paketa. Mnogi programi e ak prestati raditi ako probate izbrisati samo adware dio. Ovo je veoma jednostavan program koji sprema svako slovo koje upiete na tastaturi u jedan dokument te ih preko Interneta alje svom tvorcu. Sve to ste upisali na tastaturu lozinke, brojevi kreditnih kartica, korisnika imena, mail adrese sve postaje javno dostupno.

Prvi znakovi zaraze raunara: Svaki maliciozni program je specifian na svoj nain i svaki mijenja neke druge postavke raunala. Ovo su samo neki znakovi zaraenosti koje svaki korisnik moe primijetiti: Promenjene stranice u IE Favorites Promenjena poetna stranica Pop-up prozori iskau i kada niste na Internetu Nove ikone na radnoj povrini Novi programi koje niste sami instalirali Promijenjen screensaver bez vaeg znanja Usporen rad racunara Usporeno otvaranje i osveavanje stranica Pri pokretanju raunara pojavljuju se udne poruke Neki programi u sklopu Windowsa ne rade (Notepad, Media Player, IE) Iskljuivanje Internet konekcije nakon kratkog vremena Kako se sami moete uvati? Kao sto sami znate bolje je spreiti nego leiti. U veini sluajeva sam korisnik je kriv zbog zaraze raunara. Na samom kraju evo i naina kako se
[17]

cuvati i spreciiti instaliranje malicioznog programa na raunar. Nemojte se spajati na Internet pre nego instalirate antivirusni program. Ima toliko dobrih i besplatnih antivirusnih programa da stvarno nemate razloga da ih nemate instalirane na raunaru. Neki od besplatnih, najkoritenijih i najboljih su Avira Antivir Personal ,AVG ,Avast ... Koristiti samo programe sa kojima ste upoznati i koji imaju dobru reputaciju Skidajte programe samo sa stranica koje su proverene i izbegavajte skidanja programa sa stranica koje imaju ''warez predznak''. Sve e-mail poruke kojima ne prepoznajete osobu koja je salje, ne otvarajte nikako i odmah ih izbrisite bez otvaranja. Pogotovo nemojte skidati slike, aplikacije i videa koji su poslani sa tim porukama. Na reklame ''You are the 999999999999 visitor .'' koje se nalaze na nekim stranicama nemojte slucajno kliknuti. Nakon klika 99.9% imate instaliran jedan od gore navedenih malicioznih programa. Osim antivirusnog programa obavezno instalirajte dva antispyware programa. Dva najbolja i besplatna su Ad-Aware i SpyBot Search&Destroy.

Izgled prozora na koji ne treba kliknuti

5. ZASTITA OD VIRUSA 5.1 Sta su antivirusi


Antivirusi su programi koji su napravljeni da tite Va raunar. Kao to sama re kae, Antivirusi su programi koji imaju zadatak da spree infekciju Vaih fajlova kao i da oiste zaraene fajlove ukoliko se ve desilo da je Va raunar napao neki virus.

[18]

Na ovoj slici vidimo kako je antivirusni sistem Avast locirao virus!

5.2 Kako rade antivirusi


Ukoliko primetite da Va raunar radi drugaije nego inae, da radi sporije, da Vam se pojavljuju razni prozorii koji do sada nisu, budite skoro sigurni da je Vaem raunaru potrebna adekvatna zatita ukoliko elite da na vreme sauvate Vae fajlove. Konkretno u ovom sluaju potreban Vam je jedan od Antivirusnih programa koji e da zatite Va raunar i da ga vrate u prvobitno stanje. Antivirusni programi rade to tako to skeniraju fajlove koje pokrenete u potrazi za kodom (programom unutar programa) i ako nau kod koji odaje prisustvo virusa oni zabrane pokretanje zaraenog programa. Fajlove koji su ve zaraeni iste tako to jednostavno unutar zaraenog fajla briu kod za koji su sigurni da je virus. Kod ove konstatacije dolazi sigurno do Vaeg pitanja, a kako to da budem 100% siguran da je Antivirus obrisao sve i da li je sve pronaao ili je neto moda i promaklo? Tj. da li je mogue napraviti univerzalni Antivirus koji nije tako lako otkriti?.
[19]

Ova pitanja verovatno ste bezbroj puta postavili sebi pa emo zato ovom prilikom odgovoriti na njih. Antivirusi imaju bazu kodova virusa koje su proizvoai Antivirusa uspeli da nabave. Antivirusi jednostavno trae kodove koje imaju u svojoj bazi, tako da ako ste zaraeni nekim novim virusom, Antivirusi nee otkriti nita ili e ga otkriti kao "mogui virus" koji naravno nee uspeti da oisti. Iz ovoga moete i sami da donesete zakljucak da ni jedan Antivirus nije savren i da vam u nekih 20% sluajeva Antivirusi nee pomoi.

6.

ZAKLJUCAK

I na kraju ovoga sta zakljuciti? Mislim da to nece biti tesko. Koliko god dobro da baratate racunarom , necete uspeti da pobegnete od virusa! Budite pametni kada budete odlucivali koji cete antivirusni sistem da koristite,jer o virusima se pise jako malo, a stete koje oni prave su jako velike!

[20]

Literatura:
1. Kis,M.: "Virusi i antivirusne mjere" 2. www.wikipedia.org 3. www.antivirus.sr 4. www.yuforum.com ...

[21]

You might also like