Transcript Рачунарски вируси
RAČUNARSKI VIRUSI
JELENA DRAGIŠIĆ br. indeksa 4/2005
=
RAČUNARSKI VIRUSI
Računarski virusi su vrsta zlonamerno napisanih delova ili celih računarskih programa.
Za pravljenje ovih programa postoje posebni programi-Virus Toolkits.
Osim virusa postoje i drugi programi sa sličnom “primenom” o kojima više sledi.
CRV-WORM
Crv deluje kao samoszalni program kome nisu potrebni drugi programi da bi radio.
Poseduju sposobnost samoumnožavanja, širenjem svojih funkcionalnih kopija (segmenata) računarskom mrežom preko Microsoft Outlook-a i chat-a.
Postoje dve
vrste crva: Host worm
-na računaru razmnožavanje -mrežu upotrebljava samo za
Network worm
-mrežni crv -ima više delova koji su raspršeni po na više računara, povezanih u mreži- glavni deo oktopus upravlja ostalima.
Pr. BadAss, BubbleBoy, Prolin,Happy 99,...
LOGIČKA BOMBA-LOGIC BOMB
Ovo je u stvari samo princip delovanja i često samo deo računarskog virusa.
TROJANSKI KONJ-TROJAN HORSES
Program koji izgleda kao da služi za nešto druga, a ustvari je zlonameran.
Kada se jednom pokrene, formatizuje disk.
ZAMKA-TRAP DOOR
Ovo je posebna funkcija programa koja se može pokrenuti unapred, lozinkom ili delom znakova.
VIRUSI
Virusi su celi programi, ili samo delovi programa (programski kod), zlonamerno napravljeni.
Poseduju sposobnost samorazmnožavanja, tj. infekcije (prenošenje zaraženog programa i na druge računare).
VIRUS
SAMOKODIRAJUĆI DEO TERET-PLAYLOAD -omogućava razmnožavanje -neobavezan BENIGAN MALIGAN -bezopasan -destruktivan,opasan
ISTORIJSKI RAZVOJ VIRUSA
1981. Elk Eloner, poznat kao “program sa dušom” koji menja sadržinu RAM-a 1986. Brain 13. Maj 1988. Jerusalem 1989. Datacrime 1989. Stoned 1991. Michelangello
PUTEVI ZARAZE
Floppy disketa Izmenjeni hard disk CD-ROM (jednom izdrađen bez infekcije datoteka je potpuno siguran jer je na njega ne moguće upisivati) Računarske mreže (e-mail, IRC, news, download...)
POSLEDICE ZARAZA
Zavise od sadržaja virusa: Reklama-Amstrad Pesmica Ljubavna/politička poruka-Maltese Ameba, Milana, Jerusalem, IRA...
Iskrivljen prikaz ekrana-1575, 757, Ambulance, Carterpillar Uništavanje zaraženih EXE i COM programa Formatiranje diska-Casper, Datacrime, Michelangello Dovode do CROSS LINKED FILES,tj. unakrsno povezivanje datoteka Greške u radu
VRSTE VIRUSA
I Prema načinu delovanja: Virusi početnog sektora-Boot Sector Virus Parazitski virusi-Parasite Virus Svestravi virusi- Multipartite Virus Virusi pratioci-Companion Virus Link virusi-Link Virus
VRSTE VIRUSA
II Po načinu skrivanja Šifrovani- Encripted Virus Polimorfni-Polimorphic Virus Nevidljivi-Stealth Virus Mutirani-Mutation Virus
VRSTE VIRUSA
III Po tome šta se s njima dešava nakon što izvrše svoj “zadatak”: Rezidentni Nerezidentni (aktivni)
MACROVIRUS
Upotrebljava mogućnost makro programskih jezika koji su ugrađeni u moderne programe za obradu podataka-Word, Excel, Power Point...
Primeri Word makrovirusa: -Word 97 Melissa -Word Macro Concept -Word Macro DVM -Word Macro Nuclear
MACROVIRUS
-Njegova prednost je nemogućnost prepoznavanja izvrđnog koda.
-Prvi pravi multisistematski virusi -Rezidentni virusi -Mogu inficirati samo onu verziju programa (npr Word-a) za koju su “namenjeni”.
METODE ZA OTKRIVANJE VIRUSA
Dijagnostika sa pregledom diska Dijagnostika sa sondiranjem Diferencijalna dijagnostika Rezidentna dijagnostika Heuristička dijagnostika
ANTIVIRUSNI PROGRAMI
Programi za pregledanje-Scanners Programi za motrenje-Monitors Heuristički programi Programi za zaleđivanje sistema-Checksummers Programi za čišćenje specifičnih i nespecifičnih virusa
PREVENTIVA
Inforžmisati se o najnovijim računarskim virusima Povremeno proveravanje hard diska i diskete Treba imati arhivske kopije Testiranja i ispitivanja programa treba vršiti na posebnom računaru- prljavi PC
OTKRIVANJE
Antivirusni programi Uočavanje usporenost rada sistema i brojne neobjašnjive greške
ŠTA POSLE OTKRIVANJA?
1.
2.
3.
Ograničiti mogućnost širenja virusa Isključiti i fizički odvojiti računar sa mreže Uzeti kopije infektiranih objekata radi dalje analize
ČIŠĆENJE
Datoteke
-brisanje ili zamena nezaraženim originalima
Boot sektor hard diska
-komandom FDISK/MBR
Diskete
-formatizovanjem
Virusi pratioci
-pronaći i izbriati skrivene datoteke
Link virusi
-prepustiti ih profesionalcima
VAŽNO!!!
Pre bilo kakve antivirusne operacije, sistem se
obavezno
diskete !
mora startovati sa ispravne i nezaražene sistematske (boot)
KRAJ
V. POČETNOG SEKTORA -napadaju i menjaju sadržaj početnog sektora -izvorni sadržaj premeštaju na neki drugi deo diska, a svoju verziju ugrađuju, pa se tako ona prva izvodi pri podizanju sistema -infekcija nastaje kada se u disk jedinicu pokrenutog računara stavi zaražena DOS Boot disketa -napadaju Master Boot Serkor, DOS Boot S. Ili Boot S. Disketa PARAZITSKI V. -infekcija izvršne datoteke- COM, EXE, SZS, OVL...
-pr. Cascade, Jerusalem, Vbasic...
SVESTRANI V. -izuzetno efikasni u razmnožavanju -napadaju Boot Sektor destruktivno i EXE i COM program parazitski -pr. Spanish, Telecom, Tequila, Flip, Liberty, V-1...
V. PRATIOCI -najjednostavniji, koriste prednosti kojima se izvršavaju programi sa istim operativnim sistemima -nisu jako opasni jer ne menjaju sadržaj “napadnutog” programa -pr. 16850, Clonewar, Even Beeper, Globe, Breeder LINK V. –najinfektivniji
-ne menjaju “napadnut” program, već pokazivače u strukturi direktorijuma
ŠIFROVANI VIRUSI –kodira se, tj. menja izvorne podatke radi prikrivanja pravog sadržaja -nije u mogućnosti da menja deo koda koji vrši dešifriranje POLIMORFNI VIRUSI –preoblikoje izvršni kod i istovremeno menja njegov izgled -tehnički je usavršen jer prilikom svake naredne infekcije nastoji izmeniti i deo virusa koji vrši šifrovanje -pr. 1260, Dark Avanger Mutation Engine DAME NEVIDLJIVI VIRUSI –kompleksna tehnika -sistem zaražen ovim virusom ne pokazuje ništa neobično MUTIRANI VIRUSI –nastaju unapređivanjem, tj. izmenom i dopunom na virusnom kodu -pr. Od virusa New Zeland “razvio” se virus Michelangello
REZIDENTNI VIRUSI –instaliraju se u radnu memoriju i ostaju aktivni dugo nakon što program bude izvršen -izuzetno su infektivni i sposobni da koriste sve virusne tehnike NEREZIDENTNI VIRUSI -nalaze pogodan objekt za inficiranje i zaraze ga -ne ostaju aktivni u memoriji kada njihov rad bude izvršen -manje su infektivni
DIJAGNOSTIKA SA PREGLEDOM DISKA –najjednostavnija -analiziraju svaki poznati virus a zatim traži karakteristišni niz bajtova po kome se raspoznaje zaraženost računara DIJAGNOSTIKA SA SONDIRANJEM –temelji se na tačnom poznavanju delovanja nekog virusa DIFERENCIJALNA DIJAGNOSTIKA Checksumm –neinficirani delovi se prvo “zalede”, a zatim se ostali delovi posmatraju da bi se uočile promene koje virusi prave svojim delovanjem REZIDENTNA DIJAGNOSTIKA Monitoring –preventivna metoda -neprestalno kontrolisanje ključnih delova računara i ako neki virus pokuša da napadne, spreči ga HEURISTIČKA DIJAGNOSTIKA –inteligentna metoda -analizira izvršni kod svake datoteke i u njima pokušava pronaći destruktivne operacije, karakteristične za delovanje virusa
PROGRAMI ZA PREGLEDANJE -za čišćenje specifičnih virusa -najpopularniji, ali ne i najefikasniji -koriste prethodno pribavljene podatke o svakom pojedinom virusu, ali kako stalno nastaju novi virusi, on zahteva stalno nadograđivanje PROGRAMI ZA MERENJE - za čišćenje specifičnih virusa -prate događaje ne sistemu i zaustavljaju sumnjive radnje HEURISTIČKI PROGRAMI - za čišćenje nespecifičnih virusa -viruse pronalaze poznavajući karakteristike i/ili način rada pojedinih virusa, a ne ne samo specifičnih računarskih virusa -zasnivaju se na tehnologiji znanja i veštačkoj inteligenciji -nroblem je što u zome što pronalaze “virus” i tamo gde ga nema, pa izazivaju false positive, tj. lažnu uzbunu PROGRAMI ZA “ZALEĐIVANJE” SISTEMA - za čišćenje nespecifičnih virusa -jedina poznata metoda kojom se sigurno mogu otkriti svi virusi, bili oni poznati ili ne jer ne prepoznaju sam virus, već promene na postojećim sadržajima