- Učlanjen(a)
- 22.08.2009
- Poruka
- 4.109
Za definiciju virusa najbolje je uzeti onu dr. Fredericka Cohena po kojoj virus predstavlja program koji može inficirati druge programe, modificirajući ih tako da uključe kopiju njega samoga, koja također može biti modificirana. Pod infekcijom se ovdje misli na mogućnost virusa da ubaci svoje izvršenje u postupak izvođenja programa.
Ova definicija ključna je za određivanje virusa jer ne smatramo svaki maliciozni program virusom, drugim riječima nije svaki destruktivni program virus, jer bi u tom slučaju i program Format bio virus. Struktura virusa može se najlakše podijeliti na tri komponente, od koje virus mora obavezno imati samo prvu.
Prva komponenta predstavlja mogućnost infekcije. Dakle nije nužno da virus radi bilo kakvu štetu na računalu, sama činjenica da se širi infekcijom dovoljna je da ga se okarakterizira kao virus.
Drugi dio virusa, koji nije obavezan, predstavlja nosivu komponentu. Taj dio definira sve aktivnosti koje će biti izvedene uz njegovo širenje.
Treći dio predstavlja funkcija za okidanje koja definira vrijeme ili događaj prilikom kojeg će biti izvršena nosiva komponenta virusa.
Zlonamjerno napisani kompjutorski program ili dijelovi programskog koda nazivaju se raznim imenima. To su crvi (worm), trojanski konji (trojan horse), logičke bombe (logic bomb), zamke (trap-door) i naravno virusi.
Crv je program koji se širi samoumnožavanjem kroz kompjuterske mreže. Crv je samostalan i za razliku od virusa ne treba program domaćin da bi radio. Također, crva u ˝pogon˝ pušta i kontrolira sam autor.
Logička bomba je metoda aktivacije procesa temeljem zadovoljavanja logičkog uvjeta-postojanja ili nepostojanja nekog podatka, protoka, određenog vremena ili u određeno vrijeme i sl. Logička bomba u stvari predstavlja princip djelovanja, a ne cjelovit mehanizam. Logičke bombe su često sastavni dio mnogih kompjutorskih virusa.
Trojanski konj je program koji naizgled služi za neku drugu operaciju od one za koju je napravljen. Trojanski konj bi recimo bio program koji izgleda kao tekst procesor, a zapravo jednom pokrenut formatira hard disk. Mnogi autori virusa koriste trojanske konje kako bi olakšali razmnožavanje svojim mezimcima.
Zamka predstavlja posebnu nedokumentiranu funkciju programa koja se može pokrenuti na unaprijed određen način. Programeri koji pišu različite programe često znaju predvidjeti posebnu lozinku ili sekvencu znakova koja jednom utipkana omogućava dostup do inače nevidljivih funkcija programa.
Njegovo veličanstvo virus je dio programskog koda koji je sposoban izvršiti samokopiranje (infekciju) dodavanjem svog sadržaja u druge programe ili dijelove operativnog sistema. Kao što se može primijetiti postoji velika sličnost između kompjutorskih i bioloških virusa.
Virus se obično sastoji od dva dijela. Prvi dio je samokopirajući kod, koji omogućava razmnožavanje virusa, a drugi je dio korisni teret (payload) koji može biti bezopasan (benigan) ili opasan (destruktivan, maligan). Neki se virusi sastoje isključivo od samokopirajućeg koda i nemaju nikakav korisni teret.
Iako virus ˝u promet˝ najčešće pušta sam autor, kontrola nad razmnožavanjem oslobođenog virusa nije u rukama autora.
POVIJEST VIRUSA
Šezdesetih i sedamdesetih godina, još u vrijeme velikih mainframe računala, postojao je fenomen zvan zec (rabbit). Zec je najčešće nastajao slučajem ili greškom kada je ˝pomahnitali˝ kompjuterski program počeo sam sebe kopirati po sistemu, izazivajući usporenje ili pad sistema. No nisu svi ˝zečevi˝ nastali slučajno.
Prvi pravi predak današnjih virusa - Prevading animal (prožimajuća zvijer) bio je program sposoban da se nadodaje na druge kompjutorske programe na UNIVAC 1108 kompjuterskom sistemu, a napadnuti programi su čak bili označeni posebnom signaturom u svrhu samoprepoznavanja.
Prvi potvrđen nalaz kompjuterskog virusa daleke 1981. godine bio je Elk Cloner - virus koji je inficirao BOOT sektor disketa za legendarni Apple II kompjuter.
U studenom 1983. Len Adleman prvi put u povijesti upotrebio riječ ˝virus˝ opisujući samokopirajući kod.
Prijelomna je i 1986. godina kada se pojavljuje kompjuterski virus Brain (mozak). Ovaj virus, sposoban inficirati BOOT sektore 360 KB disketa IBM PC kompjutera brzo je osvojio svijet. Na svu sreću, virus nije bio destruktivan, nego je u sebi samo nosio podatke o autorima.
Nakon toga stvari kreću brže. Pojavljuje se kompjuterski virus Jerusalem (1988.) koji je brisao sve pokrenute programe, te prvi pravi destruktivac Virus Datacrime (1989.) koji je bio sposoban izvršiti low-level format nulte staze na disku.
1989. aktivirana je tvornica virusa u Bugarskoj. Izvjesna osoba (ili skupina) koja sebe naziva Dark Avenger (Crni osvetnik) do danas je napisala najmanje 50-tak virusa uključujući neke od najpoznatijih kao što su New Zeland i Michelangelo.
VRSTE VIRUSA
Kompjutorski virusi mogu se podijeliti na šest vrsta:
• boot sektor viruse
• parazitske viruse
• svestrane (multipartite) viruse
• viruse pratioce (companion)
• link viruse
• makro viruse
Ova podjela prvenstveno vodi računa o načinu na koji virus može zaraziti različite dijelove kompjuterskog sistema. Bez obzira kojoj grupi pripada, svaki virusni kod mora biti izvršen da bi proradio i razmnožavao se. Osnovna razlika između različitih virusa je u načinu na koji to pokušavaju osigurati.
Postoji još i podjela na viruse ovisno o tome da li je virus prisutan u memoriji na:
• viruse koji su rezidentni u memoriji
• viruse koji nisu rezidentni u memoriji
Boot sektor virusi
Boot sektor virusi napadaju Master BOOT sektor (partitition table), DOS BOOT sektor (oba na hard diskovima) ili BOOT sektor floppy disketa, odnosno program koji se u njima nalazi. BOOT sektor je idealan objekt za infekciju, budući da sadrži prvi program koji se izvršava na kompjuteru, čiji se sadržaj može mijenjati. Kada jednom kompjuter bude uključen, program u ROM-u (BIOS) će bez pitanja učitati sadržaj Master BOOT sektor u memoriju i izvršiti ga. Ako se u njemu nakazi virus, on će postati aktivan.
No kako je virus dospio u Master BOOT sektor?
Najčešće pokušajem startanja sistema sa inficirane floppy diskete, ali boot sektor virusi se mogu širiti i pomoću posebnih programa, trojanskih konja, nazvanih dropper (bacač) - kojima je glavna namjena da neprimjetno ˝ubace˝ virus u BOOT sektor.
Boot sektor virusi su iznimno učinkoviti u razmnožavanju - od sedam najčešćih kompjutorskih virusa čak šest ih je sposobno zaraziti BOOT sektor.
Parazitski virusi
Najčešća vrsta virusa su upravo parazitski virusi. Ovi su virusi sposobni zaraziti izvršne datoteke na kompjutorskom sistemu dodavanjem svog sadržaja u samu strukturu programa, mijenjajući tok inficiranog programa tako da se virusni kod izvrši prvi. Poznati kompjutorski virusi sposobni su zaraziti .COM, .EXE, .SYS, .OVL i druge datoteke.
Svestrani virusi
˝Dobre˝ osobine boot sektor i parazitskih virusa ujedinjene su kod svestranih virusa (multipartite) virusa. Ovi virusi sposobni su zaraziti i BOOT sektore i izvršne programe, povećavajući tako mogućnost širenja. Poput boot sektor virusa i ovi su virusi iznimno efikasni u širenju.
Virusi pratioci
Najjednostavniji oblik kompjutorskih virusa su upravo virusi pratioci. Oni koriste prioritet kojim se izvršavaju programi s istim imenom pod DOS-om. .COM datoteke se uvijek izvršavaju prije .EXE datoteka, program iz direktorija koji su na početku PATH niza izvršavaju se prije onih sa kraja. Virus pratilac obično stvori .COM datoteku koristeći ime već postojećeg .EXE programa i ugradi u nju svoj kod. Princip je jednostavan - kada program bude pozvan, umjeste originala s .EXE ekstenzijom, prvo će se izvršiti podmetnuti .COM program s virusnim kodom. Kada izvršavanje virusnog koda bude završeno, virus će kontrolu vratiti kontrolu programu s .EXE ekstenzijom. Da bi prikrio prisustvo, virus pratilac će postaviti skriveni atribut za .COM program u koji je stavio svoj sadržaj. Ova vrsta ne mijenja ˝napadnuti˝ program, a zbog nespretnog načina širenja ne predstavlja veću opasnost.
Makro ili skriptni virusi
Najčešći virusi u posljednje vrijeme koriste mogućnost izvršavanja skripti u programima koji su u širokoj upotrebi, npr. Internet Explorer, Outlook i Outlook Express, zatim Word, Excel. Mnogi od tih programa imaju puno sigurnosnih rupa za koje se zakrpe ne izdaju često, a korisnici ih još manje primjenjuju. Ukoliko je sigurnost prioritet pri radu na računalu predlaže se isključivanje skriptnih jezika (Java, VBscript itd.)
VIRUSI KOJI NISU REZIDENTNI U MEMORIJI
Osnovna vrsta su virusi koji, kada njihov kod bude izvršen i pošto vrate kontrolu originalnom programu, ne ostaju aktivni u memoriji. Ova vrsta operira tako da tijekom svog izvršenja pronađe objekt pogodan za infekciju i zarazi ga. Teoretski su ovi virusi manje infektivni od virusa rezidentnih u memoriji, ali nažalost u praksi to nije uvijek slučaj. Zarazili virus program koji se često izvršava, bit će izuzetno učinkovit. Kako ovi virusi ne mijenjaju količinu slobodne radne memorije, moguće ih je primijetiti samo po promjeni duljine programa na disku. Danas ova vrsta virusa sve više ˝izlazi iz mode˝ budući da se ne mogu koristiti tehnike samosakrivanja koje zahtijevaju da virus bude aktivan u memoriji.
VIRUSI REZIDENTNI U MEMORIJI
Kao što samo ime kaže, ova se vrsta virusa instalira u radnoj memoriji kompjutera i ostaje aktivna dugo nakon što zaraženi program bude izvršen. Virus aktivan u memoriji može biti sposoban zaraziti svaki izvršeni program, svaku disketu koja bude pokrenuta (pod uvjetom da nije zaštićena od pisanja), on može motriti aktivnost sistema ili u svakom trenutku izvršiti svoj korisni teret. Ovi virusi su iznimno infektivni. Osim toga, oni su sposobni koristiti sve moguće virusne tehnike, te predstavljaju trend u razvoju virusa.
Neki virusi koriste kombinacije ovih dviju tehnika. Tako na primjer, virus može inficirati programe na način koji je tipičan za viruse koji nisu rezidentni u memoriji, ali nakon izvršenja virusnog koda ostavlja u memoriji mali rezidentni program sa korisnim teretom koji sam po sebi nije sposoban inficirati druge programe.
PUTEVI ZARAZE
Najčešće postavljano pitanje nakon otkrivanja virusa je ˝kako je do zaraze došlo?˝. Iako su mnoge stvari vezane uz viruse vrlo složene, odgovor na ovo pitanje je više nego jednostavan. Kao što smo rekli svaki virusni kod, da bi se umnožavao, treba prethodno biti izvršen. Neki se programi na kompjuteru izvršavaju voljom korisnika, a neki automatski, bez njegove volje.
Diskete
Floppy diskovi (diskete) su najčešći medij kojima se prenose virusi. Budući da su diskete standardno sredstvo razmjene programa i informacija, njima se odvija i najveći dio komunikacije između korisnika kompjutora. Zapamtite, disketa ne mora biti sistemska da bi prenijela boot sektor virus i zarazila vaš kompjutor.
Izmjenjivi hard-diskovi
Izmjenjivi hard-diskovi, iako se rjeđe koriste također predstavljaju pogodan medij za prijenos svih vrsta virusa.
CD-ROM
CD-ROM-ovi su se pokazali kao odličan medij za prijenos virusa, iako se sa CD-ROM-ova u pravilu ne obavlja startanje sistema pa nisu pogodan medij za prijenos boot sektor virusa. Nezgodna je činjenica da programi i podaci na njima dolaze u komprimiranoj formi, što dodatno otežava pregled antivirusnim programima.
Mreže
Virusi na kompjutorskim mrežama predstavljaju jedan od najvećih sigurnosnih rizika danas, a predstavljat će ga i u budućnosti.
CRVI
Klasični virusi danas su zapravo rijetki. Današnji korisnici uglavnom se susreću sa crvima. Crvi su maliciozni programi koji se šire računalnim mrežama i računalima, a da pritom ne inficiraju druge programe. Ovdje vidimo osnovnu razliku između virusa i crva, a to je da crvi nemaju prvu i obaveznu komponentu virusa, mogućnost infekcije programa. Crvi obično upotrebljavaju računalnu mrežu ne bi li se širili i danas najčešće na adresu primatelja stižu u vidu privitka poruke elektroničke pošte. Neki drugi crvi za svoje širenje koriste različite sigurnosne probleme, ali svima im je karakteristika da ne inficiraju druge programe.
NAČIN OTKRIVANJA METE
Skeniranje - označava testiranje raspona adresa da se indefiticiraju ranjiva računala. Postoje dvije varijante skeniranja, sekvencijalna ili slučajna. Zbog svoje jednostavnosti to je vrlo čest način širenja crva. Ovo nije jako brz način širenja, ali kod crva sa automatskom aktivacijom širenje može biti vrlo brzo, za što je primjer Blaster ili Code Red I crv. Skeniranjem crv uzrokuje puno abnormalnog mrežnog prometa pa ga se po tome može prepoznati, a neki antivirusni programi i vatrozidi (firewall) automatski reagiraju i ograničavaju taj promet, što može zaustaviti crva.
Prije generirana lista adresa - napadač može napraviti listu adresa prije lansiranja crva na kojima bi bile vjerojatne žrtve. Mala lista bi se mogla iskoristiti za ubrzavanje skenirajućeg crva, a stvaranjem velike liste dobivamo nevjerojatno brzog crva, koji može u nekoliko minuta zaraziti milijune računala. Takav crv osim u laboratorijskim uvjetima još nije napravljen.
Vanjski generirana lista adresa - Vanjski generirana lista je ona koju održava neki neovisni server. Serveri koji imaju popis adresa drugih servera nazivaju se metaserveri. Najbolji primjer za to je servis Gamespy koji održava listu pokrenutih servera nekih od najpopularnijih mrežnih igra današnjice, a kada pogledamo koliko ljudi se igra na internetu dobivamo ogromne liste adresa. Ova tehnika bi se mogla iskoristiti i na tražilicama, jer npr. Google ima listu većine web servera na svijetu. Metaserver crvi još uvijek nisu primjećeni na slobodi, ali rizik je velik zbog velike brzine širenja koju bi crv mogao postići.
Interna lista adresa - Mnoge aplikacije na računalu sadrže informacije o IP ili e-mail adresama drugih računala. Nakon što crv zarazi računalo, pretraži neke najčešće aplikacije u potrazi za adresama i šalje se na na njih. To često viđamo kod novijih crva koji pretražuju adresar u Outlooku i šalju se na sve e-mail adrese koje pronađu. Ove crve je teško otkriti skeniranjem mrežnog prometa jer crv na računalu nalazi adrese računala s kojima se ionako komunicira pa dodatni mrežni promet nije sumljiv.
Pasivni - Pasivni crv ne traži adrese računala žrtve, već čeka da se žrtva javi ili se oslanja na korisnika koji mu otkriva nove mete, naprimjer surfanjem po internetu. Gnuman crv se pretstavlja kao Gnutella čvor, koji se koristi za distribuiranu izmjenu podataka (većinom glazbe i filmova) na internetu. Kada se žrtva javi sa zahtjevom za određenom datotekom crv šalje sebe. Iako potencijalno spori, pasivni crvi ne proizvode abnormalni mrežni promet pa ih je teško otkriti.
POSLJEDICE NAPADA VIRUSA
U pravilu, svaki program inficiran virusom već je u određenoj mjeri oštećen i potrebno ga je dovesti u ispravno stanje. Ovo se dešava uvijek, bez obzira na to da li virus ima tkz. korisni teret i bez obzira koja mu je namjera. Danas je sve veći trend izrade virusa koji pri infekciji jednostavno prepišu dio koda napadnutog programa i na taj način nepopravljivo oštete napadnuti objekt. Na primjer link virusi mogu napraviti pravi krš na disku jer dovode do tkz. cross-linked datoteka.
Program zaražen virusom može griješiti u radu, virus koji se instalira u memoriju može izazvati greške u radu drugih programa koji se instaliraju u memoriju ili može programima oduzeti memoriju potrebni za rad. Mnogi pisci kompjutorski virusa uključuju u virus koristan teret, kod koji je sposoban izvršiti neku zadaću kao što je npr. ispisivanje poruka, ometanje rada sistema, brisanje određenih podataka, formatiranje diska ili korupcija podataka.
Blesave poruke, nemušte ljubavne izjave ili usamljeničke rođendanske čestitke - najmanji su dodatni problem. Nedestruktivno ometanje rada sistema, blokiranje kompjutora, usporenje rada stroja - predstavljaju drugu stepenicu. Očigledno brisanje programa i podataka ili formatiranje diska, koliko je god nezgodno i štetno nije najveći stupanj oštećenja, kako to mnogi misle. Ako se redovito provodi temeljito arhiviranje podataka, već nakon kraćeg vremena kompjutor može biti ponovno osposobljen i spreman za rad. Najgori mogući oblik štete je korupcija podataka, neprekidno i progresivno propadanje integriteta ili točnosti podataka. Korupcija podataka može biti izazvana namjerno ili se javiti slučajno. Oštećene mogu biti baze podataka, arhivi s programima i podacima, tekstualne datoteke i sl. Slučajan oblik korupcije je kada virus greškom inficira tekstualnu datoteku. Datoteka će biti oštećena, a virus u toj datoteci neće se moči razmnožavati.
Namjeran oblik korupcije je kada virus pregleda disk u potrazi za bazama podataka, te u nađenoj nasumice izmjeni neki podatak. Ako korupcija traje dulje vrijeme doći će do nepopravljivih posljedica. Arhiviranje podataka nije dovoljna zaštita od korupcije podataka, jer ako ona ne bude otkrivena tijek jednom jednog punog ciklusa arhiviranja, podaci će biti nepopravljivo oštećeni, budući da će sve arhivske kopije sadržavati oštećene podatke. Jedina zaštita od korupcije podataka je provjera njihovog integriteta, pri čemu nije dovoljno provjeravati samo vanjski, već i unutrašnji integritet.
______________________________________________________________
Uvijek nešto novo
Eh, da: I šta se kaže na kraju?
Ova definicija ključna je za određivanje virusa jer ne smatramo svaki maliciozni program virusom, drugim riječima nije svaki destruktivni program virus, jer bi u tom slučaju i program Format bio virus. Struktura virusa može se najlakše podijeliti na tri komponente, od koje virus mora obavezno imati samo prvu.
Prva komponenta predstavlja mogućnost infekcije. Dakle nije nužno da virus radi bilo kakvu štetu na računalu, sama činjenica da se širi infekcijom dovoljna je da ga se okarakterizira kao virus.
Drugi dio virusa, koji nije obavezan, predstavlja nosivu komponentu. Taj dio definira sve aktivnosti koje će biti izvedene uz njegovo širenje.
Treći dio predstavlja funkcija za okidanje koja definira vrijeme ili događaj prilikom kojeg će biti izvršena nosiva komponenta virusa.
Zlonamjerno napisani kompjutorski program ili dijelovi programskog koda nazivaju se raznim imenima. To su crvi (worm), trojanski konji (trojan horse), logičke bombe (logic bomb), zamke (trap-door) i naravno virusi.
Crv je program koji se širi samoumnožavanjem kroz kompjuterske mreže. Crv je samostalan i za razliku od virusa ne treba program domaćin da bi radio. Također, crva u ˝pogon˝ pušta i kontrolira sam autor.
Logička bomba je metoda aktivacije procesa temeljem zadovoljavanja logičkog uvjeta-postojanja ili nepostojanja nekog podatka, protoka, određenog vremena ili u određeno vrijeme i sl. Logička bomba u stvari predstavlja princip djelovanja, a ne cjelovit mehanizam. Logičke bombe su često sastavni dio mnogih kompjutorskih virusa.
Trojanski konj je program koji naizgled služi za neku drugu operaciju od one za koju je napravljen. Trojanski konj bi recimo bio program koji izgleda kao tekst procesor, a zapravo jednom pokrenut formatira hard disk. Mnogi autori virusa koriste trojanske konje kako bi olakšali razmnožavanje svojim mezimcima.
Zamka predstavlja posebnu nedokumentiranu funkciju programa koja se može pokrenuti na unaprijed određen način. Programeri koji pišu različite programe često znaju predvidjeti posebnu lozinku ili sekvencu znakova koja jednom utipkana omogućava dostup do inače nevidljivih funkcija programa.
Njegovo veličanstvo virus je dio programskog koda koji je sposoban izvršiti samokopiranje (infekciju) dodavanjem svog sadržaja u druge programe ili dijelove operativnog sistema. Kao što se može primijetiti postoji velika sličnost između kompjutorskih i bioloških virusa.
Virus se obično sastoji od dva dijela. Prvi dio je samokopirajući kod, koji omogućava razmnožavanje virusa, a drugi je dio korisni teret (payload) koji može biti bezopasan (benigan) ili opasan (destruktivan, maligan). Neki se virusi sastoje isključivo od samokopirajućeg koda i nemaju nikakav korisni teret.
Iako virus ˝u promet˝ najčešće pušta sam autor, kontrola nad razmnožavanjem oslobođenog virusa nije u rukama autora.
POVIJEST VIRUSA
Šezdesetih i sedamdesetih godina, još u vrijeme velikih mainframe računala, postojao je fenomen zvan zec (rabbit). Zec je najčešće nastajao slučajem ili greškom kada je ˝pomahnitali˝ kompjuterski program počeo sam sebe kopirati po sistemu, izazivajući usporenje ili pad sistema. No nisu svi ˝zečevi˝ nastali slučajno.
Prvi pravi predak današnjih virusa - Prevading animal (prožimajuća zvijer) bio je program sposoban da se nadodaje na druge kompjutorske programe na UNIVAC 1108 kompjuterskom sistemu, a napadnuti programi su čak bili označeni posebnom signaturom u svrhu samoprepoznavanja.
Prvi potvrđen nalaz kompjuterskog virusa daleke 1981. godine bio je Elk Cloner - virus koji je inficirao BOOT sektor disketa za legendarni Apple II kompjuter.
U studenom 1983. Len Adleman prvi put u povijesti upotrebio riječ ˝virus˝ opisujući samokopirajući kod.
Prijelomna je i 1986. godina kada se pojavljuje kompjuterski virus Brain (mozak). Ovaj virus, sposoban inficirati BOOT sektore 360 KB disketa IBM PC kompjutera brzo je osvojio svijet. Na svu sreću, virus nije bio destruktivan, nego je u sebi samo nosio podatke o autorima.
Nakon toga stvari kreću brže. Pojavljuje se kompjuterski virus Jerusalem (1988.) koji je brisao sve pokrenute programe, te prvi pravi destruktivac Virus Datacrime (1989.) koji je bio sposoban izvršiti low-level format nulte staze na disku.
1989. aktivirana je tvornica virusa u Bugarskoj. Izvjesna osoba (ili skupina) koja sebe naziva Dark Avenger (Crni osvetnik) do danas je napisala najmanje 50-tak virusa uključujući neke od najpoznatijih kao što su New Zeland i Michelangelo.
VRSTE VIRUSA
Kompjutorski virusi mogu se podijeliti na šest vrsta:
• boot sektor viruse
• parazitske viruse
• svestrane (multipartite) viruse
• viruse pratioce (companion)
• link viruse
• makro viruse
Ova podjela prvenstveno vodi računa o načinu na koji virus može zaraziti različite dijelove kompjuterskog sistema. Bez obzira kojoj grupi pripada, svaki virusni kod mora biti izvršen da bi proradio i razmnožavao se. Osnovna razlika između različitih virusa je u načinu na koji to pokušavaju osigurati.
Postoji još i podjela na viruse ovisno o tome da li je virus prisutan u memoriji na:
• viruse koji su rezidentni u memoriji
• viruse koji nisu rezidentni u memoriji
Boot sektor virusi
Boot sektor virusi napadaju Master BOOT sektor (partitition table), DOS BOOT sektor (oba na hard diskovima) ili BOOT sektor floppy disketa, odnosno program koji se u njima nalazi. BOOT sektor je idealan objekt za infekciju, budući da sadrži prvi program koji se izvršava na kompjuteru, čiji se sadržaj može mijenjati. Kada jednom kompjuter bude uključen, program u ROM-u (BIOS) će bez pitanja učitati sadržaj Master BOOT sektor u memoriju i izvršiti ga. Ako se u njemu nakazi virus, on će postati aktivan.
No kako je virus dospio u Master BOOT sektor?
Najčešće pokušajem startanja sistema sa inficirane floppy diskete, ali boot sektor virusi se mogu širiti i pomoću posebnih programa, trojanskih konja, nazvanih dropper (bacač) - kojima je glavna namjena da neprimjetno ˝ubace˝ virus u BOOT sektor.
Boot sektor virusi su iznimno učinkoviti u razmnožavanju - od sedam najčešćih kompjutorskih virusa čak šest ih je sposobno zaraziti BOOT sektor.
Parazitski virusi
Najčešća vrsta virusa su upravo parazitski virusi. Ovi su virusi sposobni zaraziti izvršne datoteke na kompjutorskom sistemu dodavanjem svog sadržaja u samu strukturu programa, mijenjajući tok inficiranog programa tako da se virusni kod izvrši prvi. Poznati kompjutorski virusi sposobni su zaraziti .COM, .EXE, .SYS, .OVL i druge datoteke.
Svestrani virusi
˝Dobre˝ osobine boot sektor i parazitskih virusa ujedinjene su kod svestranih virusa (multipartite) virusa. Ovi virusi sposobni su zaraziti i BOOT sektore i izvršne programe, povećavajući tako mogućnost širenja. Poput boot sektor virusa i ovi su virusi iznimno efikasni u širenju.
Virusi pratioci
Najjednostavniji oblik kompjutorskih virusa su upravo virusi pratioci. Oni koriste prioritet kojim se izvršavaju programi s istim imenom pod DOS-om. .COM datoteke se uvijek izvršavaju prije .EXE datoteka, program iz direktorija koji su na početku PATH niza izvršavaju se prije onih sa kraja. Virus pratilac obično stvori .COM datoteku koristeći ime već postojećeg .EXE programa i ugradi u nju svoj kod. Princip je jednostavan - kada program bude pozvan, umjeste originala s .EXE ekstenzijom, prvo će se izvršiti podmetnuti .COM program s virusnim kodom. Kada izvršavanje virusnog koda bude završeno, virus će kontrolu vratiti kontrolu programu s .EXE ekstenzijom. Da bi prikrio prisustvo, virus pratilac će postaviti skriveni atribut za .COM program u koji je stavio svoj sadržaj. Ova vrsta ne mijenja ˝napadnuti˝ program, a zbog nespretnog načina širenja ne predstavlja veću opasnost.
Makro ili skriptni virusi
Najčešći virusi u posljednje vrijeme koriste mogućnost izvršavanja skripti u programima koji su u širokoj upotrebi, npr. Internet Explorer, Outlook i Outlook Express, zatim Word, Excel. Mnogi od tih programa imaju puno sigurnosnih rupa za koje se zakrpe ne izdaju često, a korisnici ih još manje primjenjuju. Ukoliko je sigurnost prioritet pri radu na računalu predlaže se isključivanje skriptnih jezika (Java, VBscript itd.)
VIRUSI KOJI NISU REZIDENTNI U MEMORIJI
Osnovna vrsta su virusi koji, kada njihov kod bude izvršen i pošto vrate kontrolu originalnom programu, ne ostaju aktivni u memoriji. Ova vrsta operira tako da tijekom svog izvršenja pronađe objekt pogodan za infekciju i zarazi ga. Teoretski su ovi virusi manje infektivni od virusa rezidentnih u memoriji, ali nažalost u praksi to nije uvijek slučaj. Zarazili virus program koji se često izvršava, bit će izuzetno učinkovit. Kako ovi virusi ne mijenjaju količinu slobodne radne memorije, moguće ih je primijetiti samo po promjeni duljine programa na disku. Danas ova vrsta virusa sve više ˝izlazi iz mode˝ budući da se ne mogu koristiti tehnike samosakrivanja koje zahtijevaju da virus bude aktivan u memoriji.
VIRUSI REZIDENTNI U MEMORIJI
Kao što samo ime kaže, ova se vrsta virusa instalira u radnoj memoriji kompjutera i ostaje aktivna dugo nakon što zaraženi program bude izvršen. Virus aktivan u memoriji može biti sposoban zaraziti svaki izvršeni program, svaku disketu koja bude pokrenuta (pod uvjetom da nije zaštićena od pisanja), on može motriti aktivnost sistema ili u svakom trenutku izvršiti svoj korisni teret. Ovi virusi su iznimno infektivni. Osim toga, oni su sposobni koristiti sve moguće virusne tehnike, te predstavljaju trend u razvoju virusa.
Neki virusi koriste kombinacije ovih dviju tehnika. Tako na primjer, virus može inficirati programe na način koji je tipičan za viruse koji nisu rezidentni u memoriji, ali nakon izvršenja virusnog koda ostavlja u memoriji mali rezidentni program sa korisnim teretom koji sam po sebi nije sposoban inficirati druge programe.
PUTEVI ZARAZE
Najčešće postavljano pitanje nakon otkrivanja virusa je ˝kako je do zaraze došlo?˝. Iako su mnoge stvari vezane uz viruse vrlo složene, odgovor na ovo pitanje je više nego jednostavan. Kao što smo rekli svaki virusni kod, da bi se umnožavao, treba prethodno biti izvršen. Neki se programi na kompjuteru izvršavaju voljom korisnika, a neki automatski, bez njegove volje.
Diskete
Floppy diskovi (diskete) su najčešći medij kojima se prenose virusi. Budući da su diskete standardno sredstvo razmjene programa i informacija, njima se odvija i najveći dio komunikacije između korisnika kompjutora. Zapamtite, disketa ne mora biti sistemska da bi prenijela boot sektor virus i zarazila vaš kompjutor.
Izmjenjivi hard-diskovi
Izmjenjivi hard-diskovi, iako se rjeđe koriste također predstavljaju pogodan medij za prijenos svih vrsta virusa.
CD-ROM
CD-ROM-ovi su se pokazali kao odličan medij za prijenos virusa, iako se sa CD-ROM-ova u pravilu ne obavlja startanje sistema pa nisu pogodan medij za prijenos boot sektor virusa. Nezgodna je činjenica da programi i podaci na njima dolaze u komprimiranoj formi, što dodatno otežava pregled antivirusnim programima.
Mreže
Virusi na kompjutorskim mrežama predstavljaju jedan od najvećih sigurnosnih rizika danas, a predstavljat će ga i u budućnosti.
CRVI
Klasični virusi danas su zapravo rijetki. Današnji korisnici uglavnom se susreću sa crvima. Crvi su maliciozni programi koji se šire računalnim mrežama i računalima, a da pritom ne inficiraju druge programe. Ovdje vidimo osnovnu razliku između virusa i crva, a to je da crvi nemaju prvu i obaveznu komponentu virusa, mogućnost infekcije programa. Crvi obično upotrebljavaju računalnu mrežu ne bi li se širili i danas najčešće na adresu primatelja stižu u vidu privitka poruke elektroničke pošte. Neki drugi crvi za svoje širenje koriste različite sigurnosne probleme, ali svima im je karakteristika da ne inficiraju druge programe.
NAČIN OTKRIVANJA METE
Skeniranje - označava testiranje raspona adresa da se indefiticiraju ranjiva računala. Postoje dvije varijante skeniranja, sekvencijalna ili slučajna. Zbog svoje jednostavnosti to je vrlo čest način širenja crva. Ovo nije jako brz način širenja, ali kod crva sa automatskom aktivacijom širenje može biti vrlo brzo, za što je primjer Blaster ili Code Red I crv. Skeniranjem crv uzrokuje puno abnormalnog mrežnog prometa pa ga se po tome može prepoznati, a neki antivirusni programi i vatrozidi (firewall) automatski reagiraju i ograničavaju taj promet, što može zaustaviti crva.
Prije generirana lista adresa - napadač može napraviti listu adresa prije lansiranja crva na kojima bi bile vjerojatne žrtve. Mala lista bi se mogla iskoristiti za ubrzavanje skenirajućeg crva, a stvaranjem velike liste dobivamo nevjerojatno brzog crva, koji može u nekoliko minuta zaraziti milijune računala. Takav crv osim u laboratorijskim uvjetima još nije napravljen.
Vanjski generirana lista adresa - Vanjski generirana lista je ona koju održava neki neovisni server. Serveri koji imaju popis adresa drugih servera nazivaju se metaserveri. Najbolji primjer za to je servis Gamespy koji održava listu pokrenutih servera nekih od najpopularnijih mrežnih igra današnjice, a kada pogledamo koliko ljudi se igra na internetu dobivamo ogromne liste adresa. Ova tehnika bi se mogla iskoristiti i na tražilicama, jer npr. Google ima listu većine web servera na svijetu. Metaserver crvi još uvijek nisu primjećeni na slobodi, ali rizik je velik zbog velike brzine širenja koju bi crv mogao postići.
Interna lista adresa - Mnoge aplikacije na računalu sadrže informacije o IP ili e-mail adresama drugih računala. Nakon što crv zarazi računalo, pretraži neke najčešće aplikacije u potrazi za adresama i šalje se na na njih. To često viđamo kod novijih crva koji pretražuju adresar u Outlooku i šalju se na sve e-mail adrese koje pronađu. Ove crve je teško otkriti skeniranjem mrežnog prometa jer crv na računalu nalazi adrese računala s kojima se ionako komunicira pa dodatni mrežni promet nije sumljiv.
Pasivni - Pasivni crv ne traži adrese računala žrtve, već čeka da se žrtva javi ili se oslanja na korisnika koji mu otkriva nove mete, naprimjer surfanjem po internetu. Gnuman crv se pretstavlja kao Gnutella čvor, koji se koristi za distribuiranu izmjenu podataka (većinom glazbe i filmova) na internetu. Kada se žrtva javi sa zahtjevom za određenom datotekom crv šalje sebe. Iako potencijalno spori, pasivni crvi ne proizvode abnormalni mrežni promet pa ih je teško otkriti.
POSLJEDICE NAPADA VIRUSA
U pravilu, svaki program inficiran virusom već je u određenoj mjeri oštećen i potrebno ga je dovesti u ispravno stanje. Ovo se dešava uvijek, bez obzira na to da li virus ima tkz. korisni teret i bez obzira koja mu je namjera. Danas je sve veći trend izrade virusa koji pri infekciji jednostavno prepišu dio koda napadnutog programa i na taj način nepopravljivo oštete napadnuti objekt. Na primjer link virusi mogu napraviti pravi krš na disku jer dovode do tkz. cross-linked datoteka.
Program zaražen virusom može griješiti u radu, virus koji se instalira u memoriju može izazvati greške u radu drugih programa koji se instaliraju u memoriju ili može programima oduzeti memoriju potrebni za rad. Mnogi pisci kompjutorski virusa uključuju u virus koristan teret, kod koji je sposoban izvršiti neku zadaću kao što je npr. ispisivanje poruka, ometanje rada sistema, brisanje određenih podataka, formatiranje diska ili korupcija podataka.
Blesave poruke, nemušte ljubavne izjave ili usamljeničke rođendanske čestitke - najmanji su dodatni problem. Nedestruktivno ometanje rada sistema, blokiranje kompjutora, usporenje rada stroja - predstavljaju drugu stepenicu. Očigledno brisanje programa i podataka ili formatiranje diska, koliko je god nezgodno i štetno nije najveći stupanj oštećenja, kako to mnogi misle. Ako se redovito provodi temeljito arhiviranje podataka, već nakon kraćeg vremena kompjutor može biti ponovno osposobljen i spreman za rad. Najgori mogući oblik štete je korupcija podataka, neprekidno i progresivno propadanje integriteta ili točnosti podataka. Korupcija podataka može biti izazvana namjerno ili se javiti slučajno. Oštećene mogu biti baze podataka, arhivi s programima i podacima, tekstualne datoteke i sl. Slučajan oblik korupcije je kada virus greškom inficira tekstualnu datoteku. Datoteka će biti oštećena, a virus u toj datoteci neće se moči razmnožavati.
Namjeran oblik korupcije je kada virus pregleda disk u potrazi za bazama podataka, te u nađenoj nasumice izmjeni neki podatak. Ako korupcija traje dulje vrijeme doći će do nepopravljivih posljedica. Arhiviranje podataka nije dovoljna zaštita od korupcije podataka, jer ako ona ne bude otkrivena tijek jednom jednog punog ciklusa arhiviranja, podaci će biti nepopravljivo oštećeni, budući da će sve arhivske kopije sadržavati oštećene podatke. Jedina zaštita od korupcije podataka je provjera njihovog integriteta, pri čemu nije dovoljno provjeravati samo vanjski, već i unutrašnji integritet.
______________________________________________________________
Uvijek nešto novo
Eh, da: I šta se kaže na kraju?