Professional Documents
Culture Documents
BLACE
SEMINARSKI RAD
PREDMET: Projekat
Profesor: Student:
Oliver Popović Žaklina Živković 94/13 R
Maj 2016.
SADRŽAJ
1. VIRUSI......................................................................................................................................3
1.1 DEFINICIJA VIRUSA........................................................................................................................3
1.2 OSOBINE VIRUSA..........................................................................................................................4
1.3 METODE INFEKCIJE.......................................................................................................................4
1.3.1 Virusni fajl........................................................................................................................5
1.3.2 Prepisivanje......................................................................................................................5
1.3.3 Parazitiranje.....................................................................................................................5
1.3.4 'Prepending' virusi............................................................................................................5
1.3.5 'Appending' virusi.............................................................................................................6
1.3.6 'Inserting' virusi................................................................................................................6
1.3.7 Ulazno mesto opskurnih virusa - EPO...............................................................................6
1.3.8 Virusi pratioci (Companion viruses)..................................................................................7
1.3.9 Ostale tehnike infekcije.....................................................................................................7
1.4 PODELA VIRUSA...........................................................................................................................8
1.4.1 Virusi boot sektora...........................................................................................................9
1.4.2 Macro virusi.....................................................................................................................9
1.4.3. Script virusi....................................................................................................................10
1.5 AKTIVACIJA VIRUSA.....................................................................................................................10
1.6 PRIPREMANJE KOPIJA VIRUSA........................................................................................................11
1.7 OSNOVNA PODELA VIRUSA...........................................................................................................11
1.7.1 CRV „WORM“.................................................................................................................11
1.7.2 TROJANSKI KONJ.............................................................................................................12
1.7.3 BACKDOOR.....................................................................................................................12
1.7.4 HOAX (LAŽNA UZBUNA).................................................................................................14
1.7.5 SPYWARE........................................................................................................................15
1.7.6 RANSOMWARE...............................................................................................................15
2. PROGRAMI ZA ZAŠTITU OD VIRUSA........................................................................................20
2.1 DEFINICIJA POJMOVA..................................................................................................................20
2.2 METODE IDENTIFIKACIJE..............................................................................................................22
2.2.1 Detekcija bazirana na signatirama.................................................................................22
2.2.2 Detekcija štetnih aktivnosti.............................................................................................22
2.2.3 Heuristička metoda........................................................................................................22
2.3 ALATI ZA UKLANJANJE VIRUSA.......................................................................................................22
2.4 PERFORMANSE..........................................................................................................................23
2.5 BEZBEDNOST.............................................................................................................................23
2.6 SISTEMSKA OGRANIČENJA.............................................................................................................23
2.7 PRENOSNI UREĐAJI.....................................................................................................................24
2.8 OSTALE METODE ZAŠTITE.............................................................................................................24
2.9 MREŽNI FIREWALL......................................................................................................................24
2.10 VIRTUELIZACIJA SISTEMA............................................................................................................24
ZAKLJUČAK.................................................................................................................................27
LITERATURA.....................................................................................................................................29
2
1. VIRUSI
Virus je programski kod koji može da prodre u sistem, na disk ili pojedincne
fajlove, uglavnom bez znanja ili pristanka vlasnika. Kada se jednom domogne cilja
i inficira ga, naredne akcije zavise od specifičnog tipa virusa, a mogu da uključe:
Računarski virus je program koji može da inficira druge programe, tako što ih
modifikuje, uključujući sopstvenu kopiju u njih.
3
Slika 1.
1. Prodor u sistem
2. Aktivacija
5. Inficiranje objekata
4
1.3.1 Virusni fajl
• parazitiranje
• pratilac
• linkovi
1.3.2 Prepisivanje
1.3.3 Parazitiranje
Parazitski virusi menjaju kod zaraženog fajla. Zaraženi fajl ostaje pri tom
delimično ili potpuno funkcionalan.
Parazitski virusi su grupisani prema delu fajla gde upisuju svoj kod:
'Prepending' virusi upisuju svoj kod u ciljani fajl na dva načina. U prvom
slučaju, virus pomera kod sa početka ciljanog fajla na kraj i upisuje sebe na
5
upražnjeno mesto. U drugom slučaju, virus dodaje kod ciljanog fajla u svoj
sopstveni kod.
U oba slučaja, svaki put kad se zaraženi fajl pokrene, virusni kod je prvi koji
se izvršava. U nastojanju da se održi integritet aplikacije, virus može očistiti
zaraženi fajl, ponovo ga pokrenuti, sačekati da se fajl izvrši, i onda kad se taj
proces okonča, virus će kopirati sebe ponovo na početak fajla. Neki virusi koriste
privremene fajlove kako bi sačuvali čiste verzije zaraženih fajlova. Neki virusi će
obnoviti kod aplikacije u memoriji i vratiti ga u početno stanje, i povratiti
neophodne adrese u telu, i na taj način duplirati rad operativnog sistema.
Većina virusa potpada pod ovu kategoriju. 'Appending' virusi upisuju sebe
na kraj inficiranog fajla. Međutim, ovi virusi obično menjaju fajlove (menjaju ulazni
deo u zaglavlju fajla) kako bi osigurali da se komande sadržane u virusnom kodu
izvrše pre komandi zaraženog fajla.
Pisci virusa koriste različite tehnike kako bi ubacili viruse u sredinu fajla.
Najednostavnije tehnike podrazumevaju premeštanje dela koda fajla na kraj fajla
ili potiskivanje orginalnog koda u stranu kako bi se stvorio prostor za virus.
Najzad, neki 'inserting' virusi su loše napisani i prepisuju se preko dela koda
koji je neophodan kako bi zaraženi fajl uopšte funkcionisao. To za posledicu ima
definitivno oštećenje fajla.
6
korišćen (na primer, retko obaveštenje o grešci), EPO virus može ostati dugo
vremena neaktivan.
Pisci virusa treba pažljivo da odaberu ulazno mesto: loše odabrano ulazno
mesto može ili oštetiti host fajl ili prouzrokovati da virus ostane neaktivan dovoljno
dugo dok zaraženi fajl najzad ne bude obrisan.
Pisci virusa koriste različite metode kako bi pronašli pogodno ulazno mesto:
Virusi pratioci ne menjaju host fajl. Umesto toga, oni stvaraju duplikat fajla
koji sadrži virus. Kada se pokrene zaraženi fajl kopija koja sadrži virus će biti prva
izvršena.
Ova kategorija uključuje viruse koji preimenuju host fajl, beležeći novo ime
za buduće pozivanje i onda prepisuju originalan fajl. Na primer, virus može
preimenovati notepad.exe u notepad.exd i upisatii sopstveni kod u fajl pod
orginalnim nazivom. Svaki put kada korisnik pokrene notepad.exe, virusni kod se
izvršava dok orginalan Notepad fajl, notepad.exd, se pokreće tek posle toga.
Postoje druge vrste virusa pratioca koje koriste orginalne metode ili
iskorišćavaju ranjivosti određenog operativnog sistema. Na primer, Path-
companion virusi smeštaju svoje kopije u sistemske direktorijume Windows-a,
koristeći činjenicu da je ovaj direktorijum prvi na listi direktorijuma; sistem će
startovati od ovog direktorijuma kada pokrene Windows. Mnogi današnji crvi i
Trojanci koriste ovakve autorun metode.
• boot viruse – inficiraju boot sektor hard diskova ili drugih medija
• skript viruse – virusi koji se pisu u jezicima nekih skripti (na pr. BAT fajlovi u
DOS-u, VBS i JS skripte u Windows Scripting Host i sl.)
Okruženje
Većina virusa može se naći u jednom od sledećih okruženja:
• Sistemski fajlovi
• Boot sektori
• Macro okruženja
• Script hostovi
Virusni fajlovi za širenje koriste sistemski fajl datog operativnog sistema (ili
više njih). Virusni fajlovi se mogu podeliti u sledeće kategorije:
8
• oni koji koriste svojstva sistemskog fajla (link virusi)
Virusi boot sektora se upisuju ili u boot sektor diska ili na master boot
record, ili pak infekciju izvrše tako što izmeštaju aktivan boot sektor. Ovi virusi su
bili široko rasprostranjeni devedesetih godina prošlog veka, ali su skoro nestali sa
pojavom 32-bit procesora i povlačenjem iz upotrebe flopi diskova. Tehnički je
moguće pisanje boot sektor virusa za CD-ove i USB fleš ROM, ali takvi virusi još
uvek nisu otkriveni.
Kada inficira disk, boot virus će izvršiti zamenu programa - koji uspostavlja
kontrolu kada se sistem pokrene - svojim kodom. U nastojanju da inficira sistem,
virus će primorati sistem da čita memoriju i preuzme kontrolu ne nad originalnim
boot programom već nad virusnim kodom.
Flopi diskovi mogu biti zaraženi samo na jedan način. Virus upisuje svoj kod
na mesto orginalnog koda boot sektora diska. Hard diskovi mogu biti zaraženi na
tri načina: ili virus upisuje svoj kod na mesto MBR koda ili koda boot sektora boot
diska, ili menja adrese aktivnih boot sektora na Disk Partition Table na MBR hard
diska.
U velikoj većini slučajeva, kada inficira disk, virus će izmestiti orginalan boot
sektor (ili MBR) na drugu sekciju diska, najčešće prvu koja je slobodna. Ako je
virus duži od sektora, onda će inficirani sektor sadržati prvi deo virusnog koda, a
ostatak koda će biti smešten u drugim sektorima, najčešće prvim koji budu
slobodni.
10
Ovde je potrebno definisati pojam tzv. “potpisa virusa”. Potpis virusa je
podatak na osnovu koga se egzaktno detektuje pristustvo virusa u datom fajlu. U
suštini to je sekvenca bajtova koji su prisutni u virusu i nisu prisutni u nekom
drugom programu.
11
1.7.2 TROJANSKI KONJ
Trojanci su svoje ime dobili prema čuvenom epu o opsadi Troje, koju su
Grci bezuspešno napadali 10 godina i na kraju se povukli ostavljajući pred njenim
ulazom ogromnog konja kao znak priznavanja poraza. Trojanski ratnici su
oduševljeno konja uvukli unutar grada i nastavili sa svojim slavljem posevećenog
svojoj velikoj pobedi. Međutim, kada su svi zaspali pijani, na konju su se otvorila
dobro sakrivena vrata i iz njega su izašli grčki ratnici koji su otvorili vrata tvrđave,
puštajući unutra ostale grčke vojnike. Nakon toga troju su vrlo lako zauzeli.
1.7.3 BACKDOOR
Osim toga, pravi snimke radne površine, nadzire određeni folder, i o svim
izmenama obaveštava kriminalce koji stoje iza ovog malvera.
13
S
Slika 2. i 3. Backdoor
14
Slika 4. Hoax - primer
1.7.5 SPYWARE
1.7.6 RANSOMWARE
15
pojedinih programa kao što su browseri. Sve dok žrtva ne ispuni zahteve
“otmičara”, ona neće moći da koristiti računar na uobičajen način.
16
se širi preko spear fišing emailova1 koji se šalju na email adrese zaposlenih u
odeljenjima ljudskih resursa u kompanijama.
Emailovi sadrže link za fajl na Dropboxu, odakle navodno može biti preuzet
CV kandidata za posao. Ustvari je reč o EXE fajlu koji je nazvan
application_portfolio-packed.exe, koji ako se pokrene, dovodi do pojave poznatog
Windowsovog “blue screen of death” i restartovanja sistema.
1
‘Spear phishing’ - napad na određenu organizaciju pri kome 'phisher' traga za podacima jednog od
zaposlenih a potom ih koristi kako bi ostvario širi pristup ostatku mreže.
17
Cerber ima nekoliko osobenosti po kojima se razlikuje od drugih malvera
ove vrste.
Za sada, žrtve nemaju mnogo izbora jer još uvek nema besplatnog rešenja
za dešifrovanje fajlova. Ostaje im da plate i da se nadaju da će kriminalci poslati
ključ za dešifrovanje ili da se pomire sa tim da su njihove slike, dokumenti i drugi
važni fajlovi sa računara zauvek izgubljeni.
To naravno važi za one koji nemaju backup. Onima koji ga imaju ostaje da
očiste računar i da vrate fajlove iz backupa.
18
Slika 6. Ransomware UltraCrypter
19
2. PROGRAMI ZA ZAŠTITU OD VIRUSA
20
Slika 8. Korisnički interfejs Bitdefender Total Security 2016
21
2.2 Metode identifikacije
Slično metodi detekcije štetnih aktivnosti ova metoda se može koristiti kod
novih i nepoznatih virusa. Može se koristiti na dva načina: analiza datoteka i
emulacija datoteka. Analiza datoteka je proces traganja za sumnjivim komandama
u datotekama. Ako, recimo jedna datoteka u sebi sadrži komandu: formatiraj disk
c, heuristički softver će detaljno proveriti ovu datoteku. Slabost ove metode je to
što ona može znatno usporiti računarski sistem proveravajući veliki broj datoteka.
Emulacija datoteka je metoda koja izvršava program u virtuelnom okruženju i
beleži sve akcije koje on izvrši. Analizom zabeleženih akcija može se utvrditi da li
program može ugroziti računarski sistem.
22
znatno većom efikasnošću. Najpoznatiji su McAfee Stinger i Microsoft Malicious
Software Removal Tool. Većina ovih alata je besplatna.
2.4 Performanse
2.5 Bezbednost
23
2.7 Prenosni uređaji
KORAK 4. Skenirati sve datoteke koje dolaze sa Interneta. Pre svega, obavezno se
uključi skeniranje svih dolaznih i odlaznih e – mail poruka. E – mail je trenutno
najčešći način širenja virusa. Takođe, mnogobrojne web stranice sadrže softvere
koji mogu biti zaraženi. Zato će i skeniranje svih datoteka kopiranih sa interneta
pomoći u zaštiti.
KORAK 5. Povremeno skenirati celi disk. Redovno vršiti skeniranje celog diska.
Proces skeniranja može potrajati i zavisi od veličine hard diska i broja datoteka
kojima raspolaže. Zato nije loše ostaviti računar da skenira tokom noći.
25
KORAK 6. Skenirati hard disk nakon instalacije softvera. Nakon instalacije raznih
alata skenirati hard disk ili lokacije na koje se softver instalirao. Može se desiti da
kompresivne arhive budu zaražene virusima.
26
ZAKLJUČAK
U danasnje vreme tehnoloskog napretka virusi nisu postali nista slabiji nego
su i ojacali. Koliko god da se sa borbom protiv virusa ide korak napred uvek se
nadje neki novi virus da pokaze svoju snagu.
Ali koliko god da su oni jaki uvek postoji način i sredstvo da se izadje na
kraj sa tim štetocinama. U borbi sa virusima potrebno je imati znanje i dobar
antivirusni program, uvek reagovati na vreme, tj. redovna kontrola operativnog
sistema drastično će smanjiti šanse da kompjuter bude ozbiljnije napadnut i
oštećen.
27
KORAK 4. Skenirati sve datoteke koje dolaze sa Interneta. Pre svega, obavezno se
uključi skeniranje svih dolaznih i odlaznih e – mail poruka. E – mail je trenutno
najčešći način širenja virusa. Takođe, mnogobrojne web stranice sadrže softvere
koji mogu biti zaraženi. Zato će i skeniranje svih datoteka kopiranih sa interneta
pomoći u zaštiti.
KORAK 5. Povremeno skenirati celi disk. Redovno vršiti skeniranje celog diska.
Proces skeniranja može potrajati i zavisi od veličine hard diska i broja datoteka
kojima raspolaže. Zato nije loše ostaviti računar da skenira tokom noći.
KORAK 6. Skenirati hard disk nakon instalacije softvera. Nakon instalacije raznih
alata skenirati hard disk ili lokacije na koje se softver instalirao. Može se desiti da
kompresivne arhive budu zaražene virusima.
28
LITERATURA
29