SVEUILITE/UNIVERZITET VITEZTRAVNIK

FAKULTET POSLOVNE INFORMATIKE

STUDIJ I CIKLUSA; GODINA STUDIJA: I CIKLUS: III GODINA
SMIJER: INFORMACIONE TEHNOLOGIJE

NAIN RADA
ANTIVIRUSNIH PROGRAMA

ESEJ

Travnik, Juli. 2015. godine

 SVEUILITE/UNIVERZITET VITEZTRAVNIK
FAKULTET POSLOVNE INFORMATIKE
STUDIJ I CIKLUSA; GODINA STUDIJA: I CIKLUS: III GODINA
SMIJER: INFORMACIONE TEHNOLOGIJE

NAIN RADA
ANTIVIRUSNIH PROGRAMA

ESEJ

IZJAVA: Ja, Davor Damjanovi, student Sveuilita/Univerziteta Vitez Travnik,

Indeks broj: 0137-12/DIT odgovorno i uz moralnu i akademsku
odgovornost izjavljujem da sam ovaj rad izradio potpuno samostalno, uz
koritenje citirane literature i pomo profesora, odnosno asistenata.

Potpis studenta:

STUDENT: Davor Damjanovi

PREDMET: Zatita podataka i raunarskih sistema
PROFESOR: Doc. Dr. Haris Hamidovi
ASISTENT: Dipl. Ing. IT Mahir Zajmovi

SADRAJ

1. UVOD...................................................................................................................2
2. VIRUSI.................................................................................................................3
2.1. TA JE RAUNARSKI VIRUS.................................................................3
2.2. KAKO RADE RAUNARSKI VIRUSI....................................................3
3. VRSTE VIRUSA..................................................................................................5
3.1. FAJL VIRUSI...............................................................................................5
3.2. BOOT SECTOR VIRUSI............................................................................6
3.3. MAKRO VIRUSI.........................................................................................6
3.4. MRENI VIRUSI - CRVI...........................................................................7
3.5. TROJANSKI KONJ....................................................................................7
4. TEHNIKE SKRIVANJA VIRUSA.....................................................................8
5. ANTIVIRUSI.......................................................................................................9
5.1. TA SU ANTIVIRUSI..................................................................................9
5.2. NAIN RADA ANTIVIRUSA....................................................................9
5.3. METODE DETEKCIJE VIRUSA............................................................10
6. ANTIVIRUSNE METODE...............................................................................11
6.1. SKENERI....................................................................................................11
6.2. PROVJERA CHEKSUMOM....................................................................11
6.3. PROGRAMI ZA MONITORING............................................................12
7. ZAKLJUAK......................................................................................................13

1
 1. UVOD

ivimo u svijetu brzih promjena i napretka u svakom podruju ljudske

djelatnosti pa tako i na podruju informatike i telekomunikacija. Vanost
posjedovanja prave informacije u pravo vrijeme postaje od enormnog znaaja u
dananjem postindustrijskom drutvu u kom informaciju i znanje promatramo kao
jedan od osnovnih resursa. Ovakva vanost informacije rezultira sve veom brigom
i ulaganjima u zatitu, ali isto tako i sa druge strane zbog razno-raznih interesa
ulae se znaajan trud i sredstva u metode kojima odreene skupine pokuavaju
kompromitirati, ukrasti ili unititi tue podatke.

Jedna od mnogobrojnih prijetnji naim podacima su raunarski virusi koji se ire

putem interneta, te naini zatite od ove prijetnje koja zadnjih nekoliko godina
uzima primat po vanosti u zatiti informacijskih sistema.

Da bismo bolje razumjeli zatitu od virusa, te metode i alate koji se koriste u ovu
svrhu neophodno je da se upoznamo s pojmom virusa nainom na koji rade i
osnovnim vrstama koje postoje.

2
2. VIRUSI
2.1. TA JE RAUNARSKI VIRUS
Virusi su mali programi koji imaju osobinu da se kopiraju i izvravaju, esto bez
dozvole i znanja korisnika, i obino sa namjerom da se izvue materijalna korist, a
pri tome posljedino nanese teta na raunaru. Termin "Kompjuterski vurus" prvi je
koristio Fred Cohen na Lehigh unirvezitetu u USA 1984 godine. Dobili su ime po
svojim osobinama koje su veoma sline sa biolokim virusima. Imaju mogunost
mutacije, inficiranja raznih vrsta fajlova ili dijelova sistema, prenose se sa raunara
na raunar kao i bioloki virusi sa ovjeka na ovjeka.

2.2. KAKO RADE RAUNARSKI VIRUSI

Svaki korisniki program napisan je u nekom programskom jeziku. Pisanjem
programa nastaje takozvani izvorni kd programa (eng. source code). Dakle, svaki
program ima svoj izvorni kd. Svojim izvravanjem na raunaru virusi otvaraju
izvorni kd nekog programa i u njega ugrauju svoj zlonamjerni kd. U takav
korisniki program, ija svrha nije da raunaru priini tetu ve da mu koristi, virus
se praktino ugrauje i time normalan korisniki program pretvaraju u nosioca
raunarskog virusa. Kada takav program, koji predstavlja nosioca raunarskog
virusa, dospije u raunar deava se sljedee: korisnik raunara pokree program,
neznajui da je on zapravo nosilac raunarskog virusa. Pokretanjem programa,
pokree se i raunarski virus koji je u njega ugraen. Odmah zatim virus se uitava
u radnu memoriju raunara i tamo ostaje sve do iskljuivanja raunara. Zato virus
ostaje u radnoj memoriji raunara? Virus tamo eka da korisnik pokrene neki drugi
program. Kada korisnik pokrene drugi program virus se razmnoava, odnosno
automatski se, bez znanja korisnika, ugrauje u pokrenuti program. Ova radnja
ponavlja se svaki put kada se pokrene neki program, dokle god se virus nalazi u
radnoj memoriji. Na ovaj nain uanjem u memoriji, virus praktino
obezbjeuje sebi mogunost da se multiplicira, odnosno proiruje na sve programe
koji se nalaze u raunaru. Kada se raunar ugasi, virus nestaje iz radne memorije.
Meutim, do tada se on ve automatski ugradio u sve programe koji su korieni od
momenta kada je dospio u radnu memoriju pa do momenta kada je raunar
iskljuen. Pokretanjem bilo kog od ovih, sada ve zaraenih, programa cijeli ciklus
kree od poetka. Dakle, sutina je u tome da vie nije potrebno pokrenuti program
koji je nosilac virusa, ve virus dalje radi sm i prenosi se sa jednog programa na
3
drugi. Veoma brzo itav sadraj raunara postaje zaraen. Ovo je samo prva faza,
odnosno faza razmnoavanja. Svaki raunarski virus, slino biolokim virusima,
ima neki svoj period inkubacije u kome je pritajen i radi u pozadini. U ovoj fazi
on jo uvek ne djeluje destruktivno, a veina korisnika tokom ove faze nije ni
svjesna da u njihovom raunaru postoji virus.

Sljedea faza je faza aktiviranja. Ona poinje nekim dogaajem kojim se inicira
destruktivno djelovanje virusa. Koji dogaaj e inicirati poetak faze aktivacije,
zavisi od matovitosti programera koji je progrmairao virus. Uglavnom je to neki
vremenski period. Na primjer, neki virusi se aktiviraju tano 7 dana od dana kada su
dospjeli u raunar. Sa druge strane, neki virusi izvravaju svoj zadatak tano
odreenog dana u mjesecu, ili poslije odreenog broja pokretanja programa koji je
nosilac virusa. Kakvu tetu e u raunaru priiniti neki virus kada se aktivira,
takoe zavisi od programera koji ga je napravio i od njegovih namjera ili svrhe za
koju je virus bio namjenjen. Virusi u ovoj fazi mijenjaju sadraj fajlova, briu
fajlove, sistemske fajlove, to esto dovodi do pada sistema i potrebe za
formatiranjem hard diska i podizanjem novog operativnog sistema na raunaru.
Virusi ne moraju da budu destruktivni u ovolikoj meri. Postoje razne vrste virusa
koji rade mnogo bezazlenije stvari.

4
3. VRSTE VIRUSA

Viruse moemo podijeliti u sljedee skupine:

- Fajl virusi - zaraze izvrne datoteke dodavanjem svog sadraja u strukturu
programa,
- boot sektor virusi napadaju Master boot sektor,
- makro virusi imaju mogunost da sami sebe kopiraju, briu i mijenjaju
dokumente,
- mreni virusi koriste sve vrste mrenih protokola da bi izvrsili svoj zadatak
inficiranja raunara kroz mreu,
- trojanski konj.

3.1. FAJL VIRUSI

- "Over Writing" virusi su najprostiji virusi ija je uloga da pronau odreene
vrste fajlova (npr. exe, com... itd) i da prepiu dio kda programa. Kada se takav
program pokrene, pokrene se i virus i tako se zarazi jo fajlova. Ovakvi virusi
esto ne rade zbog razlike u lokacijama funkcija na raznim platformama,
mainama i operativnim sistemima, pa tako esto dolazi "samo" do unitavanja
programa. Postoji i takva vrsta koja prepie svoj kd u neki program i kada se
izvri vraa sve u normalu.

- "Parasitic" virus ili "Cavity" virus su svoje ime dobili po nainu inficiranja. Oni
vre ujedinjavanje sa nekim fajlom i izvrsavaju se u okviru njega. Mogu se
upisati u bilo kojem dIJelu fajla, pa se zbog toga nazivaju i "Cavity" (upljina),
trae prazne dijelova kd, a i upisuju svoj sadraj. Neki od ovih virusa
kompresuju svoj kd tako da ne mijenjaju veliinu fajla, cime se tee pronalaze.

- "Companion" virusi stvaraju klonove fajlova, tako da kada pokrenete neki fajl
ustvari pokrene klona tj. sam virus. esto ovi virusi rade sljedee: Imate neki
program program.exe, a virus napravi klon program.com, pa kada vi u konzoli
ukucate "program" izvrie se klon program.com, zato to ekstenzija *.com
ima veci prioritet nego *.exe .

- Fajl Crvi u modifikovani "Companion" virusi. Razlika je u tome to se

umnoavaju u mnogo veem broju i imaju mogunosti razmnoavanja kroz

5
 mreu.

- "Link" ili "Cluster" virusi mijenjaju direktorijume, tako da kada pokrenete neki
program prvo pokrenete virus. Ovi virusi inficiraju fajlove ne mijenjajuci kd,
ve mijenjajui DOS direktorijum informacije, tako da one pokazuju na virus a
ne na program. Ovo je izvedeno stavljanjem linkova u fajlove.

- "Sorce code " virusi napadaju izvorne kdove programa. Najee tako to
dodaju neki trojanski kd u ve postojei.

- "Tunneling" virusi pokuavaju da zaobiu antivirusne programe tako to

pokuavaju da nau direktne "interrupt-e", odnosno prekide u DOS-u ili BIOS-u
nekog programa i tako prekinu rad antivirusnog programa ili izvre bilo koji
drugi zadatak.

- Batch File" virusi su jednostavni virusi koji koriste DOS komande ispisane u
.bat fajlu.

- "Sparce" virusi koriste mnogo tehnika za svoje skrivanje, a na primjer samo e

inficirati svaki 10 fajl, napadati samo fajlove koji poinju sa odreenim slovom,
ili odreene veliine i slino.

3.2. BOOT SECTOR VIRUSI

Boot virusi kopiraju sebe u boot sectore floppy diska ili MBR (eng. master boot
record) HDD-a. Veinom su pisani u asembleru. Prvi ovakav virus za DOS bio je
BRAIN.

- "Parity" boot virus ispisuje greku "Parity Check" i zamrzava OS. Ova greska
stvarno postoji i javlja se kada doe do kvara memorije.

- "Boot & File" virus ili "Multi Partite" virus napa i boot sectore i fajlove u isto
vrijeme.

3.3. MAKRO VIRUSI

Obini fajlovi podataka ne mogu biti virusi, ali uz pomo skript jezika mogu
veoma lako postati, takvi su macro virusi. U obinom Word dokumentu moemo
napisati virus koji e se izvriti kada pokuamo da otvorimo taj dokument. Postoje
vie vrsta skript jezika, a najpoznatiji su Visual basic skript, Java skript itd.

6
3.4. MRENI VIRUSI - CRVI
Ovi virusi su sposobni da koriste sve vrste mrenih protokola da bi izvrili svoj
zadatak, tj. mogu da se kopiraju sa servera na neki udaljeni raunar i obrnuto, ili da
se uitavaju po potrebi sa nekog raunara na neki udaljeni raunar putem mree.
Nazivaju se "worms" ili u prevodu crvi.

3.5. TROJANSKI KONJ

Kompjuterski ''trojanski konj'' pod maskom stie putem e-maila, news grupe ili
popularnih chat programa do lakovjernih i nedovoljno informisanih korisnika mree,
navodei ih da ga pokrenu i instaliraju na raunar.

Za razliku od virusa, trojanci su kompleksne klijent-server aplikacije za pristup

udaljenom raunaru u mrei. Zadatak trojanca je da pronalazi datoteke koje sadre
ifre potrebne za instaliranje na raunar, server ili konekciju na internet i distribuira
ih udaljenom napadau. Ovaj program nema u sebi ugraen kd koji mu omoguuje
samostalno razmnoavanje, ali se ipak moe razmnoavati ukoliko netko posudi
nekome kopiju na kojoj se nalazi ovaj program. Dananji trojanski konji najvie se
ire putem peer to peer mrea pretvarajui se da su trenutno popularni programi ili
crackovi za najnovije uslune programe.

7
4. TEHNIKE SKRIVANJA VIRUSA

Postoji vie tehnika koje virusi koriste da bi se sakrili od antivirusnih programa,

ali uglavnom su to sljedee tehnike:

- TSR (eng. terminate and stay resident) - Radi tako to se kod ovog virusa ne
nalazi na nekom fizikom mediju dok je ukljuen raunar ve u memoriji
raunara, a pri gaenju se vraca na neki dio, fizicki medij (hard disk, floppy...)

- Stealth - Virusi sa ovom osobinom prate sve pozive funkcija ka zaraenim

fajlovima i kada se zatrai neki podatak oni alju prethodno napravljene
kopije.

- Armored - Ovo je samo nain kod koga se oteava disasemblovanje virusa.

- Polymorphic - Ovo je princip kriptovanja svake kopije virusa tako da svaka

kopija ima razliit kd. Postoji program koji ugrauje ovu osobinu virusima i
naziva se: "Dark Avenger's Mutation Engine".

- Virus droppers - To su programi koji u sebi nose kd virusa i kada zatreba oni
kompajliraju kd.

- Logic bomb - To je osobina virusa da se izvravaju pri nekom odreenom

dogaaju. Naprimjer to moe biti neki odreeni datum ili vrijeme, ili ak neka
odreena instalacija programa i sl.

8
5. ANTIVIRUSI

5.1. TA SU ANTIVIRUSI
Osnovni oblik obrane od virusa je zatita raunara. Rije je o dosta sloenom
postupku koji osim primjene odgovarajuih programa od korisnika zahtijeva i
oprezno ponaanje. Osnovna zatita od virusa na samom raunaru provodi se
upotrebom programa za borbu protiv virusa. Zajednikim imenom ovakvi programi
se nazivaju antivirusni programi. Zamisao je da se na raunaru postavi program koji
e stalno provjeravati sve zapise koji dolaze. Program u sebi ima podatke koji mu
omoguavaju prepoznavanje razliitih virusa. Zbog toga e u trenutku kad naie na
zapis zaraen virusom sprijeiti aktiviranje tog zapisa i podii uzbunu. Jednostavno
reeno, na ekranu e se pojaviti prozor s upozorenjem da je odreeni zapis zaraen
virusom. Pri instalaciji program e od korisnika zatraiti da odredi stepen zatite.
Najnii stepen zatite ne sadri nikakvu automatiku ve korisnik moe samostalno
pokrenuti provjeru u sluaju kad na raunar donosi neke podatke. Ovakav nain rada
je izuzetno nesiguran jer korisnik moe jednostavno zaboraviti provjeru. Najvii
stepen zatite zapravo ukljuuje stalnu provjeru podataka koji se koriste, nadzor nad
svim prispjelim porukama i periodinu provjeru svih podataka na raunaru. Ovakav
oblik zatite bez sumnje troi neto vie raunarskih resursa. Zbog toga neki autori
odbacuju ovakvo rjeenje uprkos njegovim oiglednim prednostima.

Vrlo je vano naglasiti slijedee! Bilo koji program za zatitu od virusa u stanju je
prepoznati samo viruse koji su postojali u trenutku njegovog pisanja. Pojavi li se novi
virus samo dan nakon to je program izaao, taj je virus programu nepoznat, pa
prema tome ne moe prepoznati virus, odnosno ne moe sprijeiti njegovo irenje.

5.2. NAIN RADA ANTIVIRUSA

Za razliku od prvobitnih antivirusnih programa koji su bili temeljeni iskljuivo na
tretiranju raunalnih virusa, moderni antivirusni program se dizajnira tako da sistem
titi od to veeg broja razliitih moguih malicioznih programa (crva, raunalnih
virusa, trojanskih konja, rootkita, spywarea, adwarea), phishing napada itd.

Antivirusni programi imaju samostalni i proaktivni nain funkcioniranja. Veina

antivirusnih programa sa proaktivnim nainom rada ne mogu funkcionirati
istovremeno na jednom raunaru. Pojedini antivirusni programi dolaze s ugraenim

9
vatrozidom, alatom za detekciju spywarea i slinim sigurnosnim alatima.

Katkad se dogaa da se maliciozni programi na internetu predstavljaju kao

antivirusni programi. Zbog toga je potrebno dobro provjeriti je li antivirusni program
koji se skida sa interneta zaista antivirusni program.

5.3. METODE DETEKCIJE VIRUSA

Postoji nekoliko metoda koje antivirusni program koristi za identifikaciju
malicioznog programa. Ovisno od programa moe se koristiti i vie metoda.

- Detekcija bazirana na uzorcima - najee koritena metoda za identifikaciju

malicioznog programa. Da bi pronaao virus ili neki drugi maliciozni
program, softver uporeuje sadraj datoteke sa sadrajem kataloga uzorka
virusa. Ovo su obino baze podataka poznatih virusa koje se esto auriraju.
Poto virus moe biti ugnijeden u samu datoteku, provjerava se i njen
sadraj kao i sadraj svih njenih sastavnih dijelova, ako se radi o sloenoj ili
komprimiranoj datoteci.

- Heuristika metoda - ova metoda se moe koristiti kod novih i nepoznatih

virusa. Moe se koristiti na dva naina: analiza datoteka i emulacija datoteka.
Analiza datoteka je proces traganja za sumnjivim programskim zapovjedima
u datotekama. Slabost ove metode je to to ona moe znatno usporiti rad
operativnog sistema raunara provjeravajui veliki broj datoteka. Emulacija
datoteka je metoda koja izvrava program u virtualnom okruenju i biljei sve
akcije koje on izvri. Analizom zabiljeenih akcija moe se utvrditi moe li
program ugroziti raunarski sistem. Tehnlogija najee ima ime Heuristika
(eng. Heuristics). Heuristika moe dati i "lane" rezultate (eng. False
positives). Ti rezultati mogu biti npr. da antivirus detektira "ist" program kao
virus. False negatives su suprotno od False postitives, tj. virusi koje
antivirusni program nije pronaao.

Savremeni antivirusni programi kombiniraju obje metode. Antivirusni program esto

nudi opciju automatskog brisanja ili stavljanje zaraenih datoteka u izolacijsku zonu.

10
6. ANTIVIRUSNE METODE

6.1. SKENERI
Skeneri su po pravilu programi za specifino prepoznavnje virusa, mada bi neki
od njih, koji koriste heuristike metode traenja virusa, mogli biti svrstani u grupu
programa za nespecifino prepoznavanje virusa, budui da su, bar teoretski, sposobni
prepoznati i nepoznate viruse.

Skener tradicionalno prepoznaje virus na temelju (u njega) ugraenih podataka, koji

su prethodno pribavljeni analizom virusa koji se pojavio meu korisnicima. Ti podaci
mogu se odnositi na niz heksadecimalnih znakova (eng. searchstring) koji katkad
mogu sadravati i wildcard (doker) znakove. Glavna prednost skenera je mogunost
trenutnog otkrivanja poznatih virusa jednostavnim pregledom sumnjivog sadraja.
Ako skener prepozna virus, on e dojaviti tano o kom se virusu radi,a to je vrlo
korisno jer se prema tom podatku mogu procijeniti i mogue posljedice napada
virusa. Pravilno korisen skener pomoi e nam da otkrijemo virus pristiglim
diskovima prije nego zarazi tiene kompjutere. Nedostaci skenera odnose se na
potrebu za stalnim dograivanjem radi prepoznavanja novonastalih virusa, no
nemogunost prepoznavanja virusa o kojima nemaju potrebne podatke. Iako postoje
heuristiki skeneri, sposobni za otkrivanje novonastalih, nepoznatih virusa, koji su
bazirani na tenologiji znanja (eng. knowledge based), kao i svaki takav sistem ima
puno i mana. Skeneri su danas najrasprostranjeniji antivirusni softver.

6.2. PROVJERA CHEKSUMOM

Tehnika provjere checksum-om temelji se na mogunosti prepoznavanja svake
promjene na tienom sadraju. Checksum-om se zaledi stanje sistema za koji
prethodno utvrdimo da je neinficiran. Nakon toga se u odreenim vremenskim
razmacima provjerava da li je u sistemu dolo do nekih promjena. Checksum-miranje
je jedina poznata metoda kojom se sigurno otklanjaju svi virusi, bez obzira na to da li
su poznati ili ne. Ova injenica ini checksum-ere jednim dugoronim osloncem
svake mudre antivirusne strategije. Nedostatak checksum-era lei u injenici da se
njima otkriva infekcija virusom tek nakon to se ve dogodila, meutim, njihovom
redovnom primjenom sigurno se moe otkriti virus prije nego to doe do znaajne
tete.

11
6.3. PROGRAMI ZA MONITORING
Ovakvi programi rade kao TSR koji pregledava odvijanje pojedinih funkcija
sistema preko odgovarajuih interrupt-a. Tako npr. kad god sistem dobije nalog za
uitaanjem neke izvrne datoteke, moe se i izvriti provJera. Neki monitori ne trae
specifine viruse nego pokuavaju otkloniti sumnjive aktivnosti kao to su npr.
pisanje po Master BOOT sektoru ili izvrnim programima, pokretanje formatiranja
diska, pokuaj programa da se uini rezidentnim u memoriji i sl. Jedina prednost
monitora je da mogu otkriti virus u realnom vremenu.

Nedostaci monitora su brojni. Najvei nedostatak je nemogunost djelotvorne

primjene TSR programa koji bi u sebi sadravao podatke za prepoznavanje svih
poznatih virusa. Monitori koji otkrivaju sumnjive aktivnosti esto izazivaju brojne
lane uzbune, jer oznaavaju sumnjivim i redovne aktivnosti kao to su formatiranje
disketa ili instaliranje raznih programa u memoriju.

12
7. ZAKLJUAK

U dananje vrijeme je gotovo nezamisliv rad na raunaru bez zatite od virusa

koje moemo dobiti otvaranjem bilo koje stranice na internetu. Potrebno je imati
dobre antivirusne programe kako se ne bi doveli u situaciju da pokupimo raznorazne
viruse koji bi obrisali vane datoteke ili nam naruili privatnosti i sruili sistem.
Danas se sva poslovanja vode preko raunara i nedopustiv je rizik da se dovedemo u
situaciju prekida poslovanja na odreeno vrijeme.To nam ne doputa dananji nain
ivota. Potrebno je redovno obnavljati antivirusne programe jer svakog dana nastaju
milioni novih virusa.

13