Antivirus – razlika između verzija
Uklonjeni sadržaj Dodani sadržaj
Nema sažetka izmjene |
ref |
||
Red 15:
| url = http://www.research.ibm.com/antivirus/timeline.htm | publisher = [[IBM]] | title = Virus timeline | first = Joe | last = Wells | date = 1996-08-30 | accessdate = 2008-06-06| archiveurl= http://web.archive.org/web/20080604011721/http://www.research.ibm.com/antivirus/timeline.htm| archivedate= 4 June 2008 <!--DASHBot-->| deadurl= no}}</ref> Poznato je i da su za platformu [[Atari]], te iste godine, bila razvijena dva antivirusna softvera. Prvi je bio G Data <ref name="Gdata">{{Cite web|url = http://www.gdatasoftware.co.uk/security-labs/news/news-details/article/1532-g-data-presents-security-first.html|title = G Data presents security firsts at CeBIT 2010|accessdate = 22 August 2011|last = G Data Software AG |year = 2011}}</ref> (postoji i danas), a drugi UVK 2000.<ref name="UniqueNameOfRef">{{Cite web|url = http://www.42nd.net/uvk/|title = The ultimate Virus Killer UVK 2000|accessdate = 22 August 2011|last = Karsmakers |first = Richard |authorlink = |year = 2010|month = January}}</ref>
[[Fred Cohen]] je 1984. godine izdao jedan od prvih akademskih papira o kompjuterskim virusima.<ref>[http://www.eecs.umich.edu/%7Eaprakash/eecs588/handouts/cohen-viruses.html Fred Cohen 1984 "Computer Viruses – Theory and Experiments"]</ref> 1987. godine ispravno je izjavio, da nijedan [[algoritam]] ne može da otkrije sve moguće viruse<ref name="Cohen1987">Cohen, Fred, [http://www.research.ibm.com/antivirus/SciPapers/VB2000DC.htm An Undetectable Computer Virus], 1987, IBM</ref>, a 1988. godine počeo je da razvija strateške metode za
Na mreži BITNET/EARN 1988. je godine nastala mejl lista VIRUS-L<ref>[http://securitydigest.org/virus/mirror/www.phreak.org-virus_l/ VIRUS-L mailing list archive]</ref> na kojoj je se diskutovalo o novim virusima, te o mogućnostima njihove detekcije i uklanjanja. Neki su članovi pomenute liste, kao što su John McAfee i Eugene Kaspersky, kasnije zasnovali antivirusne firme koje su razvijale i prodavale komercijalne pakete.
Pre velike raširenosti interneta, virusi su se obično širili preko [[disketa|flopi diska]]. Antivirusni softver je u to vreme proveravao izvršne datoteke i [[boot sektor|but sektor]]e na flopi i [[Tvrdi disk|tvrdim diskovima]], te je bio relativno retko osvežavan. Nakon što je [[internet]] postao raširen, i virusi su promenili svoje glavno mesto širenja, koje je se preselilo u pomenuto okružje.<ref>{{cite web|url = http://www.pandasecurity.com/homeusers/media/press-releases/viewnews?noticia=4974&entorno=&ver=&pagina=&producto=|title = (II) Evolution of computer viruses|accessdate = 2009-06-20|last = Panda Security|authorlink = |year = 2004 |month = April}}</ref>
Tokom godina postalo je neophodno da antivirusni softver proverava više tipova datoteka, a ne samo izvršne, zbog sledećih potencijalnih pretnji:
* Moćni makroi, koji su bili korišćeni u programima za obradu teksta, poput [[Microsoft Word|MS Worda]]. Pisci virusa su, naime, mogli da koriste [[makro]]e za stvaranje virusa koji bi bili ugrađeni u dokumente.
* Mogućnost ubacivanja izvršnih obekata u kod inače neizvršnih datoteka<ref>{{cite web|url = http://news.cnet.com/2100-1001-271267.html|title = New virus travels in PDF files|accessdate = 2011-10-29 |date=7 August 2001 }}</ref>
* Kasniji e-mail programi poput Microsoftovih [[Outlook Express|Outlook Expressa]] i [[Microsoft Outlook|Outlooka]], bili su ranjivi na viruse koji su bili ubačeni u samo telo poruke
Sve navedeno znači da bi se kompjuter mogao inficirati pri samom otvaranju dokumenata sa skrivenim prikačenim makroima, zaražene [[e-mail]] poruke<ref>{{cite web|url = http://www.slipstick.com/outlook/antivirus.htm|title = Protecting Microsoft Outlook against Viruses|accessdate = 2009-06-18|last = Slipstick Systems|authorlink = |year = 2009|month = February| archiveurl= http://web.archive.org/web/20090602233638/http://www.slipstick.com/outlook/antivirus.htm| archivedate= 2 June 2009 <!--DASHBot-->| deadurl= no}}</ref> ili inače neizvršne datoteke sa kodom izvršnog obekta.
Kada su [[Širokopojasni internet|širokopojasne veze]] postale norma, pisanje malicioznog softvera uzelo je maha; postalo je nužno da se što češće osvežavaju definicije potpisa kod antivirusnih alatki. Pa čak i tad, uvek postoji šansa da se nova pretnja široko rasprostrani, pre nego što antivirusne firme izdaju novi potpis.
Red 33:
Postoji više metoda otkrivanja malicioznog softvera, a većina antivirusa koristi kombinaciju više njih:
* Detekcija bazirana na potpisima (signaturama) najčešća je metoda. Kako bi identifikovao [[maliciozni softver]], antivirus poredi sadržaj datoteka sa "rečničkom" bazom malwarea. Pošto malware može biti ugnežđen u samu datoteku, proverava se cela datoteka, ne samo celina, već i njezini manji delovi.<ref name="About2009">{{cite web|url = http://antivirus.about.com/od/whatisavirus/a/virussignature.htm|title = What is a Virus Signature? |accessdate = 2009-06-18|last = Landesman|first = Mary|authorlink = |year = 2009}}</ref>
* Detekcija štetnih aktivnosti - antivirusni softver nadgleda softver u okruženju koji sa kojim kompjuterski sistem komunicira. Ukoliko detektuje sumnjive aktivnosti nekog softvera, dodatno ga detaljno proverava koristeći neku od metoda detekcije. Ova metoda je pogodna za detekciju novih i nepoznatih virusa.
* Heuristička metoda - slično metodi detekcije štetnih aktivnosti, ova metoda se može koristiti kod novih i nepoznatih virusa. Može se koristiti na dva načina: analiza datoteka i emulacija datoteka. [[Emulacija datoteka]] podrazumeva pokretanje programa u virtuelnom okružju, te bileženje radnji koje izvrši. Ovisno o zabileženim radnjama, antivirus može da odredi da li je program maliciozan ili ne i potom poduzeti odgovarajuće radnje.<ref>{{Harvnb|Szor|2005|pp=474–481}}</ref>
=== Detekcija bazirana na potpisima ===
Otkrivanje malwarea dugo je vremena veoma zavisilo od ove metode detekcije. Ona može da bude veoma učinkovita, ali ne može da obrani kompjuter od malwarea ako ne postoje odgovarajući potpisi - pa nije pouzdana protiv novog, nepoznatog malicioznog softvera.
Kako novi virusi nastaju doslovno svaki dan, detekcija bazirana na potpisima zahteva česta osvežavanja rečnika potpisa. Neki antivirusi omogućavaju korisnicima slanje novih virusa ili njihovih varijanata antivirusnim firmama, gde se analizuju i potom se u rečnik doda njihov potpis.<ref name="About2009" />
Još jedna potencijalna mana ove metode jest da neki autori virusa pokušavaju da izbegnu sličnost sa postojećim potpisima te pribegavaju -morfične (oligomorfične, polimorfične i odnedavno metamorfične) viruse. Ta vrsta malicioznog softvera šifrira ([[enkripcija|enkriptuje]]) delove svog koda, ili na druge načine izmenjuje samog sebe, u svrhu prikrivanja, tj. da njegov potpis ne odgovara nekom u rečniku.<ref>{{Harvnb|Szor|2005|pp=252–288}}</ref>
=== Heuristika ===
Dosta antivirusa koristi metodu heuristike za identifikaciju nepoznatog malwarea ili novih varijanti postojećeg.
Mnogi virusi, naime, počnu na razini pojedinačnih infekcija. Preko kasnijih [[mutacija]], tj. "poboljšavanja" njihovih svojstava (od strane samog autora ili nekih drugih napadača), on može imati više međusobno sličnih varijanti. Generička detekcija je detekcija i uklanjanje više malicioznih pretnji korišćenjem jednog odgovarajućeg potpisa.<ref>{{cite web |url= http://www.securelist.com/en/glossary?glossid=189210517|title=Generic detection |accessdate=2013-07-11 |work= |publisher=Kaspersky |date= }}</ref>
Tako primerice trojanac [[Vundo]] ima nekoliko porodica, ovisno o klasifikaciji proizvođača antivirusa; [[Symantec]] klasifikuje "članove" Vundo porodice u dve kategorije: Trojan.Vundo i Trojan.Vundo.B.<ref>{{cite web|url = http://www.symantec.com/security_response/writeup.jsp?docid=2004-112111-3912-99|title = Trojan.Vundo|accessdate = 2009-04-14|last = Symantec Corporation|authorlink = |year = 2009|month = February| archiveurl= http://web.archive.org/web/20090409002645/http://www.symantec.com/security_response/writeup.jsp?docid=2004-112111-3912-99| archivedate= 9 April 2009 <!--DASHBot-->| deadurl= no}}</ref><ref>{{cite web|url = http://www.symantec.com/security_response/writeup.jsp?docid=2005-042810-2611-99|title = Trojan.Vundo.B|accessdate = 2009-04-14|last = Symantec Corporation|authorlink = |year = 2007|month = February| archiveurl= http://web.archive.org/web/20090427160747/http://www.symantec.com/security_response/writeup.jsp?docid=2005-042810-2611-99| archivedate= 27 April 2009 <!--DASHBot-->| deadurl= no}}</ref>
Iako identifikovanje specifičnog virusa ima svoje prednosti, brži je način stvaranje generičkog potpisa za porodicu. Istraživači virusa pokušavaju da kod porodica nađu unikatne zajedničke karakteristike, tako da za njih mogu da stvore jedan generički potpis.
=== Detekcija rootkita ===
Antivirusni softver može da pokuša skenirati kompjuter u potrazi za [[rootkit]]om. Reč je o posebnoj vrsti malwarea dizajniran da si pridobije administratorske privilegije preko kompjuterskog sistema - a da pritom, naravno, prođe nezapaženo što je duže moguće. Rootkit može da promeni način funkcionisanja operativnog sistema a ponekad se i "upletati" u rad antivirusnog softvera čineći ga nepouzdanim. Teško ga je ukloniti, a ponekad je jedino rešenje reinstalacija operativnog sistema.<ref>[http://www.f-secure.com/en_EMEA/security/virus-removal/virus-information/encyclopedia/encyclopedia_rootkit.html Rootkit]</ref>
Međutim, i na ovom polju ima nade obzirom da antivirusni program Avast ima licenciran GMER (program za detekciju rootkita) što znatno olakšava borbu protiv ove vrste malicioznog programa.
=== Zaštita u stvarnom vremenu ===
Zaštita u stvarnom vremenu poznata pod nazivima real-time protection, on-access scanning, background guard, resident shield i autoprotect. To je zaštita kakvu poseduju skoro svi antivirusi, antispywarei (često ne u besplatnoj verziji) i drugi programi za zaštitu kompjutera. Ona beleži aktivnosti na sistemu i posmatra dešavaju li se kakve sumnjive aktivnosti, i to u stvarnom vremenu. To je u drugim rečima razdoblje kada su podaci učitani u memoriju kompjutera: kad korisnik stavlja [[CD]], otvara [[e-mail]] poruku, ili surfa [[internet]]om; ili pak razdoblje kad je datoteka na kompjuteru već učitana ili izvršena.<ref>[http://www.kaspersky.com/faq?chapter=170710015&qid=173727547 Kaspersky Lab Technical Support Portal] {{WebCite|url=http://www.webcitation.org/5wTrMA7aY|date =2011-02-13}}</ref>
== Mogući problemi ==
=== Lažni antivirusi ===
Neki programi koji su naizgled antivirusi zapravo su maliciozni softver koji se lažno predstavlja kao legitimni. To su primerice WinFixer, MS Antivirus, i Mac Defender.<ref>{{cite web|url = http://www.spywarewarrior.com/rogue_anti-spyware.htm|title = Rogue/Suspect Anti-Spyware Products & Web Sites|accessdate = 2009-11-29 |last = SpywareWarrior |authorlink = |year = 2007}}</ref> Većina antivirusa će prepoznati ovakav maliciozni softver, no problem nastaje u tome što će lažni antivirus često onesposobiti pravi.
=== Lažno pozitivni rezultati ===
Lažno pozitivni rezultat označava dešavanje kada antivirus pogrešno detektira bezopasnu datoteku kao virus. Kada se ovo dogodi, mogu da se jave ozbiljni problemi. U slučaju da je antivirus konfigurisan da automatski briše zaražene datoteke ili da ih izoliše u karantenu, lažno pozitivni rezultat kod neke važne datoteke može da učini operativni sistem ili namenski program nesposobnim za rad.<ref>{{cite web|url=http://arstechnica.com/microsoft/news/2008/11/avg-incorrectly-flags-user32-dll-in-windows-xp-sp2sp3.ars|title=AVG incorrectly flags user32.dll in Windows XP SP2/SP3|accessdate=2011-02-24|author=Emil Protalinski|date=November 11, 2008|publisher=''[[Ars Technica]]''}}</ref> U slučaju da Windowsi postanu nesposobni za rad, troškovi njihovog ponovnog popravljanja u servisima može da prisili firme u kojima se koriste na privremeno zatvaranje.
Navešćemo nekoliko slučajeva lažno pozitivnih rezultata:
U maju 2007. godine, loše napravljen Symantecov virusni potpis greškom je uklonio nekoliko esencijalnih sistemskih datoteka, zbog čega je hiljade kompjutera prestalo da funkcioniše.<ref>{{cite web|title=Flawed Symantec update cripples Chinese PCs|url=http://news.cnet.com/Flawed-Symantec-update-cripples-Chinese-PCs/2100-1002_3-6186271.html|author=Aaron Tan|publisher=''[[CNET Networks]]''|date=May 24, 2007|accessdate=2009-04-05}}</ref> Takođe u istom mesecu iste godine, [[Norton AntiVirus]] (tvrtke Symantec) detektirao je izvršnu datoteku bitnu za rad Pegasus Maila kao trojanca, te ju automatski obrisao. To je, razumljivo, uzrokovalo nemogućnost pokretanja pomenutog mail klijenta. Da stvari budu još gore, Norton AntiVirus pogrešno je prepoznao čak tri izdanja Pegasus Maila kao malware, te bi obrisao njihovu pripadajuću instalacijsku datoteku.<ref name="v45x">{{cite web|url=http://www.pmail.com/v45x.htm|title=January 2010 - Pegasus Mail v4.52 Release|accessdate=2010-05-21|author=David Harris|date=June 29, 2009|publisher=''[[Pegasus Mail]]''| archiveurl= http://web.archive.org/web/20100528053020/http://www.pmail.com/v45x.htm| archivedate= 28 May 2010 <!--DASHBot-->| deadurl= no}}</ref> U firmi Pegasus Mail odgovorili su:
{{citat3|Na osnovi činjenice da je Norton/Symantec detektirao svaki od tri poslednja izdanja Pegasus Maila kao malware, možemo samo osuditi pomenuti proizvod kao odviše loš za korištenje, i toplo preporučiti našim korisnicima da ga prestanu koristiti u korist alternativnog antivirusnog paketa sa manje bugova.<ref name="v45x" />}}
U aprilu 2010. godine, [[McAfee]] je detektirao svchost.exe, bezazlenu Windows izvršnu datoteku, kao virus. To je se desilo na kompjuterima koji su pokretali [[Windows XP]] Service Pack 3, zbog čega bi korisnici izgubili vezu na internet ili bi se pak njihova mašina non-stop iznova pokretala. U decembru iste godine, loše osveženje [[AVG]] paketa oštetilo je 64-bitne verzije [[Windows 7|Windowsa 7]] - zbog čega su se neprestano iznova pokretali te time postali onesposobljeni.
| |||