Wikipedija

Antivirus – razlika između verzija

Interaktivna pretraga historije
← Starija izmjenaNovija izmjena →
Uklonjeni sadržaj Dodani sadržaj
VizualnoWikitekst
→‎Istorija: - malo sređeno
Nema sažetka izmjene
Red 2:
'''Antivirusni softver''' ili '''antivirus''' (na engl. se često koristi akronim AV) je [[računar|računarski]] [[softver]] koji se koristi za prevenciju, otkrivanje i uklanjanje malvera (zlonamjernog softvera).
 
Za razliku od prvobitnih antivirusnih softvera, koji su bilise baziranibazirali isključivo na tretiranju računarskih virusa, moderni antivirusni softver sistemsistemi štite od različitih malvera, u koje osim "klasičnih" virusa spadaju i: [[računarski crv|crvi]], [[Trojanski konj (informatika)|trojanci]], [[backdoor]], [[rootkit]], [[adware|adwarei]]<nowiki/>i, [[spyware|spywarei]]<nowiki/>i, [[dialer|dialeri]]<nowiki/>i, [[keylogger|keyloggeri]]<nowiki/>i... Mnogi današnji paketi nude zaštitu i od raznih vrsta socijalnog inženjeringa, poput fišinga (''[[fishing]]'').<ref>{{cite web|title=What is antivirus software?|url=http://www.microsoft.com/security/resources/antivirus-whatis.aspx|publisher=Microsoft}}</ref>
 
Postoji više načina zaštite. Ona bazirana na potpisima uključuje otkrivanje i uklanjanje već poznatih napasti. No, problem je u tome što kompjuter može da bude zaražen i nekim novim malverom za koji još ne postoji potpis. Zbog toga antivirusi često koriste metodu [[heuristika|heuristike]]. Jedna vrsta heuristike se zasniva na generičkim potpisima, kojakoji možemogu da otkrijeotkriju novi malver ili varijantu onog već poznatog, tako što u datoteci tražitraže poznati maliciozni kod, ili njegove manje izmene. Neki antivirusni softveri mogu da predvide delovanje programa tako što će ga pokrenuti u [[sandbox]]u, i analizirati ga da provere izvršava li kakve potencijalno zlonamerne radnje. Sandbox je izolisano okruženje van kojeg program ne može da prodre i u slučaju da jeste maliciozan, ne može da uradi štetu stvarnom sistemu.
 
No, bez obzira koliko korisni mogu da budu, antivirusi imaju i neke nedostatke. Oni utiču na korišćenjekorištenje sistemskih resursa, zbog čega može doći do smanjene brzine rada kompjutera (pada performansi).<ref>{{cite web|title=How Antivirus Software Can Slow Down Your Computer|url=http://www.support.com/blog/post/how-antivirus-software-can-slow-down-your-computer|publisher=Support.com Blog|accessdate=07/26/10}}</ref> Neiskusni korisnici mogu takođe da imaju problema sa razumevanjem obaveštenja i odluka koje im antivirusni softver daje. Neispravna odluka, naime, može znatno oslabiti sigurnost sistema. Osim toga, ako se antivirus koristi heuristikom, uspešnost te metode ovisi o balansu između lažno pozitivnih i lažno negativnih rezultata. Lažno pozitivni rezultati (kada je bezazlen program prepoznat kao pretnja) mogu da imaju jednako loše posledice kao i lažno negativni razultati<ref>{{cite web | title=Softpedia Exclusive Interview: Avira 10 | url=http://news.softpedia.com/news/Avira-s-New-Anti-Malware-Fleet-139829.shtml| work=Ionut Ilascu | publisher=Softpedia | date=14 April 2010 | accessdate=2011-09-11}}</ref> - npr. gubitak važnog dokumenta ili čak važne sistemske datoteke.
 
== Istorija ==
Red 34:
 
* Detekcija bazirana na potpisima (signaturama) najčešća je metoda. Kako bi identifikovao [[maliciozni softver]], antivirus poredi sadržaj datoteka sa "rečničkom" bazom malwarea. Pošto malware može biti ugnežđen u samu datoteku, proverava se cela datoteka, ne samo celina, već i njezini manji delovi.<ref name="About2009">{{cite web|url = http://antivirus.about.com/od/whatisavirus/a/virussignature.htm|title = What is a Virus Signature? |accessdate = 2009-06-18|last = Landesman|first = Mary|authorlink = |year = 2009}}</ref>
* Detekcija štetnih aktivnosti - antivirusni softver nadgleda softver u okruženju koji sa kojim kompjuterski sistem komunicira. Ukoliko detektuje sumnjive aktivnosti nekog softvera, dodatno ga detaljno proverava koristeći neku od metoda detekcije. Ova metoda je pogodna za detekciju novih i nepoznatih virusa.
* Heuristička metoda - slično metodi detekcije štetnih aktivnosti, ova metoda se može koristiti kod novih i nepoznatih virusa. Može se koristiti na dva načina: analiza datoteka i emulacija datoteka. [[Emulacija datoteka]] podrazumeva pokretanje programa u virtuelnom okružju, te bileženje radnji koje izvrši. Ovisno o zabileženim radnjama, antivirus može da odredi da li je program maliciozan ili ne i potom poduzetipoduzme odgovarajuće radnje.<ref>{{Harvnb|Szor|2005|pp=474–481}}</ref>
 
=== Detekcija bazirana na potpisima ===
Red 42:
Kako novi virusi nastaju doslovno svaki dan, detekcija bazirana na potpisima zahteva česta osvežavanja rečnika potpisa. Neki antivirusi omogućavaju korisnicima slanje novih virusa ili njihovih varijanata antivirusnim firmama, gde se analizuju i potom se u rečnik doda njihov potpis.<ref name="About2009" />
 
Još jedna potencijalna mana ove metode jest da neki autori virusa pokušavaju da izbegnu sličnost sa postojećim potpisima te pribegavaju -morfičnemorfičnim (oligomorfičneoligomorfičnim, polimorfičnepolimorfičnim i odnedavno metamorfičnemetamorfičnim) virusevirusima. Ta vrsta malicioznog softvera šifrira ([[enkripcija|enkriptuje]]) delove svog koda, ili na druge načine izmenjuje samog sebe, u svrhu prikrivanja, tj. da njegov potpis ne odgovara nekom u rečniku.<ref>{{Harvnb|Szor|2005|pp=252–288}}</ref>
 
=== Heuristika ===
Dosta antivirusa koristi metodu heuristike za identifikaciju nepoznatog malwarea ili novih varijanti postojećeg.
 
Mnogi virusi, naime, počnu na razini pojedinačnih infekcija. Preko kasnijih [[mutacija]], tj. "poboljšavanja" njihovih svojstava (od strane samog autora ili nekih drugih napadača), on može imati više međusobno sličnih varijanti. Generička detekcija je detekcija i uklanjanje više malicioznih pretnji korišćenjemkorištenjem jednog odgovarajućeg potpisa.<ref>{{cite web |url= http://www.securelist.com/en/glossary?glossid=189210517|title=Generic detection |accessdate=2013-07-11 |work= |publisher=Kaspersky |date= }}</ref>
 
Tako primerice trojanac [[Vundo]] ima nekoliko porodica, ovisno o klasifikaciji proizvođača antivirusa; [[Symantec]] klasifikuje "članove" Vundo porodice u dve kategorije: Trojan.Vundo i Trojan.Vundo.B.<ref>{{cite web|url = http://www.symantec.com/security_response/writeup.jsp?docid=2004-112111-3912-99|title = Trojan.Vundo|accessdate = 2009-04-14|last = Symantec Corporation|authorlink = |year = 2009|month = February| archiveurl= http://web.archive.org/web/20090409002645/http://www.symantec.com/security_response/writeup.jsp?docid=2004-112111-3912-99| archivedate= 9 April 2009 <!--DASHBot-->| deadurl= no}}</ref><ref>{{cite web|url = http://www.symantec.com/security_response/writeup.jsp?docid=2005-042810-2611-99|title = Trojan.Vundo.B|accessdate = 2009-04-14|last = Symantec Corporation|authorlink = |year = 2007|month = February| archiveurl= http://web.archive.org/web/20090427160747/http://www.symantec.com/security_response/writeup.jsp?docid=2005-042810-2611-99| archivedate= 27 April 2009 <!--DASHBot-->| deadurl= no}}</ref>
 
Iako identifikovanje specifičnog virusa ima svoje prednosti, brži je način stvaranje generičkog potpisa za porodicu. Istraživači virusa pokušavaju da kod porodica nađu unikatne zajedničke karakteristike, tako da za njih mogu da stvore jedan generički potpis.
 
=== Detekcija rootkita ===
Antivirusni softver može da pokuša skenirati kompjuter u potrazi za [[rootkit]]om. Reč je o posebnoj vrsti malwarea dizajnirandizajniranoj da si pridobije administratorske privilegije preko kompjuterskog sistema - a da pritom, naravno, prođe nezapaženo što je duže moguće. Rootkit može da promenipromeniti način funkcionisanja operativnog sistema, a ponekad se i "upletatiuplesti" u rad antivirusnog softvera čineći ga nepouzdanim. Teško ga je ukloniti, a ponekad je jedino rešenje reinstalacija operativnog sistema.<ref>[http://www.f-secure.com/en_EMEA/security/virus-removal/virus-information/encyclopedia/encyclopedia_rootkit.html Rootkit]</ref>
 
Međutim, i na ovom polju ima nade obzirom da antivirusni program Avast ima licenciran GMER (program za detekciju rootkita) što znatno olakšava borbu protiv ove vrste malicioznog programa.
 
=== Zaštita u stvarnom vremenu ===
Zaštita u stvarnom vremenu poznata je pod nazivima real-time protection, on-access scanning, background guard, resident shield i autoprotect. To je zaštita kakvu poseduju skoro svi antivirusi, antispywarei (često ne u besplatnoj verziji) i drugi programi za zaštitu kompjutera. Ona beleži aktivnosti na sistemu i posmatra dešavaju li se kakve sumnjive aktivnosti, i to u stvarnom vremenu. To je u drugim rečima razdoblje kada su podaci učitani u memoriju kompjutera: kad korisnik stavlja [[CD]], otvara [[e-mail]] poruku, ili surfa [[internet]]om; ili pak razdoblje kad je datoteka na kompjuteru već učitana ili izvršena.<ref>[http://www.kaspersky.com/faq?chapter=170710015&qid=173727547 Kaspersky Lab Technical Support Portal] {{WebCite|url=http://www.webcitation.org/5wTrMA7aY|date =2011-02-13}}</ref>
 
== Mogući problemi ==
=== Lažni antivirusi ===
Neki programi koji su naizgled antivirusi zapravo su maliciozni softver koji se lažno predstavlja kao legitimni. To su primerice WinFixer, MS Antivirus, i Mac Defender.<ref>{{cite web|url = http://www.spywarewarrior.com/rogue_anti-spyware.htm|title = Rogue/Suspect Anti-Spyware Products & Web Sites|accessdate = 2009-11-29 |last = SpywareWarrior |authorlink = |year = 2007}}</ref> Većina antivirusa će prepoznati ovakav maliciozni softver, no problem nastaje u tome što će lažni antivirus često onesposobiti pravi.
 
=== Lažno pozitivni rezultati ===
Lažno pozitivni rezultat označava dešavanje kada antivirus pogrešno detektira bezopasnu datoteku kao virus. Kada se ovo dogodi, mogu da se jave ozbiljni problemi. U slučaju da je antivirus konfigurisan da automatski briše zaražene datoteke ili da ih izoliše u karantenu, lažno pozitivni rezultat kod neke važne datoteke može da učiniučiniti operativni sistem ili namenski program nesposobnim za rad.<ref>{{cite web|url=http://arstechnica.com/microsoft/news/2008/11/avg-incorrectly-flags-user32-dll-in-windows-xp-sp2sp3.ars|title=AVG incorrectly flags user32.dll in Windows XP SP2/SP3|accessdate=2011-02-24|author=Emil Protalinski|date=November 11, 2008|publisher=''[[Ars Technica]]''}}</ref> U slučaju da Windowsi postanu nesposobni za rad, troškovi njihovog ponovnog popravljanja u servisima može da prisili firme u kojima se koriste na privremeno zatvaranje.<ref>{{citation|url=http://www.zdnet.co.uk/news/security-management/2010/04/27/mcafee-to-compensate-businesses-for-buggy-update-40088779/|title=McAfee to compensate businesses for buggy update|accessdate=Thursday, 2 December 2010}}</ref><ref>{{citation|url=http://news.cnet.com/8301-1009_3-20003074-83.html|title=Buggy McAfee update whacks Windows XP PCs|accessdate=Thursday, 2 December 2010| archiveurl= http://web.archive.org/web/20110113170013/http://news.cnet.com/8301-1009_3-20003074-83.html| archivedate= 13 January 2011 <!--DASHBot-->| deadurl= no}}</ref>
 
Navešćemo nekoliko slučajeva lažno pozitivnih rezultata:
Linija 77 ⟶ 79:
 
=== Sistemski problemi ===
Pokretanje više antivirusa istovremeno može da ugrozi sistemske performanse i, još važnije, da uzrokuje konflikte među antivirusima.<ref>{{cite web|url = http://support.microsoft.com/default.aspx?scid=http://support.microsoft.com:80/support/kb/articles/Q189/2/64.ASP&NoWebContent=1|title = Plus! 98: How to Remove McAfee VirusScan|accessdate = 2009-11-29|last = [[Microsoft]]|authorlink = |year = 2007|month = January| archiveurl= http://web.archive.org/web/20091111020202/http://support.microsoft.com/default.aspx?scid=http://support.microsoft.com:80/support/kb/articles/Q189/2/64.ASP&NoWebContent=1| archivedate= 11 November 2009 <!--DASHBot-->| deadurl= no}}</ref> Zbog toga će mnogi antivirusi odbiti da se instaliraju ako otkriju da na sistemu deluje i neki drugi. Ipak, pomoću koncepta koji se naziva multiskening nekoliko je firmi (uključujući G Data<ref>{{cite web|title=G-Data Internet Security 2010|url=http://www.pcworld.com/article/165600/gdata_internet_security_2010.html|author=Robert Vamosi|date=May 28, 2009|publisher=''[[PC World (magazine)|PC World]]|accessdate=2011-02-24}}</ref> te [[Microsoft]]<ref>{{cite web|url=http://www.darkreading.com/vulnerability_management/security/antivirus/showArticle.jhtml?articleID=224700879|title=New Microsoft Forefront Software Runs Five Antivirus Vendors' Engines|publisher=''Darkreading''|author=Kelly Jackson Higgins|date=May 5, 2010|accessdate=2011-02-24}}</ref>) uspelo da napravi aplikacije koje istovremeno pokreću više ''enginea''.
 
Ponekad je neophodno da se privremeno isključi antivirus, npr. tokom instalacije servisnih paketa za Windowse (što je i preporuka Microsofta<ref>{{cite web
Linija 94 ⟶ 96:
}} Mentioned within "General troubleshooting".</ref>) i osvežavanja ''[[driver]]a'' za [[grafička kartica|grafičku karticu]]<ref>{{cite web|url = http://support.microsoft.com/kb/950717|title = Steps to take before you install Windows XP Service Pack 3|accessdate = 2009-11-29|last = [[Microsoft]]|authorlink = |year = 2009|month = April| archiveurl= http://web.archive.org/web/20091208074504/http://support.microsoft.com/kb/950717| archivedate= 8 December 2009 <!--DASHBot-->| deadurl= no}}</ref> - iz razloga što antivirus može da delimično ili posve spreči ovakve znatne sistemske izmene.
 
Funkcionalnost nekoliko legitimnih aplikacija takođe mogu da srozaju antivirusi. TrueCrypt, program otvorenog koda namenjen [[enkripcija|enkripciji diskova]], može da se sukobi da antivirusom, što dovodi ili do nemogućnosti funkcionisanja ili velike sporosti programa.<ref>{{cite web|url=http://www.truecrypt.org/docs/?s=troubleshooting|title=Troubleshooting|accessdate=2011-02-17}}</ref> I igre na Steam platformi mogu da imaju problema sa antivirusnim softverom;, te zbog toga bitibudu nestabilne ili se sporo izvoditiizvode.<ref>{{cite web
| url=https://support.steampowered.com/kb_article.php?ref=6057-YLBN-1660
| title=Spyware, Adware, and Viruses Interfering with Steam
Linija 103 ⟶ 105:
Studije provedene u decembru 2007. godine pokazale su da se pouzdanost antivirusnog softvera smanjila u odnosu na prethodnu godinu, posebno protiv nepoznatih pretnji. Njemački kompjuterski magazin c't otkrio je da se njihova razina detekcije smanjila sa 40-50% (2006.) na 20-30% (2007.). Iznimka je bio NOD32, koji je u to vreme uspeo da ostvari razinu od 68 posto.<ref>{{cite web|publisher=''[[The Register|Channel Register]]''|url=http://www.channelregister.co.uk/2007/12/21/dwindling_antivirus_protection/|author=Dan Goodin|title=Anti-virus protection gets worse|date=December 21, 2007|accessdate=2011-02-24}}</ref>
 
Problem je dodatno uvećan zbog činjenice da je, za razliku od nekad, danas čestočesta praksa da pisce malicioznog softvera finansuju kriminalne organizacije.<ref>{{cite web|url=http://www.computerweekly.com/Articles/2007/07/13/225537/hacking-poses-threats-to-business.htm|title=Hacking poses threats to business|accessdate=2009-11-15|author=Dan Illett|publisher=''[[Computer Weekly]]''|date=July 13, 2007}}</ref> Nije retkost da kriminalne organizacije koje nemajubez dovoljno tehničkog znanja za pisanje malwarea čak kupuju maliciozne pakete od programera, kojima cene variraju obično ozavisno od kompleksnosti i brojubroja opcija, a kreću se od tristotinjak pa sve do preko hiljadu evra. Paketi je moguće zasebno podesiti da se izbace ili uvedu neke druge opcije, u zavisnosti o želji kriminalaca, a onda ukupna cena ovisi o komponentama koje su izabrane.
 
Nezavisna testiranja antivirusa u februaru 2010. pokazala su da najbolja razina detekcije iznosi 99.,6, a najmanja samo 81.,8%. Svi antivirusi na testiranju imali su određen broj lažno pozitivnih rezultata<ref>{{cite web|url = http://www.av-comparatives.org/images/stories/test/ondret/avc_report25.pdf|title = Anti-Virus Comparative No. 25 |accessdate = 18 April 2010|last = AV Comparatives |authorlink = |year = 2010|month = February| archiveurl= http://web.archive.org/web/20100330233157/http://www.av-comparatives.org/images/stories/test/ondret/avc_report25.pdf| archivedate= 30 March 2010 <!--DASHBot-->| deadurl= no}}</ref>, neki više, neki manje. Iako se metodologije razlikuju, neke istaknute nezavisne kompanje za testiranje uključuju AV-Comparatives, ICSA Labs, West Coast Labs, Virus Bulletin, AV-TEST i ostale članice Anti-Malware Testing Standards Organization-a.ref>[http://www.computerworld.com/s/article/9178037/Guidelines_released_for_antivirus_software_tests Guidelines released for antivirus software tests]</ref><ref name="Harley 2011">{{cite book|last= Harley |first= David |authorlink= David Harley |title= AVIEN Malware Defense Guide for the Enterprise |url= http://books.google.com/books?id=LBzXf0A-jQwC |accessdate= 2013-06-10 |year= 2011 |publisher= [[Elsevier]] |location= |isbn= 9780080558660 |page= 487 }}</ref> Valja pomenuti da je testiranje antivirusnih programa vrlo složeno te da varira o mnogim faktorima.
 
=== Novi virusi ===
Linija 116 ⟶ 118:
=== Rootkit ===
Detekcija rootkita predstavlja veliki izazov za antiviruse - obzirom da rootkiti imaju potpuni administratorski pristup kompjuteru, te su nevidljivi korisniku na spisku procesa u Task Managera; takođe mogu da izmene unutrašnje funkcije sistema<ref>[http://www.grc.com/sn/sn-009.txt GIBSON RESEARCH CORPORATION SERIES: Security Now!]</ref> kao i antivirusa.
 
=== Oštećene datoteke ===
Datoteke oštećene virusima obično ne mogu da se vrate u prijašnje stanje. Antivirusni softver prilikom dezinfekcije uklanja virusni kod iz datoteke, ali ovo ne dovodi nužno to njenog vraćanja u originalno stanje. Tada se mogu povratiti jedino iz sigurnosnih kopija (''backupa''); softver koji je zbog oštećenja postao neiskoristiv treba da se ponovo instalira.<ref>{{cite web|url=http://www-cs-faculty.stanford.edu/~eroberts/cs201/projects/viruses/anti-virus.html|title=How Anti-Virus Software Works|accessdate=2011-02-16}}</ref>
Izvor: https://sh.wikipedia.org/wiki/Antivirus