offline
- Pridružio: 29 Maj 2004
- Poruke: 33
|
Definicija Virus:virus prestavlja program koji može inficirati druge programe,modificirajući ih tako da uključe novu kopiju njega samog,po potrebi također modificiranu.
Crvi: Crvi prestavljaju novu kategoriju koja je malo drukčija od definicije virusa.
Trojanski konj:Vrlo se jednostavno razlikuje od virusa i crva.Naime trojanski konji se ne repliciraju sami,već je potrebna eksp akcija korisnikalicitna
Povijest virusa
Brain se smatra prvim virusom,koji se pojavio u siječnju 1986.godine.On je najstariji poznati PC virus ,nakon kojeg su usjedile njegove brojne modifikacije.
Tadašnji virusi morali su svoje aktivnosti ograničiti na inficiranje disketa jer tvrdi diskovi nisu bili dostupni prosječnim korisnicima.
Stoned virus koji se pojavio početkom 1990.godine,a napisao ga je student Sveučilišta u Wellingtonu na Novom Zelandu.Kao i u slučaju Brain virusa,izvorna inačica ovog virusa može inficirati samo diskete , no kasnije su se pojavila modifikacija koja je bila u stanju inficirati tvrde diskove.
Morris Worm –najpoznatiji crv koji je medisku pažnju plijenio 1988.godine dobio je ime po autoru.Ovaj crv napada računala s UNIX operaciskim sustavom,iskorištavajući poznate sigurnosne probleme u servisima koji su bili pokrenuti na njima.Autor Morris crva bio je poznat.Robert Morris ,njegov otac tada je radio u samom vrhu NSA-e (engl.National Security Agency.Zbog katastrofalnog učinka crva osnovan je CERT.R.Morris je bio prvi osuđenik u SAD-u zbog računalnih aktivnosti,Dobio je 3.god zatvora ,400 sati društvenih aktivnosti i kaznu od 100 500 USD.
AIDS-prestavlja prvog poznatog trojanskog konja.Početkom 1990.godine AIDS je započeo svoj pohod.
CIH-izrazito destruktivan virus koji je zaplašio svijet fizičkim uništavanjen računala.Poznat je i pod imenom Chernolby otkriven je 1998.godine u Taiwanu.Nosiva komponenta virusa uredno će izbrisati podatke na tvrdom disku,no zastrašujuća opcija je zapravo pokušaj prepisivanja podataka u Flash BIOS-u računalu.
DOS-Općeniti DOS BSI virus ili crv,bez specijalne oznake
XF-Microsoft Excel Formula virusa
XM-Microsoft Excel macro virus
JS-JavaScript virus ili crv
Joke-Bezazelni program koji se pogrešno smatra virusom
Linux-Virus na Linux OS
Mac-Virus za Macintosh računala
SWF-Macromedia Flash virus
mIRC-program koji inficira popularne chat programe
OF97-Microsoft Office 97 (novija inačica) macro virus
Palm-Virus za Palm računala
PM97-Microsoft PowerPoint 97 (ili novija inačica)macro virus
REG-Registry virus (modificira registry zapise)
Troj-Trojanski konj
Unix-Unix crv
VBS-Visual Basic Script Virus ili Crv
Win-Microsoft Windows 3.0 ili 3.1 virus
W32-Virus koji inficira izvršne datoteke na Microsoft Wondows OS-ima (oznaka se koristi i za crve na ovim OS-ima)
W95-Microsoft Windows 95/98Me virus koji inficira izvršne datoteke.
W98- Microsoft Windows 98 virus
WNT- Microsoft Windows NT ili 2000 virus
W2K- Microsoft Windows 2000 virus
WM –Word macro virus
WM97-Word 97 macro
WSH-virus koji upotrebljava Windows Scripting Host komponente
DIAL-Dialer-program koji naziva specijalne brojeve tako da bi autor ostvario novčanu korist
Analiza neki virusa
Lehigh-Jedan od najpoznatijih predstavnika virusa koji inficiraju datoteke pod DOS operaciskim sustavima.Lehigh virus inficirao je samo jednu jedinu datoteku sustava, COMAND.COM.Ova datoteka izrazito je važna za DOS (a i Windows) OS i pokreće se pri podizanju sustava.
W32/Magistr-Predstavlja polimorfni virus koji inficira Windows 32-bitne programe.Širi se klasičnim inficiranjem izvršnih datoteka ,ali i putem privitka elektroničke pište,što mu i daje element crva.Virus je velik 30KB napisan je u Assembleru.On također ko CIH pokušava prepisati BIOS.
W32/Esperanto-Napisan je tako da je bio u stanju inficirati čitav niz različitih programskih datoteka od DOS.COM i .EXE.Virus je imao uključenu funkciju za okidanje koja je bila 26.lipnja svake godine.
W97M/Melissa-Virus je zapamćen po izrazito przob širenju.Naime ,Melissa se počela širiti putem članka alt.sex NNTP grupi.Članak je imao Word dokument u privitku,koji je bio zinficiran Melissom.
VBS/LoveLetter-prestavlja jedan od crva koji se najbrže širio.Crv dolazi u poruci elektroničke pošte koja je imala naslov «I LOVE YOU».Nije potrebno posebno spominjat da je crv imao veliku medisku pažnju.
Dos/Windows virusi
-Dos virusi se dijele na dvije kategorije .Prva kategorija je BSI virusi ,odnosno virusi koji inficiraju podatke u boot sektoru diskete ili tvrdog diska ,dok druga kategorija čine virusi koji inficiraju izvršne datoteke.
Funkcioniranje BSI virusa zapravo je vrlo jednostavno.Nakon što je virus jednom pokrenut pokušat će inficirati svaku sljedeću disketu koja se ubacuje u računalo.
BSI virusi bili su karakteristični za vrijeme kada se Operaciski sustav podizao s diskete (računala još nisu imala tvrde diskove).Ovakav način podizanja OS-a osiguravao je obavezno čitanje boot sektora –savršenog mjesta za pohranu virusa .Dakle da bi osigurao pokretanje pri svakom podizanju računala, virus je samo trebao postavit svoju kopiju u boot sektor. Naravno da bi prikrio svoju aktivnost virus je u ovom slučaju kopirao ispravan sadržaj boot sektora na neko drugo mjesto na disket. Ispravni sadržaj bio bi pokrenut nakon virusa.
Kad će se disketa (ili program) inficirati –to je već sasvim druga priča.
Virus ima 3 glavne mogućnosti odabira trenutka infekcije:
1.izravan akcija,odmah nakon pokretanja virusa (takvi se virusi nazivaju engl. One-shot)
2.pri izvođenju inficiranog programa (engl. While-called)
3.bilo kad nakon prvotnog pokretanja virusa (virus nastanjen u memoriji- engl. Memory resident).
Analiza:
Lehigh:
Je jedan od poznatih predstavnika virusa koji inficiraju datoteke pod DOS operaciskim
Sustavom.Lehigh virus inficirao je samo jednu datoteku na sustavu,COMAND.COM .Ova datoteka izrazito je važan ta DOS (a i Windows) operaciske sustave i pokreće se pri podizanju sustava.
Bobo
Vjerovatno najpoznatiji virus koji je potekao iz HR.
Ovaj virus ostaje pokrenut u memoriji računala,te spada u kategoriju virusa koji se zapisuju na kraj datoteke.Virus je u stanju inficirati .COM izvršne datoteke.
Virus je u određenom datumu prikazao jednu od sljedećih poruka.
Help Croatia NOW!
Ili
Happy birthday, Bobo!
Trojanski Konji
Trojanski konji smatraju se maliciozni programi koji nisu niti virusi niti crvi budući da nemaju mogućnost repliciranja.
Dakle ovi programi mogu se prenositi s računala na računalo samo kao posljedica aktivnosti korisnika (odnosno korisnici ih moraju sami kopirati).Ovi programi nemaju funkcije koje su zadužene za inficiranje drugih programa ili dokumenata.
Neki stručnjaci smatraju trojanske konje posebnom kategorijom virusa. Međutim prema drugim stručnjacima trojanski konji ne mogu biti virusi budući da nemaju mogućnost inficiranja drugih programa.
Trojanski konji obično se lažno predstavljaju korisnim alatima ,dok zapravo osim ponekad prisutnih «Korisnih funkcija» u pozadini provode još neke aktivnosti za koje korisnik ne zna ili ih ne želi.
Klasične aktivnosti trojanski konja svode se na krađu korisničkih zaporki ili u današnje vrijeme još popularnije metode davanja udaljenog pristupa neovlaštenim korisnicima.
Upotrebom ovakvih trojanskih konja koji se još nazivaju i backdoor ,neovlašteni korisnici biti će u stanju kontrolirati računalo na kojem je pokrenut trojanski konj , a da legitimni korisnik tog nije svjestan.
Analiza:
JS/NoClose
Trojanski konj koji je napisan u JavaScriptu koji koristi sigurnosni problem u IE ne bi li pristupio drugim web-poslužiteljima bez dozvole korisnika
NetBus
NetBus je jedan od vrlo popularnih trojanski konja. Iako ga je autor programa pokušao namijeniti ga legitimnoj svrsi ,proglašavajući ga programom za udaljeno administriranje računala , neovlašteni korisnici ga vrlo često upotrebtebljavaju je ostao na lošem glasu.
NetBus omogućava neovlaštenim korisnicima pristup svim podatcima na računalu i kontrolu nad pojedinim funkcijama Windows operacijskog sustava.
Program se sastoji od klijentskog i poslužiteljskog djela.Poslužiteljski dio se instalira na ciljano računalo ,nakon čega neovlašteni korisnik klijentskim programom pristupa tom udaljenom računalu.
Macro virusi
Macro virusi su danas najprisutniji na Microsoft Office programskim paketima.
Velika veličina macro virusa napisana je za Microsoft Word,dok se drugi virusi mogu naći i za Microsoft Excel te ostale aplikacije ovog popularnog paketa.
Međutim ,ovo ne znači da su samo Microsoft Office aplikacije osjetljive na macro viruse.Svaki programski paket koji dopušta pohranjivanje akcije koja će se provesti (ili čak programskog koda) u dokument potencijalna je žrtva macro virusa.
Nisu niti svi macrro maliciozni programi virusi- postoje macro trojanski konj, i naravno mnogobrojni generatori macro virusa.
Vrste macroa
Microsoft Word podržava tri vrste macroa koji su posebno zanimljive autorima virusa.
Macro pod imenom AutoExce najbolji je primjer macroa koji se izvodi pri pokretanju Worda.Naime ukoliko se ovaj macro spremi u Normal.DOT predložak ili u globalni predložak koji se nalazi u Wordovu početnom direktoriju,biti će pokrenut prilikom svakog pokretanja Worda.
U drugu kategoriju spadaju automatski macroi.
Ime macroa Pokreće se pri
AutoNew otvaranju novog dokumenta
AutoOpen otvaranju bilo kojeg dokumenta
AutoClose zatvaranju dokumenta
AutoExit izlasku iz Microsoft Worda
Analiza:
WM/Nuclear
Zanimljiv je zbog toga što se sastoji od dva podvirusa.Naime osim što je Nuclear klasični Macro Virus ,u njemu je sadržan i DOS/Windovs virus koji inficira datoteke ,Ph33r.
Ovaj virus prvo je otkriven na nekoliko javnih FTP poslužitelja na Internetu.
W97M/Melissa
Jedan od macro virusa koji je ostao zapamćen zbog izrazito brzog širenja.
Melissa se počela širiti putem članka u alt.sex NNTP grupi.Člank je imao Word dokument u privitku,koji je bio inficiran Melissom.Članak je tvrdio da se u Word dokumentu nalaze korisnička imena i zaporke za pristup na komercijalne erotske poslužitelje.
Glavna osobina Melisse je upravo izrazito velika rasprostranjenost.Virus je u ovom slučaju upotrebijo danas klasičnu metodu širenja elektroničkom poštom.
Crvi
Crv predstavlja samostalni program (ili skup programa) koji je u stanju širiti svoje funkcionalne kopije na druga računala , obično putem računalne mreže.
Potrebno je napomenuti da crvi za razliku od virusa ne moraju inficirati nikakvu datoteku na ciljanom računalu.
Postoje dvije vrste crva: crvi bazirani na računalu domaćinu i mrežni crvi
Crvi bazirani na računalu domaćinu (engl .host computer worms) nalaze se u potpunosti na računalu na kojem su pokrenuti i upotrebljavaju mrežnu komunikaciju samo za širenje na druga računala.
Mrežni crvi sastoje se od višestrukih dijelova, od kojih je svaki pokrenut na posebnom računalu (obično svaki dio provodi različitu aktivnost) , te upotrebljavaju računalnu mrežu za komunikaciju između dijelova.
Širenje
Najvažnija karakteristika crva je izrazito brzo širenje.Internet ,koji je omogućio fantastičnu globalnu povezanost računala ,predstavlja i optimalni medij za širenje crva.
Općeprihvaćena klasifikacija shema širenja crva je prema transportnom mehanizmu i prema mehanizmu pokretanja.
Prema transportnom mehanizmu se dijele u dvije kategorije.
1.Crvi koji se šire elektroničkom poštom.
2.Crvi koji se šire korištenjem raznih drugih protokola (osim protokola za elektroničku poštu)
Prema mehanizmu pokretanja
1.Crvi koji se sami pokreću
2.Crvi koje pokreću korisnici (ovi crvi , dakle , upotrebljavaju neku metodu socijalnog inženjerstva)
3.Hibridni crvi , koji upotrebljavaju obje navedene metode za pokretanje.
Analiza:
W32/Blaster-a
Crv koji iskorištava sigurnosni problem RPC DCOM u Windovsima ,ne širi se elektroničkom poštom.
W32/Sobig-F
Crv koji se širi elektroničkom poštom , ima ugrađen SMTP program koji mu je omogućio rapidno širenje.
VBS/LoveLetter
prestavlja jedan od crva koji se najbrže širio.Crv dolazi u poruci elektroničke pošte koja je imala naslov «I LOVE YOU».Nije potrebno posebno spominjat da je crv imao veliku medisku pažnju
Hoaxi
Fenomen lažnih upozorenja odnosno hoaxa proteše se praktički od početka postojanja virusa.U veljači 1998. godine , Jeffrey Mogul predstavio je princip «metavirusa» , upozorenja o virusu koji je tako opasan da korisnici trebaju obrisati sve podatke i instalirati sustave ponovno.
Osnovna ideja iza hoaxa je ta da opisuje virus sa strahovitim posljedicama koji je nevjerovatno efektivan.
Hoaxi se obično šire kao specijalna vrsta lančanih pisama ,tu pojavu je gotovo svaki korisnik barem jednom našao u svojem poštanskom sandučiću.
Potrebno je napomenuti da je u nekim državama slanje lančanih pisama zakonski zabranjeno.
Analiza:
NSA printer virus
Uz Good Times ,NSA printer virus predstavlja jedan od najpoznatijih hoaxa.
Prvu inačicu ovog hoaxa izdao je InfoWord časopis , 1.travnja 1991.
Priča koju objavio InfoWord bila je vezana uz printere namjenjene Iračanima.
U to doba spremao se zaljevski rat ,tako da je sva pažnja medija bila usmjerena prema događanjima u i oko Iraka.
Prema objavljenoj priči američka NSA (engl.National Security Agency) presrela je pošiljku printera koji su bili namjenjeni iračkom ministarstvu obrane.Pri presretanju , NSA je u printere implementirala «vrlo opasan virus od kojeg nema spasa « tepropustila pošiljku dalje u Irak.
Virus je bio u printeru implementiran u specijalnom čipu koji je reprogramirala NSA tako da se virus aktivira pri zračnom napadu saveznika.Kako je prema članku printer bio spojen na internu računalnu mrežu , u tom trenutku virus bi na ekranima obrisao sve informacije o savezničkim zrakoplovima.
John Gantz novinar InfoWord časopisa koji je objavio izvorni članak 1991.g , javno je priznao da je izmislio cijelu priču.
Good Times
Je vjerovatno najpoznatiji hoax ikad napravljen.
Hoax se pojavio krajem 1994.g.Autor je nepoznat ali se predpostavlja da je to bio neki korisnik koji je imao probleme sa svojim računalom te ih je prepisao poruci Good Times
Good Times hoax upozorava korisnika da ni pod kojim uvjetom ne otvara poruku elektroničke pošte s istoimenim naslovom jer će pokrenuti izrazito desktruktivan virus.
Navedeni virus će ,ukoliko je pokrenut ,poslat svoju kopiju svim čije adrese uspije pronaći i ,nakon slanja uništi računalo na kojem je pokrenut.
Da stvar bude smiješnija u hoaxu se navodi da se nikako ne otvara poruka čiji je naslov Good Times jer će otvaranjem bit pokrenut virus.Paradok je upravo u tome da je i naslov hoaxa Good Times te ga je korisnik već morao otvorit.
Korisni linkovi:
vmyth.com
virusbtn.com
wildlist.org
sophos.com
nod32.com
avast.com
f-prot.com
f-secure.com
mcafee.com
trendmicro-europe.com
|
