Virus some info ..

Virus some info ..

offline
  • SSpin 
  • Saradnik foruma
  • Pridružio: 09 Dec 2004
  • Poruke: 6488
  • Gde živiš: Nis -> ***Durlan City***

Interesantno ili ...ne!?

U biologiji, virus je izuzetno mali deo zive materije, hesposoban da opstane samostalno - ali poseduje dovoljno genetskog potencijala da prodiranjem u zivu celiju menja reprodukcioni proces celije domacina tako da celija, umesto sopstvene reprodukcije, replicira virus - koji kasnije napada druge celije. Po analogiji, kompjuterski virus je program koji se kaci za neki drugi program - menjajuci pri tom program za koji se zakacio na takav nacin da mu to omogucava dalje sirenje. Postoje hiljade virusa, koji se medjusobno razlikuju po tome koje tipove programa inficiraju, po nacinu sirenja i po efektima koje pri tom stvaraju. Neki od njih su izuzetno destruktivni, dok su drugi relativno dobrocudni.

Prenosioci virusa:
U principu, bilo koji program moze posluziti kao prenosilac virusa. Ali, da bi se virus efikasno sirio, mora napasti program koji je u najvecoj meri zajednicki i za neke druge aplikacije, i po mogucstvu, koji koristi veliki broj korisnika. Neki virusi su specificni zbog toga sto napadaju samo odredjene programe, dok su drugi univerzalniji i napadaju sirok spektar programa. Najcesci prenosioci su:

1. DOS boot sektor
2. Master boot zapis
3. Izvrsni fajlovi (npr. oni sa COM i EXE ekstenzijama)
4. Fajlovi koji sadrze izvrsni kod (hpr. dokumenti Word-a i Excel-a koji sadrze samoizvrsavajuce makroe).

Takodje, moguce je napraviti viruse koji inficiraju drajvove i bec dajlove. Oba tipa ovih virusa postoje ali ne i objedinjenih u jednu formu. Virusi koji napadaju boot sektor jednostavni su za kreiranje i verovatno su se prvi pojavili. Relativno dobro su sakriveni (ako neprikazuju poruke na ekranu), ali se lako odstranjuju iz sistema.
Virusi koji inficiraju izvrsne fajlove pojavili su se ubrzo za njima, a danas postoje multipartitni virusi koji inficiraju i programske fajlove i boot sektore. Neki od virusa imaju sposobnost premestanja izmedju boot sektora i programa. Obo ih cini tezim za proucavanjem, jer je nemoguce napraviti testfajlove bez inficiranja hard diska.

Lokacija u memoriji
Programski virusi koji koriste DOS-ovu funkciju 31h da bi bili pezidentni smestaju se na nize memoriske lokacije, dok ostali programi koriste memoriju iznad njih. Virus koji modifikuje memoriski alokacioni lanac obicno sebe pomera na vrh nominalne memorije, a pokazivac vrha setuje nanize. Birusi koji inficiraju boot sektor obicno zauzimaju brh memorije. Neki virusi se smestaju na vrh memorije, ali pri tom ne rezervisu taj prostor da bi se zastitili. Oni ne mogu biti otkriveni postupkom provere kolicine slobodne memorije, ali vecina velikih programa srusice sistem kad se prepisu preko virusa. EDV virus traga za slobodnom memorijom u sistemskoj zoni (0A000:000h-0F000FFFFh). Mnogi programi koriste ovu zonu i vrlo je verovatno da ce ovaj tip virusa srusiti mnoge sisteme.

Mehanizam sirenja
Preterana agresivnost virusa u naporima da se prosiri izaziva sumnju korisnika zbog povecanja aktivnosti diska. Ali, ako je njegov nastup isuvise diskretan, nece uspeti da inficira veci broj fajlova. Postoje dve glavne klase mehanizma infekcije:

- Kod izvrsavanja programa inficiranog direktnim infektorom, virus aktivno traga za fajlom, ili fajlovima, koje ce zaraziti. Pri tom, moze se pretrazivati tekuci drajv ili direktorijum, ili selektovani direktorijum(i), kao sto su oni navedeni u RATH iskazu. Zatim, ucitava se i izvrsava inficirani fajl. Direktni infektori ne ostaju u memoriji i nisu univerzalni, jer mehanizam inficiranja nije preterano efikasan a ocigledna je dodatna aktivnost diska, posebno kada su cvi fajlovi zarazeni.

- Pri pokretanju programa sa indirektnim infektorom, virus se smesta u memoriju, obicno redirektuje jedan ili vise interaptova i potom izvrsava originalni program. Vecina ovakvih virusa inficira svaki fajl koji je ucitan radi izvrsavanja, dok neki inficiraju svaki izvrsni fajl koji je ucitan, bez obzira na razlog ucitavanja.

Takodje, postoji podela na brze i spore infektore:

- Brzi infektori inficiraju ne samo fajlove koji se izvrsavaju, nego i one kojima se pristupa iz bilo kojeg razloga. Obaj tip infektora cak koristi i anti-virus programe koji ne otkrivaju njegovo prisustvo u memoriji da zarazi fajlove koje oni otvaraju zbog provere na virus.

- Spori infektori inficiraju samo fajlove koji su u fazi kreiranja ili modifikovanja. Na taj nacinoni oni zaobilaze programe za proveru integriteta sistema, jer se kao ispravna belezi velicina fajla sa umetnutim virusom.

Droperi (Droppers)
Droperi su programi napravljeni sa namerom da pokrenu i instaliraju virus ili Trojanac u neki sistem. Sam program nije zarazen, niti je virus jer se ne replicira. Kako je virus sakriven u programskom kodu, anti-virus skeneri cesto nece detektovati opasnost sve dok droper ne ispusti virus u sistem. Postoji klasa dropera koja inficira samo memoriju racunara, a ne i hard disk. Neki istrazivaci dropera iz ove klase nazivaju ubrizgivaci (Injectors).
Naboji (Warheads) ili tovari (Payloads)
Pojedini virusi imaju za cilj samo da se sire, dok drugi imaju Payload - tovar ili Warhead - naboj. Prvi tvorci virusa bili su zadovoljni i samom cinjenicom da mogu napisati virus, dok su potonji postali ambiciozniji i dodavali tovar. To moze biti ispis zlobne poruke (Your Computer is now Stoned!), ili se mogu umesati u operacije racunara na zabavan, iritirajuci ili destruktivan nacin.
Generalno, virusi ce se vise siriti ako se njihov naboj ne aktivira odmah; tovar se obicno startuje kao posledica odredjenog dogadjaja, ili nakon odredjenog broja aktiviranja. Pri tome uocavamo nepomorljivost izmedju zelje za pokazivanjem i potrebe za skrivanjem, kako bi se virus sto vise prosirio. Obicno se to resava podesavanjem da tovar ceka odredjeno vreme aktiviranja, ili se aktiviranje vezuje za neki neuobicajeni dogadjaj. U medjuvremenu, delovanje virusa se ne manifestuje, cekajuci sansu za sirenjem.
Pokazalo se da nije mudro namerno aktivirati naboj virusa. Poznati su slucajevi korisnika, ciji je racunar inficiran virusom Mikelandjelo, koji su, udovoljavajuci sopstvenu radoznalost, podesili sistemski datum na 6. mart, samo da bi videli sta ce se desiti - i potom izgubili podatke sa hard diska. Ni saljivi virusi nisu bas tako zabavni, ako njihovo pokretanje krene pogresno na nestandardnom racunarima.
Stealth
Virusi koji koriste Stealth tehnike aktivno nastoje da sakriju sopstveno prisustvo. Na primer: pri citanju boot sektora diska, zarazenog Brain virusom - u fazi dok je aktivan, on ce prikazati originalni sadrzaj boot sektora, a ne onaj inficirani. Virus Frodo inficira fajlove, ali infekcija ne moze biti detektovana dok je on aktivan. On oslobadja fajlove sopstvenog prisustva pre nego dostupi korisniku da ih cita. Naredba DIR prikazace ispravne duzine fajlova, tako da ce program koji prati ceksume prijaviti da zarazeni fajlovi nisu menjani. Frodo ne zaposeda interaptove, vec modifikuje samo DOS tako, da programi za pracenje ne prepoznaju bilo kakvu neuobicajenu aktivnost. Ovakve osobine cine virus vrlo cpecificnim, pa on ne moze funkcionisati u nekim racunarima, ali mnogi inficirani programi ce ipak pasti.
Pojedini virusi toliko su osposobljeni za skrivanje, da se nazivaju oklopljenim (Armoured) virusi. Najpoznatiji od njih je virus Whale. Ovaj labaratorijski virus visestruko je kriptovan. Dekriptuje sopstvene pojedinacne sekcije samo neposredno pre koriscenja a potom ih odmah ponovo kriptuje upotrebom drugog kljuca. Zatim, ceo virus se kriptuje koriscenjem brojnih alternativnih procedura kriptovanja - slucajno izabranih, tako da nepostoji jedinstvena signatura virusa za kojim bi se tragalo. Ipak, kao i sve sto je oklopljeno, toliko je glomazan i usporava rad inficiranog racunara, da se brzo primeti. Makro virusi uklanjaju opcije menija, u pokusaju da ne dozvole korisniku proveru imena makroa, koji se trenutno koristi.
Kriptovanje
Neki virusi sakrivaju svoj kod, ili cak inficirani fajl, kriptovanjem. Jedini tekst koji se moze videti unutar inficiranog fajla je dekripciona procedura. Virusi su najcesce kriptovani nekom jedinstvenom procedurom, kao sto je XOR-ovanje svakog bajta slucajno izabranim kljucem, za svaku novu kopiju. Detekcija ovih virusa zasniva se na pronalazenju procedure za dekriptovanjem na pocetku virusnog koda.
Polimorfizam
Polimorfizam je napredniji oblik kriptovanja, kod koga se kljuc kriptovanja stalno menja, umesto da ostane isti. Za polimorfne viruse tipicno je da dekripciona procedura koristi tri ili cetiri registra, slucajno izabranih iz seta slobodnih registra. Procedura cesto ukljucuje i koriscenje razlicitog broja slucajno izabranih instrukcija, koje u sustini ne proizvode nikakvu radnju ali deluju kao popunjavanje ili sum. Zbog toga, ovi virusi se mogu nazvati i samomodifikujuci kriptovani virusi. Polimorfni virusi sadrze i poseban algoritam za kreiranje vise razlicitih kopija istog virusa. Svaka nova generacija polimirfnog virusa moze biti neznatno ili potpuno drugacija od prethodne. Vecina novih polimirfnih virusa koristi specijalno napravljene biblioteke (masine) koje sadrze potprograme za generisanje razlicitih sema za kriptovanje i kljuceve za dekriptovanje.

Najpoznatije polimorfne masine su:
DAME ili MTE (Dark Avanger Mutation Engine)
TPE (Trident Polimorphic Engine)
SMEG (Simulated Mataphoric Encryption Generator).

Pisanje procedura za dekriptovanje ovakvih virusa teze je nego za viruse koji se detektuju nalazenjem njihovog oblika. I sami virusi su tezi za pisanje, pa ih s toga i nema mnogo, bez obzira na dostupne rutine za dodavanja polimorfizma uobicajenom virusu.
Najveci problem kod eliminacije polimirfnih virusa je njihova detekcija. Ona je mnogo teza i manje pouzdana, a ponekad, kada je i nesporna - nije prakticno dezinfikovati fajlove. Razz



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Strog  Male
  • Stručni saradnik
    Web programiranje
  • Bojan Kopanja
  • Web & Mobile developer @ ZeusSoftware
  • Pridružio: 26 Jul 2003
  • Poruke: 2597
  • Gde živiš: Stara Pazova

Hehe, interesantno Very Happy...



Ko je trenutno na forumu
 

Ukupno su 1346 korisnika na forumu :: 49 registrovanih, 4 sakrivenih i 1293 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: 357magnum, A.R.Chafee.Jr., Acivi, amaterSRB, aramis s, babaroga, bankulen, bojankrstc, Botovac, Bubimir, danilopu, darcaud, DENIRO, dule10savic, GandorCC, Georgius, HogarStrashni, HrcAk47, ILGromovnik, Ivan Campo, Ivan001, kalens021, Kubovac, kunktator, kybonacci, milanovic, mile09, milenko crazy north, milutin134, Mixelotti, Motocar, mrvica78, nenooo, Panonsky, Panter, robertino, ruma, S2M, Shinobi, slonic_tonic, Smajser, Srle993, Sumadija34, suton, theNedjeljko, vathra, VJ, Vladko, vukovi