You are here
Home > O virusima

Općenito
Računalni virus je računalni program koji svojom reprodukcijom može zaraziti računala tako da bez dopuštenja ili znanja korisnika kopira samog sebe u datotečni sustav ili memoriju ciljanog računalnog sustava. Izraz “virus” često se povezuje i s zlonamjernim programima poput adware programa (programa za oglašavanje) i spyware programa (programa za prikupljanje podataka), koji nemaju sposobnost reprodukcije kao virus. Virusi se najčešće šire s jednog računala na drugo u obliku izvršnog zlonamjernog koda putem interneta, privitaka u e-mail porukama ili medija poput vanjskog hard diska, CD, DVD ili USB diska. Povećana je mogućnost širenja virusa u slučaju da se datoteke zaražene virusom nalaze na poslužitelju kojem može pristupiti više korisnika.

Pojam računalnih crva ili trojanskog konja često se poistovjećuje s pojmom računalnog virusa, no oni se razlikuju u tehničkom smislu. Računalni crv ima namjeru iskorištavanja sigurnosne ranjivosti sustava kako bi se proširio na druga računala umnožavajući sam sebe koristeći internet bez sudjelovanja druge fizičke osobe, dok je trojanski konj program koji naizgled djeluje bezopasno, te se predstavlja kao neka igra ili sadržaj koji se šalje u e-mail poruci, no najčešće ima skrivenu štetnu funkcionalnost koja može dovesti do npr. formatiranja cijelog diska ili instalacije programa za udaljenu kontrolu koja omogućava nekoj trećoj zlonamjernoj osobi potpunu ili djelomičnu kontrolu nad vašim pohranjenim podacima i računalom.

Također je važno napomenuti da tako zaražena računala mogu biti dio „botneta“, odnosno infrastrukture sastavljene od mnogo zaraženih računala koja imaju uspostavljenu vezu s komandnim i kontrolnim poslužiteljem (enc. command and control server – C&C). Tako treća osoba ima kontrolu nad računalima korisnika koja su izvršioci kod slanja spama ili masivnih DDoS napada.  Isto tako veliki broj virusa ima i drugih zlonamjernih funkcija, kao što su na primjer praćenje aktivnosti tipkovnice što omogućuje krađu privatnih podataka, lozinka, brojeva kreditnih kartica i ostalo.
Načini zaraze i izvršenja zlonamjernog koda
Da bi se virus replicirao pokretanjem izvršenja malicioznog koda, virusi se vežu za izvršne datoteke legitimnih programa. Tako se u slučaju pokretanja zaraženog legitimnog programa, istovremeno pokreće izvršavanje virusnog koda.

Prema svom načinu djelovanja, virusi se dijele se na dvije vrste, nerezidentne i rezidentne. Nerezidentni virusi nalaze se u RAM-u samo u vrijeme njihovog izvršenja, odnosno od njihovog pokretanja pa do završetka rada. Njihovo širenje se svodi na princip da dio njihovog koda pronalazi datoteke koje mogu biti zaražene na sustavu (na primjer .exe, .doc i slično), a drugi dio koda kopira virusni kod u pronađenu datoteku.

Rezidentni virusi se prilikom njihovog izvršenja učitaju u memoriju i njihov kod ostaje u memoriji cijelo vrijeme rada računala. Rezidentni virusi koriste tehnike TSR („terminate and stay resident“) i manipulaciju memorijskim blokovima (MBC) kako bi se cijelo vrijeme zadržali u memoriji računala. Zlonamjerni kod rezidentnih virusa koristi mehanizme operativnog sustava za svoje aktiviranje, na primjer, pokretanje koda pri svakom pokretanju bilo koje aplikacije. Tako se postiže efekt zaraze i nad novo instaliranim aplikacijama.

Osnovne vrste virusa

  • boot sektor virusi – kopiraju svoj zlonamjerni kod u Master boot sektor i tako osiguravaju izvršenje zlonamjernog koda pri svakom startu računalnog sustava
  • programski virusi – aktiviraju se pri izvršenju zaražene izvršne datoteke, najčešćom s ekstenzijom .exe ili .com
  • makro virusi – virusi koji su napisani višim programskim makro jezikom, imaju mogućnost kopiranja i brisanja samih sebe te mijenjanja dokumenata  

Tehnike prikrivanja koje koriste virusi

„Potpis virusa“ je uzorak sastavljen od niza okteta koji je dio zlonamjernog koda određenog virusa ili skupine virusa. Ako antivirusni program pronađe takav uzorak u datoteci, obavještava korisnika da je datoteka inficirana. U svrhu težeg otkrivanja, virusi koriste razne tehnike pomoću kojih mijenjaju virusne potpise, dok se njihov kod modificira prilikom svake infekcije što znatno otežava antivirusnom alatu detektiranje virusa.

Stealth” tehnike
Sakriveni virus leži u pozadini, presreće zahtjeve koje šalje antivirusni alat prema operativnom sustavu na analizu te tako obmanjuje korisnika i antivirusni program da je sve u redu. Virusi koji koriste „stealth“ tehnike obično su rezidentni u RAM-u računala i koriste se podacima, odnosno, dijelom koda koji se nalazi sakriven na nezauzetim sektorima diska, a često se koriste i druge metode sakrivanja kao što je sakrivanje promjenom dužine pojedinih datoteka i direktorija.

Polimorfni kod
Kod svake nove zaraze, odnosno repliciranja, virus mijenja svoj kod i dužinu te ga je teško prepoznati standardnim metodama prepoznavanja potpisa.

Metamorfni kod
U svrhu izbjegavanja detekcije, neki virusi samostalno se na novo reprogramiraju te tako promijene svoj kod i potpis. Razlika između polimorfnog i metamorfnog koda je ta što polimorfni virus koristi tehnike šifriranja za promjenu potpisa, dok metamorfni virus mijenja svoj kod i pri tome zadržava istu funkcionalnost. Metamorfni virus je u većini slučajeva velik i složen.

 

Top