[ virus.neobee.net ]

Šta su to virusi, trojanci i crvi, i kako ih prepoznati...

Da biste znali s kim imate posla i kako ih se rešiti morate upoznati svet virusa, trojanskih konja, crva i tempiranih bombi. U današnje vreme je veoma teško precizno definisati šta spada u koju kategoriju, ali se mogu povući neke granice.

Virus je:
1. Program koji se razmnožava (pravi kopije samog sebe); sve što se ne razmnožava nije virus (trojanci nisu virusi)!
2. Bar neka od ovih kopija je i sam virus po definiciji; ovde odmah treba odbaciti programe koji se ponašaju kao virusi, ali ne uspeju da se razmnože - oni jednostavno nisu "pravi" virusi.
3. Virus na neki način mora da se prikači na "domaćina", i to na takav način da se izvršavanjem domaćina izvrši i virus; ovde treba povući crtu između virusa i crva, jer crvima ne trebaju domaćini.
Dakle, virus je svaki program koji radi nešto štetno (ili bar beskorisno), razmnožava se, neka njegova kopija je takođe virus, i maskira se, ili se uvuče u neki drugi program ili dokument, čijim se pokretanjem aktivira i virus.
Viruse npr. možete dobiti ako pokrenete neki program u koji se virus bio ubacio, otvaranjem dokumenata u Wordu ili Excelu (tzv. makro virusi) ili na starijim računarima sa zaražene diskete prilikom bootovanja sistema (to je onaj proces nakon uključivanja računara kada on testira samog sebe i nakon toga pokreće DOS ili Windows; taj postupak se može izvršiti sa hard diska što je i najuobičajenije, zatim sa diskete i sa CD-a i ZIP diskova i sl.; na starim računarima je ovaj proces uvek izvršavan najpre sa diskete ako je bila ubačena u drajv, a tek onda sa hard diska; na novijim se to može lako izbeći podešavanjem u BIOS-u računara).

Pošto je u tački 3 rečeno da treba napraviti razliku izmedu virusa i crva, da kažemo onda i šta su crvi. To su programi koji se trude da se samo razmnože u što više primeraka (uglavnom ne prave nikakvu direktnu štetu po samom računaru), što može da rezultuje zatrpavanjem hard diska fajlovima ili zagušenjem mreze ili zatrpavanjem sandučića (ako se razmnožava preko e-maila). Crv ne mora da se transportuje sakriven unutar nekog drugog fajla, već može biti maskiran kao program koji na prvi pogled radi nešto korisno - npr. čuveni Happy99 prilikom pokretanja izbaci prozor u kome se prikazuje vatromet i čestita Vam Novu godinu, ali u pozadini stvori nekoliko fajlova i izmeni nekoliko drugih tako da se prilikom slanja e-maila na istu adresu pošalje i jedna kopija virusa.

A gde onda spadaju trojanski konji? Oni su takođe štetni programi, ali se ne razmnožavaju, pa zato ne spadaju u kategoriju virusa. Poput crva, oni ne moraju da se sakrivaju unutar drugih programa, već mogu jednostavno biti maskirani kao program koji radi nešto korisno, a u stvari je vrlo štetan (recimo formatira Vam hard disk, izmeša fajlove po njemu ili nešto slično). U poslednje vreme trojanci se najčešće koriste za krađu lozinki ili za omogućavanje pristupa udaljenom računaru preko Interneta (dok bezbrižno surfujete odjednom shvatate da nemate nikakvu kontrolu nad računarom - ne odgovara na komande sa tastature, klikovi mišem ne pomažu, otvaraju se vrata CD ROM-a, otvaraju se i zatvaraju programi sami od sebe... i kada se konačno setite da ga ugasite, nakon ponovnog paljenja shvatate da vam je pola hard diska obrisano...). Uglavnom ćete ih dobiti preko e-maila, koji vam je poslao neki vaš "poznanik" sa Interneta, i koji će Vas ubeđivati da ga instalirate jer će vam taj program navodno ubrzati vezu sa provajderom ili nešto slično. Međutim nakon starta tog programa aktivira se trojanac i dalje valjda znate. Neke od njih potrebno je instalirati lično na samom računaru (zato se čuvajte "prijatelja" koji na silu žele da Vam instaliraju neki program za koji sigurno znate da vam neće trebati).

Tempirane bombe su specijalni slučajevi sve tri pomenute kategorije, i ne izvršavaju se odmah, već čekaju da se ispune neki uslovi (npr. čuveni W95.CIH-Chernobyl kada se prvi put pokrene mirno će praviti kopije samog sebe u svim *.EXE fajlovima koje pokrenete na Vašem računaru, a kada dodje 26. u mesecu, kreće u akciju, tj. kreće da prikazuje svoje štetno dejstvo na Vašem računaru).

Makro virus:
Virusi koji prave probleme korisnicima u Microsoft Office paketima su najčešći. Često nemaju nikakvo destruktivno dejstvo ali umeju strasno da iritiraju korisnika. Šire se sa zaraženim dokumentima.

Enkriptirani virusi:
Virus koji u radu menjaju svoj iygled vrlo teško se otkrivaju. Enkriptovani virusi u toku svake infekcije izvrše promenu svog koda (zadrže svojstva, ali promene redosled i vrstu operacija koje izvršavaju).

Polimorfni virusi:
Enkriptovani virusi se mogu ipak lako otkriti pomoću jednostavnih metoda (traženjem karakterističnog niza bajtova - virusnog potpisa). No postoje i oni koji u radu menjaju kompletan izgled, tako da ih je teško ili nemoguće otkriti tehnikama potrage karakterističnog zapisa.

Stealth virus:
Postoje i pametni virusi skloni sakrivanju. Takav se virus zna sakriti u memoriji i izbrisati tragove svog prisustva na disku, tako da ga program za otkrivanje virusa ne može pronaći ukoliko nema aktivnu opciju za pretraživanje memorije.

Retro virus:
Antivirusni softver napada viruse, retro virus uzvraža udarac - on napada antivirusni program, oštećujući datoteke s popisom virusa i same programe.

Okidač:
Svaki virus mora da se izvrši - bilo da se radi o izvršavanju koda koji je zaslužan za širenje virusa, bilo da se radi o payloadu. Ukoliko su ispunjeni svi zahtevi potrebni za pokretanje koda virusa, kažemo da je okidač aktiviran. Okidači su razni - od vremenskog (virus se pokreće zadanog datuma ili u određeno vreme) do slučajnog (npr. virus čeka nekoliko dana do aktivacije payloada, a za to vreme se širi).

Pošto se virusi uglavnom ponašaju na sličan način, AV programi mogu sa lakoćom da otkrivaju i neke nove (nepoznate) viruse, ali je uvek dobro imati najnovije definicije, ali su trojanci i crvi specificna sorta (kao što rekoh, to mogu biti zasebni programi, i uglavnom ne rade na isti način kao obični virusi, pa su kod novih vrsta AV programi uglavnom bespomoćni). Viruse, trojance i crve možete pokupiti na hiljadu i jedan način, tako da "program koji se automatski kači na Internet" ili samo štiti od dejstva pojedinih trojanaca, ili to radi da pokupi nove definicije za viruse (a to skoro svaki AV program radi).

A ono što je najvažnije, ne dozvolite da Vas zaplaše oni podaci o 30-50000 virusa. Većina njih se stvori samo u "laboratorijama". Obično je u "opticaju" svega nekoliko stotina, najviše par hiljada virusa sa dotičnih spiskova (a i to je dosta).

Nema savršeno pouzadane zaštite od virusa. U stvari ima: ne koristite Internet, ne razmenjujte nikakve podatke s drugim korisnicima računara, ne instalirajte nikakve programe... Ukratko držite računar isključenim u zaključanoj sobi.
A ako koristite računar, ipak onda trebate nekako da se zaštitite. U te svrhe koristite antivirusne programe.

Na ovim stranicama ćete uvek biti obavešteni o novim virusima koji se pojavljuju kao i načinom uklanjanja istih sa vašeg računara. Pored virusa, na ovom sajtu možete naći najefektnije načine zaštite od virusa kao i zaštita od upada u vaš računar.

Virus Informacioni Centar je otvoren za sva vaša pitanja, preloge, kao i sugestije u vezi ovog sajta.

Virus Informacioni Centar
Neobee.net ISP
Email : virus@neobee.net
ICQ : 48089085

VIrus Informacioni centar
Broj poseta31231 poseta od 23.03.2001.