Antivirus – razlika između verzija

Izvor: Wikipedija
Prijeđi na navigaciju Prijeđi na pretragu
Interaktivna pretraga historije
← Starija izmjenaNovija izmjena →
Uklonjeni sadržaj Dodani sadržaj
VizualnoWikitekst
prijevod šablona
Red 125: Red 125:


== Izvori ==
== Izvori ==
{{reflist|30em}}
{{izvori|30em}}


== Spoljašnje veze ==
== Spoljašnje veze ==

Verzija na datum 31 august 2013 u 11:39

Antivirusni softver ili antivirus (na engl. se često koristi akronim AV) je računarski softver koji se koristi za prevenciju, otkrivanje i uklanjanje malvera (zlonamjernog softvera).

Za razliku od prvobitnih antivirusnih softvera koji su bili bazirani isključivo na tretiranju računarskih virusa, moderni antivirusni softver sistem štite od različitih malvera, u koje osim "klasičnih" virusa spadaju i: crvi, trojanci, backdoor, rootkit, adwarei, spywarei, dialeri, keyloggeri... Mnogi današnji paketi nude zaštitu i od raznih vrsta socijalnog inženjeringa, poput fišinga (fishing).[1]

Postoji više načina zaštite. Ona bazirana na potpisima uključuje otkrivanje i uklanjanje već poznatih napasti. No, problem je u tome što kompjuter može da bude zaražen i nekim novim malverom za koji još ne postoji potpis. Zbog toga antivirusi često koriste metodu heuristike. Jedna vrsta heuristike se zasniva na generičkim potpisima, koja može da otkrije novi malver ili varijantu onog već poznatog, tako što u datoteci traži poznati maliciozni kod, ili njegove manje izmene. Neki antivirusni softveri mogu da predvide delovanje programa tako što će ga pokrenuti u sandboxu, i analizirati ga da provere izvršava li kakve potencijalno zlonamerne radnje. Sandbox je izolisano okruženje van kojeg program ne može da prodre i u slučaju da jeste maliciozan, ne može da uradi štetu stvarnom sistemu.

No bez obzira koliko korisni mogu da budu, antivirusi imaju i neke nedostatke. Oni utiču na korišćenje sistemskih resursa, zbog čega može doći do smanjene brzine rada kompjutera (pada performansi).[2] Neiskusni korisnici mogu takođe da imaju problema sa razumevanjem obaveštenja i odluka koje im antivirusni softver daje. Neispravna odluka, naime, može znatno oslabiti sigurnost sistema. Osim toga, ako se antivirus koristi heuristikom, uspešnost te metode ovisi o balansu između lažno pozitivnih i lažno negativnih rezultata. Lažno pozitivni rezultati (kada je bezazlen program prepoznat kao pretnja) mogu da imaju jednako loše posledice kao i lažno negativni razultati[3] - npr. gubitak važnog dokumenta ili čak važne sistemske datoteke.

Istorija

Primer besplatnog antivirusnog softvera ClamTk

Većina kompjuterskih virusa napisanih tokom ranih i sredinom 80-ih godina bili su ograničeni na širenje, te nisu činili značajnu štetu.[4] No ovo se počelo menjati kako su zlonamjerni korisnici postajali sve bolji u programiranju virusa, tako da su napravili viruse koji su mogli da ošttete ili izbrišu određenu količinu podataka na zaraženom kompjuteru.

Postoje proturečni navodi u vezi prvog antivirusa. Verovatno je prvo javno dokumentovano uklanjanje virusa "u divljini" izvršio stručnjak za kompjutersku bezbednost Bernd Fix, 1987. godine.[5][6] Poznato je i da su za platformu Atari, te iste godine, bila razvijena dva antivirusna softvera. Prvi je bio G Data [7] (postoji i danas), a drugi UVK 2000.[8]

Fred Cohen je 1984. godine izdao jedan od prvih akademskih papira o kompjuterskim virusima.[9] 1987. godine ispravno je izjavio, da nijedan algoritam ne može da otkrije sve moguće viruse[10], a 1988. godine počeo je da razvija strateške metode za antiviruseref>Fred Cohen 1988 "On the implications of Computer Viruses and Methods of Defense"</ref>, koje su uskoro prihvatili i ugradili njihovih kasniji proizvođači.

Na mreži BITNET/EARN 1988. je godine nastala mejl lista VIRUS-L[11] na kojoj je se diskutovalo o novim virusima, te o mogućnostima njihove detekcije i uklanjanja. Neki su članovi pomenute liste, kao što su John McAfee i Eugene Kaspersky, kasnije zasnovali antivirusne firme koje su razvijale i prodavale komercijalne pakete.

Pre velike raširenosti interneta, virusi su se obično širili preko flopi diska. Antivirusni softver je u to vreme proveravao izvršne datoteke i but sektore na flopi i tvrdim diskovima, te je bio relativno retko osvežavan. Nakon što je internet postao raširen, i virusi su promenili svoje glavno mesto širenja, koje je se preselilo u pomenuto okružje.[12]

Tokom godina postalo je neophodno da antivirusni softver proverava više tipova datoteka, a ne samo izvršne, zbog sledećih potencijalnih pretnji:

  • Moćni makroi, koji su bili korišćeni u programima za obradu teksta, poput MS Worda. Pisci virusa su, naime, mogli da koriste makroe za stvaranje virusa koji bi bili ugrađeni u dokumente.[13]
  • Mogućnost ubacivanja izvršnih obekata u kod inače neizvršnih datoteka[14]
  • Kasniji e-mail programi poput Microsoftovih Outlook Expressa i Outlooka, bili su ranjivi na viruse koji su bili ubačeni u samo telo poruke

Sve navedeno znači da bi se kompjuter mogao inficirati pri samom otvaranju dokumenata sa skrivenim prikačenim makroima, zaražene e-mail poruke[15] ili inače neizvršne datoteke sa kodom izvršnog obekta.

Kada su širokopojasne veze postale norma, pisanje malicioznog softvera uzelo je maha; postalo je nužno da se što češće osvežavaju definicije potpisa kod antivirusnih alatki. Pa čak i tad, uvek postoji šansa da se nova pretnja široko rasprostrani, pre nego što antivirusne firme izdaju novi potpis.

Metode detekcije

Postoji više metoda otkrivanja malicioznog softvera, a većina antivirusa koristi kombinaciju više njih:

  • Detekcija bazirana na potpisima (signaturama) najčešća je metoda. Kako bi identifikovao maliciozni softver, antivirus poredi sadržaj datoteka sa "rečničkom" bazom malwarea. Pošto malware može biti ugnežđen u samu datoteku, proverava se cela datoteka, ne samo celina, već i njezini manji delovi.[16]
  • Detekcija štetnih aktivnosti - antivirusni softver nadgleda softver u okruženju koji sa kojim kompjuterski sistem komunicira. Ukoliko detektuje sumnjive aktivnosti nekog softvera, dodatno ga detaljno proverava koristeći neku od metoda detekcije. Ova metoda je pogodna za detekciju novih i nepoznatih virusa.
  • Heuristička metoda - slično metodi detekcije štetnih aktivnosti, ova metoda se može koristiti kod novih i nepoznatih virusa. Može se koristiti na dva načina: analiza datoteka i emulacija datoteka. Emulacija datoteka podrazumeva pokretanje programa u virtuelnom okružju, te bileženje radnji koje izvrši. Ovisno o zabileženim radnjama, antivirus može da odredi da li je program maliciozan ili ne i potom poduzeti odgovarajuće radnje.[17]

Detekcija bazirana na potpisima

Otkrivanje malwarea dugo je vremena veoma zavisilo od ove metode detekcije. Ona može da bude veoma učinkovita, ali ne može da obrani kompjuter od malwarea ako ne postoje odgovarajući potpisi - pa nije pouzdana protiv novog, nepoznatog malicioznog softvera.

Kako novi virusi nastaju doslovno svaki dan, detekcija bazirana na potpisima zahteva česta osvežavanja rečnika potpisa. Neki antivirusi omogućavaju korisnicima slanje novih virusa ili njihovih varijanata antivirusnim firmama, gde se analizuju i potom se u rečnik doda njihov potpis.[16]

Još jedna potencijalna mana ove metode jest da neki autori virusa pokušavaju da izbegnu sličnost sa postojećim potpisima te pribegavaju -morfične (oligomorfične, polimorfične i odnedavno metamorfične) viruse. Ta vrsta malicioznog softvera šifrira (enkriptuje) delove svog koda, ili na druge načine izmenjuje samog sebe, u svrhu prikrivanja, tj. da njegov potpis ne odgovara nekom u rečniku.[18]

Heuristika

Dosta antivirusa koristi metodu heuristike za identifikaciju nepoznatog malwarea ili novih varijanti postojećeg.

Mnogi virusi, naime, počnu na razini pojedinačnih infekcija. Preko kasnijih mutacija, tj. "poboljšavanja" njihovih svojstava (od strane samog autora ili nekih drugih napadača), on može imati više međusobno sličnih varijanti. Generička detekcija je detekcija i uklanjanje više malicioznih pretnji korišćenjem jednog odgovarajućeg potpisa.[19]

Tako primerice trojanac Vundo ima nekoliko porodica, ovisno o klasifikaciji proizvođača antivirusa; Symantec klasifikuje "članove" Vundo porodice u dve kategorije: Trojan.Vundo i Trojan.Vundo.B.[20][21]

Iako identifikovanje specifičnog virusa ima svoje prednosti, brži je način stvaranje generičkog potpisa za porodicu. Istraživači virusa pokušavaju da kod porodica nađu unikatne zajedničke karakteristike, tako da za njih mogu da stvore jedan generički potpis.

Detekcija rootkita

Antivirusni softver može da pokuša skenirati kompjuter u potrazi za rootkitom. Reč je o posebnoj vrsti malwarea dizajniran da si pridobije administratorske privilegije preko kompjuterskog sistema - a da pritom, naravno, prođe nezapaženo što je duže moguće. Rootkit može da promeni način funkcionisanja operativnog sistema a ponekad se i "upletati" u rad antivirusnog softvera čineći ga nepouzdanim. Teško ga je ukloniti, a ponekad je jedino rešenje reinstalacija operativnog sistema.[22]

Međutim, i na ovom polju ima nade obzirom da antivirusni program Avast ima licenciran GMER (program za detekciju rootkita) što znatno olakšava borbu protiv ove vrste malicioznog programa.

Zaštita u stvarnom vremenu

Zaštita u stvarnom vremenu poznata pod nazivima real-time protection, on-access scanning, background guard, resident shield i autoprotect. To je zaštita kakvu poseduju skoro svi antivirusi, antispywarei (često ne u besplatnoj verziji) i drugi programi za zaštitu kompjutera. Ona beleži aktivnosti na sistemu i posmatra dešavaju li se kakve sumnjive aktivnosti, i to u stvarnom vremenu. To je u drugim rečima razdoblje kada su podaci učitani u memoriju kompjutera: kad korisnik stavlja CD, otvara e-mail poruku, ili surfa internetom; ili pak razdoblje kad je datoteka na kompjuteru već učitana ili izvršena.[23]

Mogući problemi

Lažni antivirusi

Neki programi koji su naizgled antivirusi zapravo su maliciozni softver koji se lažno predstavlja kao legitimni. To su primerice WinFixer, MS Antivirus, i Mac Defender.[24] Većina antivirusa će prepoznati ovakav maliciozni softver, no problem nastaje u tome što će lažni antivirus često onesposobiti pravi.

Lažno pozitivni rezultati

Lažno pozitivni rezultat označava dešavanje kada antivirus pogrešno detektira bezopasnu datoteku kao virus. Kada se ovo dogodi, mogu da se jave ozbiljni problemi. U slučaju da je antivirus konfigurisan da automatski briše zaražene datoteke ili da ih izoliše u karantenu, lažno pozitivni rezultat kod neke važne datoteke može da učini operativni sistem ili namenski program nesposobnim za rad.[25] U slučaju da Windowsi postanu nesposobni za rad, troškovi njihovog ponovnog popravljanja u servisima može da prisili firme u kojima se koriste na privremeno zatvaranje.

Navešćemo nekoliko slučajeva lažno pozitivnih rezultata:

U maju 2007. godine, loše napravljen Symantecov virusni potpis greškom je uklonio nekoliko esencijalnih sistemskih datoteka, zbog čega je hiljade kompjutera prestalo da funkcioniše.[26] Takođe u istom mesecu iste godine, Norton AntiVirus (tvrtke Symantec) detektirao je izvršnu datoteku bitnu za rad Pegasus Maila kao trojanca, te ju automatski obrisao. To je, razumljivo, uzrokovalo nemogućnost pokretanja pomenutog mail klijenta. Da stvari budu još gore, Norton AntiVirus pogrešno je prepoznao čak tri izdanja Pegasus Maila kao malware, te bi obrisao njihovu pripadajuću instalacijsku datoteku.[27] U firmi Pegasus Mail odgovorili su:

Šablon:Citat3

U aprilu 2010. godine, McAfee je detektirao svchost.exe, bezazlenu Windows izvršnu datoteku, kao virus. To je se desilo na kompjuterima koji su pokretali Windows XP Service Pack 3, zbog čega bi korisnici izgubili vezu na internet ili bi se pak njihova mašina non-stop iznova pokretala. U decembru iste godine, loše osveženje AVG paketa oštetilo je 64-bitne verzije Windowsa 7 - zbog čega su se neprestano iznova pokretali te time postali onesposobljeni.

U oktobru 2011. Microsoft Security Essentials (MSE) je uklonio Google Chrome preglednik, konkurentan Microsoftvom Internet Exploreru, označivši ga kao Zbot trojanca.

Sistemski problemi

Pokretanje više antivirusa istovremeno može da ugrozi sistemske performanse i, još važnije, da uzrokuje konflikte među antivirusima. Zbog toga će mnogi antivirusi odbiti da se instaliraju ako otkriju da na sistemu deluje i neki drugi. Ipak, pomoću koncepta koji se naziva multiskening nekoliko je firmi (uključujući i G Data te Microsoft) uspelo da napravi aplikacije koje istovremeno pokreću više enginea.

Ponekad je neophodno da se privremeno isključi antivirus, npr. tokom instalacije servisnih paketa za Windowse (što je i preporuka Microsofta) i osvežavanja drivera za grafičku karticu - iz razloga što antivirus može da delimično ili posve spreči ovakve znatne sistemske izmene.

Funkcionalnost nekoliko legitimnih aplikacija takođe mogu da srozaju antivirusi. TrueCrypt, program otvorenog koda namenjen enkripciji diskova, može da se sukobi da antivirusom, što dovodi ili do nemogućnosti funkcionisanja ili velike sporosti programa. I igre na Steam platformi mogu da imaju problema sa antivirusnim softverom; mogu da budu nestabilne ili da se sporo izvode.

Pouzdanost

Studije provedene u decembru 2007. godine pokazale su da se pouzdanost antivirusnog softvera smanjila u odnosu na prethodnu godinu, posebno protiv nepoznatih pretnji. Njemački kompjuterski magazin c't otkrio je da se njihova razina detekcije smanjila sa 40-50% (2006.) na 20-30% (2007.). Iznimka je bio NOD32, koji je u to vreme uspeo da ostvari razinu od 68 posto.

Problem je dodatno uvećan zbog činjenice da je, za razliku od nekad, danas često da pisce malicioznog softvera finansuju kriminalne organizacije. Nije retkost da kriminalne organizacije koje nemaju dovoljno tehničkog znanja za pisanje malwarea čak kupuju maliciozne pakete od programera, kojima cene variraju obično o kompleksnosti i broju opcija, a kreću se od tristotinjak pa sve do preko hiljadu evra. Paketi je moguće zasebno podesiti da se izbace ili uvedu neke druge opcije, u zavisnosti o želji kriminalaca, a onda ukupna cena ovisi o komponentama koje su izabrane.

Nezavisna testiranja antivirusa u februaru 2010. pokazala su da najbolja razina detekcije iznosi 99.6, a najmanja samo 81.8%. Svi antivirusi u testiraju imali su određen broj lažno pozitivnih rezultata, neki više, neki manje. Iako se metodologije razlikuju, neke istaknute nezavisne kompanje za testiranje uključuju AV-Comparatives, ICSA Labs, West Coast Labs, Virus Bulletin, AV-TEST i ostale članice Anti-Malware Testing Standards Organization-a. Valja pomenuti da je testiranje antivirusnih programa vrlo složeno te da varira o mnogim faktorima.

Novi virusi

Antivirusni programi mogu da budu nepouzdani protiv novih virusa, čak i kada koriste metode detekcije koje se ne baziraju na potpisima. Razlog za ovo je što pisci virusa testiraju svoja "dela" na najpoznatijim antivirusima kako bi bili sigurni da nisu prepoznati, pre nego što su pušteni "u divljinu".

Određeni maliciozni softver, nadasve ransomware (koji zaključava pristup sistemu te prikazuje lažnu poruku korisniku da uplati određen iznos novca za njegovo otključavanje), koristi polimorfični kod kako bi onemogućila i izbegla detekciju antivirusa. Bezbednosni analitičar Jerome Segura ovako je objasnio ovu pojavu:

Šablon:Citat3

Rootkit

Detekcija rootkita predstavlja veliki izazov za antiviruse - obzirom da rootkiti imaju potpuni administratorski pristup kompjuteru, te su nevidljivi korisniku na spisku procesa u Task Managera; takođe mogu da izmene unutrašnje funkcije sistema kao i antivirusa.

Oštećene datoteke

Datoteke oštećene virusima obično ne mogu da se vrate u prijašnje stanje. Antivirusni softver prilikom dezinfekcije uklanja virusni kod iz datoteke, ali ovo ne dovodi nužno to njenog vraćanja u originalno stanje. Tada se mogu povratiti jedino iz sigurnosnih kopija (backupa); softver koji je zbog oštećenja postao neiskoristiv treba da se ponovo instalira.

Srećom, ako su u pitanju datoteke Windowsa, postoji rešenje u vidu System File Checker-a, malo poznate aplikacije koja dolazi sa ovim operativnim sistemom. U slučaju da otkrije oštećene datoteke pokušaće da ih zameni ispravnima (ponekad će biti potrebno da korisnik stavi instalacijski disk Windowsa da to uspije).

Druge metode

Antivirus "u oblaku"

Antivirus u oblaku, ili na engl. cloud antivirus, je tehnologija koja koristi perolaki agentski sofver na njime zaštićenom kompjuteru. Jedan način implementacije antivirusa u oblaku uključuje skeniranje datoteka korišćenjem više antivirusnim jezgri (enginea). Ovakav pristup populariziran je ranim oblikom implementacije koncepta cloud antivirusa koji se zove CloudAV. CloudAV je dizajniran da šalje programe i dokumente na tzv. mrežni oblak, gdje bi ih simultano skeniralo više antivirusa u svrhu poboljšavanja razine detekcije.

Primeri antivirusa u oblaku su Panda Cloud Antivirus i Immunet.

Mrežni vatrozid

Mrežni vatrozidi sprečavaju da nepoznati programi i procesi pristupe sistemu. Oni nisu antivirusi niti njihove alternative; ne pokušavaju detektirati ili ukloniti bilo šta. Ipak mogu da spreče infekciju koja dolazi van zaštićenog kompjutera ili njegove mreže, i ograničiti aktivnosti malicioznog softvera blokiranjem dolaznih i odlaznih zahtjeva na određenim TCP/IP portovima.

Online skeniranje

Neki antivirusni proizvođači održavaju svoje internetske siteove koji nude besplatno skeniranje kompjutera - čitavog sistema, samo kritičnih područja, lokalnih diskova, mapa ili datoteka. Periodično skeniranje je i više nego dobra ideja, posebno zato što su antivirusi ponekad spori u hvatanju pretnji. Mže se desiti i da maliciozni softver onesposobi antivirus, pa je za barem otkrivanje pretnje potrebno okrenuti se online skeniranju - osim ako maliciozni softver prethodno nije onesposobio sigurnosne stranice - i to je moguće.

Specijalizovane alatke

Postoje alati za uklanjanje nekih određenih ili posebno tvrdoglavih vrsta malicioznog softvera. U takve spadaju Trend Microv Rootkit Buster, rkhunter (oba za detekciju rootkita), Avirin AntiVir Removal Tool i Threat Removal Tool PCTools-a.

Pokretanje antivirusnog softvera van instaliranog operativnog sistema može se vršiti pomoću bootabilnog diska za spašavanje (rescue disk), koji može biti CD, USB stik i slično. Ovakav antivirus na disku može biti koristan kada se operativni sistem više ne može pokrenuti, te je zaraženo malwareom koji se odupire svim pokušajima uklanjanja "klasičnim" antivirusnim paketima. Ovakva rešenja postoje u vidu: Avirinog AntiVir Rescue System, Alternate Operating System Scanner PCTools-a, i AVG-ovog Rescue CD-a.

Rizici nekorišćenja

Velike tvrtke godišnje izgube 12 miliona dolara zbog problema sa malicionim softverom. Po anketi koju je 2009. godine proveo Symantec, čak trećina malih do srednje velikih tvrtki tada nije imala antivirusnu zaštitu, dok je preko 80% kućnih korisnika na svom kompjuteru imalo instaliran neki antivirusni softver.

Izvori

  1. „What is antivirus software?”. Microsoft. 
  2. „How Antivirus Software Can Slow Down Your Computer”. Support.com Blog. Pristupljeno 07/26/10. 
  3. „Softpedia Exclusive Interview: Avira 10”. Ionut Ilascu. Softpedia. 14 April 2010. Pristupljeno 2011-09-11. 
  4. History of viruses
  5. Kaspersky Lab Virus list
  6. Wells, Joe (1996-08-30). „Virus timeline”. IBM. Arhivirano iz originala na datum 4 June 2008. Pristupljeno 2008-06-06. 
  7. G Data Software AG (2011). „G Data presents security firsts at CeBIT 2010”. Pristupljeno 22 August 2011. 
  8. Karsmakers, Richard (January 2010). „The ultimate Virus Killer UVK 2000”. Pristupljeno 22 August 2011. 
  9. Fred Cohen 1984 "Computer Viruses – Theory and Experiments"
  10. Cohen, Fred, An Undetectable Computer Virus, 1987, IBM
  11. VIRUS-L mailing list archive
  12. Panda Security (April 2004). „(II) Evolution of computer viruses”. Pristupljeno 2009-06-20. 
  13. Szor 2005: str. 66–67
  14. „New virus travels in PDF files”. 7 August 2001. Pristupljeno 2011-10-29. 
  15. Slipstick Systems (February 2009). „Protecting Microsoft Outlook against Viruses”. Arhivirano iz originala na datum 2 June 2009. Pristupljeno 2009-06-18. 
  16. 16,0 16,1 Landesman, Mary (2009). „What is a Virus Signature?”. Pristupljeno 2009-06-18. 
  17. Szor 2005: str. 474–481
  18. Szor 2005: str. 252–288
  19. „Generic detection”. Kaspersky. Pristupljeno 2013-07-11. 
  20. Symantec Corporation (February 2009). „Trojan.Vundo”. Arhivirano iz originala na datum 9 April 2009. Pristupljeno 2009-04-14. 
  21. Symantec Corporation (February 2007). „Trojan.Vundo.B”. Arhivirano iz originala na datum 27 April 2009. Pristupljeno 2009-04-14. 
  22. Rootkit
  23. Kaspersky Lab Technical Support Portal Archived 13 februar 2011 at WebCite
  24. SpywareWarrior (2007). „Rogue/Suspect Anti-Spyware Products & Web Sites”. Pristupljeno 2009-11-29. 
  25. Emil Protalinski (November 11, 2008). „AVG incorrectly flags user32.dll in Windows XP SP2/SP3”. Ars Technica. Pristupljeno 2011-02-24. 
  26. Aaron Tan (May 24, 2007). „Flawed Symantec update cripples Chinese PCs”. CNET Networks. Pristupljeno 2009-04-05. 
  27. David Harris (June 29, 2009). „January 2010 - Pegasus Mail v4.52 Release”. Pegasus Mail. Arhivirano iz originala na datum 28 May 2010. Pristupljeno 2010-05-21. 

Spoljašnje veze

Izvor: https://sh.wikipedia.org/w/index.php?title=Antivirus&oldid=1702471