Antivirus – razlika između verzija
ipak će biti na hrv. |
hrv. |
||
Red 1: | Red 1: | ||
{{radovi}} |
{{radovi}} |
||
'''Antivirusni softver''' ili '''antivirus''' (na engl. se često koristi akronim AV) je [[ |
'''Antivirusni softver''' ili '''antivirus''' (na engl. se često koristi akronim AV) je [[Računar|računalni]] [[softver]] koji se koristi za prevenciju, otkrivanje i uklanjanje malwarea (zlonamjernog softvera). |
||
Za razliku od prvobitnih antivirusnih softvera, koji su se bazirali isključivo na tretiranju računalnih virusa, moderni antivirusni softveri štite od različitih malwarea, u koje osim "klasičnih" virusa spadaju i: [[računalni crv|crvi]], [[Trojanski konj (informatika)|trojanci]], [[backdoor]], [[rootkit]], [[adware|adwarei]]<nowiki/>, [[spyware|spywarei]]<nowiki/>, [[dialer|dialeri]]<nowiki/>, [[keylogger|keyloggeri]]<nowiki/>... Mnogi današnji paketi nude zaštitu i od raznih vrsta socijalnog inženjeringa, poput fišinga (''[[fishing]]'').<ref>{{cite web|title=What is antivirus software?|url=http://www.microsoft.com/security/resources/antivirus-whatis.aspx|publisher=Microsoft}}</ref> |
Za razliku od prvobitnih antivirusnih softvera, koji su se bazirali isključivo na tretiranju računalnih virusa, moderni antivirusni softveri štite od različitih malwarea, u koje osim "klasičnih" virusa spadaju i: [[računalni crv|crvi]], [[Trojanski konj (informatika)|trojanci]], [[backdoor]], [[rootkit]], [[adware|adwarei]]<nowiki/>, [[spyware|spywarei]]<nowiki/>, [[dialer|dialeri]]<nowiki/>, [[keylogger|keyloggeri]]<nowiki/>... Mnogi današnji paketi nude zaštitu i od raznih vrsta socijalnog inženjeringa, poput fišinga (''[[fishing]]'').<ref>{{cite web|title=What is antivirus software?|url=http://www.microsoft.com/security/resources/antivirus-whatis.aspx|publisher=Microsoft}}</ref> |
||
Red 15: | Red 15: | ||
| url = http://www.research.ibm.com/antivirus/timeline.htm | publisher = [[IBM]] | title = Virus timeline | first = Joe | last = Wells | date = 1996-08-30 | accessdate = 2008-06-06| archiveurl= http://web.archive.org/web/20080604011721/http://www.research.ibm.com/antivirus/timeline.htm| archivedate= 4 June 2008 <!--DASHBot-->| deadurl= no}}</ref> Poznato je i da su za platformu [[Atari]], te iste godine, bila razvijena dva antivirusna softvera. Prvi je bio G Data <ref name="Gdata">{{Cite web|url = http://www.gdatasoftware.co.uk/security-labs/news/news-details/article/1532-g-data-presents-security-first.html|title = G Data presents security firsts at CeBIT 2010|accessdate = 22 August 2011|last = G Data Software AG |year = 2011}}</ref> (postoji i danas), a drugi UVK 2000.<ref name="UniqueNameOfRef">{{Cite web|url = http://www.42nd.net/uvk/|title = The ultimate Virus Killer UVK 2000|accessdate = 22 August 2011|last = Karsmakers |first = Richard |authorlink = |year = 2010|month = January}}</ref> |
| url = http://www.research.ibm.com/antivirus/timeline.htm | publisher = [[IBM]] | title = Virus timeline | first = Joe | last = Wells | date = 1996-08-30 | accessdate = 2008-06-06| archiveurl= http://web.archive.org/web/20080604011721/http://www.research.ibm.com/antivirus/timeline.htm| archivedate= 4 June 2008 <!--DASHBot-->| deadurl= no}}</ref> Poznato je i da su za platformu [[Atari]], te iste godine, bila razvijena dva antivirusna softvera. Prvi je bio G Data <ref name="Gdata">{{Cite web|url = http://www.gdatasoftware.co.uk/security-labs/news/news-details/article/1532-g-data-presents-security-first.html|title = G Data presents security firsts at CeBIT 2010|accessdate = 22 August 2011|last = G Data Software AG |year = 2011}}</ref> (postoji i danas), a drugi UVK 2000.<ref name="UniqueNameOfRef">{{Cite web|url = http://www.42nd.net/uvk/|title = The ultimate Virus Killer UVK 2000|accessdate = 22 August 2011|last = Karsmakers |first = Richard |authorlink = |year = 2010|month = January}}</ref> |
||
[[Fred Cohen]] je 1984. godine izdao jedan od prvih akademskih papira o kompjuterskim virusima.<ref>[http://www.eecs.umich.edu/%7Eaprakash/eecs588/handouts/cohen-viruses.html Fred Cohen 1984 "Computer Viruses – Theory and Experiments"]</ref> 1987. godine ispravno je izjavio, da nijedan [[algoritam]] ne može |
[[Fred Cohen]] je 1984. godine izdao jedan od prvih akademskih papira o kompjuterskim virusima.<ref>[http://www.eecs.umich.edu/%7Eaprakash/eecs588/handouts/cohen-viruses.html Fred Cohen 1984 "Computer Viruses – Theory and Experiments"]</ref> 1987. godine ispravno je izjavio, da nijedan [[algoritam]] ne može otkriti sve moguće viruse<ref name="Cohen1987">Cohen, Fred, [http://www.research.ibm.com/antivirus/SciPapers/VB2000DC.htm An Undetectable Computer Virus], 1987, IBM</ref>, a 1988. godine počeo je razvijati strateške metode za antiviruse<ref>[http://portal.acm.org/citation.cfm?id=51535 Fred Cohen 1988 "On the implications of Computer Viruses and Methods of Defense"]</ref>, koje su uskoro prihvatili i ugradili njihovih kasniji proizvođači. |
||
Na mreži BITNET/EARN 1988. je godine nastala |
Na mreži BITNET/EARN 1988. je godine nastala mail lista VIRUS-L<ref>[http://securitydigest.org/virus/mirror/www.phreak.org-virus_l/ VIRUS-L mailing list archive]</ref> na kojoj je se raspravljalo o novim virusima, te o mogućnostima njihove detekcije i uklanjanja. Neki su članovi spomenute liste, kao što su John McAfee i Eugene Kaspersky, kasnije osnovali antivirusne tvrtke koje su razvijale i prodavale komercijalne pakete. |
||
Prije velike dostupnosti interneta, virusi su se obično širili preko [[disketa]]. Antivirusni softver je u to vrijeme provjeravao izvršne datoteke i [[boot sektor]]e na disketama i [[Tvrdi disk|tvrdim diskovima]], te je bio relativno rijetko osvježavan. Nakon što je [[internet]] postao raširen, i virusi su promijenili svoje glavno mjesto širenja, koje je se preselilo u spomenuto okruženje.<ref>{{cite web|url = http://www.pandasecurity.com/homeusers/media/press-releases/viewnews?noticia=4974&entorno=&ver=&pagina=&producto=|title = (II) Evolution of computer viruses|accessdate = 2009-06-20|last = Panda Security|authorlink = |year = 2004 |month = April}}</ref> |
|||
Tijekom godina postalo je neophodno da antivirusni softver provjerava više tipova datoteka, a ne samo izvršne, zbog sljedećih potencijalnih pretnji: |
|||
* Moćni makroi, koji su bili korišteni u programima za obradu teksta, poput [[Microsoft Word|MS Worda]]. Pisci virusa su, naime, mogli |
* Moćni makroi, koji su bili korišteni u programima za obradu teksta, poput [[Microsoft Word|MS Worda]]. Pisci virusa su, naime, mogli koristiti [[makro]]e za stvaranje virusa koji bi bili ugrađeni u dokumente.<ref>{{Harvnb|Szor|2005|pp=66–67}}</ref> |
||
* Mogućnost ubacivanja izvršnih |
* Mogućnost ubacivanja izvršnih objekata u kod inače neizvršnih datoteka<ref>{{cite web|url = http://news.cnet.com/2100-1001-271267.html|title = New virus travels in PDF files|accessdate = 2011-10-29 |date=7 August 2001 }}</ref> |
||
* Kasniji e-mail programi poput Microsoftovih [[Outlook Express|Outlook Expressa]] i [[Microsoft Outlook|Outlooka]], bili su ranjivi na viruse koji su bili ubačeni u samo |
* Kasniji e-mail programi poput Microsoftovih [[Outlook Express|Outlook Expressa]] i [[Microsoft Outlook|Outlooka]], bili su ranjivi na viruse koji su bili ubačeni u samo tijelo poruke |
||
Sve navedeno znači da bi se kompjuter mogao inficirati pri samom otvaranju dokumenata sa skrivenim prikačenim makroima, zaražene [[e-mail]] poruke<ref>{{cite web|url = http://www.slipstick.com/outlook/antivirus.htm|title = Protecting Microsoft Outlook against Viruses|accessdate = 2009-06-18|last = Slipstick Systems|authorlink = |year = 2009|month = February| archiveurl= http://web.archive.org/web/20090602233638/http://www.slipstick.com/outlook/antivirus.htm| archivedate= 2 June 2009 <!--DASHBot-->| deadurl= no}}</ref> ili inače neizvršne datoteke sa kodom izvršnog |
Sve navedeno znači da bi se kompjuter mogao inficirati pri samom otvaranju dokumenata sa skrivenim prikačenim makroima, zaražene [[e-mail]] poruke<ref>{{cite web|url = http://www.slipstick.com/outlook/antivirus.htm|title = Protecting Microsoft Outlook against Viruses|accessdate = 2009-06-18|last = Slipstick Systems|authorlink = |year = 2009|month = February| archiveurl= http://web.archive.org/web/20090602233638/http://www.slipstick.com/outlook/antivirus.htm| archivedate= 2 June 2009 <!--DASHBot-->| deadurl= no}}</ref> ili inače neizvršne datoteke sa kodom izvršnog objekta. |
||
Kada su [[Širokopojasni internet|širokopojasne veze]] postale norma, pisanje malicioznog softvera uzelo je maha; postalo je nužno da se što češće |
Kada su [[Širokopojasni internet|širokopojasne veze]] postale norma, pisanje malicioznog softvera uzelo je maha; postalo je nužno da se što češće osvježavaju definicije potpisa antivirusnih alata. Pa čak i tada, uvijek postoji šansa da se nova prijetnja široko rasprostrani, prije nego što antivirusne tvrtke izdaju novi potpis. |
||
== Metode detekcije == |
== Metode detekcije == |
||
Postoji više metoda otkrivanja malicioznog softvera, a većina antivirusa koristi kombinaciju više njih: |
Postoji više metoda otkrivanja malicioznog softvera, a većina antivirusa koristi kombinaciju više njih: |
||
* Detekcija bazirana na potpisima (signaturama) najčešća je metoda. Kako bi |
* Detekcija bazirana na potpisima (signaturama) najčešća je metoda. Kako bi identificirao [[maliciozni softver]], antivirus poredi sadržaj datoteka sa "rječničkom" bazom malwarea. Pošto malware može biti ugniježđen u samu datoteku, projverava se cijela datoteka, ne samo cjelina, već i njezini manji delovi.<ref name="About2009">{{cite web|url = http://antivirus.about.com/od/whatisavirus/a/virussignature.htm|title = What is a Virus Signature? |accessdate = 2009-06-18|last = Landesman|first = Mary|authorlink = |year = 2009}}</ref> |
||
* Detekcija štetnih aktivnosti - antivirusni softver nadgleda softver u okruženju sa kojim kompjuterski sistem komunicira. Ukoliko |
* Detekcija štetnih aktivnosti - antivirusni softver nadgleda softver u okruženju sa kojim kompjuterski sistem komunicira. Ukoliko detektira sumnjive aktivnosti nekog softvera, dodatno ga detaljno provjerava koristeći neku od metoda detekcije. Ova metoda je pogodna za detekciju novih i nepoznatih virusa. |
||
* Heuristička metoda - slično metodi detekcije štetnih aktivnosti, ova metoda se može koristiti kod novih i nepoznatih virusa. Može se koristiti na dva načina: analiza datoteka i emulacija datoteka. [[Emulacija datoteka]] |
* Heuristička metoda - slično metodi detekcije štetnih aktivnosti, ova metoda se može koristiti kod novih i nepoznatih virusa. Može se koristiti na dva načina: analiza datoteka i emulacija datoteka. [[Emulacija datoteka]] podrazumijeva pokretanje programa u virtualnom okružju, te bilježenje radnji koje izvrši. Ovisno o zabilježenim radnjama, antivirus može odrediti je li program maliciozan ili ne i potom poduzeti odgovarajuće radnje.<ref>{{Harvnb|Szor|2005|pp=474–481}}</ref> |
||
=== Detekcija bazirana na potpisima === |
=== Detekcija bazirana na potpisima === |
||
Otkrivanje malwarea dugo je vremena veoma |
Otkrivanje malwarea dugo je vremena veoma ovisilo od ove metode detekcije. Ona može biti veoma učinkovita, ali ne može obraniti kompjuter od malwarea ako ne postoje odgovarajući potpisi - pa nije pouzdana protiv novog, nepoznatog malicioznog softvera. |
||
Kako novi virusi nastaju doslovno svaki dan, detekcija bazirana na potpisima |
Kako novi virusi nastaju doslovno svaki dan, detekcija bazirana na potpisima zahtijeva česta osvježavanja rječnika potpisa. Neki antivirusi omogućavaju korisnicima slanje novih virusa ili njihovih varijanata antivirusnim tvrtkama, gde se analiziraju i potom se u rječnik doda njihov potpis.<ref name="About2009" /> |
||
Još jedna potencijalna mana ove metode jest da neki autori virusa pokušavaju |
Još jedna potencijalna mana ove metode jest da neki autori virusa pokušavaju izbjeći sličnost sa postojećim potpisima te pribjegavaju morfičnim (oligomorfičnim, polimorfičnim i odnedavno metamorfičnim) virusima. Ta vrsta malicioznog softvera šifrira ([[enkripcija|enkriptir]]<nowiki/>a) dijelove svog koda, ili na druge načine izmjenjuje samog sebe, u svrhu prikrivanja, tj. da njegov potpis ne odgovara nekom u rječniku.<ref>{{Harvnb|Szor|2005|pp=252–288}}</ref> |
||
=== Heuristika === |
=== Heuristika === |
||
Dosta antivirusa koristi metodu heuristike za identifikaciju nepoznatog malwarea ili novih varijanti postojećeg. |
Dosta antivirusa koristi metodu heuristike za identifikaciju nepoznatog malwarea ili novih varijanti postojećeg. |
||
Mnogi virusi, naime, počnu na razini pojedinačnih infekcija. Preko kasnijih [[mutacija]], tj. "poboljšavanja" njihovih svojstava (od strane samog autora ili nekih drugih napadača), on može imati više međusobno sličnih varijanti. Generička detekcija je detekcija i uklanjanje više malicioznih |
Mnogi virusi, naime, počnu na razini pojedinačnih infekcija. Preko kasnijih [[mutacija]], tj. "poboljšavanja" njihovih svojstava (od strane samog autora ili nekih drugih napadača), on može imati više međusobno sličnih varijanti. Generička detekcija je detekcija i uklanjanje više malicioznih prijetnji korištenjem jednog odgovarajućeg potpisa.<ref>{{cite web |url= http://www.securelist.com/en/glossary?glossid=189210517|title=Generic detection |accessdate=2013-07-11 |work= |publisher=Kaspersky |date= }}</ref> |
||
Tako |
Tako primjerice trojanac [[Vundo]] ima nekoliko porodica, ovisno o klasifikaciji proizvođača antivirusa; [[Symantec]] klasificira "članove" Vundo porodice u dvije kategorije: Trojan.Vundo i Trojan.Vundo.B.<ref>{{cite web|url = http://www.symantec.com/security_response/writeup.jsp?docid=2004-112111-3912-99|title = Trojan.Vundo|accessdate = 2009-04-14|last = Symantec Corporation|authorlink = |year = 2009|month = February| archiveurl= http://web.archive.org/web/20090409002645/http://www.symantec.com/security_response/writeup.jsp?docid=2004-112111-3912-99| archivedate= 9 April 2009 <!--DASHBot-->| deadurl= no}}</ref><ref>{{cite web|url = http://www.symantec.com/security_response/writeup.jsp?docid=2005-042810-2611-99|title = Trojan.Vundo.B|accessdate = 2009-04-14|last = Symantec Corporation|authorlink = |year = 2007|month = February| archiveurl= http://web.archive.org/web/20090427160747/http://www.symantec.com/security_response/writeup.jsp?docid=2005-042810-2611-99| archivedate= 27 April 2009 <!--DASHBot-->| deadurl= no}}</ref> |
||
Iako |
Iako identificiranje specifičnog virusa ima svoje prednosti, brži je način stvaranje generičkog potpisa za porodicu. Istraživači virusa pokušavaju kod porodica naći jedinstvene zajedničke karakteristike, tako da za njih mogu stvoriti jedan generički potpis. |
||
=== Detekcija rootkita === |
=== Detekcija rootkita === |
||
Antivirusni softver može |
Antivirusni softver može pokušati skenirati kompjuter u potrazi za [[rootkit]]om. Riječ je o posebnoj vrsti malwarea dizajniranoj da si pridobije administratorske privilegije preko kompjuterskog sistema - a da pritom, naravno, prođe nezapaženo što je duže moguće. Rootkit može promijeniti način funkcioniranja operativnog sistema, a ponekad se i "uplesti" u rad antivirusnog softvera čineći ga nepouzdanim. Teško ga je ukloniti, a ponekad je jedino rješenje reinstalacija operativnog sistema.<ref>[http://www.f-secure.com/en_EMEA/security/virus-removal/virus-information/encyclopedia/encyclopedia_rootkit.html Rootkit]</ref> |
||
Međutim, i na ovom polju ima nade obzirom da antivirusni program Avast ima licenciran GMER (program za detekciju rootkita) što znatno olakšava borbu protiv ove vrste malicioznog programa. |
Međutim, i na ovom polju ima nade obzirom da antivirusni program Avast ima licenciran GMER (program za detekciju rootkita) što znatno olakšava borbu protiv ove vrste malicioznog programa. |
||
=== Zaštita u stvarnom vremenu === |
=== Zaštita u stvarnom vremenu === |
||
Zaštita u stvarnom vremenu poznata je pod nazivima real-time protection, on-access scanning, background guard, resident shield i autoprotect. To je zaštita kakvu |
Zaštita u stvarnom vremenu poznata je pod nazivima real-time protection, on-access scanning, background guard, resident shield i autoprotect. To je zaštita kakvu posjeduju skoro svi antivirusi, antispywarei (često ne u besplatnoj verziji) i drugi programi za zaštitu kompjutera. Ona bilježi aktivnosti na sistemu i promatra događaju li se kakve sumnjive aktivnosti, i to u stvarnom vremenu. To je drugim riječima razdoblje kada su podaci učitani u memoriju kompjutera: kad korisnik stavlja [[CD]], otvara [[e-mail]] poruku, ili surfa [[internet]]om; ili pak razdoblje kad je datoteka na kompjuteru već učitana ili izvršena.<ref>[http://www.kaspersky.com/faq?chapter=170710015&qid=173727547 Kaspersky Lab Technical Support Portal] {{WebCite|url=http://www.webcitation.org/5wTrMA7aY|date =2011-02-13}}</ref> |
||
== Mogući problemi == |
== Mogući problemi == |
||
=== Lažni antivirusi === |
=== Lažni antivirusi === |
||
Neki programi koji su naizgled antivirusi zapravo su maliciozni softver koji se lažno predstavlja kao legitimni. To su |
Neki programi koji su naizgled antivirusi zapravo su maliciozni softver koji se lažno predstavlja kao legitimni. To su primjerice WinFixer, MS Antivirus, i Mac Defender.<ref>{{cite web|url = http://www.spywarewarrior.com/rogue_anti-spyware.htm|title = Rogue/Suspect Anti-Spyware Products & Web Sites|accessdate = 2009-11-29 |last = SpywareWarrior |authorlink = |year = 2007}}</ref> Većina antivirusa će prepoznati ovakav maliciozni softver, no problem nastaje u tome što će lažni antivirus često onesposobiti pravi. |
||
=== Lažno pozitivni rezultati === |
=== Lažno pozitivni rezultati === |
||
Lažno pozitivni rezultat označava dešavanje kada antivirus pogrešno detektira bezopasnu datoteku kao virus. Kada se ovo dogodi, mogu |
Lažno pozitivni rezultat označava dešavanje kada antivirus pogrešno detektira bezopasnu datoteku kao virus. Kada se ovo dogodi, mogu se javiti ozbiljni problemi. U slučaju da je antivirus konfiguriran da automatski briše zaražene datoteke ili da ih izolira u karantenu, lažno pozitivni rezultat kod neke važne datoteke može učiniti operativni sistem ili namjenski program nesposobnim za rad.<ref>{{cite web|url=http://arstechnica.com/microsoft/news/2008/11/avg-incorrectly-flags-user32-dll-in-windows-xp-sp2sp3.ars|title=AVG incorrectly flags user32.dll in Windows XP SP2/SP3|accessdate=2011-02-24|author=Emil Protalinski|date=November 11, 2008|publisher=''[[Ars Technica]]''}}</ref> U slučaju da Windowsi postanu nesposobni za rad, troškovi njihovog ponovnog popravljanja u servisima može prisiliti tvrtke u kojima se koriste na privremeno zatvaranje.<ref>{{citation|url=http://www.zdnet.co.uk/news/security-management/2010/04/27/mcafee-to-compensate-businesses-for-buggy-update-40088779/|title=McAfee to compensate businesses for buggy update|accessdate=Thursday, 2 December 2010}}</ref><ref>{{citation|url=http://news.cnet.com/8301-1009_3-20003074-83.html|title=Buggy McAfee update whacks Windows XP PCs|accessdate=Thursday, 2 December 2010| archiveurl= http://web.archive.org/web/20110113170013/http://news.cnet.com/8301-1009_3-20003074-83.html| archivedate= 13 January 2011 <!--DASHBot-->| deadurl= no}}</ref> |
||
Navest ćemo nekoliko slučajeva lažno pozitivnih rezultata: |
|||
U |
U svibnju 2007. godine, loše napravljen Symantecov virusni potpis greškom je uklonio nekoliko esencijalnih sistemskih datoteka, zbog čega je tisuće kompjutera prestalo funkcionirati.<ref>{{cite web|title=Flawed Symantec update cripples Chinese PCs|url=http://news.cnet.com/Flawed-Symantec-update-cripples-Chinese-PCs/2100-1002_3-6186271.html|author=Aaron Tan|publisher=''[[CNET Networks]]''|date=May 24, 2007|accessdate=2009-04-05}}</ref> Također u istom mesecu iste godine, [[Norton AntiVirus]] (tvrtke Symantec) detektirao je izvršnu datoteku bitnu za rad Pegasus Maila kao trojanca, te ju automatski obrisao. To je, razumljivo, uzrokovalo nemogućnost pokretanja spomenutog mail klijenta. Da stvari budu još gore, Norton AntiVirus pogrešno je prepoznao čak tri izdanja Pegasus Maila kao malware, te bi obrisao njihovu pripadajuću instalacijsku datoteku.<ref name="v45x">{{cite web|url=http://www.pmail.com/v45x.htm|title=January 2010 - Pegasus Mail v4.52 Release|accessdate=2010-05-21|author=David Harris|date=June 29, 2009|publisher=''[[Pegasus Mail]]''| archiveurl= http://web.archive.org/web/20100528053020/http://www.pmail.com/v45x.htm| archivedate= 28 May 2010 <!--DASHBot-->| deadurl= no}}</ref> U tvrtki Pegasus Mail odgovorili su: |
||
{{citat3|Na osnovi činjenice da je Norton/Symantec detektirao svaki od tri poslednja izdanja Pegasus Maila kao malware, možemo samo osuditi pomenuti proizvod kao odviše loš za korištenje, i toplo preporučiti našim korisnicima da ga prestanu koristiti u korist alternativnog antivirusnog paketa sa manje bugova.<ref name="v45x" />}} |
{{citat3|Na osnovi činjenice da je Norton/Symantec detektirao svaki od tri poslednja izdanja Pegasus Maila kao malware, možemo samo osuditi pomenuti proizvod kao odviše loš za korištenje, i toplo preporučiti našim korisnicima da ga prestanu koristiti u korist alternativnog antivirusnog paketa sa manje bugova.<ref name="v45x" />}} |
||
U |
U travnju 2010. godine, [[McAfee]] je detektirao svchost.exe, bezazlenu Windows izvršnu datoteku, kao virus. To je se dogodilo na kompjuterima koji su pokretali [[Windows XP]] Service Pack 3, zbog čega bi korisnici izgubili vezu na internet ili bi se pak njihov kompjuter non-stop iznova pokretao.<ref>{{cite news|url=http://isc.sans.org/diary.html?storyid=8656|title=McAfee DAT 5958 Update Issues|date=21 April 2010|accessdate=22 April 2010| archiveurl= http://web.archive.org/web/20100424193336/http://isc.sans.org/diary.html?storyid=8656| archivedate= 24 April 2010 <!--DASHBot-->| deadurl= no}}</ref><ref>{{cite news|url=http://www.engadget.com/2010/04/21/mcafee-update--shutting-down-xp-machines/|title=Botched McAfee update shutting down corporate XP machines worldwide|date=21 April 2010|accessdate=22 April 2010| archiveurl= http://web.archive.org/web/20100422205355/http://www.engadget.com/2010/04/21/mcafee-update--shutting-down-xp-machines/| archivedate= 22 April 2010 <!--DASHBot-->| deadurl= no}}</ref> U prosincu iste godine, loše osvježenje [[AVG]] paketa oštetilo je 64-bitne verzije [[Windows 7|Windowsa 7]] - zbog čega su se neprestano iznova pokretali te time postali onesposobljeni.<ref>{{cite web|url=http://www.theregister.co.uk/2010/12/02/avg_auto_immune_update/|title=Horror AVG update ballsup bricks Windows 7|author=John Leyden|publisher=''[[The Register]]''|accessdate=2010-12-02|date=December 2, 2010}}</ref> |
||
U |
U listopadu 2011. Microsoft Security Essentials (MSE) je uklonio [[Google Chrome]] preglednik, konkurentan Microsoftovom Internet Exploreru, označivši ga kao Zbot trojanca.<ref>{{citation|url=http://www.theinquirer.net/inquirer/news/2113892/mse-false-positive-detection-forces-google-update-chrome|title=MSE false positive detection forces Google to update Chrome|accessdate=Monday, 3 October 2011}}</ref> |
||
=== Sistemski problemi === |
=== Sistemski problemi === |
||
Pokretanje više antivirusa istovremeno može |
Pokretanje više antivirusa istovremeno može ugroziti sistemske performanse i, još važnije, uzrokovati sukobe između antivirusa.<ref>{{cite web|url = http://support.microsoft.com/default.aspx?scid=http://support.microsoft.com:80/support/kb/articles/Q189/2/64.ASP&NoWebContent=1|title = Plus! 98: How to Remove McAfee VirusScan|accessdate = 2009-11-29|last = [[Microsoft]]|authorlink = |year = 2007|month = January| archiveurl= http://web.archive.org/web/20091111020202/http://support.microsoft.com/default.aspx?scid=http://support.microsoft.com:80/support/kb/articles/Q189/2/64.ASP&NoWebContent=1| archivedate= 11 November 2009 <!--DASHBot-->| deadurl= no}}</ref> Zbog toga će mnogi antivirusi odbiti da se instaliraju ako otkriju da na sistemu djeluje i neki drugi. Ipak, pomoću koncepta koji se naziva multiscanning nekoliko je firmi (uključujući G Data<ref>{{cite web|title=G-Data Internet Security 2010|url=http://www.pcworld.com/article/165600/gdata_internet_security_2010.html|author=Robert Vamosi|date=May 28, 2009|publisher=''[[PC World (magazine)|PC World]]|accessdate=2011-02-24}}</ref> te [[Microsoft]]<ref>{{cite web|url=http://www.darkreading.com/vulnerability_management/security/antivirus/showArticle.jhtml?articleID=224700879|title=New Microsoft Forefront Software Runs Five Antivirus Vendors' Engines|publisher=''Darkreading''|author=Kelly Jackson Higgins|date=May 5, 2010|accessdate=2011-02-24}}</ref>) uspjelo napraviti aplikacije koje istovremeno pokreću više ''enginea''. |
||
Ponekad je neophodno |
Ponekad je neophodno privremeno isključiti antivirus, npr. tijekom instalacije servisnih paketa za Windowse (što je i preporuka Microsofta<ref>{{cite web |
||
| url=http://windows.microsoft.com/en-gb/windows7/help/upgrading-from-windows-vista-to-windows-7?T1=tab03 |
| url=http://windows.microsoft.com/en-gb/windows7/help/upgrading-from-windows-vista-to-windows-7?T1=tab03 |
||
| title=Upgrading from Windows Vista to Windows 7 |
| title=Upgrading from Windows Vista to Windows 7 |
||
Red 94: | Red 94: | ||
| date=Last Review: May 7, 2007 |
| date=Last Review: May 7, 2007 |
||
| accessdate=24 March 2012 |
| accessdate=24 March 2012 |
||
}} Mentioned within "General troubleshooting".</ref>) i |
}} Mentioned within "General troubleshooting".</ref>) i osvježavanja ''[[driver]]a'' za [[grafička kartica|grafičku karticu]]<ref>{{cite web|url = http://support.microsoft.com/kb/950717|title = Steps to take before you install Windows XP Service Pack 3|accessdate = 2009-11-29|last = [[Microsoft]]|authorlink = |year = 2009|month = April| archiveurl= http://web.archive.org/web/20091208074504/http://support.microsoft.com/kb/950717| archivedate= 8 December 2009 <!--DASHBot-->| deadurl= no}}</ref> - iz razloga što antivirus može djelomično ili posve spriječiti ovakve znatne sistemske izmene. |
||
Na funkcionalnost nekoliko legitimnih aplikacija također mogu utjecati antivirusni programi. TrueCrypt, program otvorenog koda namijenjen [[enkripcija|enkripciji diskova]], može se sukobiti s antivirusom, što dovodi ili do nemogućnosti funkcioniranja ili velike sporosti programa.<ref>{{cite web|url=http://www.truecrypt.org/docs/?s=troubleshooting|title=Troubleshooting|accessdate=2011-02-17}}</ref> I igre na Steam platformi mogu imati problema sa antivirusnim softverom, zbog čega će biti nestabilne ili spore.<ref>{{cite web |
|||
| url=https://support.steampowered.com/kb_article.php?ref=6057-YLBN-1660 |
| url=https://support.steampowered.com/kb_article.php?ref=6057-YLBN-1660 |
||
| title=Spyware, Adware, and Viruses Interfering with Steam |
| title=Spyware, Adware, and Viruses Interfering with Steam |
||
Red 103: | Red 103: | ||
=== Pouzdanost === |
=== Pouzdanost === |
||
Studije provedene u decembru 2007. godine pokazale su da se pouzdanost antivirusnog softvera smanjila u odnosu na prethodnu godinu, posebno protiv nepoznatih |
Studije provedene u decembru 2007. godine pokazale su da se pouzdanost antivirusnog softvera smanjila u odnosu na prethodnu godinu, posebno protiv nepoznatih prijetnji. Njemački kompjuterski magazin c't otkrio je da se njihova razina detekcije smanjila sa 40-50% (2006.) na 20-30% (2007.). Iznimka je bio NOD32, koji je u to vrijeme uspio ostvariti razinu od 68 posto.<ref>{{cite web|publisher=''[[The Register|Channel Register]]''|url=http://www.channelregister.co.uk/2007/12/21/dwindling_antivirus_protection/|author=Dan Goodin|title=Anti-virus protection gets worse|date=December 21, 2007|accessdate=2011-02-24}}</ref> |
||
Problem je dodatno uvećan zbog činjenice da je, za razliku od nekad, danas česta praksa da pisce malicioznog softvera |
Problem je dodatno uvećan zbog činjenice da je, za razliku od nekad, danas česta praksa da pisce malicioznog softvera financiraju kriminalne organizacije.<ref>{{cite web|url=http://www.computerweekly.com/Articles/2007/07/13/225537/hacking-poses-threats-to-business.htm|title=Hacking poses threats to business|accessdate=2009-11-15|author=Dan Illett|publisher=''[[Computer Weekly]]''|date=July 13, 2007}}</ref> Nije rijetkost da kriminalne organizacije bez dovoljno tehničkog znanja za pisanje malwarea čak kupuju maliciozne pakete od programera, kojima cene variraju obično zavisno od kompleksnosti i broja opcija, a kreću se od tristotinjak pa sve do preko hiljadu evra. Paketi je moguće zasebno podesiti da se izbace ili uvedu neke druge opcije, u zavisnosti o želji kriminalaca, a onda ukupna cena ovisi o komponentama koje su izabrane. |
||
Nezavisna testiranja antivirusa u februaru 2010. pokazala su da najbolja razina detekcije iznosi 99,6, a najmanja samo 81,8%. Svi antivirusi na testiranju imali su određen broj lažno pozitivnih rezultata<ref>{{cite web|url = http://www.av-comparatives.org/images/stories/test/ondret/avc_report25.pdf|title = Anti-Virus Comparative No. 25 |accessdate = 18 April 2010|last = AV Comparatives |authorlink = |year = 2010|month = February| archiveurl= http://web.archive.org/web/20100330233157/http://www.av-comparatives.org/images/stories/test/ondret/avc_report25.pdf| archivedate= 30 March 2010 <!--DASHBot-->| deadurl= no}}</ref>, neki više, neki manje. Iako se metodologije razlikuju, neke istaknute nezavisne kompanje za testiranje uključuju AV-Comparatives, ICSA Labs, West Coast Labs, Virus Bulletin, AV-TEST i ostale članice Anti-Malware Testing Standards Organization-a.ref>[http://www.computerworld.com/s/article/9178037/Guidelines_released_for_antivirus_software_tests Guidelines released for antivirus software tests]</ref><ref name="Harley 2011">{{cite book|last= Harley |first= David |authorlink= David Harley |title= AVIEN Malware Defense Guide for the Enterprise |url= http://books.google.com/books?id=LBzXf0A-jQwC |accessdate= 2013-06-10 |year= 2011 |publisher= [[Elsevier]] |location= |isbn= 9780080558660 |page= 487 }}</ref> Valja pomenuti da je testiranje antivirusnih programa vrlo složeno te da varira o mnogim faktorima. |
Nezavisna testiranja antivirusa u februaru 2010. pokazala su da najbolja razina detekcije iznosi 99,6, a najmanja samo 81,8%. Svi antivirusi na testiranju imali su određen broj lažno pozitivnih rezultata<ref>{{cite web|url = http://www.av-comparatives.org/images/stories/test/ondret/avc_report25.pdf|title = Anti-Virus Comparative No. 25 |accessdate = 18 April 2010|last = AV Comparatives |authorlink = |year = 2010|month = February| archiveurl= http://web.archive.org/web/20100330233157/http://www.av-comparatives.org/images/stories/test/ondret/avc_report25.pdf| archivedate= 30 March 2010 <!--DASHBot-->| deadurl= no}}</ref>, neki više, neki manje. Iako se metodologije razlikuju, neke istaknute nezavisne kompanje za testiranje uključuju AV-Comparatives, ICSA Labs, West Coast Labs, Virus Bulletin, AV-TEST i ostale članice Anti-Malware Testing Standards Organization-a.ref>[http://www.computerworld.com/s/article/9178037/Guidelines_released_for_antivirus_software_tests Guidelines released for antivirus software tests]</ref><ref name="Harley 2011">{{cite book|last= Harley |first= David |authorlink= David Harley |title= AVIEN Malware Defense Guide for the Enterprise |url= http://books.google.com/books?id=LBzXf0A-jQwC |accessdate= 2013-06-10 |year= 2011 |publisher= [[Elsevier]] |location= |isbn= 9780080558660 |page= 487 }}</ref> Valja pomenuti da je testiranje antivirusnih programa vrlo složeno te da varira o mnogim faktorima. |
Verzija na datum 5 oktobar 2013 u 18:25
Jedan korisnik upravo radi na ovom članku! Mole se ostali suradnici da ne uređuju članak dok je ova obavijest prisutna. Koristite stranicu za razgovor na ovom članku ako imate komentare i pitanja u vezi s člankom. Kada radovi budu gotovi, korisnik koji uređuje članak uklonit će ovaj šablon! Hvala na razumijevanju! Šablon može biti uklonjen ako kroz tri dana od trenutka postavljanja ili posljednje izmjene nema novih izmjena na članku. |
Antivirusni softver ili antivirus (na engl. se često koristi akronim AV) je računalni softver koji se koristi za prevenciju, otkrivanje i uklanjanje malwarea (zlonamjernog softvera).
Za razliku od prvobitnih antivirusnih softvera, koji su se bazirali isključivo na tretiranju računalnih virusa, moderni antivirusni softveri štite od različitih malwarea, u koje osim "klasičnih" virusa spadaju i: crvi, trojanci, backdoor, rootkit, adwarei, spywarei, dialeri, keyloggeri... Mnogi današnji paketi nude zaštitu i od raznih vrsta socijalnog inženjeringa, poput fišinga (fishing).[1]
Postoji više načina zaštite. Ona bazirana na potpisima uključuje otkrivanje i uklanjanje već poznatih napasti. No, problem je u tome što kompjuter može biti zaražen i nekim novim malwareom za koji još ne postoji potpis. Zbog toga antivirusi često koriste metodu heuristike. Jedna vrsta heuristike se zasniva na generičkim potpisima, koji mogu otkriti novi malware ili varijantu onog već poznatog, tako što u datoteci traže poznati maliciozni kod, ili njegove manje izmjene. Neki antivirusni softveri mogu predvidjeti djelovanje programa tako što će ga pokrenuti u sandboxu, i analizirati ga da provjere izvršava li kakve potencijalno zlonamjerne radnje. Sandbox je izolirano okruženje van kojeg program ne može prodrijeti i u slučaju da je maliciozan, ne može uraditi štetu stvarnom sistemu.
No, bez obzira koliko korisni mogu biti, antivirusi imaju i neke nedostatke. Oni utječu na korištenje sistemskih resursa, zbog čega može doći do smanjene brzine rada kompjutera (pada performansi).[2] Neiskusni korisnici mogu također imati problema sa razumijevanjem obavijesti i odluka koje im antivirusni softver daje. Neispravna odluka, naime, može znatno oslabiti sigurnost sistema. Osim toga, ako se antivirus koristi heuristikom, uspješnost te metode ovisi o balansu između lažno pozitivnih i lažno negativnih rezultata. Lažno pozitivni rezultati (kada je bezazlen program prepoznat kao prijetnja) mogu imati jednako loše posledice kao i lažno negativni razultati[3] - npr. gubitak važnog dokumenta ili čak važne sistemske datoteke.
Povijest
Većina kompjuterskih virusa napisanih tijekom ranih i sredinom 80-ih godina bili su ograničeni na širenje, te nisu činili značajnu štetu.[4] No, to se počelo mijenjati kako su zlonamjerni korisnici postajali sve bolji u programiranju virusa, tako da su napravili viruse koji su mogli oštetiti ili izbrisati određenu količinu podataka na zaraženom kompjuteru.
Postoje proturječni navodi u vezi s prvim antivirusom. Vjerojatno je prvo javno dokumentirano uklanjanje virusa "u divljini" izvršio stručnjak za kompjutersku sigurnost Bernd Fix, 1987. godine.[5][6] Poznato je i da su za platformu Atari, te iste godine, bila razvijena dva antivirusna softvera. Prvi je bio G Data [7] (postoji i danas), a drugi UVK 2000.[8]
Fred Cohen je 1984. godine izdao jedan od prvih akademskih papira o kompjuterskim virusima.[9] 1987. godine ispravno je izjavio, da nijedan algoritam ne može otkriti sve moguće viruse[10], a 1988. godine počeo je razvijati strateške metode za antiviruse[11], koje su uskoro prihvatili i ugradili njihovih kasniji proizvođači.
Na mreži BITNET/EARN 1988. je godine nastala mail lista VIRUS-L[12] na kojoj je se raspravljalo o novim virusima, te o mogućnostima njihove detekcije i uklanjanja. Neki su članovi spomenute liste, kao što su John McAfee i Eugene Kaspersky, kasnije osnovali antivirusne tvrtke koje su razvijale i prodavale komercijalne pakete.
Prije velike dostupnosti interneta, virusi su se obično širili preko disketa. Antivirusni softver je u to vrijeme provjeravao izvršne datoteke i boot sektore na disketama i tvrdim diskovima, te je bio relativno rijetko osvježavan. Nakon što je internet postao raširen, i virusi su promijenili svoje glavno mjesto širenja, koje je se preselilo u spomenuto okruženje.[13]
Tijekom godina postalo je neophodno da antivirusni softver provjerava više tipova datoteka, a ne samo izvršne, zbog sljedećih potencijalnih pretnji:
- Moćni makroi, koji su bili korišteni u programima za obradu teksta, poput MS Worda. Pisci virusa su, naime, mogli koristiti makroe za stvaranje virusa koji bi bili ugrađeni u dokumente.[14]
- Mogućnost ubacivanja izvršnih objekata u kod inače neizvršnih datoteka[15]
- Kasniji e-mail programi poput Microsoftovih Outlook Expressa i Outlooka, bili su ranjivi na viruse koji su bili ubačeni u samo tijelo poruke
Sve navedeno znači da bi se kompjuter mogao inficirati pri samom otvaranju dokumenata sa skrivenim prikačenim makroima, zaražene e-mail poruke[16] ili inače neizvršne datoteke sa kodom izvršnog objekta.
Kada su širokopojasne veze postale norma, pisanje malicioznog softvera uzelo je maha; postalo je nužno da se što češće osvježavaju definicije potpisa antivirusnih alata. Pa čak i tada, uvijek postoji šansa da se nova prijetnja široko rasprostrani, prije nego što antivirusne tvrtke izdaju novi potpis.
Metode detekcije
Postoji više metoda otkrivanja malicioznog softvera, a većina antivirusa koristi kombinaciju više njih:
- Detekcija bazirana na potpisima (signaturama) najčešća je metoda. Kako bi identificirao maliciozni softver, antivirus poredi sadržaj datoteka sa "rječničkom" bazom malwarea. Pošto malware može biti ugniježđen u samu datoteku, projverava se cijela datoteka, ne samo cjelina, već i njezini manji delovi.[17]
- Detekcija štetnih aktivnosti - antivirusni softver nadgleda softver u okruženju sa kojim kompjuterski sistem komunicira. Ukoliko detektira sumnjive aktivnosti nekog softvera, dodatno ga detaljno provjerava koristeći neku od metoda detekcije. Ova metoda je pogodna za detekciju novih i nepoznatih virusa.
- Heuristička metoda - slično metodi detekcije štetnih aktivnosti, ova metoda se može koristiti kod novih i nepoznatih virusa. Može se koristiti na dva načina: analiza datoteka i emulacija datoteka. Emulacija datoteka podrazumijeva pokretanje programa u virtualnom okružju, te bilježenje radnji koje izvrši. Ovisno o zabilježenim radnjama, antivirus može odrediti je li program maliciozan ili ne i potom poduzeti odgovarajuće radnje.[18]
Detekcija bazirana na potpisima
Otkrivanje malwarea dugo je vremena veoma ovisilo od ove metode detekcije. Ona može biti veoma učinkovita, ali ne može obraniti kompjuter od malwarea ako ne postoje odgovarajući potpisi - pa nije pouzdana protiv novog, nepoznatog malicioznog softvera.
Kako novi virusi nastaju doslovno svaki dan, detekcija bazirana na potpisima zahtijeva česta osvježavanja rječnika potpisa. Neki antivirusi omogućavaju korisnicima slanje novih virusa ili njihovih varijanata antivirusnim tvrtkama, gde se analiziraju i potom se u rječnik doda njihov potpis.[17]
Još jedna potencijalna mana ove metode jest da neki autori virusa pokušavaju izbjeći sličnost sa postojećim potpisima te pribjegavaju morfičnim (oligomorfičnim, polimorfičnim i odnedavno metamorfičnim) virusima. Ta vrsta malicioznog softvera šifrira (enkriptira) dijelove svog koda, ili na druge načine izmjenjuje samog sebe, u svrhu prikrivanja, tj. da njegov potpis ne odgovara nekom u rječniku.[19]
Heuristika
Dosta antivirusa koristi metodu heuristike za identifikaciju nepoznatog malwarea ili novih varijanti postojećeg.
Mnogi virusi, naime, počnu na razini pojedinačnih infekcija. Preko kasnijih mutacija, tj. "poboljšavanja" njihovih svojstava (od strane samog autora ili nekih drugih napadača), on može imati više međusobno sličnih varijanti. Generička detekcija je detekcija i uklanjanje više malicioznih prijetnji korištenjem jednog odgovarajućeg potpisa.[20]
Tako primjerice trojanac Vundo ima nekoliko porodica, ovisno o klasifikaciji proizvođača antivirusa; Symantec klasificira "članove" Vundo porodice u dvije kategorije: Trojan.Vundo i Trojan.Vundo.B.[21][22]
Iako identificiranje specifičnog virusa ima svoje prednosti, brži je način stvaranje generičkog potpisa za porodicu. Istraživači virusa pokušavaju kod porodica naći jedinstvene zajedničke karakteristike, tako da za njih mogu stvoriti jedan generički potpis.
Detekcija rootkita
Antivirusni softver može pokušati skenirati kompjuter u potrazi za rootkitom. Riječ je o posebnoj vrsti malwarea dizajniranoj da si pridobije administratorske privilegije preko kompjuterskog sistema - a da pritom, naravno, prođe nezapaženo što je duže moguće. Rootkit može promijeniti način funkcioniranja operativnog sistema, a ponekad se i "uplesti" u rad antivirusnog softvera čineći ga nepouzdanim. Teško ga je ukloniti, a ponekad je jedino rješenje reinstalacija operativnog sistema.[23]
Međutim, i na ovom polju ima nade obzirom da antivirusni program Avast ima licenciran GMER (program za detekciju rootkita) što znatno olakšava borbu protiv ove vrste malicioznog programa.
Zaštita u stvarnom vremenu poznata je pod nazivima real-time protection, on-access scanning, background guard, resident shield i autoprotect. To je zaštita kakvu posjeduju skoro svi antivirusi, antispywarei (često ne u besplatnoj verziji) i drugi programi za zaštitu kompjutera. Ona bilježi aktivnosti na sistemu i promatra događaju li se kakve sumnjive aktivnosti, i to u stvarnom vremenu. To je drugim riječima razdoblje kada su podaci učitani u memoriju kompjutera: kad korisnik stavlja CD, otvara e-mail poruku, ili surfa internetom; ili pak razdoblje kad je datoteka na kompjuteru već učitana ili izvršena.[24]
Mogući problemi
Lažni antivirusi
Neki programi koji su naizgled antivirusi zapravo su maliciozni softver koji se lažno predstavlja kao legitimni. To su primjerice WinFixer, MS Antivirus, i Mac Defender.[25] Većina antivirusa će prepoznati ovakav maliciozni softver, no problem nastaje u tome što će lažni antivirus često onesposobiti pravi.
Lažno pozitivni rezultati
Lažno pozitivni rezultat označava dešavanje kada antivirus pogrešno detektira bezopasnu datoteku kao virus. Kada se ovo dogodi, mogu se javiti ozbiljni problemi. U slučaju da je antivirus konfiguriran da automatski briše zaražene datoteke ili da ih izolira u karantenu, lažno pozitivni rezultat kod neke važne datoteke može učiniti operativni sistem ili namjenski program nesposobnim za rad.[26] U slučaju da Windowsi postanu nesposobni za rad, troškovi njihovog ponovnog popravljanja u servisima može prisiliti tvrtke u kojima se koriste na privremeno zatvaranje.[27][28]
Navest ćemo nekoliko slučajeva lažno pozitivnih rezultata:
U svibnju 2007. godine, loše napravljen Symantecov virusni potpis greškom je uklonio nekoliko esencijalnih sistemskih datoteka, zbog čega je tisuće kompjutera prestalo funkcionirati.[29] Također u istom mesecu iste godine, Norton AntiVirus (tvrtke Symantec) detektirao je izvršnu datoteku bitnu za rad Pegasus Maila kao trojanca, te ju automatski obrisao. To je, razumljivo, uzrokovalo nemogućnost pokretanja spomenutog mail klijenta. Da stvari budu još gore, Norton AntiVirus pogrešno je prepoznao čak tri izdanja Pegasus Maila kao malware, te bi obrisao njihovu pripadajuću instalacijsku datoteku.[30] U tvrtki Pegasus Mail odgovorili su:
U travnju 2010. godine, McAfee je detektirao svchost.exe, bezazlenu Windows izvršnu datoteku, kao virus. To je se dogodilo na kompjuterima koji su pokretali Windows XP Service Pack 3, zbog čega bi korisnici izgubili vezu na internet ili bi se pak njihov kompjuter non-stop iznova pokretao.[31][32] U prosincu iste godine, loše osvježenje AVG paketa oštetilo je 64-bitne verzije Windowsa 7 - zbog čega su se neprestano iznova pokretali te time postali onesposobljeni.[33]
U listopadu 2011. Microsoft Security Essentials (MSE) je uklonio Google Chrome preglednik, konkurentan Microsoftovom Internet Exploreru, označivši ga kao Zbot trojanca.[34]
Sistemski problemi
Pokretanje više antivirusa istovremeno može ugroziti sistemske performanse i, još važnije, uzrokovati sukobe između antivirusa.[35] Zbog toga će mnogi antivirusi odbiti da se instaliraju ako otkriju da na sistemu djeluje i neki drugi. Ipak, pomoću koncepta koji se naziva multiscanning nekoliko je firmi (uključujući G Data[36] te Microsoft[37]) uspjelo napraviti aplikacije koje istovremeno pokreću više enginea.
Ponekad je neophodno privremeno isključiti antivirus, npr. tijekom instalacije servisnih paketa za Windowse (što je i preporuka Microsofta[38][39][40]) i osvježavanja drivera za grafičku karticu[41] - iz razloga što antivirus može djelomično ili posve spriječiti ovakve znatne sistemske izmene.
Na funkcionalnost nekoliko legitimnih aplikacija također mogu utjecati antivirusni programi. TrueCrypt, program otvorenog koda namijenjen enkripciji diskova, može se sukobiti s antivirusom, što dovodi ili do nemogućnosti funkcioniranja ili velike sporosti programa.[42] I igre na Steam platformi mogu imati problema sa antivirusnim softverom, zbog čega će biti nestabilne ili spore.[43]
Pouzdanost
Studije provedene u decembru 2007. godine pokazale su da se pouzdanost antivirusnog softvera smanjila u odnosu na prethodnu godinu, posebno protiv nepoznatih prijetnji. Njemački kompjuterski magazin c't otkrio je da se njihova razina detekcije smanjila sa 40-50% (2006.) na 20-30% (2007.). Iznimka je bio NOD32, koji je u to vrijeme uspio ostvariti razinu od 68 posto.[44]
Problem je dodatno uvećan zbog činjenice da je, za razliku od nekad, danas česta praksa da pisce malicioznog softvera financiraju kriminalne organizacije.[45] Nije rijetkost da kriminalne organizacije bez dovoljno tehničkog znanja za pisanje malwarea čak kupuju maliciozne pakete od programera, kojima cene variraju obično zavisno od kompleksnosti i broja opcija, a kreću se od tristotinjak pa sve do preko hiljadu evra. Paketi je moguće zasebno podesiti da se izbace ili uvedu neke druge opcije, u zavisnosti o želji kriminalaca, a onda ukupna cena ovisi o komponentama koje su izabrane.
Nezavisna testiranja antivirusa u februaru 2010. pokazala su da najbolja razina detekcije iznosi 99,6, a najmanja samo 81,8%. Svi antivirusi na testiranju imali su određen broj lažno pozitivnih rezultata[46], neki više, neki manje. Iako se metodologije razlikuju, neke istaknute nezavisne kompanje za testiranje uključuju AV-Comparatives, ICSA Labs, West Coast Labs, Virus Bulletin, AV-TEST i ostale članice Anti-Malware Testing Standards Organization-a.ref>Guidelines released for antivirus software tests</ref>[47] Valja pomenuti da je testiranje antivirusnih programa vrlo složeno te da varira o mnogim faktorima.
Novi virusi
Antivirusni programi mogu da budu nepouzdani protiv novih virusa, čak i kada koriste metode detekcije koje se ne baziraju na potpisima. Razlog za ovo je što pisci virusa testiraju svoja "dela" na najpoznatijim antivirusima kako bi bili sigurni da nisu prepoznati, pre nego što su pušteni "u divljinu".[48]
Određeni maliciozni softver, nadasve ransomware (koji zaključava pristup sistemu te prikazuje lažnu poruku korisniku da uplati određen iznos novca za njegovo otključavanje), koristi polimorfični kod kako bi onemogućila i izbegla detekciju antivirusa. Bezbednosni analitičar Jerome Segura ovako je objasnio ovu pojavu[49]:
Rootkit
Detekcija rootkita predstavlja veliki izazov za antiviruse - obzirom da rootkiti imaju potpuni administratorski pristup kompjuteru, te su nevidljivi korisniku na spisku procesa u Task Managera; takođe mogu da izmene unutrašnje funkcije sistema[50] kao i antivirusa.
Oštećene datoteke
Datoteke oštećene virusima obično ne mogu da se vrate u prijašnje stanje. Antivirusni softver prilikom dezinfekcije uklanja virusni kod iz datoteke, ali ovo ne dovodi nužno to njenog vraćanja u originalno stanje. Tada se mogu povratiti jedino iz sigurnosnih kopija (backupa); softver koji je zbog oštećenja postao neiskoristiv treba da se ponovo instalira.[51]
Srećom, ako su u pitanju datoteke Windowsa, postoji rešenje u vidu System File Checker-a, malo poznate aplikacije koja dolazi sa ovim operativnim sistemom. U slučaju da otkrije oštećene datoteke pokušaće da ih zameni ispravnima (ponekad će biti potrebno da korisnik stavi instalacijski disk Windowsa da to uspije).
Druge metode
Antivirus "u oblaku"
Antivirus u oblaku, ili na engl. cloud antivirus, je tehnologija koja koristi perolaki agentski sofver na njime zaštićenom kompjuteru. Jedan način implementacije antivirusa u oblaku uključuje skeniranje datoteka korišćenjem više antivirusnim jezgri (enginea). Ovakav pristup populariziran je ranim oblikom implementacije koncepta cloud antivirusa koji se zove CloudAV. CloudAV je dizajniran da šalje programe i dokumente na tzv. mrežni oblak, gdje bi ih simultano skeniralo više antivirusa u svrhu poboljšavanja razine detekcije.
Primeri antivirusa u oblaku su Panda Cloud Antivirus i Immunet.
Mrežni vatrozid
Mrežni vatrozidi sprečavaju da nepoznati programi i procesi pristupe sistemu. Oni nisu antivirusi niti njihove alternative; ne pokušavaju detektirati ili ukloniti bilo šta. Ipak mogu da spreče infekciju koja dolazi van zaštićenog kompjutera ili njegove mreže, i ograničiti aktivnosti malicioznog softvera blokiranjem dolaznih i odlaznih zahtjeva na određenim TCP/IP portovima.
Online skeniranje
Neki antivirusni proizvođači održavaju svoje internetske siteove koji nude besplatno skeniranje kompjutera - čitavog sistema, samo kritičnih područja, lokalnih diskova, mapa ili datoteka. Periodično skeniranje je i više nego dobra ideja, posebno zato što su antivirusi ponekad spori u hvatanju pretnji. Mže se desiti i da maliciozni softver onesposobi antivirus, pa je za barem otkrivanje pretnje potrebno okrenuti se online skeniranju[52] - osim ako maliciozni softver prethodno nije onesposobio sigurnosne stranice - i to je moguće.
Specijalizovane alatke
Postoje alati za uklanjanje nekih određenih ili posebno tvrdoglavih vrsta malicioznog softvera. U takve spadaju Trend Microv Rootkit Buster[53], rkhunter (oba za detekciju rootkita), Avirin AntiVir Removal Tool[54] i Threat Removal Tool PCTools-a[55].
Pokretanje antivirusnog softvera van instaliranog operativnog sistema može se vršiti pomoću bootabilnog diska za spašavanje (rescue disk), koji može biti CD, USB stik i slično. Ovakav antivirus na disku može biti koristan kada se operativni sistem više ne može pokrenuti, te je zaraženo malwareom koji se odupire svim pokušajima uklanjanja "klasičnim" antivirusnim paketima. Ovakva rešenja postoje u vidu: Avirinog AntiVir Rescue System[54], Alternate Operating System Scanner PCTools-a[56], i AVG-ovog Rescue CD-a[57].
Rizici nekorišćenja
Velike tvrtke godišnje izgube 12 miliona dolara zbog problema sa malicionim softverom.[58] Po anketi koju je 2009. godine proveo Symantec, čak trećina malih do srednje velikih tvrtki tada nije imala antivirusnu zaštitu, dok je preko 80% kućnih korisnika na svom kompjuteru imalo instaliran neki antivirusni softver.[59]
Izvori
- ↑ „What is antivirus software?”. Microsoft.
- ↑ „How Antivirus Software Can Slow Down Your Computer”. Support.com Blog. Pristupljeno 07/26/10.
- ↑ „Softpedia Exclusive Interview: Avira 10”. Ionut Ilascu. Softpedia. 14 April 2010. Pristupljeno 2011-09-11.
- ↑ History of viruses
- ↑ Kaspersky Lab Virus list
- ↑ Wells, Joe (1996-08-30). „Virus timeline”. IBM. Arhivirano iz originala na datum 4 June 2008. Pristupljeno 2008-06-06.
- ↑ G Data Software AG (2011). „G Data presents security firsts at CeBIT 2010”. Pristupljeno 22 August 2011.
- ↑ Karsmakers, Richard (January 2010). „The ultimate Virus Killer UVK 2000”. Pristupljeno 22 August 2011.
- ↑ Fred Cohen 1984 "Computer Viruses – Theory and Experiments"
- ↑ Cohen, Fred, An Undetectable Computer Virus, 1987, IBM
- ↑ Fred Cohen 1988 "On the implications of Computer Viruses and Methods of Defense"
- ↑ VIRUS-L mailing list archive
- ↑ Panda Security (April 2004). „(II) Evolution of computer viruses”. Pristupljeno 2009-06-20.
- ↑ Szor 2005: str. 66–67
- ↑ „New virus travels in PDF files”. 7 August 2001. Pristupljeno 2011-10-29.
- ↑ Slipstick Systems (February 2009). „Protecting Microsoft Outlook against Viruses”. Arhivirano iz originala na datum 2 June 2009. Pristupljeno 2009-06-18.
- ↑ 17,0 17,1 Landesman, Mary (2009). „What is a Virus Signature?”. Pristupljeno 2009-06-18.
- ↑ Szor 2005: str. 474–481
- ↑ Szor 2005: str. 252–288
- ↑ „Generic detection”. Kaspersky. Pristupljeno 2013-07-11.
- ↑ Symantec Corporation (February 2009). „Trojan.Vundo”. Arhivirano iz originala na datum 9 April 2009. Pristupljeno 2009-04-14.
- ↑ Symantec Corporation (February 2007). „Trojan.Vundo.B”. Arhivirano iz originala na datum 27 April 2009. Pristupljeno 2009-04-14.
- ↑ Rootkit
- ↑ Kaspersky Lab Technical Support Portal Archived 13 februar 2011 at WebCite
- ↑ SpywareWarrior (2007). „Rogue/Suspect Anti-Spyware Products & Web Sites”. Pristupljeno 2009-11-29.
- ↑ Emil Protalinski (November 11, 2008). „AVG incorrectly flags user32.dll in Windows XP SP2/SP3”. Ars Technica. Pristupljeno 2011-02-24.
- ↑ McAfee to compensate businesses for buggy update, pristupljeno Thursday, 2 December 2010
- ↑ Buggy McAfee update whacks Windows XP PCs, arhivirano iz originala na datum 13 January 2011, pristupljeno Thursday, 2 December 2010
- ↑ Aaron Tan (May 24, 2007). „Flawed Symantec update cripples Chinese PCs”. CNET Networks. Pristupljeno 2009-04-05.
- ↑ David Harris (June 29, 2009). „January 2010 - Pegasus Mail v4.52 Release”. Pegasus Mail. Arhivirano iz originala na datum 28 May 2010. Pristupljeno 2010-05-21.
- ↑ „McAfee DAT 5958 Update Issues”. 21 April 2010. Arhivirano iz originala na datum 24 April 2010. Pristupljeno 22 April 2010.
- ↑ „Botched McAfee update shutting down corporate XP machines worldwide”. 21 April 2010. Arhivirano iz originala na datum 22 April 2010. Pristupljeno 22 April 2010.
- ↑ John Leyden (December 2, 2010). „Horror AVG update ballsup bricks Windows 7”. The Register. Pristupljeno 2010-12-02.
- ↑ MSE false positive detection forces Google to update Chrome, pristupljeno Monday, 3 October 2011
- ↑ Microsoft (January 2007). „Plus! 98: How to Remove McAfee VirusScan”. Arhivirano iz originala na datum 11 November 2009. Pristupljeno 2009-11-29.
- ↑ Robert Vamosi (May 28, 2009). „G-Data Internet Security 2010”. PC World. Pristupljeno 2011-02-24.
- ↑ Kelly Jackson Higgins (May 5, 2010). „New Microsoft Forefront Software Runs Five Antivirus Vendors' Engines”. Darkreading. Pristupljeno 2011-02-24.
- ↑ „Upgrading from Windows Vista to Windows 7”. Pristupljeno 24 March 2012. Mentioned within "Before you begin".
- ↑ „Upgrading to Microsoft Windows Vista recommended steps.”. Pristupljeno 24 March 2012.
- ↑ „How to troubleshoot problems during installation when you upgrade from Windows 98 or Windows Millennium Edition to Windows XP”. Last Review: May 7, 2007. Pristupljeno 24 March 2012. Mentioned within "General troubleshooting".
- ↑ Microsoft (April 2009). „Steps to take before you install Windows XP Service Pack 3”. Arhivirano iz originala na datum 8 December 2009. Pristupljeno 2009-11-29.
- ↑ „Troubleshooting”. Pristupljeno 2011-02-17.
- ↑ „Spyware, Adware, and Viruses Interfering with Steam”. Pristupljeno 11 April 2013. Steam support page.
- ↑ Dan Goodin (December 21, 2007). „Anti-virus protection gets worse”. Channel Register. Pristupljeno 2011-02-24.
- ↑ Dan Illett (July 13, 2007). „Hacking poses threats to business”. Computer Weekly. Pristupljeno 2009-11-15.
- ↑ AV Comparatives (February 2010). „Anti-Virus Comparative No. 25”. Arhivirano iz originala na datum 30 March 2010. Pristupljeno 18 April 2010.
- ↑ Harley, David (2011). AVIEN Malware Defense Guide for the Enterprise. Elsevier. str. 487. ISBN 9780080558660. Pristupljeno 2013-06-10.
- ↑ Kotadia, Munir (July 2006). „Why popular antivirus apps 'do not work'”. Pristupljeno 14 April 2010.
- ↑ The Canadian Press (April 2010). „Internet scam uses adult game to extort cash”. CBC News. Arhivirano iz originala na datum 18 April 2010. Pristupljeno 17 April 2010.
- ↑ GIBSON RESEARCH CORPORATION SERIES: Security Now!
- ↑ „How Anti-Virus Software Works”. Pristupljeno 2011-02-16.
- ↑ Brian Krebs (March 9, 2007). „Online Anti-Virus Scans: A Free Second Opinion”. Washington Post. Pristupljeno 2011-02-24.
- ↑ Ryan Naraine (February 2, 2007). „Trend Micro ships free 'rootkit buster'”. ZDNet. Pristupljeno 2011-02-24.
- ↑ 54,0 54,1 Neil J. Rubenking (March 26, 2010). „Avira AntiVir Personal 10”. PC Magazine. Pristupljeno 2011-02-24.
- ↑ Neil J. Rubenking (September 16, 2010). „PC Tools Spyware Doctor with AntiVirus 2011”. PC Magazine. Pristupljeno 2011-02-24.
- ↑ Neil J. Rubenking (November 19, 2009). „PC Tools Internet Security 2010”. PC Magazine. Pristupljeno 2011-02-24.
- ↑ Carrie-Ann Skinner (March 25, 2010). „AVG Offers Free Emergency Boot CD”. PC World. Pristupljeno 2011-02-24.
- ↑ „FBI estimates major companies lose $12m annually from viruses”. 30 January 2007. Pristupljeno 20 February 2011.
- ↑ Michael Kaiser (April 17, 2009). „Small and Medium Size Businesses are Vulnerable”. National Cyber Security Alliance. Pristupljeno 2011-02-24.