Računalni virus
Računalni virus je računalni program koji može "zaraziti" druge programe tako da u njih unese kopiju samog sebe (koja može biti modificirana). Virus se može proširiti računalnim sustavom ili mrežom koristeći se ovlastima korisnika koji su zaraženi. Svaki program koji je zaražen postaje virus i tako zaraza raste.[1]
Računalnim virusima se često nazivaju i drugi štetni programi, npr. trojanski konji i crvi, iako oni zapravo ne inficiraju datoteke, već imaju druge funkcije, na primjer širenje mrežom (crvi) te krađa korisničkih lozinki i brojeva kreditnih kartica i/ili omogućavanje pristupa neovlaštene osobe zaraženom računalu (karakteristično za trojanske konje).
Računalni virus se obično sastoji od tri dijela:
- prvi dio je dio koji omogućava razmnožavanje virusa – obvezan dio virusa
- drugi dio je nosiva komponenta (payload) koja može biti bezopasna ili opasna – nije obvezna
- treći dio je funkcija za okidanje ili takozvani trigger funkcija – određuje vrijeme (a ponekad i događaj) kada će se aktivirati nosiva komponenta virusa – nije obvezna.[2]
Ponekad virus zahtijeva interakciju čovjeka da bi se kopirao poput pokretanja programa koji sadrži virus ili otvaranja neke zaražene datoteke.
Prvi pravi predak današnjih virusa bio je Prevading animal koji je bio sposoban nadodavati se na druge programe na UNIVAC 1108 računalnom sustavu. Prvi potvrđeni nalaz računalnog virusa je bio 1982. i zvao se Elk Cloner. Taj virus je zarazio BOOT sektor disketa za Apple II računala.
1986. nastao je Brain koji je inficirao IBM PC računala koji bi zamijenio boot sektor diskete sa svojom kopijom. Pravi boot sektor bi se premjestio na prazni prostor diskete i proglasio neispravnim. Napisala su ga dvojica pakistanskih programera koji su bili očajni zbog činjenice da se njihovi programi piratiziraju. 1988. je nastao virus Jeruzalem koji je brisao sve pokrenute programe, a 1989. Datacrime koji je bio sposoban izvršiti low-lewel format nulte staze na disku. Iste godine u Bugarskoj je aktivirana prava tvornica virusa.
Tijekom ranih 90-ih pojavio se virus Tequila, karakterističan po tome što je koristio tehniku polimorfizma (vidi sekciju Metode prikrivanja virusa) pomoću koje bi enkriptirao samog sebe kako bi ga se teže otkrilo. Također bi prepisao sadržaj MBR-a (fizički prvi sektor diska ili Master Boot Record) sa svojom kopijom kako bi se pokretao zajedno s računalom. Dosta se raširio. U Hrvatskoj je u to vrijeme također nastao virus Bobo. Postojalo je nekoliko njegovih inačica. Ranije su prikazivale neku od sljedećih poruka: Help Croatia NOW! ili Happy birthday, Bobo! Kasnije inačice bi prikazale sljedeći poruku:
- Welcome to Bobo virus!
- Written in the town of Zagreb.
- Copyright (C) by Boris P., September 1992.
- Love goes to Ivana H.
- I'll be back...[2]
Michelangelo je zapisivao podatke (koji su bili slučajno generirani) na prvih 256 traka tvrdog diska, čime je onemogućio pokretanje operacijskog sustava. Korisnik inficiranog računala morao je ponovno instalirati operacijski sustav.
Veliku medijsku pažnju dobio je ILOVEYOU (2001.).
- boot sektor virusi – napadaju Master Boot Record
- parazitski – zaraze izvršne datoteke dodavanjem svog sadržaja u strukturu programa
- svestrani virusi – napadaju boot sektore i izvršne programe
- virusi pratioci – stvori .com datoteku koristeći ime već postojećeg .exe programa i ugradi u nju svoj kod
- link virusi – u trenu inficiraju napadnuti računalni sustav, može izazvati pravi kaos na disku
- makro virusi – imaju mogućnost da sami sebe kopiraju, brišu i mijenjaju dokumente
- virusi koji su u rezidentnoj memoriji – ostaju u memoriji računala nakon aktiviranja koda virusa
- virusi koji nisu u rezidentnoj memoriji
Neki virusi koriste metode prikrivanja kako bi ih korisnici računala teže otkrili. Postoji više metoda prikrivanja virusa.
Svrha kriptiranja binarnog tijela virusa enkripcijskim algoritmom je prvenstveno da ga se teže detektira, a potom je i njegova analiza nešto kompliciranija. Enkriptirani virus se tipično sastoji od 2 dijela, prvi dio je enkriptirano tijelo virusa a drugi dio je kod za dekripciju. Kada se inficirani program pokrene prvo se tijelo virusa dekriptira u memoriji a onda se kontrola prebacuje na dekriptirano tijelo virusa. Dio za dekripciju je lako otkriti jer ostaje isti nakon svake infekcije.
Oligomorfni virusi su enkriptirani virusi koji rabe više različitih kodova za dekripciju. Teže ih je otkriti nego viruse koji koriste samo jednu metodu dekripcije.
Polimorfni virus inficira datoteke s kriptiranom kopijom sebe i modulom za dekriptiranje, taj modul se mijenja (mutira) kod svake infekcije. Dobro napisani polimorfni virusi nemaju dijelova koji ostaju isti nakon infekcije, što otežava otkrivanje virusa od anti virus programa koji koriste potpise kao metodu detekcije.
Virus s metamorfnim kôdom je onaj koji mijenja (mutira) cijelo tijelo virusa kod novih infekcija. Nije ih moguće otkriti uspoređivanjem s popisima virusnih "potpisa". Prednost nad polimorfnim virusima je što se tijelo virusa ne dekriptira u memoriji pa ga je nemoguće presresti i analizirati.
- Word.Concept (1995.) je prvi makro virus odnosno predak današnjih e-mail virusa koji je inficirao Word dokumente, ali nije pravio nikakvu stvarnu štetu. Ipak, širio se vrlo brzo. Godine 1996. bio je najrašireniji virus na svijetu, a i danas je uvijek prisutan.
- Melissa (1999.) je jedan od virusa koji se sam slao svakome iz adresara računala. Melissa je prouzročila štetu od oko 385 milijuna USD.
- Michelangelo (1992.) je virus koji je napao velik broj PC-ja, bio je i prvi primjer fame koja se stvara oko virusa. Priče iz medija preplašile su sve, no kada je došao 6. ožujka, bio je puno manje zastrašujuć negoli što se mislilo da će biti.
- Bubble boy (1999.) je virus kojim se putem e-maila može dobiti neki virus. Oko Bubbleboya se stvorilo više panike nego što je stvarno zaslužio, ali je jedan od najvažnijih virusa do danas. Prije njega se nije mogao dobiti virus čitajući e-mail, ali Bubbleboy je to promijenio.
- Love bug (2000.) je virus, poznatiji kao “I LOVE YOU“ virus, iskorištavao je ljudsku znatiželju da bi se širio. Zarazio je 45 milijuna računala u jednom danu i napravio štetu od 8,75 milijardi USD.
- Code Red (2001.) je virus koji je, koristeći "staru" rupu u sigurnosnom sustavu računala, pretvarao računala u tzv. "zombije" koji odbijaju naredbe. U samo devet sati uspio je zaraziti 250 000 računala, a šteta koju je uzrokovao procijenjena je na 2,62 milijarde USD.
Virusi se mogu prenositi na puno načina, a u današnje vrijeme se skoro svi virusi prenose preko interneta, a mogu se prenositi i disketama, izmjenjivim hard diskovima, CD-ovima i drugim prenosivim medijima.
5lo, A2K.Damcor, ACTS.Spaceflash, Adolph (računalni virus), Ambulance (računalni virus), ANTI (računalni virus), Anti-Pascal II.400, Alabama (računalni virus), China.882, Devil's Dance, Eliza, Looksky, MacGyver (2), MEL.Odorous, MultiFace, Rodolf.4096, T&E.927, Trivial.117, Trivial.223, Trivial.818, Trivial.Worf, Trojan.Zefarch, Timish.2132, Thirteen Minutes (računalni virus), W32.Mytob.V@mm, Win32.Parite, V.302, VBS.Avm, VBS.Dasbud.int, VBS.Desktuk, VBS.Runauto.F, VBS.Zulu.D
- ↑ Fred Cohen: "Computer Viruses - Theory and Experiments"
- ↑ a b Bojan Ždrnja, Virusi, BUG i SysPrint, Zagreb, 2003.