Professional Documents
Culture Documents
NI
Seminarski rad
Avast! Antivirus
Predmet: Sigurnost u raunarskim mreama
Mentor:
dr Mirko Kosanovi
Student:
Nemanja Ignjatovi
Rts 05/13
Sadraj
1. Uvod
2. Virusi - Najee vrste raunarskih virusa
2.1 Najee tehnike skrivanja virusa
3. Kako antivirusi rade
3.1 On acces scanning
3
5
7
9
9
9
10
3.4 Heuristike
10
10
11
12
4. Avast! Antivirus
4.1 Upotreba Avast!-a
13
14
16
17
4.5 Skeniranje
18
21
22
5. Zakljuak
23
Literatura
24
-2-
1. Uvod
Antivirus odnosno antivirusni softver je kompjuterski softver koji se koristi za detekciju,
prevenciju i uklanjanje malicioznih raunarskih virusa, kao i ostalih softvera koji mogu da otete ii
nanesu tetu raunarskom softveru. Veina programa definisanih kao antivirus takoe mogu spreiti
odnosno otkloniti razni malware kao to je Browser Helper Objects (BHOs), otimanje internet
pretraivaa (eng. browser hijackers), keyloggers, rootkits, trojance, crve, alate za prevare (eng.
Fraud tools), adware and spyware. Postoji nekoliko metoda koje antivirusni softveri koriste za
indetifikaciju malvera.
Detekcija bazirana na signaturi najee korien metod za identifikaciju mejlvera. Da bi
pronaao virus ili drugi mejlver, softver uporeuje sadraj datoteke sa sadrajem kataloga potpisa
virusa. Poto virus moe biti ugneen u samu datoteku, proverava se i njen sadraj, kao i sadraj
svih njenih sastavnih delova, ako se radi o sloenoj ili komprimovanoj datoteci. Detekcija na
osnovu detekcije potpisa ukljuuje u potragu za poznatim obrascima podataka u izvrnom kodu.
Meutim, moguce je da raunar bude zaraen novim zlonamernih programima za koje nema
potpisa ili nije poznat. esto zlonamerni programi samo modifikuju svoj potpis bez uticaja na
unkcionalnost. Kako bi se ovakvi zlonamerni programi detektovali na vreme moe se koristi
heuristiki model.
Detekcija tetnih aktivnosti - antivirusni softver nadgleda softver u okruenju sa kojim
raunarski sistem komunicira. Ukoliko detektuje sumnjive aktivnosti nekog softvera, dodatno ga
detaljno proverava koristei neku od metoda detekcije. Ova metoda je pogodna za detekciju novih
i nepoznatih virusa.
Heuristika metoda - slino metodi detekcije tetnih aktivnosti ova metoda se moe koristiti
kod novih i nepoznatih virusa. Moe se koristiti na dva naina: analiza datoteka i emulacija
datoteka. Analiza datoteka je proces traganja za sumnjivim komandama u datotekama. Ako,
recimo jedna datoteka u sebi sadri komandu: formatiraj disk c, heuristiki softver e detaljno
proveriti ovu datoteku. Slabost ove metode je to to ona moe znatno usporiti raunarski sistem
proveravajui veliki broj datoteka. Emulacija datoteka je metoda koja izvrava program u
virtuelnom okruenju i belei sve akcije koje on izvri. Analizom zabeleenih akcija moe se
utvrditi da li program moe ugroziti raunarski sistem. Jedan tip heuristikog pristupa, generiki
potpis, moe identifikovati varijante traeci male varijacija poznatog zlonamernog koda u
datotekama .
-3-
Slika 1 Virus
Antivirusi imaju i odreene nedostatke, na prvom mestu, mogu znaajno uticati na performanse
raunara. Neiskusni korisnici mogu pogreno konfigurisati antivirus, to moe dovesti do nepotpune
zatite sistema.
Eset Nod
Bitdefender
Norton Antivirus
Kasperski
McAfee Antivirus
Avg
Avast
Avira
-4-
Ovako, u odreenom trenutku negde na mrei uvek se nalazi samo jedna kopija tog crva. Ovaj tip crva
naziva se jo i zec (rabbit) upravo zato to stalno krui-bei mreom. Crvi retko imaju destruktivan
kod namenjen unitavanju podataka, ali zbog svoje sposobnosti neogranienog kreiranja vlastitih
kopija, u stanju su zaguiti promet na pojedinim segmentima mree.
Trojanci Trojanski konj zapravo nije virus, iako se pod tim pojmom esto podrazumeva. On je
upravo ono to mu govori ime, program koji je u stanju uiniti stvari koje nisu definirane njegovim
specifikacijama ili dokumentacijom. Recimo da skinemo sa interneta program odreene namene. Kada
ga pokrenemo, on e pored svoje funkcije, izvravati u pozadini zloudne procese (kao to je na primer
slanje lozinki vaih Internet naloga na odreene adrese).
Spyware-i su programi koji prate rad na raunaru i o tome obavetavaju nekog drugog. U
najbezazlenijem sluaju prikazuju neeljene reklame i oglase engl. adware, dok u najgorem sluaju
mogu slati informacije korisnika, poput brojeva kreditnih kartica treim osobama. Spyware je iroka
kategorija malicioznog software-a sa namenom da presree ili preuzima kontrolu rada na raunalu bez
znanja ili dozvole korisnika. Spyware se razlikuje od virusa i crva u tome to se obino ne replicira.
Kao mnogi novi virusi, spyware je dizajniran da inficirana raunare za komercijalnu dobit.
Boot Sector virusi ovi virusi se nalaze u boot sektoru floppy disketa ili hard diskova, a prenose
se uglavnom zaraenim disketama i to im ukljuite kompjuter.
Fajl virusi ovi virusi se povezuju za programske fajlove (uglavnom exe) i to u trenutku kada se
otvaraju tj. pokreu. irenje je ostvareno na taj nain to postojei sami sebe dodaju d rugim
programskim fajlovima i to u trenutku kada se pokree host program.
-6-
Polimorfizam - polimorfni virusi inficiraju datoteke kriptovanom kopijom sebe. Svaki put pri
novoj infekciji virus menja svoj kod, duinu, te ga je teko prepoznati standardnim metodama
potpisa. Dobro napisani polimorfni virusi nemaju delove koji ostaju isti nakon infekcije.
-7-
Preventivne mere:
Instalacija firewall-a
Windows Update
Stealth Stealth virus je sloen malware koji se krije kada zarazi raunar. Jednom skriven, on kopira
informacije iz zdrave podataka a prilikom skeniranja antivirusnim softverom prosleuje te informacije.
To je teki tip virusa za otkrivanje i brisanje.
Slino drugim virusima, moe da preuzme irok spektar zadataka sistema i moe da utie na
performanse raunara. Prilikom obavljanja tih poslova, antivirusni programi detektuju malvare, ali
stelt virus je dizajniran da aktivno ostane skriven od antivirusnih programa. To postie tako to se
privremeno udaljava od zaraene datoteke i sebe kopira na drugi disk. Stealth virus moe da izbegne
otkrivanje prikrivanjem veliine zaraene datoteke.
Enkriptovani virusi - Praksa kodiranja i dekodiranja podataka je poznata kao " ifrovanje". Kada su
podaci ifrovani, to znai da je algoritam primenjen za kodiranje podataka, tako da vie nije u svom
izvornom obliku i zato ne mogu da se itaju. Podaci mogu da se dekodiraju, vrate u svom izvornom
obliku primenom specifinog kljua za deifrovanje. Tehnike kodiranja su vaan deo bezbednosti
podataka.
Enkriptovani virusi se obino sastoje iz dva dela. Prvi je kriptovano telo virusa, a drugi deo je kod za
dekripciju. Kada se inficirani program pokrene, prvo se telo virusa dekodira u memoriji, a onda se
kontrola prebacuje na dekodovano telo virusa. Dio za dekripciju je lako otkriti jer ostaje isti nakon
svake infekcije.
-8-
koji
mogu
da
ukau
na
novi,
nepoznati
virus.
Antivirusni programi skeniraju i druge tipove datoteka koje mogu da sadre viruse. Na primer, Zip
arhive, ili Word dokument moe da sadri zlonamerni makro. Datoteke se skeniraju svaki put kada se
koriste - na primer, ako se preuzme exe fajl, on ce odmah biti skeniran, pre nego to se otvori.
Moguce je koristiti antivirusni program bez skeniranja po pristupu, ali to generalno nije dobra ideja.
Virusi koji koriste bezbednosne rupe u programima nece biti uhvacen od strane skenera. Nakon to
virus inficira sistem, znatno je tee ukloniti ga. (Takoe je teko biti siguran da je malver u potpunosti
uklonjen)
3.4 Heuristike
Antivirusni programi takoe koriste heuristike. Heuristika dozvoljava antivirusnim programima
identifikaciju novih ili modifikovanih vrsta zlonamernih programa, ak i bez definicije virusa. Na
primer, ako antivirusni program primeti da program koji radi na sistemu pokuava da otvori svaku exe
datoteku na vaem sistemu, menjajui original fajl, antivirusni program moe da otkrije ovaj program
kao novi, nepoznat tip virusa.
Ni jedan antivirusni program nije savren . Heuristika ne moe i sme biti previe agresivna ili ce svaki
legitiman softver trenitrati kao virus.
-10-
-11-
Internet
Security
Premier
Besplatna verzija Avast antivirus programa prua osnovne zatitne komponente i ovoj kategoriji je
jedan od najboljih antivirus programa sa preko 230 miliona korisnika irom sveta. Karakteristike
besplatne verzije Avast-a su da ima ugraenu antispyware zatitu, Web Shield, ugraeni anti-rootkit
zatitu, automatsko auriranje, snanu samozatitu, antivirusno jezgro, jednostavan korisniki
interfejs, integrisani ista virusa, podrka za 64-bitne sisteme, P2P i IM zatitu, internacionalizaciju
kao i Network Shield. Probni rok koritenja traje 30 dana, nakon ega je potrebno naknadno se
registrovati i tada se dobija licenca koja traje 12 meseci. Nakon isteka potrebno je produiti registraciju
na svakih 12 meseci. Opcija Avast-a, Internet Security je najbolja verzija, a u odnosu na Premier
verziju Avast-a ima jo Anti-Spam filtere i ugraeni Firewall tako da sve to se odnosi na Preimier
verziju odnosi se i na Internet Security verziju uz ova dva poboljanja.
-12-
-13-
Zatite u realnom vremenu su najvaniji deo antivirus programa, jer nadgleda i titi korisniki
raunar od nadolazeih pretnji. Ove zatite tako nadgledaju korisniku aktivnost u potpunosti,
poveravajui sve programe i datoteke u realnom vremenu tj. u momentu kada se neki program pokrene
ili bilo u kom trenutku kada se neke datoteke/fajlovi otvaraju ili zatvaraju. Normalno, zatite u realnom
vremenu se startuju autmatski po podizanju operativnog sistema raunara. Prisutnost narandaste
ikone Avast!-a u desnom donjem uglu (na windows-osu) korisnikog sistema, oznaava da zatite u
realnom vremenu rade aktivno i bez problema. Bilo koja zatita se moe iskljuiti u bilo kom trenutku,
ali to se normalno ne preoruuje jer moe uticati na zatitu celokupnog sistema.
-14-
-15-
-16-
-17-
PROVERA EKSTENZIJA IMENA (Name extension) Ako se ova opcija proverava, samo
neke datoteke s ekstenzijama kao to su "exe", "com", "bat" itd. e biti skenirane.
Korisnik moe takoe iskljuiti neke foldere ili datoteke koji su bili skenirani, i definisati koju akciju
je potrebno izvriti u sluaju da se virus otkrije, npr. obrisati datoteku, pokuati popraviti datoteku, ili
je automatski premestiti u karantin za viruse (eng. Virus chest). Korisnik moe takoe kreirati izvetaje
o datotekama koje su skenirane i bilo kojim pogrekama i smetnjama koje su se javile za vreme
skeniranja. Druge opcije mogu se upotrebljavati za podeavanje brzine i dubine (temeljite veliine
pregledavanja) odabranog skeniranja.
Avast antivirus poseduje vie mogunosti i naina skeniranja:
-18-
-19-
Kraj skeniranja
Na kraju skeniranja, ako antivirusni program otkrije sumljivu datoteku, prikazati e se poruka
" Thread detected" (Pretnja otkrivena). Da bi se pronalo vie informacija u vezi sumljivih datoteka i
raspoloivih opcija malicioznih programa potrebno je izabrati klikom opciju "Show Results" (Pogledaj
rezultate). Tada moemo videti listu datoteka za koje Avast! smatra da su "sumljive i zaraene" pa e
se korisniku omoguiti da odabere akciju za koju smatra da je najbolja od ponuenih opcija kao to su
npr. Delete (Obrii), Move to virus chest (Prememesti u karantin), Repair (Popravi) itd. Kada se opcija
odabere, potrebno je kliknutu na tab "Apply" (Primeni) da bi se taj izbor izvrio. Obavezno se
preporuuje opcija "Move to virus chest" (Premesti u karantin). Kartantin je posebno bezbedno
podruje koje se moe upotrebiti za sigurno smetanje inficiranih i sumljivih datoteka dok se ne odlui
da li je sigurno obrisati ih. Datoteke koje su pohranjene u karantinu ne mogu prouzrokovati tetu na
ostalim korisnikim datotekama ili na samom raunaru. U karantinu datoteke je mogue popraviti pre
nego to se premeste nazad na originalnu lokaciju. Kod unapred definisanog izbora (tvz. default-a),
sumljive datoteke koje su otkrivene sa aplikacijom "zatite u realnom vremenu" (real-time shields) se
premetaju u karantin automatski. Korisnik moe pregledati rezultate skeniranja ponovno, u bilo koje
vreme, i to tako da pree u sekciju "Scan Logs" (Skeniraj izvetaje) i tada odabere prethodno skeniranje
koje je eleo da pregleda.
-20-
Na sajtu Evropske ekspertske grupe za IT sigurnost, mogu se skinuti fajlovi koje antvirus tretira kao
viruse iako oni zapravo nisu tetni (http://www.eicar.org/85-0-Download.html).
Slika 11 Eicar
-21-
Januar 2015
svih
antivirusa
Zatita od novih (0 dana) malwarea
98%
99%
97%
100%
100%
99%
208 uzorka
Zatita od bitnijih malwarea nastalih u
periodu od mesec dana
12207 uzoraka
Lana upozorenja prilikom posete web
sajtova
Lana detekcija legitimnih programa
prilikom skeniranja
Lana upozorenja prilikom instalacije
legitimnih programa
-22-
5. Zakljuak
Cilj ove vebe je bilo upoznavanje i testiranje Avast! Antivirusa. Antivirusi su danas neophodni
takorei na svim platformama (PC, pametni telefoni).
Avast! definitivno spada u top tri antivirusna programa, ali u besplatnoj verziji nedostatak firewalla se osea.
Pozitivno je to je po rezultatima testiranja medju najboljim uzbunjivaima i pronalazaim
malicioznih kodova i softvera, kao i mogunost da u besplatnoj verziji postigne odline rezultate.
Postie odliane rezultate u blokiranju malwarea kao i u borbi protiv phishinga, a takoe ne troi
previe resusrsa raunara kao npr. Kaspersy anti virus.
Negativno je to u besplatnoj verziji ne dolazi sa firewall-om i drugim znaajnim dodacima u
spreavanju inficiranja i punoj performansi skeniranja u realnom vremenu i zatiti sa bankarskim
transakcijama, ali i pored ovih malih mana svakako je topla preporuka u osnovnoj zatiti sistema od
spoljnih pretnji.
-23-
Literatura
[1] Avast! userguide, elektornsko izdanje, Novembar 2014.
[2] http://en.wikipedia.org/wiki/Antivirus_software, Septembar 2015.
[3] http://www.pcmag.com/article2/0,2817,2372364,00.asp, Septembar 2015.
[4] http://www.av-test.org/en/, Septembar 2015.
-24-