Fakultet tehnikih nauka

Katedra za elektroenergetiku
Elektroenergetski softverski inenjering

Seminarski rad iz predmeta

Sigurnost i bezbednost u Smart Grid sistemima:

Istorijat i principi rada virus skenera

Radomir Markovi E4 22/2014

Mentor:

Nikola Vasi E4 6/2014

Docent dr Lendak Imre

Vladimir Lazarevi E4 3/2014

Novi Sad, 2015

Sadraj
1. Uvod.................................................................................................................. 3
1.1. Antivirusni softver....................................................................................... 3
1.2. Cilj rada....................................................................................................... 3
1.3. Kratak pregled poglavlja.............................................................................. 3
2. Istorija................................................................................................................ 4
2.1. Period 1949-1980........................................................................................ 4
2.2. Period 1980-1990........................................................................................ 4
2.3. Period 1990-2000........................................................................................ 5
2.4. Period 2000-2005........................................................................................ 5
5. Period 2005-do danas..................................................................................... 6
3. Svrha korienja antivirusnih alata....................................................................6
4. Tehnike detekcije zlonamernih programa..........................................................7
4.1. Detekcija bazirana na potpisima.................................................................7
4.2. Detekcija zlonamernog ponaanja...............................................................7
4.3. Heuristika detekcija................................................................................... 7
5. Detekcija bazirana na potpisima........................................................................7
6. Detekcija zlonamernog ponaanja.....................................................................9
7. Heuristika detekcija....................................................................................... 10
8. Problemi........................................................................................................... 11
Resursi........................................................................................................... 11
Sigurnost....................................................................................................... 11
Privatnost...................................................................................................... 11
Lani antivirusi............................................................................................... 12
Lano pozitivni rezultati................................................................................. 12
9. Testiranje antivirusnog softvera................................................................................. 12
9.1 Testiranje performansi........................................................................................ 12
9.2 Testiranje zatite u realnom vremenu......................................................................13
9.3 Testiranje uklanjanja malicioznog softvera...............................................................15
10. Reference...................................................................................................... 16

1. Uvod
1.1. Antivirusni softver
Antivirusni softver ili antivirus je raunarski softver koji se koristi za zatitu,
identifikaciju i uklanjanje raunarskih virusa, kao i sveg drugog softvera koji moe da oteti
ili nanese tetu raunarskom softveru, a jednim imenom se nazivamalver(engl. malware).
Za razliku od prvobitnih antivirus softvera koji su bili bazirani iskljuivo na tretiranju
raunarskih virusa, moderni antivirus softver se dizajnira tako da sistem titi od to veeg
broja razliitih moguih malvera, kao to su crvi, fiing napadi, bekdor, rutkit, trojanci...
Svi antivirusni programi sastoje se iz vie celina. Jedan njegov deo ''Monitor'' je rezidentan u
memoriji i osigurava neprestanu zatitu od virusa, dok drugi dio ''Scan'' omoguava
skeniranje celog sistema. Antivirusi su danas neophodan deo softvera koji svako treba imati
instaliran na svom raunaru. Ovi programi ukljuuju razliite naine nadgledanja i zatite
raunara odmalicioznog koda. Najee se radi o zatiti u realnom vremenu i skeniranju na
zahtev korisnika, dok moderne verzije ovih programa nude razne druge vidove zatite od
virusa koji se ire putem Interneta.

1.2. Cilj rada

Svrha i elja autora ovog dokumenta je da itaocu prui informacije o istorijatu
antivirusnih alata, nainu njihovog rada, kao i o konkretnim aplikacijama koje su koriene u
tu svrhu.

1.3. Kratak pregled poglavlja

Nakon uvodnog poglavlja, sledi poglavlje 2 sa istorijskim pregledom antivirusnih
alata. U treem poglavlju data je motivacija za korienje antivirusnih alata. etvrto poglavlje
sadri kratak opis tehnika za detekciju, a u tri sledea poglavlja te tehnike su opisane
detaljno. Osmo poglavlje donosi informacije o problemima koji prate antivirusne programme.
U devetom poglavlju predstavljeno je testiranje performansi najpopularnijih antivirusnih
alata.

2. Istorija
Istorija antivirusa se moe podeliti u vie perioda, grubo se mogu podeliti u pet
razdoblja:

1949-1980 (period bez antivirusa)

1980-1990
1990-2000
2000-2005
2005-do danas

2.1. Period 1949-1980

Moe se rei da je prva ideja o kompjuterskom virusu nastala 1949.godine kada je
maarski naunik John von Neumann objavio Theory of self-reproducing automata, ali
prvi poznati kompjuterski virus se pojavio 1971. godine i nazvan je Creeper virus. Ovaj
virus je vremenom bio iskorenjen korienjem programa poznatog kao The reaper koga je
napravio Ray Tomlinson.
Mnogi ljudi smatraju The reaper prvim antivirusnim programom, ali on je ustvari bio
takoe virus, samo to je njegova jedina akcija bila da brie drugi virus, odnosno ve
pomenuti Creeper virus.

2.2. Period 1980-1990

Nakon Creeper virus nastalo je nekolicina novih virusa.Prvi poznati virus koji je
nastao 1981.godine je Elk Cloner koji je napadao Apple II raunare. Od 1986. godine
broj virusa je poeo da raste eksponencijalno.
Poto u to vreme nije bilo interneta, jedini nain da se virusi ire bio je putem floppy disketa.
Tada je i antivirusni softver poeo da se koristi ali je auriranje i odravanje antivirusa bilo
veoma retko.
Konano 1987.godine prvi put su izdata dva antivirusna softvera:

FluShot Plus
Anti4us
4

Od tog trenutna pa nadalje, poeo je ubrzani razvoj antivirusnog softvera od strane mnogih
kompanija, od kojih mnoge i danas posluju.

2.3. Period 1990-2000

U paniji 1990.godine nastala je kompanija Panda Security, tada poznata kao
Panda Software. U Maarskoj izdata je prva verzija Pasteurantivirus, dok je u Italiji
kreirana prva verzija VirIT eXplorer.Konano krajem 1990.godine Trend Micro je izdao
prvi antivirusni softver koji je nazvan PC-Cillin.
Godine 1990.osnovan je CARO (Computer Antivirus Research Organization).
Symantec je izdao prvu verziju Norton antivirusa 1991.godine, iste godine u
ehoslovakoj osnovana je kompanija AVG Technologies koja je prvu verziju svog
antivirusnog softvera izdala 1992. godine pod nazivom Anti-Virus Guard, danas poznat kao
AVG. Tada je u Evropi osnovana EICAR European Institute for Computer Antivirus
Research da bi se poboljao razvoj i kvalitet antivirusnog softvera.
U Rusiji 1992.godine izdata je prva verzija SpiderWeb koji je posle postao Dr. Web.
Vremenom je osnovano mnogo novih kompanija u ovoj oblasti.U Rumuniji 1996.godine je
osnovana je kompanija Bitdefender. Godinu dana posle u Rusiji je osnovan uveni
Kaspersky La od strane Eugene Kaspersky i Natalia Kaspersky.
Godine 1994.broj poznatih virusa je bio 28613, dok je taj broj uvean na 98428 do 1999.
godine, to je poprilino impresivno.

2.4. Period 2000-2005

Godine 2000.pokrenut je prvi open source antivirus projekat pod nazivom
OpenAntivirus Project.
Prvi open source antivirus koji je komercijalizovan izdat je 2001. godine, pod nazivom
ClamAV. Dok je 2002.godine u Velikoj Britaniji osnovana antivirusna kompanija
BullGuard.
Broj poznatih virusa 2005.viestruko je porasta u odnosu na predhodne godine i iznosi
333425 jedinstvenih virusnih programa.

5. Period 2005-do danas

Razvojem i irenjem interneta, sve vie i vie virusa se svakodnevno pojavljivalo,
tako da je postalo standard da se antivirusni softveri sve ee i ee auriraju. ak i tada su
se novi virusi mogli proiriti pre nego su antivirusne kompanije uspevale da auriraju svoj
antivirus da bi zatitili korisnike.
Broj jedinstvenih poznatih virusa 2007.godine porastao je za 5.490.960 samo u toj godini.
Godine 2012.i 2013. antivirusne kompanije su potvrdile da je broj novih virusa iz dana u dan
rastao za 300.000 do 500.000 virusa.
Prije velike rairenosti interneta, virusi su se obino irili preko floppy diska. Antivirusni
softver je u to vreme proveravao izvrne datoteke i boot sektore na floppy i hard diskovima,
te je bio relativno retko osveavan. Nakon to je internet postao rairen i virusi su promenili
svoje glavno mesto irenja, koje je se preselilo u pomenuto okruenje.
Tokom godina postalo je neophodno da antivirusni softver proverava vie tipova datoteka, a
ne samo izvrne, zbog sedeih potencijalnih pretnji:

Moni makroi, koji su se koristili u programima za obradu teksta, poput MS

Worda. Pisci virusa su, naime, mogli koristiti makroe za stvaranje virusa koji bi
bili ugraeni u dokumente.
Mogunost ubacivanja izvrnih objekata u kod inae neizvrnih datoteka.
Kasniji e-mail programi poput Microsoftovih Outlook Expressa i Outlooka bili su
ranjivi na viruse ubaene u samo telo poruke.

Sve navedeno znai da bi se raunar mogao inficirati pri samom otvaranju dokumenata sa
skrivenim prikaenim makroima, zaraene e-mail poruke ili inae neizvrne datoteke sa
kodom izvrnog objekta.

3. Svrha korienja antivirusnih alata

Mnogi korisnici raunara se esto sreu sa problemima kao to su: sporo podizanje
sistema, sporo gaenje Windowsa, pucanje raznih programa, iznenadno restartovanje raunara
i dr. Razlozi za ovakvo ponaanje mogu biti razni - greke vezane za sistem, hardver i sl. Kao
moda i najei problem za neefikasan rad raunara mogu se okarakterisati razni zlonamerni
programi, pisani sa namenom da izazovu probleme. Antivirusni alati stvoreni su sa namenom
da pomognu korisnicima u radu sa raunarom, tako to e pokuati da detektuju i uklone sve
zlonamerne programe koji sabotiraju njihov rad.
6

4. Tehnike detekcije zlonamernih programa

Postoji nekoliko razliitih tehnika detekcije malvera. U tekstu koji sledi bie
predstavljeni opti koncepti, najee korienih tehnika, a u narednim poglavljima e biti
detaljno opisane.

4.1. Detekcija bazirana na potpisima

Ovo je najea metoda detekcije malvera(u daljem tekstu: Zlonamerni program), a
svodi se na uporeivanje sadraja datoteka na raunaru sa potpisima ve pronaenih virusa,
sauvanih u bazi antivirusnog alata. Budui da se virusi mogu ubaciti bilo gde, unutar
zaraene datoteke, pretraivanje se obavlja u svim delovima ispitivane datoteke.

4.2. Detekcija zlonamernog ponaanja

Kod ovog pristupa antivirusni alat belei sve promene koje se dogaaju nasistemu
prilikom normalnog rada raunara. Ukoliko se neka od aktivnosti raznih programa
okarakterie kao zlonamerna, antivirus moe upotrebiti neke od drugih tehnika kao bi bolje
ispitao program koji je obavljao takve aktivnosti ili obavestiti korisnika.

4.3. Heuristika detekcija

Ba kao i detekcija zlonamernog ponaanja, heuristika detekcija koristi se raznim
metodama kako bi otkrila do sada neotkrivene oblike zlonamernih programa. To se najee
postie detaljnom analizom sumnjivih datoteka ili emulacijom rada istih.

5. Detekcija bazirana na potpisima

Iako je tehnika detekcije potpisima zlonamernih programa najstarija od svih tehnika,
antivirusni alati i dalje se u svom radu najvie oslanjaju na nju(Slika 3.1.). Ona je u veini
sluajeva vrlo efikasna, ali ne moe zatititi korisnike od zlonamernih programa, iji potpisi
nisu uneseni u bazu. Zbog toga se ovom tehnikom ne mogu detektovatinovi, strunjacima jo
nepoznati, virusi i drugi malveri.
7

Slika 5.1. ivotni ciklus detekcije bazirane na potpisima

Kada antivirus ispituje datoteke, on proverava sadraj i trai zlonamerni kod.Upravo taj
zlonamerni kod predstavlja potpis odreenog zlonamernog programa. Ukoliko je taj kod
pronaen u nekojdatoteci antivirus obino nudi jednu od tri mogue opcije brisanje
zaraene datoteke, uklanjanje zlonamernog koda, kako bi datoteka i dalje mogla biti
koriena, ili uvanje datoteke u neku vrstu karantina, odnosno njena izolacija (Slika 3.2.).

Slika 5.2. Ponuene opcije nakon detektovanog virusa (Avira antivirus)

Podrazumevana akcija obino jeuvanje datoteke u karantin.Ovo se najee postie
kriptovanjem zaraene datoteke, jer bez poznavanja odgovarajueg kljua zlonamerni kod je
8

beskoristan i ne moe se dalje iriti.Budui da virusi neretko napadaju neke esto koriene
vrste datoteka (slike, video datoteke, dokumente i dr.), korisnici ih obino ne ele obrisati,
ve zadrati i nakon napada virusa.Iako veina modernih antivirusnih alata nudi opciju
obnavljanja zaraenih datoteka, zbog prirode nekih destruktivnih tipova zlonamernih
programa, obnavljanje datoteka esto nije mogue.U takvom sluaju najbolja praksa je
brisanje datoteke kako bi se spreilo dalje irenje zlonamernog koda.
Kako se novi virusi pojavljuju svakodnevno, vano je esto osveavati bazu potpisa
zlonamernih programa. Antivirusni programi esto omoguavaju korisniku jednostavno
slanje novootkrivenihzlonamernih programa strunjacima, kako bi se ubrzao proces izrade
novih potpisa i zatite ostalih korisnika antivirusnog proizvoda.Antivirusi koji koriste ovu
tehniku detekcije obino ispituju samo datoteke koje su trenutno koriene
nasistemu.Meutim, antivirusni alati se mogu konfigurisati da skeniraju sve datoteke
naraunaru u odreenim vremenskim intervalima.

6. Detekcija zlonamernog ponaanja

Korienjem tehnike detekcije zlonamernog ponaanja antivirusni alati ne pokuavaju
identifikovati samo poznate zlonamerneprograme, ve nadgledaju ponaanje svih programa
pokrenutih naraunaru. Ukoliko neki program pokua pisati po izvrnoj datoteci (datoteka
formata .exe na operativnim sistemima Windows) alat ovo ponaanje moe oznaiti
sumnjivim i upozoriti korisnika(Slika 4.1.).

Slika 6.1. Primer upozorenja o sumnjivom programu(Windows Defender)

Detekcija zlonamernog ponaanja prua zatitu protiv tzv. zero day virusa, odnosno onih
koji jonisu u bazi proizvoaa antivirusnog proizvoda. Meutim, korienjem ove metode
antivirus takoe prijavljuje veliki broj lano pozitivnih programa, to korisnika moe uiniti
9

neosetljivim naupozorenja.Zato se esto dogaa da korisnik, zbog pojave estih upozorenja,

prestane obraati panjuna njihov sadraj i prihvata sve podrazumevane opcije, to obino
nije najbolji izbor.Problem lano pozitivnih prijava postao je veoma velik u
poslednjojdeceniji, jer su mnogi legitimni programi dizajnirani tako da izvode neke osetljive
naredbe (npr. korienje vanihsistemskih biblioteka) koje antivirusi esto prepoznaju kao
zlonamerne.Ipak, nove, sofisticirane, metode detekcije koriste neke napredne provere (poput
provera sistemskih poziva i dr.) ijomupotrebom se broj lano pozitivnih prijava znatno
smanjio.

7. Heuristika detekcija
Najnapredniji antivirusni alati koriste tzv.heuristiku analizu kako bi detektovali nove,
do sada nepoznate, zlonamerne programe, kao i mutirane verzije ve poznatih. Postoje tri
glavne metode koje se koriste kod ove vrste detekcije, a one su:

analiza programa,
emulacija rada programa i
opti potpisi.

Analiza programa je proces pod kojim se podrazumeva da antivirus ispituje svaku naredbu
programa, te prema ispitanim naredbama odluuje da li je program zlonameran ili ne. Ako
program sadri naredbu koja npr.brie neke vane sistemske datoteke, antivirus e ga
verovatnookarakterisatizlonamernim. Iako jeova metoda izuzetno korisna za detekciju novih i
mutiranih zlonamernih programa, ona, poputdrugih heuristikih metoda, prijavljuje veliki
broj lano pozitivnih programa.
Druga metoda heuristike detekcije je emulacija rada programa. Kod ove metode program se
pokree u posebnom, virtuelnom, okruenju koje je odvojeno od stvarnog raunarskog
sistema. Promene koje program napravi u tom okruenju se belee i analiziraju.Ukoliko
antivirus proceni da su zabeleenepromene rezultat zlonamerne aktivnosti, prijavljuje ispitani
program korisniku.
Mnogi virusi poinju delovati kao jedinstven primerak, a naknadno mutiraju u nekoliko
razliitih verzija.Takoe, esto drugi napadai menjaju izvorni program kako bi ga poboljali
i ponovno zloupotrebili. Korienjem optih potpisa mogue je detektovatinpr. celu familiju
zlonamernih programa. Istraivai izrauju optepotpise tako da analiziraju sline
zlonamerne programe i pronalaze njihove zajednike take.
Nakon opisa tehnika detekcije, u Tabeli 5.1 bie prikazane prednosti i mane svake od njih, na
osnovu uspenosti u pronalaenju zlonamernih programa.
Tehnika
Potpisi zlonamernih
programa

Prednosti
-

Preciznost detekcije

Mane
-

ne detektuje zero
day viruse
10

Detekcija zlonamernog
ponaanja

Detektuje zero day

viruse

Heuristika detekcija

Detektuje zero day

viruse
- Koristi vie
heuristikih metoda
Tabela 5.1. Poreenje tehnika detekcije

potpise treba redovno

osveavati
veliki broj lano
pozitivnih prijava
trai interakciju sa
korisnikom
veliki broj lano
pozitivnih prijava
troi dosta resursa

Neke od ostalih tehnika, iji detalji izlaze van okvira ovog rada, su Data Mining
tehnika, Wildcard metoda, Pametno skeniranje itd.

8. Problemi
Iako razvoj antivirusnih proizvoda traje ve preko dve decenije i oni su u svim
podrujima napredovali, neki osnovni problemi i dalje ih prate:

Resursi
Mnogi antivirusni alati zbog prevelikog korienjaraunarskih resursa znaajno utiu
nasmanjenje performansi sistemanakom su pokrenuti. Korisnici ih zato esto odbijaju
upotrebljavatiiliih iskljuuju i time poveavaju rizik da se njihov raunarski sistem zarazi
nekim zlonamernim programom.Da bi bio potpuno efikasan, antivirusni program mora biti
sve vreme pokrenut, ali to esto rezultuje slabijim performansama zatienog raunara.

Sigurnost
Sami antivirusni proizvodi predstavljaju odreen sigurnosni rizik jer u svom radu
koriste najvie sistemske privilegije. Iako su im one neophodne za pravilan rad, u sluaju
kompromitovanja alata napada je u mogunosti preuzeti potpunu kontrolu nad ranjivim
raunarom.

Privatnost
Mnogi antivirusni alati imaju podrazumevanu konfiguraciju koja dozvoljava slanje
zaraenih datoteka proizvoau, kako bi se one detaljnije analizirale.Iako je ovo korisna
opcija, u borbi protiv zloudnih programa, potrebno je obratiti panju kako se sistemu za
11

podrku korisnicima, koju je obezbedio proizvoa, ne bi poslale datoteke koje sadre

osetljive informacije.

Lani antivirusi
Postoji veliki broj lanih antivirusnih proizvoda koji se prilino esto reklamiraju na
raznim internet portalima. Ovi programi, iako se predstavljaju kao korisni, u sebi sadre
zlonameran programski kod i time kompromituju korisnika. Neki od poznatijih programa, te
vrste, su WinFixer i MS Antivirus.

Lano pozitivni rezultati

Lano pozitivni rezultati ispitivanja datoteka veliki su problem antivirusne
industrije.Neiskusni korisnici mogu tako grekom obrisati neku vanu datoteku to njihove
sistemeili aplikacije moe uiniti neupotrebljivima.

9. Testiranje antivirusnog softvera

U daljem tekstu bie opisani rezultati testiranja antivirusnog softvera, koje je sprovela
nezavisna organizacija AV-comparatives, 2014. godine. Kao teme testiranja odabrane su:

performanse antivirusnog softvera,

zatita u realnom vremenu,
uklanjanje malicioznog softvera.

Testiranje je sprovedeno nad nekolicinom najzastupljenijih antivirusnih paketa dananjice,

ukljuujui Kaspersky, Avast, AVG, Norton, itd.

9.1Testiranje performansi
Kao testni sluajevi za test performansi preuzeti su:

Kopiranje fajlova, gde treba napomenuti da neki antivirusni paketi ignoriu odreene
tipove fajlova.
Arhiviranje fajlova, gde e testovi uzeti u obzir ve pomenuti problem sa
ignorisanjem odreenih tipova fajlova.
Instalacija i brisanje fajlova
Preuzimanje fajlova
12

Enkodiranje i dekodiranje fajlova, tipa .mp3 itd.

Pokretanje aplikacija

Uz pomenute testove, odraen je i PC Mark Test, kao industrijski standard za testiranje

performansi softvera.Rezultati su prikazani tabelarno.

Slika 9.1 Prikaz rezultata testova performansi

Iz date tabele se moe videti da su se Avira i Bitdefender pokazali kao antivirusni
paketi sa najboljim performansama, dok, iza njih, sa neznatno slabijim rezultatima slede
Kaspersky i Sophos.

9.2 Testiranje zatite u realnom vremenu

Spreavanje upada malicioznog softvera u sistem je osnovna funkcija svakog
antivirusnog softvera.U svrhe testiranja, zatite u realnom vremenu,iskorieno je 2360
primeraka malicioznog softvera, kako bi testovi bili to verodostojniji.

13

Slika 9.2 Prikaz rezultata testova zatite u realnom vremenu

Uraeni su i testovi lanih upozorenja i blokiranja, iji su rezultati prikazani na slici 9.3.

Slika 93. Prikaz rezultata testova lanih upozorenja

14

9.3 Testiranje uklanjanja malicioznog softvera

Ukoliko doe do upada malicioznog softvera, pored prevencije, tj. zatite koju
antivirusni softver nudi, potrebno je zaraene datoteke ukloniti, ili staviti u karantin.
Rezultati testiranja prikazani su na slici 9.4 (vee je bolje).

Slika 9.4 Prikaz rezultata testova brisanja malicioznog softvera

Kao najpouzdaniji antivirusni softveri, po pitanju brisanja malicioznog softvera, pokazali su
se Bitdefender i AVG.

15

10. Reference
[1] Al Daoud, E., Iqbal H., J.&Zaqaibeh, B., Computer Virus Strategies and Detection
Methods, Int. J. Open Problems Compt. Math., Vol. 1, No. 2, (2008)
[2] Harley, D., Lee, A., Heuristic Analysis - Detecting Unknown Viruses(2007)
[3] Antivirus software, http://en.wikipedia.org/wiki/Antivirus_software, preuzeto 17/1/2015
[4] AV-comparatives, http://www.av-comparatives.org/comparatives-reviews/, rezultati iz
2014

16