Maliciozni i štetni

programi

Prema izveštaju koji je objavio

Microsoft, svaki četrtnaesti program
koji korisnici Windowsa preuzmu je
maliciozan, a oko 5 posto korisnika
ignoriše upozorenje da se radi o
potencijalnom opasnom softveru.
 Maliciozni i štetni programi

• Jedna od najvećih internetskih opasnosti koje nam

prete su maliciozni programi koji mogu naneti
izuzetno veliku štetu nezaštićenom računaru.

• Danas imamo veliki broj različitih malicioznih

programa (eng. malware) - virusi, crvi, spywarei...
Osim njihove raznolikosti, raznoliki su i načini na
koji dospevaju na nezaštićeni računar.
 Šta je virus?
• Virusom se smatra skriveni maliciozni računarskii
program čija je funkcija namerno ometanje i/ili
promena rada računara bez dopuštenja ili znanja
korisnika.

• Svojstva:
– samoumnožavanje – kao i onaj biološki, računarski virus će
prilikom svog izvršavanja tražiti nove domaćine (datoteke na
računarima) na koje se može proširiti
– samoizvršavanje – virus se izvršava samostalno, najčešće
na način da svoj kod umetne u izvršni kod drugog
računarskog programa ili datoteke podataka
 Kako radi virus?
• Poput svoje biološke verzije, računarski virus ne može
preživeti bez domaćina. Domaćin je u većini slučajeva drugi
računarski program ili datoteka na računaru.
• Virus će svoj kod umetnuti u postojeći kod drugog programa
ili datoteke i čekati na njegovo pokretanje, odnosno otvaranje
datoteke.
• Proces umetanja malicioznog koda u „zdravu“ datoteku
poznat je pod imenom infekcija, a proces pokretanja
inficirane datoteke naziva se aktivacija virusa.
• Inficirati se može bilo koji deo računara namenjen za čuvanje
podataka (hard disk, disketa, optički medij, memorija).
• Za aktivaciju virusa nužan je korisnik računara, koji nesvesno
pokreće inficirani program, otvara inficiranu datoteku ili
podiže računar sa zaraženog medijuma.
 Kako radi virus?
• Prilikom aktivacije, odnosno pokretanja inficiranog računarskog
programa ili otvaranja inficirane datoteke, virus se sa hard diska seli
u memoriju računara i počinje njegovo izvršavanje.
• Izvršavajući se, virus se umnožava te nastanjuje u (inficira) nove
računarske programe i datoteke.
• Virus se može umnožiti u samo jedan program, nasumično odabran
skup programa ili čak u svaki nađeni program na računaru.
Istovremeno, dok se pokrenuti zaraženi računarski program nastavlja
da ponaša naočigled uobičajeno, u pozadini se neprimetno korisniku
izvršavaju više ili manje destruktivne instrukcije virusa koje mogu
ozbiljno oštetiti preostale podatke na računaru ili smanjiti njegovu
efikasnost.
• Računarski virusi šire se prenošenjem i pokretanjem inficiranih
datoteka. U današnje vreme, prenošenje među računarima odvija se
ponajviše putem Interneta (npr. attachmentima elektronske pošte) i
lokalnih mreža (Ethernet). Prenosni mediji svih vrsta (diskete,
CD/DVD mediji) takođe su pogodni za širenje, ali danas u sve manjoj
meri u odnosu na Internet i lokalne mreže.
 Kategorije virusa
1. Virusi datotečnog sistema

Napadaju i inficiraju isključivo izvršne datoteke računarskih programa

(ekstenzije datoteka .exe, .com, .bat, .sys, .drv). Većina trajno ostaje u
memoriji računara (engl. memory resident) što znači da će prilikom
sledećeg pokretanja neinficirani programi automatski postati inficirani.
Virusi ove vrste mogu inficirati domaćina na tri načina, zavisno od načina
umetanja svog koda:
– umetanje virusnog koda prebrisavanjem postojećeg, zdravog koda
domaćina – na ovaj način uništava se originalni program te se više ne
može pokrenuti. Pokušaj pokretanja inficiranog programa samo će
aktivirati virus koji će se se početi širiti na druge domaćine te
potencijalno destruktivno delovati na sistem.
– umetanje virusnog koda na početak datoteke domaćina – ovakav
način infekcije neće naštetiti domaćinskom programu pa će on
nastaviti sa izvršavanjem bez očitih promena. Istovremeno, virusni kod
će se aktivirati.
– umetanje virusnog koda na kraj datoteke domaćina – slično kao i kod
umetanja na početak, domaćinski program ostaje netaknut, a virus se
aktivira bez očitih promena za korisnika.
 Kategorije virusa
2. sistemski virusi

• Nastanjuju se u sistemskom delu bilo hard bilo floppy diska

(diskete).
• Prilikom podizanja računara sa jednog od navedenih, virusi se
aktiviraju. Većina takvih virusa pisana je za MS-DOS operativni
sistem, ali su i dan danas jednako opasni po bilo koji operativni
sistem PC računara.
• Dovoljno je pokrenuti računar sa inficiranom disketom i virus će
se aktivirati i trajno nastaniti u memoriji računara. Jednom kad se
to dogodi, inficiraće se svaka nova „zdrava“ disketa koja se
umetne u disketnu jedinicu, osim ako na njoj nije uključena
zabrana pisanja (write protection).
• Virusi ove vrste napadaju bilo Master Boot Sector (MBS) bilo
System Boot Sector (SBS) hard ili floppy diska. Posledica
aktivacije često je nemogućnost podizanja računara, ali može biti
i destruktivnija.
 Kategorije virusa
3. Multipartite virusi

Inficiraju paralelno izvršne datoteke programa i boot sektore diska.

Naročito ih je teško ukloniti jer ukoliko nisu uklonjeni i iz datoteka i iz
boot sektora, naknadno će se ponovno proširiti na jedno od
navedenog.

4. makro virusi

Inficiraju datoteke koje imaju mogućnosti korišćenja makro jezika.

Najčešće su to Microsoft Office Word, Excel, PowerPoint i Access
datoteke. Najrašireniji su zbog jednostavnosti izrade, a danas nanose
najviše štete kompanijama širom sveta. Aktiviraju se otvaranjem neke
od spomenutih datoteka kada se kod virusa kopira u izvršni kod
programa koji ga je otvorio, na primer u MS Word. Nakon toga, svaka
nova datoteka koja se otvori tim programom biće zaražena. Neki
makro virusi aktiviraju se pak na određene akcije pokrenute kroz meni
(npr. snimanje datoteke na hard disk), a neki čak i skrivaju pojedine
delove menija, posebno one pomoću kojih bi se virusi eventualno
mogli otkriti i ukloniti.
 Šta su crvi?
• Crvi su maliciozni programi koji su vrlo slični virusima pa ih
neki stručnjaci za sigurnost stavljaju pod kategoriju virusa.
No, postoji jedna ključna razlika koja crve čini znatno
naprednijim malicioznim programima od virusa. Naime,
crvima za širenje i delovanje nije potreban domaćin (izvršna
ili druga datoteka koja se inficira malicioznim kodom) već se
u potpunosti smeštaju i sakrivaju u memoriji računara.
• Nadalje, crv je samostalan program kojeg nije potrebno
aktivirati poput virusa (korisničkim pokretanjem inficirane
datoteke) već se širi i deluje koristeći isključivo vlastite
mehanizme.
• Širenje se redovno odvija putem računarskih mreža
(Etherneta i Interneta), za razliku od virusa koji se mogu širiti
i prenosnim medijima.
• Koliko su crvi danas rasprostranjeniji u odnosu na viruse
dokazuje i podatak da prvih 10 mesta na listi prijavljenih
virusa i crva u septembru 2006. zauzimaju jedino i samo
crvi.
 Kako rade crvi?
• Crvi su najčešće napravljeni kako bi iskoristili mogućnosti računara za
prenos i razmenu podataka.
• Zahvaljujući svojoj sposobnosti širenja bez potrebe za korisničkim
uticajem, širenje crva računarskim mrežama znatno je brže od virusa. Na
primer, crv Code Red se 19.7.2001. u svega 9 sati postojanja replicirao
više od 250,000 puta!
• Generalno gledajući, takvo rapidno širenje crva u većini slučajeva će
značajno naškoditi računarskim mrežama, umanjujući njihovu efikasnost
trošenjem raspoloživog kapaciteta (engl. bandwidtha).
• Crvi će najčešće iskoristiti sigurnosni propust u operativnom sistemu
računara i onda recimo obrisati neke podatke na računaru, kriptovati ih
kako bi postali nedostupni korisniku ili pak poslati zaražene dokumente
putem elektronske pošte.
• U najgorem i vrlo čestom slučaju, svrha crva je preuzeti kontrolu nad
korisničkim računarom, pretvoriti ga u tzv. zombie računar i onda ga
koristiti za razne protivzakonite radnje (od krađe ličnih podataka i lozinki pa
do slanja spam poruka na ostale računare i Dos napade). Način na koji to
crvi postižu je poznat kao backdoor entry, odnosno otvaranje „zadnjih
vrata“ koja se onda koriste za preuzimanje i upravljanje računarom.
 Kategorije crva
• Crvi se mogu podeliti na nekoliko osnovnih
kategorija, u zavisnosti od načina propagacije:
– Email crvi
– Instant messaging crvi
– IRC crvi
– File sharing crvi
– Internet crvi
 Email crvi
• To je najraširenija vrsta crva koja se širi koristeći attachment elektronske
pošte. Najčešće funkcioniše na način da se pošalje na sve e-mail adrese
koje pronađe na korisničkom računaru (npr. u Outlook adresaru).
• Korisničkim otvaranjem inficiranog attachmenta, crv se ubacuje u sistem.
Širenje crva može se postići i slanjem URL adrese (linka) koja vodi do
inficirane web stranice, a nalazi se u telu poruke elektronske pošte.
Najopasniji crvi će pregledavanjem mreže ustanoviti nezaštićene računare
(npr. one bez redovnih sigurnosnih ažuriranja operativnog sistema) i tako se
putem mrežnih servisa nastaniti u njih bez ikakve potrebe za interakcijom
korisnika.
• Email adrese na koje će se proširiti, crv pronalazi sledećim tehnikama:
– pretraživanje adresara MS Outlook / Outlook Express programa
– pretraživanje *.wab datoteka (koriste se za čuvanje adresara MS Outlook
Expressa)
– pretraživanje raznih datoteka u potrazi za email adresama
– slanje svoje kopije u obliku odgovora na sve pronađene poruke u inboxu
– generisanje novih email adresa konstruisanih iz nasumice odabranih
imena i često korišćenih domena
 Instant messaging crvi

• Ovi crvi šire se putem programa za slanje

poruka u realnom vremenu (MSN, ICQ i sl.).
Način je vrlo jednostavan – svim kontaktima u
adresaru šalju se poruke sa URL adresama
koje vode na inficirane web stranice.
• Jedina razlika u odnosu na email crve je
medijum putem koga se crv prenosi.
 IRC crvi
• IRC (Internet Relay Chat) je još jedan način
komunikacije u stvarnom vremenu, ali sa
naglaskom na grupne diskusije koje se odvijaju
u tzv. IRC kanalima. IRC crvi šire se putem IRC
kanala za chat na identičan način kao i email
crvi – slanjem zaraženih datoteka ili URL
adresa koje vode na inficirane web stranice.
 File sharing crvi
• Širenje crva događa se putem Peer-To-Peer (P2P)
programima za razmenu sadržaja preko Interneta.
Nastanjuju se pod bezazlenim imenima u deljene
mape korisnika i na taj način postaju dostupne svim
korisnicima P2P programa za preuzimanje i
pokretanje.
• Napredniji crvi ove vrste sposobni su da imitiraju
kompletne protokole mreža za razmenu sadržaja, da
potvrdno odgovaraju na sve zahteve i da se šire na
sve članove pojedine mreže.
 Internet crvi
• Internet crvima nazivamo brojne crve koji se služe alternativnim
metodama širenja koje do sad nismo spomenuli:
– crv se kopira u razne dostupne mrežne resurse (npr. deljene i
nezaštićene direktorijume u lokalnoj mreži - Ethernetu) nakon čega
pokušava u potpunosti da ovlada računarom
– crv iskorišćava ranjivosti operativnih sistema (posebno onih računara
koji nemaju ažurirane sigurnosne postavke) kako bi se probio i
kopirao u računare ili računarske mreže. Iskorišćavanje ranjivosti
naziva se exploiting-om.
– crv probija javne mreže (Web i FTP servere), inficira datoteke na
serveru (npr. web stranice) i čeka korisnike da se konektuju na
server. Prilikom navedenog konektovanja, virusi inficiraju računar sa
kojeg se spajanje dogodilo.
– crv koristi druge maliciozne programe (npr. Trojanske konje) koji mu
služe kao prenosnici i otvaraju pristup drugim računarima. Navedeno
otvaranje pristupa naziva se i otvaranjem stražnjih vrata (backdoor
entry) čime i crvi dobijaju mogućnost širenja. Računari sa otvorenim
stražnjim vratima popularno se nazivaju zombie računarima iz
razloga što se nad njima može preuzeti potpuna kontrola i tako ih
koristiti za daljnje napade i širenje malicioznih programa.
 Tipičan primer crva u akciji
• Pogledajmo primer najčešće prijavljenog crva u septembru
2006., Netsky-P.
• Iako je prvi put zabeležen u martu 2004., a njegov autor Sven
Jaschan ubrzo otkriven i osuđen, crv Netsky u svojim brojnim
podvarijatama preživljava pa je danas u svetu na vrhu po
učestalosti pojavljivanja.
• Netsky je tipičan email crv koji se širi šaljući svoje kopije putem
email attachmenta koristeći vlastiti ugrađeni SMTP server.
Adrese na koje će se poslati pronalazi na računaru na kojem se
nalazi u raznim datotekama koje služe za čuvanje adresara
(npr. *.wab, *.pab, *.pst).
• Email poruka pomoću koje se crv širi uobičajeno ima
krivotvoreno ime pošiljaoca i različite naslove, tela i
attachmente kojim se želi zavarati primaoc. Sledi tipičan
primera takve email poruke:
Tipičan primer crva u akciji
 Tipičan primer crva u akciji
• Adresa pošaljaoca svakako je lažna, a crv ju je verovatno pronašao na
računaru sa kojeg se poslao.
• Dakle, kada primite ovakvu email poruku i u polju pošiljaoca prepoznate
adresu svog prijatelja/kolege/poznanika, ništa nećete postići upozoravajući
ga da ima crva na svom računaru jer to nije nužno tačno.
• Naslov poruke sadrži reč „Re:“ kojom se uobičajeno označava odgovor na
email poruku koju ste nekome poslali. Ovom metodom crv pokušava
zavarati korisnika odajući mu utisak da je primljena poruka odgovor na
poruku koju je on inicijalno poslao.
• Attachment poruke sadrži sumnjivu datoteku. U ovom slučaju datoteka bi
trebalo da bude formata .zip (čest kompresijski format), ali pogled na
netipičnu ikonu kojom je predstavljena ukazuje da verovatno nije tako i da
se radi o zaraženoj datoteci.
• Telo poruke sadrži kratkak tekst u kojem se korisnik navodi na otvaranje
attachmenta.
• Potpis poruke sadrži nekoliko redova teksta kojima se simulira poruka koja
je tipična za antivirusne programe koji skeniraju poruku i zaključe da je s
njom sve u redu.
• Ponekad, na računarima sa starijim verzijama Internet Explorera (5.1 i
5.5) i neažuriranim Windows operativnim sistemom, dovoljan je samo
i pregled ovakve poruke (bez otvaranja attachmenta) kako bi se crv
automatski pokrenuo.
 Kako se zaštititi od crva?
• Zaštita od crva vrlo je slična zaštiti od virusa i kao prvi korak preporučuje se
instalacija i redovno osvežavanje antivirusnog programa
• Instalacija firewalla je drugi korak koji će zaštiti računar od većine crva koji
se šire pretraživanjem i napadanjem nezaštićenih računara.
• Konačno, redovno skidanje i instalacija sigurnosnih zakrpa u sklopu
Windows Updates servisa učiniće računar dodatno sigurnim.
• Od email crva, danas prisutnih u ogromnom broju, možda se i najlakše
zaštiti – oprezom.
• Sumnjive attachmente poruka, posebno u obliku izvršnih datoteka (npr. .bat,
.exe, .vbs, .pif) nikako ne otvarajte, kao ni sumnjive URL adrese u sadržaju
poruka.
• Nakon primanja i pre otvaranja email poruke pokušajte da odgovorite sebi
na nekoliko jednostavnih pitanja:
– da li poznajete pošiljaoca email poruke?
– da li ste već primili email poruku sa te adrese?
– da li ste očekivali tu email poruku?
– da li sadržaj i attachment poruke imaju smisla?
– da li antivirusni program dojavljuje moguću opasnost od malicioznog
sadržaja?
 Kako ukloniti crva?
• Jednako kao i za viruse, uklanjanje crva najčešće je
moguće automatski, koristeći aktuelizovani
antivirusni alat pomoću kojeg je potrebno napraviti
detaljno pretraživanje svih datoteka računara (full
scan) i potom uklanjanje pronađenih crva.
• Ukoliko antivirusni program ili virusni skener pronađu
i identifikuju crva, a ne mogu ga ukloniti, u većini
slučajeva na stranicama proizvođača antivirusnih
programa postojaće uputstva za ručno uklanjanje
crva ili pak specijalzovani program upravo za tu
namenu
 Rootkits
• Rootkiti su posebna grupa mailicioznih programa ili,
preciznije rečeno, to su programi čija je namena
skrivanje drugih malicioznih programa (npr. virusa,
spyware-a, trojanskih konja) od korisnika.
• Cilj rootkita najčešće je preuzimanje kontrole nad
računarom uz istovremo skrivanje datoteka, procesa,
zapisa u registrima pomoću kojih se navedeno
preuzimanje kontrole ostvaruje.
• Spomenutim tehnikama „skrivanja“ od korisnika,
maliciozni programi na taj način ostaju nevidljivi i
neuklonjivi antivirusnim programima, blokatorima
spyware-a i sl.
• Naime, rootkiti često funkcionišu na način da menjaju
delove operativnih sistema ili se pak instaliraju kao
driveri.
 Kako rade rootkiti?
• Rootkiti nemaju osobine samoumnožavanja i samoizvršavanja poput virusa i
crva.
• Napadači najčešće uočavaju i iskorišćavaju trenutne ranjivosti operativnog
sistema (npr. otvorene pristupe, računara bez sigurnosnih nadogradnji ili sa
slabim administratorskim lozinkama) kako bi dobili pristup računaru.
• Jednom kada je pristup osiguran, napadač ručno instalira rootkit. Takvu
vrstu „skrivenog“ napada vrlo često teško otkrivaju firewallovi, antivirusni i
antispyware programi za zaštitu računara.
• Osim navedenog načina, rootkit se može proširiti i peer-to-peer mrežom,
zatim email porukama sa malicioznim attachmentima ili URL adresama koje
vode na malicioznu web stranicu i sličnim metodama socijalnog inženjeringa
tipičnim za širenje virusa.
• Kao što je već rečeno, jednom instalirani rootkit koristi se za skrivanje raznih
malicioznih programa.
• Najčešća primena je skrivanje trojanskih konja, programa koji stvaraju tzv.
„stražnja vrata“ (engl. backdoor) pomoću kojih napadač u potpunosti
kontroliše zaraženi računar. Kontrolisani računar (popularno: zombie) se
potom koristi za razne abuse radnje poput Dos napada, spam napada i sl.
Nadalje, rootkiti se često koriste i za otkrivanje kombinacija korisničkih
imena i lozinki potrebnih za pristup web stranicama što ih čini vrlo opasnim
za neopreznog korisnika.
 Kategorije rootkita
• Persistent Rootkits - Ova kategorija rootkita je trajne prirode i
aktiviraju se prilikom svakog novog pokretanja računara. S obzirom
na tu karakteristiku, izvršni kod takvih programa mora biti trajno
sačuvan – najčešće u Registry-u ili fajl sistemu.
• Memory-Based Rootkits - Za razliku od prethodno navedene, ova
kategorija rootkita nastanjuje se u radnoj memoriji računara i time ne
može opstati nakon njegovog ponovnog pokretanja.
• User-mode Rootkits - Ova kategorija rootkita skriva se od korisnika
presecanjem funkcija za pretraživanje datotečnog sistema (koriste ih
Windows Explorer/command prompt). Dakle prilikom korisničkog
pretraživanja direktorijuma i datoteka, rootkiti menjaju konačan ispis
na način da izostave sve podatke vezanje za njih same.
• Kernel-mode Rootkits - Navedena kategorija još je moćnija od
prethodno navedene, jer osim presecanja odgovora jezgra
operativnog sistema, oni čak mogu menjati neke strukture samog
jezgra. Na primer, tipičan način njihovog skrivanja od korisnika je
brisanje vlastitih procesa iz ukupne liste aktivnih procesa. Na taj
način kroz Task Manager rootkit procesi neće biti vidljivi niti korisniku
niti većini antivirusnih i antispyware alata.
 Zaštita od rootkita

• Prevencija od rootkita identična je prevenciji od većine

malicioznih programa.
• Preporučuje se korišćenje i redovno ažuriranje
antivirusnog i antispyware programa, redovno
ažuriranje operativnog sistema, korišćenje firewall-a i
odabir jakih lozinki (npr. korišćenjem brojki, slova
različite veličine i specijalnih znakova).
• Takođe, već spomenuto korišćenje korisničkog naloga
bez administrativnih ovlašćenja svakako će umanjiti
rizik.
 Kako ukloniti rootkit?
• Nažalost, sama identifikacija rootkita zbog njihovog
načina rada ponekad je vrlo teška i ne postoji šablon
za otkrivanje ove vrste malicioznih programa.
• Mesta za sumnju ima ukoliko se računar neobično
ponaša uprkos ažuriranom antivirusnom i antispyware
programu.
• Neobično ponašanje odnosi se na rušenje i
zamrzavanje sistema, netipično ponašanje raznih
programa (pa čak i antivirusnih), netipično korišćenje
mrežnih resursa i pokretanje sumnjivih procesa
prilikom ponovnog pokretanja računara.
• Popis dostupnih alata na tržištu dostupan je na adresi
www.antirootkit.com/software/index.htm
 Tipovi trojanskih konja
• RAT (Remote Access Trojans) – Trojanski konji sa udaljenim
pristupom
• DST (Data Sending Trojans) – Trojanski konji koji šalju podatke
• Destrucitve Trojans – Trojanski konji koji uništavaju datoteke i
uopšte sadržaje na računaru
• Proxy Trojans - Trojanski konji koji deluju na proxy servere ili ih
iskorišćavaju za svoje delovanje
• FTP Trojans – Trojanski konji koji deluju na File Transfer
Protocol ili ga iskorišćavaju za svoje delovanje
• Trojanski konji koji svojim delovanjem onemogućavaju
funkcionisanje sigurnosnog softvera na računarima poput
antivirusnog i sličnih softvera
• Denial of Service (Dos) Trojans – Trojanski konji koji se koriste
za izazivanje Denial of Service incidenata.
 Načini zaraze trojanskim konjima
• Načine zaraze, prema izvorima možemo podeliti na:
– web sajtove – pojedini web sajtovi su kreirani na način da bi
zloupotrebili sigurnosne propuste u web browserima, posebno u
slučajevima kada web browser na neispravan način upravlja
određenim tipovima podataka. Stoga se uvek preporučuje korišćenje
najnovije verzije web browsera i svoj sistem držati stalno ažurnim.
– e-mail – slično kao i u slučajevima web sajtova, i čitanje poruka
elektronske pošte može predstavljati opasnost i rizik za širenje
trojanskih konja. Klijenti koji se koriste za čitanje elektronske pošte
poput Outlook Expressa, Microsoft Office Outlooka, Mozzila
Thunderbirda i drugih mogu sadržati sigurnosne propuste koje onda
trojanski konji mogu pokušati da zlouporebe. Rešenje je, kao i u
prethodnom slučaju, stalno ažuriranje sistema.
– otvoreni portovi – ukoliko na svom računaru imate instalirane
programe za komunikaciju u realnom vremenu (AIM, Windows Live
Messenger, Yahoo! Messenger…) ili neke od servera (FTP, SMTP,
HTTP…) tada ti programi servisi sa sobom mogu doneti i određene
ranjivosti koje zlonamerni korisnici mogu pokušati iskoristiti za širenje
trojanskih konja. Naime, gorenavedeni serveri i programi mogu otvoriti
mrežne portove, što može dovesti do zlouportebe tih portova od strane
napadača. Zato je potrebno uvek koristiti ažurne verzije servisa i
programa, a dodatno i firewall.
 Ko se služi spywareom
• Brojni su motivi zašto bi neko kreirao spyware – informacije o
navikama i karakteristikama korisnika su vrlo cenjene jer
pružaju jasan uvid i omogućavaju specifično oglašavanje i
čitav niz drugih personalizovanih elemenata.
• Spywareom se kao sredstvom za prikupljanje informacija
služe: online napadači često vezani uz organizovani kriminal,
marketinške organizacije (firme, agencije) i „insajderi“. Ovi
poslednji se često služe spywareom kako bi prikupili osetljive i
zaštićene informacije o organizaciji u kojoj rade i kasnije ih
prodavali na crnom tržištu, koristili za ucenu i na druge načine
kako bi pokušali da ostvare finansijsku dobit.
 Šta je to adware?
• Adware je softver koji na vašem računaru prikazuje razne oglase
ili reklame, na način da se neobjašnjivo aktiviraju razni pop-up
prozori ili linkovi koji vode na druge web stranice, čak i kada niste
na Internetu.
• Oglašavanje, samo po sebi najčešće nije problem (neke
kompanije čak nude „besplatan“ softver u zamenu za reklamiranje
na vašem računaru i na taj način one zarađuju novac). Ljudi u
zajednici su oduvek okruženi oglašavanjem i ono pruža važne
usluge ako se sprovodi ispravno i odgovorno. Međutim adware
može poprimiti druga obeležja – ne pruža korisniku celokupnu
obaveštenost ili kontrolu nad operativnim sistemom - što ga čini
neželjenim softverom na vašem računaru. Tih opasnosti korisnik
treba biti svestan.
• Danas adware prikuplja svojim tvorcima velike količine novčanih
sredstava. Adware je softver integrisan sa programom.
• Za tvorca adwarea, on predstavlja jedan od načina povrata dela
finansijskih troškova nastalih samim razvojem programa, a zarada
od reklamiranja dalje motiviše programera na nastavak pisanja,
održavanja i nadograđivanja softverskog proizvoda.
 Problemi sa adwareom
• Tehnički gledano, najočitiji problem sa kojim se većina
korisnika suočava nakon što je na njihovom računaru
instaliran adware je nestabilnost računara.
• Teško „zaraženi“ sistemi rade vrlo usporeno, često se
ruše, a katkad se uopšte ne mogu pokrenuti. Na još
problema korisnici nailaze kada žele da očiste svoj
operativni sistem.
• Popularni anti-spyware alati često ne uspijevaju da se
bore sa problemom jer se suoče sa ogromnom
količinom softvera koji treba maknuti pa se sa tim
teretom teško nose. Uspešno uklanjanje raznih
adwarea i spywarea je samo po sebi dovoljno teško
da bi prevencija trebala biti glavni prioritet.
 Šta je to scareware?
• Scareware je vrsta softvera isključivo stvorena zbog
uznemiravanja korisnika čiji računar napadne.
• Najčešće se radi o programima koji pokrenu dijaloški
prozor koji korisniku upućuje uznemirujuću poruku ili
pitanje, a svi ponuđeni odgovori ili reakcije su naizgled
neželjene.
• Primer je mali program koji u dijaloškom okviru
korisniku postavi pitanje „Želite li da formatirate hard
disk“, a ponuđeni odgovori su „Da“ i „Da“ ili je na
primer onemogućeno da kliknete na dugme „Ne“.
• Međutim, bez obzira koji odgovor odaberete, nikakva
stvarna šteta se neće naneti vašem računaru, budući
da je scareware samo softver zastrašivanja, ali koji ne
deluje kao tipičan maliciozni softver.
 Šta je to ransomware?
• Ransomware je vrsta malicioznog programa ili koda
koji otima i šifrira datoteke žrtve, da bi zatim napadač
iznuđivao novac u zamenu za ključ dešifriranja koda.
• Jedan od prvih dokumentovanih slučajeva napada
ransomwareom je zabeležen u maju 2005. godine.
• Sam program koji šifrira datoteke često nije jako težak
za rešavanje, ali postoje i znatno kompleksniji
programi koji koriste hibridne metode na nivou vojnog
šifriranja.
• Takav program se naziva Cryptovirus, Cryptotrojan ili
Cryptoworm. Područje koje se bavi proučavanjem
ovakvih napada se naziva kriptovirologija.
 Kako napada
ransomware?
• Ucenjivački napad ransomwareom se izvodi putem posebno
izrađenih programa koji se šalju kao attachment elektronske
pošte koja se pošalje žrtvi.
• Žrtva otvori ili aktivira attachment, program se pokrene i šifrira
određeni broj datoteka (ili sve datoteke) na hard disku
računara.
• U elektronskoj pošti se nalazi i poruka koja kaže da će se
uspešno dešifriranje moći provesti samo uz odgovarajući ključ
dešifriranja, koju će napadač (navodno) poslati žrtvi nakon što
mu uplati određeni novčani iznos.
• Od svih metoda koje napadač može odabrati, ransomware se
smatra najrizičnijim za samog napadača.