Professional Documents
Culture Documents
Virusi
Virusi
KORDI arko
KOMPJUTERSKI VIRUSI
DIPLOMSKI RAD
Osnovni zadaci:
1. Objasniti pojam malicioznog softvera.
2. Izvriti klasiifikaciju malicioznog softvera, te navesti istorijat, podelu i
osnovne specifinosti svake pojedinane vrste.
3. Objasniti modele zatite i ponaanja u odnosu na problem malicioznog
softvera.
ABSTRAKT
U ovom radu su predstavljene osnove o malicioznim softverima gde svoje poasno
mesto zauzimaju virusi, koji su sinonim za sve vrste ovih kreacija, budui da ih manje
upueni korisnici kompjuterskih sistema generalno nazivaju ovim imenom.
Predstavljen je istorijat njihovog nastanka te okolnosti koje su uslovile ovu mogunost,
te pruen osvrt na motivaciju onih koji se bave ovom delatnou.
Izvrena je generalna klasifikacija malicioznog softvera te je o svakoj vrsti posebno
predstavljen istorijat svake, podela na pojedine podvrste, kratak opis ponaanja svake
od ovih podvrsta prilikom infekcije datoteka, te nain uklanjanja pojedinih
karakteristinih vrsta ovog malicioznog softvera.
Posebna panja je posveena merama zatite koje trebaju da se preduzmu u borbi
protiv ove vrste problema, kako na individualnom tako i na nivou ustanova. Stoga su
veoma detaljno opisivani principi rada anti-virusnog softvera, a posebna panja je data
uputstvima za individualne kompjuterske korisnike.
Radi boljeg shvatanja delovanja malicioznog softvera navedeno je nekoliko primera
ponaanja ove vrste softvera pri prodoru u sistem.
Takoe je napravljen osvrt na pravnu regulativu ovog problema gde je plastino
opisano nekoliko sluajeva u sudskom procesu radi krenja zakona o informatikom
poslovanju.
U zakljunim razmatranjima su predstavljeni rezultati istraivanja koje je izvreno u
informatikoj laboratorji Pedagokog fakulteta u Somboru prema temi Odnos
kompjuterskih korisnika prema pitanjima zatite kompjuterskog sistema od malicioznog softvera.
Detaljno predstavljeni rezultati se nalaze u dodatku diplomsklog rada.
SADRAJ
1.
UVODNA RAZMATRANJA_________________________________________________________________________________ 9
VIRUSI ________________________________________________________________________________________________________17
2.4.2.
3.
CRVI ___________________________________________________________________________________________________________47
6.
SPAMOVI _____________________________________________________________________________________________________62
8.
ANTI-VIRUSNI SOFTVER___________________________________________________________________________________69
12.
KORIENA LITERATURA:______________________________________________________________________________104
14.
PREDGOVOR
Problematika malicioznog softvera, koja je ovde predstavljena, od tenutka svog nastanka zadaje
brige mnogim korisnicima informatike tehnologije. Potreba za znanjima iz ove oblasti je stalna
i neizbena, te se stoga ovaj rad moe shvatiti kao objedinjavanje i dopuna ve postojeih
znanja. On je podeljen na pojedina poglavlja prema sledeem:
U prvom poglavlju su opta razmatranja o postojanju malicioznog softvera, njegova generalna
podela, kratak uopteni istorirjat nastanka i objanjenje u vezi motivacije za njihovim
stvaranjem.
U drugom poglavlju se govori o najeem malicioznom softveru virusima, koji ustvari
predstavljaju sinonim za maliciozni softver budui da ih manje upueni korisnici generalno
nazivaju na taj nain. Govori se o njihovom nastanku, njihovoj podeli, optim karakteristikama,
najpoznatijim malicioznim softverima. Takoe se detaljno govori o nekoliko poznatijih virusa
koji su naneli velike tete kompanijama irom sveta.
U treem poglavlju govori se o trojanskim konjima, takoe ozloglaenim predstavnicima ove
vrste, o njihovom nastanku, njihovim nainima inficiranja, te nekim optim karakteristikama.
Takoe je pruen prikaz praktinog postupanja prilikom uklanjanja jedne ovakve infekcije.
U etvrtom poglavlju se govori o crvima, takoe veoma velikoj opasnosti za kompjuterske
korisnike. Takoe se govori o nainu infekcije te nekim razlikama koje ovaj softver razlikuju od
virusa.
U petom poglavlju se govori o pijunskom softveru koji zapravo predstavlja moda i veu
opasnost po kompjuterske korisnike. Ovde se govori upravo o tim opasnostima, te se daju
praktini saveti za postupanje sa njima.
U estom poglavlju navode se nekoliko vrsta manje poznatog malicioznog softvera koji
uglavnom slui kao pomoni softver pri instalaciji onih ve navedenih u prethodnim
poglavljima.
U sedmom poglavlju se govori o spamovima koji su postali neizbeni sastavni deo pretraivanja
web stranica, a koji takoe nalaze svoje mesto u ovoj podeli.
U osmom poglavlju nalazimo jednu ogromnu temu kojoj je posveeno veoma mnogo panje
budui da je zatita od tete koju nam maliciozni softver nanosi jednaka elementarnim
nepogodama. Re je o antivirusnim programima, njihovom razvoju, njihovoj podeli, nainu
njihovog delovanja, pojedinanim proizvodima iz ove kategorije i njihovim karakteristikama.
U devetom poglavlju se govori o narednom, veoma znaajnom nainu zatite koji se po znaaju
nalazi odmah iza anti-virusne zatite. Re je o anti-pijunskim (engl.anti-spyware) programima.
U desetom poglavlju se govori o jo jednom vidu zatite koji je obavezan pored anti-virusnog i
anti-pijunskog programa vatrenim zidovima (engl.firewall). Takoe se objanjava pojam
vatrenog zida, njegova namena, softveri ove vrste koje moemo nai na tritu, delovanje
vatrenog zida deluje pri nailasku virusa, i sl.
U jedanaestom poglavlju se navode jo neki, veoma znaajni, naini zatite kompjuterskih
korisnika od ove vrste opasnosti, a koji predstavljaju deo osnovne informatike pismenosti.
1. UVODNA RAZMATRANJA
1.1.
Opti uvod
1.2. Ciljevi
Unapareenje informatike kulture kod kompjuterskih korisnika jeste primarni cilj, ali i zadatak
ovog doplomskog rada. Ostvarenjem ovog cilja, veoma e se olakati ostvarenje ostalih. Kada
korisnik bude adekvatno motivisan, promenie se njegov odnos prema ovoj problematici, a
samim tim poveati motivacija za sticanjem novih znanja iz ove oblasti.
Korigovanje stavova pema ovoj vrsti opasnosti. Osim korigovanja vlastitih stavova prema ovoj
vrsti opasnosti, istom merom uticati na ostale korisnike kako bi promenili svoj model ponaanja
ukoliko je do tada bio pogrean.
Sticanje potpunijih znanja iz oblasti zatite kompjuterskih sistema od malicioznog softvera.
Nakon upoznavanja sa ovom materijom korisnici bi trebali biti u stanju da razlikuju pojedine
vrste opasnosti, te da na iste pravovremeno i adekvatno odgovore.
Prepoznavanje pojedinih oblika delovanja malicioznog softvera kroz opisane praktine primere.
Razvijanje miljenja da je pojava malicioznog softvera odgovor na jedan oblik drutvene svesti u
skladu sa odgovarajuim pogrenim drutvenim vrednostima, te da su kreatori malicioznih
softvera i sami na odreeni nain drutvene greke.
1.3. Zadaci
Uticati na itaoca da kroz itanje ovog teksta unapredi vlastitu informatiku kulturu i pove a
nivo informatike pismenosti, te da ubudue utie na odgovarajui nain na druge korisnike
kako bi i oni koji nisu itali ovaj rad promenili neke svoje stavove i opet dalje uticali na druge.
Omoguiti itaocu sticanje novih i upotrebljivih znanja koja e mu omoguiti lako snalaenje u
dodiru sa opasnostima ovoga tipa, te ga uputiti odgovarajuim s avetima na njegov samostalan
rad u iznalaenju novih naina u reavanju ovog problema.
Uputiti itaoca na razvoj odgovarajueg modela zatite na njegovom personalnom kompjuteru
te na kompjuterima sa kojima on dolazi u kontakt u svom svakodnevnom radu, bez obzira da li
se radi o direktnom kontaktu ili nekakvom posrednom (slanjem elektronske pote,
presnimavanjem razliitih dokumenata, obavljenjem razgovora i sl).
Stvoriti potrebu za razmiljanjem kod itaoca o moralnoj strani ovog problema kako bi on dobio
odgovarajui impuls za samostalno delovanje u ovoj oblasti zatite, te ispravno uticao na druge.
U okviru ovog rada, izvriti istraivanje na temu Odnos kompjuterskih korisnika prema
pitanjima zatite kompjuterskog sistema od malicioznog softvera, te priloiti rezultate istog u
ovom radu kako bi oni bili osnovno uporite za razmiljanje o pitanjima kompjuterske zatite.
o industriska pijunaa.,
o kraa novca elektronskim putem.,
o prenoenje raznih drugih poruka (politikih, linih, pa ak i sasvim besmislenih).
Za sve vrste malicioznih programa meu korisnicima kompjutera najee krui termin virusi,
a oni koji se dublje bave ovom problemaitikom, dele ih na viruse, trojanske konje, crve,
tempirane bombe, itd., a misle na softvere koji su napravljeni da bez znanja korisnika
kompjutera prodru i sakriju se negde na tvrdom disku sa mogunou irenja po mrei u
irokom rasponu. U zavisnosti od kreativnosti i zlobe autora mogu da prouzrokuju razne
probleme u radu, od plesanja slova, pojave velikog broja jedinica i nula na monitoru (Slika 1),
slanja velikog broja besmislenih poruka preko elektronske pote, pa do sluajeva kao to je
formatiranje tvrdog diska kompjutera ili servera.
Zatita od malicioznih programa nije komplikovan proces, ali zahteva pre svega obavetenost,
pedantnost i oprez.
Obavetenost je najvanija jer ona namee oprez kada uzimamo tuu disketu ili CD disk, a jo
vie kada smo na Internetu. Moramo tano da znamo ta radimo, da li nam je poznat poiljalac
elektronske poruke, koje dodatke otvaramo, koje programe preuzimamo sa Interneta, kao i
kome verujemo. Pa ak i tada moramo biti oprezni !
Potencijalne opasnosti su svi dodaci na elektronskoj poti koji imaju ekstenziju .exe, .c om, .bat,
cmd, .htm, .scr, itd.
Ovakvi programi uglavnom zahtevaju korisniku interakciju, kao na primer pokretanje
programske instalacije u kojoj se maliciozni program nalazi ili otvaranje neke datoteke koja ima
primamljiv sadraj.
Malciozni program koristi sistemske greke na kompjuterima, a ove sistemske greke mogu
odvesti do kolapsa sistema i gubljenja podataka.
U radu sa kompjuterskim mreama, kom pjuter koji je povezan sa Internetom ili nekom drugom mreom.
Meutim, promene koje su nastale pojavom velikih kompjuterskih mrea, a posebno Interneta,
dovele su do pojave novih vrsta malicioznih programa i brzine njihovog irenja. Na primer, do
1992. godine, broj boot sektor1 virusa i virusa za infekciju dokumenata bio je jednak. 1992.
godine, broj virusa za infekciju dokumenata poeo se smanjivati, a boot sektor virusa
poveavati. Taj trend je nastavljen do 1995. godine, kada veina kompjutera prelazi na
operativni sistem Windows, a posebno nakon prelaska na OS Windows 95, koji je mogao
obavestiti korisnika o promenama u boot sektoru, to je posluilo jednostavnom otkrivanju ove
vrste virusa. Takoe, pojavom paketa Office kompanije Microsoft, autorima virusa se je ukazao
jedan zanimljiviji cilj za njihove kreacije.
Mogunost paketa Office da pomou vie programa koristi iste informacije, dovela je do
nastanka velikog broja novih malicioznih programa - makro virusa. Ovi virusi su jednostavni za
pisanje u programu Visual Basic, te se lako ire meu korisnicima ovih aplikacija: Word, Excel,
PowerPoint i Access. Pored toga, makro2 virusi su prvi koji su bili u stanju funkcionisati na vie
platformi (npr. do tada, virus napisan za platformu Windows nije mogao funkcionisati na
platformi Macintosh)
Za razliku od ranijih vremena kada su maliciozni programi zahtevali ljudsku interakciju da bi s e
mogli iriti i kada su korisnici bili ti koji su im omoguavali irenje, najee iz neznanja i
nesvesnosti njihovog prisustva, delenjem podataka, disketa
i sl. meusobno, danas
automatizacijom mnogih procesa (makro naredbe u paketima Office), pomo oveka u irenju
virusa vie nije potrebna. Danas, samim otvaranjem zaraene elektronske pote, mogue je
pokrenuti virus, bez ikakvog znanja o njegovom prisustvu, a izuzetno popularni crvi dolaze
preko Interneta na kompjuter korisnika bez ikakve korisnike prisutnosti.
U novijoj istoriji, pojavljuje se sve vie novih malicioznih programa koji se veinom zasnivaju na
greakama u operativnim sistemima i raznim aplikacijama koje komuniciraju sa Internetom, a
posebno P2P mreama za delenje dokumenata. Naroito je ugroen OS Windows, a u manjoj
meri ostali operativni sistemi koji se danas koriste. Maliciozne programe je za sada nemogue
iskoreniti, jer e uvek biti novih varijanti koje e iskoristiti neke nove propuste. injenica jeste
da sa napretkom aplikacija nestaju stare sistemske greke, a postojei operativni sistemi i
programi postaju tehnoloki zastareli, pa se povlae iz upotrebe pa zbog toga maliciozni
programi vremenom postaju nefunkcionalni.
1
2
virusi,
crvi (engl.worms),
trojanski konji,
pijunski program (engl. spyware),
reklamni softver (engl. adware),
wabbiti,
pozadinski (engl.backdoor) programi,
exploiti,
korenski alati (engl. rootkit),
Sektor sa podacim a za podizanje sistema koji se jo naziva particiski sektor ili nulti sektor tvrdog diska.
Termin koji se koristi z a skup instrukcija predstavljenih u obliku koda nekog skript jezika.
o
o
o
o
o
o
o
o
o
virusi,
crvi (engl.worms),
trojanski konji,
pijunski program (engl. spyware),
reklamni softver (engl. adware),
wabbiti,
pozadinski (engl.backdoor) programi,
exploiti,
korenski alati (engl. rootkit),
Osobine razliitih vrsta malicioznih programa se u velikom broju sluajeva kod virusa
kombinuju, tako da je ponekad veoma teko odrediti kojoj vrsti malicioznog programa pripada
neki virus.
o
o
Crvi, maliciozni ActiveX, Java i Javascript programi se uglavnom automatski izvravaju posle
uspenog ulaska u sistem, to nije sluaj sa virusima i trojanskim konjima koje korisnik treba
sam da pokrene, posle ega oni koriste jedan od naina za automatsko pokretanje pri
pokretanju sistema.
Prilikom poseivanja Interneta treba biti posebno obazriv sa odreenim tipovima web stranica,
a najopasnije su stranice koje sadre crack programe, jer se je pokazalo da u relativno velikom
broju sluajeva programi za krekovanje drugih programa u sebi sadre i maliciozni kod,
ponekad iskljuivo maliciozni kod. Treba dozvoliti izvravanje ActiveX i Java programa samo za
one stranice za koje smo sigurni da su ozbiljne.
Novogodinje estitke u vidu slika, video zapisa, malih programa koji su dodatak elektronskoj
poti preplavile su mnoge kompjutere u svetu. Naravno to je bila izvrsna prilika da se potkrade
po neki virus koji e kasnije nanositi brige irei se po sistemu i unitavajui sve to mu je kao
cilj akcije isprogramirao njegov autor.
Komponentno obje ktni model razvijen za Windows platforme od strane Microsofta. Slui za stvaranje
softverskih komponenti koje obavljaju neke funkcije ili skupove funkcija.
Dolaskom na svet virusa Melissa, koji je svojim irenjem putem elektronske pote naneo
milionske tete preduzeima u celom svetu, potvrdio je ono ega su se mnogi bojali: elektronska
pota je postala danas najznaajniji medijum za irenje kompjuterskih virusa.
Termin koji se odnosi na predstavljeni skup instrukcija u odre enom formatu (makroinstrukcije).
S l.2 Nak on dese tog pok retan ja preuzetog prog rama k orisnik dobija poruk u da j e za raen v irusom zva nim AIDS
Virusi mogu biti tempirani (Slika 2), a teta koju prouzrokuju moe biti tempirana na
vremenskoj ili logikoj bazi. Na primer, virus se aktivira na odreeni datum ili posle nekog
perioda, ili je potrebno da korisnik uini neto nevezano za sam virus da bi on to osetio i
aktivirao se. Termini koji se koriste za ovakve viruse su vremenska bomba (engl. time-bomb) ili
logika bomba (engl. logic-bomb).
Originalni virusi mogu da mofifikuju kopije ili kopije mogu da se same modifikuju, kako se to
obino deava kod metamorfnih virusa. Virus je u stanju da se proiri sa jednog kompjutera na
drugi tek kada se njegov host prenese sa zaraenog na nezaraeni kompjuter, na primer slanjem
virusa preko Interneta ili lokalne mree ili prenoenjem na nekom vanjskom medijumu kao to
je disketa, CD, DVD ili USB stik. Pored ovoga, virusi mogu da se ire preko mrenih sistema
datoteka ili sistema datoteka kome se pristupa preko drugog kompjutera.
Virus se moe nalaziti u bilo kom delu programa ili zaraziti bilo koji program, boot sektor,
dokument koji podrava makro naredbe, tako to menja sadraj te datoteke i u nju kopira svoj
kod.
Mnogi personalni kompjuteri su danas spojeni na Internet ili na lokalne mree ime je veoma
olakano irenje malicioznog koda. Dananji virusi se mogu sluiti prednostima mrenih servisa
kao to je WWW elektronska pota ili sistemi sa delenje podataka ime se linija izmeu
malicioznih programa prilino zamagljuje. Neki izvori koriste i alternativnu terminologiju gde
se podrazumeva da je virus bilo koji oblik malicioznog programa koji je u stanju da se
samostalno kopira.
Neki virusi su programirani da otete kompjuter svojim destruktivnim kodom, briui
dokumente ili formatiranjem tvrdog diska. Neki drugi, za razliku od prethodnih, nisu pravljeni
da bi stvarali tetu nego sa ciljem da se samostalno kopiraju radi obelodanjivanja njihovog
prisustva prilikom prezentovanja nekog teksta, videa, u audio porukama i sl. ak i ovako benigni
MALIGAN-destruktivan,opasan
pokrene neki program, prvo se pokrene virus. Ovi virusi inficiraju dokumente ne menjajui kod,
ve menjajui DOS direktorijum informacije, tako da one pokazuju na virus a ne na program.Ovo
je uraeno stavljanjem linkova u dokumente. Najpoznatiji link virusi su virusi iz porodice DIR-II.
Kodirani virusi: Ovaj virus se kodira, tj. menja izvorne podatke radi prikrivanja pravog
sadraja. Nije u mogunosti da menja deo koda koji vri dekodiranje.
Polimorfni virusi: Ovaj virus mutira izvrni kod i istovremeno menja svoj izgled. Tehniki je
usavren jer prilikom svake naredne infekcije nastoji izmeniti i deo virusa koji vri kodiranje.
Primeri ovih virusa su: 1260, Dark Avanger, Mutation Engine, DAME.
Nevidljivi virusi : Kod ovih virusa se primenejuje kompleksna tehnologija. Sistem zaraen ovim
virusom ne pokazuje nita neobino.
Mutirani virusi: Ovi virusi nastaju unapreivanjem, tj. izmenom i dopunom na virusnom kodu.
Primer ovog virusa je: Od virusa New Zeland nastao je virus Michelangello.
Rezidentni virusi: Ovi virusi se instaliraju u radnu memoriju i ostaju aktivni dugo nakon to
program bude izvren. Izuzetno su infektivni i sposobni da koriste sve virusne tehnike.
Rezidentni virus sadri modul za umnoavanje koji je slian onom koga ima nerezidentni virus,
ali ovaj modul se ne poziva preko tragaa za modulima. Umesto toga, kada se on izvri, virus
smeta modul za umnoavanje u memoriju kako bi bio siguran da e se ovaj modul aktivirati
svaki put kada operativni sistem bude pozvan da izvri nekakvu operaciju. Na ovaj nain virus
inficira svaki program koji se pokrene na kompjuteru.
Rezidentni virusi se ponekad dele na brze i spore infektore. Brzi su dizajnirani tako da u to
kraem vremenu ificiraju to vie dokumenata.
Nerezidentni virusi: Ovi virusi nalaze pogodan objekt za infekciju i zaraze ga. Ne ostaju aktivni
u memoriji kada njihov zadatak bude izvren. Manje su infektivni .
Nerezidentni virusi se mogu posmatrati kao tragai za modulima i multiplikatori modula.
Traga za modulima je odgovoran za nalaenje novih dokumenata radi infekcije. Za svaki novi
izvrni dokument koji traga za modulom pronae, on poziva modul za umnoavanje da bi ga
inficirao.
Dokument virusi (engl. OverWriting): To su najjednostavniji virusi ija je uloga da pronau
odreene vrste dokumenata (ekstenzije .exe,.com..) i da prepiu deo koda programa. Kada s e
takav program pokrene, pokrene se i virus, i tako se zarazi jo dokumenata. Ovakvi virusi esto
ne funkcioniu zbog razlike u lokacijama funkcija na raznim mainama i operativnim sistemima
, pa tako esto dolazi samo do unitavanja programa . Postoji i takva vrsta koja prepie svoj kod
u neki program i kada se izvri vraa sve u normalno stanje.
Klonirani virusi (engl. companion): Ovi virusi stvaraju klonove dokumenata , tako da kada se
pokrene neki dokument, pokrene se klon, tj. virus. esto, ovi virusi funkcioniu na sledei nain:
postoji neki program .exe , virus napravi klon program .com i kada se na konzoli napie program
izvrava se program .com (virus), zato to .com ima vei prioritet nego .exe .
Dokumentni crvi: To su modifikovani Companion virusi. Razlika je u tome to se umnoavaju u
mnogo veem broju i imaju mogunosti razmnoavanja kroz mreu.
Virusi za izvorne kodove (engl. source code): Ovi virusi napadaju izvorne kodove programa .
Dodaju neki kod trojanskog konja u ve postojei. Postoji mnogo vrsta ovih virusa jer postoji
mnogo vrsta programskih jezika i kompajlera. Najpoznatiji virus je DIE HARD .
Maskirani virusi (engl. camouflage): Prikriva specifini deo koda po kome se virusi
prepoznaju.
Virusi sa DOS komandom (engl. batch file): Ovo su jednostavni virusi koji koriste DOS
komande napisane u .bat dokumentu. Naprimer, moemo napisati jednostavan virus tako to
emo napisati u dokumentu autoizvrnu .bat komandu koja e obrisati sve podatke iz
direktorijuma ili formatirati disk, ili uiniti bilo ta drugo.
Ciljni virusi (engl. sparce): Ovakva vrsta virusa koristiti mnogo tehnika za svoje sakrivanje ,
naprimer moe zaraziti svaki 10. dokument, napadati samo dokumente koji poinju s a
odreenim slovom , ili napadati dokumente odreene veliine.
Boot sektor virusi: Ovi virusi kopiraju sebe u boot sectore disketa ili u MBR (master boot
record1) tvrdog diska.Veinom su pisani u asembleru2. Boot sektor virusi kao Brain (1986,
Pakistan) vode poreklo jo iz vremena kada se veina programa nalazila na disketama. Kada
korisnik otvori disketu, boot sektor se ita prvi. Inficiran boot sektor automatski stavlja virus u
RAM memoriju. Svako sledee pisanje ili itanje disketa inficira tu disketu. Sve to treba uraditi
je biti siguran da disketa nije inficirana i zatititi disketu onemoguavanjem pisanja na nju. Ako
virus ne moe da se upie, disketa nee biti inficirana.
Boot sektor virusi su bili zastupljeni u iznosu od 68% od svih virusa koji su bili nekontrolisani.
Do 1999, taj procenat je pao na 38% i nastavlja se i dalje zahvaljujui elktronskoj poti i
virusima koji se prenose na taj nain.
Parity Boot virus: Ovaj virus ispisuje greku Parity Check i zamrzava OS. Ova greka stvarno
postoji i javlja se kada doe do kvara u memoriji.
Viefrontni virus (Boot & File virus ili Multi Partite) virus: Ovi virusi napadaju i boot sectore
i datoteke . Najpoznatiji su : Tequila, Empire, 4096, Michelangelo
Virusi sistemskih sektora: Sistemski sektori (engl. Master Boot Record) su najee mete
virusa. Ovi virusi koriste sve mogue tehnike da bi inficirali i sakrili svoj kod. Sistemski sektori
su dostupni svim programima, ali su od vitalnog znaaja za sistem.Ovakvi virusi mogu da
sakrivaju svoj kod tako to predstavljaju svoj kod kao Bad Sector ili mogu da kopiraju
predhodni sadraj nekog koda i da ga zamene sa svojim, a kada neko zatrai podatke sa tog
mesta, on, virus, alje kopiju i tako krije svoj kod.
Makro virusi: Obini dokumenti nemogu biti virusi, ali uz pomo skript jezika mogu veoma
lako postati. Takvi su makro virusi. U obinom Word dokumentu moemo napisati virus koji e
se izvriti kada pokuamo da ga otvorimo. Postoje vie vrsta skript jezika, najpoznatiji su: Visual
basic skript3, Java skript,
Macro-virus je napravljen da iskoritava sigurnosne slabosti u makro aplikacijama, kao to su
Microsoft Word ili Excel, sa nastavcima .doc i .xsl. Virus inficira makro ili template i najee se
iri elktronskom potom. Jedan od prvih je bio W97.Melissa.A, koji deluje ovako; Korisnik primi
neki dokument koji sadri makro virus. Kada se dokument otvori Melissa onesposobi alate
macro u Word97 tako da korisnik ne moe videti Melissa makro u listi i onesposobi sigurnosni
makro u Word 2000. Virus potom izabere 50 adresa iz adaresara i alje se dalje putem
elektronske pote tim osobama. Tema poruke je: Important Message From VASE_IME.
Boot sektor, prvi po redu, od 512 bajtova (Sektor 0) na jednoj particiji tvrdog diska
Tekst editor za pisanje programskog koda
3
Skript jezik kog je razvila kompanija Microsoft za svoje aplikacije kao to je Word, Excell, Access, Power Point.
2
Nakon otvaranja dotinog zaraenog dokumenta sve kree iz poetka sa novih 50 poruka.
Upotrebljava mogunost makro programskih jezika koji su ugraeni u moderne programe za
obradu podataka - Word, Excel,Access...
Primeri makro virusa su: Word Macro, ConceptWordMacro, DVM WordMacroNuclear
Treba smatrati pretnjom svaki Word ili Excel dokument koji dolazi elektronskom potom.
Mnogi korisnici zahtevaju da im se alju samo dokumenti bez makro funkcija (Slika 3) u
formatu, kao RTF (engl. Rich Text Format).
Mreni virusi : Ovi virusi su sposobni da koriste sve vrste mrenih protokola da bi izvrili svoj
zadatak, tj. mogu da se kopiraju sa servera na neki udaljeni kompjuter i obratno, ili da se
uitavaju po potrebi sa nekog kompjutera na neki udaljeni kompjuter preko mree.
Karakteristike su sledee:
o Pronalaenje svih adresa (ip,irc,isq,e-mail,) i kopiranje na te adrese.,
o Kreiranje velikog broja temp dokumenata na sistemskom disku.,
o Zauzimanje to vie memorije.
Virusi za mobilne telefone: Zamislite da se nalazite na jednom veoma vanom poslovnom
sastanku, i hoete u pauzi da poaljete poruku svom poslovnom partneru, da ga obavestite i
savetujete se sa njim u vezi vane poslovne ponude. Primetite da neko pokuava da Vam poalje
dokument. Zbog uzbuenja niste ni stigli da razmislite i ve ste potvrdili prijem. Najednom
telefon poinje udno da se ponaa. U zadnje vreme su mnogi korisnici mobilnih telefona
posetili servisere upravo iz ovog razloga.
Kakvi su u ovi virusi i kada su se pojavili? Oni su nova vrsta virusa pisanih za mobilne telefone
novije generacije koji koriste operativne sisteme (tipa Symbian ) tzv. pametni telefoni. Prvi
virus ove vrste se je pojavio u Junu 2004. godine i napravila ga je grupa poznata pod nazivom
29A. Nakon njega su se pojavili i sledei:
o
o
o
o
Virus.WinCe.Duts;
Backdoor.WinCe.Brador;
Trojan.SymbOS.Mosquit;
Trojan.SymbOS.Skuller
Svi oni se prenose preko bluetooth1 veze kao i preuzimanjem nekih aplikacija, igrica ili drugih
programa putem GPRS2. Jo jedan aspekt koji se mora sagledati jeste i sve prisutnija integracija
svih tehnikih ureaja koje posedujemo. U trenutku kada sve nae mobilne telefone povezujemo
u jednu mreu, pojavljuje se pitanje opasnosti jednog takvog procesa. Najnoviji sluajevi
povezivanja mobilnih telefona i kompjutera otkrili su jednu opasnost. Uz prebacivanje podataka
sa jednog ureaja na drugi, moe se dogoditi da se prenese i neki softver bez naeg znanja.
Trenutno, teta koja se nanosi mobilnim telefonima nije velika, ali treba znati da je sve ovo jo
uvek u poetnoj fazi i da treba oekivati sve raznovrsnije i suptilnije viruse za mobilne telefone
koji ne samo to e hteti da nam promene ikonice iz menija ve e hteti i da nam prekontroliu
imenik, a moda i da sami poalju neku MMS poruku ak i da pozovu nekog od vaih prijatelja.
Trenutno, savet je: nemojte primati neke nepoznate dokumente koji vam stiu od nepoznatog
poiljaoca.
Beini protokol za pre nos podataka na manjim udaljenostima sa fiksnih ili m obilnih ureaja.
Druga gene racija mobilne telefonije . Paketno orjentisan servis za prenos podataka u komunikacionim
siste mima. Ovaj sistem je deo globalnog sistema z a mobilne komunikacije (GSM).
2
Sl.4 Pojava virusa I Love You u programu za elektronsku potu Outlook Expres
CODE RED: Koristei staru greku u sigurnosnom sistemu kompjutera, njegova funkcija je bila
pretvoriti kompjutere u zombije1 koji odbijaju naredbe. U samo devet sati uspio je zaraziti 250
000 kompjutera, a teta koju je prouzrokovao procenjena je na 2,62 milijarde USD
CIH CIH: Ovaj virus se je proirio sa Tajvana 1998. godine. Bilo je to doba OS Windows 98 i jo
starijih OS Windows 95, ije je izvrne datoteke napadao. Virus je imao sposobnost zadravanja
u memoriji kompjutera. To je bilo mesto odakle je napadao druge izvrne datoteke. Odmah
nakon zaraze CIH bi izvrio svoj maliciozni zadatak, a to je bilo brisanje i prepisivanje podataka
na tvrdom disku.
Virus je poznat po tome to se je ak uspeo ubaciti u izvrnu datoteku demo verzije tada
popularne igre Sin, pa se i tako irio. Poznat je i pod imenom ernobil2 zbog podudarnosti
datuma aktivacije nekih verzija sa datumom poznate nuklearne katastrofe. Danas, CIH nije
ozbiljna pretnja zbog nekompatibilnosti sa novijim operativnim sistemima Windows
2000,Windows XP, Windows Vista, ali i spremnosti antivirusnih softvera.
MELISA: Melissa je zarazila 15 do 20 % svih poslovnih kompjutera na svetu. Virus Melissa se je
irio tako brzo da su neke od najveih firmi koje su koristile program za elektronsku potu
Outlook Express kao klijent kompjuter bile prisiljene ugasiti sisteme za razmenu elektronske
pote. Virus je koristio Outlook Express da sam sebe poalje na 50 adresa koja je naao u
imeniku spomenutog programa.
Poruke su sadravale reenicu Here is that document you asked for don't show anyone else. ;
(Ovo je dokument koji ste traili . . . . Nemojte to pokazivati nikome drugom.). ini se da je kraj
te reenice bio previe za znatielju korisnika, koji su masovno otvarali priloeni dokument.
SOBIG.F: Najopasnija verzija ovog virusa je Sobig.F, koji se proirio sa vie od milion kopija u
prva 24 sata zaraze. Virus se je irio elektronskom potom i slao je sam sebe sa inficiranih
kompjutera. Zbog brzog irenja izazvao je veoma zaguseni mreni saobraaj na Internetu.
Microsoft je raspisao nagradu od 250.000 dolara za hvatanje pisca virusa, ali on do dananjeg
dana nije poznat.
BEAGLE BEAGLE: Ovaj virus se iri na klasian nain, preko elektronske pote, pri emu
nakon zaraze nekog kompjutera pretrauje na njemu nove adrese na koje e se poslati. Prava
U Afriko-karipskom kultu Vudua, pedstavlja bie iju je duu preuzela druga osoba putem neke zle magije i
odgovarajuim obredom te tako vlada u potpunosti njenim telom.
2
Grad u Ukrajini, poznat po katastrofi u nuklearnoj ele ktrani 26.aprila 1986.godine.
opasnost ovog virusa i njegovih skoro 100 varijanti je otvaranje TCP porta1, koji se moe
koristiti za neovlaten ulaz u kompjuter. Prijavljeno je koritenje ovog virusa od strane
proizvoaa raznih reklamnih softvera.
MyDOOM: MyDoom je zabeleen kao virus koji se je najbre irio po kompjuterima korisnika.
Metoda irenja je preko elektronske pote, ali se je MyDoom veto maskirao kao poruka koju
korisnik dobija kada njegova elektronska pota ne bude dostavljena. U takvim sluajevima je
originalna poruka ukljuena kao dodatak, koji je u ovom sluaju bio virus. Osim elektronskom
potom, MyDoom se je pokuao proiriti i pomou tada popularnog p2p servisa Kazaa. Zaraza je
bila tako uspena da se procenjuje da je jedna od 10 poslatih elektronskih poruka, prosleenih u
poetku irenja zaraze, sadravala virus.
SASSER: Sasser je jo jedan virus koji se je za svoje irenje oslonio na sigurnosni propust u
operativnim sistemima Windows 2000 i Windows XP. Zaraeni kompjuteri su radili veoma
nestabilno. Virus je bio toliko uspean u irenju i onesposobljavanju funkcionisanja kompjutera
da je uspeo prekinuti satelitske komunikacije francuskih novinskih agencija i otkazati brojne
letove firme Delta Airlines2.
U protokolima TCP i UDP koji se koriste u kom pjuterskim mreama port je poseban broj koji je predstavljen u
naslovu paketa podataka.
2
Avio kompanija iz SAD sa seditem u Atlanti, Dordija.
kraju sekcije koda, dok se telo virusa smeta u drugu sekciju. Ovo se radi da bi se konfuzija u
vezi lokacije tela virusa podigla na vei nivo.
2.4.2.4. Metamorfoza
Kada virus izvri proveru po pitanju aktiviranja, generie se novo telo virusa. Ovo generisanje
koda se sastoji u odreenom broju koraka:
o
o
o
o
o
Rastavlja se kod virusa u neku poluformu koja je nezavisna od CPU1 gde se normalni kod
izvrava. Ovo dozvoljava budua proirivanja, kao to je proizvodnja koda za razliite
operativne sisteme ili razliite procesore.
Skupljanje ove poluforme skidanjem instrukcija koje se ponavljaju ili nisu iskoritene.
Ove instrukcije se dodaju ranijim replikama kako bi posredovale pri reasembliranju od
strane virusnih pretraivaa.
Permutiranje poluforme razdvajanjem blokova koda i povezivanjem sa skokovitim
naredbama.
irenje koda dodavanjem instrukcija koje se ponavljaju i neiskoritenim funkcijama.
Procesor kompjutera, jedan od najvanijih delova, smeten na matinoj ploi, koja prim a i izvrava
odgovarajue instrukcije iz m em orije kompjutera.
o
o
2.4.2.5. Razmnoavanje
Sledea faza je ona vezana za razmnoavanje. Ona poinje traenjem nekog izvrnog
dokumenta .exe u dotinom direktorijumu, a potom u svim fiksnim i mapiranim mrenim
ureajima. Infekcija zalazi u diektorijume u dubinu od tri poddirektorijuma, u potpunosti
izbegavajui bilo koji direktorijum koji poinje sa slovom W. Za svaki naeni datoteka postoji
50% verovatnoe da e biti preskoen ukoliko poinje sa F, PA, SC, DR, NO, ili sadri slovo V bilo
gde u nazivu.
Druge slovne kombinacije, radi prirode uporeivanja, se preskau nenamerno, kao to je
direktorijum koji poinje sa brojem 7 ili bilo koji dokument koji poinje sa FM, ili bilo koji
dokument koji sadri broj 6 bilo gde u nazivu.
Proces infekcije dokumenata sadri brojne provere koje treba da ustanove koji dokumenti se
sigurno mogu inficirati. Na primer, dokument mora sadrati kontrolni iznos, mora biti izvrni za
Intel 386+ platformu, i moraju postojati sekcije iji nazivi su .text ili CODE, i .data ili DATA.
Virus takoe proverava da li host uvozi neke kernel funkcije1 kao to je ExitProcess. Za svaki
dokument za koji se ustanovi da moe da se zarazi, struktura dokumenta i naizmenini faktori
virusa e ustanoviti gde e virus postaviti svoj dekriptor i telo virusa. Ukoliko nepostoje
mogunosti promene lokacije ili je ta mogunost mala, telo virusa e se postaviti na zadnju
sekciju u dokumentu. U ovom sluaju dekriptor e biti postavljen odmah ispred tela virusa ili na
kraju sekcije koda. U sluaju da je naziv zadnje sekcije .reloc, virus e se postaviti na poetku
sekcije sa podacima i pomeriti sve podatke u dokumentu.
2.4.2.6. Infekcije
Prva infekcija se deava samo u toku Marta, Juna, Septembra i Decembra. Varijante A i B
Win32/Simile prikazuju svoje poruke 17. dana u ovim mesecima. Varijanta C prikazuje svoju
porku na 18. dan u ovim mesecima, a varijanta A (Slika 5A) prikazuje poruku Metaphor v1 by
The Mental Driller/29A.
Osnovne funkcije sistema, gde spadaju: kreiranje procesa, upravljanje procesima, pristup fajl sistemu i
m renim protokolima i drugi. Deo sistema koji se izvrava u zatienom m odu hardvera.
Varianta C (Slika 5C) pokuava da prikae Deutsche Telekom by Energy 2002, meutim
tvorac ove varijanate koda slabo razume kod pa se poruka retko javlja korektno napisana.
Sl.5C Prikaz na desktopu poruke od virusa Win32/Simile
teta od virusa se, za sada, procenjuje na sedam milijardi dolara. Virus je lukavo preruen u
dodatak elektronske poruke, a puno ime mu je glasilo LOVE-LETTER-FOR-YOU.TXT.vbs.
Ekstenzija vbs nije vidljiva na svim kompjuterima, a oznaava Visual Basic skript koji preko
Windows Scripting hosta2 moe da pristupi svakom resursu kopjutera ili inicira bilo koju
operaciju.
Strah korisnika je opravdan samo u sluaju da koriste program za elektronsku potu Outlook
Expres, dok su korisnici ostalih mail klijenata sigurni. Dvoklik na dokument inicira sledee
akcije: virus prvo pristupa adresaru i alje svoju kopiju na sve adrese, zatim pokuava da
pristupi jednom od etiri servera na Filipinima i preuzme trojanskog konja (WINBUGSFIX.EXE), zatim ponovo alje sam sebe na sve adrese iz adresara i na kraju unitava sve
multimedijalne dokumente (slike, mp3, mp2...), java skript dokumente ili .vbs dokumente na
kompjuteru korisnika (npr. mp3 dokumente bi uinio nevidljivim i umesto njih postavio svoju
istoimenu kopiju).
Potraga za poiniocima poela je ubrzo posle otkrivanja virusa. Prvo je lociran u Aziji, a zatim su
kao mesto porekla odreeni Filipini. Agenti FBI 3 su usko saraivali sa Filipinskim vlastima u
potrazi za poiniocima. Po otkrivanju rauna sa koga je virus prvi put puten i saznavanju
telefonskog broja (Internet provajderi su u potpunosti stavili svoje podatke na uvid), prvo je
osumnjiena za sada neimenovana devojka.
Glavni tab ministarstva odbrane Sjedinjenih Amerikih Drava, lociran u Arlingtonu, Virdinija
Po originalnim podeavanjima interpretira i izvrava jednostavan tekst u Java skriptu i Visual Basic skriptu.
3
Federalni istrani biro (engl.Federal Bureau of Investigation) fedaralna kriminalaistiko istrana agencija u
SAD.
2
Nalog za hapenje je izdat tek tri dana kasnije, jer na Filipinima ne postoji pravna regulativa koja
razmatra irenje malicioznih programa preko Interneta. Prvo je uhapen Riomel Lamores, koji je
koristei kompjuter svoje devojke (prvoosumnjiene) ubacio virus na Internet. Ubrzo je optuen
i njegov drug Michael Buen koji je pre godinu dana pokuao da diplomira na lokalnom koledu, a
za temu diplomskog rada je uzeo Kako ukrasti tue lozinke preko Interneta?.
Lista optuenih je nastavila da raste dok nije stala na jednaest osoba. Svi optueni su lanovi
neformalne grupe koja je lokalnim poslovnim ljudima pravila neophodan softver, a na Internetu
se predstavljala pod imenom GRAMMERSoft. Svi lanovi grupe su pohaali lokalni AMA
Computer College, a direktor kole je ukazao na osumnjiene lanove. Najvea zatvorska kazna,
ukoliko budu osueni, bie tri godine.
Posle suzbijanja virusa, na Internetu se je povela rasprava o sigurnosti OS Windows, kao i o
opcijama koje prosean korisnik nikada ne koristi, ali su zato vie nego primamljive za hakere.
Zvaninici kompanije Microsoft su izjavili da krivica nije na njima, jer su Active X i Windows
Scripting tu zbog lakoe korienja, a ne zbog hakera. Nova popravka za Outlook Express
iskljuuje mogunost automatskog pokretanja nekih skriptova i postavlja zid svim skriptovima
koji bi da prilaze adresaru, da bi se na taj nain onemoguilo nekontrolisano irenje virusa.
2.4.4.3. ta raditi?
Strunjaci za bezbednost savetuju klijente iji sistemi su bili inficirani sa Code Red II da
reformatiraju njihove tvrde diskove.
Postoji bojazan da su hakeri jo ranije pristupili inficiranoj maini i priinili jo nevidljivu tetu.
Prijavljeni su sporadini sluajevi usporenja na inae veoma brzom Internet servisu irom SAD.
Reeno je da su kablovnski modemi u Virdiniji i dravi New York ili spori ili neispravni.
U agenciji Associeted Press, pristup internetu za zaposlene je bio blokiran vei deo dana ali to
nije prekinulo prenos glavnih agenciskih vesti i foto usluga, meutim, kada je virus napao prvi
put, onemoguio je rad 250.000 kompjutera za 9 sati, te je naterao Belu Kuu da izmeni svoju
numeriku Web adresu i prisilio Pentagon da za kratko vreme zatvori sve javne web stranice.
ponedeljak ujutrom u decembru 1998 pre no to sam poao na posao, virus na mom komju teru se
je demaskirao: odjednom mi se zabelio ekran, a potom je gomila crnih crva sa utim glavama
dopuzala sa ivica mog desktopa ka sredini ekrana kao da jedu desktop. Potom se je pojavila
poruka : You have been hacked by the Praetorians.
Na kraju ove predstave nekakav crveni Pi signal se je pojavio nasred ekrana, sa crvljim glavama
slinim lopticama koje su odskakivale u nekom prostoru.
Bio sam sretan jer mi je sada bilo lake. Znao sam da je problem softverske prirode i nisam morao
da kupujem novi kompjuter.
Kada sam o ovom problemu informisao Susan Lesch u Mac Virus Com saznao sam da je ovo virus
koji napada Macintosh i da se zove Code 9811. Prijavio ga je kompaniji Symantec veanin Tommy
Sandstrom. Reenje za otklanjanje ovog virusa je pru io Symantec u svojim definicijama za
SymantecAntiVirus i Norton AntiVirus programe u 1998. Godini.
Kada sam preuzeo probnu verziju Norton AntiVirus programa i sa njim skenirao stare
kompresovane rezervne kopije mog celog tvrdog diska, mogao sam da naem kopije ovog virusa.
Ovaj virus je plasiran 7.avgu sta 1998.godine, a kada sam shvatio da se radi o virusnoj infekciji ve
je bila sredina decembra iste godine. Ovo pokazuje da se je virrus umnoavao veoma polako u
nekom odreenom vremenu a potom se pojavio izvravajui svoj kod punom snagom.
Bilo ko dobitkom neke udne poruke kada pokuava da pokrene neke aplikacije na MacIntosh
komjuterima bi trebalo da posumnja u virus Code 9811.
lozinke. Softverski gigant Microsoft predstavio je nov program za bezbednost interneta nazvan
info kard, koji ukida potrebu upisivanja imena korisnika i lozinke. Info kard e imati niz
bezbednosnih funkcija za koje kompanija kae da tite korisnikove privatne informacije.
Aplikacija koja je sastavni deo OS Windows a koja obezbeuje informacije o stanju kompjutera i aplikacijama
koje se izvravaju, iskoritenosti procesora i memoriskih resursa
2
Interpreter komandne linije u operativnom sistemu Windows
3
Sistemski administrator koji je odgovoran za odravanje tehniki naprednih informacionih sistema
4
Sistemmski direktorijum u kojem su smetena podeavanja i opcije za operativni sistem Windows
3. TROJANSKI KONJ
3.1. Pojam Trojanskog konja
Za maliciozni program koji treba da postigne svoj cilj moraju da se obezbede uslovi za njegovo
izvravanje bez mogunosti njegovog brisanja ili prekidanja izvravanja koda. Da bi se instalirao
prvi put u mnogome mu pomae prikrivanje (Slika 7), i to na nain da se predstavi kao neto
poeljno to e zainteresovati korisnika kompjutera (Symantec, 2006). U ovom sluaju korisnik
ga instalira jer ga jednostavno tera elja da ima neto korisno i nije svestan kakve ga nevolje
oekuju. Ovo je tehnika Trojanskih konja.
Sl.7 Jedan od oblika ponude upakovanog Trojanskog konja korisniku kompju tera
Infekcija se moe pokazati odmah na taj nain to e se videti jedan ili vie efekata zaraze, kao
na primer brisanje korisnikih datoteka, ili e, to se ee deava, instalirati tetni program u
korisniki sistem da bi posluio dugoronim ciljevima tvorca virusa. Trojanski konji poznati kao
droperi se koriste da bi pokrenuli aktivnosti crva na taj nain to crva ubacuju u korisniku
lokalnu mreu.
Trojanski konj slui kao jedan od najeih naina distribucije pijunskih programa, sakrivenih
u nekom poeljnom softveru koga e korisnik preuzeti na nekoj web stranici. Kada korisnik
instalira softver, zajedno sa njim se instalira i dodatni program. Autor ovog dodatnog programa
koji nastupa na legalan nain moe ukljuiti jedan korisniki ugovor o korienju softvera gde e
precizirati nain rada ovog softvera, ali znajui pri tom da je mala verovatnoa da e korisnik
uopte proitati ili razumeti ovaj ugovor (Ivan Toman,2008).
Postoje i trojanski konji u slubi policije koji se bave prikupljanjem informacija sa ciljem
otkrivanja krivinog djela (engl. Remote Forensic Softver). Taj oblik pijuniranja graana je u
nekim zemljama pravno utemeljen i vri se po sudskom nalogu (npr. SAD, Australija), u nekima
je i pored sukoba sa ustavom u fazi pripreme (Nemaka, Austrija, vajcarska), dok je u nekima
odbijen (Kaspersky,2007). Takvi trojanski konji se ire instalacijom ili aktuelizovanjem
komercijalnih operativnih sistema i drugih softverskih i hardverskih komponenti kompjutera,
kao i putem internet servis provajdera infiltriranjem u postojee mehanizme prenosa podataka,
koji takvu mogunost u svojim produktima i uslugama, na zahtjev dotine drave, moraju
predvideti.
3.3. Etimologija
U svom predavanju povodom dodeljivanja ACMTuring priznanja u 1983.godini, Ken Tompson
(Ken Thompson,1983) je naglasio da je mogue dodati kod u UNIX-ovu naredbu za logovanje
koja e prihvatiti ili namerno ifrovanu lozinku ili poznatu lozinku, pri emu e dozvoliti prolaz
pozadincu sa sledeim unosom lozinke. ak ta vie, Thompson je uveravao da sam kompajler
moe da bude modifikovan tako da generie aljiv kod koji e uiniti otkrivanje te modifikacije
jo teim. To je tako radi toga, tvrdio je on, to je kompajler sam po sebi program koji je
generisan od strane kompajlera, i trojanski konj se moe takoe automatski instalirati u novom
kompajlerskom programu bez bilo kakve modifikacije koja bi mogla biti otkrivena u izvoru tog
novog kompajlera.
3.4. Primer
Jednostavan primer trojanskog konja bi bio program pod nazivom waterfalls.scr gde njegov
autor tvrdi da je to besplatan screensaver 1. Kada se pokrene, on raspakuje sakrivene programe,
komande, skripte i veliki broj komandi sa ili bez korisnikog znanja ili svesnosti o tome.
Udaljeni pristup.,
Slanje elektronske pote.,
Unitavanje dokumenata.,
Trojanski konj koji se preuzima.,
Proxy Trojanski konj.,
FTP Trojanski konj (dodaje ili kopira dokumenta sa zaraenog kompjutera).,
Onemoguavanje bezbednosnog softvera .,
Napad u vidu odbijanja servisa (DoS).,
URL Trojanski konj (upuivanje zaraenog kompjutera da sam uspostavi vezu sa
Internetom preko nekog veoma skupog servisa).,
Kompjuterski program koji je izvorno kreiran da bi spre io pojavu snega na CRT ekranim a kada kompjuter
nije u upotrebi, yamenom sa pokretnim slikama ili samo sa jednobojnim ekranom.
3.9. Prikrivanje
Trojanski konji se sakrivaju korienjem registra, na taj nain to u registru dodaje neke
podatke kako bi omoguio svoje pokretanje svaki put kada se ukljui kompjuter. Takoe koristi
metode koje omoguuju da maliciozni program funkcionie dok je kompjuter ukljuen.
Osim ovog, trojanski konj je kombinovan sa velikim brojem datoteka koje izgledaju sasvim
legalno. Trojanski konj se aktivira kada se otvore datoteke koji su kombinovane sa njim. Kada je
ovaj postupak u toku onda tu uestvuju jo neki programi koji pomau u izvoenju napada.
Utie na sisteme: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT,
Windows Server 2003, Windows XP
Trojanski konj Backdoor spada u grupu trojanskih konja koji otvaraju zadnja vrata i
dozvoljavaju udaljenom napadau da neovlateno pristupa kompromitovanom kompjuteru.
Zatita
Inicijalna objavljena verzija 26.januar 1998
Zadnja objavljena verzija 18. januar 2008 revizija 040
Inicijalna dnevna verzija 26.januar 1998 revizija 007
Zadnja dnevna verzija 07.februar 2008 revizija 019
Inicijalna nedeljna verzija 26.januar 1998
Oblik pretnje
Nekontrolisan
Wild nivo: Srednji
Broj infekcija: Vie od 1000
Broj sajtova: Vie od 10
Geografska distributivnost: Visoka
Uklanjanje: Umereno
Oteenja
Nivo oteenja: Srednji
Distribucija
Nivo distribucije: Nizak
Po izvravanju ovog virusa dogaaju se slede e akcije: Kreira svoju kopiju u %Windir% ili
%System% direktorijum.
Panja:
%System% je varijabla koja se odnosi na System direktorijum. Po originalnom podeavanju to je
C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), ili
C:\Windows\System32 (Windows XP).
%Windir% je varijabla koja se odnosi na Windows instalacioni folder. Po originalnom
podeavanju to je C:\Windows (Windows 95/98/Me/XP) ili C:\Winnt (Windows NT/2000).
Modifikuje registar tako da se izvrava svaki put kada se pokrene operativni sistem. U najveem
broju sluajeva ovaj trojanski konj koristi jednu ili vie taaka za pokretanje da bi bio siguran da
e se pokrenuti uz pokretanje sistema.
Kada se pokrene po prvi put, deava se da prikae neke poruke o nastalim grekama kako bi
korisnik pomislio da je program oteen, a za to vreme u pozadini kompjuter se inficira.
Preporuke
Iskljuiti i deinstalirati sve nepotrebne servise. Po originalnom podeavanju, mnogi operativni
sistemi instaliraju servise koji nisu kritini, kao to je FTP server 1, telnet i Web server. Ovi
servisi su avenije za izvrenje napada. Ukoliko se oni uklone, ove meane pretnje imaju manje
prostora za napad a korisnik ima manje servisa za odravanje putem auriranja sa novim
definicijama.
1
Kompjuter koji slui kao server za rad na FTP (File Transfer)protokolu za prenos podtaka gde se koristi TCP/IP
mrena komunikacija.
Ukoliko ovakve pretnje zaposednu jedan ili vie mrenih servisa, onemoguite rad ili blokirajte
pristup ovim servisima dok se nove aurirane definicije ne primene. Uvek drite vae definiciske
nivoe aurirane, posebno na kompjuterima za javne servise, a koji su dostupni preko vatrenog
zida, a kao to su HTTP, FTP, pota, i DNS servisi (na primer, svi Windows kompjuteri bi trebali
imati instaliran trenutno najnoviji servisni paket). Pored toga, primenite sva bezbednosna
auriranja koja su ovde pomenuta.
Primenite lozinke. Sloene lozinke omoguavaju da njihovo otkrivanje na zaraenim
kompjuterima bude teko. Na ovaj nain ete spreiti veu tetu.
Konfiguriite Va server za elektronsku potu da blokira ili ukloni elektronsku potu koja sadri
dodatke koji se uglavnom koriste za irenje virusa, a sa ekstenzijama .vbs, .bat, .exe, .pif and .scr
datoteke.
Brzo izolujte infektni kompjuter da bi spreili dalje infekcije. Ove inficirane kompjutere vratite u
normalno stanje korienjem medijuma u koje imate poverenje.
Obuite zaposlene da ne otvaraju dodatke u elektronskoj poti koje oni nisu oekivali. Takoe
nemojte pokretati softvere koji su preuzeti sa interneta bez da ste ih prethodno skenirali sa AV
programom. Jednostavno poseivanje zaraenog web sajta moe prouzrokovati infekciju ako
odreeni pretraivai nisu aurirani novim definicijama.
o
o
o
o
o
o
o
3 Na polju System Restore, oznaite Turn off System Restore ilir Turn off System Restore on
all drives. Ako nevidite polje System Restore, znai da niste logovani kao Administrator.
4 kliknite Apply.
5 Kada vidite potvrdnu potvrdu kliknite Yes.
6 kliknite OK.
elite da ukljuite Windows XP sistem za restauraciju
1 klik na Start.
2 desni klik na My Computer, a potom k lik na Properties.
3 Na polju System Restore, oznaite Turn on System Restore ili Turn on System Restore on
all drives. Ako nevidite polje System Restore, znai da niste logovani kao Administrator.
4 kliknite Apply.
5 Kada vidite potvrdnu potvrdu kliknite Yes.
6 kliknite OK.
Panja: Kada u potpunosti zavrite sa postupkom uklanjanja i zadovoljni ste to ste otklonili
opasnost, ponovo ukljuite sistem za restauraciju prema navedenim instrukcijama.
2. Auriranje AV programa
Postoje dva naina da dobijete najnovija auriranja za va AV program. Najlaki nain je
automatsko auriranje (uko liko se nalazite na mrei i samo pratite zahteve AV softvera) jednom
nedeljno, svaki drugi dan ili dnevno, osim ako virus ve ne postoji u sistemu. Ukoliko je tako,
onda trebate proveriti da li na adresi vaeg AVproizvoaa postoji odgovarajui tretman za tu
odreenu vrstu malicioznog programa.
Drugi nain za auriranje je preuzimanje definicija sa adrese vaeg AV proizvoaa i njihovo
manuelno instaliranje.
3. Skeniranje i brisanje inficiranih datoteka
Prekontroliite da li je va AV program podeen da skenira sve datoteke na vaem kompjuteru i
pokrenite AV skeniranje. Odaberite Full System Scan. Ukoliko otkrijete ijedan inficirani
dokumenat, obriite ga bez obzira koliko vam je on vaan.
Vano: Ukoliko niste u mogunosti da pokrenete va AV program ili vas on izvesti da ne moe
obrisati detektovani dokument, pokrenite skeniranje sa AV skenerom u Sigurnom modu. Na
vaem kompjuteru potraite preko menija Help odgovor na pitanje: Kako da pokrenem
kompjuter u sigurnom modu (How to start computer in Safe Mode). Kada ste restartovali
kompjuter i pokrenuli Sigurni mod, ponovo skenirajte kompjuter.
Kada obriete sve inficirane dokumente, restartujte kompjuter u normalnom modu i nastavite
dalje ka sledeem koraku. Kada restartujete kompjuter moda ete i dalje imati poruke
upozorenja, budui da opasnost jo uvek nije otklonjena. Ove poruke moete ignorisati i
pritisnuti OK. Kada u potpunosti kompletirate instrukcije za uklanjanje virusa ove poruke s e
vie nee pojavljivati.
Poruka moe biti slina ovoj:
U desnom prozoru izbriite bilo koju vrednost koja je otkrivena u toku skeniranja.
Napustite Registry Editor.
5. Ureivanje Win.ini file
UPOZORENJE: Sledei koraci vam govore kako da uklonite tekst sa run= redove na Win.ini
datoteci. Ako koristite starije programe, oni su moda uveeni na poecima jedne od ovih
redova. Ako ste sigurni da je tekst koji se nalazi na ovim redovima od programa koje vi
normalno koristite, onda nemojte da ih dirate.
Ako koristite Windows 95/98/Me, pratite ova upustva:
klik Start > Run.
Upiite sledee:
edit c:\windows\win.ini
Panja: [NAZIV DATOTEKE TROJANSKOG KONJA] odnosi se na naziv datoteke koji je otkriven u
toku skeniranja.
Ukoliko postoji ovakav red, izbriite sve ono to je desno od run=
kliknite File > Save.
kliknite File > Exit.
6. Ureivanje System.ini file
Ako radite na Windows 95/98/Me, pratite sledee korake:
kliknite Start > Run.
Upiite sledee:
edit c:\windows\system.ini
Panja: [NAZIV DATOTEKE TROJANSKOG KONJA] odnosi se na naziv datoteke koji je otkriven u
toku skeniranja.
Ukoliko ovakav red postoji, obriite sve sa desne strane od Explorer.exe.
Kada budete gotovi trebalo bi da izgleda ovako:
shell = Explorer.exe
4. CRVI
4.1. Pojam crv
Crv je program koji se iri samoumnoavanjem kroz kompjuterske mree. Crv je samostalni
program za razliku od virusa i ne treba mu drugi program da bi radio.(D.Solea, 2001)
Crv je, kao i virus, napravljen tako da se kopira sa jednog kompjutera na drugi, samo to on to
radi automatski, preuzimanjem kontrole nad funkcijama kompjutera koje omoguuju prenos
datoteka i podataka.(Kaspersky, 2007)
Kada crv ue u sistem, on dalje moe da putuje sam. Velika opasnost kod crva jeste njihova
sposobnost da se umnoavaju u ogromnom broju. Na primer, crv bi mogao da poalje kopije
sebe samog svima iz vaeg adresara u programu za elektronsku postu Outlook Express, a zatim
bi njihovi kompjuteri uradili to isto, ime se izaziva domino efekat zaguenja u mrenom
saobraaju to usporava poslovne mree i Internet u celini, a primer za to je globalno usporenje
Interneta pri maksimalnom irenju jednog od najpoznatijih i najrairenijeg virusa dananjice,
crva MyDoom.
Kada se oslobode, novi crvi se ire veoma brzo, zaguujui mree, to moe da znai duplo due
ekanje da se otvore Web stranice na Internetu.
Za razliku od virusa, crvi nisu deo drugih programa, ve su to posebni programi koji se prenose i
izvravaju koristei slabosti operativanog sistema, a posebno programa za transmisiju podataka
na Internetu. Prvi crv se je pojavio 1978.godine, a stvorila su ga dva istraivaa u Xerox PARC
istraivakom centru.
Prvi koji je pridobio veu panju je crv po imenu Morris, koji se pojavio 1988. godine i koji je
vrlo brzo zarazio puno kompjutera a koristio je greke u UNIX 1 operativnom sistemu.
Najuobiajeniji nain instalacije je na SMTP serveru kada kompjuter slui kao taka sa koje s e
alju neeljene elektronske reklamne poruke (SPAM), najee komercijalne prirode. Ima
sluajeva da su kompjuteri na koji su instalirani crvi sluili kao potencijalne take sa kojih s e
izvode DDoS napadi (Distributed Denial of Service), pa je bilo pokuaja ucena velikih kompanija.
Ukratko, DDoS napad predstavlja pokuaj obaranja bilo koje vrste serverskog sistema na
Internetu, uz pomo neprekidnog slanja velikog broja klijentskih zahteva, u nadi da e sistem
doiveti kolaps kada dostigne potpuno iskorienje svojih resursa, a ovo se obino odnosi na
iskorienost memorije i broj procesa.
Crv je podklasa virusa. Crv se obino iri bez pomoi korisnika i sam distribuira sopstvene
potpune kopije (moda izmenjene) irom mrea (Wikipedia,2007). Poto crvima nije potreban
program-host ili datoteka da bi putovali, oni takoe mogu da se kriom uvuku u va sistem i
omogue nekom drugom da daljinski kontrolie va kompjuter. Svei primeri crva jesu crvi
Sasser i Blaster.
Kompjuterski operativni sistem, originalno razvijen 1969. godine, od strane grupe zaposlenih u AT&T u Bell
laboratoriji, sa Kenom Tompsonom (Ken Thompson), Denisom Riijem (Denis Ritchie) i Daglasom Mekilrojem
(Douglas MacIlroy)
Premda sam termin pijunski program daje sugestiju da se radi o vrsti programa ija je
namena pijuniranje korisnika, funkcije ovog malicioznog programa prevazilaze ta oekivanja.
pijunski programi mogu prikupljati razliite tipove personalnih podataka, ali takoe mogu da
se umeaju u korisniku kontrolu kompjutera i to na vie naina, kao to je instalacija dodatnog
softvera, preusmeravanje aktivnosti Web pretraivaa, pristupanje nekim Web stranicama to
moe prouzrokovati sakupljanje vie tetnih virusa ili ak preusmeravanje isplata ka treoj
strani. pijunski program moe ak da izmeni komjuterska podeavanja to rezultira malom
brzinom konektovanja, gubitak nekih programa i sl.
Neki pijunski programi su preusmeravali rezultate pretrage po pitanju plaanja robe naruene
preko oglasa. Neki drugi, programi za krau (engl. stealware) izmenjivali su trgovake kodove
tako da je isplata odlazila na raun kreatora pijunskog programa, a ne prodavcu.
Ponekad se pijunski programi instaliraju kao trojanski konji neke vrste. Razlikuju se u tome da
li se njihovi tvorci predstavljaju otvoreno kao deo poslovnog sveta, kao na primer prodaja
prostora za reklamiranje na oglaivakim karticama (engl. pop-up) koje stvaraju maliciozni
programi. Ovakvi programi se nude korisniku uz korisniki ugovor to se radi sa namerom da se
zatiti kreator ovog malicioznog programa od zakonske odgovornosti zbog krenja zakona u
vezi kompjuterskog poslovanja.
Kao odgovor na rastuu potrebu borbe protiv ove vrste malicioznog programa, razvila se je
itava mala industrija za razvoj anti-pijunskih softvera te postala veoma znaajan elemenat
kompjuterske sigurnosti. Pojavili su se novi anti pijunski zakoni, koji ciljaju na bilo koji softver
da je namenski instaliran u cilju dobijanja kontrole nad komjuterom nekog drugog korisnika.
podatke u vezi Web pretraivanja pa i na nauna istraivanja. Neki tvrde da je Alexa Toolbar,
jedan Internetski plug-in koji je sainila kompanija Amazon.com, ustvari pijunski program.
Mnoge kompanije koje distribuiraju ovakve reklamne softvere poseduju milione dolara koje su
zaradili upravo na nain da su generisali budetske prihode preko ove vrste softvera. Reklamni i
pijunski programi su veoma slini virusima po tome da mogu biti po prirodi zli, meutim, ljudi i
dalje profitiraju na ovoj vrsti pretnje i inei da oni postaju sve popularniji i popularniji.
Slino tome, programi koji se predstavljaju kao usput-oglaavaki kao na primer P2P, se
ponaaju kao pijunski, (i ukoliko se uklone onemoguuju rad parent programa) pa premda je
to tako, ljudi jo uvek imaju elju za njihovim preuzimanjem.
pijunski program se ne iri direktno na taj nain kao to to radi virus ili crv: generalno, infektni
sistem ne pokuava da prenese infekciju na druge kompjutere. Umesto toga pijunski program
ulazi u sistem preko dozvole korisnika (Slika 9) ili korienjem slabosti softvera.
Najvie pijunskih programa je ipak instalirano bez korisnikog znanja. Obzirom da korisnici
nisu skloni instaliranju softvera ukoliko znaju da e taj softver ometati njihov rad na
kompjuteru i naruavati njihovu privatnost, pijunski programi varaju korisnike bilo sa
smetanjem na eljeni softvera kao to je na primer Kazaa, to je zapravo trik kako bi se korisnik
lake ubedio da ga instalira (metod koji koriste Trojanski konji). Neki lani anti-pijunski
programise maskiraju kao bezbednosni programi, dok su ustvari, i sami, pijuni.
Distributer pijunskih programa uglavnom predstavlja program kao koristan alat na primer
kao Web accelerator ili korisnog softverskog agenta. Korisnik preuzima i instalira program bez
imalo sumnje da bi mu mogao naneti nekakvu tetu. Na primer, Bonzi Buddy, program u koga je
upakovan pijunski program, namenjen za decu, tvrdi : Da e on pretraivati Internet zajedno
sa vama kao ve najbolji prijatelj i desna ruka! On moe govoriti, etati, aliti se, pretraivati,
raditi sa elektronskom potom, i preuzimati sa Interneta kao niko od vaih prijatelje koje ste
ikada imali! On ak ima sposobnost da uporeuje cene proizvoda koje vi volite i na taj nain e
vam pomoi da utedite novac! Najbolje od svega je to je on besplatan! .
pijunski program se takoe moe pojaviti upakovan u drugi program koji se moe preuzeti sa
Interneta a koji se plaa jednako kao muziki CD. Korisnik preuzima i instalira taj program a
instaler u dodatku instalira i pijunski program. Iako taj eljeni siftver nee uiniti nikakve tete,
onaj dodatno upakovani pijunski program hoe.
U nekim sluajevima, autori pijunskih programa plaaju odreeni iznos autorima tih poeljnih
programa da bi upakovali svoj softver u njihov.
U nekim drugim sluajevima, autori ovih programa prepakuju te poeljne softvere s a
instalacionim datotekama koje dodaju pijunski program.
Trei nain distribucije ovih programa ukljuuje varanje korisnika putem manipulisanja
bezbednosnim osobinama koje postoje da bi spreile neeljene instalacije. Internet Explorer
spreava Web stranice u pokretanju neeljenih preuzimanja pojedinih softvera. Zahteva se
korisnika akcija kao to je klik na link. Meutim, linkovi se mogu pokazati lani: na primer,
reklamni prozori se moe pojaviti kao standardna dialog kartica. Ta kartica sadri poruku na
primer: Da li bi ste eleli da poboljate pristup Internetu? sa dugmadima na kojima pie Yes i
No. Bez obzira na koje dugme korisnik pritisne, preuzimanje poinje, a pijunski program se
smeta na korisniki sistem. Zadnje verzije Internet Explorera daju manje prilike za ovu vrstu
napada na sistem.
Neki autori pijunskih programa inficiraju sisteme preko bezbednosnih greaka u Web
pretraivau ili na drugom softveru. Kada korisnik zaluta na Web stranicu koju odrava autor
pijunskih programa, naii e na kod koji napada pretraiva i prisiljava ga da preuzme i
instalira pijunski program.
Omiljena meta instalacije pijunskih programa je Internet Explorer. Njegova popularnost i
istorijat razvoja bezbednosti su ga uinili najeom metom napada. Njegova duboka integracija
sa sistemskim okruenjem i sript mogunosti su uinili da on bude oigledna taka za
napadanje. IE takoe slui kao taka za prihvatanje pijunskih programa u obliku pomonih
pretraivakih objekata (engl. Browser Helper Object) koji modifikuju ponaanje pretraivaa
da bi dodao neku traku sa alatkama ili preusmerili saobraaj.
U nekoliko sluajeva se je desilo da su crvi omoguili instalaciju pijunskih programa. Neki
napadai koriste Spybot crva za instaliranje ovih programa koji izbacuje pornografske reklamne
prozore na ekranu inficiranog kompjutera.
brzo biti inficirana sa mnogim drugim komponentama. Korisnici esto primeuju neeljena
ponaanja i umanjenje sistemskih performansi. Prisutnost pijunskih programa moe
prouzrokovati znaajnu neeljenu aktivnost procesora, iskorienja diska, pove anje mrenog
saobraaja. Sve ovo znaajno usporava rad kompjutera. Pad stabilnosti sistema, kao umanjenje
postojanosti aplikacija i kolaps sistema se retko deavaju. pijunski program, koji uglavnom ima
interakciju sa mrenim softverom uglavnom prouzrokuje probleme u vezi sa Internetom.
U nekim infekcijama, pijunski program nije ak ni primetan. Korisnici dolaze u situacije da
probleme povezuju sa hardverom, problemima sa instalacijom ili virusima. Neki vlasnici veoma
inficiranih sistema su ak kupili nove kompjutere poto je postojei kompjuter postao previe
spor. Ovakvi sistemi zahtevaju reinstalaciju operativnog sistema kako bi povratili punu
funkcionalnost.
Retko se deava da samo jedan neeljeni softver uini da kompjuter bude neupotrebljiv. Ako je
takav, verovatno ima mnogo infekcija. U jednoj studiji kompanije AOL iz 2004. godine je
naglaeno, da ukoliko kompjuter ima instaliran samo jedan pijunski program, tada sigurno ima
instalirano jo tuce drugih razliitih programa. Kumulativni efekt i interakcija meu pijunskim
programskim komponentama, prouzrokuje simptome koje korisnici uglavnom prijavljuju kao:
kompjuter koji puzi, vue se, ima mnogo nekakvih parazitskih procesa koji se deavaju na
sistemu ... .
Neki tipovi pijunskih programa onemogue rad vatrenih zidova i anti-virusnih sistema, i /ili
umanje sigurnosno podeavanje pretraivaa, tako otvarajui sistem ka drugim infekcijama, kao
bolest pada imuniteta. Neki pijunski programi su u mogunosti da onemogue rad ili ak
uklone suparnike pijunske programe. Jedan tvorac ovih programa, (kompanija Avenue
Media), je tuila konkurenta (kompaniju Direct Revenu) u vezi ovog. Posle su se njih dvoje
namirili dogovorom da ne onemoguavaju rad jedno drugom.
Neki drugi tipovi pijunskih programa (na primer Targetsoft) modifikuju sistemske datoteke da
bi bilo tee da se uklone. Targetsoft modifikuje Windows Sockets (Winsock) datoteke. Brisanje
datoteke inetadpt.dll koja je inficirana pijunskim programom, e rezultirati prekidom
normalne upotrebe mree.
Za razliku od korisnika na drugim operativnim sistemima, tipian Windows korisnik ima
administrativne privilegije uglavnom kao prednost. Zbog ovog, bilo koji program koji korisnik
pokrene (namerno ili nenamerno) ima takoe neogranien pristup sistemu. pijunski program,
zajedno sa drugim pretnjama, je uputio neke Windows korisnike na druge operativne sisteme
kao to je Linux ili Apple Macintosh koji su otporniji na maliciozni kod. Ovo je zbog toga to ovi
sistemi ne pruaju po originalnom podeavanju neogranieni pristup operativnom sistemu.
Kao i na drugim operativnim sistemima, i Windows korisnici su u stanju da primenjuju principe
najniih ovlatenja i da koriste neAdministratorske klauzule o najogranienijem pristupu, ili da
redukuju ovlatenja posebno ranjivih procesa u vezi sa Internetom kao to je Internet Explorer
(upotrebom alata kao to je DropMyRights). Meutim, poto ovo nije konfiguracija originalno
postavljena, malo korisnika koristi ovu mogunost.
Reklama za neki proizvod ili uslugu koja se oglaava na nekoj web stranici. Uglavnom treptave manje sliice
sa jarkim bojama koje privlae panju.
2
Markentinki termin za ekskluzivnu robu ili uslugu.
Zlob trojan ili samo Zlob, preuzima sam sebe na korisnikom kompjuteru preko ActiveX kodeka i
prenosi informacije dalje ka kontrolnom serveru. Neke informacije mogu biti po primeru onih iz
korisnike istorije pretraivanja, web stranice koje su poseene ili ak pritiskanja na pojedine
tipke.
6.2. EXPLOITI
Exploiti su programi koji iskoritavaju odreenu slabost nekog programa, oni najee sami ne
nanose tetu i postoje samo da bi se demonstrirala slabost nekog programa, ali njihove usluge
esto vrlo rado k oriste crvi, virusi, pijunski programi i sl.
6.3. WEBBITI
Specijalna i veoma retka varijanta malicioznog programa. Za razliku od virusa, ne inficiraju
programe ili dokumente na hostu, ve su to posebni programi koji se najee automatski
pokreu. Za razliku od crva, ne koriste mreu da bi se irili ve se samo replikuju u okviru
zaraenog kompjutera. Obino su maliciozni, koriste se najee kao baza za DDoS napade.
7. SPAMOVI
7.1. Objanjenje pojma spam
Slanje spamova predstavlja zloupotrebu sistema slanja elektronske pote uz slanje zbrkanih
velikih poruka koje korisnik neoekuje. Dok je najire rasprostranjena forma spamova ona u
vezi elektronske pote, ovaj termin se takoe odnosi na slinu zloupotrebu medijuma:
neposredni spamovi sa porukama, spamovi na Usenet1-u, spamovi Web pretraivakih maina,
spamovi u faks transmisiji, spamovi sa Internet foruma, spamovi u porukama sa mobilnih
telefona.....
Slanje spamova je ekonomski isplativo zbog toga to oglaivai nemaju nikakvih operativnih
trokova u vezi upravljanja njihovim spiskom za slanje pote, a uz to je voma teko naplaivati
poiljaocima pote za masovno slanje poruka. Zbog slabih barijera po pitanju ulaska ove vrste
pote, oni koji alju spamove su brojni, a koliina neeljene pote postaje veoma velika (Slika
10).
Trokovi, prouzroeni smanjenom produktivnou i falsifikovanjem, su zabeleeni i u drutvu i
kod internet servis provajdera, koji su prisiljeni da dodaju dodatni prostor za ove nametnike.
Slanje spamova je veoma podmukao posao, i postalo je predmet dnevnog reda zakona mnogih
drava.
7.2. Istorijat
iroko je rasprostranjeno verovanje da je termin spam izvuen iz skea SPAM od Monti Pajtona
(Monty Pithon) u 1970. godini, gde u nekom kafani postoji meni i skoro svaka stavka tog menija
Kovanica rei User i network za u sve tu iroko rasprostranjeni sistem diskusionih grupa.
ukljuuje SPAM mesni obrok. Kako konobar recituje stavke tog menija sa SPAM-ovima, hor
vikinga koji su takoe tu gosti prekidaju diskusiju i pevaju pesmicu stalno ponavljajui SPAM,
SPAM, SPAM, SPAM... lovely SPAM, wonderful SPAM, to ustvari pedstavlja SPAM voenje
dijaloga.
Drugo miljenje je vezano za jedan drugi ske a u vezi obroka britanskih vojnika u II Svetskom
ratu. SPAM je bio jedan od malobrojnih mesnih obroka koji je vojnicima bilo tako odvratan te da
je stoga bio dostupan na svakom koraku.
Premda je prvi poznati primer pojavljivanja neeljene komercijalne elektronske pote u 1978.
godini (ovakvo elektronsko slanje poruka se ve odvija u svim moguim medijumima, sa do
tada prvim registrovanim primerom spama poslatog telegramom u maju 1864. godine), termin
spam iz ovog razloga jo uvek nije bio primenjen. U 80- im je ovaj termin prihvaen da bi opisao
neke korisnike koji su esto zloupotrebljavali chat servis tako to su ponavljali veliki broj puta
re SPAM tako da drugi korisnici nisu mogli upisati nita na ekran.
U ranim chat servisima kao to je bio PeopleLink i u ranim danima kompanije AOL, oni su
doslovno preplavljivali ekrane ovom rei. Osim to je ovo bila taktika da se iz dijaloga oteraju
pridolice, kao to je ve bilo opisano, ovo je korieno da se spree lanovi protivnikih
rivalskih grupa u prepisci. Na primer, ljubitelji Ratova Zvezda1 su esto koristili Star Trek chat,
popunjavajui prostor blokovima teksta sve dok ljubitelji Star Treka nebi odustali. Ovaj in,
prethodno nazvan plavljenje, je kasnije postao po znat kao pravljenje spamo va. Uskoro je ovaj
termin onaavao veliku koliinu teksta koja je poslata od strane brojnih uesnika.
Kasnije se je ovo koristilo na Usenet (kovanica User i Network) za ponovljena slanja jedne te
iste poruke. Neeljena poruka se je pojavljivala u svim grupama novosti jednostavno kao SPAM
koji se je pojavljivao u svim stavkama menija u ske u Montija Pajtona.
Prva upotreba u ovom obliku bila je u sluaju Joel Furr u martu 1993 godine, gde je jedan
eksperimentalni softver poslao vie desetina istih poruka na adresu grupe za novosti
news.admin.policy.
1998. godine, u Engleskoj, New Oxford Dictionary, koji su u prolosti definisali spam samo u vezi
sa markom hrane koja se je pojavljivala na tritu, dodali su novi smisao ovoj rei spam:
Nevana i neodgovarajua poruka poslata na Internet velikom broju News grupa ili korisnika.
Nauno fantastina serija koja se je emitovala kod nas na TV u kasnim 70-im god.
Sve je prisutnije da se spamovi danas alju putem zombi mrea, koje su u stvari mree
kompjutera koji su zaraeni virusima ili crvima po domovima ili kancelarijama irom sveta.
Mnogi moderni crvi instaliraju pozadince koji spamerima dozvoljavaju pristup ka kompjuteru. U
isto vreme postaje jasno da autori malicioznih programa, spameri i drugi u ovoj sivoj zoni, ue
jedni od drugih i verovatno stvaraju razliite vrste partnerstava.
Elektronska pota je jedan ekstremno jeftin medijum, i profesionalni spameri su automatizovali
njihove postupke do krajnosti. Tako je slanje spamova postalo veoma profitabilno, ak i tamo
gde bi inae bilo normalno ne oekivati neku veliku zaradu.
Uspostavljena je ak delatnost za sakupljanje adresa kompjuterskih korisnika koja je namenjena
iskljuivo za tu svrhu i zaradu ostvaruju prodajui te databaze. Jeftino se prodaju milioni
elektronskih adresa.
Grupa pozadainskih trojanskih konja (Backdoor Trojan Horses) koji koriste relejne govorne kanale na
internetu (Internet Relay Chat) da bi pokretali DoS (Denial of Service) napade.
moe biti posebno iritirajue za potroae, ne samo zbog nelagodnosti ve i zbog plaanja
rauna za slanje poruka. Termin SpaSMS je nastao na web sajtu Adland u 2000. godini sa ciljem
opisivanja SMS spama.
Web sajt za deljenje videa odakle korisnici m ogu preuzimati, gledati i deliti vlastite video klipove. Formiran
sre dinom februara 2005.godine od strane troje bivih PayPal zaposlenih.
veina poravnala izvan suda, u toku poznate Earthlink nagodbe koja je kompaniju Cyber
Promotions izbacila iz poslovnog sveta.
2005. godine, Deson Smeders (Jason Smathers), bivi radnik kompanije America Online, bio je
optuen na osnovu naruavanja odredbi CAN-SPAM lana. On je u 2003 godini prodao spisak od
otprilike 93 miliona adresa AOL pretplatnika onu Danaveju (Sean Dunaway), koji je taj isti
spisak preprodao tvorcima spamova.
U junu 2007, dva oveka su osuena po osam taaka optunice zbog toga to su slali milione
spamova gde su se nalazili pornografski sadraji. Defri Kilbrajd (Jeffry A.Kilbride), star 41
godinu iz Kalifornije je osuen na 6 godina zatvora, a Dejms afer (James R.Shafer), star 41
godinu, iz Paradise Valley iz Arizone na 63 meseca zatvora. Uz to su kanjeni novanom kaznom
od 100.000 dolara, te osueni da plate odtetu od 77.500 dolara kompaniji AOL, te oduzimanje
bespravno steene imovine koja je steena nezakonitim poslovanjem u iznosu od 1.1 miliona
dolara. Optuba je obuhvatala, udruivanje radi kriminalne delatnosti, falsifikovanje, pranje
novca, transport opscenog sadraja itd. Sud koji je poeo u junu, bio je prvi koji je ukljuivao
odredbe CAN-CPAM zakona iz 2003 godine. Ovaj zakon je osmiljen sa namerom da slomi
prenos pornografije u spamovima.
8. ANTI-VIRUSNI SOFTVER
8.1. Pojam Anti virusni softver
Ve vie od dve decenije, kompjuterski virusi su prisutni na sceni, gde predstavljaju stalnu i
realnu pretnju svim vrstama kompjuterskih sistema irom svijeta. Veoma esto, virusi su
povezani s velikim finansiskim gubicima, posebno kad je re o infekcijama kompjuterskih mrea
velikih kompanija, iako dotini virusi moda i nisu bili napisani u cilju izazivanja tete, a mnogi
koji i jesu, nisu izazvali onu vrstu tete koja se je od njih oekivala.
Iako je ova pretnja svakim danom sve vea, to zbog veeg broja kompjutera, to zbog njihovog
boljeg i raznovrsnijeg povezivanja, tehnologija koja joj se odluila suprostaviti, te ima za cilj
obranu kompjuterskih sistema od virusa, naalost, nije dovoljno prihvaena kod korisnika. Sa
jedne strane, mnogi ne znaju, niti ele znati kako antivirusni programi funkcioniu, a sa druge
strane, antivirusni sistemi (Slika 11), se esto shvaaju kao skupi programi koji ne donose
nikakav profit. Kao rezultat, anti-virusni programi, ako i jesu instalirani, vrlo su esto nepravilno
konfigursani ili neaurirani.
Skraenica AV, u uem smislu znai anti-virus, dok u irem opisuje industriju, proizvode, te
usluge koji se bave zatitom kompjuterskih sistema od virusa.
o
o
Proaktivni modul malo usporava rad kompjutera prilikom pokretanja programa, ali za veinu
korisnika dobitak prevazilazi taj mali gubitak na performansama. Pre instalacije novog
antivirusnog programa trebalo bi da za svaki sluaj iskljuite sistem za restauraciju (Start > All
Programs > Accessories > System Tools) odaberite opciju Create a restore point i sledite
arobnjaka k likom na Next. Nakon toga deinstalirajte anti-virusne programe i vatrene zidove
(za onaj od Windowsa ne treba brinuti) koje imate na svom kompjuteru jer mnogi anti-virusni
programi zbog proaktivne zatite ne mogu istovremeno funkcionisati na istom kompjuteru.
Ako Vam se dogodi da nakon instalacije AV programa ne moete pretraivati Internet i ne
funkcionie Vam lokalna mrea, razlog je u tome to ste instalirali anti-virusni program sa
vatrenim zidom, a ve imate instaliran neki vatreni zid na kompjuteru - tada deinstalirajte
postojei.
Anti-virusni alati se u nekim sluajevima prodaju zajedno sa vatrenim zidom, anti-pijunskim
programima i slinim alatima. Anti-virusni program i njegova baza podataka sa poznatim
primercima virusa funkcioniu zajedno u cilju otkrivanja virusa koji ulaze u sistem.
Maina je uobiajeno predstavljena kao korisnika platforma, te prua osnovni set funkcija i
kontrola za podeavanje funkcionisanja anti-virusnog softvera. Sastoji se od mnogo sloenih
algoritma za traenje primeraka, CPU emulatora 1, te raznih formi programske logike. Maina
odreuje koje e datoteke skenirati, koje funkcije pokretati, te kako delovati u sluaju kada
posumnja da je u odreenoj datoteci pronaen virusni kod. Ipak, sama maina ne zna nita o
virusima, i gotovo je bespomoana bez baze podataka sa primercima virusa (engl. signature
database).
Baza podataka sa primercima sadri potpise desetine hiljada virusa. Kako se novi virusi
pojavljuju velikom brzinom, od posebnog znaaja je da se baza podataka stalno aurira novim
1
Dupliranje funkcija jednog sistema korirenjem drugog sistema, tako da se taj drugi sistem ponaa na isti
nain kao i prvi.
primercima. Tako je 1995. godine kao generalna preporuka vaila da se baze nadopunjuju bar
jednom meseno, dok je danas taj rok oko jednom nedeljno, a za kritine sisteme i svakodnevno.
Danas se svi antivirusni programi mogu lako i brzo aurirati preko interneta, a mnogi taj posao
maksimalno pojednostavnjuju automatizacijom.
Baza sa primercima, osim egzaktnih stringova, sadri i neka pravila koja antivirusni programi
koriste za heuristiko skeniranje. Ukoliko se pojavi novi virus, koji ne postoji jo u bazi
podataka, antivirus ga ne moe pronai, osim prema ve spomenutim pravilima ponaanja, tj.
ako utvrdi da bi se odreena datoteka prilikom izvravanja ponaala prema nedozvoljenim
pravilima, bie klasifikovana kao sumnjiva. Ovakvo skeniranje je mnogo sporije nego ono koje
samo trai poznate stringove, te mu efikasnost znaajno varira od proizvoda do proizvoda.
Mnogo proizvoda nam daje na volju koliko elimo duboku heuristiku analizu - to je ona dublja,
to je vie pravila obuhvaeno njome, a samim tim i proces je sporiji, ali je zato mogunost
otkrivanja nepoznatog virusa vea.
Skeniranje datoteka je mogue u tri reima:
o
o
o
Najefikasnije skeniranje je konstantno, tj. u pozadini se stalno izvrava antivirusni program koji
skenira sve procese koji se izvode na kompjuteru. Meutim, ovo moe dosta usporiti sistem,
zavisno o njegovoj brzini, te postavkama i karakteristikama samog AV programa, ali i o vrsti
posla koji se obavlja na kompjuteru. Uz to, AV programi koriste i dosta sistemske memorije,
kako bi testirali odreene sekcije koda datoteka koje se proveravaju. Dakle, potrebno je pronai
zlatnu sredinu, tj. AV program mora omoguiti zatitu kompjutera, a pri tome korisnik mora
moi nesmetano koristiti sve sistemske resurse, ili bar veliku veinu.
Rani virusi su prilikom infekcije programa, svoj kod ubacivali na odreeno mesto u programu,
tako da je pri skeniranju bilo dovoljno potraiti to mesto i videti da li na njemu postoji virusni
kod, izbegavajui skeniranje datoteke od vrha do dna i tako uveliko tedei vreme. Danas, to vie
nije sluaj, pa je ponekad potrebno pregledati celu datoteku. Tako mnogi AV programi imaju
implementiranu mogunost da koriste pregled kompletnih datoteka, to znatno usporava
izvonje operacija.
Postoji mogunost da prilikom skeniranja legalnog programa, AV softver naie na kod koji se
sasvim sluajno podudara sa nekim iz baze primeraka, ili u skladu sa pravilom ponaanja,
prijavi neinficiranu datoteku kao inficiranu. Naalost, lanih uzbuna ima uvek, no u posljednje
vreme su ipak sve rei, jer programeri koriste sve bolje procedure za njihovo izbegavanje.
Nastankom novih, kompleksnijih virusa, skeniranje koristei iskljuivo baze sa primercima
postaje sve nepouzdanije. Neki virusi ak ni nemaju karakteristian kod po kom bi se mogli
prepoznati bez greke. Ima virusa koji nastoje ubaciti svoj kod u podruja programa koja su ve
prije bila skenirana, ili smetaju svoje podatke u direktorijume ili datoteke koje se uobiajeno ne
skeniraju (npr. .cab datoteke). Zatim, virusi koriste promenjive enkripcije koda, menjaju formu,
te mutiraju, sve u pokuaju da se to bolje sakriju od AV programa.
U mnoge antivirusne programe danas je ugraena metoda provere (engl. checksum), kao
dodatna sigurnosna opcija za traenje nepoznatih virusa. Ovim putem se proveravaju datoteke,
te se trai da li su se menjale od vremena poslednje provere. Prilikom provere, stanja
proverenih datoteka se zapisuju u posebnu bazu podataka. Ukoliko promene veliine datoteke
nema, znai da nije dolo do njene infekcije u tom periodu. Ako se promena dogodila, ona moe
biti legitimna, ali moe biti i virus. Da bi AV softver otkrio o emu se radi, preduzimaju se
dodatne radnje nad takvim datotekama (skeniranje, obavetavanje korisnika itd, zavisno o
pretpostavkama).
Zatim, AV programi se koriste u svom radu deifrovanjem ifrovanih virusa, jer mnogo je virusa
danas ifrovano, koji se prilikom infekcije automatski ifruju na drugi nain, to dovodi do
drugaijeg potpisa, i tako ifrovani virus se ne podudara sa svojim primerkom u AV bazi
primeraka. Ukoliko se pronae algoritam za deifrovanje, on se smeta u bazu primeraka
zajedno sa primerkom.
Emulacijom programa AV programi se koriste najee za otkrivanje polimorfnih virusa.
Program kojega se proverava, emulira se u simuliranom orkuenju operativnog sistema, tj. antivirus nastoji simulacijom izvoenja dotinog programa proceniti to bi se dogodilo ako se
program zaista pokrene. Tada na snagu stupaju ve spomenuta pravila ponaanja, te ukoliko se
pree prag tolerancije, datoteka se smatra sumnjivom ili inficiranom.
Heuristika analiza datoteka, iako vrlo korisna za otkrivanje novih, nepoznatih virusa, ima lou
stranu to nikada ne moe biti 100% pouzdana. Neki produkti se hvale sa 80%-tnom
pouzdanou otkrivanja virusa bez poznavanja njihovih primeraka. Drugi problem je taj to
ovakvo skeniranje trai i dosta procesorskog vremena, a u sluaju veih i komplikovanijih
datoteka i mnogo sistemske memorije, pogotovo kod emuliranja izvravanja programa.
Prilikom heuristikog skeniranja, skeniranoj datoteci se dodeljuju bodovi, koji oznaavaju da li
je datoteka bila pozitivna na odreenom testu pravila ponaanja. to vie bodova prikupi, to je
na vie testova bila pozitivna, te se ukoliko pree pretpostavljenu granicu, smatra sumnjivom
(nia granica) ili inficiranom (via granica). Usput se proveravaju datoteke samo na
uobiajenim mestima na kojima se virusi u njima najee nalaze, jer datoteke mogu biti
ogromne, te bi njihovo kompletno proveravanje trajalo veoma dugo. Npr. video datoteka od par
gigabajta se skenira u trenu, jer se pretrai samo njen mali deo (obino je re o poetku
datoteke, prvih nekoliko linija koda), dok bi njeno kompletno skeniranje trajalo minutima (sa
dananjim uobiajenim brzinama kompjutera). Navedena metoda se naziva statikim
skeniranjem.
Za razliku od statikog skeniranja, kod dinamikog skeniranja se program jo dodatno emulira,
a ono se obino preduzima samo ukoliko je broj bodova u statikom skeniranju bio relativno
veliki. U virtuelnom okruenju pokree se kod sumnjive datoteke i prati ponaanje simuliranog
sistema. Jasno je da e ovakvo izvoenje operacija zahtevati priline sistemske resurse
kompjutera, ali to je cena koja se mora platiti ukoliko se eli relativno mono traenje
nepoznatih virusa. Moe se primetiti da se dinamiko skeniranje ne preduzima ukoliko je u
statikom datoteka zadovoljila, tj. sa malim brojem bodova, to je u sutini dvosekli ma - tedi
se izuzetno puno sistemskih resursa, meutim, neki virusi mogu ostati neotkriveni bez
dinamike heuristike analize. Napomenuemo samo, kako ni dinamika analiza nije
svemogua, te poneki maliciozni program moe i pored nje proi neotkriven, zavisno o njegovim
namerama.
Izolovani kompjuter, tj. onaj koji nije spojen na kompjutersku mreu, nakon infekcije virusom,
nema velike anse za samoizleenje, jer mu nedostaje osnovno sredstvo za borbu protiv virusa poznavanje samog sebe. Dakle, ukoliko je virus proao neopaeno jer nije prepoznat, ni u
vremenu koje predstoji, sam od sebe, dotini kompjuter nee nauiti nita novo o virusu. Sa
druge strane, kompjuter koji je povezan na mreu, ve ima vee mogunosti, jer u sluaju
infekcije moe lako pozvati pomo od strane kompjutera koji nisu zaraeni.
Kada su pomenuta 4 osnovna naina na koji AV programi pokuavaju spreiti zarazu
kompjutera, navedeno je praenje stanja svih sistema koji su povezani na osnovni sistem
izvetavanja, ali nije reeno nita detaljnije. Sistem o kome je re , tj. sistem izvetavanja, zapravo
prati stanje svih svojih delova, na nain da ima jedan ili vie centralnih servera koji slue kao
mozak sistema, a svaka radna stanica (nazovimo tako ostale sistemske kompjutere), izvrava
na sebi klijentski dio anti-virusne aplikacije, koji prati zdravstveno stanje na toj stanici.
Centralni server moe biti lociran unutar LAN mree, ali moe biti i na serveru u laboratoriji
proizvoaa anti-virusnog sistema.
Ukoliko sistem praenja zdravstvenog stanja odreene radne stanice posumnja u prisutnost
virusa, kojeg ne pronalazi u svojoj bazi primeraka, on tada pravi kopiju sumnjivog programa, te
ju alje centralnom serveru na analizu. Nakon prijema sumnjive datoteke, server ju prosleuje
testnom kompjuteru. Na tom kompjuteru, u kontroliranim uslovima, nepoznati i sumnjivi kod
se moe bez opasnosti pokrenuti, jer je to kompjuter namenjen iskljuivo za potrebe takvog
testiranja, te je on izdvojen od ostalih, i komunicirati moe jedino sa centralnim serverom, i to
pod odreenim i vrlo strogim uslovima.
Testni kompjuter tada pokree celi niz specijalizovanih koraka, da bi to je mogue bolje
izvestio o ponaanju sumnjivog programa u praksi, tj. u stvarnim uslovima izvoenja. Cilj ovog
postupka na testnom kompjuteru je da on pokua (ukoliko je zaista re o virusu) izdvojiti
njegov primerak, te pronai nain za njegovo uklanjanje sa sistema. Kao rezultat analize, testni
kompjuter alje natrag centralnom serveru, primerak virusa i metodu za njegovo uklanjanje s a
inficiranih kompjutera. Centralni server dalje distribuira svim klijentskim kompjuterima
dopunu baze sa primercima, te lek, tj. program ili to je ve potrebno za ienje inficiranih
kompjutera, k oji se automatski izvrava bez potrebe za korisnikom intervencijom.
Meutim, ukoliko testni sistem nije u mogunosti pronai nain za ienje zaraenih
kompjutera, tada centralni server alje virus programerima koji su i inae zadueni za analizu
virusa na daljnju runu obradu, i to je jedini sluaj kada bi ovakav sistem trebao zatraiti
intervenciju korisnika.
Iako je zamisao vrlo dobra, mnogo je jo otvorenih pitanja koja valja reiti pre nego to se
ovakvi sistemi ponu masovno primenjivati u praksi, te da im pouzdanost bude na
zadovoljavajuem nivou. Optimistika predvianja nekih AV proizvoaa ukazuju na to, da e u
dogledno vreme biti mogue ostvariti ovakav sistem na bazi celog Interneta, kada bi se na
klijentskim kompjuterima pokretale aplikacije za praenje sistema, a ulogu centralnih servera i
testnih kompjutera bi obavljali moni kompjuteri u laboratorijima AV proizvoaa. Koliko e
se od cijele ove zamisli na kraju zaista i ostvariti, ostaje da se vidi, ali prema nekim
pokazateljima, imuni sistemi imaju budunost.
8.5.2. Kraa
Neki virusi pokuavaju prevariti AV softver prekidanjem njihovih zahteva ka operativnom
sistemu. Virus se moe sakriti prekidanjem AV softverskih zahteva za itanjem datoteke i
preputanjem zahteva virusu umesto operativnom sistemu. Potom virus moe vratiti jednu
nezaraenu verziju datoteke ka AV softveru tako da izgleda kao da je datoteka neinficirana.
Moderni AV softveri primenjuju raznovrsne tehnike da prevaziu ove viruske mehanizme.
Jedini potpuno pouzdan metod za izbegavanje krae jeste pokretanje sistema sa nekog
medijuma za koga se zna da je nezaraen.
8.5.3. Samo-modifikacija
Veina modernih AV programa pokuava da pronae modele virusa unutar obinih programa
skenirajui ih prema takozvanom virusnom potpisu. Potpis je karakteristina mustra bajtova
koja je deo odreenog virusa ili porodice virusa. Ukoliko AV skener pronae prilikom skeniranja
takvu mustru AV program odmah izvetava korisnika o postojanju virusa. Potom se korisniku
peputa mogunost da izbrie datoteka ili da ga proba oistiti ili poporaviti. Neki virusi koriste
tehniku da onemogue AV skenere da ih prepoznaju po potpisu to im teko uspeva pa stoga
primenjuju modifikaciju koda pri svakoj infekciji, to znai da svaki sledei virus ima drugu
varijantu koda.
Kada se utvrdi da je sistem inficiran, ne treba upadati u ishitrene i nepromiljene akcije. Prvo,
poeljno je nainiti kopije vanih podataka, a potom pomou antivirusnog programa utvrditi o
kakvom se tipu virusa radi i da li sa istim programom moe i da se ukloni. Ako ne moe, na
Internetu je najverovatnije mogue pronai specijalni program za uklanjanje tog tipa virusa.
Ako nema uspeha u pronalaenju odgovarajueg programa za ienje, treba potraiti uputstva
za manuelno uklanjanje virusa. Ukoliko i taj pokuaj ne urodi plodom, ostaje opcija da korisnik
sam utvrdi o kom procesu se radi i na koji nain se isti pokree. Treba znati da pored velikog
iskustva koje je potrebno za tako neto, uspeh u tome nikako nije siguran, pa lako moemo doi i
do nekih polureenja za koja moemo samo misliti da su konana.
Poslednja opcija je formatiranje tvrdog diska i reinstalacija sistema, uz prethodno sainjavanje
rezervne kopije podataka, to je vremenski najzahtevnija opcija, ali u nekim sluajevima i
neizbena, uzimajui u obzir da je za neke vrste infekcije potreban izuzetno visok nivo znanja i
iskustva da bi se kompjuter dezinfikovao.
Pri izboru anti-virus softvera, potrebno je posebno obratiti panju na reputaciju firme koja ga
proizvodi, kao i na miljenje korisnika koje se lako moe pronai po forumima i u raznim kako
tampanim, tako i online publikacijama. Koliina malicioznog programa koju AVprogram moe
da otkrije je moda i manje vana od sposobnosti brzog auriranja programa sa najnovijim
primercima malicioznog softvera, dakle osobine da je to pre po pojavi novog malicioznog
programa, anti-maliciozni program sposoban da isti i pronae. U praksi, poznatiji programi se
auriraju skoro svakodnevno sa novim definicijama.
od ostalih programa, zato to nudi anti-virus za Palm OS, UnErase program koji vraa izgubljene
dokumente i Wipe, koji brie sve sto bi neki drugi program mogao ponovo da vrati u sistem.
McAfee.com Clinic U vreme kada su svi radili na inovacijama i anti-virus programima, McAfee je
poeo nuditi online zatitu za svoje lanove. McAfee Clinic je u stvari etiri programa u jednom:
VirusScan, First Aid, Oil Change i UnInstaller. Korisnici se prijave, preuzmu malu aplikaciju i
onda surfaju do McAfee.com da koriste programe. Ima sline karakteristike kao i Trend Micro
PC-cillin2000. Peporuuje se korisnicima koji su u pokretu, ili za manje firme kojima treba lako
reenje za skeniranje virusa. Ovo je pogodno reenje ako ne elite da se prebacujete sa jednog
programa na drugi. Za korisnike koji trebaju fleksibilan virus-skener, ovo nije najbolje reenje.
Osim pomenutih softvera svakako moramo da pomenemo najomiljenije AV softvere na naem
tritu gde imamo sledee:
o
o
o
o
Kaspersky Internet Security 7.0, ili Kaspersky Antivirus 7.0, od kompanije Kaspersky.,
NOD 32, i novije verzije ovog AV softvera od kompanije ESET.,
Avast od kompanije Alwil Software koji se za kune korisnike I edukativne svrhe moe
preuzeti besplatno.,
AVG od istoimene kompanije koji takoe postoji kao besplatan za kune korisnike i
obrazovanje.
Korisnik moe izbrisati taj sadraj odabirom komande Delete Cookies, sa kartice Internet
Options u IE.
Netscape Navigator verzije 4 i vie imaju dokument koji se zove cookies.txt. Za pronalazak
kliknuti Start>Find (ili Search u Win2000/Me) >(For)-Files or Folders, i saekati da Windows
pronae cookies.txt; potom ga izbrisati. Za konano reenje pitanja kolaia, moe se pretraiti
Internet (www.downloads.com) i testirati neki od programa kao CookiePal ili CookieCrusher.
6. Neu priati sa strancima bez zatite.
Mnogi misle da su sigurni kada komuniciraju sa osobama koje znaju, ali zlonamerne osobe i web
stranice koriste sakupljae, bilo u vidu samostalnih programa ili trojanskih konja koje ba osoba
sa kojom korisnik razgovara ima na svom kompjuteru a da to i ne zna. Korisnika elektronska
adresa moe biti zapisana i kada on zna da je nije nikome saoptio.
Najbolji nain za sigurno komuniciranje je: ne dozvoliti da instant-messaging radi u pozadini.
Iskljuiti ako se ne koristite i podesiti softver da sakrije korisniku prisutnost na internetu. Ako
je tu AOL Instant Messenger, odabrati My AIM>Edit Options>Edit Preferences i selektovati
Privacy opciju.
7. Pretraivati anonimno.
Za maskiranje identiteta ili Internet adrese, koristiti neku od mnogih anonimnih servisa koji su
dostupni na internetu. Mnogi rade na ovom principu: Korisnik se prikljuiti na njihovu Web
stranicu i odlazi odatle gde eli. Servis maskira njegovu Internet adresu i menja je sa svojom.
Pretraiti internet traei servis anonimne pretrage radi izbora odgovarajueg servisa.
8. Ne pretraivati WWW bez vatrenog zida
Ako je korisnik prikljuen na mreu irokog opsega (engl. broadband) kao ADSL ili kablovsku,
prikljuen je na Internet kad god je kompjuter ukljuen. To ga ini metom hakera u potrazi za
kompjuterom sa kojim se ele igrati. Mogu se zaustaviti vatrenim zidom, program koji spreava
ulaz u korisniki kompjuter i slui kao straar na vratima prema internetu.
9. Ne davati informacije bez preke potrebe
to vie linih podataka se saoptava, manje privatnosti se zadrava. Prema tome, otkriti to je
manje mogue detalja pri registracijama. Ne popunjavati bilo koje opciono polje za korisniki
profil.
10. ifrovati svoje elektronske poruke
Elektronske poruke nisu privatne. Administratori, hakeri ili bilo ko, ko ima elju da ita
elektronske poruke moe to da uradi. Za poverljive dokumente najbo lja odbrana je ifrovanje
poruke. Obavetajne slube to ne koriste bez razloga: Niko osim korisnika i osobe sa kojom on
komunicira ne moe da deifruje poruku. Postoji mnogo programa za ifrovanje koji su
jednostavni za korienje.
elektronske pote. Najbolje je, ipak, da ove usluge budu dodatak anti-virusnom programu na
kompjuteru, a ne zamena za njega.
Uvek je bolje koristiti nekoliko nivoa zatite, kae Brajan Berk (Brian Berk,2007), direktor
istraivakog odeljenja kompanije IDC. On smatra da e se davaoci Internet usluga razvijati kao i
druge korporacije koje su usvojile centralizovane serverske uslune programe, umesto da s e
oslanjaju samo na anti-virusne programe na korisnikim kompjuterima. Sa bezbednosne tak e
gledita, to je vrlo povoljno za korisnike, naroito one koji ne auriraju definicije virusa,
zakljuuje Berk.
Meutim, ne treba misliti da svi davaoci Internet usluga pruaju ovu zatitu. Jedan manji davalac
Internet usluga (koji je eleo da ostane anoniman) tvrdi da uvoenje zatite od virusa nije
vredno truda. Dovoljno je teko obraditi ogroman broj poruka elektronske pote koje primalac
dobija. Ako tome dodate i zatitu od virusa, trebae vam mnogo procesorske snage i propusnog
opsega, ali se njegov predstavnik. Klijentima e se verovatno svideti zatita, ali e se onda
pojaviti vei problem: Ako dobiju virus, klijenti e kriviti nas.
Iako su sve ove pretnje, koje su u dosadanjim tekstovima navedeni, stvarne; ne treba biti
paranoidan. Korisniku trebaju programi koji e ga zatititi i upozoriti na opasnosti koja dolazi.
Mnoge pretnje na Internetu se tiu kunih korisnika kao i kompjutera u kancelarijama. Virusi su
pretnja i jednima i drugima. Druge pretnje pogaaju samo kune korisnike, kao na primer
kompanije koje prate korisnike navike kupovine ili sakupljaju line podatke.
9. ANTI-PIJUNSKI PROGRAMI
(engl.SPYWARE)
9.1. Nastanak anti-pijunskih programa
Mnogi programeri i neke komercijalne firme su napravile proizvode koji slue za uklanjanje ili
blokiranje pijunskih programa. Pionir je bio OptOut od Stiva Gipsona (Steve Gibson), i od tada
je ova kategorija alata razvijana dalje. Programi kao AdAware SE (Slika 12) komppanije Lavasoft,
Spybot Search & Destroy kompanije Patrick Koll, za veoma kratko vreme su postali popularni
jer su se pokazali kao efektni alati u uklanjanju ove vrste softvera. Nedavno je Microsoft
pripremio GIANT Antipijunski softver i dao mu naziv Antipijunski program beta i pustio ga u
promet kao besplatnog za originalne Windowse XP i Windows 2003. U 2006. godini ovaj softver
je primenovan u Windows Defender, i njegovo preuzimanje je omogueno u oktobru 2006.
godine. Windows Defender je sastavni deo Windows Viste.
Drugi poznati anti-pijunski programi su:
PCDoctor od kompanije PC Tools
Counterspy od kompanije Sunbelt Softver
Hijack This od kompanije Trend Micro
Spy Sweeper od kompanije Webroot Softver
XoftSpy od kompanije SE ParetoLogic
Glavne anti-virusne firme kao to je Symantec, McAfee i Sophos su se javile tek kasnije u ovoj
trci, dajui njihovim dotadanjim proizvodima osobinu mogunosti borbe protiv pijunskih
programa. Ispoetka su ove firme odbijale da poduzimaju bilo ta, navodei primere pravne
borbe izmeu pijunskih autora i autora web stranica koji su ih pogrdno nazivali pa su potom
bili oteeni nakon sudskog procesa.
Meutim, novije verzije ovih veih anti-virusnih firmi ukljuuju funkcije borbe protiv pijunskih
programa (Slika13), premda ih drugaije tretiraju od virusa. Na primer, Symantec kategorie
pijunski program kao produenu pretnju i sada nudi zatitu u realnom vremenu za ovu vrstu
softvera.
Anti-pijunski programi se mogu boriti protiv pijunskih programa na dva naina:
1. Mogu da obezbede zatitu u realnom vremenu protiv instalacije pijunskih softvera na
korisnikom kompjuteru. Ovaj vid zatite se obavlja na isti nain kao i anti-virus zatita sa tim
da anti-pijunski softver skenira sva dolazea dokumenta sa mree i proverava da li imaju
pijunski softver i blokiraju sve pretnje koje bi mogle doi sa te strane.
2. Anti-pijunski softveri mogu samostalno da se koriste za otkrivanje i uklanjanje pijunskih
softvera koji su ve instalirani na kompjuteru. Ovaj tip zatite od pijunskih programa je,
naravno, mnogo lake koristiti i zato su oni mnogo popularniji. Ova zatita od pijunskih
softvera moe da se obavlja nedeljno, dnevno ili mesenim skeniranjem kompjutera da bi se
otkrio i uklonio sa kompjutera. Ovaj tip anti-pijunskog programa skenira sadraje u registru,
datotekama operativnog sistema i instaliranim programima na kompjuteru i sainjavajui
spisak svih otkrivenih pretnji koje je pronaao, ostavljajui korisniku da li eli da ih brie ili
sauva. Pregledajui ove sadraje uporedie ih sve sa spiskom poznatih pijunskih komponenti.
Zatita u realnom vremenu funkcionie isto kao i istoimena virus zatita: softver skenira
datoteke na disku u vreme preuzimanja i blokira aktivnost komponenti za koje se zna da su deo
pijunskih programa. U nekim sluajevima moe i prekinuti pokuaje pijunskih programa da
ponu sa instaliranjem ili modifikovati podeavanje pretraivaa.
Ranije verzije anti-pijunskih programa se je uglavnom fokusirala na otkrivanje i uklanjanje.
Anti-pijunski program Blaster kompanije Javaco ol Softver, jedan od prvih koji je ponudio
zatitu u realnom vremenu, je blokirao instalacije bazirane na ActiveX i drugim pijunskim
programima.
Kao i veina anti-virus softvera, mnogi anti-pijunski softveri i alati zahtevaju esto auriranje
baza podataka. Kako se u opticaj putaju novi pijunski programi, kompanije za proizvodnju
anti-pijunskih programa ih pronalaze i procenjuju, inei nove definicije koje dozvoljavaju
softveru da pronau i uklone pijunski program. Kao rezultat, anti-pijunski softver je od
ograniene koristi bez redovnog izvora za auriranje. Neki prodavci obezbeuju servis
auriranja na bazi pretplate, dok drugi to daju bez naknade. Auriranja se mogu instalirati
automatski u neko odreeno vreme, prije skeniranja ili moe biti uraeno manuelno.
Ne oslanjaju se svi programi na definicije za auriranje. Neki programi se oslanjaju delimino na
njih (na primer mnogi anti-pijunski programi kao to je Windows Defender, TeaTimer i
Spysweeper) ili u potpunosti (programi u klasi Hips kao to je WinPatrol) na istorisku
opservaciju. Oni proveravaju odreene konfiguraciske parametre (kao to su odreene particije
u Windows registrima ili konfiguracija pretraivaa) i potom korisnika izvetavaju o bilo
kakvim promenama, bez ikakve procene ili preporuke. Prema tome, oni se ne oslanjaju na
definicije za auriranje, koje bi im dozvolile da primete noviji pijunski softver, a uz to ne nude
nikakve predloge koji bi posluili kao vodi. Korisniku je ostavljeno da utvrdi ta je to uradio i
da li je dotina konfiguracija validna.
Ako pijunski program nije blokiran i na neki nain se ipak instalira, on moe da se odupre
buduim pokuajima njegovog prekida aktivnosti ili deinstaliranja. Neki programi rade u
parovima: kada skener anti-pijunskog programa (ili korisnik) prekine proces rada pijunskih
programa, drugi uspostavlja ponovno pokretanje programa. Slino ovom, neki pijunski
programi e automatski otkriti pokuaje uklanjanja podataka u registru i automatski ih opet
dodati na isto mesto. Uglavnom restartovanje u sigurnom modu omoguava anti-pijunskom
programu veu mogunost za uklanjanje otpornog pijunskih programa. Unitavanje procesnog
drveta moe takoe dovesti do rezultata.
Nova vrsta pijunskih programa (Look2Me pijunski program od kompanije NicTechNetworks je
dobar primer) poinje se sakrivati unutar kritinih sistemskih procesa i pokree se ak i u safe
modu. Poto ne moe da se zaustavi njihovo izvravanje, daleko je tee otkriti ih i ukloniti.
Ponekad ne ostavljaju nikakav trag na tvrdom disku. Rootkit tehnologija, izgleda, takoe belei
poveano korienje, kao to je i upotreba NTFS promenjivih tokova podataka. Noviji pijunski
programi takoe imaju specifine protiv-mere protiv poznatih anti-malicioznih proizvoda i
mogu ih spreiti u izvravanju, u instaliranju, a ak su u stanju da ih deinstaliraju. Primer
korienja svih od ove tri metode je Gromozon, nova sorta malicioznog programa. On koristi
promenjive tokove podataka da bi se sakrivao. Korenski komplet alata ga sakriva od skenera
promenjivih tokova podataka i zaustavlja rootkit skenere u toku skeniranja.
AV System Care
Spydawn
ContraVirus
Spylocked
SysProtect
MalwareAlarm
Spy Ranger
Malware
Spy Sheriff
MagicAntiSpy
Spy Wiper
Registrycleanerxp.com
PCSecuresystem
UltimateClea ner
Pest Trap
PSGuard
SecurePCcleaner
WinFixer
SpyAxe
WorldAntiSpy
pijunski programStrike
26.januara 2006.god., Microsoft i dravni tuilac drave Vaington tuili su Secure Computer
zbog njihovog istaa pijuna (engl. Spyware Cleaner) . 04.decembra 2006.god, dravni tuilac
Vaingtona je objavio da Secure Computer mora da plati 1 milion dolara da bi se namirio sa
dravom. to se tie sluaja Microsoft, on se jo uvek nalazi u procesu reavanja.
Server koji ispunjava z ahteve svojih klijenata upuujui zahteve ka drugim serverim a. Server se konektuje sa
odreenim serverom zahtevajui uslugu u ime svog klijenta.
samo prikazuju dodatke ili prate ponaanje korisnika, i mogu daleko spremnije privui panju
institucija.
Neki korisnici instaliraju velike host datoteke koji spreavaju korisniki kompjuter da uspostavi
vezu sa poznatim web adresama gde se nalaze pijunski programi. Meutim, uspostavljanje
veze na numerike IP adrese, rae nego na ime domena, pijunski program moe preskoiti
ovaj vid zatite.
pijunski programi se mogu instalirati preko odreenih programa koji se pruzimaju uz plaanje.
Preuzimanjem programa samo sa izvora sa reputacijom obezbeuje nek akvu zatitu od ove
vrste napada.
Bonzi Buddy
Dope Wars
ErrorGuard
Grokster
Kazaa
Morpheus
RadLight
WeatherBug
EDonkey2000
itanje teksta ispisanog sitnim slovima prvi je korak u izbegavanju pijunskih programa.
Meutim, ukoliko se oni ve nalaze na tvrdom disku (a najverovatnije je tako), najbolje ete s e
odbraniti ako pokrenete program koji pregleda disk i trai poznate pijunske datoteke,
direktorijume, vrednosti u Registry bazi i kolaie, a zatim nudi njihovo brisanje. Pored toga,
nekoliko uslunih programa pregleda i memoriju da bi spreili instaliranje i pokretanje
pijunskih programa.
Princip rada personalnog vatrenog zida je da za svaki program koji hoe da uspostavi Internet
komunikaciju biva presretnut od strane vatrenog zida, kada korisnik moe da odobri ili zabrani
uspostavljanje veze. Na primer, ako smo instalirali neki Internet server na operativni sistem,
kao to je recimo FTP server, vatreni zid e pri prvom pokuaju komunikacije spoljnjeg klijenta
sa serverom upitati korisnika da li taj tip komunikacije dozvoljava ili ne, samo jednom ili
permanentno. Na taj nain, mogu se onemoguiti mnogi maliciozni programi koji otvaraju
prolaz za dolazei saobraaj. Pri svakom pokuaju programa instaliranog na sistemu da
uspostavi komunikaciju sa nekim Internet serverom, vatreni zid e takoe upitati korisnika za
dozvolu.
Vatreni zid moe predstavljati hardver ili softver koji onemoguava odreeni tip TCP/IP
komunikacije, te izmenu dve take u mrei. Na taj nain kontrolie se saobraaj i onemoguava
uspostava veze koja se uspostavlja da bi se kompjuter inficirao, a u sluaju ve inficiranog
kompjutera vatreni zid moe da onemogui rad backdoor virusa.
Filtracija TCP/IP paketa se moe vriti po nekoliko kriterijuma. Moe se ispitivati njihov sadraj,
i njihov izvor i odredite u smislu Internet adrese, kao i porta. Pritom se za kune korisnike
najee koriste personalni softverski vatreni zid sistemi koji filtriraju pakete po izvoru,
odreditu i portu.
Vatreni zid je znaajan faktor zatite u firmama gde su kompjuteri u internoj mrei (intranetu)
jednostavno nedostupni za dolazei saobraaj sa Interneta i obino se tu radi o gateway 1
sistemima koji su zapravo kombinacija rutera i vatrenog zida. Za kune korisnike, a posebno
one koji koriste Internet sa realnom Internet adresom, znaajna su softverska reenja.
Takoe, vatreni zid moe spreiti skeniranje kompjutera, na taj nain to blokira ICMP pakete
putem kojih napadai uglavnom saznaju za postojanje kompjutera na mrei. Dakle, ta haker
moe da uradi? Sve zavisi od prirode napada. Dok su neki napadi samo smetnja koja pravi
neslanu alu, drugi su stvoreni sa zlom namerom. Ovi ozbiljniji napadi mogu da pokuaju da
izbriu podatke sa vaeg kompjutera, srue sistem ili ak ukradu line podatke, kao to su
lozinke ili brojevi kreditnih kartica. Neki hakeri najvie vole da upadaju u nebranjene
kompjutere. Sreom, moete smanjiti rizik od infekcije korienjem zatitnog zida.
Kompjuter ili m rea koja dozvoljava ili kontrolie pristup drugim kom pjuterima ili mreama.
Nakon okvirne odluke o izboru zatitnog zida, treba razmotriti detaljne karakteristike svake
opcije kako bi ste u konanoj odluci pronaoreenje kojim e korisnik u potpunosti biti
zadovoljan, budui da svako od reenja ima svoje loe i dobre strane. U sluaju dvoumljenja,
treba se obratiti strunom licu ili se konsultovati sa prijateljima o njihovim reenjima.
slanja informacije napadaevom internet servis provajderu. Posle toga usledi iskljuenje
napadaa. Loa osobina ovog vatrenog zida je da ga se je teko reiti ako ga vie ne elite.
McAfee.com Personal vatreni zid je online servis sa malo opcija koje se mogu menjati. Obavlja
najvanije funkcije. Preporuuje se korisnicima ostalih McAfee proizvoda, kao i firmama da bi
lake sinhronizovale rad ostalih programa (vatreni zid, anti-virus, system tools...).
NortonPersonal vatreni zid 2007 (2008) Verzija, sa njim dolazi mnotvo funkcija koje se mogu
prilagoavati korisniku. Razni stepeni sigurnosti i sigurnosna pravila koja se mogu menajti, su
glavne karakteristike ovog programa. Zatita privatnosti, to ne postoji na ostalim programima
koje spominjemo je veoma dobra funkcija koju nebi trebalo zanemariti. Na primer, mogu se
uneti korisniko ime, prezime, adresa ili broj telefona,ali te informacije e biti spreene da se
alju putem internet aplikacija (ali ne i elektronskom potom).
Sygate Personal vatreni zid ima mogunost zatvaranja portova ako programi koji obino koriste
te izlaze nisu aktivni. Takoe postoji i mogunost postavljanja razliitog stepena sigurnosti za
razliito doba dana. Tako da kad korisnik ide na posao, a ne eli iskljuciti kompjuter, moe
postaviti veu sigurnost. Postoji mogunost otkrivanja intrudera kao i tehnika koje su oni
koristili pri pokuaju prodora u korisniki kompjuter.
Tiny Presonal (slob. prev. maleni/sitni) vatreni zid, iako se zove maleni/sitni, on je ravnopravan
sa ostalima na tritu. Besplatan je za linu upotrebu, uz doplatu za komercijalne korisnike.
Koristi manje resursa korisnikog kompjutera od ostalih programa. Nedostatak je da nije
razumljiv poetnicima. Upozorenja su veoma komplikvana, koja ak i napredni korisnici ne
mogu razumeti. Takoe ima mogunost daljinskog upravljanja, tako da kompanije mogu imati
centralizovan pristup svakom kompjuteru u mrei i menjati nivo zatite za svakog korisnika
posebno.
Na kraju, odluka koji je program najbolji, bie korisnikova. Kompanije moraju da dobro razmisle
ta da kupe. Kupovinu hardverskog vatrenog zida ne treba iskljuiti ni u kom sluaju, ako s e
radi o kompleksnoj kompaniji. Za kunu upotrebu kao i za manje firme, ZoneAlarm je dovoljan.
Sistem za restauraciju (Slika 15 i 16) pravi rezervne kopije sistemskih datoteka sa odreenim
ekstenzijama (.exe, .dll, etc.), sa izuzetkom datoteka u Documents direktorijumu, i uva u
velikom kompresovanom bloku za restauraciju ukoliko bude potrebna. Stvara rezervnu kopiju
za registre i veinu softvera ali ne pravi rezervne kopije podataka korisnika.
Za razliku od Windowsovog sistema za restauraciju, Time Machine od kompanije Apple, i Time
Vault od kompanije Gnome prave rezervne kopije i korisnikih dokumenata.
Sl.16 Kartica za odabir vraanja stanja na stanje pre izvrene zadnje operacije
Sistemska rezervna kopija je zadnja linija odbrane protiv gubljenja ili oteenja sistemskih
datoteka. Budui da ovaj sistem zahteva najmanje jednu kopiju postojeih datoteka zahtevan je i
prostor u mamoriji za te kopije. Postoji mnogo razliitih naina za njen smetaj.
Sl.17 Windows Vista - kart ica na kojoj ete odrediti kakvu rezervnu kopiju dokumenata elite
Stvaranjem kopije sadraja koji se samo ita, programi za stvaranje sistemskih kopija datoteka
su u stanju da pristupe svakoj datoteci bez meanja sa drugim programima dok vre upisivanje
u te iste datoteke. Takoe, korisnici mogu pristupiti njihovim datotekama budui da su oni
postojali u vreme pravljenja ove kopije i doi do neke ranije verzije datoteke ili povratiti neku
datoteku koja je grekom izbrisana. Ovaj proces nemoe tei u suprotnom pravcu, to znai da
korisnik nemoe u ovu kopiju smestiti neku noviju verziju nekog dokumenta.
11.3.3. TimeVault
TimeVault (Slika 19) je ekvivalent Linux operativnog sistema za stvaranje sistemske rezervne
kopije, kao to je to za Shadow Copy kod Windows Viste i Vremensku mainu kompanije Apple.
Kao i mnoga druga sredstva za pravljenje sistemske kopije datoteka, stvara sistemsku kopiju
kojamoe da poslui za restauraciju sistema u nekom vremenu. Njegove snimke su u stvari
kopije direktorijuma u nekom vremenskom trenutku. Snimanje se ne vri za dokumente gde nije
bilo nikakvih promena, ali zato koristi veze ka podacima za koje ve postoji rezervna kopija.
Odgovor je ovde jasan oni koji stvaraju ovu vrstu softvera, jednostavno je kreiraju za
operativni sistem koji je najzastupljeniji. Takoe, moe se pretpostaviti da oni stvaraju taj isti
maliciozni softver na vlastitim kompjuterima koji imaju, takoe, isti taj najupotrebljivaniji
operativni sistem, budui da su ga najbolje upoznali i znaju gde su mu slabe take na koje treba
napadati. Da bi stvaraoci ovog koda pravili viruse za Linux OS, ili bilo koji drugi, bilo bi
potrebno da ga savreno upoznaju to, naravno, iziskuje i vremena i novca.
Prema tome, u zatiti od ovog nepoeljnog softvera, reenje nikako ne treba traiti u promeni
operativnog sistema koji se trenutno koristi, ili koristiti manje koriten i manje savren
operativni sistem pod pretpostavkom da ga takve osobe nee koristiti za stvaranje virusa.
Reenje za taj problem treba potraiti na nekom drugom mestu, a to bi bio proces dodatne
edukacije i prevaspitavanja (to je malo verovatno), te proces redovnog i pravovremenog
edukovanja vaspitavanja.
Budui da smo ve duboko zali u informatiko doba, da ivimo u vreme gde ni jedna
zanatska radionica ne posluje bez pomoi kompjutera, gde deca u svojim domovima
poseduju vlastite kompjutere, dolo je vreme da doe i do informatizacije i u
obrazovanju, te da se kao prvi korak uvede informatika u najnie razrede osnovne kole
uporedo sa uenjem prvih slova. Ve tada, prije no to deca pokrenu kompjuter, treba im
govoriti o etikim normama pri njegovom korienju. Ve od malena, deca trebaju da
shvate da je pravljenje malicioznog softvera zloin, a ne nekakvo pametno i zabavno
delo, da od takvih dela tetu mogu da imaju uglavnom njima nepoznati ljudi ili njihovi
prijatelji, pa i oni sami, gde su oni kao zloinci nia kategorija od obinog zloinca budui
da im nedostaje odgovarajua motivacija za razliku od njih.
U ovom sluaju kada na serverima postoji Linux operativni sistem, moemo imati radne stanice
pod istim operativnim sistemom, dok umreeni kompjuteri u kancelarijama mogu da budu pod
operativnim sistemom Windows.
o
o
o
Ukoliko se radi o organizaciji koja prvenstveno posluje sa multimedijom, glavna mrea prema
Internetu mogla da ima na serverima MacIntosh Apple operativni sistem budui da Linux ne
podrava multimedijumu. Ovaj operativni sistem se moe preporuiti budui da se napad iz
okruenja moe o ekivati od malicioznih softvera koji su stvarani na Windows platformama,
budui da su ove platforme najzastupljenije u istom okruenju. Radne stanice bi takoe mogle
biti pod istim operativnim sisitemom dok bi ostali kancelariski kompjuteri i dalje bili pod
operativnim sistemom Windows.
Po ostalim pitanjima, kao to je korienje legalnog operativnog sistema, korienje kvalitetnog
anti-virusnog i anti-pijunskog softvera, ukljuivanju vatrenog zida, obuci zaposlenih i kontroli
rada zaposlenih na kompjuterima, treba biti sve isto kao to je gore navedeno.
Symantec Security, Frdric Perriot Senior Softver Engineer (2007): Win32/Simile and
Metamorphic Virus Code, www.symantec.com/,.
Tema:
Metoda: Upitnik
Uzorak: 50 ispitanika
Mesto:
U okviru izrade diplomskog rada na temu Kompjuterski virusi, nastala je potreba za izvrenje jednog
istraivanja na gore navedenu temu, kako bi se utemeljile pretpostavke o ponaanju kompjuterskih
korisnika u odnosu na ovu uvek aktuelnu opasnost, te opravdali predlozi izneti u diplomskom radu
o potrebi za njihovom sveobuhvatnijom edukacijom.
U svakodnevnim razgovorima sa kompjuterskim korisnicima, uzimajui u obzir one koji koriste
iskljuivo svoje kune kompjutere, te one koji osim svojih vlastitih koriste i kompjutere u tuem
vlasnitvu koji su im sticajem odreenih okolnosti povereni na upotrebu, moemo naii na razliite
odnose prema bezbednosnim merama u pogledu zatite od malicioznog softvera.
Posmatranjem istih korisnika u radu na poverenim mainama moemo doi do zakljuka da je
njihovo miljenje u skladu sa njihovim ponaanjem, tako da je primetan veliki varijetet u odnosu
prema poverenoj im tehnici.
Budui da ve postoje neka vladajua shvatanja o ovom odnosu, te da na osnovu tih shvatanja mogu
postojati odreena oekivanja po pitanju rezultata, bilo je potrebno izvriti jedno istraivanje kako
bi se utvrdio taj odnos na jedan obuhvatniji i egzaktniji nain, obzirom da u svakodnevnim
razgovorima i posmatranjem nailazimo tek na deo korisnikog tela koji nam moe dati krivu
predstavu o postojeem problemu.
Populacija koja je obuhvaena u ovom ispitivanju su studenti Pedagokog fakulteta u Somboru,
obzirom da predstavljaju jedan veoma reprezentativan uzorak kompjuterskih korisnika koji su na
Pedagokom fakultetu gde danas studiraju zapravo samo preslikali svoje svakodnevno korisniko
kuno ponaanje kome je dodat jo jedan novi veoma znaajan element korienje maina koje su
u tuem vlasnitvu.
Moe se zakljuiti da se njihov odnos prema ovom problemu prije poetka studija nije promenio, a
ukazivanjem ovog novog elementa pojavila se je mogunost da se na neki nain pokae pravo lice
problema. Ispitivanjem ovog uzorka dobijena je slika svesti drugih mladih ljudi kojima se jo nije
ukazala prilikaa da studiraju uz mogunost koritenja poverene informatike tehnologije.
Vladajua shvatanja po pitanju ovog problema se danas uglavnom nalaze na web stranicama
kompanija kojima je prevashodni zadatak zatita od ove vrste opasnosti. Uz reklamiranje najnovijih
proizvoda iz kategorije anti-virusne, anti-pijunske i ostalih zatita, moe se naii i na problematiku
vezanu za odnos kunih korisnika prema ovom problemu. lanke koji razmatraju ovu
Obrada podataka
1. Prema Veem miljenju, najbolje sredstvo za borbu protiv malicioznog softvera je:
a) kvaliitetan AntiVirusni softver.,
34 68%
b) drugi, jo snaniji maliciozni softver od postojeeg.,
5 10%
c) hardverski ista malacioznih softvera.,
11 22%
2. Opiite Va postupak prilikom preuzimanja sa Interneta, uz prihvatanje dozvole za korienje,
nekog zanimljivog ali Vama nepoznatog softvera od nepoznatog proizvoaa?
a) preuzeu ga i instalirati, jer ako ima ugovor, onda je legalan, stoga mora
biti ispravan.,
10 20%
b) neu ga ni preuzimati ni instalirati, jer tu mora biti neto sumnjivo.,
12 24%
c) preuzeu ga i prekontrolisati sa kvalitetnijim anti-virusnim softverom ili
vie njih, a tek potom u ga instalirati.,
28 56%
3. Opiite Vae razmiljanje o problemu postojanja malicioznog softvera i mogunosti prenosa
istog tog softvera na Va kuni raunar prilikom rada na kompjuteru izvan Vaeg vlasnitva?
a) uopte ne razmiljam o problemu vezanom za maliciozni softver.,
9 18%
b) obavezno prekontroliem da li postoji kvalitetan anti-virusni softver koji
uliva sigurnost.,
22 44%
c) uvek strahujem od mogunosti da prenesem neki maliciozni softver na
moj vlastiti kompjuter.,
19 36%
4. Opiite Va postupak prilikom testiranja nekog sumnjivog nepoznatog softvera?
a) za testiranje iskljuivo koristim moj vlastiti kompjuter.,
12 24%
b) za testiranje koristim svoj ili bilo koji kompjuter gde mi se ukae prilika.,
9 18%
c) za testiranje koristim iskljuivo tui kompjuter.,
6 12%
d) ne zanimaju me nepoznati i neprovereni softveri.,
23 46%
5. Vaim USB stikom prenet je virus na kompjuter Vaeg najboljeg prijatelja.On je morao
reinstalirati sistem i platiti trokove servisiranja. Postupiete na sledei nain:
a) snosiu jedan deo troka budui da je i on odgovoran jer ne poseduje antivirusni softver.,
30 60%
b) neu da snosim nikakav troak jer je on ve imao puno virusa prije no to
je tamo dospeo virus sa mog USB stika.,
20 40%
Analiza podataka
Prema odgovorima na prvo postavljeno pitanje moemo zakljuiti da netani odgovori zapravo
upuuju na veoma velike probleme koji mogu nastati u odnosu korisnika i malicioznog softvera.
Ovde bi se moglo pretpostaviti da je jedan deo ispitanika koji su odgovorili tano a od ukupnog tela
od 58%, zapravo odgovarao prema intuiciji, te je stoga procenat neznanja vei od ovih 32%.
U odgovorima na drugo pitanje o postupanju prilikom preuzimanja nepoznatih softvera sa
interneta, takoe nailazimo na izvesno podudaranje sa prethodnim pitanjem. U ovom pitanju
imamo opet rezultate u odgovorima na stavke a i b u zbiru od 44%, i to 20% koje upuuju na
naivnost i ostatak od 24% koji upuuje opet na neznanje, ali i strah. Budui da je u prethodnom
pitanju pretpostavljeno da je jedan deo ispitanika dao izjavu po intuiciji, te da je dat komentar da je
procenat neznanja i vei, moe se pretpostaviti da je pravi procenat neznanja zapravo oko
etrdesetak procenata.
Na treem pitanju takoe moemo videti odgovarajue podudaranje sa prethodnim pitanjima.
Premda se na prvi pogled brojevi malo razlikuju, ipak moemo konstatovati da daju pravu sliku. U
ovim rezultatima moemo videti da je 44% ispitanika sigurno u radu na kompjuterima. U 36% onih
koji su odgovorili da ih je strah, moemo zakljuiti da je jedan deo ispitanika upueniji u ovu
problematiku, te da im je poznato da postoje razliiti kvaliteti antivirusnih softvera po pitanju
nalaenja i unitavanja malicioznog softvera, te da stoga zaista i postoji opasnost zaraze, bez obzira
to antivirusni softver nije registrovao opasnost, bilo je oekivano da e se ispoljiti poveana doza
straha. Ovaj procenat je povean upravo zahvaljujui onima koji su previe oprezni. Na ovom
pitanju zabrinjavaju odgovori pojedinih korisnika (18%) koji uopte ne razmiljaju o ovom
problemu. Ovo je verovatno podskup onog skupa slabije upuenih a koji iznosi oko 40%. Oni ipak
bez imalo razmiljanja koristi poverenu tehniku. Ovih 18% e se na odreeni nain uklopiti u
rezultate istraivanja na sledeem pitanju.
Odgovori na etvrtom pitanju zapravo upuuju na odnos ispitanika, kako prema samoj tehnici, tako
i prema nekim moralnim pitanjima. Oni zapravo daju odgovor o tom kakvi zapravo jesmo i ta
moemo oekivati u budunosti. Moemo se radovati da ipak velika veina odgovara da bi to uradili
iskljuivo na svom vlastitom kompjuteru (24%), ili da ih ne zanima nepoznat I neproveren softver
(46%), to ini ukupno 70%. Veoma zabrinjavaju odgovori gde bi ispitanici koristili iskljuivo tui
kompjuter (12%) ili da bi koristili bilo koji gde im se ukae prilika (18%). Ovo upuuje iskljuivo na
pitanje morala i nemarnog odnosa prema poverenoj imovini. U ovom sluaju je veoma teko i dati
odgovarajui predlog za reenje problema, obzirom da je ovo deo vaspitnog procesa koji je tokom
procesa obrazovanja jednostavno zanemaren.
Takoe se moe utvrditi da je rezultat istraivanja kroz peto pitanje u podudarnosti sa prethodnim.
Ono nas upuuje na moralnu stranu samog problema i govori o tom koliko smo odgovorni i spremni
da snosimo posledice svog neodgovornog ponaanja. ta se moe oekivati od nekoga ko svom
dobrom prijatelju nanese tetu i nakon toga, premda je svestan svoje greke, nije spreman da snosio
odgovornost? Ovde sa nalazi ak 40% ispitanika koji tvrde da nisu spremni da snose nikakav troak
u vezi eventualne popravke tete koju sami nanesu. Za jedan deo ovih ispitanika se zaista moe nai
opravdanje u injenici da su im kompjuteri njihovih prijatelja ve prilino zaraeni, tako da se od
njih nemoe oekivati da plaaju za prethodno nastalu tetu. Moda postoji jedan mali deo
ispitanika koji ima neke druge motive, tako da na kraju opet dolazimo do nekih tridesetak
procenata korisnika ije ponaanje zabrinjava.
Manji problem predstavljaju korisnici koji slabo poznaju informatiku tehnologiju (korisnici koji
odgovaraju da bi kao najbolji metod zatite protiv malicioznih programa odabrali jo snaniji
maliciozni program (10%) ili hardverski ista virusa (22%)).Veoma brzo i lako bi bili u stanju da
naue elementarne pojmove u vezi ove problematike. Za njih se mogu organizovati odgovarajua
predavanja, moda naparaviti nekoliko interesantnih TV emisija i sl.
Obzirom da se ovaj procenat manje upuenih podudara sa procentom neodgovornih, moe se
pretpostaviti da bi valjanom edukacijom u znaajnoj meri bio smanjen i procenat i jednih i drugih.
Istraivanje izvrio:
KORDIC
2008.09.09 00:02:37 +02'00'
__________________________
Kandidat: Kordi arko