Professional Documents
Culture Documents
Sama ideja programa koji se sami reproduciraju, što je jedna od karakteristika virusa , potiče još od
John von Neumanna koji je 1940. razmatrao ideju samoreproduktivnih programa. Prvim
malicioznim programom koji je bio napravljen pod kontroliranim uvjetima smatra se program koji je
1962. godine napisalo nekoliko zaposlenika Bell laboratorija, među kojima je i Robert Morris, otac
autora poznatog crva. Ovi znanstvenici napisali su program pod nazivom "Darwin" čiji je cilj bio
automatski se reproducirati i pronalaziti druge programe u memoriji te ih brisati.
Maliciozni programi bili su ipak relativno rijetki sve do pojave kućnih računala . Ipak, iz prethodnog
razdoblja može se izdvojiti virus pod imenom Creeper, koji je inficirao računala spojena na
ARPANET računalnu mrežu američke vojske početkom sedamdesetih godina prošlog stoljeća .
Ovaj virus inficirao je računala s operacijskim sustavom Tenex koji je bio popularan u to vrijeme te
se automatski kopirao na druga računala putem modemske veze. Na inficiranim računalima virus
je ostavio poruku "l'M THE CREEPER: CATCH ME IF YOU CAN" . Ovaj virus važan je i po tome
što je prvi put bio napisan legitimni program s karakteristikama virusa - cilj programa pod imenom
Reaper bilo je automatsko širenje te brisanje virusa Creeper. Ujedno je i ovaj događaj prvi pokazao
da izrada programa za automatsko brisanje virusa , koji dijele karakteristike virusa nema dobar
učinak , budući da je i Reaper izazvao probleme na ARPANET računalnoj mreži.
Početkom osamdesetih godina prošlog stoljeća kućna računala postajala su sve popularnijima.
Prvi virus zabilježen za kućna računala je Elk Cloner, virus za Apple 11 računala koji se širio preko
disketa. Virus je modificirao ključne sektore na disketama kako bi se pokrenuo prilikom pokretanja
računala s diskete, budući da su Apple li računala podizala i operacijski sustav s disketa . Elk
Cloner tako je bio memorijski rezidentan virus, što znači da je bio aktivan tijekom rada računala te
je inficirao sve druge diskete koje bi bile umetnute u računalo tijekom njegova rada .
Prvi virus za IBM (PC) računala otkriven je 1986. godine. Riječ je o virusu pod imenom Brain koji
je, poput Elk Cloner virusa inficirao početne sektore disketa. Virus Brain nije imao nikakvu
funkcionalnost, već je samo bio aktivan u memoriji i inficirao druge diskete koje su bile umetnute u
računalo . Jedna od značajnih mogućnosti Braina bilo je skrivanje inficiranih sektora na disketi.
Prilikom pregledavanja sektora u kojima je bio pohranjen Brain , a ako je virus bio aktivan u
memoriji, korisnik je vidio izvorne sektore te na taj način nije mogao otkriti prisustvo virusa .
Kasnije te godine napisan je i prvi virus koji je bio u stanju inficirati druge datoteke. Riječ je o virusu
pod imenom Virdem koji je mogao inficirati COM datoteke DOS operacijskog sustava .
Budući da današnji maliciozni programi koriste različite metode širenja i sprječavanja detekcije i
analize, u velikom broju slučaja dolazi do preklapanja različitih tipova malicioznih programa tako da
u nekim slučajevima, kao što je opisana u nastavku, nije moguće jednoznačna odrediti o kojem se
tipu malicioznog programa radi.
13.2.1 Virusi
Virusi su bili prva vrsta malicioznih programa . Glavna karakteristika virusa je to da se kompletno
tijelo malicioznog programa "priljepljuje" na legitimni program, bilo da je riječ o drugom programu ili
fizičkim sektorima na nekom mediju (npr. tvrdom disku ili disketi). Drugim riječima, virus je u stanju
identificirati početnu/ulaznu adresu programa koji se inficira, dodati svoje tijelo na kraj (ili na neku
drugu lokaciju , gdje ima dovoljno prostora) tog programa te promijeniti početnu/ulaznu adresu
programa tako da pokazuje na tijelo virusa, kao što je pokazana na priloženoj slici.
Početna adresa p<Jkszuje na
kod virusa
Poče t na
~drBs r:i
Podatkovne Podatkovne
strukture strukture
2.
Izvorni Inficirani
program program
Na ovaj način legitimni je program inficiran te će prilikom pokretanja istoga biti prvo pokrenut virus.
Nakon uspješnog pokretanja virusa , on vraća kontrolu natrag legitimnom programu, što znači da
krajnji korisnik u većini slučajeva neće primijetiti nikakvu promjenu u funkcionalnosti programa .
Prema načinu inficiranja datoteka odnosno sektora, mogu se navesti sljedeće kategorije virusa:
a) Virusi koji inficiraju datoteke (engl. File infector viruses) . Virusi koji spadaju u ovu
kategoriju inficiraju izvršne datoteke (npr. EXE, COM). Metoda inficiranja jednaka je
gore opisanoj, što znači da virus mijenja početnu/ulaznu adresu programa koji se
inficira kako bi pokazivala na njegov programski kod.
Virusi koji inficiraju datoteke teoretski mogu postojati za bilo koji operacijski sustav,
budući da su osnove rada operacijskih sustava jednake. U stvarnom su svijetu najčešće
otkriveni virusi za Windows operacijske sustave, no treba spomenuti da postoje i virusi
za druge, manje popularne operacijske sustave poput Mac OS X-a ili Linuxa .
Kod svih navedenih slučajeva metoda inficiranja izvršnih datoteka je jednaka, no autori
malicioznih programa moraju se prilagoditi specifičnostima formata pojedinih izvršnih
datoteka budući da Windows operacijski sustavi koriste format pod imenom PE
(Portable Executable format), dok npr. Linux operacijski sustavi koriste format pod
imenom ELF (Executable and Linkable format) . lako su formati slični (datoteke se dijele
u sekcije s izvršnim kodom odnosno podatkovnim sekcijama), nisu međusobno
kompatibilni .
b) Boot sektor virusi. Boot sektor virusi inficiraju boot sektor medija, bilo da je riječ o
tvrdom disku ili disketi. Prilikom podizanja računala, BIOS računala prvo pročita boot
sektor medija s kojeg se računalo podiže. Boot sektor sadrži kratak program koji
omogućava podizanje ostatka operacijskog sustava.
13.2.1 Virusi
Virusi su bili prva vrsta malicioznih programa . Glavna karakteristika virusa je to da se kompletno
tijelo malicioznog programa "priljepljuje" na legitimni program, bilo da je riječ o drugom programu ili
fizi čkim sektorima na nekom mediju (npr. tvrdom disku ili disketi). Drugim riječima, virus je u stanju
identificirati početnu/ulaznu adresu programa koji se inficira, dodati svoje tijelo na kraj (ili na neku
drugu lokaciju , gdje ima dovoljno prostora) tog programa te promijeniti početnu/ulaznu adresu
programa tako da pokazuje na tijelo virusa, kao što je pokaza no na priloženoj slici.
Početna ađreS<l poluJzuje na
kod vlrtJsa
Počet na
a dr ~i-l
Podatkovne Podatkovne
strukture strukture
2.
Izvorni Inficirani
program program
Na ovaj način legitimni je program inficiran te će prilikom pokretanja istoga biti prvo pokrenut virus.
Nakon uspješnog pokretanja virusa , on vraća kontrolu natrag legitimnom programu, što znači da
krajnji korisnik u većini slučajeva neće primijetiti nikakvu promjenu u funkcionalnosti programa.
Prema načinu inficiranja datoteka odnosno sektora, mogu se navesti sljedeće kategorije virusa :
a) Virusi koji inficiraju datoteke (engl. File infector viruses) . Virusi koji spadaju u ovu
kategoriju inficiraju izvršne datoteke (npr. EXE, COM). Metoda inficiranja jednaka je
gore opisanoj, što znači da virus mijenja početnu/ulaznu adresu programa koji se
inficira kako bi pokazivala na njegov programski kod.
Virusi koji inficiraju datoteke teoretski mogu postojati za bilo koji operacijski sustav,
budući da su osnove rada operacijskih sustava jednake. U stvarnom su svijetu najčešće
otkriveni virusi za Windows operacijske sustave, no treba spomenuti da postoje i virusi
za druge, manje popularne operacijske sustave poput Mac OS X-a ili Linuxa.
Kod svih navedenih slučajeva metoda inficiranja izvršnih datoteka je jednaka, no autori
malicioznih programa moraju se prilagoditi specifičnostima formata pojedinih izvršnih
datoteka budući da Windows operacijski sustavi koriste format pod imenom PE
(Portable Executable format), dok npr. Linux operacijski sustavi koriste format pod
imenom ELF (Executable and Linkable format). lako su formati slični (datoteke se dijele
u sekcije s izvršnim kodom odnosno podatkovnim sekcijama), nisu međusobno
kompatibilni.
b) Boot sektor virusi. Boot sektor virusi inficiraju boot sektor medija, bilo da je riječ o
tvrdom disku ili disketi. Prilikom podizanja računala, BIOS računala prvo pročita boot
sektor medija s kojeg se računalo podiže . Boot sektor sadrži kratak program koji
omogućava podizanje ostatka operacijskog sustava .
Boot sektor virusi bili su vrlo popularni tijekom devedesetih godina, budući da su
korisnici razmjenjivali programe disketama te nerijetke podizali operacijski sustav s
disketa. Uporabom tvrdih diskova i pojavom Windows operacijskih sustava boot sektor
virusi postali su manje popularni sve do 2008. kada su mogućnosti ovih virusa opet
privukle pažnju autora . Budući da se program u boot sektor virusu pokreće prije samog
operacijskog sustava, virusi mogu iskoristiti ovu činjenicu i preuzeti kontrolu nad
operacijskim sustavom . Međutim, pisanje ovakvih malicioznih programa vrlo je
kompleksne zbog toga što virus mora upravljati strukturama koje koristi kernel
operacijskog sustava. Primjer ovakvog virusa je MebRoot, vrlo napredan virus koji se
pohranjuje u boot sector tvrdog diska, a u stanju je inficirati čak i Windows 7 operacijske
sustave .
c) Makro virusi. Makro virusi postali su popularni u devedesetim god inama pojavom
uredskih aplikacija koje su omogućavale proširivanje funkcionalnosti korištenjem tzv.
makro jezika. Najpopularnije aplikacije za koje postoji i najveći broj makro virusa
svakako su one iz Microsoft Office uredskog paketa , poimenice Microsoft Word, Excel i
Power Point.
Makro virusi nisu ograničeni samo na Microsoft Office aplikacije , već i na bilo koju drugu
aplikaciju koja omogućava pisanje i pohranjivanje makro programa. Tako su pronađeni
makro virusi čak i za Autocad aplikaciju.
Gore navedene kategorije virusa autori vrlo često kombiniraju, tako da se mogu naći virusi koji su u
stanju inficirati druge datoteke, ali i boot sektor. Na ovaj način autori virusa povećavaju vjerojatnost
infekcije ciljnog sustava, ali i otežavaju uklanjanje virusa s inficiranog računala . Naime, ako korisnik
npr. ukloni virus iz svih inficiranih izvršnih datoteka, ali ga ne ukloni iz boot sektora, prilikom
sljedećeg pokretanja računala sve će izvršne datoteke opet biti inficirane. Ovakvi se virusi nazivaju
multi-partite virusi.
13.2.2 Crvi
Crvi predstavljaju specijalnu kategoriju malicioznih programa čija je glavna karakteristika da se šire
putem računalnih mreža, ali ne inficiraju druge datoteke, bilo da je riječ o izvršnim datotekama ili
boot sektoru tvrdih diskova , odnosno disketa. Budući da ne inficiraju druge datoteke, crvi su
zapravo samostalni programi te se najčešće nalaze u vidu jedne izvršne datoteke.
Kako bi se širili putem računalnih mreža, crvi danas najčešće iskorištavaju sigurnosne ranjivosti u
mrežnim servisima, operacijskim sustavima ili aplikacijama . Budući da crvi ne inficiraju druge
datoteke, šire se kopiranjem cijelog tijela crva, odnosno cijelog programa.
Prema kategoriji sigurnosne ranjivosti koju iskorištavaju , crve možemo podijeliti u sljedeće skupine:
a) Crve koji iskorištavaju sigurnosne ranjivosti u implementiranim sigurnosnim
kontrolama. lmplementirane sigurnosne kontrole često dozvoljavaju jednostavne
korisničke zaporke ili nepravilno konfigurirana prava pristupa datotekama operacijskog
sustava. Crvi mogu iskoristiti ove sigurnosne ranjivosti kako bi se kopirali na ciljno
računalo te zatim pokrenuli .
Primjer crva koji iskorištava ovakve ranjivosti je SDBot, crv koji pokušava probiti slabu
zaporku administratorskog korisničkog računa nakon čega se kopira na udaljeno
Windows računalo te pokreće .
Crvi u ovoj kategoriji mogu iskorištavati bilo koju sigurnosnu ranjivost u nekom
mrežnom servisu dostupnom preko Interneta ili lokalnih računalnih mreža . Sadmind crv,
napisan 2001 . godine jedan je od rijetkih malicioznih programa koji je u stanju inficirati i
Solaris i Windows operacijske sustave, dakle različite arhitekture računala . Crv se
zapravo sastoji od dva programa te nakon ustanovljavanja inačice servisa na
poslužitelju koji napada pokreće dio namijenjen iskorištavanju sigurnosne ranjivosti na
ciljnom operacijskom sustavu . Crv je iskorištavao sigurnosne ranjivosti u Microsoft llS
poslužitelju, odnosno sadmind servisu (Solstice AdminSuite) na Solaris operacijskim
sustavima , prema kojem je i dobio ime.
Klez se širi slanjem poruka elektroničke pošte koje sadrže maliciozni kod . Ovaj kod se
izvršava prilikom otvaranja poruke u ranjivoj inačici Microsoft Outlook Express aplikacije
te automatski inficira računalo. Nakon infekcije crv se dalje automatski šalje u vidu
poruka elektroničke pošte na sve adrese koje je našao na novo inficiranom računalu.
Trojanski konji kao kategorija malicioznih programa dobili su ime upravo prema povijesnom
događaju u Troji, kada su grčki ratnici napravili drvenog trojanskog konja, kojeg su stanovnici Troje
prihvatili kao poklon u zalog mira . No, u trojanskom konju bili su skriveni grčki ratnici koji su po
noći, nakon što je konj unesen unutar zidina Troje, otvorili ulazna vrata te omogućili napad.
Računalni trojanski konji slični su onom povijesnom u smislu da obično zavaravaju korisnika
predstavljajući se kao legitimni programi . Korisnik, ne znajući o čemu je zbilja riječ, često i sam,
dobrovolj no, instalira trojanske konje na svoje računalo, a oni nakon toga poduzimaju određene
maliciozne aktivnosti . Danas se trojanski konji najčešće koriste za krađu osobnih informacija s
inficiranih računala , a nerijetka napadačima omogućavaju i udaljenu kontrolu. Mehanizmi za
udaljenu kontrolu nazivaju se stražnjim vratima (engl. backdoor), budući da napadačima
omogućavaju neometanu i neograničenu kontrolu inficiranih računala . U slučaju kontrole velikog
broja inficiranih računala napadači nerijetka koriste napredne mehanizme za kontrolu opisane u
poglavlju 13.8.
Osim zasebnih aplikacija čiji je cilj krađa osobnih informacija korisnika , spyware maliciozni
programi najčešće se distribuiraju u vidu specijalnih dodataka za web preglednike, kao što su
Browser Helper Object dodaci za lnternet Explorer. Ovi dodaci omogućavaju presretanje i
modificiranje svih zahtjeva koje web preglednik šalje , odnosno odgovora koje dobiva od udaljenog
poslužitelja na temelju čega napadač može ukrasti povjerljive informacije.
Kolačići se koriste za praćenje aktivnosti korisnika posebno putem reklama koje se nalaze na
stranicama . Kako se reklame obično učitavaju s izdvojenih poslužitelja, moguće je da dvije web
stranice u različitim domenama (npr. racunarstvo.com i algebra.hr) prikazuju istu reklamu, s nekog
trećeg poslužitelja. Ovaj treći poslužitelj može identificirati pojedinog korisnika i njegove aktivnosti
te točno ustanoviti je li navedeni korisnik pristupio na obje web stranice ili samo jednu te kada .
Konačno, posebnu kategoriju malicioznih programa predstavljaju i adware programi. Cilj ovih
malicioznih programa je prikazivanje oglasa na bilo koji način. Oglasi se najčešće korisniku
inficiranog računala prikazuju prilikom pregledavanja web stranica, a nerijetka adware programi i
presreću aktivnosti korisnika, kako bi napadač generirao zaradu posjećivanjem određenih web
stranica, koje korisnik možda inicijalna nije niti žel io posjetiti.
mogućnosti (engl. window of opportunity) i autori malicioznih programa nastoje ga što je moguće
više povećati .
U svrhu otežavanja detekcije antivirusnih programa autori malicioznih programa koriste različite
metode koje su navedene u nastavku ovog poglavlja :
Umetanje nekorisnog programskog koda može imati i legitimne svrhe te se vrlo često
koristi za izradu "vodenog žiga" (engl. watermark) , čime proizvođači aplikacija stvaraju
jedinstveni potpis svake aplikacije , što im omogućava identifikaciju u slučaju
nelegitimnih aktivnosti (npr. objava aplikacije na Internetu).
d) Emulacija korištenjem virtualnih strojeva . Konačno , još jedna česta metoda zaštite
malicioznih programa predstavlja korištenje virtualnih strojeva. U ovom slučaju riječ je o
još jednoj inačici packer programa opisanih u prethodnom tekstu . Aktivnosti koje packer
program provodi ovaj put se temelje u prevođenju malicioznog programa iz strojnog
koda u kod koji koristi virtualni stroj (engl. bytecode). Virtualni strojevi zapravo su
zasebni emulatori, a temelje se na istim principima na kojima radi i npr. virtualni stroj za
programski jezik Java (engl. JVM - Java Virtual Machine).
Navedene metode zaštite malicioznih programa samo su primjer različitih metoda koje autori ovih
programa danas upotrebljavaju. Vrlo često maliciozni programi koriste kombinacije navedenih
metoda kako bi se analiza i detekcija koju obavljaju antivirusni programi što više otežala i
prolongirala .
C&C poslužitelj i zapravo su vrlo često obični poslužitelji na Internetu, na kojima je pokrenuta
specijalna aplikacija . Inficirana računala komuniciraju s C&C poslužiteljima i od njih dobivaju
naredbe o svojim budućim aktivnostima ili im jednostavno šalju prikupljene podatke. Tako se C&C
Aplikacije koje su pokrenute na C&C poslužiteljima mogu biti bilo kakve , a danas se naJcesce
koriste web aplikacije koje se mogu naći i na crnom tržištu po vrlo niskim cijenama. Prikaz jedne
takve popularne aplikacije (mPack) dan je na sljedećoj slici :
~ US - United states
1117 50
0_70,. 0.3t:·_„,._ 4.48%
Inficirani strojevi kojima se upravlja preko C&C poslužitelja nazivaju se botnetima. Karakteristika
botneta je da inficirani strojevi kontaktiraju jedan ili više C&C poslužitelja od kojih dobivaju naredbe
o budućim aktivnostima koje trebaju provesti. Ovdje se može vidjeti da upravljanje inficiranim
računalima ovisi o jednom poslužitelju , što olakšava identifikaciju i uklanjanje istog . Da bi svoju
mrežu napravili što je moguće otpornijom na uklanjanje, autori malicioznih programa koriste
tehnike brzog mijenjanja IP adrese poslužitelja koje se nazivaju Fast Flux (FF), odnosno Double
Flux (DF).
Fast flux tehnika temelji se na brzom i konstantnom mijenjanju A zapisa DNS imena. A zapisi
definiraju IP adrese pojedinih DNS imena. Drugim riječima, kada se inficirano računalo iz botneta
pokušava spojiti na C&C poslužitelj, ono se pokušava spojiti na određeno DNS ime, koje je
unaprijed definirano. Ako ovo DNS ime pokazuje samo na jedan A zapis (samo na jednu IP
adresu), uklanjanje C&C poslužitelja vrlo je jednostavno budući da je potrebno samo onemogućiti
pristup identificiranoj IP adresi . U svrhu otežavanja ovog postupka, autori malicioznih programa
definiraju velik broj prve razine poslužitelja (obično samo web poslužitelji), čije se IP adrese
redovito mijenjaju . Ovi poslužitelji često su također inficirana računala koja samo služe za
prikrivanje pravog C&C poslužitelja, kao što je prikazano na sljedećoj slici :
BOTN ET
infic irana ra č una la
(J
C&C server
1) Uplt:
www.fasrnux.com
ID
~ Interne! korisnik
Budući da se DNS zapisi konstantno mijenjaju , može se vidjeti da više nije moguće locirati C&C
poslužitelj te jednako tako blokiranje pristupa pojedinoj IP adresi neće spriječiti komunikaciju
inficiranih računala s C&C poslužiteljem, jer će botnet automatski probati kontaktirati sljedeću IP
adresu, pa ako niti to ne uspije, onu iza nje itd .
Sljedeća tablica prikazuje jednu malicioznu domenu s A zapisima i pripadajućim parametrima . TTL
parametar (engl. Time To Live), opisuje koliko dugo se pojedini zapis smije zadržati u
međuspremniku lokalnog DNS poslužitelja - vrijednost O znači da se zapis uopće ne smije
pohranj ivati u međuspremnik , odnosno da svaki novi upit za ovim imenom uzrokuje i kompletno
razlučivanje .
Kao što se može vidjeti iz opisanog, slaba točka je još uvijek DNS ime , odnosno DNS poslužitelji
za domenu koju autori malicioznih programa upotrebljavaju (NS zapisi DNS sustava) . Ovaj
problem autori malicioznih programa rješavaju na način da se domena koju koriste registrira kod
registra koji su ili spori u rješavanju zahtjeva antivirusnih tvrtki ili na njih uopće ne odgovaraju .
Tipični primjeri ovakvih registra su domene u državama trećeg svijeta ili nekih malih otočnih
država, poput npr. domena .cc (Cocos (Keeling) otoci), .kz (Kazahstan) i slične .
Da bi se otpornost još više povećala , danas autori malicioznih programa koriste i tzv. double flux
tehnologije . Poput fast flux tehnologije , double flux mijenja A zapise konačnih imena , ali jednako
tako brzo mijenja i NS zapise, što znači da više nije moguće niti blokirati mrežni promet prema
DNS poslužiteljima zadužen im za malicioznu domenu .
Opisanim metodama autori malicioznih programa stvaraju vrlo otpornu infrastrukturu koja im
omogućava provođenje kriminalnih i drugih ilegalnih aktivnosti. Ovakva infrastruktura obično se
naziva neprobojnom (engl. bulletproof) .
c) Detekcija u stvarnom vremenu (engl. rea/ time detection). Ovo je najčešći način rada
antivirusnih programa koji omogućava i najvišu razinu zaštite . Integracija s operacijskim
sustavom omogućava provjeru svih datoteka koje korisnik ili bilo koja aplikacija
pokrenuta na računalu pokušava otvoriti ili pokrenuti.
d) Detekcija na zahtjev (engl. on demand detection). Ovaj način rada obično se koristi na
poslužiteljima i to u određenim vremenskim intervalima (npr. po noći), uz detekciju u
stvarnom vremenu.
Cilj detekcije na zahtjev je otkrivanje malicioznih programa koji prethodno nisu bili
detektirani. Npr. moguće je da prilikom pohranjivanja malicioznog programa na
poslužitelj antivirusni program još nije bio u stanju detektirati isti , no nakon što je
antivirusni proizvođač izdao potpise za detekciju, i nakon što su potpisi bili osvježeni na
poslužitelju, navedeni je maliciozni program moguće detektirati.
Sam postupak detekcije malicioznih programa također je manje ili više standardiziran, s tim da,
naravno, svaki antivirusni proizvođač ima specifičnosti vezane uz svoj proizvod . Međutim , općeniti
rad antivirusnih programa, odnosno postupak detekcije, temelji se na sljedećim metodama:
Kao što se može vidjeti , osnovni problem detekcije potpisima je to što se radi o
reaktivnom procesu, odnosno što antivirusn i proizvođači moraju prvo analizirati
maliciozni program da bi ga mogli detektirati . U pojedinim slučajima antivirusni
proizvođači mogu napraviti tzv. generičke potpise koji mogu detektirati cijele obitelji
malicioznih programa, pod uvjetom da iste imaju neke zajedničke uzorke koje dijele.
Gotovo svi današnji antivirusni programi koriste obje navedene metode detekcije kako bi što više
povećali šansu detekcije novih malicioznih programa . Najnoviji razvoj ide i u smjeru oblačnog
računarstva (engl. cloud computing), gdje su se prvi antivirusni programi koji koriste ovakav način
rada već pojavili na tržištu .