VISOKA POSLOVNA ŠKOLA STRUKOVNIH STUDIJA

BLACE

SEMINARSKI RAD

PREDMET: Projekat

TEMA: Virusi i antivirusi

Profesor: Student:
Oliver Popović Žaklina Živković 94/13 R

Maj 2016.
SADRŽAJ
1. VIRUSI......................................................................................................................................3
1.1 DEFINICIJA VIRUSA........................................................................................................................3
1.2 OSOBINE VIRUSA..........................................................................................................................4
1.3 METODE INFEKCIJE.......................................................................................................................4
1.3.1 Virusni fajl........................................................................................................................5
1.3.2 Prepisivanje......................................................................................................................5
1.3.3 Parazitiranje.....................................................................................................................5
1.3.4 'Prepending' virusi............................................................................................................5
1.3.5 'Appending' virusi.............................................................................................................6
1.3.6 'Inserting' virusi................................................................................................................6
1.3.7 Ulazno mesto opskurnih virusa - EPO...............................................................................6
1.3.8 Virusi pratioci (Companion viruses)..................................................................................7
1.3.9 Ostale tehnike infekcije.....................................................................................................7
1.4 PODELA VIRUSA...........................................................................................................................8
1.4.1 Virusi boot sektora...........................................................................................................9
1.4.2 Macro virusi.....................................................................................................................9
1.4.3. Script virusi....................................................................................................................10
1.5 AKTIVACIJA VIRUSA.....................................................................................................................10
1.6 PRIPREMANJE KOPIJA VIRUSA........................................................................................................11
1.7 OSNOVNA PODELA VIRUSA...........................................................................................................11
1.7.1 CRV „WORM“.................................................................................................................11
1.7.2 TROJANSKI KONJ.............................................................................................................12
1.7.3 BACKDOOR.....................................................................................................................12
1.7.4 HOAX (LAŽNA UZBUNA).................................................................................................14
1.7.5 SPYWARE........................................................................................................................15
1.7.6 RANSOMWARE...............................................................................................................15
2. PROGRAMI ZA ZAŠTITU OD VIRUSA........................................................................................20
2.1 DEFINICIJA POJMOVA..................................................................................................................20
2.2 METODE IDENTIFIKACIJE..............................................................................................................22
2.2.1 Detekcija bazirana na signatirama.................................................................................22
2.2.2 Detekcija štetnih aktivnosti.............................................................................................22
2.2.3 Heuristička metoda........................................................................................................22
2.3 ALATI ZA UKLANJANJE VIRUSA.......................................................................................................22
2.4 PERFORMANSE..........................................................................................................................23
2.5 BEZBEDNOST.............................................................................................................................23
2.6 SISTEMSKA OGRANIČENJA.............................................................................................................23
2.7 PRENOSNI UREĐAJI.....................................................................................................................24
2.8 OSTALE METODE ZAŠTITE.............................................................................................................24
2.9 MREŽNI FIREWALL......................................................................................................................24
2.10 VIRTUELIZACIJA SISTEMA............................................................................................................24
ZAKLJUČAK.................................................................................................................................27
LITERATURA.....................................................................................................................................29

2
 1. VIRUSI

1.1 Definicija virusa

Virus je programski kod koji može da prodre u sistem, na disk ili pojedincne
fajlove, uglavnom bez znanja ili pristanka vlasnika. Kada se jednom domogne cilja
i inficira ga, naredne akcije zavise od specifičnog tipa virusa, a mogu da uključe:

• Replikaciju unutar inficiranog sistema

• Inficiranje drugih fajalova kada im se pristupa ili kada se kreiraju

• Brisanje ili oštećenje podataka u ciljnom sistemu ili fajlu

• Trošenje resursa sistema, možda bez nanošenja neke druge štete

Uobičajeno je da se termin računarski virus u žargonu koristi za sve vrste

ovakvih malih programa koji čine štetu i prave probleme, mada pored virusa
postoje i druge vrste ovih malih napasti koje se razlikuju od prethodno spomenutih
klasičnih virusa. To su, pre svega, crvi, trojanci i makro virusi.

Klasična definicija od strane Fred Cohen-a, jednog od najvećih stručnjaka u

ovoj oblasti:

Računarski virus je program koji može da inficira druge programe, tako što ih
modifikuje, uključujući sopstvenu kopiju u njih.

3
Slika 1.

1.2 Osobine virusa

Glavna osobina klasičnih virusa je mogućnost da zaraze druge programe.

Životni ciklus virusa:

1. Prodor u sistem

2. Aktivacija

3. Traganje za objektima podložnim infekciji

4. Pripremanje kopija virusa

5. Inficiranje objekata

1.3 Metode infekcije

Grupa virusa koji su prikazani u tekstu iznad mogu se razvrstati u podgrupe

prema tehnikama koje virusi koriste za infekciju objekata.

4
1.3.1 Virusni fajl

Virusni fajl koristi sledeće metode infekcije:

• prepisivanje (preko postojećeg)

• parazitiranje

• pratilac

• linkovi

• object moduli (OBJ)

• kompajling (prevođenje) datoteka

• izvorni kod aplikacije

1.3.2 Prepisivanje

Ovo je najednostavniji metod infekcije: virus zamenjuje kod zaraženog fajla

sopstvenim, brišući orginalan kod. Fajl tako postaje neupotrebljiv i ne može se
dovesti u pređašnje stanje. Ovakvi virusi se brzo otkrivaju zato što će operativni
sistem i pogođena aplikacija prestati da rade ubrzo posle infekcije.

1.3.3 Parazitiranje

Parazitski virusi menjaju kod zaraženog fajla. Zaraženi fajl ostaje pri tom
delimično ili potpuno funkcionalan.

Parazitski virusi su grupisani prema delu fajla gde upisuju svoj kod:

• Prepending: štetan kod je upisan na početku fajla

• Apending: štetan kod je upisan na kraju fajla

• Inserting: štetan kod je ubačen u sredinu fajla

1.3.4 'Prepending' virusi

'Prepending' virusi upisuju svoj kod u ciljani fajl na dva načina. U prvom
slučaju, virus pomera kod sa početka ciljanog fajla na kraj i upisuje sebe na

5
upražnjeno mesto. U drugom slučaju, virus dodaje kod ciljanog fajla u svoj
sopstveni kod.

U oba slučaja, svaki put kad se zaraženi fajl pokrene, virusni kod je prvi koji
se izvršava. U nastojanju da se održi integritet aplikacije, virus može očistiti
zaraženi fajl, ponovo ga pokrenuti, sačekati da se fajl izvrši, i onda kad se taj
proces okonča, virus će kopirati sebe ponovo na početak fajla. Neki virusi koriste
privremene fajlove kako bi sačuvali čiste verzije zaraženih fajlova. Neki virusi će
obnoviti kod aplikacije u memoriji i vratiti ga u početno stanje, i povratiti
neophodne adrese u telu, i na taj način duplirati rad operativnog sistema.

1.3.5 'Appending' virusi

Većina virusa potpada pod ovu kategoriju. 'Appending' virusi upisuju sebe
na kraj inficiranog fajla. Međutim, ovi virusi obično menjaju fajlove (menjaju ulazni
deo u zaglavlju fajla) kako bi osigurali da se komande sadržane u virusnom kodu
izvrše pre komandi zaraženog fajla.

1.3.6 'Inserting' virusi

Pisci virusa koriste različite tehnike kako bi ubacili viruse u sredinu fajla.
Najednostavnije tehnike podrazumevaju premeštanje dela koda fajla na kraj fajla
ili potiskivanje orginalnog koda u stranu kako bi se stvorio prostor za virus.

'Inserting' virusi uključuju takozvane 'cavity' viruse (viruse šupljina); ovakvi

virusi upisuju svoj kod u delove fajlova za koje se zna da su prazni. Na primer, ovi
virusi mogu se kopirati na neiskorišćeni deo zaglavlja exe fajlova, zatim u praznine
između delova exe fajla, ili u tekstualna polja popularnih kompajlera (prevodilaca).
Neki od ovih virusa će zaraziti fajl na mestu gde određeni blok sadrži određeni
bajt; izabrani blok će biti prepisan virusnim kodom.

Najzad, neki 'inserting' virusi su loše napisani i prepisuju se preko dela koda
koji je neophodan kako bi zaraženi fajl uopšte funkcionisao. To za posledicu ima
definitivno oštećenje fajla.

1.3.7 Ulazno mesto opskurnih virusa - EPO

Postoji mala grupa parazitskih virusa koja uključuje i 'appending' i 'inserting'

viruse koji ne menjaju adrese ulaznog mesta u uzglavljima EXE fajlova. EPO virusi
upisuju šablonsko podešavanje iz tela virusa u središte zaraženog fajla. Virusni kod
se onda izvršava samo ako šablon sadrži pozivani virus. Ako je ovaj šablon retko

6
korišćen (na primer, retko obaveštenje o grešci), EPO virus može ostati dugo
vremena neaktivan.

Pisci virusa treba pažljivo da odaberu ulazno mesto: loše odabrano ulazno
mesto može ili oštetiti host fajl ili prouzrokovati da virus ostane neaktivan dovoljno
dugo dok zaraženi fajl najzad ne bude obrisan.

Pisci virusa koriste različite metode kako bi pronašli pogodno ulazno mesto:

• Pretraživanje frejmova i prepisivanje preko njih zaraženih početnih mesta

• Rastavljanje koda host fajla

• Promena adresa važnih funkcija

1.3.8 Virusi pratioci (Companion viruses)

Virusi pratioci ne menjaju host fajl. Umesto toga, oni stvaraju duplikat fajla
koji sadrži virus. Kada se pokrene zaraženi fajl kopija koja sadrži virus će biti prva
izvršena.

Ova kategorija uključuje viruse koji preimenuju host fajl, beležeći novo ime
za buduće pozivanje i onda prepisuju originalan fajl. Na primer, virus može
preimenovati notepad.exe u notepad.exd i upisatii sopstveni kod u fajl pod
orginalnim nazivom. Svaki put kada korisnik pokrene notepad.exe, virusni kod se
izvršava dok orginalan Notepad fajl, notepad.exd, se pokreće tek posle toga.

Postoje druge vrste virusa pratioca koje koriste orginalne metode ili
iskorišćavaju ranjivosti određenog operativnog sistema. Na primer, Path-
companion virusi smeštaju svoje kopije u sistemske direktorijume Windows-a,
koristeći činjenicu da je ovaj direktorijum prvi na listi direktorijuma; sistem će
startovati od ovog direktorijuma kada pokrene Windows. Mnogi današnji crvi i
Trojanci koriste ovakve autorun metode.

1.3.9 Ostale tehnike infekcije

Neki virusi ne koriste izvršne fajlove za infekciju kompjutera, već se

jednostavno kopiraju u određenom broju direktorijuma u nadi da će pre ili kasnije
biti pokrenuti od strane korisnika. Neki pisci virusa pišu viruse tako da im dodeljuju
fajlove kao što su install.exe ili winstart.bat kako bi ubedili korisnika da pokrene
fajl koji sadrži virus.

Drugi virusi se kopiraju u kompresovane fajlove u formatima kao što su

ARJ, ZIP i RAR, dok neki koriste komande za pokretanje zaraženog fajla u BAT-
fajlu.
7
 Link virusi takođe ne menjaju host fajlove. Međutim, oni primoravaju
operativni sistem da izvršava virusni kod menjanjem odgovarajućih polja u
sistemskim fajlovima.

1.4 Podela virusa

Klasični virusi prodiru u računarski sistem preko nekog već inficiranog

objekta na pasivan način. Zbog toga se, gledajući način prodiranja virusi dele na:

• boot viruse – inficiraju boot sektor hard diskova ili drugih medija

• fajl viruse – inficiraju izvršne fajlove

• makro viruse – napisani u makro komandnim jezicima koji se pokreću u

nekom specifičnom aplikativnom okruženju

• skript viruse – virusi koji se pisu u jezicima nekih skripti (na pr. BAT fajlovi u
DOS-u, VBS i JS skripte u Windows Scripting Host i sl.)

Kompjuterski virusi se mogu klasifikovati prema svom okruženju i

metodama infekcije. Pod okruženjem se podrazumeva aplikacija ili operativni
sistem čije je prisustvo potrebno kako bi virus inficirao fajlove. Metode infekcije su
tehnike koje se koriste za ubacivanje virusnog koda u dati fajl.

Okruženje
Većina virusa može se naći u jednom od sledećih okruženja:

• Sistemski fajlovi

• Boot sektori

• Macro okruženja

• Script hostovi

Virusni fajlovi za širenje koriste sistemski fajl datog operativnog sistema (ili
više njih). Virusni fajlovi se mogu podeliti u sledeće kategorije:

• oni koji inficiraju izvršne fajlove (ovo je najveća grupa virusa)

• oni koji stvaraju duplikate fajlova (virusi pratioci)

• oni koji stvaraju svoje kopije u različitim direktorijumima

8
• oni koji koriste svojstva sistemskog fajla (link virusi)

1.4.1 Virusi boot sektora

Virusi boot sektora se upisuju ili u boot sektor diska ili na master boot
record, ili pak infekciju izvrše tako što izmeštaju aktivan boot sektor. Ovi virusi su
bili široko rasprostranjeni devedesetih godina prošlog veka, ali su skoro nestali sa
pojavom 32-bit procesora i povlačenjem iz upotrebe flopi diskova. Tehnički je
moguće pisanje boot sektor virusa za CD-ove i USB fleš ROM, ali takvi virusi još
uvek nisu otkriveni.

Virusi boot sektora su poznati po tome što su odgovorni za infekciju boot

sektora flopi diskova ili Master Boot Record (MBR) hard diska. Boot virusi
funkcionišu na bazi algoritma koji pokreće operativni sistem onda kada se
kompjuter uključi ili restartuje. Onda kada se izvrši neophodna provera memorije,
diska itd., boot program sistema čita prvi fizički sektor boot diska (A:, C: ili CD-
ROM, zavisno od toga koji su parametri konfigurisani/instalirani u opciji BIOS
Setup) i prolazi kontrolu ovog sektora.

Kada inficira disk, boot virus će izvršiti zamenu programa - koji uspostavlja
kontrolu kada se sistem pokrene - svojim kodom. U nastojanju da inficira sistem,
virus će primorati sistem da čita memoriju i preuzme kontrolu ne nad originalnim
boot programom već nad virusnim kodom.

Flopi diskovi mogu biti zaraženi samo na jedan način. Virus upisuje svoj kod
na mesto orginalnog koda boot sektora diska. Hard diskovi mogu biti zaraženi na
tri načina: ili virus upisuje svoj kod na mesto MBR koda ili koda boot sektora boot
diska, ili menja adrese aktivnih boot sektora na Disk Partition Table na MBR hard
diska.

U velikoj većini slučajeva, kada inficira disk, virus će izmestiti orginalan boot
sektor (ili MBR) na drugu sekciju diska, najčešće prvu koja je slobodna. Ako je
virus duži od sektora, onda će inficirani sektor sadržati prvi deo virusnog koda, a
ostatak koda će biti smešten u drugim sektorima, najčešće prvim koji budu
slobodni.

1.4.2 Macro virusi

Najrašireniji macro virusi su oni pisani za Microsoft Office aplikacije (Word,

Excel i PowerPoint) koji čuvaju podatke u OLE2 formatu (Object Linking and
Embedding - povezivanje i postavljanje objekata).

Pri radu sa dokumentima i tabelama, MS Office obavlja mnogobrojne

različite radnje: program otvara dokument, snima ga, štampa, zatvara itd. MS
Word će tražiti i pokretati odgovarajuće ugrađene macro-e. Na primer, korišćenje
9
File/Save komande će pozvati FileSave macro, File/SaveAs komanda će pozvati
FileSaveAs macro, i tako redom, uvek pretpostavljajući da je takav macro
definisan/konfigurisan.

Takođe postoje i auto macro-i, koji će automatski biti pozivani u određenim

situacijama. Na primer, kada je dokument otvoren, MS Word će proveriti
dokument u smislu eventualnog postojanja AutoOpen macro-a. Ako se macro
pronađe, Word će ga pokrenuti. Kada se dokument zatvara, Word će pokrenuti
Auto Close, kada je Word pokrenut, program će pokrenuti AutoExec macro itd. Ovi
macro-i se izvršavaju automatski, bez ikakvog učešća korisnika, bilo da su macro-
i/funkcije koje su povezane sa određenim tasterom, ili sa određenim vremenom ili
datumom.

Po pravilu, macro virusi koji inficiraju MS Office fajlove koriste jednu od

tehnika opisanih iznad. Virus će sadržati ili auto macro (automatska funkcija) ili će
jedan od macro sistema (udružen sa stavkom iz menija) biti redefinisan, ili će
macro virus biti automatski pozivan pritiskom na određeni taster ili kombinaciju
tastera. Onda kad macro virus uspostavi kontrolu, prebaciće se na druge fajlove,
obično na one koji se tog trenutka uređuju. Mnogo ređe, virusi će pretraživati disk
u potrazi za drugim fajlovima.

1.4.3. Script virusi

Script virusi su podgrupa virusnih fajlova, pisanih različitim script jezicima

(VBS, JavaScript, BAT, PHP itd.). Oni ili inficiraju druge script-ove, npr. Windows ili
Linuks komande i servisni fajlove, ili čine deo multikomponentnih virusa. Script
virusi mogu da zaraze i druge formate fajlova, kao što je HTML, ukoliko format
fajla dopušta izvršenje script-a.

1.5 Aktivacija virusa

Virusi su pasivni zlonamerni programi. Oni ne poseduju sopstvene tehnike
za automatsku aktivaciju, već čekaju da ih korisnik na neki način sam aktivira
(uglavnom da pokrene zaraženi izvršni fajl). Zbog toga se virusi ne klasifikuju
prema metodu aktivacije.

1.6 Pripremanje kopija virusa

10
 Ovde je potrebno definisati pojam tzv. “potpisa virusa”. Potpis virusa je
podatak na osnovu koga se egzaktno detektuje pristustvo virusa u datom fajlu. U
suštini to je sekvenca bajtova koji su prisutni u virusu i nisu prisutni u nekom
drugom programu.

Proces pripremanja kopija virusa za dalju distribuciju može da se značajno

razlikuje u odnosu na obično kopiranje podataka. Autori sofisticiranijih virusa
pokušavaju da naprave virus koji će u svakoj kopiji drugačije da izgleda, što
znatno komplikuje rad antivirusnih softvera, jer je teško u tom slučaju napraviti
potpis samo na osnovu fragmenta koda ili kontrolne sume.

1.7 Osnovna podela virusa

1.7.1 CRV „WORM“

Worm je mali računarski program koji koristi računarsku mrežu i sigurnosne

propuste da se replicira sa računara na računar. Najčešći način širenja crva je
putem e-maila. Za replikaciju neophodna je računarska mreža-internet. Koristeći
se njom, program pretražuje mrežu i pronalazi računare sa specifičnim
sigurnosnim propustima. Dalje se sam kopira na rugi uređaj, sve dok ne bude
otkriven i uklonjen. Postoje dve vrste crva: crv na domaćinskom računaru (HOST
WORM) i mrežni crv (NETWORK WORM).

HOST WORM se nalazi na domaćinskom računaru, a vezu s mrežom koristi

samo za svoje razmnožavanje na druge računare. Ovaj tip crva nakon što pokrene
svoju kopiju na novom računaru samostalno uništava svoju prvobitnu kopiju. Na
taj način u određenom trenutku negde na mreži se nalazi samo jedna kopija tog
crva. Ovaj tip još se naziva i „zec“ upravo zato što stalno beži uokolo mrežom.

NETWORK WORM tj.mrežni crv sastoji se od više delova, segmenata, od

kojih se svaki pokreće na različitom računaru u mreži i najčečće svaki segment
obavlja različitu funkciju koristeći mrežu samo za određene komunikacijske svrhe.
Mrežni crv koji ima jedan glavni segment koji koordinira radom ostalih segmenata
na mreži naziva se još i „hobotnicom“ (OCTOPUS).

Crvi relativno retko poseduju destruktivan kod namenjen uništavanju

podataka, ali zbog svoje sposobnosti neograničenog kreiranja sopstvenih kopija, u
stanju su zagušiti protok na pojedinim segmentima mreže.

11
1.7.2 TROJANSKI KONJ

Trojanci su svoje ime dobili prema čuvenom epu o opsadi Troje, koju su
Grci bezuspešno napadali 10 godina i na kraju se povukli ostavljajući pred njenim
ulazom ogromnog konja kao znak priznavanja poraza. Trojanski ratnici su
oduševljeno konja uvukli unutar grada i nastavili sa svojim slavljem posevećenog
svojoj velikoj pobedi. Međutim, kada su svi zaspali pijani, na konju su se otvorila
dobro sakrivena vrata i iz njega su izašli grčki ratnici koji su otvorili vrata tvrđave,
puštajući unutra ostale grčke vojnike. Nakon toga troju su vrlo lako zauzeli.

Kompjuterski „Trojanski konj“ pod maskom stiže putem e – maila, news

grupe ili popularnih chat programa do lakovernih i nedovoljno informisanih
korisnika mreže, navodeći ih da ga pokrenu i instaliraju na računar. Trojanski konj
zapravo nije virus iako se pod tim pojmom često podrazumeva. On je upravo ono
što mu govori ime, program koji je u stanju učiniti stvari koje nisu definisane
njegovim specifikacijama ili dokumentacijom. Trojanski konj sam po sebi nije
destruktivan, nego vrli često sadrži kod koji se aktivira nakon što korisnik pokrene
naizgled neki bezazleni program. Npr. s interneta skinete neki „shareware“ za rad
s npr. fontovima. Program je po vama genijalan, a fontovima činite čuda, jedino
nakon što iz izbornika tog programa deset puta izaberete opciju „about“...on vam
briše celi disk. Ovaj program nema u sebi ugrađen kod koji mu omogućuje
samostalno razmnožavanje, ali se ipak može razmnožavati ukoliko neko pozajmi
nekome kopiju na kojoj se nalazi ovaj program. Današnji trojanski konj najviše se
širi putem “peer too peer” mreža „pretvarajući“ se da su trenutno popularni
programi ili crack za najnovije uslužne programe.

Najefikasniji način zaštite od trojanaca je instaliranje firewall sistema ili

jednostavno ne otvaranje poruka od nepoznatih osoba. Najpoznatiji trojanac je
svakako Back orifice, koga je samo za mesec dana preuzelo i koristilo skoro
100.000 ljudi na Internetu. On izgleda kao običan klijent – server aplikacija za rad
na udaljenom računaru sa izuzetkom što se server tj. sam trojanac instalira bez
pitanja, kao virus, kada pokrećete zaraženu aplikaciju i omogućava svakome da
dođe do vašeg IP broja i preuzme kontrolu nad računarom. Pored BO – a poznati
su još NetBus, Millenium itd.

1.7.3 BACKDOOR

Backdoor će se uvući u vaše računare i npr. omogućiti nekome da se „služi“ vašim

računarom kad se spojite na internet. Kad se spojite na internet i kad radite što
inače radite za to vreme neko kopira vaše podatke iz vašeg računara na svoje ili
vam briše neke podatke. Jedan od najpopularnijih backdoora je bio ICQ program
koji je prebrzo stekao popularnost. Zaštiti se možete instaliranjem tzv. (zaštitni
zid). To je jedan od popularnijih prevoda engleskog izraza “Firewall”. Nakon što
12
instalirate Firewall i ponovo pokrenete računar, kada god neki program želi
pristupiti internetu vi ćete biti upitani za dozvolu. Problem je kod Firewall – a što
svojim pitanjima zna zbuniti početnika. U početku bude dosta pitanja, dok ne
odredite koji programi smeju, a koji ne smeju pristupiti internetu.

Backdoor je malver koji uglavnom služi da izvršava komande na zaraženom

računaru. Po pravilu, sajber kriminalci koriste ovakve malvere da bi dobili daljinski
pristup privatnim informacijama korisnika. Malver koga su nedavno otkrili
istraživači ruske kompanije Doctor Web dobro reprezentuje pomenutu kategoriju
malvera.

Na primer BackDoor.Apper.1 se širi preko spam emailova koji sadrže

Microsoft Excel fajl. Kada ga korisnik otvori, od njega će biti zatraženo da omogući
makroe. Ako su makroi omogućeni, Excel fajl sadrži kod koji preuzima RAR fajl sa
interneta, raspakuje ga i izvršava fajlove koje nađe u RAR fajlu.

BackDoor.Apper najpre kontaktira komandno-kontrolni server, a zatim

počinje da prikuplja informacije o inficiranom sistemu koje šalje serveru.
Informacije koje prikuplja malver uključuju ime računara, verziju operativnog
sistema, informacije o hardveru, i druge. Backdoor prikuplja informacije o
inficiranom računaru pre nego što se poveže sa serverom i generiše jedinstveni
identifikator baziran na imenu računara i njegovoj MAC adresi.

Kada se pokrene, BackDoor.Apper počinje da se ponaša kao keylogger -

beleži kucanje na tastaturi u aktivnom prozoru i ove informacije čuva u šifrovanom
fajlu, da bi one s vremena na vreme bile poslate serveru.

Pored toga, može da obavlja različite aktivnosti, u zavisnosti od instrukcija

koje dobija sa svog servera. Može da preuzima fajlove sa servera, da ih pokreće,
da serveru šalje spisak fajlova koje nađe u folderu i da krade i šalje serveru sve
ono što smatra važnim.

Osim toga, pravi snimke radne površine, nadzire određeni folder, i o svim
izmenama obaveštava kriminalce koji stoje iza ovog malvera.

13
 S
Slika 2. i 3. Backdoor

1.7.4 HOAX (LAŽNA UZBUNA)

Kao što se može zaključiti iz naziva, reč je o obaveštenjima, vrlo često

pristiglim od strane prijatelja ili poznanika. Hoah su klasične e-mail poruke u
kojima vi sami preuzimate ulogu virusa. Hoax – i su u stvari lažne vesti.

14
Slika 4. Hoax - primer

1.7.5 SPYWARE

Spyware su program koji prate vaš rad i o tome obaveštavaju nekog

drugog. Postoje program koji se namerno instaliraju po firmama kako bi direktori
imali uvida u to šta se radi na njihovom računaru. Ovi spyware su program koji
prate gde vi surfate po internet i o tome obaveštavaju različite marketinške
agencije. Ako primete da surfujete po npr.stranicama proizvođača štampača, često
će vam na ekranu izlaziti stranica sa “najpovoljnijom” ponudom štampača. Nekada
može to i biti korisno. Kao zaštitu za ovaj virus možete koristiti AdAware. Za takve
programe važi isto pravilo kao i za antivirusne programe.

1.7.6 RANSOMWARE

Ransomware je vrsta zlonamernog softvera koja onemogućava pristup

sistemu koji inficira na različite, zahtevajući od korisnika da plati kako bi mu bio
omogućen pristup sistemu.

Postoje različite vrste ransomwarea, ali svi oni u osnovi onemogućavaju

normalno korišćenje računara, sprečavajući korisnika da pristupi sistemu, šifrujući
fajlove na računaru tako da oni postaju neupotrebljivi, ili onemogućavajući rad

15
pojedinih programa kao što su browseri. Sve dok žrtva ne ispuni zahteve
“otmičara”, ona neće moći da koristiti računar na uobičajen način.

Međutim, ispunjavanje zahteva nije garancija da će korisniku biti omogućen

pristup sistemu ili da će dobiti ključ za dešifrovanje fajlova. Zbog tog rizika, ali i
zbog činjenice da plaćanje “otkupa” ohrabruje sajber kriminalce da nastave sa
ovakvim kriminalnim aktivnostima, stručnjaci su uvek izričito protiv takve saradnje
žrtava sa kriminalcima.

Neki od poznatijih ransomware zlonamernih softvera su: Petya, Cerber,

TeslaCrypt, CryptXXX (UltraCrypter), Enigma...

Slika 4. Ransomware Petya

Petya je vrsta ransomware koja je postojala pre pre kripto ransomwarea.

Oni ne šifruju pojedinačne fajlove već samo sprečavaju korisnika da pristupi
svojim podacima. U većini slučajeva, zaključava se desktop, mada ima i
ransomwarea koji zaključavaju prozor browsera (browser locker ili browser
ransomware).

Vremenom su korisnici shvatili da se lock-ransomware lako uklanja sa

računara, pa su se sajber kriminalci okrenuli kripto ransomwareima, zbog njihove
efikasnosti u ubeđivanju žrtava da plate otkup.

Zato je pojava ovog lock-ransomwarea veoma neobična, posebno što on ne

cilja mobilne uređaje gde je ovakva vrsta pretnje još uvek veoma efikasna. Petya

16
se širi preko spear fišing emailova1 koji se šalju na email adrese zaposlenih u
odeljenjima ljudskih resursa u kompanijama.

Emailovi sadrže link za fajl na Dropboxu, odakle navodno može biti preuzet
CV kandidata za posao. Ustvari je reč o EXE fajlu koji je nazvan
application_portfolio-packed.exe, koji ako se pokrene, dovodi do pojave poznatog
Windowsovog “blue screen of death” i restartovanja sistema.

Pre restartovanja, ransomware menja MBR hard diska i preuzima kontrolu

nad pokretanjem sistema.

Kada se računar restartuje, on će lažirati proces provere diska, i kada završi

sa tim, malver će najzad prikazati svoje lice - crveni ekran sa mrtvačkom glavom
na kome piše "Press any key!". Pritisak na taster prikazuje obaveštenje da je
računar zaražen ransomwareom Petya.

Restartovanje računara će uvek dovesti do istog rezultata.

Na ekranu koji prikazuje Petya, nalazi se link za sajt hostovan na Toru na

kome je moguće platiti otkup. Ako korisnik kupi ključ za dešifrovanje, može da ga
unese na dnu zaključanog ekrana. Petya tvrdi da šifruje fajlove korisnika, ali iz G
Data su proverili ove tvrdnje, i kažu da su one neistinite.

I stručnjaci kompanije Trend Micro analizirali su ransomware Petya, i

potvrdili da on ne šifruje fajlove. Oni takođe kažu da malver menja MBR i sprečava
korisnike da koriste Safe Mode. Kriminalci od žrtava traže 0,99 bitcoina (oko 400
dolara), a nakon sedam dana ovaj iznos se udvostručava.

Slika 5. Ransomware Cerber

1
‘Spear phishing’ - napad na određenu organizaciju pri kome 'phisher' traga za podacima jednog od
zaposlenih a potom ih koristi kako bi ostvario širi pristup ostatku mreže.
17
 Cerber ima nekoliko osobenosti po kojima se razlikuje od drugih malvera
ove vrste.

Prvo, on primorava računar da se ponovo pokrene, prikazujući pri tom žrtvi

čudno napisana lažna sistemska upozorenja. Računar se zatim ponovo pokreće u
Safe Mode. Kada se žrtva prijavi, malver ponovo restartuje računar, ovoga puta u
normalnom režimu rada. Kada se to dogodi, Cerber počinje sa šiforvanjem fajlova.

Druga specifičnost ovog malvera je obaveštenje o otkupu koje

sadrži VBScript tako da kompjuter emituje glasovnu poruku sledeće sadržine:
“Pažnja! Vaši dokumenti, fotografije, baze podataka i drugi važni fajlovi su
šifrovani!”. Ta poruka se neprestano ponavlja.

Po svemu ostalom, Cerber se ne razlikuje mnogo od drugih kripto

ransomwarea. On šifruje širok spektar različitih vrsta fajlova na sistemu AES-256
enkripcijom, i svakom fajlu koji šifruje dodaje ekstenziju .cerber.

Cerber zaobilazi računare korisnika u zemljama članicama bivšeg SSSR-a.

Ransomware prikazuje obaveštenje sa instrukcijama kako platiti otkup od

1,24 bitcoina, a kao znak poverenja nudi žrtvama mogućnost besplatnog
dešifrovanja jednog fajla.

Ovaj malver ne distribuiraju njegovi autori. Oni ga na forumima ruskog

sajber podzemlja nude zainteresovanim sajber kriminalcima koji su zapravo
odgovorni za njegovo širenje.

Distributeri malvera dobijaju Cerber besplatno, uz obavezu da deo prihoda

koji ostvaruju ucenjivanjem žrtava od kojih traže otkup proslede autorima
malvera.

Za sada, žrtve nemaju mnogo izbora jer još uvek nema besplatnog rešenja
za dešifrovanje fajlova. Ostaje im da plate i da se nadaju da će kriminalci poslati
ključ za dešifrovanje ili da se pomire sa tim da su njihove slike, dokumenti i drugi
važni fajlovi sa računara zauvek izgubljeni.

To naravno važi za one koji nemaju backup. Onima koji ga imaju ostaje da
očiste računar i da vrate fajlove iz backupa.

18
Slika 6. Ransomware UltraCrypter

KAKO SE ZAŠTITITI OD VIRUSA

Stopostotna zaštita od virusa ne postoji. Najbolja zaštita od virusa je opreznost:

1. Ne preuzimajte programe sa sumnjivih Web lokacija, odnosno sa piratskih

Web sajtova.

2. Ne otvarajte fajlove koji stižu elektronskom poštom ako ne znate ko vam ih

je poslao.

3. Ne otvarajte Wordove i Excelove fajlove koje ste dobili od nepoznatog

pošiljaoca ili preuzeli sa interneta bez prethodne provere.

Verovatno znate da se za zaštitu od virusa koriste posebni programi. Iako vam

nijedan od njih ne može garantovati stopostotnu zaštitu, ipak je korisno poznavati
ih i imati ih instalirane u računaru.

19
 2. PROGRAMI ZA ZAŠTITU OD VIRUSA

2.1 Definicija pojmova

Antivirusni softver ili antivirus je računarski softver koji se koristi za zaštitu,
identifikaciju i uklanjanje računarskih virusa, kao i sveg drugog softvera koji može
da ošteti ili nanese štetu računarskom softveru, a jednim imenom se naziva
malver.

Za razliku od prvobitnih antivirus softvera koji su bili bazirani isključivo na

tretiranju računarskih virusa, moderni antivirus softver se dizajnira tako da sistem
štiti od što većeg broja različitih mogućih malvera, kao što su crvi, fišing napadi,
bekdor, rutkit, trojanci...

Postoji mnogo antivirusnih programa. Neki od poznatijih su Kaspersky Anti-

Virus, Bitdeffender, Norton Antivirus, Malwarebytes Anti-Malware, Sophos
Antivirus, Avast, NOD, AVG, itd.

U poslednje vreme karakteristično je da skoro svi veći proizvođači

antivirusnih programa nude i objedinjene pakete za kompletnu zaštitu računara
(Antivirus, Firewall, Antispyware…)

Slika 7. Korisnički interfejs Kaspersky Internet Security 2016

20
Slika 8. Korisnički interfejs Bitdefender Total Security 2016

Slika 9. Rezultati skeniranja sistema programom Malwarebytes Anti-Malware

21
 2.2 Metode identifikacije

Postoji nekoliko metoda koje antivirusni softver koristi za identifikaciju malvera. U

zavisnosti od softvera može se koristiti i više metoda.

2.2.1 Detekcija bazirana na signatirama

Ovo je najčešće korišćen metod za identifikaciju malvera. Da bi pronašao

virus ili drugi malver, softver upoređuje sadržaj datoteke sa sadržajem kataloga
potpisa virusa. Pošto virus može biti ugnežđen u samu datoteku, proverava se i
njen sadržaj, kao i sadržaj svih njenih sastavnih delova, ako se radi o složenoj ili
komprimovanoj datoteci.

2.2.2 Detekcija štetnih aktivnosti

Antivirusni softver nadgleda softver u okruženju koji sa kojim računarski

sistem komunicira. Ukoliko detektuje sumnjive aktivnosti nekog softvera, dodatno
ga detaljno proverava koristeći neku od metoda detekcije. Ova metoda je pogodna
za detekciju novih i nepoznatih virusa.

2.2.3 Heuristička metoda

Slično metodi detekcije štetnih aktivnosti ova metoda se može koristiti kod
novih i nepoznatih virusa. Može se koristiti na dva načina: analiza datoteka i
emulacija datoteka. Analiza datoteka je proces traganja za sumnjivim komandama
u datotekama. Ako, recimo jedna datoteka u sebi sadrži komandu: formatiraj disk
c, heuristički softver će detaljno proveriti ovu datoteku. Slabost ove metode je to
što ona može znatno usporiti računarski sistem proveravajući veliki broj datoteka.
Emulacija datoteka je metoda koja izvršava program u virtuelnom okruženju i
beleži sve akcije koje on izvrši. Analizom zabeleženih akcija može se utvrditi da li
program može ugroziti računarski sistem.

2.3 Alati za uklanjanje virusa

Alati za uklanjanje virusa (Virus removal tools) predstavljaju softver

dizajniran za uklanjanje specifične vrste virusa. Za razliku od kompletnih antivirus
programa oni su bazirani samo za određenu grupu virusa, ali ih zato uklanjaju sa

22
znatno većom efikasnošću. Najpoznatiji su McAfee Stinger i Microsoft Malicious
Software Removal Tool. Većina ovih alata je besplatna.

2.4 Performanse

Većina kvalitetnih i sveobuhvatnih antivirus softvera znatno utiču na

performanse sistema. Razlog tome je aktivna antivirusna zaštita koja u realnom
vremenu proverava sve datoteke i programe kojima sistem pristupa. Nije
preporučljivo, mada je u većini antivirusnog softvera moguće, privremeno ili trajno
isključenje aktivne antivirusne zaštite.

2.5 Bezbednost

Antivirus softver sam po sebi nosi bezbednosni rizik jer se izvršava na

sistemskom nivou ovlašćenja i može pristupiti samom jezgru operativnog sistema.
Ovo je neophodno za njihovu efikasnost, ali istovremeno može predstavljati i
potencijalnu opasnost.

Dešava se da se neki spajver (programi za špijuniranje) na internetu

predstavljaju kao antivirusni softver. Zbog toga je potrebno dobro proveriti da li je
antivirusni softver koji se skida sa interneta zaista antivirus.

Antivirus softver često nudi opciju automatskog brisanja ili stavljanja u

karantin sumnjivih datoteka. Kada je ova opcija uključena može se onemogućiti
izvršavanje neke od sistemskih i programskih datoteka, pa i čitavog operativnog
sistema.

2.6 Sistemska ograničenja

Simultano izvršavanje više antivirusnih programa može znatno ugroziti

performanse sistema.

Za instalaciju programskih dodataka, upravljačkih programa i nadgradnje

sistema često je neophodno privremeno isključiti aktivnu antivirusnu zaštitu.

Aktivna antivirusna zaštita može delimično ili potpuno onemogućiti promene

na sistemu.

23
 2.7 Prenosni uređaji

Paralelno sa razvojem različitih vrsta prenosnih uređaja, razvili su se i virusi

koji ih napadaju. Kao posledica ove pojave proizvođači antivirusnog softvera razvili
su i ponudili su tržištu softver prilagođen ovim uređajima.

Kod ovih uređaja češće se primenjuju hardverski bazirana rešenja.

Antivirusni softver isporučuje proizvođač prenosnog uređaja u samom uređaju u
vidu neke vrste ROM memorije, koji proverava sadržaj na prenosnom uređaju.
Ovakav vid zaštite koristi se kod USB fleš memorije, mobilnih telefona i sl. uređaja.

2.8 Ostale metode zaštite

Osim korišćenjem antivirusnog softvera, zaštita od virusa se može pojačati i

realizacijom mrežnog fajervola, ili korišćenjem sistema virtuelizacije. Ove metode
zaštite, u svakom slučaju, ne mogu zameniti antivirusni softver, već samo dopuniti
sistem zaštite, pre svega u domenu novih i neotkrivenih virusa.

2.9 Mrežni firewall

Mrežni firewall sprečava da neidentifikovani programi i internet procesi

pristupaju sistemu ili njegovom delu koji se štiti. On nije antivirusni sistem, ne
detektuje niti uklanja viruse. Ipak, pomaže zaštitu sistema od spoljnih napada
zatvarajući računarski sistem ili računarsku mrežu, ograničavajući ili blokirajući sve
sumnjive aktivnosti koje su inicirane izvan zaštićenog dela sistema. Fajervol to čini
tako što blokira sve ulazne i izlazne zahteve na kontrolisanim TCP/IP portovima.

Firewall je dizajniran tako da kontroliše kompletan pristup sistemu iz

okruženja i ne može biti alternativa antivirusnom softveru već samo njegova
dopuna.

2.10 Virtuelizacija sistema

Ova metoda zaštite se izvodi virtuelizacijom radnog sistema. Aplikacije se

izoluju od operativnog sistema čime se izbegava davanje privilegija programima za
pristup jezgru operativnog sistema. Virtuelizovani sistem nakon restartovanja
ponovo formira kompletnu strukturu, tako da resetuje sve promene na sistemu pa
24
i one koje bi eventualno učinio virus ili neki drugi malver. Na ovaj način se dobija
efekat kao da virus i uklonjen.

Nedostaci ove metode se ogledaju u tome da jedan deo podataka ipak

ostaje nevirtuelizovan i time nezaštićen, tako da ti podaci mogu biti oštećeni ili
ukradeni. Iz tog razloga ni metoda virtuelizacije ne može zameniti antivirusni
softver, ali podiže nivo bezbednosti sistema.

KORAK 1. Obavezno instalirati neki od antivirusnih alata. Iako ne postoji apsolutna

zaštita od virusa, instaliranjem i pravilnim podešavanjem nekih od ovih programa
znatno smanjuje migućnost zaraze.

KORAK 2. Redovno ažurirati antivirusne definicije. Podesite alate da redovno

automatski “skidaju” najnovije virusne definicije. Ako antivirusni program ne
podržava automatsko osvežavanje onda se to učini ručno sa sajta proizvođača.
Ovaj korak je jako bitan jer se dnevno pojavi oko trinaest novih virusa.
Osvežavanjem baze dajemo mogućnost antivirusnom alatu da štiti računar od
većeg broja virusa.

KORAK 3. Podesiti antivirusni softver da automatski skenira sve datoteke.

Proveravanjem svih datoteka, ne samo izvršnih, zaštita je potpuna i time se
onemogućava širenje virusa. Potrebno je obratiti pažnju da se uključi skeniranje
kompresivnih datoteka (opcija Scan Compressed Files).

KORAK 4. Skenirati sve datoteke koje dolaze sa Interneta. Pre svega, obavezno se
uključi skeniranje svih dolaznih i odlaznih e – mail poruka. E – mail je trenutno
najčešći način širenja virusa. Takođe, mnogobrojne web stranice sadrže softvere
koji mogu biti zaraženi. Zato će i skeniranje svih datoteka kopiranih sa interneta
pomoći u zaštiti.

KORAK 5. Povremeno skenirati celi disk. Redovno vršiti skeniranje celog diska.
Proces skeniranja može potrajati i zavisi od veličine hard diska i broja datoteka
kojima raspolaže. Zato nije loše ostaviti računar da skenira tokom noći.

25
KORAK 6. Skenirati hard disk nakon instalacije softvera. Nakon instalacije raznih
alata skenirati hard disk ili lokacije na koje se softver instalirao. Može se desiti da
kompresivne arhive budu zaražene virusima.

26
 ZAKLJUČAK

Od svog postanka kompjuterski virusi su tu da bi normalnim korisnicima

kopjuterski uredjaja zagorcavali zivot, da bi im unistili sav trud i rad koji su ulozili
da bi nesto pametno uradili na svom racunaru.

U danasnje vreme tehnoloskog napretka virusi nisu postali nista slabiji nego
su i ojacali. Koliko god da se sa borbom protiv virusa ide korak napred uvek se
nadje neki novi virus da pokaze svoju snagu.

Ali koliko god da su oni jaki uvek postoji način i sredstvo da se izadje na
kraj sa tim štetocinama. U borbi sa virusima potrebno je imati znanje i dobar
antivirusni program, uvek reagovati na vreme, tj. redovna kontrola operativnog
sistema drastično će smanjiti šanse da kompjuter bude ozbiljnije napadnut i
oštećen.

Naravno pored toga svega potrebna je i svest da virusi postoje i da i vaš

kompjuter moze da postane žrtva napada virusa. Kad imate te tri stvari: znanje,
sredstvo i svest - nemorate se bojati virusa, ali morate stalno biti na oprezu.

Neki od osnovnih koraka kako bi ya[titili svoj računar su sledeći:

KORAK 1. Obavezno instalirati neki od antivirusnih alata. Iako ne postoji apsolutna

zaštita od virusa, instaliranjem i pravilnim podešavanjem nekih od ovih programa
znatno smanjuje migućnost zaraze.

KORAK 2. Redovno ažurirati antivirusne definicije. Podesite alate da redovno

automatski “skidaju” najnovije virusne definicije. Ako antivirusni program ne
podržava automatsko osvežavanje onda se to učini ručno sa sajta proizvođača.
Ovaj korak je jako bitan jer se dnevno pojavi oko trinaest novih virusa.
Osvežavanjem baze dajemo mogućnost antivirusnom alatu da štiti računar od
većeg broja virusa.

KORAK 3. Podesiti antivirusni softver da automatski skenira sve datoteke.

Proveravanjem svih datoteka, ne samo izvršnih, zaštita je potpuna i time se
onemogućava širenje virusa. Potrebno je obratiti pažnju da se uključi skeniranje
kompresivnih datoteka (opcija Scan Compressed Files).

27
KORAK 4. Skenirati sve datoteke koje dolaze sa Interneta. Pre svega, obavezno se
uključi skeniranje svih dolaznih i odlaznih e – mail poruka. E – mail je trenutno
najčešći način širenja virusa. Takođe, mnogobrojne web stranice sadrže softvere
koji mogu biti zaraženi. Zato će i skeniranje svih datoteka kopiranih sa interneta
pomoći u zaštiti.

KORAK 5. Povremeno skenirati celi disk. Redovno vršiti skeniranje celog diska.
Proces skeniranja može potrajati i zavisi od veličine hard diska i broja datoteka
kojima raspolaže. Zato nije loše ostaviti računar da skenira tokom noći.

KORAK 6. Skenirati hard disk nakon instalacije softvera. Nakon instalacije raznih
alata skenirati hard disk ili lokacije na koje se softver instalirao. Može se desiti da
kompresivne arhive budu zaražene virusima.

28
 LITERATURA

Materijal korišćen sa interneta:

https://www.wikipedia.org
http://www.informacija.rs
http://www.sk.rs
http://www.benchmark.rs

29