Professional Documents
Culture Documents
Zlonamerni Programi
Zlonamerni Programi
Uvod
Zlonamerni programi su pisani od strane napadača kako bi na određeni način
napravili štetu.
Podela prema tome da li je neophodan nosilac, tj. program u kome će biti sakriveni
(virusi, trojanci) i samostalne, kojima nije potreban nosilac (crvi, špijunski programi).
Maliciozni programi se dele na one koji se repliciraju (virusi, crvi) i na one koji se ne
repliciraju (trojanci, logičke bombe).
Računarski virus je deo mašinskog koda, obično od 200 do 4000 bajta, koji će
nakon aktiviranja kopirati svoj kod na jedan ili više programa domaćina.
Izvršavanjem programa domaćina, izvršava se “inficirani” kod i virus nastavlja da
se širi.
Virusi
Pre pojave računarskih mreža virusi su se širili jedino preko zaraženih disketa.
Brzom širenju virusa doprinele su savremene računarske mreže. Takođe, virusi
se mogu prenositi i preko usb-a, CD/DVD-ova.. Apsolutne zaštite od virusa nema.
Najčešće, virus se ugnezdi u drugu datoteku, nakon čega je menja ili briše. Neki
virusi se samo reprodukuju, drugi prikazuju poruke na ekranu, a ostali brišu
diskove i uništavaju podatke. Ključni faktor za definisanje virusa je
samoumnožavanje u postojeći izvršni kod.
Virusi
Autori virusa često imaju za cilj da ostvare maliciozne namere, komercijalnu dobit
ili hakerisanje. Česta je klasifikacija virusa na sledeće kategorije:
Makrovirusi
Makrovirusi su preovladajući infektori datoteka napisani u makrojezicima. To su
programi koji se sami “kače” za dokumenta koja se najčešće otvaraju
aplikacijama iz paketa MS Office, a koja sadrže makroe - ugrađene programe za
automatizovanje zadataka (u Excell-u, Access-u..). Za druge aplikacije,
makrovirusi su veoma retki. Nakon otvaranja ili zatvaranja inficirane datoteke,
makrovirus preuzima kontrolu nad sistemom, a zatim pokušava da prenese svoj
kod, najčešće na druge otvorene datoteke u aplikaciji ili na druge datoteke na
disku.
Šifrovani virusi
Šifrovani virusi kriju svoj kod šifrovanjem. Najčešće, za šifrovanje koriste neku
jedinstvenu proceduru šifrovanja, kao što je binarna operacija XOR. Procedura
dešifrovanja je jedini otvoreni tekst. Pored toga što sakrivaju svoj kod, mogu sakriti
i inficiranu datoteku. Ovi virusi se mogu detektovati pronalaženjem procedure za
dekripciju koja se nalazi na početku koda virusa.
Složeni virusi
Složeni virusi su veoma opasni, jer kombinuju tehnike širenja, razmnožavanja i
ugrožavanja. Fleksibilni su i predstavljaju vrhunac tehnologije programiranja virusa.
Lažni virusi
Lažni virusi daju alarmantno upozorenje da je računar napadnut razornim virusom i
da je neophodno sprovesti trenutnu akciju adekvatne zaštite računara. Mogu
prevariti korisnika da izbriše datoteku, izmeni konfiguraciju OS-a. Mogu biti veoma
opasni u kombinaciji sa trojancem.
Crvi
Crvi su samostalni programi koji se nezavisno šire isključivo preko računarske
mreže tražeći nezaražene radne stanice u kojima će se reprodukovati.
Samoumnožavaju se sve dok se računar ne blokira usled nedostatka slobodne
memorije ili prostora na disku. Crv eksploatiše ranjivost žrtve ili koristi metode
prevare i obmanjivanja kako bi naterao korisnika da ga pokrene.
Trojanski konj
Trojanski konj (trojanac) je prosta forma zlonamernog programa koji se
predstavlja kao benigni program, ali u pozadini izvršava maliciozne aktivnosti.
Trojanac briše datoteke ili diskove, prikazuje poruke, ali ne inficira ostale izvršne
datoteke, jer se ne replicira. Sastoji se od serverske i kljintske komponente.
Serverska komponenta se ubacuje u računar korisnika, a klijentskom upravlja
napadač.
Na primer, trojanac može biti program koji se ubacuje i postavlja login upitnik,
očekujući od korisnika da unese ime i lozinku. Ako korisnik unese ove podatke,
program ih šalje napadaču, a korisniku, pri prijavljivanju na sistem, prikazuje
grešku. Alternativna metoda za širenje trojanca je upotreba crva kao nosioca.
Zadnja vrata (backdoor)
Zadnja vrata (backdoor) predstavljaju metod zaobilaženja kontrole pristupa
sistemu sa ciljem da se ostvari privilegovan pristup nekim delovima sistema.
Zadnja vrata u kodu često namerno stvaraju programeri zbog legitimnih razloga.
Napadač može instalirati backdoor pomoću virusa, crva, malicioznog skript koda
koji se izvršava u pretraživaču, a može i iskoristiti neku grešku ili ranjivost
konfiguracije sistema, ući u sistem i zatim samostalno instalirati backdoor za
sledeći napad.
Remote programi, koje administratori i proizvođači programa koriste za udaljeni
pristup korisničkim računarima, spadaju u backdoor programe. Razlika između
trojanca i backdoor-a je što backdoor napadaču samo omogućava zaobilazni
pristup računaru, dok trojanac isto omogućava zaobilazni put, ali vara korisnika da
je korisni program.
Logička bomba
Logička bomba je zlonameran kod ubačen u legitiman program, dizajniran da se
aktivira u tempirano vreme i proizvede nepoželjne rezultate. Da bi se kod mogao
klasifikovati kao logička bomba, akcija koju izvršava mora biti nepoželjna i
nepoznata (do momenta izvršenja) legitimnim korisnicima programa. Sastoji se
od tereta - dela koji izvršava maliciozni kod i okidača - dela koda koji pokreće
izvršavanje malicioznog koda. Okidač se može aktivirati i nezavisno od nekog
događaja. Logičke bombe mogu biti samostalne aplikacije ili zavisne od
izvršavanja drugog programa.
Maliciozni mobilni kod
Maliciozni mobilni kod čine mali programi koji se prenose sa nekog udaljenog
sistema i pokreću lokalno sa minimalnim učešćem korisnika ili bez učešća
korisnika. JavaScript, Java applets, ActiveX ili VB-Script su popularni prenosioci
mobilnih kodova.
Kombinovani napad
Ako maliciozni kod koristi višestruke metode za širenje, tada je reč o
kombinovanom napadu. Recimo, Nimda “crv” za širenje koristi e-mail, Windows
zajedničke datoteke, web servere i web klijente. Ako korisnik na ranjivom hostu
otvori inficiran mail prilog, Nimda traži e-mail adrese na hostu, a zatim šalje
svoje kopije na te adrese.
Špijunski programi
Špijunski program (spayware) je neželjeni program koji se instalira na računar
korisnika bez njegovog znanja, a zatim prikuplja informacije o aktivnostima
korisnika (npr. posećene web stranice i softver koji se upotrebljava), lozinke,
e-mail adrese, finansijske informacije, a zatim ih prosleđuje napadaču. Posebna
vrsta špijunskih programa su reklamni špijunski programi (adware) koji ove
informacije prikupljaju i šalju kompanijama koje se bave marketingom zasnovanim
na praćenju korisničkih navika pri pretraživanju veba i na oglašavanju u iskačućim
prozorima i banerima. Takođe, trojanci iz kategorije kradljivaca informacija mogu
se svrstati u špijunske programe.
Špijunski programi
Osim krađe informacija, špijunski programi kradu resurse računara i propusni
opseg veze sa internetom za prenos reklama i slanje prikupljenih informacija.
Indikatori napada na računar od špijunskih programa su: