Maliciozni softveri, Sigurnost računarskih sistema

5/26/2018 Maliciozni softveri, Sigurnost ra unarskih sistema

Maliciozni softveri-Seminarski rad-

Predmet: Sigurnost raunarskih sistema

Student: Avdovi AzraProfesor: dr amil Suki

Novi Pazar, decembar 2013.


Maliciozni softveri

Avdovi Azra 1

Sadraj

1 Opte o malware programima...................................................................................... 2

2 Kratka istorija kompjuterskih virusa ........................................................................... 3

3 Vrste malware programa ............................................................................................. 5

3.1 Virusi .................................................................................................................... 5

3.2 Crvi (worms) ........................................................................................................ 6

3.3 Webbits................................................................................................................. 7

3.4 Trojanci (Trojan horses) ....................................................................................... 7

3.5 Logike bombe..................................................................................................... 7

3.6 Spyware ................................................................................................................ 8

3.7 Adware ................................................................................................................. 8

3.8 Scareware ............................................................................................................. 9

3.9 Ransomware ......................................................................................................... 9

3.10 Exploiti ............................................................................................................... 10

3.11 Rootkit ................................................................................................................ 10

4 Izvori malware-a ........................................................................................................ 11

5 Simptomi infekcije i ienje.................................................................................... 13

6 Preventiva i zatita od malware programa................................................................. 15

6.1 Anti-virusni i anti-spyware programi ................................................................. 15

6.2 Firewall sistemi .................................................................................................. 17

6.3 Email klijenti i serveri naprednih karakteristika ................................................ 18

7 Zakljuak................................................................................................................... 19

8 Literatura ................................................................................................................... 20


Maliciozni softveri

Avdovi Azra 2

1 Opteo malware programimaPojam malware, a to je kovanica od rei malicious software, je termin koji se koristiza sve vidove programa koji nanose tetu, bilo da se ona odnosi na sigurnost podataka naraunaru ili na tetu nanetu korisnikovoj privatnosti. Postoje malware programi kojiakne nanose nikakvu tetu sistemima i postoje samo zbog toga da bi njihov autor isprobaometode irenja, pa je zato, logino pitanje da li se takvi programi mogu svrstati umalware. Obzirom da bespotrebno zauzimaju memorijski prostor i koriste mrene veze zairenje, mogu se ubrojati u malware.

Malware programi se klasifikuju prema tome ta ine, kako se izvravaju, i prema nainuna koji se umnoavaju. Meutim, razlike izmeu tipova malware programa nisu uvektako jasno definisane, pa se mnoge vrste preklapaju, pa na neki nain postoje i

hibridni malware programi koji kombinuju osobine vie vrsta.

Zajedniko za sve vrste malware programa je to da se ire uglavnom bez obzira na voljukorisnika, osim ukoliko sam korisnik ne eli da zarazi odreeni sistem, i na taj nain gaugrozi. Motivi za ovakvo ponaanje nekih korisnika mogu biti razliiti:1

- edukativni- dokazivanje u hakerskom svetu- finansijska korist istraivanjem ponaanja korisnika kako bi se svrstali u odreenu

ciljnu grupu, a potom servirale odreene reklame- industrijska pijunaa- kraa novca elektronskim putem- prenoenje raznih drugih poruka (politikih, linih, pa ak i totalno besmislenih

poruka)

1Introduction to computer virusis:

http://www.sophos.com/en-us/press-office/press-releases/1998/05/va_virusesintro.aspx
http://www.sophos.com/en-us/press-office/press-releases/1998/05/va_virusesintro.aspxhttp://www.sophos.com/en-us/press-office/press-releases/1998/05/va_virusesintro.aspxhttp://www.sophos.com/en-us/press-office/press-releases/1998/05/va_virusesintro.aspxhttp://www.sophos.com/en-us/press-office/press-releases/1998/05/va_virusesintro.aspx


Maliciozni softveri

Avdovi Azra 3

2 Kratka istorija kompjuterskih virusaKompjuterski virusi su prva forma malware programa koja se pojavila 1981 godine. Prvi

kompjuterski virus se zvao Elk Cloner i bio je napisan za Apple II raunar. Terminkompjuterski virus je dao Fred Cohen, 1983 godine dok je eksperimentisao sa DECVAX raunarima u okviru nauno-istraivakog rada. Tada je on klasifikovao viruse naistraivake i viruse u divljini.

1986 kreiran je prvi virus za PC raunar po imenu Brain, i to je bio boot -sektor virusnapisan u Pakistanu i inficirao je iskljuivo boot sektor disketa formatiranih na 360 KB.Nanosio je tetu tako to je prepunjavao preostali prostor na disketi i na taj nainonemoguavao dalje korienje. To je bio i prvi stealth virus to znai da je pokuavaoda se sakrije od detekcije. Kada bi korisnik kompjutera hteo da vidi inficirani boot sektor,prikazivao bi mu se lani (neinficirani) boot sektor.2

1987 u novembru je napravljen Lehigh virus i to je bio prvi virus koji je inficiraorezidentni deo memorije tako da je napadao i menjao svaki izvrni fajl koji je biopokretnut. U decembru, napravljen je Jerusalemvirus koji je u sebi imao bug, zbog kogaje inficirao ve inficirane fajlove.

1988u martu je kreiran prvi anti-virusni program. Detektovao je i popravljao tetu kojuje inioBrainvirus. Cascadevirus je takoe tada napravljen, a znaajan je po tome to jebio kodiran.

1990 Pojavljuju se virusi koji imaju napredne karakteristike, kao to su polimorfizam

(enkriptovani virusi, gde je kod za dekodiranje promenljiv), oklopljavanje (armoring tj.onemoguavanje disasembliranja virusa) i multipartite (virusi koji inficiraju i bootsektor i programe).

1991Virus Tequilakombinuje sve tri napredne osobine. On je polimorfan, oklopljen imultipartitan. Pojavljuje se i Norton Antivirus anti-virusni program.

1993 Pojavljuje se Crunchervirus koji je prvi koji je na neki nain bio shvaen kaodobar. Isti je inficirane izvrne fajlove kompresovao i na taj nain tedeo korisnicimaprostor na disku.

1995pri kraju godine su se pojavili Microsoft Word makro virusi.

1996Conceptpostaje najraireniji Word macro virus.Bozaje prvi virus koji se pojavioza Windows 95.

2The history of computer viruseshttp://scilifestyle.com/the-history-of-computer-viruses.html
http://scilifestyle.com/the-history-of-computer-viruses.htmlhttp://scilifestyle.com/the-history-of-computer-viruses.htmlhttp://scilifestyle.com/the-history-of-computer-viruses.html


Maliciozni softveri

Avdovi Azra 4

1999Pojavio se Melissavirus koji se irio preko Microsoft Outlook i Outlook Expressemail klijenata

2000I Love Youvirus se iri nekontrolisano putem emaila i automatski se alje svima izadress book-a.

U novijoj istoriji, pojavljuje se sve vie i vie novih virusa koji se uglavnom zasnivaju naiskorienju greaka u operativnim sistema i raznim programima koji komunici raju saInternetom, a posebno P2P filesharing mreama. Naroito je ugroen Windows, a umnogoj manjoj meri ostali operativni sistemi koji se danas koriste. Treba rei da jenapravljeno dosta virusa i za C64, AmigaOS, MacOS i MS-DOS. Malware programe jejednostavno nemogue iskoreniti, jer e uvek biti novih varijanti koje iskoriavaju novepropuste. injenica je i da sa napretkom programa nestaju stari bagovi, a postojeioperativni sistemi i programi jednostavno postaju tehnoloki zastareli, pa se povlae izupotrebe i zbog toga malware programi vremenom postaju nefunkcionalni.


Maliciozni softveri

Avdovi Azra 5

3 Vrste malware programaPostoji nekoliko osnovnih vrsta malware programa, meu kojima su:3

- virusi- crvi (worms)- wabbiti- trojanci- logike bombe- spyware- adware- ransomewere- scareware- rootkit-ovi

Osobine razliitih vrsta malware programa se u velikom broju sluajeva kod virusazapravo kombinuju, tako da je ponekad veoma teko odrediti kojoj vrsti malware-a nekivirus pripada.

3.1 Virusi

Virusi su samo-kopirajui programi koji ubacuju svoj izvrni kod u izvrne fajlove nazaraenom kompjuteru ili preko mree. Mogu da inficiraju ak i dokumente i to su macrovirusi, a infekcije boot sektora hard diskova ili disketa su neto ree u poslednje vreme.Zbog naina raznoavanja koji je slian biolokim virusima, oni su tako i nazvani, aanalogno tome, kompjuter sa virusom se esto naziva i inficirani ili zaraeni kompjuter.Virusi mogu iskljuivo da nanesu tetu softveru, a ne i hardveru, ali je zanimljivospomenuti da postoje virusi (npr. CIH) koji napadaju odreene vrste BIOSa, briui svepodatke iz njega, i ostavljajui kompjuter neupotrebljivim sve dok se u BIOS chipponovo ne upie njegov program, tj. izvri fleovanje. Meutim, mogunost da virusiotete hardver ne trebau potpunosti odbaciti jer postoje ideje na koji bi se nain to moglopostii. Recimo, virus koji bi mogao da promeni rezoluciju slike na monitoru vie puta u

sekundi bi najverovanije posle nekog relativno kratkog vremena izazvao kvar na istom.Mogunost oteenja hardvera uz pomo malicioznog softvera u mnogome zavisi odsame konstrukcije hardvera i od toga da li sam hardver ima greaka u konstrukciji.

Virusi su ak u velikom broju sluajeva benigni ili samo smetaju pri radu, a mogu biti i

3History of viruses

http://csrc.nist.gov/publications/nistir/threats/subsubsection3_3_1_1.html
http://csrc.nist.gov/publications/nistir/threats/subsubsection3_3_1_1.htmlhttp://csrc.nist.gov/publications/nistir/threats/subsubsection3_3_1_1.html


Maliciozni softveri

Avdovi Azra 6

tempirani, kada se nazivaju bombe, a teta koju prouzrokuju moe biti okinuta navremenskoj ili logikoj bazi. Recimo, virus se aktivira na odreeni datum ili period posle,ili je potrebno da korisnik uini neto nevezano za sam virus da bi isti to osetioaktivirao se. Termini koji se koriste za ovakve viruse su time-bombs ili logic-bombs.

Sa inficiranog kompjutera, virusi se prenose na druge kompjutere ili korisnikovimkopiranjem, ili putem mree i u tom smislu su razliiti od crva koji uglavnom koristeInternet za svoje irenje.

U pogledu naina irenja, postoje rezidentni i nerezidentni virusi. Rezidentni virusi su onikoji ostaju u RAM memoriji posle izvrenja inficiranog programa, a nereziredni virusiodmah po pokretanju zaraenog programa zaraavaju ostale programe, ali ne ostaju umemoriji.

Host za viruse mogu biti razliiti entiteti raunarskog sistema, a najee, to su:

- Binarni izvrni fajlovi- Boot sektori disketa i hard diskova- Master Boot Record (MBR) hard diskova- Batch fajlovi (batch fajlovi u DOS-u i Windowsu) i shell skript fajlovi na Unix

sistemima- Skriptovi specificni za odreenu aplikaciju- Dokumenti koji imaju makroe (MS Word, Excel, Access, itd...)

3.2 Crvi (worms)Za razliku od virusa, crvi nisu deo drugih programa, ve su to zasebni programi koji se

prenose i izvravaju koristei slabosti operativanog sistema, a posebno programa zatransmisiju podataka na Internetu.

Prvi crv se pojavio 1978 godine, a stvorila su ga dva istraivaa u Xerox PARCistraivakom centru, a prvi koji je pridobio veu panju je Morris crv, koji se pojavio1988 godine i koji je vrlo brzo zarazio puno kompjutera a koristio je greke u Unixoperativnom sistemu.

Pored umnoavanja, crvi mogu biti dizajnirani i da rade druge radnje, kao to je brisanjepodataka, instaliranje backdoor programa, slanje emailova, itd... a takva fukcija kod crvase naziva payload. Samo po sebi, irenje crva moe predstavljati prilianproblem kod

performansi mrenih veza, a primer za to je globalno usporenje Interneta primaximalnom irenju jednog od najpoznatijih i najrairenijih virusa dananjice MyDoom crva.

Najuobiajeniji payload crva je backdoor program koji moe da ima razliite funkcije alije najea ona kada se instalira SMTP server i kompjuter tada slui kao taka sa koje sealju neeljenje email poruke (SPAM), najee komercijalne prirode. Ima sluajeva dasu kompjuteri na koji su instalirani backdoor programi uz pomo crva sluili kaopotencijalne take sa kojih se izvode DDOS napadi (Distributed Denial of Service), pa je


Maliciozni softveri

Avdovi Azra 7

bilo pokuaja ucena velikih kompanija uz pomo pretnji napadom. ak postoje crvi kojikoriste backdoorove instalirane od drugih crva, kao to je Doomjuice, koji koristibackdoor MyDoom crva. Ukratko, DDOS napad predstavlja pokuaj obaranja bilo kojevrste serverskog sistema na Internetu, uz pomo neprekidnog slanja velikog brojaklijentskih zahteva, u nadi da e sistem pasti kada dosegne potpuno iskorienje svojih

resursa, a ovo se obino odnosi na iskorienost memorije i broj procesa.

3.3 WebbitsSpecijalna i veoma retka varijanta malware programa. Za razliku od virusa, ne inficirajuprograme ili dokumente na hostu, ve su to zasebni programi koji se najee automatskipokreu. Za razliku od crva, ne koriste mreu da bi se irili ve se samo repliciraju uokviru zaraenog kompjutera. Obino su maliciozni, koriste se najee kao baza za DOSnapade.

3.4 Trojanci (Trojan horses)Trojanac je maliciozni program koji je preruen u potpuno , naizgled, legitimniprogram. Naziv je naravno preuzet iz grke mitologije, i tu praktino postoji potpunaanalogija izmeu mitskog i stvarnog, pa je i ovo bio prikladan naziv za ovu vrstumalware programa. Dolaze putem elektronske pote preko raznih servisa za preuzimanje ina brojne druge naina. ire se tako da iskoriste korisnike koji ne slutei nita loe,

pokreu i instaliraju trojanske programe na svoj raunar.Za razliku od crva, virusa i nekih drugih vrsta malicioznih softvera, trojanski konji ne

mogu raditi autonomno. Uspenost trojanskih konja zbog toga zavisi mahom od primenemetoda softverskog ininjeringa, a ne toliko od sigurnsnih propusta i mana webbroseware-a ili operativnog sistema u celini. Postoji vie tipova trojanskih konja aokarakterizovani su prema vie kriterijuma- prema nainu delovanja, prema akcijamakoje ine na korisnikovom raunaru i drugim kriterijumima.

3.5 Logike bombeLogika bomba4je zlonameran kod ugraen u neki koristan program koji e se aktiviratikada se odgovarajui uslovi ispune. Aktivacija koda moe da bude u odreeno vreme ili

4Sigurnost raunarskih sistema, prof. Dr amil Suki, 2012.


Maliciozni softveri

Avdovi Azra 8

odreenog datuma, ukoliko na disku postoji odreena datoteka ili ako se na sistem prijaviodreeni korisnik.

Kada se aktivira, logika bomba se najee ponaa destruktivno. Drugi oblicizlonamernih programa, kao to su virusi i crvi, esto sadre logike bombe koje e

izvriti neku akciju u unapred odreeno vreme ili ukoliko se ispune neki uslovi. Virusi icrvi koriste ovu tehniku kako bi se neprimetno proirili na druge sisteme. Destruktivneakcije virusa i crva ponekad se takoe izvode pomou logikih bombi. Na primer,ukoliko crv izvrava distribuirani DoSnapad na rtvu, napad se mora realizovati pomoulogike bombe koja ese na velikom broju raunara izvriti u isto vreme.

Da bi se kod mogao klasifikovati kao logika bomba, akcija koju izvrava mora bitineopaena i nepoznata korisniku (do momenta izvrenja).

3.6 SpywareSpyware5jeprogram kojim se oznaava vrlo iroka kategorija malicioznog softvera ijeje delovanje usmereno prema preuzimanju delimine kontrole nad korisnikovimraunarom bez postavljanja pitanja i osiguravanja saglasnosti korisnika da mu se takavsoftver instalira na raunar. Sam naziv spyware u sebi ukljuuje respy koja oznaavapijuniranje pa se moe stei utisak kako je spyware namenjen pijuniranju ponaanjakorisnika dok radi na raunaru, no u poslednje vreme pojam spyware poprima ireznaenje i oslikava iroku kategoriju softvera malicioznog delovanja, esto na koristtreih strana.

Najjednostavnoje govorei- spyware moemo okarakterisati kao softer koji belei takorisnik radi na svom raunaru i onda prikupljene informacije alje Internetu. Re je ovrlo raznolikom tipu informacija- od adresa Web stranica koje poseujete do opasnijihkoji pokuavaju da presretnu koje tastere pritiskate kako bi pokuali da prikupe vaelozinke i druge poverljive informacije.

3.7 AdwareAdwere je softver koji na vaem raunaru prikazuje razne oglase ili reklame, na nain da

se neobjanjivo aktiviraju razni pop-up prozori ili linkovi koji vode na druge webstranice, ak i kada niste na Internetu. Oglaavanje, samo po sebi najee nije problem(neke kompanije ak nude besplatan softver u zamenu za reklamiranje na vaemraunaru i na taj nain one zarauju novac). Ljudi u zajednici su oduvek okruenioglaavanjem i ono prua vane usluge ako se sprovodi ispravno i odgovorno. Meutim

5Sigurnost raunarskih sistema, prof. Dr amil Suki, 2012


Maliciozni softveri

Avdovi Azra 9

adware moe poprimiti druga obeleja- ne prua korisniku celokupnu obavetenost ilikontrolu nad operativnim sistemom to ga ini neeljenim softverom na vaem raunaru.

Tih opasnosti korisnik mora biti svestan. U poecima oglaavanja na Internetu, adwarenije pretstavljao problem korisniku budui da se radilo o jednostavnoj i bezopasnoj

pojavi. Vremenom je ovaj softver postajao maliciozan. Potpuno je poeo pokazivati nekasvojstva spyware-a pa su rtve napada esto bile onemoguene da vrate stara podeavanjasvok Internet broseware-a nakon to bi ih adware izmenio. esto bi bio onemoguenpristup celim grupama podeavanja.

3.8 ScarewareScareware6 je vrsta softvera iskljuivo stvorena zbog uznemiravanja korisnika ijiraunar napadne. Najee se radi o programu koji pokrenu dijaloki prozor koji

korisniku upuuje uznemirujue pitanje ili poruku, a svi ponueni odgovori ili reakcije sunaizgled neeljene. Primer je mali program koji u dijalokom okviru korisniku postavipitanje:elite li da formatirate hard disk?, a ponueni odgovori su Da i Da ili je naprimer onemogueno da kliknete na dugme Ne. Meutim, bez obzira koji odgovorodaberete nikakva stvarna teta se nee naneti vaem raunaru, budui da je sarewaresamo softver zastraivanja, ali koji ne deluje kao tipian maliciozan softver.

esto se u praksi pojam scareware koristi kako bi se opisao skup softverskih proizv odakoji su posebni po tome to uz sluenje svojoj osnovnoj svrsi, stvaraju mnotvoneozbiljih i alarmantnih upozorenja ili preteih poruka. Korisnici koji se po prvi put

susreu sa ovakvom vrstom problema esto budu potpuno izbezumljeni, neznajuikako spasiti svoj raunar. Ova grupa programa zapravo nastoji da povea svojuopaljivu vrednost bomardovanjem korisnika neprestanim porukama upozorenja.Takve poruke ni na koji nain nee poveati korisnikovu efikasnost.

3.9 RansomwareRansomware je vrsta malicioznog programa ili koda koji otima i ifrira datoteke rtve, dabi zatim napada iznuivao novac u zamenu za klju deifriranja koda. Dokumentovanisluajevi ovakvih napada su retku, ali u porastu. Jedan od prvih dokumentovanihsluajeva napada ransomware-om je zabeleen u maju 2005. godine. Sam program koji

6Sigurnost raunarskih sistema, prof. Dr amil Suki, 2012


Maliciozni softveri

Avdovi Azra 10

ifrira datoteke esto nije jako teaj za reavanje ali postoje i znatno kompleksnijiprogrami koji koriste hibridne metode na nivou vojnog ifriranja. Takav program senaziva cryptovirus, cryptotrojan ili cryptoworm. Podruje koje se bavi ovimprouavanjem napada naziva se kriptovirologija.

3.10ExploitiExploiti su programi koji iskoriavaju odreenu slabost nekog programa, oni najeesami po sebi ne nanose tetu i postoje samo da bi se demonstrirala slabost nekogprograma, ali njihove usluge esto vrlo rado koristecrvi, virusi, spyware i sl

3.11RootkitRootkit je softver koji se ubacuje na kompjuter poto je napada dobio kontrolu sistema a

namena mu je da olaka remote kontrolu i da sakrije tragove upada brisanjem log fajlovaili sakrivanjem procesa koji su pod kontrolom napadaa. esto rootkitovi sadre ibackdoorove, omoguavajui olakani naknadni upad ili exploit programe za napade nadruge sisteme. Vano je primetiti da se ciljani napadi obino izvode sa sistema koji sutakoe prethodno bili ugroeni, da bi se sa njih lako mogli ukloni ti dokazi o identitetunapadaa, jer sam napada dobija mogunost da ukloni dokaze. Rootkitovi se vrlo estovezuju za kernel nivo, pa ih je teko otkriti, a kada se jednom otkriju vrlo je bitno da sekompletno reinstalira sistem, kako bi se sigurno uklonili svi tragovi rootkita.


Maliciozni softveri

Avdovi Azra 11

4 Izvori malware-aMalware programi mogu dospeti u operativni sistem na nekoliko naina:7

- Prostim kopiranjem zaraenog programa sa mobilnog medija, preko LAN mreeili preuzimanjem sa Interneta putem FTP, HTTP, nekog od P2P protokola, islino.

- Putem email attachmenta- Putem malicioznih ActiveX, Java i Javascript programa- Iskoriavanjem sigurnosnog propusta u sistemu (koristei exploite), a to je put

kojim se ire crvi (worms). Serverski program na napadnutom sistemu predstavljaprolaz.

- Preko multimedijalnih fajlova koji u sebi sadre takav niz podataka, daiskoriavaju propuste u klijentskim aplikacijama sistema. Takav sluaj je i jedna

verzija biblioteke gdiplus.dll, dela operativnog sistema Windows XP u nekoj odranijih verzija.

Crvi, i maliciozni ActiveX, Java i Javascript programi se uglavnom automatski izvravajuposle uspenog ulaenja na sistem, to nije sluaj sa virusima i trojancima koje korisniktreba sam da pokrene, posle ega oni koriste jedan od naina za automatsko pokre tanjepri dizanju sistema.

Pri korienju weba treba biti posebno obazriv sa odreenim tipovima sajtova, anajopasniji su sajtovi koji sadre crack programe, jer se pokazalo da u relativnovelikom broju sluajeva programi za krekovanje drugih programa u sebi sadre i

maliciozni kod, ako ne i iskljuivo maliciozni kod. U sluaju da se koriste sajtovi kojiizvravaju kod na klijentu, veoma je poeljno imati ukljuen rezidentni anti-virusniskener, ali ni u njega se ne treba pouzdati previe. Treba dozvoliti izvravanje ActiveX iJava programa samo sa onog sajta za koji smo sigurni da je ozbiljan, tanije da iza njegastoji ozbiljna firma.

Pri itanju email poruka, postoji relativno mala mogunost da samim pozicioniranjempointera na poruku ili downloadom email poruke email klijent automatski pokrenemaliciozni program, ali takvu mogunost ne treba potpuno odbaciti, jer sigurnosnipropusti u email klijentima omoguavaju i to. Email attachmente nikako ne trebapokretati ukoliko nismo sigurni daje to sigurno ono to je trebalo da primimo. Vrlo esto

se deava da vam prijatelj poalje neki attachment, a ustvari to nije uradio on ve nekimaliciozni program sa bilo kog kompjutera koji je imao njegovu email adresu koju jeiskoristio je za stavljanje u From: polje. Valja napomenuti da je From: polje apsolutnoproizvoljno sa stanovita protokola za prenos email poruka. Za utvrivanje izvora poruke,merodavno je jedino zaglavlje email poruke koje sadri informacije o putanji email

7Next generation viruses

http://www.sorgonet.com/virus/nextgenviruses/
http://www.sorgonet.com/virus/nextgenviruses/http://www.sorgonet.com/virus/nextgenviruses/


Maliciozni softveri

Avdovi Azra 12

poruke, odnosno IP adresama SMTP servera preko kojih je putovala. IP spoofingtehnike, tj. tehnike sakrivanja stvarne IP adrese mogu omesti i ovo, a takoe i korienjenezatienih (relaying) SMTP servera, odnosno email servera iji administrator jeostavio mogunost da preko njega email alje svako, bez obzira koju IP adresu imao.Email poruke sa virusima esto su oplemenjene primamljivim porukama koje

poveavaju ansu da attachment bude pokrenut. O efikasnom nainu zatite od neeljenihi zaraenih email poruka, bie jo rei neto kasnije u posebnoj taki.

Veina BIOS programa sadri opciju za detektovanje promene boot sektora hard diska,pa je korisno ukljuiti ovu opciju, jer je promena boot sektora veoma retka operacija ideava se uglavnom samo pri instalacijama operativnog sistema. Njegova promena u tokuregularnog rada najverovatnije znai da je sistem ve zaraen. Treba znati da se zaraeniboot sektor moe prebrisati dobrom verzijom uz pomo softvera, ali uz napomenu da tonikako ne garantuje da se boot sektor opet nee inficirati izvravanjem zaraenogizvrnog fajla.


Maliciozni softveri

Avdovi Azra 13

5 Simptomi infekcije i ienjePostoji irok spektar simptoma postojanja malwareprograma u sistemu, manje ili vieuoljivih. Najtei simptomi ukljuuju nemogunost podizanja operativnog sistema zbogobrisanih ili promenjenih sistemskih fajlova ili potpuno brisanje podataka sa hard-diska.U ovakvim sluajevima uglavnom je vrlo neizvesno da li je mogue popraviti nastalutetu i dovesti operativni sistem i podatke u prethodno stanje. Preporuuje se podizanjesistema sa diskete na kojoj postoji antivirusni softver i skeniranje sistema kako bi seutvrdila vrsta infekcije i pokualo ienje, prvo sa samim antivirusnim programom(ako nudi tu mogunost), a potom i runo, pratei uputstvo za ienje virusa, ukolikoono postoji. Uglavnom je kod teih infekcija potrebno podii operativni sistem saWindows instalacionog diska i odabrati opciju Repair, kako bi se sistemski fajlovivratili u originalno stanje.8

Meu simptomima moe biti i usporenje LAN i Internet komunikacije, a izazvano jenajee irenjem crva. Simptomi ovakve infekcije se efikasno suzbijaju sa firewallom , apored toga, firewall moe i da onemogui irenje crva.

Promena podataka u izvrnim fajlovima i dokumentima jo jedan je od simtoma zaraze,mada to moe biti i rezultat disfunkcije hardvera.

Dalje, funkcionalnost sistema moe biti promenjena i usporena. Mogue je pojavljivanjeneoekivanih poruka na ekranu, zvunih signala, remeenje normalnog rada ulaznoghardvera najee tastature i mia, a sve su ovo simptomi sasvim sigurne infekcije.Ukoliko simptomi i nisu veoma izraeni, na infekciju treba posumnjati i poeljno jeskeniranje svih particija hard diska sa najnovijim verzijama nekih od anti-virus i anti-spyware programa.

Kada se utvrdi da je sistem inficiran, ne treba upadati u ishitrene i nepromiljene akcije.Prvo je dobro nainiti backup vanih podataka, a potom uz pomo antivirusnog programautvrditi o kakvom se tipu virusa radi i da li sa istim programom moe i da se ukloni. Akone, na Internetu je najverovatnije mogue pronai specijalni program za uklanjanje togtipa virusa. Korisni programi za najrasprostranjenije viruse se mogu nai na adresi:http://securityresponse.symantec.com/avcenter/tools.list.html

Ako nema uspeha u pronalaenju odgovarajuegprograma za ienje, treba potraitiuputstva za runo uklanjanje virusa. Ukoliko i taj pokuaj propadne, ostaje opcija dakorisnik sam utvrdi o kom procesu se radi i na koji nain se isti pokree. Treba znati da

8Wikipedia.org

http://www.wikipedia.org
http://securityresponse.symantec.com/avcenter/tools.list.htmlhttp://securityresponse.symantec.com/avcenter/tools.list.htmlhttp://www.wikipedia.org/http://www.wikipedia.org/http://securityresponse.symantec.com/avcenter/tools.list.html


Maliciozni softveri

Avdovi Azra 14

pored velikog iskustva koje je potrebno za tako neto, uspeh u tome nikako nijezagarantovan, pa lako moemo doi i do nekih polu-reenja za koja moemo samo mislitida su reenja.

Poslednja solucija je formatiranje hard diska i reinstalacija sistema, uz prethodni backup

podataka, to je vremenski i najzahtevnija opcija, ali u nekim sluajevima i neizbena,uzimajui u obzir da je za neke vrste infekcije potreban izuzetno visok nivo znanja iiskustva da bi se raunar dezinfikovao.

Pri izboru anti-virus programa, a posebno anti-spyware programa, potrebno je posebnoobratiti panju na reputaciju firme koja ga proizvodi, kao i na miljenje korisnika koje selako moe pronai po forumimai u raznim kako tampanim, tako i on-line publikacijama.Koliina malware program koju program moe da otkrije je moda i manje bitna odsposobnosti brzog auriranja programa sa najnovijim otiscima malware-a, dakleosobine da je to pre po pojavi novog malware programa, anti-malware programsposoban da isti i pronae. U praksi, poznatiji programi se auriraju skoro svakodnevno

sa novim definicijama malware-a.

Anti-virusni programi sa najboljom reputacijom su:- NOD32 (http://www.eset.com,30,4)- Norton Antivirus (http://www.symantec.org,48)- Kaspersky Antivirus (http://www.kaspersky.com, $39.95),- Avast! (http://www.avast.com, besplatan za home upotrebu),- AVG (http://www.grisoft.com,44.95 za dve godine)

Test najpoznatijih anti-spyware i firewall programa se moe nai nahttp://www.adwarereports.com , a zanimljivo je i da je i sam Microsoft zajedno sa

Windows XP Service Pack 2 paketom izdao i svoj anti-spyware program, pa se po tomese moe zakljuiti koliki se znaaj pridaje zatiti od malware programa.
http://www.eset.com/http://www.eset.com/http://www.eset.com/http://www.symantec.org/http://www.symantec.org/http://www.symantec.org/http://www.kaspersky.com/http://www.kaspersky.com/http://www.kaspersky.com/http://www.avast.com/http://www.avast.com/http://www.avast.com/http://www.grisoft.com/http://www.grisoft.com/http://www.grisoft.com/http://www.adwarereports.com/http://www.adwarereports.com/http://www.adwarereports.com/http://www.grisoft.com/http://www.avast.com/http://www.kaspersky.com/http://www.symantec.org/http://www.eset.com/


Maliciozni softveri

Avdovi Azra 15

6 Preventiva i zatita od malware programaZatita od malware programa je jedna velika grana kompjuterske industrije, a svakakojedna od najznaajnijih. U poslednje vreme zaista nije lako zatiti sistem, a naroitoWindows operativni sistem od napada koji vrebaju na svakom koraku. Da bi sekorisnik uspeno zatitio od virusa i crva potreban je odreen nivo znanja i discipline ukorienju kompjutera, koga u sluaju spyware i trojanaca esto nikad nije dovoljno.

Borba protiv malware programa se vodi na nekoliko frontova. Najvanije je da korisnikbude svestan bar veine naina na koje malware programi mogu zaraziti raunar i dapostigne nivo discipline kako bi uspeno primenio to znanje.

Osnovni tipovi zatite su:9

1. Anti-virusni programi2. Anti-spyware programi3. Firewall sistemi4. Email klijenti i serveri naprednih karakteristika sa prepoznavanjem virusa i

SPAM-a

6.1 Anti-virusni i anti-spyware programiGranica izmeu ove dve vrste programa sve vie se brie, pa se i sve vie pojavljujuprogrami koji kombinuju ove dve vrste zatite. Tehniki gledano,ne postoji velika razlikaizmeu naina otkrivanja virusa, crva i spyware programa. Ovakvi programi obinoimaju nekoliko komponenti, pa u na primeru NOD32 antivirusnog programa(http://www.eset.com) koji je jedan od kompletnijih i boljih opisati njihove funkcije.

NOD32 antivirus se sastoji od sledeih komponenti:

1. Rezidentnog antivirusnog monitora2. MS Office macro virus detektora3.

Internet monitora (zajedno sa skenerom dolazeeg i odlazeeg email-a)4. On-demand skenera

5. On-line update

9Malware: what is it and how to prevent it?

http://arstechnica.com/articles/paedia/malware.ars
http://www.eset.com/http://www.eset.com/http://www.eset.com/http://arstechnica.com/articles/paedia/malware.arshttp://arstechnica.com/articles/paedia/malware.arshttp://www.eset.com/


Maliciozni softveri

Avdovi Azra 16

Rezidentni antivirusni monitor je neprekidno aktivan proces i konstantno proveravaostale procese koji su trenutno pokrenuti, traei otiske poznatih virusa ili proveravajuiprocese heuristikim metodama, a to znai otkrivanje virusa iako za njega u programu nepostoji definisan otisak.

Monitor MS Office macro virusa je takodje rezidentni monitor i otkriva macro viruse uWord, Excel i Access dokumentima.

Internet monitor konstantno posmatra Internet konekciju i otkriva maliciozne ActiveX,Javascript i Java aplete koji dolaze putem HTTP protokola, a vri i presretanje emailporuka, tj. preuzima njihov download na sebe, skenira ih, pa tek onda isporuuje klijentu.

NOD32 on-demand skener se koristi ako elimo da skeniramo hard disk, odreenedirektorijume ili odreene fajlove, a najee se koristi pri stavljanju novih drajvova(najee disketa) u sistem.

On-line update komponenta slui za auriranje samog programa i definicija virusa iworm-ova i ukoliko je Internet veza na raunaru neprestano aktivna, obino se definicijenovih virusa downloaduju automatski, a moe se i korisniki definisati ritam auriranja.

Po otkrivanju malicioznog programa NOD32 e obavestiti korisnika, ali da bi se virusoistio, najee e biti potrebno skinuti specijalni program za tu vrstu virusa ilimanuelno, po nekom uputstvu, a najee se tu radi o runoj promeni registry-ja ibrisanju odreenih fajlova i ponovnom nabavljanju ispravnih verzija.

Spybot Search & Destroy (http://www.safer-networking.org) je najpoznatiji i program zazatitu od spyware i adware programa. Poseduje rezidentnu zatitu za Internet Explorer,

onemoguavajui instalaciju malicioznih toolbarova i blokirajui cookie. Za razliku odmnotva ovakvih programa, on je besplatan i ne sadri u sebi bilo kakav spyware, a iotkriva najvie spyware-a. Takoe ima komponentu za update, mada to kod njega nijeautomatizovano.

Vaan korak u zatiti kompjuteraje i korienje tehnoloki naprednijeg Mozilla Firefoxweb itaa, koji u odnosu na MS Internet Explorer ima mnogo manje sigurnosnihpropusta, a i u njemu je nemogue izvriti ActiveX skriptove koji su i najei uzroknaruavanja sigurnosti preko HTTP protokola.
http://www.safer-networking.org/http://www.safer-networking.org/http://www.safer-networking.org/http://www.safer-networking.org/


Maliciozni softveri

Avdovi Azra 17

6.2 Firewall sistemiFirewall moe predstavljati hardver ili softver koji onemoguava odreeni tip TCP/IP

komunikacije izmeu dve take u mrei. Na taj nain kontrolie se saobraaj i neomoguava se konekcija koja se uspostavlja da bi se kompjuter zarazio, a u sluaju vezaraenog kompjutera firewall moe da onemogui rad backdoor-a.

Filtracija TCP/IP paketa se moe vriti po nekoliko kriterijuma. Moe se ispitivati njihovsadraj, i njihov izvor i destinacija u smislu IP adrese, kao i porta. Pritom se za kunekorisnike najee koriste personalni softverski firewall sistemi koji filtriraju pakete poizvoru, destinaciji i portu.

Firewall je znaajan faktor zatite u firmama, gde su kompjuteri u internoj mrei(intranetu) jednostavno nedostupni za dolazei saobraaj sa Interneta i obino se tu radi o

gateway sistemima koji su zapravo kombinacija rutera i firewall-a. Za kue korisnike, apogotovo one koji koriste Internet sa realnom IP adresom, znaajni su softverska firewallreenja, a jedno od njih je Kerio Personal Firewall (http://www.kerio.com).

Kerio Personal Firewall je namenjen za kunu upotrebu, mada se mora rei da jenamenjen neto naprednijim korisnicima zbog svojih veoma detaljnih mogunostipodeavanja. Za poetnike e sasvim dovoljan biti i fabriki firewall koji se ugrauje usam Windows XP operativni sistem. Princip rada personalnog firewalla je da za svakiprogram koji hoe da uspostavi Internet komunikaciju biva presretnut od strane firewalla,kada korisnik moe da odobri ili zabrani konekciju. Recimo, ako smo instalirali nekiInternet server na operativni sistem, kao to je recimo FTP server, firewall e pri prvom

pokuaju komunikacije spoljnjeg klijenta sa serverom upitati korisnika da li taj tipkomunikacije dozvoljava ili ne, samo jednom ili permanentno. Na taj nain, mogu seonemoguiti mnogi backdoor programi koji otvaraju listening port za dolazeisaobraaj. Pri svakom pokuaju programa instaliranog na sistemu da uspostavikomunikaciju sa nekim Internet serverom, firewall e takoe upitati korisnika za dozvolu.Postoji jo dve bitne funkcije Kerio Personal Firewall-a, jedna je da svaka aplikacija kojaeli da pokrene neku drugu aplikaciju mora dobiti odobrenje korisnika, a druga je daKerio detektuje kada je neki program promenjen i upoznaje korisnika sa tim, nudei muda ne omogui njegovo izvravanje. Takoe, firewall moe spreiti skeniranjekompjutera, na taj nain to blokira ICMP pakete putem kojih napadai uglavnomsaznaju za postojanje kompjutera na mrei. Kerio ima dobar sistem logovanja paketa, kao

i zatitu od reklama i pop-up prozora preko kojih najee i ulaze maliciozni skriptovi usistem. Takoe podrava i automatski self-update.

Personalni firewall spada u osnovne naine zatite od malicioznih programa, i nitamanje nije vaan od anti-virus i anti-spyware programa.
http://www.kerio.com/http://www.kerio.com/http://www.kerio.com/http://www.kerio.com/


Maliciozni softveri

Avdovi Azra 18

6.3 Email klijenti i serveri naprednih karakteristika

Trei u nizu vrsta programa koje treba koristiti pri zatiti su email klijenti sa mogunouprepoznavanja i brisanja virusa na samom email serveru, pre nego to je email zapravo iprenet na raunar. Jedan od standardnih programa ove namene je Mailwasher(http://www.mailwasher.com), koji pored toga to uglavnom moe da prepozna virus uporuci, prepoznaje i SPAM poruke uz pomo javnih servisa kao to su Spamcop(http://www.spamcop.net ) ili ORDB (http://www.ordb.org ). Pored te vrste zatite naklijentskim sistemima, na administratorima je i da ugrade odgovarajue anti-virusprograme na serverskoj strani, a meu kojima je najpoznatiji za Spamasassin za Linuxoperativni sistem (http://spamassassin.apache.org).
http://www.mailwasher.com/http://www.mailwasher.com/http://www.mailwasher.com/http://www.spamcop.net/http://www.spamcop.net/http://www.spamcop.net/http://www.ordb.org/http://www.ordb.org/http://www.ordb.org/http://spamassassin.apache.org/http://spamassassin.apache.org/http://spamassassin.apache.org/http://spamassassin.apache.org/http://www.ordb.org/http://www.spamcop.net/http://www.mailwasher.com/


Maliciozni softveri

Avdovi Azra 19

7 ZakljuakMaliciozni programi su objektivni problem raunara uopte, a priroda tog problema je

takva da on sasvim sigurno nikada nee biti iskorenjen, ve da e se korisnici manje ilivie uspeno i ubudue tititi od njih. Veliki problem sa raznim tipovima malicioznihprograma imaju korisnici koji nisu spremni da steknu bar minimalno znanje o nainimazatite. Meutim, problematika ovihprograma je takva da svako moe relativno sigurnoda koristi raunar, ako sprovede samo nekoliko mera u cilju zatite i ako stekne osnovnoznanje o malware-u.

Ukoliko je sigurnost na prvom mestu pri radu sa nekim raunarom, svakako da je boljeinstalirati Linux operativni sistem za koji postoji neuporedivo manje malicioznihprograma, mada to ne znai da Linuxu nedostaju programi za zatitu. To je situacijadanas, ali jedno je sigurno: kako se poveava udeo Linux instalacija na desktop

konfiguracijama, pojavljivae se sve vie i vie malware-a i za ovaj operativni sistem.


Maliciozni softveri

Avdovi Azra 20

8 LiteraturaSigurnost raunarskih sistema, prof. Dr amil Suki, 2012.

Introduction to computer viruseshttp://www.sophos.com/en-us/press-office/press-releases/1998/05/va_virusesintro.aspx

Wikipedia.orghttp://www.wikipedia.org

The history of computer viruseshttp://scilifestyle.com/the-history-of-computer-viruses.html

History of viruseshttp://csrc.nist.gov/publications/nistir/threats/subsubsection3_3_1_1.html

Next generation viruseshttp://www.sorgonet.com/virus/nextgenviruses/

Malware: what is it and how to prevent it?http://arstechnica.com/articles/paedia/malware.ars
http://www.sophos.com/en-us/press-office/press-releases/1998/05/va_virusesintro.aspxhttp://www.sophos.com/en-us/press-office/press-releases/1998/05/va_virusesintro.aspxhttp://www.sophos.com/en-us/press-office/press-releases/1998/05/va_virusesintro.aspxhttp://www.sophos.com/en-us/press-office/press-releases/1998/05/va_virusesintro.aspxhttp://www.wikipedia.org/http://www.wikipedia.org/http://scilifestyle.com/the-history-of-computer-viruses.htmlhttp://scilifestyle.com/the-history-of-computer-viruses.htmlhttp://csrc.nist.gov/publications/nistir/threats/subsubsection3_3_1_1.htmlhttp://csrc.nist.gov/publications/nistir/threats/subsubsection3_3_1_1.htmlhttp://www.sorgonet.com/virus/nextgenviruses/http://www.sorgonet.com/virus/nextgenviruses/http://arstechnica.com/articles/paedia/malware.arshttp://arstechnica.com/articles/paedia/malware.arshttp://www.sorgonet.com/virus/nextgenviruses/http://csrc.nist.gov/publications/nistir/threats/subsubsection3_3_1_1.htmlhttp://scilifestyle.com/the-history-of-computer-viruses.htmlhttp://www.wikipedia.org/http://www.sophos.com/en-us/press-office/press-releases/1998/05/va_virusesintro.aspx


Maliciozni softveri

Avdovi Azra 21

Documents

Maliciozni softveri, Sigurnost računarskih sistema