nasaucionica.files.wordpress.com · Web viewNastanjuju se u sistemskom delu bilo hard bilo floppy diska (diskete). Prilikom podizanja računara sa jednog od navedenih, virusi se aktiviraju

Maliciozni i štetni programi

1Virusi

1Šta je virus?

2Kako radi virus?

2Kategorije virusa

3Kako prepoznati zaraženi računar?

4Kako se zaštititi od virusa?

4Kako ukloniti virus?

4Crvi

4Šta su crvi?

5Kako rade crvi?

5Kategorije crva

6Tipičan primer crva u akciji

7Kako se zaštititi od crva?

8Kako ukloniti crva?

8Rootkits

8Šta su to rootkiti?

9Kako rade rootkiti?

9Kategorije rootkita

9Zaštita od rootkita

10Kako ukloniti rootkit?

10Trojanski konji

10Šta su to trojanski konji?

10Tipovi trojanskih konja

11Načini zaraze trojanskim konjima

11Kako se zaštititi i ukloniti trojanske konje?

12Spyware

12Šta je to spyware?

12Ko se služi spywareom

12Informacije koje prikupljaju spyware programi

13Načini na koje spyware dospeva na vaše računare

14Prepoznavanje spywarea na računaru

14Uticaji spywarea na društvo i ekonomiju u celini

15Kako se zaštititi i boriti protiv spywarea

15Adware

15Šta je to adware?

16Adware/Spyware

16Delovanje na računar

17Metode upada adwarea na računar

17Problemi sa adwareom

18Kako se zaštititi?

19Poznati adware programi

19Scareware

19Šta je to scareware?

20Kako se zaštititi od scarewarea?

20Ransomware

20Šta je to ransomware?

20Kako napada ransomware?

20Ransome je opasan i za napadača

21Kako se zaštititi od ransomwarea?

Područje koje opisuje maliciozne i štetne programe vrlo je široko i njegovo poznavanje dobar je temelj usvajanju dobrih načela računarske sigurnosti.

U ovom poglavlju su opisani gotovo svi važniji tipovi malicioznih i štetnih programa poput virusa, crva, trojanskih konja...

Virusi

Jedna od najvećih internetskih opasnosti koje nam prete su maliciozni programi koji mogu naneti izuzetno veliku štetu nezaštićenom računaru. Danas imamo veliki broj različitih malicioznih programa - virusi, crvi, spywarei... Osim njihove raznolikosti, raznoliki su i načini na koji dospevaju na nezaštićeni računar. Ova lekcija donosi detaljan pregled ovih opasnosti i mnoge korisne savete kako se što kvalitetnije zaštititi od mogućih napada na računar..

Šta je virus?

Virusom se smatra skriveni maliciozni računarskii program čija je funkcija namerno ometanje i/ili promena rada računara bez dopuštenja ili znanja korisnika. S obzirom da se danas pojam virus često nepravilno koristi kako bi se opisao puno širi skup malicioznih programa (engl. malware), bitno je spomenuti dva osnovna svojstva svakog virusa:

1. samoumnožavanje – kao i onaj biološki, računarski virus će prilikom svog izvršavanja tražiti nove domaćine (datoteke na računarima) na koje se može proširiti

2. samoizvršavanje – virus se izvršava samostalno, najčešće na način da svoj kod umetne u izvršni kod drugog računarskog programa ili datoteke podataka

Konačni uticaj virusa na zaraženi računar varira od sasvim destruktivnog pa sve do „samo“ iritirajućeg i naočigled bezopasnog. Destruktivne verzije najčešće će značajno oštetiti ili u potpunosti izbrisati neke od preostalih računarskih programa ili datoteka, a u najgorem slučaju formatirati (pobrisati) celi hard disk računara. Manje opasne verzije neće naneti direktnu štetu već će se replicirati sa osnovnom namerom prikazivanja raznih poruka u audio, video ili teksutalnom obliku. No i te manje opasne verzije zauzimaju memoriju računara predviđenu za izvršavanje legitimnih programa i time nanose probleme i smanjuju efikasnost rada računara.

Kako radi virus?

Poput svoje biološke verzije, računarski virus ne može preživeti bez domaćina. Domaćin je u većini slučajeva drugi računarski program ili datoteka na računaru. Virus će svoj kod umetnuti u postojeći kod drugog programa ili datoteke i čekati na njegovo pokretanje, odnosno otvaranje datoteke. Proces umetanja malicioznog koda u „zdravu“ datoteku poznat je pod imenom infekcija, a proces pokretanja inficirane datoteke naziva se aktivacija virusa. Inficirati se može bilo koji deo računara namenjen za čuvanje podataka (hard disk, disketa, optički medij, memorija). Za aktivaciju virusa nužan je korisnik računara, koji nesvesno pokreće inficirani program, otvara inficiranu datoteku ili podiže računar sa zaraženog medijuma.

Prilikom aktivacije, odnosno pokretanja inficiranog računarskog programa ili otvaranja inficirane datoteke, virus se sa hard diska seli u memoriju računara i počinje njegovo izvršavanje. Izvršavajući se, virus se umnožava te nastanjuje u (inficira) nove računarske programe i datoteke. Virus se može umnožiti u samo jedan program, nasumično odabran skup programa ili čak u svaki nađeni program na računaru. Istovremeno, dok se pokrenuti zaraženi računarski program nastavlja da ponaša naočigled uobičajeno, u pozadini se neprimetno korisniku izvršavaju više ili manje destruktivne instrukcije virusa koje mogu ozbiljno oštetiti preostale podatke na računaru ili smanjiti njegovu efikasnost.

Računarski virusi šire se prenošenjem i pokretanjem inficiranih datoteka. U današnje vreme, prenošenje među računarima odvija se ponajviše putem Interneta (npr. attachmentima elektronske pošte) i lokalnih mreža (Ethernet). Prenosni mediji svih vrsta (diskete, CD/DVD mediji) takođe su pogodni za širenje, ali danas u sve manjoj meri u odnosu na Internet i lokalne mreže.

Kategorije virusa

Virusi se mogu podeliti na nekoliko osnovnih kategorija, u zavisnosti od cilja svog napada:

3. virusi datotečnog sistema Napadaju i inficiraju isključivo izvršne datoteke računarskih programa (ekstenzije datoteka .exe, .com, .bat, .sys, .drv). Većina trajno ostaje u memoriji računara (engl. memory resident) što znači da će prilikom sledećeg pokretanja neinficirani programi automatski postati inficirani. Virusi ove vrste mogu inficirati domaćina na tri načina, zavisno od načina umetanja svog koda:

a. umetanje virusnog koda prebrisavanjem postojećeg, zdravog koda domaćina – na ovaj način uništava se originalni program te se više ne može pokrenuti. Pokušaj pokretanja inficiranog programa samo će aktivirati virus koji će se se početi širiti na druge domaćine te potencijalno destruktivno delovati na sistem.

b. umetanje virusnog koda na početak datoteke domaćina – ovakav način infekcije neće naštetiti domaćinskom programu pa će on nastaviti sa izvršavanjem bez očitih promena. Istovremeno, virusni kod će se aktivirati.

c. umetanje virusnog koda na kraj datoteke domaćina – slično kao i kod umetanja na početak, domaćinski program ostaje netaknut, a virus se aktivira bez očitih promena za korisnika.

4. sistemski virusiNastanjuju se u sistemskom delu bilo hard bilo floppy diska (diskete). Prilikom podizanja računara sa jednog od navedenih, virusi se aktiviraju. Većina takvih virusa pisana je za MS-DOS operativni sistem, ali su i dan danas jednako opasni po bilo koji operativni sistem PC računara. Dovoljno je pokrenuti računar sa inficiranom disketom i virus će se aktivirati i trajno nastaniti u memoriji računara. Jednom kad se to dogodi, inficiraće se svaka nova „zdrava“ disketa koja se umetne u disketnu jedinicu, osim ako na njoj nije uključena zabrana pisanja (write protection). Virusi ove vrste napadaju bilo Master Boot Sector (MBR) bilo System Boot Sector (SBS) hard ili floppy diska. Posledica aktivacije često je nemogućnost podizanja računara, ali može biti i destruktivnija.

PREPORUKA !

Oprezno sa starim disketama, obavezno ih formatirajte pre novog korišćenja, a nakon korišćenja uključite write protection na poleđini diskete kao što je prikazano na narednoj slici.

5. multipartite virusiInficiraju paralelno izvršne datoteke programa i boot sektore diska. Naročito ih je teško ukloniti jer ukoliko nisu uklonjeni i iz datoteka i iz boot sektora, naknadno će se ponovno proširiti na jedno od navedenog.

6. makro virusiInficiraju datoteke koje imaju mogućnosti korišćenja makro jezika. Najčešće su to Microsoft Office Word, Excel, PowerPoint i Access datoteke. Najrašireniji su zbog jednostavnosti izrade, a danas nanose najviše štete kompanijama širom sveta. Aktiviraju se otvaranjem neke od spomenutih datoteka kada se kod virusa kopira u izvršni kod programa koji ga je otvorio, na primer u MS Word. Nakon toga, svaka nova datoteka koja se otvori tim programom biće zaražena. Neki makro virusi aktiviraju se pak na određene akcije pokrenute kroz meni (npr. snimanje datoteke na hard disk), a neki čak i skrivaju pojedine delove menija, posebno one pomoću kojih bi se virusi eventualno mogli otkriti i ukloniti.

PAŽNJA !

Ako primetite da neki uobičajeni meniji u pojedinom MS Office programu nedostaju (tipicno Tools-Macro, Tools-Customize) postoji velika šansa da je računar zaražen makro virusom!

Kako prepoznati zaraženi računar?

Nakon što ste pokrenuli inficirani program ili otvorili inficiranu datoteku, najčešće nećete primetiti virus sve dok računar ne počne da se ponaša neuobičajeno. Primeri takvog ponašanja:

· konstantno sporiji i tromiji rad računara

· zaključavanje računara - nemogućnost obavljanja ikakvih operacija (popularno zamrzavanje)

· učestalo rušenje i ponovno podizanje operativnog sistema

· neispravan rad programske podrške (aplikacija) računara

· nedostupnost diskova

· neobične poruke o greškama

· deformisani i izmenjeni meniji i dijalozi

Navedeni simptomi su vrlo učestali kod virusa, ali jednako tako mogu biti posledica nekog drugog softverskog problema nevezanog za virus. Jedini način kako da otkrijete virus je instalacija antivirusnog programa i njegovo redovno osvežavanje aktuelnim definicijama virusa.

Kako se zaštititi od virusa?

Kao što je već napomenuto, osnovni korak u prevenciji od virusa je instalacija i redovno osvežavanje antivirusnog programa. Više o praktičnim savetima o odabiru i korišćenju softverske zaštite od virusa takođe saznajte u našem praktičom delu priručnika.

Sama instalacija i redovno osvežavanje antivirusnog softvera nije dovoljna. Svakako se preporučuje povremeno „skeniranje“ svih datoteka na računaru, tzv. full scan računara. Većina antivirusnih alata poseduje tu mogućnost, ali na tržištu takođe postoje i specijalizovana programska rešenja isključivo za tu namenu, tzv. virusni skeneri.

Koristeći antivirusni alat, svakako se preporučuje proveriti svaki novi računarski program koji se namerava instalirati na računar. Većina antivirusnih alata inicijalno ima uključenu takvu opciju i upozoriće korisnika ukoliko smatra da se pokušava instalirati potencijalno opasan program.

Poseban oprez potreban je prilikom otvaranja sadržaja koji su dostupni putem Interneta, a sumnjivog su porekla. Pritom se misli na email poruke sa sumnjivim attachmentima i skidanje raznih datoteka putem p2p (peer-to-peer) programa, ftp servera ili web stranica.

Sve veća pretnja su i datoteke koje se primaju putem programa za slanje poruka u realnom vremenu (MSN, ICQ, Yahoo Messenger i sl.). Vrlo se često koriste metode socijalnog inženjeringa putem kojih se korisnik mami na otvaranje i pokretanje raznih malicioznih sadržaja. Poseban oprez potreban je ukoliko je korisnik takvog programa za komunikaciju dete ili pak korisnik sa slabom informatičkom pismenošću.

Za kraj, obavezna je redovna izrada rezervne kopije (backup) svih podataka na računaru koji su od važnosti za korisnika. To je jedini način sigurne zaštite podataka ukoliko se dogodi aktivacija destruktivnog virusa.

Kako ukloniti virus?

Iako je prevencija putem aktuelizovanog antivirusnog programa najbolje rešenje, u slučajevima kada je za to prekasno, virus je potrebno ukloniti. Uklanjanje se u većini slučajeva može izvršiti automatski koristeći antivirusni program ili virusni skener, ali je u nekim slučajevima moguće jedino ručno uklanjanje.

Uputstva za ručno uklanjanje najbolje je pronaći na stranicama proizvođača antivirusnog programa koji se koristi na računaru, a opšte instrukcije možete pronaći u našem praktičnom delu priručnika.

Microsoft je ponudio vlasito online rešenje za uklanjanje virusa i crva, Windows Live OneCare safety scanner, a više o njemu saznajte takođe u našem praktičnom delu priručnika.

Crvi

Jedna od najvećih internetskih opasnosti koje nam prete su maliciozni programi koji mogu naneti izuzetno veliku štetu nezaštićenom računaru. Danas imamo veliki broj različitih malicioznih programa - virusi, crvi, spywarei... Osim njihove raznolikosti, raznoliki su i načini na koji dospevaju na nezaštićeni računar. Ova lekcija donosi detaljan pregled ovih opasnosti i mnoge korisne savete kako se što kvalitetnije zaštititi od mogućih napada na računar.

Šta su crvi?

Crvi su maliciozni programi koji su vrlo slični virusima pa ih neki stručnjaci za sigurnost stavljaju pod kategoriju virusa. No postoji jedna ključna razlika koja crve čini znatno naprednijim malicioznim programima od virusa. Naime, crvima za širenje i delovanje nije potreban domaćin (izvršna ili druga datoteka koja se inficira malicioznim kodom) već se u potpunosti smeštaju i sakrivaju u memoriji računara.

Nadalje, crv je samostalan program kojeg nije potrebno aktivirati poput virusa (korisničkim pokretanjem inficirane datoteke) već se širi i deluje koristeći isključivo vlastite mehanizme. Širenje se redovno odvija putem računarskih mreža (Etherneta i Interneta), za razliku od virusa koji se mogu širiti i prenosnim medijima.

Koliko su crvi danas rasprostranjeniji u odnosu na viruse dokazuje i podatak da prvih 10 mesta na listi prijavljenih virusa i crva u septembru 2006. zauzimaju jedino i samo crvi (izvor: Sophos.com).

Kako rade crvi?

Crvi su najčešće napravljeni kako bi iskoristili mogućnosti računara za prenos i razmenu podataka. Zahvaljujući svojoj sposobnosti širenja bez potrebe za korisničkim uticajem, širenje crva računarskim mrežama znatno je brže od virusa. Na primer, crv Code Red se 19.7.2001. u svega 9 sati postojanja replicirao više od 250,000 puta!

Generalno gledajući, takvo rapidno širenje crva u većini slučajeva će značajno naškoditi računarskim mrežama, umanjujući njihovu efikasnost trošenjem raspoloživog kapaciteta (engl. bandwidtha). Šteta koju crvi mogu naneti pojedinačnim računarima može biti značajno ozbiljnija. Crvi će najčešće iskoristiti sigurnosni propust u operativnom sistemu računara i onda recimo obrisati neke podatke na računaru, kriptovati ih kako bi postali nedostupni korisniku ili pak poslati zaražene dokumente putem elektronske pošte.

U najgorem i vrlo čestom slučaju, svrha crva je preuzeti kontrolu nad korisničkim računarom, pretvoriti ga u tzv. zombie računar i onda ga koristiti za razne protivzakonite radnje (od krađe ličnih podataka i lozinki pa do slanja spam poruka na ostale računare i Dos napade). Način na koji to crvi postižu je poznat kao backdoor entry, odnosno otvaranje „zadnjih vrata“ koja se onda koriste za preuzimanje i upravljanje računarom.

Kategorije crva

Crvi se mogu podeliti na nekoliko osnovnih kategorija, u zavisnosti od načina propagacije:

7. Email crviTo je najraširenija vrsta crva koja se širi koristeći attachment elektronske pošte. Najčešće funkcioniše na način da se pošalje na sve e-mail adrese koje pronađe na korisničkom računaru (npr. u Outlook adresaru). Korisničkim otvaranjem inficiranog attachmenta, crv se ubacuje u sistem. Širenje crva može se postići i slanjem URL adrese (linka) koja vodi do inficirane web stranice, a nalazi se u telu poruke elektronske pošte. Najopasniji crvi će pregledavanjem mreže ustanoviti nezaštićene računare (npr. one bez redovnih sigurnosnih ažuriranja operativnog sistema) i tako se putem mrežnih servisa nastaniti u njih bez ikakve potrebe za interakcijom korisnika. Email adrese na koje će se proširiti, crv pronalazi sledećim tehnikama:

a. pretraživanje adresara MS Outlook / Outlook Express programa

b. pretraživanje *.wab datoteka (koriste se za čuvanje adresara MS Outlook Expressa)

c. pretraživanje raznih datoteka u potrazi za email adresama

d. slanje svoje kopije u obliku odgovora na sve pronađene poruke u inboxu

e. generisanje novih email adresa konstruisanih iz nasumice odabranih imena i često korišćenih domena

8. Instant messaging crviOvi crvi šire se putem programa za slanje poruka u realnom vremenu (MSN, ICQ i sl.). Način je vrlo jednostavan – svim kontaktima u adresaru šalju se poruke sa URL adresama koje vode na inficirane web stranice. Dakle jedina razlika u odnosu na email crve je medijum putem koga se crv prenosi.

9. IRC crvi IRC (Internet Relay Chat) je još jedan način komunikacije u stvarnom vremenu, ali sa naglaskom na grupne diskusije koje se odvijaju u tzv. IRC kanalima. IRC crvi šire se putem IRC kanala za chat na identičan način kao i email crvi – slanjem zaraženih datoteka ili URL adresa koje vode na inficirane web stranice.

10. File sharing crvi Širenje crva događa se putem Peer-To-Peer (P2P) programima za razmenu sadržaja preko Interneta. Nastanjuju se pod bezazlenim imenima u deljene mape korisnika i na taj način postaju dostupne svim korisnicima P2P programa za preuzimanje i pokretanje. Napredniji crvi ove vrste sposobni su da imitiraju kompletne protokole mreža za razmenu sadržaja, da potvrdno odgovaraju na sve zahteve i da se šire na sve članove pojedine mreže.

11. Internet crviInternet crvima nazivamo brojne crve koji se služe alternativnim metodama širenja koje do sad nismo spomenuli. Sledi nekoliko takvih primera:

a. crv se kopira u razne dostupne mrežne resurse (npr. deljene i nezaštićene direktorijume u lokalnoj mreži - Ethernetu) nakon čega pokušava u potpunosti da ovlada računarom

b. crv iskorišćava ranjivosti operativnih sistema (posebno onih računara koji nemaju ažurirane sigurnosne postavke) kako bi se probio i kopirao u računare ili računarske mreže. Iskorišćavanje ranjivosti naziva se exploiting-om.

c. crv probija javne mreže (Web i FTP servere), inficira datoteke na serveru (npr. web stranice) i čeka korisnike da se konektuju na server. Prilikom navedenog konektovanja, virusi inficiraju računar sa kojeg se spajanje dogodilo.

d. crv koristi druge maliciozne programe (npr. Trojanske konje) koji mu služe kao prenosnici i otvaraju pristup drugim računarima. Navedeno otvaranje pristupa naziva se i otvaranjem stražnjih vrata (backdoor entry) čime i crvi dobijaju mogućnost širenja. Računari sa otvorenim stražnjim vratima popularno se nazivaju zombie računarima iz razloga što se nad njima može preuzeti potpuna kontrola i tako ih koristiti za daljnje napade i širenje malicioznih programa. Ovakve vrste napada danas su sve češće i opasnije.

Bez obzira na navedenu kategorizaciju, brojni crvi danas koriste dve ili više metoda za svoje širenje kako bi što efikasnije napadali računare. Ovaj podatak dodatno pojašnjava činjenicu da su crvi danas izuzetno opasna i raširena vrsta malicioznih programa za koje je potreban poseban oprez i zaštita.

Tipičan primer crva u akciji

Pogledajmo primer najčešće prijavljenog crva u septembru 2006., Netsky-P. Iako je prvi put zabeležen u martu 2004., a njegov autor Sven Jaschan ubrzo otkriven i osuđen, crv Netsky u svojim brojnim podvarijatama preživljava pa je danas u svetu na vrhu po učestalosti pojavljivanja. Netsky je tipičan email crv koji se širi šaljući svoje kopije putem email attachmenta koristeći vlastiti ugrađeni SMTP server. Adrese na koje će se poslati pronalazi na računaru na kojem se nalazi u raznim datotekama koje služe za čuvanje adresara (npr. *.wab, *.pab, *.pst). Email poruka pomoću koje se crv širi uobičajeno ima krivotvoreno ime pošiljaoca (više o tome vidite pod email spoofing) i različite naslove, tela i attachmente kojim se želi zavarati primaoc. Sledi tipičan primera takve email poruke:

Iz ove poruke može se videti nekoliko karakterističnih stvari za crve. Adresa pošaljaoca svakako je lažna, a crv ju je verovatno pronašao na računaru sa kojeg se poslao. Dakle, kada primite ovakvu email poruku i u polju pošiljaoca prepoznate adresu svog prijatelja/kolege/poznanika, ništa nećete postići upozoravajući ga da ima crva na svom računaru jer to nije nužno tačno. Naslov poruke sadrži reč „Re:“ kojom se uobičajeno označava odgovor na email poruku koju ste nekome poslali. Ovom metodom crv pokušava zavarati korisnika odajući mu utisak da je primljena poruka odgovor na poruku koju je on inicijalno poslao. Attachment poruke sadrži sumnjivu datoteku. U ovom slučaju datoteka bi trebalo da bude formata .zip (čest kompresijski format), ali pogled na netipičnu ikonu kojom je predstavljena ukazuje da verovatno nije tako i da se radi o zaraženoj datoteci. Telo poruke sadrži kratkak tekst u kojem se korisnik navodi na otvaranje attachmenta. Potpis poruke sadrži nekoliko redova teksta kojima se simulira poruka koja je tipična za antivirusne programe koji skeniraju poruku i zaključe da je s njom sve u redu.

Zaražena email poruka ne mora imati sve ove simptome, ali će većina verovatno biti prisutna. Otvaranjem attachmenta takve poruke, crv će sigurno zaraziti računar i nastaniti se u njegovoj memoriji. Ponekad, na računarima sa starijim verzijama Internet Explorera (5.1 i 5.5) i neažuriranim Windows operativnim sistemom, dovoljan je samo i pregled ovakve poruke (bez otvaranja attachmenta) kako bi se crv automatski pokrenuo.

Kako se zaštititi od crva?

Zaštita od crva vrlo je slična zaštiti od virusa i kao prvi korak preporučuje se instalacija i redovno osvežavanje antivirusnog programa, o čemu saznajte više u našem praktičom delu priručnika.

Instalacija firewalla je drugi korak koji će zaštiti računar od većine crva koji se šire pretraživanjem i napadanjem nezaštićenih računara. Instalaciju i korišćenje Windows Firewall-a također smo obradili u našem praktičnom delu (link na prakt. deo – Firewall) priručnika.

Konačno, redovno skidanje i instalacija sigurnosnih zakrpa u sklopu Windows Updates servisa učiniće računar dodatno sigurnim. Praktična uputstva možete pronaći, pogađate, takođe u našem praktičom delu priručnika.

Od email crva, danas prisutnih u ogromnom broju, možda se i najlakše zaštiti – oprezom. Sumnjive attachmente poruka, posebno u obliku izvršnih datoteka (npr. .bat, .exe, .vbs, .pif) nikako ne otvarajte, kao ni sumnjive URL adrese u sadržaju poruka. No pre svega, nakon primanja i pre otvaranja email poruke pokušajte da odgovorite sebi na nekoliko jednostavnih pitanja:

· da li poznajete pošiljaoca email poruke?

· da li ste već primili email poruku sa te adrese?

· da li ste očekivali tu email poruku?

· da li sadržaj i attachment poruke imaju smisla?

· da li antivirusni program dojavljuje moguću opasnost od malicioznog sadržaja?

Ukoliko niste sigurni u odgovor na bilo koje od navedenih pitanja, budite posebno oprezni i imajte na umu mogućnost od infekcije.

OPREZ !

Socijalni inženjering pomoću kojeg se korisnik pokušava namamiti na izvođenje gore spomenutih radnji sve je rašireniji i sofisticiraniji, stoga je potreban poseban oprez!

Kako ukloniti crva?

Jednako kao i za viruse, uklanjanje crva najčešće je moguće automatski, koristeći aktuelizovani antivirusni alat pomoću kojeg je potrebno napraviti detaljno pretraživanje svih datoteka računara (full scan) i potom uklanjanje pronađenih crva.

Ukoliko antivirusni program ili virusni skener pronađu i identifikuju crva, a ne mogu ga ukloniti, u većini slučajeva na stranicama proizvođača antivirusnih programa postojaće uputstva za ručno uklanjanje crva ili pak specijalzovani program upravo za tu namenu. Opšte savete za uklanjanje možete pronaći u našem praktičnom delu priručnika.

Microsoft je ponudio vlastito online rešenje za uklanjanje virusa i crva, Windows Live OneCare safety scanner, a više o njemu saznajte takođe u našem praktičnom delu priručnika.

Rootkits


Šta su to rootkiti?

Rootkiti su posebna grupa mailicioznih programa ili, preciznije rečeno, to su programi čija je namena skrivanje drugih malicioznih programa (npr. virusa, spyware-a, trojanskih konja) od korisnika. Cilj rootkita najčešće je preuzimanje kontrole nad računarom uz istovremo skrivanje datoteka, procesa, zapisa u registrima pomoću kojih se navedeno preuzimanje kontrole ostvaruje. Spomenutim tehnikama „skrivanja“ od korisnika, maliciozni programi na taj način ostaju nevidljivi i neuklonjivi antivirusnim programima, blokatorima spyware-a i sl.

Iako pojam rootkit originalno potiče iz Unix sveta, danas postoje rootkiti za sve vrste operativnih sistema uključujući Microsoft Windows sisteme, Linux, Solaris i druge. Naime, rootkiti često funkcionišu na način da menjaju delove operativnih sistema ili se pak instaliraju kao driveri.

Gore priložena slika (preuzeta sa viruslist.com), pokazuje porast broja različitih rootkita u malicioznim programima. Razlog tome je dostupnost izvornog koda rootkita (Internet) što olakšava pisanje novih i složenijih verzija. Možda još važniji razlog je i prečesto korišćenje Administrator korisničkih naloga (user account-a) od strane korisnika MS Windows operativnih sistema. Na taj način znatno se olakšava instalacija rootkit programa na računar korisnika.

PAŽNJA !

Ukoliko zaista nije nužno, ne koristite Administrator korisnički nalog već stvorite i koristite običan korisnički nalog za svakodnevni rad na računaru.

Treba istaknuti da prvenstveno radi odbrane od raznih malicioznih programa poput rootkita, novi Microsoft-ov operativni sistem, Windows Vista, ima ugrađenu novu i bolju kontrolu korisničkih naloga (engl. User Account Control). Navedena kontrola zahteva da se većina uobičajenih operacija na računaru izvodi pod standardnim korisničkim nalogom (Standard User Mode), dok se ovlašćenja Administrator korisničkog naloga traže i koriste samo i jedino kada je to nužno potrebno (npr. prilikom instalacije novih programa na računar).

Kako rade rootkiti?

Rootkiti nemaju osobine samoumnožavanja i samoizvršavanja poput virusa i crva. Umesto toga, napadači najčešće uočavaju i iskorišćavaju trenutne ranjivosti operativnog sistema (npr. otvorene pristupe, računara bez sigurnosnih nadogradnji ili sa slabim administratorskim lozinkama) kako bi dobili pristup računaru. Jednom kada je pristup osiguran, napadač ručno instalira rootkit. Takvu vrstu „skrivenog“ napada vrlo često teško otkrivaju firewallovi, antivirusni i antispyware programi za zaštitu računara. Osim navedenog načina, rootkit se može proširiti i peer-to-peer mrežom, zatim email porukama sa malicioznim attachmentima ili URL adresama koje vode na malicioznu web stranicu i sličnim metodama socijalnog inženjeringa tipičnim za širenje virusa.

Kao što je već rečeno, jednom instalirani rootkit koristi se za skrivanje raznih malicioznih programa. Najčešća primjena je skrivanje trojanskih konja, programa koji stvaraju tzv. „stražnja vrata“ (engl. backdoor) pomoću kojih napadač u potpunosti kontroliše zaraženi računar. Kontrolisani računar (popularno: zombie) se potom koristi za razne abuse radnje poput Dos napada, spam napada i sl. Nadalje, rootkiti se često koriste i za otkrivanje kombinacija korisničkih imena i lozinki potrebnih za pristup web stranicama što ih čini vrlo opasnim za neopreznog korisnika.

Kategorije rootkita

Nekoliko je kategorija rootkita zavisno od toga da li se izvršavaju u korisničkom načinu (engl. user mode) ili jezgrenom načinu (engl. kernel mode) te da li ostaju u računaru i nakon ponovnog pokretanja:

12. Persistent RootkitsOva kategorija rootkita je trajne prirode i aktiviraju se prilikom svakog novog pokretanja računara. S obzirom na tu karakteristiku, izvršni kod takvih programa mora biti trajno sačuvan – najčešće u Registry-u ili fajl sistemu.

13. Memory-Based RootkitsZa razliku od prethodno navedene, ova kategorija rootkita nastanjuje se u radnoj memoriji računara i time ne može opstati nakon njegovog ponovnog pokretanja.

14. User-mode RootkitsOva kategorija rootkita skriva se od korisnika presecanjem funkcija za pretraživanje datotečnog sistema (koriste ih Windows Explorer/command prompt). Dakle prilikom korisničkog pretraživanja direktorijuma i datoteka, rootkiti menjaju konačan ispis na način da izostave sve podatke vezanje za njih same.

15. Kernel-mode RootkitsNavedena kategorija još je moćnija od prethodno navedene, jer osim presecanja odgovora jezgra operativnog sistema, oni čak mogu menjati neke strukture samog jezgra. Na primer, tipičan način njihovog skrivanja od korisnika je brisanje vlastitih procesa iz ukupne liste aktivnih procesa. Na taj način kroz Task Manager rootkit procesi neće biti vidljivi niti korisniku niti većini antivirusnih i antispyware alata.

Zaštita od rootkita

Prevencija od rootkita identična je prevenciji od većine malicioznih programa. Preporučuje se korišćenje i redovno ažuriranje antivirusnog i antispyware programa, redovno ažuriranje operativnog sistema, korišćenje firewall-a i odabir jakih lozinki (npr. korišćenjem brojki, slova različite veličine i specijalnih znakova). Takođe, već spomenuto korišćenje korisničkog naloga bez administrativnih ovlašćenja svakako će umanjiti rizik.

S obzirom da su neka istraživanja pokazala kako 20% ukupnih infekcija na MS Windows SP2 drže upravo rootkiti, Microsoft se odlučio ozbiljno pozabaviti problemom. Na ovoj adresi saznajte više informacija o Microsoft-ovoj inicijativi i uskoro dostupnom alatu za detekciju i uklanjanje rootkita - Strider GhostBuster. Takođe, nova verzija Windows Defendera dokazano sprečava određen broj rootkita, a više detalja o njegovoj instalaciji i primeni pročitajte u praktičnom delu našeg priručnika.

Kako ukloniti rootkit?

Nažalost, sama identifikacija rootkita zbog njihovog načina rada ponekad je vrlo teška i ne postoji šablon za otkrivanje ove vrste malicioznih programa. Mesta za sumnju ima ukoliko se računar neobično ponaša uprkos ažuriranom antivirusnom i antispyware programu. Neobično ponašanje odnosi se na rušenje i zamrzavanje sistema, netipično ponašanje raznih programa (pa čak i antivirusnih), netipično korišćenje mrežnih resursa i pokretanje sumnjivih procesa prilikom ponovnog pokretanja računara.

Detekciju rootkita danas omogućuje velika količina dostupnih alata. Navedeni alati dele se u više kategorija zavisno od načina svog rada, a uspeh u detekciji varira zavisno od vrste rootkita koji je zarazio računar. Jedan od popularnijih alata za detekciju je Rootkit Revealer, a alat F-Secure BlackLight nudi i otklanjanje. Popis ostalih dostupnih alata na tržištu dostupan je ovde.

Ukoliko spomenuti alati ne pomažu, krajnje i najsigurnije rešenje je ponovna instalacija celog operativnog sistema uz opciju formatiranja celog hard diska.

Trojanski konji


Šta su to trojanski konji?

Trojanski konji svoje ime duguju mitološkoj priči iz vremena pada Troje pod Grčku. Baš kao što je Trojanski konj trebao izgledati kao dar, grčki vojnici skriveni u njemu, podmuklo su osvojili grad Troju. Danas, u kontekstu računarske sigurnosti, trojanski konji označavaju programe koji se čine kao korisnim, ali uprkos tome njihova misija je kompromitovati sigurnost vašeg računara i prouzrokovati veliku štetu. Dolaze putem elektronske pošte, preko raznih servisa za preuzimanje i na brojne druge načine.

Šire se tako da iskoriste korisnike koji ne sluteći ništa loše, pokreću i instaliraju trojanske programe na svoj računar.

Za razliku od crva, virusa i nekih drugih vrsta malicioznog softvera, trojanski konji ne mogu raditi autonomno. Baš kao što su Trojanci uveli konja unutar zidina grada Troje, prema Grčkom planu, tako i trojanski konji u kontekstu računarske sigurnosti zavise od akcija koje izvedu korisnici. Uspešnost trojanskih konja zbog toga zavisi mahom od primene metoda socijalnog inženjeringa, a ne toliko od sigurnosnih propusta i mana web browsera ili operativnog sistema u celini.

Tipovi trojanskih konja

Postoji više tipova trojanskih konja a okarakterizovani su prema više kriterijuma - prema načinu delovanja, prema akcijama koje čine na korisnikovom računaru i drugim kriterijumima. Neki od najraširenijih tipova uključuju:

· RAT (Remote Access Trojans) – Trojanski konji sa udaljenim pristupom

· DST (Data Sending Trojans) – Trojanski konji koji šalju podatke

· Destrucitve Trojans – Trojanski konji koji uništavaju datoteke i uopšte sadržaje na računaru

· Proxy Trojans - Trojanski konji koji deluju na proxy servere ili ih iskorišćavaju za svoje delovanje

· FTP Trojans – Trojanski konji koji deluju na File Transfer Protocol ili ga iskorišćavaju za svoje delovanje

· Trojanski konji koji svojim delovanjem onemogućavaju funkcionisanje sigurnosnog softvera na računarima poput antivirusnog i sličnih softvera

· Denial of Service (Dos) Trojans – Trojanski konji koji se koriste za izazivanje Denial of Service incidenata.

Kada se jednom nađu na vašem računaru, zavisno od njihove vrste mogu prouzrokovati veliku štetu. Neke od akcija koje mogu izvršiti uključuju: brisanje ili pisanje preko vaših podataka na računaru, oštećivanje datoteka, omogućavanje pristupa udaljenog zloćudnog korisnika na vaš računar (remote administartion tool), širenje drugih malicioznih programa poput virusa (Trojanski konji koji se koriste na taj način se nazivaju „dropperima“ ili „vektorima“.), kreiranje mreže „zoombie“ računara koja se kasnije koristi za izvođenje DDoS napada ili slanje neželjenih poruka - spama, beleženje i slanje podataka o web stranicama koje ste posetili i tasterima koje ste pritiskali (keylogging)…

Posebno možemo razlikovati još dva tipa trojanskih konja koji se popularno nazivaju „logičkim“ i „vremenskim bombama“.

· Trojanski konji „logičke bombe“ će se izvršiti na vašem računaru ukoliko korisnik izvede tačno određen postupak (npr. dva puta pritisnete CTRL tipku i potom tri puta pritisnete F5).

· Trojanski konji „vremenske bombe“ za svoje delovanje čekaju tačno određeni vremenski trenutak. Registrovani su slučajevi koji su povezani sa datumima poput 11. septembra ili petka 13-og.

Načini zaraze trojanskim konjima

I trojanski konji nastoje da iskoriste samog korisnika kako bi ih on bez znanja instalirao na svoj računar – često se mogu nalaziti skriveni u obliku sadržaja za odrasle ili različite zanimljive animacije. Načine zaraze, prema izvorima možemo podeliti na:

16. web sajtove – pojedini web sajtovi su kreirani na način da bi zloupotrebili sigurnosne propuste u web browserima, posebno u slučajevima kada web browser na neispravan način upravlja određenim tipovima podataka. Stoga se uvek preporučuje korišćenje najnovije verzije web browsera i svoj sistem držati stalno ažurnim.

17. e-mail – slično kao i u slučajevima web sajtova, i čitanje poruka elektronske pošte može predstavljati opasnost i rizik za širenje trojanskih konja. Klijenti koji se koriste za čitanje elektronske pošte poput Outlook Expressa, Microsoft Office Outlooka, Mozzila Thunderbirda i drugih mogu sadržati sigurnosne propuste koje onda trojanski konji mogu pokušati da zlouporebe. Rešenje je, kao i u prethodnom slučaju, stalno ažuriranje sistema.

18. otvoreni portovi – ukoliko na svom računaru imate instalirane programe za komunikaciju u realnom vremenu (AIM, Windows Live Messenger, Yahoo! Messenger…) ili neke od servera (FTP, SMTP, HTTP…) tada ti programi servisi sa sobom mogu doneti i određene ranjivosti koje zlonamerni korisnici mogu pokušati iskoristiti za širenje trojanskih konja. Naime, gorenavedeni serveri i programi mogu otvoriti mrežne portove, što može dovesti do zlouportebe tih portova od strane napadača. Zato je potrebno uvek koristiti ažurne verzije servisa i programa, a dodatno i firewall.

Kako se zaštititi i ukloniti trojanske konje?

Zaštita od trojanskih konja vrlo je slična zaštiti od virusa ili crva i kao prvi korak preporučuje se instalacija i redovno osvežavanje antivirusnog programa, o čemu saznajte više u našem praktičnom delu priručnika.

Instalacija i upotreba firewalla drugi je korak koji će zaštiti računar od većine crva koji se šire pretraživanjem i napadanjem nezaštićenih računara. Instalaciju i korišćenje Windows Firewall-a takođe smo obradili u našem praktičnom delu priručnika.

Konačno, redovno skidanje i instalacija sigurnosnih zakrpa u sklopu Windows Updates servisa učiniće računar dodatno sigurnim. Praktična uputstva možete pronaći u našem praktičnom delu priručnika.

Spyware


Šta je to spyware?

Spyware je pojam kojim se označava vrlo široka kategorija malicioznog softvera čije je delovanje usmereno prema preuzimanju delimične kontrole nad korisnikovim računarom bez postavljanja pitanja i osiguravanja saglasnosti korisnika da mu se takav softver instalira na računar. Sam naziv „spyware“ u sebi uključuje reč „spy“ koja označava špijuniranje pa se može steći utisak kako je spyware namenjen špijuniranju ponašanja korisnika dok radi na računaru, no u poslednje vreme pojam spyware poprima šire značenje i oslikava široku kategoriju softvera malicioznog delovanja, često na korist trećih strana.

Najjednostavnije govoreći – spyware možemo okarakterizovati kao softver koji beleži šta korisnik radi na svojm računaru i onda prikupljene informacije šalje Internetom. Reč je o vrlo raznolikom tipu informacija - od adresa web stranica koje posećujete do opasnijih koji pokušavaju da presretnu koje tastere pritiskate kako bi pokušali da prikupe vaše lozinke i druge poverljive informacije.

Da bi neki program smatrali spywareom on mora zadovoljiti nekoliko kriterijuma – mora prikupljati informacije bez saglasnosti korisnika i te prikupljene informacije mora slati, ili na neki drugi način učiniti dostupnim zlonamernom korisniku. Ukoliko spyware program u svem Licencnom ugovoru (EULA – End-user licence agreement) navede i opiše da će prikupljati i slati prikupljene podatke o korisnikovim aktivnostima, i ako korisnik te odredbe prihvati – onda se ne može govoriti o spywareu.

Ovde treba obratiti dodatnu pažnju na sam sadržaj gore spomenutih ugovora. U velikom broju slučajeva ti ugovori su pisani na takav način da korisniku ne daju jasnu i potpuno razumljivu informaciju o načinu rada potencijalnog spyware programa koji instaliraju. Upravo zbog dužine tih ugovora, njihove nejasnoće i kompleksnosti, mnogi korisnici se bez ikakvog čitanja i razumevanja ugovora slažu sa odredbama istog i na taj način omogućavaju instalaciju spyware programa. Sa pravnog stanovišta – onog trenutka kada se složite sa instalacijom tog programa, on se više ne tretira kao spyware. Iz ovih razloga je potrebno posvetiti dodatnu pažnju i edukovati se o ovim pojavama kako bi ih uspešno izbegavali.

Pojam spywarea se često veže i uz adware. Neke firme u svoje proizvode uključuju oblike spywarea i adwarea, mahom za svrhe oglašavanja. Premda ovde nije reč o klasičnom spywareu u onom najmalicioznijem smislu – i dalje ih smatramo spywareom ili adwareom.

Ko se služi spywareom

Brojni su motivi zašto bi neko kreirao spyware – informacije o navikama i karakteristikama korisnika su vrlo cenjene jer pružaju jasan uvid i omogućavaju specifično oglašavanje i čitav niz drugih personalizovanih elemenata. Globalno gledano, spywareom se kao sredstvom za prikupljanje informacija služe: online napadači često vezani uz organizovani kriminal, marketinške organizacije (firme, agencije) i „insajderi“. Ovi poslednji se često služe spywareom kako bi prikupili osetljive i zaštićene informacije o organizaciji u kojoj rade i kasnije ih prodavali na crnom tržištu, koristili za ucenu i na druge načine kako bi pokušali da ostvare finansijsku dobit.

Sigurnosne organizacije ističu kako pripadnost jednoj od gornje 3 skupine nije isključivo – drugim rečima - članovi iz pojedinih grupa međusobno sarađuju u svojim poduhvatima kako bi ostvarili svoje ciljeve na štetu društva ili organizacija.

Informacije koje prikupljaju spyware programi

Spyware programi prikupljaju vrlo raznoliku paletu informacija, a organizacije koje se bave pitanjima privatnosti korisnika interneta ističu kako spyware značajno umanjuje privatnost korisnika.

Spyware je s vremenom postao toliko sofisticiran da je u staju da prikuplja gotovo svaku informaciju vezanu za vaše navike i načine upotrebe računara – pregledanje datoteka na diskovima, screenshotove, beleženje pritisnutih tastera…

Ukratko – gotovo da nema podatka na vašem računaru koji spyware ne može prikupiti i poslati zlonamernom napadaču.

Prema informacijama američkog CERT-a (United States Computer Emergency Readiness Team), spyware najčešće prikuplja podatke vezane za:

· aktivnost na Internetu (koje web stranice posećujete, koliko se na njima zadržavate…)

· elektronsku poštu i kontakte

· sadržaj Clipboard-a

· pritisnute tastere na tastaturi (keylogging)

· screenshotove i

· mrežni promet

Načini na koje spyware dospeva na vaše računare

Za razliku od virusa koji imaju mogućnost samoreplikacije, spyware se širi na drugačije načine i najčešće se sam spyware program ne prenosi sa jednog računara na drugi. Umesto toga, spyware programi će pokušati da prevare korisnika koji će im omogućiti nesmetanu instalaciju na računar. Upravo je taj način i najrašireniji način prenosa spywarea i njegovog širenja. Kako je s vremenom porasla i svesnost dela korisnika Interneta o opasnostima spywarea, autori spyware programa su postali još sofisticiraniji kako bi prevarili korisnike i naveli ih na instaliranje spywarea. U današnje vreme, na primer, spyware se često distribuira zajedno sa, naizgled, običnim i korisnim programima. Informacija o spywareu koji se na taj način instalira na korisnikov računar često nije ni navedena ili se nalazi pažljivo uključena u Licencni ugovor sa krajnjim korisnikom, ponekada pisana vrlo sitnim slovima kao sasvim sporedna odredba koju većina korisnika nikada ni ne pročita. Primer takvog načina distribucije spyware je iskoristio P2P (peer-tp-peer) program za razmenu datoteka Kazaa.

U ovom kontekstu se mogu posmatrati i trojanski konji – programi koji u sebi imaju zlonamerne karakteristike, ali izgledom i samim opisom korisniku izgledaju kao poželjni i ispravni programi. Korisnik takve programe preuzima sa Interneta i pokreće ih, dok oni u pozadini izvršavaju zlonamerne akcije.Još jedan od načina distribucije spywarea uključuje i postupke kojima se spyware distribuira zajedno sa shareware programima ili ostalim softverom koji se može preuzeti s interneta. No, zabeleženi su slučajevi da se spyware distribuira i ss muzičkim CD medijima. Korisnik instalira takav softver, a paralelno s njim se instalira i spyware.

Treći način distribucije spywarea uključuje pokušaje zlonamernih korisnika da svojim akcijama zaobiđu sigurnosne mere koje se nalaze uključene u web browserima poput Microsoft Internet Explorera.

Kako je automatsko preuzimanje (download) softvera bez dozvole korisnika po pravilu onemogućeno, kako bi se softver instalirao, potrebno je izvesti neku akciju poput klika na link. Zlonamerni korisnici tada često pokušavaju putem pop-up prozora korisnike navesti na akciju instalacije neželjenog spywarea. Pitanja mogu izgledati poput „Do you want to enhance your Internet Connection?“ (Da li želite poboljšati svoju konekciju sa Internetom?) sa buttonima koji izgledaju kao „Yes“ i „No“ ali čak i ako korisnik klikne na „No“, preuzimanje spyware na korisnikov računar može započeti.

Novije verzije Internet Explorera imaju poboljšanja koja korisnicima pomažu u borbi protiv ovakvog načina „zaraze“ spywareom.

Dodatno, spyware se na računar korisnika može instalirati tako da iskoristi sigurnosne propuste u web browseru. Iz tih razloga je važno koristiti najnovije verzije web browsera poput Internet Explorera i redovno osvežavati svoj sistem najnovijim dodacima i sigurnosnim zakrpama. Za više informacija kako to učiniti pogledajte uputstva o korišćenju Microsoft Update sistema.

Prepoznavanje spywarea na računaru

Da li se na mom računaru nalazi instaliran spyware? To je pitanje koje zanima brojne korisnike računara, ali odgovor na njega nije tako jednostavno dati. Naime, za razliku od klasičnih programa i aplikacija koje nam se predstavljaju svojim interfejsom, neki spyware programi uopšte ne moraju biti vidljivi kao klasične aplikacije i stoga ih nije uvek lako prepoznati. Ukoliko primetite kako se vaš računar ponaša neobično, i da se usporio, velika je verovatnoća da se na njemu nalazi instaliran spyware. Povećana aktivnost procesora, veliko zauzeće prostora na disku, neočekivani mrežni promet – sve su to simptomi koji upućuju na postojanje spywarea na računaru. Ponekada korisnici ove pojave i ne povezuju sa postojanjem spywarea već sa neispravnim hardverom, upravljačkim programima (driverima) i slično.

Ukoliko tokom rada na računaru primetite kako vam se pojavljuju pop-up prozori sa reklamama, pozivima za pristupe na stranice sa sadržajima za odrasle – onda sasvim sigurno na svom računaru imate instaliran spyware ili adware.

Pojava neočekivane početne web stranice (homepage) prilikom korišćenja vašeg web browsera znak je da je spyware izmenio vaša podešavanja bez vašeg dopuštenja. Dodatno, pojava alatnih traka (toolbars) u vašem web browseru takođe može (ali ne nužno) označavati da se na vašem računaru nalazi spyware.Ukoliko je vaš računar izuzetno „zaražen“ spywareom, postoji mogućnost da ga neće biti moguće jednostavno očistiti i vratiti u normalno stanje, nego će biti potrebno potpuno formatiranje diska i ponovna instalacija celog sistema. Neki spyware programi idu toliko daleko da čak menjaju izvorne datoteke na sistemu kako bi se što bolje prikrili i otežali svoje uklanjanje.

Primetite li ijedan od gornjih simptoma, mudro bi bilo pregledati vaš sistem na postojanje spywarea i ostalih malicioznih programa. Kako to učiniti, možete saznati u našem vodiču za upotrebu Windows Defender alata za suzbijanje spywarea i ostalih malicioznih programa.

Uticaji spywarea na društvo i ekonomiju u celini

Uticaj spywarea na globalnu ekonomiju, društvo i na samog korisnika je dalekosežan i ne može biti jednostavno sagledan. Neka od područja na koja spyware izrazito utiče su navedena u nastavku:

· Smanjena pouzdanost korisnika prema modelima online poslovnih transakcija (e-banking, kupovanje preko Interneta…)

· Smanjena radna produktivnost

· Povećan rizik i izloženost sigurnosnim problemima

· Pitanje intelektualnih prava i zaštite istih

· Povećanje troškova službi za podršku korisnicima

· Gubitak poslovnog i društvenog ugleda

· Nanošenje direktne štete brendu

Kako se zaštititi i boriti protiv spywarea

Uprkos velikoj raširenosti spywarea, adwarea i čitavog niza ostalih malicioznih programa, postoje kvalitetni načini zaštite i borbe protiv spywarea.

Edukacija je ključan element zaštite i uz kombinaciju sa tehnološkim rešenjima, pruža dobru polaznu tačku kako bi se uspešno branili od malicionzih programa.

Budite oprezni prilikom preuzimanja programa sa Interneta od nepouzdanih izvora. Velike i ugledne firme poput Microsofta svoje programe distribuiraju posebnim i pouzdanim kanalima, a redovno su i digitalno potpisani.

Proučite Licencni ugovor – ukoliko niste sigurni da ste razumeli tačno sve što je navedeno u ugovoru, nemojte ga prihvatiti i odustanite od instalacije softvera. Posebnu pažnju obratite na tekst koji je pisan sitnijim slovima kako bi se učinio nebitnim.

Svoj operativni sistem držite uvek ažurnim. Upotreba Microsoft Update sistema je izvrstan način da zaštitite svoj računar i omogućite da se ispravke i sigurnosni propusti brzo i efikasno reše. Ovde pročitajte detaljna uputstva kako korišćenjem Microsoft Updatea svoj sistem možete održavati ažurnim.

Redovno koristite anti-spyware softver koji će voditi brigu o vašem sistemu i pronađene spyware i ostale malicionzne programe efikasno ukloniti sa vašeg računara. Besplatan i izvrstan softver takve vrste je Windows Defender kojeg možete besplatno preuzeti od Microsofta i instalirati na svoj računar. Windows Defender dolazi kao sastavni dio Windows Vista operativnog sistema. Kako bi naučili kako koristiti Windows Defender i održati svoj računar čistim, pogledajte naš vodič i uputstva za upotrebu Windows Defendera.

OPREZ !

Budite posebno oprezni ukoliko dobijete ponudu da na svoj računar instalirate antispyware programe. Naime, brojni programi koji sebe karakterizuju kao antispyware su i sami spyware i štetni su za vaš računar. Neki od njih su: The Shield 2006, Privacy Defender, Malware Wipe, Pest Trap, SpyAxe, AntiVirus Gold, SpywareStrike, SpyFalcon, WorldAntiSpy, WinFixer, SpyTrooper, Spy Sheriff, SpyBan, SpyWiper, PAL Spyware Remover, Spyware Stormer, PSGuard, AlfaCleaner, Spyware Quake, BraveSentry, VirusBurst, Trustcleaner Pro, AntispywareSoldier i Mallware.

Adware


Šta je to adware?

Adware je softver koji na vašem računaru prikazuje razne oglase ili reklame, na način da se neobjašnjivo aktiviraju razni pop-up prozori ili linkovi koji vode na druge web stranice, čak i kada niste na Internetu. Oglašavanje, samo po sebi najčešće nije problem (neke kompanije čak nude „besplatan“ softver u zamenu za reklamiranje na vašem računaru i na taj način one zarađuju novac). Ljudi u zajednici su oduvek okruženi oglašavanjem i ono pruža važne usluge ako se sprovodi ispravno i odgovorno. Međutim adware može poprimiti druga obeležja – ne pruža korisniku celokupnu obaveštenost ili kontrolu nad operativnim sistemom - što ga čini neželjenim softverom na vašem računaru. Tih opasnosti korisnik treba biti svestan.

U počecima internetskog oglašavanja, adware nije predstavljao problem korisniku budući da se radilo o jednostavnoj i bezopasnoj pojavi. Gotovo uvek se sastojao od nekoliko lako uklonjivih datoteka koje nisu bile pretnja funkcionalosti računara. Najraniji adware se čak pojavljivao u sklopu upravljačke ploče (Control Panel) pod opcijom dodavanja ili uklanjanja programa.

No, s vremenom je ovaj softver postajao sve pametniji. Postupno je počeo pokazivati neka svojstva spywarea pa su žrtve napada često bile onemogućene da vrate stara podešavanja svog internet browsera, nakon što bi ih adware izmenio. Često bi bio onemogućen pristup celim grupama podešavanja.

Danas adware prikuplja svojim tvorcima velike količine novčanih sredstava. Adware je softver integrisan sa programom. Za tvorca adwarea, on predstavlja jedan od načina povrata dela finansijskih troškova nastalih samim razvojem programa, a zarada od reklamiranja dalje motiviše programera na nastavak pisanja, održavanja i nadograđivanja softverskog proizvoda.

Adware/Spyware

Često se događa da ljudi zamene pojmove adwarea sa pojmovima spywarea ili malwarea, uglavnom jer se ovi koncepti preklapaju. Sam adware može u određenim okolnostima postati spyware. Recimo da je jedan korisnik instalirao adware na svoj računar i time pristao na praćenje svojih aktivnosti. Kada drugi korisnik poseti taj računar, adware će bez njegovog pristanka početi da prati i njegov računar i zbog toga postaje spyware.

Adware ne smatramo spywareom kada on sakuplja i šalje podatke o aktivnostima korisnika ili korisnikove lične informacije, ali samo ako je korisnik izričito pristao na takve radnje. Tvorci ovakvih adwarea tvrde kako nije reč o spywareu upravo zbog evidentnosti rada samog programa.

Delovanje na računar

Pritisnite na vašoj tastaturi istovremeno CTRL-ALT-DEL kako biste pozvali Windows Task Manager. To je program koji grafički prikazuje trenutne performanse vašeg računara i veze na Internetu. Kliknite na karticu Performance i prikazaće vam se prozor koji pokazuje sposobnost računara da brzo obrađuje informacije. Izgleda li vaš Windows Task Manager poput ovog na slici ispod?

Ova slika prikazuje primer nesposobnosti računara da brzo obrađuje podatke jer mu se previše procesa odvija u isto vreme. U navedenom primeru su i procesor i radna memorija gotovo u potpunosti iscrpljeni što rezultuje izuzetno usporenim radom računara.

Ako Windows Task Manager izgleda kao na drugoj slici, vaš računar neometano obrađuje podatke, a procesi se odvijaju brzo i efikasno.

Metode upada adwarea na računar

Neovlašćeni adware se najčešće instalira potajno na računar tako da korisnik toga nije ni svestan. Postoje dve najčešće metode pomoću kojih se takav napad ostvaruje.

U jednom slučaju vam se navodi da kliknete link na pop-up prozoru koji zatim instalira adware na vaš računar. Katkada su adware pop-up prozori namerno zavaravajući. Otvoriće vam se prozor sličan standardnom Windows dijalogu, ali klikom na NO ili CANCEL ste zapravo kliknuli YES ili INSTALL. Čak postoje primeri lažnih buttona za zatvaranje prozora, čijim klikom započinjete instalaciju adwarea.

Posebni tip adwarea je nešto što je Microsoftov MVP Jim Eshelman nazvao „Betrayware“. Radi se o tome da se pred vama odjednom otvori dijaloški prozor koji upozorava da je računar zaražen ili bi mogao biti zaražen spywareom pa vas upućuje na link koji treba da sledite kako biste besplatno pokrenuli skeniranje računara. Time ste zapravo instalirali adware ili spyware. Nažalost, Betrayware danas uspeva prevariti mnogo korisnika.

Ovo je primer jednog dijaloškog prozora Betraywarea. Nemojte verovati svemu što na ovaj način pročitate.

Drugi način ubacivanja adwarea u vaš računar je instalacijom freewarea koji uključuje adware. Na primer, može se dogoditi da sa Interneta preuzimate besplatni program za deljenje datoteka, a koji u sebi potajno sadržava i adware. Imajte na umu da su programi za deljenje datoteka često nosioci raznih vrsta adwarea.

Problemi sa adwareom

Tehnički gledano, najočitiji problem sa kojim se većina korisnika suočava nakon što je na njihovom računaru instaliran adware je nestabilnost računara. Teško „zaraženi“ sistemi rade vrlo usporeno, često se ruše, a katkad se uopšte ne mogu pokrenuti. Na još problema korisnici nailaze kada žele da očiste svoj operativni sistem. Popularni anti-spyware alati često ne uspijevaju da se bore sa problemom jer se suoče sa ogromnom količinom softvera koji treba maknuti pa se sa tim teretom teško nose. Uspešno uklanjanje raznih adwarea i spywarea je samo po sebi dovoljno teško da bi prevencija trebala biti glavni prioritet.

Već smo spomenuli da adware može poprimiti obeležja spywarea kada počne da izveštava o tome gde idete na Internet, kada i koliko često i šta najčešće upisujete u polja za pretragu ili na koje reklame reagujete. Katkad je adware čak sposoban sam sebe dodati u listu za propuštanje u vašem blokatoru pop-up prozora (pop-up blocker) ili u listu firewall izuzetaka.

Osim slanja vaših ličnih informacija, adware sa obeležjima spywarea može i preuzimati oglase 24 sata na dan ili preuzeti kontrolu nad podešavanjima vašeg browsera kao što su početna stranica (home page) ili stranica pretraživanja (search page). Kada maliciozni softver preuzme kontrolu nad Internet browserom na način da izmeni vašu početnu stranicu, možete biti izloženi još većem riziku budući da stranice na koje vas tada vodi mogu instalirati dodatne maliciozne programe na vaš računar.

Reklamiranje preko pop-up prozora takođe može biti izrazito problematično. Ponekad se skočni prozori nameću web browseru na način da se pojavljuju preko celog ekrana pa ih je često vrlo teško ili nemoguće zatvoriti. U najgorim slučajevima, mnogo pop-up prozora se javlja uzastopno u kratkim rokovima, čineći računar praktično neiskoristivim.

Kako se zaštititi?

Kada se novi korisnik suoči sa potrebom uklanjanja adwarea ili spywarea, to može biti vrlo zastrašujuće. Nažalost, čak i vrhunskim stručnjacima može biti izrazito teško rešiti se nekih od najgorih softvera.

Stariji antivirusni programi čak i ne sprečavaju ulazak adwarea budući da ih ne smatraju virusima ili crvima. Adware najčešće upada na računar tako što od vas na prevaru dobije dozvolu za instalacijom, a kako ne nanosi stvarnu štetu vašem računaru, osim smanjenja performansi, ne smatra se klasičnim virusom.

Međutim, najnoviji programi imaju ugrađenu i odbranu od adwarea, kao i od većine ostalih malicioznih programa. Kako bi dodatno zaštitili svoje korisnike, neki provajderi internet usluga (engl. Internet Service Providers, ISP) uvode zaštitu od adwarea i spywarea.

Kada instalirate novi softver, budite sigurni da on ne sadrži adware. Imajte na umu da mnogi freeware programi uključuju adware jer na taj način ostvaruju finansijsku dobit. Ako niste sigurni da li novi softver sadrži adware, pažljivo pročitajte licencni ugovor (engl. license agreement) koji možete otvoriti u nekom koraku tokom same instalacije. Ako možete, proverite i web stranicu izdavača. Ako još uvek niste sigurni, možete potražiti na diskusijskim grupama (newsgroups) ime programa zajedno sa ključnim rečima adware ili spyware. Ako ne nađete nikakva upozorenja o programu, verovatno je u redu instalirati ga.

Nemojte nesvesno instalirati softver. Recimo da kliknete na link koji se čini bezazlen pa se otvori dijaloški prozor kao na slici ispod.

Nemojte odmah kliknuti Yes. U ovom slučaju se nudi instalacija Microsoftovog programa pa nema opasnosti od neželjenog softvera, ali ako sumnjate, nemojte ići dalje od ovoga. Dijaloški okvir poput ovog na slici je poslednji korak gde još uvek možete odustati i nemojte instalirati programe koje niste sami odabrali.

Nemojte dozyoliti da se prevarite preuzimanjem ili nabavkom malicioznih programa poput adwarea ili spywarea. Takođe zapamtite da Windows XP Service Pack 2 štetnom softveru jako otežava pristup na vaš računar. Ako vaš sistem nema Service Pack 2, svakako vam preporučujemo tu nadogradnju. Service Pack 2 je nadogradnja na Windows XP koja donosi mnogo korisnih noviteta. Takođe preporučujemo i Internet Explorer 7 za Windows XP i Windows Server 2003 (a koji će biti u sastavu i Windows Viste), koji sa sobom donosi brojna sigurnosna poboljšanja o kojima više možete naučiti u našem praktičnom delu o sigurnosnim osobinama Internet Explorera 7.0. Za uklanjanje adwarea i spywarea i poboljšanje performansi vašeg računara koristite Windows Defender, a u našem praktičnom vodiču saznajte kako koristiti Windows Defender i aktivno zaštititi svoj računar. Kako biste se osigurali da je vaš Windows stalno ažuriran i kako biste izbegli potencijalne sigurnosne pretnje, potrebno je koristiti Microsoft Update osobinu. Za uputstva o radu sa Microsoft Updateom, pogledajte naš praktični vodič.

Preporučuje se koristiti blokator pop-up prozora (pop-up blocker) kako biste sprečili otvaranje adware ili spyware prozora. Microsoftov Internet Explorer 7.0 dolazi sa ugrađenim blokatorom pop-up prozora. Za više informacija o sigurnosnim značajkama Internet Explorera (blokiranje pop-up prozora, upravljanje ActiveX kontrolama i ostalim aktivnim sadržajem, phishing...), možete pročitati ovde. Veliki deo neželjenog softvera se instalira nakon što kliknete link na pop-up prozoru pa je dobro ukoliko i ne dobijete priliku za to. Blokator pop-up prozora vam upravo to omogućuje. Kako biste se uefikasno borili protiv adwarea i ostalih malicioznih programa, koristite Windows Defender. Za uputstva o upotrebi Windows Defendera, pogledajte naš praktični vodič.

Poznati adware programi

Sledi popis poznatih adware programa pa vam preporučujemo da ih ne instalirate na svoj računar:

123 Messenger, 180 Solutions, Battlefield 2142, Bonzi Buddy, BlockChecker, ClipGenie, CometCursor, Cydoor, Direct Revenue, Ebates MoneyMaker, Gator, PornDigger!, WinFixer, Hotbar, ErrorSafe, Smiley Central, StumbleUpon, WeatherBug i WhenU.

Scareware


Šta je to scareware?

Scareware je vrsta softvera isključivo stvorena zbog uznemiravanja korisnika čiji računar napadne. Najčešće se radi o programima koji pokrenu dijaloški prozor koji korisniku upućuje uznemirujuću poruku ili pitanje, a svi ponuđeni odgovori ili reakcije su naizgled neželjene. Primer je mali program koji u dijaloškom okviru korisniku postavi pitanje „Želite li da formatirate hard disk“, a ponuđeni odgovori su „Da“ i „Da“ ili je na primer onemogućeno da kliknete na dugme „Ne“. Međutim, bez obzira koji odgovor odaberete, nikakva stvarna šteta se neće naneti vašem računaru, budući da je scareware samo softver zastrašivanja, ali koji ne deluje kao tipičan maliciozni softver.

Često se u praksi pojam scareware koristi kako bi se opisao skup softverskih proizvoda koji su posebni po tome što uz služenje svojoj osnovnoj svrsi, stvaraju mnoštvo neozbiljnih i alarmantnih upozorenja ili pretećih poruka. Korisnici koji se po prvi put susreću s ovakvom vrstom „problema“ često budu potpuno izbezumljeni, ne znajući kako „spasiti“ svoj računar. Ova grupa programa zapravo nastoji da poveća svoju opažljivu vrednost „bombardovanjem“ korisnika neprestanim porukama upozorenja. Takve poruke ni na koji način neće povećati korisnikovu efikasnost.

Osim što se korisnik sa scarewareom može suočiti zbog postojanja spornog softvera na njegovom hard disku, treba naglasiti da i neke web stranice prikazuju pop-up prozore sa reklamama ili natpisima koji sadrže uznemiravajuće poruke kao na primer: „Vaš računar je možda zaražen opasnim spyware programima pa je što pre potrebno njihovo uklanjanje. Kako biste skenirali vaš hard disk, kliknite 'Da'.“

Za proizvode koji se u svom reklamiranju služe ovakvim ili sličnim metodama, kažemo da spadaju u scareware.

Kako se zaštititi od scarewarea?

Budući da scareware nije sam po sebi opasan po vaš računar, zaštita od scarewarea ne mora predstavljati apsolutni prioritet. Važno je naučiti prepoznavati ovakve programe i ne uznemiravati se porukama. Naravno, i dalje važi da je scareware nepoželjan softver jer smanjuje efikasnost korisnika stalnim pojavljivanjem.

Ransomware


Šta je to ransomware?

Ransomware je vrsta malicioznog programa ili koda koji otima i šifrira datoteke žrtve, da bi zatim napadač iznuđivao novac u zamenu za ključ dešifriranja koda. Dokumentovani slučajevi ovakvih napada su retki, ali u porastu. Jedan od prvih dokumentovanih slučajeva napada ransomwareom je zabeležen u maju 2005. godine. Sam program koji šifrira datoteke često nije jako težak za rešavanje, ali postoje i znatno kompleksniji programi koji koriste hibridne metode na nivou vojnog šifriranja. Takav program se naziva Cryptovirus, Cryptotrojan ili Cryptoworm. Područje koje se bavi proučavanjem ovakvih napada se naziva kriptovirologija.

Kako napada ransomware?

Ucenjivački napad ransomwareom se izvodi putem posebno izrađenih programa koji se šalju kao attachment elektronske pošte koja se pošalje žrtvi. Žrtva otvori ili aktivira attachment, program se pokrene i šifrira određeni broj datoteka (ili sve datoteke) na hard disku računara. U elektronskoj pošti se nalazi i poruka koja kaže da će se uspešno dešifriranje moći provesti samo uz odgovarajući ključ dešifriranja, koju će napadač (navodno) poslati žrtvi nakon što mu uplati određeni novčani iznos.

Korisnik čije je računar napadnut često ima čitljiv samo dokument u kojem je „obavešten“ o napadu i dokument sa instrukcijama kako će povratiti otete datoteke.

Međutim, kada se program oslanja isključivo na simetričnu kriptografiju, ključ za dešifriranje često je u samom programu i može se izvući van bez kontaktiranja napadača, što ukazuje na neiskustvo napadača.

Ransome je opasan i za napadača

Od svih metoda koje napadač može odabrati, ransomware se smatra najrizičnijim za samog napadača. Naime, napadač mora prvo upasti u sistem, što nije lako izvesti neopaženo uz današnje mere sigurnosti. Zatim mora ostaviti maliciozni kôd, obavestiti žrtvu, čekati odgovor i na kraju primiti isplatu. U svakom od ovih koraka napadač rizikuje razotkrivanje, posebno ako mu se novac uplaćuje preko bankovnih transakcija koje nije teško pratiti.

Često se događa da napadač upadne u računarski sistem samo kako bi dokazao da može, pa bi tek onda iznuđivao novac da ne napadne. Međutim, ni ovaj način nije manje rizičan od standardnog napada ransomwareom.

Danas većina "hakera" ne želi da se nepotrebno izlaže opasnostima koje napadi ransomwareom nose sa sobom. Činjenica da su ovakvi napadi rizični, ne povlači za sobom da se učestalost napada neće povećavati i da oni neće postati sofisticiraniji. Neki analitičari smatraju da je „tehnika“ napada ransomwareom još u povojima i da nas u budućnosti čeka borba sa puno kompleksnijim paketima ransomwarea koje će biti izrazito teško dešifrirati.

Kako se zaštititi od ransomwarea?

Dobra vest je da Vam ne trebaju posebni anti-ransomware programi kako biste se zaštitili. Mnogostruki slojevi sigurnosti kakvi se danas tipično koriste – firewall, antivirusni i antispyware programi, detekcija upada u mrežu i slično će najverovatnije zaustaviti ransomware.

Takođe je dobro imati blokator pop-up prozora (pop-up blocker) budući da se deo ransomwarea isporučuje i putem pop-up prozora. Softver koji je najpreporučljiviji korisnicima u borbi protiv neželjenih programa je Windows Defender. Za uputstva o upotrebi Windows Defendera pogledajte naš praktični vodič.

Budite prilično oprezni prilikom preuzimanja softvera (igrice, screen saveri...) jer on može sadržati kôd ransomwarea.

Svesnost korisnika je takođe veliki činilac u obrani od ransomwarea. Analize napada u preduzećima koja su imala problema sa ransomwareom su pokazale da je maliciozni program ušao u sistem zato jer su mu zaposleni u preduzeću svesno ili nesvesno „otvorili vrata“. Imajući ovo na umu, važno je upoznati kako je adekvatna edukacija zaposlenih važna koliko i elektronska zaštita sistema.

Documents

nasaucionica.files.wordpress.com · Web viewNastanjuju se u sistemskom delu bilo hard bilo floppy diska (diskete). Prilikom podizanja računara sa jednog od navedenih, virusi se aktiviraju