KORDIÆ Žarko KOMPJUTERSKI VIRUSI - mycity.rs · vatrenog zida, njegova namena, softveri ove vrste koje možemo naæi na tržištu, delovanje vatrenog zida deluje pri nailasku virusa,

UNIVERZITET U NOVOM SADU

PEDAGOŠKI FAKULTET SOMBOR

KORDIÆ Žarko

KOMPJUTERSKI VIRUSI

DIPLOMSKI RAD

Sombor, 10.jun 2008.g

Kandidat: Kordiæ Žarko

Broj indeksa: 2/2004

Smer: Dizajner medija u obrazovanju

Tema: Kompjuterski virusi

Osnovni zadaci:

1. Objasniti pojam malicioznog softvera.

2. Izvršiti klasiifikaciju malicioznog softvera, te navesti istorijat, podelu i

osnovne specifiènosti svake pojedinaène vrste.

3. Objasniti modele zaštite i ponašanja u odnosu na problem malicioznog

softvera.

Sombor, 10. jun 2008.god

Mentor:

___________________________

Prof.dr Dragan Soleša

ABSTRAKT

U ovom radu su predstavljene osnove o malicioznim softverima gde svoje poèasno mesto zauzimaju virusi, koji su sinonim za sve vrste ovih “kreacija”, buduæi da ih manje upuæeni korisnici kompjuterskih sistema generalno nazivaju ovim imenom.

Predstavljen je istorijat njihovog nastanka te okolnosti koje su uslovile ovu moguænost, te pružen osvrt na motivaciju onih koji se bave ovom “delatnošæu“.

Izvršena je generalna klasifikacija malicioznog softvera te je o svakoj vrsti posebno predstavljen istorijat svake, podela na pojedine podvrste, kratak opis ponašanja svake od ovih podvrsta prilikom infekcije datoteka, te naèin uklanjanja pojedinih karakteristiènih vrsta ovog malicioznog softvera.

Posebna pažnja je posveæena merama zaštite koje trebaju da se preduzmu u borbi

protiv ove vrste problema, kako na individualnom tako i na nivou ustanova. Stoga su veoma detaljno opisivani principi rada anti-virusnog softvera, a posebna pažnja je data uputstvima za individualne kompjuterske korisnike.

Radi boljeg shvatanja delovanja malicioznog softvera navedeno je nekoliko primera ponašanja ove vrste softvera pri prodoru u sistem.

Takoðe je napravljen osvrt na pravnu regulativu ovog problema gde je plastièno opisano nekoliko sluèajeva u sudskom procesu radi kršenja zakona o informatièkom

poslovanju.

U zakljuènim razmatranjima su predstavljeni rezultati istraživanja koje je izvršeno u informatièkoj laboratorji Pedagoškog fakulteta u Somboru prema temi “Odnos kompjuterskih korisnika prema pitanjima zaštite kompjuterskog sistema od malicioznog softvera”. Detaljno predstavljeni rezultati se nalaze u dodatku diplomsklog rada.

Na kraju rada je predstavljen predlog zaštite pojedinih organizacija i ustanova od ove vrste problema.

SADRŽAJ

1. UVODNA RAZMATRANJA_________________________________________________________________________________ 9

1.1. OPŠTI UVOD ______________________________________________________________________________________________ 9

1.2. CILJEVI_______________________________________________________________________________________________________10

1.4. MALICIOZNI PROGRAMI (ENGL. MALWARE) ___________________________________________________________10

1.4.1. POJAM MALICIOZNOG SOFTVERA _______________________________________________________________________________________________________________________________________10

1.4.2. SISTEMSKE GREŠKE – BUBICE (ENGL. BUG)____________________________________________________________________________________________________________________________12

1.4.3. GREŠKE U PROGRAMU ZA ELEKTRONSKU POŠTU _____________________________________________________________________________________________________________________12

1.4.4 POZNATE SISTEMSKE GREŠKE___________________________________________________________________________________________________________________________________________12

1.5. RAZVOJ MALICIOZNIH PROGRAMA _____________________________________________________________________13

1.6. VRSTE MALICIOZNIH PROGRAMA _______________________________________________________________________14

1.7. IZVORI MALICIOZNIH PROGRAMA_______________________________________________________________________15

1.7.1. ULAZAK MALICIOZNIH PROGRAMA U KOMPJUTERSKI SISTEM______________________________________________________________________________________________________15

1.7.2. MALICIOZNI PROGRAMI ZA STVARANJE PROFITA ____________________________________________________________________________________________________________________15

VIRUSI, TROJANSKI KONJI, CRVI __________________________________________________________________________17

2. VIRUSI ________________________________________________________________________________________________________17

2.1. POJAM VIRUS________________________________________________________________________________________________17

2.2. STRUKTURA VIRUSA _______________________________________________________________________________________19

2.3. PODELA VIRUSA ____________________________________________________________________________________________19

2.4. NAJPOZNATIJI VIRUSI: _____________________________________________________________________________________23

2.4.1. SPISAK VIRUSA ___________________________________________________________________________________________________________________________________________________________23

2.4.2. WIN32/SIMILE NOVIJI PRODUKT U RAZVOJU METAMORFOZNOG VIRUSNOG KODA _____________________________________________________________________________25

2.4.2.1. NAÈIN RAZMNOŽAVANJA _______________________________________________________________________________________________________________________________________________25

2.4.2.2. EPO MEHANIZAM________________________________________________________________________________________________________________________________________________________25

2.4.2.3. POLIMORFNI DEKRIPTOR ______________________________________________________________________________________________________________________________________________26

2.4.2.4. METAMORFOZA __________________________________________________________________________________________________________________________________________________________26

2.4.2.5. RAZMNOŽAVANJE________________________________________________________________________________________________________________________________________________________27

2.4.2.6. INFEKCIJE ________________________________________________________________________________________________________________________________________________________________27

2.4.3. VOLIM TE! _________________________________________________________________________________________________28

2.4.4. CODE RED, VIRUS KOJI JE NAJSKUPLJE KOŠTAO U ISTORIJI INTERNETA ______________________________________________________________________________________________30

2.4.4.1. IZVEŠTAJI U USPORAVANJU SERVISA NA INTERNETU ________________________________________________________________________________________________________________30

2.4.4.2. PROŠIRIVANJE OPSEGA __________________________________________________________________________________________________________________________________________________30

2.4.4.3. ŠTA RADITI?_______________________________________________________________________________________________________________________________________________________________31

2.4.4.4. IZVOR JE I DALJE NEPOZNAT ____________________________________________________________________________________________________________________________________________31

2.4.4.5. NAÈINI ZA OPORAVAK ___________________________________________________________________________________________________________________________________________________31

2.4.5. VIRUS: CODE9811 (PRIÈA KORISNIKA) _______________________________________________________________31

2.5. TROŠKOVI AMERIÈKIH KOMPANIJA ZBOG VIRUSA___________________________________________________32

2.6. KAKO SE PRAVE VIRUSI? ____________________________________________________________33

2.6.1. PRIMER IZVEŠTAJA IZ KOLEKCIJE VIRUSA O NJEGOVOM POSTOJANJU_______________________________________________________________________________________________34

2.6.2. KOD JEDNOG VIRUSA _____________________________________________________________________________________________________________________________________________________35

2.7. KAKO ZNATI DA LI JE KOMPJUTER ZARAŽEN? ________________________________________________________36

2.8. UKLANJANJE VIRUSA______________________________________________________________________________________37

3. TROJANSKI KONJ ____________________________________________________________________________________________38

3.1. POJAM TROJANSKOG KONJA __________________________________________________________38

3.2. PRIKRIVANJE TROJANSKIH KONJA ______________________________________________________________________39

3.3. ETIMOLOGIJA _______________________________________________________________________________________________39

3.4. PRIMER ______________________________________________________________________________________________________40

3.5. NAÈINI INFEKCIJE SA TROJANSKIM KONJEM ___________________________________________________________40

3.6. METODE INFEKCIJE ________________________________________________________________________________________41

3.7. ROAD APPLE ________________________________________________________________________41

3.8. METODE BRISANJA _________________________________________________________________________________________41

3.9. PRIKRIVANJE ________________________________________________________________________________________________41

3.10. UKLANJANJE TROJANSKOG KONJA TIPA BACKDOOR ____________________________________41

4. CRVI ___________________________________________________________________________________________________________47

4.1. POJAM CRV __________________________________________________________________________________________________47

4.2. NAJZLOGLASNIJI CRVI _______________________________________________________________49

5. ŠPIJUNSKI PROGRAMI (ENGL.SPYWARE) ______________________________________________50

5.1. POJAM ŠPIJUNSKOG PROGRAMA _________________________________________________________________________50

5.2. ISTORIJAT I RAZVOJ ________________________________________________________________________________________51

5.3. MEÐUSOBNA KONKURENTNOST ŠPIJUNSKIH PROGRAMA _______________________________52

5.4. ŠPIJUNSKI PROGRAM, REKLAMNI SOFTVER I PRAÆENJE_____________________________________________52

5.5. ODNOS ŠPIJUNSKOG PROGRAMA, VIRUSA I CRVA _____________________________________________________53

5.6. PUTEVI INFEKCIJE__________________________________________________________________________________________53

5.7. EFEKTI I PONAŠANJE_______________________________________________________________________________________54

5.8. REKLAMNI SOFTVER (ENGL.ADWARE)__________________________________________________________________55

5.9. LOPOVSKI SOFTVER (ENGL.STEALWARE) ______________________________________________________________56

5.10. IDENTITET, KRAÐA I KRIVOTVORENJE ________________________________________________________________56

5.11. ŠPIJUNSKI PROGRAM I KOLAÈIÆI (ENGL. COOKIES) _________________________________________________57

5.12. PRIMERI ŠPIJUNSKIH PROGRAMA _____________________________________________________________________57

5.13. ZAKONSKA REGULATIVA U VEZI ŠPIJUNSKIH PROGRAMA _________________________________________58

5.13.1. KAZNENO PRAVO_________________________________________________________________________________________________________________________________________________________58

5.13.2. PARNIÈNO PRAVO ________________________________________________________________________________________________________________________________________________________58

6. MANJE POZNATI MALICIOZNI SOFTVER _________________________________________________________________60

6.1. KORENSKI KOMPLET ALATA (ENGL.ROOTKIT) ________________________________________________________60

6.2. EXPLOITI ____________________________________________________________________________________________________60

6.3. WEBBITI ___________________________________________________________________________60

6.4. ZAMKA (ENGL.TRAP DOOR) ______________________________________________________________________________61

6.5. REKLAMNI SOFTVER (ENGL.ADWARE)__________________________________________________________________61

7. SPAMOVI _____________________________________________________________________________________________________62

7.1. OBJAŠNJENJE POJMA SPAM ___________________________________________________________62

7.2. ISTORIJAT _______________________________________________________________________________________________________

7.3. SLANJE SPAMOVA U RAZLIÈITIM MEDIJUMIMA________________________________________________________63

7.3.1. INSTANT SPAMOVI U PORUKAMA ________________________________________________________________________________________________________________________________________64

7.3.2. CHAT SPAM _________________________________________________________________________________________________________________________________________________________________64

7.3.3. SPAMOVI ZA MOBILNE TELEFONE _______________________________________________________________________________________________________________________________________64

7.3.4. SPAMOVI U OBLIKU PORUKA NA ONLINE IGRICAMA __________________________________________________________________________________________________________________65

7.3.5. SPAMOVI ÈIJA META SU PRETRAŽIVAÈKE MAŠINE (ENGL.SPAMDEXING) ___________________________________________________________________________________________65

7.3.6. SPAMOVI ÈIJA META SU STRANICE ZA DELJENJE VIDEA _______________________________________________________________________________________________________________65

7.4. NEKOMERCIJALNI SPAMOVI ______________________________________________________________________________65

7.5. GEOGRAFSKI IZVORI SPAMOVA __________________________________________________________________________66

7.6. TROŠKOVI ZBOG SPAMOVA___________________________________________________________________________________

7.7. PRAVNA PITANJA ______________________________________________________________________________________________

7.8. POLITIÈKA PITANJA________________________________________________________________________________________67

7.9. SLUÈAJEVI NA SUDU _________________________________________________________________67

7.9.1. SAD__________________________________________________________________________________________________________________________________________________________________________67

7.9.2. VELIKA BRITANIJA_________________________________________________________________________________________________________________________________________________________68

8. ANTI-VIRUSNI SOFTVER___________________________________________________________________________________69

8.1. POJAM ANTI VIRUSNI SOFTVER __________________________________________________________________________69

8.2. RAZVOJ ANTI-VIRUSNIH SOFTVERA ___________________________________________________70

8.3. STRUKTURA AV PROGRAMA _________________________________________________________71

8.4. PRINCIP RADA ANTIVIRUSNOG PROGRAMA ____________________________________________71

8.4.1. METODE KOJE SE KORISTE ZA OTKRIVANJE VIRUSA___________________________________________________________________________________________________________________71

8.4.2. IMUNI SISTEMI_____________________________________________________________________________________________________________________________________________________________74

8.5. KAKO SE VIRUSI BRANE OD OTKRIVANJA? _____________________________________________________________76

8.5.1. PROMENA DATUMA MODIFIKACIJE ______________________________________________________________________________________________________________________________________76

8.5.2. KRAÐA ______________________________________________________________________________________________________________________________________________________________________76

8.5.3. SAMO-MODIFIKACIJA______________________________________________________________________________________________________________________________________________________76

8.5.4. ŠIFROVANJE PROMENJIVIM KLJUÈEM ___________________________________________________________________________________________________________________________________76

8.5.5. POLIMORFNI KOD _________________________________________________________________________________________________________________________________________________________77

8.5.6. METAMORFNI KOD ________________________________________________________________________________________________________________________________________________________77

8.6. SIMPTOMI INFEKCIJE I ÈIŠÆENJE ______________________________________________________77

8.7. NEKI OD ANTI-VIRUS PROGRAMA NA TRŽIŠTU _________________________________________78

8.8. KAKO SE BRANITI I ODBRANITI? ________________________________________________________________________79

8.9. DESET PRAVILA U ZAŠTITI OD MALICIOZNOG PROGRAMA__________________________________________80

8.10. ZAŠTITA NA SERVERU ______________________________________________________________81

8.11. PERFORMANSE U LABORATORIJI ____________________________________________________82

8.12. SUOÈAVANJE S NEPOZNATIM PRETNJAMA ____________________________________________83

8.12.1. ODNOS PREMA NEPOZNATIM VIRUSIMA ______________________________________________________________________________________________________________________________83

8.12.2. PERFORMANSE NA VAŠEM KOMPJUTERU _____________________________________________________________________________________________________________________________83

8.12.3. AŽURIRANJE ANTIVIRUSNOG PROGRAMA ____________________________________________________________________________________________________________________________84

9.2. FALSIFIKOVANI ANTI-ŠPIJUNSKI PROGRAMI___________________________________________________________87

9.2.1. EPIDEMIJA LAŽNIH ANTI-ŠPIJUNSKIH SOFTVERA _____________________________________________________________________________________________________________________87

9.2.2. BEZBEDNOSNA PRAKSA __________________________________________________________________________________________________________________________________________________88

9.3. SHAREWARE PROGRAMI KOJI SADRŽE ŠPIJUNSKI PROGRAM_______________________________________89

9.3.1. POZNATI PROGRAMI SA DODATNIM ŠPIJUNSKIM PROGRAMOM ________________________________________________________________________________________________________89

9.3.2. NEKI PROGRAMI KOJI SU NEDAVNO DISTRIBUIRANI SA DODATIM ŠPIJUNSKIM PROGRAM________________________________________________________________________89

10. „ VATRENI ZID (ENGL.FIREWALL) SISTEMI _____________________________________________________________91

10.1. OSNOVNI POJMOVI ________________________________________________________________________________________91

10.2. KAKO FUNKCIONIŠE VATRENI ZID ______________________________________________________________________92

10.3. KAKO DA IZABEREM ZAŠTITNI ZID? __________________________________________________93

10.3.1. SOFTVERSKI ZAŠTITNI ZIDOVI__________________________________________________________________________________________________________________________________________93

10.3.2. WINDOWS ZAŠTITNI ZID (SAMO U WINDOWS XP SERVISNOM PAKETU 2) ________________________________________________________________________________________93

10.4. NEKI OD VATRENIH ZIDOVA NA TRŽIŠTU _____________________________________________________________93

11. JOŠ NEKI OBLICI ZAŠTITE KOMPJUTERA OD MALICOZNIH PROGRAMA___________________95

11.1. SISTEM ZA RESTAURACIJU (ENGL.SYSTEM RESTORE)_______________________________________________95

11.2. SISTEMSKA REZERVNA KOPIJA (ENGL. BACKUP) ____________________________________________________97

11.3. ISTORIJAT PRAVLJENJA SISTEMSKE REZERVNE KOPIJE (ENGL. SHADOW COPY) _______________98

11.3.1. SISTEMSKA REZERVNA KOPIJA OD WINDOWS VISTE ________________________________________________________________________________________________________________98

11.3.2. VREMENSKA MAŠINA (ENGL. TIME MACHINE) OD KOMPANIJE APPLE_____________________________________________________________________________________________98

11.3.3. TIMEVAULT _______________________________________________________________________________________________________________________________________________________________99

12. ZAKLJUÈNA RAZMATRANJA ____________________________________________________________________________100

12.1. OPŠTI ZAKLJUÈCI ________________________________________________________________________________________100

12.2. MODELI REŠENJA PROBLEMA MALICIOZNOG SOFTVERA_______________________________101

12.3. MODELI ZAŠTITE USTANOVA___________________________________________________________________________102

13. KORIŠÆENA LITERATURA:______________________________________________________________________________104

14. DODATAK DIPLOMSKOG RADA _____________________________________________________104

PREDGOVOR

Problematika malicioznog softvera, koja je ovde predstavljena, od tenutka svog nastanka zadaje brige mnogim korisnicima informatièke tehnologije. Potreba za znanjima iz ove oblasti je stalna i neizbežna, te se stoga ovaj rad može shvatiti kao objedinjavanje i dopuna veæ postojeæih znanja. On je podeljen na pojedina poglavlja prema sledeæem:

U prvom poglavlju su opšta razmatranja o postojanju malicioznog softvera, njegova generalna podela, kratak uopšteni istorirjat nastanka i objašnjenje u vezi motivacije za njihovim stvaranjem.

U drugom poglavlju se govori o najèešæem malicioznom softveru – virusima, koji ustvari predstavljaju sinonim za maliciozni softver buduæi da ih manje upuæeni korisnici generalno nazivaju na taj naèin. Govori se o njihovom nastanku, njihovoj podeli, opštim karakteristikama, najpoznatijim malicioznim softverima. Takoðe se detaljno govori o nekoliko poznatijih virusa koji su naneli velike štete kompanijama širom sveta.

U treæem poglavlju govori se o trojanskim konjima, takoðe ozloglašenim predstavnicima ove vrste, o njihovom nastanku, njihovim naèinima inficiranja, te nekim opštim karakteristikama. Takoðe je pružen prikaz praktiènog postupanja prilikom uklanjanja jedne ovakve infekcije.

U èetvrtom poglavlju se govori o crvima, takoðe veoma velikoj opasnosti za kompjuterske korisnike. Takoðe se govori o naèinu infekcije te nekim razlikama koje ovaj softver razlikuju od virusa.

U petom poglavlju se govori o špijunskom softveru koji zapravo predstavlja možda i veæu opasnost po kompjuterske korisnike. Ovde se govori upravo o tim opasnostima, te se daju praktièni saveti za postupanje sa njima.

U šestom poglavlju navode se nekoliko vrsta manje poznatog malicioznog softvera koji uglavnom služi kao pomoæni softver pri instalaciji onih veæ navedenih u prethodnim poglavljima.

U sedmom poglavlju se govori o spamovima koji su postali neizbežni sastavni deo pretraživanja web stranica, a koji takoðe nalaze svoje mesto u ovoj podeli.

U osmom poglavlju nalazimo jednu ogromnu temu kojoj je posveæeno veoma mnogo pažnje buduæi da je zaštita od štete koju nam maliciozni softver nanosi jednaka elementarnim nepogodama. Reè je o antivirusnim programima, njihovom razvoju, njihovoj podeli , naèinu njihovog delovanja, pojedinaènim proizvodima iz ove kategorije i njihovim karakteristikama.

U devetom poglavlju se govori o narednom, veoma znaèajnom naèinu zaštite koji se po znaèaju nalazi odmah iza anti-virusne zaštite. Reè je o anti-špijunskim (engl.anti-spyware) programima.

U desetom poglavlju se govori o još jednom vidu zaštite koji je obavezan pored anti-virusnog i anti-špijunskog programa – vatrenim zidovima (engl.firewall) . Takoðe se objašnjava pojam vatrenog zida, njegova namena, softveri ove vrste koje možemo naæi na tržištu, delovanje vatrenog zida deluje pri nailasku virusa, i sl.

U jedanaestom poglavlju se navode još neki, veoma znaèajni, naèini zaštite kompjuterskih korisnika od ove vrste opasnosti, a koji predstavljaju deo osnovne informatièke pismenosti.

1. UVODNA RAZMATRANJA 1.1. Opšti uvod U svakodnevnom životu, u privrednim delatnostima, državnoj upravi, obrazovanju, oružanim snagama, u našim domovima, u svim segmentima ljudskog delovanja, nailazimo na informatièku tehnologiju koja je èoveku veoma olakšala, ali takoðe, iz temelja izmenila život i naèin njegovog privreðivanja.

Današnji razvoj ljudskog društva je jednostavno nezamisliv bez postojanja informacionih sistema o informatièke tehnologije. Oni nam omoguæavaju donošenje brzih, pravovremenih, potpunih i sveobuhvatnih odluka, što je zapravo karakteristika i zahtev današnjeg doba.

Da bi smo bili u stanju da to sve ostvarujemo, a pored moguænosti koju nam pruža informatièka tehnologija, potrebno je ispuniti odgovarajuæe preduslove za njeno efikasno funkcionisanje, a osnovni preduslov jeste njegova funkcionalnost i pouzdanost.

Upravo nad pitanjem pouzdanosti ovih sistema nadvio se je jedan taman i opasan oblak – malicizni softver, koji je u stanju napraviti ogromne materijalne štete kompanijama širom sveta.

Zbog postojanja ove vrste opasnosti, razvila se je posebna proizvodno-softverska grana èiji je posao i krajnji cilj uklanjanje ili bar smanjenje te opasnosti. Danas, gotovo da nemožemo naiæi na softverski proizvod nekog manje poznatog proizvoðaèa za koji možemo reæi da je bezbedan za upotrebu. Stoga moramo biti svesni opasnosti koja nam preti i biti spremni da na nju odgovorimo na adekvatan naèin.

1.2. Ciljevi Unapareðenje informatièke kulture kod kompjuterskih korisnika jeste primarni cilj, ali i zadatak ovog doplomskog rada. Ostvarenjem ovog cilja, veoma æe se olakšati ostvarenje ostalih. Kada korisnik bude adekvatno motivisan, promeniæe se njegov odnos prema ovoj problematici, a samim tim poveæati motivacija za sticanjem novih znanja iz ove oblasti.

Korigovanje stavova pema ovoj vrsti opasnosti. Osim korigovanja vlastitih stavova prema ovoj vrsti opasnosti, istom merom uticati na ostale korisnike kako bi promenili svoj model ponašanja ukoliko je do tada bio pogrešan.

Sticanje potpunijih znanja iz oblasti zaštite kompjuterskih sistema od malicioznog softvera. Nakon upoznavanja sa ovom materijom korisnici bi trebali biti u stanju da razlikuju pojedine vrste opasnosti, te da na iste pravovremeno i adekvatno odgovore.

Prepoznavanje pojedinih oblika delovanja malicioznog softvera kroz opisane praktiène primere.

Razvijanje mišljenja da je pojava malicioznog softvera odgovor na jedan oblik društvene svesti u skladu sa odgovarajuæim pogrešnim društvenim vrednostima, te da su kreatori malicioznih softvera i sami na odreðeni naèin društvene “greške”.

1.3. Zadaci Uticati na èitaoca da kroz èitanje ovog teksta unapredi vlastitu informatièku kulturu i poveæa nivo informatièke pismenosti, te da ubuduæe utièe na odgovarajuæi naèin na druge korisnike kako bi i oni koji nisu èitali ovaj rad promenili neke svoje stavove i opet dalje uticali na druge.

Omoguæiti èitaocu sticanje novih i upotrebljivih znanja koja æe mu omoguæiti lako snalaženje u dodiru sa opasnostima ovoga tipa, te ga uputiti odgovarajuæim s avetima na njegov samostalan rad u iznalaženju novih naèina u rešavanju ovog problema.

Uputiti èitaoca na razvoj odgovarajuæeg modela zaštite na njegovom personalnom kompjuteru te na kompjuterima sa kojima on dolazi u kontakt u svom svakodnevnom radu, bez obzira da li se radi o direktnom kontaktu ili nekakvom posrednom (slanjem elektronske pošte, presnimavanjem razlièitih dokumenata, obavljenjem razgovora i sl).

Stvoriti potrebu za razmišljanjem kod èitaoca o moralnoj strani ovog problema kako bi on dobio odgovarajuæi impuls za samostalno delovanje u ovoj oblasti zaštite, te ispravno uticao na druge.

U okviru ovog rada, izvršiti istraživanje na temu „Odnos kompjuterskih korisnika prema pitanjima zaštite kompjuterskog sistema od malicioznog softvera“, te priložiti rezultate istog u ovom radu kako bi oni bili osnovno uporište za razmišljanje o pitanjima kompjuterske zaštite.

1.4. MALICIOZNI PROGRAMI (engl. MALWARE)

1.4.1. Pojam malicioznog softvera Pojam malicioznog softvera, što je kovanica od engleskih reèi “malicious” i “softver”, je termin koji se koristi za sve vidove programa koji nanose štetu, bilo da se ona odnosi na sigurnost podataka na kompjuteru ili na štetu nanetu korisnièkoj privatnosti. (Wikipedia, 2007)

Postoje maliciozni programi koji èak ne nanose nikakvu štetu sistemima i postoje samo zbog toga da bi njihov autor isprobao metode širenja, pa je zato, logièno pitanje da li se takvi programi mogu svrstati u maliciozne. Obzirom da bez potrebe zauzimaju memoriski prostor i koriste mrežne veze za širenje, mogu se ubrojati u takve.

Maliciozni programi se klasifikuju prema tome šta èine, kako se izvršavaju, i prema naèinu na koji se umnožavaju. Meðutim, razlike izmeðu tipova malicioznih programa nisu uvek tako jasno definisane, pa se mnoge vrste nalaze u razlièitim kategorijama, pa na neki naèin postoje i hibridni maliciozni programi koji kombinuju osobine više vrsta. Zajednièko za sve vrste malicioznih softvera je to da se šire bez obzira na volju korisnika.

Motivi za za upotrebu ovog softvera mogu biti razlièiti:

o Edukativni., o dokazivanje u “hakerskom” svetu., o finansijska korist istraživanjem ponašanja korisnika kako bi se svrstali u odreðenu ciljnu

grupu, a potom nudili odgovarajuæi proizvodi .,

o industriska špijunaža., o kraða novca elektronskim putem., o prenošenje raznih drugih poruka (politièkih, liènih, pa èak i sasvim besmislenih) .

Za sve vrste malicioznih programa meðu korisnicima kompjutera najèešæe kruži termin “virusi”, a oni koji se dublje bave ovom problemaitikom, dele ih na viruse, trojanske konje, crve, tempirane bombe, itd., a misle na softvere koji su napravljeni da bez znanja korisnika kompjutera prodru i sakriju se negde na tvrdom disku sa moguænošæu širenja po mreži u širokom rasponu. U zavisnosti od kreativnosti i zlobe autora mogu da prouzrokuju razne probleme u radu, od plesanja slova, pojave velikog broja jedinica i nula na monitoru (Slika 1), slanja velikog broja besmislenih poruka preko elektronske pošte, pa do sluèajeva kao što je formatiranje tvrdog diska kompjutera ili servera.

Sl. 1 – Izgled monitora nakon infekcije kompjutera malicioznim softverom

Zaštita od malicioznih programa nije komplikovan proces, ali zahteva pre svega obaveštenost, pedantnost i oprez. Obaveštenost je najvažnija jer ona nameæe oprez kada uzimamo tuðu disketu ili CD disk, a još više kada smo na Internetu. Moramo taèno da znamo šta radimo, da li nam je poznat pošiljalac elektronske poruke, koje dodatke otvaramo, koje programe preuzimamo sa Interneta, kao i kome verujemo. Pa èak i tada moramo biti oprezni ! Potencijalne opasnosti su svi dodaci na elektronskoj pošti koji imaju ekstenziju .exe, .com, .bat, cmd, .htm, .scr, itd. Ovakvi programi uglavnom zahtevaju korisnièku interakciju, kao na primer pokretanje programske instalacije u kojoj se maliciozni program nalazi ili otvaranje neke datoteke koja ima primamljiv sadržaj.

Malciozni program koristi sistemske greške na kompjuterima, a ove sistemske greške mogu odvesti do kolapsa sistema i gubljenja podataka.

Današnji maliciozni programi se uglavnom prenose preko Interneta korišæenjem sistemskih grešaka operativnih sistema i mogu se teoriski za nekoliko dana proširiti na milione kompjutera.

1.4.2. Sistemske greške – bubice (engl. Bug) Programi su se još od poèetka kompjuterskog doba susretali sa greškama. Te greške se popularno zovu “bubice” jer su se na prvim kompjuterima koristili releji sa mehanièkim kontaktima, i jedan od najranijih zabeleženih kvarova dogodio se upravo zbog toga što je moljac uleteo meðu njih. Odtada se izraz „bubica” , koristi da oznaèi bilo koji vid greške, (mehanièku, elektronsku ili softversku), koja može da se desi na kompjuteru. Zbog toga se vrši otklanjanje te vrste grešaka (engl. debugging) iz kompjuterskih programa.

U savremenim kompjuterima se ne koriste više mehanièki releji, ali se postupak otkrivanja i uklanjanja sistemskih grešaka i dalje naziva “debagovanje” . Taj postupak obuhvata niz razlièitih podruèja:

o traženje sintaksnih grešaka., o traženje slovnih grešaka., o traženje logièkih grešaka.,

1.4.3. Greške u programu za elektronsku poštu

Moguæe je da i novi program za elektronsku poštu ima greške u sebi, koje zli l judi mogu da iskoriste. (Hotmail, Outlook Express, i Eudora 5.02 su imali greške koje su omoguæavale kraðu lozinke i ponekad broj raèuna.) Stoga treba redovno poseæivati web stranicu proizvoðaèa programa za elektronsku poštu, radi najnovijeg ažuriranja.

1.4.4 Poznate sistemske greške Primeri problema koji su otklonjeni dodatnim programima (engl. patching):

o Javljaju se greške u prikazu grafike u start meniju i na drugim mestima (problem sa sistemskim fontom). ,

o Outlook Express: prijavljuje ilegalnu operaciju u više sluèajeva., o WinZip: problemi u radu u više sluèajeva., o Contekst meniji: uglavnom se ne prevode.,

Opšti:

o U nekim programima se javljaju grafièke fleke umesto teksta u dijalozima (Adobe Photoshop, Windows Help).,

o Ne funkcioniše prevoðenje start menija., o Dijalog sa lokalizacijom nije ni funkcionalan ni dovršen., o Problem akceleratora: preèice/podvlake u imenu stavke menija., o Ikone na radnoj površini i Control Panel-u se ne prevode., o Pri iskljuèivanju, Systray povremeno prijavljuje gresku.

1.5. Razvoj malicioznih programa Kada se govori o razvoju malicioznih programa, sve se uglavnom svodi na poreklo i razvoj virusa, buduæi da su prvi programi ove vrste spadali u ovu kategoriju. Tek daljim razvojem hardvera i poveæanjem moguænosti za kvalitetnije programiranje došlo se je na ideju o razvoju ostalih vrsta softvera koje bi imale specijalizovanu namenu. Tako na primer špijunski program neæe uništavati korisnièke podatke niti æe davati bilo kakve znake o svom postojanju na host1 kompjuteru. On æe pri prvom uspostavljanju veze na Internet obaviti svoj zadatak slanja podataka sa host kompjutera ka nekom odredištu, te nakon izvesnog vremena ponoviti isto.

Mnogi rani maliciozni programi su retko napravili više od nekoliko infekcija, te su na taj naèin sami od sebe odumrli. Razlog tom neuspehu je veoma slaba meðusobna povezanost kompjutera, pa stoga nisu imali kvalitetan medijum kojim bi se meðusobno širili.

Prvi pravi predak današnjih malicioznih programa je bio virus Prevading animal koji je bio sposoban da se dograðuje na druge programe na kompjuterskom sistemu UNIVAC 1108. Kompjuterski virusi su prva forma malicioznih programa koja se je pojavila 1981. godine. Termin kompjuterski virus je dao Fred Koen (Fred Cohen) dok je eksperimentisao sa DEC VAX kompjuterima u okviru nauèno-istraživaèkog rada 1983.

Fred Koen je demonstrirao program koji napada druge programe i kopira sam sebe bez znanja korisnika. Njegov profesor Lenard Adlman (Leonard Adleman) je, posle prouèavanja dejstva programa, prvi pomenuo ime “kompjuterski virus”. Tada je on klasifikovao viruse na laboratoriske i nekontrolisane (engl. In The Wild) viruse.

Virus Creeper je prvo otkriven na mreži ARPANET koja je prethodila današnjem Internetu, u ranim sedamdesetim godinama. Prenosio se je preko operativnog sistema TENEX i mogao je da se služi bilo kojim spojenim modemom da bi birao udaljene kompjutere radi zaraze. Prikazivao je poruku “I'M THE CREEPER : CATCH ME IF YOU CAN”.

Virus Elk Cloner je napisao 1982. godine Rièard Skenta (Richard Skenta) i napadao je operativni sistem Apple DOS 3.3. Širio se preko disketa. Izvorno, virus je bio šala koju je napravio jedan srednjoškolac i stavio u igricu. Disk je mogao da se koristi 49 puta, ali nakon pedesetog pokretanja igrice bio je pokrenut i virus. Umesto da se pojavi igrica, pojavio bi se prazan ekran i na njemu bi bila napisana pesmica o virusu koji se zove Elk Cloner. Pesmica je izgledala ovako:

„Elk Cloner: The program with a personality

It will get on all your disks

It will infiltrate your chips

Yes it`s Cloner!

It will stick to you like glue

It will modify RAM too

Send in the Cloner!

Potom bi kompjuter bio zaražen.

1 U radu sa kompjuterskim mrežama, kompjuter koji je povezan sa Internetom ili nekom drugom mrežom.

Meðutim, promene koje su nastale pojavom velikih kompjuterskih mreža, a posebno Interneta, dovele su do pojave novih vrsta malicioznih programa i brzine njihovog širenja. Na primer, do 1992. godine, broj boot sektor1 virusa i virusa za infekciju dokumenata bio je jednak. 1992. godine, broj virusa za infekciju dokumenata poèeo se smanjivati, a boot sektor virusa poveæavati. Taj trend je nastavljen do 1995. godine, kada veæina kompjutera prelazi na operativni sistem Windows, a posebno nakon prelaska na OS Windows 95, koji je mogao obavestiti korisnika o promenama u boot sektoru, što je poslužilo jednostavnom otkrivanju ove vrste virusa. Takoðe, pojavom paketa Office kompanije Microsoft, autorima virusa se je ukazao jedan zanimljiviji cilj za njihove kreacije.

Moguænost paketa Office da pomoæu više programa koristi iste informacije, dovela je do nastanka velikog broja novih malicioznih programa - makro virusa. Ovi virusi su jednostavni za pisanje u programu Visual Basic, te se lako šire meðu korisnicima ovih aplikacija: Word, Excel, PowerPoint i Access. Pored toga, makro2 virusi su prvi koji su bili u stanju funkcionisati na više platformi (npr. do tada, virus napisan za platformu Windows nije mogao funkcionisati na platformi Macintosh)

Za razliku od ranijih vremena kada su maliciozni programi zahtevali ljudsku interakciju da bi s e mogli širiti i kada su korisnici bili ti koji su im omoguæavali širenje, najèešæe iz neznanja i nesvesnosti njihovog prisustva, delenjem podataka, disketa i sl . meðusobno, danas automatizacijom mnogih procesa (makro naredbe u paketima Office), pomoæ èoveka u širenju virusa više nije potrebna. Danas, samim otvaranjem zaražene elektronske pošte, moguæe je pokrenuti virus, bez ikakvog znanja o njegovom prisustvu, a izuzetno popularni crvi dolaze preko Interneta na kompjuter korisnika bez ikakve korisnièke prisutnosti.

U novijoj istoriji, pojavljuje se sve više novih malicioznih programa koji se veæinom zasnivaju na grešakama u operativnim sistemima i raznim aplikacijama koje komuniciraju sa Internetom, a posebno P2P mrežama za delenje dokumenata. Naroèito je ugrožen OS Windows, a u manjoj meri ostali operativni sistemi koji se danas koriste. Maliciozne programe je za sada nemoguæe iskoreniti, jer æe uvek biti novih varijanti koje æe iskoristiti neke nove propuste. Èinjenica jeste da sa napretkom aplikacija nestaju stare sistemske greške, a postojeæi operativni sistemi i programi postaju tehnološki zastareli, pa se povlaèe iz upotrebe pa zbog toga maliciozni programi vremenom postaju nefunkcionalni.

1.6. Vrste malicioznih programa Zlonamerno napisani raèunarski programi ili delovi programskog koda nazivaju se raznim imenima. Navešæemo samo neka od njih. (D.Soleša, 2001)

o virusi, o crvi (engl.worms), o trojanski konji, o špijunski program (engl. spyware), o reklamni softver (engl. adware), o wabbiti, o pozadinski (engl.backdoor) programi, o exploiti, o korenski alati (engl. rootkit),

1 Sektor sa podacima za podizanje sistema koji se još naziva particiski sektor ili nulti sektor tvrdog diska.

2 Termin koji se koristi za skup instrukcija predstavljenih u obliku koda nekog skript jezika.

o virusi, o crvi (engl.worms), o trojanski konji, o špijunski program (engl. spyware), o reklamni softver (engl. adware), o wabbiti, o pozadinski (engl.backdoor) programi, o exploiti, o korenski alati (engl. rootkit),

Osobine razlièitih vrsta malicioznih programa se u velikom broju sluèajeva kod virusa kombinuju, tako da je ponekad veoma teško odrediti kojoj vrsti malicioznog programa pripada neki virus.

1.7. Izvori malicioznih programa 1.7.1. Ulazak malicioznih programa u kompjuterski sistem Maliciozni programi mogu dospeti u operativni sistem na nekoliko naèina:

o Kopiranjem zaraženog programa sa mobilnog medijuma, preko LAN mreže ili preuzimanjem sa Interneta putem protokola za prenos datoteka (File Transfer Protocol FTP), HTTP, nekog od P2P protokola, i slièno.

o Putem dodatka u elektronskoj pošti., o Putem malicioznih ActiveX1, Java i Java script programa. Iskorištavanjem sigurnosnih

propusta u sistemu (koristeæi exploite), a to je put kojim se šire crvi. Serverski program na napadnutom sistemu predstavlja prolaz.

o Preko multimedijumumskih dokumenata koji u sebi sadrže takav niz podataka, da iskorištavaju propuste u klijentskim programima sistema. Takav sluèaj je i jedna verzija biblioteke gdiplus.dll, dela operativnog sistema Windows XP u jednoj od ranijih verzija.

Crvi, maliciozni ActiveX, Java i Javascript programi se uglavnom automatski izvršavaju posle uspešnog ulaska u sistem, što nije sluèaj sa virusima i trojanskim konjima koje korisnik treba sam da pokrene, posle èega oni koriste jedan od naèina za automatsko pokretanje pri pokretanju sistema.

Prilikom poseæivanja Interneta treba biti posebno obazriv sa odreðenim tipovima web stranica, a najopasnije su stranice koje sadrže “crack” programe, jer se je pokazalo da u relativno velikom broju sluèajeva programi za “krekovanje” drugih programa u sebi sadrže i maliciozni kod, ponekad iskljuèivo maliciozni kod. Treba dozvoliti izvršavanje ActiveX i Java programa samo za one stranice za koje smo sigurni da su ozbiljne.

Novogodišnje èestitke u vidu slika, video zapisa, malih programa koji su dodatak elektronskoj pošti preplavile su mnoge kompjutere u svetu. Naravno to je bila izvrsna prilika da se potkrade po neki virus koji æe kasnije nanositi brige šireæi se po sistemu i uništavajuæi sve što mu je kao cilj akcije isprogramirao njegov autor.

1 Komponentno objektni model razvijen za Windows platforme od strane Microsofta. Služi za stvaranje

softverskih komponenti koje obavljaju neke funkcije ili skupove funkcija.

Dolaskom na svet virusa Melissa, koji je svojim širenjem putem elektronske pošte naneo milionske štete preduzeæima u celom svetu, potvrdio je ono èega su se mnogi bojali: elektronska pošta je postala danas najznaèajniji medijum za širenje kompjuterskih virusa.

1.7.2. Maliciozni programi za stvaranje profita

U toku 80-ih i 90-ih godina, smatralo se je da su maliciozni programi bili delo vandala ili šaljivdžija, premda su neki bili i delo onih koji su na taj naèin hteli da obeshrabre one koji su posezali za nelegalnim verzijama softvera. U novije vreme razvijen je veliki broj malicioznih programa sa ciljem ostvarenja finansiskog profita. Oni koji su kreirali ovakve programe imali su na umu da na neki naèin unovèe njihovu kontrolu nad zaraženim sistemima.

Negde od 2003. godine, najskuplja vrsta malicioznog programa su bili špijunski programi i na njihov razvoj je potrošeno najviše vremena i novca.

Sledeæi naèin sticanja profita korištenjem malicioznih programa jeste direktno korištenje zaraženih kompjutera koji æe da rade za autora malicioznog programa.

U nameri da koordinišu aktivnosti velikog broja inficiranih kompjutera, tvorci malicioznog programa koriste koordinatne sisteme (engl. botnets). U ovom koordinatnom sistemu se maliciozni softver smešta na neki Internet kanal za razgovor ili neki drugi sistem. U ovom sluèaju tvorac malicioznog programa je u stanju da simultano upravlja zaraženim sistemima. Ovaj koordinatni sistem se takoðe može koristiti da infiltrira unapreðen maliciozni program u inficirani sistem i održi ga otpornim na anti-virusni softver ili druge bezbednosne mere.

Moguæe je da tvorac malicioznog programa ostvari profit kraðom od osobe èiji kompjuter je zaražen. Neki maliciozni programi instaliraju pratioce (engl. key logger) koji kopiraju korisnièko upisivanje lozinke preko tastature , upisivanje broja kreditne kartice ili druge informacije koja bi mogla biti korisna autoru ovog programa. Ovaj podatak se automatski prenosi ka autoru pružajuæi mu kljuèeve za kraðu. Na slièan naèin maliciozni program može kopirati CD kljuè ili lozinku za igrice online omoguæujuæi tako svom tvorcu da krade brojeve raèuna ili same igrice.

VIRUSI, TROJANSKI KONJI, CRVI

2. VIRUSI

2.1. Pojam virus Kompjuterski virus je program koji se može samostalno umnožavati, pri èemu može izvoditi i sporedne radnje. Takve radnje mogu biti štetne ali i ne moraju. Virus se umnožava pri izvoðenju zaraženog programa, a širi se prenošenjem tog istog zaraženog programa na druge kompjuterske sisteme.On može biti deo programskog koda koji je sposoban da samokopiranjem dodaje svoje sadržaje u druge programe ili delove operativnog sistema. (D.Soleša, 2001)

Virusi su samokopirajuæi programi koji ubacuju svoj izvršni kod u izvršne dokumente na zaraženom kompjuteru ili preko mreže (Kaspersky,2007). Samokopiranje je srž shvatanja virusa iako ima nekih koji se svrstavaju u ovu kategoriju a da se ne replikuju. Mogu da inficiraju èak i dokumente i to su makro1 virusi , a infekcije boot sektora tvrdih diskova ili disketa su nešto reðe u poslednje vreme. Zbog naèina množenja koji je slièan biološkim virusima, oni su tako i nazvani, a analogno tome, kompjuter sa virusom se èesto naziva inficirani kompjuter.

Virusi mogu iskljuèivo da nanesu štetu softveru, ali ne i hardveru. Zanimljivo je da postoje virusi (npr. CIH) koji napadaju odreðene vrste BIOS-a, brišuæi sve podatke iz njega, i ostavljajuæi kompjuter neupotrebljivim sve dok se u BIOS (Basic Input Output System) èip ponovo ne upiše njegov program. Meðutim, moguænost da virusi oštete hardver ne treba u potpunosti odbaciti jer postoje ideje na koji bi se naèin to moglo postiæi. Na primer, virus koji bi mogao da promeni rezoluciju slike na monitoru više puta u sekundi bi najverovanije posle nekog relativno kratkog vremena izazvao kvar na njemu. Moguænost ošteæenja hardvera uz pomoæ malicioznog programa u mnogome zavisi od same konstrukcije hardvera i od toga da li on ima grešaka u konstrukciji.

1 Termin koji se odnosi na predstavljeni skup instrukcija u odreðenom formatu (makroinstrukcije).

S l.2 – Nak on dese tog pokretan ja preuzetog prog rama korisnik dobija poruku da je za ražen v irusom zva nim AIDS

Virusi mogu biti tempirani (Slika 2), a šteta koju prouzrokuju može biti tempirana na vremenskoj i li logièkoj bazi. Na primer, virus se aktivira na odreðeni datum ili posle nekog perioda, ili je potrebno da korisnik uèini nešto nevezano za sam virus da bi on to „osetio” i aktivirao se. Termini koji se koriste za ovakve viruse su vremenska bomba (engl. time-bomb) ili logièka bomba (engl. logic-bomb). Originalni virusi mogu da mofifikuju kopije i li kopije mogu da se same modifikuju, kako se to obièno dešava kod metamorfnih virusa. Virus je u stanju da se proširi sa jednog kompjutera na drugi tek kada se njegov host prenese sa zaraženog na nezaraženi kompjuter, na primer slanjem virusa preko Interneta ili lokalne mreže ili prenošenjem na nekom vanjskom medijumu kao što je disketa, CD, DVD ili USB stik. Pored ovoga, virusi mogu da se šire preko mrežnih sistema datoteka ili sistema datoteka kome se pristupa preko drugog kompjutera. Virus se može nalaziti u bilo kom delu programa ili zaraziti bilo koji program, boot sektor, dokument koji podržava makro naredbe, tako što menja sadržaj te datoteke i u nju kopira svoj kod.

Mnogi personalni kompjuteri su danas spojeni na Internet ili na lokalne mreže èime je veoma olakšano širenje malicioznog koda. Današnji virusi se mogu služiti prednostima mrežnih servisa kao što je WWW elektronska pošta ili sistemi sa delenje podataka èime se linija izmeðu malicioznih programa prilièno zamagljuje. Neki izvori koriste i alternativnu terminologiju gde se podrazumeva da je virus bilo koji oblik malicioznog programa koji je u stanju da se samostalno kopira.

Neki virusi su programirani da oštete kompjuter svojim destruktivnim kodom, brišuæi

dokumente ili formatiranjem tvrdog diska. Neki drugi, za razliku od prethodnih, nisu pravljeni

da bi stvarali štetu nego sa ciljem da se samostalno kopiraju radi obelodanjivanja njihovog

prisustva prilikom prezentovanja nekog teksta, videa, u audio porukama i sl. Èak i ovako benigni

mogu zadavati probleme korisniku kompjutera. Karakteristièno za njih je zauzimanje kompjuterske memorije koja se koristi izvršavanjem legitimnih programa. Kao rezultat, stvaraju neželjena ponašanja i mogu dovesti do kolapsa sistema.

Ponekad virus zahteva interakciju èoveka da bi mu se omoguæilo samokopiranje i to u vidu pokretanja programa koji sadrži virus ili otvaranja neke zaražene datoteke.

2.2. Struktura virusa Kompjuterski virus se uglavnom sastoji iz dva dela:

o SAMOKODIRAJUÆI DEO - omoguæava razmnožavanje o TERET (engl.PLAYLOAD) - neobavezan

· BENIGAN-bezopasan i uglavnom je beskorisna informacija

· MALIGAN-destruktivan,opasan Neki virusi se sastoje samo od samokopirajuæeg koda.

2.3. Podela virusa

Viruse delimo na:

Virusi poèetnog sektora: Ovi virusi napadaju i menjaju sadržaj poèetnog sektora. Izvorni sadržaj premeštaju na neki drugi deo tvrdog diska, a svoju verziju ugraðuju, pa se tako ona prva pokreæe prilikom podizanja sistema. Infekcija nastaje kada se u disk jedinicu pokrenutog kompjutera postavi zaražena DOS Boot disketa. Napadaju Master Boot Sektor, DOS Boot Sektor ili Boot Sektor Disketa Parazitski virusi (engl. Parasitic virus ili Cavity virus): Svoje ime su dobili po naèinu infekcije , oni se sjedinjuju sa nekim dokumentom i izvršavaju se u okviru njega. Mogu se instalirati u bilo kom delu dokumenta , pa se zbog toga nazivaju i šupljine (engl.cavity) , traže prazne delove koda i upisuju svoj kod. Neki od ovih virusa kompresuju svoj kod tako da ne menjaju velièinu dokumenta, èime se teže pronalaze. Primer ovakvog virusa je Lehigh ili CIH virus. Svestrani virusi: Ovi virusi su izuzetno efikasni u razmnožavanju. Napadaju destruktivno Boot Sektor i EXE i COM programe. Primeri ovih virusa su: Spanish, Telecom, Tequila, Flip, Liberty, V-1... Virusi pratioci: Ovo su najjednostavniji virusi koji koriste prednosti kojima se izvršavaju programi na istim operativnim sistemima. Nisu jako opasni jer ne menjaju sadržaj napadnutog programa. Primeri ovih virusa su: 16850, Clonewar, Even Beeper, Globe, Breeder . . . Virusi u izvršnim dokumentima (engl. exe): Ovi virusi se instaliraju u izvršne (.EXE) dokumente, kao i .COM dokumente (command file). Do danas, ipak, tipovi dokumenata koji se završavaju sa ovim nastavcima: .jpg/.jpeg, .mp3, .avi , .txt; su još imuni na zaraze. Kada s e aktivira .exe dokument, aktivira se i virus. Virus može imati i “okidaè”, neki dogaðaj koji daje instrukcije da se virus pokrene. Manje oèigledni povodi èine otkrivanje virusa težim. Neki korisnici automatski uništavaju bilo koji dokument sa .exe ekstenzijom što jeste preporuka.

Linkovani virusi (engl. Link ili Cluster): Ovi virusi menjaju direktorijume, tako da kada se

pokrene neki program, prvo se pokrene virus. Ovi virusi inficiraju dokumente ne menjajuæi kod, veæ menjajuæi DOS direktorijum informacije, tako da one pokazuju na virus a ne na program.Ovo je uraðeno stavljanjem linkova u dokumente. Najpoznatiji link virusi su virusi iz porodice DIR-II. Kodirani virusi: Ovaj virus se kodira, tj. menja izvorne podatke radi prikrivanja pravog sadržaja. Nije u moguænosti da menja deo koda koji vrši dekodiranje. Polimorfni virusi: Ovaj virus mutira izvršni kod i istovremeno menja svoj izgled. Tehnièki je usavršen jer prilikom svake naredne infekcije nastoji izmeniti i deo virusa koji vrši kodiranje. Primeri ovih virusa su: 1260, Dark Avanger, Mutation Engine, DAME…. Nevidljivi virusi : Kod ovih virusa se primenejuje kompleksna tehnologija. Sistem zaražen ovim virusom ne pokazuje ništa neobièno. Mutirani virusi: Ovi virusi nastaju unapreðivanjem, tj. izmenom i dopunom na virusnom kodu. Primer ovog virusa je: Od virusa New Zeland nastao je virus Michelangello. Rezidentni virusi: Ovi virusi se instaliraju u radnu memoriju i ostaju aktivni dugo nakon što program bude izvršen. Izuzetno su infektivni i sposobni da koriste sve virusne tehnike. Rezidentni virus sadrži modul za umnožavanje koji je slièan onom koga ima nerezidentni virus, ali ovaj modul se ne poziva preko tragaèa za modulima. Umesto toga, kada se on izvrši, virus smešta modul za umnožavanje u memoriju kako bi bio siguran da æe se ovaj modul aktivirati svaki put kada operativni sistem bude pozvan da izvrši nekakvu operaciju. Na ovaj naèin virus inficira svaki program koji se pokrene na kompjuteru. Rezidentni virusi se ponekad dele na brze i spore infektore. Brzi su dizajnirani tako da u što kraæem vremenu ificiraju što više dokumenata. Nerezidentni virusi: Ovi virusi nalaze pogodan objekt za infekciju i zaraze ga. Ne ostaju aktivni u memoriji kada njihov zadatak bude izvršen. Manje su infektivni . Nerezidentni virusi se mogu posmatrati kao tragaèi za modulima i multiplikatori modula. Tragaè za modulima je odgovoran za nalaženje novih dokumenata radi infekcije. Za svaki novi izvršni dokument koji tragaè za modulom pronaðe, on poziva modul za umnožavanje da bi ga inficirao. Dokument virusi (engl. OverWriting): To su najjednostavniji virusi èija je uloga da pronaðu odreðene vrste dokumenata (ekstenzije .exe,.com..) i da prepišu deo koda programa. Kada s e takav program pokrene, pokrene se i virus, i tako se zarazi još dokumenata. Ovakvi virusi èesto ne funkcionišu zbog razlike u lokacijama funkcija na raznim mašinama i operativnim sistemima , pa tako èesto dolazi samo do uništavanja programa . Postoji i takva vrsta koja prepiše svoj kod u neki program i kada se izvrši vraæa sve u normalno stanje. Klonirani virusi (engl. companion): Ovi virusi stvaraju klonove dokumenata , tako da kada se pokrene neki dokument, pokrene se klon, tj. virus. Èesto, ovi virusi funkcionišu na sledeæi naèin: postoji neki program .exe , virus napravi klon program .com i kada se na konzoli napiše program izvršava se program .com (virus), zato što .com ima veæi prioritet nego .exe . Dokumentni crvi: To su modifikovani Companion virusi. Razlika je u tome što se umnožavaju u mnogo veæem broju i imaju moguænosti razmnožavanja kroz mrežu. Virusi za izvorne kodove (engl. source code): Ovi virusi napadaju izvorne kodove programa . Dodaju neki kod trojanskog konja u veæ postojeæi. Postoji mnogo vrsta ovih virusa jer postoji mnogo vrsta programskih jezika i kompajlera. Najpoznatiji virus je DIE HARD .

Maskirani virusi (engl. camouflage): Prikriva specifièni deo koda po kome se virusi prepoznaju. Virusi sa DOS komandom (engl. batch file): Ovo su jednostavni virusi koji koriste DOS komande napisane u .bat dokumentu. Naprimer, možemo napisati jednostavan virus tako što æemo napisati u dokumentu autoizvršnu .bat komandu koja æe obrisati sve podatke iz direktorijuma ili formatirati disk, i li uèiniti bilo šta drugo. Ciljni virusi (engl. sparce): Ovakva vrsta virusa koristiti mnogo tehnika za svoje sakrivanje , naprimer može zaraziti svaki 10. dokument, napadati samo dokumente koji poèinju s a odreðenim slovom , i li napadati dokumente odreðene velièine. Boot sektor virusi: Ovi virusi kopiraju sebe u boot sectore disketa ili u MBR (master boot record1) tvrdog diska.Veæinom su pisani u asembleru2. Boot sektor virusi kao Brain (1986, Pakistan) vode poreklo još iz vremena kada se veæina programa nalazila na disketama. Kada korisnik otvori disketu, boot sektor se èita prvi. Inficiran boot sektor automatski stavlja virus u RAM memoriju. Svako sledeæe pisanje ili èitanje disketa inficira tu disketu. Sve što treba uraditi je biti siguran da disketa nije inficirana i zaštititi disketu onemoguæavanjem pisanja na nju. Ako virus ne može da se upiše, disketa neæe biti inficirana. Boot sektor virusi su bili zastupljeni u iznosu od 68% od svih virusa koji su bili nekontrolisani. Do 1999, taj procenat je pao na 38% i nastavlja se i dalje zahvaljujuæi elktronskoj pošti i virusima koji se prenose na taj naèin. Parity Boot virus: Ovaj virus ispisuje grešku “Parity Check” i zamrzava OS. Ova greška stvarno postoji i javlja se kada doðe do kvara u memoriji. Višefrontni virus (Boot & File virus ili Multi Partite) virus: Ovi virusi napadaju i boot sectore i datoteke . Najpoznatiji su : Tequila, Empire, 4096, Michelangelo … Virusi sistemskih sektora: Sistemski sektori (engl. Master Boot Record) su najèešæe mete virusa. Ovi virusi koriste sve moguæe tehnike da bi inficirali i sakrili svoj kod. Sistemski sektori su dostupni svim programima, ali su od vitalnog znaèaja za sistem.Ovakvi virusi mogu da sakrivaju svoj kod tako što predstavljaju svoj kod kao “Bad Sector” ili mogu da kopiraju predhodni sadržaj nekog koda i da ga zamene sa svojim, a kada neko zatraži podatke sa tog mesta, on, virus, šalje kopiju i tako krije svoj kod. Makro virusi: Obièni dokumenti nemogu biti virusi , ali uz pomoæ skript jezika mogu veoma lako postati. Takvi su makro virusi. U obiènom Word dokumentu možemo napisati virus koji æe se izvršiti kada pokušamo da ga otvorimo. Postoje više vrsta skript jezika, najpoznatiji su: Visual basic skript3, Java skript, … Macro-virus je napravljen da iskorištava sigurnosne slabosti u makro aplikacijama, kao što su

Microsoft Word ili Excel, sa nastavcima .doc i .xsl . Virus inficira makro ili template i najèešæe se

širi elktronskom poštom. Jedan od prvih je bio W97.Melissa.A, koji deluje ovako; Korisnik primi

neki dokument koji sadrži makro virus. Kada se dokument otvori Melissa onesposobi alate

macro u Word97 tako da korisnik ne može videti Melissa makro u listi i onesposobi sigurnosni

makro u Word 2000. Virus potom izabere 50 adresa iz adaresara i šalje se dalje putem

elektronske pote tim osobama. Tema poruke je: Important Message From VASE_IME.

1 Boot sektor, prvi po redu, od 512 bajtova (“Sektor 0”) na jednoj particiji tvrdog diska 2 Tekst editor za pisanje programskog koda

3 Skript jezik kog je razvila kompanija Microsoft za svoje aplikacije kao što je Word, Excell, Access, Power Point.

Nakon otvaranja dotiènog zaraženog dokumenta sve kreæe iz poèetka sa novih 50 poruka. Upotrebljava moguænost makro programskih jezika koji su ugraðeni u moderne programe za obradu podataka - Word, Excel,Access... Primeri makro virusa su: Word Macro, ConceptWordMacro, DVM WordMacroNuclear

Sl.3 – Kartica za podešavanje opcije za zaštitu od makro funkcija

Treba smatrati pretnjom svaki Word ili Excel dokument koji dolazi elektronskom poštom. Mnogi korisnici zahtevaju da im se šalju samo dokumenti bez makro funkcija (Slika 3) u formatu, kao RTF (engl. Rich Text Format). Mrežni virusi : Ovi virusi su sposobni da koriste sve vrste mrežnih protokola da bi izvršili svoj zadatak, tj. mogu da se kopiraju sa servera na neki udaljeni kompjuter i obratno, ili da se uèitavaju po potrebi sa nekog kompjutera na neki udaljeni kompjuter preko mreže. Karakteristike su sledeæe:

o Pronalaženje svih adresa (ip,irc,isq,e-mail,…) i kopiranje na te adrese., o Kreiranje velikog broja temp dokumenata na sistemskom disku., o Zauzimanje što više memorije.

Virusi za mobilne telefone: Zamislite da se nalazite na jednom veoma važnom poslovnom sastanku, i hoæete u pauzi da pošaljete poruku svom poslovnom partneru, da ga obavestite i savetujete se sa njim u vezi važne poslovne ponude. Primetite da neko pokušava da Vam pošalje dokument. Zbog uzbuðenja niste ni stigli da razmislite i veæ ste potvrdili prijem. Najednom telefon poèinje “èudno” da se ponaša. U zadnje vreme su mnogi korisnici mobilnih telefona posetili servisere upravo iz ovog razloga.

Kakvi su u ovi virusi i kada su se pojavili? Oni su nova vrsta virusa pisanih za mobilne telefone novije generacije koji koriste operativne sisteme (tipa Symbian ) tzv. “pametni” telefoni. Prvi virus ove vrste se je pojavio u Junu 2004. godine i napravila ga je grupa poznata pod nazivom 29A. Nakon njega su se pojavili i sledeæi:

o Virus.WinCe.Duts; o Backdoor.WinCe.Brador; o Trojan.SymbOS.Mosquit; o Trojan.SymbOS.Skuller…

Svi oni se prenose preko bluetooth1 veze kao i preuzimanjem nekih aplikacija, igrica ili drugih programa putem GPRS2. Još jedan aspekt koji se mora sagledati jeste i sve prisutnija integracija svih tehnièkih ureðaja koje posedujemo. U trenutku kada sve naše mobilne telefone povezujemo u jednu mrežu, pojavljuje se pitanje opasnosti jednog takvog procesa. Najnoviji sluèajevi povezivanja mobilnih telefona i kompjutera otkrili su jednu opasnost. Uz prebacivanje podataka sa jednog ureðaja na drugi, može se dogoditi da se prenese i neki softver bez našeg znanja.

Trenutno, šteta koja se nanosi mobilnim telefonima nije velika, ali treba znati da je sve ovo još uvek u poèetnoj fazi i da treba oèekivati sve raznovrsnije i suptilnije viruse za mobilne telefone koji ne samo što æe hteti da nam promene ikonice iz menija veæ æe hteti i da nam “prekontrolišu” imenik, a možda i da sami pošalju neku MMS poruku èak i da pozovu nekog od vaših prijatelja.

Trenutno, savet je: nemojte primati neke nepoznate dokumente koji vam stižu od nepoznatog pošiljaoca.

2.4. Najpoznatiji virusi:

2.4.1. Spisak virusa WORD.CONCEPT: Prvi makro virus. Inficirao je Word dokumente, ali nije pravio nikakvu ozbiljnu štetu. Ipak, širio se je kao šumski požar. Godine 1996. bio je najprisutniji virus na svetu, a i danas se još uvek nalazi.

MELISSA: Jedan od prvih virusa koji se koristi danas tako što se sam šalje svakom iz adresara kompjutera. Melissa je prouzrokovala štetu od oko 385 miliona USD.

MICHELANGELO: Prvi virus koji je napao veliki broj kompjutera, bio je i prvi primer mita koji se stvara o virusima. Prièe iz medija uspele su preplašiti sve, ali kada je došao , bio je bezopasniji od oèekivanog.

BUBBLEBOY: Oko ovog virusa se stvorilo više panike nego što je bilo potrebno, ali je jedan od najpoznatijih virusa do danas. Prije njega se nije mogao dobiti virus jednostavno èitajuæi elektronsku poštu. Bubbleboy je to sve promenio.

LOVE BUG: Poznatiji kao ½I LOVE YOU½ virus (Slika 4), iskoristio je ljudsku znatiželju da bi se širio, i u tome uspeo. Zarazio je 45 miliona kompjutera u jednom danu i napravio štetu od 8,75 milijardi USD.

1 Bežièni protokol za prenos podataka na manjim udaljenostima sa f iksnih ili mobilnih ureðaja. 2 Druga generacija mobilne telefonije . Paketno orjentisan servis za prenos podataka u komunikacionim

sistemima. Ovaj sistem je deo globalnog sistema za mobilne komunikacije (GSM).

Sl.4 – Pojava virusa “I Love You” u programu za elektronsku poštu Outlook Expres

CODE RED: Koristeæi staru grešku u sigurnosnom sistemu kompjutera, njegova funkcija je bila pretvoriti kompjutere u zombije1 koji odbijaju naredbe. U samo devet sati uspio je zaraziti 250 000 kompjutera, a šteta koju je prouzrokovao procenjena je na 2,62 milijarde USD

CIH – CIH: Ovaj virus se je proširio sa Tajvana 1998. godine. Bilo je to doba OS Windows 98 i još starijih OS Windows 95, èije je izvršne datoteke napadao. Virus je imao sposobnost zadržavanja u memoriji kompjutera. To je bilo mesto odakle je napadao druge izvršne datoteke. Odmah nakon zaraze CIH bi izvršio svoj maliciozni zadatak, a to je bilo brisanje i prepisivanje podataka na tvrdom disku.

Virus je poznat po tome što se je èak uspeo ubaciti u izvršnu datoteku demo verzije tada popularne igre Sin, pa se i tako širio. Poznat je i pod imenom Èernobil2 zbog podudarnosti datuma aktivacije nekih verzija sa datumom poznate nuklearne katastrofe. Danas, CIH nije ozbiljna pretnja zbog nekompatibilnosti sa novijim operativnim sistemima Windows 2000,Windows XP, Windows Vista, ali i spremnosti antivirusnih softvera.

MELISA: Melissa je zarazila 15 do 20 % svih poslovnih kompjutera na svetu. Virus Melissa se je širio tako brzo da su neke od najveæih firmi koje su koristile program za elektronsku poštu Outlook Express kao klijent kompjuter bile prisiljene ugasiti sisteme za razmenu elektronske pošte. Virus je koristio Outlook Express da sam sebe pošalje na 50 adresa koja je našao u imeniku spomenutog programa. Poruke su sadržavale reèenicu “Here is that document you asked for… don't show anyone else.” ; (Ovo je dokument koji ste tražili . . . . Nemojte to pokazivati nikome drugom.). Èini se da je kraj te reèenice bio previše za znatiželju korisnika, koji su masovno otvarali priloženi dokument. SOBIG.F: Najopasnija verzija ovog virusa je Sobig.F, koji se proširio sa više od milion kopija u prva 24 sata zaraze. Virus se je širio elektronskom poštom i slao je sam sebe sa inficiranih kompjutera. Zbog brzog širenja izazvao je veoma zaguseni mrežni saobraæaj na Internetu. Microsoft je raspisao nagradu od 250.000 dolara za hvatanje pisca virusa, ali on do današnjeg dana nije poznat.

BEAGLE – BEAGLE: Ovaj virus se širi na klasièan naèin, preko elektronske pošte, pri èemu

nakon zaraze nekog kompjutera pretražuje na njemu nove adrese na koje æe se poslati . Prava

1 U Afrièko-karipskom kultu Vudua, pedstavlja biæe èiju je dušu preuzela druga osoba putem neke zle magije i odgovarajuæim obredom te tako vlada u potpunosti njenim telom. 2 Grad u Ukrajini, poznat po katastrofi u nuklearnoj elektrani 26.aprila 1986.godine.

opasnost ovog virusa i njegovih skoro 100 varijanti je otvaranje TCP porta1, koji se može koristiti za neovlašten ulaz u kompjuter. Prijavljeno je korištenje ovog virusa od strane proizvoðaèa raznih reklamnih softvera. MyDOOM: MyDoom je zabeležen kao virus koji se je najbrže širio po kompjuterima korisnika. Metoda širenja je preko elektronske pošte, ali se je MyDoom vešto maskirao kao poruka koju korisnik dobija kada njegova elektronska pošta ne bude dostavljena. U takvim sluèajevima je originalna poruka ukljuèena kao dodatak, koji je u ovom sluèaju bio virus. Osim elektronskom poštom, MyDoom se je pokušao proširiti i pomoæu tada popularnog p2p servisa Kazaa. Zaraza je bila tako uspešna da se procenjuje da je jedna od 10 poslatih elektronskih poruka, prosleðenih u poèetku širenja zaraze, sadržavala virus. SASSER: Sasser je još jedan virus koji se je za svoje širenje oslonio na sigurnosni propust u operativnim sistemima Windows 2000 i Windows XP. Zaraženi kompjuteri su radili veoma nestabilno. Virus je bio toliko uspešan u širenju i onesposobljavanju funkcionisanja kompjutera da je uspeo prekinuti satelitske komunikacije francuskih novinskih agencija i otkazati brojne letove firme Delta Airlines2.

2.4.2. Win32/Simile noviji produkt u razvoju metamorfoznog virusnog koda Naziv: W32.Etap, Metaphor. Tip: prenosivi izvršni infektor, kompletan metamorfni virus. Uklanjanje: Otkrivanje i brisanje inficiranih datoteka i njihova zamena sa èistih rezervnih kopija. Ponašanje: Prikazuje poruke na neke datume. Nenameravano ponašanje: Odbacije u otpad neke prenosive izvršne dokumente.

Win32/Simile noviji produkt u razvoju metamorfnog virusnog koda. Virus je pušten u mrežu u martu 2002.godine. Pisac ovog koda, osoba koja sebe naziva Mental Driller. Neki od njegovih prethodnih virusa kao Win95/Drill (koji je koristio Tuareg polimorfnu mašinu) je pružio svojevrstan izazov u njegovom otkrivanju. Ovaj Win32/Simile je otišao èak i korak dalje u svojoj kompleksnosti . Izvorni kod virusa je oko 14000 linija koda. Mašina za metamorfozu sama zauzima oko 90% koda virusa koji je izuzetno moæan. Autor je nazvao ovaj virus MetaPHOR, što treba da znaèi Metamorfozni permutirajuæi široko obuhvatni reasembler (engl. Metaphoric Permutating High-Obfuscating Reassembler). Kod virusa u prvoj generaciji je otprilike 32KB, i postoje tri poznate varijante ovog virusa u opticaju.

2.4.2.1. Naèin razmnožavanja Simile sadrži mehanizam za baziènu, direktnu replikaciju koji napada PE dokumente na lokalnoj mašini ili mreži. Naglasak je na mašini za metamorfozu koja je neuobièajeno kompleksna.

2.4.2.2. EPO mehanizam

Virus traži i menja sve moguæe mustre pojedinih instrukcija (onih koje se odnose na izlazne

procese)da bi ukazao na poèetak svog koda. Tako, taèka ulaza na dokumentu nije izmenjena.

Ponekad metamorfno telo virusa se postavlja zajedno sa polimorfnim dekriptorom na istoj

lokaciji unutar samog dokumenta. U drugim sluèajevima, polimorfni dekriptor se postavlja na

1 U protokolima TCP i UDP koji se koriste u kompjuterskim mrežama port je poseban broj koji je predstavljen u naslovu paketa podataka. 2 Avio kompanija iz SAD sa sedištem u Atlanti, Džordžija.

kraju sekcije koda, dok se telo virusa smešta u drugu sekciju. Ovo se radi da bi se konfuzija u vezi lokacije tela virusa podigla na veæi nivo.

2.4.2.3. Polimorfni dekriptor U toku izvršavanja zaraženog programa, kada dotok instrukcija dosegne kuke koje je virus postavio u sekciju koda, kontrola se prebacuje na polimorfni dekriptor koji je odgovoran za dekodiranje tela virusa (ili za njegovo direktno kopiranje, pošto telo virusa nije uvek namerno kodirano). Ovaj dekriptor, èija lokacija u dokumentu je promenjiva, premešta velike delove memorije (oko 3.5 MB), a potom nastavlja dešifrovanje šifrovanog tela u dokumentu.

On to radi na veoma neobièan naèin: umesto da ide kroz šifrovane podatke linearno, on to radi nasumièno, te na ovaj naèin postiže da ne pokrene neke od heuristièkih metoda prepoznavanja delovanja virusa od strane AV skenera. Ovo “pseudo-random indeksno dešifrovanje”, kako pisci virusa to zovu, odnosi se na porodicu funkcija, modula 2^n. Velièina i izgled dekriptora se mnogo razlikuje od jednog do drugog primerka virusa. Da bi se dobio visok nivo razlièitosti, pisac virusa jednostavno generiše mustru koda i potom postavlja metamorfnu mašinu u rad da bi menjala mustru u radni dekriptor.

U nekim sluèajevima dekriptor može zapoèeti sa naslovom èija namera nije odmah oèigledna kada se proèita. Dalje prouèavanje otkriva da je namera da se generiše kod koji æe spreèiti nadmudrivanje sa AV skenerom. Ovde virus konstruiše mali oligomorfni kodni iseèak koji sadrži instrukciju Read Time Stamp Counter (RDTSC). Ovo popravlja trenutnu vrednost brojaèa. Potom na osnovu sluèajnog bita te vrednosti, dekriptor ili dekodira ili izvršava telo virusa ili premošæava logiku dekodiranja i jednostavno izlazi.

Pored zbunjivanja nadmudrivaèa koji nebi prihvatili neobiène RDTSC instrukcije (jedna od omiljenih kod Mental Drillera koju je prethodno koristio u Win95/Drill), ovo je takoðe moæan napad na sve algoritme koji se oslanjaju na proces nadmudrivanja bilo da dešifruju telo virusa bilo da heuristièki utvrde ponašanje virusa. Kao produkt, javlja se da neki primerci virusa kompletno prestanu infekciju u nekom vremenu. Pri inicijalnom izvršavanju, telo virusa æe ponovo uspostaviti adrese od 20 API-ja što je potrebno za razmnožavanje. Potom æe virus prekontrolisati sistemsko vreme da utvrdi da li bi se trebao aktivirati. Sve ovo zahteva da host uveze funkcije iz datoteke User32.dll. U ovom sluèaju virus proverava da li bi trebao da s e pridržava uobièajenih procedura.

2.4.2.4. Metamorfoza Kada virus izvrši proveru po pitanju aktiviranja, generiše se novo telo virusa. Ovo generisanje koda se sastoji u odreðenom broju koraka:

o Rastavlja se kod virusa u neku poluformu koja je nezavisna od CPU1 gde se normalni kod izvršava. Ovo dozvoljava buduæa proširivanja, kao što je proizvodnja koda za razlièite operativne sisteme ili razlièite procesore.

o Skupljanje ove poluforme skidanjem instrukcija koje se ponavljaju ili nisu iskorištene. o Ove instrukcije se dodaju ranijim replikama kako bi posredovale pri reasembliranju od

strane virusnih pretraživaèa. o Permutiranje poluforme razdvajanjem blokova koda i povezivanjem sa skokovitim

naredbama. o Širenje koda dodavanjem instrukcija koje se ponavljaju i neiskorištenim funkcijama.

1 Procesor kompjutera, jedan od najvažnijih delova, smešten na matiènoj ploèi, koja prima i izvršava

odgovarajuæe instrukcije iz memorije kompjutera.

o Rastavljanje poluforme u konaènu prirodnu formu koja æe biti postavljena u inficirani dokument.

o Ovako, virus Simile osim širenja, kako to inaèe veæina metamorfnih virusa prve generacije mogu, može i da se skuplja èineæi pri tom razlièite forme.

2.4.2.5. Razmnožavanje Sledeæa faza je ona vezana za razmnožavanje. Ona poèinje traženjem nekog izvršnog dokumenta .exe u dotiènom direktorijumu, a potom u svim fiksnim i mapiranim mrežnim ureðajima. Infekcija zalazi u diektorijume u dubinu od tri poddirektorijuma, u potpunosti izbegavajuæi bilo koji direktorijum koji poèinje sa slovom W. Za svaki naðeni datoteka postoji 50% verovatnoæe da æe biti preskoèen ukoliko poèinje sa F, PA, SC, DR, NO, ili sadrži slovo V bilo gde u nazivu.

Druge slovne kombinacije, radi prirode uporeðivanja, se preskaèu nenamerno, kao što je direktorijum koji poèinje sa brojem 7 ili bilo koji dokument koji poèinje sa FM, ili bilo koji dokument koji sadrži broj 6 bilo gde u nazivu.

Proces infekcije dokumenata sadrži brojne provere koje treba da ustanove koji dokumenti se sigurno mogu inficirati . Na primer, dokument mora sadržati kontrolni iznos, mora biti izvršni za Intel 386+ platformu, i moraju postojati sekcije èiji nazivi su .text ili CODE, i .data ili DATA.

Virus takoðe proverava da li host uvozi neke kernel funkcije1 kao što je ExitProcess. Za svaki dokument za koji se ustanovi da može da se zarazi, struktura dokumenta i naizmenièni faktori virusa æe ustanoviti gde æe virus postaviti svoj dekriptor i telo virusa. Ukoliko nepostoje moguænosti promene lokacije ili je ta moguænost mala, telo virusa æe se postaviti na zadnju sekciju u dokumentu. U ovom sluèaju dekriptor æe biti postavljen odmah ispred tela virusa ili na kraju sekcije koda. U sluèaju da je naziv zadnje sekcije .reloc, virus æe se postaviti na poèetku sekcije sa podacima i pomeriti sve podatke u dokumentu.

2.4.2.6. Infekcije Prva infekcija se dešava samo u toku Marta, Juna, Septembra i Decembra. Varijante A i B Win32/Simile prikazuju svoje poruke 17. dana u ovim mesecima. Varijanta C prikazuje svoju porku na 18. dan u ovim mesecima, a varijanta A (Slika 5A) prikazuje poruku “Metaphor v1 by The Mental Driller/29A”.

Sl.5A – Prikaz na desktop u p oruke od virusa Win32/Simile

1 Osnovne funkcije sistema, gde spadaju: kreiranje procesa, upravljanje procesima, pristup fajl sistemu i

mrežnim protokolima i drugi. Deo sistema koji se izvršava u zaštiæenom modu hardvera.

Varijanta B (Slika 5B) æe prikazati “Metaphor 1b by The Mental Driller/29A”: Sl.5B – Prikaz na desktopu poruke od virusa Win32/Simile

Varianta C (Slika 5C) pokušava da prikaže “Deutsche Telekom by Energy 2002”, meðutim tvorac ove varijanate koda slabo razume kod pa se poruka retko javlja korektno napisana.

Sl.5C – Prikaz na desktopu poruke od virusa Win32/Simile

U svim vaijantama poruka se pojavljuje sa promenjivom velièinom slova.

Druga infekcija se aktivira na 14. maj u varijantama A i B, i na 14. Jul u varijanti C. U drugom inficiranju, varijante A i B æe prikazati poruku “Free Palestine!” na kompjuterima u Izraelu.

Varijanta C pokušava da prikaže tekst “Heavy Good Code!”, premda, radi greške u kodu virusa, poruka se prikazuje samo na kompjuterima na kojima se ne može odrediti region.

Pokazalo se je da pokušaji da se pronaðe pouzdana detekcija za sve replike Simile virusa, koji su proizvedeni u velikom varijetetu sistema i iskoristili veliki varijetet host programa, nisu urodili plodom. Tokom dugih i detaljnih testiranja sa Win32/Simile množenjem na test sistemima, primeæeno je da kod virusa ili nenamerno generiše otpad ili sluèajno od dokumenata pravi otpad kao direktni rezultat svoje kompleksnosti. Izgleda da ovaj kod nije samo izazovan za analitièare ponašanja virusa nego takoðe veoma izazovan i za samog autora po pitanju otklanjanja grešaka iz njega. Složeni mehanizam infekcije u sadejstvu sa moænom metamorfnom mašinom onemoguæava 100% taènost, baziranu na tehnikama procenjivanja, te je stoga neophodna dubinska analiza koda virusa. Ovo otkrivanje principa rada ovog metamorfnog koda æe predstavljati veliki napor, kako za njega, tako i za veliki broj metamorfnih virusa èiji broj polako ali sigurno raste.

Taèno prepoznavanje postaje i problem korisnika. Koliko vremena treba da se bude siguran da li je nešto stvarno varaijanta A ili C, ili neka nova? Da li je modifikovan ili je isti? Da li æe biti teško razotkriti ga? Potreba da se razume metamorfni kod mora veoma brzo postati pedmet daljnjih istraživanja.

2.4.3. Volim te! . ..ili kako je ljubavna poruka zarazila svet i mnogima zadala finansiske brige.

Kažu da na svakom jeziku postoji izraz „volim te”. U januaru 2008. godine ljudima povezanim na

Internet nije bilo do “ljubavi”, jer je Internetom harao novi virus „I love you (Slika 6). Prvo je

primeæen u Aziji, da bi samo za nekoliko sati zapljusnuo Ameriku i Evropu, harajuæi po kompjuterskim sistemima. Nije birao žrtve: namuèio je zaposlene u CIA, Pentagonu1, Beloj kuæi, Microsoftu, itd; uglavnom nije bilo veæe kompanije koja nije pogoðena. Kada su kompjuterski korisnici uzbunjeni veæ je bilo kasno.

Sl.6 – Prijem elektronske poruke sa dodatkom „ljubavno pismo

Šteta od virusa se, za sada, procenjuje na sedam milijardi dolara. Virus je lukavo prerušen u dodatak elektronske poruke, a puno ime mu je glasilo „LOVE-LETTER-FOR-YOU.TXT.vbs. Ekstenzija „vbs” nije vidljiva na svim kompjuterima, a oznaèava Visual Basic skript koji preko Windows Scripting hosta2 može da pristupi svakom resursu kopjutera ili inicira bilo koju operaciju.

Strah korisnika je opravdan samo u sluèaju da koriste program za elektronsku poštu Outlook Expres, dok su korisnici ostalih mail klijenata sigurni. Dvoklik na dokument inicira sledeæe akcije: virus prvo pristupa adresaru i šalje svoju kopiju na sve adrese, zatim pokušava da pristupi jednom od èetiri servera na Filipinima i preuzme trojanskog konja (WIN-BUGSFIX.EXE), zatim ponovo šalje sam sebe na sve adrese iz adresara i na kraju uništava sve multimedijalne dokumente (slike, mp3, mp2...), java skript dokumente ili .vbs dokumente na kompjuteru korisnika (npr. mp3 dokumente bi uèinio nevidljivim i umesto njih postavio svoju istoimenu kopiju).

Potraga za poèiniocima poèela je ubrzo posle otkrivanja virusa. Prvo je lociran u Aziji, a zatim su

kao mesto porekla odreðeni Filipini . Agenti FBI3 su usko saraðivali sa Filipinskim vlastima u

potrazi za poèiniocima. Po otkrivanju raèuna sa koga je virus prvi put pušten i saznavanju

telefonskog broja (Internet provajderi su u potpunosti stavili svoje podatke na uvid), prvo je

osumnjièena za sada neimenovana devojka.

1 Glavni štab ministarstva odbrane Sjedinjenih Amerièkih Država, lociran u Arlingtonu, Virdžinija 2 Po originalnim podešavanjima interpretira i izvršava jednostavan tekst u Java skriptu i Visual Basic skriptu. 3 Federalni istražni biro (engl.Federal Bureau of Investigation) fedaralna kriminalaistièko istražna agencija u

SAD.

Nalog za hapšenje je izdat tek tri dana kasnije, jer na Filipinima ne postoji pravna regulativa koja razmatra širenje malicioznih programa preko Interneta. Prvo je uhapšen Riomel Lamores , koji je koristeæi kompjuter svoje devojke (prvoosumnjièene) ubacio virus na Internet. Ubrzo je optužen i njegov drug Michael Buen koji je pre godinu dana pokušao da diplomira na lokalnom koledžu, a za temu diplomskog rada je uzeo „Kako ukrasti tuðe lozinke preko Interneta?”.

Lista optuženih je nastavila da raste dok nije stala na jednaest osoba. Svi optuženi su èlanovi neformalne grupe koja je lokalnim poslovnim ljudima pravila neophodan softver, a na Internetu se predstavljala pod imenom „GRAMMERSoft. Svi èlanovi grupe su pohaðali lokalni AMA Computer College, a direktor škole je ukazao na osumnjièene èlanove. Najveæa zatvorska kazna, ukoliko budu osuðeni, biæe tri godine.

Posle suzbijanja virusa, na Internetu se je povela rasprava o sigurnosti OS Windows, kao i o opcijama koje proseèan korisnik nikada ne koristi, ali su zato više nego primamljive za hakere. Zvaniènici kompanije Microsoft su izjavili da krivica nije na njima, jer su Active X i Windows Scripting tu zbog lakoæe korišæenja, a ne zbog “hakera”. Nova popravka za Outlook Express iskljuèuje moguænost automatskog pokretanja nekih skriptova i postavlja zid svim skriptovima koji bi da prilaze adresaru, da bi se na taj naèin onemoguæilo nekontrolisano širenje virusa.

2.4.4. Code Red, virus koji je najskuplje koštao u istoriji Interneta Ekonomski troškovi originalnog Code Red i njegove još maliciozinije varijante Code Red II, je narasla na više od dve milijarde dolara, te se penje na iznos od 200 miliona dolara dnevno, prema podacima istraživaèke kompanije Computer Economics (Computer Economics – Malware Report, 2007). Code Red II je samopropagirajuæi virus koji sporo krèi svoj put po SAD prouzrokujuæi sporadiène ispade i ogromne troškove. “Nema sumnje da je ovo najskuplji virus u istoriji Interneta.”, rekao je Michael Erbschloe, potpredsednik kompanije Computer Economics. Uz to je dodao da nebi mogao da utvrdi koliko æe još ova dva virusa koštati kompanije da oèiste nered koji su virusi ostavili iza sebe.

2.4.4.1. Izveštaji u usporavanju servisa na Internetu Dok veæina kuænih kompjutera nije ugrožena sa ovim virusom, internet servis provajderi širom SAD primaju veliki broj žalbi od strane pretplatnika koji prijavljivaju usporenije pružanje usluga posebno kada se radi o klijentima koji koriste modeme. Portparol MSN Hotmail-a je rekao da je broj žalbi od 110 miliona korisnika širom SAD bio mnogo manji nego što se je oèekivalo, bez obzira što su neki od servera bili inficirani sa ovim virusom. Oba ova virusa koriste grešku u servisu indeksiranja koji se nalazi u operativnim sistemima Windows NT 4.0 i Windows 2000.

2.4.4.2. Proširivanje opsega Crv se multiplikuje skeniranjem za druge ranjive sisteme. Nakon što identifikuje ciljni server, virus pokreæe program koji prouzrokuje da dokment koji se nalazi na serveru nestane. „Virus stvara protok unutar podmreže, stvarajuæi promet kao dodatak onom što dolazi iz vana.”, rekao je Alan Paller, direktor za istraživanje na SANS institutu (SANS NewsBites Volume:X Issue:5, 2008). “Ovaj dodatni promet proširuje opseg pri èemu se sve usporava, a u nekim sluèajevima prisiljavajuæi operatera da iskljuèi server”,. Do sada je od Microsofta preuzeto oko 1.5 miliona definicija da bi se oba ova virusa eliminisala.

2.4.4.3. Šta raditi? Struènjaci za bezbednost savetuju klijente èiji sistemi su bili inficirani sa Code Red II da reformatiraju njihove tvrde diskove. Postoji bojazan da su hakeri još ranije pristupili inficiranoj mašini i prièinili još nevidljivu štetu. Prijavljeni su sporadièni sluèajevi usporenja na inaèe veoma brzom Internet servisu širom SAD. Reèeno je da su kablovnski modemi u Virdžiniji i državi New York ili spori i li neispravni. U agenciji Associeted Press, pristup internetu za zaposlene je bio blokiran veæi deo dana ali to nije prekinulo prenos glavnih agenciskih vesti i foto usluga, meðutim, kada je virus napao prvi put, onemoguæio je rad 250.000 kompjutera za 9 sati, te je naterao Belu Kuæu da izmeni svoju numerièku Web adresu i prisilio Pentagon da za kratko vreme zatvori sve javne web stranice.

2.4.4.4. Izvor je i dalje nepoznat Izvor oba ova virusa i dalje ostaje nepoznat, ali struènjaci za bezbednost kažu da je Code Red II dizajniran tako da prestane sa širenjem 01.oktobra 2007. U meðuvremenu virus pokušava da uradi u Evropi isto ono što je uradio u SAD, ali se je pokazalo da mu je uèinak daleko manji. Jedna kineska bezbednosna firma tvrdi da ovaj virus ubrzava svoj rad kod njih u Kini, gde je do sada inficirao oko 100 web sajtova.

2.4.4.5. Naèini za oporavak Kada je kompjuter jednom bio zaražen sa virusom, uglavnom nije sigurno nastavljati rad na njemu bez kompletne reinstalacije operativnog sistema. Meðutim, postoje mnoge druge opcije za oporavak u ovim sluèajevima. Uglavnom ove opcije zavise od ozbiljnosti i tipa virusa

2.4.5. Virus: Code9811 (prièa korisnika) Nakon više od tri godine svakodnevne upotrebe mog Macintosh kompjutera, i preuzimanja jednog do desetak datoteka sa interneta svakog dana, iznenada sam veoma ozbiljno inficirao moj kompjuter sa virusom:

Danima prije no što se je moj kompjuter poèeo ponašati èudno: dobijao sam error poruke Out of memory kada sam želeo da pokrenem aplikacije. Video sam na ekranu u polju za naslove da mi se prikazuju èudni nazivi aplikac ija kao DPEVLZREEYO ili BMQTKECNLI. Sluèajno, koristeæi Apple program ResEdit, našao sam kopiju programa u njegovom direktorijumu sa èudnim naslovom kao onima veæ navedenim. Malo me je to uznemirilo ali uskoro više nisam o tom razmišljao.

Uradio sam sve što je bilo potrebno a što sam znao da bi otklonio probleme sa mog kompjutera: uredio sam desktop. Ukljuèivao sam bez ikakvih ekstenzija.Problem nije nestajao. Potom sam ponovo formatirao moj tvrdi disk i ponovo instalirao softver.

Problem je i dalje ostao: Out of memory kao da je pokušavao da pokrene neke aplikacije , a onda taj drugaèiji zvuk koji je moj Mac pravio: zvuèalo je kao da je mašina celo vreme zauzeta sa neèim. Bio je to veoma tih i ritmièan zvuk.

Na kraju sam pomislio da zapravo ja imam problem sa hardverom. Da li je to možda neki kontakt

oslabio? Otvorio sam kompjuter i pregledao da se nešto nije olabavilo ali nisam našao ništa

slièno.Veæ sam poèeo da se brinem i da razmišljam o kupovini novog komjutera. Sledeæi dan, u

ponedeljak ujutrom u decembru 1998 pre no što sam pošao na posao, virus na mom komjuteru se je demaskirao: odjednom mi se zabelio ekran, a potom je gomila crnih crva sa žutim glavama dopuzala sa ivica mog desktopa ka sredini ekrana kao da jedu desktop. Potom se je pojavila poruka : “You have been hacked by the Praetorians”.

Na kraju ove predstave nekakav crveni “Pi” signal se je pojavio nasred ekrana, sa crvljim glavama sliènim lopticama koje su odskakivale u nekom prostoru.

Bio sam sretan jer mi je sada bilo lakše. Znao sam da je problem softverske prirode i nisam morao da kupujem novi kompjuter.

Kada sam o ovom problemu informisao Susan Lesch u Mac Virus Com saznao sam da je ovo virus koji napada Macintosh i da se zove Code 9811. Prijavio ga je kompaniji Symantec šveðanin Tommy Sandstrom. Rešenje za otklanjanje ovog virusa je pružio Symantec u svojim definicijama za SymantecAntiVirus i Norton AntiVirus programe u 1998. Godini.

Kada sam preuzeo probnu verziju Norton AntiVirus programa i sa njim skenirao stare kompresovane rezervne kopije mog celog tvrdog diska, mogao sam da naðem kopije ovog virusa. Ovaj virus je plasiran 7.avgusta 1998.godine, a kada sam shvatio da se radi o virusnoj infekciji veæ je bila sredina decembra iste godine. Ovo pokazuje da se je virrus umnožavao veoma polako u nekom odreðenom vremenu a potom se pojavio izvršavajuæi svoj kod punom snagom.

Bilo ko dobitkom neke èudne poruke kada pokušava da pokrene neke aplikacije na MacIntosh komjuterima bi trebalo da posumnja u virus Code 9811.

2.5. Troškovi amerièkih kompanija zbog virusa Svetska privreda danas je u potpunosti zavisna od kompjutera. Ali sa porastom broja poslovnih informacija koje se razmenjuju putem Interneta, njihova bezbednost postala je veoma krupno pitanje.

Kompjuterski virus koji se nedavno pojavio u amerièkoj državi Oregon, na severozapadu zemlje, preti vlasniku kompjutera da æe mu svakih pola sata uništiti po jedan dokument ukoliko ne plati 10 dolara i 99 centi. Iako virusi više nisu novost, ovo je prvi koji pokušava da iznudi novac.

Hauard Kaningem je vlasnik firme MakroSistems, u Ferfeksu, nedaleko od Vašingtona, koja pruža usluge vlasnicima kompjutera: “Možete li da zamislite da vam nešto izbriše sva dokumenta napisana u Ekselu ili u Wordu?”, ili da promeni njihov sadržaj u nešto neèitljivo? “U tom trenutku to se ne može platiti dolarima. Za obnovu tih dokumenata iz njihovih kopija potrebno je vreme, i tu se javlja pitanje finansija.”.

To pitanje finansija svodi se na 67 milijardi dolara godišnje za amerièke kompanije ( prema prošlogodišnjim podacima FBI-ja o kompjuterskom kriminalu). U istom pregledu kaže se da svake godine 2,8 miliona amerièkih kompanija doživi bar jedan incident u vezi sa bezbednosti kompjutera, uz proseèni gubitak od 24.000 US dolara.

Kompjuterski kriminal je finansiski “košmar” za kompanije, ali se može spreèiti. Hauard Kaningem objašnjava kako: “Kao prvo, instalirajte novu verziju nekog dobrog programa za odbranu od virusa. To znaèi da svake godine morate da obnovite pretplatu. Nikada ne otvarajt e elektronsku poštu od nekoga koga ne poznajete. Ne morate da otvorite baš svaki dodatak u svakoj poruci koja vam stigne.“

Iako su virusi èest problem, odmah za njima slede špijunski programi. Neki od špijunskih

programa mogu da kopiraju sve što pišete na tastaturi omoguæavajuæi “hakerima” da kradu

lozinke. Softverski gigant Microsoft predstavio je nov program za bezbednost interneta nazvan info kard, koji ukida potrebu upisivanja imena korisnika i lozinke. Info kard æe imati niz bezbednosnih funkcija za koje kompanija kaže da štite korisnikove privatne informacije.

2.6. Kako se prave virusi?

Da bi se napravio virus potrebno je poznavanje nekog programskog jezika. Kompjuterski „vandali“ preporuèuju VISUAL BASIC ili po moguænosti „C++. Buduæi da je izuèavanje programskog jezika veoma mukotrpan posao, a za oèekivati je da neko ko ima “vandalski” mentalni sklop nebude sklon upornom radu da bi iza sebe ostavio neku “kreaciju” od koje niko , a u veæini sluæajeva ni on sam neæe imati nikakve koristi, ova vrsta ljudi poseže za daleko jednostavnijim metodama.

Jedna od omiljenih metoda jeste doæi do nekog koda “napreèac”, pronaæi ukoliko nešto postoji na Internetu. Velika verovatnoæa je da æe prvo zaraziti vlastiti kompjuter pa da æe potom poèeti sa kompjuterima svojih najboljih prijatelja.

Ovi “vrsni” poznavaoci nekog programskog jezika od tek desetak redova koda virusa æe s e predstavljati kao “vrsni programeri” . Krstareæi Internetom u potrazi za novim virusnim kodovima sa ciljem unapreðenja svoje “programerske” veštine, naiæi æe na neki od ovakvih èlanaka:

„Za pravljenje virusa mogu se koristiti svi moguci programski i skripting jezici. Da bi ste vi sami mogli da pravite neke vrste virusa morate da znate odredjene programske jezike. Zato vam savjetujem da, ukoliko neznate, naucite neki programski jezik. Ukoliko zelite da postanete haker morate znati c, c++1 i perl programske jezike.

U daljem tekstu sljede 2 primjera *.BAT virusa i *.TXT.VBS virusa koje je veoma jednostavno napraviti i koji ce vam malo pribliziti pojam pravljenja virusa! Naravno, da bi ih razumjeli morate znati BATCH i VISUAL BASIC skripting jezike.

Za pravljenje ovih programa postoje posebni programi-Virus Toolkits.

Ukoliko bi vi zeljeli da napravite *.bat virus, evo vam malog primjera kako da to uradite. Potrebno je samo da sljedeci batch kod iskopirate u notepad i snimite ga kao winupdt.bat datoteka i eto vam malog virusa! Ovaj virus se predstavlja kao UPDATE za Windows 98, ali je zapravo virus koji ce obrisati vazne sistemske datoteke, kao i Windows Explorer i zatim restartirati racunar. Jednom napravljen ovakav virus mozete ubaciti i u neki exe datoteka (program ili igricu), a to ce vam najlakse biti uz pomoc nekog bindera (npr. MultiBinder), sem ukoliko znate c/c++ programski jezik... HeHeHe :D (da bi naucili ovaj programski potrazite turotial na NETu).“

1 Programski jezik opšte namene

2.6.1. Primer izveštaja iz kolekcije virusa o njegovom postojanju

2.6.2. Kod jednog virusa

2.7. Kako znati da li je kompjuter zaražen?

U srednjem veku je bolest bila delo zlih duhova ili veštica. Danas, bolest kompjutera je èesto krivica virusa. Kao i kod bolesti, neki simptomi su siguran znak da je Vaš kompjuter inficiran.

Mnogi ljudi posmatraju ponašanje kompjutera što bi moglo ukazati da je sistem zaražen. Na nesreæu, retko je, ako ne i nemoguæe zapaziti ponašanje kompjutera koji Vam govori “JA SAM SIGURNO ZARAŽEN!” . Vaš kompjuter može da uspori, da prestane da reaguje ili sistem može poèeti da otkazuje i da se ponovo pokreæe svakih nekoliko minuta. Ponekad virus napada dokumenta koje su vam potrebne za konfiguraciju kompjutera. U tom sluèaju može da se desi da pritisnete dugme za ukljuèivanje kompjutera i ugledate samo prazan ekran.

Ako primetite desetine ili stotine poruka koje se same šalju vašim prijateljima putem elektronske pošte, možete biti prilièno sigurni da imate virus tipa I Love You i sliènih.

Ako primetite da vam nestaje velika kolièina memoriskog prostora na disku ili ako imate veliki broj kopija jednog dokumenta, sigurno je da imate virus.

Ako Vaš monitor pokazuje poruke kako imate slabu sigurnost ili vas vreðaju, onda sigurno imate virus.

Virusi èesto menjaju atribute nekih dokumenata (COM - command, EXE - executable, BAT - batch), kao njihovu velièinu ili datum. Ovo je siguran znak infekcije.

Osim ovoga simptomi su manje odreðeni. Svi ovi simptomi i brojne neobjašnjive greške su uobièajeni znaci da Vaš kompjuter ima virus. mada bi mogli biti izazvani i hardverskim ili softverskim problemima koji nemaju veze sa virusima. Virus može uzrokovati treptanje monitora, ali je veæa vjerovatnoæa da imate neispravnu video-karticu ili problem sa hardverom. Treba imati na na umu da se mnoge legitimne aplikacije oslanjaju na sporadièan pristup tvrdom disku, tako da se ne može sa sigurnošæu reæi da je neka èudna aktivnost jednaka virusnoj infekciji.

Treba obratiti pažnju na poruke sa upozorenjem da je poslana elektronska pošta kojaje sadržala virus. To bi moglo da znaèi da je virus naveo adresu korisnika kao pošiljaoca zaraženih elektronskih poruka. To ne znaèi obavezno da korisnièki kompjuter ima virus. Neki virusi imaju moguænost falsifikovanja adresa za elektronsku poštu.

2.8. Uklanjanje virusa 2.8.1. Upotreba sistema za restauraciju (engl. System Restore) Jedna od moguænosti za uklanjanje virusa na OSWindows XP i OS Windows Vista jeste alat poznat kao System Restore, koji restauriše registre i kritiène sistemske datoteke prema prethodnom kontrolnom stanju. Problem je što neki virusi imaju moguænost da onemoguæe rad važnih alata kao što je Task Manager1 ili Comand Prompt2. Primer virusa koji ovo radi je CiaDoor. Dobro je što virusi nisu dizajnirani tako da kvare restore datoteke.

Administratori3 imaju opciju da onemoguæe rad ovih alata za ogranièen broj korisnika, a radi razlièitih razloga. Virus modifikuje registar4 da bi uèinio to isto, a za razliku od administratora kada kontroliše kompjuter, virus blokira sve korisnike u pristupu tim alatima. Kada se ovakav alat aktivira, korisnik dobija poruku “Task Manager has been disabled by your administrator.”(Administrator je onemoguæio rad programa Task Menadžer), èak i kada sam administrator pokušava da kao administartor otvori taj alat.

Ako je vaš kompjuter Microsoft proizvod, postoji 20 cifarski registarski broj kojim se može obratiti na Microsoftu web stranicu, a oni æe Vam besplatno skenirati i verovatno ukloniti bilo koji poznati virus kao na primer Trojan win32.murlo.

2.8.2. Reinstalacija operativnog sistema Reinstalacija operativnog sistema je još jedan pristup za uklanjanje virusa. To jednostavno obuhvata reformatiranje particije na kojoj se nalazi operativni sistem i instalacija operativnog sistema sa originalnog medijuma.

Ovaj metod ima svoje prednosti buduæi da je jednostavan za izvršavanje, a takoðe može biti daleko brži od nekoliko skeniranja sa AV programom, a sigurno je uklanjanje bilo kakvih malicioznih programa. Ovde je ukljuèeno i ponovljeno instaliranje svih softverskih komponenti. Podaci korisnika se mogu saèuvati na nekom CD-u, ili èitanjem tvrdog diska na drugom kompjuteru sa drugim operativnim sistemom.

1 Aplikacija koja je sastavni deo OS Windows a koja obezbeðuje informacije o stanju kompjutera i aplikacijama

koje se izvršavaju, iskorištenosti procesora i memoriskih resursa 2 Interpreter komandne linije u operativnom sistemu Windows 3 Sistemski administrator koji je odgovoran za održavanje tehnièki naprednih informacionih sistema

4 Sistemmski direktorijum u kojem su smeštena podešavanja i opcije za operativni sistem Windows

3. TROJANSKI KONJ

3.1. Pojam Trojanskog konja Za maliciozni program koji treba da postigne svoj cilj moraju da se obezbede uslovi za njegovo izvršavanje bez moguænosti njegovog brisanja ili prekidanja izvršavanja koda. Da bi se instalirao prvi put u mnogome mu pomaže prikrivanje (Slika 7), i to na naèin da se predstavi kao nešto poželjno što æe zainteresovati korisnika kompjutera (Symantec, 2006). U ovom sluèaju korisnik ga instalira jer ga jednostavno tera želja da ima nešto korisno i nije svestan kakve ga nevolje oèekuju. Ovo je tehnika Trojanskih konja.

Sl.7 – Jedan od oblika ponude „upakovanog „Trojanskog konja korisniku kompju tera

Infekcija se može pokazati odmah na taj naèin što æe se videti jedan ili više efekata zaraze, kao na primer brisanje korisnièkih datoteka, ili æe, što se èešæe dešava, instalirati štetni program u korisnièki sistem da bi poslužio dugoroènim ciljevima tvorca virusa. Trojanski konji poznati kao “droperi” se koriste da bi pokrenuli aktivnosti crva na taj naèin što crva ubacuju u korisnièku lokalnu mrežu.

Trojanski konj služi kao jedan od najèešæih naèina distribucije špijunskih programa, sakrivenih u nekom poželjnom softveru koga æe korisnik preuzeti na nekoj web stranici. Kada korisnik instalira softver, zajedno sa njim se instalira i dodatni program. Autor ovog dodatnog programa koji nastupa na legalan naèin može ukljuèiti jedan korisnièki ugovor o korišæenju softvera gde æe precizirati naèin rada ovog softvera, ali znajuæi pri tom da je mala verovatnoæa da æe korisnik uopšte proèitati ili razumeti ovaj ugovor (Ivan Toman,2008).

Postoje i trojanski konji u službi policije koji se bave prikupljanjem informacija sa ciljem

otkrivanja kriviènog djela (engl. Remote Forensic Softver). Taj oblik špijuniranja graðana je u

nekim zemljama pravno utemeljen i vrši se po sudskom nalogu (npr. SAD, Australija), u nekima je i pored sukoba sa ustavom u fazi pripreme (Nemaèka, Austrija, Švajcarska), dok je u nekima odbijen (Kaspersky,2007). Takvi trojanski konji se šire instalacijom ili aktuelizovanjem komercijalnih operativnih sistema i drugih softverskih i hardverskih komponenti kompjutera, kao i putem internet servis provajdera infiltriranjem u postojeæe mehanizme prenosa podataka, koji takvu moguænost u svojim produktima i uslugama, na zahtjev dotiène države, moraju predvideti.

3.2. Prikrivanje trojanskih konja Neki maliciozni programi poseduju procedure za odbranu protiv uklanjanja: ne samo da bi se sakrili nego da odbiju pokušaje svog uklanjanja. Jedan rani primer ovakvog ponašanja je zabeležen u Jargon File prièi (Guy Steele,1989) o paru programa koji su provalili u Xerox CP-V sistem za delenje vremena: Svaki duh bi otkrio èinjenicu da je drugi bio uništen i poèeo bi stvaranje nove kopije nedavno uništenog programa u roku od nekoliko milisekundi. Jedini naèin da se unište oba duha je bio da se oni unište simultano (što je bilo veoma teško) ili u oèajanju da reinstalirate sistem.

Sliène tehnike se koriste u nekim modernim malicioznim programima gde maliciozni program poèinje nekoliko procesa koji prate jedan drugi i ponovo restartuju bilo koji proces ako ga je sluèajno korisnik prekinuo.

Pozadinac (engl.backdoor) je metoda premošæavanja procedure bezbednosne provere. Kada s e sistem jednom zarazi (jednom od navedenih metoda ili na neki drugi naèin), može da bude instalirano jedan ili više pozadinaca u nameri da napadaèu obezbede pristup u buduænosti. Èesto se je šaputalo da mnogi proizvoðaèi kompjutera u toku proizvodnje instaliraju pozadince na njihove sisteme da bi obezbedili tehnièku podršku svojim klijentima, ali ovo nikad nije pouzdano utvrðeno. Tipièno je za autore “krekova” da koriste pozadince da bi obezbedili daljinski pristup kompjuterima dok pokušavaju da ostanu sakriveni od povremenih kontrola. Da bi instalirali pozadince autori “krekova” koriste trojanske konje, crve i druge metode.

Ipak u veæini sluèajeva trojanski konji nisu virusi. Njih ne karakteriše umnožavanje i oni se oslanjaju na upotrebu kompjutera od strane krajnjeg korisnika. U konfiguraciji kompjuterske arhitekture ovaj termin Trojanski konj može da se odnosi na bezbednosne prolaze koje dozvoljavaju kernel kodu da pristupa bilo èemu što nema ovlaštenje. (Ivan Toman,2008).

3.3. Etimologija U svom predavanju povodom dodeljivanja ACMTuring priznanja u 1983.godini, Ken Tompson (Ken Thompson,1983) je naglasio da je moguæe dodati kod u UNIX-ovu naredbu za logovanje koja æe prihvatiti ili namerno šifrovanu lozinku ili poznatu lozinku, pri èemu æe dozvoliti prolaz pozadincu sa sledeæim unosom lozinke. Èak šta više, Thompson je uveravao da sam kompajler može da bude modifikovan tako da generiše šaljiv kod koji æe uèiniti otkrivanje te modifikacije još težim. To je tako radi toga, tvrdio je on, što je kompajler sam po sebi program koji je generisan od strane kompajlera, i trojanski konj se može takoðe automatski instalirati u novom kompajlerskom programu bez bilo kakve modifikacije koja bi mogla biti otkrivena u izvoru tog novog kompajlera.

3.4. Primer Jednostavan primer trojanskog konja bi bio program pod nazivom waterfalls.scr gde njegov autor tvrdi da je to besplatan screensaver1. Kada se pokrene, on raspakuje sakrivene programe, komande, skripte i veliki broj komandi sa ili bez korisnièkog znanja ili svesnosti o tome.

3.5. Naèini infekcije sa trojanskim konjem Trojanski konj je skoro uvek tako dizajniran da uèini mnogo raznih štetnih pojava, ali takoðe može da bude bezopasan. Oni su podeljeni prema naèinu na koji sve mogu da oštete sisteme. Postoji devet glavnih tipova infekcije sa trojanskim konjem:

o Udaljeni pristup., o Slanje elektronske pošte., o Uništavanje dokumenata., o Trojanski konj koji se preuzima., o Proxy Trojanski konj., o FTP Trojanski konj (dodaje ili kopira dokumenta sa zaraženog kompjutera) ., o Onemoguæavanje bezbednosnog softvera ., o Napad u vidu odbijanja servisa (DoS)., o URL Trojanski konj (upuæivanje zaraženog kompjutera da sam uspostavi vezu sa

Internetom preko nekog veoma skupog servisa)., Neki primeri štete su:

o Brisanje i prepisivanje podataka na kompjuteru., o Šifrovanje datoteka., o Izmena sadržaja datoteka., o Slanje i preuzimanje datoteka., o Dozvoljavanje daljinskog pristupa ka žrtvinom kompjuteru. Ovo se zove RAT (remote

access trojan)., o Širenje drugih malicioznih programa kao što su virusi: ovaj tip trojanskog konja se zove

dropperili vector., o Uspostavljanje mreže zombi komjutera u nameri da se omoguæe DoS napadi ili šalju

spamovi. o Špijuniranje korisnika kompjutera i prikriveno slanje podataka tvorcu malicioznog

programa, o Snimanje upisa lozinke i brojeva kreditnih kartica.. o Traženje bankovnih ili drugih raèunovodstvenih detalja koiji bi se mogli koristiti za

kriminalne delatnosti., o Instaliranje pozadinaca na komjuterski sistem., o Otvaranje i zatvaranje CD-ROM klizaèa. , o Presnimavanje adresa i njihovo kasnije korišæenje za slanje reklamnih poruka ., o Restartovanje kompjutera svaki puta kada se komjuter startuje., o Deaktiviranje ili uplitanje u anti-virus i „vatreni zid” programe .,

1 Kompjuterski program koji je izvorno kreiran da bi spreèio pojavu “snega” na CRT ekranima kada kompjuter

nije u upotrebi, yamenom sa pokretnim slikama ili samo sa jednobojnim ekranom.

3.6. Metode infekcije Veæina infekcija sa trojanskim konjima se dogaða iz razloga što je korisnik prevaren , u smislu da pokrene zaraženi program. Radi toga se savetuje da se neotvaraju neoèekivani dodaci na elektronskoj pošti. Program je uglavnom nekakva slatka slièica ili animacija, ali iza pozornice zaražava komjuter sa trojanskim konjem koji sa sobom nosi neki drugi maliciozni program. Zaraženi program nemora da stigne preko elektronske pošte. Može da se nalazi u nekoj instant poruci koji æete preuzeti sa Web stranice ili preko FTP, ili èak preko CD-a ili neke diskete. Fizièko prenošenje je veoma neuobièajeno, ali ako je neko taèno odreðena meta napada, ovo je prilièno pouzdan metod da se njegov kompjuter zarazi. Meðutim, preuzimanje trojanskog konja na ovaj naèin je krajnje neuobièajen buduæi da se uglavnom to obavlja preuzimanjem sa nek e web stranice ili se dobija kao dodatak elektronskom poštom.

3.7. Road apple Ovo je jedna varijanta trojanskog konja koja koristi fizièki medijum za svoje prenošenje i oslanja se na radoznalost potencijalne žrtve. Napadaè ostavlja infektni USB stik na lokaciji gde je sigurno da æe biti pronaðen buduæi da je to mesto uglavnom poseæeno, na njega se stavi nekakva legitimna etiketa, i èeka se da ga neko uzme. Primer bi bio, uzeti logo neke korporacije i podesiti tako kao da izgleda da je to od te korporacije i ostaviti u blizini potencijalne i obavezno radoznale žrtve.

3.8. Metode brisanja Buduæi da trojanski konji imaju razlièite forme, nepostoji jedinstven metod za njihovo brisanje. Najjednostavniji naèin ukljuèuje brisanje privremenih internet datoteka na kompjuteru, ili nalaženje zaraženog dokumenta i njegovim liènim brisanjem. Ukoliko AV program nemože da ga naðe onda tu može da pomogne restartovanje u sigurnom modu što dozvoljava AV programu da trojanskog konja naðe i obriše.

3.9. Prikrivanje

Trojanski konji se sakrivaju korišæenjem registra, na taj naèin što u registru dodaje neke podatke kako bi omoguæio svoje pokretanje svaki put kada se ukljuèi kompjuter. Takoðe koristi metode koje omoguæuju da maliciozni program funkcioniše dok je kompjuter ukljuèen.

Osim ovog, trojanski konj je kombinovan sa velikim brojem datoteka koje izgledaju sasvim legalno. Trojanski konj se aktivira kada se otvore datoteke koji su kombinovane sa njim. Kada je ovaj postupak u toku onda tu uèestvuju još neki programi koji pomažu u izvoðenju napada.

3.10. Uklanjanje trojanskog konja tipa Backdoor

Otkriven: 22.januara, 1998. Ažuriran: 13. februara 2007. Tip: Trojanski konj

Utièe na sisteme: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Trojanski konj Backdoor spada u grupu trojanskih konja koji otvaraju „zadnja vrata” i dozvoljavaju udaljenom napadaèu da neovlašteno pristupa kompromitovanom kompjuteru.

Zaštita

Inicijalna objavljena verzija 26.januar 1998 Zadnja objavljena verzija 18. januar 2008 revizija 040 Inicijalna dnevna verzija 26.januar 1998 revizija 007 Zadnja dnevna verzija 07.februar 2008 revizija 019 Inicijalna nedeljna verzija 26.januar 1998

Oblik pretnje

Nekontrolisan Wild nivo: Srednji Broj infekcija: Više od 1000 Broj sajtova: Više od 10 Geografska distributivnost: Visoka Uklanjanje: Umereno

Ošteæenja Nivo ošteæenja: Srednji

Distribucija Nivo distribucije: Nizak

Po izvršavanju ovog virusa dogaðaju se sledeæe akcije: Kreira svoju kopiju u %Windir% ili %System% direktorijum.

Pažnja:

%System% je varijabla koja se odnosi na System direktorijum. Po originalnom podešavanju to je C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), ili C:\Windows\System32 (Windows XP).

%Windir% je varijabla koja se odnosi na Windows instalacioni folder. Po originalnom podešavanju to je C:\Windows (Windows 95/98/Me/XP) ili C:\Winnt (Windows NT/2000).

Modifikuje registar tako da se izvršava svaki put kada se pokrene operativni sistem. U najveæem broju sluèajeva ovaj trojanski konj koristi jednu ili više taèaka za pokretanje da bi bio siguran da æe se pokrenuti uz pokretanje sistema.

Kada se pokrene po prvi put, dešava se da prikaže neke poruke o nastalim greškama kako bi korisnik pomislio da je program ošteæen, a za to vreme u pozadini kompjuter se inficira.

Preporuke Iskljuèiti i deinstalirati sve nepotrebne servise. Po originalnom podešavanju, mnogi operativni sistemi instaliraju servise koji nisu kritièni, kao što je FTP server1, telnet i Web server. Ovi servisi su avenije za izvršenje napada. Ukoliko se oni uklone, ove mešane pretnje imaju manje prostora za napad a korisnik ima manje servisa za održavanje putem ažuriranja sa novim definicijama.

1 Kompjuter koji služi kao server za rad na FTP (File Transfer)protokolu za prenos podtaka gde se koristi TCP/IP

mrežna komunikacija.

Ukoliko ovakve pretnje zaposednu jedan ili više mrežnih servisa, onemoguæite rad ili blokirajte pristup ovim servisima dok se nove ažurirane definicije ne primene. Uvek držite vaše definiciske nivoe ažurirane, posebno na kompjuterima za javne servise, a koji su dostupni preko vatrenog zida, a kao što su HTTP, FTP, pošta, i DNS servisi (na primer, svi Windows kompjuteri bi trebali imati instaliran trenutno najnoviji servisni paket). Pored toga, primenite sva bezbednosna ažuriranja koja su ovde pomenuta.

Primenite lozinke. Složene lozinke omoguæavaju da njihovo otkrivanje na zaraženim kompjuterima bude teško. Na ovaj naèin æete spreèiti veæu štetu.

Konfigurišite Vaš server za elektronsku poštu da blokira ili ukloni elektronsku poštu koja sadrži dodatke koji se uglavnom koriste za širenje virusa, a sa ekstenzijama .vbs, .bat, .exe, .pif and .scr datoteke.

Brzo izolujte infektni kompjuter da bi spreèili dalje infekcije. Ove inficirane kompjutere vratite u normalno stanje korišæenjem medijuma u koje imate poverenje.

Obuèite zaposlene da ne otvaraju dodatke u elektronskoj pošti koje oni nisu oèekivali. Takoðe nemojte pokretati softvere koji su preuzeti sa interneta bez da ste ih prethodno skenirali sa AV programom. Jednostavno poseæivanje zaraženog web sajta može prouzrokovati infekciju ako odreðeni pretraživaèi nisu ažurirani novim definicijama.

o Iskljuèite System Restore (Windows Me/XP). , o Ažurirajte AV program., o Kompletno skenirajte sistem i obrišite sve zaražene datoteke., o Izbrišite sve vrednosti dopisane u registrima., o Uredite Win.ini datoteku., o Uredite System.ini datoteku., o Sada slede specifièni detalji svake od ovih navedenih stavki.

1. Iskljuèivanje sistema za restauraciju (engl.System Restore) (Windows Me/XP)

Ukoliko radite na Windows Me ili Windows XP, preporuèuje se da se privremeno iskljuèi sistem za restauraciju. Windows Me/XP koristi ovu moguænost po originalnim podešavanjima kako bi bili u stanju da restaurišete dokumente na vašem kompjuteru u sluèaju da se oni oštete. Ukoliko virus, crv ili trojanski konj inficiraju kompjuter, sistem za restauraciju može napraviti rezervnu kopiju virusa, crva ili trojanskog konja na kompjuteru.

Kao rezultat toga sistem za restauraciju ima potencijal da restauriše inficirane datoteke na vašem kompjuteru, èak i nakon što ste izbrisali inficirane dokumente sa drugih lokacija

Da bi ste znali kako da iskljuèite sistem za restauraciju, proèitajte vašu dokumentaciju ili jedan od sledeæih èlanaka:

Iskljuèivanje ili ukljuèivanje Windows XP sistema za restauraciju

Da bi ste iskljuèivali i ponovo ukljuèivali sistem za restauraciju, morate biti logovani kao administrator. Ukoliko iskljuèite sistem za restauraciju obrisaæete sve prethodne pozicije za restauraciju.

Želite da iskljuèite Windows XP sistem za restauraciju

1 klik na Start.

2 desni klik na My Computer, a potom k lik na Properties.

3 Na polju System Restore, oznaèite Turn off System Restore ilir Turn off System Restore on all drives. Ako nevidite polje System Restore, znaèi da niste logovani kao Administrator.

4 kliknite Apply.

5 Kada vidite potvrdnu potvrdu kliknite Yes.

6 kliknite OK.

Želite da ukljuèite Windows XP sistem za restauraciju

1 klik na Start.

2 desni klik na My Computer, a potom k lik na Properties.

3 Na polju System Restore, oznaèite Turn on System Restore i li Turn on System Restore on all drives. Ako nevidite polje System Restore, znaèi da niste logovani kao Administrator.

4 kliknite Apply.

5 Kada vidite potvrdnu potvrdu kliknite Yes.

6 kliknite OK.

Pažnja: Kada u potpunosti završite sa postupkom uklanjanja i zadovoljni ste što ste otklonili opasnost, ponovo ukljuèite sistem za restauraciju prema navedenim instrukcijama.

2. Ažuriranje AV programa

Postoje dva naèina da dobijete najnovija ažuriranja za vaš AV program. Najlakši naèin je automatsko ažuriranje (ukoliko se nalazite na mreži i samo pratite zahteve AV softvera) jednom nedeljno, svaki drugi dan ili dnevno, osim ako virus veæ ne postoji u sistemu. Ukoliko je tako, onda trebate proveriti da li na adresi vašeg AVproizvoðaèa postoji odgovarajuæi tretman za tu odreðenu vrstu malicioznog programa.

Drugi naèin za ažuriranje je preuzimanje definicija sa adrese vašeg AV proizvoðaèa i njihovo manuelno instaliranje.

3. Skeniranje i brisanje inficiranih datoteka

Prekontrolišite da li je vaš AV program podešen da skenira sve datoteke na vašem kompjuteru i pokrenite AV skeniranje. Odaberite Full System Scan. Ukoliko otkrijete ijedan inficirani dokumenat, obrišite ga bez obzira koliko vam je on „važan”.

Važno: Ukoliko niste u moguænosti da pokrenete vaš AV program ili vas on izvesti da ne može obrisati detektovani dokument, pokrenite skeniranje sa AV skenerom u Sigurnom modu. Na vašem kompjuteru potražite preko menija Help odgovor na pitanje: Kako da pokrenem kompjuter u sigurnom modu (How to start computer in Safe Mode). Kada ste restartovali kompjuter i pokrenuli Sigurni mod, ponovo skenirajte kompjuter.

Kada obrišete sve inficirane dokumente, restartujte kompjuter u normalnom modu i nastavite dalje ka sledeæem koraku. Kada restartujete kompjuter možda æete i dalje imati poruke upozorenja, buduæi da opasnost još uvek nije otklonjena. Ove poruke možete ignorisati i pritisnuti OK. Kada u potpunosti kompletirate instrukcije za uklanjanje virusa ove poruke s e više neæe pojavljivati.

Poruka može biti slièna ovoj:

Naslov: [STAZA DOKUMENTA] Poruka: Windows cannot find [STAZA DOKUMENTA]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.

4.Brisanje vrednosti u registrima

Važno: Prije nego što pokušate da pravite bilo kakve promene u vašim registrima napravite njihovu rezervnu kopiju. Ukoliko nepravilno izmenite podatke u registrima možete izgubiti neke podatke ili oštetiti sistemske dokumente. Menjajte samo odreðene podstavke.

kliknite Start > Run.

Upisati regedit

KlikniteOK. Pažnja: Ukoliko se RegEdit neæe da pokrene, moguæe je da je virus modifikovao registar tako da spreèava pristup u njega. U ovom sluèaju postoji alat koji æe razrešiti ovaj problem:

Ovaj alat se pruzima sa na adresi: http://www.symantec.com/security_response/writeup.jsp?docid=2004-050614-0532-99, i postoji za Norton AntiVirus programe.

Treba samo preuzeti i pokrenuti instalaciju datoteke „UnHookExec.inf.

Prije no što vam se dogodi ovakav problem, preporuèljivo je da ovaj mali program imate negde na radnoj površini vašeg kompjutera i da ga pokrenete po potrebi.

Druga moguænost je da ovaj mali program imate snimljen na disketi i da ga po potrebi pokrenete tako što æete ubaciti disketu u odgovarajuæi ureðaj.

Treba samo da kliknete desnim klikom na datoteku i dalje pratite instalacione instrukcije.

Kreæite se ovom stazom: HKEY_LOCAL_MACHINE\Softver\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Softver\Microsoft\Windows\CurrentVersion\ RunServices HKEY_CURRENT_USER\Softver\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

U desnom prozoru izbrišite bilo koju vrednost koja je otkrivena u toku skeniranja.

Napustite Registry Editor.

5. Ureðivanje Win.ini file

UPOZORENJE: Sledeæi koraci vam govore kako da uklonite tekst sa run= redove na Win.ini datoteci. Ako koristite starije programe, oni su možda uveženi na poèecima jedne od ovih redova. Ako ste sigurni da je tekst koji se nalazi na ovim redovima od programa koje vi normalno koristite, onda nemojte da ih dirate.

Ako koristite Windows 95/98/Me, pratite ova upustva:

klik Start > Run.

Upišite sledeæe: edit c:\windows\win.ini potom kliknite OK. (Otvara se MS-DOS Editor) u [windows] sekciji datoteke, potražite red slièan ovome: run=[NAZIV DATOTEKE TROJANSKOG KONJA] Pažnja: [NAZIV DATOTEKE TROJANSKOG KONJA] odnosi se na naziv datoteke koji je otkriven u toku skeniranja.

Ukoliko postoji ovakav red, izbrišite sve ono što je desno od run=

kliknite File > Save.

kliknite File > Exit.

6. Ureðivanje System.ini file

Ako radite na Windows 95/98/Me, pratite sledeæe korake:

kliknite Start > Run.

Upišite sledeæe: edit c:\windows\system.ini a potom pritisnite OK. (Otvara se MS-DOS Editor) Pažnja: Ako je Windows instaliran na drugoj lokaciji prilagodite naziv staze.

U [boot] sekciji datoteke, potražite red slièan ovome: shell = Explorer.exe [NAZIV DATOTEKE TROJANSKOG KONJA]

Pažnja: [NAZIV DATOTEKE TROJANSKOG KONJA] odnosi se na naziv datoteke koji je otkriven u toku skeniranja.

Ukoliko ovakav red postoji, obrišite sve sa desne strane od Explorer.exe.

Kada budete gotovi trebalo bi da izgleda ovako: shell = Explorer.exe

pritisnite File > Save.

pritisnite File > Exit.

4. CRVI

4.1. Pojam crv Crv je program koji se širi samoumnožavanjem kroz kompjuterske mreže. Crv je samostalni program za razliku od virusa i ne treba mu drugi program da bi radio.(D.Soleša, 2001)

Crv je, kao i virus, napravljen tako da se kopira sa jednog kompjutera na drugi, samo što on to radi automatski, preuzimanjem kontrole nad funkcijama kompjutera koje omoguæuju prenos datoteka i podataka.(Kaspersky, 2007)

Kada crv uðe u sistem, on dalje može da putuje sam. Velika opasnost kod crva jeste njihova sposobnost da se umnožavaju u ogromnom broju. Na primer, crv bi mogao da pošalje kopije sebe samog svima iz vašeg adresara u programu za elektronsku postu Outlook Express, a zatim bi njihovi kompjuteri uradili to isto, èime se izaziva domino efekat zagušenja u mrežnom saobraæaju što usporava poslovne mreže i Internet u celini, a primer za to je globalno usporenje Interneta pri maksimalnom širenju jednog od najpoznatijih i najraširenijeg virusa današnjice, crva MyDoom.

Kada se oslobode, novi crvi se šire veoma brzo, zagušujuæi mreže, što može da znaèi duplo duže èekanje da se otvore Web stranice na Internetu.

Za razliku od virusa, crvi nisu deo drugih programa, veæ su to posebni programi koji se prenose i izvršavaju koristeæi slabosti operativanog sistema, a posebno programa za transmisiju podataka na Internetu. Prvi crv se je pojavio 1978.godine, a stvorila su ga dva istraživaèa u Xerox PARC istraživaèkom centru.

Prvi koji je pridobio veæu pažnju je crv po imenu Morris, koji se pojavio 1988. godine i koji je vrlo brzo zarazio puno kompjutera a koristio je greške u UNIX1 operativnom sistemu.

Najuobièajeniji naèin instalacije je na SMTP serveru kada kompjuter služi kao taèka sa koje s e šalju neželjene elektronske reklamne poruke (SPAM), najèešæe komercijalne prirode. Ima sluèajeva da su kompjuteri na koji su instalirani crvi služili kao potencijalne taèke sa kojih s e izvode DDoS napadi (Distributed Denial of Service), pa je bilo pokušaja ucena velikih kompanija.

Ukratko, DDoS napad predstavlja pokušaj obaranja bilo koje vrste serverskog sistema na Internetu, uz pomoæ neprekidnog slanja velikog broja klijentskih zahteva, u nadi da æe sistem doživeti kolaps kada dostigne potpuno iskorišæenje svojih resursa, a ovo se obièno odnosi na iskorišæenost memorije i broj procesa.

Crv je podklasa virusa. Crv se obièno širi bez pomoæi korisnika i sam distribuira sopstvene potpune kopije (možda izmenjene) širom mreža (Wikipedia,2007). Pošto crvima nije potreban program-host ili datoteka da bi putovali, oni takoðe mogu da se krišom uvuku u vaš sistem i omoguæe nekom drugom da daljinski kontroliše vaš kompjuter. Sveži primeri crva jesu crvi Sasser i Blaster.

1 Kompjuterski operativni sistem, originalno razvijen 1969. godine, od strane grupe zaposlenih u AT&T u Bell laboratoriji, sa Kenom Tompsonom (Ken Thompson), Denisom Rièijem (Denis Ritchie) i Daglasom Mekilrojem (Douglas MacIlroy)

Postoje dve vrste crva:

Crv na kompjuteru domaæinu (engl.host computer worms) Ova vrsta crva ne kopira sebe više puta na jedan kompjuter veæ samo jednom i onda se kopira na sledeæi kompjuter u mreži i tako dalje. Ponekad se ovakvi crvi nazivaju zeèiæi (engl. rabbits). Mrežni crvi (engl.network worms) Ovi crvi se sastoje iz više segmenata, svaki se nalazi na nekom drugom kompjuteru i izvršava svoj deo zadatka. Oni komuniciraju preko glavnog segmenta koji im ujedno služi kao koordinator. Nazivaju se i oktopodi. Kao i virus, crv program se umnožava ali ne inficira ostale dokumente ili programe. Crvi šetaju putem disketa ili mrežom, ali najviše elektronskom poštom. Na zaraženom kompjuteru postoji opasnost od crva da æe se umnožiti toliko puta da æe vam napuniti disk i ugušiti Vaš sistem. Sledeæim primerom æemo pokazati kako radi klasièni crv.

Dolazi elektronska poruka od nekoga poznatog. Predmet poruke je “Zašto se ne javljaš?”. U pismu se može proèitati poruka “Ovo smo ja i Bill Clinton!”. Zajedno sa tim postoji i dodatak slika pod nazivom “Ja i Bill Clinton.JPG.vbs”. Pretpostavka je da æe primalac otvoriti sliku koju mu šalje prijatelj. Èim otvori sliku (koja nije slika), crv æe da piše preko svih dokumenata sa specifiènim nastavcima, izmedju ostalih .CSS, .JPG i .MP3. Potom crv “ulazi” u OutlookExpress i šalje se svima koji se nalaze u adresaru. Konaèno, crv inficira korisnièki kompjuter sa Chernobyl virusom (W95/CIH). Crv nosi virus u svom kodu što èini izuzetno opasnu kombinaciju. Chernobyl virus æe da piše “smeæe” na tvrdom disku i briše BIOS kompjutera, što prouzrokuje kolaps sistema i troškove za reinstalaciju sistema.

Kako se je mogla prepoznati ova maliciozna podvala?

Dokument (u ovom sluèaju fotografija) koja je dolazi kao dodatak elektronske poruke se završava sa zloglasnom .vbs ekstenzijom. Autori virusa u zadnje dve-tri godine iskorištavaju Visual Basic Script, da bi lakše ubacili viruse u razne sisteme. NIKO, osim programera (sa kojim možda radite na nekom programu), neæe slati dokumente sa .vbs ekstenzijom. I ako se ne zna šta je .vbs dokument, nema razloga za otvoranje . Ako ipak želite da otvorite .vbs dokument, èak i ako niste programer, možete to uèiniti, ali kada ga otvorite neæete imati velike koristi od nasumiènih znakova, slova, brojeva i crtica. Dakle, treba brisati sve što ima .vbs na kraju naziva.

Otvoriti na kontrolnoj tabli (engl.Control Panel) ikonicu Folder Options i ukloniti potvrdu ispred opcije Hide file extentions for known files. Tako se mogu videti svi nastavci za svaki dokument koji postoje u sistemu.

Virus poruke koje su pisane uglavnom na Engleskom jeziku su, veoma èesto, veoma loš e spelovane ili imaju neprihvatljivu sintaksu. Dalje, treba obratiti pažnju da li ima smisla sadržaj poruke i dodatak. Ako se desi nešto slièno, osobu koja je poslala zaraženi dokument teba staviti na “crnu” listu i skenirati sve poruke koje stižu.

Ako nije sigurno da je neko poznat zaista poslao tu elektronsku poruku, treba poruku poslati njemu i pitajti ga da li je to bilo upuæeno. Ako nije, treba uništiti dokument. Nakon toga uništiti dokument i iz kante za smeæe. Sve viruse ili sumnjive dokumente PERMANENTNO ukloniti sa kompjutera.

Savet: Nikad ne otvarati prilog elektronske poruke ako nije oèekivan i ako se ne zna taèan sadržaj priložene datoteke.

Zahvaljujuæi elektronskoj pošti, maliciozni programi su postali tako frekventni i prošireni da su privremeno oštetili milione kompjutera u domovima i firmama širom sveta.

4.2. Najzloglasniji crvi

Na ovom spiske se nalazi crv Melissa (1999) i ljubavna poruka (engl. Love Bug(2000)) koji je ujedno virus. Obe zaraze su se umnožavale šaljuæi same sebe imenima pronaðenim u adresaru.

Ostali primeri ukljuèuju Navidad, takoðe crv-virus, originalno iz južne Amerike. “Pogodio” je internacionalne firme i korisnike. Prerušen u Božiænu èestitku, sam je sebe slao na pronaðene adrese u adresaru programa za elektronsku poštu Outlook Express.

Crv Ana Kournikova je se je širio najbrže, ali je uèinio i manje štete. Prerušen kao slika poznate teniserke, automatski je išao upisanima u adresar zaraženog korisnika.

Sluèaj May the Homepage, crv-virus, koji nije ošteæivao dokumente zaraženih kompjutera, ali s e je kopirao u adresar, i posle pokretanja petraživaèa, otvarao web stranicu pornografije.

Sreæom po nas evropljane, AOL korisnici u SAD su najviše ugroženi, zbog lakoæe korištenja adresara, kao i navike da raspakuje sve zapakovane dodatke koje dolaze uz ellektronsku poštu.

5. ŠPIJUNSKI PROGRAMI (engl.SPYWARE)

5.1. Pojam špijunskog programa Ogromna kolièina traka sa alatkama (Slika 8)(engl.toolbar), gde je nekima dodat špijunski program, preplavila je Internet. Špijunski program je kompjuterski softver, namenski instaliran na personalni kompjuter sa ciljem preuzimanja delimiène kontrole u korisnièkoj interakciji sa kompjuterom bez korisnièkog znanja (Symantec, 2007).

Sl.8 – Izgled prozora pretraživaèa sa velikim brojem instaliranih traka sa alatkama

Premda sam termin ”špijunski program” daje sugestiju da se radi o vrsti programa èija je namena špijuniranje korisnika, funkcije ovog malicioznog programa prevazilaze ta oèekivanja. Špijunski programi mogu prikupljati razlièite tipove personalnih podataka, ali takoðe mogu da se umešaju u korisnièku kontrolu kompjutera i to na više naèina, kao što je instalacija dodatnog softvera, preusmeravanje aktivnosti Web pretraživaèa, pristupanje nekim Web stranicama što može prouzrokovati sakupljanje više štetnih virusa ili èak preusmeravanje isplata ka treæoj strani. Špijunski program može èak da izmeni komjuterska podešavanja što rezultira malom brzinom konektovanja, gubitak nekih programa i sl.

Neki špijunski programi su preusmeravali rezultate pretrage po pitanju plaæanja robe naruèene preko oglasa. Neki drugi, programi za kraðu (engl. stealware) izmenjivali su trgovaèke kodove tako da je isplata odlazila na raèun kreatora špijunskog programa, a ne prodavcu.

Ponekad se špijunski programi instaliraju kao trojanski konji neke vrste. Razlikuju se u tome da li se njihovi tvorci predstavljaju otvoreno kao deo poslovnog sveta, kao na primer prodaja prostora za reklamiranje na oglašivaèkim karticama (engl. pop-up) koje stvaraju maliciozni programi. Ovakvi programi se nude korisniku uz korisnièki ugovor što se radi sa namerom da se zaštiti kreator ovog malicioznog programa od zakonske odgovornosti zbog kršenja zakona u vezi kompjuterskog poslovanja.

Kao odgovor na rastuæu potrebu borbe protiv ove vrste malicioznog programa, razvila se je èitava mala industrija za razvoj anti-špijunskih softvera te postala veoma znaèajan elemenat kompjuterske sigurnosti. Pojavili su se novi anti špijunski zakoni, koji ciljaju na bilo koji softver da je namenski instaliran u cilju dobijanja kontrole nad komjuterom nekog drugog korisnika.

5.2. Istorijat i razvoj Prva zabeležena upotreba termina špijunski program se je dogodila 16.10.1995. godine. Špijunski program je u poèetku objašnjavan kao hardver koji je bio namenjen za špijunažu. Meðutim u ranim 2000 im, osnivaè kompanije ZoneLabs, Gregor Freund, je koristio ovaj termin na konferenciji za štampu a u kontekstu personalnog Vatrenog zida kojeg je razvijala kompanija ZoneAlarm. Od tada ,špijunski program termin se upotrebljava u svom današnjem znaèenju.

U potrazi za efikasnijim metodama oglašavanja, trgovaèke kompanije su veoma brzo otkrile potencijale ovih dodataka koji su se usmerili ka korisnièkim kompjuterima. Èim su ovi dodaci poèeli da se pojavljuju, njihov razvoj je uzeo neoèekivani zaokret. Sada, neki oglašivaèi su imali softver koji je postao poznat kao špijunski program i koji je poèeo da prikuplja informacije o korisnièkim liènim interesima, na primer kroz njihove navike u pretraživanju.

U sledeæim godinama špijunski program je evoluirao u novu znaèajnu pretnju za kompjutere prikljuèene na Internet i usput doneo umanjenu sposobnost kopjutera i umanjenu bezbednost. Informacije koje su prikupljane tim putem su korištene radi stvaranja korisnièkog profila i ukljuèivale liène interese, i davali detalje o tome u što bi korisnici trebali da se ubede pa da to kupuju.

Uvoðenje online oglašivaèa je takoðe otvorilo novi vid finansiranja razvoja softvera korištenjem istih tih softvera za korisnièko oglašavanje. Da bi ovo postigli, oni koji su razvili špijunske programe su ih nudili kao besplatne, buduæi da su veæ bili plaæeni od strane oglašavaèke agencije. Nažalost, mnogi korisnici nisu razumeli razliku izmeðu” free of charge” i “free gift”, gde je razlika u tome da je poklon dat bez ikakvih oèekivanja neke buduæe kompenzacije, dok nešto što se daje bez raèuna podrazumeva da se nešto daje zauzvrat.

Kada se je sa špijunskim programom iskombinovao reklamni prozor, poèele su nevolje za kompjuterske korisnike. Kad se je preuzimao program oznaèen kao “free of charge” korisnici nisu imali razloga da sumnjaju da æe taj softver podnositi negde izveštaje o korišæenju Interneta.

Neki korisnici bi na primer prihvatili da razgovaraju o njihovim navikama u pogledu pretraživanja interneta radi nekih pozitivnih povratnih informacija, na primer neke ponude koje bi im koristile. Meðutim, osnovni problem je bio u tome što njih niko nije pitao da li žele da uèestvuju u tom obliku komunikacije.

Kako su bili u podruèju oglašavanja, granica izmeðu oglašivaèkog prozora i špijunskog softvera je poèela postepeno da nestaje kombinujuæi oba tipa malicioznog programa u jedan. Oštra konkurencija je dovela oglašivaèe na sledeæi nivo koji æe poslužiti njihovim ciljevima, poèeli su menjati sadržaje koje su zahtevali korisnici sa sponzorisanim porukama.

Prema studiji kompanije AOL u National Cyber-Security Alliance iz 2005.godine, 61% pregledanih korisnièkih kompjutera je imalo neki oblik špijunskih programa. 92% od pregledanih korisnièkih kompjutera sa špijunskim programom su izjavili da nisu ništa znali o postojanju ovog programa, a 91% od njih je izjavio da nisu ni dali dozvolu za instalaciju ove vrste aplikacija.

Od 2006. godine, špijunski program je postao jedna od prvih pretnji komjuterskim sistemima

koji imaju Windows operativni sistem. Na jednoj proceni zasnovanoj na izveštajima o

skeniranim korisnièkim kompjuterima, kompanija Webroot Softver, tvorac programa za uklanjanje špijunskih programa (engl. Spy Sweeper), je rekao da su devet od deset prikljuèenih kompjutera na internetu infektni. Kompjuteri gde je Internet Explorer (IE) osnovni pretraživaè su posebno ranjivi pri takvim napadima, ne samo zbog toga što je Internet Explorer toliko široko rasprostranjen, nego zbog toga što njegova bliska integracija sa operativnim sistemom dozvoljava špijunskim programima pristup ka znaèajnim elementima tog operativnog sistema.

Pre nego što se je pojavio pretraživaè Internet Explorer 7 kompanije Microsoft, pretraživaè je automatski prikazivao instalacioni prozor za bilo koju ActiveX komponentu koju je web sajt hteo da instalira. Kombinacija korisnièke naivnosti u odnosu na maliciozni kod i shvatanja po pitanju ovog pretraživaèa da su sve komponente ActiveX dobroæudne, dovele su dobrim delom do masovnog širenja špijunskih programa.

Mnoge komponente špijunskih programa su takoðe koristile tokove u Java skriptu da bi se instalirale bez korisnièkog znanja.

Sistemski registar (engl. System Registry) sadrži kod koji dozvoljava softveru da se izvršava automatski kada se sistem pokrene. Špijunski program èesto iskorištava ovaj vid rada da bi mu pomogao kada treba da bude uklonjen. Špijunski program se povezuje sa svakom lokacijom u sistemskom registru koja mu omoguæava izvršavanje. Kada se jednom pokrene, špijunski program æe periodièno prekontrolisati da li je neki od ovih linkova uklonjen. Ukoliko se to desi on æe ih automatski restaurirati . Ovo omoguæava špijunskom programu da se izvršava èak i onda kada se sistem pokrene a neki od lih linkova su pokidani.

5.3. Meðusobna konkurentnost špijunskih programa Kako se je intezivirao “lov” za veæi finansiski dobitak, nekoliko oglašivaèa je èak poèelo da koristi i manje legitimna sredstva samo da bi do kupaca došli brže od ostalih. Ovo je ubrzalo stvaranje veæih problema i dovelo do toga da “siva” strana interneta postane “crna” strana (Görling, 2004). U toku ovog razvoja korisnici su “okusili” infekcije, one koje su u trenutku “rušile” njihove kompjuterske sisteme, one koje su menjale podešavanja aplikacija, brisale liène informacije, i izluðivale ih preko reklamnih poruka i rek lamnih prozorèiæa koji stalno iskaèu (Pew, 2005).

U ovoj trci se stalno dodavaju novi špijunski programi i izgleda da ovome nikada nema kraja, mada se je širenje ovih aplikacija izgleda malo smanjilo u zadnjim godinama. Meðutim, još uvek nema dogovora o nekoj jednostavnoj definiciji špijunskog programa ili njegovoj klasifikaciji.

5.4. Špijunski program, reklamni softver i praæenje Termin reklamni softver se prvenstveno odnosi na softver koji prikazuje oglase, sa ili bez korisnièkog odobravanja. Za razliku od špijunskih programa, reklamni programi ne vrše svoju ulogu bez znanja korisnika, a korisniku obezbeðuju specifiènu „uslugu.

Premda je veæina reklamnih softvera zapravo špijunski softver, samo u malo drugaèijem smislu: prikazuje oglase u vezi onoga što je on, špijunirajuæi , saznao da korisnika zanima.

Drugi tip ponašanja se dogaða u pozadini. Primer je izveštavanje odreðenog sajta o korisnièkim

navikama u pretrazi Interneta. Ovi podaci se uzimaju da bi se snimili utisci korisnika u vezi

nekih oglasa. Ovo špijunsko osmatranja je èak bacilo senku na programe koji uzimaju statistièke

podatke u vezi Web pretraživanja pa i na nauèna istraživanja. Neki tvrde da je Alexa Toolbar, jedan Internetski plug-in koji je saèinila kompanija Amazon.com, ustvari špijunski program.

Mnoge kompanije koje distribuiraju ovakve reklamne softvere poseduju milione dolara koje su zaradili upravo na naèin da su generisali budžetske prihode preko ove vrste softvera. Reklamni i špijunski programi su veoma slièni virusima po tome da mogu biti po prirodi zli , meðutim, ljudi i dalje profitiraju na ovoj vrsti pretnje i èineæi da oni postaju sve popularniji i popularniji.

Slièno tome, programi koji se predstavljaju kao usput-oglašavaèki kao na primer P2P, se ponašaju kao špijunski , (i ukoliko se uklone onemoguæuju rad “parent” programa) pa premda je to tako, ljudi još uvek imaju želju za njihovim preuzimanjem.

5.5. Odnos špijunskog programa, virusa i crva Za razliku od virusa i crva, špijunski program se uglavnom ne replikuje. Meðutim, slièno veæem broju virusa koji su se pojavili u zadne vreme, špijunski program koristi inficirani kompjuter da bi ostvario komercijalnu korist. Prepoznatljiva taktika u postizanju ovog cilja ukljuèuje isporuku nenametljivih reklamnih prozorèiæa; kraðu personalnih informacija (ukljuèujuæi finansiske informacije kao brojevi kreditnih kartica); praæenje aktivnosti prilikom Web pretraživanja da bi se ostvarili neki markentinški ciljevi; ili upuæivanje HTTP zahteva ka oglašavaèkim sajtovima.

5.6. Putevi infekcije

Sl.9 - Pokušaj instalacije špijunskog softvera na kompjuter korisnika uz njegovu saglasnost

Špijunski program se ne širi direktno na taj naèin kao što to radi virus ili crv: generalno, infektni sistem ne pokušava da prenese infekciju na druge kompjutere. Umesto toga špijunski program ulazi u sistem preko dozvole korisnika (Slika 9) ili korišæenjem slabosti softvera.

Najviše špijunskih programa je ipak instalirano bez korisnièkog znanja. Obzirom da korisnici

nisu skloni instaliranju softvera ukoliko znaju da æe taj softver ometati njihov rad na

kompjuteru i narušavati njihovu privatnost, špijunski programi varaju korisnike bilo sa

smeštanjem na željeni softvera kao što je na primer Kazaa, što je zapravo trik kako bi se korisnik

lakše ubedio da ga instalira (metod koji koriste Trojanski konji). Neki lažni anti-špijunski programise maskiraju kao bezbednosni programi, dok su ustvari, i sami, špijuni.

Distributer špijunskih programa uglavnom predstavlja program kao koristan alat – na primer kao Web accelerator ili korisnog softverskog agenta. Korisnik preuzima i instalira program bez imalo sumnje da bi mu mogao naneti nekakvu štetu. Na primer, Bonzi Buddy, program u koga je “upakovan” špijunski program, namenjen za decu, tvrdi : Da æe on pretraživati Internet zajedno sa vama kao veš najbolji prijatelj i desna ruka! On može govoriti, šetati, šaliti se, pretraživati, raditi sa elektronskom poštom, i preuzimati sa Interneta kao niko od vaših prijatelje koje ste ikada imali! On èak ima sposobnost da uporeðuje cene proizvoda koje vi volite i na taj naèin æe vam pomoæi da uštedite novac! Najbolje od svega je što je on besplatan! .

Špijunski program se takoðe može pojaviti upakovan u drugi program koji se može preuzeti sa Interneta a koji se plaæa jednako kao muzièki CD. Korisnik preuzima i instalira taj program a instaler u dodatku instalira i špijunski program . Iako taj željeni siftver neæe uèiniti nikakve štete, onaj dodatno upakovani špijunski program hoæe.

U nekim sluèajevima, autori špijunskih programa plaæaju odreðeni iznos autorima tih poželjnih programa da bi upakovali svoj softver u njihov.

U nekim drugim sluèajevima, autori ovih programa prepakuju te poželjne softvere s a instalacionim datotekama koje dodaju špijunski program.

Treæi naèin distribucije ovih programa ukljuèuje varanje korisnika putem manipulisanja bezbednosnim osobinama koje postoje da bi spreèile neželjene instalacije. Internet Explorer spreèava Web stranice u pokretanju neželjenih preuzimanja pojedinih softvera. Zahteva se korisnièka akcija kao što je klik na link. Meðutim, linkovi se mogu pokazati lažni: na primer, reklamni prozorèiæ se može pojaviti kao standardna dialog kartica. Ta kartica sadrži poruku na primer: “Da li bi ste želeli da poboljšate pristup Internetu?” sa dugmadima na kojima piše “Yes” i “No”. Bez obzira na koje dugme korisnik pritisne, preuzimanje poèinje, a špijunski program se smešta na korisnièki sistem. Zadnje verzije Internet Explorera daju manje prilike za ovu vrstu napada na sistem.

Neki autori špijunskih programa inficiraju sisteme preko bezbednosnih grešaka u Web pretraživaèu ili na drugom softveru. Kada korisnik “zaluta” na Web stranicu koju održava autor špijunskih programa, naiæi æe na kod koji napada pretraživaè i prisiljava ga da preuzme i instalira špijunski program.

Omiljena meta instalacije špijunskih programa je Internet Explorer. Njegova popularnost i istorijat razvoja bezbednosti su ga uèinili najèešæom metom napada. Njegova duboka integracija sa sistemskim okruženjem i sript moguænosti su uèinili da on bude oèigledna taèka za napadanje. IE takoðe služi kao taèka za prihvatanje špijunskih programa u obliku pomoænih pretraživaèkih objekata (engl. Browser Helper Object) koji modifikuju ponašanje pretraživaèa da bi dodao neku traku sa alatkama ili preusmerili saobraæaj.

U nekoliko sluèajeva se je desilo da su crvi omoguæili instalaciju špijunskih programa. Neki napadaèi koriste Spybot crva za instaliranje ovih programa koji izbacuje pornografske reklamne prozore na ekranu inficiranog kompjutera.

5.7. Efekti i ponašanje

Retko se dešava da je špijunski program sam na kompjuteru: inficirana mašina može veoma

brzo biti inficirana sa mnogim drugim komponentama. Korisnici èesto primeæuju neželjena ponašanja i umanjenje sistemskih performansi. Prisutnost špijunskih programa može prouzrokovati znaèajnu neželjenu aktivnost procesora, iskorišæenja diska, poveæanje mrežnog saobraæaja. Sve ovo znaèajno usporava rad kompjutera. Pad stabilnosti sistema, kao umanjenje postojanosti aplikacija i kolaps sistema se retko dešavaju. Špijunski program, koji uglavnom ima interakciju sa mrežnim softverom uglavnom prouzrokuje probleme u vezi sa Internetom.

U nekim infekcijama, špijunski program nije èak ni primetan. Korisnici dolaze u situacije da probleme povezuju sa hardverom, problemima sa instalacijom ili virusima. Neki vlasnici veoma inficiranih sistema su èak kupili nove kompjutere pošto je postojeæi kompjuter postao previše spor. Ovakvi sistemi zahtevaju reinstalaciju operativnog sistema kako bi povratili punu funkcionalnost.

Retko se dešava da samo jedan neželjeni softver uèini da kompjuter bude neupotrebljiv. Ako je takav, verovatno ima mnogo infekcija. U jednoj studiji kompanije AOL iz 2004. godine je naglašeno, da ukoliko kompjuter ima instaliran samo jedan špijunski program, tada sigurno ima instalirano još tuce drugih razlièitih programa. Kumulativni efekt i interakcija meðu špijunskim programskim komponentama, prouzrokuje simptome koje korisnici uglavnom prijavljuju kao: kompjuter koji “puzi”, “vuèe se”, ima mnogo nekakvih parazitskih procesa koji se dešavaju na sistemu ... .

Neki tipovi špijunskih programa onemoguæe rad vatrenih zidova i anti-virusnih sistema, i /ili umanje sigurnosno podešavanje pretraživaèa, tako otvarajuæi sistem ka drugim infekcijama, kao bolest pada imuniteta. Neki špijunski programi su u moguænosti da onemoguæe rad ili èak uklone suparnièke špijunske programe. Jedan tvorac ovih programa, (kompanija Avenue Media), je tužila konkurenta (kompaniju Direct Revenu) u vezi ovog. Posle su se njih dvoje namirili dogovorom da ne onemoguæavaju rad jedno drugom.

Neki drugi tipovi špijunskih programa (na primer Targetsoft) modifikuju sistemske datoteke da bi bilo teže da se uklone. Targetsoft modifikuje Windows Sockets (Winsock) datoteke. Brisanje datoteke inetadpt.dll koja je inficirana špijunskim programom, æe rezultirati prekidom normalne upotrebe mreže.

Za razliku od korisnika na drugim operativnim sistemima, tipièan Windows korisnik ima administrativne privilegije uglavnom kao prednost. Zbog ovog, bilo koji program koji korisnik pokrene (namerno ili nenamerno) ima takoðe neogranièen pristup sistemu. Špijunski program, zajedno sa drugim pretnjama, je uputio neke Windows korisnike na druge operativne sisteme kao što je Linux ili Apple Macintosh koji su otporniji na maliciozni kod. Ovo je zbog toga što ovi sistemi ne pružaju po originalnom podešavanju neogranièeni pristup operativnom sistemu.

Kao i na drugim operativnim sistemima, i Windows korisnici su u stanju da primenjuju principe najnižih ovlaštenja i da koriste neAdministratorske klauzule o najogranièenijem pristupu, i li da redukuju ovlaštenja posebno ranjivih procesa u vezi sa Internetom kao što je Internet Explorer (upotrebom alata kao što je DropMyRights). Meðutim, pošto ovo nije konfiguracija originalno postavljena, malo korisnika koristi ovu moguænost.

5.8. Reklamni softver (engl.Adware)

Mnogi špijunski programi prikazuju oglase. Neki programi jednostavno prikažu reklamne

prozore periodièno; na primer, neki svakih nekoliko minuta, a neki kada korisnik otvori prozor

pretraživaèa. Drugi prikazuju poruke kao odgovor na specifièni sajt koga korisnik poseti . Oni

koji postavljaju špijunski program na web stranicu gledaju da izgled špijunskog programa bude

primamljiv i lepo dizajniran prema mišljenju oglašivaèa, sa ciljem da im se dodatno plati za mesto prikazivanja reklamnih prozora kada posetilac naiðe na neku stranicu.

Mnogi korisnici se žale na iritirajuæi i ofanzivni naèin reklamiranja. Pored mnogih baner1 dodataka, mnogi oglasi koriste animacije ili treptave banere koji znaju veoma nervirati korisnike. Reklamni prozori u pornografiji su posebno agresivni. Linkovi do ovih stranica mogu biti dodati u prozoru pretraživaèa, istoriji ili funkcijama traženja. Kada su korisnici deca, velika je verovatnoæa da æe doæi do kršenja zakona o anti-pornografiji.

5.9. Lopovski softver (engl.Stealware) Nekoliko trgovaca špijunskim programima, posebno kompanija 180 Solutions , su pravili ono što je New York Times sumnjao. Bio je to lopovski sofver ili kako je to istraživaè ovih softvera Ben Edelman (Benjamin Edelman) nazvao terminom affiliate fraud (lažne filijale). Lopovski sofver preusmerava plaæanje budžetskih prihoda sa tržišta gde se posluje meðu filijalama od normalnih filijala ka tvorcu ovog malicioznog programa.

Špijunski program koji napada mreže fiijala postavlja oznaku filijale na korisnièku aktivnost – zamenjujuæi sve ostale oznake ukoliko ima ijedna. U ovom sluèaju dobitnik je samo operator špijunskog programa. Legitimne filijale gube budžetske prihode, reputacija mreže je povreðena, trgovci su ošteæeni zato što moraju da plate budžetske prihode filijala nekoj drugoj filijali koja nije deo ugovora.

Poslovanje sa lažnim filijalama je kršenje uslova vršenja usluga na mreži u poslovanju meðu fi li jalama. Kao rezultat, operatori špijunskihh programa kao kompanija 180 Solutions su uklonjeni iz ove vrste poslovanja ukljuèujuæi i oblike poslovanja LinkShare i ShareSale.

5.10. Identitet, kraða i krivotvorenje U jednom sluèaju, špijunski program je bio usko povezan sa kraðom identiteta. U augustu 2005. godine, istraživaèi iz softversko bezbednosne firme Sunbelt Softver su posumnjali da su tvorci obiènog špijunskog programa kompanija CoolWebSaerch isti koristili da bi prenosili chat razgovore, korisnièka imena, lozinke, bankovne informacije, itd., ali se je zapravo pokazalo da je to zapravo bio mali trojanski konj tog istog špijunskog programa nezavisan od CWS. Ovaj sluèaj je još aktuelan i pod istragom FBI.

Federalno ministarstvo trgovine SAD je procenilo da su 27.3 miliona amerikanaca bili žrtve kraðe identiteta i da su finansiski gubici zbeleženi zbog kraðe identiteta iznosili blizu 48 milijardi dolara meðu biznis i finansiskim institucijama, a „samo” 5 milijardi dolara troškova vezanih za pojedince.

Tvorci špijunskih programa mogu da omoguæe lažnu liniju za uspostavljanje veze nekom posebnom adresom. Ovo resetuje modem da bira broj sa nekom premium2 tarifom umesto da bude biran redovan internet-servis provajder. Uspostavljanjem veze sa ovim brojevima ukljuèuje i prekookeanske razgovore sa odgovarajuæim cenovnikom. Ukoliko kompjuter nije povezan na telefonsku liniju ili nema modema, biraèi nemaju nikakvog efekta.

1 Reklama za neki proizvod ili uslugu koja se oglašava na nekoj web stranici. Uglavnom treptave manje slièice sa jarkim bojama koje privlaèe pažnju. 2 Markentinški termin za ekskluzivnu robu ili uslugu.

5.11. Špijunski program i kolaèiæi (engl. Cookies) Anti-špijunski programi èesto izveštavaju o Web oglašivaèima kolaèiæima, malim tekst datotekama koje prate aktivnosti prilikom pretraživanja, jednako kao i špijunski program. Dok oni uglavnom nisu maliciozni, mnogi korisnici se žale kako oni koriste prostor na njihovom kompjuteru radi ostvarivanja prihoda, a mnogi anti-špijunski programi nude moguænost njihovog uklanjanja.

5.12. Primeri špijunskih programa Ovi obièni špijunski programi na najbolji naèin prikazuju razlièitost ponašanja pokazanog prilikom njihovog napada. Primeæujete da su istraživaèi dali imena ovim špijunskim programima baš kao i kompjuterskim virusima, a da se ta ista imena ne koriste od strane njihovih kreatora. Programi su grupisani u porodice na osnovu, ne samo programskog koda, veæ obiènog ponašnja, ili prateæi put novca kada se radi o oèiglednim poslovnim putanjama. Na primer, odreðeni broj špijunskih programa koje je distribuirala kompanija Claria su poznati kao Gator. Slièno tome, programi koji se èesto instaliraju zajedno mogu biti opisani kao delovi istog špijunskog program paketa, pa èak i ako funkcionišu odvojeno.

CoolWebSearch, je grupa programa koji koristi nedostatke Internet Explorera. Ova vrsta programa prikazuje rek lamne prozorèiæe, menjaju pronaðene sadržaje u mašini za pretraživanje i upuæuju host datoteke inficiranog kompjutera da usmeravaju DNS pretrage ka tim stranicama.

Internet Optimizer, takoðe poznat kao DyFuCa, preusmerava stranice sa greškom na Internet Exploreru za potrebe oglašavanja. Kada korisnik prati neki pokidani link ili doðe na neku adresu sa greškom na Internetu, videæe stranicu sa nekim oglasom. Meðutim, zbog toga što Web sajtovi koji su zaštiæeni lozinkom koriste isti mehanizam kao HTTP greške, Internet optimizator omoguæava korisniku da pristupi stranicama koje su zaštiæene lozinkom.

Zango (nekada 180 Solutions) prenose detaljne informacije oglašivaèima u vezi web stranica koje korisnici poseæuju. Takoðe usmerava HTTP zahteve za oglase filijala kojima se pristupa sa Web stranice, tako da oglašivaèi prave nelegalnu zaradu za kompaniju 180 Solutions .

HuntBar, reklamani softver, je bio instaliran sa preuzimanjem sa ActiveX na Web stranici jedne fili jale, ili oglasa koji je bio prikazan od strane drugog všpijunskog programa – primer kako jedan špijunski softver može instalirati više svojih potprograma. Ovi programi i trake sa alatima za IE, prate pretraživaèko ponašanje, preusmeravaju reference filijala i prikazuju oglase.

Movieland, takoðe poznat kao Moviepass.tv ili Popcorn.net, je servis za preuzimanje filmova na koji su se žalile hiljade njih Federalnom ministarstvu za trgovinu (FTC) u SAD, kancelariji tužilaštva u Vašingtonu, Poslovnom birou, i drugima tvrdeæi da su bili preplavljeni reklamnim prozorèiæima i zahtevima za plaæanjem. FTC je prihvatilo žalbu za Movieland i jedanaest drugih, i optužio ih za prevaru na nacionalnom nivou u cilju iznude novca od potrošaèa. Potrošaèi su se žalili da da je softver èesto otvarao prevelike reklamne prozore koji se nisu mogli zatvarati ili smanjivati uz puštanje muzike koja je trajala skoro 1 minut, i tražili plaæanje od najmanje 29.95 dolara da prekinu sa svojim pojavljivanjem. Pri ovom su tvrdili da su potrošaèi potpisali za slobodnu trodnevnu probu ali nisu otkazali svoje èlanstvo prije no što je probni period prošao te da su stoga obavezni da plate.

Zlob trojan i li samo Zlob, preuzima sam sebe na korisnièkom kompjuteru preko ActiveX kodeka i prenosi informacije dalje ka kontrolnom serveru. Neke informacije mogu biti po primeru onih iz korisnièke istorije pretraživanja, web stranice koje su poseæene ili èak pritiskanja na pojedine tipke.

5.13. Zakonska regulativa u vezi špijunskih programa 5.13.1. Kazneno pravo Neovlašten pristup nekom kompjuteru je nezakonit prema kaznenom pravu. Tako je svuda u svetu pa i kod nas. Obzirom da vlasnici inficiranih kompjutera generalno tvrde da oni nikada nisu dali saglasnost za jednu takvu instalaciju, te se stoga može zakljuèiti da se ovde radi o sluèaju kršenja kaznenog prava. Odredbe ovog zakona su veæ primenjivane na tvorce nekih drugih vrsta malicioznih softvera, a posebno virusa. Meðutim, malo je tvoraca špijunskih programa procesuirano, a mnogi od njih rade otvoreno kao u okvirima strogo zakonskog poslovanja.

Proizvoðaèi špijunskog programa tvrde suprotno žalbama korisnika, da su korisnici dali njihovu saglasnost za instalaciju. Špijunski program koji je instaliran pored neke kupljene aplikacije se može naæi u ugovoru koji onaj ko instalira program potpisuje. Mnogi kupci po navici jednostavno neèitaju ove odredbe, a kompanije-proizvoðaèi ovog softvera se èvrsto oslanjaju na njihove potvrde o pristanku. Meðutim, neke zakonske regulative naglašavaju da se jednim klikom u vezi slaganja sa ponuðenim uslovima nemože smatrati punovažnim ugovorom te da se nemože shvatiti da je samim tim prihvaæena svaka ponuðena stavka iz njega te da stoga i nema zakonsko dejstvo.

Neke države u SAD su donele zakone kojima su neki oblici špijunskih programa proglašeni kriminalnim tvorevinama. Ovakvi zakoni terete svakoga osim vlasnika inficiranog kompjutera, zbog preusmeravanja i ponovnog podešavanja web pretraživaèa, praæenja upisa sa tastature ili onemoguæavanja rada softvera za bezbednost kompjutera.

Ovakva mera je, kao prva u Evropi, provedena u Holandiji od strane Ministarstva pošta i tlekomunikacija. U ovom sluèaju je prikupljena kazna u iznosu od 1.000.000 eura radi toga što je inficirano 22 miliona kompjutera. Špijunski program se zove DollarRevenue. Èlanovi zakona koji su prekršeni su: 4.1 Zakona o telekomunikacijama Holandije i još neki ....

Buduæi da i u ovom sluèaju postoji postupak prema žalbi, kazne æe biti moguæe naplatiti tek po pravomoænosti presude. Sud tvrdi da su aktivnosti koje su dovele do kršenja ovog zakona vršene ilegalno. Imena direktora i imena kompanija nisu još obelodanjeni buduæi da sudski proces još nije priveden kraju.

5.13.2. Parnièno pravo Bivši tužilac države New York i guverner Eliot Spitzer je pokrenuo tužbu protiv kompanija proizvoðaèa špijunskih programa zbog nedozvoljene instalacije softvera. U procesu iz 2005. godine, gde je tužio kalifornisku firmu IntermixMedia, Spitzer je uspeo da postigne dogovor o plaæanju 7.5 miliona US dolara i prestanku daljnje distribucije softvera.

Neovlašteno pristupanje web oglasima je takoðe dovelo do rešavanja sudskim putem. U junu 2002. nekoliko web izdavaèa, pokrenulo je postupak protiv kompanije Clarie radi menjanja oglasa, ali su se nagodili izvan suda.

Sudovi još nisu odluèili da li da oglašivaèi mogu da se smatraju odgovornim za postojanje špijunskog programa koji prikazuju njihove reklame. U mnogim sluèajevima, kompanije èiji oglasi se pojavljuju na reklamnim dodacima nemaju direktnog dodira sa ovim kompanijama. Oni se uglavnom za takve kompanije vežu nekim ugovorima koje su potpisale sa drugim oglašivaèkim agencijama koje se plaæaju prema broju „impresija” ili pojavljivanja u nekom oglasu. Neke firme kao što je Dell Computer ili Mercedes Benz su dale otkaze agencijama koje su ih oglašavale ovom vrstom softvera.

6. MANJE POZNATI MALICIOZNI SOFTVER

6.1. KORENSKI KOMPLET ALATA (engl.Rootkit)

Korenski komplet alata je softver koji se ubacuje na kompjuter pošto je napadaè dobio kontrolu sistema a namena mu je da olakša daljinsku kontrolu i da sakrije tragove upada brisanjem log datoteka ili sakrivanjem procesa koji su pod kontrolom napadaèa. Èesto korenski kompleti alata sadrže i pozadince, omoguæavajuæi olakšani naknadni upad. Važno je primetiti da se ciljani napadi obièno izvode sa sistema koji su takoðe prethodno bili ugroženi, da bi se sa njih lako mogli ukloniti dokazi o identitetu napadaèa, jer sam napadaè dobija moguænost da ukloni dokaze. Korenski kompleti alata se vrlo èesto vezuju za kernel nivo, pa ih je teško otkriti, a kada se jednom otkriju vrlo je važno da se kompletno reinstalira sistem, kako bi se sigurno uklonili svi njegovi tragovi.

Kada se trojanski konj instalira u sistem, èesto æe biti korisno tvorcu virusa da on ostane sakriven. Tehnike poznate kao k orenski kompleti alata dozvoljavaju ovo prikrivanje na naèin što æe modifikovati operativni sistem te stvoriti uslove da maliciozni program ostane sakriven od korisnika. Korenski kompleti alata mogu urediti da malciozni procesi budu sakriveni u sistemskoj listi procesa ili saèuvati maliciozne dokumente od èitanja. Izvorno korenski kompleti alata su bili kompleti alata koje je èovek koristio pri napadu na UNIX operativni sistem gde je napadaè dobijao administratorski pristup ili korenski (engl.root) pristup. Danas se ovaj termin koristi generalno za postupke prikrivanja u malicioznim programima.

6.2. EXPLOITI

Exploiti su programi koji iskorištavaju odreðenu slabost nekog programa, oni najèešæe sami ne nanose štetu i postoje samo da bi se demonstrirala slabost nekog programa, ali njihove usluge èesto vrlo rado k oriste crvi, virusi, špijunski programi i sl.

6.3. WEBBITI

Specijalna i veoma retka varijanta malicioznog programa. Za razliku od virusa, ne inficiraju programe ili dokumente na hostu, veæ su to posebni programi koji se najèešæe automatski pokreæu. Za razliku od crva, ne koriste mrežu da bi se širili veæ se samo replikuju u okviru zaraženog kompjutera. Obièno su maliciozni, koriste se najèešèe kao baza za DDoS napade.

6.4. ZAMKA (engl.TRAP DOOR)

Ovo je posebna funkcija programa koja se može pokrenuti unapred, lozinkom ili delom znakova.

6.5. REKLAMNI SOFTVER (engl.ADWARE)

Reklamni softver je onaj koji prikazuje oglašavaèke banere u prozoru pretraživaèa, kao što je i Internet Explorer ili Mozilla Firefox. Premda nisu klasifikovani kao maliciozni, mnogi korisnici ih smatraju invazivnim. Reklamni softver èesto stvaraju neželjene efekte na nekom sistemu, kao što je iritiranje sa reklamnim prozorèiæima i generalni pad kvaliteta mrežne veze ili sistemskih performansi. Reklamni softver su uglavnom instalirani kao odvojeni programi koji su bili u istom paketu sa nekim drugim softverom. Mnogi korisnici se nesvesno slože da im ovakvi programi budu instalirani prihvatajuæi ugovor o korišæenju softvera (EULA). Reklamni softver je èesto instaliran u tandemu sa špijunskim programom. Tada oba programa održavaju funkcije jedan drugom. Dok špijunski program prati ponašanje korisnika na Internetu, reklamni softver prikazuju odreðene sadržaje koji su u skladu sa onim što korisnik obièno traži na Internetu.

7. SPAMOVI

7.1. Objašnjenje pojma spam Slanje spamova predstavlja zloupotrebu sistema slanja elektronske pošte uz slanje “zbrkanih” velikih poruka koje korisnik neoèekuje. Dok je najšire rasprostranjena forma spamova ona u vezi elektronske pošte, ovaj termin se takoðe odnosi na sliènu zloupotrebu medijuma: neposredni spamovi sa porukama, spamovi na Usenet1-u, spamovi Web pretraživaèkih mašina, spamovi u faks transmisiji, spamovi sa Internet foruma, spamovi u porukama sa mobilnih telefona.... .

Sl.10 - Jedan direktorijum elektronske pošte sa spam porukama.

Slanje spamova je ekonomski isplativo zbog toga što oglašivaèi nemaju nikakvih operativnih troškova u vezi upravljanja njihovim spiskom za slanje pošte, a uz to je voma teško naplaæivati pošiljaocima pošte za masovno slanje poruka. Zbog slabih barijera po pitanju ulaska ove vrste pošte, oni koji šalju spamove su brojni, a kolièina neželjene pošte postaje veoma velika (Slika 10).

Troškovi, prouzroèeni smanjenom produktivnošæu i falsifikovanjem, su zabeleženi i u društvu i kod internet servis provajdera, koji su prisiljeni da dodaju dodatni prostor za ove nametnike. Slanje spamova je veoma podmukao posao, i postalo je predmet dnevnog reda zakona mnogih država.

7.2. Istorijat

Široko je rasprostranjeno verovanje da je termin spam izvuèen iz skeèa SPAM od Monti Pajtona

(Monty Pithon) u 1970. godini, gde u nekom kafani postoji meni i skoro svaka stavka tog menija

1 Kovanica reèi ”User” i “network” za u svetu široko rasprostranjeni sistem diskusionih grupa.

ukljuèuje SPAM mesni obrok. Kako konobar recituje stavke tog menija sa SPAM-ovima, hor vikinga koji su takoðe tu gosti prekidaju diskusiju i pevaju pesmicu stalno ponavljajuæi “SPAM, SPAM, SPAM, SPAM... lovely SPAM, wonderful SPAM”, što ustvari pedstavlja SPAM voðenje dijaloga.

Drugo mišljenje je vezano za jedan drugi skeè a u vezi obroka britanskih vojnika u II Svetskom ratu. SPAM je bio jedan od malobrojnih mesnih obroka koji je vojnicima bilo tako odvratan te da je stoga bio dostupan na svakom koraku.

Premda je prvi poznati primer pojavljivanja neželjene komercijalne elektronske pošte u 1978 . godini (ovakvo elektronsko slanje poruka se veæ odvija u svim moguæim medijumima, sa do tada prvim registrovanim primerom spama poslatog telegramom u maju 1864. godine), termin spam iz ovog razloga još uvek nije bio primenjen. U 80- im je ovaj termin prihvaæen da bi opisao neke korisnike koji su èesto zloupotrebljavali chat servis tako što su ponavljali veliki broj puta reè SPAM tako da drugi korisnici nisu mogli upisati ništa na ekran.

U ranim chat servisima kao što je bio PeopleLink i u ranim danima kompanije AOL, oni su doslovno “preplavljivali” ekrane ovom reèi. Osim što je ovo bila taktika da se iz dijaloga oteraju pridošlice, kao što je veæ bilo opisano, ovo je korišæeno da se spreèe èlanovi protivnièkih rivalskih grupa u prepisci. Na primer, ljubitelji Ratova Zvezda1 su èesto koristili Star Trek chat, popunjavajuæi prostor blokovima teksta sve dok ljubitelji Star Treka nebi odustali. Ovaj èin, prethodno nazvan “plavljenje”, je kasnije postao poznat kao pravljenje spamova. Uskoro je ovaj termin onaèavao veliku kolièinu teksta koja je poslata od strane brojnih uèesnika.

Kasnije se je ovo koristilo na Usenet (kovanica “User” i “Network”) za ponovljena slanja jedne te iste poruke. Neželjena poruka se je pojavljivala u svim grupama novosti jednostavno kao SPAM koji se je pojavljivao u svim stavkama menija u skeèu Montija Pajtona.

Prva upotreba u ovom obliku bila je u sluèaju Joel Furr u martu 1993 godine, gde je jedan eksperimentalni softver poslao više desetina istih poruka na adresu grupe za novosti news.admin.policy.

1998. godine, u Engleskoj, New Oxford Dictionary, koji su u prošlosti definisali spam samo u vezi sa markom hrane koja se je pojavljivala na tržištu, dodali su novi smisao ovoj reèi spam: “Nevažna i neodgovarajuæa poruka poslata na Internet velikom broju News grupa ili korisnika”.

7.3. Slanje spamova u razlièitim medijumima Spam kao elektronska pošta je poznat kao neželjena velika datoteka u elektronskoj pošti (engl. unsolicited bulk email (UBE)) ili kao neželjeni komercijalna elektronska pošta (engl.unsolicited commercial email (UCE)), što je postalo praksa za slanje neželjene pošte, ugavnom sa komercijalnim sadržajem, u velikim kolièinama ka velikom broju kompjuterskih korisnika.

Slanje spamova je postalo problem u vreme kad je Internet bio otvoren za javnost, sredinom 90- ih. Od tada je eksponencijalno raslo, da bi danas oko 80 do 85% poslate pošte bili ustvari spamovi. Neki izvori tvrde da je èak 95% poslate pošte ustvari spamovi.

Zakonske mere protiv pravljenja spamova su urodile plodom u nekim oblastima, dok je u nekim oblastima sve ostalo kako je i bilo pre toga. Spameri se snalaze tako da njihove aktivnosti u vezi slanja spamova sele u oblasti gde neæe podlegati zakonskim odredbama i na taj naèin doæi u nevolju.

1 Nauèno fantastièna serija koja se je emitovala kod nas na TV u kasnim 70-im god.

Sve je prisutnije da se spamovi danas šalju putem “zombi” mreža, koje su u stvari mreže kompjutera koji su zaraženi virusima ili crvima po domovima ili kancelarijama širom sveta. Mnogi moderni crvi instaliraju pozadince koji spamerima dozvoljavaju pristup ka kompjuteru. U isto vreme postaje jasno da autori malicioznih programa, spameri i drugi u ovoj sivoj zoni, uèe jedni od drugih i verovatno stvaraju razlièite vrste partnerstava.

Elektronska pošta je jedan ekstremno jeftin medijum, i profesionalni spameri su automatizovali njihove postupke do krajnosti. Tako je slanje spamova postalo veoma profitabilno, èak i tamo gde bi inaèe bilo normalno ne oèekivati neku veliku zaradu.

Uspostavljena je èak delatnost za sakupljanje adresa kompjuterskih korisnika koja je namenjena iskljuèivo za tu svrhu i zaradu ostvaruju prodajuæi te databaze. Jeftino se prodaju milioni elektronskih adresa.

7.3.1. Instant spamovi u porukama Mnogi IM sistemi nude korisnièki direktorijum gde se nalaze demografske informacije koje dozvoljavaju oglašivaèu da sakuplja informacije koje je prikupio pristupanjem korisnika u svoj sistem, te da kasnije koristi te iste informacije za slanje poruka koje niko nije tražio. Da bi se poslale instant poruke ka milionima korisnika potrebno je imati korisnièka imena i softver gde se može pisati skript. Jednako ovako, spameri su usmerili pažnju ka chat kanalima, pri èemu koriste IRC.Bot1-ove da bi pristupili kanalima i “bombardovali” ih sa oglasima.

U brojnim sluèajevima, spameri koji svoje spamove šalju uz poruke ka “ranjivim” mašinama prave spamove koji sadrže tekst na primer “Nervira vas ova poruka? Posetite sajt”. Link vodi do web stranice gde se besplatno kaže korisniku kako da onemoguæi ovu vrstu servisa u vezi slanja poruka. Premda se ovaj servis lako onemoguæi na taj naèin, spam je i dalje tu. Èesto, jedina iritirajuæa poruka koju korisnik prima jeste dodatak koji æe onemoguæiti pojavu same poruke. To se èesto dogaða kada se koristi pogrešan ID da bi se nešto platilo bez novca.

7.3.2. Chat spam Ovaj spam može da dopre do korisnika u bilo kom okruženju gde se vodi razgovor, a kao što je chat kanal na Internetu, neki multiplejer za igrice, i bilo koji oblik za razgovor koji se može videti. Sastoji se iz ponavljanja jedne te iste reèi ili reèenice mnogo puta da bi privukla pažnju i pomešala se sa redovnim operacijama. Generalno, ovo se smatra veoma nepristojnim i može dovesti do toga da korisnici odbace svaku pomisao da bi ponovo koristili isti taj servis kod istog vlasnika ili moderatora.

Aplikacioni naziv spam za neželjenu komunikaciju zapravo vuèe koren od chat-room spama. Izvorno, on je napravljen u chat prostoru u People-Link u ranim 80-im kao tehnika za oslobaðanje od neželjenih pridošlica. Kada bi neko pristupio u chat prostor i pokušao da preusmeri razgovor u neki neželjeni tok, onda bi dva starija èlana poèeli ispisivati velikom brzinom spam u stilu Monti Pajtona. Ekran bi bio popunjen sa “Spam Spam Spam eggs Spam Spam and Spam” itd, što bi uèinilo bilo kakvu dalju komunikaciju nemoguæom. Drugi poznati èlanovi u konverzaciji bi samo tiho èekali dok se pridošlici ovo nebi “smuèilo” i premestili se na drugi chat prostor.

7.3.3. Spamovi za mobilne telefone

Spamovi za mobilne telefone se upuæuju na servis za slanje poruka na mobilnom telefonu. Ovo

1 Grupa pozadainskih trojanskih konja (Backdoor Trojan Horses) koji koriste relejne govorne kanale na

internetu (Internet Relay Chat) da bi pokretali DoS (Denial of Service) napade.

može biti posebno iritirajuæe za potrošaèe, ne samo zbog nelagodnosti veæ i zbog plaæanja raèuna za slanje poruka. Termin SpaSMS je nastao na web sajtu Adland u 2000. godini sa ciljem opisivanja SMS spama.

7.3.4. Spamovi u obliku poruka na online igricama Mnoge online igrice dozvoljavaju moguænost da igraèi komuniciraju jedan sa drugim preko poruka player-to-player, chat prostora, ili javnih polja za diskusiju. Ovo omoguæava slanje spamova iz igrice u igricu. Uglavnom se ovaj termon koristi da bi se njime opisale sve forme poruka koje preplavljuju i koje ruše odredbe ugovora vezanog za usluge na web stranici. U ovom kontekstu, spam se ponekad uzima kao sinonim za nešto glupavo, besmisleno, nešto što živcira.

7.3.5. Spamovi èija meta su pretraživaèke mašine (engl.spamdexing) Ovo se odnosi na obièaj modifikovanja HTML stranica na WWW da bi se poveæala moguænost njihovog postavljanja više na rang listi koju stvaraju pretraživaèke mašine u vezi relevantnosti. Ovi sajtovi koriste tehnike optimizacije pretraživaèkih mašina da bi na nepošten naèin poveæali svoj prioritet u pretraživaèkoj mašini. Mnoge moderne mašine za pretraživanje su unapredile njihove algoritme kako bi iskljuèile moguænost korišæenja ove taktike.

7.3.6. Spamovi èija meta su stranice za deljenje videa Stranice za deljenje videa kao što je You Tube1, su sada èesto “zasuti” spamovima. Najèešæe se primenjuje korišæenje adresa koje su ljudi ostavili prilikom komentarisanja nekakvog sadržaja, a gde se traži profil korisnika, što je uglavnom vezano za pornografske sadržaje.

Osim ovoga, u primeni je slanje poruka odreðenim profilima korisnika prema sluèajnom izboru, sa primamljivim tekstom ili slièicama, uglavnom sugestivnog oblika. Ove stranice sadrže njihove vlastite ili korisnièke video snimke, takoðe, uglavnom sugestivne prirode. Glavna namena ovih spamova je da privuku ljude na njihovu web stranicu.

Sledeæi primer slanja spama je slanje poruke gde se predskazuje neki dogaðaj, npr. gubitak nekog voljenog, pretnja proganjanjem duhovima i sl., ako na zahtev nije udovoljeno s a odreðenim brojem kopiranja i slanja u nekom vremenu. Ovo je jedan primer: “Pošalji ovo na 5 adresa u roku od sat vremena ili æeš umreti”. Ovakve pošiljke pogaðaju lakoverne, ali veæina njih poruku šalje dalje i opet se nalaze lakoverni. Neki sajtovi omoguæuju korisniku da oznaèi neke spamove kao takve kako bi se postiglo da se slanje ove vrste spamova smanji .

Neki spamovi mogu preuzeti video koji predstavljaju informacije u vezi nekog proizvoda i detaljima ugovora koji kupac treba da potpiše, premda se u stvari radi o proizvodu koji je nije po standardu i koji jednostavno nezadovoljava uslove za pojavljivanje na tržištu. Takoðe da verovatno ne ispunjava niti potrebne zahteve za pojavljivanje u nekoj TV emisiji.

7.4. Nekomercijalni spamovi

Elektronska pošta i drugi oblici slanja spamova se mogu primenjivati bez da zalaze u podruèje

komercijalnog. Mnogi od Usenet spamova u prošlosti su bili politièke ili religiozne prirode. Na

primer S.A. se je pojavljivao kao spam na mreži Usenet iz èisto politièko revizionistièkih pobuda.

1 Web sajt za deljenje videa odakle korisnici mogu preuzimati, gledati i deliti vlastite video klipove. Formiran

sredinom februara 2005.godine od strane troje bivših PayPal zaposlenih.

Veliki broj evangelista1 je koristio Usenet za širenje spamova sa propovednièkim sadržajima. Takoðe se pojavljuje veliki broj kriminalaca da bi predstavio kao valjane mnoge falsifikate, a u nekim sluèajevima da bi im obezbedio alibi u sluèajevima kidnapovanja, ubistava, kraða i sl.

7.5. Geografski izvori spamova Struènjaci iz instituta SophosLab su analizirali spamove koji su bili uhvaæeni na spam filterima nekih kompanija, a koji su deo Sophos-ove globalne mreže za posmatranje. Došli su do podatka da je u toku treæeg tromeseèja 2007 godine SAD bile lider u broju poslatih spamova u èitavom svetu. Prema njihovim struènjacima 28.4% spamova na èitavoj planeti pripada SAD. Drugo mesto pripada Južnoj Koreji kojoj pripada 5.2% odaslatih spamova u svetu. Posle Koreje, tu se odmah nalazi Kina sa 4.9%, Rusija sa 4.4%, Brazil sa 3.7%, Francuska sa 3.6%, Nemaèka s a 3.4%, Britanija sa 2.4%,a tu je i Rumunija sa 2.3%.

7.6. Troškovi zbog spamova Savet za meðunarodnu trgovinu Evropske unije je utvrdio u 2001. godini da ova vrste elektronske pošte košta Internet korisnike u celom svetu oko 10 milijardi eura godišnje.

Kalifornisko zakonodavstvo je došla do podataka da su samo organizacije širom SAD radi spamova imale više od 13 milijardi dolara troška u 2007. god., ukljuèujuæi pri tom i izgubljenu produktivnost i dodatnu opremu, softver i ljudsku radnu snagu koju je bilo potrebno angažovati radi rešenja ovog problema.

Direktan efekat jeste u zauzimanju kompjuterskih i mrežnih resursa, i troškovi u ljudskom vremenu i pažnji u otklanjanju neželjenih poruka. Kao dodatak, spamovi donose troškove u naèinu kako ih spameri šalju i trci izmeðu spamera i onih koji pokušavaju da ih zaustave ili bar stave pod kontrolu. Postoji još direktni troškovi kao i indirektni koji se odnose na žrtve i na druge zloèine koji se tu pridružuju, kao što je finansiska kraða, kraðe identiteta, kraða podataka i intelektualnog vlasništva, deèja pornografija, falsifikovanje i sl.

Takoðe nije za zanemarivanje trošak kome su izloženi provajderi mašina za pretraživanje: sekundarna konsekvenca prilikom slanja spamova jeste da su indeksi mašina za pretraživanje sa beskorisnim stranicama pa se poveæava trošak svakog precesuiranog zahteva.

Troškovi za slanje spamova takoðe dovode do kolateralnih troškova u bici izmeðu spamera i administratora i korisnika medijuma koji su ugroženi spamovima.

Velikom broju korisnika smetaju spamovi zato što im oduzimaju neko vreme koje oni potroše na èitanje njihove elektronske pošte. Mnogi smatraju da je sadržaj tih spamova uvredljiv, a da je pornografija jedan od najèešæe oglašavanih proizvoda. Spameri ih šalju u velikoj kolièini pa pornografski dodaci mogu da se pojave na radnom mestu kao elektronska pošta ili kod dece što je nezakonito u veæini pravnih zemalja. Nedavno se je pojavio znaèajan broj spamova koji su oglašavali web sajtove koji su sadržavali deèju pornografiju.

Obzirom da su elektronske poruke besplatne za slanje, jedan veoma mali broj spamera može zasititi Internet sa ovom elektronskom poštom. Premda je veoma mali procenat njihovih ciljeva motivisan za kupovinu njihovih proizvoda , troškovi sprovoðenja nekih zakonskih mera bi bili dovoljni da ih eliminišu sa Interneta.

1 Hrišæanski teološki pristup gde se naglašava personalna èistoæa i autoritet biblije.

7.7. Pravna pitanja Spamovi se mogu koristiti za širenje kompjuterskih virusa, trojanskih konja ili drugih malicioznih softvera. Oni mogu biti usmereni na kraðe identiteta, druge vrste kraðe ukljuèujuæi i èiste finansiske kraðe, falsifikovanje , neovlašten pristup kompjuterima korisnika i td. Neki spamovi pokušavaju da iskoriste ljudsku gramzivost, a drugi pokušavaju da iskoriste slabo znanje u vezi kompjuterske tehnologije da bi ih prevarili.

31. maja 2007.god., jedan od najpoznatijih tvoraca spamova na svetu 27 godišnji Robert Alan Soloway je uhapšen u SAD od strane FBI. Opisan je kao jedan od 10 vrhunskih tvoraca spamova, On je optužen po 35 taèaka, ukljuèujuæi falsifikovanje elektronske pošte, pranje novca, kraðu identiteta i td. Tužilaštvo tvrdi da je on koristio milione “zombi” komjutera da bi distribuirao milione spamova u 2003. godini. Ovo je prvi sluèaj gde su federalne vlasti SAD koristili odredbu o kraði identiteta da bi gonili tvorca spamova zato što je preuzeo i koristio neèije ime domena.

Tvorci spamova su razvili softver koji ukljuèuje jednu atraktivnu ženu koja se pojavljuje na ekranu i obeæava svlaèenje ako korisnik pokrene CAPTCHA kod. Posle unošenja koda ista žena ne svlaèi svu odeæu nego se dešava da se program restartuje. Istraživaèi kompanije TrendMicro su zabrinuti da æe se ovaj spam koristiti za napad na finansiske institucije koji koriste CAPTCHA sistem bezbednosti.

7.8. Politièka pitanja Jedna od osnovnih vrednosti koja je favorisana od mnogih dugogodišnjih korisnika i internet struènjaka, kao i od mnogih drugih u društvu, jeste slobodna razmena ideja. Mnogi su i procenjivali relativnu anarhiju koja vlada na Internetu i dolazili na ideje o pojedinim zabranama.

Izražena je zabrinutost od strane nekih kao što je Electronic Frontier Foundation, koji moraju da se suoèavaju sa takozvanim blokiranjem kraða, što je izraz za internet servis provajdere koji moraju da uposle blokatore spamova bez znanja korisnika. Ove grupe su zabrinute u pogledu èinjenice da bi na raèun redukovanja broja spamova internet servis provajderi morali koristiti neka sredstva za njihovo blokiranje, a koje æe takoðe usput blokirati i elektronsku poštu koja zapravo nije spam.

Neki vide ove alate za blokiranje spamova kao pretnju slobodnom izražavanju i zakon protiv slanja spamova kao jedan presedan za regulisanje ili oporezivanje elektronske pošte ili Interneta u celini.

U novembru 2004. god., kompanija Lycos Europe je napravila jedan screensaver koji se zove “Make LOVE not SPAM”, koji je u vidu servisa za odbijanje distribucije spamova, napao same tvorce spamova. Pri tom je i sam došao pod kritiku i izazvao popriliène kontraverze pa je inicijativa za korišæenjem ovog screensavera završila decembra 2004.

7.9. Sluèajevi na sudu 7.9.1. SAD Kompanije Sanford Wallace i Cyber Promotions su bii meta lanca sudskih procesa, od koji se je

veæina poravnala izvan suda, u toku poznate Earthlink nagodbe koja je kompaniju Cyber Promotions izbacila iz poslovnog sveta.

2005. godine, Džeson Smeders (Jason Smathers), bivši radnik kompanije America Online, bio je optužen na osnovu narušavanja odredbi CAN-SPAM èlana. On je u 2003 godini prodao spisak od otprilike 93 miliona adresa AOL pretplatnika Šonu Danaveju (Sean Dunaway), koji je taj isti spisak preprodao tvorcima spamova.

U junu 2007, dva èoveka su osuðena po osam taèaka optužnice zbog toga što su slali milione spamova gde su se nalazili pornografski sadržaji . Džefri Kilbrajd (Jeffry A.Kilbride), star 41 godinu iz Kalifornije je osuðen na 6 godina zatvora, a Džejms Šafer (James R.Shafer), star 41 godinu, iz Paradise Valley iz Arizone na 63 meseca zatvora. Uz to su kažnjeni novèanom kaznom od 100.000 dolara, te osuðeni da plate odštetu od 77.500 dolara kompaniji AOL, te oduzimanje bespravno steèene imovine koja je steèena nezakonitim poslovanjem u iznosu od 1.1 miliona dolara. Optužba je obuhvatala, udruživanje radi kriminalne delatnosti, falsifikovanje, pranje novca, transport opscenog sadržaja itd. Sud koji je poèeo u junu, bio je prvi koji je ukljuèivao odredbe CAN-CPAM zakona iz 2003 godine. Ovaj zakon je osmišljen sa namerom da slomi prenos pornografije u spamovima.

7.9.2. Velika Britanija U prvom uspešnom sluèaju ove vrste, Najdžel Roberts (Nigel Roberts) iz Chanel Islands, je dobio 270 funti odštete od Media Logistics UK koji su slali spam elektronsku poštu na njegovu liènu adresu.

Januara 2007, Sheriff Court u Škotskoj, je presudio u korist Gordona Dika (Gordon Dicka) u sluèaju protiv Transcom Internet Services Ltd, u vezi kršenja anti-spam zakona, te doneo odluku da se Gordonu plati odšteta od 1.368,66 funti, kao kompenzacija za slanje spam elektronske pošte. Posle one presude Najdželu Robertsu, ovo je za sad najveæi iznos presuðen na ime odštete u Velikoj Britaniji.

8. ANTI-VIRUSNI SOFTVER

8.1. Pojam Anti virusni softver

Veæ više od dve decenije, kompjuterski virusi su prisutni na sceni, gde predstavljaju stalnu i realnu pretnju svim vrstama kompjuterskih sistema širom svijeta. Veoma èesto, virusi su povezani s velikim finansiskim gubicima, posebno kad je reè o infekcijama kompjuterskih mreža velikih kompanija, iako dotièni virusi možda i nisu bili napisani u cilju izazivanja štete, a mnogi koji i jesu, nisu izazvali onu vrstu štete koja se je od njih oèekivala.

Iako je ova pretnja svakim danom sve veæa, što zbog veæeg broja kompjutera, što zbog njihovog boljeg i raznovrsnijeg povezivanja, tehnologija koja joj se odluèila suprostaviti, te ima za cilj obranu kompjuterskih sistema od virusa, nažalost, nije dovoljno prihvaæena kod korisnika. Sa jedne strane, mnogi ne znaju, niti žele znati kako antivirusni programi funkcionišu, a sa druge strane, antivirusni sistemi (Slika 11), se èesto shvaæaju kao skupi programi koji ne donose nikakav profit. Kao rezultat, anti-virusni programi, ako i jesu instalirani, vrlo su èesto nepravilno konfigursani ili neažurirani.

Sl.11 – Jedan od anti-virusnih softvera na tržištu (Windows Live OneCare od kompanije Microsoft)

Skraæenica AV, u užem smislu znaèi anti-virus, dok u širem opisuje industriju, proizvode, te usluge koji se bave zaštitom kompjuterskih sistema od virusa.

8.2. Razvoj anti-virusnih softvera

Na poèetku razvoja virusa je otkrivanje i uklanjanje sa zaraženih mašina bilo mnogo jednostavnije nego danas. Vrlo kratko nakon pojave prvih virusa, pojavile su se i prve vrste jednostavnih antivirusnih alata. Prvi AV skeneri nisu bili u stanju dezinfikovati zaražene sisteme, veæ su jednostavno služili za proveru datoteka. U to vreme, veæina virusa bila je distribuirana preko disketa, jer nije bilo velikih kompjuterskih mreža.

Prvi anti-virusni alati radili su na principu da je odreðeni alat napisan za odreðeni virus, te su dakle korisnici najpre trebali otkriti o kom se virusu radi (što nije bilo teško jer ih je bilo malo), tada nabaviti odgovarajuæi alat i ukloniti virus.

Virusi iz toga vremena su ubacivali svoj kod na odreðena predvidljiva mjesta u programu. AV skeneri su tražili taj kod (tj. specifièni string znakova), te ukoliko bi kod bio pronaðen, on bi se brisao, a program bi se pokušao dovesti u prethodno stanje. Ukoliko to nije bi lo moguæe, AV bi korisniku savetovao brisanje programa i njegovu reinstalaciju.

Paralelno sa razvojem i usavršavanjem virusa, razvijali su se i usavršavali alati za borbu protiv njih. AV softveri su poput saobraæajnog policajca na putu, koji posmatra ponašanje prolaznika i pokušava pretpostaviti neèije loše namjere. I polici jski službenik i AV skener traže odreðene primerke ponašanja, te kreæu u akciju ukoliko to ponašanje preðe odreðeni prag. Kao i policajci , AV skeneri ponekad donose krive zakljuèke. Jednostavno, nije moguæe prozreti nameru svakog bita koda koji uðe u kompjuter, i nije pogodno testirati svaki bit koda pre njegovog izvršavanja, jer bi to prouzrkovalo ogroman pad performansi sistema i onemoguæilo izvršavanje legalnih programa. Najviše što AV skener može uèiniti jeste traženje primera ponašanja, na osnovu onih iz svoje baze podataka, a koji su se u prošlosti pokazali kao loši .

Kako je broj virusa poèeo naglo rasti, anti-virusne kompanije su shvatile da izdavanje specifiènih alata za specifiène viruse neæe biti moguæe u dogledno vreme, pa je bilo potrebno pronaæi novi naèin za traženje virusa, koji æe se sastojati u univerzalnom programu koji æe tražiti sve viruse prema odreðenim definisanim primercima. Nova generacija AV programa tako s e sastojala od dve komponente: anti-virusnog skenera i baze podataka sa primercima stringova. Te dve komponente u potpunosti zavise jedna o drugoj. Mnogi tadašnji anti-virusni alati nisu davali dobre rezultate, jer nisu bili u stanju pronaæi sve poznate viruse, a osim toga, postojao je tada nerešiv problem otkrivanja novih, nepoznatih virusa, kojih nije bilo u bazi sa primercima.

Dva dogaðaja su dovela do revolucije antivirusne tehnologije. 1993. godine, Džo Vels (Joe Wells) poèinje stvarati biblioteku virusa koju naziva nekontrlisani, te ju daje na uvid i korištenje antivirusnim kompanijama, koje do tog trenutka nisu imale standardiziranu bazu primerak a virusa, veæ se je svaka oslanjala na svoje vlastite podatke. Njegova lista je podelila viruse u dve grupe;

a. prva, u koju pripadaju aktivni virusi, tj. oni za koje se zna da trenutno postoje kao aktivni na kompjuterima širom sveta, nazvana je nekontrolisani (engl. in the wild),

b. druga grupa bi bila ona koji više nisu aktvini, jer su nestali sa svih aktivnih kompjutera u svetu. Takoðe, lista je omoguæila da se standardizuju imena virusa.

Drugi važan dogaðaj jeste poèetak komercijalnog testiranja i davanja atesta AV proizvodima od strane NCSA (National Computer Security Association), kasnije poznate kao ICSA.net, potom TruSecure Corporation. Antivirusne kompanije su dostavljale svoje proizvode na testiranje, i sa tim su bile prisiljene da na objektivan naèin dokažu kvalitet svojih proizvoda.

8.3. Struktura AV programa

o Programi za pregledanje - Scanners (za proveru datoteka)., o Programi za posmatranje - Monitors (deo koji je stalno aktivan koji nadgleda ulazno-

izlazne operacije na kompjuteru i proverava da li se tu možda nalazi neki virus)., o Heuristièki programi., o Programi za zaleðivanje sistema (engl.checksummers)., o Programi za èišæenje specifiènih i nespecifiènih virusa . ,

Nemoguæe je sa sigurnošæu znati da li je svaki program koji se pokreæe na kompjuteru legitiman ili se radi o malicioznom. Kad bi AV skeneri mogli znati sa 100%-tnom sigurnošæu da li neki program pripada jednoj ili drugoj grupi, njegov kod bi bilo moguæe ugraditi u sam operativni sistem, te ne bi bilo potrebe za dodatnim AV programom. Takoðe, nemoguæe je da AV skener proverava svaku datoteku koja se izvršava u celini, jer bi za takvu radnju bilo potrebno mnogo sistemskih resursa kompjutera, te bi takvo okruženje bilo gotovo neupotrebljivo. Stoga, AV programi deluju unutar nekih ogranièenja koje im nameæe sam operativni sistem. U cilju efektivnog rada, bez velikog uticaja na ostale programe koji se izvršavaju na kompjuteru, AV programi se koriste raznim “trikovima” kako bi spreèili virusnu infekciju, pronašli i dezinfikovali inficirane datoteke, a pritom zadržali koliko-toliko nedirnutu brzinu funkcionisanja ostatka sistema.

Scan delom programa se proverava sadržaj tvrdog diska u potrazi za poznatim virusima. Ukoliko se pronaðe inficirana datoteka deo programa za èišæenje æe pokušati da izvrši dezinfekciju ili æe brisati inficiranu datoteku (zavisno od podešavanja).

Treba naglasiti da uvek nije moguæe oèistiti (dezinfekovati) zaraženu datoteku pa nam u tom sluèaju ostaje, kao jedino rešenje, njeno brisanje.

Program za praæenje je vrlo koristan deo anti-virusnog programa koji proverava svaku datoteku koja se pokreæe, snima ili kopira. Na taj naèin imamo stalno aktivnog anti-virusnog èuvara koji nadgleda šta radimo, ali ujedno ovaj deo programa može dosta da uspori funkcionisanje kompjutera.

8.4. Princip rada antivirusnog programa 8.4.1. Metode koje se koriste za otkrivanje virusa

o DIJAGNOSTIKA SA PREGLEDOM DISKA: Ovo je najjednostavnija metoda. Ona se svodi na analiziranje svakog poznatog virusa a zatim se traži karakteristicni potpis virusa po kome se prepoznaje njegova prisutnost na kompjuteru.

o DIJAGNOSTIKA SA SONDIRANJEM: Ova dijagnostika se temelji na taènom poznavanju delovanja nekog virusa.

o DIFERENCIJALNA DIJAGNOSTIKA ( engl. checksumm) : Ova dijagnistika se vrši tako što se neinficirani delovi prvo zalede, a zatim se ostali delovi posmatraju da bi se uoèile promene koje virusi prave svojim delovanjem.

o REZIDENTNA DIJAGNOSTIKA (engl. monitoring): Ovo je preventivna metoda. Ona s e svodi na neprestano kontrolisanje kljuènih delova kompjutera i ako neki virus pokuša da prodre u sistem, on se uništava.

o HEURISTIÈKA DIJAGNOSTIKA: Ovo je inteligentna metoda za detektovanje virusa. U ovoj metodi AV program analizira izvršni kod svake datoteke i u njima pokušava pronaæi destruktivne operacije, karakteristiène za delovanje virusa.

Otkrivanje virusa zasnovano je na dve osnovne metode: prepoznavanju uzorka koji je karakteristièan za odreðeni virus (prepoznavanje koda koji je karakteristièan za viruse) i heuristièkom skeniranju.

Prvom metodom otkrivaju se samo postojeæi virusi, dok se heuristièkom metodom otkrivaju sumnjivi programi koji mogu, ali ne moraju biti maliciozni. Cilj antivirusnog programa je da heuristièkom metodom prijavi samo program za koji postoji vrlo visoka verovatnoæa da se radi o virusu kako ne bi nepotrebno uzbunjivao korisnika. Svi današnji anti-virusni softveri kombinuju obe metode jer u protivnom ne bi bio dovoljno efikasan. Kvalitet otkrivanja svih programa je jednak i na visokom je nivou, a mnogo zavisi od ažuriranja baze podataka antivirusa novim primercima.

Tako je danas važnije posmatrati anti-virusne softvere prema njihovim moguænostima, uèestalosti nadogradnje baze podataka AV programa te možda brzini skeniranja, nego prema neznatnoj razlici u trenutnom broju virusa koje mogu prepoznati . Inaèe, svi recenzirani softveri su dobili ocenu Virus Biltena 100% na poslednjim nezavisnim testiranjima jer su otkrili sve viruse koji su nekontrolisani (na aktivnim kompjuterima) i nisu izazivali lažne uzbune. Može s e napomenuti da anti-virusni alati imaju dva naèina funkcionisanja:

o samostalni (engl. on-demand), kod koga potragu za virusima pokreæemo sami, o proaktivni (obièno obeležen kao auto-protect,realtime protection ili nešto slièno) kod

koga je antivirusni modul uvek uèitan u memoriji i proverava programe nisu li zaraženi pre nego dozvoli njihovo pokretanje (takoðe proverava i pretnje sa Interneta).

Proaktivni modul malo usporava rad kompjutera prilikom pokretanja programa, ali za veæinu korisnika dobitak prevazilazi taj mali gubitak na performansama. Pre instalacije novog antivirusnog programa trebalo bi da za svaki sluèaj iskljuèite sistem za restauraciju (Start > All Programs > Accessories > System Tools) – odaberite opciju Create a restore point i sledite èarobnjaka k likom na Next. Nakon toga deinstalirajte anti-virusne programe i vatrene zidove (za onaj od Windowsa ne treba brinuti) koje imate na svom kompjuteru jer mnogi anti-virusni programi zbog proaktivne zaštite ne mogu istovremeno funkcionisati na istom kompjuteru.

Ako Vam se dogodi da nakon instalacije AV programa ne možete pretraživati Internet i ne funkcioniše Vam lokalna mreža, razlog je u tome što ste instalirali anti-virusni program sa vatrenim zidom, a veæ imate instaliran neki vatreni zid na kompjuteru - tada deinstalirajte postojeæi.

Anti-virusni alati se u nekim sluèajevima prodaju zajedno sa vatrenim zidom, anti-špijunskim programima i sliènim alatima. Anti-virusni program i njegova baza podataka sa poznatim primercima virusa funkcionišu zajedno u cilju otkrivanja virusa koji ulaze u sistem.

Mašina je uobièajeno predstavljena kao korisnièka platforma, te pruža osnovni set funkcija i

kontrola za podešavanje funkcionisanja anti-virusnog softvera. Sastoji se od mnogo složenih

algoritma za traženje primeraka, CPU emulatora1, te raznih formi programske logike. Mašina

odreðuje koje æe datoteke skenirati, koje funkcije pokretati, te kako delovati u sluèaju kada

posumnja da je u odreðenoj datoteci pronaðen virusni kod. Ipak, sama mašina ne zna ništa o

virusima, i gotovo je bespomoæana bez baze podataka sa primercima virusa (engl. signature

database).

Baza podataka sa primercima sadrži potpise desetine hiljada virusa. Kako se novi virusi

pojavljuju velikom brzinom, od posebnog znaèaja je da se baza podataka stalno ažurira novim

1 Dupliranje funkcija jednog sistema koriršæenjem drugog sistema, tako da se taj drugi sistem ponaša na isti

naèin kao i prvi.

primercima. Tako je 1995. godine kao generalna preporuka važila da se baze nadopunjuju bar jednom meseèno, dok je danas taj rok oko jednom nedeljno, a za kritiène sisteme i svakodnevno. Danas se svi antivirusni programi mogu lako i brzo ažurirati preko interneta, a mnogi taj posao maksimalno pojednostavnjuju automatizacijom.

Baza sa primercima, osim egzaktnih stringova, sadrži i neka pravila koja antivirusni programi koriste za heuristièko skeniranje. Ukoliko se pojavi novi virus, koji ne postoji još u bazi podataka, antivirus ga ne može pronaæi, osim prema veæ spomenutim pravilima ponašanja, tj. ako utvrdi da bi se odreðena datoteka prilikom izvršavanja ponašala prema nedozvoljenim pravilima, biæe klasifikovana kao sumnjiva. Ovakvo skeniranje je mnogo sporije nego ono koje samo traži poznate stringove, te mu efikasnost znaèajno varira od proizvoda do proizvoda. Mnogo proizvoda nam daje na volju koliko želimo duboku heuristièku analizu - što je ona dublja, to je više pravila obuhvaæeno njome, a samim tim i proces je sporiji, ali je zato moguænost otkrivanja nepoznatog virusa veæa.

Skeniranje datoteka je moguæe u tri režima:

o nakon pokretanja sistema, o stalno, o na zahtev.

Najefikasnije skeniranje je konstantno, tj. u pozadini se stalno izvršava antivirusni program koji skenira sve procese koji se izvode na kompjuteru. Meðutim, ovo može dosta usporiti sistem, zavisno o njegovoj brzini, te postavkama i karakteristikama samog AV programa, ali i o vrsti posla koji se obavlja na kompjuteru. Uz to, AV programi koriste i dosta sistemske memorije, kako bi testirali odreðene sekcije koda datoteka koje se proveravaju. Dakle, potrebno je pronaæi zlatnu sredinu, tj. AV program mora omoguæiti zaštitu kompjutera, a pri tome korisnik mora moæi nesmetano koristiti sve sistemske resurse, i li bar veliku veæinu.

Rani virusi su prilikom infekcije programa, svoj kod ubacivali na odreðeno mesto u programu, tako da je pri skeniranju bilo dovoljno potražiti to mesto i videti da li na njemu postoji virusni kod, izbegavajuæi skeniranje datoteke od vrha do dna i tako uveliko štedeæi vreme. Danas, to više nije sluèaj, pa je ponekad potrebno pregledati celu datoteku. Tako mnogi AV programi imaju implementiranu moguænost da koriste pregled kompletnih datoteka, što znatno usporava izvoðnje operacija.

Postoji moguænost da prilikom skeniranja legalnog programa, AV softver naiðe na kod koji se sasvim sluèajno podudara sa nekim iz baze primeraka, ili u skladu sa pravilom ponašanja, prijavi neinficiranu datoteku kao inficiranu. Nažalost, lažnih uzbuna ima uvek, no u posljednje vreme su ipak sve reði, jer programeri koriste sve bolje procedure za njihovo izbegavanje.

Nastankom novih, kompleksnijih virusa, skeniranje koristeæi iskljuèivo baze sa primercima postaje sve nepouzdanije. Neki virusi èak ni nemaju karakteristièan kod po kom bi se mogli prepoznati bez greške. Ima virusa koji nastoje ubaciti svoj kod u podruèja programa koja su veæ prije bila skenirana, ili smeštaju svoje podatke u direktorijume ili datoteke koje se uobièajeno ne skeniraju (npr. .cab datoteke). Zatim, virusi koriste promenjive enkripcije koda, menjaju formu, te mutiraju, sve u pokušaju da se što bolje sakriju od AV programa.

U mnoge antivirusne programe danas je ugraðena metoda provere (engl. checksum), kao

dodatna sigurnosna opcija za traženje nepoznatih virusa. Ovim putem se proveravaju datoteke,

te se traži da li su se menjale od vremena poslednje provere. Prilikom provere, stanja

proverenih datoteka se zapisuju u posebnu bazu podataka. Ukoliko promene velièine datoteke

nema, znaèi da nije došlo do njene infekcije u tom periodu. Ako se promena dogodila, ona može

biti legitimna, ali može biti i virus. Da bi AV softver otkrio o èemu se radi, preduzimaju se

dodatne radnje nad takvim datotekama (skeniranje, obaveštavanje korisnika itd, zavisno o pretpostavkama).

Zatim, AV programi se koriste u svom radu dešifrovanjem šifrovanih virusa, jer mnogo je virusa danas šifrovano, koji se prilikom infekcije automatski šifruju na drugi naèin, što dovodi do drugaèijeg potpisa, i tako šifrovani virus se ne podudara sa svojim primerkom u AV bazi primeraka. Ukoliko se pronaðe algoritam za dešifrovanje, on se smešta u bazu primeraka zajedno sa primerkom.

Emulacijom programa AV programi se koriste najèešæe za otkrivanje polimorfnih virusa. Program kojega se proverava, emulira se u simuliranom orkuženju operativnog sistema, tj. anti-virus nastoji simulacijom izvoðenja dotiènog programa proceniti što bi se dogodilo ako se program zaista pokrene. Tada na snagu stupaju veæ spomenuta pravila ponašanja, te ukoliko se preðe prag tolerancije, datoteka se smatra sumnjivom ili inficiranom.

Heuristièka analiza datoteka, iako vrlo korisna za otkrivanje novih, nepoznatih virusa, ima lošu stranu što nikada ne može biti 100% pouzdana. Neki produkti se hvale sa 80%-tnom pouzdanošæu otkrivanja virusa bez poznavanja njihovih primeraka. Drugi problem je taj što ovakvo skeniranje traži i dosta procesorskog vremena, a u sluèaju veæih i komplikovanijih datoteka i mnogo sistemske memorije, pogotovo kod emuliranja izvršavanja programa.

Prilikom heuristièkog skeniranja, skeniranoj datoteci se dodeljuju bodovi, koji oznaèavaju da li je datoteka bila pozitivna na odreðenom testu pravila ponašanja. Što više bodova prikupi, to je na više testova bila pozitivna, te se ukoliko preðe pretpostavljenu granicu, smatra sumnjivom (niža granica) ili inficiranom (viša granica). Usput se proveravaju datoteke samo na uobièajenim mestima na kojima se virusi u njima najèešæe nalaze, jer datoteke mogu biti ogromne, te bi njihovo kompletno proveravanje trajalo veoma dugo. Npr. video datoteka od par gigabajta se skenira u trenu, jer se pretraži samo njen mali deo (obièno je reè o poèetku datoteke, prvih nekoliko linija koda), dok bi njeno kompletno skeniranje trajalo minutima (sa današnjim uobièajenim brzinama kompjutera). Navedena metoda se naziva statièkim skeniranjem.

Za razliku od statièkog skeniranja, kod dinamièkog skeniranja se program još dodatno emulira, a ono se obièno preduzima samo ukoliko je broj bodova u statièkom skeniranju bio relativno veliki. U virtuelnom okruženju pokreæe se kod sumnjive datoteke i prati ponašanje simuliranog sistema. Jasno je da æe ovakvo izvoðenje operacija zahtevati priliène sistemske resurse kompjutera, ali to je cena koja se mora platiti ukoliko se želi relativno moæno traženje nepoznatih virusa. Može se primetiti da se dinamièko skeniranje ne preduzima ukoliko je u statièkom datoteka zadovoljila, tj. sa malim brojem bodova, što je u suštini dvosekli maè - štedi se izuzetno puno sistemskih resursa, meðutim, neki virusi mogu ostati neotkriveni bez dinamièke heuristièke analize. Napomenuæemo samo, kako ni dinamièka analiza nije svemoguæa, te poneki maliciozni program može i pored nje proæi neotkriven, zavisno o njegovim namerama.

8.4.2. Imuni sistemi Više od jedne decenije, pisci antivirusnih programa pokušavaju smisliti sistem koji æe biti otporan na viruse i u sluèaju infekcije sam sebe izleèiti, bez intervencije korisnika. Pri tome su se istraživaèi dosetili da bi mogli pokušati kopirati ljudski imunološki sistem, tj. njegovu osnovnu funkcisku strukturu. Sistem koji su zamislili sastoji se od praæenja stanja, te u sluèaju infekcije bilo kojeg njegovog dela, pokušaja automatskog izleèenja, te samo u sluèaju neuspeha, pozvalo bi se korsnika na intervenciju. Trenutno u svetu anti-virus programa postoje odreðena rešenja koja manje ili više uspešno prate i pretvaraju u delo ovu zamisao.

Izolovani kompjuter, tj. onaj koji nije spojen na kompjutersku mrežu, nakon infekcije virusom, nema velike šanse za samoizleèenje, jer mu nedostaje osnovno sredstvo za borbu protiv virusa - poznavanje samog sebe. Dakle, ukoliko je virus prošao neopaženo jer nije prepoznat, ni u vremenu koje predstoji, sam od sebe, dotièni kompjuter neæe nauèiti ništa novo o virusu. Sa druge strane, kompjuter koji je povezan na mrežu, veæ ima veæe moguænosti, jer u sluèaju infekcije može lako pozvati pomoæ od strane kompjutera koji nisu zaraženi. Kada su pomenuta 4 osnovna naèina na koji AV programi pokušavaju spreèiti zarazu kompjutera, navedeno je praæenje stanja svih sistema koji su povezani na osnovni sistem izveštavanja, ali nije reèeno ništa detaljnije. Sistem o kome je reè , tj. sistem izveštavanja, zapravo prati stanje svih svojih delova, na naèin da ima jedan ili više centralnih servera koji služe kao “mozak” sistema, a svaka radna stanica (nazovimo tako ostale sistemske kompjutere), izvršava na sebi klijentski dio anti-virusne aplikacije, koji prati “zdravstveno” stanje na toj stanici. Centralni server može biti lociran unutar LAN mreže, ali može biti i na serveru u laboratoriji proizvoðaèa anti-virusnog sistema. Ukoliko sistem praæenja zdravstvenog stanja odreðene radne stanice posumnja u prisutnost virusa, kojeg ne pronalazi u svojoj bazi primeraka, on tada pravi kopiju sumnjivog programa, te ju šalje centralnom serveru na analizu. Nakon prijema sumnjive datoteke, server ju prosleðuje testnom kompjuteru. Na tom kompjuteru, u kontroliranim uslovima, nepoznati i sumnjivi kod se može bez opasnosti pokrenuti , jer je to kompjuter namenjen iskljuèivo za potrebe takvog testiranja, te je on izdvojen od ostalih, i komunicirati može jedino sa centralnim serverom, i to pod odreðenim i vrlo strogim uslovima. Testni kompjuter tada pokreæe celi niz specijalizovanih koraka, da bi što je moguæe bolje izvestio o ponašanju sumnjivog programa u praksi, tj. u stvarnim uslovima izvoðenja. Cilj ovog postupka na testnom kompjuteru je da on pokuša (ukoliko je zaista reè o virusu) izdvojiti njegov primerak, te pronaæi naèin za njegovo uklanjanje sa sistema. Kao rezultat analize, testni kompjuter šalje natrag centralnom serveru, primerak virusa i metodu za njegovo uklanjanje s a inficiranih kompjutera. Centralni server dalje distribuira svim klijentskim kompjuterima dopunu baze sa primercima, te “lek”, tj. program ili što je veæ potrebno za èišæenje inficiranih kompjutera, k oji se automatski izvršava bez potrebe za korisnièkom intervencijom. Meðutim, ukoliko testni sistem nije u moguænosti pronaæi naèin za èišæenje zaraženih kompjutera, tada centralni server šalje virus programerima koji su i inaèe zaduženi za analizu virusa na daljnju ruènu obradu, i to je jedini sluèaj kada bi ovakav sistem trebao zatražiti intervenciju korisnika. Iako je zamisao vrlo dobra, mnogo je još otvorenih pitanja koja valja rešiti pre nego što se ovakvi sistemi poènu masovno primenjivati u praksi, te da im pouzdanost bude na zadovoljavajuæem nivou. Optimistièka predviðanja nekih AV proizvoðaèa ukazuju na to, da æe u dogledno vreme biti moguæe ostvariti ovakav sistem na bazi celog Interneta, kada bi se na klijentskim kompjuterima pokretale aplikacije za praæenje sistema, a ulogu centralnih servera i testnih kompjutera bi obavljali moæni kompjuteri u laboratorijima AV proizvoðaèa. Koliko æe se od cijele ove zamisli na kraju zaista i ostvariti, ostaje da se vidi, ali prema nekim pokazateljima, imuni sistemi imaju buduænost.

8.5. Kako se virusi brane od otkrivanja? 8.5.1. Promena datuma modifikacije Da bi izbegli otkrivanje od strane antivirusnih programa virusi primenjuju razlièite “prevare”. Neki stari virusi, posebno oni sa DOS platformi, uveravaju da je datum zadnje modifikacije što se tièe host datoteke ostao nepromenjen. Ovu “prevaru” AV softveri danas veoma lako otkrivaju.

Neki virusi mogu inficirati datoteke bez promene njihove velièine ili ošteæenja datoteka. Oni ovo postižu pišuæi preko neupotrebljenih podruèja izvršnih datoteka. Ovi se zovu cavity virusi. Na primer CIH virus ili Chernobyl virus zagaðuju prenosive izvršne datoteke. Pošto ove datoteke imaju mnogo praznih zagrada, virus koji je svega 1KB je neprimetan kada se dodaje postojeæoj datoteci.

Neki virusi pokušavaju da prikriju otkrivanje tako što prekidaju svoj zadatak i pridružuju se AV softveru pre nego što budu otkriveni.

8.5.2. Kraða Neki virusi pokušavaju prevariti AV softver prekidanjem njihovih zahteva ka operativnom sistemu. Virus se može sakriti prekidanjem AV softverskih zahteva za èitanjem datoteke i prepuštanjem zahteva virusu umesto operativnom sistemu. Potom virus može vratiti jednu nezaraženu verziju datoteke ka AV softveru tako da izgleda kao da je datoteka neinficirana. Moderni AV softveri primenjuju raznovrsne tehnike da prevaziðu ove viruske mehanizme. Jedini potpuno pouzdan metod za izbegavanje kraðe jeste pokretanje sistema sa nekog medijuma za koga se zna da je nezaražen.

8.5.3. Samo-modifikacija Veæina modernih AV programa pokušava da pronaðe modele virusa unutar obiènih programa skenirajuæi ih prema takozvanom virusnom potpisu. Potpis je karakteristièna mustra bajtova koja je deo odreðenog virusa ili porodice virusa. Ukoliko AV skener pronaðe prilikom skeniranja takvu mustru AV program odmah izveštava korisnika o postojanju virusa. Potom se korisniku pepušta moguænost da izbriše datoteka ili da ga proba oèistiti ili poporaviti. Neki virusi koriste tehniku da onemoguæe AV skenere da ih prepoznaju po potpisu što im teško uspeva pa stoga primenjuju modifikaciju koda pri svakoj infekciji, što znaèi da svaki sledeæi virus ima drugu varijantu koda.

8.5.4. Šifrovanje promenjivim kljuèem Mnogo naprednija metoda je korišæenje šifre za sakrivanje virusa. U ovom sluèaju, virus se sastoji iz malog dešifrantskog modula i jedne šifrovane kopije virusovog koda. Ukoliko je virus šifrovan sa razlièitim kljuèem za svaku inficiranu datoteku, jedini deo virusa koji ostaje nepromenjen jeste dešifrantski modul, koji je “prikaèen” na neki deo virusa (na primer na kraju). U ovom sluèaju, AV skener ne može direktno otkriti virus prema potpisu ali zato može da otkrije dešifrantski modul, što još uvek èini moguæim indirektno otkrivanje virusa. Buduæi da bi ovo bili simetrièni kljuèevi, smešteni na inficiranim hostovima, sasvim je moguæe konaèno dešifrovati virus, ali to verovatno nije ni potrebno buduæi da je samomodifikujuæi kod velika retkost.

8.5.5. Polimorfni kod Polimorfni kod je bio prva tehnika koja je ozbiljno zapretila AV programima. Kao i redovni šifrovani virusi , polimorfni virus inficira datoteke sa jednom svojom šifrovanom kopijom koja s e dekodira sa dešifrantskim modulom. U ovom sluèaju, ovaj dešifrantski modul se takoðe modificira pri svakoj infekciji neke datoteke. Stoga, dobro napisan polimorfni kod nema delova koji ostaju jednaki prilikom infekcije datoteka, što predstavlja veoma težak zadatak otkrivanje prema potpisu. AV program ga može otkriti dešifrovanjem korištenjem nekakve vrste nadmetanja ili statistièkom mustrom za analizu šifrovanog tela virusa. Da bi omoguæio delovanje polimorfnog koda, virus mora da ima polimorfnu mašinu (takoðe nazvana mutant mašina ili mašina za mutiranje) negde u svom šifrovanom telu.

Neki virusi koriste polimorfni kod na taj naèin što progresivno poveæavaju broj mutacija virusa. Na primer virus može biti programiran da mutira tokom nekog vremena tek neznatno, ili da bude programiran tako da se vrati u stanje kada infekcije datoteke kada je on samo sadržao virus. Prednost korišæenja ovih sporih polimorfnih virusa je da profesionalcima u borbi protiv virusa otežaju što više da dobiju odgovarajuæe mustre tog virusa, stoga što bajt datoteke koje su inficirane u jednom potezu æe tipièno sadržati iste ili sliène mustre virusa. Ovo æe prouzrokovati da detekcija virusa putem skenera bude nepouzdana i da neki virusi izbegnu otkrivanje.

8.5.6. Metamorfni kod Da bi izbegao otkrivanje putem nadmudrivanja, neki virusi se kompletno prepisivaju svaki put kada naprave infekciju. Za viruse koji koriste ovu tehniku se kaže da su metamorfni. Da bi metamoorfoza bila moguæa potrebna je mašina za metamorfozu. Ovi metamorfni virusi su veoma veliki i kompleksni. Na primer W32/Simile se sastoji od 14000 linija koda, a 90% od toga je mašina za metamorfozu.

8.6. Simptomi infekcije i èišæenje Postoji širok spektar simptoma postojanja malicioznog programa u sistemu, manje ili viš e uoèljivih. Najteži simptomi ukljuèuju nemoguænost pokretanja operativnog sistema zbog obrisanih ili promenjenih sistemskih datoteka ili potpuno brisanje podataka sa tvrdog diska. U ovakvim sluèajevima uglavnom je vrlo neizvesno da li je moguæe popraviti nastalu štetu i dovesti operativni sistem i podatke u prethodno stanje. Preporuèuje se pokretanje sistema s a diskete na kojoj postoji antivirusni softver i skeniranje sistema kako bi se utvrdila vrsta infekcije i pokušalo èišæenje, prvo sa samim antivirusnim programom (ako nudi tu moguænost), a potom i manuelno, prateæi uputstvo za èišæenje virusa, ukoliko ono postoji.

Uglavnom je kod težih infekcija potrebno pokrenuti operativni sistem sa Windows instalacionog diska i odabrati opciju Repair, kako bi se sistemske datoteke vratile u originalno stanje. Meðu simptomima može biti i usporenje LAN i Internet komunikacije, a izazvano je najèešæe širenjem crva. Simptomi ovakve infekcije se efikasno suzbijaju sa vatrenim zidom, a pored toga, vatreni zid može i da onemoguæi širenje crva. Promena podataka u izvršnim datotekama i dokumentima još jedan je od simptoma infekcije, mada to može biti i rezultat disfunkcije hardvera.

Dalje, funkcionalnost sistema može biti promenjena i usporena. Moguæe je pojavljivanje neoèekivanih poruka na ekranu, zvuènih signala, remeæenje normalnog rada ulaznog hardvera – najèešæe tastature i miša, a sve su ovo simptomi sigurne infekcije. Ukoliko simptomi i nisu veoma izraženi, na infekciju treba posumnjati i poželjno je skeniranje svih particija tvrdog diska sa najnovijim verzijama nekih od anti-virusnih softvera.

Kada se utvrdi da je sistem inficiran, ne treba upadati u ishitrene i nepromišljene akcije. Prvo, poželjno je naèiniti kopije važnih podataka, a potom pomoæu antivirusnog programa utvrditi o kakvom se tipu virusa radi i da li sa istim programom može i da se ukloni. Ako ne može, na Internetu je najverovatnije moguæe pronaæi specijalni program za uklanjanje tog tipa virusa.

Ako nema uspeha u pronalaženju odgovarajuæeg programa za èišæenje, treba potražiti uputstva za manuelno uklanjanje virusa. Ukoliko i taj pokušaj ne urodi plodom, ostaje opcija da korisnik sam utvrdi o kom procesu se radi i na koji naèin se isti pokreæe. Treba znati da pored velikog iskustva koje je potrebno za tako nešto, uspeh u tome nikako nije siguran, pa lako možemo doæi i do nekih polurešenja za koja možemo samo misliti da su konaèna.

Poslednja opcija je formatiranje tvrdog diska i reinstalacija sistema, uz prethodno saèinjavanje rezervne kopije podataka, što je vremenski najzahtevnija opcija, ali u nekim sluèajevima i neizbežna, uzimajuæi u obzir da je za neke vrste infekcije potreban izuzetno visok nivo znanja i iskustva da bi se kompjuter dezinfikovao.

Pri izboru anti-virus softvera, potrebno je posebno obratiti pažnju na reputaciju firme koja ga proizvodi, kao i na mišljenje korisnika koje se lako može pronaæi po forumima i u raznim kako štampanim, tako i online publikacijama. Kolièina malicioznog programa koju AVprogram može da otkrije je možda i manje važna od sposobnosti brzog ažuriranja programa sa najnovijim primercima malicioznog softvera, dakle osobine da je što pre po pojavi novog malicioznog programa, anti-maliciozni program sposoban da isti i pronaðe. U praksi, poznatiji programi se ažuriraju skoro svakodnevno sa novim definicijama.

8.7. Neki od anti-virus programa na tržištu Windows Live OneCare predstavlja najnoviji proizvod kompanije Microsoft koji se je pojavio još 2006. godine kao beta verzja na zahtev brojnih korisnika Microsofta. On se je pojavio na tržištu ove godine i veæ zadaje glavobolje kako tvorcima malicioznog softvera tako i mnogim kompanijama koje razvijaju AV softver. Tu glavobolju je prouzroèila ne prvom mestu njegov kvalitet i niža cena paketa, te èinjenica da je ipak Windows taj koji najbolje poznaje sebe i da æe na najbolji naèin znati braniti sam sebe od malicioznih softvera. Trend Micro PC-cillin 2000 je najbrži anti-virus program koji se može kupiti. Mnogi smatraju da ovaj program zaslužuje mnogo bolju reklamu nego što je ima sada. Veliki izbor opcija, logièno poredanih zajedno sa automatskim skeniranjem. Pre instalacije æe skenirati sistem i popraviti inficirane dokumente èak i da se ne instalira pun program. Kad god se otvori, kopira ili saèuva dokument, sve æe biti skenirano. Takoðe nudi i Web filter, koji štiti od zlonamernih stranica. AntiVirus eXpert je produkt kompanije Central Command. Dizajneri su izbegli pretrpanost aplikaci je i napravili produkt sa kojim se može lako raditi. Nema veliki izbor akcija, ovo je jasan program koji pokriva sve osnove kao skeniranje dokumenata, diskova, otkriva makro-viruse, internet i viruse na elektronskoj pošti pre nego što se nastane u sistemu. Može se èak i obavestiti onaj ko je poslao virus, automatski. Veoma je spor. Ne samo kada se skeniraju virusi, nego èak i kada pretražuje Web stranice. Ne mogu se skenirati samostalni dokumenti, skeniranje mapa je tehnièki zahtevno i nije moguæe izuzeti podmape. Nije baš najbolji izbor kada se uporedi sa ostalim programima. Norton AntiVirus 2008 je najbolji program koji se može naæi, iz više razloga. Ne uzima memoriju

ili usporava rad kompjutera. Postaje “jedan u masi” kada skenira i skoro da se ne primeæuje ako

radite na neèemu drugom. Ima najbolji skener kada su u pitanju virusi na elektronskoj pošti.

Nudi opciju za backup. Norton AV 2008 je nekrunisani kralj anti-virus aplikacija. Malo je skuplji

od ostalih programa, zato što nudi anti-virus za Palm OS, UnErase program koji vraæa izgubljene dokumente i Wipe, koji briše sve sto bi neki drugi program mogao ponovo da vrati u sistem. McAfee.com Clinic U vreme kada su svi radili na inovacijama i anti-virus programima, McAfee je poèeo nuditi online zaštitu za svoje èlanove. McAfee Clinic je u stvari èetiri programa u jednom: VirusScan, First Aid, Oil Change i UnInstaller. Korisnici se prijave, preuzmu malu aplikaciju i onda surfaju do McAfee.com da koriste programe. Ima sliène karakteristike kao i Trend Micro PC-cillin2000. Peporuèuje se korisnicima koji su u pokretu, i li za manje firme kojima treba lako rešenje za skeniranje virusa. Ovo je pogodno rešenje ako ne želite da se prebacujete sa jednog programa na drugi. Za korisnike koji trebaju fleksibilan virus-skener, ovo nije najbolje rešenje. Osim pomenutih softvera svakako moramo da pomenemo najomiljenije AV softvere na našem tržištu gde imamo sledeæe: o Kaspersky Internet Security 7.0, ili Kaspersky Antivirus 7.0, od kompanije Kaspersky., o NOD 32, i novije verzije ovog AV softvera od kompanije ESET., o Avast od kompanije Alwil Software koji se za kuæne korisnike I edukativne svrhe može

preuzeti besplatno., o AVG od istoimene kompanije koji takoðe postoji kao besplatan za kuæne korisnike i

obrazovanje.

8.8. Kako se braniti i odbraniti? Koristite uvijek anti-virus program sa najnovijom bazom podataka o virusima (zastareli softver i baza definicija ne vrše nikakvu zaštitu veæ vas samo zavaravaju da ste sigurni i zaštiæeni iako to niste).

Ne koristite program za elektronsku poštu Outlook Express i MS Exchange. Oni su najrasprostranjeniji i stoga su meta veæine virusa ovoga tipa. “Egzotièniji” program za elektronsku poštu, manja je moguænost da je neko veæ napisao virus za njega.

Koristite neki od programa za elektronsku poštu koji nisu podložni virusima tipa Melissa. Veæina ima neku besplatnu varijantu i mogu se naæi na Internetu ili na CD koji èesto prate èasopise. Meðu besplatnim programima za elektronsku poštu su najsigurniji: Eudora Lite,Pegasus i Netscape Messenger (ovaj zadnji je program za elektronsku poštu koji prati NetscapeNavigator).

Ovo reèeno, ne znaèi da ste sigurni od virusa koji se šalju putem elektronske pošte, veæ samo od onih koji napadaju upravo ovaj program. Ostali virusi dodati porukama i namjenjeni ošteæenju nekog drugog dela sistema idu i dalje neometano ovim putem.

U sluèaju da vaš kompjuter ipak postane “žrtva” virusa važi pravilo: Ne panièite, jer, šteta je verovatno veæ uèinjena i preostaje vam sada da uklonite virus koristeæi anti-virusni program.

Moguænost da sami obrišete najvažnije pismo ili arhivu telefonskih brojeva bez koje ne možete da radite obrnuto je proporcionalna merama na izradi rezervne kopije (što je manje kopija, veæe su moguænosti za štetu). Dakle, uvek imajte najsvežije sistemske kopije dokumenata (engl. backup).

8.9. Deset pravila u zaštiti od malicioznog programa 1. Ne kreirati lozinke koje se mogu lako otkriti

Netreba biti lenj i koristiti 1-2 lozinke za sve stranice koje se poseæuju samo zato što je to lakše. Po moguænosti koristiti kombinaciju slova i brojeva, i odabrati dužinu od najmanje 6 znakova. NE KORISTITI datume roðenja, imena dece ili kuænih ljubimaca ili jednostavne sekvence kao “XYZ123”. Èuvati na sigurnom mestu sva imena i lozinke, ali ne u kompjuteru. Ne davati lozinke da da bi ih neki web sajt saèuvao.

Periodièno menjati lozinke. Dobar primer za studente je: lozinka za jesenji semestar bi mogla biti “jesen2008” ili “sept08embar”. Promena lozinke za svaki semestar je obavezna na nekim koledžima, treba iskoristiti tu pogodnost.

2. Ne zadržati podatke u keš memoriji pretraživaèa

Pretraživaèi (engl. browser) ubrzavaju vašu navigaciju tako što zadržavaju grafike i druge elemente stranica koje su poseæivane na lokalnom disku. Naravno, svako ko ima pristup tom kompjuteru može videti gde je bio korisnik. Redovno brisanje tih dokumenata je pametan potez. Ako je na kompjuteru Internet Explorer (do verzije 6) otvoriti >Tools>Internet Options. Odaberite General i kliknuti Delete Files u Temporary Internet Files sekciji.

Ako je instaliran Netscape (verzija 4 i novije), odabrati Edit>Preferences.

U listi kategorija, kliknuti dva puta na Advanced i odabrati Cache. U toj sekciji kliknuti Clear Memory Cache i OK.

Potom kliknuti Clear Disk Cache i na kraju OK.

3. Ne omoguæavati razmenu datoteka

Kompjuter ne treba da bude na mreži sa omoguæenom podelom dokumenata i printera. Ako jeste, ostavljena su otvorena vrata za svakog “hakera” sa imalo znanja da uðe i “prekontroliše” dokumente i možda uèini nešto nepoželjno.

Zakljuèati PC ovako: u Win 9x, odabrati Start>Control Panel, kliknuti dva puta Network ikonu i selektovati Configuration. kliknuti File and Print Sharing dugme i de-selektovati oba, ako su selektovani.

4. Ne èuvati istoriju pretraživanja.

Pretraživaè èuva istoriju koja identifikuje svaku web adresu koja se poseti. Ako je javna mašina, bilo bi pametno da se periodièno izbrišete istorija. Brisanje istorije u IE 6, odabrati Tools>Internet Options. U General sekciji, stisnuti Clear History dugme i pratite dalja uputstva. U Netscape 4 i više, odabrati Edit>Preferences, odabrati Navigator u Category prozoru. Potom kliknuti Clear History.

5. Ne prihvatiti kolaèiæe od stranaca.

Korisni kolaèiæi (engl.cookies) dozvoljavaju web stranicama da korisnika prepoznaju kada se vrati na odreðenu stranicu. Oni prate korisnièke navike i dokumentuju šta korisnik gleda. Internet Explorer 4 i i novije verzije èuvaju kolaèiæe u \Windows\Cookies direktorijumu.

Korisnik može izbrisati taj sadržaj odabirom komande Delete Cookies, sa kartice Internet Options u IE.

Netscape Navigator verzije 4 i više imaju dokument koji se zove cookies.txt. Za pronalazak kliknuti Start>Find (ili Search u Win2000/Me) >(For)-Files or Folders, i saèekati da Windows pronaðe cookies.txt; potom ga izbrisati. Za konaèno rešenje pitanja kolaèiæa, može se pretražiti Internet (www.downloads.com) i testirati neki od programa kao CookiePal ili CookieCrusher. 6. Neæu prièati sa strancima bez zaštite. Mnogi misle da su sigurni kada komuniciraju sa osobama koje znaju, ali zlonamerne osobe i web stranice koriste sakupljaèe, bilo u vidu samostalnih programa ili trojanskih konja koje baš osoba sa kojom korisnik razgovara ima na svom kompjuteru a da to i ne zna. Korisnièka elektronska adresa može biti zapisana i kada on zna da je nije nikome saopštio. Najbolji naèin za sigurno komuniciranje je: ne dozvoliti da instant-messaging radi u pozadini. Iskljuèiti ako se ne koristite i podesiti softver da sakrije korisnièku prisutnost na internetu. Ako je tu AOL Instant Messenger, odabrati My AIM>Edit Options>Edit Preferences i selektovati Privacy opciju. 7. Pretraživati anonimno. Za maskiranje identiteta ili Internet adrese, koristiti neku od mnogih anonimnih servisa koji su dostupni na internetu. Mnogi rade na ovom principu: Korisnik se prikljuèiti na njihovu Web stranicu i odlazi odatle gde želi. Servis maskira njegovu Internet adresu i menja je sa svojom. Pretražiti internet tražeæi servis anonimne pretrage radi izbora odgovarajuæeg servisa. 8. Ne pretraživati WWW bez vatrenog zida Ako je korisnik prikljuèen na mrežu širokog opsega (engl. broadband) kao ADSL ili kablovsku, prikljuèen je na Internet kad god je kompjuter ukljuèen. To ga èini metom “hakera” u potrazi za kompjuterom sa kojim se žele igrati. Mogu se zaustaviti vatrenim zidom, program koji spreèava ulaz u korisnièki kompjuter i služi kao stražar na vratima prema internetu. 9. Ne davati informacije bez preke potrebe Što više liènih podataka se saopštava, manje privatnosti se zadržava. Prema tome, otkriti što je manje moguæe detalja pri registracijama. Ne popunjavati bilo koje opciono polje za korisnièki profil. 10. Šifrovati svoje elektronske poruke Elektronske poruke nisu privatne. Administratori, “hakeri” ili bilo ko, ko ima želju da èita elektronske poruke može to da uradi. Za poverljive dokumente najbolja odbrana je šifrovanje poruke. Obaveštajne službe to ne koriste bez razloga: Niko osim korisnika i osobe sa kojom on komunicira ne može da dešifruje poruku. Postoji mnogo programa za šifrovanje koji su jednostavni za korišæenje.

8.10. Zaštita na serveru

Veliki davaoci Internet usluga nude zaštitu od virusa svojim klijentima. MSN pregleda poruke

elektronske pošte i priloge pomoæu softvera kompanije McAfee; MSN klijentski softver sadrži

verziju virusnog skenera kompanije McAfee. Kompanija EarthLink planira da krajem godine

uvede sliènu uslugu, a kompanija AOL u svom klijentskom softveru veæ nudi pregledanje poruka

elektronske pošte. Najbolje je, ipak, da ove usluge budu dodatak anti-virusnom programu na kompjuteru, a ne zamena za njega.

“Uvek je bolje koristiti nekoliko nivoa zaštite”, kaže Brajan Berk (Brian Berk,2007), direktor istraživaèkog odeljenja kompanije IDC. On smatra da æe se davaoci Internet usluga razvijati kao i druge korporacije koje su usvojile centralizovane serverske uslužne programe, umesto da s e oslanjaju samo na anti-virusne programe na korisnièkim kompjuterima. “Sa bezbednosne taèk e gledišta, to je vrlo povoljno za korisnike, naroèito one koji ne ažuriraju definicije virusa”, zakljuèuje Berk.

Meðutim, ne treba misliti da svi davaoci Internet usluga pružaju ovu zaštitu. Jedan manji davalac Internet usluga (koji je želeo da ostane anoniman) tvrdi da uvoðenje zaštite od virusa nije vredno truda. Dovoljno je teško obraditi ogroman broj poruka elektronske pošte koje primalac dobija. “Ako tome dodate i zaštitu od virusa, trebaæe vam mnogo procesorske snage i propusnog opsega”, žali se njegov predstavnik. ”Klijentima æe se verovatno svideti zaštita, ali æe se onda pojaviti veæi problem: Ako dobiju virus, klijenti æe kriviti nas”.

Iako su sve ove pretnje, koje su u dosadašnjim tekstovima navedeni, stvarne; ne treba biti paranoidan. Korisniku trebaju programi koji æe ga zaštititi i upozoriti na opasnosti koja dolazi. Mnoge pretnje na Internetu se tièu kuænih korisnika kao i kompjutera u kancelarijama. Virusi su pretnja i jednima i drugima. Druge pretnje pogaðaju samo kuæne korisnike, kao na primer kompanije koje prate korisnièke navike kupovine ili sakupljaju liène podatke.

8.11. Performanse u laboratoriji Struènjaci laboratorije AntiVirus Test.org, u martu 2007 su testirali sve antivirusne programe sa 288 virusa i crva (u 576 datoteka). Ove napasnike su izabrali na osnovu podataka organizacije WildList Organization International (wildlist.org), koja objavljuje meseèni bilten aktivnih virusa i crva. Bez posebnog podešavanja, programi su prilikom pregledanja tvrdog diska i pristupanja zaraženim datotekama uspešno otkrili sve viruse i crve sa februarske liste nekontrolisanih . Meðutim, taj test pokazuje samo kako se programi snalaze u borbi sa poznatim virusima i crvima, èije se definicije nalaze u bazama koje bi korisnici trebalo dnevno da ažuriraju. Na osnovu tih podataka ne može se znati kako æe programi reagovati u sluèaju pojave manje poznatih virusa i crva, koji su se pojavljivali tokom godina i koji mogu ponovo postati aktivni ili uticati na pravljenje drugih zlonamernih programa. Isto tako, nisu testirali programe ni protiv trojanskih konja, koji se ne nalaze na spisku nekontrolisanih. Struènjaci laboratorije AntiVirus Test.org koristili su najstrože radne režime anti-virusnih programa i pregledali tvrdi disk sa preko 71.000 datoteka koje sadrže oko 23.000 virusa, crva i trojanskih konja. U martu 2005.god., FSecure Anti Virus 2003, EXtendia AVK Pro, McAfee VirusScan 7.0 i Kaspersky Anti Virus Personal otkrili su redom, potpise virusa u, 99,96%; 99,95%; 99,93% i 99,91% datoteka. Norton AntiVirus (99,72 %) i RAV AntiVirus (99,57 %) neznatno su zaostali, ali su njihovi rezultati prilikom otkrivanja virusa u Win32 datotekama (danas najèešæa vrst a virusa) bili meðu najboljima. Druga dva takmièara se nisu tako dobro pokazala. PC-cillin 2007 i Panda Antivirus Platinum pronašli su potpise virusa u samo 97,9 i 96,4 procenata datoteka. Imali su problema i prilikom otkrivanja trojanskih konja (pronašli su tek 91% i 83%, za razliku od ostalih šest programa koji su uspeli da pronaðu proseèno 99% trojanskih konja).

8.12. Suoèavanje s nepoznatim pretnjama 8.12.1. Odnos prema nepoznatim virusima Bez obzira na to koliko dobro antivirusni programi otkrivali poznate pretnje, najopasniji su nepoznati virusi. Zato veæina programa ne traži potpuno identiène potpise u bazi poznatih virusa. Da bi se otkrile nove pretnje, koriste se heuristièke metode i traži se kod koji se ponaša kao virus ili sadrži podatke sliène poznatim zlonamernim programima. Da bi proverili efikasnost heuristièkih metoda, struènjaci laboratorije AntiVirus Test.org testirali su razne verzije antivirusnih programa sa zastarelim potpisima, starim tri i šest meseci (koji su se koristili mnogo pre nego što su se pojavili najnoviji zlonamerni programi), i pregledali datoteke s najnovijim pretnjama. Performanse su s e znatno razlikovale, ali nijedan program s e nije pokazao tako dobro kao prilikom otkrivanja poznatih pretnji s liste nekontrolisanih. Tri meseca stare verzije programa EXtendia AVK Pro i F-Secure postigle su najbolje rezultate, otkrivajuæi potpise u 75% i 72% datoteka, a u stopu su ih pratili programi kompanija Kaspersky i McAfee s pronaðenih 69% i 67%. Ostali programi su pronašli potpise u malo više od 50% datoteka. Rezultati su bili od sedam do 14% slabiji kada su koristili programe i potpise stare šest meseci, što znaèi da uspešnost heuristièkih metoda za prepoznavanje novih virusa delom zavisi i od poznavanja navedenih pretnji. Stoga je redovno ažuriranje definicija virusa veoma važno; svi testirani programi to mogu da rade automatski (mada ne podjednako èesto). 08. maja 2007. godine se pojavio crv pod imenom Fizzer. Nijedan anti-virusni program nije uspeo da ga otkrije heuristièkim metodama; svima su bile neophodne ažurne definicije virusa. Kompanija Panda ih je objavila istoga dana. Pojedini proizvoðaèi su ih objavili tek posle nedelju dana, kada se crv veæ bio proširio. Na poslednjem testu performansi, struènjaci laboratorije AntiVirus Test.org, merili su vreme rada programa na sistemu sa Pentiumom 4 na 2,53 GHz, 512 MB DDR memorije, Windows XP Professional, Microsoft Office 2000 i drugim aplikacijama i datotekama (ukupno 7,15 GB). Jednom su koristili podrazumevane, a drugi put stroge parametre. Zakljuèak: sporije je po pravilu bolje. Sporiji programi su imali bolje rezultate i otkrili su viš e virusa uz strože parametre.

8.12.2. Performanse na Vašem kompjuteru Najbolji anti-virusni program treba da postigne dobre rezultate ne samo u laboratoriji nego i na korisnièkom kompjuteru, a da uz to obezbedi jasne informacije i pouzdanu tehnièku podršku. Na primer, kada otkrije virus, da dobro objasni njegovu prirodu i pomogne da ga se ukloni. Crvi i trojanski konji su samostalni programi i ne inficiraju druge datoteke, pa ih je zato dovoljno zaustaviti i obrisati. Virusi su problematièniji: zaražena datoteka može biti važna, tako da se treba obrisati samo ako nema druge opcije. Poželjnije je ukoniti virus (ukloniti kod i popraviti datoteku), ali ne mogu svi programi da dezinfikuju sve datoteke. Na primer, neki testirani programi nisu mogli da dezinfikuju datoteke u .zip arhivama, pa su struènjaci laboratorije AV Test.org, morali da ih otvore i manuelno pregledaju njihov sadržaj. Ako program ne može da se dezinfikuje ili datoteka obriše, trebalo bi bar da se stavi u karantin da je zlonameran kod ne može pokrenuti. Da bi se odredila vrsta infekcije i mere koje valja preduzeti, treba biti kvalifikovan. Zato nam s e dopadaju programi koji daju savete ili automatski preduzimaju odgovarajuæu akciju. Najbolji od njih su programi kompanija F-Secure, Panda, Norton i PC-cillin, jer automatski popravljaju ili brišu zaražene datoteke, ili ih stavljaju u karantin. Drugi programi samo spreèavaju pokretanje datoteke ili njeno upisivanje na tvrdi disk, a od korisnika traže da uradi sve ostalo.

Nažalost, dvosmislena upozorenja i zbunjujuæi parametri spreèili su neke od najboljih programa da dobiju priznanje. Na primer, programi Kaspersky i RAV su moæni “lovci” na viruse, ali imaju zastarela radna okruženja. Radno okruženje programa kompanije McAfee zahteva mnogo znanja za podešavanje. Za razliku od pomenutih programa, Norton AV se lako koristi i podešava, a ima i jasne menije koji olakšavaju rad. Program kompanije F-Secure takoðe ima lepo okruženje, ali su izostavljene kljuène moguænosti poput vremenskog planiranja pregleda tvrdog diska.

8.12.3. AŽURIRANJE ANTIVIRUSNOG PROGRAMA Jednom instaliran i onda zaboravljen antivirusni program na korisnièkom kompjuteru ne garantuje potpunu zaštitu od virusa. To je prvenstveno zato što novi virusi nastaju svakim danom. Stoga treba proveriti funkcioniše li automatsko ažuriranje baze podataka, a ako program poseduje samo manuelno ili zbog nekog razloga automatsko ne želite koristiti, onda se o ažuriranju korisnik mora sam brinuti. Koristiti proaktivnu zaštitu, a periodièno skenirati celi kompjuter - jednom nedeljno, dvaput meseèno ili kad se posumnja da se na kompjuteru nalazi virus.

8.13. Besplatni online skeneri Ako želite da testirate neki program pre nego što ga kupite, probajte ove alate. Veæini nedostaje puna snaga programa za koje morate platiti, ali svi imaju sposobnost da skeniraju vaš sistem i zakljuèe jeste li zaraženi ili ne. Microsoft Windows Malicious Software Remuval Tool je alatka kompanije Microsoft koju možete besplatno preuzeti sa Microsoftove web adrese, bez prethodne provere autentiènosti vašeg operativnog sistema, koja iznosi svega oko 8MB i ažurirra se svakog meseca. Ovu alatku možete pokrenuti nakon preuzimanja, a možete i odmah sa dotiène stranice. Ovaj alat ne služi kao AV softver, ali sa njom možete postiæi skoro isto što i sa njim. Jedino æe Vam nedostajati zaštita u realnom vremenu. Imate opcije za brzo i potpuno skeniranje. Osim navedenog, ukoliko imat e legalan softver, možete se obratiti Microsoftu koji æe vam skenirati celi sistem online. Symantec Security Check je vrlo jednostavan i moæan. Možda malo spor program, ali to je zbog toga što je na raspolaganju Symantec baza primeraka virusa i trojanskih konja. Ovaj skener nema opciju da skenira direktorijume ili dokumente nego skenira celi sistem. Zbog toga je i spor. Ipak, Symantec je prvo ime na listi proizvoðaèa anti-virus softvera. Besplatna verzija ne skenira compresovane direktorijume i samo vas izveštava o zarazi ne dajuæi opciju za rešavanje malicioznog softvera. Verzija koja se može kupiti ili preuzeti kao probna na 30 dana daje sve moguæe opcije. AVX On-line Scanning System - Jednostavan program koji nudi izbor alata bez nepotrebnog zbunjivanja . Izabrati individualne direktorijume ili dokumente, skenirati memoriju sistema, boot-sektor, arhive (zip) ili elektronsku poštu; toga nema u ostalim besplatnim skenerima. Ako naðete virus, možete ga dezinfikovati, izbrisati , promenuti ime, kopirati i li ignorisati upozorenje. Èak dozvoljava da skenirate mrežni ureðaj, ako znate taènu konekciju. McAfee VirusScan Online ima èist, razumljiv interfejs, koji nudi jednostavan dizajn (velike ikone za svaki ureðaj) ili napredni, koji lièi na Windows Explorer drvo na kojem se može birati posebno direktorijume ili dokumente. Automatski skenira program direktorijum, ali ako odaberete Scan All Files biæete sigurni da æe skener prekontrolisati sve u vašem sistemu. Nažalost, ne može se rešiti virusa ako ih pronaðe. Trebaæe otiæi na web stranicu sa koje možet e da se uèlanite i koristite punu moæ ovog programa.

9. ANTI-ŠPIJUNSKI PROGRAMI

(engl.SPYWARE)

9.1. Nastanak anti-špijunskih programa

Mnogi programeri i neke komercijalne firme su napravile proizvode koji služe za uklanjanje ili blokiranje špijunskih programa. Pionir je bio OptOut od Stiva Gipsona (Steve Gibson), i od tada je ova kategorija alata razvijana dalje. Programi kao AdAware SE (Slika 12) komppanije Lavasoft,

Sl.12 – Interfejs poznatog Anti Špijunskog softvera Ad-Aware

Spybot – Search & Destroy kompanije Patrick Koll, za veoma kratko vreme su postali popularni jer su se pokazali kao efektni alati u uklanjanju ove vrste softvera. Nedavno je Microsoft pripremio GIANT AntiŠpijunski softver i dao mu naziv AntiŠpijunski program beta i pustio ga u promet kao besplatnog za originalne Windowse XP i Windows 2003. U 2006. godini ovaj softver je primenovan u Windows Defender, i njegovo preuzimanje je omoguæeno u oktobru 2006. godine. Windows Defender je sastavni deo Windows Viste.

Drugi poznati anti-špijunski programi su: PCDoctor od kompanije PC Tools Counterspy od kompanije Sunbelt Softver Hijack This od kompanije Trend Micro Spy Sweeper od kompanije Webroot Softver XoftSpy od kompanije SE ParetoLogic

Glavne anti-virusne firme kao što je Symantec, McAfee i Sophos su se javile tek kasnije u ovoj trci, dajuæi njihovim dotadašnjim proizvodima osobinu moguænosti borbe protiv špijunskih programa. Ispoèetka su ove firme odbijale da poduzimaju bilo šta, navodeæi primere pravne borbe izmeðu špijunskih autora i autora web stranica koji su ih pogrdno nazivali pa su potom bili ošteæeni nakon sudskog procesa.

Sl.13 – Upozorenje anti-špijunskog softvera o postojanju špijunskog programa u sistemu kompjutera

Meðutim, novije verzije ovih veæih anti-virusnih firmi ukljuèuju funkcije borbe protiv špijunskih programa (Slika13), premda ih drugaèije tretiraju od virusa. Na primer, Symantec kategoriše Špijunski program kao produženu pretnju i sada nudi zaštitu u realnom vremenu za ovu vrstu softvera.

Anti-špijunski programi se mogu boriti protiv špijunskih programa na dva naèina:

1. Mogu da obezbede zaštitu u realnom vremenu protiv instalacije špijunskih softvera na korisnièkom kompjuteru. Ovaj vid zaštite se obavlja na isti naèin kao i anti-virus zaštita sa tim da anti-špijunski softver skenira sva dolazeæa dokumenta sa mreže i proverava da li imaju špijunski softver i blokiraju sve pretnje koje bi mogle doæi sa te strane.

2. Anti-špijunski softveri mogu samostalno da se koriste za otkrivanje i uklanjanje špijunskih softvera koji su veæ instalirani na kompjuteru. Ovaj tip zaštite od špijunskih programa je, naravno, mnogo lakše koristiti i zato su oni mnogo popularniji. Ova zaštita od špijunskih softvera može da se obavlja nedeljno, dnevno ili meseènim skeniranjem kompjutera da bi se otkrio i uklonio sa kompjutera. Ovaj tip anti-špijunskog programa skenira sadržaje u registru, datotekama operativnog sistema i instaliranim programima na kompjuteru i saèinjavajuæi spisak svih otkrivenih pretnji koje je pronašao, ostavljajuæi korisniku da li želi da ih briše ili

saèuva. Pregledajuæi ove sadržaje uporediæe ih sve sa spiskom poznatih špijunskih komponenti. Zaštita u realnom vremenu funkcioniše isto kao i istoimena virus zaštita: softver skenira datoteke na disku u vreme preuzimanja i blokira aktivnost komponenti za koje se zna da su deo špijunskih programa. U nekim sluèajevima može i prekinuti pokušaje špijunskih programa da poènu sa instaliranjem ili modifikovati podešavanje pretraživaèa.

Ranije verzije anti-špijunskih programa se je uglavnom fokusirala na otkrivanje i uklanjanje. Anti-špijunski program Blaster kompanije Javacool Softver, jedan od prvih koji je ponudio zaštitu u realnom vremenu, je blokirao instalacije bazirane na ActiveX i drugim špijunskim programima.

Kao i veæina anti-virus softvera, mnogi anti-špijunski softveri i alati zahtevaju èesto ažuriranje baza podataka. Kako se u opticaj puštaju novi špijunski programi, kompanije za proizvodnju anti-špijunskih programa ih pronalaze i procenjuju, èineæi nove definicije koje dozvoljavaju softveru da pronaðu i uklone špijunski program. Kao rezultat, anti-špijunski softver je od ogranièene koristi bez redovnog izvora za ažuriranje. Neki prodavci obezbeðuju servis ažuriranja na bazi pretplate, dok drugi to daju bez naknade. Ažuriranja se mogu instalirati automatski u neko odreðeno vreme, prije skeniranja ili može biti uraðeno manuelno.

Ne oslanjaju se svi programi na definicije za ažuriranje. Neki programi se oslanjaju delimièno na njih (na primer mnogi anti-špijunski programi kao što je Windows Defender, TeaTimer i Spysweeper) ili u potpunosti (programi u klasi Hips kao što je WinPatrol) na istorisku opservaciju. Oni proveravaju odreðene konfiguraciske parametre (kao što su odreðene particije u Windows registrima ili konfiguracija pretraživaèa) i potom korisnika izveštavaju o bilo kakvim promenama, bez ikakve procene ili preporuke. Prema tome, oni se ne oslanjaju na definicije za ažuriranje, koje bi im dozvolile da primete noviji špijunski softver, a uz to ne nude nikakve predloge koji bi poslužili kao vodiè. Korisniku je ostavljeno da utvrdi šta je to uradio i da li je dotièna konfiguracija validna.

Ako špijunski program nije blokiran i na neki naèin se ipak instalira, on može da se odupre buduæim pokušajima njegovog prekida aktivnosti ili deinstaliranja. Neki programi rade u parovima: kada skener anti-špijunskog programa (ili korisnik) prekine proces rada špijunskih programa, drugi uspostavlja ponovno pokretanje programa. Slièno ovom, neki špijunski programi æe automatski otkriti pokušaje uklanjanja podataka u registru i automatski ih opet dodati na isto mesto. Uglavnom restartovanje u sigurnom modu omoguæava anti-špijunskom programu veæu moguænost za uklanjanje otpornog špijunskih programa. Uništavanje procesnog drveta može takoðe dovesti do rezultata.

Nova vrsta špijunskih programa (Look2Me špijunski program od kompanije NicTechNetworks je dobar primer) poèinje se sakrivati unutar kritiènih sistemskih procesa i pokreæe se èak i u safe modu. Pošto ne može da se zaustavi njihovo izvršavanje, daleko je teže otkriti ih i ukloniti. Ponekad ne ostavljaju nikakav trag na tvrdom disku. Rootkit tehnologija, izgleda, takoðe beleži poveæano korišæenje, kao što je i upotreba NTFS promenjivih tokova podataka. Noviji špijunski programi takoðe imaju specifiène protiv-mere protiv poznatih anti-malicioznih proizvoda i mogu ih spreèiti u izvršavanju, u instaliranju, a èak su u stanju da ih deinstaliraju. Primer korišæenja svih od ove tri metode je Gromozon, nova sorta malicioznog programa. On koristi promenjive tokove podataka da bi se sakrivao. Korenski komplet alata ga sakriva od skenera promenjivih tokova podataka i zaustavlja rootkit skenere u toku skeniranja.

9.2. Falsifikovani anti-špijunski programi 9.2.1. Epidemija lažnih anti-špijunskih softvera Maliciozni programeri su u opticaj pustili veliki broj anti-špijunskih programa, i široko raširili upotrebu web baner dodataka koji panièno upozoravaju korisnike da su njihovi kompjuteri inficirani sa špijunskim programom, pri èemu ih upuæujuæi da kupe program koji æe ukloniti te navodne špijunske programe, ili što je još gore, mogu dodati još više ovih programa pored onih postojeæih.

Nedavna epidemija lažnih anti-virus proizvoda je zabrinula. Ovakvi proizvodi uglavnom sebe obeleže kao anti-špijunski program, anti-virus ili èistaèi registara. Zovu se lažni softveri(engl. rogue softver).

Ovo su poznati špijunski softveri predstavljeni kao anti-špijunski softver:

AntiVirus Goldv

AV System Care

ContraVirus

Disk Knight (spreads through USB storage devices)

errorsa fe (AKA system doctor)

MalwareAlarm

Malware

MagicAntiSpy

PAL Špijunski program Remover

PCSecuresystem

Pest Trap

PSGuard

SecurePCcleaner

SpyAxe

Špijunski programStrike

Špijunski program Quakev

Spydawn

Spylocked

SpyShredder

SysProtect

Spy Ranger

Spy Sheriff

Spy Wiper

Registrycleanerxp.com

UltimateClea ner

Virus Protect Pro (3.1 and other number.number)

WinAntiVirus Pro 2006

WinFixer

WorldAntiSpy

Your Privacy Guard

26.januara 2006.god. , Microsoft i državni tužilac države Vašington tužili su Secure Computer zbog njihovog Èistaèa špijuna (engl. Spyware Cleaner) . 04.decembra 2006.god, državni tužilac Vašingtona je objavio da Secure Computer mora da plati 1 milion dolara da bi se namirio sa državom. Što se tièe sluèaja Microsoft, on se još uvek nalazi u procesu rešavanja.

9.2.2. Bezbednosna praksa Da bi nekako izbegli špijunske programe, kompjuterski korisnici su kao dodatak instaliranju anti-špijunskog programa, razvili još neke obièaje. Mnogi sistemski operatori instaliraju neki drugi pretraživaè pored Internet Explorera, kao na primer Opera ili Mozilla Firefox. Premda ni jedan pretraživaè nije u potpunosti siguran, Internet Explorer je u veæem riziku za infekciju sa špijunskim programom usled veæe korisnièke baze i veæe “ranjivosti” kao što je ActiveX.

Neki internet servis provajderi, posebno koledži i univerziteti, su primenili drugaèiji pristup

blokiranju špijunskih programa: oni koriste mrežne vatrene zidove i web proxije1 da bi blokirali

pristup web sajtovima koji su poznati po podvaljivanju špijunskih programa. 31. Marta

2005.god., Odeljenje za informacionu tehnologiju Cornell univerziteta je podnelo izveštaj u

kome je detaljno bilo navedeno ponašanje jednog posebnog špijunskog programa koji je

baziran na proxiju, koji se zove Marketscore, i korak e koje je univerzitet preduzeo da bi mu

prekinuo rad. Mnoge druge obrazovne ustanove su preduzele sliène korake. Špijunski programi

koji preusmeravaju mrežni saobraæaj prouzrokuju veæe tehnièke probleme nego programi koji

1 Server koji ispunjava zahteve svojih klijenata upuæujuæi zahteve ka drugim serverima. Server se konektuje sa

odreðenim serverom zahtevajuæi uslugu u ime svog klijenta.

samo prikazuju dodatke ili prate ponašanje korisnika, i mogu daleko spremnije privuæi pažnju institucija.

Neki korisnici instaliraju velike host datoteke koji spreèavaju korisnièki kompjuter da uspostavi vezu sa poznatim web adresama gde se nalaze špijunski programi. Meðutim, uspostavljanje veze na numerièke IP adrese, raðe nego na ime domena, špijunski program može “preskoèiti” ovaj vid zaštite.

Špijunski programi se mogu instalirati preko odreðenih programa koji se pruzimaju uz plaæanje. Preuzimanjem programa samo sa izvora sa reputacijom obezbeðuje nek akvu zaštitu od ove vrste napada.

9.3. Shareware programi koji sadrže špijunski program

9.3.1. Poznati programi sa dodatnim špijunskim programom

Ovo su nazivi nekih od programa koji u svom paketu sadrže nekakav špijunski softver.

o Bonzi Buddy o Dope Wars o ErrorGuard o Grokster o Kazaa o Morpheus o RadLight o WeatherBug o EDonkey2000

Sonijev ExtendedCopyProtection ukljuèuje instalaciju špijunskih programa sa audio CD-a kroz njegov autorun. Ova praksa je izazvala kontradiktorne stavove kada je otkrivena.

9.3.2. Neki programi koji su nedavno distribuirani sa dodatim špijunskim program AOL Instant Messenger (AOL Instant Messenger još uvek pakuje Viewpoint Media Player, i WildTangent) DivX (osim plaæene verzije, i standard verzije bez encodera). DivX je najavio skidanje GAIN softvera sa verzije 5.2.

FlashGet (probna verzija koja je napravljena kao freeware)

Antivirusni programi se bore s uobièajenim pretnjama (virusima, crvima i trojanskim konjima), ali ne mogu mnogo da postignu kada su u pitanju špijunski programi koje instaliraju lukave Web lokacije ili sumnjièavi poslodavci. Èak 40% poziva upuæenih službama za tehnièku podršku davaoca Internet usluga odnosi se na špijunske programe.

Jedan od razloga za slabe rezultate anti-virusnih programa jeste oklevanje da se špijunski programi okarakterišu kao zlonamerni. Iako se neki od njih mogu uvuæi u kompjuter, veæina je jasno navedena u ugovorima o korišæenju odgovarajuæih besplatnih programa. Prihvatanjem ugovora, Vi dozvoljavate instalaciju špijunskih programa koji prikupljaju podatke o Vama za potrebne reklamiranja proizvoda.

Èitanje teksta ispisanog sitnim slovima prvi je korak u izbegavanju špijunskih programa. Meðutim, ukoliko se oni veæ nalaze na tvrdom disku (a najverovatnije je tako), najbolje æete s e odbraniti ako pokrenete program koji pregleda disk i traži poznate špijunske datoteke, direktorijume, vrednosti u Registry bazi i kolaèiæe, a zatim nudi njihovo brisanje. Pored toga, nekoliko uslužnih programa pregleda i memoriju da bi spreèili instaliranje i pokretanje špijunskih programa.

10. „VATRENI ZID (engl.FireWall) SISTEMI

10.1. Osnovni pojmovi Konektovanje na Internet bez vatrenog zida (Slika 14) je skoro isto kao ostavljanje kluèeva u automobilu sa otkljuèanim vratima dok odete do prodavnice. Premda æete možda uspeti da uðete i izaðete napolje pre nego zlonameran to primeti, može desiti da da on to uspešno iskoristi. Zaštitni zid može da vam pomogne u odbrani kompjutera od ovih i drugih bezbednosnih napada.

Personalni vatreni zid spada u osnovne naèine zaštite od malicioznih programa, i ništa manje nije važan od anti-virusnih i anti-špijunskih programa.

Sl.14 – Šematski prikaz vatrenog zida u kompjuterskoj mreži

Princip rada personalnog vatrenog zida je da za svaki program koji hoæe da uspostavi Internet komunikaciju biva presretnut od strane vatrenog zida, kada korisnik može da odobri ili zabrani uspostavljanje veze. Na primer, ako smo instalirali neki Internet server na operativni sistem, kao što je recimo FTP server, vatreni zid æe pri prvom pokušaju komunikacije spoljnjeg klijenta sa serverom upitati korisnika da li taj tip komunikacije dozvoljava ili ne, samo jednom ili permanentno. Na taj naèin, mogu se onemoguæiti mnogi maliciozni programi koji otvaraju prolaz za dolazeæi saobraæaj. Pri svakom pokušaju programa instaliranog na sistemu da uspostavi komunikaciju sa nekim Internet serverom, vatreni zid æe takoðe upitati korisnika za dozvolu.

Vatreni zid može predstavljati hardver ili softver koji onemoguæava odreðeni tip TCP/IP komunikacije, te izmenu dve taèke u mreži. Na taj naèin kontroliše se saobraæaj i onemoguæava uspostava veze koja se uspostavlja da bi se kompjuter inficirao, a u sluèaju veæ inficiranog kompjutera vatreni zid može da onemoguæi rad backdoor virusa.

Filtracija TCP/IP paketa se može vršiti po nekoliko kriterijuma. Može se ispitivati njihov sadržaj, i njihov izvor i odredište u smislu Internet adrese, kao i porta. Pritom se za kuæne korisnike najèešæe koriste personalni softverski vatreni zid sistemi koji filtriraju pakete po izvoru, odredištu i portu.

Vatreni zid je znaèajan faktor zaštite u firmama gde su kompjuteri u internoj mreži (intranetu) jednostavno nedostupni za dolazeæi saobraæaj sa Interneta i obièno se tu radi o gateway1 sistemima koji su zapravo kombinacija rutera i vatrenog zida. Za kuæne korisnike, a posebno one koji koriste Internet sa realnom Internet adresom, znaèajna su softverska rešenja.

Takoðe, vatreni zid može spreèiti skeniranje kompjutera, na taj naèin što blokira ICMP pakete putem kojih napadaèi uglavnom saznaju za postojanje kompjutera na mreži. Dakle, šta “haker” može da uradi? Sve zavisi od prirode napada. Dok su neki napadi samo smetnja koja pravi “neslanu” šalu, drugi su stvoreni sa zlom namerom. Ovi ozbiljniji napadi mogu da pokušaju da izbrišu podatke sa vašeg kompjutera, sruše sistem ili èak ukradu liène podatke, kao što su lozinke ili brojevi kreditnih kartica. Neki “hakeri” najviše vole da “upadaju” u nebranjene kompjutere. Sreæom, možete smanjiti rizik od infekcije korišæenjem zaštitnog zida.

10.2. Kako funkcioniše vatreni zid Uz mnogo volje i vremena, “hakeri” mogu skenirati vaš sistem u potrazi za greškama u njemu i uèiniti svašta, od male neugodnosti do velike štete. Ako imate modemsku vezu, dovoljno bi bilo da uklonite kabel vašeg telefona sa modema vašeg kompjutera i biæete sigurni da NIKO ne može da Vam nanese štetu. Problem je u tome što onda nemate vezu s Internetom. Vatreni zid je tu da posmatra ko i kako želi pristup vašem kompjuteru, bez potrebe da iskljuèujete telefonski kabel.

Vatreni zid funkcioniše tako što pregleda informacije koje dolaze sa Interneta i odlaze na Internet. On prepoznaje i ignoriše informacije koje dolaze sa opasnih lokacija i li lokacija koje deluju sumnjivo. Ukoliko ispravno konfigurišete zaštitni zid, “hakeri” koji traže nezaštiæene kompjutere neæe moæi da vide vaš kompjuter.

U paketu (zahevu) koji šaljete, nalazi se i zastavica, poznata pod skraæenicom ACK što znaèi prihvatanje (engl. acknowledgement). To je jedan bit, koji pokazuje da li je vaš sistem zahtevao odreðenu stranicu. Taj bit je jednak nuli, u stvari je postavljen na “no” (0), kada šaljete zahtev, jer ste vi pokrenuli dialog sa serverom, i taj bit, iako vrlo važan, u ovoj fazi još nije važan za Vas.

Kada server vrati vaš zahtev, tada taj jedan bit dobija veliku važnost. Prije nego što se tražena stranica uèita, vaš kompjuter æe da postavi taj bit na “yes” (1), pokazujuæi da ste Vi stvarno zahtevali tu stranicu. To znaèi da Vaš kompjuter oèekuje podatke sa te adrese.

U tipiènom napadu na Vaš kompjuter, paketi podataka dolaze sa nepoznate lokacije i nalaze Vaš

kompjuter. ACK bit je uvek jednak nuli, adrese su nepoznate pokazujuæi da je pošiljalac neko

nepoznat i stoga opasan. Ako imate vatreni zid, to ne prolazi neprimeæeno. Vaš vatreni zid

jednostavno odbija da primi podatke, eliminišuæi sve potencijalne pretnje Vašem sistemu.

1 Kompjuter ili mreža koja dozvoljava ili kontroliše pristup drugim kompjuterima ili mrežama.

10.3. Kako da izaberem zaštitni zid?

10.3.1. Softverski zaštitni zidovi Softverski zaštitni zidovi su dobar izbor za pojedinaène kompjutere, a uz to funkcionišu dobro sa verzijama Windows 98,Windows ME i Windows 2000. (Windows XP ima ugraðen zaštitni zid, tako da nije potrebno instalirati dodatni zaštitni zid.). Softverske zaštitne zidove možete nabaviti od drugih softverskih kompanija.

10.3.2. Windows zaštitni zid (samo u Windows XP Servisnom paketu 2) Ukoliko na kompjuteru postoji Windows XP Servisni paket 2 (SP2), tada veæ postoji instaliran i po originalnom podešavanju ukljuèen zaštitni zid.

Ukoliko postoji Windows XP, a korisnik ne želi da preuzme Servisni paket 2, on i dalje može da pristupi zaštitnom zidu Internet veze (ICF) koji je ugraðen u Windows XP, jedino mora da ga ukljuèi .

Napomena: Windows zaštitni zid i zaštitni zid internet veze nisu dostupni kao pojedinaèni paketi . Takoðe nisu dostupni ni za druge operativne sisteme (na primer, Apple Macintosh ili Linux) ili verzije sistema Windows osim Windowsa XP.

Pored toga, potrebno je uzmeti u obzir i sledeæa pitanja:

o Koliko kompjutera æe koristiti vatreni zid? o Koji operativni sistemi koriste ovaj vatreni zid?

Nakon okvirne odluke o izboru zaštitnog zida, treba razmotriti detaljne karakteristike svake opcije kako bi ste u konaènoj odluci pronašorešenje kojim æe korisnik u potpunosti biti zadovoljan, buduæi da svako od rešenja ima svoje loše i dobre strane. U sluèaju dvoumljenja, treba se obratiti struènom licu ili se konsultovati sa prijateljima o njihovim rešenjima.

10.4. Neki od vatrenih zidova na tržištu ZoneAlarm, ZoneAlarm Pro je veoma prijateljski raspoložen prema korisnicima. Upozorenja su opisna. Iako nije najbolji za profesionalce, pošto izgleda veoma jednostavno, za poèetnike, nema boljeg programa. ZoneAlarm je jedini vatreni zid koji osim pokušaja prodora u vaš kompjuter posmatra i programe koji šalju informacije sa vašeg kompjutera. To je veoma važno u sluèaju postojanja trojanskog konja. Svaki program æe biti blokiran ako pokuša da se spoji sa Internetom. Tad korisnik može odluèiti da li æe dozvoliti vezu,da li æe dozvoliti samo jednom ili nikada, da se taj program spoji sa Internetom. Kasnije se on može predomisliti i promenuti podešavanje. Takoðe, ZoneAlarm ima dugme koje može da trenutno blokira svaku vezu s a Internetom.

BlackICE Defender je vatreni zid koji je preporuèivo imati. Ne zamara pitanjima o daljem

postupanju, veæ sam pokušava da otkrije pretnje kompjuteru. Najveæi razlog slave ovoga

programa je da ne samo da blokira napade, nego ih pamti i otkriva informacije o napadaèu.

Veæina programa se oslanja na informacije koje se lako mogu otkriti. BlackICE pokušava (i

veoma èesto uspeva) da otkrije Internet adresu napadaèa. Nakon otkrivanja postoji opcija

slanja informacije napadaèevom internet servis provajderu. Posle toga usledi iskljuèenje napadaèa. Loša osobina ovog vatrenog zida je da ga se je teško rešiti ako ga više ne želite.

McAfee.com Personal vatreni zid je online servis sa malo opcija koje se mogu menjati. Obavlja najvažnije funkcije. Preporuèuje se korisnicima ostalih McAfee proizvoda, kao i firmama da bi lakše sinhronizovale rad ostalih programa (vatreni zid, anti-virus, system tools...).

NortonPersonal vatreni zid 2007 (2008) Verzija, sa njim dolazi mnoštvo funkcija koje se mogu prilagoðavati korisniku. Razni stepeni sigurnosti i sigurnosna pravila koja se mogu menajti, su glavne karakteristike ovog programa. Zaštita privatnosti, što ne postoji na ostalim programima koje spominjemo je veoma dobra funkcija koju nebi trebalo zanemariti. Na primer, mogu se uneti korisnièko ime, prezime, adresa ili broj telefona,ali te informacije æe biti spreèene da se šalju putem internet aplikacija (ali ne i elektronskom poštom).

Sygate Personal vatreni zid ima moguænost zatvaranja portova ako programi koji obièno koriste te izlaze nisu aktivni. Takoðe postoji i moguænost postavljanja razlièitog stepena sigurnosti za razlièito doba dana. Tako da kad korisnik ide na posao, a ne želi iskljuciti kompjuter, može postaviti veæu sigurnost. Postoji moguænost otkrivanja intrudera kao i tehnika koje su oni koristili pri pokušaju prodora u korisnièki kompjuter.

Tiny Presonal (slob. prev. maleni/sitni) vatreni zid, iako se zove maleni/sitni, on je ravnopravan sa ostalima na tržištu. Besplatan je za liènu upotrebu, uz doplatu za komercijalne korisnike. Koristi manje resursa korisnièkog kompjutera od ostalih programa. Nedostatak je da nije razumljiv poèetnicima. Upozorenja su veoma komplikvana, koja èak i napredni korisnici ne mogu razumeti. Takoðe ima moguænost daljinskog upravljanja, tako da kompanije mogu imati centralizovan pristup svakom kompjuteru u mreži i menjati nivo zaštite za svakog korisnika posebno.

Na kraju, odluka koji je program najbolji, biæe korisnikova. Kompanije moraju da dobro razmisle šta da kupe. Kupovinu hardverskog vatrenog zida ne treba iskljuèiti ni u kom sluèaju, ako s e radi o kompleksnoj kompaniji. Za kuænu upotrebu kao i za manje firme, ZoneAlarm je dovoljan.

11. JOŠ NEKI OBLICI ZAŠTITE

KOMPJUTERA OD MALICOZNIH PROGRAMA

11.1. Sistem za restauraciju (engl.System Restore) Sistem za restauraciju je komponenta koja se nalazi na Windowsu Me, Windowsu XP i Windows Vista operativnim sistemima, a koja dozvoljava moguænost vraæanja sistemskih datoteka, registara, instaliranih programa i sl. na neko pret hodno stanje u sluèaju kolapsa sistema. Na neki naèin sistem za restauraciju predstavlja sistemsku rezervnu kopiju.

U Windows Visti, sistem za restauraciju ima jedan bolji interfejs i baziran je na novoj tehnologiji pravljenja rezervne kopije poznate pod nazivom Shadow Copy, za razliku od prethodnih verzija OS Windows gde je bio baziran na filteru datoteka koji je pratio promene za odreðeni broj ekstenzija datoteka, a potom kopirao datoteke pre nego što su bili prebrisani.

U sistemu za restauraciju korisnik lièno može odrediti dan i tarenutak za restauraciju sistema, vratiti se na neku postojeæu poziciju restauracije ili menjati konfiguraciju.

Nove pozicije za restauraciju se stvaraju:

o Kada se instalira novi softver ili njegov deo, o Kada se instaliraju nova ažuriranja Windows operativnog sistema, o Kada korisnik instalira novi softver koji nije podržan od Windows Hardware Quality

Labs, o Svaka 24 sata upotrebe kompjutera, ili svaka 24 sata kalendarskog vremena, o Kada operativni sistem poène rad nakon pauze od 24 sata, o Prema zahtevu korisnika.

Sistem za restauraciju (Slika 15 i 16) pravi rezervne kopije sistemskih datoteka sa odreðenim ekstenzijama (.exe, .dll, etc.), sa izuzetkom datoteka u Documents direktorijumu, i èuva u velikom kompresovanom bloku za restauraciju ukoliko bude potrebna. Stvara rezervnu kopiju za registre i veæinu softvera ali ne pravi rezervne kopije podataka korisnika.

Za razliku od Windowsovog sistema za restauraciju, Time Machine od kompanije Apple, i Time Vault od kompanije Gnome prave rezervne kopije i korisnièkih dokumenata.

Sl. 15 – Kartica za odabir pozicije za vraæanje na odreðeno prethodno stanje

Sl.16 – Kartica za odabir vraæanja stanja na stanje pre izvršene zadnje operacije

11.2. Sistemska rezervna kopija (engl. backup)

Sistemska rezervna kopija služi za restauraciju sistema (Slika 17) kroz restauraciju originalnih datoteka ukoliko se desi njihovo uništavanje, izmene i sl. Sistemska rezervna kopija je korisna iz dva razloga.

o restauriše kompjuter i dovodi ga u operativno stanje, o restauriše manji broj dokumenata ako se desi da se sluèajno obrišu, zaraze, na neki

naèin doðe do promene sadržaja i sl. Sistemska rezervna kopija je zadnja linija odbrane protiv gubljenja ili ošteæenja sistemskih datoteka. Buduæi da ovaj sistem zahteva najmanje jednu kopiju postojeæih datoteka zahtevan je i prostor u mamoriji za te kopije. Postoji mnogo razlièitih naèina za njen smeštaj.

Sl.17 – Windows Vista - kart ica na kojoj æete odrediti kakvu rezervnu kopiju dokumenata želite

Pojam sistemske rezervne kopije se èesto menja sa pojmom arhive i fault-tolerant-sistemi. Razlika je u tome što su arhive primarne kopije podataka a sistemska rezervna kopija je sekundarna kopija datoteka. Fault-tolerant-sistemi su pravljeni tako kao da do gubljenja podataka u sluèaju greške neæe doæi, dok se sistemska rezervna kopija pravi tako da oèekuje gubitak podataka u sluèaju greške.

11.3. Istorijat pravljenja sistemske rezervne kopije (engl.

shadow copy) Moguænost pravljenja sistemske rezervne kopije je prvo bila dodata u Microsoft Windows u Windowsu XP. Ova verzija je mogla stvarati samo nestalne snimke (privremene snimke koje se uglavnom koriste za pravljenje sistemske rezervne kopije ili više kopija datoteka kojima se pristupa a koje su zakljuèane). Stvaranje stalnih snimaka (više snimaka koji ostaju dostupni dok se voljno ne obrišu sa sistema) omoguæeno je u Windows Serveru 2003, gde je dozvoljeno do 512 snimaka da postoje simultano u istom sadržaju, gde se maksimum od 64 snimka koristi za Shadow copies for Shared Folders. Shadow copies for Shared Folders automtski stvara dodatne periodiène snimke ili detalje za izmenjene datoteke u nekom vremenu. Ova moguænost je kreirana za model klijent-server gde klijent može snimcima na serveru pristupiti sa daljine preko mreže.

11.3.1. Sistemska rezervna kopija od Windows Viste Sistemska rezervna kopija (takoðe se zove Volume Snapshot Service ili VSS) je moguænost dograðena sa Windows Serverom 2003 koja omoguæava automatsko pravljenje rezervne kopije bilo koje vrste dokumenata i u bilo koje vreme.

U Windows Visti koristi se sistemska rezervna kopija prema želji korisnika. Ovde se smeštaju kopije datoteka sa kompjutera uz korišæenje snimaka za kasnije korišæenje pri restauraciji. Sistemske kopije se stvaraju automatski od strane OS ili prema zahtevu korisnika.

Ove kopije imaju dve osnovne namene:

o Pravljenje konzistentne sistemske kopije uz osiguranje da neæe doæi do promene sadržaja dok se sistemska kopija stvara,

o izbegava se problem sa zakljuèanim datotekama, Stvaranjem kopije sadržaja koji se samo èita, programi za stvaranje sistemskih kopija datoteka su u stanju da pristupe svakoj datoteci bez mešanja sa drugim programima dok vrše upisivanje u te iste datoteke. Takoðe, korisnici mogu pristupiti njihovim datotekama buduæi da su oni postojali u vreme pravljenja ove kopije i doæi do neke ranije verzije datoteke ili povratiti neku datoteku koja je greškom izbrisana. Ovaj proces nemože teæi u suprotnom pravcu, što znaèi da korisnik nemože u ovu kopiju smestiti neku noviju verziju nekog dokumenta.

11.3.2. Vremenska mašina (engl. Time Machine) od kompanije Apple Vremenska mašina je program za pravljenje sistemske kopije razvijen od kompanije Apple za operativne sisteme MacX v10.5. Kao i mnogi drugi, i ona stvara sistemsku kopiju datoteka koje æe se kasnije koristiti u sluèaju potrebe za restauraciju sistema i vraæanje na neko predhodno stanje. Korisniku se priža moguænost da pored restauracije celog sistema restauriše i svoje dokumente. Ovde još postoji moguænost da se vrši restauracija sistema ili drugih datoteka bez napuštnja aplikacije koja se izvršava na kompjuteru, a to postiže uz pomoæ iWork, iLife i još nekoliko drugih odgovarajuæih aplikacija.

Sl.18 – Izgled vremenske masine Mac OS X v1 0.5 na radnoj površini

Da bi se napravila sistemska kopija potrebno je prethodno formatiranje vanjskih tvrdih diskova sa FAT32 sistemom. Ukoliko tvrdi disk veæ koristi HFS sistem tad neæe zahtevati formatiranje.

11.3.3. TimeVault

TimeVault (Slika 19) je ekvivalent Linux operativnog sistema za stvaranje sistemske rezervne

kopije, kao što je to za Shadow Copy kod Windows Viste i Vremensku mašinu kompanije Apple.

Kao i mnoga druga sredstva za pravljenje sistemske kopije datoteka, stvara sistemsku kopiju

kojamože da posluži za restauraciju sistema u nekom vremenu. Njegove snimke su u stvari

kopije direktorijuma u nekom vremenskom trenutku. Snimanje se ne vrši za dokumente gde nije

bilo nikakvih promena, ali zato koristi veze ka podacima za koje veæ postoji rezervna kopija.

Sl.19 – Izgled TimeVault sistema za restauraciju kod operativnog sistema Linux

Ovo je u osnovi GNOME aplikacija, a neke funkcionalnosti su integrisane u Nautilus datoteka menadžeru (da bi se pojednostavilo lociranje prethodnih verzija datoteka) i panelu sa ikonama.

12. ZAKLJUÈNA RAZMATRANJA

12.1. Opšti zakljuèci Maliciozni programi su realan problem svih kompjuterskih korisnika, a priroda tog problema je je takva da on verovatno nikada neæe biti iskorenjen, te da æe se korisnici manje ili više uspešno i ubuduæe od njih štititi. Veliki problem sa raznim tipovima malicioznog programa imaju korisnici koji nisu spremni da steknu èak minimalno znanje o naèinima zaštite. Meðutim, problematika malicioznog programa je takva da svako može relativno sigurno da koristi kompjuter, ako sprovede samo nekoliko mera u cilju zaštite i ako stekne osnovno znanje o ovoj vrsti malicioznih tvorevina.

U istraživanju na temu “Odnos kompjuterskih korisnika prema pitanima zaštite kompjuterskog sistema od malicioznog softvera”, koje je izvršeno na uzorku od 50 kompjuterskih korisnika, u kompjuterskim laboratorijama Pedagoškog fakulteta u Somboru od 16. do 17.juna 2008.god., došlo se je do rezultata koji upuæuju na èinjenicu da je ipak velika veæina korisnika (70%) upoznata sa elementarnim vidovima zaštite od ove vrste opasnosti.

Veliki problem predstavljaju korisnici koji imaju nemaran odnos prema ovoj problematici i nisu spremni da bilo šta menjaju u svom ponašanju (30%), posebno kada je u pitanju korištenje informatièke tehnologije koja nije u njihovom vlasništvu veæ im je poverena na korištenje . To potkrepljuje èinjenica da 12% ispitanika tvrdi da bi za testiranje nepoznatog softvera koristilo iskljuèivo tuði kompjuter, dok èak 18% tvrdi da im je svejedno da li se radi o njihovom ili neèijem drugom vlasništvu.

U jednom od pitanja, a u vezi razmišljanja o postojanju problema vezanom za maliciozni softver, njih 18% tvrdi da uopšte ne razmišlja o tom problemu dok veliki broj izražava bojazan da neki maliciozni softver ne prenesu na svoje kuæne kompjutere.

Procenat nemarnih i neodgovornih korisnika bi se mogao smanjiti edukativnim merama, ali i pored smanjenja, ipak bi ostao veoma veliki procenat njih koji bi se i dalje ponašali onako kako su do sada (ne)vaspitavani.

Manji problem predstavljaju korisnici koji slabo poznaju informatièku tehnologiju. To su korisnici koji odgovaraju da bi kao najbolji metod zaštite protiv malicioznih programa odabrali još snažniji maliciozni program (10%) ili hardverski èistaè virusa (22%).Veoma brzo i lako bi bili u stanju da saznaju elementarne pojmove u vezi ove problematike. Za njih se mogu organizovati odgovarajuæa predavanja, možda naparaviti nekoliko interesantnih TV emisija i sl.

Obzirom da se ovaj procenat manje upuæenih podudara sa procentom neodgovornih, može s e pretpostaviti da bi valjanom edukacijom u znaèajnoj meri bio smanjen i procenat i jednih i drugih.

Pojedini struènjaci preporuèuju korištenje nekog drugog operativnog sistema. Ukoliko je sigurnost na prvom mestu pri radu sa nekim kompjuterom, svakako da je bolje instalirati neki “egzotièniji” operativni sistem, na primer Linux, za koji postoji neuporedivo manje malicioznog programa, mada to ne znaèi da Linuxu nedostaju programi za zaštitu. To je situacija danas, ali jedno je sigurno: kako se poveæava udeo Linux operativnog sistema na korisnièkim kompjuterima, pojavljivaæe se sve više i više malicioznog softvera i za njega.

Odgovor je ovde jasan – oni koji stvaraju ovu vrstu softvera, jednostavno je kreiraju za operativni sistem koji je najzastupljeniji. Takoðe, može se pretpostaviti da oni stvaraju taj isti maliciozni softver na vlastitim kompjuterima koji imaju, takoðe, isti taj najupotrebljivaniji operativni sistem, buduæi da su ga najbolje upoznali i znaju gde su mu slabe taèke na koje treba napadati. Da bi stvaraoci ovog koda pravili viruse za Linux OS, ili bilo koji drugi, bilo bi potrebno da ga savršeno upoznaju što, naravno, iziskuje i vremena i novca.

Prema tome, u zaštiti od ovog nepoželjnog softvera, rešenje nikako ne treba tražiti u promeni operativnog sistema koji se trenutno koristi, i li koristiti manje korišten i manje savršen operativni sistem pod pretpostavkom da ga takve osobe neæe koristiti za stvaranje virusa. Rešenje za taj problem treba potražiti na nekom drugom „mestu“, a to bi bio proces dodatne edukacije i prevaspitavanja (što je malo verovatno), te proces redovnog i pravovremenog edukovanja vaspitavanja.

12.2. Modeli rešenja problema malicioznog softvera Pažljivim èitanjem ovog materijala dolazimo do odgovarajuæih zakljuèaka koji nas vode k a rešenju pitanja zaštite korisnika kompjutera od napada malicioznih softvera. Ona se moraju potražiti na nekoliko sektora kako bi borba protiv ovih „tvorevina“ urodila plodom. Neophodno je delovati u sledeæim sektorima:

o Proizvodnja hardverskih komponenti komjutera, gde bi trebalo suštinski promeniti pristup u proizvodnji, kako bi hardver bio u stanju da prihvati drugaèiji vid zapisa prilikom instalacije operativnog sistema ili aplikacionog softvera. Tvrdi disk bi trebalo jedino da služi za korisnièke dokumente gde bi korisnik imao punu slobodu da manipuliše njima. Operativni sistem i ostale softverske komponente bi trebale da se nalaze na drugaèijem medijumu gde bi upis vršio iskljuèivo proizvoðaè softvera, gde èak ni proizvoðaè, nakon upisa, nebi imao moguænost menjanja sadržaja. U ovom sluèaju, svaki trud dosadašnjih programera malicioznog koda bio bi obesmišljen.

o Promena kaznene politike i kaznenog progona. Tvorci malicioznog softvera menjaju

mesto boravka i odlaze u zemlje gde još ne postoje zakonske regulative o progonima u vezi ove vrste kriminala. Zahvaljujuæi sporosti birokratskih struktura i nesvesnosti zakonodavaca u pojednim zemljama o novom informatièkom dobu, te moguænostima, ali i štetom koju mogu prouzroèiti razlièiti kompjuterski kriminalci, za oèekivati je da æe do usaglašavanja kaznene politike na globalnom nivou neæe doæi u skorije vreme. Stoga se nameæe kao potreba redovno pokretanje pitanja o ovoj problematici na raznim meðunarodnim forumima.

o Buduæi da smo veæ duboko zašli u informatièko doba, da živimo u vreme gde ni jedna

zanatska radionica ne posluje bez pomoæi kompjutera, gde deca u svojim domovima poseduju vlastite kompjutere, došlo je vreme da doðe i do informatizacije i u obrazovanju, te da se kao prvi korak uvede informatika u najniže razrede osnovne škole uporedo sa uèenjem prvih slova. Veæ tada, prije no što deca pokrenu kompjuter, treba im govoriti o etièkim normama pri njegovom korišæenju. Veæ od malena, deca trebaju da shvate da je pravljenje malicioznog softvera zloèin, a ne nekakvo “pametno” i “zabavno” delo, da od takvih dela štetu mogu da imaju uglavnom njima nepoznati ljudi ili njihovi prijatelji, pa i oni sami, gde su oni kao zloèinci niža kategorija od obiènog zloèinca buduæi da im nedostaje odgovarajuæa motivacija za razliku od njih.

12.3. Modeli zaštite ustanova Buduæi da je u ovom radu iznet veoma veliki broj podataka o postojanju razlièitih sistema za zaštitu od razlièitih malicioznih programa, te da su sve moguænosti svakog pojedinaènog sistema zaštite detaljno opisani, možemo izvršiti izbor odreðene zaštitne kombinacije. Izbor prvenstveno zavisi od potreba ustanove u odnosu prema znaèaju i zanimanju za podatke sa kojima one imaju doticaja, te odnosa menadžmenta prema pitanju bezbednosti te spremnosti istog da investira za takve potrebe.

Buduæi da možemo da razlikujemo dva tipa organizacija zavisno da li koriste u svom radu multimediske datoteke ili se uglavnom radi o raèunovodstvenim podacima, možemo predstaviti dva posebna tipa zaštite:

· Zaštita na serveru upotrebom nekog „egzotiènijeg” manje korišæenog operativnog sistema

· Zaštita na serveru upotrebom Microsoftovog operativnog sistema Windows.

Ukoliko se ustanove bave delatnostima u kojima multimediski proizvodi nisu od znaèaja, što znaèi ukoliko se radi o razlièitim knjigovodstvenim ili raèunovodstvenim preduzeæima, tada se preporuèuje korišæenje operativnog sistema Linux na fajl serveru i na SQL serveru (Slika 20), uz korišæenje jednog od boljih anti-virusnih i anti-špijunskih softvera (jedan od boljih i veoma pristupaènih je BitDefender) predviðenih za ovaj operativni sistem, te dodatnog vatrenog zida takoðe za ovaj OS.

Sl.20 – Upotreba Linu x operativnog sistema u kreiranju lokalne kompjuterske mreže

U ovom sluèaju kada na serverima postoji Linux operativni sistem, možemo imati radne stanice pod istim operativnim sistemom, dok umreženi kompjuteri u kancelarijama mogu da budu pod operativnim sistemom Windows.

o Potrebno je regulisati da svaki korisnik kompjutera u pojedinoj kancelariji nema moguænost administrativnog pristupa važnim sistemskim datotekama, moguænost instaliranja drugih nedozvoljenih aplikacija I sl.

o Na svakom komjuteru instalirati legalan operativni sistem, te ukljuèiti njegov zaštitni zid i potvrditi opcicju za automatsko ažuriranje operativnog sistema sa najnovijim definicijama. Originalan opeprativni sistem otvara moguænost pristupa tehnièkoj podršci dotiènog proizvoðaèa operativnog sistema što je osim ukazivanja pomoæi veoma važno kada se radi o razgranièenju da li je u pitanju hardverska greška ili se radi o nekom malicioznom programu. Kada je u pitanju softverski problem oni æe pomoæi tako što æe online skenirati dotièni kompjuter i odmah besplatno ukloniti problem ukoliko ga ima. Pored ovog pružiæe pomoæ kvalitetnim savetom i uputiti na pravo rešenje problema.

o Na svakom kompjuteru instalirati kvalitetan AntiVirusni softver, te voditi raèuna da s e definicije antivirusnog programa redovno ažuriraju.

o Redovno informisati zaposlene u ustanovi o novitetima u oblasti malicioznog softvera t e o konkretnim opasnostima za samu ustanovu. Svake godine zbog stalne fluktuacije zaposlenih organizovati bar jedno predavanje iz ove oblasti za sve zaposlene, te napraviti dodatnu literaturu u obliku brošure i podeliti u toku predavanja.

o Dati instrukcije svakom operateru na kompjuteru radi redovnog meseènog skeniranja kompjutera radi pronalaženja eventualnog malicioznog softvera, te dati instrukcije o pravljenju rezervnih kopija dokumenata, korišæenja sistema za restauraciju i pravljenje dobre sistemske rezervne kopije (backup).

o Jednom meseèno na odgovarajuæem nivou izvršiti kontrolu pridržavanja ovih mera.

Ukoliko se radi o organizaciji koja prvenstveno posluje sa multimedijom, glavna mreža prema Internetu mogla da ima na serverima MacIntosh Apple operativni sistem buduæi da Linux ne podržava multimedijumu. Ovaj operativni sistem se može preporuèiti buduæi da se napad iz okruženja može oèekivati od malicioznih softvera koji su stvarani na Windows platformama, buduæi da su ove platforme najzastupljenije u istom okruženju. Radne stanice bi takoðe mogle biti pod istim operativnim sisitemom dok bi ostali kancelariski kompjuteri i dalje bili pod operativnim sistemom Windows.

Po ostalim pitanjima, kao što je korišæenje legalnog operativnog sistema, korišæenje kvalitetnog anti-virusnog i anti-špijunskog softvera, ukljuèivanju vatrenog zida, obuci zaposlenih i kontroli rada zaposlenih na kompjuterima, treba biti sve isto kao što je gore navedeno.

13. Korišæena literatura:

o Soleša D.(2001): Raèunarski praktikum za informatiku i obrazovnu tehnologiju ,

Univerzitet u Novom Sadu - Uèiteljski fakultet, Sombor,

o Symantec Security, Frédéric Perriot Senior Softver Engineer (2007): Win32/Simile and

Metamorphic Virus Code, www.symantec.com/,.

o Tommy Sandstrom (2008): The Code 9811 Virus , http://www.silent.se/9811/

o Marko Domanoviæ (2005.): Malware programi,

http://www.issociate.de/board/post/ 287369/,

o Mario Baksa, Matija Graèanin (2006.): Stop virusima! , http://www.sysprint.hr/katalog,

o PC World Test Centar i AV Test.org Univerziteta u Magdeburgu u Nemaèkoj (2007): Top

All-in-One Security Suites, http://www.pcworld.com/testcenter/,

o PC World (2007): Viruses That Cost Us Billions, http://www.pcworld.idg.com.au ,

o Ivan Toman (2008): Kako rade antivirusi, http://www.inet.hr/~ivtoman,

o Wikipedia (2007): E-mail & Virus , http://encyclopedia.thefreedictionary.com/,

o Wikipedia (2007): I Love You! , http://encyclopedia.thefreedictionary.com/,

o Wikipedia (2007): Computer Virus , http://encyclopedia.thefreedictionary.com/,

o By Daniel F. DeLong (2007.): Code Red Virus, http://www.javaskyline.com/20010810.html,

o Kaspersky Labs (2008): Virus Top 20 for May 2008 ,

http://www.viruslist.com/en/analysis?pubid=204792007,

o Kaspersky Virus Encyclopedia (2007): Virus Encyclopedia ,

http://www.viruslist.com/en/viruses/encyclopedia,

o Hauard Kaningem (2007): Kompjuterski virusi koštaju amerièke kompanije milione

dolara, http://logo.szuper.info.hu/alllogos.php3,

o i drugi bezimeni autori na Internet web stranicama

14. DODATAK DIPLOMSKOG RADA

Rezultati izvršenog istraživanja na temu: “Odnos kompjuterskih korisnika prema pitanjima

zaštite kompjuterskog sistema od malicioznog softvera“.

Rezultati izvršenog istraživanja

Tema: Odnos kompjuterskih korisnika prema pitanjima zaštite kompjuterskog sistema od malicioznog softvera

Metoda: Upitnik

Uzorak: 50 ispitanika

Mesto: Kompjuterska laboratorija Pedagoškog fakulteta u Somboru (uèionice br. 38 i 41)

Datum: 16. i 17. Jun 2008. godine.

U okviru izrade diplomskog rada na temu Kompjuterski virusi, nastala je potreba za izvršenje jednog istraživanja na gore navedenu temu, kako bi se utemelji le pretpostavke o ponašanju kompjuterskih korisnika u odnosu na ovu uvek aktuelnu opasnost, te opravdali predlozi izneti u diplomskom radu o potrebi za njihovom sveobuhvatnijom edukacijom.

U svakodnevnim razgovorima sa kompjuterskim korisnicima, uzimajuæi u obzir one koji koriste iskljuèivo svoje kuæne kompjutere, te one koji osim svojih vlastitih koriste i kompjutere u tuðem vlasništvu koji su im sticajem odreðenih okolnosti povereni na upotrebu, možemo naiæi na razlièite odnose prema bezbednosnim merama u pogledu zaštite od malicioznog softvera.

Posmatranjem istih korisnika u radu na poverenim mašinama možemo doæi do zakljuèka da je njihovo mišljenje u skladu sa njihovim ponašanjem, tako da je primetan veliki varijetet u odnosu prema poverenoj im tehnici.

Buduæi da veæ postoje neka vladajuæa shvatanja o ovom odnosu, te da na osnovu tih shvatanja mogu postojati odreðena oèekivanja po pitanju rezultata, bilo je potrebno izvršiti jedno istraživanje kako bi se utvrdio taj odnos na jedan obuhvatniji i egzaktniji naèin, obzirom da u svakodnevnim razgovorima i posmatranjem nailazimo tek na deo korisnièkog tela koji nam može dati krivu predstavu o postojeæem problemu.

Populacija koja je obuhvaæena u ovom ispitivanju su studenti Pedagoškog fakulteta u Somboru, obzirom da predstavljaju jedan veoma reprezentativan uzorak kompjuterskih korisnika koji su na Pedagoškom fakultetu gde danas studiraju zapravo samo preslikali svoje svakodnevno korisnièko kuæno ponašanje kome je dodat još jedan novi veoma znaèajan element – korišæenje mašina koje su u tuðem vlasništvu.

Može se zakljuèiti da se njihov odnos prema ovom problemu prije poèetka studija nije promenio, a ukazivanjem ovog novog elementa pojavila se je moguænost da se na neki naèin pokaže pravo lice problema. Ispitivanjem ovog uzorka dobijena je slika svesti drugih mladih ljudi kojima se još nije ukazala prilikaa da studiraju uz moguænost korištenja poverene informatièke tehnologije.

Vladajuæa shvatanja po pitanju ovog problema se danas uglavnom nalaze na web stranicama kompanija kojima je prevashodni zadatak zaštita od ove vrste opasnosti. Uz reklamiranje najnovijih proizvoda iz kategorije anti-virusne, anti-špijunske i ostalih zaštita, može se naiæi i na problematiku vezanu za odnos kuænih korisnika prema ovom problemu. Èlanke koji razmatraju ovu

problematiku možemo naæi na adresama www.kaspersky.com, www.symantecsecurity.com, www.eset.com, www.avast.com, ili bilo kog proizvoðaèa ove vrste softvera u odgovarajuæim rubrikama. Problem je jedino u tome što nema ni reèi o obiènom korisniku koji veoma malo poznaje informatièku tehnologiju, koji nezna engleski jezik i koji se ne može snaæi sa, èesto komplikovanim, interfejsom pojedinih proizvoðaèa.

U istraživanju se je moglo oèekivati da bi rezultati po pitanju poznavanja same informatièke tehnologije, a posebno pitanja vezanih za softver bili slabije ocenjeni, buduæi da po ovom pitanju postoji slabo interesovanje korisnika. Stoga su odabrana pitanja koja æe na jedan efektan naèin ukazati na odnos korisnika prema tehnici i samom problemu, što æe ukazati na nivo motivacije za borbu protiv samog problema.

Obrada podataka

1. Prema Vešem mišljenju, najbolje sredstvo za borbu protiv malicioznog softvera je: a) kvaliitetan AntiVirusni softver., 34 68%

b) drugi, još snažniji maliciozni softver od postojeæeg., 5 10% c) hardverski èistaè malacioznih softvera., 11 22%

2. Opišite Vaš postupak prilikom preuzimanja sa Interneta, uz prihvatanje dozvole za korišæenje, nekog zanimljivog ali Vama nepoznatog softvera od nepoznatog proizvoðaèa?

a) preuzeæu ga i instalirati, jer ako ima ugovor, onda je legalan, stoga mora biti ispravan.,

10

20%

b) neæu ga ni preuzimati ni instalirati , jer tu mora biti nešto sumnjivo., 12 24%

c) preuzeæu ga i prekontrolisati sa kvalitetnijim anti-virusnim softverom ili više njih, a tek potom æu ga instalirati.,

28

56%

3. Opišite Vaše razmišljanje o problemu postojanja malicioznog softvera i moguænosti prenosa istog tog softvera na Vaš kuæni raèunar prilikom rada na kompjuteru izvan Vašeg vlasništva?

a) uopšte ne razmišljam o problemu vezanom za maliciozni softver., 9 18% b) obavezno prekontrolišem da li postoji kvalitetan anti-virusni softver koji

uliva sigurnost.,

22

44% c) uvek strahujem od moguænosti da prenesem neki maliciozni softver na

moj vlastiti kompjuter.,

19

36%

4. Opišite Vaš postupak prilikom testiranja nekog sumnjivog nepoznatog softvera? a) za testiranje iskljuèivo koristim moj vlastiti kompjuter., 12 24%

b) za testiranje koristim svoj i li bilo koji kompjuter gde mi se ukaže prilika., 9 18% c) za testiranje koristim iskljuèivo tuði kompjuter., 6 12%

d) ne zanimaju me nepoznati i neprovereni softveri., 23 46% 5. Vašim USB stikom prenet je virus na kompjuter Vašeg najboljeg prijatelja.On je morao reinstalirati sistem i platiti troškove servisiranja. Postupiæete na sledeæi naèin:

a) snosiæu jedan deo troška buduæi da je i on odgovoran jer ne poseduje anti-virusni softver.,

30

60%

b) neæu da snosim nikakav trošak jer je on veæ imao puno virusa prije no što je tamo dospeo virus sa mog USB stika.,

20

40%

Analiza podataka

Prema odgovorima na prvo postavljeno pitanje možemo zakljuèiti da netaèni odgovori zapravo upuæuju na veoma velike probleme koji mogu nastati u odnosu korisnika i malicioznog softvera. Ovde bi se moglo pretpostaviti da je jedan deo ispitanika koji su odgovorili taèno a od ukupnog tela od 58%, zapravo odgovarao prema intuiciji, te je stoga procenat neznanja veæi od ovih 32%.

U odgovorima na drugo pitanje o postupanju prilikom preuzimanja nepoznatih softvera sa interneta, takoðe nailazimo na izvesno podudaranje sa prethodnim pitanjem. U ovom pitanju imamo opet rezultate u odgovorima na stavke a i b u zbiru od 44%, i to 20% koje upuæuju na naivnost i ostatak od 24% koji upuæuje opet na neznanje, ali i strah. Buduæi da je u prethodnom pitanju pretpostavljeno da je jedan deo ispitanika dao izjavu po intuiciji, te da je dat komentar da je procenat neznanja i veæi, može se pretpostaviti da je pravi procenat neznanja zapravo oko èetrdesetak procenata.

Na treæem pitanju takoðe možemo videti odgovarajuæe podudaranje sa prethodnim pitanjima. Premda se na prvi pogled brojevi malo razlikuju, ipak možemo konstatovati da daju pravu sliku. U ovim rezultatima možemo videti da je 44% ispitanika sigurno u radu na kompjuterima. U 36% onih koji su odgovorili da ih je strah, možemo zakljuèiti da je jedan deo ispitanika upuæeniji u ovu problematiku, te da im je poznato da postoje razlièiti kvaliteti antivirusnih softvera po pitanju nalaženja i uništavanja malicioznog softvera, te da stoga zaista i postoji opasnost zaraze, bez obzira što antivirusni softver nije registrovao opasnost, bilo je oèekivano da æe se ispoljiti poveæana doza straha. Ovaj procenat je poveæan upravo zahvaljujuæi onima koji su previše oprezni. Na ovom pitanju zabrinjavaju odgovori pojedinih korisnika (18%) koji uopšte ne razmišljaju o ovom problemu. Ovo je verovatno podskup onog skupa slabije upuæenih a koji iznosi oko 40%. Oni ipak bez imalo razmišljanja koristi poverenu tehniku. Ovih 18% æe se na odreðeni naèin uklopiti u rezultate istraživanja na sledeæem pitanju.

Odgovori na èetvrtom pitanju zapravo upuæuju na odnos ispitanika, kako prema samoj tehnici, tako i prema nekim moralnim pitanjima. Oni zapravo daju odgovor o tom kakvi zapravo jesmo i šta možemo oèekivati u buduænosti. Možemo se radovati da ipak velika veæina odgovara da bi to uradili iskljuèivo na svom vlastitom kompjuteru (24%), i li da ih ne zanima nepoznat I neproveren softver (46%), što èini ukupno 70%. Veoma zabrinjavaju odgovori gde bi ispitanici koristili iskljuèivo tuði kompjuter (12%) ili da bi koristili bilo koji gde im se ukaže prilika (18%). Ovo upuæuje iskljuèivo na pitanje morala i nemarnog odnosa prema poverenoj imovini. U ovom sluèaju je veoma teško i dati odgovarajuæi predlog za rešenje problema, obzirom da je ovo deo vaspitnog procesa koji je tokom procesa obrazovanja jednostavno zanemaren.

Takoðe se može utvrditi da je rezultat istraživanja kroz peto pitanje u podudarnosti sa prethodnim. Ono nas upuæuje na moralnu stranu samog problema i govori o tom koliko smo odgovorni i spremni da snosimo posledice svog neodgovornog ponašanja. Šta se može oèekivati od nekoga ko svom dobrom prijatelju nanese štetu i nakon toga, premda je svestan svoje greške, nije spreman da snosio odgovornost? Ovde sa nalazi èak 40% ispitanika koji tvrde da nisu spremni da snose nikakav trošak u vezi eventualne popravke štete koju sami nanesu. Za jedan deo ovih ispitanika se zaista može naæi opravdanje u èinjenici da su im kompjuteri njihovih prijatelja veæ prilièno zaraženi, tako da se od njih nemože oèekivati da plaæaju za prethodno nastalu štetu. Možda postoji jedan mali deo ispitanika koji ima neke druge motive, tako da na kraju opet dolazimo do nekih tridesetak procenata korisnika èije ponašanje zabrinjava.

Manji problem predstavljaju korisnici koji slabo poznaju informatièku tehnologiju (korisnici koji odgovaraju da bi kao najbolji metod zaštite protiv malicioznih programa odabrali još snažniji

maliciozni program (10%) ili hardverski èistaè virusa (22%)).Veoma brzo i lako bi bili u stanju da nauèe elementarne pojmove u vezi ove problematike. Za njih se mogu organizovati odgovarajuæa predavanja, možda naparaviti nekoliko interesantnih TV emisija i sl.

Obzirom da se ovaj procenat manje upuæenih podudara sa procentom neodgovornih, može se pretpostaviti da bi valjanom edukacijom u znaèajnoj meri bio smanjen i procenat i jednih i drugih.

Istraživanje izvršio:

__________________________ Kandidat: Kordiæ Žarko