-3-
1. УВОДНА РАЗМАТРАЊА

1.1 Опште чињенице

       У свакодневном животу, у привредним делатностима, државној управи,
образо...
Циљ рачунарске безбедности, као редовне области која је саставни део
информационе технологије је да се чак и они обични ко...
2. ФОРЕНЗИЧКА АНАЛИЗА САВРЕМЕНОГ
                   ДОБА
2.1 Напади,претње и узроци неправилног рада
рачунарских система
У...
Деструктивне активности
        Познати су случајеви уништавања података како би се прикриле извршене
      малверзације.т...
Графикон 2 : Области људске делатности из којих прете највеће опасности
                 Графикон преузет са странице www....
2.3. Врсте злонамерних наметника
       Компромитовање система је свакидашња појава. У многим случајевима неопходно
је саз...
- Малициозни програми за стварање профита

    У току 80-их и 90-их година, сматрало се да су малициозни програми били дел...
Следећи случајеви морају/могу бити знакови заразе рачунара:

         •   приметан , успорен , понекад тиме онемогућен рад...
2.5.   Еволуција и статистика малвера 2008 и 2009.
                      (Касперски лаб)
У првој половини 2008.у антималве...
Графикон 6 : распрострањеност вормова у 2008




        Графикон 7 -остали малвери 2008




                       График...
3. РАЧУНАРСКИ ВИРУСИ

3.1 Опште чињенице
       Рачунарски вируси су врста злонамерно написаних делова или целих рачунарск...
У кориснички програм, чија сврха није да рачунару причини штету, хакери практично
уграђују вирус и тиме нормалан корисничк...
Уобичајено је да се термин рачунарски вирус у жаргону користи за све врсте оваквих
малих програма који чине штету и праве ...
Ипак, за први вирус сматра се,већ поменути Еlk Cloner који се појавио у јулу 1982.
године. Радило се о вирусу који је напа...
3.4 Најгори малвер до сада

WORD.CONCEPT:
Први макро вирус. Инфицирао је Wорд документе, али није правио никакву
озбиљну ш...
SOBIG F:
Sobig Ф, који се проширио са више од милион копија у прва 24 сата заразе. Вирус се
је ширио електронском поштом и...
потпуности ставили своје податке на увид), прво је осумњичена за сада неименована
девојка.
       Налог за хапшење је изда...
3.6 Последице зараза
Зависе од садржаја вируса:

      Реклама-Амстрад
      Песмица
      Љубавна/политичка порука-Малтес...
3.7.1.4 Вируси пратиоци
 -најједноставнији, користе предности којима се извршавају        програми   са истим
оперативним ...
4.ТРОЈАНСКИ КОЊИ

4.1 Опште чињенице
       Тројанци су такође штетни програми али се од вируса разликују по томе што се н...
Сличне технике се користе у неким модерним малициозним програмима где тројан
почиње неколико процеса који прате један друг...
4.2 Начин инфекције тројанским коњем
Тројански коњ је скоро увек тако дизајниран да учини много разних штетних појава,
али...
Осим овог, тројански коњ је комбинован са великим бројем датотека које изгледају
сасвим легално. Тројански коњ се активира...
5. ЦРВИ

5.1 Опште чињенице

       Црв је самостални програм који за разлику од вируса не треба други програм да би
радио...
Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111
Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111
Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111
Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111
Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111
Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111
Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111
Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111
Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111
Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111
Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111
Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111
Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111
Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111
Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111
Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111
Upcoming SlideShare
Loading in …5
×

Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111

3,417 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
3,417
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
61
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Racunarska bezbednost i rizici računarska forenzička analiza (autosaved)1111

  1. 1. -3-
  2. 2. 1. УВОДНА РАЗМАТРАЊА 1.1 Опште чињенице У свакодневном животу, у привредним делатностима, државној управи, образовању, оружаним снагама, у домовима, у свим сегментима људског деловања, наилазимо на информатичку технологију која је човеку веома олакшала, али такође, из темеља изменила живот. Данашњи развој људског друштва је једноставно незамислив без постојања информатичке технологије. Они нам омогућавају доношење брзих, правовремених, потпуних и свеобухватних одлука, што је заправо карактеристика и захтев данашњег доба. Да би смо били у стању да то све остварујемо, а поред могућности коју нам пружа информатичка технологија, потребно је испунити одговарајуће предуслове за њено ефикасно функционисање, а основни предуслов јесте његова функционалност и поузданост. Управо над питањем поузданости ових система надвио се је један таман и опасан облак – малициозни софтвер, који је у стању направити огромне материјалне штете компанијама широм света. Због постојања ове врсте опасности, развила се је посебна производно-софтверска грана чији је посао и крајњи циљ уклањање или бар смањење те опасности. Данас, готово да не можемо наићи на софтверски производ неког мање познатог произвођача за који можемо рећи да је безбедан за употребу. Стога морамо бити свесни опасности која нам прети и бити спремни да на њу одговоримо на адекватан начин. Малициозни софтвер не представља само претњу класичним персоналним рачунарима него и много ширим областима - банкарству, индустрији , трговини. Осим малициозног софтвера, као претња јављају се и многе друге грешке које могу проузроковати велике лабилности система : грешке хардверске природе, људске грешке, и многе друге. Сајберкриминал се напретком технологија све више шири те је обим жртава чија је безбедност угрожена при раду са рачунарским системима све већи. 1.2 Појам рачунарске форензичке анализе и безбедности рачунарских система Рачунарска форензичка анализа као саставни део информационих техологија, у свом изворном значењу је грана информатике која се бави прикупљењем доказа и информација са компромитованих система и машина. Међутим,у овом излагању, термин форензичка анализа биће узет са малим заокретом - у смислу целокупне безбедности рачунарских система, превенције напада, а највише као процес детекције напада и опоравка оштећених или злоупотребљених целина рачунара и информационих система. Сигурност рачунара (en. computer security) је поље рачунарства које се бави надзором, праћењем и спречавањем разних опасности које могу проузрочити нестабилност, престанак рада или било какву врсту штете на софтверу, па и хардверу рачунара. Под претпоставком да је рачунар сигуран од свих опасности (вируси, црви, и разне врсте инфекција), корисник би требао да може урадити баш оно што хоће на рачунару, што није случај ако је рачунар нападнут од стране неког штетног програма који је написан са намером да нашкоди раду рачунара. -4-
  3. 3. Циљ рачунарске безбедности, као редовне области која је саставни део информационе технологије је да се чак и они обични корисници упознају са изворима угрожавања сигурности рачунарских система и мрежа, сигурносним механизмима, методама, техникама и процедурама заштите у рачунарским системима, мрежама и информационим системима,као и заштитом приватности. Ово се посебно односи на Интернет и Интранет мрежно окружење и његове специфичности, међутим биће речи и о такозваној ''offline'' заштити. Посебно ће бити скренута пажња на појам малициозног софтвера, класификацију, историјат и специфичности истог, и моделе заштите и понашања у односу на проблем малициозног софтвера. Иако се човек против одређених ризика колико толико може борити ипак постоје и претње које су у потпуности ван његове контроле.Са напретком технологије,све су чешћи случајеви кварова и оштећења рачунарских система,делимичног као и трајног губљења података, сајберкриминала, и губљења личне приватности на мрежи и ван ње. Проблематика малициозног софтвера од тренутка свог настанка задаје бриге многим корисницима ИТ (Информатичке технологије). Потреба за знањима из ове области је стална и неизбежна те се овај рад може схватити као обједињавање и допуна већ постојећих знања Без обзира на то колико се ревносно исправљају пропусти у рачунарском софтверу, он је и даље рањив. Сваким даном настане на хиљаде злонамерних идеја које нарушавају безбедност корисника,и битно је знати основне принципе заштите. Теоријска фабула овог рада биће поткрепљена великим бројем искуствених и честих примера, те ће овај пројекат бити изузетно користан свим корисницима независно од тренутног знања из ове области. 1.3 Циљеви анализе Савремена безбедносна/форензичка анализа рачунарских система има за циљ следеће: У данашње време, битно је кориговање ставова и људске свести према свим врстама опасности. Осим кориговања властитих ставова , истом мером утицати на остале кориснике како би променили свој модел понашања, уколико је до тада био погрешан. Стицање потпунијих знања из области заштите компјутерских система од неовлашћених упада, те стицање нових и употребљивих знања која ће омогућити лако сналажење у додиру са опасностима овога типа. Препознавање тежих и лакших облика деловања малициозног софтвера кроз описане практичне примере, те створити потребу за размишљањем код читаоца о моралној страни овог проблема како би он добио одговарајући импулс за самостално деловање у овој области заштите, те исправно утицао на друге. Развијање мишљења да је појава угрожене приватности одговор на један облик друштвене свести у складу са одговарајућим погрешним друштвеним вредностима, те да су креатори оваквих софтвера и сами на одређени начин друштвене “грешке”. -5-
  4. 4. 2. ФОРЕНЗИЧКА АНАЛИЗА САВРЕМЕНОГ ДОБА 2.1 Напади,претње и узроци неправилног рада рачунарских система Узевши у обзир укупно окружење рачунарских система претње њиховој функционалности могу се поделити на више категорија у зависности од критеријума: 1) Грешке у раду Људске грешке Могу бити врло различите природе Хардверске грешке Да нико није савршен показао је и познати случај из 1994 године када је светски лидер у производњи процесора Интел код свог Пентиума превидео кардиналну грешку. Наиме ови процесори су давали погрешан резултат математичких операција за које је била мала вероватноћа да ће се у пракси дешавати али је ипак та вероватноћа постојала Софтверске грешке Најпознатији софтверски проблем био је прелазак у 2000. годину, будући да су многи програмери у жељи да уштеде који бајт обележавали године датума са само две последње цифре. Тако је рецимо, 1998. забележена као '98'. Ово је онемогућило квантитативни приступ датом софтверу јер би практично разлика у годинама између 2002 и 1998 била бесмислена - 02-98 не би дало правилан резултат Погрешни подаци Лоши улазни подаци увек ће проузроковати лоше резултате обраде 2) Крађе и деструкције Крађа хардвера Штета нанесена оваквим постпуком превазилази нивое вредности самог хардвера с обзиром да украдени медији могу да садрже податке много вредније од цене компонената медија Крађа софтвера Најчешће се јавлјају у случајевима неовлашћеног коришћења односно дуплицирања софтвера.Овај постпупак представља Повреду ауторских права произвођача софтвера те се за овакве поступке кривично одговара Крађа података Овде спадају крађе пин кодова и комплетних кредитних картица,као и конфисковање корисничких имена и лозинки које могу нанети велику штету -6-
  5. 5. Деструктивне активности Познати су случајеви уништавања података како би се прикриле извршене малверзације.такође су чувени примери отказа многобројних програмера јер су ради освете уништили део софтвера у чијем су креирању учествовали 3) Криминал изведен уз помоћ рачунара Ова врста уништавања безбедности свакако је увек добијала највећи публицитет зато што је или била уперена према познатим институцијама или је угрозила велики број корисника. Предуслов за ову врсту криминала је постојање рачунарских мрежа преко којих је могуће приступити неком другом рачунарском систему. Бесправно коришћење броја туђе кредитне картице Фалсификовање докумената Подметање лажних информација на интернет сајтове Крађа остварена модификацијом софтвера Вируси и малициозне компоненте разоткривање корисничких 80% података 70% крађа корисничких података 60% упад на веб сајт 50% 40% погрешна 30% конфигурација 20% неовлашћени 10% приступ подацима 0% вируси и 1 малициозни програми Графикон 1: претње са којима су биле суочене фирме 2003. године -7-
  6. 6. Графикон 2 : Области људске делатности из којих прете највеће опасности Графикон преузет са странице www.eset.coм 2.2. Интернет и безбедност рачунара Глобална претња Сви до сада наведени видови малверзације рачунара постојани су, као што је већ речено САМО ако постоји и рачунарских мрежа преко којих је могуће приступити неком другом рачунарском систему. Светски раширена и глобална мрежа интернет, представља НАЈВЕЋУ претњу савременог доба корисницима, с тога је згодно знати основне факторе ризика и угрожавања безбедности при коришћењу овог сервиса. Сајберпростор је као један мегалополис : у граду будућности наћи ћете савремене библиотеке, универзитете, музеје, сјајна места за дружење и забаву, срешћете људе различитих интересовања, националности, стећи нове пријатеље, упознати сродну душу. Ипак, као и у сваком граду, и у овом Нетополису постоје људи и места која треба избегавати или им прилазити са опрезом. Као и сваки други изум у историји човечанства, интернет такође може бити злоупотребљен на разне начине. Колико год да је важно и корисно говорити о ризицима приликом одређених начина употребе интернета, толико је важно и чинити то на прави начин. Због претераног застрашивања неки људи могу да почну мање да користе интернет или да чак сасвим престану, а неки минимизују проблем. Ове реакције су сасвим погрешне. Иако је малверзација сваки дан све више, у модификованим облицима,оно што је универзално, на шта се треба осврнути, јесте принцип рада узрочника и механизам заштите. -8-
  7. 7. 2.3. Врсте злонамерних наметника Компромитовање система је свакидашња појава. У многим случајевима неопходно је сазнати ко је одговоран за упад, шта је резултат упада (крађа података, модификације мреже, бекдор програми), на који начин је упад постигнут и одакле. Ове информације су неопходне из више разлога: превенција даљег компромитовања, идентификација и доказима поткована тужба против починиоца. Строга и прецизна дефиниција злонамерних програма не постоји У злонамерни софтвер спада сваки код који је направљен у намери да оштети умрежен или неумрежен рачунар или на било који начин отежа његово коршћење. Искључиво имају деструктивну намену, коју им налаже њихов творац. Појам малициозног софтвера, што је кованица од енглеских речи “malicious” и “software”, је термин који се користи за све видове програма који наносе штету, било да се она односи на сигурност података на компјутеру или на штету нанету корисничкој приватности. Постоје малициозни програми који чак не наносе никакву штету системима и постоје само због тога да би њихов аутор испробао методе ширења, па је зато, логично питање да ли се такви програми могу сврстати у малициозне. Обзиром да без потребе заузимају меморијски простор и користе мрежне везе за ширење, могу се убројати у такве. Малициозни програми се класификују према томе шта чине, како се извршавају, и према начину на који се умножавају. Мeђутим, разлике између типова малициозних програма нису увек тако јасно дефинисане, па се многе врсте налазе у различитим категоријама, па на неки начин постоје и хибридни малициозни програми који комбинују особине више врста. Заједничко за све врсте малициозних софтвера је то да се шире без обзира на вољу корисника. Мотиви за за употребу овог софтвера могу бити различити: -едукативни -доказивање у “хакерском” свету -финансијска -индустријска шпијунажа -крађа новца електронским путем -преношење разних других порука (политичких, личних, па чак и сасвим бесмислених). Постоји више критеријума поделе деструктивних програма , кодова -Критеријум 'да ли захтевају носиоца' -они који захтевају носица,тј. програм у коме ће бити сакривени : тројански коњи,вируси -самостални : црви, шпијунски програми -Критеријум 'да ли се реплицирају' -они који се реплицирају : вируси, црви -они који се не реплицирају : тројански коњи, логичке бомбе -9-
  8. 8. - Малициозни програми за стварање профита У току 80-их и 90-их година, сматрало се да су малициозни програми били дело вандала или шаљивџија, премда су неки били и дело оних који су на тај начин хтели да обесхрабре оне који су посезали за нелегалним верзијама софтвера. У новије време развијен је велики број малициозних програма са циљем остварења финансијског профита. Они који су креирали овакве програме имали су на уму да на неки начин уновче њихову контролу над зараженим системима. Негде од 2003. године, најскупља врста малициозног програма су били шпијунски програми и на њихов развој је потрошено највише времена и новца. Следећи начин стицања профита кориштењем малициозних програма јесте директно кориштење заражених компјутера који ће да раде за аутора малициозног програма. У намери да координишу активности великог броја инфицираних компјутера, творци малициозног програма користе координатне системе (енгл. ботнетс). У овом координатном систему се малициозни софтвер смешта на неки Интернет канал за разговор или неки други систем. У овом случају творац малициозног програма је у стању да симултано управља зараженим системима. Овај координатни систем се такође може користити да инфилтрира унапређен малициозни програм у инфицирани систем и одржи га отпорним на анти-вирусни софтвер или друге безбедносне мере. Могуће је да творац малициозног програма оствари профит крађом од особе чији компјутер је заражен. Неки малициозни програми инсталирају пратиоце (енгл. key logger) који копирају корисничко уписивање лозинке преко тастатуре , уписивање броја кредитне картице или друге информације која би могла бити корисна аутору овог програма. Овај податак се аутоматски преноси ка аутору пружајући му кључеве за крађу. На сличан начин малициозни програм може копирати ЦД кључ или лозинку за игрице онлајн омогућујући тако свом творцу да краде бројеве рачуна или саме игрице. Важно је истаћи да број корисника рачунара у свету сваким даном расте. Међу тим корисницима ипак је више оних који су мало или чак недовољно упућени на претње које им прете на глобалној мрежи-интернету. Према истраживањима највећи број корисника рачунара поседује проблеме са класичним тројан, адвер, спајвер или ворм инфекцијама, али ће ипак бити скренута пажња и на много опасније штеточине које харају дигиталним универзумом. 2.4 Како препознати рачунар заражен малициозним кодом Сваки корисник рачунара, чак и након само неколико дана рада постаје свестан његових перформанси и могућности- максималних и минималних операција које рачунар може да изврши. Уколико се посумња макар и на минимално смањење квалитета рада рачунара корисно је консултовати неког стручног, или самостално одрадити тестове на малициозне инфекције. Манифестације данашњих малвера на рачунаре, заиста су различите, па некад и неприметне, тј. никад се са сигурношћу не може тврдити да ли је , и о којој зарази реч! Важно је истаћи да многи проблеми који се јављају могу да буду апсолутно невезани за вирусе, тј могу да буду везани уза хардверске/софтверске грешке. Тако нпр. трептање монитора може да буде знак инфекције, али је апсолутно већа вероватноћа да је видео картица неисправна или било који хардверски проблем. Многе легитимне апликације се ослањају на спорадичан приступ хард диску тако да не се никад са сигурношћу не може тврдити да је реч о некој вирусној инфекцији или не. - 10 -
  9. 9. Следећи случајеви морају/могу бити знакови заразе рачунара: • приметан , успорен , понекад тиме онемогућен рад на рачунару (ни најосновније апликације не могу да се извршавају) • било каква измена Виндоузовог графичког интерфејса или корисничког подешавања, коју сам корисник није начинио (промена позадине, теме) • заузеће и активност процесора је на 100% (у Таsk Manager-у CPU Usage је на 100% иако је компјутер у стању мировања и само системски процеси су у 1 току ) • нестанак или забрана коришћења било ког сервиса или системског/апликативног софтвера • нестанак било ког фајла са хард диска • појава нове апликације коју корисник није одобрио/инсталирао • приметан нестанак велике количине меморијског простора • вируси често мењају атрибуте и екстензије неких фајлова-егзекутабилних, batch, или командних (.exe .bat .com) • онемогућено покретање система због несталих системских и старт-ап фајлова Постоји још много ефеката које причини малвер, али је бесмислено набрајати,јер сваким даном све је више инфекција различитих по природи манифестације 1 100 % заузеће процесора може међутим и да буде проузроковано и укљученом Аутоматик Апдејт(Automatic Update) Виндоузовом опцијом,с тога прво треба проверити да ли је реч о томе!!!! - 11 -
  10. 10. 2.5. Еволуција и статистика малвера 2008 и 2009. (Касперски лаб) У првој половини 2008.у антималвер базу Касперског додато је 440,311 дефиниција. Графикон 3 Графикон 4 Графикон 5 Графикони 3,4,5 : Распрострањеност малвера у другој половини 2008 - 12 -
  11. 11. Графикон 6 : распрострањеност вормова у 2008 Графикон 7 -остали малвери 2008 Графикон 8 : најчешће мете за остварење фишинга-(PHISHING) у 2009. Графикон 9: извори Спем-а и малвера 2009. - 13 -
  12. 12. 3. РАЧУНАРСКИ ВИРУСИ 3.1 Опште чињенице Рачунарски вируси су врста злонамерно написаних делова или целих рачунарских програма. За прављење ових програма постоје посебни програми - Вирус тулкис (toolkits). Поседују способност саморазмножавања, тј. инфекције (преношење зараженог програма и на друге рачунаре), по чему су слични црвима, али се разликују од осталих малвера. Може се налазити и заразити било који програм, сектор за подизање рачунара, документ који подржава макронаредбе, тако да промени садржај те датотеке те у њу копира свој код. Рачунарски вирус се обично састоји од два дела: Први део је самокопирајући код који омогућава размножавање вируса. Други део је корисна информација која може бити безопасна или опасна. Неки се састоје само од самокопирајућег кода. Понекад вирус захтева интеракцију човека да би се реплицирао попут покретања програма који садржи вирус или отварања неке заражене датотеке. Рачунарски вируси су, дакле програми писани са намером да поремете рад рачунара. Деле се на деструктивне и недеструктивне. Они први праве штету, а други су све ређи. Вирус тако на неки начин мора да се прикачи за домаћина и то тако да када се изврши домаћин изврши се и вирус. Овде је и разлика између вируса и црва, пошто црвима не требају домаћини, мада се и вируси и црви реплицирају. Вирус у ваш рачунар може да доспе на различите начине, а најчешће се дешава да их корисници несвесно преузму са интернета. С тим у вези , требало би да се зна да је интернет препун најразличитијих вируса. Они се обично налазе на Wеб сајтовима са којих је могуће илегално преузимати разне програме, игрице, филмове и музику. Вируси харају и на Wеб сајтовима еротске садржине. Поред тога што их корисници несвесно могу преузети са сумњивих Wеб сајтова, вируси се могу добити и електронском поштом. Врло често интернетом круже вирусима заражена електронска писма. Када корисник отвори неко од ових писама, аутоматски се активира вирус који затим причињава штету у рачунару. Вируси у рачунар могу доспети и са магнетне дискете или ЦД-а чији је садржај заражен а у данашње време све је више и више заражених флеш меморија и преносивих медија. Уколико рачунарски вирус на било који начин доспе у ваш рачунар, огромна је вероватноћа да ће се са вашим рачунаром догодити нешто што ви никако не желите. На пример, може се десити да вирус обрише комплетан садржај рачунара (све фајлове и фолдере). Замислите само следећу ситуацију: месецима радите на неком пројекту и таман сте га полако привели крају, а онда у ваш рачунар доспе вирус. У том случају вишемесечни рад отишао је у неповрат, и то кривицом рачунарског вируса који је израдио неки злонамерни хакер жељан доказивања својих вештина по сваку цену. 3.2 Како вируси настају, шта раде и како функционишу Познато је да је сваки кориснички програм (нпр. Wорд или Ексел) написан у неком програмском језику. Писањем програма настаје такозвани изворни кôд програма (енг. Source code). Дакле, сваки програм има свој изворни кôд. Када праве вирус, хакери у ствари отварају изворни кôд програма и у њега уграђују свој злонамерни кôд, односно вирус. - 14 -
  13. 13. У кориснички програм, чија сврха није да рачунару причини штету, хакери практично уграђују вирус и тиме нормалан кориснички програм претварају у носиоца рачунарског вируса. Када такав програм, који представља носиоца рачунарског вируса, доспе у рачунар дешава се следеће: корисник рачунара покреће програм, не знајући да је он заправо носилац рачунарског вируса. Покретањем програма, покреће се и рачунарски вирус који је у њега уграден. Одмах затим вирус се учитава у радну меморију рачунара и тамо остаје све до искључивања рачунара. Зашто вирус остаје у радној меморији рачунара? Вирус тамо чека да корисник покрене неки други програм. Када корисник покрене други програм вирус се размножава, односно аутоматски се, без знања корисника, уграђује у покренути програм. Ова радња понавља се сваки пут када се покрене неки програм, докле год се вирус налази у радној меморији. На овај начин, „чучањем“ у меморији, вирус практично обезбеђује себи могућност да се мултиплицира, односно проширује на све програме који се налазе у рачунару. Када се рачунар угаси, вирус нестаје из радне меморије. Међутим, до тада се он већ аутоматски уградио у све програме који су коришћени од момента када је доспео у радну меморију па до момента када је рачунар искључен. Покретањем било ког од ових, сада већ заражених, програма цео циклус креће од почетка. Дакле, суштина је у томе да више није потребно покренути програм који је носилац вируса, вец вирус даље ради сâм и преноси се са једног програма на други. Веома брзо читав садржај рачунара постаје заражен. Ово је само прва фаза, односно фаза размножавања. Сваки рачунарски вирус, слично биолошким вирусима, има неки свој „период инкубације“ у коме је притајен и ради у позадини. У овој фази он још увек не делује деструктивно, а већина корисника током ове фазе није ни свесна да у њиховом рачунару постоји вирус. Следећа фаза је фаза активирања. Она почиње неким догађајем којим се иницира деструктивно деловање вируса. Који догађај ће иницирати поцетак фазе активације, зависи од маштовитости хакера који је направио вирус. Углавном је то неки временски период. На пример, неки вируси се активирају тачно 7 дана од дана када су доспели у рачунар. Са друге стране, неки вируси извршавају свој задатак тачно одређеног дана у месецу, или после одређеног броја покретања програма који је носилац вируса. Какву штету ће у рачунару причинити неки вирус када се активира, такође зависи од маштовитости хакера који га је направио. На пример, један од могућих сценарија је насумично отварање разних типова фајлова и измена њиховог садржаја. Може се, рецимо, десити да вирус отвори дипломски рад неког корисника рачунара, који се састоји од неколико стотина страна написаних у Wорду и да насумице измени текст. Тако вирус може свако слово м у документу заменити словом в или, на крају крајева, може избрисати цео фајл. Нешто слично вирус може да уради и са фајловима који су неопходни за рад неких програма. У том случају, програми чији су фајлови измењени или обрисани више не могу да се покрену. Такоде, вируси могу да измене или да обришу неки фајл који је од кључног значаја за исправан рад оперативног система Виндоуз. Ако се то деси настаје потпуни крах, односно најгора ноћна мора, а то је губитак података. Када вирус до ове мере узнапредује, једини лек је брисање зараженог садржаја хард диска рачунара и поновна инсталација оперативног система. То често узрокује и постављање параметара хард диска на почетне вредности, чиме се губи (брише) комплетан садржај хард диска рачунара (ова радња назива се форматирање хард диска). Вируси не морају да буду деструктивни у оволикој мери. Постоје разне врсте вируса који раде много безазленије ствари. На пример, постоје вируси који уместо вас контролишу показивач миша, или на екрану исписују одређена обавештења типа „Ја сам власник овог рачунара“, или пуштају одређену музику у одређено време... - 15 -
  14. 14. Уобичајено је да се термин рачунарски вирус у жаргону користи за све врсте оваквих малих програма који чине штету и праве проблеме, мада поред вируса постоје и друге врсте ових малих напасти које се разликују од претходно споменутих класичних вируса. То су, пре свега, црви, тројанци, спајвери и није сасвим коректно користити термин вирус за њих. Штета коју могу да изазову иде од тога да понеки програм постане привремено неупотребљив, док се не нађе резервна здрава верзија, па до уништења логичке структуре диска и губитка свих података и програма са њега. У том случају једини лек је формитирање диска, то јест физичко брисање свега што је на њему било и уписивање нове, исправне и празне структуре, поновно инсталирање оперативног система и свих апликација, те враћање података из последње архиве, ако сте такво нешто уопште и направили. Вируси могу искључиво да нанесу штету софтверу, али не и хардверу. Занимљиво је да постоје вируси (нпр. CIH) који нападају одређене врсте БИОС-а, бришући све податке из њега, и остављајући компјутер неупотребљивим све док се у БИОС (Basic input-output system) чип поново не упише његов програм. Међутим, могућност да вируси оштете хардвер не треба у потпуности одбацити јер постоје идеје на који би се начин то могло постићи. На пример, вирус који би могао да промени резолуцију слике на монитору више пута у секунди би најверованије после неког релативно кратког времена изазвао квар на њему. Могућност оштећења хардвера уз помоћ малициозног програма у многоме зависи од саме конструкције хардвера и од тога да ли он има грешака у конструкцији. 3.3 Историјски развој вируса Први прави предак данашњих вируса био је Prevading Animal који је био способан да се надодаје на друге програме на UNIVAC 1108 рачунарском систему. Компјутерски вируси су прва форма малициозних програма која се је појавила 1981. године. Термин компјутерски вирус је дао Фред Коен (Fred Cohen) док је експериментисао са DEC VAX компјутерима у оквиру научно-истраживачког рада 1983. Фред Коен је демонстрирао програм који напада друге програме и копира сам себе без знања корисника. Његов професор Ленард Адлман (Leonard Adleman) је, после проучавања дејства програма, први поменуо име “компјутерски вирус”. Тада је он класификовао вирусе на лабораторијске и неконтролисане (енгл. In the Wild) вирусе. Вирус Creeper је прво откривен на мрежи АРПАНЕТ која је претходила данашњем Интернету, у раним седамдесетим годинама. Преносио се преко оперативног система Tenex и могао је да се служи било којим спојеним модемом да би бирао удаљене компјутере ради заразе. Приказивао је поруку “I am the creeper, catch me if you can”. Први потврђен налаз рач. вируса је био 1982. и звао се Elk Cloner. Тај вирус је инфицирао BOOT сектор дискета за Apple II рачунаре. 1988. је био вирус Јерусалим који је брисао све покренуте програме, а 1989. Datacrime који је био способан извршити Low level формат нулте стазе2 на диску. Исте године у Бугарској је активирана права фабрика вируса. Први вируси били су прилично шаљиви, например Vienna B, препознавао се по падању слова по екрану, Јенки Дудл, назван тако по тексту који уписује у стартни сектор диска, Пинк Понг које је шетао "лоптицу" по екрану и Каменко, који је исписивао поруку "Ваш диск се скаменио", а понекад и "легализујте марихуану". 2 Сектор са подацима за подизање система који се још назива партицијски сектор,или нулти сектор тврдог диска - 16 -
  15. 15. Ипак, за први вирус сматра се,већ поменути Еlk Cloner који се појавио у јулу 1982. године. Радило се о вирусу који је нападао рачунаре Apple II, а ширио се тако што се "качио" за игрицу која је била написана за те рачунаре и уз помоћ дискета прелазио са рачунара на рачунар. Аутор овог првог вируса био је један средњошколац из америчког града Питсбурга, а игра је била подешена тако да може играти 49 пута, након чега би се покренуо вирус, који би на монитору исписивао стихове из песме чији аутор је био поменути средњошколац. Уместо да се појави игрица,појавио би се празан екран а на њему је била написана песмица о овом вирусу. Слика 1 : пример поруке рачунарског вируса Песмица је изгледала овако: „Elk Cloner: The program with a personality It will get on all your disks It will infiltrate your chips Yes it`s Cloner! It will stick to you like glue It will modify RAM too Send in the Cloner! Потом би компјутер био заражен Један од првих вируса који је покренуо епидемију глобалнх размера (и због којег је касније уведен данас познати термин "злонамерни софтвер"), био је вирус Мелиса који се појавио 1999. године а ширио се као датотека приложена уз поруку е-поште, и само у Северној Америци заразио је више од милион рачунара. - 17 -
  16. 16. 3.4 Најгори малвер до сада WORD.CONCEPT: Први макро вирус. Инфицирао је Wорд документе, али није правио никакву озбиљну штету. Ипак, ширио се је као шумски пожар. Године 1996. био је најприсутнији вирус на свету, а и данас се још увек налази. MELLISA Један од првих вируса који се користи данас тако што се сам шаље сваком из адресара компјутера. Мелиса је проузроковала штету од око 385 милиона $. Мелиса је заразила 15 до 20 % свих пословних компјутера на свету. Вирус Мелиса се ширио тако брзо да су неке од највећих фирми које су користиле програм за електронску пошту Outlook express као клијент биле присиљене угасити системе за размену електронске поште. Вирус је користио Outlook да сам себе пошаље на 50 адреса које је нашао у именику споменутог програма. Поруке су садржавале реченицу “Here is that document you asked for… Dont show anyone else.” ; (Ово је документ који сте тражили . . . . Немојте то показивати никоме другом.). Чини се да је крај те реченице био превише за знатижељу корисника, који су масовно отварали приложени документ. MICHELANGELO Први вирус који је напао велики број компјутера, био је и први пример мита који се ствара о вирусима. Приче из медија успеле су преплашити све, али када је дошао , био је безопаснији од очекиваног. BUBBLEBOY: Око овог вируса се створило више панике него што је било потребно, али је један од најпознатијих вируса до данас. Пре њега се није могао добити вирус једноставно читајући електронску пошту. Баблбој је то све променио. CODE RED Најскупљи вирус у историји Интернета. Користећи стару грешку у сигурносном систему компјутера, његова функција је била претворити компјутере у зомбије који одбијају наредбе. У само девет сати успео је заразити 250000 компјутера, а штета коју је проузроковао процењена је на 2,62 милијарде УСД. “Нема сумње да је ово најскупљи вирус у историји Интернета.”, рекао је Michael Еrbschloe, потпредседник компаније Computer Economics. Уз то је додао да н еби могао да утврди колико ће још ова два вируса коштати компаније да очисте неред који су вируси оставили иза себе. CIH CIH: Овај вирус се је проширио са Тајвана 1998. године. Било је то доба ОС Wиндоwс 98 и још старијих ОС Wиндоwс 95, чије је извршне датотеке нападао. Вирус је имао способност задржавања у меморији компјутера. То је било место одакле је нападао друге из вршне датотеке. Одмах након заразе CIH би извршио свој малициозни задатак, а то је било брисање и преписивање података на тврдом диску. Вирус је познат по томе што се је чак успео убацити у извршну датотеку демо верзије тада популарне игре Син, па се и тако ширио. Познат је и под именом Чернобил због подударности датума активације неких верзија са датумом познате нуклеарне катастрофе. Данас, ЦИХ није озбиљна претња због некомпатибилности са новијим оперативним системима Windows 2000, Windоws XP, Windоws Vistа, али и спремности антивирусних софтвера. - 18 -
  17. 17. SOBIG F: Sobig Ф, који се проширио са више од милион копија у прва 24 сата заразе. Вирус се је ширио електронском поштом и слао је сам себе са инфицираних компјутера. Због брзог ширења изазвао је веома загушени мрежни саобраћај на Интернету. Мајкрософт је расписао награду од 250 000 $ за хватање писца али он до данашњег дана није познат. My DOOM : МyDоом је забележен као вирус који се је најбрже ширио по компјутерима корисника. Метода ширења је преко електронске поште, али се је МyDoom вешто маскирао као порука коју корисник добија када његова електронска пошта не буде достављена. У таквим случајевима је оригинална порука укључена као додатак, који је у овом случају био вирус. Осим електронском поштом, МyДоом се је покушао проширити и помоћу тада популарног P2P сервиса Kazaa. Зараза је била тако успешна да се процењује да је једна од 10 послатих електронских порука, прослеђених у почетку ширења заразе, садржавала вирус. SASSER Сасер је још један вирус који се је за своје ширење ослонио на сигурносни пропуст у оперативним системима Wиндоwс 2000 и Wиндоwс XП. Заражени компјутери су радили веома нестабилно. Вирус је био толико успешан у ширењу и онеспособљавању функционисања компјутера да је успео прекинути сателитске комуникације француских новинских агенција и отказати бројнелетове фирме Делта Ерлајнс. LOVEBUG: Познатији као ’I LOVE YOU’ вирус , искористио је људску знатижељу да би се ширио, и у томе успео. Заразио је 45 милиона компјутера у једном дану и направио штету од 8,75 милијарди УСД. ...................................I love you….. или како је љубавна порука заразила свет и многима задала финансиjске бриге. Кажу да на сваком језику постоји израз „волим те”. У јануару 2008. године људима повезаним на Интернет није било до “љубави”, јер је Интернетом харао нови вирус „ I love you… Прво је примећен у Азији, да би само за неколико сати запљуснуо Америку и Европу, харајући по компјутерским системима. Није бирао жртве: намучио је запослене у ЦИА, Пентагону, Белој кући,Мicrosoftu, итд; углавном није било веће компаније која није погођена. Када су компјутерски корисници узбуњени већ је било касно. Штета од вируса се, за сада, процењује на седам милијарди долара. Вирус је лукаво прерушен у додатак електронске поруке, а пуно име му је гласило „Love- letter-for-you.ТXТ.vbs. Екстензија .vbs није видљива на свим компјутерима, а означава Visual basic script који преко Windows scripting hosta може да приступи сваком ресурсу копјутера или иницира било којu операцију. Страх корисника је оправдан само у случају да користе програм за електронску пошту Outlook express, док су корисници осталих маил клијената сигурни. Двоклик на документ иницира следеће акције: вирус прво приступа адресару и шаље своју копију на све адресе, затим покушава да приступи једном од четири сервера на Филипинима и преузме тројанског коња (WinBugsfix.exe), затим поново шаље сам себе на све адресе из адресара и на крају уништава све мултимедијалне документе (слике, мп3, мп2...), јава скрипт документе или .vbs документе на компјутеру корисника (нпр. мп3 документе би учинио невидљивим и уместо њих поставио своју истоимену копију). Потрага за починиоцима почела је убрзо после откривања вируса. Прво је лоциран у Азији, а затим су као место порекла одређени Филипини. Агенти ФБИ су уско сарађивали са Филипинским властима у потрази за починиоцима. По откривању рачуна са кога је вирус први пут пуштен и сазнавању телефонског броја (Интернет провајдери су у - 19 -
  18. 18. потпуности ставили своје податке на увид), прво је осумњичена за сада неименована девојка. Налог за хапшење је издат тек три дана касније, јер на Филипинима не постоји правна регулатива којa разматра ширење малициозних програма преко Интернета. Прво је ухапшен Риомел Ламорес, који је користећи компјутер своје девојке (првоосумњичене) убацио вирус на Интернет. Убрзо је оптужен и његов друг Мichael Buen који је пре годину дана покушао да дипломира на локалном колеџу, а за тему дипломског рада је узео „Како украсти туђе лозинке преко Интернета?”. Листа оптужених је наставила да расте док није стала на једнаест особа. Сви оптужени су чланови неформалне групе која је локалним пословним људима правила неопходан софтвер, а на Интернету се представљала под именом „ Grammersoft. Сви чланови групе су похађали локални АМА Computer college, а директор школе је указао на осумњичене чланове. Највећа затворска казна, уколико буду осуђени, биће три године. После сузбијања вируса, на Интернету се повела расправа о сигурности ОС Wиндоwс, као и о опцијама које просечан корисник никада не користи, али су зато више него примамљиве за хакере. Званичници компаније Мicrosoft су изјавили да кривица није на њима, јер су Active X I Windows Scripting ту због лакоће коришћења, а не због “хакера”. Нова поправка за Outlook Express искључује могућност аутоматског покретања неких скриптова и поставља зид свим скриптовима који би да прилазе адресару, да би се на тај начин онемогућило неконтролисано ширење вируса. 3.5 Најчешћи путеви заразе -Флоппy дискета -Измењени хард диск -ЦД-РОМ (једном издрађен без инфекције датотека је потпуно сигуран јер је на њега не могуће уписивати) -Рачунарске мреже (E-mail, IRC,News,Download) -УСБ меморије,МП3 плејери -Путем малициозних АctiveX Јава и Јава скрипт програма. Искориштавањем сигурносних пропуста у систему (користећи експлоите), а то је пут којим се шире црви. Приликом посећивања Интернета треба бити посебно обазрив са одређеним типовима wеб страница, а најопасније су странице које садрже “крек” програме, јер се је показало да у релативно великом броју случајева програми за “крековање” других програма у себи садрже и малициозни код, понекад искључиво малициозни код. Треба дозволити извршавање АkтивX и Јава програма само за оне странице за које смо сигурни да су озбиљне. Новогодишње честитке у виду слика, видео записа, малих програма који су додатак електронској пошти преплавиле су многе компјутере у свету. Наравно то је била изврсна прилика да се поткраде по неки вирус који ће касније наносити бриге ширећи се по систему и уништавајући све што му је као циљ акције испрограмирао његов аутор. - 20 -
  19. 19. 3.6 Последице зараза Зависе од садржаја вируса: Реклама-Амстрад Песмица Љубавна/политичка порука-Малтесе Амеба, Милана, Јерусалем, ИРА... Искривљен приказ екрана-1575, 757, Ambulance, Carterpillar Форматирање диска-Casper, datacrime,Michelangelo Доводе до Cros linked files,тј. унакрсно повезивање датотека Грешке у раду 3.7 Врсте вируса 3.7.1 Према начину деловања: 3.7.1.1 Вируси почетног сектора- Boot Sector Вирус 3.7.1.2 Паразитски вируси- Parasite Вирус 3.7.1.3 Свестрани вируси- Multipartite Вирус 3.7.1.4 Вируси пратиоци-Companion Вирус 3.7.1.5 Линк вируси-Link Вирус 3.7.2. По начину скривања 3.7.2.1 Шифровани- Encripted Вирус 3.7.2.2 Полиморфни- Polimorphic Вирус 3.7.2.3 Невидљиви- Stealth Вирус 3.7.2.4 Мутирани- Mutation Вирус 3. 7.3 По томе шта се с њима дешава након што изврше свој “задатак”: 3.7.3.1 Резидентни 3.7.3.2 Нерезидентни (активни) 3.7.1.1 Вируси почетног сектора - нападају и мењају садржај почетног сектора - изворни садржај премештају на неки други део диска, а своју верзију уграђују, па се тако она прва изводи при подизању система -инфекција настаје када се у диск јединицу покренутог рачунара стави заражена ДОС Боот дискета 3.7.1.2 Паразитски вируси -инфекција извршне датотеке- .COM, .EXE .SZS, OVL... -пр. Cascade, Jerusalem, Vbasic... 3.7.1.3 Свестрани вируси -изузетно ефикасни у размножавању -нападају Боот Сектор деструктивно и ЕXЕ и COM програм паразитски -пр. Spanish,Telecom, Tequila, Flip, Liberty, В-1... - 21 -
  20. 20. 3.7.1.4 Вируси пратиоци -најједноставнији, користе предности којима се извршавају програми са истим оперативним системима -нису јако опасни јер не мењају садржај “нападнутог” програма -пр. 16850, Clonewar, Even Beeper, Globe, Breeder 3.7.1.5 Линк вируси –најинфективнији -не мењају “нападнут” програм, већ показиваче у структури директоријума 3.7.2.1 Шифровани вируси –кодира се, тј. мења изворне податке ради прикривања правог садржаја -није у могућности да мења део кода који врши дешифрирање 3.7.2.2 Полиморфни вируси –преобликује извршни код и истовремено мења његов изглед -технички је усавршен јер приликом сваке наредне инфекције настоји изменити и део вируса који врши шифровање -пр. 1260, Dark avanger mutation engine 3.7.2.3 Невидљиви вируси –комплексна техника -систем заражен овим вирусом не показује ништа необично 3.7.2.4 Мутирани вируси –настају унапређивањем, тј. изменом и допуном на вирусном коду -пр.Од вируса New Zeland “развио” се вирус Michelangelo 3.7.3.1 Резидентни вируси –инсталирају се у радну меморију и остају активни дуго након што програм буде извршен -изузетно су инфективни и способни да користе све вирусне технике 3.7.3.2 Нерезидентни вируси -налазе погодан објект за инфицирање и заразе га -не остају активни у меморији када њихов рад буде извршен -мање су инфективни - 22 -
  21. 21. 4.ТРОЈАНСКИ КОЊИ 4.1 Опште чињенице Тројанци су такође штетни програми али се од вируса разликују по томе што се не размножавају. Име су добили по већ свима познатој причи о тројанском коњу, јер корисник сам покреће заражени фајл, бивајући преварен садржајем поруке, и тако отвара врата другим штеточинама.Они као и црви не морају да буду сакривени унутар неког другог програма, већ једноставно могу бити маскирани као неки користан програм, а у ствари праве само штету (брисање, форматирање диска и сл). Најчешћи случај тројанске заразе јесте баш понуда да се инсталира нешто иоле много корисно што ће привући корисника.Тројанце ћете највероватније моћи добити преко интернета и е маила, биће прикачени уз неку поруку у којој ћете бити замољени да стартујете дотични фајл, јер ће Вам он "много помоћи" и сличне навлакуше.Када стартујете тај програм, тројанац је код Вас. Даље ће се дешавати то да ће дотични тројанац омогућити тамо негде некоме приступ Вашем рачунару без Вашег знања, и тај неко ће моћи са Вашим рачунаром да ради шта му је воље, да Вам скида податке, да их брише и још штошта. Највероватније је да ће тек пристигли тројанац да се смести на хард диск у виду неког софтвера,и то да би скренуо пажњу,аутоматски ће се покренути и сместити доле у таскбар поред сата, у System Tray . Колико могу да буду штетни,довољно говори чињеница да се тројанци познатији као dropperi користе да покрену активност црва тако што ће црва убацити у корисничку мрежу. Битно је истаћи да ћете тројанца добити и на елегантан начин-уз неки сасвим бенигни софтвер . Позната је чињеница да при свакој инсталацији софтвера аутор/компанија прво нуде гомилу текста за прочитати а затим прихватити услове коришћења и последице...Тај текст ипак садржи корисну ствар-присуство малвера скоро увек је споменуто тако да они скидају одговорност са себе,али заиста мали број корисника чита комплетну лиценцу програма. Постоје и тројански коњи у служби полиције које се баве прикупљањем информација са циљем откривања кривичног дела(Remote forensic software). Tројански коњи поседује посебне механизме за одбрану против уклањања-и то не само да се елегантно сакрију већ и да одбију покушаје свог уклањања. Један овакав случај забележен је у Jargon file причи(Guy Steele,1989),о пару програма који су провалили у XEROX CP-V систем за дељење времена: Сваки дух би открио чињеницу да је други био уништен и почео би стварање нове копије недавно уништеног програма у року од неколико милисекунди.Једини начин да се униште оба духа је био да се униште симултано-што је било изузетно тешко,па је једино преостајало реинсталирати систем. - 23 -
  22. 22. Сличне технике се користе у неким модерним малициозним програмима где тројан почиње неколико процеса који прате један други и поново рестартују било који процес ако га је случајно корисник прекинуо.1 СЛИКА 2 : ИЗГЛЕД ДЕСКТОПА РАЧУНАРА ЗАРАЖЕНОГ ВИРТУМОНДЕ-ом 1 Познат пример овога јесте ВИРТУМОНДЕ.Овај malware појавио се ....... године поводом........Овај тројан одликује се изузуетном упорношћу и лукавошћу. Своје сврхе манифестује тек некон неколико дана од уласка у систем.Заражава Виндоузову Регистар базу као и фолдер Систем32 за који са зна да садржи системске фајлове од изузетне важности. Јачина овог тројанца огледа се у томе што и данас не постоје дефиниције на већини квалитетних антивирус и антитројан програма,те их они не детектују.Једини програм који га налази јесте Спајбот,али ту се прича не завршава. По горе наведеном поступку,иако га спајбот детектује,након чишћења и поновног старта рачунара он се опет појављује..Имунизације и блокаде немају апсолутно никакав ефекат. Виртумонде је изузетно чест малвер тако да се треба пазити. Његова тачна локација се не зна,али се сматра да га садрже одређени бенигни софвери уз себе,или њихови веб сајтови у виду реклама. Мануелне технике вађења ове напасти такође не пролазе,а ефекти које причињава зависе од временског интервала присуства у систему,верзије и локације на хард диску.Знакови заразе овим тројанцем су следећи: виндоус експлорер се самостално гаси,на сваких пар минута у почетку,гомила нових преоцеса детектована у Таск менаџеру,блокада интернет протокола-онемогућава приступ интернету ,за почетну страну у браузерима ставља страницу лажног антиспијунског програма,јављају се фаталне грешке у софверу(искуствени пример је то да компјутер губи информације о инсталираним и присутним оптичким уређајима тј цд/двд ромовима те је резање као и већина ствари онемогућено),измењен кориснички визуелни интерфејс(пример из искуства-хард дискови губе своја првобитна имена,те све опције типа Explore ili Open,бивају исписане на кинеском или хијероглифском писму)и многе друге. -укулоико је случајно систем за рестаурацију система био укључен аутоматски-једини лек против овог тројанца постаје форматирање партиције,понекад је потребно чак и свих! - 24 -
  23. 23. 4.2 Начин инфекције тројанским коњем Тројански коњ је скоро увек тако дизајниран да учини много разних штетних појава, али такође може да буде безопасан. Они су подељени према начину на који све могу да оштете системе. Постоји девет главних типова инфекције са тројанским коњем: -Удаљени приступ -Слање електронске поште., -Уништавање докумената., -Тројански коњ који се преузима., -Proxy Тројански коњ., -ФТП Тројански коњ (додаје или копира документа са зараженог компјутера)., -Онемогућавање безбедносног софтвера ., -Напад у виду одбијања сервиса (ДоС)., -УРЛ Тројански коњ (упућивање зараженог компјутера да сам успостави везу са Интернетом преко неког веома скупог сервиса)., 4.3 Штета коју начини тројански коњ -Брисање и преписивање података на компјутеру., -Шифровање датотека., -Измена садржаја датотека., -Слање и преузимање датотека., -Дозвољавање даљинског приступа ка жртвином компјутеру. Ово се зове РАТ –Remote Acess Trojan -Ширење других малициозних програма као што су вируси: овај тип тројанског коња се зове Dropperili vector -Успостављање мреже зомби комјутера у намери да се омогуће ДоС напади или шаљу спамови. -Шпијунирање корисника компјутера и прикривено слање података творцу малициозног програма -Снимање уписа лозинке и бројева кредитних картица.. -тражење банковних или других рачуноводствених детаља коији би се могли користити за криминалне делатности -Инсталирање позадинаца на комјутерски систем -Отварање и затварање ЦД-РОМ клизача -Преснимавање адреса и њихово касније коришћење за слање рекламних порука -Рестартовање компјутера сваки пута када се комјутер стартује., -Деактивирање или уплитање у анти-вирус и „ватрени зид” програме ., 4.4. Прикривање Тројански коњи се сакривају коришћењем регистра, на тај начин што у регистру додаје неке податке како би омогућио своје покретање сваки пут када се укључи компјутер. Такође користи методе које омогућују да малициозни програм функционише док је компјутер укључен. - 25 -
  24. 24. Осим овог, тројански коњ је комбинован са великим бројем датотека које изгледају сасвим легално. Тројански коњ се активира када се отворе датотеке који су комбиноване са њим. Када је овај поступак у току онда ту учествују још неки програми који помажу у извођењу напада. 4.4. Методе брисања Будући да тројански коњи имају различите форме, не постоји јединствен метод за њихово брисање. Најједноставнији начин укључује брисање привремених интернет датотека на компјутеру, или налажење зараженог документа и његовим личним брисањем. Уколико АВ програм неможе да га нађе онда ту може да помогне рестартовање у сигурном моду што дозвољава АВ програму да тројанског коња нађе и обрише. На светском тржишту сада већ постоји гомила антималвер алата,али по питању тројанаца треба истаћи Spybot Search & Destroy. Потпуно беспалтан за преузимање показао се изузетно ефикасан у борби против ових напасти. Сваки Тројанац који имало утиче и има ефекта на систем биће препознат и Спајбот ће покушати да га уништи.Овај програм карактеришу и свакодневна ажурирања дефиниција . Треба међутим нагласити неке основне потезе пре покретања било ког антитројан алата : -сваки скен код оваквих врста малвера потребно је обавити у ткз Safe modu, јер се њиме дижу само основни процеси потребни за рад рачунара,те је омогућено евентуално избрисати тројана , јер његов процес није тренутно у листи активних -Обавезно бити офлајн значи ван интернета,или мреже -искључити систем рестор, јер он чува аутоматски неке тачке, и врло је могуће да направи копију тројана/црва и онемогући брисање Након сваког пронађеног тројанца покушати испратити његову путању-Спајбот детаљно избацује путању и локацију заразе те мануелно избрисати евентуалне трагове заразе. Слика 3 : Тројански коњ који је управо искористио напрефну технику за убацивање у систем : Нод детектује инфекцију,али није у могућности да је избрише - 26 -
  25. 25. 5. ЦРВИ 5.1 Опште чињенице Црв је самостални програм који за разлику од вируса не треба други програм да би радио. Када црв уђе у систем, он даље може да путује сам. Велика опасност код црва јесте њихова способност да се умножавају у огромном броју. На пример, црв би могао да пошаље копије себе самог свима из вашег адресара у програму за електронску пошту Outlook Express, а затим би њихови компјутери урадили то исто, чиме се изазива домино ефект загушења у мрежном саобраћају што успорава пословне мреже и Интернет у целини, а пример за то је глобално успорење Интернета при максималном ширењу једног од најпоз натијих и најраширенијег вируса данашњице, црва Mydoom-a. Први црв се је појавио 1978.године. Црви се, за разлику од вируса, најчешће шире путем емаила, мада могу и преко ИРЦ канала. Црви се шире тако што потенцијална жртва добије емаил на који је прикачен фајл са црвом и чим га стартује црв ће се пренети на рачунар и одатле путем е маила ширити се даље.Црви ће са Вашег програма за слање поште прочитати све адресе које имате записане и уз неку безвезну поруку послати себе на све те адресе. Неки црви су опасни, али има и оних који се само труде да се размноже у што више примерака и ништа деструктивно не раде на рачунару. Заразу ћете најлакше спречити ако не отварате сумњиве фајлове и поготово ако користите неки програм за елиминисање нежељене поште. Има неколико добрих програма, Маил Инспектор мада има још добрих сличних програма. Црвима је обично намена преузети контролу над рачунаром и омогућити удаљену контролу чак и након примјене сигурносних закрпа. Ово постижу отварањем такозваних "стражњих врата" (backdoor) кроз која аутор може издавати наредбе вашем рачунару без вашег знања. Чак и када црв сам по себи нема злонамерног кода, што је понекад био случај, количина мрежног промета који ствара ширећи се може успорити или чак онемогућити нормалан рад на Интернету или локалној мрежи. Неки црви посегнуће и за вашим шифрама и особним подацима те их ставити на располагање аутору. На пример, врло чест узрок успорења ваше Интернет конекције заиста могу бити црви, те се немојте изненадити ако добијете хрпу упозорења због разних нежељених порука које ваш рачунар, заражен црвом, шаље на милионе е-маил адреса. За разлику од вируса, црви нису део других програма, већ су то посебни програми који се преносе и извршавају користећи слабости оперативаног система, а посебно програма за трансмисију података на Интернету. 5.2 Врсте црва Постоје две врсте црва: --Црв на компјутеру домаћину (енгл.Host computer worms) Ова врста црва не копира себе више пута на један компјутер већ само једном и онда се копира на следећи компјутер у мрежи и тако даље. Понекад се овакви црви називају зечићи (енгл. rabbits). --Мрежни црви (енгл.network worms) - 27 -

×