Download - Maliciozni Softver - Detekcija i Odbrana
SEMINARSKI RAD IZ PREDMETA
ZAŠTITA INFORMACIONIH SISTEMA
TEMA: MALICIOZNI SOFTVER - DETEKCIJA I ODBRANA
Banja Luka, 2011.
Predmet: Zaštita informacionih sistema Seminarski rad
1. Uvod ............................................................................................................................... 32. Šta je maliciozni softver? ............................................................................................... 42.1. Istorija razvoja malicioznih kodova ........................................................................ 43. Vrste malicioznih kodova ...............................................................................................53.1. Virusi ........................................................................................................................... 53.1.1. Nastanak .................................................................................................................. 53.1.2. Način rada ............................................................................................................... 63.1.3. Širenje ...................................................................................................................... 63.1.4. Tipovi domaćina ....................................................................................................... 83.1.5. Tipovi virusa............................................................................................................. 93.2. Računarski crvi ......................................................................................................... 103.3. Trojanski konj............................................................................................................ 133.4. Rootkit ....................................................................................................................... 143.5. Backdoor ................................................................................................................... 153.6. Spyware ..................................................................................................................... 163.6.1. Nastanak ................................................................................................................ 163.6.2. Tipovi spywarea ..................................................................................................... 163.6.3. Način rada ............................................................................................................. 183.6.4. Razina opasnosti .................................................................................................... 183.6.5. Ciljna računala i korisnici ..................................................................................... 183.7.Botnet ......................................................................................................................... 193.7.1. Nastanak ................................................................................................................ 193.7.2. Aktualne inačice .....................................................................................................193.7.3. Način rada ............................................................................................................. 20 3.7.4. Razina opasnosti .................................................................................................... 203.7.5. Ciljana računala i korisnici ................................................................................... 204. Zaštita od malicioznog koda......................................................................................... 214.1. Kako znati kada je računar zaražen? ....................................................................... 214.2. Komercijalna ili besplatnasigurnosna riješenja -šta koristiti za zaštitu? ………... 224.3. Besplatna sigurnosna riješenja ................................................................................. 234.4. Komercijalna sigurnosna riješenja ........................................................................... 274.5. Preporuka antivirusa od strane autora ..................................................................... 295. Zaključak ...................................................................................................................... 306. Literatura ..................................................................................................................... 31
Tema: Maliciozni softver - detekcija i odbrana 2 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
1.Uvod
U današnje vrijeme kada se tehnologija razvija neslućenom brzinom i kada sve
više počinje postajati sastavni dio apsolutno svakog područja ljudske aktivnosti i
djelatnosti posebna se pozornost pridaje problemu sigurnosti. Svaki moderan sistem
razvijen na temeljima najnovijih tehnoloških dostignuća vrlo je ranjiv ako sigurnosni dio
toga sistema ne funkcioniše na najvišoj mogućoj razini, a ta ranjivost može dovesti do
katastrofalnih posljedica po sam sistem koje mogu u najgorem slučaju učiniti sistem u
potpunosti neupotrebljivim.
Isti takvi problemi muče microsoftove inžinjere prilikom razvoja operativnih
sistema(OS) i programske podrške (softver). Sve brži razvoj kompjuterskih komponenti
(hardver) zahtjeva brz razvoj pratećeg softvera te kvalitetnih i pouzdanih
operativnihsistema. U svoj toj brzini da razvoj softvera paralelno prati razvoj hardvera te
u želji da se i dalje održi primat na području operativnih sistema Microsoft je u razvoju
svojih operativnih sistema Microsoft Windows XP, Microsoft Windows 2003 Server i
Microsoft Windows Vista, Windows 7 u nekim aplikacijama koje su dolazile kao
sastavni dio tih operativnih sistema (Internet Explorer, Windows Explorer) i odvojenim
aplikacijama (Microsoft Office, Microsoft SQL 2005) učinio kardinalne sigurnosne
propuste koje mogu dovesti (a u nekim slučajevima su i doveli) do velikih problema u
funkcionisanju sistema, potpunog gubitka kontrole nad sistemom pa čak i do potpunog,
nepovratnog gubitka sistema.
Tema: Maliciozni softver - detekcija i odbrana 3 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
2.Šta je maliciozni softver?
Najkraće rečeno maliciozni softver ilikod je svaki onaj softver koji dospije u
korisnički računar bez njegovog dopuštenja i/ili znanja i izvršava neku od aktivnosti kojoj
je namijenjen i na štetu korisnika. Osim, klasičnih računarskih virusa ovaj pojam
označava sve vrste programskih podrški koji na bilo koji način mogu ugroziti računarski
sistem. Često je mišljenje korisnika računara da su svi zloćudni softveri virusi, odnosno
nazivaju ih jednim jedinstvenim imenom: virus. No, pod pojmom malicioznog koda
smatraju se i sami virusi, ali i crvi, trojanci i slično.
2.1.Istorija razvoja malicioznih kodova
Prvi priznati maliciozni kod koji se pojavio „na tržištu“ poznat je pod nazivom
„Elk Cloner“. Napisao ga je Rich Skrenta 1982.Godine, a program se ugradio u Apple
DOS 3.3 operativni sistem i širio pomoću floppy disketa. To je bilo prije nego je Internet
postao proširen i opšteprihvaćen način razmjenjivanja poruka ali i malicioznih kodova.
Floppy disketa je bila u to vrijeme jedini način razmjene podataka među korisnicima i
maliciozni kodovi su funkcionisali na način da su se infiltrirali u podatke ili programe na
tim disketama i tako širili, ili su napadali boot sektor diskete što je garantovalo pokretanje
malicioznog koda prilikom korištenja diskete.1
Sistemi oglasnih ploča i mrežne razmjene podataka i programa postali su jako popularni
u kasnim osamdesetima i ranim devedesetima, a mnogo malicioznih softvera napisano je
da ciljaju programe koji se najviše razmjenjuju.Besplatni softver je bio glavna odrednica
za maliciozne softvere u takvim sistemima. Unutar "piratske scene" na kojoj su se
prodavale ilegalne kopije komercijalnog softvera, korisnici koji su kupovali najnovija
izdanja svakojakih programa bili su laka meta za maliciozni softver.
Od sredine devedesetih makro virusi su postali uobičajeni. Većina tih virusa je pisana u
programskim jezicima za Microsoftove programe poput Worda i Outlooka.Ovi virusi se
šire u okruženju Microsoft Windowsa pomoću zaraženih dokumenata i zaražene
elektronske pošte.
1Vukušić, M. (2005).Virusi u izvršnim datotekama.Zavod za primijenjenu matematiku, FER
Tema: Maliciozni softver - detekcija i odbrana 4 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
3.Vrste malicioznih kodova
Maliciozne kodove možemo podijeliti u dvije glavne grupe: nezavisni maliciozni kodovi
i maliciozni kodovi kojima je potreban „program domaćin“ (host program).
Nezavisni maliciozni kodovi su kodovi kojima nije potreban drugi program kako bi
egzistirali, niti im je on potreban za pokretanje.Oni postoje nezavisno o bilo kojem
drugom i pokreću se iz samog operativnog sistema. Najjednostavniji primjer ove grupe je
računarski crv koji postoji sam za sebe i vrši svoju funkciju.
Maliciozni kodovi kojima je potreban host program kao što im i ime govori ne mogu
egzistirati bez tog programa, odnosno to su dijelovi programa koji se implementiraju u
host program i mijenjaju njegov način rada, naravno, na štetu korisnika. U ovu grupu
spadaju virusi, trojanci, logičke bombe i slično.
3.1.Virusi
3.1.1.Nastanak
Virusi ne mogu nastati spontano, niti ih mogu proizvesti greške u nekim uobičajenim
programima.Oni nastaju isključivo intervencijom ljudi, odnosno programera. Nastaju s
razlogom da načine određenu štetu korisniku, koja može biti bezazlena kao primjer
dosađivanje korisniku, ali može i ozbiljno naštetiti korisniku na način da mu se oštete
važni dokumenti na koje se išlo ciljano ili ciljane aplikacije.
Stav korisnika prema virusima je sa razlogom loš i mišljenje je da oni nastaju kao rezultat
vandalizma, odnosno zlih namjera, ali činjenica je da ih kreatori virusa smatraju
umjetničkim djelima ili su oni pak pitanje prestiža (natjecanje među kreatorima čiji će
virus biti bolji u smislu da će ga se teže otkriti, da će napraviti što više štete i da će ga se
teže ukloniti).
Osim toga postoje i takozvani „dobri virusi“ koji služe za otkrivanje nedostataka
programa koje napadaju i njihovo poboljšanje, ili pak brišu druge viruse. Takvi virusi su
rijetki i loša je njihova strana to što troše računarske resurse, ali mogu i nenamjerno
oštetiti i druge datoteke.
Tema: Maliciozni softver - detekcija i odbrana 5 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
3.1.2.Način rada
Računarski virus se prikači nekoj datoteci (obično je to neka od izvršnih datoteka, no
može se pronaći i u drugim datotekama, posebno onima čijim se otvaranjem izvršavaju
određene skripte) te se širi njenim prenošenjem na druge računare. Računarski virusi,
poput "prirodnih" virusa, variraju u težini posljedica koje zaraženi računari trpe. Tako
posljedice variraju od bezopasnih, koje svojim aktivnostima mogu samo donekle
dosađivati korisniku (jedan od prvih virusa koji je pod tadašnjim operativnim sistemom
DOS-om izazivao je "padanje" slova s njihovih mjesta na zaslonu) pa sve do vrlo teških
posljedica (kada dolazi do oštećenja datoteka, programa pa čak i hardvera).
Što se tiče virusa kao vrste malicioznog koda valja imati na umu da se oni ne šire i ne
vrše akcije sami od sebe, već je za njihovo funkcioniranje potrebna intervencija
korisnika. To su najčešće aktivnosti pokretanja određenog programa ili otvaranje
datoteke, a korisnik ih uglavnom radi nenamjerno i bez da je svjestan da je taj program ili
datoteka zaražena virusom.
3.1.3.Širenje
Kako bi se virus mogao širiti, mora imati neku vrstu dopuštenja da izvrši svoj kod i da
može zapisivati u memoriju. Upravo iz tog razloga virusi se implementiraju u izvršne
datoteke legalnih programa. Kada korisnik pokreće određenu izvršnu datoteku, on
zapravo prvo pokreće virus, a zatim se izvršava originalna funkcija izvršne datoteke.
Virusi se mogu podijeliti na dvije glavne skupine prema tome na koji način traže
domaćina ili host program. Nerezidentni virusi traže domaćine koje mogu inficirati,
inficiraju ih i naposljetku predaju kontrolu host programu kojeg su zarazili. Rezidentni
virusi ne traže host program prilikom izvršenja. Oni se učitavaju u memoriju prilikom
izvršenja i predaje kontrolu host programu.Takvi virusi ostaju aktivni u potrazi za
slijedećim programom domaćinom.2
Nerezidentni virusi se sastoje od tragačkog dijela i dijela zaduženog za kopiranje.
Tragački dio je zadužen za pronalaženje novih host programa i on aktivira kopirajući dio
pronalaskom odgovarajuće izvršne datoteke.
Zadatak dijela za kopiranje je:
2Vukušić, M. (2005).Virusi u izvršnim datotekama.Zavod za primijenjenu matematiku, FER
Tema: Maliciozni softver - detekcija i odbrana 6 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
- otvoriti novu datoteku
- provjeriti je li izvršna datoteka već zaražena (ako jeste, vratiti se u tragački dio)
-kopirati kod virusa u izvršnu datoteku
-spremiti početnu točku izvršne datoteke
-promijeniti početnu točku izvršne datoteke tako da pokazuje na lokaciju novog virusnog
koda
-staru početnu lokaciju izvršne datoteke implementirati u kod virusa na način da se virus
razgrana na tu lokaciju nakon izvršenja
-spremiti promjene u izvršnoj datoteci
-zatvoriti inficiranu datoteku
-vratiti se u tragački dio i čekati pronalazak novog domaćina
Rezidentni virus sadrži također dio za kopiranje koji ima slične zadaće, ali se kopirajući
dio ne poziva iz tragačkog dijela jer kod ovih virusa on ne postoji. Umjesto toga virus
svoj dio za kopiranje smjesti u radnu memoriju kada je prvi put pokrenut i osigurava da
se taj dio za kopiranje pokrene svaki put kad operativni sistem izvrši određenu akciju. Na
taj način napadaju datoteke i šire se sistemom.Postoje dvije vrste rezidentnih virusa.
Prva je vrsta koja se brzo širi i brzo inficira i njena je svrha zaraziti što više
domaćina. Posebno se problem javlja sa ovim virusima prilikom potpunog skeniranja
sistema antivirusnim programom. Antivirusni programi provjeravaju svaku datoteku bez
znanja da je virus već učitan u memoriju i da čeka upravo to da se pristupi nekoj izvršnoj
datoteci kako bi je on inficirao, dok antivirusni program nema pojma o tome. Kod novijih
antivirusnih programa više nema tog problema jer svaki današnji antivirusni program ima
takozvani resident shield, ili rezidentnu zaštitu koja cijelo vrijeme prati memoriju i
pretražuje je u potrazi za ovakvim virusima. Ovakvi virusi uveliko usporavaju rad
sistema, ali njihovim narušavanjem konzistentnosti datoteka antivirusnim programima
lako je uočiti sumnjive akcije koje izvršavaju ovakvi virusi.
Druga vrsta ovih virusa su rezidentni virusi koji sporo inficiraju i njihova je svrha
da domaćine zaraze sporo, neredovito i rijetko. Primjer oni inficiraju datoteke prilikom
njihovog kopiranja ili slično. Njihova, recimo, prednost je u tome što je otežana njihova
detekcija od strane antivirusnih programa, ali su njihove akcije ograničene. Oni neće
Tema: Maliciozni softver - detekcija i odbrana 7 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
značajno usporiti računr niti će aktivirati antivirusne programe koji prate sumnjive akcije
sistema.
3.1.4. Tipovi domaćina
Virusi mogu inficiraju razne vrste host programa. Neke od glavnih izvršnih datoteka su
binarne izvršne datoteke (kao što su .com datoteke ili .exe datoteke ili .elf datoteke kod
Linux operativnih sistema). Osim datoteka inficiraju i boot sektore floppy i hard-diskova,
master boot record hard-diskova, ali i datoteke za opštu uporabu kao što su grupne
datoteke kod MS Windows platforme i skripti kod Linux platforme. Još su dosta pogodni
i dokumenti koji sadrže makro naredbe poput dokumenata MS Worda, tabele u MS
Excelu i slično.
Virus mora zaraziti domaćina da bi se mogao proširiti dalje.U nekim slučajevima
zaraza domaćina može biti loša ideja.Primjer mnogi antivirusni programi provjeravaju
cjelovitost vlastitog koda.Zaraza takvih domaćina bi uveliko povećala vjerovatnost
detekcije. Iz tog razloga neki virusi su programirani tako da ne zaraze programe za koje
se zna da su dijelovi antivirusnog softvera.
Druga vrsta domaćina koje virusi izbjegavaju su mamci.Mamci(ili žrtvena janjad)
su datoteke koje su specijalno stvorene od strane antivirusnog softvera, ili od strane
antivirusnih profesionalaca, tako da mogu biti zaražene virusom. Takve datoteke mogu
biti stvorene iz mnogih razloga koji su svi povezani sa detekcijom virusa. Anti-virusni
profesionalci mogu napraviti takve datoteke da bi uzeli uzorak virusa (to jest kopiju
datoteke koja je zaražena virusom). Mnogo je praktičnije spremati i razmjenjivati malenu
zaraženu datoteku u odnosu na velike aplikacije. Takođe takvi ljudi mogu napisati
mamce da bi proučili ponašanje virusa i ocijenili metode detekcije.To se većinom koristi
kada su posrijedi polimorfni virusi.U tom slučaju virus se može navesti da inficira veliku
količinu mamaca.Inficirane datoteke koriste se da bi se vidjelo da li antivirusni softver
detektuje sve verzije virusa.Neki antivirusni programi koriste mamce kojima se pristupa
redovito. Kada dođe do promijene tih datoteka antivirusni softver upozori korisnika da se
na računaru najvjerovatnije nalazi virus.3
3Vukušić, M. (2005).Virusi u izvršnim datotekama.Zavod za primijenjenu matematiku, FER
Tema: Maliciozni softver - detekcija i odbrana 8 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
3.1.5. Tipovi virusa
Polimorfni virusi prilikom replikacije stvaraju potpuno funkcionalne kopije koje su u
potpunosti sposobne izvršavati sve funkcionalnosti kao i original, ali se sadržaj datoteke
na razini bitova razlikuje od kopije do kopije. Kod kreiranja kopija koristi se kriptovanje
pomoću random ključa kojim se virus zaključa kako bi onemogućio antivirusni program
da ga otkrije. Prilikom detekcije i inficiranja, odnosno kopiranja virusa na datoteku
domaćina, on se otključava sa svojim ključem i svoju kopiju zaključava ponovno random
ključem i na taj način se širi dalje osiguravajući svoju egzistenciju u sistemu.4
Boot sector virusi napadaju master boot record hard-diskailiboot sektor operativnog
sistema. Radi na način da instrukcije OS-a pronađe na tim lokacijama i premješta ih na
neko drugo mjesto na disku, a zatim svoj kod kopira na njihovo početno mjesto (boot
recorde). Kao što je već opisano kod nerezidentnih virusa, virus natjera sistem da prvo
izvrši njega, a tek nakon toga da izvršava svoje originalne akcije. Jedina je razlika što se
on infiltrira u memoriju i od tamo vrši svoje aktivnosti preslikavanja i iskorištavanja
računarskih resursa.
Makro virus je zapravo set naredbi specifičan za pojedinu aplikaciju koji se kontrolnim
procesima te aplikacije predstavlja kao sasvim legitiman i bezopasan dio koda, dok se
zapravo radi o virusu koji uzrokuje određenu štetu. Prema Američkoj agenciji za zaštitu
računara (NCSA) makro virusi čine dvije trećine od ukupnog broja virusa. Makro virusi
su nezavisni o platformi. Primjer, MS Word je ranjiv i na MS Windows i MAC OS
platformi od strane istog makro virusa. Oni inficiraju dokumente, a ne izvršne dijelove
aplikacijskog koda.Njihovo širenje je izrazito lako, a šire se najčešće putem elektronske
pošte.
Email virus se širi preko attahmenta u elektronskoj pošti i to uglavnom preko makro
naredbi u MS Word attachmentima.Korisnik prilikom otvaranja inficirane email poruke
otvara attachment koji sadrži virus i virus počinje svoje izvršavanje. Izvršavanje email
virusa se vidi kroz dvije funkcije. Prva je ta da se virus u jednakoj email poruci pošalje
svima u mailing listi korisnika koji je pokrenuo virus, ali osim toga vrši i lokalnu štetu na
korisnikovom računaru.
4Heidari, M. (2004).Malicious Codes in Depth.
Tema: Maliciozni softver - detekcija i odbrana 9 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
Stealth virusi su skup virusa koja je dobila naziv prema predstavniku, virusu Stealth
(nevidljiv). Stealth virusi su virusi koji dok su aktivni skrivaju promjene koje su načinili
nafileovima ili boot-sektoru. To se obično postiže tako da virus napravi lažnu sliku kao
rezultat sistemskih funkcija korištenih za čitanje datoteka ili sektora s medija i onda tu
sliku prikazuje nekom programu koji pokuša očitati podatke o nekom fajlu. To znači da
prvo Stealth virus napravi i sačuva sliku s podacima originalnih datoteka koji još nisu
izmijenjeni i inficirani, nakon toga ih inficira, ali kada se pokušaju očitati podaci o
npr.veličini datoteka ovaj virus podmetne onu lažnu sliku s originalnim podacima. Zbog
toga se može dogoditi da virus ne bude detektovanod strane antivirusnog softvera.
3.2. Računarski crvi
Najvažnija razlika između virusa i računarskog crva je sposobnost samostalnog
širenja crva dakle bez pomoći korisnika. Crv koristi ranjivosti informacionog sistema i
širi se od čvora do čvora mreže, gotovo uvijek čineći štetu na zaraženom sistemu (u
najmanju ruku neovlašteno iskorištavajući mrežne resurse i smanjujući na taj način
propusnost mreže). Velika opasnost od crva dolazi zbog njihovog svojstva da se sami
mogu preslikati na mreži i na računaru. Tako se crv, nakon što zarazi jedn računar, može
preslikatina istom računaru te će s njega odaslati hiljade njegovih kopija što će u
napadnutom informacionomsistemuprouzrokovati zagušenjem mreže i smanjenjem
brzine rada sistema. Primjer ovakvog širenja je crv koji se na zaraženom računaru
preslika tako da pošalje svoje kopije na sve adrese pronađene u korisnikovom adresaru s
elektronskim adresama, a nakon toga se postupak ponavlja na svakom od računala na
koja je ovim putem stigao. Ovaj se postupak ponavlja na svakom računalu na koje crv
dolazi, što na kraju ima vrlo poražavajuće posljedice - na zaraženim računarima mogu
zauzeti veliku količinu memorije ili mrežnih resursa (uvelike smanjujući propusnost
mreže) što dovodi do toga da računari, odnosno servisi na njima, prestaju izvršavati svoje
zadatke.
Druga opasnost od crva proizlazi iz njihovog svojstva da na zaraženim računarima
otvaraju sigurnosne rupe (backdoor) te na taj način omogućuju zlonamjernoj osobi da
neovlašteno kontroliše zaražen računar preko mreže.
Tema: Maliciozni softver - detekcija i odbrana 10 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
Crvi se sastoje od samokopirajućeg koda koji omogućava razmnožavanje i širenje crva i
tereta (payload), a teret može biti:5
- Nepostojeći / nefunkcionalan – najčešći slučaj kod većine crva je upravo ovaj,
kada ne postoji kod osim koda za širenje ili u njemu postoji nekakva greška pa
nije funkcionalan.
- Daljinska kontrola – otvara backdoor nažrtvinom računaru.
- Spam relays – dio crva Sobig kreira mail relay koji spameri mogu koristiti da bi
slali neželjenu elektronsku poštu. Većina internet providera ima sigurnosne
mehanizme koji blokiraju spam sa poznatih IP adresa, ali kod zaraze ovim crvom
spam dolazi sa svih strana i nemoguće je na taj način kontrolisti njegovo širenje.
- HTML-proxy – još jedna osobina crva Sobig je distribucija HTML-proxyja.
Preusmjerujući web zahtjeve preko mnogo proxyja web stranice sa zabranjenim
sadržajem dobivaju na vremenu jer provajderima treba puna vremena da otkriju
na kojoj se adresi web stranica fizički nalazi. Ovo se koristi za razne nelegalne
aktivnosti, uključujući prijevare sa upisivanjem financijskih podataka ili brojeva
kartica.
- Internet DOS – još jedan česti teret je Internet DOS (Denial Of Service) napad.
Code Red, Yaha i još mnogo crva sadrže DOS alate, koji su ili upereni protiv
određene stranice ili se mogu uperiti protiv bilo koga ako autor crva to zaželi.
Kada crv zarazi 100 000 ili više računara zombija moguće je nedostupnom učiniti
bilo koju stranicu, pa čak i cijeli DNS sistem.
- Skupljači podataka – većina ljudi na računaru na kojem rade imaju osjetljive
podatke poput poslovnih tajni, nacrta novih uređaja, financijskih izvještaja, itd.
Crv može pretražiti disk računara u potrazi za tim podacima i zatim ih poslati na
prije određeno mjesto.
- Brisači podataka – postoji mnogo virusa, koji sadrže kod za brisanje podataka
nakon određenog vremena. Budući da se crvi mogu širiti mnogo brže, mogli bi
početi brisati podatke odmah nakon infekcije.
- Fizička šteta – većina današnjih računara podržava nadogradnju pokretačkog
softvera, pa tako i računara imaju BIOS čip koji je moguće flashovati direktno iz
5 http://hr.wikipedia.org/wiki/Ra%C4%8Dunalni_crvi
Tema: Maliciozni softver - detekcija i odbrana 11 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
Windowsa. Ukoliko se u flash čip upišu pogrešni podaci računar se više neće
moći pokrenuti.
Vjerojatno najpoznatiji računarski crv u ovo vrijeme je vjerovatno Conficker.
Njegova glavna funkcija je da iskorištava slabosti sistema (uglavnom Windows
platforme) kako bi pridobio administratorske lozinke ili administratorska prava koja
zatim prosljeđuje na virtualni računar kojim pak upravlja njegov kreator. Njime su
napadnuta više od sedam miliona računara, od državnih, poslovnih pa sve do kućnih
računara. Danas postoji već pet njegovih varijanti i svaka je dograđena novim
funkcionalnostima i obranama od antivirusnih softvera. Osim toga dograđene su
mogućnostima samodogradnje na sljedeću varijantu. Simptomi koji se javljaju na
zaraženom računaru očituju se kroz resetovanje postavki za korisnička prava,
onemogućeni su MS Windows servisi kao što su Automatic Updates, Background
Intelligent Transfer Service (BITS), Windows Defender i Windows Error Reporting,
onemogućen je pristup web stranicama vezanim uz antivirusne alate, i Windows update i
uklonjene su korisničke lozinke na računaru.
Računarski crv je strukturno sličan virusu, osim što računarski crv sadrži i svoj kod kojeg
izvršava, za razliku od virusa koji se infiltrira u program domaćina.
Oznaka Mehanizam infekcije Okidač Teret
Struktura računarskog crva
Oznaka sprječava pokušaje ponovnog napadanja. Znači kada je određeno mjesto u
sistemu inficirano, oznaka je promijenjena i neće doći do ponovnog napadanja sistema.
Mehanizmi infekcije pretražuju mrežu u potrazi za slabo zaštićenim računarima.
Okidač su uslovi koji moraju biti ispunjeni kako bi se isporučio teret kojeg nosi crv.
Računar mora biti pogodn u smislu slabe zaštite i detekcije računarskog crva, ali i
njegovog tereta, jer nema smisla napadati dobro zaštićen računar i izvršavati svoj kod ili
isporučivati teret onom računaru koji će to brzo detektovati i ukloniti.
Teret mogu biti virusi koji će se infiltrirati u sistem kao i trojanske konje koji će također
napraviti potrebnu štetu.
Tema: Maliciozni softver - detekcija i odbrana 12 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
3.3. Trojanski konj
Ako nam je poznata priča o mitološkom trojanskom konju pred vratima Troje koji
je služio kako bi prevario Trojance i time ih osudio na smrt, onda nam je poznata i ideja
rada računarskog trojanskog konja.
Dakle, trojanski konj je na prvi pogled obični korisni ili zabavni program kojeg
korisnik pokrene sa svog računara, i tada se dogodi ono što korisnik nije očekivao.
Odjednom taj program ne radi baš ono što bi trebao kako piše prema njegovom nazivu ili
opisu, nego baš suprotno, on radi štetu samom korisniku. Korisnik može toga biti
svjestan, ali i ne mora. Dobro nam je poznat problem kojeg ima IM alat Windows live
messenger a koji nam šalje od naših kontakata link na neku „smiješnu“ stranicu ili na
neke zanimljive slike ili slično a zapravo se u pozadini nalazi maliciozni softver.
Nakon što uspješno zarazi računar, trojanac može obavljati razne neželjene akcije
koje variraju od bezazlenih (ali ometajućih – mijenjaju desktop računara, prikazuju razne
poruke itd.) do vrlo ozbiljnih sigurnosnih problema (primjer brisanje datoteka s
podacima, krađa podataka kao što su PIN-ovi ili lozinke koje zatim šalju nekoj drugoj
osobi, odnosno svom kreatoru), nepotrebno zauzimaju računarske resurse i na taj način ga
usporavaju, te, najpoznatije svojstvo trojanaca, da otvaraju sigurnosne rupe na
računarima time omogućujući zlonamjernoj osobi pristup zaraženom računaru i podacima
na njemu. Trojanci se, za razliku od računarskih virusa i crva, ne šire zarazom drugih
datoteka niti se samostalno ne preslikavaju.
Vrste trojanskih konja:
- Dropper služi za naseljavanje pravog računarskog virusa u napadnuti računar.
Dropper igra ulogu žrtve, namjerno omogućujući virusu da se naseli u računar.
- Backdoor je naziv za različite postupke ili programe koji omogućuju drugom
korisniku da se služi žrtvinim računarom dok je spojen na Internet, a da on to ne
zna. Uopšteno, backdoor iskorištavaju sigurnosne propuste (rupe) u računarskom
sistemu. Nerijetko se trojanac i backdoor koriste zajedno: žrtva pokrene program
za koji misli da je koristan (npr. download manager ili igra) i dok ga koristi,
trojanac ubaci backdoor u računar.
- Downloader je trojanski konj koji pristupa različitim internetskim stranicama
kako bi s njih skinuo, obično maliciozne, datoteke te ih na koncu i pokrenuo.
Tema: Maliciozni softver - detekcija i odbrana 13 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
3.4. Rootkit
Rootkitovi su zlonamjerni programi koji su napravljeni da bi preuzeli kontrolu
nadoperativnim sistemom tako da nadomjeste sistemske procese i podatke bez dopuštenja
korisnika. Također dosta često su još i trojanski konji te tako zavaravaju korisnika da im
je sve u redu sa sistemom. Rootkitovi omogućuju neovlaštenim osobama da preuzimu
kontrolu nadsistemom. Rootkit je kolekcija od jednog ili više programskih alata,
dizajnirana u cilju prikrivenog preuzimanja kontrole nad računarom.
Inicijalno se rootkit pojavio na operativnim sistemima Unix (uključujući Linux) i bio je
kolekcija od jednog ili više alata koji su napadaču omogućavali dobivanje i zadržavanje
pristupa najprivilegiranijem korisniku računarskog sistema (na Unix sistemu taj se
korisnik naziva root, odakle ovim programima i ime). Na Windows računarskim
ssistemima naziv 'rootkit' se najčešće povezuje s alatima korištenima kako bi se neki
program ili proces sakrio od korisnika. Nakon što se instalira, rootkit u Windows sistemu
koristi funkcije operativnog sistema kako bi se prikrio, tj.kako ne bi mogao biti otkriven,
a često se koristi u cilju prikrivanja nekog drugog zlonamjernog programa (npr. keystroke
loggera).
Korištenje rootkita ne mora nužno biti zloćudno, ali se pojam rootkit sve više povezuje uz
neželjeno ponašanje računarskog sistema i zlonamjerne programe. Napadač instalira
rootkit na računaro prilikom dobivanja root-level pristupa (pristupa na razini
privilegiranog root korisničkog računa) i to iskorištavanjem poznate mu ranjivosti
sistema, odnosno slabe točke ili pak pridobivanjem lozinke za taj račun potem drugih
mehanizama. Nakon što je rootkit instaliran, napadač može pristupati cijelom računaru
nanačin da maskira svoje prisustvo i izbjegne svu potrebnu autentifikaciju i autorizaciju u
sistemu. Iako rootkit ne mora nužno biti negativan, uglavnom se smatra kao jednom vrsta
malicioznog koda iz razloga što mu je svrha sakrivanje raznih aplikacija koje koriste
računarske resurse, krađa lozinki bez znanja administratora i korisnika i slično.
Rootkit cilja firmver uređaja kao što su mrežne kartice, hard disk ili sam BOIS,
hypervisor, kernel, ali najčešće napada korisničke aplikacije i korisniče račune.
Rootkitovi često sadrže i backdoor, odnosno ulaz u sistem neovlaštenim osobama bez
Tema: Maliciozni softver - detekcija i odbrana 14 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
znanja korisnika. Autori virusa sve češće koriste rootkitove kako bi sakrili svoje
programe od korisnika i antivirusnih programa.
Danas na Internetu postoji velik broj gotovih rootkit-ova i zato ne čudi njihova velika
upotreba. Neki nisu štetni za računar, primjeri programi za emulaciju kao Alcohol 120%
iliDaemon Tools koriste rootkitove.
3.5. Backdoor
Backdoor je program koji je instaliran od strane virusa, crva ili trojanskog konja
(bez znanja vlasnika) i koji trećim osobama omogućava nesmetan i od vlasnika
neovlašten pristup računaru. Backdoor koristi slabosti operativnog ili zaštitnih sistema
(firewalla ili antivirusnih programa). On omogućuje napadačima da zaobiđu sigurnosne
provjere sisteme bez da su se potrudili hakovatisistem. Odnosno nije potrebno tražiti
lozinke i korisnička imena, već je potrebno pronaći samo „rupu“ u sistemu.
Kao što mu i ime govori, ovaj maliciozni softver predstavlja zapravo skriveni ulaz u
sistem i koji omogućava onoj osobi koja zna za njegovo postojanje nesmetano prodiranje
u sistem i nesmetano korištenje i narušavanje bez da se prolazi kroz standardnu
sigurnosnu proceduru. Korištenjem backdoora omogućuje se pristup aplikacijama,
važnim datotekama ili je čak moguće pridobiti i razne lozinke i slična ovlaštenja.
Backdoor koriste programeri prilikom razvoja sistema sigurnosti kako bi ga isprobali i
debugovali.
Do sad se već dosta spominjao ovaj pojam backdoora kod drugih oblika malicioznog
koda, a to je iz razloga što se gotovo uvijek oni koriste u kombinaciji. Odnosno napadači
iskoriste backdoor kako bi ušli u sistem i, primjer, zaralili sistem svojim virusom. Osim u
kombinaciji sa virusom, backdoor se koristi i u kombinaciji s trojanskim konjem, crvom i
kod drugih malicioznih softvera.
Drugi naziv za backdoor je trap door, ali je značenje potpuno isto.
3.6. Spyware
Tema: Maliciozni softver - detekcija i odbrana 15 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
Spyware predstavlja oblik malicioznog koda koji se instalira na računaržrtve te potom
šalje osjetljive podatke kreatoru (ili osobi koja je s namjerom zarazila računaržrtve).
Spyware se uglavnom instalira samostalno – korisnik ne mora vlastitom akcijom
pokrenuti instalaciju ovog oblika malicioznog softvera, ili korisnik najčešće misli da
instalira nešto drugo. Informacije koje spyware prikuplja mogu biti različitog tipa, no
najčešće se radi o osjetljivim podacima poput korisničkih imena i pripadajućih lozinki,
brojeva kreditnih kartica, e-mail adresa u knjizi kontakata u e-mail klijentu računara
korisnika, itd.
3.6.1. Nastanak
Pojam „spyware“ prvi put se spominje 1995. godine na Usenetu u poruci korisnika koji
se želio našaliti sa tadašnjim Microsoftovim poslovnim modelom.6No, tokom 2000-ih
spyware postaje sve veća prijetnja velikom broju korisnika i njihovih računara širom
svijeta.Virusi i crvi ponekad skupljaju informacije istog tipa kao i spyware, no treba
napomenuti da spyware nije samopreslikavajući oblik malicioznog softvera, dok virusi i
crvi to jesu.
3.6.2. Tipovi spywarea
Umjesto aktuelnih verzija, u poglavlju o spywareima nabrojat ćemo neke tipove
spywarea7, a uz neke navedene tipove bit će spomenute i najpopularnije verzije istih.
Adware predstavlja oblik spywarea koji prikuplja informacije o interesima korisnika, a
zatim ih bombarduje raznim oblicima propagandnih poruka koje su usko povezane sa
prikupljenim informacijama o interesima. Jedan od dosta popularnih oblika adwarea je
WhenU Save / SaveNow, koji se instalirao sa tada vrlo popularnim BS Playerom,
preglednikom multimedijalnih datoteka za Windowse iz tvrtke Webteh.
Keyboard Logger (Keylogger) je oblik malicioznog softvera koji analizira i sprema u
datoteku sve tipke natastaturi koje je korisnik koristio tokom rada na računaru, a nakon
toga ih šalje kreatoru. Ovdje se radi o softverskom obliku keyloggera, no postoje i
6http :// groups . google . com / group / rec . games . programmer / browse _ thread / thread /86 a 426 b 0147496 d 8/3 b 5 d 1936 eb 4 d 0 f 33? lnk = st & q =& rnum =8#3 b 5 d 1936 eb 4 d 0 f 33
7http :// www . ehow . com / list _6457947_ different - types - spyware . html
Tema: Maliciozni softver - detekcija i odbrana 16 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
hardverski, koji se moraju najprije postaviti. Iako vjerovatno nije potrebno ni spominjati
opasnost ovog oblika spywarea – izuzetno je opasan.
Browser Hijacker je oblik spywarea koji na bilo koji način kompromituje rad web
preglednika na računaru. Primjer, popularna metoda ovog oblika spywarea je da postavi
za početnu stranicu neku lažnu stranicu punu spywarea i ostalih oblika malicioznog
softvera.Također, slično kao i adware, ovaj oblik spywarea prati korisnikove interese koje
on izražava tokom korištenja preglednika pa mu kasnije podmeće razne propagandne
poruke.
Komercijalni spyware je oblik spywarea koji je legalan u smislu da korisnik, ukoliko
želi koristiti neke od usluga kompanije, mora prihvatiti i instalirati softver koji će pratiti
njegove aktivnosti. Korisnik se obično s time mora složiti nakon čitanja licencnog
ugovora (EULA).
Dialer je oblik spywarea koji, ukoliko uspješno provede ono što je autor zamislio, može
imati veoma ozbiljne financijske posljedice za korisnika (žrtvu).Ovim oblikom spywarea
su pogođeni oni korisnici koji za pristup Internetu koriste tzv.dial-upmodeme. Kao što je
poznato, ti modemi, da bi pristupili Internetu, iskorištavaju već postojeću telefonsku
liniju na način da biraju određeni broj (iako i druge metode pristupa Internetu, poput
ADSL-a, koriste telefonsku liniju, one obično imaju i splitter, odnosno, uređaj koji jasno
dijeli propusnost linije na govorni i podatkovni dio – kod dial-up pristupa toga nema)
operatera, a zatim pristupaju Internetu. No, dialeri iskorištavaju nedostatak odvajanja
podatkovnog od govornog dijela te biraju broj neke inostrane, izrazito skupe linije
(obično linije „za odrasle“), koje se žestoko naplaćuju. Mnogi korisnici se zato nemalo
iznenade kad vide ogromne telefonske račune na kraju obračunskog perioda i bivaju
revoltirani jer smatraju da oni nisu to potrošili, pa traže pravdu tužbama telefonskih
operatera. Ali, ma kako se to činilo, gotovo se uvijek dialer instalira na računar zbog
nepažnje korisnika. Danas gotovo svi antivirusi pronalaze dialere, no, ukoliko korisnik
koristi dial-up pristup Internetu, pametno je nakon svake sesije korištenja Interneta
iskopčati modemski kabal iz telefonske utičnice i redovno kontrolisati telefonske račune.
3.6.3. Način rada
Tema: Maliciozni softver - detekcija i odbrana 17 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
Spyware koristi razne metode kako bi se instalirao i aktivirao u računaru
korisnika.Određene varijante spywarea se instaliraju uz određeni legitimni softver
(spomenuti BS Player), najčešće u obliku dodatne alatne trake koja se prikazuje u web
pregledniku (toolbar). Druge varijante spywarea kombinuju načine pristupa trojanaca, pa
se predstavljaju da su neki drugi (obično popularni) softver, te ih na taj način korisnik
percipira kao korisne i instalira. Jedan od najčešćih problema koje iskorištava spyware su
rupe (bugovi i exploiti) u web preglednicima. Primjer, starije verzije Internet Explorera
imale su problema sa ActiveX komponentama te se spyware Internet Exploreru često
prikazivao kao sasvim legitiman softver. Korisnik je najčešće instalirao sve što mu je bilo
ponuđeno od strane Internet Explorera, smatrajući to autorizovanim i sigurnim, budući da
mu je sam preglednik to ponudio. U novijim verzijama ovog preglednika greške ovakvog
tipa su ispravljene te je i sam preglednik dosta sigurniji.
3.6.4. Razina opasnosti
Opasnost spywarea može varirati. Iako ni informacije o korisnikovim željama i
interesima nisu bezazlene i itekako zadiru u privatnost, adware, koji prikuplja ovakav tip
informacija, ipak ne predstavlja toliko veliku opasnost kao, primjer, keylogger. Stoga,
zaključak je da postoje različite razine opasnosti i da treba biti oprezan prilikom
instalacije i najbezazlenijeg dodatka za preglednik.
3.6.5. Ciljni računara i korisnici
Spyware postaje jedan od najopasnijih oblika malicioznog softvera koji je posebno
orijentisan na korisnike operativnog sistema Windows. Naime, budući da se radi o
korisnicima koji i danas, tokom pisanja ovog rada, u najvećem postotku koriste Internet
Explorer, može se reći da su oni meta spywarea. Internet Explorer je veoma integrisan u
operativni sistem Windows, pa je time i instalirani spyware u većoj mogućnosti prikupiti
podatke o korisniku i njegovom radu na računaru. Ono što se ponekad čini bezazlenom
alatnom trakom za web preglednik može potencijalno predstavljati spyware koji je u
mogućnosti napraviti velike financijske i ostale gubitke za korisnika.
Tema: Maliciozni softver - detekcija i odbrana 18 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
3.7. Botnet
Botnet predstavlja mrežu softverskih agenata koji su instalirani na zaraženim računarima
(tzv. zombijima). On i nije samostojeći oblik malicioznog koda – botnet se zapravo
odnosi na činjenicu da je na određenom broju računara instaliran crv ili neki drugi oblik
malicioznog softvera, a koji računar pretvara u zombija, ili tzv. bota. Tako zaraženi
računari mogu izvršavati tražene akcije za onoga tko ih kontroliše.
3.7.1. Nastanak
Botnet obično nastaje zbog potencijalnih financijskih dobitaka hakera (najam zombija
drugim organizacijama od strane hakera) i povećavanja statusa – što je veći broj botova,
tj. zombija, to je veći status i slava hakera koji ih kontroliše.
3.7.2. Aktualne verzije
I ne postoje neke aktualne verzije botneta, budući da se radi o mreži povezanih računara.
Problem je u tome što je teško naći trenutan broj zaraženih računara (zombija), budući da
mnoga od njih još nisu aktivirana – haker koji ih kontroliše obično ih čuva na rezervi
kako bi ih mogao iskoristiti kada zatrebaju. No, prema Symantecu, u prvoj polovini
2006.godine u svijetu je bilo aktivno više od četiri i pol miliona aktivnih zaraženih
računara, tj. zombija.8
3.7.3. Način rada
Kao što je već spomenuto, botnet je zapravo mreža zaraženih računara koja se, na zahtjev
hakera koji ih kontroliše, mogu iskoristiti u razne svrhe. Treba napomenuti da botnet ne
mora uvijek povlačiti za sobom negativne konotacije.Naime, u distribuisanimsistemima
se obično može iskoristiti procesorska snaga velikog broja računara u plemenite svrhe
(SETI@Home, Folding@Home).
U principu, računari u botnetu se koriste najčešće za DDoS napad (DDoS – Distributed
Denial of Service), odnosno, za način napada kod kojega velik broj računara zatraži
određeni mrežni resurs (obično web stranicu), te web server ne može podnijeti toliki broj
8 http://searchsecurity.techtarget.com/definition/botnet
Tema: Maliciozni softver - detekcija i odbrana 19 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
zahtjeva. Računari zombiji postanu zaražena budući da obično nisu adekvatno zaštićena.
Osim činjenice da je potrebno imati instaliran antivirus i firewall, potrebno ih je i
pravilno konfigurisati. Naime, poznato je da ako, primjer, firewall nije pravilno
konfigurisan, preko otvorenih portova moguće se ubaciti u žrtvin računar i instalirati
trojanca, primjer, koji će ostati tamo i čekati dok ne bude bio potreban. Zatim, kada
hakeru, odnosno, osobi koja kontroliše botnet, zaraženi računar bude bilo potrebno za
određenu aktivnost, moguće je najjedonstavnijom IRC naredbom (IRC – Internet Relay
Chat) poslati komandu za aktivaciju već otprije postojećeg trojanca. Takv zaraženi
računar može, kao što je već spomenuto, poslužiti za grupni DDoS napad, ili u svrhu
slanja spam poruka (SearchSecurity.com,).
3.7.4. Razina opasnosti
Razina opasnosti botneta može biti veoma velika. Ako zaraženi računar (zombi) sudjeluje
u slanju spam poruka, to se smatra kažnjivim djelom u mnogim državama. U svakom
slučaju, računar koje je dio botneta (ne željom korisnika), predstavlja veliki sigurnosni
problem.
3.7.5. Ciljani računari i korisnici
Kao što je već rečeno, računarisa neadekvatnom zaštitom su najčešća ciljana meta za
hakere koji žele kontroliše botnet. Stoga je potrebno redovno ažurirati sistemsa paketima
nadogradnji, antiviruse sa najnovijim definicijama, a potrebno je i kvalitetnije definisati
postavke firewall-a, te povremeno očistiti računar od nepotrebnih datoteka i spywarea
pomoću alata kao što su CCleaner, Ad-Aware, Spybot – Search and destroy, itd. Ali
najvažnije od svega – potrebno je paziti, jer ni najbolji alati za prevenciju zaraze
malicioznim softverom neće imati efekta ako korisnik ne koristi zdrav razum i oprez
prilikom korištenja računara.
4. Zaštita od malicioznog koda
U poglavlju obrane ili zaštite od malicioznog koda pokušat ćemo obraditi nekoliko
najpopularnijih sigurnosnih rješenja koje smo podijelili na 2 kategorije: besplatna i
Tema: Maliciozni softver - detekcija i odbrana 20 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
komercijalna. Sigurnosna rješenja su tematski podijeljena na antiviruse, firewall, anti-
spyware alate te cjelovita (integrisana) rješenja, koja objedinjuju sva 3 područja.
4.1. Kako znati kada je računar zaražen?
Simptome koji definišu zaraženost računara nije lako apsolutno definisati, budući da
simptomi jednostavno zavise o vrsti i prirodi djelovanja malicioznog softvera kojim je
računarzaraženo.Ali postoje neki uobičajene situacije kod kojih je lako prepoznati da se
radi o problemu infekcije računara sa malicioznim softverom. Kod najozbiljnijih
slučajeva malicioznog softvera, korisnik najčešće nije u mogućnosti niti koristiti računar.
Jednostavno, maliciozni softver napravi takvu štetu naoperativnom sistemu da se dotični
ne želi podići sa hard diska, pa je rješenje za ovakve situacije – reinstall operativnog
sistema. Ponekad je moguće upaliti računar i operativni sistem se podigne, ali nije se
moguće prijaviti (logovati) u sistem. Jedan od autora ovog rada imao je sličan problem, i
radilo se o trojancu (Vundo).
U najvećem broju slučajeva inficirani računar se najčešće jako uspori, što imalo iskusniji
korisnici lako primjećuju. Vrijeme pokretanja aplikacija se značajno usporilo, brzina
učitavanja web stranica također, vrijeme pokretanja računara, vrijeme gašenja računara...
Sve su to simptomi koji mogu ukazivati na činjenicu da se radi o zarazi. Naravno, uslijed
velikog broja instalacija i velikog broja pokrenutih programa operativni sistem se i
prirodno uspori, ali kod modernijih operativnh sistema (Windows 7) je situacija znatno
popravljena, tako da računar nije strašno usporeno nakon nekoliko mjeseci korištenja i
nakon većeg broja instaliranih aplikacija.
Još jedan od mogućih simptoma je i čudno ponašanje računara. Primjer, operativni sistem
ne odgovara na naredbe korisnika, pokrete miša, pritiske tipki na tastaturi, instaliran je
softver koji korisnik nikad nije instalirao niti zna o čemu se radi, računar se samo od sebe
ugasi, itd. I ovo su simptomi moguće zaraze računara.
Ukoliko korisnik uoči bilo koji od navedenih simptoma, trebao bi posumnjati u
postojanje zaraze, ma koliko smatrao u nemogućnost postojanja takvog slučaja (često
neiskusni, a pogotovo iskusni korisnici smatraju da se to njima ne može dogoditi). Kod
zaštite od malicioznog softvera, vrijedi poslovica „bolje spriječiti nego liječiti“. Nažalost,
kada je računar zaražen, mnogo je teže vratiti ga u prijašnje stanje nego uopšte spriječiti
Tema: Maliciozni softver - detekcija i odbrana 21 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
zarazu. Primjer, poznato je da je Avast! antivirusno rješenje mnogo bolje po pitanju
prevencije nego kod čišćenja računara od virusa.
4.2. Komercijalna ili besplatna sigurnosna rješenja – šta koristiti za zaštitu?
Kod preporuke da li koristiti besplatna ili komercijalna sigurnosna rješenja, treba
znati da postoje firme koje proizvode komercijalna sigurnosna rješenja, a obično postoji i
besplatna varijanta istog softvera. Stoga, vjerovatno je jasno koje je sigurnosno rješenje
bolje kada se radi o rješenju koje ima i plaćenu i besplatnu varijantu.
Mnogi smatraju da nema potrebe za plaćanjem antivirusa9 i ostalih sigurnosnih rješenja,
kad se može pronaći zadovoljavajuća zaštita besplatno. Drugi pak smatraju da,
jednostavno, besplatni antivirusi nikada neće biti toliko dobri kao njihove plaćene verzije.
I jedni i drugi su u pravu. U današnje vrijeme zaista postoje kvalitetni, a besplatni
antivirusi, koji mogu stati rame uz rame sa komercijalnim verzijama antivirusa
konkurentskih firmi. S druge strane, istina je i da ipak nikad besplatne verzije rješenja
neće dostići razinu heuristike i kvalitetu rezidentne zaštite od komercijalnih verzija.
Jednostavno, programeri i sigurnosni stručnjaci ulažu veći trud u razvoj komercijalne
verzije iz očitih razloga, a zatim okljaštre komercijalnu verziju i postave jena tržište
zajedno sa komercijalnom. Postoje i drugačiji pristupi. Primjer, trial verzije
omogućavakorisniku isprobavanje pune komercijalne verzije tokom određenog
vremenskog perioda, kako bi se korisniku ukazalo na kvalitet rješenja, a zatim, nakon tog
razdoblja, može odlučiti hoće li kupiti i nastaviti koristiti antivirus, ili će ostati na
besplatnoj verziji tog rješenja (ako ista postoji).
Zaključak bi bio da bi bilo dobro, ukoliko je korisnik u mogućnosti, kupiti neko
komercijalno sigurnosno rješenje. Iako je već spomenuto da besplatna sigurnosna rješenja
mogu parirati komercijalnim u nekim svojim mogućnostima i pružati donekle
zadovoljavajućinivo zaštite, ipak bi bilo dobro jednom godišnje izdvojiti ne preveliku
svotu novca na licencu za korištenje antivirusnog rješenja.
U nastavku slijedi opis nekoliko najpopularnijih antivirusnih rješenja. Za opise smo
koristili časopis web izdanje časopisa PC World, budući da smo tamo našli najkvalitetnije 9 Zbog jednostavnosti, u radu će ponekad, kada se bude mislilo i na cjelovita sigurnosna rješenja, pisati „antivirus“. Naime, moţe se smatrati da antivirusi postoje na trţištu u više razina (free, premium, full suite), gdje se „free“ varijanta, naravno, odnosi na besplatno izdanje, „premium“ varijanta obično sadrţi antivirus + vatrozid, dok „full“ ili „full suite“ obično sadrţi antivirus, vatrozid, anti-spyware, itd.
Tema: Maliciozni softver - detekcija i odbrana 22 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
recenzije (najopsežnija testiranja) najnovijih i najpopularnijih antivirusa. Najprije ćemo
se fokusirati na besplatna sigurnosna rješenja (konkretnije, njih 5 najpopularnijih), a
zatim na 5 najpopularnijih komercijalnih rješenja, po izboru časopisa PC World.10
4.3. Besplatna sigurnosna rješenja
Za testove korištenja besplatnih sigurnosnih rješenja koristili smo, kao što je već rečeno,
časopis PC World.Ovdje se radi o godišnjem izboru najboljih besplatnih sigurnosnih
rješenja.11
Avast! Free Antivirus predstavlja najnovije besplatno izdanje Avastova antivirusa.
Potpuno redizajniranizgled jedan je od noviteta kojeg će primjetiti svaki korisnik.
Izgledsa sivo-narančastim nijansama zamijenile su dotadašnje blijedo srebrniizgled i
mora se priznati da je sada vizualni dojam daleko bolji. Ali, naravno, to nije razlog zbog
kojeg antivirus postoji.Što se tiče razine detekcije, kod tradicionalnog skeniranja
malicioznog softvera (firma AV-Test i PC World), Avast je uspješno detektovao 94.8%
uzoraka, što ga smješta negdje u prosjek. S druge strane, Avast je postigao izvanredan
uspjeh na području prepoznavanja sigurnih datoteka – niti jednu postavljenu datoteku nije
pogrešno detektovao kao malicioznu, što je inače mana komercijalnih antivirusa. Test
blokiranja stvarnog malicioznog softvera Avast je odradio prosječno (nešto više od 75%
uspješno blokiranih napada). Brzina skeniranja je također veoma zadovoljavajuća (4.5
GB podataka je skenirao u 90 sekundi), dok je konkurentska Avira najbolja sa 3 sekunde
kraćim skeniranjem. Jedna od najjačih Avastovih strana je njegov utjecaj na performanse
računara, koji je izuzetno malen. Testni računar je pokrenulo operativni sistemsa
instaliranim Avastom tek 4.5 sekundi sporije nego bez instaliranog antivirusa uopšte. To
je otprilike prosječno vrijeme koje instalacija besplatnih antivirusnih rješenja dodaje na
vrijeme podizanja sistema, što je jedan od razloga zašto bi o Avastu trebali razmisliti
korisnici koji imaju nešto slabije računare. Za razliku od svih ostalih besplatnih
sigurnosnih rješenja, korisnička podrška Avasta se ne svodi samo na kakvu-takvu online
podršku (forumi, e-mail). Korisnici zaista mogu razgovarati telefonskim putem sa
operaterom koji je spreman pomoći. Ne znamo kakva je situacija kod nas u BiH, ali u 10Izabrali smo ovaj časopis i zbog činjenice da je kod recenzija koristio i referentne testove sigurnosne kompanije AV-Test – dosta popularne sigurnosne kompanije.
11 http://www.pcworld.com/reviews/collection/5928/2011_free_av.html
Tema: Maliciozni softver - detekcija i odbrana 23 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
SAD-u ta pomoć, prema PC Worldu, funkcioniše. Zaista, tako kvalitetna tehnička
podrška za besplatni antivirus ili za bilo koji besplatni program je zaista rijetkost. Što na
kraju reći, osim da je Avast Free Antivirus jedno zaista zaokruženo besplatno sigurnosno
rješenje koje možda i nije najbolje u razini detekcije i brzini skeniranja, ali lakoća
korištenja, gotovo neprimjetan utrošak hardverskih resursa i kvalitetna tehnička podrška,
pa čak i vizualni dojam, svrstavaju Avast u sam vrh ponude novih besplatnih antivirusa.
Avira AntiVir Personal Free AntiVirusje najnoviji besplatni antivirusni proizvod
njemačke firme Avira.izgled u najnovijoj verziji ostaje isto kao i u prethodnim verzijama.
Iako prokušano i poznato iskusnijim korisnicima, novim korisnicima možda će neki
segmenti izgleda biti neprivlačni i strani, budući da se obično radi o buttonima, pa je
potrebno na nekoliko sekundi zadržati pokazivač miša kako bi se saznalo za koju
funkciju je zadužen koji button. Što se tiče razine detekcije, AntiVir je prepoznao čak
99% uzoraka unutar standardnog seta uzoraka za testiranje, što je uvjerljivo najbolji
rezultat kod besplatnih antivirusa. Što se tiče brzine detekcije, ovdje je također AntiVir
najbrži – 87 sekundi mu je bilo potrebno za skeniranje 4.5 GB podataka.S druge strane,
AntiVir je čak 6 datoteka krivo prepoznao, svrstavši ih kao maliciozne, dok je bilo riječ o
legitimnim datotekama. Test blokiranja stvarnog malicioznog softvera AntiVir je obavio
iznadprosječno, sa 80% uspješno blokiranih napada. Brzina podizanja
sistemasainstaliranim AntiVirom je impresivna – naime, vrijeme podizanja sistema
povećalo se za mizernih 2.5 sekundi, što je vrhunski rezultat. Mada ova činjenica i nije
toliko revolucionarna za krajnjeg korisnika, dobro govori o tome koliko su se programeri
trudili učiniti ovaj proizvod praktički nevidljivim za korisnika, u smislu da ne usporava
sistem. Avira AntiVir Personal Free Antivirus 10 vrhunski je besplatni antivirus koji
svojim mogućnostima detekcije i brzine skeniranja, kao i malom hardverskom gladi,
nikoga ne ostavlja ravnodušnim. Eventualno se može prigovoriti naizgled, koje bi možda
moglo biti poboljšano u sljedećim verzijama ovog sjajnog antivirusnog rješenja.
Microsoft Security Essentials predstavlja prvu punu verziju ovog antivirusnog rješenja
od Microsofta. Prilikom instalacije, ovo rješenje provjerava legitimitet instalacije
Windowsa, odnosno, provjerava je li Windows legalan ili nije. Ukoliko nije, MSE se
neće instalirati.Izgled je dosta jednostavno i funkcionalno, što i dolikuje jednom
antivirusu. Navigacija se svodi na 4 taba (Home, Update, History, Settings), a svaki od
Tema: Maliciozni softver - detekcija i odbrana 24 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
tabova sadrži i dodatne opcije. Razina detekcije MSE-a i nije impresivna. Uspješno je
detektirao samo 92.7% uzoraka (AntiVir je, za usporedbu, detektirao čak 99%
uzoraka).Samo skeniranje je veoma, veoma sporo.Za 4.5 GB podataka MSE je potrošio
čak 204 sekunde (AntiVir 87 sekundi), što je definitivno previše. Test blokiranja stvarnog
malicioznog softvera MSE je položio sa oko 65%. S druge strane, MSE je dodao samo 1
sekundu na vrijeme pokretanja operativnog sistema, a i uopšteno je imao jako malo
utjecaja na performanse sistema. Ali, eto, to je možda i najjača strana ovog sigurnosnog
rješenja. Ipak, treba uzeti u obzir relativnu mladost ovog antivirusa, tako da još postoji
mjesta za poboljšanja. Microsoft takođe najavljuje da će u sljedećim nadogradnjama
poboljšati mogućnosti ovog antivirusa.
Panda Cloud Antivirusje predstavnik nove generacije antivirusnog softvera.Opšte je
poznato da se antivirusi redovito nadograđuju pomoću tzv.antivirusnih definicija. Na taj
način antivirusi prate stanje i zapravo ostaju korisni u svakom trenutku.Zato je vrlo bitno
nadograđivati definicije antivirusa.Ali, Panda Cloud Antivirus koristi jedan drugačiji
koncept. Naime, osnovni princip rada ovog antivirusa je korištenje koncepta cloud
računarstva, ili računarstva u oblacima. To se kod ovog antivirusa manifestuje u činjenici
da ne treba svakodnevno prolaziti kroz proces downloadanja i instaliranja antivirusnih
definicija, već je cijeli antivirus u oblaku, dakle na Internetu, pa istog trenutka može
povući najnovije definicije sa servera sa definicijama. Genijalan koncept, koji će svakako
zaživjeti u budućnosti! Kvaliteta ovakvog načina rada se vidi i na djelu – Panda Cloud
Antivirus uspješno je detektovao čak 99.8% uzoraka malicioznog softvera! Ipak, u nekim
drugim testovima Panda i nije baš bila uspješna (primjer, test blokiranja stvarnog
malicioznog softvera – mada je Panda rekla da će i to poboljšati u sljedećim verzijama).
Iako detekcija izgleda fascinantno, brzina skeniranja je najlošija na testu besplatnih
antivirusa – 4.5 GB podataka skenirano je za čak 338 sekundi! Panda Cloud Antivirus
dosta utiče na performanse sistema – prilikom podizanja sistema sa instaliranom Pandom
dodano je 11, a kod gašenja sistema čak 17 sekundi. Iako Panda Cloud Antivirus možda i
nije trenutno najbolje rješenje, očekujemo sljedeće verzije i smatramo da je korištenje
clouda budućnost antivirusa.
Iako se ne bi dalo zaključiti po imenu, Comodo Internet Security Premium je besplatan
softver. Jedini je od testiranih besplatnih antivirusa koji sadrži i firewall. Inače, Comodo
Tema: Maliciozni softver - detekcija i odbrana 25 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
je isprva i stekao popularnost svojim kvalitetnim firewall-om. Što se tiče testiranog
sigurnosnog rješenja, krenimo odizgleda. Dizajnirano je lijepo, moderno, odiše bojama
koje imaju i funkciju (zeleno znači da je dobro, žuto da ima nekih problema, crveno da su
ti problemi kritični). Ipak, ima svojih problema. Primjer, kod skeniranja računara nema
nekog indikatora koji bi pokazao trenutni status skeniranja. Comodo je detektovao 92.4%
uzoraka iz standardnog, već spomenutog seta uzoraka.Nije prepoznao lažne viruse, tj.6
datoteka je prepoznao kao potencijalno opasne, dok one to nisu bile.Što se tiče blokiranja
stvarnog malicioznog softvera, tu je Comodo briljirao – čak 96% uspješnih
blokiranja.Brzina skeniranja je prosječna (4.5 GB podataka Comodo je skenirao za 129
sekundi). Još jedna pozitivna osobina Comodo Internet Security Premiuma je da gotovo
da i ne utiče na performanse sistema. Samo 1 sekunda dodana je na vrijeme podizanja
sistema u odnosu na vrijeme podizanja sistema sa neinstaliranim antivirusom. Comodo
Internet Security ima potencijala (dobra detekcija i blokiranje stvarnih napada, nema
uticaja na performanse sistema, ugrađeni firewall, funkcionalno i vizualno privlačno
okruženje), ali ipak su potrebna određena poboljšanja kako bi Comodo Internet Security
postao sistem koji se nekome može preporučiti.
4.4. Komercijalna sigurnosna rješenja
Za testove korištenja komercijalnih sigurnosnih rješenja koristili smo također časopis PC
World.U ovom slučaju radi se o godišnjem izboru najboljih komercijalnih antivirusnih
rješenja.12
Norton Antivirus 2011 je najnovije sigurnosno rješenje firme Symantec.Inače, Norton
Antivirus do prije nekoliko godina glasio je kao vrlo sporo i nametljivo sigurnosno
rješenje, koje je često znalo veoma usporiti rad računara i sistema.Ali, u nekoliko
posljednjih verzija programeri su se stvarno potrudili te sada Norton spada u sam vrh
komercijalnih antivirusnih rješenja. Izgledna ovom antivirusu je vrhunsko. Postoji
nekoliko prekidača (on/off) za razne funkcije, a na dnu nalazi se mapa svijeta koja
grafički prikazuje aktivnost cyber-kriminala u posljednjih 24 sata. Kod detekcije je
12 http://www.pcworld.com/reviews/collection/5927/2011_paid_av.html
Tema: Maliciozni softver - detekcija i odbrana 26 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
Norton također pokazao svoje kvalitete. 98.7% uspješno pronađenih uzoraka dokaz su toj
tvrdnji. 96% uspješno blokiranih napada stvarnog malicioznog softvera također je
podatak koji ide u prilog Nortonu.Ipak, brzina je i dalje ono što djelomično muči
Nortona. 4.5 GB je Norton skenirao u 272 sekunde, što nije malo, uzevši u obzir
besplatnu Aviru koja istu stvar radi u 87 sekundi. Ipak, ostale osobine čine Nortonom
jednim od najboljih, ako ne i najboljim komercijalnim antivirusom današnjice.
BitDefender Antivirus Pro 2011 je najnovija verzija komercijalnog antivirusa firme
BitDefender.BitDefender ima zanimljivo riješeno vizuelnog izgleda. Naime, moguće je
odabrati jednu od tri verzije igleda (Basic, Intermediate, Advanced). Svaka verzije igleda
sadrži različiti broj opcija za korisnika.Dok je Basic opcija namijenjena neiskusnijim
korisnicima i sadrži krajnje pojednostavljene opcije (moglo bi se reći – ono najvažnije),
Intermediate i Advanced su namijenjeni iskusnim korisnicima.Advanced opcija sadrži
nepregledno mnoštvo tabova i podtabova, tako da se teško snaći.Ali, iskusniji korisnici
koji žele upravljati apsolutno svakim segmentom rada ovog antivirusa doći će na svoje.
Performanse ovog antivirusa su iznadprosječne. 97.5% uspješno prepoznatih uzoraka iz
standardnog seta uzoraka, kao i činjenica da je uspješno uklonio sve infekcije u 70%
slučajeva svrstavaju ovaj proizvod u sam vrh antivirusnih programa. S druge pak strane,
poziciju na vrhu može kompromitovati činjenica da je uspješno blokirao samo 68%
napada stvarnog malicioznog softvera. Također, niti jednu datoteku nije krivo prepoznao,
u smislu da ju je zamijenio za neki oblik malicioznog koda.Trajanje skeniranja je
prosječno – oko 120 sekundi trajalo je skeniranje 4.5 GB podataka. Što se tiče uticaja na
performanse računara, BitDefender se i ovdje iskazao. Na vrijeme pokretanja sistema
dodano je tek 6 sekundi u odnosu nasistem sa neinstaliranim antivirusom. Iako
BitDefender Antivirus Pro 2011 ima nekoliko loših strana (relativno loša odbrana od
stvarnih prijetnji, vrijeme skeniranja je moglo biti i kraće), ipak se radi o zaokruženom
proizvodu čije će mogućnosti znati cijeniti i korisnici sa manje pozamašnim iskustvom,
zbog složenostiizgleda.
Avast Pro Antiviruspredstavlja plaćenu, komercijalnu verziju u odnosu na besplatni
Avast. Izgled je više-manje identično onome iz besplatne verzije, dok i dalje ima nekih
stvari koje bi trebalo poboljšati. Primjer, ukoliko skeniranjem pronađe opasnost, Avast
nigdje ne nudi objašnjenje pronađenog ili razlog zašto je opasno to što je pronađeno. Iako
Tema: Maliciozni softver - detekcija i odbrana 27 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
sadrži mnogo opcija, te iste opcije bi mogle biti i malo bolje objašnjene. Također, nema
ni opcije koja će definisati što će se dogoditi nakon što skeniranje pronađe opasnost.
Avast je uspješno detektovao 94.8% uzoraka iz već više puta spomenutog seta uzoraka,
što je dobar način za analizu kvalitete prepoznavanja već postojećeg malicioznog softvera
od strane antivirusa. Što se tiče nepoznatog malwarea, Avast je uspješno blokirao 80%
napada iz stvarnog svijeta.Jedna stvar ističe Avast posebnim – boot skener. Ovaj skener
će pokuštati pronaći bilo koji oblik malicioznog softvera prije pokretanja operativnog
sistema. Prema Avastu, ovaj način omogućuje detektovanje i uklanjanje malicioznog
softvera prije nego što je učinio bilo kakvu štetu operativnog sistema. Avast je takođe i
brz – 90 sekundi za 4.5 GB je impresivan podatak. Kao i njegov besplatni brat, Avast Pro
takođenema prevelikog uticaja na performanse računara. Lakoća korištenja i brzina su
aduti koji krase ovaj komercijalni proizvod.
G-Data Antivirus 2011 je najnoviji produkt firme G-Data.Izgled ovog antivirusa je
pomalo neuobičajeno, budući da nigdje ne postoji indikator koji bi ukazao na status
trenutne razine zaštite. Također, radi se o njemačkom proizvodu, čiji prijevod na engleski
je mogao biti i bolje izveden. Ipak, G-Data Antivirus 2011 uspješno je detektovao čak
99.4% uzoraka iz seta uzoraka, dok se uspješno obranio od 84% napada stvarnog
malicioznog softvera. Uspješno je detektovao svaku zaraženu datoteku, a uspio ih je
očistiti u 80% slučajeva. Također, nije pogrešno detektovao niti jednu datoteku niti je
označio kao maliciozni softver, a da je bilo riječ o bezopasnoj.Brzina skeniranja je takođe
vrlo dobra – 4.5 GB podataka za 111 sekundi. Dodao je tek manje od sekunde na vrijeme
pokretanja operativnog sistema. Iako ima nekih problema saizgledom, sve pozitivne
osobine čine G-Data Antivirus možda i najjačim komercijalnim antivirusnim rješenjem.
Kaspersky Anti-Virus 2011 je poznato rusko sigurnosno rješenje. Vrlo dobro razrađeno
okruženje osobina je ovog rješenja. Čistoća, lakoća korištenja i kompletnost su samo
neke osobine ovog okruženja. Ima i zanimljivu mogućnost povlačenja datoteke u
predviđeno mjesto nameniju (hot spot), gdje korisnik može dovući sumnjivu datoteku, a
Kaspersky će ju odmah početi skenirati. Detektovao je 95.7% prijetnji iz standardnog
testa uzoraka, dok je uspješno blokirao čak 88% prijetnji od strane stvarnog malicioznog
softvera. 1 minutu i 40 sekundi (100 sekundi sveukupno) trajalo je vrijeme skeniranja, što
je nešto kraće od prosjeka. Ipak, Kaspersky ima golemu lošu stranu. Naime, njegov
Tema: Maliciozni softver - detekcija i odbrana 28 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
utjecaj na performanse sistema je mnogo veći od ostalih antivirusnih proizvoda. 14
sekundi dodano je na vrijeme pokretanja. Također, vrijeme kopiranja unutar operativnog
sistema i ostale zadaće dosta su usporene. Da nema tih problema, Kaspersky bi možda
bio proglašen i najboljim antivirusnim rješenjem uopšte.
4.5. Preporuka antivirusa od strane autora
Na temelju testiranja PC Worlda, ako se korisnik odluči za besplatnu varijantu,
definitivno bismo preporučili Avasta ili Aviru AntiVir. Oba rješenja su podjednako
kvalitetna (mada je Avira nešto brža), dok je Avast ipak možda, globalno gledajući, bolji,
budući da nudi besplatnu korisničku podršku.
Što se, pak, tiče komercijalnih antivirusa, pobjedu odnosi Norton, mada bismo itekako
preporučili i G-Data Antivirus 2011. G-Data se pokazao vrlo uspješnim u mnogim
segemntima testiranja, ali ipak bismo rekli da je Norton možda zaokruženiji proizvod.
Zapravo, korisnik neće pogriješiti ako kupi bilo koji od testiranih plaćenih antivirusa,
budući da su svi vrlo kvalitetni.
5. Zaključak
Tokom pisanja ovog rada zaista smo naučili mnogo o vrstama malicioznog koda i o
načinima njihovog djelovanja.Također smo ostali iznenađeni činjenicom koliko je sve to
skupa naraslo – nekad se govorilo uglavnom o virusima, dok su sad virusi samo djelić
djelića malicioznog koda.
Što se tiče testiranja antivirusa, iako smo planirali testirati antiviruse na svoju ruku, ipak
smo se odlučili na nešto lakšu varijantu. Razlozi su brojni. Testiranje na vlastitom
računaru bi uzelo previše vremena, kojeg uvijek fali. Drugi razlog je i način testiranja
komercijalnih antivirusa. Budući da je kupovina licence za svaki od testiranih rješenja
financijski neisplativa, ostali bismo osuđeni na trial verzije pojedinih rješenja. Ali, kako
se često zna dogoditi da trial verzije nisu dostojne svojih punih verzija, odlučili smo se za
ovu soluciju.
Tema: Maliciozni softver - detekcija i odbrana 29 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
6. Literatura
- Vukušić, M. (2005). Virusi u izvršnim datotekama.Zavod za primijenjenu matematiku,
FER Zagreb.Dostupno 14.11.2011.na
http://web.zpr.fer.hr/ergonomija/2005/vukusic/virusi.pdf
- Heidari, M. (2004). Malicious Codes in Depth.Dostupno
14.11.2011.nahttp://target0.be/madchat/vxdevl/papers/avers/Mal_Codes_in_Depth.pdf
- http://www.nod32.com.hr/eset2009/ThreatCenter/Vrsteopasnosti/tabid/1915/language/en-
US/Default.aspx#ro
- Scott Yoder (2010). Different Types of Spyware.Dostupno
15.11.2011.nahttp://www.ehow.com/list_6457947_different-types-spyware.html
Tema: Maliciozni softver - detekcija i odbrana 30 / 31
Predmet: Zaštita informacionih sistema Seminarski rad
-SearchSecurity.com (2008.). Botnet.Dostupno
15.11.2011.nahttp://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci1030284,00.html.
- Mediati, N. (2010.). Top 5 Free Antivirus for 2011. PC World. Dostupno
15.11.2011.nahttp://www.pcworld.com/reviews/collection/5928/2011_free_av.html
-Mediati, N. (2010.). Top 5 Paid Antivirus for 2011. PC World. Dostupno
15.11.2011.nahttp://www.pcworld.com/reviews/collection/5927/2011_paid_av.html
Tema: Maliciozni softver - detekcija i odbrana 31 / 31