Maliciozni i štetniprogrami

Prema izveštaju koji je objavioMicrosoft, svaki četrtnaesti programkoji korisnici Windowsa preuzmu jemaliciozan, a oko 5 posto korisnikaignoriše upozorenje da se radi opotencijalnom opasnom softveru.

• Jedna od najvećih internetskih opasnosti koje namprete su maliciozni programi koji mogu nanetiizuzetno veliku štetu nezaštićenom računaru.

• Danas imamo veliki broj različitih malicioznihprograma (eng. malware) - virusi, crvi, spywarei...Osim njihove raznolikosti, raznoliki su i načini nakoji dospevaju na nezaštićeni računar.

Maliciozni i štetni programi

Šta je virus?• Virusom se smatra skriveni maliciozni računarskii

program čija je funkcija namerno ometanje i/ilipromena rada računara bez dopuštenja ili znanjakorisnika.

• Svojstva:– samoumnožavanje – kao i onaj biološki, računarski virus će

prilikom svog izvršavanja tražiti nove domaćine (datoteke naračunarima) na koje se može proširiti

– samoizvršavanje – virus se izvršava samostalno, najčešćena način da svoj kod umetne u izvršni kod drugogračunarskog programa ili datoteke podataka

Kako radi virus?

• Poput svoje biološke verzije, računarski virus ne možepreživeti bez domaćina. Domaćin je u većini slučajeva drugiračunarski program ili datoteka na računaru.

• Virus će svoj kod umetnuti u postojeći kod drugog programaili datoteke i čekati na njegovo pokretanje, odnosno otvaranjedatoteke.

• Proces umetanja malicioznog koda u „zdravu“ datotekupoznat je pod imenom infekcija, a proces pokretanjainficirane datoteke naziva se aktivacija virusa.

• Inficirati se može bilo koji deo računara namenjen za čuvanjepodataka (hard disk, disketa, optički medij, memorija).

• Za aktivaciju virusa nužan je korisnik računara, koji nesvesnopokreće inficirani program, otvara inficiranu datoteku ilipodiže računar sa zaraženog medijuma.

Kako radi virus?

• Prilikom aktivacije, odnosno pokretanja inficiranog računarskogprograma ili otvaranja inficirane datoteke, virus se sa hard diska seliu memoriju računara i počinje njegovo izvršavanje.

• Izvršavajući se, virus se umnožava te nastanjuje u (inficira) noveračunarske programe i datoteke.

• Virus se može umnožiti u samo jedan program, nasumično odabranskup programa ili čak u svaki nađeni program na računaru.Istovremeno, dok se pokrenuti zaraženi računarski program nastavljada ponaša naočigled uobičajeno, u pozadini se neprimetno korisnikuizvršavaju više ili manje destruktivne instrukcije virusa koje moguozbiljno oštetiti preostale podatke na računaru ili smanjiti njegovuefikasnost.

• Računarski virusi šire se prenošenjem i pokretanjem inficiranihdatoteka. U današnje vreme, prenošenje među računarima odvija seponajviše putem Interneta (npr. attachmentima elektronske pošte) ilokalnih mreža (Ethernet). Prenosni mediji svih vrsta (diskete,CD/DVD mediji) takođe su pogodni za širenje, ali danas u sve manjojmeri u odnosu na Internet i lokalne mreže.

Kategorije virusa1. Virusi datotečnog sistema

Napadaju i inficiraju isključivo izvršne datoteke računarskih programa(ekstenzije datoteka .exe, .com, .bat, .sys, .drv). Većina trajno ostaje umemoriji računara (engl. memory resident) što znači da će prilikomsledećeg pokretanja neinficirani programi automatski postati inficirani.Virusi ove vrste mogu inficirati domaćina na tri načina, zavisno od načinaumetanja svog koda:

– umetanje virusnog koda prebrisavanjem postojećeg, zdravog kodadomaćina – na ovaj način uništava se originalni program te se više nemože pokrenuti. Pokušaj pokretanja inficiranog programa samo ćeaktivirati virus koji će se se početi širiti na druge domaćine tepotencijalno destruktivno delovati na sistem.

– umetanje virusnog koda na početak datoteke domaćina – ovakavnačin infekcije neće naštetiti domaćinskom programu pa će onnastaviti sa izvršavanjem bez očitih promena. Istovremeno, virusni kodće se aktivirati.

– umetanje virusnog koda na kraj datoteke domaćina – slično kao i kodumetanja na početak, domaćinski program ostaje netaknut, a virus seaktivira bez očitih promena za korisnika.

Kategorije virusa2. sistemski virusi

• Nastanjuju se u sistemskom delu bilo hard bilo floppy diska(diskete).

• Prilikom podizanja računara sa jednog od navedenih, virusi seaktiviraju. Većina takvih virusa pisana je za MS-DOS operativnisistem, ali su i dan danas jednako opasni po bilo koji operativnisistem PC računara.

• Dovoljno je pokrenuti računar sa inficiranom disketom i virus ćese aktivirati i trajno nastaniti u memoriji računara. Jednom kad seto dogodi, inficiraće se svaka nova „zdrava“ disketa koja seumetne u disketnu jedinicu, osim ako na njoj nije uključenazabrana pisanja (write protection).

• Virusi ove vrste napadaju bilo Master Boot Sector (MBS) biloSystem Boot Sector (SBS) hard ili floppy diska. Posledicaaktivacije često je nemogućnost podizanja računara, ali može bitii destruktivnija.

Kategorije virusa3. Multipartite virusi

Inficiraju paralelno izvršne datoteke programa i boot sektore diska.Naročito ih je teško ukloniti jer ukoliko nisu uklonjeni i iz datoteka i izboot sektora, naknadno će se ponovno proširiti na jedno odnavedenog.

4. makro virusi

Inficiraju datoteke koje imaju mogućnosti korišćenja makro jezika.Najčešće su to Microsoft Office Word, Excel, PowerPoint i Accessdatoteke. Najrašireniji su zbog jednostavnosti izrade, a danas nanosenajviše štete kompanijama širom sveta. Aktiviraju se otvaranjem nekeod spomenutih datoteka kada se kod virusa kopira u izvršni kodprograma koji ga je otvorio, na primer u MS Word. Nakon toga, svakanova datoteka koja se otvori tim programom biće zaražena. Nekimakro virusi aktiviraju se pak na određene akcije pokrenute kroz meni(npr. snimanje datoteke na hard disk), a neki čak i skrivaju pojedinedelove menija, posebno one pomoću kojih bi se virusi eventualnomogli otkriti i ukloniti.

Šta su crvi?• Crvi su maliciozni programi koji su vrlo slični virusima pa ih

neki stručnjaci za sigurnost stavljaju pod kategoriju virusa.No, postoji jedna ključna razlika koja crve čini znatnonaprednijim malicioznim programima od virusa. Naime,crvima za širenje i delovanje nije potreban domaćin (izvršnaili druga datoteka koja se inficira malicioznim kodom) već seu potpunosti smeštaju i sakrivaju u memoriji računara.

• Nadalje, crv je samostalan program kojeg nije potrebnoaktivirati poput virusa (korisničkim pokretanjem inficiranedatoteke) već se širi i deluje koristeći isključivo vlastitemehanizme.

• Širenje se redovno odvija putem računarskih mreža(Etherneta i Interneta), za razliku od virusa koji se mogu širitii prenosnim medijima.

• Koliko su crvi danas rasprostranjeniji u odnosu na virusedokazuje i podatak da prvih 10 mesta na listi prijavljenihvirusa i crva u septembru 2006. zauzimaju jedino i samocrvi.

Kako rade crvi?• Crvi su najčešće napravljeni kako bi iskoristili mogućnosti računara za

prenos i razmenu podataka.• Zahvaljujući svojoj sposobnosti širenja bez potrebe za korisničkim

uticajem, širenje crva računarskim mrežama znatno je brže od virusa. Naprimer, crv Code Red se 19.7.2001. u svega 9 sati postojanja repliciraoviše od 250,000 puta!

• Generalno gledajući, takvo rapidno širenje crva u većini slučajeva ćeznačajno naškoditi računarskim mrežama, umanjujući njihovu efikasnosttrošenjem raspoloživog kapaciteta (engl. bandwidtha).

• Crvi će najčešće iskoristiti sigurnosni propust u operativnom sistemuračunara i onda recimo obrisati neke podatke na računaru, kriptovati ihkako bi postali nedostupni korisniku ili pak poslati zaražene dokumenteputem elektronske pošte.

• U najgorem i vrlo čestom slučaju, svrha crva je preuzeti kontrolu nadkorisničkim računarom, pretvoriti ga u tzv. zombie računar i onda gakoristiti za razne protivzakonite radnje (od krađe ličnih podataka i lozinki pado slanja spam poruka na ostale računare i Dos napade). Način na koji tocrvi postižu je poznat kao backdoor entry, odnosno otvaranje „zadnjihvrata“ koja se onda koriste za preuzimanje i upravljanje računarom.

Kategorije crva

• Crvi se mogu podeliti na nekoliko osnovnihkategorija, u zavisnosti od načina propagacije:– Email crvi– Instant messaging crvi– IRC crvi– File sharing crvi– Internet crvi

Email crvi• To je najraširenija vrsta crva koja se širi koristeći attachment elektronske

pošte. Najčešće funkcioniše na način da se pošalje na sve e-mail adresekoje pronađe na korisničkom računaru (npr. u Outlook adresaru).

• Korisničkim otvaranjem inficiranog attachmenta, crv se ubacuje u sistem.Širenje crva može se postići i slanjem URL adrese (linka) koja vodi doinficirane web stranice, a nalazi se u telu poruke elektronske pošte.Najopasniji crvi će pregledavanjem mreže ustanoviti nezaštićene računare(npr. one bez redovnih sigurnosnih ažuriranja operativnog sistema) i tako seputem mrežnih servisa nastaniti u njih bez ikakve potrebe za interakcijomkorisnika.

• Email adrese na koje će se proširiti, crv pronalazi sledećim tehnikama:– pretraživanje adresara MS Outlook / Outlook Express programa– pretraživanje *.wab datoteka (koriste se za čuvanje adresara MS Outlook

Expressa)– pretraživanje raznih datoteka u potrazi za email adresama– slanje svoje kopije u obliku odgovora na sve pronađene poruke u inboxu– generisanje novih email adresa konstruisanih iz nasumice odabranih

imena i često korišćenih domena

Instant messaging crvi

• Ovi crvi šire se putem programa za slanjeporuka u realnom vremenu (MSN, ICQ i sl.).Način je vrlo jednostavan – svim kontaktima uadresaru šalju se poruke sa URL adresamakoje vode na inficirane web stranice.

• Jedina razlika u odnosu na email crve jemedijum putem koga se crv prenosi.

IRC crvi

• IRC (Internet Relay Chat) je još jedan načinkomunikacije u stvarnom vremenu, ali sanaglaskom na grupne diskusije koje se odvijajuu tzv. IRC kanalima. IRC crvi šire se putem IRCkanala za chat na identičan način kao i emailcrvi – slanjem zaraženih datoteka ili URLadresa koje vode na inficirane web stranice.

File sharing crvi• Širenje crva događa se putem Peer-To-Peer (P2P)

programima za razmenu sadržaja preko Interneta.Nastanjuju se pod bezazlenim imenima u deljenemape korisnika i na taj način postaju dostupne svimkorisnicima P2P programa za preuzimanje ipokretanje.

• Napredniji crvi ove vrste sposobni su da imitirajukompletne protokole mreža za razmenu sadržaja, dapotvrdno odgovaraju na sve zahteve i da se šire nasve članove pojedine mreže.

Internet crvi• Internet crvima nazivamo brojne crve koji se služe alternativnim

metodama širenja koje do sad nismo spomenuli:– crv se kopira u razne dostupne mrežne resurse (npr. deljene i

nezaštićene direktorijume u lokalnoj mreži - Ethernetu) nakon čegapokušava u potpunosti da ovlada računarom

– crv iskorišćava ranjivosti operativnih sistema (posebno onih računarakoji nemaju ažurirane sigurnosne postavke) kako bi se probio ikopirao u računare ili računarske mreže. Iskorišćavanje ranjivostinaziva se exploiting-om.

– crv probija javne mreže (Web i FTP servere), inficira datoteke naserveru (npr. web stranice) i čeka korisnike da se konektuju naserver. Prilikom navedenog konektovanja, virusi inficiraju računar sakojeg se spajanje dogodilo.

– crv koristi druge maliciozne programe (npr. Trojanske konje) koji musluže kao prenosnici i otvaraju pristup drugim računarima. Navedenootvaranje pristupa naziva se i otvaranjem stražnjih vrata (backdoorentry) čime i crvi dobijaju mogućnost širenja. Računari sa otvorenimstražnjim vratima popularno se nazivaju zombie računarima izrazloga što se nad njima može preuzeti potpuna kontrola i tako ihkoristiti za daljnje napade i širenje malicioznih programa.

Tipičan primer crva u akciji• Pogledajmo primer najčešće prijavljenog crva u septembru

2006., Netsky-P.• Iako je prvi put zabeležen u martu 2004., a njegov autor Sven

Jaschan ubrzo otkriven i osuđen, crv Netsky u svojim brojnimpodvarijatama preživljava pa je danas u svetu na vrhu poučestalosti pojavljivanja.

• Netsky je tipičan email crv koji se širi šaljući svoje kopije putememail attachmenta koristeći vlastiti ugrađeni SMTP server.Adrese na koje će se poslati pronalazi na računaru na kojem senalazi u raznim datotekama koje služe za čuvanje adresara(npr. *.wab, *.pab, *.pst).

• Email poruka pomoću koje se crv širi uobičajeno imakrivotvoreno ime pošiljaoca i različite naslove, tela iattachmente kojim se želi zavarati primaoc. Sledi tipičanprimera takve email poruke:

Tipičan primer crva u akciji

• Adresa pošaljaoca svakako je lažna, a crv ju je verovatno pronašao naračunaru sa kojeg se poslao.

• Dakle, kada primite ovakvu email poruku i u polju pošiljaoca prepoznateadresu svog prijatelja/kolege/poznanika, ništa nećete postići upozoravajućiga da ima crva na svom računaru jer to nije nužno tačno.

• Naslov poruke sadrži reč „Re:“ kojom se uobičajeno označava odgovor naemail poruku koju ste nekome poslali. Ovom metodom crv pokušavazavarati korisnika odajući mu utisak da je primljena poruka odgovor naporuku koju je on inicijalno poslao.

• Attachment poruke sadrži sumnjivu datoteku. U ovom slučaju datoteka bitrebalo da bude formata .zip (čest kompresijski format), ali pogled nanetipičnu ikonu kojom je predstavljena ukazuje da verovatno nije tako i dase radi o zaraženoj datoteci.

• Telo poruke sadrži kratkak tekst u kojem se korisnik navodi na otvaranjeattachmenta.

• Potpis poruke sadrži nekoliko redova teksta kojima se simulira poruka kojaje tipična za antivirusne programe koji skeniraju poruku i zaključe da je snjom sve u redu.

• Ponekad, na računarima sa starijim verzijama Internet Explorera (5.1 i5.5) i neažuriranim Windows operativnim sistemom, dovoljan je samoi pregled ovakve poruke (bez otvaranja attachmenta) kako bi se crvautomatski pokrenuo.

Tipičan primer crva u akciji

Kako se zaštititi od crva?• Zaštita od crva vrlo je slična zaštiti od virusa i kao prvi korak preporučuje se

instalacija i redovno osvežavanje antivirusnog programa• Instalacija firewalla je drugi korak koji će zaštiti računar od većine crva koji

se šire pretraživanjem i napadanjem nezaštićenih računara.• Konačno, redovno skidanje i instalacija sigurnosnih zakrpa u sklopu

Windows Updates servisa učiniće računar dodatno sigurnim.• Od email crva, danas prisutnih u ogromnom broju, možda se i najlakše

zaštiti – oprezom.• Sumnjive attachmente poruka, posebno u obliku izvršnih datoteka (npr. .bat,

.exe, .vbs, .pif) nikako ne otvarajte, kao ni sumnjive URL adrese u sadržajuporuka.

• Nakon primanja i pre otvaranja email poruke pokušajte da odgovorite sebina nekoliko jednostavnih pitanja:– da li poznajete pošiljaoca email poruke?– da li ste već primili email poruku sa te adrese?– da li ste očekivali tu email poruku?– da li sadržaj i attachment poruke imaju smisla?– da li antivirusni program dojavljuje moguću opasnost od malicioznog

sadržaja?

Kako ukloniti crva?

• Jednako kao i za viruse, uklanjanje crva najčešće jemoguće automatski, koristeći aktuelizovaniantivirusni alat pomoću kojeg je potrebno napravitidetaljno pretraživanje svih datoteka računara (fullscan) i potom uklanjanje pronađenih crva.

• Ukoliko antivirusni program ili virusni skener pronađui identifikuju crva, a ne mogu ga ukloniti, u većinislučajeva na stranicama proizvođača antivirusnihprograma postojaće uputstva za ručno uklanjanjecrva ili pak specijalzovani program upravo za tunamenu

Rootkits• Rootkiti su posebna grupa mailicioznih programa ili,

preciznije rečeno, to su programi čija je namenaskrivanje drugih malicioznih programa (npr. virusa,spyware-a, trojanskih konja) od korisnika.

• Cilj rootkita najčešće je preuzimanje kontrole nadračunarom uz istovremo skrivanje datoteka, procesa,zapisa u registrima pomoću kojih se navedenopreuzimanje kontrole ostvaruje.

• Spomenutim tehnikama „skrivanja“ od korisnika,maliciozni programi na taj način ostaju nevidljivi ineuklonjivi antivirusnim programima, blokatorimaspyware-a i sl.

• Naime, rootkiti često funkcionišu na način da menjajudelove operativnih sistema ili se pak instaliraju kaodriveri.

Kako rade rootkiti?• Rootkiti nemaju osobine samoumnožavanja i samoizvršavanja poput virusa i

crva.• Napadači najčešće uočavaju i iskorišćavaju trenutne ranjivosti operativnog

sistema (npr. otvorene pristupe, računara bez sigurnosnih nadogradnji ili saslabim administratorskim lozinkama) kako bi dobili pristup računaru.

• Jednom kada je pristup osiguran, napadač ručno instalira rootkit. Takvuvrstu „skrivenog“ napada vrlo često teško otkrivaju firewallovi, antivirusni iantispyware programi za zaštitu računara.

• Osim navedenog načina, rootkit se može proširiti i peer-to-peer mrežom,zatim email porukama sa malicioznim attachmentima ili URL adresama kojevode na malicioznu web stranicu i sličnim metodama socijalnog inženjeringatipičnim za širenje virusa.

• Kao što je već rečeno, jednom instalirani rootkit koristi se za skrivanje raznihmalicioznih programa.

• Najčešća primena je skrivanje trojanskih konja, programa koji stvaraju tzv.„stražnja vrata“ (engl. backdoor) pomoću kojih napadač u potpunostikontroliše zaraženi računar. Kontrolisani računar (popularno: zombie) sepotom koristi za razne abuse radnje poput Dos napada, spam napada i sl.Nadalje, rootkiti se često koriste i za otkrivanje kombinacija korisničkihimena i lozinki potrebnih za pristup web stranicama što ih čini vrlo opasnimza neopreznog korisnika.

Kategorije rootkita• Persistent Rootkits - Ova kategorija rootkita je trajne prirode i

aktiviraju se prilikom svakog novog pokretanja računara. S obziromna tu karakteristiku, izvršni kod takvih programa mora biti trajnosačuvan – najčešće u Registry-u ili fajl sistemu.

• Memory-Based Rootkits - Za razliku od prethodno navedene, ovakategorija rootkita nastanjuje se u radnoj memoriji računara i time nemože opstati nakon njegovog ponovnog pokretanja.

• User-mode Rootkits - Ova kategorija rootkita skriva se od korisnikapresecanjem funkcija za pretraživanje datotečnog sistema (koriste ihWindows Explorer/command prompt). Dakle prilikom korisničkogpretraživanja direktorijuma i datoteka, rootkiti menjaju konačan ispisna način da izostave sve podatke vezanje za njih same.

• Kernel-mode Rootkits - Navedena kategorija još je moćnija odprethodno navedene, jer osim presecanja odgovora jezgraoperativnog sistema, oni čak mogu menjati neke strukture samogjezgra. Na primer, tipičan način njihovog skrivanja od korisnika jebrisanje vlastitih procesa iz ukupne liste aktivnih procesa. Na tajnačin kroz Task Manager rootkit procesi neće biti vidljivi niti korisnikuniti većini antivirusnih i antispyware alata.

Zaštita od rootkita

• Prevencija od rootkita identična je prevenciji od većinemalicioznih programa.

• Preporučuje se korišćenje i redovno ažuriranjeantivirusnog i antispyware programa, redovnoažuriranje operativnog sistema, korišćenje firewall-a iodabir jakih lozinki (npr. korišćenjem brojki, slovarazličite veličine i specijalnih znakova).

• Takođe, već spomenuto korišćenje korisničkog nalogabez administrativnih ovlašćenja svakako će umanjitirizik.

Kako ukloniti rootkit?• Nažalost, sama identifikacija rootkita zbog njihovog

načina rada ponekad je vrlo teška i ne postoji šablonza otkrivanje ove vrste malicioznih programa.

• Mesta za sumnju ima ukoliko se računar neobičnoponaša uprkos ažuriranom antivirusnom i antispywareprogramu.

• Neobično ponašanje odnosi se na rušenje izamrzavanje sistema, netipično ponašanje raznihprograma (pa čak i antivirusnih), netipično korišćenjemrežnih resursa i pokretanje sumnjivih procesaprilikom ponovnog pokretanja računara.

• Popis dostupnih alata na tržištu dostupan je na adresiwww.antirootkit.com/software/index.htm

Tipovi trojanskih konja• RAT (Remote Access Trojans) – Trojanski konji sa udaljenim

pristupom• DST (Data Sending Trojans) – Trojanski konji koji šalju podatke• Destrucitve Trojans – Trojanski konji koji uništavaju datoteke i

uopšte sadržaje na računaru• Proxy Trojans - Trojanski konji koji deluju na proxy servere ili ih

iskorišćavaju za svoje delovanje• FTP Trojans – Trojanski konji koji deluju na File Transfer

Protocol ili ga iskorišćavaju za svoje delovanje• Trojanski konji koji svojim delovanjem onemogućavaju

funkcionisanje sigurnosnog softvera na računarima poputantivirusnog i sličnih softvera

• Denial of Service (Dos) Trojans – Trojanski konji koji se koristeza izazivanje Denial of Service incidenata.

Načini zaraze trojanskim konjima• Načine zaraze, prema izvorima možemo podeliti na:

– web sajtove – pojedini web sajtovi su kreirani na način da bizloupotrebili sigurnosne propuste u web browserima, posebno uslučajevima kada web browser na neispravan način upravljaodređenim tipovima podataka. Stoga se uvek preporučuje korišćenjenajnovije verzije web browsera i svoj sistem držati stalno ažurnim.

– e-mail – slično kao i u slučajevima web sajtova, i čitanje porukaelektronske pošte može predstavljati opasnost i rizik za širenjetrojanskih konja. Klijenti koji se koriste za čitanje elektronske poštepoput Outlook Expressa, Microsoft Office Outlooka, MozzilaThunderbirda i drugih mogu sadržati sigurnosne propuste koje ondatrojanski konji mogu pokušati da zlouporebe. Rešenje je, kao i uprethodnom slučaju, stalno ažuriranje sistema.

– otvoreni portovi – ukoliko na svom računaru imate instaliraneprograme za komunikaciju u realnom vremenu (AIM, Windows LiveMessenger, Yahoo! Messenger…) ili neke od servera (FTP, SMTP,HTTP…) tada ti programi servisi sa sobom mogu doneti i određeneranjivosti koje zlonamerni korisnici mogu pokušati iskoristiti za širenjetrojanskih konja. Naime, gorenavedeni serveri i programi mogu otvoritimrežne portove, što može dovesti do zlouportebe tih portova od stranenapadača. Zato je potrebno uvek koristiti ažurne verzije servisa iprograma, a dodatno i firewall.

Ko se služi spywareom

• Brojni su motivi zašto bi neko kreirao spyware – informacije onavikama i karakteristikama korisnika su vrlo cenjene jerpružaju jasan uvid i omogućavaju specifično oglašavanje ičitav niz drugih personalizovanih elemenata.

• Spywareom se kao sredstvom za prikupljanje informacijasluže: online napadači često vezani uz organizovani kriminal,marketinške organizacije (firme, agencije) i „insajderi“. Oviposlednji se često služe spywareom kako bi prikupili osetljive izaštićene informacije o organizaciji u kojoj rade i kasnije ihprodavali na crnom tržištu, koristili za ucenu i na druge načinekako bi pokušali da ostvare finansijsku dobit.

Šta je to adware?• Adware je softver koji na vašem računaru prikazuje razne oglase

ili reklame, na način da se neobjašnjivo aktiviraju razni pop-upprozori ili linkovi koji vode na druge web stranice, čak i kada nistena Internetu.

• Oglašavanje, samo po sebi najčešće nije problem (nekekompanije čak nude „besplatan“ softver u zamenu za reklamiranjena vašem računaru i na taj način one zarađuju novac). Ljudi uzajednici su oduvek okruženi oglašavanjem i ono pruža važneusluge ako se sprovodi ispravno i odgovorno. Međutim adwaremože poprimiti druga obeležja – ne pruža korisniku celokupnuobaveštenost ili kontrolu nad operativnim sistemom - što ga činineželjenim softverom na vašem računaru. Tih opasnosti korisniktreba biti svestan.

• Danas adware prikuplja svojim tvorcima velike količine novčanihsredstava. Adware je softver integrisan sa programom.

• Za tvorca adwarea, on predstavlja jedan od načina povrata delafinansijskih troškova nastalih samim razvojem programa, a zaradaod reklamiranja dalje motiviše programera na nastavak pisanja,održavanja i nadograđivanja softverskog proizvoda.

Problemi sa adwareom• Tehnički gledano, najočitiji problem sa kojim se većina

korisnika suočava nakon što je na njihovom računaruinstaliran adware je nestabilnost računara.

• Teško „zaraženi“ sistemi rade vrlo usporeno, često seruše, a katkad se uopšte ne mogu pokrenuti. Na jošproblema korisnici nailaze kada žele da očiste svojoperativni sistem.

• Popularni anti-spyware alati često ne uspijevaju da sebore sa problemom jer se suoče sa ogromnomkoličinom softvera koji treba maknuti pa se sa timteretom teško nose. Uspešno uklanjanje raznihadwarea i spywarea je samo po sebi dovoljno teškoda bi prevencija trebala biti glavni prioritet.

Šta je to scareware?• Scareware je vrsta softvera isključivo stvorena zbog

uznemiravanja korisnika čiji računar napadne.• Najčešće se radi o programima koji pokrenu dijaloški

prozor koji korisniku upućuje uznemirujuću poruku ilipitanje, a svi ponuđeni odgovori ili reakcije su naizgledneželjene.

• Primer je mali program koji u dijaloškom okvirukorisniku postavi pitanje „Želite li da formatirate harddisk“, a ponuđeni odgovori su „Da“ i „Da“ ili je naprimer onemogućeno da kliknete na dugme „Ne“.

• Međutim, bez obzira koji odgovor odaberete, nikakvastvarna šteta se neće naneti vašem računaru, budućida je scareware samo softver zastrašivanja, ali koji nedeluje kao tipičan maliciozni softver.

Šta je to ransomware?• Ransomware je vrsta malicioznog programa ili koda

koji otima i šifrira datoteke žrtve, da bi zatim napadačiznuđivao novac u zamenu za ključ dešifriranja koda.

• Jedan od prvih dokumentovanih slučajeva napadaransomwareom je zabeležen u maju 2005. godine.

• Sam program koji šifrira datoteke često nije jako težakza rešavanje, ali postoje i znatno kompleksnijiprogrami koji koriste hibridne metode na nivou vojnogšifriranja.

• Takav program se naziva Cryptovirus, Cryptotrojan iliCryptoworm. Područje koje se bavi proučavanjemovakvih napada se naziva kriptovirologija.

Kako napadaransomware?

• Ucenjivački napad ransomwareom se izvodi putem posebnoizrađenih programa koji se šalju kao attachment elektronskepošte koja se pošalje žrtvi.

• Žrtva otvori ili aktivira attachment, program se pokrene i šifriraodređeni broj datoteka (ili sve datoteke) na hard diskuračunara.

• U elektronskoj pošti se nalazi i poruka koja kaže da će seuspešno dešifriranje moći provesti samo uz odgovarajući ključdešifriranja, koju će napadač (navodno) poslati žrtvi nakon štomu uplati određeni novčani iznos.

• Od svih metoda koje napadač može odabrati, ransomware sesmatra najrizičnijim za samog napadača.