maliciozni softver - detekcija i odbrana

SEMINARSKI RAD IZ PREDMETA

ZAŠTITA INFORMACIONIH SISTEMA

TEMA: MALICIOZNI SOFTVER - DETEKCIJA I ODBRANA

Banja Luka, 2011.

Predmet: Zaštita informacionih sistema Seminarski rad

1. Uvod ............................................................................................................................... 32. Šta je maliciozni softver? ............................................................................................... 42.1. Istorija razvoja malicioznih kodova ........................................................................ 43. Vrste malicioznih kodova ...............................................................................................53.1. Virusi ........................................................................................................................... 53.1.1. Nastanak .................................................................................................................. 53.1.2. Način rada ............................................................................................................... 63.1.3. Širenje ...................................................................................................................... 63.1.4. Tipovi domaćina ....................................................................................................... 83.1.5. Tipovi virusa............................................................................................................. 93.2. Računarski crvi ......................................................................................................... 103.3. Trojanski konj............................................................................................................ 133.4. Rootkit ....................................................................................................................... 143.5. Backdoor ................................................................................................................... 153.6. Spyware ..................................................................................................................... 163.6.1. Nastanak ................................................................................................................ 163.6.2. Tipovi spywarea ..................................................................................................... 163.6.3. Način rada ............................................................................................................. 183.6.4. Razina opasnosti .................................................................................................... 183.6.5. Ciljna računala i korisnici ..................................................................................... 183.7.Botnet ......................................................................................................................... 193.7.1. Nastanak ................................................................................................................ 193.7.2. Aktualne inačice .....................................................................................................193.7.3. Način rada ............................................................................................................. 20 3.7.4. Razina opasnosti .................................................................................................... 203.7.5. Ciljana računala i korisnici ................................................................................... 204. Zaštita od malicioznog koda......................................................................................... 214.1. Kako znati kada je računar zaražen? ....................................................................... 214.2. Komercijalna ili besplatnasigurnosna riješenja -šta koristiti za zaštitu? ………... 224.3. Besplatna sigurnosna riješenja ................................................................................. 234.4. Komercijalna sigurnosna riješenja ........................................................................... 274.5. Preporuka antivirusa od strane autora ..................................................................... 295. Zaključak ...................................................................................................................... 306. Literatura ..................................................................................................................... 31

Tema: Maliciozni softver - detekcija i odbrana 2 / 31


1.Uvod

U današnje vrijeme kada se tehnologija razvija neslućenom brzinom i kada sve

više počinje postajati sastavni dio apsolutno svakog područja ljudske aktivnosti i

djelatnosti posebna se pozornost pridaje problemu sigurnosti. Svaki moderan sistem

razvijen na temeljima najnovijih tehnoloških dostignuća vrlo je ranjiv ako sigurnosni dio

toga sistema ne funkcioniše na najvišoj mogućoj razini, a ta ranjivost može dovesti do

katastrofalnih posljedica po sam sistem koje mogu u najgorem slučaju učiniti sistem u

potpunosti neupotrebljivim.

Isti takvi problemi muče microsoftove inžinjere prilikom razvoja operativnih

sistema(OS) i programske podrške (softver). Sve brži razvoj kompjuterskih komponenti

(hardver) zahtjeva brz razvoj pratećeg softvera te kvalitetnih i pouzdanih

operativnihsistema. U svoj toj brzini da razvoj softvera paralelno prati razvoj hardvera te

u želji da se i dalje održi primat na području operativnih sistema Microsoft je u razvoju

svojih operativnih sistema Microsoft Windows XP, Microsoft Windows 2003 Server i

Microsoft Windows Vista, Windows 7 u nekim aplikacijama koje su dolazile kao

sastavni dio tih operativnih sistema (Internet Explorer, Windows Explorer) i odvojenim

aplikacijama (Microsoft Office, Microsoft SQL 2005) učinio kardinalne sigurnosne

propuste koje mogu dovesti (a u nekim slučajevima su i doveli) do velikih problema u

funkcionisanju sistema, potpunog gubitka kontrole nad sistemom pa čak i do potpunog,

nepovratnog gubitka sistema.



2.Šta je maliciozni softver?

Najkraće rečeno maliciozni softver ilikod je svaki onaj softver koji dospije u

korisnički računar bez njegovog dopuštenja i/ili znanja i izvršava neku od aktivnosti kojoj

je namijenjen i na štetu korisnika. Osim, klasičnih računarskih virusa ovaj pojam

označava sve vrste programskih podrški koji na bilo koji način mogu ugroziti računarski

sistem. Često je mišljenje korisnika računara da su svi zloćudni softveri virusi, odnosno

nazivaju ih jednim jedinstvenim imenom: virus. No, pod pojmom malicioznog koda

smatraju se i sami virusi, ali i crvi, trojanci i slično.

2.1.Istorija razvoja malicioznih kodova

Prvi priznati maliciozni kod koji se pojavio „na tržištu“ poznat je pod nazivom

„Elk Cloner“. Napisao ga je Rich Skrenta 1982.Godine, a program se ugradio u Apple

DOS 3.3 operativni sistem i širio pomoću floppy disketa. To je bilo prije nego je Internet

postao proširen i opšteprihvaćen način razmjenjivanja poruka ali i malicioznih kodova.

Floppy disketa je bila u to vrijeme jedini način razmjene podataka među korisnicima i

maliciozni kodovi su funkcionisali na način da su se infiltrirali u podatke ili programe na

tim disketama i tako širili, ili su napadali boot sektor diskete što je garantovalo pokretanje

malicioznog koda prilikom korištenja diskete.1

Sistemi oglasnih ploča i mrežne razmjene podataka i programa postali su jako popularni

u kasnim osamdesetima i ranim devedesetima, a mnogo malicioznih softvera napisano je

da ciljaju programe koji se najviše razmjenjuju.Besplatni softver je bio glavna odrednica

za maliciozne softvere u takvim sistemima. Unutar "piratske scene" na kojoj su se

prodavale ilegalne kopije komercijalnog softvera, korisnici koji su kupovali najnovija

izdanja svakojakih programa bili su laka meta za maliciozni softver.

Od sredine devedesetih makro virusi su postali uobičajeni. Većina tih virusa je pisana u

programskim jezicima za Microsoftove programe poput Worda i Outlooka.Ovi virusi se

šire u okruženju Microsoft Windowsa pomoću zaraženih dokumenata i zaražene

elektronske pošte.

1Vukušić, M. (2005).Virusi u izvršnim datotekama.Zavod za primijenjenu matematiku, FER



3.Vrste malicioznih kodova

Maliciozne kodove možemo podijeliti u dvije glavne grupe: nezavisni maliciozni kodovi

i maliciozni kodovi kojima je potreban „program domaćin“ (host program).

Nezavisni maliciozni kodovi su kodovi kojima nije potreban drugi program kako bi

egzistirali, niti im je on potreban za pokretanje.Oni postoje nezavisno o bilo kojem

drugom i pokreću se iz samog operativnog sistema. Najjednostavniji primjer ove grupe je

računarski crv koji postoji sam za sebe i vrši svoju funkciju.

Maliciozni kodovi kojima je potreban host program kao što im i ime govori ne mogu

egzistirati bez tog programa, odnosno to su dijelovi programa koji se implementiraju u

host program i mijenjaju njegov način rada, naravno, na štetu korisnika. U ovu grupu

spadaju virusi, trojanci, logičke bombe i slično.

3.1.Virusi

3.1.1.Nastanak

Virusi ne mogu nastati spontano, niti ih mogu proizvesti greške u nekim uobičajenim

programima.Oni nastaju isključivo intervencijom ljudi, odnosno programera. Nastaju s

razlogom da načine određenu štetu korisniku, koja može biti bezazlena kao primjer

dosađivanje korisniku, ali može i ozbiljno naštetiti korisniku na način da mu se oštete

važni dokumenti na koje se išlo ciljano ili ciljane aplikacije.

Stav korisnika prema virusima je sa razlogom loš i mišljenje je da oni nastaju kao rezultat

vandalizma, odnosno zlih namjera, ali činjenica je da ih kreatori virusa smatraju

umjetničkim djelima ili su oni pak pitanje prestiža (natjecanje među kreatorima čiji će

virus biti bolji u smislu da će ga se teže otkriti, da će napraviti što više štete i da će ga se

teže ukloniti).

Osim toga postoje i takozvani „dobri virusi“ koji služe za otkrivanje nedostataka

programa koje napadaju i njihovo poboljšanje, ili pak brišu druge viruse. Takvi virusi su

rijetki i loša je njihova strana to što troše računarske resurse, ali mogu i nenamjerno

oštetiti i druge datoteke.



3.1.2.Način rada

Računarski virus se prikači nekoj datoteci (obično je to neka od izvršnih datoteka, no

može se pronaći i u drugim datotekama, posebno onima čijim se otvaranjem izvršavaju

određene skripte) te se širi njenim prenošenjem na druge računare. Računarski virusi,

poput "prirodnih" virusa, variraju u težini posljedica koje zaraženi računari trpe. Tako

posljedice variraju od bezopasnih, koje svojim aktivnostima mogu samo donekle

dosađivati korisniku (jedan od prvih virusa koji je pod tadašnjim operativnim sistemom

DOS-om izazivao je "padanje" slova s njihovih mjesta na zaslonu) pa sve do vrlo teških

posljedica (kada dolazi do oštećenja datoteka, programa pa čak i hardvera).

Što se tiče virusa kao vrste malicioznog koda valja imati na umu da se oni ne šire i ne

vrše akcije sami od sebe, već je za njihovo funkcioniranje potrebna intervencija

korisnika. To su najčešće aktivnosti pokretanja određenog programa ili otvaranje

datoteke, a korisnik ih uglavnom radi nenamjerno i bez da je svjestan da je taj program ili

datoteka zaražena virusom.

3.1.3.Širenje

Kako bi se virus mogao širiti, mora imati neku vrstu dopuštenja da izvrši svoj kod i da

može zapisivati u memoriju. Upravo iz tog razloga virusi se implementiraju u izvršne

datoteke legalnih programa. Kada korisnik pokreće određenu izvršnu datoteku, on

zapravo prvo pokreće virus, a zatim se izvršava originalna funkcija izvršne datoteke.

Virusi se mogu podijeliti na dvije glavne skupine prema tome na koji način traže

domaćina ili host program. Nerezidentni virusi traže domaćine koje mogu inficirati,

inficiraju ih i naposljetku predaju kontrolu host programu kojeg su zarazili. Rezidentni

virusi ne traže host program prilikom izvršenja. Oni se učitavaju u memoriju prilikom

izvršenja i predaje kontrolu host programu.Takvi virusi ostaju aktivni u potrazi za

slijedećim programom domaćinom.2

Nerezidentni virusi se sastoje od tragačkog dijela i dijela zaduženog za kopiranje.

Tragački dio je zadužen za pronalaženje novih host programa i on aktivira kopirajući dio

pronalaskom odgovarajuće izvršne datoteke.

Zadatak dijela za kopiranje je:




- otvoriti novu datoteku

- provjeriti je li izvršna datoteka već zaražena (ako jeste, vratiti se u tragački dio)

-kopirati kod virusa u izvršnu datoteku

-spremiti početnu točku izvršne datoteke

-promijeniti početnu točku izvršne datoteke tako da pokazuje na lokaciju novog virusnog

koda

-staru početnu lokaciju izvršne datoteke implementirati u kod virusa na način da se virus

razgrana na tu lokaciju nakon izvršenja

-spremiti promjene u izvršnoj datoteci

-zatvoriti inficiranu datoteku

-vratiti se u tragački dio i čekati pronalazak novog domaćina

Rezidentni virus sadrži također dio za kopiranje koji ima slične zadaće, ali se kopirajući

dio ne poziva iz tragačkog dijela jer kod ovih virusa on ne postoji. Umjesto toga virus

svoj dio za kopiranje smjesti u radnu memoriju kada je prvi put pokrenut i osigurava da

se taj dio za kopiranje pokrene svaki put kad operativni sistem izvrši određenu akciju. Na

taj način napadaju datoteke i šire se sistemom.Postoje dvije vrste rezidentnih virusa.

Prva je vrsta koja se brzo širi i brzo inficira i njena je svrha zaraziti što više

domaćina. Posebno se problem javlja sa ovim virusima prilikom potpunog skeniranja

sistema antivirusnim programom. Antivirusni programi provjeravaju svaku datoteku bez

znanja da je virus već učitan u memoriju i da čeka upravo to da se pristupi nekoj izvršnoj

datoteci kako bi je on inficirao, dok antivirusni program nema pojma o tome. Kod novijih

antivirusnih programa više nema tog problema jer svaki današnji antivirusni program ima

takozvani resident shield, ili rezidentnu zaštitu koja cijelo vrijeme prati memoriju i

pretražuje je u potrazi za ovakvim virusima. Ovakvi virusi uveliko usporavaju rad

sistema, ali njihovim narušavanjem konzistentnosti datoteka antivirusnim programima

lako je uočiti sumnjive akcije koje izvršavaju ovakvi virusi.

Druga vrsta ovih virusa su rezidentni virusi koji sporo inficiraju i njihova je svrha

da domaćine zaraze sporo, neredovito i rijetko. Primjer oni inficiraju datoteke prilikom

njihovog kopiranja ili slično. Njihova, recimo, prednost je u tome što je otežana njihova

detekcija od strane antivirusnih programa, ali su njihove akcije ograničene. Oni neće



značajno usporiti računr niti će aktivirati antivirusne programe koji prate sumnjive akcije

sistema.

3.1.4. Tipovi domaćina

Virusi mogu inficiraju razne vrste host programa. Neke od glavnih izvršnih datoteka su

binarne izvršne datoteke (kao što su .com datoteke ili .exe datoteke ili .elf datoteke kod

Linux operativnih sistema). Osim datoteka inficiraju i boot sektore floppy i hard-diskova,

master boot record hard-diskova, ali i datoteke za opštu uporabu kao što su grupne

datoteke kod MS Windows platforme i skripti kod Linux platforme. Još su dosta pogodni

i dokumenti koji sadrže makro naredbe poput dokumenata MS Worda, tabele u MS

Excelu i slično.

Virus mora zaraziti domaćina da bi se mogao proširiti dalje.U nekim slučajevima

zaraza domaćina može biti loša ideja.Primjer mnogi antivirusni programi provjeravaju

cjelovitost vlastitog koda.Zaraza takvih domaćina bi uveliko povećala vjerovatnost

detekcije. Iz tog razloga neki virusi su programirani tako da ne zaraze programe za koje

se zna da su dijelovi antivirusnog softvera.

Druga vrsta domaćina koje virusi izbjegavaju su mamci.Mamci(ili žrtvena janjad)

su datoteke koje su specijalno stvorene od strane antivirusnog softvera, ili od strane

antivirusnih profesionalaca, tako da mogu biti zaražene virusom. Takve datoteke mogu

biti stvorene iz mnogih razloga koji su svi povezani sa detekcijom virusa. Anti-virusni

profesionalci mogu napraviti takve datoteke da bi uzeli uzorak virusa (to jest kopiju

datoteke koja je zaražena virusom). Mnogo je praktičnije spremati i razmjenjivati malenu

zaraženu datoteku u odnosu na velike aplikacije. Takođe takvi ljudi mogu napisati

mamce da bi proučili ponašanje virusa i ocijenili metode detekcije.To se većinom koristi

kada su posrijedi polimorfni virusi.U tom slučaju virus se može navesti da inficira veliku

količinu mamaca.Inficirane datoteke koriste se da bi se vidjelo da li antivirusni softver

detektuje sve verzije virusa.Neki antivirusni programi koriste mamce kojima se pristupa

redovito. Kada dođe do promijene tih datoteka antivirusni softver upozori korisnika da se

na računaru najvjerovatnije nalazi virus.3




3.1.5. Tipovi virusa

Polimorfni virusi prilikom replikacije stvaraju potpuno funkcionalne kopije koje su u

potpunosti sposobne izvršavati sve funkcionalnosti kao i original, ali se sadržaj datoteke

na razini bitova razlikuje od kopije do kopije. Kod kreiranja kopija koristi se kriptovanje

pomoću random ključa kojim se virus zaključa kako bi onemogućio antivirusni program

da ga otkrije. Prilikom detekcije i inficiranja, odnosno kopiranja virusa na datoteku

domaćina, on se otključava sa svojim ključem i svoju kopiju zaključava ponovno random

ključem i na taj način se širi dalje osiguravajući svoju egzistenciju u sistemu.4

Boot sector virusi napadaju master boot record hard-diskailiboot sektor operativnog

sistema. Radi na način da instrukcije OS-a pronađe na tim lokacijama i premješta ih na

neko drugo mjesto na disku, a zatim svoj kod kopira na njihovo početno mjesto (boot

recorde). Kao što je već opisano kod nerezidentnih virusa, virus natjera sistem da prvo

izvrši njega, a tek nakon toga da izvršava svoje originalne akcije. Jedina je razlika što se

on infiltrira u memoriju i od tamo vrši svoje aktivnosti preslikavanja i iskorištavanja

računarskih resursa.

Makro virus je zapravo set naredbi specifičan za pojedinu aplikaciju koji se kontrolnim

procesima te aplikacije predstavlja kao sasvim legitiman i bezopasan dio koda, dok se

zapravo radi o virusu koji uzrokuje određenu štetu. Prema Američkoj agenciji za zaštitu

računara (NCSA) makro virusi čine dvije trećine od ukupnog broja virusa. Makro virusi

su nezavisni o platformi. Primjer, MS Word je ranjiv i na MS Windows i MAC OS

platformi od strane istog makro virusa. Oni inficiraju dokumente, a ne izvršne dijelove

aplikacijskog koda.Njihovo širenje je izrazito lako, a šire se najčešće putem elektronske

pošte.

Email virus se širi preko attahmenta u elektronskoj pošti i to uglavnom preko makro

naredbi u MS Word attachmentima.Korisnik prilikom otvaranja inficirane email poruke

otvara attachment koji sadrži virus i virus počinje svoje izvršavanje. Izvršavanje email

virusa se vidi kroz dvije funkcije. Prva je ta da se virus u jednakoj email poruci pošalje

svima u mailing listi korisnika koji je pokrenuo virus, ali osim toga vrši i lokalnu štetu na

korisnikovom računaru.

4Heidari, M. (2004).Malicious Codes in Depth.



Stealth virusi su skup virusa koja je dobila naziv prema predstavniku, virusu Stealth

(nevidljiv). Stealth virusi su virusi koji dok su aktivni skrivaju promjene koje su načinili

nafileovima ili boot-sektoru. To se obično postiže tako da virus napravi lažnu sliku kao

rezultat sistemskih funkcija korištenih za čitanje datoteka ili sektora s medija i onda tu

sliku prikazuje nekom programu koji pokuša očitati podatke o nekom fajlu. To znači da

prvo Stealth virus napravi i sačuva sliku s podacima originalnih datoteka koji još nisu

izmijenjeni i inficirani, nakon toga ih inficira, ali kada se pokušaju očitati podaci o

npr.veličini datoteka ovaj virus podmetne onu lažnu sliku s originalnim podacima. Zbog

toga se može dogoditi da virus ne bude detektovanod strane antivirusnog softvera.

3.2. Računarski crvi

Najvažnija razlika između virusa i računarskog crva je sposobnost samostalnog

širenja crva dakle bez pomoći korisnika. Crv koristi ranjivosti informacionog sistema i

širi se od čvora do čvora mreže, gotovo uvijek čineći štetu na zaraženom sistemu (u

najmanju ruku neovlašteno iskorištavajući mrežne resurse i smanjujući na taj način

propusnost mreže). Velika opasnost od crva dolazi zbog njihovog svojstva da se sami

mogu preslikati na mreži i na računaru. Tako se crv, nakon što zarazi jedn računar, može

preslikatina istom računaru te će s njega odaslati hiljade njegovih kopija što će u

napadnutom informacionomsistemuprouzrokovati zagušenjem mreže i smanjenjem

brzine rada sistema. Primjer ovakvog širenja je crv koji se na zaraženom računaru

preslika tako da pošalje svoje kopije na sve adrese pronađene u korisnikovom adresaru s

elektronskim adresama, a nakon toga se postupak ponavlja na svakom od računala na

koja je ovim putem stigao. Ovaj se postupak ponavlja na svakom računalu na koje crv

dolazi, što na kraju ima vrlo poražavajuće posljedice - na zaraženim računarima mogu

zauzeti veliku količinu memorije ili mrežnih resursa (uvelike smanjujući propusnost

mreže) što dovodi do toga da računari, odnosno servisi na njima, prestaju izvršavati svoje

zadatke.

Druga opasnost od crva proizlazi iz njihovog svojstva da na zaraženim računarima

otvaraju sigurnosne rupe (backdoor) te na taj način omogućuju zlonamjernoj osobi da

neovlašteno kontroliše zaražen računar preko mreže.



Crvi se sastoje od samokopirajućeg koda koji omogućava razmnožavanje i širenje crva i

tereta (payload), a teret može biti:5

- Nepostojeći / nefunkcionalan – najčešći slučaj kod većine crva je upravo ovaj,

kada ne postoji kod osim koda za širenje ili u njemu postoji nekakva greška pa

nije funkcionalan.

- Daljinska kontrola – otvara backdoor nažrtvinom računaru.

- Spam relays – dio crva Sobig kreira mail relay koji spameri mogu koristiti da bi

slali neželjenu elektronsku poštu. Većina internet providera ima sigurnosne

mehanizme koji blokiraju spam sa poznatih IP adresa, ali kod zaraze ovim crvom

spam dolazi sa svih strana i nemoguće je na taj način kontrolisti njegovo širenje.

- HTML-proxy – još jedna osobina crva Sobig je distribucija HTML-proxyja.

Preusmjerujući web zahtjeve preko mnogo proxyja web stranice sa zabranjenim

sadržajem dobivaju na vremenu jer provajderima treba puna vremena da otkriju

na kojoj se adresi web stranica fizički nalazi. Ovo se koristi za razne nelegalne

aktivnosti, uključujući prijevare sa upisivanjem financijskih podataka ili brojeva

kartica.

- Internet DOS – još jedan česti teret je Internet DOS (Denial Of Service) napad.

Code Red, Yaha i još mnogo crva sadrže DOS alate, koji su ili upereni protiv

određene stranice ili se mogu uperiti protiv bilo koga ako autor crva to zaželi.

Kada crv zarazi 100 000 ili više računara zombija moguće je nedostupnom učiniti

bilo koju stranicu, pa čak i cijeli DNS sistem.

- Skupljači podataka – većina ljudi na računaru na kojem rade imaju osjetljive

podatke poput poslovnih tajni, nacrta novih uređaja, financijskih izvještaja, itd.

Crv može pretražiti disk računara u potrazi za tim podacima i zatim ih poslati na

prije određeno mjesto.

- Brisači podataka – postoji mnogo virusa, koji sadrže kod za brisanje podataka

nakon određenog vremena. Budući da se crvi mogu širiti mnogo brže, mogli bi

početi brisati podatke odmah nakon infekcije.

- Fizička šteta – većina današnjih računara podržava nadogradnju pokretačkog

softvera, pa tako i računara imaju BIOS čip koji je moguće flashovati direktno iz

5 http://hr.wikipedia.org/wiki/Ra%C4%8Dunalni_crvi



Windowsa. Ukoliko se u flash čip upišu pogrešni podaci računar se više neće

moći pokrenuti.

Vjerojatno najpoznatiji računarski crv u ovo vrijeme je vjerovatno Conficker.

Njegova glavna funkcija je da iskorištava slabosti sistema (uglavnom Windows

platforme) kako bi pridobio administratorske lozinke ili administratorska prava koja

zatim prosljeđuje na virtualni računar kojim pak upravlja njegov kreator. Njime su

napadnuta više od sedam miliona računara, od državnih, poslovnih pa sve do kućnih

računara. Danas postoji već pet njegovih varijanti i svaka je dograđena novim

funkcionalnostima i obranama od antivirusnih softvera. Osim toga dograđene su

mogućnostima samodogradnje na sljedeću varijantu. Simptomi koji se javljaju na

zaraženom računaru očituju se kroz resetovanje postavki za korisnička prava,

onemogućeni su MS Windows servisi kao što su Automatic Updates, Background

Intelligent Transfer Service (BITS), Windows Defender i Windows Error Reporting,

onemogućen je pristup web stranicama vezanim uz antivirusne alate, i Windows update i

uklonjene su korisničke lozinke na računaru.

Računarski crv je strukturno sličan virusu, osim što računarski crv sadrži i svoj kod kojeg

izvršava, za razliku od virusa koji se infiltrira u program domaćina.

Oznaka Mehanizam infekcije Okidač Teret

Struktura računarskog crva

Oznaka sprječava pokušaje ponovnog napadanja. Znači kada je određeno mjesto u

sistemu inficirano, oznaka je promijenjena i neće doći do ponovnog napadanja sistema.

Mehanizmi infekcije pretražuju mrežu u potrazi za slabo zaštićenim računarima.

Okidač su uslovi koji moraju biti ispunjeni kako bi se isporučio teret kojeg nosi crv.

Računar mora biti pogodn u smislu slabe zaštite i detekcije računarskog crva, ali i

njegovog tereta, jer nema smisla napadati dobro zaštićen računar i izvršavati svoj kod ili

isporučivati teret onom računaru koji će to brzo detektovati i ukloniti.

Teret mogu biti virusi koji će se infiltrirati u sistem kao i trojanske konje koji će također

napraviti potrebnu štetu.



3.3. Trojanski konj

Ako nam je poznata priča o mitološkom trojanskom konju pred vratima Troje koji

je služio kako bi prevario Trojance i time ih osudio na smrt, onda nam je poznata i ideja

rada računarskog trojanskog konja.

Dakle, trojanski konj je na prvi pogled obični korisni ili zabavni program kojeg

korisnik pokrene sa svog računara, i tada se dogodi ono što korisnik nije očekivao.

Odjednom taj program ne radi baš ono što bi trebao kako piše prema njegovom nazivu ili

opisu, nego baš suprotno, on radi štetu samom korisniku. Korisnik može toga biti

svjestan, ali i ne mora. Dobro nam je poznat problem kojeg ima IM alat Windows live

messenger a koji nam šalje od naših kontakata link na neku „smiješnu“ stranicu ili na

neke zanimljive slike ili slično a zapravo se u pozadini nalazi maliciozni softver.

Nakon što uspješno zarazi računar, trojanac može obavljati razne neželjene akcije

koje variraju od bezazlenih (ali ometajućih – mijenjaju desktop računara, prikazuju razne

poruke itd.) do vrlo ozbiljnih sigurnosnih problema (primjer brisanje datoteka s

podacima, krađa podataka kao što su PIN-ovi ili lozinke koje zatim šalju nekoj drugoj

osobi, odnosno svom kreatoru), nepotrebno zauzimaju računarske resurse i na taj način ga

usporavaju, te, najpoznatije svojstvo trojanaca, da otvaraju sigurnosne rupe na

računarima time omogućujući zlonamjernoj osobi pristup zaraženom računaru i podacima

na njemu. Trojanci se, za razliku od računarskih virusa i crva, ne šire zarazom drugih

datoteka niti se samostalno ne preslikavaju.

Vrste trojanskih konja:

- Dropper služi za naseljavanje pravog računarskog virusa u napadnuti računar.

Dropper igra ulogu žrtve, namjerno omogućujući virusu da se naseli u računar.

- Backdoor je naziv za različite postupke ili programe koji omogućuju drugom

korisniku da se služi žrtvinim računarom dok je spojen na Internet, a da on to ne

zna. Uopšteno, backdoor iskorištavaju sigurnosne propuste (rupe) u računarskom

sistemu. Nerijetko se trojanac i backdoor koriste zajedno: žrtva pokrene program

za koji misli da je koristan (npr. download manager ili igra) i dok ga koristi,

trojanac ubaci backdoor u računar.

- Downloader je trojanski konj koji pristupa različitim internetskim stranicama

kako bi s njih skinuo, obično maliciozne, datoteke te ih na koncu i pokrenuo.



3.4. Rootkit

Rootkitovi su zlonamjerni programi koji su napravljeni da bi preuzeli kontrolu

nadoperativnim sistemom tako da nadomjeste sistemske procese i podatke bez dopuštenja

korisnika. Također dosta često su još i trojanski konji te tako zavaravaju korisnika da im

je sve u redu sa sistemom. Rootkitovi omogućuju neovlaštenim osobama da preuzimu

kontrolu nadsistemom. Rootkit je kolekcija od jednog ili više programskih alata,

dizajnirana u cilju prikrivenog preuzimanja kontrole nad računarom.

Inicijalno se rootkit pojavio na operativnim sistemima Unix (uključujući Linux) i bio je

kolekcija od jednog ili više alata koji su napadaču omogućavali dobivanje i zadržavanje

pristupa najprivilegiranijem korisniku računarskog sistema (na Unix sistemu taj se

korisnik naziva root, odakle ovim programima i ime). Na Windows računarskim

ssistemima naziv 'rootkit' se najčešće povezuje s alatima korištenima kako bi se neki

program ili proces sakrio od korisnika. Nakon što se instalira, rootkit u Windows sistemu

koristi funkcije operativnog sistema kako bi se prikrio, tj.kako ne bi mogao biti otkriven,

a često se koristi u cilju prikrivanja nekog drugog zlonamjernog programa (npr. keystroke

loggera).

Korištenje rootkita ne mora nužno biti zloćudno, ali se pojam rootkit sve više povezuje uz

neželjeno ponašanje računarskog sistema i zlonamjerne programe. Napadač instalira

rootkit na računaro prilikom dobivanja root-level pristupa (pristupa na razini

privilegiranog root korisničkog računa) i to iskorištavanjem poznate mu ranjivosti

sistema, odnosno slabe točke ili pak pridobivanjem lozinke za taj račun potem drugih

mehanizama. Nakon što je rootkit instaliran, napadač može pristupati cijelom računaru

nanačin da maskira svoje prisustvo i izbjegne svu potrebnu autentifikaciju i autorizaciju u

sistemu. Iako rootkit ne mora nužno biti negativan, uglavnom se smatra kao jednom vrsta

malicioznog koda iz razloga što mu je svrha sakrivanje raznih aplikacija koje koriste

računarske resurse, krađa lozinki bez znanja administratora i korisnika i slično.

Rootkit cilja firmver uređaja kao što su mrežne kartice, hard disk ili sam BOIS,

hypervisor, kernel, ali najčešće napada korisničke aplikacije i korisniče račune.

Rootkitovi često sadrže i backdoor, odnosno ulaz u sistem neovlaštenim osobama bez



znanja korisnika. Autori virusa sve češće koriste rootkitove kako bi sakrili svoje

programe od korisnika i antivirusnih programa.

Danas na Internetu postoji velik broj gotovih rootkit-ova i zato ne čudi njihova velika

upotreba. Neki nisu štetni za računar, primjeri programi za emulaciju kao Alcohol 120%

iliDaemon Tools koriste rootkitove.

3.5. Backdoor

Backdoor je program koji je instaliran od strane virusa, crva ili trojanskog konja

(bez znanja vlasnika) i koji trećim osobama omogućava nesmetan i od vlasnika

neovlašten pristup računaru. Backdoor koristi slabosti operativnog ili zaštitnih sistema

(firewalla ili antivirusnih programa). On omogućuje napadačima da zaobiđu sigurnosne

provjere sisteme bez da su se potrudili hakovatisistem. Odnosno nije potrebno tražiti

lozinke i korisnička imena, već je potrebno pronaći samo „rupu“ u sistemu.

Kao što mu i ime govori, ovaj maliciozni softver predstavlja zapravo skriveni ulaz u

sistem i koji omogućava onoj osobi koja zna za njegovo postojanje nesmetano prodiranje

u sistem i nesmetano korištenje i narušavanje bez da se prolazi kroz standardnu

sigurnosnu proceduru. Korištenjem backdoora omogućuje se pristup aplikacijama,

važnim datotekama ili je čak moguće pridobiti i razne lozinke i slična ovlaštenja.

Backdoor koriste programeri prilikom razvoja sistema sigurnosti kako bi ga isprobali i

debugovali.

Do sad se već dosta spominjao ovaj pojam backdoora kod drugih oblika malicioznog

koda, a to je iz razloga što se gotovo uvijek oni koriste u kombinaciji. Odnosno napadači

iskoriste backdoor kako bi ušli u sistem i, primjer, zaralili sistem svojim virusom. Osim u

kombinaciji sa virusom, backdoor se koristi i u kombinaciji s trojanskim konjem, crvom i

kod drugih malicioznih softvera.

Drugi naziv za backdoor je trap door, ali je značenje potpuno isto.

3.6. Spyware



Spyware predstavlja oblik malicioznog koda koji se instalira na računaržrtve te potom

šalje osjetljive podatke kreatoru (ili osobi koja je s namjerom zarazila računaržrtve).

Spyware se uglavnom instalira samostalno – korisnik ne mora vlastitom akcijom

pokrenuti instalaciju ovog oblika malicioznog softvera, ili korisnik najčešće misli da

instalira nešto drugo. Informacije koje spyware prikuplja mogu biti različitog tipa, no

najčešće se radi o osjetljivim podacima poput korisničkih imena i pripadajućih lozinki,

brojeva kreditnih kartica, e-mail adresa u knjizi kontakata u e-mail klijentu računara

korisnika, itd.

3.6.1. Nastanak

Pojam „spyware“ prvi put se spominje 1995. godine na Usenetu u poruci korisnika koji

se želio našaliti sa tadašnjim Microsoftovim poslovnim modelom.6No, tokom 2000-ih

spyware postaje sve veća prijetnja velikom broju korisnika i njihovih računara širom

svijeta.Virusi i crvi ponekad skupljaju informacije istog tipa kao i spyware, no treba

napomenuti da spyware nije samopreslikavajući oblik malicioznog softvera, dok virusi i

crvi to jesu.

3.6.2. Tipovi spywarea

Umjesto aktuelnih verzija, u poglavlju o spywareima nabrojat ćemo neke tipove

spywarea7, a uz neke navedene tipove bit će spomenute i najpopularnije verzije istih.

Adware predstavlja oblik spywarea koji prikuplja informacije o interesima korisnika, a

zatim ih bombarduje raznim oblicima propagandnih poruka koje su usko povezane sa

prikupljenim informacijama o interesima. Jedan od dosta popularnih oblika adwarea je

WhenU Save / SaveNow, koji se instalirao sa tada vrlo popularnim BS Playerom,

preglednikom multimedijalnih datoteka za Windowse iz tvrtke Webteh.

Keyboard Logger (Keylogger) je oblik malicioznog softvera koji analizira i sprema u

datoteku sve tipke natastaturi koje je korisnik koristio tokom rada na računaru, a nakon

toga ih šalje kreatoru. Ovdje se radi o softverskom obliku keyloggera, no postoje i

6http :// groups . google . com / group / rec . games . programmer / browse _ thread / thread /86 a 426 b 0147496 d 8/3 b 5 d 1936 eb 4 d 0 f 33? lnk = st & q =& rnum =8#3 b 5 d 1936 eb 4 d 0 f 33

7http :// www . ehow . com / list _6457947_ different - types - spyware . html


http://www.ehow.com/list_6457947_different-types-spyware.html

http://groups.google.com/group/rec.games.programmer/browse_thread/thread/86a426b0147496d8/3b5d1936eb4d0f33?lnk=st&q=&rnum=8#3b5d1936eb4d0f33

http://groups.google.com/group/rec.games.programmer/browse_thread/thread/86a426b0147496d8/3b5d1936eb4d0f33?lnk=st&q=&rnum=8#3b5d1936eb4d0f33


hardverski, koji se moraju najprije postaviti. Iako vjerovatno nije potrebno ni spominjati

opasnost ovog oblika spywarea – izuzetno je opasan.

Browser Hijacker je oblik spywarea koji na bilo koji način kompromituje rad web

preglednika na računaru. Primjer, popularna metoda ovog oblika spywarea je da postavi

za početnu stranicu neku lažnu stranicu punu spywarea i ostalih oblika malicioznog

softvera.Također, slično kao i adware, ovaj oblik spywarea prati korisnikove interese koje

on izražava tokom korištenja preglednika pa mu kasnije podmeće razne propagandne

poruke.

Komercijalni spyware je oblik spywarea koji je legalan u smislu da korisnik, ukoliko

želi koristiti neke od usluga kompanije, mora prihvatiti i instalirati softver koji će pratiti

njegove aktivnosti. Korisnik se obično s time mora složiti nakon čitanja licencnog

ugovora (EULA).

Dialer je oblik spywarea koji, ukoliko uspješno provede ono što je autor zamislio, može

imati veoma ozbiljne financijske posljedice za korisnika (žrtvu).Ovim oblikom spywarea

su pogođeni oni korisnici koji za pristup Internetu koriste tzv.dial-upmodeme. Kao što je

poznato, ti modemi, da bi pristupili Internetu, iskorištavaju već postojeću telefonsku

liniju na način da biraju određeni broj (iako i druge metode pristupa Internetu, poput

ADSL-a, koriste telefonsku liniju, one obično imaju i splitter, odnosno, uređaj koji jasno

dijeli propusnost linije na govorni i podatkovni dio – kod dial-up pristupa toga nema)

operatera, a zatim pristupaju Internetu. No, dialeri iskorištavaju nedostatak odvajanja

podatkovnog od govornog dijela te biraju broj neke inostrane, izrazito skupe linije

(obično linije „za odrasle“), koje se žestoko naplaćuju. Mnogi korisnici se zato nemalo

iznenade kad vide ogromne telefonske račune na kraju obračunskog perioda i bivaju

revoltirani jer smatraju da oni nisu to potrošili, pa traže pravdu tužbama telefonskih

operatera. Ali, ma kako se to činilo, gotovo se uvijek dialer instalira na računar zbog

nepažnje korisnika. Danas gotovo svi antivirusi pronalaze dialere, no, ukoliko korisnik

koristi dial-up pristup Internetu, pametno je nakon svake sesije korištenja Interneta

iskopčati modemski kabal iz telefonske utičnice i redovno kontrolisati telefonske račune.

3.6.3. Način rada



Spyware koristi razne metode kako bi se instalirao i aktivirao u računaru

korisnika.Određene varijante spywarea se instaliraju uz određeni legitimni softver

(spomenuti BS Player), najčešće u obliku dodatne alatne trake koja se prikazuje u web

pregledniku (toolbar). Druge varijante spywarea kombinuju načine pristupa trojanaca, pa

se predstavljaju da su neki drugi (obično popularni) softver, te ih na taj način korisnik

percipira kao korisne i instalira. Jedan od najčešćih problema koje iskorištava spyware su

rupe (bugovi i exploiti) u web preglednicima. Primjer, starije verzije Internet Explorera

imale su problema sa ActiveX komponentama te se spyware Internet Exploreru često

prikazivao kao sasvim legitiman softver. Korisnik je najčešće instalirao sve što mu je bilo

ponuđeno od strane Internet Explorera, smatrajući to autorizovanim i sigurnim, budući da

mu je sam preglednik to ponudio. U novijim verzijama ovog preglednika greške ovakvog

tipa su ispravljene te je i sam preglednik dosta sigurniji.

3.6.4. Razina opasnosti

Opasnost spywarea može varirati. Iako ni informacije o korisnikovim željama i

interesima nisu bezazlene i itekako zadiru u privatnost, adware, koji prikuplja ovakav tip

informacija, ipak ne predstavlja toliko veliku opasnost kao, primjer, keylogger. Stoga,

zaključak je da postoje različite razine opasnosti i da treba biti oprezan prilikom

instalacije i najbezazlenijeg dodatka za preglednik.

3.6.5. Ciljni računara i korisnici

Spyware postaje jedan od najopasnijih oblika malicioznog softvera koji je posebno

orijentisan na korisnike operativnog sistema Windows. Naime, budući da se radi o

korisnicima koji i danas, tokom pisanja ovog rada, u najvećem postotku koriste Internet

Explorer, može se reći da su oni meta spywarea. Internet Explorer je veoma integrisan u

operativni sistem Windows, pa je time i instalirani spyware u većoj mogućnosti prikupiti

podatke o korisniku i njegovom radu na računaru. Ono što se ponekad čini bezazlenom

alatnom trakom za web preglednik može potencijalno predstavljati spyware koji je u

mogućnosti napraviti velike financijske i ostale gubitke za korisnika.



3.7. Botnet

Botnet predstavlja mrežu softverskih agenata koji su instalirani na zaraženim računarima

(tzv. zombijima). On i nije samostojeći oblik malicioznog koda – botnet se zapravo

odnosi na činjenicu da je na određenom broju računara instaliran crv ili neki drugi oblik

malicioznog softvera, a koji računar pretvara u zombija, ili tzv. bota. Tako zaraženi

računari mogu izvršavati tražene akcije za onoga tko ih kontroliše.

3.7.1. Nastanak

Botnet obično nastaje zbog potencijalnih financijskih dobitaka hakera (najam zombija

drugim organizacijama od strane hakera) i povećavanja statusa – što je veći broj botova,

tj. zombija, to je veći status i slava hakera koji ih kontroliše.

3.7.2. Aktualne verzije

I ne postoje neke aktualne verzije botneta, budući da se radi o mreži povezanih računara.

Problem je u tome što je teško naći trenutan broj zaraženih računara (zombija), budući da

mnoga od njih još nisu aktivirana – haker koji ih kontroliše obično ih čuva na rezervi

kako bi ih mogao iskoristiti kada zatrebaju. No, prema Symantecu, u prvoj polovini

2006.godine u svijetu je bilo aktivno više od četiri i pol miliona aktivnih zaraženih

računara, tj. zombija.8

3.7.3. Način rada

Kao što je već spomenuto, botnet je zapravo mreža zaraženih računara koja se, na zahtjev

hakera koji ih kontroliše, mogu iskoristiti u razne svrhe. Treba napomenuti da botnet ne

mora uvijek povlačiti za sobom negativne konotacije.Naime, u distribuisanimsistemima

se obično može iskoristiti procesorska snaga velikog broja računara u plemenite svrhe

(SETI@Home, Folding@Home).

U principu, računari u botnetu se koriste najčešće za DDoS napad (DDoS – Distributed

Denial of Service), odnosno, za način napada kod kojega velik broj računara zatraži

određeni mrežni resurs (obično web stranicu), te web server ne može podnijeti toliki broj

8 http://searchsecurity.techtarget.com/definition/botnet



zahtjeva. Računari zombiji postanu zaražena budući da obično nisu adekvatno zaštićena.

Osim činjenice da je potrebno imati instaliran antivirus i firewall, potrebno ih je i

pravilno konfigurisati. Naime, poznato je da ako, primjer, firewall nije pravilno

konfigurisan, preko otvorenih portova moguće se ubaciti u žrtvin računar i instalirati

trojanca, primjer, koji će ostati tamo i čekati dok ne bude bio potreban. Zatim, kada

hakeru, odnosno, osobi koja kontroliše botnet, zaraženi računar bude bilo potrebno za

određenu aktivnost, moguće je najjedonstavnijom IRC naredbom (IRC – Internet Relay

Chat) poslati komandu za aktivaciju već otprije postojećeg trojanca. Takv zaraženi

računar može, kao što je već spomenuto, poslužiti za grupni DDoS napad, ili u svrhu

slanja spam poruka (SearchSecurity.com,).

3.7.4. Razina opasnosti

Razina opasnosti botneta može biti veoma velika. Ako zaraženi računar (zombi) sudjeluje

u slanju spam poruka, to se smatra kažnjivim djelom u mnogim državama. U svakom

slučaju, računar koje je dio botneta (ne željom korisnika), predstavlja veliki sigurnosni

problem.

3.7.5. Ciljani računari i korisnici

Kao što je već rečeno, računarisa neadekvatnom zaštitom su najčešća ciljana meta za

hakere koji žele kontroliše botnet. Stoga je potrebno redovno ažurirati sistemsa paketima

nadogradnji, antiviruse sa najnovijim definicijama, a potrebno je i kvalitetnije definisati

postavke firewall-a, te povremeno očistiti računar od nepotrebnih datoteka i spywarea

pomoću alata kao što su CCleaner, Ad-Aware, Spybot – Search and destroy, itd. Ali

najvažnije od svega – potrebno je paziti, jer ni najbolji alati za prevenciju zaraze

malicioznim softverom neće imati efekta ako korisnik ne koristi zdrav razum i oprez

prilikom korištenja računara.

4. Zaštita od malicioznog koda

U poglavlju obrane ili zaštite od malicioznog koda pokušat ćemo obraditi nekoliko

najpopularnijih sigurnosnih rješenja koje smo podijelili na 2 kategorije: besplatna i



komercijalna. Sigurnosna rješenja su tematski podijeljena na antiviruse, firewall, anti-

spyware alate te cjelovita (integrisana) rješenja, koja objedinjuju sva 3 područja.

4.1. Kako znati kada je računar zaražen?

Simptome koji definišu zaraženost računara nije lako apsolutno definisati, budući da

simptomi jednostavno zavise o vrsti i prirodi djelovanja malicioznog softvera kojim je

računarzaraženo.Ali postoje neki uobičajene situacije kod kojih je lako prepoznati da se

radi o problemu infekcije računara sa malicioznim softverom. Kod najozbiljnijih

slučajeva malicioznog softvera, korisnik najčešće nije u mogućnosti niti koristiti računar.

Jednostavno, maliciozni softver napravi takvu štetu naoperativnom sistemu da se dotični

ne želi podići sa hard diska, pa je rješenje za ovakve situacije – reinstall operativnog

sistema. Ponekad je moguće upaliti računar i operativni sistem se podigne, ali nije se

moguće prijaviti (logovati) u sistem. Jedan od autora ovog rada imao je sličan problem, i

radilo se o trojancu (Vundo).

U najvećem broju slučajeva inficirani računar se najčešće jako uspori, što imalo iskusniji

korisnici lako primjećuju. Vrijeme pokretanja aplikacija se značajno usporilo, brzina

učitavanja web stranica također, vrijeme pokretanja računara, vrijeme gašenja računara...

Sve su to simptomi koji mogu ukazivati na činjenicu da se radi o zarazi. Naravno, uslijed

velikog broja instalacija i velikog broja pokrenutih programa operativni sistem se i

prirodno uspori, ali kod modernijih operativnh sistema (Windows 7) je situacija znatno

popravljena, tako da računar nije strašno usporeno nakon nekoliko mjeseci korištenja i

nakon većeg broja instaliranih aplikacija.

Još jedan od mogućih simptoma je i čudno ponašanje računara. Primjer, operativni sistem

ne odgovara na naredbe korisnika, pokrete miša, pritiske tipki na tastaturi, instaliran je

softver koji korisnik nikad nije instalirao niti zna o čemu se radi, računar se samo od sebe

ugasi, itd. I ovo su simptomi moguće zaraze računara.

Ukoliko korisnik uoči bilo koji od navedenih simptoma, trebao bi posumnjati u

postojanje zaraze, ma koliko smatrao u nemogućnost postojanja takvog slučaja (često

neiskusni, a pogotovo iskusni korisnici smatraju da se to njima ne može dogoditi). Kod

zaštite od malicioznog softvera, vrijedi poslovica „bolje spriječiti nego liječiti“. Nažalost,

kada je računar zaražen, mnogo je teže vratiti ga u prijašnje stanje nego uopšte spriječiti



zarazu. Primjer, poznato je da je Avast! antivirusno rješenje mnogo bolje po pitanju

prevencije nego kod čišćenja računara od virusa.

4.2. Komercijalna ili besplatna sigurnosna rješenja – šta koristiti za zaštitu?

Kod preporuke da li koristiti besplatna ili komercijalna sigurnosna rješenja, treba

znati da postoje firme koje proizvode komercijalna sigurnosna rješenja, a obično postoji i

besplatna varijanta istog softvera. Stoga, vjerovatno je jasno koje je sigurnosno rješenje

bolje kada se radi o rješenju koje ima i plaćenu i besplatnu varijantu.

Mnogi smatraju da nema potrebe za plaćanjem antivirusa9 i ostalih sigurnosnih rješenja,

kad se može pronaći zadovoljavajuća zaštita besplatno. Drugi pak smatraju da,

jednostavno, besplatni antivirusi nikada neće biti toliko dobri kao njihove plaćene verzije.

I jedni i drugi su u pravu. U današnje vrijeme zaista postoje kvalitetni, a besplatni

antivirusi, koji mogu stati rame uz rame sa komercijalnim verzijama antivirusa

konkurentskih firmi. S druge strane, istina je i da ipak nikad besplatne verzije rješenja

neće dostići razinu heuristike i kvalitetu rezidentne zaštite od komercijalnih verzija.

Jednostavno, programeri i sigurnosni stručnjaci ulažu veći trud u razvoj komercijalne

verzije iz očitih razloga, a zatim okljaštre komercijalnu verziju i postave jena tržište

zajedno sa komercijalnom. Postoje i drugačiji pristupi. Primjer, trial verzije

omogućavakorisniku isprobavanje pune komercijalne verzije tokom određenog

vremenskog perioda, kako bi se korisniku ukazalo na kvalitet rješenja, a zatim, nakon tog

razdoblja, može odlučiti hoće li kupiti i nastaviti koristiti antivirus, ili će ostati na

besplatnoj verziji tog rješenja (ako ista postoji).

Zaključak bi bio da bi bilo dobro, ukoliko je korisnik u mogućnosti, kupiti neko

komercijalno sigurnosno rješenje. Iako je već spomenuto da besplatna sigurnosna rješenja

mogu parirati komercijalnim u nekim svojim mogućnostima i pružati donekle

zadovoljavajućinivo zaštite, ipak bi bilo dobro jednom godišnje izdvojiti ne preveliku

svotu novca na licencu za korištenje antivirusnog rješenja.

U nastavku slijedi opis nekoliko najpopularnijih antivirusnih rješenja. Za opise smo

koristili časopis web izdanje časopisa PC World, budući da smo tamo našli najkvalitetnije 9 Zbog jednostavnosti, u radu će ponekad, kada se bude mislilo i na cjelovita sigurnosna rješenja, pisati „antivirus“. Naime, moţe se smatrati da antivirusi postoje na trţištu u više razina (free, premium, full suite), gdje se „free“ varijanta, naravno, odnosi na besplatno izdanje, „premium“ varijanta obično sadrţi antivirus + vatrozid, dok „full“ ili „full suite“ obično sadrţi antivirus, vatrozid, anti-spyware, itd.



recenzije (najopsežnija testiranja) najnovijih i najpopularnijih antivirusa. Najprije ćemo

se fokusirati na besplatna sigurnosna rješenja (konkretnije, njih 5 najpopularnijih), a

zatim na 5 najpopularnijih komercijalnih rješenja, po izboru časopisa PC World.10

4.3. Besplatna sigurnosna rješenja

Za testove korištenja besplatnih sigurnosnih rješenja koristili smo, kao što je već rečeno,

časopis PC World.Ovdje se radi o godišnjem izboru najboljih besplatnih sigurnosnih

rješenja.11

Avast! Free Antivirus predstavlja najnovije besplatno izdanje Avastova antivirusa.

Potpuno redizajniranizgled jedan je od noviteta kojeg će primjetiti svaki korisnik.

Izgledsa sivo-narančastim nijansama zamijenile su dotadašnje blijedo srebrniizgled i

mora se priznati da je sada vizualni dojam daleko bolji. Ali, naravno, to nije razlog zbog

kojeg antivirus postoji.Što se tiče razine detekcije, kod tradicionalnog skeniranja

malicioznog softvera (firma AV-Test i PC World), Avast je uspješno detektovao 94.8%

uzoraka, što ga smješta negdje u prosjek. S druge strane, Avast je postigao izvanredan

uspjeh na području prepoznavanja sigurnih datoteka – niti jednu postavljenu datoteku nije

pogrešno detektovao kao malicioznu, što je inače mana komercijalnih antivirusa. Test

blokiranja stvarnog malicioznog softvera Avast je odradio prosječno (nešto više od 75%

uspješno blokiranih napada). Brzina skeniranja je također veoma zadovoljavajuća (4.5

GB podataka je skenirao u 90 sekundi), dok je konkurentska Avira najbolja sa 3 sekunde

kraćim skeniranjem. Jedna od najjačih Avastovih strana je njegov utjecaj na performanse

računara, koji je izuzetno malen. Testni računar je pokrenulo operativni sistemsa

instaliranim Avastom tek 4.5 sekundi sporije nego bez instaliranog antivirusa uopšte. To

je otprilike prosječno vrijeme koje instalacija besplatnih antivirusnih rješenja dodaje na

vrijeme podizanja sistema, što je jedan od razloga zašto bi o Avastu trebali razmisliti

korisnici koji imaju nešto slabije računare. Za razliku od svih ostalih besplatnih

sigurnosnih rješenja, korisnička podrška Avasta se ne svodi samo na kakvu-takvu online

podršku (forumi, e-mail). Korisnici zaista mogu razgovarati telefonskim putem sa

operaterom koji je spreman pomoći. Ne znamo kakva je situacija kod nas u BiH, ali u 10Izabrali smo ovaj časopis i zbog činjenice da je kod recenzija koristio i referentne testove sigurnosne kompanije AV-Test – dosta popularne sigurnosne kompanije.

11 http://www.pcworld.com/reviews/collection/5928/2011_free_av.html



SAD-u ta pomoć, prema PC Worldu, funkcioniše. Zaista, tako kvalitetna tehnička

podrška za besplatni antivirus ili za bilo koji besplatni program je zaista rijetkost. Što na

kraju reći, osim da je Avast Free Antivirus jedno zaista zaokruženo besplatno sigurnosno

rješenje koje možda i nije najbolje u razini detekcije i brzini skeniranja, ali lakoća

korištenja, gotovo neprimjetan utrošak hardverskih resursa i kvalitetna tehnička podrška,

pa čak i vizualni dojam, svrstavaju Avast u sam vrh ponude novih besplatnih antivirusa.

Avira AntiVir Personal Free AntiVirusje najnoviji besplatni antivirusni proizvod

njemačke firme Avira.izgled u najnovijoj verziji ostaje isto kao i u prethodnim verzijama.

Iako prokušano i poznato iskusnijim korisnicima, novim korisnicima možda će neki

segmenti izgleda biti neprivlačni i strani, budući da se obično radi o buttonima, pa je

potrebno na nekoliko sekundi zadržati pokazivač miša kako bi se saznalo za koju

funkciju je zadužen koji button. Što se tiče razine detekcije, AntiVir je prepoznao čak

99% uzoraka unutar standardnog seta uzoraka za testiranje, što je uvjerljivo najbolji

rezultat kod besplatnih antivirusa. Što se tiče brzine detekcije, ovdje je također AntiVir

najbrži – 87 sekundi mu je bilo potrebno za skeniranje 4.5 GB podataka.S druge strane,

AntiVir je čak 6 datoteka krivo prepoznao, svrstavši ih kao maliciozne, dok je bilo riječ o

legitimnim datotekama. Test blokiranja stvarnog malicioznog softvera AntiVir je obavio

iznadprosječno, sa 80% uspješno blokiranih napada. Brzina podizanja

sistemasainstaliranim AntiVirom je impresivna – naime, vrijeme podizanja sistema

povećalo se za mizernih 2.5 sekundi, što je vrhunski rezultat. Mada ova činjenica i nije

toliko revolucionarna za krajnjeg korisnika, dobro govori o tome koliko su se programeri

trudili učiniti ovaj proizvod praktički nevidljivim za korisnika, u smislu da ne usporava

sistem. Avira AntiVir Personal Free Antivirus 10 vrhunski je besplatni antivirus koji

svojim mogućnostima detekcije i brzine skeniranja, kao i malom hardverskom gladi,

nikoga ne ostavlja ravnodušnim. Eventualno se može prigovoriti naizgled, koje bi možda

moglo biti poboljšano u sljedećim verzijama ovog sjajnog antivirusnog rješenja.

Microsoft Security Essentials predstavlja prvu punu verziju ovog antivirusnog rješenja

od Microsofta. Prilikom instalacije, ovo rješenje provjerava legitimitet instalacije

Windowsa, odnosno, provjerava je li Windows legalan ili nije. Ukoliko nije, MSE se

neće instalirati.Izgled je dosta jednostavno i funkcionalno, što i dolikuje jednom

antivirusu. Navigacija se svodi na 4 taba (Home, Update, History, Settings), a svaki od



tabova sadrži i dodatne opcije. Razina detekcije MSE-a i nije impresivna. Uspješno je

detektirao samo 92.7% uzoraka (AntiVir je, za usporedbu, detektirao čak 99%

uzoraka).Samo skeniranje je veoma, veoma sporo.Za 4.5 GB podataka MSE je potrošio

čak 204 sekunde (AntiVir 87 sekundi), što je definitivno previše. Test blokiranja stvarnog

malicioznog softvera MSE je položio sa oko 65%. S druge strane, MSE je dodao samo 1

sekundu na vrijeme pokretanja operativnog sistema, a i uopšteno je imao jako malo

utjecaja na performanse sistema. Ali, eto, to je možda i najjača strana ovog sigurnosnog

rješenja. Ipak, treba uzeti u obzir relativnu mladost ovog antivirusa, tako da još postoji

mjesta za poboljšanja. Microsoft takođe najavljuje da će u sljedećim nadogradnjama

poboljšati mogućnosti ovog antivirusa.

Panda Cloud Antivirusje predstavnik nove generacije antivirusnog softvera.Opšte je

poznato da se antivirusi redovito nadograđuju pomoću tzv.antivirusnih definicija. Na taj

način antivirusi prate stanje i zapravo ostaju korisni u svakom trenutku.Zato je vrlo bitno

nadograđivati definicije antivirusa.Ali, Panda Cloud Antivirus koristi jedan drugačiji

koncept. Naime, osnovni princip rada ovog antivirusa je korištenje koncepta cloud

računarstva, ili računarstva u oblacima. To se kod ovog antivirusa manifestuje u činjenici

da ne treba svakodnevno prolaziti kroz proces downloadanja i instaliranja antivirusnih

definicija, već je cijeli antivirus u oblaku, dakle na Internetu, pa istog trenutka može

povući najnovije definicije sa servera sa definicijama. Genijalan koncept, koji će svakako

zaživjeti u budućnosti! Kvaliteta ovakvog načina rada se vidi i na djelu – Panda Cloud

Antivirus uspješno je detektovao čak 99.8% uzoraka malicioznog softvera! Ipak, u nekim

drugim testovima Panda i nije baš bila uspješna (primjer, test blokiranja stvarnog

malicioznog softvera – mada je Panda rekla da će i to poboljšati u sljedećim verzijama).

Iako detekcija izgleda fascinantno, brzina skeniranja je najlošija na testu besplatnih

antivirusa – 4.5 GB podataka skenirano je za čak 338 sekundi! Panda Cloud Antivirus

dosta utiče na performanse sistema – prilikom podizanja sistema sa instaliranom Pandom

dodano je 11, a kod gašenja sistema čak 17 sekundi. Iako Panda Cloud Antivirus možda i

nije trenutno najbolje rješenje, očekujemo sljedeće verzije i smatramo da je korištenje

clouda budućnost antivirusa.

Iako se ne bi dalo zaključiti po imenu, Comodo Internet Security Premium je besplatan

softver. Jedini je od testiranih besplatnih antivirusa koji sadrži i firewall. Inače, Comodo



je isprva i stekao popularnost svojim kvalitetnim firewall-om. Što se tiče testiranog

sigurnosnog rješenja, krenimo odizgleda. Dizajnirano je lijepo, moderno, odiše bojama

koje imaju i funkciju (zeleno znači da je dobro, žuto da ima nekih problema, crveno da su

ti problemi kritični). Ipak, ima svojih problema. Primjer, kod skeniranja računara nema

nekog indikatora koji bi pokazao trenutni status skeniranja. Comodo je detektovao 92.4%

uzoraka iz standardnog, već spomenutog seta uzoraka.Nije prepoznao lažne viruse, tj.6

datoteka je prepoznao kao potencijalno opasne, dok one to nisu bile.Što se tiče blokiranja

stvarnog malicioznog softvera, tu je Comodo briljirao – čak 96% uspješnih

blokiranja.Brzina skeniranja je prosječna (4.5 GB podataka Comodo je skenirao za 129

sekundi). Još jedna pozitivna osobina Comodo Internet Security Premiuma je da gotovo

da i ne utiče na performanse sistema. Samo 1 sekunda dodana je na vrijeme podizanja

sistema u odnosu na vrijeme podizanja sistema sa neinstaliranim antivirusom. Comodo

Internet Security ima potencijala (dobra detekcija i blokiranje stvarnih napada, nema

uticaja na performanse sistema, ugrađeni firewall, funkcionalno i vizualno privlačno

okruženje), ali ipak su potrebna određena poboljšanja kako bi Comodo Internet Security

postao sistem koji se nekome može preporučiti.

4.4. Komercijalna sigurnosna rješenja

Za testove korištenja komercijalnih sigurnosnih rješenja koristili smo također časopis PC

World.U ovom slučaju radi se o godišnjem izboru najboljih komercijalnih antivirusnih

rješenja.12

Norton Antivirus 2011 je najnovije sigurnosno rješenje firme Symantec.Inače, Norton

Antivirus do prije nekoliko godina glasio je kao vrlo sporo i nametljivo sigurnosno

rješenje, koje je često znalo veoma usporiti rad računara i sistema.Ali, u nekoliko

posljednjih verzija programeri su se stvarno potrudili te sada Norton spada u sam vrh

komercijalnih antivirusnih rješenja. Izgledna ovom antivirusu je vrhunsko. Postoji

nekoliko prekidača (on/off) za razne funkcije, a na dnu nalazi se mapa svijeta koja

grafički prikazuje aktivnost cyber-kriminala u posljednjih 24 sata. Kod detekcije je

12 http://www.pcworld.com/reviews/collection/5927/2011_paid_av.html



Norton također pokazao svoje kvalitete. 98.7% uspješno pronađenih uzoraka dokaz su toj

tvrdnji. 96% uspješno blokiranih napada stvarnog malicioznog softvera također je

podatak koji ide u prilog Nortonu.Ipak, brzina je i dalje ono što djelomično muči

Nortona. 4.5 GB je Norton skenirao u 272 sekunde, što nije malo, uzevši u obzir

besplatnu Aviru koja istu stvar radi u 87 sekundi. Ipak, ostale osobine čine Nortonom

jednim od najboljih, ako ne i najboljim komercijalnim antivirusom današnjice.

BitDefender Antivirus Pro 2011 je najnovija verzija komercijalnog antivirusa firme

BitDefender.BitDefender ima zanimljivo riješeno vizuelnog izgleda. Naime, moguće je

odabrati jednu od tri verzije igleda (Basic, Intermediate, Advanced). Svaka verzije igleda

sadrži različiti broj opcija za korisnika.Dok je Basic opcija namijenjena neiskusnijim

korisnicima i sadrži krajnje pojednostavljene opcije (moglo bi se reći – ono najvažnije),

Intermediate i Advanced su namijenjeni iskusnim korisnicima.Advanced opcija sadrži

nepregledno mnoštvo tabova i podtabova, tako da se teško snaći.Ali, iskusniji korisnici

koji žele upravljati apsolutno svakim segmentom rada ovog antivirusa doći će na svoje.

Performanse ovog antivirusa su iznadprosječne. 97.5% uspješno prepoznatih uzoraka iz

standardnog seta uzoraka, kao i činjenica da je uspješno uklonio sve infekcije u 70%

slučajeva svrstavaju ovaj proizvod u sam vrh antivirusnih programa. S druge pak strane,

poziciju na vrhu može kompromitovati činjenica da je uspješno blokirao samo 68%

napada stvarnog malicioznog softvera. Također, niti jednu datoteku nije krivo prepoznao,

u smislu da ju je zamijenio za neki oblik malicioznog koda.Trajanje skeniranja je

prosječno – oko 120 sekundi trajalo je skeniranje 4.5 GB podataka. Što se tiče uticaja na

performanse računara, BitDefender se i ovdje iskazao. Na vrijeme pokretanja sistema

dodano je tek 6 sekundi u odnosu nasistem sa neinstaliranim antivirusom. Iako

BitDefender Antivirus Pro 2011 ima nekoliko loših strana (relativno loša odbrana od

stvarnih prijetnji, vrijeme skeniranja je moglo biti i kraće), ipak se radi o zaokruženom

proizvodu čije će mogućnosti znati cijeniti i korisnici sa manje pozamašnim iskustvom,

zbog složenostiizgleda.

Avast Pro Antiviruspredstavlja plaćenu, komercijalnu verziju u odnosu na besplatni

Avast. Izgled je više-manje identično onome iz besplatne verzije, dok i dalje ima nekih

stvari koje bi trebalo poboljšati. Primjer, ukoliko skeniranjem pronađe opasnost, Avast

nigdje ne nudi objašnjenje pronađenog ili razlog zašto je opasno to što je pronađeno. Iako



sadrži mnogo opcija, te iste opcije bi mogle biti i malo bolje objašnjene. Također, nema

ni opcije koja će definisati što će se dogoditi nakon što skeniranje pronađe opasnost.

Avast je uspješno detektovao 94.8% uzoraka iz već više puta spomenutog seta uzoraka,

što je dobar način za analizu kvalitete prepoznavanja već postojećeg malicioznog softvera

od strane antivirusa. Što se tiče nepoznatog malwarea, Avast je uspješno blokirao 80%

napada iz stvarnog svijeta.Jedna stvar ističe Avast posebnim – boot skener. Ovaj skener

će pokuštati pronaći bilo koji oblik malicioznog softvera prije pokretanja operativnog

sistema. Prema Avastu, ovaj način omogućuje detektovanje i uklanjanje malicioznog

softvera prije nego što je učinio bilo kakvu štetu operativnog sistema. Avast je takođe i

brz – 90 sekundi za 4.5 GB je impresivan podatak. Kao i njegov besplatni brat, Avast Pro

takođenema prevelikog uticaja na performanse računara. Lakoća korištenja i brzina su

aduti koji krase ovaj komercijalni proizvod.

G-Data Antivirus 2011 je najnoviji produkt firme G-Data.Izgled ovog antivirusa je

pomalo neuobičajeno, budući da nigdje ne postoji indikator koji bi ukazao na status

trenutne razine zaštite. Također, radi se o njemačkom proizvodu, čiji prijevod na engleski

je mogao biti i bolje izveden. Ipak, G-Data Antivirus 2011 uspješno je detektovao čak

99.4% uzoraka iz seta uzoraka, dok se uspješno obranio od 84% napada stvarnog

malicioznog softvera. Uspješno je detektovao svaku zaraženu datoteku, a uspio ih je

očistiti u 80% slučajeva. Također, nije pogrešno detektovao niti jednu datoteku niti je

označio kao maliciozni softver, a da je bilo riječ o bezopasnoj.Brzina skeniranja je takođe

vrlo dobra – 4.5 GB podataka za 111 sekundi. Dodao je tek manje od sekunde na vrijeme

pokretanja operativnog sistema. Iako ima nekih problema saizgledom, sve pozitivne

osobine čine G-Data Antivirus možda i najjačim komercijalnim antivirusnim rješenjem.

Kaspersky Anti-Virus 2011 je poznato rusko sigurnosno rješenje. Vrlo dobro razrađeno

okruženje osobina je ovog rješenja. Čistoća, lakoća korištenja i kompletnost su samo

neke osobine ovog okruženja. Ima i zanimljivu mogućnost povlačenja datoteke u

predviđeno mjesto nameniju (hot spot), gdje korisnik može dovući sumnjivu datoteku, a

Kaspersky će ju odmah početi skenirati. Detektovao je 95.7% prijetnji iz standardnog

testa uzoraka, dok je uspješno blokirao čak 88% prijetnji od strane stvarnog malicioznog

softvera. 1 minutu i 40 sekundi (100 sekundi sveukupno) trajalo je vrijeme skeniranja, što

je nešto kraće od prosjeka. Ipak, Kaspersky ima golemu lošu stranu. Naime, njegov



utjecaj na performanse sistema je mnogo veći od ostalih antivirusnih proizvoda. 14

sekundi dodano je na vrijeme pokretanja. Također, vrijeme kopiranja unutar operativnog

sistema i ostale zadaće dosta su usporene. Da nema tih problema, Kaspersky bi možda

bio proglašen i najboljim antivirusnim rješenjem uopšte.

4.5. Preporuka antivirusa od strane autora

Na temelju testiranja PC Worlda, ako se korisnik odluči za besplatnu varijantu,

definitivno bismo preporučili Avasta ili Aviru AntiVir. Oba rješenja su podjednako

kvalitetna (mada je Avira nešto brža), dok je Avast ipak možda, globalno gledajući, bolji,

budući da nudi besplatnu korisničku podršku.

Što se, pak, tiče komercijalnih antivirusa, pobjedu odnosi Norton, mada bismo itekako

preporučili i G-Data Antivirus 2011. G-Data se pokazao vrlo uspješnim u mnogim

segemntima testiranja, ali ipak bismo rekli da je Norton možda zaokruženiji proizvod.

Zapravo, korisnik neće pogriješiti ako kupi bilo koji od testiranih plaćenih antivirusa,

budući da su svi vrlo kvalitetni.

5. Zaključak

Tokom pisanja ovog rada zaista smo naučili mnogo o vrstama malicioznog koda i o

načinima njihovog djelovanja.Također smo ostali iznenađeni činjenicom koliko je sve to

skupa naraslo – nekad se govorilo uglavnom o virusima, dok su sad virusi samo djelić

djelića malicioznog koda.

Što se tiče testiranja antivirusa, iako smo planirali testirati antiviruse na svoju ruku, ipak

smo se odlučili na nešto lakšu varijantu. Razlozi su brojni. Testiranje na vlastitom

računaru bi uzelo previše vremena, kojeg uvijek fali. Drugi razlog je i način testiranja

komercijalnih antivirusa. Budući da je kupovina licence za svaki od testiranih rješenja

financijski neisplativa, ostali bismo osuđeni na trial verzije pojedinih rješenja. Ali, kako

se često zna dogoditi da trial verzije nisu dostojne svojih punih verzija, odlučili smo se za

ovu soluciju.



6. Literatura

- Vukušić, M. (2005). Virusi u izvršnim datotekama.Zavod za primijenjenu matematiku,

FER Zagreb.Dostupno 14.11.2011.na

http://web.zpr.fer.hr/ergonomija/2005/vukusic/virusi.pdf

- Heidari, M. (2004). Malicious Codes in Depth.Dostupno

14.11.2011.nahttp://target0.be/madchat/vxdevl/papers/avers/Mal_Codes_in_Depth.pdf

- http://www.nod32.com.hr/eset2009/ThreatCenter/Vrsteopasnosti/tabid/1915/language/en-

US/Default.aspx#ro

- Scott Yoder (2010). Different Types of Spyware.Dostupno

15.11.2011.nahttp://www.ehow.com/list_6457947_different-types-spyware.html


http://www.ehow.com/list_6457947_different-types-spyware.html

http://www.nod32.com.hr/eset2009/ThreatCenter/Vrsteopasnosti/tabid/1915/language/en-US/Default.aspx#ro

http://www.nod32.com.hr/eset2009/ThreatCenter/Vrsteopasnosti/tabid/1915/language/en-US/Default.aspx#ro

http://target0.be/madchat/vxdevl/papers/avers/Mal_Codes_in_Depth.pdf

http://web.zpr.fer.hr/ergonomija/2005/vukusic/virusi.pdf


-SearchSecurity.com (2008.). Botnet.Dostupno

15.11.2011.nahttp://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci1030284,00.html.

- Mediati, N. (2010.). Top 5 Free Antivirus for 2011. PC World. Dostupno

15.11.2011.nahttp://www.pcworld.com/reviews/collection/5928/2011_free_av.html

-Mediati, N. (2010.). Top 5 Paid Antivirus for 2011. PC World. Dostupno

15.11.2011.nahttp://www.pcworld.com/reviews/collection/5927/2011_paid_av.html


http://www.pcworld.com/reviews/collection/5928/2011_free_av.html

http://searchsecurity.techtarget.com/sDefinition/0,,sid14_gci1030284,00.html

maliciozni softver - detekcija i odbrana

Documents