zastita tutorijal by sunnis

[es] - FAQ - virusi, antivirusi - Zatita od virusa i spywarea - OBAVEZNO ZA POETNIKE

02.11.2005 00:21:47file://localhost/C:/Documents%20and%20Settings/Marko%20Vasic/My%20Documents/FAQ%20-%20virusi_%20antivirus...

Naslovna Pomo FAQ Pravilnik O ES-u ES tim Lista korisnika @elitesecurity.org eMail Sponzor:Logo design

via: WWW :: WAP :: EMAIL :: NEWS :: RSS

Ulogovani ste. Username: Gile Logout

Moj Profil Izmena Profila Markirane teme Privatne poruke (0) ES-mods

Pretraga : Google-ES Celog sajta Ovog foruma

Vaa reklama ovde? Kontaktirajte nas..

ES Flashback:

Aktuelne teme u ovom forumu:

Izaberite forum:

Lista poslednjih..

Zatvaranje/otvaranje teme Premetanje teme Top/Untop

[es] :: Microsoft sigurnost :: FAQ - virusi, antivirusi - Zatita od virusa i spywarea - OBAVEZNO ZAPOETNIKE(Zakljuana tema (lock), by Shadowed) (TOP topic, by Shadowed)

[ Pregleda: 12875 | Odgovora: 18 ][ Html / Print / Txt / GZip-Txt ]

[ Praenje teme putem email-a ]Postavi temu Odgovori

Autor Markiraj temu >

SundancePuno ime: John Uskglasslan broj: 7510Poruke: 2561Lokacija: One MicrosoftWay,Redmond*.globalnet.hrOS: WINDOWS XP

ICQ: 106979934

Profil Email Privatna Poruka

FAQ - virusi, antivirusi - Zatita od virusa i spywarea - OBAVEZNO ZA POETNIKE 23.08.2003. u 23:26

OBJANJENJA OSNOVNIH POJMOVA BY SUNDANCE A.K.A SUNNIS

-opisi virusa su preuzeti iz maturalnog rada Mladena Jovanovia - Izrada .COM virusa i antivirusa

1 KOMPJUTORSKI VIRUSI

1.1 TO JE TO VIRUS?

Za definiciju virusa najbolje je uzeti onu dr. Fredericka Cohena po kojoj virus predstavlja program kojimoe inficirati druge programe, modificirajui ih tako da ukljue kopiju njega samoga, koja takoer moebiti modificirana. Pod infekcijom se ovdje misli na mogunost virusa da ubaci svoje izvrenje u postupakizvoenja programa.

Ova definicija kljuna je za odreivanje virusa jer ne smatramo svaki maliciozni program virusom, drugimrijeima nije svaki destruktivni program virus, jer bi u tom sluaju i program Format bio virus. Strukturavirusa moe se najlake podijeliti na tri komponente, od koje virus mora obavezno imati samo prvu.

Prva komponenta predstavlja mogunost infekcije. Dakle nije nuno da virus radi bilo kakvu tetu naraunalu, sama injenica da se iri infekcijom dovoljna je da ga se okarakterizira kao virus.

Drugi dio virusa, koji nije obavezan, predstavlja nosivu komponentu. Taj dio definira sve aktivnosti kojee biti izvedene uz njegovo irenje.

Trei dio predstavlja funkcija za okidanje koja definira vrijeme ili dogaaj prilikom kojeg e biti izvrenanosiva komponenta virusa.

Zlonamjerno napisani kompjutorski program ili dijelovi programskog koda nazivaju se raznim imenima.To su crvi (worm), trojanski konji (trojan horse), logike bombe (logic bomb), zamke (trap-door) inaravno virusi.

1.1.1 Crv je program koji se iri samoumnoavanjem kroz kompjuterske mree. Crv je samostalan i zarazliku od virusa ne treba program domain da bi radio. Takoer, crva u pogon puta i kontrolira samautor.

1.1.2 Logika bomba je metoda aktivacije procesa temeljem zadovoljavanja logikog uvjeta-postojanjaili nepostojanja nekog podatka, protoka, odreenog vremena ili u odreeno vrijeme i sl. Logika bomba ustvari predstavlja princip djelovanja, a ne cjelovit mehanizam. Logike bombe su esto sastavni diomnogih kompjutorskih virusa.

1.1.3 Trojanski konj je program koji naizgled slui za neku drugu operaciju od one za koju jenapravljen. Trojanski konj bi recimo bio program koji izgleda kao tekst procesor, a zapravo jednompokrenut formatira hard disk. Mnogi autori virusa koriste trojanske konje kako bi olakali razmnoavanjesvojim mezimcima.



1.1.4 Zamka predstavlja posebnu nedokumentiranu funkciju programa koja se moe pokrenuti naunaprijed odreen nain. Programeri koji piu razliite programe esto znaju predvidjeti posebnu lozinkuili sekvencu znakova koja jednom utipkana omoguava dostup do inae nevidljivih funkcija programa.

1.1.5 Njegovo velianstvo virus je dio programskog koda koji je sposoban izvriti samokopiranje(infekciju) dodavanjem svog sadraja u druge programe ili dijelove operativnog sistema. Kao to se moeprimijetiti postoji velika slinost izmeu kompjutorskih i biolokih virusa.

Virus se obino sastoji od dva dijela. Prvi dio je samokopirajui kod, koji omoguava razmnoavanjevirusa, a drugi je dio korisni teret (payload) koji moe biti bezopasan (benigan) ili opasan (destruktivan,maligan). Neki se virusi sastoje iskljuivo od samokopirajueg koda i nemaju nikakav korisni teret.

Iako virus u promet najee puta sam autor, kontrola nad razmnoavanjem osloboenog virusa nijeu rukama autora.

1.2 POVIJEST VIRUSA

ezdesetih i sedamdesetih godina, jo u vrijeme velikih mainframe raunala, postojao je fenomen zvanzec (rabbit). Zec je najee nastajao sluajem ili grekom kada je pomahnitali kompjuterski programpoeo sam sebe kopirati po sistemu, izazivajui usporenje ili pad sistema. No nisu svi zeevi nastalisluajno.

Prvi pravi predak dananjih virusa - Prevading animal (proimajua zvijer) bio je program sposoban da senadodaje na druge kompjutorske programe na UNIVAC 1108 kompjuterskom sistemu, a napadnutiprogrami su ak bili oznaeni posebnom signaturom u svrhu samoprepoznavanja.

Prvi potvren nalaz kompjuterskog virusa daleke 1981. godine bio je Elk Cloner - virus koji je inficiraoBOOT sektor disketa za legendarni Apple II kompjuter.

U studenom 1983. Len Adleman prvi put u povijesti upotrebio rije virus opisujui samokopirajui kod.

Prijelomna je i 1986. godina kada se pojavljuje kompjuterski virus Brain (mozak). Ovaj virus, sposobaninficirati BOOT sektore 360 KB disketa IBM PC kompjutera brzo je osvojio svijet. Na svu sreu, virus nijebio destruktivan, nego je u sebi samo nosio podatke o autorima.

Nakon toga stvari kreu bre. Pojavljuje se kompjuterski virus Jerusalem (1988.) koji je brisao svepokrenute programe, te prvi pravi destruktivac Virus Datacrime (1989.) koji je bio sposoban izvriti low-level format nulte staze na disku.

1989. aktivirana je tvornica virusa u Bugarskoj. Izvjesna osoba (ili skupina) koja sebe naziva DarkAvenger (Crni osvetnik) do danas je napisala najmanje 50-tak virusa ukljuujui neke od najpoznatijihkao to su New Zeland i Michelangelo.

1.3 VRSTE VIRUSA

Kompjutorski virusi mogu se podijeliti na est vrsta:

boot sektor viruse

parazitske viruse

svestrane (multipartite) viruse

viruse pratioce (companion)

link viruse

makro viruse

Ova podjela prvenstveno vodi rauna o nainu na koji virus moe zaraziti razliite dijelove kompjuterskogsistema. Bez obzira kojoj grupi pripada, svaki virusni kod mora biti izvren da bi proradio i razmnoavaose. Osnovna razlika izmeu razliitih virusa je u nainu na koji to pokuavaju osigurati.

Postoji jo i podjela na viruse ovisno o tome da li je virus prisutan u memoriji na:

viruse koji su rezidentni u memoriji viruse koji nisu rezidentni u memoriji

1.3.1 Boot sektor virusi

Boot sektor virusi napadaju Master BOOT sektor (partitition table), DOS BOOT sektor (oba na hard



diskovima) ili BOOT sektor floppy disketa, odnosno program koji se u njima nalazi. BOOT sektor jeidealan objekt za infekciju, budui da sadri prvi program koji se izvrava na kompjuteru, iji se sadrajmoe mijenjati. Kada jednom kompjuter bude ukljuen, program u ROM-u (BIOS) e bez pitanja uitatisadraj Master BOOT sektor u memoriju i izvriti ga. Ako se u njemu nakazi virus, on e postati aktivan.

No kako je virus dospio u Master BOOT sektor?

Najee pokuajem startanja sistema sa inficirane floppy diskete, ali boot sektor virusi se mogu iriti ipomou posebnih programa, trojanskih konja, nazvanih dropper (baca) - kojima je glavna namjena daneprimjetno ubace virus u BOOT sektor.

Boot sektor virusi su iznimno uinkoviti u razmnoavanju - od sedam najeih kompjutorskih virusa akest ih je sposobno zaraziti BOOT sektor.

1.3.2 Parazitski virusi

Najea vrsta virusa su upravo parazitski virusi. Ovi su virusi sposobni zaraziti izvrne datoteke nakompjutorskom sistemu dodavanjem svog sadraja u samu strukturu programa, mijenjajui tokinficiranog programa tako da se virusni kod izvri prvi. Poznati kompjutorski virusi sposobni suzaraziti .COM, .EXE, .SYS, .OVL i druge datoteke.

1.3.3 Svestrani virusi

Dobre osobine boot sektor i parazitskih virusa ujedinjene su kod svestranih virusa (multipartite) virusa.Ovi virusi sposobni su zaraziti i BOOT sektore i izvrne programe, poveavajui tako mogunost irenja.Poput boot sektor virusa i ovi su virusi iznimno efikasni u irenju.

1.3.4 Virusi pratioci

Najjednostavniji oblik kompjutorskih virusa su upravo virusi pratioci. Oni koriste prioritet kojim seizvravaju programi s istim imenom pod DOS-om. .COM datoteke se uvijek izvravaju prije .EXEdatoteka, program iz direktorija koji su na poetku PATH niza izvravaju se prije onih sa kraja. Viruspratilac obino stvori .COM datoteku koristei ime ve postojeeg .EXE programa i ugradi u nju svoj kod.Princip je jednostavan - kada program bude pozvan, umjeste originala s .EXE ekstenzijom, prvo e seizvriti podmetnuti .COM program s virusnim kodom. Kada izvravanje virusnog koda bude zavreno,virus e kontrolu vratiti kontrolu programu s .EXE ekstenzijom. Da bi prikrio prisustvo, virus pratilac epostaviti skriveni atribut za .COM program u koji je stavio svoj sadraj. Ova vrsta ne mijenja napadnutiprogram, a zbog nespretnog naina irenja ne predstavlja veu opasnost.

1.3.5 Link virusi



Najinfektivnija vrsta virusa su link virusi koji jednom pokrenuti, u trenu inficiraju napadnuti kompjutorskisistem. Poput virusa pratioca ovi virusi ne mijenjaju napadnute programe ve mijenjaju pokazivae ustrukturi direktorija na takav nain da ih preusmjere na cluster na disku gdje je prethodno sakrivenvirusni kod. Na svu sreu, ova izrazito infektivna i neugodna vrsta virusa, koja zbog samog nainarazmnoavanja moe izazvati pravi kao na disku, ima trenutno samo dva predstavnika i ukupno etirivarijante.

1.3.6 Makro ili skriptni virusi

Najei virusi u posljednje vrijeme koriste mogunost izvravanja skripti u programima koji su u irokojupotrebi, npr. Internet Explorer, Outlook i Outlook Express, zatim Word, Excel. Mnogi od tih programaimaju puno sigurnosnih rupa za koje se zakrpe ne izdaju esto, a korisnici ih jo manje primjenjuju.Ukoliko je sigurnost prioritet pri radu na raunalu predlae se iskljuivanje skriptnih jezika (Java, VBscriptitd.)

1.4 VIRUSI KOJI NISU REZIDENTNI U MEMORIJI

Osnovna vrsta su virusi koji, kada njihov kod bude izvren i poto vrate kontrolu originalnom programu,ne ostaju aktivni u memoriji. Ova vrsta operira tako da tijekom svog izvrenja pronae objekt pogodanza infekciju i zarazi ga. Teoretski su ovi virusi manje infektivni od virusa rezidentnih u memoriji, alinaalost u praksi to nije uvijek sluaj. Zarazili virus program koji se esto izvrava, bit e izuzetnouinkovit. Kako ovi virusi ne mijenjaju koliinu slobodne radne memorije, mogue ih je primijetiti samopo promjeni duljine programa na disku. Danas ova vrsta virusa sve vie izlazi iz mode budui da se nemogu koristiti tehnike samosakrivanja koje zahtijevaju da virus bude aktivan u memoriji.

1.5 VIRUSI REZIDENTNI U MEMORIJI

Kao to samo ime kae, ova se vrsta virusa instalira u radnoj memoriji kompjutera i ostaje aktivna dugonakon to zaraeni program bude izvren. Virus aktivan u memoriji moe biti sposoban zaraziti svakiizvreni program, svaku disketu koja bude pokrenuta (pod uvjetom da nije zatiena od pisanja), onmoe motriti aktivnost sistema ili u svakom trenutku izvriti svoj korisni teret. Ovi virusi su iznimnoinfektivni. Osim toga, oni su sposobni koristiti sve mogue virusne tehnike, te predstavljaju trend urazvoju virusa.Neki virusi koriste kombinacije ovih dviju tehnika. Tako na primjer, virus moe inficirati programe nanain koji je tipian za viruse koji nisu rezidentni u memoriji, ali nakon izvrenja virusnog koda ostavlja umemoriji mali rezidentni program sa korisnim teretom koji sam po sebi nije sposoban inficirati drugeprograme.

1.6 NEKE VIRUSNE TEHNIKE

Uspjenost virusa mjeri se duljinom vremena u kojem virus neprimjetno ostaje aktivan, inficirajuidruge programe. to je vrijeme inkubacije dulje, to su mogunosti za opstanak virusa i eventualnoizvrenje korisnog tereta vee. Osim toga, jednom otkriven virus moe se pokuati braniti od postupkaanalize koji se redovito provodi radi utvrivanja naina za njegovo sigurno pronalaenje.Vano je napomenuti da su sve ultraopasne tehnike o kojima e biti rije u nastavku potpuno bezopasneako se pri koritenju antivirusnih programa potuju osnovne mjere antivirusne zastite.

1.6.1 Enkripcija

Enkripcija ili ifriranje je postupak kojim se originalna informacija mijenja (premee) u cilju prikrivanjanjenog pravog sadraja. U osnovi ifriranja postoji obrnuti postupak dekripcije (deifriranja) kojim seponovno dobivaju originalne informacije. Prvi razlog upotrebe ifriranja je pokuaj oteavanjapronalaenja virusa. Teoretski, ako virus mijenja svoj sadraj i u svakom inficiranom sadraju izgledadrugaije, tee je na temelju prouavanja njegovog tijela izvui search string ili napraviti algoritam zapronalaenje. U praksi stvari stoje drugaije. Naime, nije mogue izvesti ifriranje cijelog virusnog koda,budui da onaj dio koda koji vri dekripciju mora ostati neenkriptiran. Osim toga svaki enkriptirani virusmora prije izvrenja svoj dekriptirati u memoriji. Upotreba enkripcije moda moe oteati analizu virusa,ali ne mora nuno i oteati njegovo pronalaenje.



1.6.2 Polimorfni virusi

Korak dalje u igri skrivaa je polimorfizam (vieoblije). Polimorfizam predstavlja preoblikovanje izvrnogkoda, na takav nain da se ouva funkcija, ali istovremeno bitno promjeni njegov izgled. Pogledajteslijedei primjer:

Code:

Instrukcije Asembliraju se kao

1. mov ah,4ch B4 4C mov al,00h B0 00

2. mov al,00h B0 00 mov ah,4ch B4 4C

3. mov ax,4c00h B8 00 4C

4. mov dx,4c00h BA 00 4C mov ax,dx 89 D0

Rezultat izvrenja dijela koda iz prethodna etiri primjera bit e isti, ali svaki od njih u memoriji izgledadrugaije.

Polimorfizam je najee nadopuna tehnike enkripcije. Nakon to je glavnina tijela virusa ve ifrirananastoji se premetanjem redoslijeda instrukcija ili koritenjem drugih instrukcija prilikom svake naredneinfekcije izmijeniti i dio virusa koji obavlja dekripciju. Ovim se nastoji doskoiti nemogunosti ifriranja itog dijela koda.

Enkripcija kombinirana sa polimorfizmom predstavlja jedan od najopasnijih trendova u razvoju virusa.

1.6.3 Stealth

Stealth (nevidljivost, samosakrivanje) je jo jedna kompleksna tehnika koju koriste vjeti piscikompjutorskih virusa. Temelj tehnike samosakrivanja je pokuaj prijevare korisnika, sistema iliantivirusnog programa na takav nain da ga se uvjeri da je sa sistemom ne dogaa nita neobino. Naprimjer, najjednostavnija tehnika samosakrivanja je presretanje DIR komande na takav nain da seumjesto stvarne, pokae duljina zaraenih programa prije infekcije.

Tehnike samosakrivanja koriste nain komunikacije izmeu softvera i hardvera na PC kompjutoru. Uosnovi, ova se komunikacija odvija preko interrupta. Kada procesor dobije zahtjev za itanjem s diska one izvriti dio koda na koji je usmjeren odgovarajui interrupt. Ako virus izmjeni interrupt vektor iizvoenje pojedinih funkcija preusmjeri prvo na sebe, moe lako pratiti sva dogaanja na sistemu i njimabez problema vladati.

1.7 PUTEVI ZARAZE

Najee postavljano pitanje nakon otkrivanja virusa je kako je do zaraze dolo?. Iako su mnoge stvarivezane uz viruse vrlo sloene, odgovor na ovo pitanje je vie nego jednostavan. Kao to smo rekli svakivirusni kod, da bi se umnoavao, treba prethodno biti izvren. Neki se programi na kompjuteru izvravajuvoljom korisnika, a neki automatski, bez njegove volje.

1.7.1 Diskete

Floppy diskovi (diskete) su najei medij kojima se prenose virusi. Budui da su diskete standardnosredstvo razmjene programa i informacija, njima se odvija i najvei dio komunikacije izmeu korisnikakompjutora. Zapamtite, disketa ne mora biti sistemska da bi prenijela boot sektor virus i zarazila vakompjutor.

1.7.2 Izmjenjivi hard-diskovi

Izmjenjivi hard-diskovi, iako se rjee koriste takoer predstavljaju pogodan medij za prijenos svih vrstavirusa.

1.7.3 CD-ROM

CD-ROM-ovi su se pokazali kao odlian medij za prijenos virusa, iako se sa CD-ROM-ova u pravilu neobavlja startanje sistema pa nisu pogodan medij za prijenos boot sektor virusa. Nezgodna je injenica daprogrami i podaci na njima dolaze u komprimiranoj formi, to dodatno oteava pregled antivirusnimprogramima.

1.7.4 Mree

Virusi na kompjutorskim mreama predstavljaju jedan od najveih sigurnosnih rizika danas, apredstavljat e ga i u budunosti.

1.8 CRVI



Klasini virusi danas su zapravo rijetki. Dananji korisnici uglavnom se susreu sa crvima. Crvi sumaliciozni programi koji se ire raunalnim mreama i raunalima, a da pritom ne inficiraju drugeprograme. Ovdje vidimo osnovnu razliku izmeu virusa i crva, a to je da crvi nemaju prvu i obaveznukomponentu virusa, mogunost infekcije programa. Crvi obino upotrebljavaju raunalnu mreu ne bi lise irili i danas najee na adresu primatelja stiu u vidu privitka poruke elektronike pote. Neki drugicrvi za svoje irenje koriste razliite sigurnosne probleme, ali svima im je karakteristika da ne inficirajudruge programe.

1.8.1 NAIN OTKRIVANJA METE

Skeniranje - oznaava testiranje raspona adresa da se indefiticiraju ranjiva raunala. Postoje dvijevarijante skeniranja, sekvencijalna ili sluajna. Zbog svoje jednostavnosti to je vrlo est nain irenjacrva. Ovo nije jako brz nain irenja, ali kod crva sa automatskom aktivacijom irenje moe biti vrlobrzo, za to je primjer Blaster ili Code Red I crv. Skeniranjem crv uzrokuje puno abnormalnog mrenogprometa pa ga se po tome moe prepoznati, a neki antivirusni programi i vatrozidi (firewall) automatskireagiraju i ograniavaju taj promet, to moe zaustaviti crva.

Prije generirana lista adresa - napada moe napraviti listu adresa prije lansiranja crva na kojima bibile vjerojatne rtve. Mala lista bi se mogla iskoristiti za ubrzavanje skenirajueg crva, a stvaranjemvelike liste dobivamo nevjerojatno brzog crva, koji moe u nekoliko minuta zaraziti milijune raunala.Takav crv osim u laboratorijskim uvjetima jo nije napravljen.

Vanjski generirana lista adresa - Vanjski generirana lista je ona koju odrava neki neovisni server.Serveri koji imaju popis adresa drugih servera nazivaju se metaserveri. Najbolji primjer za to je servisGamespy koji odrava listu pokrenutih servera nekih od najpopularnijih mrenih igra dananjice, a kadapogledamo koliko ljudi se igra na internetu dobivamo ogromne liste adresa. Ova tehnika bi se moglaiskoristiti i na trailicama, jer npr. Google ima listu veine web servera na svijetu. Metaserver crvi jouvijek nisu primjeeni na slobodi, ali rizik je velik zbog velike brzine irenja koju bi crv mogao postii.

Interna lista adresa - Mnoge aplikacije na raunalu sadre informacije o IP ili e-mail adresama drugihraunala. Nakon to crv zarazi raunalo, pretrai neke najee aplikacije u potrazi za adresama i alje sena na njih. To esto viamo kod novijih crva koji pretrauju adresar u Outlooku i alju se na sve e-mailadrese koje pronau. Ove crve je teko otkriti skeniranjem mrenog prometa jer crv na raunalu nalaziadrese raunala s kojima se ionako komunicira pa dodatni mreni promet nije sumljiv.

Pasivni - Pasivni crv ne trai adrese raunala rtve, ve eka da se rtva javi ili se oslanja na korisnikakoji mu otkriva nove mete, naprimjer surfanjem po internetu. Gnuman crv se pretstavlja kao Gnutellavor, koji se koristi za distribuiranu izmjenu podataka (veinom glazbe i filmova) na internetu. Kada sertva javi sa zahtjevom za odreenom datotekom crv alje sebe. Iako potencijalno spori, pasivni crvi neproizvode abnormalni mreni promet pa ih je teko otkriti.

1.8.2 NAIN IRENJA

Samonosei - Samonosei crv sam sebe prenosi kao dio procesa infekcije. Ovaj mehanizam je est kodsamoaktivirajuih skenirajuih crva, gdje je in infekcije ujedno i prenoenje crva, kao naprimjer kod crvaCRClean.

Sekundarni kanal - Neki crvi, kao naprimjer Blaster, zahtjevaju sekundarni komunikacijski kanal daizvre infekciju. Iako Blaster koristi sigurnosnu rupu u RPC, raunalo rtva otvara TFTP kanal preko kojegse prenosi sam crv, zavravajui proces infekcije.

Umotani - Taj tip crva se prenosi kao dio normalnog komunikacijskog kanala, ili dodavajui se normalojporuci ili zamjenjujui ju. Kao rezultat dobivamo irenje koje izgleda kao normalni mreni promet, pa jecrva tee otkriti.

1.8.3 AKTIVACIJA CRVA

Ljudska aktivacija - Najsporiji nain aktivacije zahtjeva da crv uvjeri lokalnog korisnika raunala daizvri lokalnu kopiju crva. Da bi potakli korisnike autori crva se koriste raznim tehnikama socijalnogininjeringa. Neki kao Mellisa crv glume hitno pismo od poznanika ("Attached is an important message foryou"), neki kao Iloveyou crv ciljaju na tatinu korisnika ("Open this messege to see who loves you"), aneki kao Benjamin koriste pohlepu ("Download this file to get copyrighted material for free"). Dok nekizahtjevaju pokretanje privitka kojeg dobivamo e-mailom, neki (npr. Klez) koriste sigurnosne propuste uOutlooku i samim gledanjem poruke raunalo je zaraeno.

Aktivacija ljudskim postupkom - Neki crvi se nemogu pokrenuti automatski prilikom zaraze, ali moguzapisati svoje podatke na bilo koje mjesto na disku, pa se onda pokreu prilikom resetiranja sustava ililogiranja na sustav.

Zakazani proces aktivacije - Neki prilino brzi crvi koriste zakazane sistemske procese. Mnogioperativni sistemi i programi imaju mogunost automatskog unaprijeivanja programa skidanjem novijeverzije sa odreene adrese. Ako autor crva zamijeni zakrpu programa crvom, ili ga nadoda u zakrpu one se nakon skidanja automatski izvriti. Ako program nema provjeru autentinosti izvora, dovoljno jenajobinijije DNS preusmjeravanje adresa da se raunalo zarazi.

Samoaktivacija - Uvjerljivo najbri nain irenja crva. Operativni sustavi i razni programi puni susigurnosnih propusta koji omoguuju neovlateno pokretanje programa, npr. Code Red koristi IIS Webserver koji dolazi zajedno sa Windows operativnim sustavom. Takvi crvi se dodaju pokrenutim procesimai koriste njihova doputenja za pokretanje programa. Najbolja zatita je redovito stavljati sigurnosnezakrpe na ugroene programe.

1.8.4 TERET



Teret je drugi naziv za kod koji crv nosi, a ne slui za njegovo irenje. Taj kod je limitiran jedino ciljem imatom autora crva.

Nepostojei/Nefunkcionalan - Najei sluaj kod veine crva je upravo ovaj, kada ne postoji kodosim koda za irenje, ili u njemu postoji nekakva pogreka pa nije funkcionalan.

Daljnska kontrola - Code Red II je otvarao tzv. backdoor na raunalu rtvi, dajui svakome sa webtrailicom mogunost pokretanja programa na rtvinu raunalu. Postojali su i anti-Code Red internetstranice koje su taj backdoor koristile da maknu crva i resetiraju raunalo, pa ono vie nije bilo zaraeno.

Spam relays - Dio crva Sobig kreira "mail relay" koji spammeri mogu koristiti da bi slali neeljenuelektroniku potu. Veina internet providera ima sigurnosne mehanizme koji blokiraju spam sa poznatihIP adresa, ali kod zaraze ovim crvom spam dolazi sa svih strana i nemogue je na taj nain kontroliratinjegovo irenje.

HTML-proxiji - Jo jedna osobina crva Sobig je distribucija HTML-proxija. Preusmjerujui web zahtjevepreko mnogo proxija web stranice sa zabranjenim sadrajem dobivaju na vremenu jer providerima trebapuna vremena da otkriju na kojoj se adresi web stranica fiziki nalazi. Ovo se koristi za razne nelegalneaktivnosti, ukljuujui prijevare sa upisivanjem financijskih podataka ili brojeva kartica.

Internet DOS - Jo jedan esti teret je internet DOS (Denial Of Service) napad. Code Red, Yaha i jomnogo crva sadre DOS alate, koji su ili upereni protiv odreene stranice ili se mogu uperiti protiv bilokoga ako autor crva to zaeli. Kada crv zarazi 100 000 ili vie raunala zombija mogue je nedostupnomuiniti bilo koju stranicu, pa ak i cijeli DNS sustav!

Skupljai podataka - Veina ljudi na raunalu na kojem rade imaju osjetljive podatke poput poslovnihtajni, nacrta novih ureaja, financijskih izvjea itd. Crv moe pretraiti disk raunala u potrazi za timpodacima i zatim ih poslati na prije odreeno mjesto. SirCam crv je vrio nenamjernu pijunau, jer jesluajnu datoteku sa diska slao sluajnoj osobi iz adresara na raunalu.

Brisai podataka - Postoji mnogo virusa, kao naprimjer Chernobyl koji su sadravali kod za brisanjepodataka nakon odreenog vremena. Budui da se crvi mogu iriti mnogo bre, mogli bi poeti brisatipodatke odmah nakon infekcije. Podaci bi mogli biti i kodirani umjesto prebrisani da bi se izvukli izsustava.

Daljinska kontrola - Postoje raunala koja kontroliraju razne mehanizme i naprave u fizikom svijetu.Svima nam odmah padaju na pamet vojna raunala koja kontroliraju razne mehanizme obrane, alizapravo je velik dio elektronike koja nas okruuje kompjuterski kontroliran. Crv bi mogao preuzetikontrolu nad sustavom i predati ju napadau, to jest autoru crva.

DOS napad u fizikom svijetu - Crv bi mogao preuzeti veliki broj raunala i preko ugraenih modemapozivati neki broj, naprimjer 92 i time tu liniju onemoguiti jer e biti konstantno zauzeta.

Fizika teta - Veina dananjih raunala podrava nadogradnju pokretakog softvera, pa tako iraunala imaju BIOS ip koji je mogue flashati direktno iz Windowsa. Ukoliko se u flash ip upiupogreni podaci raunalo se vie nee moi pokrenuti.

Odravanje crva - Zadnja klasa tereta je ona koja slui odravanju crva. Crvi kao Sonic i Hybris supregledavali Usenet grupe i kriptografski provjeravali module koje su tamo nalazili prije svojenadogradnje.

1.9 PREPOZNAVANJE VIRUSA - ANTIVIRUSNI PROGRAMI

Dananje antivirusne programe moemo podijeliti na dvije skupine - programe za prepoznavanjespecifinih virusa i programe za nespecifino prepoznavanje virusa.

1.9.1 Skeneri

Skeneri su u pravilu programi za specifino prepoznavanje virusa, mada bi neki od njih, koji koristeheuristike metode traenja virusa, mogli biti svrstani u grupu programa za nespecifino prepoznavanjevirusa, budui da su, bar teoretski, sposobni prepoznati i nepoznate viruse. Skener tradicionalnoprepoznaje virus na temelju (u njega) ugraenih podataka, koji su prethodno pribavljeni analizom virusakoji se pojavio meu korisnicima. Ti podaci mogu se odnositi na niz heksadecimalnih znakova (searchstring) - koji katkad mogu sadravati i wildcard (doker) znakove.

Glavna prednost skenera je mogunost trenutnog otkrivanja poznatih virusa jednostavnim pregledomsumnjivog sadraja. Ako skener prepozna virus, on e dojaviti tono o kojem se virusu radi, a to je vrlokorisno jer se prema tom podatku mogu procijeniti i mogue posljedice napada virusa. Pravilno koritenskener pomoi e nam da otkrijemo virus na pristiglim disketama PRIJE nego zarazi tiene kompjutore.

Nedostaci skenera odnose se na potrebu za stalnim dograivanjem radi prepoznavanja novonastalihvirusa, no nemogunost prepoznavanja virusa o kojima nemaju potrebne podatke. Iako postojeheuristiki skeneri, sposobni za otkrivanje novonastalih, nepoznatih virusa, koji su bazirani na tehnologijiznanja (knowledge based), kao i svaki takav sustav ima i puno mana.

Skeneri su danas najrasprostranjeniji antivirusni softver.

1.9.2 Provjera checksum-om

Tehnika provjere checksumm-om temelji se na mogunosti prepoznavanja svake promjene na tienomsadraju. Checksumm-om se zaledi stanje sustava za koji prethodno utvrdimo da je neinficiran. Nakontoga se u odreenim vremenskim razmacima provjerava da li je na sustavu dolo do nekih promjena.

Checksummiranje je jedina poznata metoda kojom se sigurno otkloniti svi virusi, bez obzira na to jesu li



poznati ili ne. Ova injenica ini checksummere jednim dugoronim osloncem svake mudre antivirusnestrategije.

Nedostatak checksummera lei u injenici da se njima otkriva infekcija virusom tek nakon to se vedogodila, meutim, njihovom redovitom primjenom sigurno se moe otkriti virus prije nego to doe doznaajne tete.

1.9.3 Programi za motrenje

Programi za motrenje najee rade kao TSR koji pregledava odvijanje pojedinih funkcija sistema prekoodgovarajuih interrupta. Tako npr. kad god sistem dobije nalog za uitavanjem neke izvrne datoteke,moe se i izvriti provjera. Neki monitori ne trae specifine viruse nego pokuavaju otkriti sumnjiveaktivnosti kao to su primjerice pisanje po Master BOOT sektoru ili izvrnim programima, pokretanjeformatiranja diska, pokuaj programa da se uini rezidentnim u memoriji i sl. Jedina prednost monitora jeda mogu otkriti virus u realnom vremenu.

Nedostaci monitora su brojni. Najvei nedostatak je nemogunost djelotvorne primjene TSR programakoji bi u sebi sadravao podatke za prepoznavanje svih poznatih virusa. Monitori koji otkrivaju sumnjiveaktivnosti esto izazivaju brojne lane uzbune, jer oznaavaju sumnjivim i redovne aktivnosti kao to suformatiranje disketa ili instaliranje raznih programa u memoriju.

1.10 POSLJEDICE NAPADA VIRUSA

U pravilu, svaki program inficiran virusom ve je u odreenoj mjeri oteen i potrebno ga je dovesti uispravno stanje. Ovo se deava uvijek, bez obzira na to da li virus ima tkz. korisni teret i bez obzira kojamu je namjera. Danas je sve vei trend izrade virusa koji pri infekciji jednostavno prepiu dio kodanapadnutog programa i na taj nain nepopravljivo otete napadnuti objekt. Na primjer link virusi mogunapraviti pravi kr na disku jer dovode do tkz. cross-linked datoteka.

Program zaraen virusom moe grijeiti u radu, virus koji se instalira u memoriju moe izazvati greke uradu drugih programa koji se instaliraju u memoriju ili moe programima oduzeti memoriju potrebni zarad. Mnogi pisci kompjutorski virusa ukljuuju u virus koristan teret, kod koji je sposoban izvriti nekuzadau kao to je npr. ispisivanje poruka, ometanje rada sistema, brisanje odreenih podataka,formatiranje diska ili korupcija podataka.

Blesave poruke, nemute ljubavne izjave ili usamljenike roendanske estitke - najmanji su dodatniproblem. Nedestruktivno ometanje rada sistema, blokiranje kompjutora, usporenje rada stroja -predstavljaju drugu stepenicu. Oigledno brisanje programa i podataka ili formatiranje diska, koliko jegod nezgodno i tetno nije najvei stupanj oteenja, kako to mnogi misle. Ako se redovito provoditemeljito arhiviranje podataka, ve nakon kraeg vremena kompjutor moe biti ponovno osposobljen ispreman za rad. Najgori mogui oblik tete je korupcija podataka, neprekidno i progresivno propadanjeintegriteta ili tonosti podataka. Korupcija podataka moe biti izazvana namjerno ili se javiti sluajno.Oteene mogu biti baze podataka, arhivi s programima i podacima, tekstualne datoteke i sl. Sluajanoblik korupcije je kada virus grekom inficira tekstualnu datoteku. Datoteka e biti oteena, a virus u tojdatoteci nee se moi razmnoavati.

Namjeran oblik korupcije je kada virus pregleda disk u potrazi za bazama podataka, te u naenojnasumice izmjeni neki podatak. Ako korupcija traje dulje vrijeme doi e do nepopravljivih posljedica.Arhiviranje podataka nije dovoljna zatita od korupcije podataka, jer ako ona ne bude otkrivena tijekjednom jednog punog ciklusa arhiviranja, podaci e biti nepopravljivo oteeni, budui da e sve arhivskekopije sadravati oteene podatke. Jedina zatita od korupcije podataka je provjera njihovog integriteta,pri emu nije dovoljno provjeravati samo vanjski, ve i unutranji integritet.

1.11 IENJE VIRUSA

U antivirusne programe moemo jo ubrojiti i programe za ienje virusa koji mogu biti izraeni zaienje specifinih ili nespecifinih virusa.

U prvu grupu dolaze programi koji na temelju poznavanja odreenog virusa i metoda kojom inficiraprogram, pokuavaju odstraniti virus i program dovesti u ispravno stanje.

Druga grupa su programi za nespecifino ienje virusa. Neki su autori pokuali razviti programe koji biizolirali i spremili na sigurno kritine dijelove rizinih sadraja (BOOT sektore, headere i duljinu izvrnihdatoteka i sl.), te nakon otkrivene infekcije pokuavali stvari dovesti na svoje mjesto. Budui da se ovametoda zasniva na predvianju mogue tete, njena sigurnost je vrlo upitna.

1.12 POPULARNIJI VIRUSI

FormBBOOT sektor virusPodrijetlom iz vicarske, 18. dana svakog mjeseca virus proizvodi zvukove prilikom tipki na tastaturi.Prema nekim podacima na njega otpada 40% svih infekcija.

New Zealand (Stoned, Marijuana)BOOT sektor virusVirus ispisuje LEGALISE MARIJUANA. Uzronik oko 20% infekcija.

TequilaSvestrani virusPdrijetlom iz vicarske. Enkriptirani, polimorfni virus. Iscrtava na ekranu grubi mandelbrot. Oko 10%infekcija izazvano je ovim virusom

Spanish Telecom (Anti-Tel, Anti-CTNE)



Svestrani virus Enkriptirani, stealth virus.Poruka u virusu navodi da je izraen u panjolskoj. Nakon 400 startanja sistema virus prepie podatkena dva tvrda diska. Zasluan za 10% infekcija.

Cascade (Fall, Russian, Halstorm, 170h )Parazitski virusEnkriptirani virus koji napada .COM datoteke. Originalna verzija uzrokuje padanje znakova s ekranaizmeu 1.studenog i 31. prosinca 1988. Formatirajua verzija formatira disk izmeu istih datuma svakegodine. Izaziva oko 7% infekcija.

JoshiBOOT sektor virusVirus iz Indije koji 5. sijenja ispisuje poruku Type `Happy Birthday Joshi`. Ako korisnik poruku neotipka doslovno, kompjuter e se objesiti. Virus koristi stealth i preivljava worm boot (CTRL-ALT-DEL).Joshiu roendan estita oko 5% zaraenih.

MichelangeloBOOT sektor virusTo je mutacija virusa New Zealand, koja 6. oujka prepie hard-disk. Nalazi se u oko 2% infekcija.

Q: elim nauiti pisati viruse. Odakle da ponem?A: Pisanje virusa, crva i slicnih malicioznih programa zahtjeva neke osnovne programerske vjestine.Najbolje je poceti sa C-om i polako uciti win32asm. Za win32asm su najbolji Iczelionovi tutoriali koji su unovije vrijeme lokalizirani (vidi link na asm forumu) i to barem prvih desetak poglavlja u kojima suobjasnjeni osnovni principi. Nakon toga procitajte sljedece tutoriale:

http://www.29a.host.sk/29a-4/29a-4.202http://vx.netlux.org/lib/static/vdat/tutorial.htm#LJ

Maticni siteovi za pocetnike u asmu na win i linuxu:www.win32asm.cjb.nethttp://linuxassembly.org/

Najpopularniji win32 asembleri su tasm32 i masm32. Kojekakve spasm, fasm i HLA p.m. su cistaegzotika. Ako planirate pisati linux viruse, nemojte koristiti gas jer koristi ruznu AT&T sintaxu koja jezbunjujuca i posve neprikladna za pisanje programa sa vise od 100-ak instrukcija (neki se GNU fanatici idalje kunu u njega, ali oni si oni...). yasm je takodjer ok jer moze generirati flat binary output. za linuxviruse su korisni ovi linkovi:

http://www.29a.host.sk/29a-4/29a-4.205http://www.inet.hr/~sunnis/theory/ljinuks.txthttp://www.big.net.au/~silvio/http://www.lwfug.org/~abartoli/virus-writing-HOWTO/_html/

Jako je korisno poznavanje formata izvrsnih datoteka, PE na win32 i ELF na unix sistemima:

http://frizemall.narod.ru/pefmt120.ziphttp://www.29a.host.sk/29a-4/29a-4.210http://spiff.tripnet.se/~iczelion/files/pe1.ziphttp://spiff.tripnet.se/~iczelion/files/pe-tuts.ziphttp://www.msdn.microsoft.com/...g/issues/02/02/PE/default.aspxhttp://www.msdn.microsoft.com/.../issues/02/03/PE2/default.aspx

Osim pisanja binarnih virusa, u novije je vrijeme (zadnjih 5-6 godina) iznimno postalo popularno pisanjecrva i raznih samopropagirajucih skripti. Skriptni virusi nisu odvec kvalitetni i pisu ih obicno osobe kojimanedostaje znanja u pisanju non-script virusa, tj. koje zele da napisu nesto brzo (makar bilo nekvalitetno),ali barem da radi. Shell skriptanje je s druge strane prilicno evoluiralo i pojavilo se nekolikom kvalitetnihclanaka o perl i bash skriptama:

http://www.29a.host.sk/29a-6/29a-6.212http://www.29a.host.sk/29a-6/29a-6.220

Q: Gdje mogu skinuti izvorne kodove virusa i odgovarajuce binarne fileove da ih mogu secirati?A: Sirenje virusa je u svim manje-vise civiliziranim zemljama *ilegalno*, a s obzirom na cinjenicu da sevecina danasnjih virusa/crva samostalno siri na bezbroj nacina, ukoliko se samostalno zarazite ipostanete makar nenamjerno baza za sirenje novih generacija, imajte na umu da mozete biti zakonskiprocesuirani.

Izvorni kodovi i prateci binarni oblici virusa dolaze obicno u zineovima u kojima se oni predstavljajujavnosti, dok cete teze naci binarne fileove na osobnim stranicama virusopisaca ukoliko su hostani nanekom free servisu. Dobra baza za pocetak jest kolekcija od strane bcvg:http://www.ebcvg.com/category.php?cat=1&p=1

Q: Nisam neki talent za programiranje, sto je sa ovim trojan generation kitovima i sl. alatima?A: NGVCK i sl. alati obicno proizvode fileove koji su skoro 100% detektabilni od strane AV (antivirusa). Sobzirom da vecina AV koriste byte signature za detekciju trojana napisanih u HLL, koristenje kojekakvihpackera moze pomoci, iako danas i AV imaju ugradjene dekompresore za upx i sl. Druga su stvar raznimorphing alatichi tipa CodePervertor/Revert.

Q: Koji je najbolji antivirus?A: Dva su (donekle) relevantna testa, one koje provode oni sami koji prave antiviruse:

http://www.virusbtn.com/vb100/

i oni koji prave viruse:

http://www.virus.gr/english/fullxml/default.asp?id=16&mnu=16



-primjetite da nijedan nema 100% :)

Uglavnom tih nekoliko najboljih su stalno pri vrhu.

Neka misljenja od strane vx-era: [29a #6]:

Citat:

Results for the "bests of 20th century" poll were published. Results:

Who was the best VX group?29A with 28 votes. (53,84% / 54,90%)1 vote in blank.

Who was the best virus coder?Vecna with 24 votes. (46,15% / 47,05%)1 vote in blank.

Who was the best virus collector?VirusBuster with 30 votes. (57,69% / 71,42%)10 votes in blank.

What was the best virus web site?No winner in this category: coderz.net and Asterix site both had 8 votes.(15,38% / 18,60%)9 votes in blank.

What was the best virus?Hybris with 16 votes. (30,76% / 36,36%)8 votes in blank.

What was the best virus zine?29A with 27 votes. (51,02% / 54,00%)2 votes in blank.

Who was the best antivirus coder? (person, not company)Eugene Kaspersky with 13 votes. (25,00% / 61,90%)31 votes in blank.

Who was the best virus analyzer from antivirus companies? (person, notcompany)Eugene Kaspersky with 11 votes. (21,15% / 52,38%)31 votes in blank.

What was the best antivirus product?Antiviral Toolkit Pro with 35 votes. (67,30% / 81,39%)9 votes in blank.

What was the best antivirus company?Kaspersky Labs Pro with 27 votes. (51,92% / 69,23%)13 votes in blank.

What was the best antivirus web site?www.avp.ru (Kaspersky Labs) with 27 votes. (51,92% / 65,85%)11 votes in blank.

I za kraj neki korisni linkovi:

VX-eri koji nisu hostani na nekoj od zajednica

http://z0mbie.host.sk/http://anaktos.host.sk/http://www2.coderz.net/belial/http://www.geocities.com/SiliconValley/Code/3403/http://www.geocities.com/Area51/Dimension/8145/http://www.angelfire.com/ak5/bumblenet/index.htmlhttp://www.delly.fr.st/http://www.geocities.com/ratty_dvl/BATch/main.htmhttp://eos.host.sk/http://members.fortunecity.com/svl/http://utenti.lycos.it/g1ld0/index.htmlhttp://gl-st0rm.wz.cz/index2.htmlhttp://griyo.hellsparty.com/http://himan.by.ru/http://kenerman.ar.gs/http://litesys.host.sk/http://members.fortunecity.com/m0n30/http://vx.netlux.org/~melhacker/http://www.nbk.hpg.ig.com.br/index.htmhttp://raenius.cjb.net/http://ppacket.20m.com/http://psyx.gq.nu/http://pbat.cjb.net/http://pxr.wz.cz/http://www.volny.cz/radix16/http://www.fortunecity.com/skyscraper/cyburbia/28/http://stress.8m.net/under/index1.htmlhttp://net.supereva.it/sad1cpage/index.html?p



http://www.spth.de.vu/http://sennaspy.cjb.net/http://www.ikarus-software.at/portal/index.phphttp://www.tokugawa.es.vg/http://vampir0.by.ru/http://vovan-smf.wz.cz/http://pagina.de/wintermute/http://mitglied.lycos.de/yoda2k/index.htmhttp://membres.lycos.fr/zemckiller98/index.html

TRADING

http://www.virustrading.com/traders.phphttp://mions.wz.cz/http://vx_satanikchild_vx.tripod.com/main.htmhttp://usuarios.lycos.es/bigblok/http://www.gold.pl/basketcase/http://members.tripod.com/thermopyle/http://www.virusbuster.tk/http://akap.com.ne.kr/trade.htmhttp://welcome.to/BuddyMusichttp://home.megapass.co.kr/~acy78/http://www.geocities.com/nexus_crusader/http://www.geocities.com/Muncher_98/http://it.geocities.com/loscriba/index.htmlhttp://www.geocities.com/jahmmm70/http://www.virus.gr/english/fullxml/default.asphttp://vx.netlux.org/~nfission/http://www.mr-virus.cc/vlog/http://www.perikles.tk/http://frizer.tsx.org/http://www.virustrading.com/roadkil/http://neptune.spaceports.com/~stram/http://ggnome.cjb.net/http://virax.cjb.net/http://www.geocities.com/algol_p/http://www.geocities.com/cyphonix/http://www.geocities.com/stagglevx/http://aappoocc.virtualave.net/http://strony.wp.pl/wp/polish_basketcase/http://cyberviper.chat.ru/http://www.websamba.com/panoix/http://nathan.wirefire.com/http://vx.netlux.org/~toxic/highres.htmhttp://www.geocities.com/vanbluefish/http://www5c.biglobe.ne.jp/~TRNEY/http://www.nemesizz.host.sk/http://www.funkymonkey.org/tiker/http://whitemaster.pisem.net/http://www.virustrading.com/asad/http://stadt.heim.at/hongkong/150414/http://www.numentec.com/aver/seak/http://www.virustrading.com/buddy/http://stress.8m.net/under/index.htmlhttp://lovingod.host.sk/eindex.htm

VX grupe

http://29a.host.sk/http://www.geocities.com/SiliconValley/Bay/3056/http://www.ebcvg.com/http://brigada8.cjb.net/http://cip.host.sk/http://vx.netlux.org/~fat/http://skyscraper.fortunecity.com/dos/819/http://www.linezer0-tribe.tk/http://vx.netlux.org/~nitz/http://www.rrlf.de/http://hackers.b3.nu/http://teamnecrosis.20m.com/http://vdxgroup.host.sk/http://www.virus.go.ro/http://sbvc.cjb.net/http://www.virusbrasil.8m.com/

ZAJEDNICE

http://vxers.host.sk/http://vx.netlux.org/http://coderz.net/http://www.virustrading.com/

RAZNI RESURSI

http://coderz.net/zines/http://madchat.org/vx/

[Ovu poruku je menjao Sundance dana 22.02.2005. u 01:23 GMT+1]

[ u ekaonicu! | brisanje! | Upload uz poruku |Izmena/Brisanje | Odgovor na temu ]



SundancePuno ime: John Uskglasslan broj: 7510Poruke: 2561Lokacija: One MicrosoftWay,Redmond*.sava.sczg.hr.OS: WINDOWS XP

ICQ: 106979934


BESPLATNI anti-malware programi 04.12.2004. u 03:55

BESPLATNI ANTIVIRUSI

AVG Free Edition

avast! 4 Home Edition

AntiVir Personal Edition

F-Secure Anti-Virus for DOS

BitDefender Free Edition

ClamWin - upozorenje, ovaj open source piece of crap je vrlo supalj

MicroWorld Anti Virus Toolkit - on-demand skener

BESPLATNI FIREWALLOVI

Windows Firewall

ZoneAlarm Free

Agnitum Outpost Personal Firewall Free

Sygate Personal Firewall Standard

Kerio Personal Firewall Free

Tiny Personal Firewall

Look 'n' Stop Lite - postaje Lite nakon sto istekne trial

Jetico Personal Firewall Beta

SoftPerfect Personal Firewall

Filseclab Personal Firewall

Omniquad Personal Firewall

CHX-I Packet Filter i/ili NAT - nije za pocetnike

Securepoint Personal Firewall & VPN Client

Firewall 2004

Primedius Firewall Lite

Sphinx A-Wall Personal Firewall

SafeZone Free

Enigma Firewall

Xeon Personal Firewall

BartWare Personal Firewall

GoldTach Free

Firewall Builder - nije za pocetnike

ON-LINE VIRUSNI SKENOVI

BitDefender

Kaspersky

Dr. Web

Panda ActiveScan

PC-cilin

PC Pitstop

RAV

Trend Micro Housecall(ActiveX)

Trend Micro Housecall(Java)

Mcafee Virusscan Online



Symantec Security Check (Norton AV)

eTrust

Freedom - bazirano na f-prot Pro engine-u

f-prot

commandondemand

ON-LINE SPYWARE SKENOVI

spy audit

provjera za parazitima

jo jedna i jo jedna provjera za parazitima

PestPatrol - razni spyware, samo detektira

Winguard - klasian spyware

XCheck

SpywareInfo

CounterSpy

Xblock

ON-LINE SIGURNOSNI SKENOVI

BLACKCODE - trojanci

GFI TrojanScan - trojanci

PC Flank - trojanci, sigurnost browsera, privatnost

Pop-up test - provjerite koliko ste uplji za pop-ups

SPECIJALIZIRANI PROGRAMI ZA MICANJE VIRUSA

McAfee AVERT Stinger

Microsoft Malicious Software Removal Tool

avast! Virus Cleaner

AVG vcleaner

Panda PQRemove

Sophos SAV32CLI

NOD32 - odaberite virus sa padajue liste na glavnoj stranici

Symantec - odaberite odgovarajui virus na stranici

http://www.kaspersky.com/removaltools - odaberite odgovarajui virus na stranici

Trend Micro Sysclean

F-Secure - odaberite virus sa padajue liste na glavnoj stranici

BitDefender - odaberite odgovarajui virus na stranici

(...)Microsoft AntiSpyware - MS-ov anti-shitware alat, titi i od dialera, nekih trojana, otimaa browsera,realtime zatita motri vie od 50 razliitih postavki!

SpywareBlaster - alat protiv spyware-a

SpywareGuard - alat koji u stvarnom vremenu (real-time) spreava da neki program otme va browser

Spybot-Search&Destroy - jo jedan alat za zatitu i micanje spyware-a

Ad-Aware Personal - odlian alat za micanje spyware-a, to Spybot S&D ne nae, ovaj hoe!

Ewido - alat sa velikom bazom signatura protiv trojana, dialer-a, crva i ostale gamadi..

HijackThis - protiv gamadi koja se nakai na va browser, popis BHO i toolbar-a, LSP-ova, za listugamadi koja se pokree automatski sa windozima vidi komentar za Autoruns.



Script Defender - sprijeite izvravanje potencijalno malicioznih skripti!

System Safety Monitor - sprijeite neke kompleksnije napade poput DLL injection, rootkit-ove, takoerprati promjenu registry-a, win32 servisa, postavka IE-a...

FileChecker - program koji prati promjenu vanih sistemskih fajlova od strane malicioznih programa

WinPatrol - alat za zatitu koji ima veliku bazu malware-a

a^2 Free (a-squared) - odlian komplement za AV, ima veliku bazu malware-a.

Prevx Home - jedan od najnaprednijih besplatnih alata koji pruza irok spektar zatite od malware-a.

IE-SPYAD - sprijeite kompromitiranje IE-a. Za detaljne upute vidi post dolje.



[ brisanje! | Upload uz poruku |Izmena/Brisanje | Odgovor na temu ]


ICQ: 106979934


BESPLATNI alati za poboljsanje sigurnosti sustava 04.12.2004. u 03:57

ProcessGuard - napredan alat za povecanje sigurnosti OS-a

RegistryProt - zastitite registry od modifikacije od strane zlocudnih programa, idealno protiv trojana kojise podizu automatski sa windozima

WMP Scripting Fix - sprijecite skriptne napade na Windows Media Player

CCleaner i RegSeeker - optimizacija sistema (registry, privremeni fajlovi) - ubrzajte svoju masinu!

Filemon - alat koji u stvarnom vremenu prati operacije nad fajlovima, odlicno za dijagnozu problema

Regmon - alat koji u stvarnom vremenu prati operacije nad registryem, takodjer idealno za dijagnozuproblema

TCPView i TDIMon - napredni alati za dijagnozu problema mrezom, za dijagnozu problema povezanih satrojanima..

Autoruns - jedan od najboljih alata koji moze iskljuciti programe koji se pokrecu sa windozima, popisnajpopularnijih i dobrih i losih mozete naci ovdje i ovdje.

Process Explorer - najnapredniji i najbolji preglednik i analizator aktivnih procesa na svijetu! Idealno zaupoznavanje sa sistemom i trazenje aktivnog malware-a. Popis procesa koji su poznati ili dio windozamozete naci ovdje



ICQ: 106979934


GENERIKE UPUTE ZA MICANJE VIRUSA I TROJANACA 10.12.2004. u 06:02

GENERIKE UPUTE ZA MICANJE VIRUSA I TROJANACA

ovaj tekst je (uglavnom) napisao kolega NOD32 evangelist [email protected], ja sam samo prevoditelj (uz doputenjeofkors :)

Disklejmer: SVE KORAKE OVDJE OPISANE INITE SAMO I ISKLJUIVO NA VLASTITI RIZIK.

I NEMA NIKAKVIH GARANCIJA DA E USPJETI.

BA NIKAKVIH.

AK NI TIH.

Molim ISPRINTAJTE ove upute i proitajte ih u POTPUNOSTI prije nego to krenete dalje..

Slijedite korake onako kako su napisani, JEDAN PO JEDAN.

NEMOJTE ii jedan korak naprijed sve dok niste zavrili onaj na kojem ste sad.

Takoer provjerite da li imate NAJSVJEIJE verzije svih programa ovdje navedenih i/ili da su u potpunostiupdate-ovani.

Ako nemate AV (Antivirus), skinite jednog OVDJE i napravite update virusne baze.

KORAK 1. Skinite WinSock XP Fix. NEMOJTE ga jo pokrenuti.

KORAK 2. Ako nemate FW (Firewall), skinite i instalirajte neki besplatni kao to je ZoneAlarm - FW saVIZUALNIM UPOZORENJIMA tako da moete vidjeti koji programi ele pristupiti Internetu. Lista besplatnihse nalazi ovdje



KORAK 3. Skinite besplatni alat Stinger. NEMOJTE ga jo pokrenuti.

KORAK 4. Skinite jedan od ovih Anti-Trojan programa: TDS-3 (Trojan Defence Suite) - evaluacijskaverzija, TrojanHunter - evaluacijska verzija ili ewido - besplatan, plus verzija je evaluacijska. Instaliraji nadogradi bazu trojana. NEMOJTE ga jo pokrenuti.

KORAK 5. Instaliraj Spybot Search and Destroy - besplatan alat za micanje i zatitu od spyware-a, saregistry monitorom. Instaliraj i nadogradi bazu. NEMOJTE ga jo pokrenuti.

KORAK 6. Skinite Ad-Aware. Ovaj e besplatni program detektirati svu gamad koju ne detektira SpybotSearch and Destroy, vrijedi i obrnuto :) Instaliraj i nadogradi bazu. NEMOJTE ga jo pokrenuti.

KORAK 7. Skinite CWShredder odavde ili odavde - besplatan alat protiv jedne kategorije malware-a.Instaliraj i nadogradi bazu. NEMOJTE ga jo pokrenuti.

KORAK 8. Skinite VX2 Cleaner - besplatan alat za micanje specifinog spyware-a. NEMOJTE ga jopokrenuti.

KORAK 9. OBAVEZNO NADOGRADITE BAZU SVOG ANTIVIRUSA PRIJE NEGO NASTAVITE.

KORAK 10. Ugasite System Restore prije nego to nastavite, ovo se odnosi samo na Windows ME iWindows XP.

UPOZORENJE: Gaenje System Restore znai da vie NEETE moi vratiti OS u prijanje stanje.

Upute za Windows XP (upute sa slikama na engleskom)

1. Desni klik na My Computer ikonicu na Windows desktopu.

2. Kliknite na Properties.

3. Kliknite na System Restore tab.

4. Oznaite kvaicom opciju Turn off System Restore on all Drives.

5. Kliknite OK.

6. Zatvorite aktivne programe i restartajte komp.

ILI

Upute za Windows ME (upute sa slikama na engleskom)

1. Desni klik na My Computer ikonicu na Windows desktopu.

2. Kliknite na Properties.

3. Kliknite na Performance tab.

4. Kliknite na File system.

5. Kliknite na Troubleshooting.

6. Oznaite kvaicom opciju Disable system restore.

7. Kliknite OK.

8. Zatvorite aktivne programe i restartajte komp.

KORAK 11. Restarajte va komp u SAFE MODE-u tako to ete za vrijeme podizanja Windowsa pritiskatitaster F8. Probajte ovo nekoliko puta ako ne uspije iz prve.

Ako i dalje ne radi boot-anje u Safe mode, pogledajte upute na ovoj stranici (na engleskom).

KORAK 12. Izbriite privremene (engl. temporary) datoteke sljedeim koracima:

Otvorite Internet Explorer.

Kliknite na Tools

Kliknite na Internet Options

Kliknite na General tab.

Kliknite na Temporary Internet Files.



Klikinte na Delete Files.

Klikinte na Delete All Offline Content.

Dok ste u Safe mode uradite SVE od sljedeih koraka i OSTANITE U SAFE MODE-U sve do koraka 19:

KORAK 13. Pokrenite sken sa programom Stinger kojeg ste skinuli u 3. koraku.

KORAK 14. Pokrenite sken sa anti-trojan programom kojeg ste skinuli u 4. koraku.

KORAK 15. Pokrenite sken sa Spybot Search and Destroy programom kojeg ste skinuli u 5. koraku.

KORAK 16. Pokrenite sken sa Ad-Aware programom kojeg ste skinuli u 6. koraku.

KORAK 17. Pokrenite sken sa CWShredder programom kojeg ste skinuli u 7. koraku.

KORAK 18. Pokrenite sken sa VX2 Cleaner programom kojeg ste skinuli u 8. koraku.

KORAK 19. Restartajte va komp u NORMAL MODE

KORAK 20. Pokrenite online virusni sken koji se nalazi ovdje ili jedan sa ove liste.

KORAK 21. OBAVENO I BEZ IZLIKA napravite KOMPLETAN update svoje Windows maine sljedeimkoracima:

1. Za vrijeme dok ste spojeni na Internet kliknite na ikonicu od Internet Explorer-a (plavo "e");

2. Kliknite na Tools.

3. Kliknite na Windows Update opciju u meniju.

Ovo e vas odvesti na stranicu od Windows Update gdje trebate slijediti upute arobnjaka za instaliranje,poevi od EXPRESS INSTALL. Instalirajte SVE Critical Updates i Service Pack-ove.

PONAVLJAJTE GORE NAVEDENE KORAKE 3 PUTA, jer neki virusi, trojani i spyware se znaju jakoduboko zakopati u sustav..

Ako nakon ili za vrijeme gore navedenih koraka vaa Internet veza jednostavno prestane raditi,pokrenite WinSock XP Fix program kojeg ste skinuli u 1. koraku.

ILI

Uradite sljedee korake da biste izbrisali koruptirane registry kljueve i reinstalirali TCP/IP protokol.

KORAK 1. Izbriite koruptirane registry kljueve:

1. Kliknite Start dugme, kliknite na Run.

2. Upiite regedit i kliknite OK.

3. U Registry Editor-u doite do sljedeih kljueva i za svakog od njih kliknite Delete:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2

4. Kad vam iskoi dijalog za potvrdu da li elite izbrisati, kliknite na Yes.

5. Restartajte komp.

KORAK 2. Instalirajte TCP/IP:

1. Desni klik na vau konekciju na net (LAN/modem ikonica, stogod, ako ne znate gdje su u WindowsExplorer-u upiite Network Connections i klikinte enter) te kliknite na Properties..

2. Kliknite na Install.

3. Kliknite na Protocol i kliknite na Add.



4. Kliknite Have Disk.

5. Upiite C:\Windows\inf i kliknite OK.

6. Na listi dostupnih protokola odaberite Internet Protocol (TCP/IP) i kliknite OK.

7. Restartajte komp.

Nakon to ste preli sve navedene korake podijelite sa nama Vae iskustvo kako bismo svi netonovo nauili...



VRKYPuno ime: Tomislav Vrkljanlan broj: 21087Poruke: 4014*.net.t-com.hr.OS: WINDOWS XP

Jabber: [email protected]: 194179024Sajt: www.vrky.tk


Re: FAQ - virusi, antivirusi 19.12.2004. u 00:18

Poto ima dosta problema oko uklanjanja virusa/crva/trojanaca odluio sam napisati jedan osnovnitutor za uklanjanje malocijozni programa.

Mnogi misle da je uklanjanje malocijozni programa neka posebna vjetina ali nije, za to samo treba maloznati o OS (Operativni Sistem) i neke fore koje virusi koriste. Kod nekih malocijozni program nepa spasanego komanda

Code:Format C

. Lai se veina malocijozni programa da ukloniti.

Uklanjanje:

Za poetak instalirajte AntiVirus i obnovite mu definicije, zatim vidite je li on to naao, ako je i moeukloniti onda nema problema ali ako nemoe onda morate pokuati sami ukloniti. A to radite ovako:1.Potraite sumljive procese u task menegeru, ako je on disejblan obriite ovaj klju u registri bazi:

Code:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

. Zatim uklonite sumnjivi proces2. Pritisnite Start>Run i unesite

Code:msconfig

odatlem takoer uklonite sumljive startup fajlove.3. Pritisnite Start>Run i unesite

Code:regedit

. U registriju ima dosta fora koje malocijozni programi koriste, veina tih fora rade na principu da sakriju/uklne neke alate koji se nalaze u Windowsu npr. (sakrivanje sata, skrivanje runa, zakljuavanje registrijai task menegera itd. Veina tih fora nalaze se tu:

Code:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

&Code:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

odatle izbriite sumljive kljueve, ali pazite prije ikakog brisanja napravite backup baze. Pogledajte imateli i to ovdje:

Code:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\

kao te takoer izbriite jer to zabranjuje pokretanje nekih programa. I jo sami malo prozujajteregistrijem4. Restartajte PC. Ako i dalje imate probleme ponovite ovo toe od 1 do 3. Ao i dalje imate problemeprovajte ih ukloniti sa System Restorom

Code:%SystemRoot%\System32\restore\rstrui.exe

pokrenite ga i vratite sistem u neku prijanju toku.

Sa gore navedene toe trebali bi rijet va problem sa malocijoznim programima. Za vie informacijakontaktirajte me na PP ili [email protected] Sva pitanja moete ovdje postaviti, ubrzo e jo ovdje doineki linkovi. Puno sree

____________________________-=VrKy=-



Upute protiv spyware-a 18.01.2005. u 00:15

Poto smo primetili da dosta ljudi postavlja teme u kojima trae reenja za razliite probleme saWindowsom i Internetom, a za koje se kasnije ispostavi da su posledica virusa ili spyware-a, Sundance ija smo pripremili ovo malo uputstvo u kome moete proitati kako da na pravi nain zatitite svoj sistemod zlonamernih programa, i napada sa Interneta...

1. INSTALIRAJTE SERVICE PACK 2 ZA WINDOWS XP, I PODESITE SIGURNOSNE PARAMETRE U



ICQ: 106979934


WINDOWSU I INTERNET EXPLORERU

Najei uzrok inficiranja malware-om su preniski sigurnosni parametri vaeg OS-a i browsera. Postojimnogo naina za poboljanje sigurnosti, a neki od najpraktinijih su sledei:

a) Pazite ta skidate sa Interneta! Klijenti za P2P (peer to peer) mree poput Kazaa, eMule... su estouzrok problema jer se na njima nalazi masa programa koji dolaze sa integrisanim spyware-om. Osimtoga, veina dananjih crva obavezno imaju metodu irenja preko P2P mrea tako to se iskopiraju ushared direktorijume i to pod imenima tipa teen_porn.avi, winamp_6_preview.exe, tj. uglavnom podimenima za koje misle da bi mogli ciljati na iru publiku i da bi ih ljudi mogli masovno skidati. Pazite naveliinu takvih programa, instalacija Photoshopa od 300KB je gotovo sigurno virus! Obavezno sve skinutedatoteke naknadno skenirajte sa AV.

b) Ako imate Windows XP obavezno razmislite o instalaciji SP2. Najbolje na clean instalaciju Windowsajer e to eliminisati veliki broj problema sa kompatibilnou sa ve instaliranim programima. Nakoninstaliranja SP2 proverite i uradite sledee:

1. Desni klik na My Computer

2. Kliknite na Properties

3. Kliknite na Automatic Updates

4. Odaberite vreme koje vam odgovara.

Nadalje:

1. Desni klik na My Computer

2. Kliknite na Properties

3. Kliknite na System Restore

4. Kvaica na Turn off System Restore on all drives mora biti ISKLJUENA.

Iako System Restore moe pomoi prilikom nekih problema sa Windowsom, mnogi virusi mogu ostati uSystem Restore direktorijumu zato to AV programi esto skeniraju taj direktrorijum, ali ga ne mogudezinficirati, ili ga uope ne skeniraju!

1. Pokrenite IE tj. Internet Explorer

2. Kliknite na Tools

3. Kliknite na Windows Update

4. Instalirajte SVE update-ove vezane za sigurnost (security)!

Najbolje da odaberete opciju za Express Install i prepustite se arobnjaku za instalaciju.. Obaveznoproverite da li je vaa instalacija Java VM (Virtual Machine) up-to-date jer velik broj malware-a koristipropuste u njemu.

Dok ste jo u IE:

5. Kliknite na Tools

4. Kliknite na Internet Options

5. Kliknite na Security

6. Oznaite ikonicu Internet

7. Kliknite na Default Level.

Nakon toga kliknite na Custom Level i doite do dela za ActiveX i uverite se su postavljene sledeeopcije:

1. Promenite Download signed ActiveX controls na Prompt2. Promenite Download unsigned ActiveX controls na Disable3. Promenite Initialize and script ActiveX controls not marked as safe na Disable4. Promenite Installation of desktop items na Prompt5. Promenite Launching programs and files in an IFRAME na Prompt6. Promenite Navigate sub-frames across different domains na Prompt

Kliknite OK. Iskoit e vam poruka koja e vas pitat da li elite spremiti postavke, kliknite na Yes. Nakontoga kliknite na Apply dugme da se promene apliciraju pa kliknite na OK dugme za izlaz.

Ubudue e vam se za sve ActiveX kontrole koje ele biti pokrenute i instalirane pokazati prozor sapitanjem da li elite dozvoliti njihovo izvravanje. Za sajtove za koje ste 100% sigurni da su OK (recimood Windows Update i sl.) moete dodati pod IE->Tools->Internet Options->Security->Trusted sites.

ActiveX objekti su jako opasni, i kad dopustite vaem browseru da ih izvrava to je isto kao da ste samikliknuli na neki .exe na disku. Zato NIKAD ne instalirajte ActiveX kontrole sa xxx, warez, cracks sajtova,MA KOLIKO PUTA ISKAKALI POP-UP PROZORI ZA NJIHOVU INSTALACIJU.

Detaljnije upute o podeavanju sigurnosti IE-a imate ovdje, a najbolje je da koristite besplatan program



Enough is Enough! koji veinu opisanih stvari radi automatski.

2. UKLJUITE FIREWALL

U Security Center-u Windowsa XP SP2 se nalazi Microsoftov firewall koji prua osnovnu zatitu i sa SP2 jedobio i kontrolu aplikacija koje izlaze na mreu. Moe da bude dovoljan kao osnovno reenje, ali akoelite bolju zatitu moete instalirati neki drugi firewall. Postoji veliki izbor besplatnih i komercijalnihfirewalla, pogledajte listu besplatnih ovde. Prvih nekoliko je sortirano po popularnosti/kvalitetu, oni nadnu liste se ne preporuuju poetnicima.

Pogledajte ovaj test ukoliko se ne moete odluiti za neki na listi, a nakon to ste se odluili, moeteproveriti koliko je vas FW siguran preko nekog od URL-ova s ove liste:

ON-LINE SKENOVI ZA PROVERU SIGURNOSTI SISTEMA

SG Security Scan Information.

Broadband

Shields UP!

AuditmyPC

GFI Email Security Testing Zone

Mail relay testing

YALTA firewall leaktest

Tooleaky firewall leaktest

BlackCode Security Scan

Takoe ukoliko mislite analizirati statistike blokiranih upada vaeg FW-a, dobro e vam doi sledeealatke:

DODACI ZA FIREWALLE

ZoneLog Analyzer - za analizu ZoneAlarm logova

VisualZone - vrlo lep i doteran analizirator ZoneAlarm logova, ima mogunost slanja na DShield

VisualICE - analizator upada za BlackIce Defender

myNetWatchman - centralizirana analiza logova za ZoneAlarm, BlackICE Defender, Windows XP ICF/Windows Firewall...

3. INSTALIRAJTE ANTIVIRUS

Za zatitu od virusa, crva, trojanaca morate imati instaliran antivirusni program. Za razliku od firewall-au windowsu zasad ne postoji integrisano reenje, pa morate nabaviti odgovarajui antivirus. Osimkomercijalnih reenja Kasperskog, Nortona, Pande... postoje i besplatni antivirusi. Za diskusiju okokvaliteta pojedinih AV pogledajte ovu i ovu temu na Virii forumu.

Ukoliko jo niste instalirali antivirusni software, ili moda niste sigurni da va antivirus pruaodgovarajuu zatitu moete uraditi online virus scan, bez instalacije antivirusa. Sama nabavka antivirusanije garant sigurnosti. Da bi ste bili sigurni morate redovno sa neta skidati nove definicije, inae eantivirus samo zauzimati memoriju, a zatita e biti slaba.

4. REITE SE REKLAMNIH I PIJUNSKIH PROGRAMA, I ISKLJUITE SUMNJIVE PROCESE U SVOMKOMPJUTERU

Pre nekoliko godina se pojavila interesantna ideja da uz besplatne programe dobijete i "dodatak" kojiprikazuje reklame i skuplja informacije o vama. Kad su kompanije uvidele da ovo prolazi kod korisnikapostali su sve nametljiviji, i ovo je postao ozbiljan problem. Otilo se dotle da se prilikom poseteodreenim sajtovima instalira aplikacija koja menja poetnu stranu, izbacuje prozore s reklamama i kadaniste na netu...

Pojavili su se brojni programi za zatitu od Spyware-a, najpopularniji su AD-Aware SE, i SpyBot Search &Destroy. I njih je potrebno redovno aurirati, da bi bili dobro zatieni, poto se novi spyware stalnopojavljuje.

Program slian Spybotu jest i SpywareBlaster koji titi od spyware-a u svojoj bazi tako to blokiranjihove ActiveX objekte. Skinite i instalirajte ga i videete listu spyware-a koju program moedetektovati. Oznaite select all i kill all checked i gotovi ste. Na ovaj nain ste postavili kill bit za savspyware u bazi i ova je mogunost SpywareBlaster-a slina Immunize mogunosti Spybot-a. Nijenaodmet imati ih oba instalirana.

SpywareGuard je takoe odlian besplatan program koji slui kao komplmenent SpywareBlaster-u iomoguuje real-time zatitu (zatitu u realnom vremenu). Zatita u realnom vremenu je slina, kao kadrezidentni modul antivirusa blokira pokretanje izvrnih datoteka koje su zaraene nekim virusom, samosto SpywareGuard to radi za spyware! Takoe ima opcije za Download Protection i Browser HijackingProtection koje e onemoguiti maliciozne programe da otmu homepage vaeg omiljenog Internet



browser-a. (Napomena: SpywareGuard-ova zatita u realnom vremenu ne znai da u isto vreme ne moete imati i antivirus ukljuen, ak

je preporuljivo imati oba!)

IE-SPYAD je program koji e staviti vie od 5000 sajtova u Restricted Zone i tako vas zatiti kad odetena neki sajt koji se ini da je potpuno nevin, a u stvari sadri malware. Takoe e vas zatiti od skripti,ActiveX i Java programa te cookies koje moete pokupiti sa tih sajtova. IE-SPYAD2 verzija ovogprograma slui za instaliranje za sve korisnike na maini. Ako ste vi jedini korisnik tada e vam biti dostai IE-SPYAD.

Ovaj IE HOSTS fajl e vas zatiti od reklama, cookies, te veine otimaa browser-a tako to e HOSTSfajl blokirati server koji bi navedene poslastice ponudio vaem browser-u. Takoe vam na taj nainubrzava surf, te titi privatnost tako to blokira servere koji "pamte" vae navike pri surfovanjnjukoristei click-thru tracking metodu.

HOSTS fajl se instalira tako to prvo skinete hosts.zip i HOSTS fajl u njoj dearhivirate u odgovarajuidirektorijum:

Windows XP => C:\WINDOWS\SYSTEM32\DRIVERS\ETCWindows 2K => C:\WINNT\SYSTEM32\DRIVERS\ETCWin 98\ME => C:\WINDOWS

Nedavno je Microsoft izdao beta verziju svoj anti-spyware alata zvanog (zamisli samo) MicrosoftAntiSpyware. Stvar je fenomenalna, ali je trenutno jo u beta verziji tako da bismo je preporuili samoza one koji vole iveti "na rubu". Posebno treba istaknuti opcije za vraanje postavki otetog browsera,brisanje tragova koritenja dokumenata, auto-update i realtime monitor koji prati vie od 50 razliitihklasa postavki!

Poto jo uvek ne postoji software koji 100% sigurno uklanja spyware preporuujem da instalirate svespomenute programe, koji su se najbolje pokazali kad rade zajedno (ali koristite samo jedan realtimemonitor!).

Na kraju bi bilo najbolje posetiti Jason's Toolbox gde ete moda malo vie nauiti gde je va omiljenibrowser najvie ranjiv.

IE ima notornu povijest sigurnosnih problema, iako je update-ovana verzija manje-vie sigurna od iregadware-a, bilo bi korisno kao sigurnosnu mjeru razmisliti o alternativnim browserima tipa Firefox iliOpera ili Mozilla

Ukoliko ne vjerujete softveru koji radi i na linuxu, onda koristite napredne i uberkewl ljuske za IE poputMaxthon koji IE proiruju sa super-korisnim dodacima poput tabova, mouse gestures, automatskoblokiranje reklama na stranicama i pop-upova, skinovi, zatita privatnosti...

5. URADILI STE SVE NAVEDENO, ALI SE KOMPJUTER I DALJE UDNO PONAA.

Moda je u memoriji aktivan neki proces koji ovi programi nisu prepoznali. Aktivne procese moete videtiako startujete C:\windows\System32\taskmgr.exe koji se jo pokree i kombinacijom++. Besplatan, puno napredniji program koji daje jako detaljne informacije oaktivnim procesima i win32 servisima jest i Process Explorer. Spisak procesa sa objanjenjimapogledajte ovde.

Jo jedan program koji izbacuje listu aktivnih procesa, ActiveX dodatke, start-up programe.... koji mogubiti potencijalno opasni je HijackThis. Poto ovaj program izlista sve aktivne stvari, i korisne i tetnebriite samo stvari za koje ste 100% sigurni da predstavljaju opasnost. Za to moete konsultovatigoogle, ili postaviti pitanje na forumu. Ovaj program sam naveo zato to sam jedino uz pomo njegauspeo da oistim neke aplikacije, i trebalo bi ga koristiti samo kad je neophodno.

Na ovom domaem sajtu moete videti spisak windows start-up programa i servisa, sa objanjenjima,kao i uputstva za zatitu i ubrzanje vaeg kompjutera.





ICQ: 106979934


IE-SPYAD - Instalacija i podeavanje 18.01.2005. u 12:49

IE-SPYAD - Instalacija i podeavanje

IE-SPYAD je Registry datoteka (IE-ADS.REG) koja dodaje dugu listu sajtova i domena koje su poznatekao izvorita reklama, oglaivaa i malware-a u Restricted zonu IE-a. Jednom kad je ova lista sajtovaubaena u va Registry, veina takvih sajtova koji su izvorita reklama, oglaivaa i malware-a naInternetu nee moi koristiti cookie-e, ActiveX kontrole, Java applet-e ili skriptanje da bi kompromitiralivau privatnost ili PC dok surfate Internetom. Niti e moi koristiti va browser da vam ubace nepoeljnepop-up-e, cookie-e ili auto-instalirajue programe.

Imajte na umu injenicu da IE-SPYAD nije blokator reklama. On nee blokirati standardne bannerreklame u IE-u (za takve stvari koristitie ljuske za IE poput Maxthon koji imaju ugraen naprednimehanizam blokiranja svih vrsta reklama i ime tedite ne samo na brzini surfanja, ve su i stranicepreglednije i manje arene) - ono to Restricted lista sajtova poznatih oglaivaa i iritelja malware hoeuraditi jest sljedee:

sprijeiti neeljeni malware od instalacije Vama "iza lea" dok surfate i skidate programe

sprijeiti otimanje Vaeg homepage-a i ostalih postavki IE-a



ugasiti ActiveX, Java-u i skriptanje, tj. mehanizme koji omoguuju irenje reklama i kompromitiranjeprivatnosti i sigurnosti

blokirati cookie-e koji mogu biti koriteni za praenje vaeg surfanja Internetom.

boriti se protiv dosadnih skriptnih pop-up-a koji nagruju surfanje i prisiljavaju vas na gledanjeneeljenih reklama

Da biste skinili i instalirali IE-SPYAD molimo posjetite link na dnu ove stranice. IE-SPYAD se regularnonadograuje i instrukcije za instaliranje najnovijih update-a su takoer na stranici.

IE-SPYAD e raditi samo sa IE (Internet Explorerom), ne i sa drugim browser-ima.

1. Kako instalirati i podesiti IE-SPYAD dodatak za Internet Explorer

Za poetak posjetite sljedeu web stranicu:

https://netfiles.uiuc.edu/ehowes/www/resource.htm

Bilo bi dobro da (ako znate engleski) proitate sve informacije tamo tako da se upoznate sa nainom nakoji IE-SPYAD radi te proitate informacije o licenci.

Skinite IE-SPYAD zip datoteku ili verziju preko samoraspakirajue arhive te je spremite na pogodnulokaciju na vaem disku. Kreirajte folder za IE-SPYAD i ekstrahirajte zip datoteku u taj folder.

Jednom kad se ekstrahirali sve datoteke, pozicionirajte se u folder te napravite dvoklik na install.batdatoteku.



Iskoit e DOS-ovski prozor koji e vam ponuditi razne opcije.

Ako instalirate IE-SPYAD prvi put, pritisnite 2 na Vaoj tastaturi, pri emu e vam se prikazati sljedeaporuka:



Pritisnite 1 na Vaoj tastaturi i IE-SPYAD e se instalirati.

Sada moete pritisnuti bilo koji taster za nastavak ili 2 za izlaz.

2. Konfigurirajte Restricted zonu za sajtove

Ako ve niste konfigurirali Restricted zonu za sajtove na postavke maksimalne sigurnosti, tada biste totrebali napraviti, jer inae IE-SPYAD nee pravilno funkcionirati. Uradite sljedee:

1. Pokrenite Internet Explorer.

2. Kliknite u meniju na Tools.

3. Kliknite na Internet Options.

4. Kliknite na Security tab.

5. Kliknite na Restriced sites ikonicu.

6. Kliknite na Custom Level dugme.

7. Oznaite svaku stavku unutar postavki na ili Disable ili Prompt ili High safety, ovisno o tome to jeponueno. Posebnu panju obratite na stavku Use Pop-up Blocker koji ostavite na Enable.

8. Kliknite OK 2 puta.

Sad ste spremni ste za sigurno surfanje!

3. Kako nadograditi IE-SPYAD

Kada izae nova verzija IE-SPYAD, skinite sa slubene stranice novu zip datoteku na prikladno mjesto nahard disku. Nakon toga trebate deinstalirati Vau trenutnu verziju. Da biste to napravili, doite do vaegIE-SPYAD foldera i napravite dvoklik na install.bat datoteku koja e otviriti DOS-ovski prozor. Ovog putaelite deinstalirati pa pritisnite 1 na tastaturi kao to je prikazano na slici:

Opet pritisnite 1 na tastaturi.



Moete pritisnuti bilo koji taster za nastavak i 2 za izlaz iz programa. Sada se moete vratiti na poetakovog teksta i pratiti upute za instalaciju nove verzije IE-SPYAD.

NE ZABORAVITE REDOVNO NADOGRAIVATI IE-SPYAD



ICQ: 106979934


HOSTS datoteka i ta sa njom 20.01.2005. u 05:52

Uvod

Kada se veina Internet korisnika spaja na web sajtove, ftp serveri ili drugi Internet serveri se spajaju naime domene, kao to je npr. www.elitesecurity.org. Internet aplikacije ne komuniciraju sa imenamadomena, ve sa IP adresama, kao to je npr. 192.168.1.1. Stoga kad unesete ime domene u programkoji se elite na nju spojiti (recimo Va browser), program je prvo treba pretvoriti u IP adresu na koju ese spojiti.

Nain na koji se to ime domene pretvara u IP adresu se zove Domain Name Resolution. Na veini OS-eva,bilo da se to Mac, Linux, Unix, Netware ili Windows, veina tih pretvorbi iz imena domene u IP adresu sedogaa kroz proceduru zvanu kao DNS.

ta je to DNS

DNS je kratica za Domain Name System i standardan je servis za rezoluciju imena domena na Internetu.Kadgod se neki ureaj spoji na neki drugi ureaj ne Internetu, mora se spojiti preko IP adrese na taudaljeni ureaj. Da bi se dobile te IP adrese, DNS se koristi kako bi se ime domene mapiralo uodgovarajuu IP adresu. Ovo ureaj radi tako to "pita" svoj konfigurirani DNS Server koja je IP adresaodgovarajue domene. DNS server e tad pitati druge servere na Internetu koji znaju tonu informaciju oimenu te domene, i vratiti ureaju natrag tonu IP adresu. Ureaj e tad otvoriti konekciju direktno na IPadresu i obaviti traenu operaciju.

Unos HOSTS datoteke

Postoji jo jedan nain kako se ime domene moe pretvoriti u IP adresu bez koritenja DNS-a, a to jeupravo HOSTS datoteka. Gotovo svaki OS koji komunicira preko TCP/IP-a, standardne metodekomunikacije preko Interneta, ima datoteku koja se zove HOSTS. Ova datoteka Vam dozvoljava dastvorite vaa vlastita mapiranja izmeu imena domena i IP adresa.

HOSTS datoteka je u biti tekstualna datoteka koja sadri IP adrese koje su odvojene bar jednomrazmaknicom (space) i nakon koje slijedi ime domene, s tim da svaki zapis poinje u novoj liniji. Npr.recimo da elimo da ako unesemo www.google.com da ne odemo na Google trailicu ve da odemo narecimo www.yahoo.com. Da bismo ovo postigli moramo nai adresu Yahoo-a i mapirati www.google.comna tu IP adresu.

Jedna od IP adresa Yahoo-a jest 216.109.118.69. Ako elimo mapirati Google na tu IP adresu, u HOSTSdatoteku emo dodati sljedei unos:

216.109.118.69 www.google.com

Upozorenje: kada dodajete unose u HOSTS datoteku mora biti barem jedan razmak (space) izmeu IPadrese i imena domene. Nemojte koristiti web notacije kao to su \, /, ili http://. Moete onemoguitipojedini unos tako da ga komentirate stavljanjem znaka "#" na poetku linije.

Moda ete se zapitati kako ovo moe raditi kad smo maloprije rekli da kad ureaj eli mapirati imedomene u IP adresu koristi konfigurirani DNS server. U uobiajenim sluajevima ovo je istina, ali naveini OS-eva default-na konfiguracija jest da sva mapiranja sadrana unutar HOSTS datotekepremouju sve informacije koje bi se dobile sa DNS servera i koje vrijede za tu domenu, i umjesto togada se ita IP adresa iz HOSTS datoteke. Takoer je vano uoiti da kad dodamo vie unosa u HOSTSdatoteku oni automatski ponu raditi. Nema potrebe da restartamo mainu ili da pokreemo neku drugukomandu kako bi unosi u HOSTS datoteci poeli raditi.

HOSTS datoteka se nalazi na razliitim lokacijama ovisno koji OS koristite:



Linux/Unix => /etc/hosts

Windows 3.1/95/98/ME => C:\WINDOWS\hosts

Windows NT/2000/XP Pro => C:\WINNT\SYSTEM32\drivers\etc\hosts iliC:\WINDOWS\SYSTEM32\drivers\etc\hosts

Windows XP Home => C:\WINDOWS\SYSTEM32\drivers\etc\hosts

Netware => SYS:ETC/HOSTS

Apple => System Folder:Preferences i u samom System Folder

Na Windows mainama mogue je da po default-u HOSTS datoteka jo ne postoji. U tom sluaju enajvjerojatnije biti testna datoteka hosts.sam koju moete preimenovati u HOSTS i koristiti. Ovudatoteku moete editirati direktno iz komandne linije preko edit komande ili Notepada na win mainamaili recimo VI na *nix. U biti bilo koji tekstualni editor moe otvoriti i modificirati HOSTS datoteku. Takoerse preporua da je redovno bekapirajte kopirajui je pod drugim imenom. Neki ljudi preporuuju da ovudatoteku postavite na read-only tako da je tea za modificiranje malicioznim programima, meu kojimase posebno istiu otimai browsera (Browser Hijackers), ali postoje i otimai browsera poputCoolWebSearch koji dodaju unose bez obzira na to da li je datoteka read-only ili ne. Stoga ne bistetrebali misliti da tim to je postavljate na read-only da je zauvijek osiguravate od modifikacije.

Zato mi treba HOSTS datoteka?

Postoji mnotvo razloga zato biste trebali koristiti HOSTS datoteku izmeu kojih moemo istaknutisljedee:

Potencijalno poboljanje brzine surfanja - dodavanjem mapiranja IP adresa na sajtove u VauHOSTS datoteku moete potencijalno poboljati brzinu Vaeg surfanja. Ovo se dogaa zato jer kompjutervie ne mora pitati DNS server za IP adresu i ekati na njegov odgovor, ve umjesto toga moe punobre pogledati unos u lokalnoj datoteci. Imajte na umu da ova metoda nije puno preporuena jer nepostoji garancija da e ista domena uvijek imati istu IP adresu. Stoga ako vlasnik sajta odlui promijenitiIP adresu, vie se neete moi spojiti.

Blokiranje Spyware-a/reklama - ovo postoje jako popularan razlog za koritenje HOSTS datoteke.Dodavanjem ogromne liste poznatih mrea koja su izvorita reklama i Spyware sajtova u vau HOSTSdatoteku i mapiranjem imena domena na 127.0.0.1, to je tzv. loopback IP adresa koja uvijek pokazujena vau vlastitu mainu, blokirat ete ove sajtove od uitavanja. Ovo ima najmanje dvije beneficije: jednaje da e znaajno ubrzati vae surfanje jer vie neete trebati ekati na skidanje reklama iz tih reklamnihmrea (sajtova koji su specijalizirani kao skladita reklama) i kao drugo: Vae e surfanje biti punosigurnije jer vie neete biti u mogunosti doi do malicioznih sajtova.

Upozorenje: Vano je napomenuti da postoji dosta pritubi o usporavanju sustava kada se koristi velika HOSTS datoteka. Ovo se obinorjeava gaenjem DNS Client servisa pod Services applet-om Control Panel-a pod Administrative Tools. DNS klijent keira DNS zahtijeve umemoriji i kao trebao bi ubrzati cijeli proces, ali takoer i ita HOSTS datoteku u ke to moe usporiti sustav. Ovaj servis je nepotreban imoe biti izgaen.

Postoje HOSTS datoteke koje su ve napravljene tako da ih moete besplatno skinuti i koje sadreogromnu listu reklamnih servera, sajtova sa banner-ima, sajtova koji prate navike korisnika prekopijunskih cookie-a, sadre exploite ili vas inficiraju sa otimaima. Ispod je tipina lista najpopularnijihHOSTS datoteka:

MVPS HOSTS datoteka (moja preporuka): http://www.mvps.org/winhelp2002/hosts.htm

hpguru-ova HOSTS datoteka: http://webpages.charter.net/hpguru/hosts/hosts.html

HOSTS datoteka projekt: http://remember.mine.nu/

Preporua se da prije skidanja bekapirate izvornu HOSTS datoteku tako to ete je preimenovati uHOSTS.ORIG

Korisni programi za odravanje HOSTS datoteke

Ako ne planirate modificirati vau HOSTS datoteku previe i planirate je korititi s vremena na vrijeme zatestne namjene, tada e osnovni tekstualni editori poput VI, Notepad ili DOS Edit biti sasvim dovoljni zaodravanje Vae HOSTS datoteke. S druge strane, ako HOSTS datoteku mislite koristiti u velikoj mjeri zablokiranje reklama/spyware-a ili zbog nekog treeg razloga, tada postoje dva alata koja Vam mogupomoi:

eDexter - Kada blokirate reklame na sajtovima koristei HOSTS datoteku, na ekranu se nacrtaju praznerupe (etverokuti) na mjestima gdje bi se inae pojavile reklame. Ako vam omo smeta, moete koristitieDexter da poputnite tu sliku sa nekom proizvoljnom poput prazne slike ili neke koja vam je po volji. Ovozamjenjuje prazne etverokute i brzo je jer se slika uitava sa Vaeg diska.

Hostess - Hostess je aplikacija koja slui za odravanje i organiziranje Vae HOSTS datoteke. Ovajprogram ita Vau HOSTS datoteku i organizira unose sadrane u bazi podataka. Moete zatim koristiti tubazu pri skeniranju za duplikate i odravanjem unosa. Ovaj program definitivno morate isprobati akomislite ozbiljno prkati po HOSTS datoteci.



SundancePuno ime: John Uskglasslan broj: 7510Poruke: 2561Lokacija: One Microsoft

Ekstenzije izvrnih datoteka 20.01.2005. u 13:53

Omoguavanje gledanja ekstenzija



Way,Redmond*.sava.sczg.hr.OS: WINDOWS XP

ICQ: 106979934


Nevidljive ekstenzije - to ne vidi, ne moe ti nauditi. Po default-u Windows nemaju pregled ekstenzijadatoteka ukljuen. Ovo omoguava piscima virusa da distribuiraju izvrne datoteke preruene kaoneizvrne. Npr. .EXE datoteka moe izgledati poput nedunog tekstualnog dokumenta.

Omoguavanje pregleda ekstenzija na Windows 95/98/NT

1. Pokrenite Windows Explorer (Klikom na My Computer).

2. Kliknite u meniju na View.

3. Kliknite na Options.

4. Maknite kvaicu sa