MALICIOZNI

SOFTVERI
 UVOD

Današnji život ne može se zamisliti bez informatičko-komunikacionih tehnologija (IKT) koje su čovjeku olakšale
način života, ali isto tako ga izmijenile iz temelja. Informatičko-komunikacione tehnologije nam omogućavaju
donošenje brzih, pravovremenih, potpunih i sveobuhvatnih odluka, što je zapravo karakteristika i zahtjev današnjeg
doba. Da bi smo bili u stanju da to sve ostvarimo, pored mogućnosti koju nam pružaju IKT, potrebno je ispuniti
odgovarajuće preduslove za efikasno funkcionisanje informaciono-komunikacionog sistema. Osnovni preduslov jeste
njegova funkcionalnost i pouzdanost. Upravo nad pitanjem pouzdanosti ovih sistema nadvio se jedan taman i opasan
oblak – maliciozni softver. Pojam “malware” (“malicious software”) je termin koji se koristi za sve vidove programa
koji nanose štetu, bilo da se ona odnosi na sigurnost podataka na računaru ili na štetu nanjetu korisnikovoj
privatnosti. Malware programi se klasifikuju prema tome šta čine, kako se izvršavaju i prema načinu na koji se
umnožavaju. Zajedničko za sve vrste malware programa je to da se šire uglavnom bez obzira na volju korisnika,
osim ukoliko sam korisnik ne želi da “zarazi” određeni sistem, i na taj način ga ugrozi.
Motivi za ovakvo ponašanje nekih korisnika mogu biti Zbog postojanja ove vrste opasnosti, razvila se
različiti: posebna proizvodno-softverska grana čiji je posao i
krajnji cilj uklanjanje ili bar smanjenje te opasnosti.
 edukativni,
Maliciozni softver ne predstavlja samo pretnju
 dokazivanje u hakerskom svijetu, klasičnim personalnim računarima nego i mnogo
širim oblastima – bankarstvu, industriji, trgovini.
 finansijska korist istraživanjem ponašanja korisnika
kako bi se svrstali u određenu ciljnu grupu, a potom
servirale određene reklame,
 industrijska špijunaža,
 - krađa novca elektronskim putem,
 - prenošenje raznih drugih poruka (političkih, ličnih,
pa čak i totalno besmislenih poruka) itd.
 HISTORIJA RAČUNARSKIH VIRUSA

- Program koji se smatra prvim pravim virusom nastao je daleke 1981. godine. Prvi kompjuterski virus se zvao Elk
Cloner i bio je napisan za Apple II računar. Termin “kompjuterski virus” je dao Fred Cohen, 1983. godine dok je
eksperimentisao sa DEC VAX računarima u okviru naučno-istraživačkog rada. Tada je on klasifikovao viruse na
“istraživačke” i viruse “u divljini”.
- 1986. godine kreiran je prvi virus za PC računar po imenu Brain. To je bio boot-sektor virus napisan u Pakistanu i
inficirao je isključivo boot sektor disketa formatiranih na 360 KB. Nanosio je štetu tako što je popunjavao preostali
prostor na disketi i na taj način onemogućavao dalje korišćenje. To je bio i prvi “stealth” virus, što znači da je
pokušavao da se sakrije od detekcije. Kada bi korisnik kompjutera htio da vidi inficirani boot sektor, prikazivao bi
mu se lažni (neinficirani) boot sektor.
- U martu 1988. godine kreiran je prvi anti-virusni program. Detektovao je i popravljao štetu koju je činio Brain
virus. Međutim, iste te godine napravljen je virus po imenu Cascade, koji je značajan je po tome što je bio kodiran.
 1990. godine pojavljuju se virusi koji imaju napredne karakteristike, kao što su polimorfizam (enkriptovani virusi,
gde je kod za dekodiranje promenljiv), oklopljavanje (armoring tj. onemogućavanje rastavljanja virusa) i
“multipartite” (virusi koji inficiraju i boot sektor i programe).
 1991. godine pojavljuje se virus koji kombinuje sve tri napredne osobine. On je polimorfan, oklopljen i
multipartitan. Iste godine nastaje i anti-virusni program – Norton Antivirus.
 1993. godine pojavljuje se virus poznat kao Cruncher koji je istorijski označen kao “dobar”. Isti je inficirane
izvršne fajlove kompresovao i na taj način štedio korisnicima prostor na disku.
 Krajem 1995. godine pojavili su se Microsoft Word makro virusi. Ubrzo potom, u toku 1996. godine, virus
Word.Concept postaje najrašireniji Word macro virus. Iste godine, za tada novi operativni sistem Windows 95,
nastaje prvi virus po imenu Boza.
 1999. godine pojavio se Melissa virus koji se širio preko Microsoft Outlooka i Outlook Express e-mail klijenata.
 2000. godina ostaće zapamćena po virusu “I Love You” koji se širio nekontrolisano putem e-mail komunikacije
tako što se automatski slao svima iz address book-a e-mail klijenta.
Od 2000. godine do danas, slobodno se može reći da je nastala prava industrija u razvoju malicioznog softvera. Više
to nisu samo klasični virusi, već su to programi koji se ponašaju kao i virusi koje poznajemo iz realnog života. Znači,
sve više dolazi do mutacije i nekih novih hibridnih proizvoda malicioznog softvera. U novijoj historiji, pojavljuje se
sve više i više novih virusa koji se uglavnom zasnivaju na iskorišćenju grešaka u operativnim sistema i raznim
programima koji komuniciraju sa Internetom. Naročito je ugrožen Windows, a u mnogoj manjoj meri ostali
operativni sistemi koji se danas koriste. Malware programe je jednostavno nemoguće iskorjeniti, jer će uvijek biti
novih varijanti koje iskorišćavaju nove propuste. Činjenica je i da sa napretkom softvera, operativnih sistema, email
klijenata... nestaju stari bagovi, a postojeći operativni sistemi i programi jednostavno postaju tehnološki zastarjeli, pa
se povlače iz upotrebe i zbog toga malwar programi vremenom postaju nefunkcionalni.
 VRSTE MALICIOZNOG SOFTVERA

Postoji nekoliko osnovnih vrsta malware programa, među kojima

su:
 virusi
 crvi (worms)
 trojanski konj
 spyware/adware
 exploiti
 rootkit-ovi
 phishing
Osobine različitih vrsta malware programa se u velikom broju
kombinuju, tako da je ponekad veoma teško odrediti kojoj vrsti
malware-a neki maliciozni softver pripada.
 VIRUSI

Kompjuterski virus je program koji se integriše u samu strukturu drugog programa i

sadrži kod pomoću kojeg sam sebe kopira tako da može “zaraziti” druge programe,
modifikujući ih na način da se prilikom pokretanja programa prvo aktivira virus
( maliciozni kod ) pa tek onda (sad već zaraženi) program.
 PODJELA VIRUSA PREMA NAČINU
FUNKCIONISANJA
 Boot sektor i Master Boot Record Infektori - Sistemski (SYSTEM) ili boot-sektor (BOOT-RECORD ili BOOT-
SECTOR) virusi. Ovi virusi napadaju Master BOOT sektor, DOS BOOT sektor ili BOOT sektor floppy disketa,
odnosno program koji se u njima nalazi. BOOT sektor je idealan objekt za infekciju, budući da sadrži prvi
program koji se izvršava na kompjuteru, čiji se sadržaj može mijenjati. Kada jednom kompjuter bude ukljucen,
program u ROM-u (BIOS) ce bez pitanja učitati sadržaj Master BOOT sektor u memoriju i izvršiti ga. Ako se u
njemu nalazi virus, on ce postati aktivan.
 Parazitski virusi - Najcešca vrsta virusa su upravo parazitski virusi. Ovi su virusi sposobni zaraziti izvršne
datoteke na kompjuterskom sistemu dodavanjem svog sadržaja u samu strukturu programa, mijenjajuci tok
inficiranog programa tako da se virusni kod izvrši prvi. Poznati kompjuterski virusi sposobni su
zaraziti .COM, .EXE, .SYS i druge datoteke.
 Svestrani virusi - ˝Dobre˝ osobine boot sektor i parazitskih virusa ujedinjene su kod svestranih (multipartite)
virusa. Ovi virusi sposobni su zaraziti i BOOT sektore i izvršne programe, povecavajuci tako mogucnost širenja.
Poput boot sektor virusa i ovi su virusi iznimno efikasni u širenju.
 Virusi pratioci - Najjednostavniji oblik kompjuterskih virusa su upravo virusi pratioci. Oni koriste prioritet kojim
se izvršavaju programi s istim imenom pod DOS-om. .COM datoteke se uvijek izvršavaju prije .EXE datoteka,
programi iz direktorija koji su na pocetku PATH niza izvršavaju se prije onih sa kraja. Virus pratilac obicno
stvori .COM datoteku koristeci ime vec postojeceg .EXE programa i ugradi u nju svoj kod. Princip je jednostavan
- kada program bude pozvan, umjesto originala s .EXE ekstenzijom, prvo ce se izvršiti podmetnuti .COM
program s virusnim kodom. Kada izvršavanje virusnog koda bude završeno, virus ce kontrolu vratiti kontrolu
programu s .EXE ekstenzijom. Da bi prikrio prisustvo, virus pratilac ce postaviti skriveni atribut za .COM
program u koji je stavio svoj sadržaj. Ova vrsta ne mijenja ˝napadnuti˝ program, a zbog nespretnog nacina širenja
ne predstavlja vecu opasnost.
 Link virusi - Najinfektivnija vrsta virusa su link virusi koji jednom pokrenuti, u trenu inficiraju kompjutrrski
sistem. Poput virusa pratioca ovi virusi ne mijenjaju ˝napadnute˝ programe vec mijenjaju pokazivace u strukturi
direktorija na takav nacin da ih preusmjere na klaster na disku gdje je prethodno sakriven virusni kod. Na svu
srecu, ova izrazito infektivna i neugodna vrsta virusa, koja zbog samog nacina razmnožavanja može izazvati pravi
haos na disku, ima trenutno samo dva predstavnika i ukupno cetiri varijante.
 ANSI bomba - ANSI bomba je sekvenca karaktera, obicno ubacena u tekstualnu datoteku, koji reprogramira
razlicite funkcije tipki na racunarima s ANSI terminalskim driverima. Teoretski, specijalna sekvenca karaktera
može biti ukljucena u neku poruku kako bi reprogramirali tipku ENTER da izvrši komandu “format c:” (s return
karakterom na kraju).
 Tunelirajuci virusi - Ovo su virusi koji pronalaze originalni prekidni potprogram (interrupt handler) u DOS-u i
BIOS-u i pozivaju ih direktno tako zaobilazeci bilo koju aktivnost programa za nadgledanje. Takav program za
nadzor od infekcije može biti ucitan i presretnut u svom pokušaju da detektira aktivnost virusa. I obratno, neki
antivirusni programi koriste tehniku tuneliranja u pokušaju da zaobiđu neki nepoznati ili ne detektirani virus koji
može biti aktivan dok se ovaj program izvodi.
 Makro virusi - Virusi koji su napisani višim programskim makro jezikom imaju mogucnost da sami sebe kopiraju,
brišu i mijenjaju dokumente.
 Kernel virusi - Kernel virusi su oni virusi koji ciljaju na specificne osobine i funkcije programa koji koriste ljusku
(kernel ili core) operativnog sistema. Npr. 3APA3A je DOS-kernel virus, ali istovremeno spada i u skupinu
multipartitnih virusa.
 CRVI (WORMS)

Za razliku od virusa, crvi nisu dio drugih programa, već su to zasebni programi koji se prenose i izvršavaju koristeći
slabosti operativanog sistema, a posebno programa za transmisiju podataka na Internetu. Prvi crv se pojavio 1978.
godine, a stvorila su ga dva istraživača u Xerox PARC istraživačkom centru. Prvi koji je pridobio veću pažnju je
Morris crv, koji se pojavio 1988. godine i vrlo brzo zarazio puno kompjutera, a koristio je greške u Unix operativnom
sistemu. Pored umnožavanja, crvi mogu biti dizajnirani i da rade druge radnje, kao što je brisanje podataka,
instaliranje backdoor programa, slanje e-mailova... a takva fukcija kod crva se naziva “payload”. Samo po sebi,
širenje crva može predstavljati priličan problem kod performansi mrežnih resursa, a primjer za to je globalno
usporavanje Interneta pri maksimalnom širenju jednog od najpoznatijih i najraširenijih virusa današnjice – MyDoom
crva
 TROJANSKI KONJ (TROJAN HORSE)

Trojanski konj ili kraće trojanac je maliciozni računarski program koji se lažno predstavlja kao neki drugi program s
korisnim ili poželjnim funkcijama. Vecina trojanaca ima nazive vrlo slicne ili uobicajenim korisnickim programima
ili posebno primamljivim aplikacijama. Za razliku od virusa i crva, trojanski konj ne može sam sebe umnoavati.
Naziv trojanski konj nastao je po poznatoj prici o osvajanju grada Troje zloupotrebom povjerenja. Na sličan se nacin
virtualni trojanski konj može predstaviti kao igra ili zanimljiv sadržaj koji se šalje u e-mail poruci. Kada se pokrene,
na računar se npr. instalira aplikacija za udaljenu kontrolu. Može izvoditi razne aktivnosti poput kradje korisničkih
lozinki, brojeva kreditne kartice, PINa i drugih osjetljivih informacija koje potom šalje nekoj drugoj osobi ili može
nepotrebno zauzimati resurse računara usporavajući ga na taj nacin.
 PHISHING

Phishing je kriminalna aktivnost koja koristi tehnike socijalnog inženjeringa kako bi se steklo poverenje korisnika i
pomoću trikova otkrile osetljive informacije. Napadač pokušava da imitira poznate sajtove kao što su online
prodavnice ili banke. Na primer, eBay i PayPal su u SAD dva najomiljeniji entiteta koja se koriste u tehnici phishing
napada. Online Banking portali su, kao što je već pomenuto, postali popularni za napadače, jer uspešan phishing daje
potpun pristup neovlašćenim licima računu korisnika. Phishing kampanja se obično sprovodi korišćenjem softvera za
ćaskanje ili putem neželjenih e-mailova (SPAM). Napadači postavljaju klon ciljanog sajta na neki besplatni web
server, komponuju e-mail poruke koje izgledaju legitimno i neoprezne korisnike preusmeravaju na falsifikovani sajt.
Neoprezni korisnik popunjava polja sa svojim do tada tajnim podacima (user name, password, PIN) i na taj način
direktno ih predaje napadaču. Posljedice ovakvog čina veoma je lako zamisliti.
 ANTIVIRUSNI PROGRAMI

Antivirus software je poseban software dizajniran tako da zaštiti računare i njihove diskove od prisustva raznih
kompjuterskih virusa. Često je antivirus program u mogučnosti eliminirati virus iz inficirane datoteke. Medjutim,
većina antivirus programa će kasno eliminisati samo one viruse koji su već postojali u vrijeme kad je program
napisan. Da bi prevazišli ovaj problem, firme koje prodaju antivirus programe omogućavaju update novim
antivirusnim programima putem interneta, ili tako što klijentima redovno dostavljaju updateputem interneta. Prema
tome, da bi sistem uspješno štitio od virusa, mora se stalno voditi računa o tome da li ima adekvatan i pouzdan
antivirus softverski paket i svakodnevno praviti update antivirusa protiv najnovijih virusa. Nema sumnje da je
antivirusni program potreban i nezamjenjiv u svojoj ulozi. Medjutim, ima mnogo važnih stvari koje mogu biti
preventivno učinjene da bi se umanjio rizik od infekcije kao i smanjile posljedice virusnog djelovanja. U tu svrhu
služe, prije svega, preventivne mjere koje će u sprezi s dobrim antivirusnim programom dati daleko sigurnije i
pouzdanije rezultate kod antivirusne implementacije.
HVALA NA PAŽNJI!
RADIO:TARIK NESLANOVIĆ