Malware – zloćudni software na klik od vas

Tekst ovog članka pisao sam za Elef Magazin još 2009. godine, pod pseudonimom x86PC. Postoje tri nastavka koji se mogu videti na sledećoj adresi. Naravno, dosta toga se promenilo od 2009. godine, ali ovaj tekst sadrži najosnovnije pojmove i principe na kojima se zasniva malware koji su tokom godina ostali isti.

 

begin QUOTE:

Glavni cilj ovog teksta je da vam pruži više informacija o malware-u, kako bi ste znali da ga bolje i brže prepoznate, da ne biste postali još jedna “žrtva” malware-a na internetu.

Malware je složenica od engleskih reči malicious i software. U prevodu znači maliciozni ili zloćudni softver. Svrha ovog softvera je da se bez znanja i pristanka vlasnika pristupi računaru.

Korist od ovakvog softvera može da varira počev od krađe lozinki, bankovnih računa, indentiteta na internetu do korišćenja zaraženog računara za DDoS (distributed denial-of-service) napade, slanje hiljada nepoženjih poruka (SPAM) ili za “anonimno” sufrovanje internetom (zaraženi računar se koristi za izvršenje nelegalnih radnji na internetu).

U ovu kategoriju spada bilo koji softver koji remeti normalan rad računarskog sistema ili računarske mreže. Klasična podela ovakvog softvera izvršena je na sledeće podkategorije:
 

1. Trojanci (engl. trojan horses)

2. Crvi (engl. worms)

3. Rootkit

4. Backdoor

5. Spyware

6. Adware
 

Naravno, postoje malware softveri koji mogu da imaju osobine i ponašaju se kao tipovi nekoliko podkategorija, tako da granice ove podele nisu striktne. Takav softver samo je mnogo više destruktivniji i teže se otklanja sa računarskog sistema.

 

1. Trojanci (engl. trojan horses)
 


 

Trojanski konj, skraćeno Trojanac, je pojam koji opisuje malware koji na prvi pogled korisnika obavlja neki posao za koji je namenjen, dok u pozadini omogućava neovlašćeni pristup računarskom sistemu korisnika. Sam izraz nastao je iz Grčke mitologije, iz priče o Trojanskom konju. Glavna karakteristika koja ih deli od ostalih kategorija malware-a je ta da se Trojanci ne šire sami od sebe već zahtevaju upustva od strane hakera za to kao i za ostale stvari koje radi na zaraženom računaru.
 

Trojanci su dizajnirani da omogućavaju hakeru pristup drugom računarskom sistemu preko interneta. Kad se trojanac instalira na željeni računar on ima mogućnost da izvršava određene operacije na tom računaru, koje zavise od konstrukcije i dizajna. Najćešće, operacije koje trojanci poseduju, a koje haker može da izvršava, su:
 

1. Prikupljanje i krađa poverljivih informacija;

2. Instalacija softvera (uključujući i druge oblike malware-a);

3. Download, Upload, Brisanje, Kreiranje i Modifikacija fajlova;

4. Pregled radne površine korisnika;

5. Dodavanje računara u BotNet mrežu (DDoS napad);

6. Prikupljanje i preuzimanje teksta koji je unet sa tastature (Keystroke logging);

7. Zauzimanje resursa računarskog sistema i negovo usporavanje.
 

Ovo je samo deo onoga što sve može da uradi jedan Trojanac, a kompletna lista operacija zavisi od znanja i umeća hakera koji ga je kreirao.

 

Trojanci nove generacije – MSN Trojanci
 


 

Poslednja reč kada su u pitanju Trojanci su nove generacije, koji koriste MSN kao server koji je posrednik između hakera sa jedne, i “žrtve” sa druge strane. Prednost koju donosi ovakva struktura i organizacija Trojanaca jeste mnogo lakši i bolji način konekcije hakera na zaraženi računar. Port koji se koristi za MSN servis uglavnom je otvoren na svakoj mreži, a kada se koristi klasičan Trojanac, nasumični port koji je izabran često biva blokiran na mreži.
 

Sa druge strane, mnogo je teže ostvariti direktnu vezu između hakera i “žrtve” jer su danas neophodni ruteri koji zahtevaju forward-ovanje portova, tako da je ovo veliki pomak u razvoju Trojanaca. Još jedna i veoma bitna odlika jeste da su oni relativno novi i da su još uvek ispod radara svih anti virusnih kompanija, za sada.
 

Imajte sve ovo na umu zato što se baš vama može desiti da budete na meti jednog ovakvog trojanca kada sledeći put budete instalirali „softver“ koji ste download-ovali besplatno sa interneta.

 

 

2. Crvi (engl. worms)
 


 

Kompjuterski crv (engl. computer worm) je vrsta malware-a koji ima sposobnost da se sam kopira na više sistema. Koristi mrežu da pošalje sam sebe svim računarima u mreži i neretko koristi rupe u sigurnosti operativnih sistema. Danas se možemo susresti sa veoma naprednim crvima koji se distribuiraju putem USB fleš memorija, preko MSN-a, peer-to-peer aplikacija, pa čak i preko sajtova za društveno umrežavanje kao što je Facebook.
 

Crvi uvek nanose štetu mreži, samim tim što šalju sebe preko nje pa je opterećuju i ometaju njeno normalno funkcionisanje. Šteta koja može da bude naneta sistemu uglavnom se bazira na bespotrebnom zauzimanju rezursa sistema (CPU, RAM, HDD), do veoma maštovitih radnji kao što su otvaranje i zatvaranje CD/DVD-ROM-a, pomeranje redosleda kucanih tastera na tastaturi itd… Takođe, postoje i oni čiji je glavni cilj samo download nekog drugog malware-a i dalje širenje putem propusta u operativnom sistemu.
 

Danas su crvima pridružene funkcije ostalih podkategorija malware-a, što ih čini mnogo opasnijim od onih prvobitnih.

 

 

3. Rootkit
 


 

Rootkit je malware koji se može sastojati od više programa, čiji je glavni cilj da prikriju činjenicu da je sistem kompromitovan.
 

Nasuprot onome što njegovo ime može da podrazumeva, Rootkit ne dodeljuje administratorske privilegije korisniku, već omogućava pristup, pokretanje i modifikovanje sistemskih fajlova i procesa. Napadač može da koristi Rootkit za zamenu (modifikaciju) vitalnih procesa sistema, koji tada mogu da se koriste za sakrivanje procesa i fajlova koje je napadač instalirao, kao i sakrivanje samog Rootkit-a.
 

 

Rootkit-ovi su možda nastali kao regularne aplikacije, sa namerom da preuzmu kontrolu nad sistemom, ali poslednjih godina uglavnom su malware koji ima cilj da pomogne napadačima da dobiju pristup sistemu uz izbegavanje detekcije.
 

Rootkit-ovi postoje za različite operativne sisteme, kao što su Microsoft Windows, Linux, Mac i Solaris. Rootkit-ovi često menjaju delove operativnog sistema ili instaliraju sebe kao drajvere ili kernel module, u zavisnosti od internih detalja mehanizama operativnog sistema.

 

 

4. Backdoor
 


 

Backdoor je pojam u kompjuterskom svetu koji predstavlja metod “zaobilaženja“ normalne autentifikacije, potvrde intentiteta, zaštićenog pristupa udaljenom računaru, pristup privatnim podacima itd. Backdoor može imati formu instaliranog programa, a može biti i modifikacija postojaćeg ili hardver uređaja.
 
Zbog svih ovih osobina, uvek se posebna pažnja posvećuje tome da sve ostane neoktriveno. Jedna vrsta Backdoor-a koji se najviše koristi danas je c99 php shell. Kada se ova php strana upload-uje na web server omogućava upload, download, kreiranje i editovanje fajlova na serveru bez ikakvog logovanja.
 

 
Takodje pomoću njega je moguće izvršavati direktno komande na serveru, tako da je u zavisnosti od vrste servera moguće pomoću exploit-a dobiti kontrolu nad celim web serverom (login kao root korisnik). Novost je da se razvio i c99 php shell sa .jpg ekstenzijom radi što boljeg skrivanja fajla na serveru.

 

 

5. Spyware
 

 
Spyware je tip malware-a koji, kad se instalira na kompjuter, sakuplja podatke o korisnicima bez njihovog znanja. Postojanje Skyware-a je skiriveno od korisnika sistema i uglavnom je instaliran tajno, mada se može desiti da je instaliran na nekom deljenom računaru od strane administratora za tajni monitorning ostalih korisnika. Funkcije Spyware-a danas daleko prevazilaze obično tajno “nagledanje” korisnika.
 
Evolucija ih je dovela do toga da sada mogu da prikupljaju veoma širok spektar informacija (istoriju internet surfovanja, sliku celokupnog desktopa, zapamćene šifre na računaru, kucana slova sa tastature itd.). Imaju mogućnost da instaliraju i drugi malware koji može da uradi redirekciju Web browser-a na neku drugu adresu bez obzira na adresu koju je korisnik želeo da poseti.
 
Spyware je poznat i po tome što menja kompjuterska podešavanja, koja za rezultat imaju veoma spore brzine pristupa internetu, drugačije home stranice, nefunkcionalnost programa koji koriste internet itd.
 

 

Keylogger
 
Jedan od najbitnijih oblika Spyware-a su Keylogger-i. Oni “sakupljaju” sve što se unosi sa tastature, gde je sve to uneto, preko koje aplikacije, koji su sve sajtovi posećeni, slikaju vašu radnu površinu i sve to šalju nekome. Tako da ako i niste sačuvali svoje šifre nigde u sistemu ili nekom programu opet neko može da ih preuzme od vas.
 
Postoje par anti keylogger programa koji mogu da vas zaštite, mada postoji mogućnost da “prevarite” keylogger tako što ćete da podelite šifru u slogove, pa onda da kucate šifru počev od zadnjeg sloga i da vraćate mišem kursor na početak sve dok ne unesete celu šifru. Na primer: ako vam je šifra password123peraperic posle ovakvog unosa vaša šifra bi bila zabeležena kao pericpera123password.

 

 

6. Adware
 

 
Adware je bilo koji software-ski paket, deo malware-a, koji automatski pokreće, prikazuje ili skida reklame na računar posle instalacije, ili dok se program koristi. Neke vrste adware-a su deo Spyware-a jer ugrožavaju privatnost na internetu.
 
Funkcije reklamiranja su integrisane ili su u vidu paketa pridružene sofware-u, dizajnirani su obično tako da imaju za cilj prikupljanje internet sajtova koje posećuje korisnik i da mu pokaže (nametne) reklamu koja je veoma slična onome što je na toj internet strani.
 
Adware često šire sami programeri software-a da bi smanjili razvojne troškove, i ponekad dozvoljavaju da se koristi program besplatno ili sa plaćenjem manje cene. Po svojoj prirodi i svrsi adware zna da bude voema iritantan i da skreće pažnju korisnika od posla koji radi za računarom.

 

Besplatni anti virusi
 

 
Poseban vid adware-a koji takođe spada i u spyware jesu lažni besplatni anti-virusni alati koji se mogu naći na internetu. Koriste lakovernost internet korisnika da bi se instalirali na računar. Prikazuju lažne poruke da je sistem zaražen virusima i nude bespatno rešenje. Posle instalacije mogu da skinu i pokrenu neki drugi oblik malware-a ili da prosto sakupljaju podatke i da se šire dalje pomoću USB uređaja ili p2p programa.

 

Nadam da sam uspeo da vam približim osnovne pojmove o malware-u. Takođe ova priča treba da vas navede na razmišljanje o tome kako vrlo lako možete postati sledeća žrtva, ako ne budete dovoljno pazili.

end QUOTE.

 

 

 

19 CommentsLeave a comment

  • Cujo odlican tekst za upoznavanje onih neupucenih ali svakako koristan i onima koji imaju predstavu o malware-u. Predstavlja nesto kao bazu sa definicijama :-)

      • pa pazi, nemam skoro nikad viruse, (i iskljucio sam autorun), ali za svaki slucaj, msm posto u npr skoli u koju idem nema kompa koj nema virus koj foldere pretvara u folder.exe (radimo u AutoCad-u) i time sjebe sve u njemu (znam kako da sredim…) ali ima dosta njih iz odeljenja koji ne znaju, i daju usb sa tim virusom…
        nije nesto tezak program, a moze dosta da uradi :)

  • ***prijatelj.v***
    Pozdrav,vidim da postoji tema na sajtu, gde se ulazi u sustinu i samu problematiku virusa i programa za zastitu,sto pozdravljam, pa da napravim neku svoju analizu,i iznesem moj problem.

    Jedan period koristio sam AVG antivirus.Ne secam se zbog cega,prelazim na Avast.Tu dolazi i moj prvi susret sa virusom,koga Avast,koji je u to vreme bio poznat po laznim uzbunama,nije ni prepoznao niti alarmirao.Prelazim na Kaspersky.Sto se sigurnosti tice,sve pohvale.Ali pocinje ono „kocenje“ dok uzima update ili „vecnost“ kada skenira preuzeti materijal,pre nego sto ga pusti u komp.Tadasnja verzija,takodje je znala da pravi probleme prilikom rezanja diskova.

    Definitivno prelazim na Eset 4,koji me je besprekorno sluzio. Kako sam poceo da koristim novu verziju 5,vidim da tu nesto nije kako treba.Novi Eset trosi vise sys.resursa,duze vreme izlaska na net,sporije otvaranje Outlook-a, antispam greske,dugo skeniranje preuzetog materijala.Vracam se na Eset 4,ali sada sam vec „istripovan“ pa mi se cini da i on radi slicno „petici“.Menjam browser-e,stalno merim protok net-a, cak dva puta obaram sistem,ali isto.

    U kompu ne drzim neke vazne dokumente.Ono sto mi bitno odmah narezem.Sam OS uvek reinstaliram na 4-5 meseci.Kako sam prerastao,i ne posecujem vise neke „sumljive“sajtove, vec uglavnom proverene forume,prakticno mi neka posebna zastita i nije potrebna.Jedino sta mi je potrebno je skeniranje materijala koji preuzimam,pre nego sto udje u komp.

    Mozda sam malo oduzio pitanje.Hteo sam da stvorim kompletnu sliku onoga sta sam koristio,i sta mi je trenutno od zastite zaista potrebno.
    Sta biste mi Vi od zastite preporucili?
    Naravno,na prvo mesto mi je brzina izlaska na net i otvaranje web-a,minimalno cekanje skeniranja preuzetog materijala i potrosnja sys.resursa,pozz
    ***prijatelj.v***

    • Ja bih Vam preporucio Avast i firewall ZoneAlarm. Ne znam kad ste koristili zadnji put Avast, ali su dosta uradili na njemu i sada lepo radi. Uskljucenje AutoRun-a se podrazumeva. ZoneAlarm iz razloga jer ne postoji 100% zastita pa ako nesto „upadne“ nece moci da posalje nikakve osetljive podatke spolja. Ne znam kojim se poslom bavite ali najvise bih vam preporucio prelazak na neku od Linix distribucija kao sto je Ubuntu, naravno ako se u mogucnosti. :-)

  • ***Zahvaljujem na odgovoru i predlozima.Testirao sam Zone Alarm,Extrem Security 2012, i odmah ga obrisao. Nemoj pogresno da me razumes,ne sumljam u kvalitet Zone Alarma,ali na kompu mi ne treba ovakva vrsta aplikacije,koja trosi vise RAM-a od celog XP-a.-Avast…? Koristio sam ga pre vise od dve godine.Evo,bas sada sam instalirao ovu novu,free verziju.Potrebno je neko vreme da ga istestiram,pa cu javiti rezultate i utiske.

    Ne znam da li si dobro protumacio moj post,ili se ja mozda nisam dobro izrazio: meni nije potrebna neka striktna zastita,najbitnije da se materijal koji preuzimam,proveri,pre ulaska u komp.Svestan sam da idealna zastita ne postoji,i uopste mi nije potrebna.I ovde vazi ono pravilo: (jaca zastita rezultira sporijim radom i vecom potrosnjom sys.resursa)- ja sam spreman da malo „zrtvujem“ tu bezbednost,zarad brzine.

    Inace komp uglavnom koristim za audio-video obradu. Ne nesto profi ali…Pored ovoga,preuzimam i testiram razne Windows sisteme,alate i programe. Koristio sam jedno kratko vreme Ubuntu 1010.Potpuno razumem tvoju sugestiju, ali mi je malo kasno,da sada ucim,i menjam nesto,sto bukvalno-(„u prste“)- poznajem. Primera radi,koristio sam Windows 7, isprobao i Windows 8,i vratio se na XP.Mozda sam „staromodan“,ali kod mene vazi ono pravilo-(da dobre stvari ne treba menjati),pozz

    • Meni nije nikad ZoneAlarm trosio mnogo rama, pogotovu kad se uzme u obzir da je meni XP zauzimao bez drajvera oko 90mb-a rama. U svakom slucaju mislim da ce Avast da ti zadovolji uslove koje ti imas. :-) Moras samo da ga registujes, registracija je free i ne moras da koristis prave podatke za istu ;-) Nije puno zahtevan, a zavrsava posao. Pozdrav :-)

      • Uradio sam neka osnovna testiranja,pa evo rezultata, kako sam obecao-(mozda korisnicima bude zanimljivo pri odabiru antivirusa). Testirao sam Avast 6 i napravio uporedni test, u odnosu na NOD i Eset-(verzija 4),pa evo nekih mojih zapazanja.Sam operativni sistem-(XP)-kao i antivirusi su bili na default podesavanja prilikom testa.

        Na prvoj slici-(1)-je cist OS.Vidite u system tray ikonu da antivirus nije instaliran.Trenutno rade 23 procesa i potrosnja RAM-a je 145MB.

        • Nesto je ovde cudno ubacivanje slika,pa samo nastavljam prethodni post:
          Na slici-(2)-je isti taj OS sa instaliranim NOD 32 antivirusom,sto vidite u system tray,i potrosnju RAM-a 215MB.Rade 24 procesa.

          Na slici-(3)-isti taj XP,samo je instaliran Eset-(verzija 4)-potrosnja RAM-a je isto 215MB,a trenutno rade 25 procesa.Ovo poredjenje sam namerno stavio,jer po nekim podacima,NOD bi trebao da trosi manje sys.resursa.Izgleda da nije tako,jos kod Eseta radi jedan proces vise.

          I na slici-(4)-vidite Avast 6-(free verzija)-koja me je stvarno prijatno iznenadila.Sve preslikano,kao u prethodna dva testa,rade 24 procesa i potrosnja RAM-a od 173MB.
          Oko konekcije,izlaska na net i otvaranje web strana nisam uocio neke bitne razlike. Eset samo presretanje radi malo brze:testirao sam extract iz RAR-a, potencijalno inficiranog fajla. Eset se aktivira pre samog extraktovanja,dok Avast prijavljuje potencijalnu infekciju,kada je taj fajl vec raspakovan.

          I pored ovoga,mislim da je novi Avast 6 prilicno usavrsen,kao sto si mi i ti sugerisao,upucivao na njega,i za svaku je preporuku.Jos nesto.Korisnici treba da razgranice test brzine i test sigurnosti-(bezbednosti)-antivirusa. Ja sam ovde radio test brzine i potrosnju resursa.Presretanje sam cisto isprobao.E sada,sto se tice same bezbednosti,to je vec prica za neku drugu temu,i zavisi konkretno od same situacije, pozz

          • Hvala puno na ovim informacijama, ljudima ce ovo biti korisno da znaju. Nije Avast los ni sto se tice same bezbednosti. Trenutno ima najbolji odnos zastite i zauzimanja sistemskih resursa. Pozdrav! :-)

Ostavite odgovor

Vaša adresa e-pošte neće biti objavljena. Neophodna polja su označena *