Site icon Kiber.ba

Šta je Malware?

Malware (složenica engleskih riječi malicious i softwareštetni softver ili zlonamjerni softver) je pojam koji označava softver koji je namijenjen za nanošenje štete na računaru i računarskim mrežama. U osnovi to je programski uradak (kod, skripta ili aktivni sadržaj) stvoren u cilju onemogućavanja ili otežavanja izvođenja pojedinih operacija na sistemu, prikupljanja informacija koje dovodi do njihove zloupotrebe i gubitka privatnosti korisnika, dobijanja neovlaštenog pristupa sistemskim resursima i sistemu uopšteno, i ostalih malicioznih aktivnosti. Neki program se može smatrati štetnim ako se može utvrditi ili pretpostaviti zla namjera autora.

Osim klasičnih računarskih virusa ovaj pojam označava sve vrste softvera koji na bilo koji način mogu ugroziti računarski sistem ili računarsku mrežu, kao što su trojanciračunarski crvirootkit-ovi, štetni dialerišpijunski programiucjenjivački programi, pojedini oglašivački programi i slično. Veliki dio štetnog softvera je napisan za Windows sisteme, no neki postoje i na LinuxMacintosh i Palm računalima.

Primjećena je rasprostranjenost štetnog softvera kao veoma važnog dijela internetskog kriminala zajedno s uopštenom nesposobnošću tradicionalnih antivirusnih programa da neprestano i kontinuirano štite od sve novijeg i opasnijeg štetnog softvera, što posebno odgovara kriminalcima za sticanje profita.

Preliminarni rezultati izdani od Symantec-a u 2008. godini pokazuju da bi “nivo izdavanja štetnih programa mogao preteći nivo izdavanja onih legitimnih”. Prema F-Secure-u, “u 2007. godini napravljen je isti broj štetnog softvera kao u prošlih 20 godina zajedno”. Najpopularniji medij za širenje štetnog softvera, od kriminalaca do nedužnih korisnika, žrtvi, je internet, posebno e-mail i World Wide Web (WWW).U 2010. godini Symantec je proglasio grad Shaoxing u Kini kao grad iz kojeg dolazi najviše štetnih softvera.

Treba istaknuti da maliciozni softver nije isto što i defektivni, ali legitimni program u kojem se nalaze softverski bugovi (greške u kodu).

Istorija

Prije veće dostupnosti interneta, virusi su se širili tako što bi zarazili boot sektor ili disketu. Stavljajući svoju kopiju u upute u kodu mašine u izvršnim datotekama, pokretali bi se prilikom svakog pokretanja inficiranog programa ili diska. Rani virusi su bili napisani za Apple II i Macintosh uređaje, ali su se počeli više širiti s pojavom IBM PCMS-DOS uređaja. Ovakvi virusi bili su ovisni o korisnicima koji bi razmjenjivali softver i diskete, na taj način se iznimno brzo šireći u krugovima računarskih hobista.

Prvi crvi koji su se širili mrežom nisu nastali na ličnim računarima, već na Unix sistemima. Prvi poznati crv je bio Internet Worm koji se pojavio 1988. godine i koji bi zarazio SunOS i VAX BSD sisteme. Za razliku od virusa, internet Worm nije stavljao svoje kopije u druge programe. Umjesto toga, koristio bi sigurnosnu rupu u programima za mrežni server te bi se počeo pokretati kao samostalni proces. Ovu tehniku koriste i današnji crvi.

S porastom popularnosti operacijskog sistema Microsoft Windows-a u devedesetima godinama prošlog vijeka, i fleksibilnim makroima za aplikacije u Windows-u, postalo je moguće stvaranje infektivnog koda u makro jeziku za MS Word i druge programe. Ovi makro virusi bi zarazili dokumente umjesto aplikacija, iako su makroi u Word dokumentu vrsta izvršnog koda (executable code). Danas je veliki dio crva napisan za Windows, iako je manji dio, tipa Mare-D i Lion, napisan za Linux i Unix sisteme. Današnji crvi rade na istom principu kao Internet Worm iz 1988. godine, skeniraju mrežu i pronalaze ranjive računara kako bi se umnožavali. Zbog toga što ne trebaju intervenciju korisnika, crvi se mogu umnožavati izuzetno velikom brzinom. Tako je, na primjer, SQL Slammer zarazio hiljade računara u samo nekoliko minuta.

Mnogi raniji infektivni programi, kao što je Internet Worm i neki MS-DOS virusi, su bili napisani kao eksperiment ili šala. Uglavnom su ih njihovi autori napisali kao bezopasne ili jednostavne programe, a ne kao programe koji čine veliku štetu ili destrukciju na računarskom sistemu. U nekim slučajevima nisu mogli predvidjeti koliko će njihove kreacije napraviti štete. Mladi programeri koji su učili o virusima i njihovim tehnikama su ih obično napisali za vježbu ili da vide koliko daleko će se rasprostraniti. Neki od virusa koji su se 1999. godine brzo širili, poput Davida i crva Melisse su, izgleda, bili napisani kao neslana šala. Prvi virus za mobilne telefone, Cabir, pojavio se 2004. godine.

U to vrijeme se mogu naći i virusi koji su bili napisani sa štetnom namjerom vandalizma, dizajnirani kako bi uništavali podatke ili na drugi način štetili računarskom sistemu. Takvi su bili neki DOS virusi i ExploreZip crv za Windows, koji su brisali podatke na disku ili vršili korupciju sistema podataka zapisivanjem nepravilnih podataka u isti. Mrežni crvi kao što su Code Red (2001.) i Ramen spadaju u istu kategoriju.

S porastom popularnosti interneta, maliciozni softver sve više nastaje zbog želje za profitom. Od 2003. godine većina brzoširećih virusa i crva su dizajnirani za preuzimanje kontrole nad računarima korisnika za crno tržište. Zaraženi “zombi” računari se koriste za slanje spam poruka, kao “skladišta” dječje pornografije ili za DDoS napade. Druga kategorija koja služi za profit napadača je spyware koji tajno prati korisnikovo služenje računarom ili internetom, usporava vezu, mijenja postavke sistema, i prikazuje oglase. Oni se uopšteno ne šire za razliku od virusa i crva te se instaliraju preko sigurnosnih rupa u sistemu ili dolaze “zapakovani” s određenim aplikacijama, kao sa peer-to-peer aplikacijama.

Maliciozni softveri pravljeni za profit: špijunski programi, botnet-ovi, keylogger-i i dial-eri

U 80-tima i 90-tima godinama prošlog vijeka se smatralo da su maliciozni programi bili forma vandalizma ili neslane šale. Danas se štetni programi sve više stvaraju s motivom profita (financijskog ili nekog drugog dobitka). Tako se spyware programi prave kako bi se prikupljale informacije o korisniku, prikazivali mu se pop-up prozori ili modifikovalo ponašanje web preglednika, sve za financijsku korist autora spyware-a. Neki spyware programi preusmjeruju rezultate internetskog pretraživača na plaćene oglase.

Drugi način pomoću kojeg finansijski motivisani autori malicioznog softvera mogu ostvariti profit je da koriste zaražene računare da rade za autora malicioznog softvera. Tako se spomenuti računari koriste kao proxy za slanje spam poruka. To su takozvani zombi računari (zombie computers). Prednost korištenja zaraženih računara za slanje spam poruka od strane spamera jest anonimnost koja mu se pruža. Spameri također koriste zaražene računare za napad na antispam organizacije uz pomoć DDoS napada uskraćivanja računarskih resursa.

Kako bi kordinirali aktivnost zaraženih računara, napadači koriste koordinatne sisteme poznate kao botnet-ovi. U botnet-u, maliciozni softver ili štetni bot (malbot) se spoji na IRC (Internet Relay Chat) ili na neki drugi chat sistem. Tada napadač može simultano davati uputstva svim zaraženim sistemima. Botnet-ovi takođe mogu biti korišteni za stavljanje poboljšanih verzija malicioznog softvera na zaražene računare, otpornih na antivirusne programe i druge sigurnosne mjere.

Isto je tako moguće da napadač ostvari profit krađom osjetljivih informacija svoje mete. Neki štetni programi instaliraju keylogger koji prati pritiskanje tipki na tastaturi i omogućuje krađu lozinki, brojeva kreditne kartice i slično. Ove informacije se zatim automatski šalju napadaču, omogućujući mu zloupotrebu istih. Na sličan način, maliciozni softver može uzeti CD ključ ili lozinku u online igri i omogućiti napadaču krađu računa ili virtuelnih stvari.

Još jedan način za krađu novca vlasnika zaraženog računara je preuzimanje kontrole nad dial-up modemom i pozivanje telefonskih brojeva na skupim tarifama (premium-rate). To se može ostvariti dialer-om koji poziva telefonski broj na skupoj tarifi te korisnik na kraju mjeseca dobije ogroman telefonski račun.

Vrste malware-a

Virus

Definicija virusa jednog od poznatih IT stručnjaka dr. Fredericka Cohena glasi ovako: virus predstavlja program koji može inficirati druge programe, modifikujući ih tako da uključe novu kopiju njega samoga, po potrebi također modifikovanu. Ovo je jedna naizgled komplikovana definicija, ali funkcioniše vrlo jednostavno. Virus zarazi (inficira) neki program tako što mu promijeni tok te se širi umetanjem svog koda u druge datoteke, što znači da će pri pokretanju programa nakon što je zaražen, prvo biti pokrenut virus, koji će onda pokrenuti prvobitni program kako bi se prikrio. Mora se napomenuti da svaki maliciozni softver koji uništava podatke, prati korisnikove navike korištenja računara ili interneta, instalira drugi maliciozni softver na zaraženi računar i/ili krade lozinke korisnika nije virus ako se ne replikuje na spomenuti način. Unatoč tome, mnogi korisnici koriste naziv virus za maliciozni softver čak i ako se ne replikuje.

Virus ima tri glavne kompontente:

Jedini obavezni dio virusa je komponenta koja omogućava infekciju, dok se druge mogu dodati po želji autora virusa. Ponekad je ipak teško odrediti razliku između komponenti jer se može dogoditi da samo širenje virusa uzrokuje nuspojave koje se mogu pripisati nosivoj komponenti. Nosiva komponenta virusa često je ono što dobija pažnju medija koji ju često preuveličavaju.

Crv (Worm)

Crvi se šire putem računarske mreže i ne moraju inficirati nijednu datoteku na računaru, za razliku od virusa. Dijelimo ih na mrežne crve i one bazirane na domaćinu (host computer worms). Mrežni crvi imaju više dijelova, od kojih je svaki pokrenut na posebnom računaru i provodi najčešće različitu aktivnost, pa upotrebljavaju računarsku mrežu za komunikaciju između dijelova. Mrežni crvi ponekad imaju glavni dio koji upravlja onim drugim dijelovima, a poznati su pod nazivom octopus (hobotnica). Crvi bazirani na domaćinu se pak nalaze u potpunosti na inficiranom računaru te upotrebljavaju mrežnu komunikaciju samo u svrhu širenja. Njihovu potkategoriju čini vrsta crva koja se zove rabbit (zečevi), koji prestaju raditi nakon uspješnog inficiranja drugog računara, što znači da na jednoj računarskoj mreži može postojati samo jedna njihova kopija.

Crvi se mogu podijeliti i u druge kategorije:

Te:

Razlika između virusa i crva

Ovo su najpoznatiji tipovi malicioznog softvera i oba se replikuju. Ipak, ne replikuju se na isti način. Virus je štetni program koji inficira neki izvršni program (executable), i kada se pokrene počinje se širiti i na druge programe. Može imati i nosivu komponentu odnosno payload koja radi druge, obično maliciozne, aktivnosti. S druge strane, crv se aktivno širi preko mreže s ciljem da zarazi druge računare. On isto može nositi nosivu komponentu. Ovo dakle znači da virus treba korisnikovu intervenciju kako bi se širio, dok crv to radi automatski. Koristeći ovu razliku, zaražene datoteke koje se šire preko email-a ili dokumenata napisanih u MS Word-u, koje korisnik mora pokrenuti da bi se zarazio njegov sistem, se radije klasifikuju kao virusi nego kao crvi.

Trojanski konj

Naziv trojanski konj nastao je po poznatoj priči u grčkoj mitologiji o osvajanju grada Troje zloupotrebom povjerenja. Trojanski konji nemaju komponentu samoreplikovanja za razliku od crva i virusa, tako da ih korisnici sami moraju kopirati. Oni koriste metodu lažnog predstavljanja kao neki korisni ili poželjni program (npr. program za crtanje) a kad ih korisnik pokrene, ponekad zajedno s očekivanom funkcijom, u pozadini provode neželjene aktivnosti bez korisnikovog znanja. To su najčešće krađa lozinki i drugih osjetljivih podataka (password stealers ili infostealers) te omogućavanje udaljenog pristupa inficiranom računaru neovlaštenoj osobi (backdoors), ali i instaliranje drugog malicioznog softvera (downloaders), korištenje zaraženog računara za automatsko slanje spam poruka, brisanje ili izmjenjivanje datoteka itd.

U trojanske konje spadaju i programi koji se lažno predstavljaju kao antivirusi ili antispyware, i na engleskom se ovaj tip programa zove rogue ili fake antivirus. Može ih se dobiti posjećivanjem određenih internetskih stranica, najčešće stranica njihovog “proizvođača” (često i preko sigurnosnih rupa u web pregledniku), ili ih instalira drugi maliciozni softver prisutan na korisnikovom računaru (npr. Trojan-FakeAV). Oni zapravo detektuju izmišljen maliciozni softver na korisnikovom računaru a potom nastoje uvjeriti korisnika u kupnju kako bi “uklonili viruse na računalu”. Osim očigledne namjere uznemiravanja korisnika, mogu blokirati prave antivirusne i antišpijunske programe koji bi ih mogli detektovati, te mogu instalirati drugi maliciozni softver. Vjerojatno najpoznatiji tip trojanskog konja ovakve vrste je SpySheriff, ali poznati su i ErrorSafe, WinAntivirus i XP Antivirus.

Backdoor

Backdoor je način zaobilaženja normalne provjere autentičnosti. Kada je sistem kompromitovan (na jedan od gore navedenih načina, ili nekim drugim), na njega se instalira jedan ili više backdoor-ova kako bi se omogućio lakši pristup računaru u budućnosti. Hakeri koriste backdoor za sigurni udaljeni pristup zaraženom računaru, i usput pokušavaju ostati neprimjećeni. Oni na udaljeni računar mogu instalirati backdoor uz pomoć trojanskog konja, crva ili nekom drugom metodom.

Rootkit

U trenutku instaliranja malicioznog softvera na računar, veoma je bitno da ostane neprimijećen i nedetektovan, te potom i uklonjen. Ovo vrijedi i kad ljudski napadač direktno napada i ulazi u računarski sistem. Tehnika koja se zove rootkit omogućava ovakvu neprimjećenost, tako što se modifikuje operacioni sistem mete tako da se maliciozni softver sakrije od korisnika. Rootkit omogućuje sakrivanje štetnog procesa u Task Manager-u  (engl. hidden process – skriveni proces) ili može spriječiti čitanje njegovih datoteka. Originalno, rootkit je predstavljao skup alata koje bi napadač instalirao na Unix sustav kako bi dobio administratorska (root) prava. Danas se taj termin uopšteno koristi kad se govori o rutinama skrivanja malicioznog programa.

Neki maliciozni programi imaju rutine koje ih brane od uklanjanja. One ne služe toliko za prikrivanje malicioznog programa, koliko za pokušaj onemogućavanja njegovog uklanjanja.

Maliciozni softver može pokrenuti nekoliko procesa koji nadgleda svaki njegov dio i ponovno pokreće onaj dio kada je god potrebno (obično kad je zaustavljen). Neki maliciozni softveri mogu imenovati neki svoj proces na taj način da mu ime sliči legitimnoj datoteci (npr. expl0rer.exe – lažna, explorer.exe datoteka – legitimna, explorer.exe datoteka predstavlja Windows Explorer). Čak im može imati i isto ime kao legitimni proces, s tom razlikom da se štetni proces nalazi na drugoj lokaciji u sistemu.

Kradljivci podataka

Maliciozni softver koji krade podatke (data-stealing malware) je internetska prijetnja koja, kao što joj i samo ime govori, krade osobne informacije mete s namjerom oštećivanja mete direktnim korištenjem podataka ili njihovom “underground” distribucijom. U kradljivce podataka spadaju keylogger-i, špijunski programi, adware, backdoor-ovi i bot-ovi. Termin se ne odnosi na aktivnosti poput spam-a, phishing-a, DNS poisoning-a, zloupotrebu SEO-a (search engine optimization) itd.

Katakteristike kradljivaca podataka

Primjeri kradljivaca podataka

Incidenti krađe podataka

Špijunski programi

Spyware ili špijunski softver prikuplja informacije o korisniku bez njegovog znanja. Tipično se nastoji prikriti i otežati svoju detekciju. Uglavnom se tajno instaliraju na lične računare, ali ih i na javne ili korporativne računare kompanija može instalirati vlasnik istih, često u obliku keylogger-a kako bi pratili ostale korisnike navedenih računara.

Iako naziv spyware sugeriše da se radi o programu koji prati korisnikovo korištenje računara, njegove funkcije su mnogo šire od toga. Tako može prikupljati osobne informacije korisnika, popis internetskih stranica koje posjećuje, preusmjeravati na zaražene stranice, instalirati ostali maliciozni softver, usporavati internetsku vezu, mijenjati postavke računara (vrlo često vezane uz sigurnost, one su snižene ili onemogućene), mijenjati početnu stranicu web preglednika u novu, obično zaraženu, te negativno uticati na funkcionalnost korisničkih programa.

Kontroverze oko programa proglašenih špijunskim softverom

Postoje programi (kao što su Alexa toolbar, Google toolbar i Eclipse kolektor informacija) koji šalju informacije centralnom serveru o tome koje su stranice posjećene ili koje su funkcije programa bile korištene. Ipak, za razliku od “klasičnog” malicioznog softvera ova grupa programa dokumentuje aktivnosti i šalje podatke samo uz dopuštenje korisnika. Korisnik ovo može prihvatiti kako bi dobio veći raspon funkcionalnosti u programu te veći broj servisa u njemu, ili, u slučaju Eclipse-a, kao vrsta voluntarne podrške razvoju projekta. Neki sigurnosni alati detektuju ove programe kao maliciozne, dok neki ne. Status ove grupe je, dakle, veoma upitan i kontroverzan. Neki programi kao što je PDFCreator su napravili isključivanje slanja informacija kompleksnijim nego što bi trebalo biti, tako da tokom instalacije, korisnik mora isključiti dvije opcije umjesto samo jedne. PDFCreator se još uvijek smatra malicioznim programom kod nekih antivirusnih kompanija, tako da je još uvijek predmet diskusija.

Keylogger-i

Keylogger ili keystroke logging program je maliciozni softver, podvrsta špijunskog softvera, koji prati pritisnute tipke na računaru, a koristi se za krađu korisničkih lozinki, brojeva kreditne kartice i ostalih osjetljivih informacija koje potom šalje napadaču. Keylogger-i mogu raditi i snimke ekrana (screenshotove) kako bi napadač bio siguran u tačnost podataka. Snimke ekrana se rade periodično ili na korisnikov klik mišem, što znači da ovdje uglavnom nema puno pomoći od tipkovnica baziranih na ekranu, pošto korisnik klika mišem po virtualnim tipkama. Ostale funkcije keylogger-a uključuju i:

Oglašivački softver

Adware ili oglašivački softver automatski prikazuje oglase na računaru, koji mogu biti u obliku pop-up prozora, prikazani u korisničkom interfejsu nekog programa u kojem se nalaze ili za vrijeme njegove instalacije. Obično se instaliraju kao odvojeni program a dolaze s besplatnim programima, a instaliraju se velikim dijelom zahvaljujući činjenici da većina korisnika pri instalaciji ne čita EULU, to jest uslove upotrebe programa kojeg instaliraju. Adware se koristi kako bi autor pokrio troškove izrade programa. Sam po sebi adware nije opasan, ali nažalost često dolazi s integrisanim spyware-om ili drugim malicioznim softverom za rušenje privatnosti. Tako spyware prati korisnikove navike, a adware prikazuje oglase koji su u skladu s informacijama korisnikovog profila koji je prikupio spyware. Poput spyware-a, adware utiče na perfomanse sistema i/ili internetske veze.

Dialer-i

Dialer-i su inače legitimni programi potrebni za spajanje na internet (barem na neširokopojasnim vezama) no neki dialeri imaju malicioznu funkciju. Oni pozivaju premium-rate telefonske brojeve koji su veoma skupi. Napadači često pretražuju sigurnosne rupe na operacionom sistemu korisnika računara – potencijalne mete, te ih iskorištavaju kako bi uz pomoć dialer-a pozivali spomenute skupe brojeve i zaradili novac. Alternativno, neki dialer-i informišu korisnika šta rade, s obećanjem da ako pristane da dialer poziva skupi broj, korisnik će dobiti pristup specijalnom sadržaju, raznim MP3 datotekama, pornografiji ili “underground” programima kao što su keygen-i i crack-ovi. Međutim, riječ je zapravo o trojanskim konjima koji se samo predstavljaju kao spomenuti sadržaj.

Korisnici s DSL-om (i sličnim širokopojasnim vezama) uglavnom nisu meta. Dialer se, doduše, može skinuti i instalirati na njihov sistem, ali pozivanje skupog telefonskog broja nije moguće jer korisnici tipično nemaju svoj dial-up modem (ako ga uopšte i imaju) spojen na telefonsku liniju. Ipak, ako je ISDN adapter ili dodatni analogni modem priključen, moguće je da će dialer moći pozvati broj.

Grayware

Grayware (također i Greynet) je pojam koji se koristi uopšteno za softver koji može imati neželjeni uticaj na računar, ali mnogo manje ozbiljan nego kod malicioznog softvera. U grayware spadaju spyware, adware, dialeri, šale, programi za udaljeni pristup računaru (remote access programs) i ostale neželjene datoteke i aplikacije koje nisu virusi, a koji su dizajnirani da narušavaju performanse računara ili računarske mreže. Ovaj termin se počeo koristiti u septembru 2004. godine.

Exit mobile version