Zaštita od zlonamjernog koda



Upoznajte ih da biste ih lakše… uništili…

Jako puno ljudi u današnje vrijeme svaki oblik zlonamjernog koda naziva “virusima”, što je u informatičkom svijetu poprilično pogrešan i nepravilan naziv za kompletan zlonamjeran kod. Ovdje će ukratko biti pojašnjene osnovne razlike između pojedinih, osnovnih vrsta zlonamjernog koda koje je danas (zahvaljujući kombinaciji osobina određenih vrsta zlonamjernog koda) sve teže dijeliti po kategorijama.

Zlonamjeran kod

Zlonamjeran kod je svaki programerski kod pisan sa ciljem nanošenja bilo kakve štete bez obzira da li se radi o težnjama ka rušenju sistema ili njegovom usporavanju, rušenju ili zagušenju rada mreže ili mreža, dolaska do povjerljivih informacija, brisanju određenih ili svih fajlova, neslanim šalama tipa “Vaš računar je zaražen virusom zbog čega moram formatirati disk”, neželjenom kopiranju zlonamjernog koda na prenosive medije i sisteme, automatskom slanju e-mailova u Vaše ime, preuzimanju novih datoteka sa inteneta i sl.

Drugim riječima, zlonamjeran kod je svaki kod koji bez Vašeg znanja i želje obavlja radnje za koje je programiran. Obično se kreira radi određene koristi, ili u slučajevima kada za krajnji cilj ima destruktivne nematerijalne ciljeve. Grupa “zlonamjeran kod” je generalna, i u nju spadaju sve vrste zlonamjernog koda o kojima će biti govora u nastavku teksta.

Računarski virus (engl. “virus”)

Virusi su uopšteno gledajući programi koji se mogu samostalno kopirati, pri čemu mogu ali i ne moraju izvoditi sporedne destruktivne radnje (neki uopšte nisu ni opasni, i kopiraju se kao imitacija stvarnog procesa životne reprodukcije). Umnožavaju se pokretanjem inficiranog programa, a šire prenošenjem virusnog koda na druge sisteme putem interneta, zaraženih disketa, CD/DVD medija, i prenosivih USB memory stickova.

Crv (engl. “worm”)

Pored više podverzija navedenog zlonamjernog koda najbitnije su dvije verzije worm-a u koje spadaju “internet worm” i “worm program”. Razlika između ove dvije kategorije zlonamjernog koda ogleda se u samoj destruktivnosti koda. “Internet worm” je programiran sa ciljem širenja putem interneta ili bilo koje druge svjetske mreže, razmnožava se skriven u memoriji, a najčešće posljedice zaraze su usporavanje rada ili kompletan pad sistema. Internet worm pri tome ne inficira druge programe i ne uništava podatke. Za razliku od njega, “worm program” je nešto složeniji i svakako opasniji kod koji za krajnji cilj ima uništavanje programa na mreži računara

Trojanski konj (engl. “trojan horse”)

“Trojanski konji” spadaju u grupu zlonamjernog koda koji je ime dobio po legendarnom “trojanskom konju” iz grčke mitologije.

Nakon što su Grci ustanovili da nikako ne mogu probiti zidove Troje, čovjek po imenu Epej sagradio je drvenog konja u čiju je “utrobu” smjestio grčke vojnike koje je predvodio Odisej. Ostatak grčke vojske je prividno napustio ratište, a uz pomoć grčkog špijuna Sinoda bez obzira na upozorenja Laokoona i Kasandre, Trojanci su “trojanskog konja” prihvatili kao poklon u ime mira i nakon toga ga premjestili u grad. Nemalo nakon toga uslijedilo je slavlje, i grčkim vojnicima koji su bili unutar konja nije bilo nimalo teško savladati pijane branitelje nakon čega su svi muškarci pobijani, a žene i djeca odvedeni u ropstvo.

Upravo na ovom principu funkcioniše i računarski “trojanski konj” koji u većini slučajeva ne dolazi kao odvojeni kod nego kao sastavi dio gotovih programa. “Trojanski konj” kao i stari mitološki dolazi u vidu “poklona”, obično u “besplatnim” crack – ovima , keygen – ima, i ostalim razbijačima zaštite programa. Osnovni cilj mu je razbijanje sigurnosnog sistema, otvaranje “zadnjih vrata” pomoću kojih programer koda može pristupiti zaraženom sistemu nakon čega ga može koristiti po svojim željama i potrebama (trojan backdoor), a u nekim verzijama se se radi o programskom kodu koji služi isključivo za preuzimanje sadržaja sa interneta (trojan downloader). Trojan backdoor je pisan sa ciljem obavljanja kriminalnih radnji i zbog njega možete imati ozbiljnih problema sa zakonom jer su sve nelegalne aktivnosti izvršene sa Vašeg računara, a “trojan downloader” je pisan više sa recimo ciljem povećanja posjeta nekoj web stranici radi čega ima “komercijalni karakter”. U svakom slučaju, na Vašem računaru se ne trebaju nalaziti niti jedan niti drugi, bez obzira na namjenu i štetu koju Vam mogu prouzrokovati. S obzirom da dolaze u vidu “besplatnog poklona”, u “trojanske konje” se mogu ubrojiti i “keylogger” – i (programi koji pamte pritisnute tipke na tastaturi računara da bi ih potom zapisali u log datoteku i po izlasku računara na net poslali programeru koda, obično se koriste za krađu brojeva kreditnih kartica ili lozinki za određene korisničke naloge), i “password stealer” – i koji služe isključivo krađi korisničkih pohranjenih lozinki.

“Šaljivi” zlonamjerni kod (engl. “Jockers”)

U principu ovaj zlonamjerni kod nije destruktivan osim ako nemate slabo srce, ili ako se ne date lako iznervirati. “Šaljivdžije” ne prave nikakvu štetu i obično Vas nastoje isprovocirati “prozorom koji ne možete zatvoriti” (npr. kliknete na zatvaranje jednog prozora, a umjesto njega otvori se jedan drugi na drugom mjestu, i tako do kraja svijeta ili restarta računara…), ili neslanim šalama tipa “Sada ću formatirati Vaš hard disk” nakon čega slijedi prikaz prozora na kojem se disk formatira samo prividno. Mogu se isključiti jednostavnim pritiskom kombinacije tipki CTRL + ALT + DEL, nakon čega su vidljivi u “task manager”-u gdje se mogu i isključiti. Kolege koje se sa Vama vole šaliti na ovakav način bi trebali ljubazno odstraniti od računara za kojim radite, jer Vam zahvaljući njihovoj nezrelosti na računar mogu instalirati pravog trojanca, a tada sve već ne liči na šalu nego u nekim slučajevima (zapravo većini slučajeva) i na pravu moru.

Špijunski programi (eng. “SpyWare”)

SpyWare je zlonamjeran kod koji izvodi određene radnje poput reklamiranja, prikupljanja ličnih podataka, ili posjeta stranicama. Najčešći znakovi da na Vašem računaru postoji SpyWare je pojava iskačućih reklama čak i dok niste na netu, usporavanje rada računara ili često “zaleđivanje” i pad sistema koji se nakon restarta ponovno vraća u “prvobitno stanje”, zatim dodavanje alatnih traka koje niste željeli, i duže izvršavanje zadatih zadataka.

Otimači startne stranice (engl. “Hijack”)

S obzirom da dosta vlasnika web stranica zarađuje “po kliku”, neki od njih su se dosjetili da kreiranjem “hijack”-era povećaju broj posjeta što je ujedno osnovni motiv i možda i jedini motiv za izradu ove vrste zlonamjernog koda. U zlonamjerni “hijack” kod spadaju svi kodovi koji su u stanju promjeniti Vašu početnu stranicu (npr. www.google.com) u neku novu (npr. www.pcsword.com) pri čemu je u većini slučajeva nemoguće vratiti početnu stranicu u prvobitno stanje. Najzaslužniji za distribuciju “hijacker”-a su porno stranice i distributeri piratizovanog software – a.

Krenite iz početka, zaštitite svoj računar

Jedan od najpouzdanijih načina “borbe” protiv zlonamjenog koda je kopiranjem potrebnih datoteka (podataka, muzičkih i video fajlova,i sl.) na prenosive medije (CD, DVD, eksterni hard disk, USB fleš memoriju i sl.) nakon čega je potrebno izvršiti brisanje svih particija na disku, formatiranje kompletnog diska, dizanje sistema, i instaliranje već provjerenih programa koji pouzdano nisu inficirani. Finalne radnje su podjelu diska na particije i nadopunu svih vrsta zaštite, i konačno pohranjivanje sigurosne kopije operativnog sistema i instaliranih programa na drugu particiju programima poput “Norton Ghost” – a, ili “Acronis True Image” – a. Nakon ovoga je obično slijedilo kopiranje sačuvanih datoteka na čvrsti disk, i njihovo obavezno skeniranje.

Kompletan posao koji je potreban za obavljanje svih ovih radnji je daleko duži i iziskuje puno truda, ali sve u svemu, isplati se, jer po infekciji sistema ne trebate brinuti o tome “kako pobrisati dosadni kod” jer se programima za pravljenje backup sistema čitav sistem može vratiti u prvobitno stanje za samo pola sata ili nešto više vremena (zavisi od broja instaliranih programa i od brzine računara). Ukoliko Vam je kompletan posao oko dizanja i backup-a sistema prenaporan i dug, možete koristiti neke od navedenih alternativnih metoda za otklanjanje virusa.

Alternativno riješenje broj 1 – Skenirajte sistem u “safe mode”-u

Napomena: Tekst nije preporučljiv početnicima nego nešto naprednijim korisnicima računara. Sve radnje u nastavku teksta obavljate na sopstvenu odgovornost. Prije bilo kakvih radnji napravite backup podataka na rezervne particije ili prenosive medije. Za slučaj da ne znate da li neka datoteka pripada sistemu ili zlonamjernom kodu, prije bilo kakvog brisanja bilo čega konsultujte “google” ili iskusnijeg prijatelja. Autor teksta odbija preuzimanje bilo kakve odgovornosti za greške koje sami napravite.

Za kvalitetno skeniranje morate imati isto tako i kvalitetne antivirusne zaštite koje svakako moraju biti nadopunjene. Na tržištu antivirusnih rješenja obično proizvođači nude i besplatne verzije svojih programa, koje naravno pružaju slabiju zaštitu ali ako se poštuju procedure i one mogu biti sasvim dovoljne. Antivirusna zaštite koju Vam preporučujemo nosi naziv “Avira AntiVir personal” i i možete je besplatno pruzeti na slijedećem linku http://www.avira.com/en/avira-free-antivirus. Bez obzira na AVZ za koji se odlučite sve i jedna zaštita mora biti nadopunjena prije skeniranja. U “safe mode”, odnosno “mod za spašavanje” ulazite konstantnim pritiskom tipke F8 prije dizanja sistema. Nakon toga će Vam se pojaviti crni prozor sa menijem kojem morate odabrati opciju “safe mod”, i nakon gomile teksta koji slijedi napokon ćete ući u mod koji ste trebali odakle trebate skenirati kompletan sistem. Nakon što ste skenirali sistem u “safe mode”-u, nemojte odmah restartovati računar. Idite na…

start –> run –> ovdje upišite “msconfig” bez navodnika –> i stisnite ENTER.

Po otvaranju novog prozora, otiđite na opciju “StartUp” i ovdje uklonite sve programe koji su Vam sumnjivi. Poslije toga opet otiđite na…

start –> run –> ovdje upišite “regedit” bez navodnika i stisnite ENTER, a potom pronađite…

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

… i ovdje pobrišite sve ključeve programa koji su Vam sumnjivi. Potom pronađite…

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

… i ponovite isti postupak.

Većina zlonamjernog koda već odavno ne koristi pohranjivanje ključeva na ovom mjestu, ali svejedno možete probati. Nakon što ste i ovo uradili, otvorite C:\ particiju i omogućite prikaz skrivenih direktorija i datoteka. Ukoliko ih ne vidite to je pouzdan znak da ih je zlonamjerni kod sakrio kako bi se zaštitio i “osjetio sigurnijim” na Vašem računaru jer ga ne možete pobrisati kada je nevidljiv. U ovu svrhu možete koristiti programe poput “Total Commander” – a koji ne obraća pažnju na postavke Windows operativnih sistema zahvaljujući čemu je omogućen prikaz skrivenih direktorija i sistemskih datoteka. Uz pomoć ovog programa na svim particijama pobrišite “autorun.inf” datoteke, i one skrivene za koje ste 100% sigurni da spadaju pod zlonamjeran kod. Pored ovoga pobrišite i “recycler” foldere. Pravi sistemski “Recycle Bin” se razlikuje od zlonamjernog “Recycler” – a po tome što se za razliku od drugonavedenog ne može pobrisati jer je dio sistema. Nemojte brisati boot.ini datoteku koja je u “Total Commanderu”-u također nevidljiva (odnosno svijetlija od ostalih), jer ta datoteka pripada windows sistemu. Za slučaj da je pobrišete nećete moći podići sistem.

Nakon što ste obavili sve navedene operacije, možete restartovati sistem.

Alternativno riješenje broj 2 – skenirajte sistem direktno korištenjem besplatnih online anitivirusnih skenera

U nekim slučajevima zlonamjerni kod možete odstraniti direktnim korištenjem antivirusnih online scannera. Antivirusne online skenere možete posjetiti na slijedećim linkovima:

– http://www.pandasecurity.com/activescan/index/

– http://www.eset.com/online-scanner

– http://www.f-secure.com/en_EMEA-Labs/security-threats/tools/online-scanner

Šta uraditi prije i poslije “bitke” sa zlonamjernim kodom?

Podesite Vašu antivirusnu zaštitu

U opcijama antivirusne zaštite podesite sve opcije na automatsko brisanje zlonamjernog koda, i postavite sve zaštite na maksimum. Nakon ovoga, pored zlonamjernih datoteka će zlonamjernim biti prikazane i one korisne pri npr. instalacijama upravljačkih drajvera i sl. (većina antivirusnih zaštita nepoznati zlonamjerni kod nastoji otkriti po osnovama ponašanja koda, i npr. ako se datoteka drivera za printer pokušava nastaniti u start up sekciju automatski će biti prijavljena kao “zlokobna”, jer većina zlonamjernog koda koristi istu opciju za održavanje i širenje). Zbog ovoga u opcijama svog AVZ-a krajnju odluku o brisanju ili ignorisanju datoteka morate postaviti na sopstveni izbor u smislu da prije brisanja, zabrane pristupa, ili premještanja datoteke ili datoteka dobijete prozor sa opcijama odabira “šta treba uraditi da određenom datotekom”.

Isključite automatsko startovanje diskova i prenosivih memorije za čuvanje podataka

S obzirom da dosta zlonamjernog koda koristi autorun.inf datoteke, to u principu znači da će Vaš sistem u slučaju da ne posjeduje adekvatnu zaštitu automatski biti inficiran odmah pri priključenju USB fleš memorije ukoliko je ovaj inficiran. Da biste spriječili automatsko otvaranje i prikaz sadržaja prenosivih CD/DVD medija i memorije za pohranu podataka (USB fleš memorije), možete onemogućiti automatski prikaz sadržaja na slijedeći način. Otiđite na polje…

start –> run –> upišite “gpedit.msc” bez navodnika, a zatim stisnite ENTER. U slijedećem prozoru idite na…

“User configuration – Administrative templates – System”

… i ovdje potražite opciju “Turn off autoplay”, a potom odaberite opciju isključenja autorun opcije za sve jedinice. Nakon ovoga spriječili ste inficiranje sistema odmah popriključenju USB fleš memorije ili inficiranog CD/DVD medija (sve datoteke ćete od sada morati otvarati “ručno”, dakle npr. WinAmp više neće reproducirati muzičke fajlove po umetanju CD, nego ćete to morati uraditi sami), ali svejedno možete inficirati sistem pregledom sadržaja diska, radi čega morate preći na slijedeći korak.

Uklonite bezbjedno autorun.inf datoteke

Autorun.inf datoteke se mogu ukloniti i automatski, korištenjem programa “USB drive antivirus”. Program je prije upotrebe potrebno podesiti da automatski očisti medij, i da ga tek nakon toga otvori bez izdavanja saopštenja koja Vas mogu zbuniti ukoliko ste recimo puno uposleni u tom trenutku. Jedan od jako korisnih a ujedno i besplatnih programa je i…

Panda USB Vaccine with NTFS Support

…i njime možete isključiti autorun opciju, “vakcinisati” svoj PC, a također i svaki priključenu USBfleš memoriju. Program prilikom “vakcinisanja” USB fleš memorije kreira praznu autorun.inf datoteku koja se ne može brisati. Zlonamjerni kod koji se širi korištenjem autorun.inf datoteka u kojima su instrukcije za inficiranje sistema i širenje nakon ovoga se ne može širiti jer ne može kopirati svoju autorun.inf datoteku sa instrukcijama na fleš disku pošto ona tamo već postoji, prazna i neizbrisiva.

Izbacite podršku za .vbs

VBScript (skraćenica od “Visual Basic Scripting Edition”) je aktivno skriptni jezik razvijen od strane Microsofta. VBScript je instaliran po defaultu u svakom izdanju Microsoft Windowsa, a s obzirom da se nerijetko koristi za “distribuciju” zlonamjenog koda i da nije potreban prosječnom korisniku računara, podršku za .vbs možete odstraniti na slijedeći način.

Otvorite C:\ disk (particiju, svejedno…), zatim otiđite u “Foder option”, i u ovom prozoru odaberite opciju “File types”. Sada pronađite “VBS” odnosno “VBScript Script File”, i odaberite opciju “delete”.

Najpouzdaniji način zaštite

Takav način zaštite svakako ne postoji, ali trenutno kombinacija koju vam mi preporučujemo a potpuno je besplatna je “Avira AntiVir Personal + Malwarebytes + Panda USB Vaccine”. Uz ZoneAlarm ili neki drugi firewall ova kombinacija programa je sasvim dovoljna da se počnete osjećati bezbjednim.

Preventivni način zaštite

U preventivni način zaštite spada zaobilaženje stranica sa porno i piratizovanim sadržajem u “širokom luku”, nekorištenje crack – ova, keygen – a, ili bilo kakvih drugih vrsta razbijača zaštite programa, nekorištenje peer to peer (P2P programa), obavezno skeniranje besplatnih programa prije instaliranja i upotrebe, neotvaranje priloga koji dolaze od nepoznatih pošiljaoca bez obzira koliko su primamljivi (čak i da Vam dolaze od prijatelja, prije otvaranja bi bilo dobro da provjerite da li su ih stvarno poslali oni ili nisu), kreiranje i korištenje “guest” korisničkog naloga, backup sistema (Acronis True Image, Norton Ghost i sl.), i konstantna briga o programima za zaštitu računara

Šta uraditi sa nepoznatim zlonamjernim kodom koji još nije registrovan?

Ukoliko osjetite sumnju prema bilo kojoj datoteci za koju ste sigurni da radi nešto loše na Vašem računara, budite solidarni i pošaljite je bilo kojoj antivirusnoj kući na provjeru (većina antivirusnog software-a već ima ovu opciju ugrađenu u sam program). Ukoliko se svi budemo ponašali na ovaj način, infekcije sistema jednog dana mogu postati naša davna prošlost.