10 godina igre mačke i miša - Windows i malware

10 godina igre mačke i miša - Windows i malware

offline
  • Pridružio: 02 Feb 2008
  • Poruke: 14018
  • Gde živiš: Nish

Windows-ov veliki problem koji datira od sredine 90-tih godina je MALWARE.

Malware (malicious software) je opšti pojam koji obuhvata sve neželjene programe. Ovde spadaju računarski virusi, crvi, trojanci, botovi, spyware, adware, maliciozni rootkitovi (rootkit se po svojoj funkciji ne može direktno svrstati u maliciozne programe). Ustaljeni izraz za celu kategoriju malware-a je “virus”, što je neprecizno i pogrešno jer virusi predstavljaju samo jedan deo celokupnog malware-a.

Preporučujem da objašnjenja za sve vama nepoznate pojmove, vezano za zaštitu, potražite prvo na ovim mestima: Mali rečnik zaštite i rečnik informacije.rs.


Januara 2002, nakon niza neprijatnih događaja koji su zahvatili Windows korisnike i sam Microsoft (u daljem tekstu MS), Bill Gates je napisao svoj čuveni "Trustworthy Computing" memorandum (u pitanju je bio email poslat svakom zaposlenom u MS-u koji je kasnije dospeo u javnost) o pouzdanom računarstvu. To je bio prvi znak da su u MS-u bili svesni problema bezbednosti svojih proizvoda, jer u tom email-u Bill opisuje novu strategiju naglašavajući sigurnost u svojim proizvodima koji su tada bili sve samo ne sigurni.


"Sada kada smo suočeni sa izborom između dodavanja funkcija i rešavanja problema bezbednosti, moramo izabrati bezbednost" reči su koje je zaposlenima uputio Bill.


Iako je dočekano sa skepticizmom, ovo što je Bill zamislio je bila zaista prekretnica za MS po pitanju bezbednosti. Do tada, zaštita je bila poslednje na sta su mislili zaposleni u kompaniji. Kao rezultat memoranduma, MS je uveo ogromne promene u načinu na koji se software razvija. Security Development Lifecycle koji je uveden se osetno isplatio tokom poslednjih 10 godina, dosta je hvaljen i kopiran. U pitanju je bezbednosna garancija za ravoj software u vidu procesa koje software mora da prođe i sastoji se od bezbednosnih praksi grupisanih u 7 faza: obuka, zahtevi, projektovanje, implementacija, verifikacija, izdavanje i povratni odgovor.






Danas, kako gornji grafikon pokazuje, većina malware-a se instalira putem društvenog inžinjeringa - narušavanjem bezbednosti netehničkim metodama koje se umnogome oslanja na ljudsku interakciju, npr. navođenje korisnika na kršenje uobičajenih mera bezbednosti. Takođe, veliki procenat zaraze dolazi putem exploita, koda koji iskorišćava bezbednosne propuste (rupe) u operativnom sistemu ili aplikacijama, za koje su bezbednosne ispravke (zakrpe) odavno izašle.



Blaster (2003 godina)





U leto, 2003 godine, se pojavio crv poznat pod imenom Blaster - slika iznad je označavala da je vaš život za računarom (tada) bio pakao. Crv se širio putem mreže koristeći ranjivost u DCOM RPC (Remote Procedure Call) interfejsu koji sluša na TCP/UDP portu 135 i dovodio je do toga da, između ostalog, zaraženi računar ulazi u 'restart petlju'. Crv je bio mnogo više nego samo dosadan - on je mogao da dozvoli napadaču da izvrši bilo koji kod sa Local System privilegijama na zaraženom sistemu. Na sreću, ko god da je pisao Blaster, očigledno je bio više zainteresovan za stvaranje rasula na sistemu.

Blaster-ova neverovatna efikasnost se može pripisati strašnom odlukom MS-a da zaštitni zid (firewall) na Windows XP-u bude podrazumevano (default) isključen.

Zanimljivo je da je crv u svom izvornom kodu sadržao dve poruke. Prva je glasila:

"samo želim da kažem VOLIM TE SAN!! mnogo"

i zbog te rečenice je crv nazivan "Lovesan worm". Druga je glasila:

"bili gejts zašto je ovo moguće? Prestani zarađivati novac i popravi svoj software!"

koja je bila upućena osnivaču MS-a, čiji je proizvod bio meta ovog crva.


Vise informacija o ovom crvu možete pročitati ovde: Malware FAQ: What is W32/Blaster worm?





Patch Tuesday (2003 godina)





Windows 95 je u sebi imao ugrađeni alat za update. Automatic Update smo pak upoznali tek sa pojavom Windows Me, 2000 godine. 2003 godine je MS sistematizovao svoj proces za izdavanje bezbednosnih ispravki (zakrpa) koji važi i dan danas. Zakrpe se izdaju uvek drugog utorka svakog meseca i to se naziva Patch Tuesday. Nebezbednosne ispravke se izdaju uvek četvrtog utorka svakog meseca. MS je započeo ovaj program izdavanja zakrpa da bi poslovni korisnici imali vremena da istestiraju pre nego ponude instalaciju istih. Iako je tada bila ovo kontraverzna odluka, danas se uglavnom smatra jako efikasnom.

U retkim prilikama (npr jednom godišnje) MS izdaje "out of band" zakrpe za rešavanje nekih problema koji ne mogu čekati zakrpe do sledećeg meseca i Patch Tuesday-a. Npr. 2. Avgusta 2010 godine je MS izdao out of band zakrpu za popularni "shortcut exploit" jer se nije moglo čekati, zbog sve većeg broja napada, na sledeći Patch Tuesday koji se trebao pojaviti tek za 8 dana.




Netsky (2004 godina)





Netsky, 2004 godine, je bio jedan od prvih kreativnih masovnih email crva, koristeći obimni meni sa opcijama da prevari primaoca i natera ga da klikne na maliciozni paket koji poruka nosi sa sobom. Različit i dobro smišljen naslov, telo poruke, nazivi attachment-a i lažna uveravanja da je fajl skeniran cenjenim antivirusnim programom i proglašen čistim su jednostavno terali korisnike da zaraze sistem. Autor je bio 18-godišnji Nemac, koji je takođe pisac i zloglasnog Sasser crva. Netsky je bio jako dosadan (jedna varijanta je čak išla dotle da je zaraženi računar davao zvučne signale u ranim jutarnjim časovima) ali nije bio štetan.

Zanimljivo je da je izvorni kod ovog crva sadržao brojne uvrede usmerene ka autorima Bagle i Mydoom familije crva. U nekim situacijama se čak moglo naići i na rutine za uklanjanje ovih neprijateljskih crva koje je autor Netsky-a ubacivao u svom kodu, pa je isti bio ujedno i anti-worm. Ni ovi drugi nisu ostali dužni, sto se zajedljivih komentara u kodu, svog crva, tiče. Tako su 'ratovali'. Razz

Vise o tome možete pročitati ovde: http://www.pcworld.com/article/115076/virus_writers_wage_worm_war.html
Vise informacija o ovom crvu možete pročitati ovde: http://gsa.ca.com/virusinfo/virus.aspx?ID=38650




Mydoom (2004 godina)





Sve dok se Mydoom nije pojavio, 2004 godine, većina malware-a je bila proizvod potrebe divljački nastrojenih autora za uništavanjem. MyDoom je, po MS bezbednosnim analitičarima, jedan od najranijih primera botneta i malware-a koji može doneti zaradu autoru. Zarazio je stotine hiljada sistema.
Botnet (mreža botova) su svi računari koje je zarazio jedan bot. Svi ti zaraženi računari, dakle, imaju samo jednog kontrolera (vlasnika) koji je konstruisao i plasirao bota. Svi računari koje je zarazio drugi bot predstavljaju drugu mrežu botova.

Nakon izvršenja, crv otvara poruku u Notepad-u, prikazujući besmislen tekst dok u pozadini instalira svoj payload (vidi rečnik), koji šalje email poruke koristeći svoj SMTP engine i žrtvin imenik. Ako primalac klikne na dodatak u poruci (attachment), on postaje automatski deo botnet-a i pocinje da širi, bez svog znanja, malware svojim prijateljima po vec opisanom postupku.

Crv takođe koristi i file-sharing programe tipa Kazaa za širenje svog payload-a.
Autori MyDoom su ubacili nekoliko uvredljivih poruka na račun autora Netsky crva u svom kodu.

Crv je sadržao tekstualnu poruku: "andy; ja samo radim svoj posao, ništa lično, žao mi je" zbog koje mnogi misle da je autoru plaćeno da napravi ovaj malware. Pravi autor crva nije poznat, mada na osnovu analiza mnogi misle da je u pitanju programer poreklom iz Rusije.





Windows XP Service Pack 2 (2004 godina)





Rad, koji je na kraju osvanuo, 25 avgusta 2004, u vidu service pack 2 (SP2) za Windows XP, je prvobitno zamišljen da bude nova verzija operativnog sistema Windows. Međutim mnogobrojne bezbednosne pretnje koje su napadale MS tokom prethodnih nekoliko godina prouzrokovale su da MS ceo svoj rad usmeri na zaštitu svog operativnog sistema. Nikakvih promena u korisničkom interfejsu (GUI) Windows-a nije bilo nakon instaliranja SP2.

Service Pack (SP) predstavlja kolekciju ažuriranih datoteka, softverskih ispravki određenog programa ili operativnog sistema koji treba istim da doprinese ažurnosti i boljoj stabilnosti, i isporučuje se u formi jedne instalacione datoteke. Mnoge kompanije formiraju service pack kada se poveća broj softverskih zakrpa i dostigne određen limit (limit zavisi od konkretne kompanije). Pogodnosti service packa se ogledaju u tome što je lakše instalirati service pack nego sve izdate softverske zakrpe pojedinačno i u tome što je service pack strukturiran da na uređen način instalira zakrpe i ostali sadržaj, što doprinosi boljoj stabilnosti programa/operativnog sistema. Service packovi se numerišu i obično označavaju sa SP1, SP2, itd.

Odluka da ovo bude besplatni SP, a ne plaćena nadogradnja je bio nameran pokušaj da se ubrza usvajanje istog. MS je ozbiljno podcenio bezbednosne izazove sa kojima se suočio Windows XP u prethodnom periodu tako da su poboljšanja u SP2 zaista napravila veliki napredak u tom pogledu.

Internet Explorer je dobio dodatnu sigurnost. Po prvi put se uvodi funkcija koja zaustavlja pop-up (iskačuće) reklame i drive-by download napade. Drive-by download je štetni program koji se automatski skida na žrtvin računar bez njegove saglasnosti i znanja. Da bi se pokrenuo drive-by download dovoljna je poseta određenom web sajtu, pregledanje HTML email poruke ili klik na pop-up reklamu.

Za korisnike, SP2 je doneo i novi Security Center koji je prikazivao osnovne informacija o zaštiti sistema (upozorenja o stanju anti-virusa (AV), Windows Update-a i novog Windows firewall- a (FW)). Security Centar postoji i napreduje, u Windows-u, i dan danas.

Takođe, SP2 je doneo uključen Windows Firewall (FW) po default-u, rešavajući time propuste koje su u mnogome koristili raniji mrežni crvi.

Uprkos svim problemima koje je Windows XP tada nosio sa sobom, SP2 je bio, i ostao, jedna od najvažnijih faza u životnom veku XP-a. Podrška od strane MS-a za ovaj SP je prekinuta 13 jula 2010 godine u skladu sa pravilom, Microsoft Support Lifecycle policy for Windows service pack, koje kaže da, kada novi SP izađe (SP3 se pojavio 21 aprila 2008) MS će obezbediti još 24-mesečnu podršku za prethodni.




Malicious Software Removal Tool (2005 godina)


Zlob (2005 godina)


[img:2d6d16a2f1]http://www.mycity.rs/imgs2/94804_78715129_8.gif" border="0" />


Win32/Zlob familija je startovala 2005 godine i tri godina kasnije je bila neprikosnoveni kralj među malicioznim programima. Među zaraženim računarima, koje je MS prebrojao 2008 godine, na jednom od četiri računara je Zlob bio krivac za infekciju istog.

Ono sto je zasluga ovako efikasnog uspeha Zloba je, sada nesavršen ali tada jako efikasan društveni inžinjering istog. Cilj je naterati žrtvu da klikne na link ne bi li reprodukovala neki medija fajl na koji je naišla. Primer je slika iznad gde se traži od žrtve da skine novu verziju Video ActiveX Object kodeka (obično je samo Continue dugme radilo) ne bi li pregledao sadržaj video fajla. Ukoliko žrtva uradi šta se od nje traži, tj. skine lažan (fake) kodek (malware) sistem će biti zaražen lažnim anti-spyware programom. Znači, osnovna svrha Zlob-a je bila da zaplaši žrtvu prikazivanjem upornog pop-up (iskačućeg) oglasa sa laznim bezbednosim programom (kao sto su Virus Heat i MS Antivirus-Antivirus 2009) i njegovim lažnim skeniranjem i detetovanjem da je sistem zaražen špijunskim programom (spyware).

Simptomi da je sistem zaražen su obično bili nasumično gašenje istog ili restartovanje sa raznim komentarima.





Do 2008, Zlob je postao sredstvo za isporuku DNS changer-a i ranih verzija rootkit-a.
DNS changer je malware koji menja Domain Name System podešavanja na zaraženim računarima usmeravajući korisnike prema malicioznim DNS serverima umesto ka onim koji pripadaju mreži ili internet provajderu. DNS je ključni internet servis koji omogućava prevođenje imena domena web sajtova kakvih mi, korisnici, poznajemo (npr www.mycity.rs) u numeričke adrese koje pripadaju serverima (npr 78.46.103.174 za mycity) i koje kompjuterima omogućavaju komunikaciju. Zahvaljujući DNS-u, korisnici ne moraju da znaju tačnu numeričku adresu za neki sajt.

Otkrivanjem verzije ovog malware-a i za MAC sisteme, ovo je bio prvi pokusaj pisanja malware-a koji ce raditi na razlicitim platformama (cross-platform malware).

Danas je Zlob prevaziđen malware koji je mnogima ostao u losem sećanju. Isti više nije rasprostranjen in the wild ali njegovi potomci, koji su naravno unapređeni, su i dalje dosta rasprostranjen i jak malware.





Lažna AV rešenja (Fake AV) (2005 godina)


Niko nikada nije saznao ko je prva osoba koja je smislila ovu prevaru - širenje malware-a koji je prerušen u legitimnu zaštitnu aplikaciju. To je bilo delo nekog zlog genijalca koji je izazvao da podzemna industrija traje do dana danas.



Ovo je primer jednog starog lažnog AV programa.
Ostali proizvodi koji su se pojavili u vreme izlaska SP2 za Windows XP su oponašali izgled tada novog Security Center-a.



U poslednjih nekoliko godina, lažni zaštitni programi ciljaju Chrome pretraživač, Mac OS X operativni sistem i legitimne zaštitne proizvode koristeći slične nazive. Uprkos povremenim, javno dobro podržanim optužnicama koje osvanu, nema znakova da će ova kategorija malware-a izumreti u skorijoj budućnosti.





Bagle (2006 godina)


Za bezbednosnog istraživača, samo pominjanje reči "rootkit" izaziva mučan osećaj u stomaku. Bagle je bio jedan od prvih široko rasprostranjenih primeraka. On je takođe bio iznenađujuće složen kao sto se jasno vidi na grafiku ispod. Koristio je rootkit mogućnost da sakrije svoje procese i registry ključeve.

Rootkit je program (ili druga vrsta tehnologije), koji uspešno sakriva neku datoteku, ključeve u registry bazi, programe ili druge parametre na operativnom sistemu. Po svojoj prirodi nisu nužno maliciozni, jer se mogu koristiti i u dobre svrhe (na primer, antivirusni program sakriva svoje datoteke da ne bi bili kompromitovani). U negativnom kontekstu, služe da sakriju malware od korisnika, bilo sakrivanjem malicioznih datoteka, procesa ili drugih parametara (promena veličine datoteke, datum izmene datoteke i drugo).
Mogu se podeliti na kernel mode i user mode rootkitove.
a) Kernel mode rootkit: --> rade na nivou drivera
b) User mode rootkit: --> rade na nivou servisa



Broj Bagle botnet zaraženih racunara je varirao od 150 000 do 230 000. 29 decembra 2009 godine procenjeno je da je ovaj botnet bio odgovoran za oko 10,39% globalnog spama, sa porastom na 14% na dan Nove godine. U Aprilu 2010 godine je procenjeno da botnet šalje oko 5,7 milijardi spam poruka dnevno iliti oko 4,3% globalnog spama.

Finansijski uspeh botneta je inspirisao autore da poboljšaju svoj proizvod. U pocetku Bagle je bio obican crv. Jedan exe fajl koji se širi okolo putem email poruka. Kasnije je tek izgrađen u varijantu koja je dobila funkcionalnosti rootkita.

Neke varijante Bagle-a su, u kodu malware-a, sadržale sledeći tekst:

"Pozdrav antivirus kompanijama
U teškom svetu,
U bezimenom vremenu,
Želim da preživim,
Stoga, bićete moji!!
"






Nuwar (Storm) crv (2007 godina)





Januara 2007, smrtonosna oluja je pogodila centralnu Evropu (poznatija kao "Kyrill" oluja). Autori malware-a su iskoristili vest kao mogućnost da prevare korisnike. Maliciozni payload u email poruci je isporučivan kao proizvod zanimljivog naslova tipa "230 mrtvih, oluja udara po Evropi".



Spam napad je počeo baš kad i oluja u Evropi i bio je najjači 18 januara. Tokom narednih nekoliko sati i tokom sledećeg dana, stotine hiljada primalaca, zainteresovanih za informacije o oluji su otvorili svoje poštanske sandučiće (inbox) i globalna računarska zajednica se našla pred ogromnom napadom.

Pored efikasne prevare, crv Storm je bio među prvim jako uspešnim primercima malware-a koji koriste polimorfne tehnike tj. sposobnost da menja pakovanje svog koda na svakih 10 minuta i time osujeti pokušaje AV-a da bude detektovan. Crv je takođe koristio peer to peer (P2P) mrežu koja je brzo mogla da menja IP adrese svojih Command and Control (C&C) servera. Ovo je bila nova fora kada su botneti i C&C serveri u pitanju. Upotreba P2P veze nije slučajna. Bio je to lukav potez, koji je unapredio dotadašnju botnet strukturu tako što je obezbeđivao da mreža zaraženih računara nastavlja svoj rad, bez ikakvih problema, čak i ako je jedan C&C server ugašen i samim tim nije više bio deo botnet mreže. P2P omogućava da ugrožena mašina preuzme ulogu oba, klijenta i servera, dajući fleksibilnost strukturi botneta. Nasuprot tome, tradicionalni botnet se oslanjao na relativno krutu master-slave strukturu. Dotadašnji botnetovi su koristili nekoliko servera gde su zaraženi racunari bili konektovani. Ovi serveri su pravili specifičnu skretnicu, koja je zaražene računare usmeravala na određeni server gde je autor mogao da preuzme kontrolu nad svim zaraženim računarima. Kreiranjem armije zaraženih računara, botnet je bio na raspolaganju udaljenom napadaču.



Različite verzije Nuwar familije crva su nastavile da dostavljaju zlonamerni payload tokom 2007 godine. MS je dodao rešenje za ovog crva u svoj MSRT alat koji se pojavio update-ovan tokom semptebra 2007 i odmah se osetio nagli pad zaraženih računara. Tokom sredine 2008 crv je i dalje bio aktivan, ali na znatno smanjenom nivou i počeo je sa korišcenjem RSA enkripcije pokušavajući da sakrije svoje delovanje od bezbednosnih istraživača.

Vise informacija o popularnom Storm crvu možete pronaći ovde: TROJ_SMALL.EDW STORMS INTO INBOXES, TEAMS UP WITH NUWAR TO CREATE UNIQUE NETWORK





Koobface (2008 godina)





Pre 10 godina, društvene mreže nisu postojale. 2008 godine, Facebook je postao dovoljno popularan da privuče pažnju autora malware-a. Jedan od njih je kreirao dosadan multi-platformski crv koji je napadao Windows, Mac OS X i Linux operativne sisteme. Crv sakuplja podatke o prijavi, kreira botnet i zarađuje novac autorima tako što instalira dodatni malware. On je takođe koristio trikove društvenog inžinjeringa, pokušavajući da ubedi potencijalnu žrtvu da instalira novu verziju Flash Player-a koji je naravno bio malicioznog porekla. Obično se obećavala mogućnost gledanja nekog zanimljivog video sadržaja na stranici koja izgleda kao YouTube.



Procene su bile da je u periodu od juna 2009 do juna 2010 godine bot mreža zaradila više od dva miliona dolara. Polovina prihoda kojeg je ostvario crv potiče od lažnog AV-a kojeg je dodatno instalirao, a ostatak od oglašivača. Isplate Koobface operaterima vršene su preko Paymer servisa, koji je sličan PayPal-u.

Pocetkom 2011, Facebook je oborio mrezu koju je ovaj crv stvorio, odsecajući servere za komandu i kontrolu koji su slali instrukcije zaraženim računarima. Sve je bilo rutinska stvar, odrađeno po savremenim standardima, ali osobe odgovorne za terorisanje miliona internet korisnika i izazivanje haosa na Facebook-u žive i dalje u izobilju, razmetljivim životnim stilom koji im je omogućila velika dobit stečena uz pomoc Koobface bot mreže, koju su koristili bez preduzimanja bilo kakvih mera predostrožnosti kako bi prikrili svoje tragove.

Ovde mozete pogledati slike jednog od autora Koobface botnet mreže: http://ddanchev.blogspot.com/2012/01/whos-behind-koobface-botnet-osint.html
Mr. Green






Conficker (2008 godina)




Confiker je dete modernog malware-a.

Originalna reinkarnacija iz kasne 2008, koristeći ranjivost koja je bila zakrpljena mesec dana ranije, ali pošto mnogi Windows korisnici slabo koriste zakrpe, bila je izuzetno efikasna. MS je vanrednu out of band zakrpu, za prvu verziju Confickera, izbacio 23 oktobra 2008 godine, ali veliki broj Windows računara (njih oko 30%) su bili neažurirani do januara 2009 godine.

Confiker je zarazio milione računara uključujući vladine, poslovne i kucne računare u preko 200 zemalja, praveći tako najveću poznatu zarazu nekim crvom koja nije zabeležena još od 2003 godine. Januara 2009 godine, procenjeni broj zaraženih računara je bio u rasponu od 9 miliona do 15 miliona računara. MS je izvestio da je ukupan broj inficiranih računara, od sredine 2010 do sredine 2011 godine, koji su bili detektovani od strane njegovih anti-malware proizvoda bio oko 1,7 miliona.

Praktično se pokazala kao genijalna ideja da se iskoristi Windows-ova mogućnost zvana Autorun, uparena sa društvenim inžinjeringom jer se crv širio kao požar. Kao što uslikani prozor na slici pokazuje, Confiker se širio putem jako popularnih USB memorijskih uređaja (još jedna tehnologija koja nije postojala pre 10 godina). Crv uverava, neoprezne korisnike, da izaberu ponuđenu opciju standardnog izgleda u Autorun prozoru koji se pojavljuje kada se USB uređaj ubaci u računar.



Dalje, malware pokušava, koristeći prost spisak (dnevnik) slabih lozinki, da se domogne administratorskog naloga na mreži koji koristi slabu lozinku tipa: letmein, 123456, asdfgh, Admin, itd. Ispostavilo se da je bilo dosta takvih naloga što govori o tome koliko su administratori lenji i neodgovorni u svom poslu.

MS je u februaru 2009 godine izdao obaveštenje da će nagraditi sa 250 000 dolara onog ko im ponudi informacije o autorima ovog crva, koje bi rezultirale hapšenje i osudu istih za nezakonito pokretanje Confiker zlonamernog koda na internetu. Oni su zatvorili USB Autorun 'rupu' jos u prvom izdanju Windows 7 operativnog sistema, ali nisu dostavili odgovarajuću zakrpu za Windows XP i Windows Vistu, sve do početka 2011 godine.

Spoj MS-a i nekoliko profesionalaca iz bezbednosti, koji su napravili grupu koju su nazvali Conficker Working Group, su ugasili botnet koji je ovaj malware napravio ugasivši servere za komandu i kontrolu, putem pravnih propisa. Danas, postoji još uvek nekoliko miliona zaraženih računara Conficker-om, ali njihova mogućnost da budu kontrolisani od strane zlih web kriminalaca odavno ne postoji.

Conficker Working Group: http://www.confickerworkinggroup.org/wiki/
Obavezno detaljno pročitati: Malware i prenosivi diskovi
Dodatno čitanje: Microsoft omogućio isključivanje AutoRun funkcije u Windows XP i Vista






Microsoft Security Essentials (2009 godina)



Zašto je trebalo toliko vremena MS-u da ubaci efikasan, besplatan AV kao deo svog Windows operativnog sistema?
Za ovo možemo kriviti sudsku odluku iz 2001. (u antimonopolskoj parnici SAD protiv MS) koja je značajno ograničila mogućnosti kompanije za ubacivanje softvera u Windows ukoliko bi se taj softver takmičio sa proizvodima trećih strana.

Tokom ovog veka, MS je lagano uvodio raznovrsna anti-malware rešenja. Windows Live OneCare je bio komercijalni proizvod, a Windows Defender (koji se besplatno isporučivao uz Windows Vistu) je blokirao samo adware i spyware.



Microsoft Security Essentials (MSE) je bio prvi besplatan sveobuhvatni, u smislu detekcije/uklanjanja malware-a, bezbednosni proizvod od strane MS-a, baziran na istom enginu kao i komercijalni Forefront proizvodi. Njegov naslednik će biti, kao podrazumevana opcija, automatski uključen u svim izdanjima operativnog sistema Windows 8 iskoristivši unapređenje sada već dobro poznatog Windows Defender-a.

Marta 2012 MSE je bio najpopularniji proizvod u Severnoj Americi, a drugi najpopularniji AV u svetu. Njegova popularnost je donela dosta lažnih AV proizvoda koji su pokušavali da se probiju do korisnika kopirajući izgled i delimično naziv pravog MSE proizvoda.





Zeus and Spyeye (2010/2011 godina)




Ove tesno povezane familije malware-a predstavljaju danas jako uznemirujući trend u svetu malware-a. Iza ovih primeraka stoje jako kompetentni programeri koji su iste specijalizovali za krađu informacija o bankarskim računima na mreži. Uglavnom se prenose putem drive by download ili putem phishing napada.

Phishing je oblik sajber-kriminala zasnovan na metodama društvenog inžinjeringa. Naziv 'phishing' je namerna greška u pisanju reči 'fishing' (pecanje), a podrazumeva krađu podataka sa kompjutera korisnika i kasnije korišćenje tih podataka za krađu korisnikovog novca. Sajber-kriminalci stvaraju savršene kopije komercijalnih web sajtova finansijskih insitucija. Oni potom nastoje da namame korisnike, koji naravno ništa ne sumnjaju, na sajt kako bi u lažnim formularima na sajtu ostavili svoje 'login' podatke, šifru, broj kreditne kartice, PIN itd. Ove podatke sakupljaju 'phisher'-i koji ih kasnije koriste za neovlašćeni pristup korisničkim nalozima.

Više o phishing-u možete pročitati ovde: http://www.informacija.rs/Recnik/Phishing.html

Ono što je novo i drugačije je to da autori malware-a daju pravo na korišćenje svojih proizvoda, rezultirajući prodaju istih tako da ih mogu koristiti i amateri. Neki stručnjaci procenjuju da su Zeus/SpyEye botnet mreže zaradile više od 100 miliona dolara od nevinih žrtava.



Srećom, veoma agresivno delovanje MS-a je ugasilo najagresivnije botnet mreže, a preživele se osećaju malo nervozno. Tužbe su postale sve efikasniji deo odgovora MS-a autorima malware-a, posebno u ovakvim ozbiljnim slučajevima.


Za više informacija pročitati: SpyEye Targets Opera, Google Chrome Users

Dodatno čitanje:
Kompjuterski virusi slave 40. rođendan, 1. deo
Kompjuterski virusi slave 40. rođendan, 2. deo




Ciljanje drugih popularnih proizvoda (2011 godina)


Autori malware su neumorno napadali Internet Explorer početkom 2000-tih i nisu imali velikih problema da pronađu i iskoriste 'rupe' u istom. Kao posledica toga, oprezni korisnici su prešli na druge pretraživače koji su obećavali da će biti bezbedniji od Internet Explorer-a. Prvo Firefox, a kasnije i Google Chrome. Ali autori malware-a nisu ni njima ostali dužni. Oni su kao bubašvabe, prilagode se promenljivim uslovima. Kao rezultat toga, jedna grupa (verovatno ista ona koja je ciljala Mac korisnike lažnim Mac Defender-om) je napravila malware koji je imao za cilj da napada korisnike Google Chrome pregledača, kao što je prikazano na slici ispod.



Primer lažnog AV-a za Google Chrome: http://www.n2nsolutions.co.uk/news/google-chrome-fake-av/





Alureon/TDL4/TDSS (2012 godina)


Pocetkom 21 veka, autori malware-a su uglavnom bili u svom poslu zbog pažnje i tendencije da naprave neku spektakularnu, široko rasprostranjenu, epidemiju malware-a.

Danas, autori malware-a uglavnom imaju motivaciju za veliku zaradu i njihov primarni cilj je da naprave proizvod koji ce ostati neprimećen što je duže moguće.

Ova motivacija (novac) rezultira složenim infekcijama, koje stalno napreduju, kao što je Alureon rootkit, nadaleko poznat kao TDL4 ili TDSS. Rane verzije ovog malware su počele sa inficiranjem Master Boot sektora, sto je jako teško otkriti. Novije verzije su čak sposobne, pored svih ostalih radnji, da stvore vlastitu boot particiju na hard disku. Ovakav malware je jako teško ukloniti sa sistema.







Budućnost?

Upravo primer TDL4 rootkita predstavlja naličje budućih generacija malware-a: sofisticiran, prilagodljiv i, nadasve, inovativan softver kreiran sa jasnim ciljem.











----------------

Temeljeno na: http://www.zdnet.com/photos/ten-years-of-windows-m.....hotopaging



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Pridružio: 14 Feb 2008
  • Poruke: 12392

Šta reći ? Veoma zanimljivo, svaka čast Ziveli



offline
  • Pridružio: 02 Feb 2008
  • Poruke: 14018
  • Gde živiš: Nish

Hvala. Razz

Zaboravih se zahvaliti dr_Bori i mcruletu za pomoc oko teksta. Ziveli

offline
  • mcrule  Male
  • Legendarni građanin
  • Michael
  • Spy[Covert OPS], Gathering Intel/Info & The Ultimate Like Master[@ MyCity]
  • Pridružio: 21 Feb 2010
  • Poruke: 16934
  • Gde živiš: 43.6426°N 79.3871°W

Konacno taj famozni clanak. Razz
Mislim sta reci.... Svakako zanimljivo, sve pohvale. Ziveli



Sad sam presao onako na brzake, tekst, i slike, ali kada budem imao vise vremena (na leto recimo), prelazim u detalje.

offline
  • 100%Milanista
  • Information Technology
  • Pridružio: 23 Avg 2008
  • Poruke: 2634
  • Gde živiš: Milan, Italy

Svaka cast, jako zanimljivo(ne smorim se dok citam) i jako korisno. Very Happy

offline
  • Research Engineer @MalwareBytes
  • Pridružio: 09 Avg 2011
  • Poruke: 15877
  • Gde živiš: Beograd

Au, svaka cast, kad cu stici da procitam ovo Ziveli

offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 24 Jul 2007
  • Poruke: 12280
  • Gde živiš: Höganäs, SE

goran9888 ::Blaster (2003 godina)





Ovo budi uspomene... Very Happy

Trebalo mi je par sati dok se setih shutdown.exe -a da mogu da se rešim ovog smrada. Beše to poslednji put da sam na netu bio bez ažurnog Windowsa i aktivnog firewalla. Lesson learned.

Ono što je možda zanimljivo pomenuti, a vezano za Blaster crva, jeste njegov protivnik, "dobri crv", Welchia (Nachia) koji se širio i inficirao na isti način kao i Blaster, a po uspešnoj infekciji, uklanjao Blastera i instalirao patch za propust koji su oba koristila prilikom infiltracije u sistem.

Pomenuh da je u pitanju bio "dobar crv" - praktično, on nije imao maliciozne funkcije, ali zbog toga što je izvodio akcije bez dozvole korisnika i dodatnog internet traffica koji je bio posledica rada crva, okarakterisan je kao malware.

offline
  • Pridružio: 04 Jan 2012
  • Poruke: 2104

Svaka vam čast momci Ziveli vrlo poučan i zanimljiv tekst Ziveli

offline
  • mcrule  Male
  • Legendarni građanin
  • Michael
  • Spy[Covert OPS], Gathering Intel/Info & The Ultimate Like Master[@ MyCity]
  • Pridružio: 21 Feb 2010
  • Poruke: 16934
  • Gde živiš: 43.6426°N 79.3871°W

dr_Bora ::goran9888 ::Blaster (2003 godina)




Ovo budi uspomene... Very Happy


Aham, yup. Mr. Green Razz


Ja se secam kad mi se ovo pojavilo, ja se sav uplasio, nisam znao sta je sad ovo.
Pravi noob bio tada.
A ni sad nisam nista bolji. Mr. Green

Ko je trenutno na forumu
 

Ukupno su 1360 korisnika na forumu :: 42 registrovanih, 8 sakrivenih i 1310 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: A.R.Chafee.Jr., Alibaba1981, antonije64, bagor10, Battlehammer, Bubili, cikadeda, darionis, darkangel, Dimitrise93, Dorcolac, DPera, draganl, Faki-Valjevo, FileFinder, GandorCC, hooraay, hyla, ikan, Istman, janbo, Karla, kihot, kolle.the.kid, krkalon, kybonacci, Mcdado, mercedesamg, MilosKop, milutin134, Mixelotti, mocnijogurt, nemkea71, nick79, Parker, prashinar, royst33, S-lash, Stoilkovic, Toper, vathra, wolf431