Bezbednost računara

FAQ - virusi, antivirusi - Zaštita od virusa i spywarea - OBAVEZNO ZA POČETNIKE
OBJAŠNJENJA OSNOVNIH POJMOVA

1 KOMPJUTERSKI VIRUSI

1.1 ŠTA JE TO VIRUS?

Za definiciju virusa najbolje je uzeti onu dr. Fredericka Cohena po kojoj virus predstavlja program koji može inficirati druge programe, modifikujući ih tako da uključe kopiju njega samoga, koja takođe može biti modifikovana. Pod infekcijom se ovde misli na mogućnost virusa da ubaci svoje izvršenje u postupak izvođenja programa.

Ova definicija ključna je za određivanje virusa, jer ne smatramo svaki maliciozni program virusom, drugim rečima nije svaki destruktivni program virus, jer bi u tom slučaju i program Format bio virus. Struktura virusa može se najlakše podeliti na tri komponente, od koje virus mora obavezno imati samo prvu.

Prva komponenta predstavlja mogućnost infekcije. Dakle nije nužno da virus radi bilo kakvu štetu na računaru, sama činjenica da se širi infekcijom, dovoljna je da ga okarakteriše kao virus.

Drugi deo virusa, koji nije obavezan, predstavlja nosivu komponentu. Taj deo definiše sve aktivnosti koje će biti izvedene uz njegovo širenje.

Treći deo predstavlja funkcija za okidanje koja definiše vreme ili događaj prilikom kojeg će biti izvršena nosiva komponenta virusa.

Zlonamerno napisani kompjuterski program ili delovi programskog koda nazivaju se raznim imenima. To su crvi (worm), trojanski konji (trojan horse), logičke bombe (logic bomb), zamke (trap-door) i naravno virusi.

1.1.1 Crv je program koji se širi samoumnožavanjem kroz kompjuterske mreže. Crv je samostalan i za razliku od virusa ne treba mu program domaćin da bi radio. Takođe, crva u ˝pogon˝ pusta i kontroliše sam autor.

1.1.2 Logička bomba je metoda aktivacije procesa temeljem zadovoljavanja logičkog uslova-postojanja ili nepostojanja nekog podatka, protoka, određenog vremena ili u određeno vreme i sl. Logička bomba u stvari predstavlja princip delovanja, a ne celovit mehanizam. Logičke bombe su često sastavni deo mnogih kompjuterskih virusa.

1.1.3 Trojanski konj je program koji naizgled služi za neku drugu operaciju od one za koju je napravljen. Trojanski konj bi recimo bio program koji izgleda kao tekst procesor, a zapravo jednom pokrenut formatira hard disk. Mnogi autori virusa koriste trojanske konje kako bi olakšali razmnožavanje svojim mezimcima.

1.1.4 Zamka predstavlja posebnu nedokumentovanu funkciju programa koja se može pokrenuti na unapred određen način. Programeri koji pišu različite programe često znaju predvideti posebnu lozinku ili sekvencu znakova koja jednom ukucana omogućava pristup, do inače nevidljivih funkcija programa.

1.1.5 Njegovo veličanstvo virus je deo programskog koda koji je sposoban izvršiti samokopiranje (infekciju) dodavanjem svog sadržaja u druge programe ili delove operativnog sistema. Kao što se može primetiti postoji velika sličnost između kompjuterskih i bioloških virusa.

Virus se obično sastoji od dva dela. Prvi deo je samokopirajući kod, koji omogućava razmnožavanje virusa, a drugi je deo korisni teret (payload) koji može biti bezopasan (benigan) ili opasan (destruktivan, maligan). Neki se virusi sastoje isključivo od samokopirajućeg koda i nemaju nikakav korisni teret.

Iako virus ˝u promet˝ najčešće pusta sam autor, kontrola nad razmnožavanjem oslobođenog virusa nije u rukama autora.


1.2 ISTORIJA VIRUSA

Šezdesetih i sedamdesetih godina, još u vreme velikih mainframe računara, postojao je fenomen zvan zec (rabbit). Zec je najčešće nastajao slučajem ili greškom kada je ˝pomahnitali˝ kompjuterski program počeo sam sebe kopirati po sistemu, izazivajući usporenje ili pad sistema. No nisu svi ˝zečevi˝ nastali slučajno.

Prvi pravi predak današnjih virusa - Prevading animal (prožimajuća zver) bio je program sposoban da se nadodaje na druge kompjuterske programe na UNIVAC 1108 kompjuterskom sistemu, a napadnuti programi su čak bili označeni posebnom signaturom u svrhu samoprepoznavanja.

Prvi potvrđen nalaz kompjuterskog virusa daleke 1981. godine bio je Elk Cloner - virus koji je inficirao BOOT sektor disketa za legendarni Apple II kompjuter.

U decembru 1983. Len Adleman prvi put je u istoriji upotrebio reč ˝virus˝ opisujući samokopirajući kod.

Prelomna je i 1986. godina kada se pojavljuje kompjuterski virus Brain (mozak). Ovaj virus, sposoban inficirati BOOT sektore 360 KB disketa IBM PC kompjutera, brzo je osvojio svet. Na svu sreću, virus nije bio destruktivan, nego je u sebi samo nosio podatke o autorima.

Nakon toga stvari kreću brže. Pojavljuje se kompjuterski virus Jerusalem (1988.) koji je brisao sve pokrenute programe, te prvi pravi destruktivac Virus Datacrime (1989.) koji je bio sposoban izvršiti low-level format nulte staze na disku.

1989. aktivirana je fabrika virusa u Bugarskoj. Izvesna osoba (ili grupa) koja sebe naziva, Dark Avenger (Crni osvetnik), do danas je napisala najmanje 50-tak virusa, uključujući neke od najpoznatijih, kao što su New Zeland i Michelangelo.


1.3 VRSTE VIRUSA

Kompjuterski virusi mogu se podeliti na šest vrsta:

• boot sektor viruse

• parazitske viruse

• svestrane (multipartite) viruse

• viruse pratioce (companion)

• link viruse

• makro viruse

Ova podela prvenstveno vodi računa o načinu na koji virus može zaraziti različite delove kompjuterskog sistema. Bez obzira kojoj grupi pripada, svaki virusni kod mora biti izvršen da bi proradio i razmnožavao se. Osnovna razlika između različitih virusa je u načinu na koji to pokušavaju osigurati.

Postoji još i podela na viruse, zavisno od toga, da li je virus prisutan u memoriji na:

• viruse koji su rezidentni u memoriji
• viruse koji nisu rezidentni u memoriji


1.3.1 Boot sektor virusi

Boot sektor virusi napadaju Master BOOT sektor (partitition table), DOS BOOT sektor (oba na hard diskovima) ili BOOT sektor floppy disketa, odnosno program koji se u njima nalazi. BOOT sektor je idealan objekat za infekciju, budući da sadrži prvi program koji se izvršava na kompjuteru, čiji se sadržaj može menjati. Kada jednom kompjuter bude uključen, program u ROM-u (BIOS) će bez pitanja učitati sadržaj Master BOOT sektor u memoriju i izvršiti ga. Ako se u njemu nalazi virus, on će postati aktivan.

Nego, kako je virus dospeo u Master BOOT sektor?

Najčešće pokušajem startovanja sistema sa inficirane floppy diskete, ali boot sektor virusi se mogu širiti i pomoću posebnih programa, trojanskih konja, nazvanih dropper (bacač) - kojima je glavna namena da neprimetno ˝ubace˝ virus u BOOT sektor.

Boot sektor virusi su posebno efikasni u razmnožavanju - od sedam najčešćih kompjuterskih virusa, čak šest ih je sposobno zaraziti BOOT sektor.


1.3.2 Parazitski virusi

Najčešća vrsta virusa su upravo parazitski virusi. Ovi su virusi sposobni zaraziti izvršne datoteke na kompjuterskom sistemu dodavanjem svog sadržaja u samu strukturu programa, menjajući tok inficiranog programa tako da se virusni kod izvrši prvi. Poznati kompjuterski virusi sposobni su zaraziti .COM, .EXE, .SYS, .OVL i druge datoteke.


1.3.3 Svestrani virusi

˝Dobre˝ osobine boot sektor i parazitskih virusa ujedinjene su kod svestranih virusa (multipartite) virusa. Ovi virusi sposobni su zaraziti i BOOT sektore i izvršne programe, povećavajući tako mogućnost širenja. Poput boot sektor virusa i ovi su virusi posebno efikasni u širenju.


1.3.4 Virusi pratioci

Najjednostavniji oblik kompjuterskih virusa su upravo virusi pratioci. Oni koriste prioritet kojim se izvršavaju programi s istim imenom pod DOS-om. .COM datoteke se uvek izvršavaju pre .EXE datoteka, programi iz foldera koji su na početku PATH niza, izvršavaju se pre onih sa kraja. Virus pratilac obično stvori .COM datoteku koristeći ime već postojećeg .EXE programa i ugradi u nju svoj kod. Princip je jednostavan - kada program bude pozvan, umesto originala s .EXE ekstenzijom, prvo će se izvršiti podmetnuti .COM program s virusnim kodom. Kada izvršavanje virusnog koda bude završeno, virus će vratiti kontrolu programu s .EXE ekstenzijom. Da bi prikrio prisustvo, virus pratilac će postaviti skriveni atribut za .COM program u koji je stavio svoj sadržaj. Ova vrsta ne menja ˝napadnuti˝ program, a zbog nespretnog načina širenja ne predstavlja veću opasnost.


1.3.5 Link virusi

Najinfektivnija vrsta virusa su link virusi koji jednom pokrenuti, u trenu inficiraju napadnuti kompjuterski sistem. Poput virusa pratioca ovi virusi ne menjaju ˝napadnute˝ programe već menjaju pokazivače u strukturi foldera, na takav način da ih preusmere na cluster na disku, gde je prethodno sakriven virusni kod. Na svu sreću, ova izrazito infektivna i neugodna vrsta virusa, koja zbog samog načina razmnožavanja može izazvati pravi haos na disku, ima trenutno samo dva predstavnika i ukupno četiri varijante.

1.3.6 Makro ili skriptni virusi

Najčešći virusi u poslednje vreme koriste mogućnost izvršavanja skripti u programima koji su u širokoj upotrebi, npr. Internet Explorer, Outlook i Outlook Express, zatim Word, Excel. Mnogi od tih programa imaju puno sigurnosnih rupa za koje se zakrpe ne izdaju često, a korisnici ih još manje primenjuju. Ukoliko je sigurnost prioritet pri radu na računaru, predlaže se isključivanje skriptnih jezika (Java, VBscript itd.)
1.4 VIRUSI KOJI NISU REZIDENTNI U MEMORIJI

Osnovna vrsta su virusi koji, kada njihov kod bude izvršen i pošto vrate kontrolu originalnom programu, ne ostaju aktivni u memoriji. Ova vrsta operiše tako da tokom svog izvršenja pronađe objekat pogodan za infekciju i zarazi ga. Teoretski su ovi virusi manje infektivni od virusa rezidentnih u memoriji, ali nažalost u praksi to nije uvek slučaj. Zarazi li virus program koji se često izvršava, biće izuzetno efikasan. Kako ovi virusi ne menjaju količinu slobodne radne memorije, moguće ih je primetiti samo po promeni dužine programa na disku. Danas ova vrsta virusa sve više ˝izlazi iz mode˝ budući da se ne mogu koristiti tehnike samosakrivanja koje zahtevaju da virus bude aktivan u memoriji.


1.5 VIRUSI REZIDENTNI U MEMORIJI

Kao što samo ime kaže, ova se vrsta virusa instalira u radnoj memoriji kompjutera i ostaje aktivna dugo nakon što zaraženi program bude izvršen. Virus aktivan u memoriji može biti sposoban zaraziti svaki izvršeni program, svaku disketu koja bude pokrenuta (pod uslovom da nije zaštićena od pisanja), on može motriti aktivnost sistema ili u svakom trenutku izvršiti svoj korisni teret. Ovi virusi su izuzetno infektivni. Osim toga, oni su sposobni koristiti sve moguće virusne tehnike, te predstavljaju trend u razvoju virusa.
Neki virusi koriste kombinacije ovih dviju tehnika. Tako na primer, virus može inficirati programe na način koji je tipičan za viruse koji nisu rezidentni u memoriji, ali nakon izvršenja virusnog koda ostavlja u memoriji mali rezidentni program sa korisnim teretom koji sam po sebi nije sposoban inficirati druge programe.


1.6 NEKE VIRUSNE TEHNIKE

˝Uspešnost˝ virusa meri se dužinom vremena u kojem virus neprimetno ostaje aktivan, inficirajući druge programe. Što je ˝vreme inkubacije˝ duže, to su mogućnosti za opstanak virusa i eventualno izvršenje korisnog tereta veće. Osim toga, jednom otkriven virus može se pokušati braniti od postupka analize koji se redovno sprovodi radi utvrđivanja načina za njegovo sigurno pronalaženje.
Važno je napomenuti da su sve ultraopasne tehnike o kojima će biti reč u nastavku potpuno bezopasne ako se pri korišćenju antivirusnih programa poštuju osnovne mere antivirusne zaštite.


1.6.1 Enkripcija
Enkripcija ili šifriranje je postupak kojim se originalna informacija menja (premeće) u cilju prikrivanja njenog pravog sadržaja. U osnovi šifriranja postoji obrnuti postupak dekripcije (dešifriranja) kojim se ponovo dobijaju originalne informacije. Prvi razlog upotrebe šifriranja je pokušaj otežavanja pronalaženja virusa. Teoretski, ako virus menja svoj sadržaj i u svakom inficiranom sadržaju izgleda drugačije, teže je na temelju proučavanja njegovog tela izvući search string ili napraviti algoritam za pronalaženje. U praksi stvari stoje drugačije. Naime, nije moguće izvesti šifriranje celog virusnog koda, budući da onaj deo koda koji vrši dekripciju mora ostati neenkriptiran. Osim toga svaki enkriptirani virus mora pre izvršenja, svoj dekriptirati u memoriji. Upotreba enkripcije možda može otežati analizu virusa, ali ne mora nužno i otežati njegovo pronalaženje.


1.6.2 Polimorfni virusi

Korak dalje u igri skrivača je polimorfizam (višeobličje). Polimorfizam predstavlja preoblikovanje izvršnog koda, na takav način da se očuva funkcija, ali istovremeno bitno promeni njegov izgled. Pogledajte sledeći primer:

Rezultat izvršenja dela koda iz prethodna četiri primera biće isti, ali svaki od njih u memoriji izgleda drugačije.

Polimorfizam je najčešće nadopuna tehnike enkripcije. Nakon što je glavnina tela virusa već šifrirana nastoji se premetanjem redosleda instrukcija ili korišćenjem drugih instrukcija prilikom svake naredne infekcije izmeniti i deo virusa koji obavlja dekripciju. Ovim se nastoji doskočiti nemogućnosti šifriranja i tog dela koda.
Enkripcija kombinovana sa polimorfizmom predstavlja jedan od najopasnijih trendova u razvoju virusa.
1.6.3 Stealth

Stealth (nevidljivost, samosakrivanje) je još jedna kompleksna tehnika koju koriste vešti pisci kompjuterskih virusa. Temelj tehnike samosakrivanja je pokušaj prevare korisnika, sistema ili antivirusnog programa na takav način, da se uveri da se sa sistemom ne događa ništa neobično. Na primer, najjednostavnija tehnika samosakrivanja je presretanje DIR komande na takav način da se umesto stvarne, pokaže dužina zaraženih programa pre infekcije.

Tehnike samosakrivanja koriste način komunikacije između softvera i hardvera na PC kompjuteru. U osnovi, ova se komunikacija odvija preko interrupta. Kada procesor dobije zahtev za čitanjem s diska, on će izvršiti deo koda na koji je usmeren odgovarajući interrupt. Ako virus izmeni interrupt vektor i izvođenje pojedinih funkcija preusmeri prvo na sebe, može lako pratiti sva događanja na sistemu i njima bez problema ˝vladati˝.

1.7 PUTEVI ZARAZE

Najčešće postavljano pitanje nakon otkrivanja virusa je ˝kako je do zaraze došlo?˝. Iako su mnoge stvari vezane uz viruse vrlo složene, odgovor na ovo pitanje je više nego jednostavan. Kao što smo rekli svaki virusni kod, da bi se umnožavao, treba prethodno biti izvršen. Neki se programi na kompjuteru izvršavaju voljom korisnika, a neki automatski, bez njegove volje.

1.7.1 Diskete

Floppy diskovi (diskete) su najčešći medij kojima se prenose virusi. Budući da su diskete standardno sredstvo razmene programa i informacija, njima se odvija i najveći deo komunikacije između korisnika kompjutera. Zapamtite, disketa ne mora biti sistemska da bi prenela boot sektor virus i zarazila vaš kompjuter.

1.7.2 Izmenjivi hard-diskovi

Izmenjivi hard-diskovi, iako se ređe koriste, takođe predstavljaju pogodan medij za prenos svih vrsta virusa.

1.7.3 CD-ROM

CD-ROM-ovi su se pokazali kao odličan medij za prenos virusa, iako se sa CD-ROM-ova po pravilu ne obavlja startovanje sistema, pa nisu pogodan medij za prenos boot sektor virusa. Nezgodna je činjenica da programi i podaci na njima dolaze u kompresovanoj formi, što dodatno otežava pregled antivirusnim programima.


1.7.4 Mreže
Virusi na kompjuterskim mrežama predstavljaju jedan od najvećih sigurnosnih rizika danas, a predstavljaće ga i u budućnosti.

1.8 CRVI

Klasični virusi danas su zapravo retki. Današnji korisnici uglavnom se susreću sa crvima. Crvi su maliciozni programi koji se šire računarskim mrežama i računarima, a da pritom ne inficiraju druge programe. Ovde vidimo osnovnu razliku između virusa i crva, a to je da crvi nemaju prvu i obaveznu komponentu virusa, mogućnost infekcije programa. Crvi obično upotrebljavaju računarsku mrežu ne bi li se širili i danas najčešće na adresu primaoca stižu u vidu priloga poruke elektronske pošte. Neki drugi crvi za svoje širenje koriste različite sigurnosne probleme, ali svima im je karakteristika da ne inficiraju druge programe.

1.8.1 NAČIN OTKRIVANJA METE

Skeniranje - označava testiranje raspona adresa da se indefitikuju ranjivi računari. Postoje dve varijante skeniranja, sekvencijalna ili slučajna. Zbog svoje jednostavnosti to je vrlo čest način širenja crva. Ovo nije jako brz način širenja, ali kod crva sa automatskom aktivacijom širenje može biti vrlo brzo, za šta je primer Blaster ili Code Red I crv. Skeniranjem crv uzrokuje puno abnormalnog mrežnog saobraćaja, pa se po tome može prepoznati, a neki antivirusni programi i zaštitni zidovi (firewall) automatski reaguju i ograničavaju taj promet, što može zaustaviti crva.

Pregenerisana lista adresa - napadač može napraviti listu adresa pre lansiranja crva na kojima bi bile verovatne žrtve. Mala lista bi se mogla iskoristiti za ubrzavanje skenirajućeg crva, a stvaranjem velike liste dobijamo neverovatno brzog crva, koji može za nekoliko minuta zaraziti milione računara. Takav crv, osim u laboratorijskim uslovima, još nije napravljen.

Spoljna generisana lista adresa - Spoljna generisana lista je ona koju održava neki nezavisni server. Serveri koji imaju popis adresa drugih servera, nazivaju se metaserveri. Najbolji primer za to je servis Gamespy koji održava listu pokrenutih servera nekih od najpopularnijih mrežnih igra današnjice, a kada pogledamo koliko ljudi se igra na internetu dobijamo ogromne liste adresa. Ova tehnika bi se mogla iskoristiti i na pretraživačima, jer npr. Google ima listu većine web servera na svetu. Metaserver crvi još uvek nisu primećeni na slobodi, ali rizik je veliki, zbog velike brzine širenja koju bi crv mogao postići.

Interna lista adresa - Mnoge aplikacije na računaru sadrže informacije o IP ili e-mail adresama drugih računara. Nakon što crv zarazi računar, pretraži neke najčešće aplikacije u potrazi za adresama i šalje se na njih. To često viđamo kod novijih crva koji pretražuju adresar u Outlooku i šalju se na sve e-mail adrese koje pronađu. Ove crve je teško otkriti skeniranjem mrežnog saobraćaja, jer crv na računaru nalazi adrese računara s kojima se ionako komunicira, pa dodatni mrežni saobraćaj nije sumnjiv.

Pasivni - Pasivni crv ne traži adrese računara žrtve, već čeka da se žrtva javi ili se oslanja na korisnika koji mu otkriva nove mete, na primer surfovanjem po internetu. Gnuman crv se predstavlja kao Gnutella čvor, koji se koristi za distribuiranu izmenu podataka (većinom muzike i filmova) na internetu. Kada se žrtva javi sa zahtevom za određenom datotekom crv šalje sebe. Iako potencijalno spori, pasivni crvi ne proizvode abnormalni mrežni saobraćaj pa ih je teško otkriti.

1.8.2 NAČIN ŠIRENJA

Samonoseći - Samonoseći crv sam sebe prenosi kao deo procesa infekcije. Ovaj mehanizam je čest kod samoaktivirajućih skenirajućih crva, gde je čin infekcije ujedno i prenošenje crva, kao na primer kod crva CRClean.

Sekundarni kanal - Neki crvi, kao na primer Blaster, zahtevaju sekundarni komunikacijski kanal da izvrše infekciju. Iako Blaster koristi sigurnosnu rupu u RPC, računar žrtva otvara TFTP kanal preko kojeg se prenosi sam crv, završavajući proces infekcije.

Umotani - Taj tip crva se prenosi kao deo normalnog komunikacijskog kanala, ili dodavajući se normaloj poruci ili je zamenjujući. Kao rezultat dobijamo širenje koje izgleda kao normalni mrežni saobraćaj, pa je crva teže otkriti.

1.8.3 AKTIVACIJA CRVA

Ljudska aktivacija - Najsporiji način aktivacije zahteva da crv uveri lokalnog korisnika računara da izvrši lokalnu kopiju crva. Da bi potakli korisnike, autori crva se koriste raznim tehnikama socijalnog inženjeringa. Neki kao Mellisa crv glume hitno pismo od poznanika ("Attached is an important message for you"), neki kao Iloveyou crv ciljaju na taštinu korisnika ("Open this message to see who loves you"), a neki kao Benjamin koriste pohlepu ("Download this file to get copyrighted material for free"). Dok neki zahtevaju pokretanje priloga kog dobijamo e-mailom, neki (npr. Klez) koriste sigurnosne propuste u Outlooku i samim gledanjem poruke računar je zaražen.

Aktivacija ljudskim postupkom - Neki crvi se ne mogu pokrenuti automatski prilikom zaraze, ali mogu zapisati svoje podatke na bilo koje mesto na disku, pa se onda pokreću prilikom resetovanja sistema ili logovanja na sistem.

Zakazani proces aktivacije - Neki prilično brzi crvi koriste zakazane sistemske procese. Mnogi operativni sistemi i programi imaju mogućnost automatskog unapređivanja programa skidanjem novije verzije sa određene adrese. Ako autor crva zameni zakrpu programa crvom, ili ga doda u zakrpu, on će se nakon skidanja automatski izvršiti. Ako program nema proveru autentičnosti izvora, dovoljno je najobičnije DNS preusmeravanje adresa da se računar zarazi.

Samoaktivacija - Uverljivo najbrži način širenja crva. Operativni sistemi i razni programi puni su sigurnosnih propusta koji omogućuju neovlašćeno pokretanje programa, npr. Code Red koristi IIS Web server koji dolazi zajedno sa Windows operativnim sistemom. Takvi crvi se dodaju pokrenutim procesima i koriste njihova dopuštenja za pokretanje programa. Najbolja zaštita je redovno stavljati sigurnosne zakrpe na ugrožene programe.

1.8.4 TERET

Teret je drugi naziv za kod koji crv nosi, a ne služi za njegovo širenje. Taj kod je limitiran jedino ciljem i maštom autora crva.

Nepostojeći/Nefunkcionalan - Najčešći slučaj kod većine crva je upravo ovaj, kada ne postoji kod, osim koda za širenje, ili u njemu postoji nekakva greška pa nije funkcionalan.

Daljnska kontrola - Code Red II je otvarao tzv. backdoor na računaru žrtvi, dajući svakome sa web pretraživačem mogućnost pokretanja programa na žrtvinom računaru. Postojali su i anti-Code Red internet stranice koje su taj backdoor koristile da maknu crva i restartuju računar, pa on više nije bio zaražen.

Spam relays - Deo crva Sobig kreira "mail relay" koji spammeri mogu koristiti da bi slali neželjenu elektronsku poštu. Većina internet provajdera ima sigurnosne mehanizme koji blokiraju spam sa poznatih IP adresa, ali kod zaraze ovim crvom, spam dolazi sa svih strana i nemoguće je na taj način kontrolisati njegovo širenje.

HTML-proxiji - Još jedna osobina crva Sobig je distribucija HTML-proxija. Preusmeravajući web zahteve preko mnogo proxija, web stranice sa zabranjenim sadržajem, dobijaju na vremenu jer provajderima treba puno vremena da otkriju na kojoj se adresi web stranica fizički nalazi. Ovo se koristi za razne nelegalne aktivnosti, uključujući prevare sa upisivanjem finansijskih podataka ili brojeva kartica.

Internet DOS - Još jedan česti teret je internet DOS (Denial Of Service) napad. Code Red, Yaha i još mnogo crva sadrže DOS alate, koji su ili upereni protiv određene stranice ili se mogu uperiti protiv bilo koga, ako autor crva to zaželi. Kada crv zarazi 100.000 ili više računara zombija, moguće je nedostupnom učiniti bilo koju stranicu, pa čak i celi DNS sistem!

Skupljači podataka - Većina ljudi na računaru na kom rade imaju osetljive podatke poput poslovnih tajni, nacrta novih uređaja, finansijskih izveštaja itd. Crv može pretražiti disk računara u potrazi za tim podacima i zatim ih poslati na prethodno određeno mesto. SirCam crv je vršio nenamernu špijunažu, jer je slučajnu datoteku sa diska slao slučajnoj osobi iz adresara na računaru.

Brisači podataka - Postoji mnogo virusa, kao na primer Chernobyl koji su sadržavali kod za brisanje podataka nakon određenog vremena. Budući da se crvi mogu širiti mnogo brže, mogli bi početi brisati podatke odmah nakon infekcije. Podaci bi mogli biti i kodirani umesto prebrisani da bi se izvukli iz sistema.

Daljinska kontrola - Postoje računari koji kontrolišu razne mehanizme i naprave u fizičkom svetu. Svima nama odmah padaju na pamet vojni računari koji kontrolišu razne mehanizme odbrane, ali zapravo je veliki deo elektronike koja nas okružuje, kompjuterski kontrolisan. Crv bi mogao preuzeti kontrolu nad sistemom i predati je napadaču, to jest autoru crva.

DOS napad u fizičkom svetu - Crv bi mogao preuzeti veliki broj računara i preko ugrađenih modema pozivati neki broj, na primer 92 i time tu liniju onemogućiti, jer će biti konstantno zauzeta.

Fizička šteta - Većina današnjih računara podržava nadogradnju pokretačkog softvera, pa tako i računari imaju BIOS čip koji je moguće flashovati direktno iz Windowsa. Ukoliko se u flash čip upišu pogrešni podaci računar se više neće moći pokrenuti.

Održavanje crva - Zadnja klasa tereta je ona koja služi održavanju crva. Crvi kao Sonic i Hybris su pregledavali Usenet grupe i kriptografski proveravali module koje su tamo nalazili pre svoje nadogradnje.

1.9 PREPOZNAVANJE VIRUSA - ANTIVIRUSNI PROGRAMI

Današnje antivirusne programe možemo podeliti na dve vrste - programe za prepoznavanje specifičnih virusa i programe za nespecifično prepoznavanje virusa.


1.9.1 Skeneri

Skeneri su po pravilu programi za specifično prepoznavanje virusa, mada bi neki od njih, koji koriste heurističke metode traženja virusa, mogli biti svrstani u grupu programa za nespecifično prepoznavanje virusa, budući da su, bar teoretski, sposobni prepoznati i nepoznate viruse. Skener tradicionalno prepoznaje virus na temelju (u njega) ugrađenih podataka, koji su prethodno pribavljeni analizom virusa koji se pojavio među korisnicima. Ti podaci mogu se odnositi na niz heksadecimalnih znakova (search string) - koji katkad mogu sadržavati i wildcard (džoker) znakove.
Glavna prednost skenera je mogućnost trenutnog otkrivanja poznatih virusa jednostavnim pregledom sumnjivog sadržaja. Ako skener prepozna virus, on će javiti tačno o kom se virusu radi, a to je vrlo korisno jer se prema tom podatku mogu proceniti i moguće posledice napada virusa. Pravilno korišćen skener pomoći će nam da otkrijemo virus na pristiglim disketama, PRE nego što zarazi zaštićene kompjutere.
Nedostaci skenera odnose se na potrebu za stalnim dograđivanjem radi prepoznavanja novonastalih virusa, no nemogućnost prepoznavanja virusa o kojima nemaju potrebne podatke. Iako postoje heuristički skeneri, sposobni za otkrivanje novonastalih, nepoznatih virusa, koji su bazirani na tehnologiji znanja (knowledge based), kao i svaki takav system, ima i puno mana.
Skeneri su danas najrasprostranjeniji antivirusni softver.


1.9.2 Provera checksum-om

Tehnika provere checksumm-om temelji se na mogućnosti prepoznavanja svake promene na zaštićenom sadržaju. Checksumm-om se ˝zaledi˝ stanje sistema, za koji prethodno utvrdimo da je neinficiran. Nakon toga se u određenim vremenskim razmacima proverava da li je na sistemu došlo do nekih promena.
Checksummiranje je jedina poznata metoda kojom će se sigurno otkloniti svi virusi, bez obzira na to jesu li poznati ili ne. Ova činjenica čini checksummere jednim dugoročnim osloncem svake mudre antivirusne strategije.
Nedostatak checksummera leži u činjenici da se njima otkriva infekcija virusom tek nakon što se već dogodila, međutim, njihovom redovnom primenom, sigurno se može otkriti virus, pre nego što dođe do značajne štete.


1.9.3 Programi za praćenje (monitori)

Programi za praćenje najčešće rade kao TSR koji pregledava odvijanje pojedinih funkcija sistema preko odgovarajućih interrupta. Tako npr. kad god sistem dobije nalog za učitavanjem neke izvršne datoteke, može se i izvršiti provera. Neki monitori ne traže specifične viruse, nego pokušavaju otkriti sumnjive aktivnosti, kao što su na primer, pisanje po Master BOOT sektoru ili izvršnim programima, pokretanje formatiranja diska, pokušaj programa da se učini rezidentnim u memoriji i sl. Jedina prednost monitora je da mogu otkriti virus u realnom vremenu.
Nedostaci monitora su brojni. Najveći nedostatak je nemogućnost delotvorne primene TSR programa, Najnoviji registrovani član je snejana koji bi u sebi sadržavao podatke za prepoznavanje svih poznatih virusa. Monitori koji otkrivaju sumnjive aktivnosti često izazivaju brojne lažne uzbune, jer označavaju sumnjivim i redovne aktivnosti kao što su formatiranje disketa ili instaliranje raznih programa u memoriju.


1.10 POSLEDICE NAPADA VIRUSA

Po pravilu, svaki program inficiran virusom, već je u određenoj meri oštećen i potrebno ga je dovesti u ispravno stanje. Ovo se dešava uvek, bez obzira na to da li virus ima tkz. korisni teret i bez obzira koja mu je namera. Danas je sve veći trend izrade virusa koji pri infekciji jednostavno prepišu deo koda napadnutog programa i na taj način nepopravljivo oštete napadnuti objekat. Na primer, link virusi mogu napraviti pravi haos na disku, jer dovode do tkz. cross-linked datoteka.

Program zaražen virusom može grešiti u radu, virus koji se instalira u memoriju može izazvati greške u radu drugih programa koji se instaliraju u memoriju ili može programima oduzeti memoriju potrebnu za rad. Mnogi pisci kompjuterskih virusa uključuju u virus koristan teret, kod koji je sposoban izvršiti neki zadatak kao što je npr. ispisivanje poruka, ometanje rada sistema, brisanje određenih podataka, formatiranje diska ili korupcija podataka.

Blesave poruke, nemušte ljubavne izjave ili usamljeničke rođendanske čestitke - najmanji su dodatni problem. Nedestruktivno ometanje rada sistema, blokiranje kompjutera, usporenje rada sistema - predstavljaju drugu stepenicu. Očigledno brisanje programa i podataka ili formatiranje diska, koliko je god nezgodno i štetno nije najveći stepen oštećenja, kako to mnogi misle. Ako se redovno sprovodi temeljno arhiviranje podataka, već nakon kraćeg vremena kompjuter može biti ponovo osposobljen i spreman za rad. Najgori mogući oblik štete je korupcija podataka, neprekidno i progresivno propadanje integriteta ili tačnosti podataka. Korupcija podataka može biti izazvana namerno ili se javiti slučajno. Oštećene mogu biti baze podataka, arhive s programima i podacima, tekstualne datoteke i sl. Slučajan oblik korupcije je kada virus greškom inficira tekstualnu datoteku. Datoteka će biti oštećena, a virus u toj datoteci neće se moći razmnožavati.

Nameran oblik korupcije je kada virus pregleda disk u potrazi za bazama podataka, te u nađenoj nasumice izmeni neki podatak. Ako korupcija traje dulže vreme, doći će do nepopravljivih posledica. Arhiviranje podataka nije dovoljna zaštita od korupcije podataka, jer ako ona ne bude otkrivena pre jednog punog ciklusa arhiviranja, podaci će biti nepopravljivo oštećeni, budući da će sve arhivske kopije sadržavati oštećene podatke. Jedina zaštita od korupcije podataka je provera njihovog integriteta, pri čemu nije dovoljno proveravati samo spoljašnji, već i unutrašnji integritet.


1.11 ČIŠĆENJE VIRUSA

U antivirusne programe možemo još ubrojiti i programe za čišćenje virusa koji mogu biti izrađeni za čišćenje specifičnih ili nespecifičnih virusa.
U prvu grupu dolaze programi koji na temelju poznavanja određenog virusa i metoda kojom inficira program, pokušavaju odstraniti virus i program dovesti u ispravno stanje.
Druga grupa su programi za nespecifično čišćenje virusa. Neki su autori pokušali razviti programe koji bi izolovali i spremili na sigurno, kritične delove rizičnih sadržaja (BOOT sektore, headere i dužinu izvršnih datoteka i sl.), te nakon otkrivene infekcije pokušavali stvari dovesti na svoje mjesto. Budući da se ova metoda zasniva na predviđanju moguće štete, njena sigurnost je vrlo upitna.

1.12 NEKI POPULARNIJI VIRUSI

FormB
BOOT sektor virus
Poreklom iz Švajcarske, 18. dana svakog meseca virus proizvodi zvukove prilikom kucanja na tastaturi. Prema nekim podacima na njega otpada 40% svih infekcija.

New Zealand (Stoned, Marijuana)
BOOT sektor virus
Virus ispisuje ˝LEGALISE MARIJUANA˝. Uzročnik oko 20% infekcija.

Tequila
Svestrani virus
Porieklom iz Švajcarske. Enkriptirani, polimorfni virus. Iscrtava na ekranu grubi mandelbrot. Oko 10% infekcija izazvano je ovim virusom

Spanish Telecom (Anti-Tel, Anti-CTNE)
Svestrani virus Enkriptirani, stealth virus.
Poruka u virusu navodi da je izrađen u Španiji. Nakon 400 startovanja sistema, virus prepiše podatke na dva tvrda diska. Zaslužan za 10% infekcija.

Cascade (Fall, Russian, Halstorm, 170h )
Parazitski virus
Enkriptirani virus koji napada .COM datoteke. Originalna verzija uzrokuje ˝padanje˝ znakova s ekrana između 1.decembra i 31. Januara. Formatirajuća verzija, formatira disk između istih datuma svake godine. Izaziva oko 7% infekcija.

Joshi
BOOT sektor virus
Virus iz Indije koji 5. januara ispisuje poruku ˝Type `Happy Birthday Joshi`˝. Ako korisnik poruku ne otkuca doslovno, kompjuter će se ˝objesiti˝. Virus koristi stealth i preživljava worm boot (CTRL-ALT-DEL). Joshiu rođendan čestita oko 5% zaraženih.

Michelangelo
BOOT sektor virus
To je mutacija virusa New Zealand, koja 6. Marta, prepiše hard-disk. Nalazi se u oko 2% infekcija.

BESPLATNI ANTIVIRUSI

AVG Free Edition
avast! Home Edition
AntiVir Personal Edition
F-Secure Anti-Virus for DOS
BitDefender Free Edition
ClamWin

BESPLATNI FIREWALLOVI

ZoneAlarm Free
Kerio Personal Firewall Free - nakon isteka trial perioda od 30 dana, postaje lite verzija.
Look 'n' Stop Lite - postaje Lite nakon što istekne trial period od 30 dana
SoftPerfect Personal Firewall
Filseclab Personal Firewall
Xeon Personal Firewall
GoldTach Free

ON-LINE VIRUSNI SKENERI

BitDefender
Kaspersky
Dr. Web
Panda ActiveScan
Trend Micro Housecall(Java) - Potrebna Java na sistemu da bih mogao da skenira sistem
PC Pitstop
Mcafee Virusscan Online
Symantec Security Check (Norton AV)
eTrust
f-prot
commandondemand

ON-LINE SPYWARE SKENERI

spy audit
SpywareInfo
Xblock
GFI TrojanScan
Ewido

SPECIJALIZOVANI PROGRAMI ZA ČIŠĆENJE VIRUSA

McAfee AVERT Stinger
Microsoft Malicious Software Removal Tool
avast! Virus Cleaner
Sophos SAV32CLI
NOD32 - odaberite virus sa padajuće liste
Symantec - odaberite odgovarajući virus na stranici
Kaspersky Virus Removal Tools - odaberite odgovarajući virus na stranici
BitDefender - odaberite odgovarajući virus na stranici

OSTALI BEZBEDNOSNI PROGRAMI I ALATI

SpywareBlaster - alat protiv spyware-a
Pop-up test - proverite koliko ste bezbedni na pop-ups (iskačuće) prozore
Browser Security Test - proverite koliko je siguran i pouzdan vaš browser
PC Flank - trojanci, sigurnost browsera, privatnost
Spybot-Search&Destroy - još jedan program za zaštitu i uklanjanje spyware-a
Ad-Aware Personal - odličan alat za skidanje spyware-a, što Spybot S&D ne nađe, ovaj hoće!
HijackThis - protiv gamadi koja se nakači na vaš browser, popis BHO i toolbar-a, LSP-ova, za listu gamadi koja se pokreće automatski sa windowsom.
Script Defender - sprečite izvršavanje potencijalno malicioznih skripti!
System Safety Monitor - sprečite neke kompleksnije napade poput DLL injection, rootkit-ove, takođe prati promenu registry-a, win32 servisa, postavka IE-a...
FileChecker - program koji prati promenu važnih sistemskih fajlova od strane malicioznih programa
WinPatrol - alat za zaštitu koji ima veliku bazu malware-a
a-squared - odličan komplement za AV, ima veliku bazu malware-a.
Prevx Home - jedan od najnaprednijih besplatnih alata koji pruža širok spektar zaštite od malware-a.
IE-SPYAD - sprečite kompromitovanje IE-a.
ProcessGuard - napredan alat za povećanje sigurnosti OS-a
RegistryProt - zaštitite registry od modifikacije od strane zloćudnih programa, idealno protiv trojanaca, koji se podižu automatski sa windowsom.
CCleaner i RegSeeker - optimizacija sistema (registry, privremeni fajlovi) - ubrzajte svoju mašinu!
Filemon - alat koji u stvarnom vremenu prati operacije nad fajlovima, odlično za dijagnozu problema.
Regmon - alat koji u stvarnom vremenu prati operacije nad registryem, takođe idealno za dijagnozu problema.
TCPView i TDIMon - napredni alati za dijagnozu problema sa mrežom, za dijagnozu problema povezanih sa trojancima...
Autoruns - jedan od najboljih alata, koji može isključiti programe koji se pokreću sa windowsom, popis najpopularnijih i dobrih i loših možete naći ovde.
Process Explorer - najnapredniji i najbolji pregledač i analizator aktivnih procesa na svetu! Idealno za upoznavanje sa sistemom i traženje aktivnog malware-a. Popis procesa koji su poznati ili deo su windowsa možete naći ovde.

Mnogi misle da je uklanjanje malocioznih programa, neka posebna veština ali nije, za to samo trebate malo znati o OS (Operativni Sistem) i neke fore koje virusi koriste. Kod nekih malicioznih programa, nema spasa, nego komanda: Format C
Ali se većina malocioznih programa da ukloniti.
Uklanjanje:
Za početak instalirajte neki od Antivirusnih programa i obnovite mu definicije, skenirajte ceo kompjuter i vidite je li nešto sumnjivo našao, ako jeste i možete to ukloniti onda nema problema, ali ako ne možete, onda morate pokušati sami ukloniti. A to radite ovako:
1.Potražite sumnjive procese u task manageru, ako je on isključen i ne možete ga pokrenuti, obrišite ovaj ključ u registri bazi:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
Zatim uklonite «sumnjivi proces»
2. Pritisnite Start>Run i unesite msconfig
odatle takođe uklonite sumnjive startup fajlove.
3. Pritisnite Start>Run i unesite regedit
U registriju ima dosta fora koje malociozni programi koriste, većina tih fora rade na principu da sakriju/uklone neke alate koji se nalaze u Windowsu npr. (sakrivanje sata, skrivanje runa, zaključavanje registrija i task managera itd. Većina tih fora nalaze se tu:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
odatle izbrišite sumnjive ključeve, ali pazite pre bilo ikakog brisanja napravite backup baze. Pogledajte imate li i ovde šta sumnjivo:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\
ovde takođe izbrišite sumnjive ključeve, jer to zabranjuje pokretanje nekih programa.
4. Restartujte PC. Ako i dalje imate probleme, ponovite ove tačke od 1 do 3. Ako i dalje imate probleme, probajte ih ukloniti sa System Restoreom.
%SystemRoot%\System32\restore\rstrui.exe
Pokrenite ga i vratite sistem u neku prethodnu tačku. Sa gore navedenim tačkama, trebali bi ste rešiti vaš problem sa malocioznim programima. Srećno

Po default-u Windowsi skrivaju određene datoteke od vaših očiju tako što postaju nevidljive u programima poput Windows Explorer-a. Ovo je zamišljeno kao isključivo preventivna mera, da bi se te datoteke zaštitile od modifikovanja ili brisanja od strane krajnjeg korisnika. Nažalost, raznorazan malware se skriva na taj način, što otežavanja njegovo lociranje i brisanje.
U ovom tekstu ćemo objasniti kako promeniti postavke vaše verzije Windowsa kako biste bili u mogućnosti videti skrivene (hidden) i zaštićene(protected) datoteke OS-a. Na ovaj ćete način moći tako otkrivene datoteke menjati i brisati, ukoliko se na taj način skriva neki malware.

Omogućavanje pregleda ekstenzija na Windows 95/98/NT

1. Pokrenite Windows Explorer (Klikom na My Computer).

2. Kliknite u meniju na View.

3. Kliknite na Options.

4. Maknite kvačicu sa Hide file extensions for known file types.


Omogućavanje pregleda ekstenzija na Windows 2000 i XP

1. Pokrenite Windows Explorer (Klikom na My Computer).

2. Kliknite u meniju na Tools.

3. Kliknite na Folder Options.

4. Kliknite na View.

5. Maknite kvačicu sa sa Hide file extensions for known file types.


Omogućavanje pregleda ekstenzija na Windows Visti

1. Pokrenite Windows Explorer (Klikom na My Computer)

2.Kliknite u meniju na Organise

3. Izaberite sa padajuće liste, Opcije fascikle i pretraživanja

4. Kliknite na View.

5. Maknite kvačicu sa sa Hide file extensions for known file types.

Omogućavanje pregleda ekstenzija za .SHS datoteke

Za .SHS datoteke treba još jedan dodatni korak. Nakon prošlih instrukcija za Vašu verziju Windowsa, uradite sledeće:

1. Kliknite na Start dugme.

2. Kliknite na Run.

3. Upišite regedit i kliknite <enter>.

4. Dođite do ključa HKEY_CLASSES_ROOT\ShellScrap.

5. Unutar tog ključa izbrišite vrednost NeverShowExt, tako što ste ga označili i pritisnuli <delete>.

Parcijalna lista tipova datoteka, koje bi ste trebali smatrati sumnjivim kada ih primite preko e-maila i ne biste ih smeli otvarati, osim ako ih ne očekujete kao attachment:

ADE - Microsoft Access Project Extension
ADP - Microsoft Access Project
BAS - Visual Basic Class Module
BAT - Batch File
CHM - Compiled HTML Help File
CMD - Windows NT Command Script
COM - MS-DOS Application
CPL - Control Panel Extension
CRT - Security Certificate
DLL - Dynamic Link Library
DO* - Word Documents and Templates
EXE - Application
HLP - Windows Help File
HTA - HTML Applications
INF - Setup Information File
INS - Internet Communication Settings
ISP - Internet Communication Settings
JS - JScript File
JSE - JScript Encoded Script File
LNK - Shortcut
MDB - Microsoft Access Application
MDE - Microsoft Access MDE Database
MSC - Microsoft Common Console Document
MSI - Windows Installer Package
MSP - Windows Installer Patch
MST - Visual Test Source File
OCX - ActiveX Objects
PCD - Photo CD Image
PIF - Shortcut to MS-DOS Program
POT - PowerPoint Templates
PPT - PowerPoint Files
REG - Registration Entries
SCR - Screen Saver
SCT - Windows Script Component
SHB - Document Shortcut File
SHS - Shell Scrap Object
SYS - System Config/Driver
URL - Internet Shortcut (Uniform Resource Locator)
VB - VBScript File
VBE - VBScript Encoded Script File
VBS - VBScript Script File
WSC - Windows Script Component
WSF - Windows Script File
WSH - Windows Scripting Host Settings File
XL* - Excel Files and Templates

Windows XP

System Restore mogućnost Windowsa XP je slična Last Known Good Configuration mogućnosti Windowsa NT i Windowsa 2000. Možete koristiti System Restore za vraćanje kompjutera na prethodno stanje, koristeći bekape koje on pravi od odabranih sistemskih datoteka i programa. Za razliku od Last Known Good Configuration mogućnosti, System Restore može čivati višestruke tačke povratka (restore points). Ovo vam daje mogućnost da kompjuter vratite na bilo koje od sačuvanih stanja.

I ako je ova mogućnost Windowsa vrlo poželjna i korisna, u nekim slučajevima bi je bilo poželjno privremeno ugasiti. Ako je komp inficiran sa virusom, tada je moguće da je i sam virus bekapovan u _RESTORE direktorijum. Po default-u, Windows sprečava da System Restore modifikuju spoljnji programi. Kao rezultat, postoji mogućnost da slučajno možete vratiti datoteku inficiranu virusom, ili da on-line skeneri, otkriju virus na toj lokaciji.

Onemogućavanje System Restore ne briše i ne pomera neke od vaših ličnih podataka sa kompjutera. Samo se pomeraju datoteke koji je System Restore stvorio u _RESTORE direktorijumu, tzv. tačke povratka (restore points). Korišćenje System Restore za vraćanje prethodno spremljenih tačaka povratka ne deluje na Vaše lične podatke ili dokumente koje imate u My Documents direktorijumu.

Upozorenje:

• Morate biti ulogovani kao Administrator da biste mogli ugasiti System Restore. Ako niste ulogirani kao Administrator, tab za System Restore neće biti prikazan. Ako ne znate kako se ulogirati kao Administrator, kontaktirajte svog sistemskog administratora (ako ste na mreži), prodavača kompjutera, ili osobu koja vam je instalirala Windows.

• Gašenje System Restore će izbrisati sve vaše prethodne tačke povratka. Morate stvoriti novu tačku povratka jednom kada ponovo uključite System Restore.


Za onemogućavanje Windows XP System Restore:

1. Kliknite na Start dugme.

2. Kliknite na Programs.

3. Kliknite na Accessories.

4. Kliknite na Windows Explorer.

5. Desni klik na My Computer i kliknite na Properties stavku u meniju.

6. Kliknite na System Restore tab.

7. Kliknite na Turn off System Restore ili Turn off System Restore on all drives

8. Kliknite na Apply.

9. Kao što piše u poruci, ovo će izbrisati sve prošle tačke povratka. Kliknite na Yes da biste to uradili.

10. Kliknite OK.

Pratite uputstva u dokumentu koji Vas je savetovao da ugasite System Restore, kao što su recimo uputstva za brisanje virusa. Kada su svi koraci brisanja virusa završeni, možete omogućiti System Restore na sledeći način:


Za omogućavanje Windows XP System Restore:

1. Kliknite na Start dugme.

2. Desni klik na My Computer stavku u meniju te kliknite na Properties.

3. Kliknite na System Restore tab.

4. Maknite kvačicu sa Turn off System Restore ili Turn off System Restore on all drives.

5. Kliknite Apply.

6. Kliknite OK.

Ovo su samo pojedini ključevi koje koriste virusi/crvi/trojanci i drugi malociozni programi. Ovde navedeni ključevi su samo neki s kojima se možete sresti. Pre bilo kakvog modifikovanja registrija napravite njegov backup. (Ako ne znate kako se to radi: pokrenite registry (START>Run>regedit) pa File>Export... odaberite mesto gde želite sačuvati .reg fajl i kliknite Save).

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileMenu
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDesktop
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoUserNameInStartMenu
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoControlPanel
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDisconnect
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoNetworkConnections
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoChangeStartMenu
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDevMgrPage
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSharedDocuments
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMMyMusic
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMMyPictures
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMMyDocs
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetTaskba
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispSettingsPage
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoProfilePage
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoAdminPage
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMorePrograms
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsMenu
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoWinKeys
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoBandCustomize
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoPropertiesMyComputer
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoCDBurning
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuNetworkPlaces
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMFUprogramsList
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\HideClock
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoWindowsUpdate
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserClose
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserOptions
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoFileNew
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoFileOpen
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoFindFiles
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoSelectDownloadDir
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR

Registry je mesto u kome su smešteni svi podaci o programima i sistemu (slično ini fajlovima) ali oni se ne mogu direktno
prepravljati kao ini fajlovi, već preko programa REGEDIT. Inače registry je smešten u sledećim fajlovima:

User.dat, System.dat kod WIN 95/98,
Classes.dat kod ME a kod NT/2000 u %system root%\system32\config direktorijumu.

REGEDIT ćete najlakše aktivirati preko Run-a, Run i pišite regedit, pa pritisnite enter i to je to. Regedit liči na explorer,
sa leve strane ima četiri glavna foldera:

1. HKEY_CLASSES_ROOT - prečice,fajlovi...
2. HKEY_CURRENT_USER - ovo je link ka HKEY_USERS i on učitava sva podešavanja kao što su desktop, start meni itd...
3. HKEY_LOCAL_MACHINE - sve informacije o sistemu.
4. HKEY_CURRENT_CONFIG -podaci za trenutna hardverska podešavanja.

Svaki folder je u stvari jedan key. U svakom folderu se nalaze ili još podfoldera ili neke vrednosti (value)
koje se prikazuju u desnom prozoru i mogu biti:

STRING VALUE - textualna vrednost

DWORD VALUE - binarna vrednost ( 0 ili 1 ) -> 0 - disable, 1 - enable

BINARY VALUE - hexadecimalna vrednost

Da bi napravili novi key ili value, kliknite desni klik (za key na neki folder sa leve strane, a za value sa leve strane), i
izaberite. Kada klknete desnim klikom na neku vrednost ili key imaćete sledece opcije:
MODIFY - prepravljanje i DELETE - brisanje.

Da bi videli promene koje ste izvršili, morate restartovati kompjuter. Ali probajte i ovo pre toga:
Da ne bi morali restartovati windows, svaki put kada izvršite promene u registry, da bi videli šta ste uradili,
uradite sledeće:
Kada završite sa "crackovanjem" ,pritisnite CTRL+ALT+DELETE i izaberite explorer.
Kliknite End Task i kada vam izađe poruka za ShutDown, kliknite Cancel.
Posle nekoliko sekundi, izaći će još jedna poruka i na njoj kliknite End Task.
Vaš explorer će se isključiti, pa će se opet uključiti.

Primeri za menjanje Windowsa i nekih programa u njemu pomoću registry baze :
Napomena: Pre bilo kakvog čačkanja po registry bazi, OBAVEZNO, napravite bekap .reg fajla

Podešavanje Start menija:
Startujte Regedit i nađite...
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

1.Isključi Favorites iz starta:
Kada ste ušli (gore navedeno)\Explorer , kliknite desnim klikom na desnu stranu prozora i
izaberite New pa DWORD Value. Sada upišite mu ime, neka se zove NoFavoritesMenu. Kliknite desnim klikom i izaberite Modify.
Za Value stavite 1.
2.Isključi Documents:
DWORD Value Ime:NoRecentDocsMenu Value:1
3.Isključi Help:
DWORD Value Ime:NoSMHelp Value:1
4.Isključi MyDocuments iz Documents-a:
DWORD Value Ime:NoSMMyDocs Value:1
5.Isključi Find:
DWORD Value Ime:NoFind Value:1
6.Isključi Run:
DWORD Value Ime:NoRun Value:1
7.Isključi Control Panel:
DWORD Value Ime:NoControlPanel Value:1
8.Isključi Taskbar iz Setings-a:
DWORD Value Ime:NoSetTaskbar Value:1
9.Isključi ShutDown:
DWORD Value Ime:NoClose Value:1
10.Isključi tooltip na Start-u:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
BINARY Value Ime:NoStartBanner Value:00 00 00 00 -ima, 01 00 00 00 -nema
....Da bi vratili sve kako je bilo, promenite Value u 0 !....To važi svuda....

Internet Explorer:

1.Sakri ikonu sa desktopa:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DWORD Value Ime:NoInternetIcon Value:1
2.Isključi Go dugme:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
STRING Value Ime:ShowGoButton Value:no
3.Promeni naslov prozora:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
STRING Value Ime:Window Title Value:(po želji)
4.Stavi sliku (*.bmp) za pozadinu toolbar-a:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar
STRING Value Ime:BackBitmapIE5 Value:(putanja slike primer:C:\slike\slika.bmp)
5.Isključi Close:
HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Restrictions
DWORD Value Ime:NoBrowserClose Value:1
6.Sakri Options:
HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Restrictions
DWORD Value Ime:NoBrowserOptions Value:1
7.Isključi Save as:
HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Restrictions
DWORD Value Ime:NoBrowserSaveAs Value:1
8.Isključi New:
HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Restrictions
DWORD Value Ime:NoFileMenu Value:1

CLSID folderi:
To su folderi koji su zaštićeni Windows-om. Evo nekih:

Recycle Bin- {645FF040-5081-101B-9F08-00AA002F9554E}
Network Neighbourhood- {208D2C60-3AEA-1069-A2D7-O8002B30309D}
My Computer- {20D04FE0-3AEA-1069-A2D8-08002B30309D}
Control Panel- {21EC2020-3AEA-1069-A2DD-08002B30309D}
My Briefcase- {85BBD920-42AO-1069-A2E4-08002B30309D}
History- {FF393560-C2A7-11CF-BFF4-444553540000}
Printers- {2227A280-3AEA-1069-A2DE-O8002B0309D}
Dial-up Networking- {992CFFA0-F557-101A-88EC-00DD01CCC48}
Fonts- {BD84B380-8CA2-1069-AB1D-08000948534}

CLSID se nalazi u HKEY_CLASSES_ROOT i ako hoćete da obrišete neki od zaštićenih foldera, prvo morate da obrišete
key u registry.
A ako hoćete da napravite neki od ovih foldera, uradite sledeće: Napravite NewFolder i za ime mu stavite, na primer:
ovako 'Control Panel.{21EC2020-3AEA-1069-A2DD-08002B30309D}'. I tako za sve ostale.

1.Aktiviranje programa svaki put kada se podiže windows:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Run ili HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurentVersion\Run
napravite novi string i na mestu value napišite putanju programa npr:
C:\program files\winamp\winamp.exe
2.Brisanje shortcut na desnom kliku:
HKEY_CURRENT_USER\Software\Microsoft\windows\Currentversion\Explorer
BINARY Value Ime:Link Value:00 00 00 00
3.Sakrivanje ikona na desktopu:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DWORD Value Ime: NoDesktop Value: 1
4.Sakrivanje NetworkNeigbord-a:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DWORD Value Ime:NoNetHood Value: 1
5.Automatsko isključivanje programa koji se ne odazivaju:
HKEY_USERS\.Default\ControlPanel\Desktop
STRING Value Ime:AutoEndtasks Value:1
6.Windows update bez registrovanja:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
STRING Value Ime:RegDone Value:1
7.Slika u explorer baru:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\toolbar
STRING Value Ime:BackBitmapShell Value: Putanja i Ime slike
8.Brisanje recent files prilikom restartovanja:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DWORD Value Ime:Clearrecentdocsonexit Value: 1
9.Menjanje aktivnog fokusa samo prelaskom miša preko prozora:
HKEY_CURRENT_USER\Control Panel\Mouse
DWORD Value Ime:ActiveWindowTracking Value:1
10.Isključivanje teksta "ShortCut to..." kada pravite shortcut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
BINARY Value Ime:link Value:00 00 00 00
11.Da meniji ne padaju na levu, već na desnu stranu:
HKEY_CURRENT_USER\Control Panel\Desktop
STRING Value Ime:MenuDropAlignment Value:1
12.Dodajte desnom kliku da svaki folder može da bude otvoren u Dos-u:
HKEY_CLASSES_ROOT\Directory\shell
STRING Value Ime:Default Value:
Windows 9x
command.com /k cd "%1"
Windows NT
cmd.exe /k cd "%1"
13.Zove se Explorer.exe a startuje se Notepad.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths
pa ovde napravite novi pod folder sa imenom programa na primer BLA.exe a u njemu:
STRING Value Ime:Default Value:Putanja i ime programa
...takodje u ovom folderu App Paths možete menjati putanje programa.
14.Promeni dugmiće na mišu (levi-desni):
HKEY_CURRENT_USER\Control Panel\Mouse
STRING Value Ime:SwapMouseButtons Value:1
15.Isključi ili promeni onu malu ikonicu na shortcut-ovima:
Isključi:
HKEY_CLASSES_ROOT\lnkfile i HKEY_CLASSES_ROOT\piffile - obriši ih !
Promeni:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Icons
STRING Value Ime:29 Value:Putanja i ime icone
16.Prikaži *.bmp kao male slike u exploreru:
HKEY_CLASSES_ROOT\Paint.Picture\DefaultIcon
STRING Value Ime:Default Value:%1
17.Napravite svoj folder koji ne može biti obrisan ili promenjen:
HKEY_CLASSES_ROOT\CLSID
Napravite sledeće foldere:
prvo, vaš glavni folder, neka bude na primer ovako FD4DF9E0-E3DE-11CE-BFCF-ABCD1DE12345 (može bilo koja oznaka).
pa sad... @ -default (sve je string value)
[HKEY_CLASSES_ROOT\CLSID\{FD4DF9E0-E3DE-11CE-BFCF-ABCD1DE12345}]
@='My Menu'
[HKEY_CLASSES_ROOT\CLSID\{FD4DF9E0-E3DE-11CE-BFCF-ABCD1DE12345}\DefaultIcon]
@='c:\winnt\myicon.ico'
[HKEY_CLASSES_ROOT\CLSID\{FD4DF9E0-E3DE-11CE-BFCF-ABCD1DE12345}\InProcServer32]
@='shell32.dll'
'ThreadingModel'='Apartment'
[HKEY_CLASSES_ROOT\CLSID\{FD4DF9E0-E3DE-11CE-BFCF-ABCD1DE12345}\Shell\Open My Menu\Command]
@="c:\winnt\explorer /n /root,c:\MyFolder"
[HKEY_CLASSES_ROOT\CLSID\{FD4DF9E0-E3DE-11CE-BFCF-ABCD1DE12345}\ShellEx\PropertySheetHandlers\
{FD4DF9E0-E3DE-11CE-BFCF-ABCD1DE12345}]
[HKEY_CLASSES_ROOT\CLSID\{FD4DF9E0-E3DE-11CE-BFCF-ABCD1DE12345}\ShellFolder]
"Attributes"=hex:00,00,00,00
Da stavite ovaj folder u My Documents i My Computer, stavite i ovo:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\
{FD4DF9E0-E3DE-11CE-BFCF-ABCD1DE12345}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\
{FD4DF9E0-E3DE-11CE-BFCF-ABCD1DE12345}]

Kako da na pravi način, zaštitite svoj sistem od zlonamernih programa, i napada sa Interneta...

1. INSTALIRAJTE SERVICE PACK 2 ZA WINDOWS XP, I PODESITE SIGURNOSNE PARAMETRE U WINDOWSU I INTERNET EXPLORERU

Najčešći uzrok inficiranja malware-om su preniski sigurnosni parametri vašeg OS-a i browsera. Postoji mnogo načina za poboljšanje sigurnosti, a neki od najpraktičnijih su sledeći:

a) Pazite šta skidate sa Interneta! Klijenti za P2P (peer to peer) mreže poput Kazaa, eMule... su često uzrok problema jer se na njima nalazi masa programa koji dolaze sa integrisanim spyware-om. Osim toga, većina današnjih crva obavezno imaju metodu širenja preko P2P mreža tako što se iskopiraju u shared direktorijume i to pod imenima tipa teen_porn.avi, winamp_6_preview.exe, tj. uglavnom pod imenima za koje misle da bi mogli ciljati na širu publiku i da bi ih ljudi mogli masovno skidati. Pazite na veličinu takvih programa, instalacija Photoshopa od 300KB je gotovo sigurno virus! Obavezno sve skinute datoteke naknadno skenirajte sa AV.
b) Ako imate Windows XP obavezno razmislite o instalaciji SP2. Najbolje na clean instalaciju Windowsa jer će to eliminisati veliki broj problema sa kompatibilnošću sa već instaliranim programima. Nakon instaliranja SP2 proverite i uradite sledeće:
1. Desni klik na My Computer
2. Kliknite na Properties
3. Kliknite na Automatic Updates
4. Odaberite vreme koje vam odgovara.
Dalje:
1. Desni klik na My Computer
2. Kliknite na Properties
3. Kliknite na System Restore
4. Kvačica na Turn off System Restore on all drives mora biti ISKLJUČENA.
I ako System Restore može pomoći prilikom nekih problema sa Windowsom, mnogi virusi mogu ostati u System Restore direktorijumu zato što AV programi često skeniraju taj direktrorijum, ali ga ne mogu dezinfikovati, ili ga uopšte ne skeniraju!
1. Pokrenite IE tj. Internet Explorer
2. Kliknite na Tools
3. Kliknite na Windows Update
4. Instalirajte SVE update-ove vezane za sigurnost (security)!

Najbolje da odaberete opciju za Express Install i prepustite se čarobnjaku za instalaciju.. Obavezno proverite da li je vaša instalacija Java VM (Virtual Machine) up-to-date jer velik broj malware-a, koristi propuste u njemu.

Dok ste još u IE:
5. Kliknite na Tools
6. Kliknite na Internet Options
7. Kliknite na Security
8. Označite ikonicu Internet
9. Kliknite na Default Level.

Nakon toga kliknite na Custom Level i dođite do dela za ActiveX i uverite se da su postavljene sledeće opcije:

1. Promenite Download signed ActiveX controls na Prompt
2. Promenite Download unsigned ActiveX controls na Disable
3. Promenite Initialize and script ActiveX controls not marked as safe na Disable
4. Promenite Installation of desktop items na Prompt
5. Promenite Launching programs and files in an IFRAME na Prompt
6. Promenite Navigate sub-frames across different domains na Prompt

Kliknite OK. Izaći će vam poruka, koja će vas pitati, da li želite sačuvati postavke, kliknite na Yes. Nakon toga kliknite na Apply dugme, da se promene aktiviraju, pa kliknite na OK dugme za izlaz.

Ubuduće će vam se za sve ActiveX kontrole koje žele biti pokrenute i instalirane, pokazati prozor sa pitanjem da li želite dozvoliti njihovo izvršavanje. Za sajtove za koje ste 100% sigurni da su OK (recimo od Windows Update i sl.) možete dodati pod IE->Tools->Internet Options->Security->Trusted sites.

ActiveX objekti su jako opasni, i kad dopustite vašem browseru da ih izvršava, to je isto kao da ste sami kliknuli na neki .exe na disku. Zato NIKAD ne instalirajte ActiveX kontrole sa xxx, warez, cracks sajtova, MA KOLIKO PUTA ISKAKALI POP-UP PROZORI ZA NJIHOVU INSTALACIJU.

2. UKLJUČITE FIREWALL

U Security Center-u Windowsa XP SP2, se nalazi Microsoftov firewall koji pruža osnovnu zaštitu i sa SP2 je dobio i kontrolu aplikacija koje izlaze na mrežu. Može da bude dovoljan kao osnovno rešenje, ali ako želite bolju zaštitu možete instalirati neki drugi firewall. Postoji veliki izbor besplatnih i komercijalnih firewalla, pogledajte listu nekih, ovde
Koliko je vaš FW siguran, proverite sa nekim od dole navedenih linkova:

SG Security Scan Information
Broadband
Shields UP!
AuditmyPC
GFI Email Security Testing Zone
Mail relay testing
YALTA firewall leaktest
Tooleaky firewall leaktest
BlackCode Security Scan

Takođe ukoliko mislite analizirati statistike blokiranih upada vašeg FW-a, dobro će vam doći sledeće alatke:

ZoneLog Analyzer - za analizu ZoneAlarm logova
VisualZone - vrlo lep i doteran analizirator ZoneAlarm logova, ima mogućnost slanja na DShield
VisualICE - analizator upada za BlackIce Defender
myNetWatchman - centralizovana analiza logova za ZoneAlarm, BlackICE Defender, Windows XP ICF/Windows Firewall...

3. INSTALIRAJTE ANTIVIRUS

Za zaštitu od virusa, crva, trojanaca, morate imati instaliran antivirusni program. Za razliku od firewall-a, u windowsu zasad ne postoji integrisano rešenje, pa morate nabaviti odgovarajući antivirus. Pogledajte neki od gore navedenih. Za diskusiju oko kvaliteta pojedinih AV, pogledajte ovde i ovde.
Ukoliko još niste instalirali antivirusni software, ili možda niste sigurni da vaš antivirus pruža odgovarajuću zaštitu možete uraditi online virus scan (takođe gore navedeni linkovi), bez instalacije antivirusa. Sama nabavka antivirusa nije garant sigurnosti. Da bi ste bili sigurni morate redovno sa neta skidati nove definicije, inače će antivirus samo zauzimati memoriju, a zaštita će biti slaba.

4. REŠITE SE REKLAMNIH I ŠPIJUNSKIH PROGRAMA, I ISKLJUČITE SUMNJIVE PROCESE U SVOM KOMPJUTERU

Pre nekoliko godina se pojavila interesantna ideja da uz besplatne programe dobijete i "dodatak" koji prikazuje reklame i skuplja informacije o vama. Kad su kompanije uvidele da ovo prolazi kod korisnika postali su sve nametljiviji, i ovo je postao ozbiljan problem. Otišlo se dotle da se prilikom posete određenim sajtovima instalira aplikacija koja menja početnu stranu, izbacuje prozore s reklamama i kada niste na netu...
Pojavili su se brojni programi za zaštitu od Spyware-a, najpopularniji su AD-Aware SE, i SpyBot Search & Destroy. I njih je potrebno redovno ažurirati, da bi bili dobro zaštićeni, pošto se novi spyware stalno pojavljuje.
Program sličan Spybotu jest i SpywareBlaster koji štiti od spyware-a u svojoj bazi tako što blokira njihove ActiveX objekte. Skinite i instalirajte ga i videćete listu spyware-a koju program može detektovati. Označite select all i kill all checked i gotovi ste. Na ovaj način ste postavili kill bit za sav spyware u bazi i ova je mogućnost SpywareBlaster-a slična Immunize mogućnosti Spybot-a. Nije naodmet imati ih oba instalirana.

SpywareGuard je takođe odličan besplatan program koji služi kao komplmenent SpywareBlaster-u i omogućuje real-time zaštitu (zaštitu u realnom vremenu). Zaštita u realnom vremenu je slična, kao kad rezidentni modul antivirusa blokira pokretanje izvršnih datoteka koje su zaražene nekim virusom, samo sto SpywareGuard to radi za spyware! Takođe ima opcije za Download Protection i Browser Hijacking Protection koje će onemogućiti maliciozne programe da otmu homepage vašeg omiljenog Internet browser-a. (Napomena: SpywareGuard-ova zaštita u realnom vremenu ne znači da u isto vreme ne možete imati i antivirus uključen, čak je preporučljivo imati oba!).

IE-SPYAD je program koji će staviti više od 5000 sajtova u Restricted Zone i tako vas zaštiti kad odete na neki sajt koji se čini da je potpuno nevin, a u stvari sadrži malware. Takođe će vas zaštiti od skripti, ActiveX i Java programa te cookies koje možete pokupiti sa tih sajtova.

Ovaj IE HOSTS fajl će vas zaštiti od reklama, cookies, te većine otimača browser-a tako što će HOSTS fajl blokirati server koji bi navedene poslastice ponudio vašem browser-u. Takođe vam na taj način ubrzava surf, te štiti privatnost tako što blokira servere koji "pamte" vaše navike pri surfovanjnju koristeći click-thru tracking metodu.

HOSTS fajl se instalira tako što prvo skinete hosts.zip i HOSTS fajl u njoj dearhivirate u odgovarajući direktorijum:
Windows XP => C:\WINDOWS\SYSTEM32\DRIVERS\ETC
Windows 2K => C:\WINNT\SYSTEM32\DRIVERS\ETC
Win 98\ME => C:\WINDOWS
Za korisnike Viste, pogledajte način instalacije ovde

Pošto još uvek ne postoji software koji 100% sigurno uklanja spyware preporučujem da instalirate sve spomenute programe, koji su se najbolje pokazali kad rade zajedno (ali koristite samo jedan realtime monitor!). Na kraju bi bilo najbolje posetiti Jason's Toolbox gde ćete možda malo više naučiti gde je vaš omiljeni browser najviše ranjiv.
IE ima notornu istoriju sigurnosnih problema, iako je update-ovana verzija manje-više sigurna od šireg adware-a, bilo bi korisno kao sigurnosnu meru razmisliti o alternativnim browserima tipa Firefox ili Opera.

5. URADILI STE SVE NAVEDENO, ALI SE KOMPJUTER I DALJE ČUDNO PONAŠA….

Možda je u memoriji aktivan neki proces koji ovi programi nisu prepoznali. Aktivne procese možete videti ako startujete C:\windows\System32\taskmgr.exe koji se još pokreće i kombinacijom <CTRL>+<ALT>+<DEL>. Besplatan, puno napredniji program koji daje jako detaljne informacije o aktivnim procesima i win32 servisima jeste i Process Explorer (imate gore link za njegovo preuzimanje).
Još jedan program koji izbacuje listu aktivnih procesa, ActiveX dodatke, start-up programe.... koji mogu biti potencijalno opasni je HijackThis. Pošto ovaj program izlista sve aktivne stvari, i korisne i štetne, brišite samo stvari za koje ste 100% sigurni da predstavljaju opasnost. Za to možete konsultovati google, ili postaviti pitanje na forumu. Ovaj program sam naveo zato što sam jedino uz pomoć njega uspeo da očistim neke aplikacije, i trebalo bi ga koristiti samo kad je neophodno.

1. Kako instalirati i podesiti IE-SPYAD dodatak za Internet Explorer

IE-SPYAD je Registry datoteka (IE-ADS.REG) koja dodaje dugu listu sajtova i domena koje su poznate kao izvorišta reklama, oglašivača i malware-a u Restricted zonu IE-a. Jednom kad je ova lista sajtova ubačena u vaš Registry, većina takvih sajtova koji su izvorišta reklama, oglašivača i malware-a na Internetu neće moći koristiti cookie-e, ActiveX kontrole, Java applet-e ili skripte, da bi narušavali vašu privatnost ili PC dok surfujete Internetom. Niti će moći koristiti vaš browser da vam ubace nepoželjne pop-up-e, cookie-e ili auto-instalirajuće programe.

Imajte na umu činjenicu da IE-SPYAD nije blokator reklama. On neće blokirati standardne banner reklame u IE-u (za takve stvari koristite ljuske za IE poput Maxthon browsera, koji ima ugrađen napredni mehanizam blokiranja svih vrsta reklama i čime štedite ne samo na brzini surfovanja, već su i stranice preglednije i manje šarene) - ono što Restricted lista sajtova poznatih oglašivača i širitelja malware hoće uraditi jeste sledeće:
• sprečiti neželjeni malware od instalacije Vama "iza leđa" dok surfujete i skidate programe
• sprečiti otimanje Vašeg homepage-a i ostalih postavki IE-a
• ugasiti ActiveX, Java-u i skripte, tj. mehanizme koji omogućuju širenje reklama i narušavanje privatnosti i sigurnosti
• blokirati cookie-e koji mogu biti korišćeni za praćenje vašeg surfovanja Internetom.
• boriti se protiv dosadnih skriptnih pop-up-a koji nagrđuju surfovanje i prisiljavaju vas na gledanje neželjenih reklama

IE-SPYAD će raditi samo sa IE (Internet Explorerom), ne i sa drugim browser-ima. Za početak posetite ovu web stranicu. Bilo bi dobro da (ako znate engleski) pročitate sve informacije tamo, tako da se upoznate sa načinom na koji IE-SPYAD radi i pročitate informacije o licenci.
Skinite IE-SPYAD zip datoteku ili verziju preko samoraspakujuće arhive i sačuvajte na neku lokaciju na vašem hard disku. Kreirajte folder za IE-SPYAD i raspakujte zip datoteku u taj folder.

Jednom kada ste raspakovali sve datoteke, pozicionirajte se u folder te napravite dvoklik na install.bat datoteku.

Izaći će DOS-ovski prozor koji će vam ponuditi razne opcije.

Ako instalirate IE-SPYAD prvi put, pritisnite 2 na Vašoj tastaturi, pri čemu će vam se prikazati sledeća poruka:

Pritisnite 1 na Vašoj tastaturi i IE-SPYAD će se instalirati.

Sada možete pritisnuti bilo koji taster za nastavak ili 2 za izlaz.

2. Konfigurišite Restricted zonu za sajtove

Ako već niste konfigurisali Restricted zonu za sajtove na postavke maksimalne sigurnosti, tada biste to trebali uraditi, jer inače IE-SPYAD neće pravilno funkcionirati. Uradite sledeće:

1. Pokrenite Internet Explorer.

2. Kliknite u meniju na Tools.

3. Kliknite na Internet Options.

4. Kliknite na Security tab.

5. Kliknite na Restriced sites ikonicu.

6. Kliknite na Custom Level dugme.

7. Označite svaku stavku unutar postavki na ili Disable ili Prompt ili High safety, zavisno od toga šta je ponuđeno. Posebnu pažnju obratite na stavku Use Pop-up Blocker koji ostavite na Enable.

8. Kliknite OK 2 puta.

Sad ste spremni ste za sigurno surfovanje!

3. Kako nadograditi IE-SPYAD

Kada izađe nova verzija IE-SPYAD, skinite sa službene stranice novu zip datoteku na prikladno mesto na hard disku. Nakon toga trebate deinstalirati Vašu trenutnu verziju. Da biste to uradili, dođite do vašeg IE-SPYAD foldera i napravite dvoklik na install.bat datoteku koja će otvoriti DOS-ovski prozor. Ovog puta želite ga deinstalirati pa pritisnite 1 na tastaturi kao što je prikazano na slici:

Opet pritisnite 1 na tastaturi.

Možete pritisnuti bilo koji taster za nastavak i 2 za izlaz iz programa. Sada se možete vratiti na početak ovog teksta i pratiti uputstvo za instalaciju nove verzije IE-SPYAD.

NE ZABORAVITE REDOVNO NADOGRAĐIVATI IE-SPYAD

Uvod

Kada se većina Internet korisnika spaja na web sajtove, ftp serveri ili drugi Internet serveri se spajaju na ime domena. Internet aplikacije ne komuniciraju sa imenima domena, već sa IP adresama, kao što je npr. 192.168.1.1. Zato kada unesete ime domena u program, kojim se želite na njega spojiti (recimo Vaš browser), program je prvo treba pretvoriti u IP adresu na koju će se spojiti.

Način na koji se to ime domena pretvara u IP adresu se zove Domain Name Resolution. Na većini OS-eva, bilo da je to Mac, Linux, Unix, Netware ili Windows, većina tih konverzija iz imena domena u IP adresu, se događa kroz proceduru zvanu kao DNS.

Šta je to DNS

DNS je skraćenica za Domain Name System i standardan je servis za rezoluciju imena domena na Internetu. Kad god se neki uređaj spoji na neki drugi uređaj ne Internetu, mora se spojiti preko IP adrese na taj udaljeni uređaj. Da bi se dobile te IP adrese, DNS se koristi kako bi se ime domena mapiralo u odgovarajuću IP adresu. Ovo uređaj radi tako što "pita" svoj konfigurisani DNS Server, koja je IP adresa odgovarajućeg domena. DNS server će tad pitati druge servere na Internetu koji znaju tačnu informaciju o imenu tog domena, i vratiti uređaju nazad tačnu IP adresu. Uređaj će tad otvoriti konekciju direktno na IP adresu i obaviti traženu operaciju.

Unos HOSTS datoteke

Postoji još jedan način kako se ime domena, može pretvoriti u IP adresu bez korišćenja DNS-a, a to je upravo HOSTS datoteka. Gotovo svaki OS koji komunicira preko TCP/IP-a, standardne metode komunikacije preko Interneta, ima datoteku koja se zove HOSTS. Ova datoteka Vam dozvoljava da stvorite vaša vlastita mapiranja između imena domena i IP adresa.

HOSTS datoteka je u principu tekstualna datoteka koja sadrži IP adrese, koje su odvojene bar jednom razmaknicom (space) i nakon koje sledi ime domena, s tim da svaki zapis počinje u novoj liniji. Npr. recimo da želimo da ako unesemo www.google.com da ne odemo na Google pretraživač, već da odemo na recimo www.yahoo.com. Da bismo ovo postigli moramo naći adresu Yahoo-a i mapirati www.google.com na tu IP adresu.

Jedna od IP adresa Yahoo-a jest 216.109.118.69. Ako želimo mapirati Google na tu IP adresu, u HOSTS datoteku ćemo dodati sledeći unos:

216.109.118.69 www.google.com

Upozorenje: kada dodajete unose u HOSTS datoteku, mora biti barem jedan razmak (space) između IP adrese i imena domena. Nemojte koristiti web notacije kao što su \, /, ili http://. Možete onemogućiti pojedini unos tako da ga označite, stavljanjem znaka "#" na početku linije.

Možda ćete se zapitati kako ovo može raditi, kad smo malopre rekli, da kad uređaj želi mapirati ime domena u IP adresu, koristi konfigurisani DNS server. U uobičajenim slučajevima ovo je istina, ali na većini OS-eva default-na konfiguracija jeste da sva mapiranja sadržana unutar HOSTS datoteke premošćuju sve informacije, koje bi se dobile sa DNS servera i koje vrede za taj domen, i umesto toga da se čita IP adresa iz HOSTS datoteke. Takođe je važno uočiti da kad dodamo više unosa u HOSTS datoteku, oni automatski počnu raditi. Nema potrebe da restartujemo mašinu ili da pokrećemo neku drugu komandu kako bi unosi u HOSTS datoteci počeli raditi.

HOSTS datoteka se nalazi na različitim lokacijama, zavisno koji OS koristite:

Linux/Unix => /etc/hosts

Windows 3.1/95/98/ME => C:\WINDOWS\hosts

Windows NT/2000/XP Pro => C:\WINNT\SYSTEM32\drivers\etc\hosts ili C:\WINDOWS\SYSTEM32\drivers\etc\hosts

Windows XP Home => C:\WINDOWS\SYSTEM32\drivers\etc\hosts

Netware => SYS:ETC/HOSTS

Apple => System Folder:Preferences i u samom System Folder

Na Windows mašinama moguće je da po default-u, HOSTS datoteka još ne postoji. U tom slučaju će najverovatnije biti testna datoteka hosts.sam koju možete preimenovati u HOSTS i koristiti. Ovu datoteku možete editovati, direktno iz komandne linije preko edit komande ili Notepada na win mašinama ili recimo VI na *nix. U principu, bilo koji tekstualni editor može otvoriti i modifikovati HOSTS datoteku. Takođe se preporučuje da je redovno bekapujete, kopirajući je pod drugim imenom. Neki ljudi preporučuju da ovu datoteku postavite na read-only tako da je teža za modifikovanje malicioznim programima, među kojima se posebno ističu otimači browsera (Browser Hijackers), ali postoje i otimači browsera poput CoolWebSearch, koji dodaju unose, bez obzira na to da li je datoteka read-only ili ne. Zato ne biste trebali misliti da tim što je postavljate na read-only, da je zauvek osiguravate od modifikacije.

Zašto mi treba HOSTS datoteka?

Postoji mnoštvo razloga zašto biste trebali koristiti HOSTS datoteku između kojih možemo istaknuti sledeće:

Potencijalno poboljšanje brzine surfovanja - dodavanjem mapiranja IP adresa na sajtove u Vašu HOSTS datoteku možete potencijalno poboljšati brzinu Vašeg surfovanja. Ovo se događa zato što kompjuter više ne mora pitati DNS server za IP adresu i čekati na njegov odgovor, već umesto toga može puno brže pogledati unos u lokalnoj datoteci. Imajte na umu da ova metoda nije puno preporučena jer ne postoji garancija da će isti domen, uvek imati istu IP adresu. Zato ako vlasnik sajta, odluči promeniti IP adresu, više se nećete moći spojiti.

Blokiranje Spyware-a/reklama - ovo postoje jako popularan razlog za korišćenje HOSTS datoteke. Dodavanjem ogromne liste poznatih mreža, koja su izvorišta reklama i Spyware sajtova, u vašu HOSTS datoteku i mapiranjem imena domena na 127.0.0.1, što je tzv. loopback IP adresa koja uvek pokazuje na vašu vlastitu mašinu, blokiraćete ove sajtove od učitavanja. Ovo ima najmanje dve prednosti: jedna je da će značajno ubrzati vaše surfovanje, jer više nećete trebati čekati na skidanje reklama iz tih reklamnih mreža (sajtova koji su specijalizovani kao skladište reklama) i kao drugo: Vaše će surfovanje biti puno sigurnije, jer više nećete biti u mogućnosti doći do malicioznih sajtova.

Upozorenje: Važno je napomenuti da postoji dosta pritužbi o usporavanju sistema kada se koristi velika HOSTS datoteka. Ovo se obično rešava gašenjem DNS Client servisa pod Services applet-om Control Panel-a pod Administrative Tools. DNS klijent kešira DNS zahteve u memoriji i kao trebao bi ubrzati ceo proces, ali takođe i čita HOSTS datoteku u keš, što može usporiti sistem. Ovaj servis je nepotreban i može biti ugašen.

Postoje HOSTS datoteke koje su već napravljene tako da ih možete besplatno skinuti i koje sadrže ogromnu listu reklamnih servera, sajtova sa banner-ima, sajtova koji prate navike korisnika preko špijunskih cookie-a, sadrže exploite ili vas inficiraju sa otimačima. Evp par korisnih sajtova, gde možete preuzeti HOSTS datoteke : link 1 i link 2
Preporučuje se da pre skidanja, bekapujete izvornu HOSTS datoteku, tako što ćete je preimenovati u HOSTS.ORIG

Korisni programi za održavanje HOSTS datoteke

Ako ne planirate modifikovati vašu HOSTS datoteku previše i planirate je korititi s vremena na vreme za testne namene, tada će osnovni tekstualni editori poput VI, Notepad ili DOS Edit biti sasvim dovoljni za održavanje Vaše HOSTS datoteke. S druge strane, ako HOSTS datoteku mislite koristiti u velikoj meri za blokiranje reklama/spyware-a ili zbog nekog trećeg razloga, tada postoje dva alata koja Vam mogu pomoći:

eDexter - Kada blokirate reklame na sajtovima koristeći HOSTS datoteku, na ekranu se nacrtaju prazne rupe (četvorouglovi) na mestima gde bi se inače pojavile reklame. Ako vam to smeta, možete koristiti eDexter da popunite tu sliku sa nekom proizvoljnom, poput prazne slike, ili neke koja vam je po volji. Ovo zamenjuje prazne četvorouglove i brzo je, jer se slika učitava sa Vašeg diska.

Hostess - Hostess je aplikacija koja služi za održavanje i organizovanje Vaše HOSTS datoteke. Ovaj program čita Vašu HOSTS datoteku i organizuje unose, sadržane u bazi podataka. Možete zatim koristiti tu bazu pri skeniranju za duplikate i održavanjem unosa. Ovaj program definitivno morate isprobati ako mislite ozbiljno prčkati po HOSTS datoteci.

Kako onemogućiti WSH

Ovo uputstvo će vam objasniti kako da proverite je li WSH (Windows Scripting Host) instaliran na Vašoj mašini i kako da onemogućite izvršavanje VBS (Visual Basic Script) skripti. Ovo može sprečiti neke crve od inficiranja Vašeg kompjutera.

Kada su Windowsi, Internet Explorer ili neki drugi proizvodi instalirani ili nadograđeni, WSH može takođe biti reinstaliran. U tom ćete slučaju trebati ponoviti dole navedene korake.

Važna upozorenje: Neke aplikacije zahtevaju WSH za svoje izvršavanje i neće raditi ako ga onemogućite ili maknete.

Windows 2000/Me/XP/2003

WSH je instaliran po default-u.

Da biste onemogućili WSH i izvođenje skripti uradite sledeće:

1. Ulogujte se na mašinu kao Administrator.

2. Desni klik na My Computer.

3. Kliknite u meniju na Open.

4. Kliknite u meniju na Tools.

5. Kliknite na Folder Options.

6. Kliknite na File Types tab.


7. Potražite VBScript Script File u listi tipova datoteka - ako ne postoji ne morate ništa uraditi! Ako postoji kliknite na Delete dugme.

8. Ukoliko vam izađe dijalog za potvrdu kliknite na Yes.

Uvod

LSP-Fix je vrlo koristan programčić koji se koristi za popravljanje problema koju su vezani za LSP, tj. Layered Service Provider. LSP-ovi su dizajnirani da se integrišu direktno u TCP/IP sloj, protokol koji vaš kompjuter koristi za komunikaciju na Internetu, da bi manipulisao podacima koji se šalju "preko žice". LSP-ovi su instalirani na način da su međusobno ulančani. Ukoliko je jedan ovih LSP-ova maknut na neodgovarajući način, taj lanac može lako "puknuti", što će uzrokovati nemogućnost spajanja na Internet ili lokalnu mrežu.

LSP-Fix je program dizajniran da reši takve probleme. Sa LSP-Fix možete maknuti LSP-ove malicioznih programa na način da se lanac međusobne zavisnosti ne razbije, tako da vaše mrežne aktivnosti i dalje pravilno rade. Ovaj će program takođe popraviti razbijene lance u slučaju da ih je razbilo brisanje neke specifične datoteke ili bagovita instalacija.

Korišćenju ovog programa takođe treba pribeći sa određenom dozom opreza. Ne biste smeli koristiti ovaj program, ukoliko Vam neko ko jako dobro poznaje virusnu materiju, to nije rekao. Skidanje pogrešnih LSP-ova sa vašeg kompjutera, može uzrokovati nestabilnost vašeg kompjutera te potencijalno voditi do rušenja svih mrežnih aktivnosti, uključujući Interneta!

Vrste softvera koje koriste LSP

Mnoge različite vrste softvera koriste LSP-ove i praktično su to sve aplikacije koje koriste mrežne servise ili Internet. Nažalost, neke od ovih aplikacija imaju maliciozne namere te koriste LSP za preusmeravanje saobraćaja prema svojoj želji ili za prikupljanje informacija o tome kako koristite Internet. LSP-ovi koje koriste ove vrste softvera, koje se zovu Spyware ili Otimači Browsera, mogu biti izbrisani koristeći LSP-Fix.

Evo npr. potpuno korisnih i benignih programa koji koriste LSP-ove:

Sygate Firewall
Mcafee Personal Firewall
E-Safe

A sad npr. maliciozni programi koji koriste LSP-ove:

Webhancer
New.net
NewDotNet

Nažalost, mnogi od ovih malicioznih programa su instalirani bez vašeg znanja ili želje, ali korišćenjem LSP-Fix i pravilnim rukovanjem možete maknuti ove programe.

Kako koristiti LSP-Fix

Korak 1: Skini i pokreni LSP-Fix

Skinite LSP-Fix odavde i sačuvajte ga u njegov vlastiti folder. Nakon što ste ga skinuli, pozicionirajte se u njegov odredišni folder i dvokliknite na ime programa. Dobićete prikaz kao na slici:

Sad kad je program pokrenut videćete prikaz sa dve sekcije označene Keep i Remove. Sekcija Keep je za LSP-ove koje ne želimo maknuti, dok je sekcija Remove za LSP-ove koje želimo maknuti.

Između ove dve sekcije postoje dva dugmeta sa nazivima >> i <<. Dugme >> će označeni LSP pomeriti iz sekcije Keep u sekciju Remove. S druge strane, ukoliko želite LSP pomeriti iz sekcije Remove u sekciju Keep koristićete << dugme. Važno je uočiti da ovi dugmići neće raditi sve dok ne postavite kvačicu na stavku I know what I'm doing, koja je označena crvenom linijom na slici gore.

Ukoliko samo želite popraviti puknuti LSP lanac, a problematični DLL je već maknut iz nekih drugih razloga, možete samo kliknuti na Finish dugme, označeno zelenom linijom na slici gore. LSP-Fix će automatski popraviti LSP lanac i (sa malo sreće) vratiti vaše mrežne mogućnosti u puni pogon. Ukoliko pokušavate maknuti specifični DLL iz lanca, pređite na korak broj 2.

Korak 2: Makni LSP

Sad ćemo na konkrentom primeru pokazati kako maknuti webhdll.dll kojeg instalira poznati Spyware program zvan Webhancer. Vi ćete, naravno, na vašem konkretnom problemu skidati neku potpuno drugu datoteku.

Da bismo skinuli webhdll.dll stavimo prvo kvačicu na stavku I know what I'm doing da bismo aktivirali >> i << dugmiće, te potom kliknemo na naziv webhdll.dll datoteke da bismo je označili kao što je prikazano na slici:

Nakon što ste i postavili kvačicu i označili LSP kojeg želite skinuti, pritisnite >> dugme da biste označeni LSP preneli u Remove sekciju. Nakon što ste ovo uradili, trebali biste videti prikaz kao na slici:

Sad kad je LSP pomeren u Remove sekciju, možete završiti proces kliknuvši na Finish dugme označeno plavom linijom kao na slici gore. Nakon što kliknete na Finish dugme, LSP će biti skinut za vašeg kompjutera na pravilan način, tako da LSP lanac ne pukne.

Kad LSP-Fix bude završio sa skidanjem LSP-a, videćete sažetak u obliku poruke kao na slici:


I to bi bilo to za sada o zaštiti računara i bezbednosti surfovanja po internetu. I za kraj, evo još jednog sajta, gde možete uporediti karakteristike i kako se rangiraju na listi firewallovi i antivirusni softveri za zaštitu sistema.