Viry, červy a trojské koně

 


Myslím si že toto téma je v poslední době stále častěji omílané, ale myslím že je to jenom pro dobro věci. Často sem si o virech četl, jak napadly několik tisíc počítačů a počítačových firem, ale nikdy sem nevěřil, že viry atd. představují pro běžného uživatele stále vetší nebezpečí. V té době sem měl co dočinění nanejvýš se třemi viry a to v celém mém okolí. S postupem času mi začali chodit emaily se zavirovanými přílohami, ale pokud je člověk opatrný, tak se tímto virem prakticky ani nemůže nakazit. Jenže s postupem času a také se zrychlováním připojení k internetu sem byl svědkem hned několika počítačů nakažených až stovkou virů!!! Proto sem se rozhodl napsat o tomto tématu.


Jaký je tedy rozdíl mezi viry a červy?

Typické viry jsou kódy napsané tak, aby se snažily atakovat co největší počet souborů určitého druhu v jednom počítači, co nejvíce se v něm rozmnožily a z toho počítače se pak šířily běžnou lidskou komunikací – na disketách či v souborech předávaných elektronickou poštou. Některé viry se již staly celosvětovým fenoménem, stále však vznikají nové počítačové viry. Některé tyto kódy jsou mimořádně nebezpečné a “virulentní”. Nicméně, největším rizikem dneška a předvídatelné budoucnosti jsou tzv. červy – kódy, napsané tak, aby se šířily v počítačových sítích. Jejich účelem není co nejvíce se rozmnožit v jediném počítači. Naopak, v “ideálním” případě zde existují pouze jednou. Cílem červa je zamořit co nejvíce jiných počítačů, ke kterým se lze dostat v rámci některé počítačové sítě. Tou může být stejně tak Internet jako relativně uzavřená podniková síť. Samozřejmě nejmasověji zasahují červy Internet, neboť je to síť, v níž komunikuje daleko největší počet subjektů. Její snadná dostupnost a relativně vysoká anonymita z ní činí jeden z nejčastějších zdrojů i přenašečů nákazy. Červy jsou kódy, které mají tendenci se co nejvíce rozmnožit v jiných počítačích, přenést se e-mailem, chatem, sítěmi peer-to-peer a dalšími způsoby do jiných počítačů propojených v síti. Známe i kódy, které v sobě kombinují jak virus, tak i červa. K nejznámějšímu kódu tohoto typu patří Melissa.

Které červy berou správcům sítí a uživatelům klidné spaní?

Trendem jsou červy, jež minimalizují interakci s lidmi. Přicházejí například elektronickou poštou i když neobsahuje žádnou přílohu. Takový červ může být maskován jako digitální podpis.

Názorně to je možné demonstrovat na VBS.Kak.Worm, který připojuje sám sebe k odchozím zprávám a zneužívá k tomu funkcionalitu původně navrženou pro připojení digitálního podpisu. Využitím známé bezpečnostní mezery Scriptlet.Typelib programu MS Outlook Express pak může dojít k zavirování počítače bez toho, aby uživatel odpojoval či spouštěl nějakou přílohu pošty. Jakmile takovou zprávu příjemce dostane, červ vloží soubor KAK.HTA do složky StartUp. Po restartu systému je logika souboru HTA provedena pomocí MS Internet Explorer nebo Netscape Navigator. Je možno se proti němu dobře bránit i proto, že existuje patch pro Outlook Express, který je k dispozici na www stránkách společnosti Microsoft. Jen málo českých uživatelů však o existenci toho problému ví. Takový nechráněný e-mail stačí jen prohlédnout, aby při dalším startu počítače začalo další šíření červa, který se bude přidávat k běžně rozesílaným zprávám.

Jiným příkladem podobného viru je VBS.BubbleBoy. Původně pracoval jen s anglickou a španělskou verzí MS Windows 95, 98 a 2000, dnes existují i další mutace. Je pravděpodobné, že stejný autor (zřejmě z Argentiny), který publikoval VBS.BubbleBoy, je také autorem červa známého pod názvem The Fly (Moucha).

Ten je představitelem odlišné, ale také úspěšné taktiky – podvodného provokování uživatele a jeho rafinovaného navádění k činnostem, kterými červa aktivuje. Moucha se šíří souborem THE_FLY.CHM, což je kompilovaný soubor nápovědy HTML, do kterého je vložen skript napsaný v jazyku Java. Po spuštění kódu je zobrazeno falešné varování před komponentou ActiveX, která možná není bezpečná. Poté, co ji uživatel odmítne, je zobrazeno podvodné hlášení o tom, že nebylo možné zobrazit vložený obrázek a uživatel je opakovaně vyzván, aby komponentu ActiveX povolil. Nechá-li se těmito akcemi oklamat a schválí její spuštění, dochází k infikování počítače.

Jedním z posledních příkladů obcházení lidské interakce je červ W32.Blebla.B.Worm. Tento červ přichází v poštovní zprávě a oproti předchozím případům je “vylepšen” o to, že zatímco vy zprávu čtete, červ překopíruje dva soubory, obsahující jeho logiku na váš pevný disk a současně je automaticky spustí. Červ pak rozešle sebe sama na všechny adresy v adresáři MS Outlook, tak jak je tomu i u případu The Fly.

To je ukázka, jak se autoři červů snaží oprostit od toho, aby šíření a aktivace červů vyžadovala aktivitu uživatele. Na druhé straně, řada jiných červů nás stále přesvědčuje o nepoučitelnosti některých uživatelů. Ani po takových lekcích, jaké jim daly červy jako VBS.LoveLetter (známý jako I-LOVE-YOU), se mnozí nepoučili a běžně odpojují neznámé přílohy elektronické pošty a spouštějí je na svých počítačích. V ČR se nedávno značně šířil virus W32.Navidad (který přicházel jako soubor NAVIDAD.EXE připojený ke zprávě). Tento červ se na infikovaném počítači připojil k běžně vytvořeným zprávám (tzn., že využil zprávu s reálným předmětem a často přišel od známého uživatele). Jeho účinky byly závažné, protože kvůli chybám, které má ve svém kódu, často docházelo k tomu, že počítač se stal nepoužitelným. V každém případě červ znovu ukázal, že důvěřivost (často až naivita) uživatelů, kteří neznámý soubor EXE na svém počítači zcela důvěřivě spustili, stále přetrvává.

 

Jaké nebezpečí představují trojské koně Trojské koně jsou poněkud jiným typem kódu. Jejich účelem je otevřít zadní vrátka k vašemu počítači a umožnit někomu jinému, aby nad ním převzal kontrolu. Snaží se zcela nepozorovaně proniknout do počítače nebo se mohou vydávat za užitečné programy. Jejich hlavním účelem je umožnit neoprávněný přístup hackerům. Některé z trojských koní jsou kombinovány s červy. U českých uživatelů se často vyskytuje červ známý jako PrettyPark.Worm, který dokáže ukrást řadu důležitých informací, jako jsou jméno počítače, název, verze, identifikátor a klíč operačního systému, registrovaný uživatel a organizace, adresa elektronické pošty, seznam vytáčených připojení k sítím a to včetně uživatelských jmen a hesel pro přístup. Většina uživatelů, kteří jím jsou zasaženi, si všimne toho, že se každých 30 minut snaží rozeslat sebe sama na všechny adresy v jejich poštovním adresáři. Tento kód však částečně kombinuje vlastnosti červa a trojského koně. PrettyPark se také snaží připojit k určitém serveru IRC a otevřít kanál IRC. Z tohoto kanálu také dokáže přijmout příkazy. Autor nebo distributor může pomocí kanálu IRC získat informace o vašem systému.

Uveďme si alespoň dva příklady. Trojský kůň SubSeven 2.0 Server přichází elektronickou poštou jako program, který se vydává za antivirovou ochranu proti viru zvaném Pinkworm (žádný takový virus neexistuje). Program ve skutečnosti pracuje jako serverová aplikace, která vzdálenému uživateli povolí přístup a převzetí kontroly nad vaším systémem a umožní mu, aby prohlížel informace v něm. Trojský kůň se instaluje pod jménem, které lze měnit a otevírá port, který může hacker libovolně konfigurovat, přičemž o tom, že je server ve vašem počítači aktivní a připraven poskytovat služby své klientské aplikaci, může být hacker informován buď zasláním mailu, stránky ICQ nebo notifikace přes IRC. Jiným poučným příkladem je kód zvaný Backdoor.BrownOrifice. Tento trojský kůň se často vyskytuje na hackerovských www stránkách. Využívá programovací jazyk Java k tomu, aby hackerovi umožnil z libovolného místa přistupovat k vašim souborům a stahovat je. Když je aktivní, dokáže využít libovolného portu (nativně běží na portu 8080).


Trojských koní je poměrně velké množství, objevují se ale nové hackerovské programy, skrývající ještě jinou hrozbu, tzv. distribuované Denial of Service útoky. Vezměme si například kód W32.DoS.Trinoo. Trinoo má dvě komponenty – serverovou a klientskou. Serverová komponenta (Zombie) může být tajně instalována na váš počítač. Klientská komponenta ho pak “přesvědčí”, aby posloužil pro útok na jiný počítač. Už byly provedeny útoky na řadu serverů pro elektronické obchodování. Útočník zkusí přetížit systém, posílá mu hromadně pakety či vadné pakety, čímž vyvolá obrovskou frekvenci provádění zcela zbytečných operací. Cílový počítač se obvykle snaží odpovídat, což jej zcela zahltí a znepřístupní služby řádným uživatelům. Trinoo je de facto serverem pro takový útok. Navenek se neprojevuje, ale čeká, až se mu přihlásí z vnější sítě nějaký klient, kterému bude poskytovat své služby. Jeho autor/klient mu rozkáže “tam a tam budeš provádět takovou a takovou činnost proti takovému serveru”; tak vlastně prostřednictvím vašeho počítače vede svůj lišácky maskovaný útok proti cílovému počítači. Úspěšný útok způsobí např. zhroucení e-commerce serveru. Informace o útoku se navíc dostane na veřejnost, což může zcela zničit bezpečnostní prestiž zcela nevinné instituce. Jste-li třeba bankou, kdo vám pak uvěří, že má u vás bezpečně uloženy své elektronické peníze či svá osobní data? Sekundární škody mohou snadno převýšit škody přímé. Vaše léta budovaná prestiž a pozice v očích veřejnosti je ta tam. Správce sítě jen stěží vysvětlí managementu, že něco takového se stalo přesto, že se každoročně investují miliónové částky do bezpečnosti IT infrastruktury. Důsledek pro vaši firmu i vás osobně může tedy být daleko horší než následek jakéhokoliv viru.

Aktuálním případem zneužití ukradených informací je případ společnosti Creditcards.com. Hackerům se podařilo ukrást z jejího kreditního procesoru čísla asi 55 tisíc kreditních karet jejích zákazníků. Nejdříve hackeři kontaktovali ústředí této společnosti v Los Angeles a pokusili se jí ukradené informace prodat zpět (za tzv. “extortion fee”, hackerské výkupné). Hackeři vyhrožovali, že nebudou-li jim peníze vyplaceny, zveřejní informace a zničí reputaci celé společnosti. Po odmítnutí ze strany Creditcards.com skutečně ke zveřejnění došlo. Podle hackerů bylo ukradeno 12 tisíc stránek důvěrných informací. Existuje silné podezření, že útok byl veden hackery z Ruska. Celý incident již má významné obchodní dozvuky, neboť řada e-commerce serverů oznámila dočasné přerušení operací s kreditními kartami.


Jak tedy na viry červy a Trojany???


Jak mohou předcházet nebezpečí nových virů sami výrobci antivirů?

Obecně by se dalo říct, že většina červů má své předchůdce, jež poměrně málo poškozují systémy a spíše testují cestu. Hledají nové způsoby šíření nebo je různě kombinují – například se dokáží šířit jak poštou, tak i chatem nebo dokonce sítěmi peer-to-peer. Tyto průzkumné červy nevyvolávají mnoho pozornosti a stávají se “šedou eminencí”, která především testuje reakci antivirových výrobců a správců sítí. To je jejich hlavním účelem. Analýzy prokázaly, že takoví předchůdci existovali před většinou nejznámějších červů – W97M.Melissa, Worm.ExploreZip či VBS.LoveLetter. Teprve po nich následoval “ostrý” útok, který využil také zkušenosti svých “předskokanů”. Následné virové aféry pak upoutají pozornost veřejnosti i antivirových specialistů, i když předchozí skrytý vývoj červů jejich pozornosti často uniknul – bohužel to platí i o výzkumných pracovnících řady antivirových výrobců. Je nezbytné, aby experti na antivirovou ochranu pracovali globálně, sledovali trendy a uvažovali v časovém předstihu. Nestačí lokálně řešit problémy, které právě nastaly. Mnohým zákazníkům se to navíc prodává jako “rychlost lokální reakce”, což je zcela falešné. Rozhodující je antivirová prevence. V naší společnosti tuto úlohu velice dobře plní Symantec AntiVirus Research Center (SARC), které se stalo uznávanou veličinou v celosvětovém boji proti virům. Centra SARC fungují v USA, Nizozemí, Japonsku a v Austrálii, tedy v jednotlivých časových pásmech, což nám umožňuje identifikovat viry a červy a zasáhnout proti nim dříve, než se stačí rozšířit běžnou činností uživatelů dalších časových pásem. Byly k tomu také nutné rozsáhlé investice do infrastruktury, které nám umožnily přejít od využívání Internetu jako média pro distribuci definic ke skutečnému Systému digitální imunity, který využívá Internet pro včasnou prevenci při zjišťování a analyzování virů a šíření ochranných prostředků rychleji, než to dokáží viry a červy samy.


Nejlepší antivirovou ochranou je PREVENCE!


Z vlastní zkušenosti doporučuji používat dobrý firewall (např. Keiro Personal Firewall). Dále antivirový program (např AVG, nebo avast!) a další nezbytný program na odstraňování virů a hlavně spyware jako je např Ad-aware SE Personal 1.05 Všechny tyto programy by měli být pravidelně aktulizovány. Nezbytné také je být obezřetní při čtení mailů a jejich příloh!

Ad-aware SE Personal 1.05


Keiro Personal Firewall


avast! 4 4.5.603





Všechny tyto programy jsou freeware a můžete si je stáhnout v češtině například na:

http://www.slunecnice.cz/

….nebo na….

http://www.stahuj.cz/

Pokud se již nějakým virem nebo trojským koněm nakazíte můžete použít speciální utility sloužící přímo k likvidaci určitého typu viru. Tyto utility jsou také volně šiřitelné a můžete si je opatřit například na adrese:

http://www.grisoft.cz/




Pokud se chcete s problematikou virů, wormů, trojských koní a nejrůznějšího spywaru zajímat podrobněji, doporučuji tyto odkazy:

http://www.viry.cz

http://trojanhelp.wz.cz/



Pro obyčejného uživatele není složité bránit se proti nejrůznějším virům červům a spywaru. Chce to jen trošku času, který se rozhodně do ochrany vašeho počítače vyplatí investovat! Lepší začít chránit počítač preventivně, než se ho pak snažit zbavit všech možných virů! Říkám to z vlastní zkušenosti, protože sem na vlastní kůži byl svědkem kolik spywaru virů a dalších kódů se dostane na počítač který není chráněný žádným firewallem. Za pouhý týden sem měl v počítači přes 30 různých wormů a virů a zbavit se jich nebylo vůbec lehké. Proto doporučuji používejte FIREWALL. Týká se vás to také, každý počítač je ohrožen!!!



Autor: Tomáš Karas


školní rok : 2004 -2005
Tato stránka je testovací a vznikla pro účely výuky Programování webu v Dreamweaveru MX 2004