Počítačová havěť - vývoj a rozdělení malware

Trojské koně

Na Internetu jich je nepřeberné množství, narazit na ně můžeme prakticky kdykoliv. Jde o škodlivé kódy, jež nejsou schopny sebereplikace a infekce souborů. Toho docílí pouze za pomoci nejrůznějších červů (o nich až za chvíli). Ukrývají se ve spustitelných "užitečných" programech či aplikacích s určitou funkcí, se kterou ovšem rozumný uživatel nemůže souhlasit. Jejich obsahem je tělo trojského koně a jelikož nejsou připojeny k žádnému hostiteli, jedinou formou dezinfekce je smazání dotyčného souboru.

Opět jich existuje několik forem. První skupinou jsou password-stealing trojani (PWS). Princip činnosti spočívá ve sledování jednotlivých znaků ze vstupního zařízení a jeho následné reportování na specifické e-mailové adresy. Jistě tušíte, že se tímto způsobem dají obstarat citlivé přihlašovací údaje k nejrůznějším službám. Destruktivní trojani naplňují původní myšlenku poškodit cílový objekt. Po spuštění se můžete dočkat ztráty obsahu pevného disku kvůli jeho naformátování atp. Patří sem i případy tzv. dávkových trojanů, což je obdoba souborů s příponou BAT.

Určitě nesmíme zapomenout na pojmy jako backdoor a dropper. Prvním uvedeným myslíme aplikace typu klient-server, jež připomínají komerční produkty typu Virtual Network Computing či Remote Administrator. Vzdálená správa není sama o sobě škodlivá, pokud ovšem nenarazíte na vzdáleného útočníka. Škodlivý kód umožňuje převzít kontrolu nad takto nakaženým počítačem. Podrobnější princip tototo výrazu vysvětlíme níže. Dropper je škodlivý spustitelný program, jenž v sobě zahrnuje další havěť. Po jeho vykonání začíná hromadná infekce cílového počítače.
Nepatrným rozdílem od předchozího "trpí" TrojanDownloader. Infikovaný obsah v sobě nemá fyzicky, nýbrž si ho stahuje z pevně definovaných URL adres na Internetu. Útok se většinou nevztahuje pouze k jednomu kusu/verzi, ale k celým rodinám trojanů - důsledkem je totální zpomalení a zahlcení počítače. Se SPAMem, nebo-li nevyžádanou poštou, souvisí odnož zvaná TrojanProxy. Infikovaný hostitel je zneužit jako prostředník za účelem poškození třetích stran.

Červi (Worms)

Velmi povedená obdoba počítačových virů jsou červi. Tyto škodlivé programy jsou schopné automatického rozesílání kopií svého těla na další zařízení. Mohou se šířit ve formě paketů, kdy v infikovaném systému přebírají kontrolu nad prostředky zodpovědnými za síťovou komunikaci. Využívají bezpečnostních chyb operačních systémů či jiných aplikací. Většina dnešních "wormů" v sobě ukrývá navíc tzv. payload alias kód, jenž má jediný úkol - škodit. Mezi klasické projevy patří omezení funkce počítače nebo jeho částí, ztráta uložených dat, šifrování obsahu, realizace hrozby backdoor, shromažďování citlivých údajů, zahlcení LAN sítě etc.
Dalšími podobami jsou e-mailoví, internetoví, instant messaging, Internet Relay Chat aj. červíci. Z povahy jednotlivých přívlastků vychází jejich princip. Jedni využívají elektronické pošty, kdy se rozesílají na nově získané e-maily z adresáře. Zvláštní skupinu tvoří botnet sítě složené z mnoha infikovaných počítačů - realizace DDoS, hromadné šíření SPAMu etc. Druzí zjišťují zranitelnost cílového počítače a pokud naleznou možnost, přes síťové prostředky zaútočí, jiní se specializují na komunikaci v reálném čase. Variant je mnoho a není v našich silách je zde všechny vzpomenout.

Backdoor (DDoS, IRC)

Za klasický příklad této infiltrace se označuje komunikace útočníka skrze jiný objekt. Tím mohou být jednotlivé počítače v síti (DDoS útoky), komunikační kanály (IRC sítě) etc. Vše je realizováno na bázi protokolu TCP/IP ve spojení s celosvětovou sítí Internet. Klientská část aplikace patří záškodníkovi, serverová obsahuje kýžená data umístěná na vzdáleném stroji. Pomocí robotů alias botů vystupuje jako skutečná osoba, ve skutečnosti je pouze ovládá vlastními příkazy. Docházet může k úniku choulostivých informací nebo ke ztrátě dat.

Spyware

Nyní nahlédneme mezi speciální druhy infiltrací. Spyware je "ilegální" program využívající síť Internet k odesílání dat z počítače, aniž by o tom měl samotný uživatel tušení. Nutno připomenout, že se nejedná o nejzávažnější formu útoků. V menší míře škodí, ve větší pak jen zhoršuje funkci PC. Odesílána jsou jména v registrech, informace o IP adresách či nainstalovaném softwaru, navštívené stránky, nejrůznější seznamy atp. Existují i určité formy backdooru nebo PWS. Odborná literatura také uvádí, že spyware je mimo jiné šířen společně s řadou sharewarových programů, přičemž jejich autoři to ještě veřejně přiznávají. K odstranění se nedoporučují antivirové programy, ale speciální aplikace s vlastní databází spyware.

Adware

Většina si pod tímto pojmem představí otravnou reklamu. Tu v sobě nesou produkty/programy s bezplatnou licencí. Pokud s nimi pracujete, můžete se setkat s různými bannery, vyskakujícími pop-up okny, nevyžádaným webovým obsahem či ikonami v oznamovací oblasti. Důležité je si uvědomit, že díky licenčnímu ujednání EULA (End User License Agreement), s instalací této formy malware uživatel může a nemusí souhlasit. Nedochází zde k nevědomému odesílání dat přes Internet, likvidace se realizuje obdobně jako u spywaru.

Phishing

Výše uvedeným výrazem jsou označovány podvržená e-mailová sdělení, která jsou typicky rozesílaná na velké množství adres a jejich obsah je lživý. Na první pohled vypadá vše, jako informace zakládajicí se na pravdě. Zvlášť, když se zpráva vydává pod záštitou významné (finanční) instituce, zpravidla banky či spořitelny. Je zde využíváno sociálního inženýrství, jehož je phishing odnoží. Příjemce je odkazován na předem připravený formulář, jenž se zobrazuje v prostředí konkrétní korporace. Jako donucovací prostředek je použita hrozba znevýhodnění klienta a jeho služeb či ověření nebo zablokování účtu. Po klikutí dochází k přesměrování na cizí server, odkud pro útočníka není problém, zadaná data získat (číslo účtu, pin platební karty, přístupy do internetového bankovnictví aj.).
Druhou možností výše zvýrazněného pojmu jsou falešné rogue/suspect produkty. Produkují nesmyslné poplachy a varování o zneužití/infikování PC a nabízejí řešení tohoto nexeistujícího problému. V tomto případě je nutné pouze ohlídat, co si do počítače instalujete. Nevěřte líbivé grafice a čtivému textu šedé zóny Internetu s tématikou warezu či pornografického materiálu. K vyčerpávajícímu výkladu zbývá uvést slůvko pharming, což je jistá obdoba phishingu.

Nejnovější případy phishingu podle serveru hoax.cz:

• Webmail aktualizace e-mailového účtu - O2
• PayPal
• CZ webMail Program
• American Express
• PayPal
• Citibank
• Google AdWords
• eNom Tech Support
• ScotiaBank
• STERLING Savings Bank

Hoax

Neméně oblíbenou formou je Hoax. Českým ekvivalentem je poplašná zpráva, jež varuje před neexistujícím nebezpečím. Způsob šíření je vyřešen pomocí systému přeposílání e-mailových zpráv. Kvalita těchto sdělení závisí na autorově fantazii. Zpravidla obsahuje popis nebezpečí, ničivé účinky, nesmí se zapomenout na důvěryhodné zdroje a samozřejmě na výzvu k rozeslání co možná největšímu počtu lidí. Nemusí zde nutně platit souvislost s virovou problematikou, zprávy tohoto typu se mohou týkat čehokoliv.

Nejnovější případy hoax sdělení podle stejného zdroje:

• Psík - 7 štěňat retrívrů (7 Golden Retriever)
• Telefonáty z čísla 00420 477 100 111
• Miminko s rakovinou mozku a peníze od AOL
• Invitation
• Samoodpočet elektřiny - důležité
• Jak přežít infarkt
• Nevolejte 09, 9090, # 90 nebo #09
• MARGARÍNY a zdravotní riziko (Rama s nama)
• Microsoft rozdává peníze
• Éčka - přísady do potravin

Dialer

Jako poslední zařazujeme Dialer. Jeho nebezpečí hrozilo spíše v minulosti, kdy se na Internet přistupovalo pomocí modemu a vytáčeného připojení. Jedná se v principu o program, jenž umí tento způsob přihlašování změnit. Namísto běžného telefoního čísla seriozního poskytovatele přesměruje linku na hovor se zvláštní či zvýšenou tarifikací (souborný pojem pro zajištění hovorného). Vše se děje bez vědomí uživatele. Infikace byly dokumentovány přes technologii ActiveX, spustitelný EXE soubor nebo díky návštěvě nevhodného obsahu (warez atp.).

V minulosti také docházelo k tzv. legálním dialerům, které ovšem neprůhledně informovaly o cenách hovorného. Nezkušený uživatel si ho i přes to nainstaloval a používal. S tím se objevil problém detekce této havěti ze strany antivirových produktů. Štěstí, že éra vytáčeného připojení je v drtivé míře minulostí.

Rootkit

Tento pojem je znám především z oblasti UNIXových operačních systémů. Dnes už jsou rozšířeny i v prostředí Microsoft Windows. Označovaly se tak programy, jež umožnily útočníkovi skrývat svoji činnost. Upravovaly běh OS s cílem utajení záškodnické činnosti. Jedná se tedy o sadu programového vybavení, jež se snaží zamaskovat vlastní přítomnost v počítači případně existenci jiných aplikací. Těmi jsou typicky viry, trojské koně, spyware atp. Děje se tomu na základě různých technik - ukrývání adresářů a souborů, procesů, síťových a systémových služeb, jednotlivých položek registru etc. Detekce ze strany antivirového programu není vždy 100% a doporučují se speciální programy.


Zdroje: Wikipedia.org, Viruslist.com, Viry.cz, Spyware.cz, Rootkit.cz, Hoax.cz