V minulých dvou dílech jsme si povídali o teoreticky existujících superčervech, které jsou schopny se velice rychle a efektivně šířit po Internetu. Tak například superčerv Flash by mohl dokázat napadnout všechny vhodné cíle během třiceti vteřin, červ Curious Yellow je schopen efektivně komunikovat s ostatními instancemi sebe sama. Dnes se podíváme na jednu novinku z reálného života, která se před několika týdny objevila v Německu. Jedná se o sadu programů, které jejich autor nazval DTHN (Dynamic Trojan Horse Network, tedy Dynamická síť trojských koní). I když tyto programy zdaleka nedosahují parametry uvedených superčervů, jsou jejich vlastnosti natolik zajímavé, že jim budeme věnovat dnešní antivirový koutek.

DTHN využívá řadu moderních technologií včetně vzdálené a dynamické konfigurace, komunikace P2P (peer to peer) a modulární technologie. DTHN se skládá z několika částí, z nichž nejdůležitější jsou bezesporu klienti a server. Klientské programy běží na počítačích obětí bez jejich vědomí a jsou řízeny serverem na počítači útočníka. Každá síť je tvořena klientskými programy se stejným identifikačním číslem, při připojení se navzájem autorizují. Zprávy v takové síti mohou být určeny jednotlivým klientům či všem členům sítě. Programy mají modulární architekturu a mohou využívat další zásuvné moduly (pluginy) – například pro rozesílání zpráv v sítích IRC, pro DDoS útok (DDoS = Distribute Denial of Services, současný útok mnoha počítačů na jeden cíl, který je pak zahlcen příliš mnoha požadavky). Některé další pluginy existují, ale nejsou naštěstí funkční – například plugin pro zasílání klientského programu elektronickou poštou.

Konfigurace celé DTHN sítě se provádí pomocí textového souboru, který je posléze podepsán a zašifrován a v této formě odeslán všem klientským programům, které jej rozkódují, ověří jeho platnost a okamžitě podle něj změní svoje chování. Podobným způsobem je možno provádět aktualizace samotných klientských programů či jednotlivých pluginů. Celá síť tak může měnit dynamicky svoje chování, provádět útoky na vybrané cíle, odesílat informace či se pokusit rozšířit na další počítače. Díky unikátní identifikaci může existovat řada na sobě nezávislých sítí DTHN, ovládaných různými útočníky.

DTHN v současné době nepředstavuje pro uživatele velké nebezpečí – jednotlivé programy je jednoduché detekovat, šíření je pomalé a je založeno spíše na klasickém šíření trojských koní (například zaslání programu vybrané oběti) než na vlastnostech virů či wormů. Přesto jde o velice zajímavý program, protože v praxi uplatňuje řadu teoretických možností ovládání privátně vytvořených sítí tak, jak jsme o tom hovořili v minulém díle. Jedná se opravdu o novou generaci škodlivých programů a jsem zvědav, s jakými dalšími následovníky programu DTHN se v blízké budoucnosti setkáme a co za změny to přinese nám – uživatelům…

Koncem minulého roku se objevilo několik nových variant nechvalně známého viru Yaha, kterým se celkem úspěšně dařilo rozšířit se na řadu počítačů. Asi k tomu přispělo i to, že koncem roku koluje mezi uživateli řada žertovných programů, které si lidé navzájem posílají jako blahopřání k Vánocům a k novému roku. Objevila se i další varianta viru Opas, který se nešíří elektronickou poštou ale přes špatně nastavené sdílené disky – a bohužel se mu to stále dost daří. Vítězem a nejrozšířenějším virem roku 2002 se ale bezesporu stal Klez-H, který napadl tolik počítačů jako všechny ostatní viry dohromady…