Chip: antivirový koutek

Chip 05/2004: antivirový koutek

Minule jsme si na tomto místě povídali o probíhající „válce“ mezi autory virů a o mnoha nových variantách virů Netsky, Beagle a Mydoom, které s tímto soupeřením souvisejí. V posledním měsíci tento souboj pokračoval, i když přece jen s trochu nižší intenzitou než na přelomu února a března. Přesto se nové varianty těchto virů objevují skoro denně, a navíc často jejich autoři pro počáteční úspěch virů skoro jistě používají velké množství kompromitovaných počítačů po celém světě, nad nimiž mají vládu. I proto jsou epidemie v poslední době tak rychlé a prudké.

U některých nových variant se objevují docela zajímavé pokusy o nové způsoby šíření virů, zatímco jiné se šíří zcela klasickou cestou jako připojené soubory elektronické pošty. U několika z těch zajímavějších se na chvilku zastavme:

Win32:Beagle-M posílá sebe sama (podobně jako některé předchozí varianty) v zašifrovaném archivním souboru typu ZIP. Některé antivirové firmy začaly pro zjištění hesla zkoušet všechna slova, obsažená v těle zprávy s virem. Tento virus je však rychlou odpovědí na tuto metodu – heslo je ve zprávě obsaženo ve formě obrázku, a tak už jej není možno jednoduše „uhodnout“ (to, že je možné zašifrované archívy s virem přesto detekovat, je zcela jiná kapitola).

Win32:Beagle-Q se kromě klasické cesty dokáže šířit i přes zprávy, které nemají žádnou přílohu. Využívá totiž bezpečnostní díru MSIE („Object Tag vulnerability“). Tato chyba způsobí, že je při zobrazení zprávy spuštěn skript, který stáhne a spustí infikovaný soubor z Internetu. Virus používá několik set kompromitovaných počítačů po celém světě a jejich seznam si nese sebou. Jedná se o počítače nic netušících domácích uživatelů.

Win32:Netsky-Q se snaží adresáta přesvědčit o tom, že zpráva je čistá a nezavirovaná. Na konec zprávy přidává text „++++ Attachment: No Virus found“ následovaný názvem některého z antivirových produktů.

Velmi úspěšně se šířil klasický Win32:Beagle-U, jehož připojený soubor používá ikonu s hodinami. I když nevyužívá žádnou bezpečnostní díru a spoléhá jen na aktivního uživatele, byl po několik dní nejrozšířenějším virem. Infikovaný počítač může být vzdáleně ovládán a využit k další nekalé činnosti.

Velmi zajímavou a netradiční metodu pro své šíření používá Win32:Netsky-V. Ani on neobsahuje žádný připojený soubor a využívá bezpečnostní díru MSIE (MSIE XML Page Object Type Validation vulnerability) pro svoje spuštění – vlastní virus však nestahuje z mnoha fixních míst na Internetu (jako Beagle-Q), ale přímo z počítače odesílatele infikované zprávy. Je to velmi unikátní myšlenka: je takřka jisté, že na původním počítači infikovaný soubor existuje a (pokud je v okamžiku čtení zprávy připojen k Internetu) že na žádost odpoví a soubor s virem poskytne. Nepříjemné je to, že šíření viru je zcela autonomní a variabilní – pokud virus používá předchozí metodu, je možno (byť často s velkým úsilím) všechna fixní místa odříznout, a tak šíření viru zcela zastavit. Zde to však vůbec neplatí!

Z výše uvedených vlastností nových virů je zcela zřejmé, jak zásadní a důležité je aplikovat veškeré kritické záplaty bezpečnostních děr operačního systému. Bohužel jsme svědky toho, že většina uživatelů toto riziko podceňuje a aktualizace ignoruje. Před několika dny vydala firma Microsoft další velký balík kritických oprav, mimo jiné zaměřené na další chyby RPC. V létě se první virus (Blaster), zneužívající závažnou chybu, objevil necelý měsíc po vydání záplaty. Chcete si tipnout, jak dlouho to bude trvat nyní? Uvidíme, kolik uživatelů si vzalo z loňských problémů ponaučení! Firma Microsoft mimochodem připravuje nový komplexní balík oprav (Service Pack 2), který by měl mimo jiné změnit implicitní chování systému a aplikovat kritické záplaty zcela automaticky.

Pokud Vás problematika virů zajímá, rád bych Vás pozval třetího června do Českých Budějovic. Zde se bude konat již tradiční seminář Počítačové viry 2004, na kterém vystoupí ti nejlepší odborníci z Česka i Slovenska, a po celý den budou hovořit o tom, co se děje kolem nás a co nás čeká v budoucnosti. Program najdete buď v tomto čísle časopisu CHIP nebo na stránkách ALWIL Software (www.asw.cz). Těšíme se na Vás J !