Chip 06/2004: antivirový koutek
V polovině dubna zveřejnila firma Microsoft sadu opravných balíčků pro své systémy Windows. Tři ze čtyř oprav byly označeny jako kritické. Bylo jen otázkou času, kdy se objeví nějaký nový virus, který některou bezpečnostní díru bude využívat. Již z loňského léta, kdy se po třech týdnech po zveřejnění opravné záplaty objevil nechvalně známý červ Blaster, víme, jak důležité je systém včas opravit. Bohužel víme i to, že naprostá většina uživatelů toto nebezpečí podceňuje a své systémy nezáplatuje.
V noci z 30. dubna na 1. květen se nový worm objevil. Byl pojmenován Win32:Sasser. Tento červ se vůbec nešíří elektronickou poštou, ale šíří se automaticky po Internetu a lokálních sítích. Využívá bezpečnostní chybu označenou jako LSASS, která umožňuje vzdálené spuštění programu na počítačích s operačními systémy Windows 2000 a XP. Červ je tak schopen se šířit automaticky a lavinovitě bez jakéhokoli zásahu uživatelů. Po své aktivaci se červ zkopíruje do adresáře Windows pod jménem avserve.exe a změní soubor registry tak, že je aktivován při každém startu počítače. Potom spustí FTP server na TCP portu 5554. Tento server je později používán pro šíření viru na další počítače. Červ se pokouší připojit na náhodně vygenerovanou adresu IP přes port 445. Pokud je navázáno spojení, worm pošle příkaz, který způsobí to, že se vzdálený počítač připojí ke spuštěnému FTP serveru na portu 5554 a stáhne si kopii sebe sama. Jméno takto vytvořeného souboru je složeno ze čtyř až pěti čísel a řetězce _up.exe (např. 12345_up.exe). Testované IP adresy jsou vytvářeny náhodným způsobem, přičemž jsou preferovány sousední sítě. Červ spouští celkem 128 vláken, které vyhledávají další vhodné cíle napadení. To spotřebovává velké množství výkonu procesoru, a proto je napadený počítač často velmi pomalý až nepoužitelný. Na některých počítačích červ způsobuje chybová hlášení a restart počítače.
Antivirové firmy zareagovaly poměrně rychle a už během víkendu byly schopny virus detekovat. Nicméně je důležité si uvědomit, že pokud bezpečnostní díra zůstává otevřena, může se červ (nebo nějaká jeho varianta) do počítače dostat. Naopak nainstalování výše zmíněné bezpečnostní záplaty tuto cestu uzavře a červ se na Váš počítač žádným způsobem nedostane. Instalování všech kritických záplat firmy Microsoft je velmi důležité pro správný chod Vašeho počítače a můžeme Vám jej jen doporučit. K tomu je velmi vhodné použít systémový program "Windows Update", který dokáže tuto činnost zautomatizovat.
Během čtyřiceti osmi hodin po první variantě se objevily hned další tři, které se lišily v maličkostech (jméno souboru, počet vláken), z nichž varianta B byla velmi úspěšná. Hlavní problémy červ způsobil až během následujících pracovních dní. Podle zpráv tisku se dostal do podnikových sítí řady firem – od leteckých přes finanční a pojišťovací společnosti až po počítače Evropské komise. Napadena byla nemocnice v Honkogu, třetina počítačů tchajwanské pošty. A i když jeho nástup nebyl zdaleka tak prudký jako u červa Blaster, počet napadených počítačů je velmi vysoký a způsobené škody značné. Zasáhl totiž i velké množství domácích uživatelů, kteří o opravných záplatách nemají často ani tušení.
Proč se červ tak úspěšně rozšířil? Ve firemních sítích padá vina jednoznačně na správce sítí. Ti totiž často podléhají falešnému dojmu, že pokud jsou počítače ze firemním firewallem, jsou stoprocentně chráněny a žádné nebezpečí jim nehrozí. Faktem je, že červ sám o sobě se přes firewall nedostane. Největším rizikem jsou ale počítače, které se občas připojují přes firewall a občas bez něj – typicky se jedná o notebooky. Pokud se notebook připojí k Internetu přímo (například z domova) a pak se připojí do firemní sítě, je červ uvnitř a nechráněnou síť dokáže vyřadit z provozu (podobně se choval i v lednu 2003 červ SQLSlammer). Proto je nesmírně důležité, aby správci aplikovali opravy kritických chyb na všechny počítače, které se do firemní sítě připojují. Je to těžká práce, občas záplata způsobí i nečekané problémy, nicméně je to dnes naprostá nutnost!
V pátek 7. května oznámila německá policie, že kousek od Hannoveru zadržela osmnáctiletého německého středoškolského studenta, který je podezřelý z autorství viru Sasser. Mladík se k napsání červa přiznal. Bude zajímavé zjistit, jak ho německá policie našla a jaký trest mu bude vyměřen. Řadě postižených uživatelů to ale moc nepomůže, těm nezbývá nic jiného, než se snažit v budoucnu podobným problémům předcházet. Až se příště objeví oprava kritické chyby ve Windows, je třeba ji okamžitě nainstalovat!