Chip 05/2005: antivirový koutek
Situace na virové scéně se mění. Již dlouho jsme nezažili
opravdu velkou epidemii viru, šířícího se elektronickou poštou, a největší
nebezpečí se pomalu přesouvá z oblasti e-mailu trochu jinam.
Ne, že by klasické viry, které elektronickou poštu pro
svoje šíření využívají, přes noc úplně zmizely. Jejich počet stále zůstává
vysoký a stále znamenají poměrně velké riziko. Jen jejich úspěšnost není dnes
tak vysoká jako zhruba před rokem, kdy jejich éra vrcholila. Příkladem
z poslední doby může být červ Mytob. Ten se šíří jednak infikovanými
zprávami, jednak využívá bezpečnostní chybu LSASS, pomocí které je schopen se šířit
přímo z jednoho počítače na druhý. Adresy sbírá klasicky jednak
v adresáři infikovaného počítače, jednak v souborech na disku.
Zajímavé je, že neposílá sebe sama na řadu adres, které mohou sloužit
k jeho dřívějšímu odhalení – ať už ve jménu uživatele (například admin,
root, postmaster, info), nebo v doméně (například sopho, syma). Tento červ
je typickým představitelem dnešní doby – na infikovaný počítač nainstaluje tzv.
bot, který pak přes IRC poslouchá příkazy případného útočníka a umožňuje
zneužití takto napadeného počítače pro libovolnou škodlivou činnost: šíření
spamu, přístup k datům, útoky DDoS na vzdálené cíle a podobně. Viry
z rodiny Mytob jsou pozoruhodné ještě jednou věcí – jejich autoři opravdu
chrlí obrovské množství variant, které mají trochu odlišné vlastnosti a jsou
„zabaleny“ různými obálkami, takže jejich detekce není z generického hlediska
jednoduchá. Zajímavé je, že většina variant se objevuje hlavně během víkendů –
v posledních třech víkendech to bylo šest, pět a osm nových variant.
Takové množství je samozřejmě nepříjemné jak pro uživatele, tak pro antivirové
firmy, žádná velká epidemie však zatím nevypukla. Dosud nejúspěšnější variantou
je Mytob-D, který se objevil na osmém místě v žebříčcích nejrozšířenějších
virů.
Daleko větším nebezpečím se pro uživatele
v posledních měsících stávají trojské koně typu bot. Těch existuje opravdu
enormní množství, nešíří se elektronickou poštou, ale do počítače jsou nejčastěji
instalovány přes www rozhraní při návštěvě pochybných webových stránek, či přes
nejrůznější bezpečnostní chyby, které nebyly včas záplatovány. Autoři
škodlivých programů zkrátka přišli na to, že pouze si „hrát“ není dostatečně
zajímavé a že se mohou zúčastnit docela lukrativního byznysu. Mít přístup
k tisícům počítačů nic netušících uživatelů a prodat takový přístup třeba
pro účely šíření spamu se jim určitě vyplatí. Stejně tak se bohužel vyplácí i
vlastní šíření spamu – procentuální „výtěžnost“ je sice minimální, ale při
obrovském množství odeslaných zpráv se pořád vložené prostředky mnohonásobně
vrátí.
Problémem u tohoto druhu malware je to, že se vyskytuje
lokálně (třeba na jediné webové stránce), nešíří se rychle a masívně, ale může
trvat velice dlouho, než se dostane do rukou antivirových společností. Začátkem
loňského roku byly na Internetu zveřejněny zdrojové kódy těchto programů, a tak
není problém jednoduše upravit chování a činnost takového programu pro
specifické účely. Dalším problémem je jejich obrovský počet – jen za poslední
měsíc jsme obdrželi (od zákazníků a jiných antivirových firem) více než tři
tisíce různých programů typu Bot. Je otázkou, jak velký je počet těch, které jsme
my (myšleno antivirové firmy) dosud neviděli. Nedávné pokusy ukazují, že
existují stovky speciálních sítí, tvořených statisíci kompromitovaných
počítačů, přičemž ty největší obsahují až 50 000 hostů. Je velmi těžké
určit skutečný rozsah tohoto nebezpečí.
Další velmi rozsáhlou skupinou škodlivých programů jsou
spyware a adware – programy, které buď získávají a odesílají data
z počítače autorům programů či zobrazují reklamy či dokonce mění obsah
zobrazovaných dat. I tato oblast se bohužel stala výnosným obchodem, a tak jsou
tyto programy často součástí programů, které jsou „zadarmo“ k volnému
použití. Při jejich vyhledávání pak antivirové firmy čas od času narážejí na
právní problémy – jejich použití prý uživatel schválil, a proto je i pomocí
vyhrožování soudy požadováno zrušení jejich detekce. To ostatně platí i pro
poslední skupinu programů – dialery.
Nejčastějším místem, kde se tyto programy vyskytují, jsou
domácí počítače. Ty jsou dnes stále častěji připojeny k Internetu trvale a
vysokorychlostním spojením, přičemž jejich ochrana (systémová, antivirová)
většinou není na odpovídající úrovni. A není to jen chyba uživatelů, že nejsou
dodržovány tři základní pilíře bezpečnosti: aktualizovaný antivirus a program
proti spyware a adware, firewall a aplikace bezpečnostních záplat.
S příchodem Windows XP SP2 se situace trochu zlepšila, ale protože řada
počítačů má starší operační systémy a jejich uživatelé se v oblasti
bezpečnosti moc neorientují, není zdaleka růžová. Příkladem může být počítač,
který byl aktivně připojen do šestnácti různých bot sítí!
Situace se opravdu za poslední rok dramaticky změnila a
je otázkou, jak bude Internet a jeho využití vypadat za rok...