Chip 06/2005: antivirový koutek
I když nás v posledním měsíci nepostihla žádná
opravdu velká epidemie, rozhodně se nedá říci, že se v oblasti virů a
škodlivého kódu nic neděje. Klid, který během března a části dubna panoval, byl
vystřídán poměrně značnou aktivitou několika autorů.
Čtrnáctého dubna večer se objevily v elektronické
poště uživatelů první exempláře nového trojského koně, založeného na viru
Beagle. Nejprve se zdálo, že se jedná o nového červa, ale později se ukázalo, tento
program nebyl schopen šířit se sám o sobě, za jeho masivní výskyt během
krátkého času určitě stáli jeho autoři, kteří ho ve velkém rozesílali jako
zvláštní formu spamu. K tomu pravděpodobně využívali i řadu počítačů,
které ovládají bez vědomí jejich majitelů tak, jak jsme si ukázali
v minulém čísle. Podobných vln upravených verzí trojského koně následovalo
v dalších dnech ještě několik. Cílem celé této akce bylo ovládnout nové
počítače a také získat množství nových mailových adres. Lidé, kteří vytvářejí
viry Beagle, jsou v posledním roce velmi aktivní, a pomocí svých
škodlivých programů si pravděpodobně slušně vydělávají. Pracovníci firmy
Kaspersky Lab provedli v únoru zajímavý pokus – pomocí jednoho
z trojských koní odeslali několik tisíc speciálních emailových adres,
které pak sledovali. A výsledek? Během několika dní na tyto adresy začaly ve
velkém chodit spamy, emaily typu phishing (podvržené stránky pro vylákání
přístupových údajů k bankovním účtům), nové varianty virů Beagle a dokonce
i další viry. Náhoda? Rozhodně ne! Autoři škodlivého kódu se prostě snaží
udržovat a rozšiřovat síť ovládaných počítačů a sbírat z nich citlivé
informace tak, aby z toho měli co největší profit.
O něco podobného se snaží i další autor (autoři?) –
tentokrát stojící za virem Mytob. I zde se jedná o podobnou taktiku –
vypouštění mnoha podobných variant v rychlém sledu za sebou. Od 19. dubna
do 9. května bylo objeveno více než třicet variant tohoto viru, jejichž
vlastnosti jsou velmi podobné. Jedná se o červa, který pro svoje šíření používá
elektronickou poštu, obsahuje trojského koně, který zneužívá programy pro
komunikaci IRC (Internet Relay Chat). Většinou také modifikuje soubor „hosts“
tak, že uživatel není schopen se připojit na servery, které se týkají virů a
bezpečnosti obecně. Červ se snaží do vzdáleného počítače proniknout i pomocí
známé chyby LSASS (poprvé ji zneužil virus Sasser v květnu 2004), pokud se
mu to povede, spustí na něm kód, který pak pomocí služby FTP stáhne
z původně napadeného počítače vlastní tělo viru. Zajímavé je, že se
neposílá na adresy, které by mohly přispět k jeho odhalení (antivirové
firmy, správci systémů, některé univerzity a podobně). Virus je poměrně úspěšný
– jeho nejrozšířenější varianta se i u nás dostala do první desítky.
Největší epidemii poslední doby však začátkem května
vyvolal jiný virus – Sober-N (některými antivirovými programy označovaný jako
Sober-P či O). Ten pochází pravděpodobně z Německa a podobně jako
předchozí varianty se velmi úspěšně šíří právě ve střední Evropě – a tedy i u
nás. Jeho nástup ve večerních hodinách dne 2. května byl opravdu raketový a i
po týdnu své existence spolehlivě vede naše statistiky. Po svém spuštění
zobrazí fiktivní chybové hlášení programu WinZip, které navozuje dojem, že
spuštěný soubor je porušen nebo nekompletní. Šíří se pomocí vlastních zpráv
elektronické pošty, které jsou buď anglické nebo německé. Na konec připojí falešné
hlášení některého z antivirů, které říká, že připojený soubor neobsahuje žádný
virus. Snaží se z činnosti vyřadit některé antivirové a bezpečnostní
programy a také smazat službu Live Update firmy Symantec, pokud ji na daném
počítači najde. Zajímavá je i metoda sociálního inženýrství, kterou používá:
jeden z možných textů zprávy předstírá, že pochází z ústředí FIFA, a
oznamuje adresátovi, že vyhrál lístky na mistrovství světa ve fotbale, které se
bude konat příští rok právě v Německu. Je zřejmé, že řada jinak opatrných
uživatelů v takovém případě ztratí veškerou soudnost a je ochotna pro
získání lístků udělat takřka cokoli. Kliknutí na infikovaný soubor je proto bohužel
velmi pravděpodobné.
Sociální inženýrství je autory škodlivých programů
používáno velmi často a velmi úspěšně – příkladem je i trojan, který se objevil
v předvečer voleb ve Velké Británii. Tam byla masově rozeslána zpráva,
která oznamovala „BBC: Tony Blair email account hacked!“ (účet elektronické
pošty Tonyho Blaira hacknut!). Link, který následoval, zobrazil uživatelům
webové stránky, z nichž jim byl nainstalován trojský kůň, který dále
instaloval program pro zcizení hesel a bankovních účtů. Ukažte mi Angličana,
který podobně senzační zprávě odolá a kterého nezajímá obsah poštovní schránky
premiéra! Jsem opravdu zvědav, kolik lidí by se na podobný trik nechalo
nachytat u nás J !