Proklouznutí skrz Windows

Ani uživatelé, ani správci IT možná správně nechápou, jaký dopad by všechen ten spyware a adware mohl mít na jednot...


Ani uživatelé, ani správci IT možná správně nechápou, jaký dopad by všechen ten
spyware a adware mohl mít na jednotlivé systémy dokonce i na ty plně
záplatované. Rozhodli jsme se proto nainstalovat některé z nejpopulárnějších
spywarových a adwarových programů, abychom zhodnotili, nakolik škodlivé mohou
být. Nejprve jsme coby návnadu tzv. hrnec medu (honeypot) připravili plně
záplatovaného klienta s Windows XP Professional SP2 s různými monitorovacími
nástroji. Poté jsme nainstalovali volně dostupné hry z různých webů (například
ze zango.com nebo yahoogamez.com) a peer-to-peer aplikace známé tím, že
instalují nechtěné programy (šlo například o BearShare).
V krátkosti řečeno, náš hrnec medu jsme vystavili nebezpečí. Windows by sice ve
standardním nastavení (defaultně) měla zabránit natažení množství spywaru a
adwaru, ale pokud uživatel záměrně nainstaluje nedůvěryhodné spustitelné
soubory, tak vám ve skutečnosti nepomohou ani nejnovější záplaty.

Jasný průnik
Nebylo překvapivé, že to, co jsme zjistili, nebylo o nic méně znepokojivé.
Jediný nainstalovaný "volně dostupný" program PokerParty dokázal na náš počítač
"propašovat" desítky jiných programů. Mnohé z nich existovaly pouze proto, aby
stahovaly další programy, které zase stahovaly jiné programy všechny z různých
webů.
Analýzou jednoho z programů s názvem TopRebater jsme objevili přes 200 různých
odkazů pro další stahování. Pokud jsme se na některý z nich připojili, často se
stáhnul jenom seznam stovek dalších nových odkazů. Snad nejvíce nás ale
znervoznil fakt, že mnohé z těchto linků se jevily, jako že vedou ke zneužitým
počítačům domácích uživatelů.
Malware přicházel do našeho počítače v podobě spustitelných souborů,
kompilovaných souborů nápovědy, HTML aplikací, souborů maskovaných jako
grafika, které byly ve skutečnosti spustitelné, nebo kódovaných webových
stránek a skriptů.
Některé z programů se pokoušely zneužít známých zranitelných míst Windows a
Internet Exploreru (jeden byl navržen pro prohlížeč Mozilla Firefox). Jak se
ukázalo, většina děr byla záplatována, ne však všechny.
Podle očekávání provedly tyto programy desítky modifikací v systému včetně
doplňování do klíče Windows registru, modifikace souborů, posílání e-mailů,
započetí skrytého a šifrovaného IRC messagingu, instalace nových desktopových
ikon a krádeží osobních informací.
Další programy, jako NTLogonCapture a ActMon nacházející se ve freewarových
hrách, rovněž vyhledávaly soubory s hesly, zaznamenávaly je a posílaly do
vzdálených lokalit. Některé z programů nainstalovaly i trojany provádějící
key-logging (záznam stisknutých kláves).
Velmi častým cílem byl Internet Explorer. Malware modifikoval možnosti jeho
nástrojové lišty a vyhledávání, instaloval pop-up reklamy či vnucoval nové
domovské stránky. Jedna z nejzajímavějších technik modifikovala prohlížeč tak,
že klíčová slova napsaná do prohlížeče nebo objevující se na webových stránkách
vedla k zachycení obrazovky.

Závěr
Poučení z této zkušenosti: Dokonce i vaše plně záplatované počítače mohou být
zneužity, pokud je uživatelům dovoleno instalovat nedůvěryhodný software nebo
navštěvovat nedůvěryhodné internetové lokality.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.