Stále chytřejší viry

Ten člověk už vyrábí viry sedm let. Říká si Melhacker a je možné, že je zodpovědný za epidemii Bugbearu, který b...


Ten člověk už vyrábí viry sedm let. Říká si Melhacker a je možné, že je
zodpovědný za epidemii Bugbearu, který byl v minulém roce druhým nejčastějším
červem na internetu. Nyní tvrdí, že pracuje na novém viru, kterému pracovně
říká Scezda a který má znamenat novou významnou hrozbu.
Tak, jak Scezdu popisuje, spadá tento "produkt" do nové kategorie tzv.
megačervů, které kombinují vlastnosti některých z nejrozšířenějších červů a
virů, jako jsou Sircam, Klez nebo Nimda. Tento megačerv používá generátor
náhodných čísel pro to, aby určil, jak dlouho zůstane skrytý v napadeném
systému. Potom také náhodně zvolí jednu z mnoha metod, jak se rozmnožit.
Uvedené vlastnosti jsou základem současných megačervů obecně, přičemž
megačervem někteří odborníci nazývají komplikovaný polymorfní škodlivý kód,
který se spoléhá na různé metody rozmnožování.

Dnešní problémy
V minulém roce zaregistrovali výzkumníci z firmy Sophos dohromady 7 189 nových
virů, červů a trojských koní, takže je dnes na světě dohromady již více než 78
000 takových kódů. Virové laboratoře Sophosu přitom průměrně vyrobí detekční
procedury pro více než 25 nových virů denně.
V roce 2002 bylo devět z deseti virů, které odhalily hlavní firmy zabývající se
ochranou proti virům, takových, které se šířily hromadnými e-maily a využívaly
známých nedostatků v aplikačním programovém rozhraní ve Win32. A 87 % všech
zpráv o infekci se týkalo virů pro Windows.
"Počet červů, které využívají známé nedostatky, se neustále zvyšuje," říká
Vincent Weafer, ředitel skupiny Symantec Security Response. "To je významné v
tom, že se poněkud vzdalujeme od minulé módy zneužívání sociálního inženýringu."
Nejdůležitějším nedostatkem zneužitým v minulém roce byla tzv. zranitelnost
MIME (malformed MIME vulnerability), poprvé objevená v roce 2001. I když byla
záplata dostupná víc než rok, viry a červi mohli využít tuto zranitelnost na
počítačích, u nichž záplata ještě nebyla aplikována, a automaticky spustit
virus, když se uživatel podíval na e-mail v náhledovém okně. "Brid, Bugbear,
Nimda a Klez všechny využívají tohoto nedostatku,"říká Weafer.
"Dnes je hranice mezi červy a viry dost nejasná, protože ,úspěšné napadení má
charakteristiku obou a šíří se přes internet," říká Dan Ingevaldson, vedoucí
skupiny
X-Force firmy Internet Security Systems. "Nejúspěšnější červi se chovají jako
švýcarský armádní nůž dostanou se všude, protože se šíří mnoha různými
ověřenými metodami, jako je hromadný e-mail, nedostatky webových serverů nebo
technologie peer-to-peer."

Evoluce virů
Podle pracovníků z výzkumu se v blízké budoucnosti uživatelé i firmy budou
muset vypořádat s viry, které zvládnou stále dokonalejší metody utajení a nesou
s sebou stále větší destruktivní schopnosti. Struart Stanford, ředitel
společnosti Silicon Defence, naznačil v nedávné výzkumné studii nastupující
hrozbu tajných červů, které se šíří pomaleji, ale zato takovým způsobem, aby je
bylo možno jen těžko detekovat. "Prokázali jsme, že takovýto červ by dnes mohl
narušit až 10 milionů internetových hostitelů," poznamenává Stanford.
Výzkumní pracovníci týmu AVERT (AntiVirus Emergency Response Team) firmy McAfee
Security říkají, že se setkali s virem, který využil technologie ADS (Alternate
Data Streams) souborového systému NTFS, která umožňuje, aby data byla uschována
v neviditelných souborech spojených s viditelnými soubory NTFS, a nemohou být
smazána bez mazání samotných souborů NTFS.
Uživatelé, kteří nemají povolení zapisovat do souboru, k němu ADS přidat
nemohou. A i když ochrana souborů Windows zavedená ve Windows 2000 brání
hackerům měnit chráněné systémové soubory, nebrání autorizovaným uživatelům,
aby k nim přidali ADS spolu s tajným, spustitelným kódem.
Hlavním úkolem ADS je umožnit kompatibilitu se soubory systému počítačů
Macintosh. Ale v září roku 2000 našli ve firmě McAfee virus jménem
Win2K.Stream, který se schovával právě v ADS. "Tento přístup funguje, protože
většina antivirových produktů neskenuje charakteristiky ADS," říká Vincent
Gullotto, viceprezident skupiny AVERT. Firma McAfee ovšem okamžitě po zjištění
prvního viru tuto schopnost do svých produktů přidala. Gullotto však podle
vlastních slov až dodnes neviděl další příklad tohoto přístupu.

Co chtějí
Mění se také záměry tvůrců červů a virů. V minulosti většina virů a červů
prostě ničila data. Ale nyní se začíná ukazovat, že se mistři zákeřných kódů
snaží data krást. "Vidíme, že vývoj postupuje směrem k získávání dat," říká
Gullotto. "Minulý rok tu byl např. Sircam, který náhodně bral dokumenty ze
složky Dokumenty."
Weafer z firmy Symantec souhlasí. "Výsledky napadení se změnily z ničení dat na
aplikaci trojských koní a kompromitaci počítačů, spolu s posíláním informací
ven ze stroje do sítě," říká. "Své bezpečnostní záplaty je skutečně třeba si
aktualizovat."
Chris Wraight, technologický konzultant v Sophosu, upozorňuje, že uživatelé
budou červy ve formě kombinovaných koktailů odstraňovat mnohem obtížněji než
běžné škodlivé kódy. Takový červ podle něj může dopravit do počítače trojského
koně nebo jiný virus, případně se může při nějaké příležitosti duplikovat.
Takže, jenom proto, že jste našli nějakou infekci a odstranili jste ji, si
ještě nemůžete být jisti, že jste objevili vše, a jste tedy v bezpečí.

Výhledy
I když převážná většina červů a virů je prozatím napsána tak, aby využívala
známé nedostatky platformy Windows, někteří výzkumní pracovníci varují
uživatele Linuxu a Unixů obecně, aby si také dali pozor. Například zářijová
epidemie červa Slapper na Linuxu infikovala více než 20 000 strojů a mohla být
podle Weafera použita k útoku typu odepření služby (DoS, Denial of Service). "V
obchodním světě neustále mícháme systémy Linux a Windows," říká. "Ti, kteří
mají systémy Linux a Unix, předpokládali, že jsou imunní. Teď víme, že to není
pravda," dodává.
Hlavním terčem pro některé autory virů a červů se může stát také framework .Net
od Microsoftu. I když mají zatím .Net framework nainstalovaný jenom uživatelé,
kteří používají Windows XP a Service Pack 1, tvůrci virů se dívají do
budoucnosti. A to je právě ta potíž. Je totiž třeba se snažit nalézt správnou
rovnováhu mezi akcí proti nynějším ohrožením a myšlením na hrozby budoucí.
"Nejlepší ochrana právě teď i v budoucnu je prostě být opatrný," říká Weafer.
"Všímejte si bezpečnostních aktualizací a vypínejte nepotřebné služby," radí.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.