Počítačové viry známé a neznámé

1. 1. 2006

Sdílet

2. díl: E-mailový červ, starý dobrý známý Pokud alespoň občas používáte elektronickou poštu, jistě jsou e...


2. díl: E-mailový červ, starý dobrý známý


Pokud alespoň občas používáte elektronickou poštu, jistě jsou e-mailoví červi vaši staří dobří známí. Určitě jste se již někdy setkali s podezřele vypadajícím e-mailem, který obsahoval přiložený soubor a text (nejspíše v angličtině), jenž se vás snažil přesvědčit, abyste jej spustili. Pokud jste se tímto způsobem už někdy nechali zmást a přiložený soubor spustili, pravděpodobně se vaše PC stalo domovem minimálně jednoho škodlivého kódu a zdrojem dalších infikovaných e-mailů předávaných všem, jejichž e-mailové adresy byly tehdy na disku k dispozici.
Pokud chcete proniknout e-mailovým červům takříkajíc "pod kůži", určitě se vám některé informace uvedené v tomto článku budou hodit.

Co to vlastně je?

Jako e-mailového červa označujeme škodlivý kód, který nepotřebuje hostitelskou aplikaci a ke svému šíření zneužívá prostředky elektronické pošty. Bez čeho se ale typický e-mailový červ neobejde, je "spolupráce" uživatele. Ten totiž většinou musí červa z přiloženého souboru spustit nebo alespoň infikovaný e-mail otevřít, aby se červ mohl spustit sám automaticky např. pomocí bezpečnostní díry.

Kolik jich je?

Není tomu tak dávno, kdy byli e-mailoví červi naprosto dominantním druhem škodlivých kódů. Statistiky z let 2001 až 2003 ukazují, že představovaly asi 80 až 90 % celkového objemu veškerých škodlivých kódů. Tato jejich naprostá převaha kulminovala někdy v roce 2004, od té doby jsou již poněkud na ústupu. E-mailoví červi ale svoje "místo na výsluní" neopouštějí. V porovnání s jinými druhy škodlivých kódů je jich stále více než dost...
Co se výskytu e-mailových červů týká, zajímavé údaje najdete například na www.messagelabs.com nebo na www.virovyradar.cz. Statistiky Messagelabs vycházejí z velice slušného vzorku dat, který pochází od řady velkých firem a korporací, jejichž poštovní servery tato firma chrání. Je ale třeba podotknout, že jiné než e-mailem šířené škodlivé kódy zde nenajdete a tato statistika je tedy do jisté míry zkreslená. Podobně je na tom Virový radar, který údaje pro svoji statistiku bere z freemailového serveru Seznam.cz.

Cesta k dokonalosti

Schopnosti a možnosti e-mailových červů jsme na vlastní kůži poznali už někdy v roce 1999. Jedním z prvních škodlivých kódů, který se opravdu masivně šířil prostřednictvím elektronické pošty, byla v březnu uvedeného roku Melissa. Jednalo se o makrovirus, který dokázal infikovat wordovské dokumenty. Šířil se pod rouškou souboru LIST.DOC, který obsahoval přístupová hesla některých webů s poněkud "choulostivým" obsahem. Pokud sexu chtivý uživatel neodolal a infikovaný dokument otevřel, došlo k nakažení jeho počítače a rozeslání tohoto dokumentu na prvních padesát kontaktů z adresáře poštovního klienta.
Daleko známější kauzou spojenou s e-mailovými červy byl notoricky známý LoveLetter (alias ILoveYou, Lovebug...), který se na internetu poprvé objevil v květnu roku 2000. Jednalo se o poměrně jednoduchý univerzální škodlivý kód vytvořený ve VBS, původem z Filipín. Neměl problémy s lokalizovanými verzemi operačních systémů, s jazykovými bariérami ani s různými verzemi operačních systémů. Text infikovaného e-mailu byl vytvořen přesně v duchu zásad sociálního inženýrství. Dvojité přípony přiloženého souboru (LOVE-LETTER-FOR-YOU.TXT.vbs) si uživatel buď nevšimnul, nebo se mu díky nastavení Windows (nezobrazovat přípony souborů známých typů) vůbec nezobrazila. Jako jeden z mála e-mailových červů s sebou LoveLetter nesl také škodlivou rutinu mazal soubory s obrázky ve formátu JPG a JPEG, čímž zarmoutil mnohé jejich sběratele. Jeho rozšíření po celém světě trvalo asi tři hodiny. Inu, každý chtěl vědět, proč ho někdo, často naprosto neznámý, tak miluje...
E-mailoví červi známí v počátcích své krátké historie ke svému šíření zneužívali takřka výhradně prostředky e-mailového klienta, instalovaného na infikované stanici. Kontakty shromážděné v rámci tohoto klienta byly často jediným zdrojem adres dalších potencionálních obětí. Postupem času se e-mailoví červi od této závislosti oprostili. Nejprve se naučili hledat e-mailové adresy v souborech různých typů na disku infikovaného počítače, posléze do své výzbroje přibraly i vlastní jednoduché poštovní klienty (tzv. SMTP motory), jejichž prostřednictvím nyní infikované soubory nejčastěji rozesílají.

E-mailový červ současnosti

Dnešní typický e-mailový červ se vyznačuje řadou charakteristických vlastností. Šíří se pomocí infikovaného e-mailu, jehož text je vytvořen v souladu se zásadami sociálního inženýrství. Tento e-mail v podstatě vždy obsahuje falešnou adresu odesílatele. Červ jednoduše dosadí některou z adres nalezených na disku infikovaného počítače. Dnes už tedy nemá absolutně žádný význam odpovídat na infikované e-maily upozorněním, že je odesílatel infikovaný. Stejně tak se nemusíte divit, pokud vám přijde infikovaný e-mail od vás samotných. E-mailový červ může kromě "standardní" zdvojené přípony používat i velký počet mezer mezi "falešnou" a "skutečnou" příponou, což má podobný efekt, jako když je systém nastaven na nezobrazování přípon souborů známých typů.
Poslední dobou se stále častěji setkáváme s tím, že soubor s červem je jaksi navíc "zabalen" v ZIP archivu, který může být šifrován heslem. Tímto úhybným manévrem se snaží zkomplikovat práci antivirovým programům, kontrolujícím elektronickou poštu na serverech, a zvýšit tak svoje šance na úspěšné proniknutí k adresátovi. Navíc mu to poskytuje další prostor pro využití sociálního inženýrství: "...posílám ti něco tajného, tak jsem to raději zašifroval...". Názorně je vývoj této metody vidět u jednotlivých variant červů Bagle. Ten se nejprve šířil jako "klasický" spustitelný soubor. Pozdější varianty už začínají využívat ZIP archiv. Od verze F už Bagle používá archiv zajištěný heslem, uvedeným v textu e-mailu, od verze N pak archiv zajištěný heslem, přičemž toto heslo je vloženo v e-mailu jako obrázek.
V praxi je až nevídané, v kolika procentech případů tento jednoduchý trik funguje vzpomeňte si třeba na epidemii e-mailového červa Mydoom v lednu roku 2004. Ten v době vrcholící epidemie představoval asi 95 % všech zachycených e-mailových infiltrací a byl zdrojem desetiny veškerého světového e-mailového provozu. Mydoom s přehledem překonal předchozího rekordmana Sobig.F. Přitom by ale úplně stačilo, kdyby se uživatelé zamysleli nad logikou věci: "Proč je heslo, které je klíčem k tajným informacím, uloženo ve stejném e-mailu, kde se nachází i šifrovaná příloha? Není to podezřelé?"

Sociální inženýrství

Jako sociální inženýrství označujeme soubor technik, kterými se např. hackeři snaží uživatele přesvědčit, aby spustili nějaký soubor, sdělili jim informace o konfiguraci PC, řekli jim svoje heslo apod. Je to metoda, která umožňuje získávat informace cestou nejmenšího odporu místo pracného hledání si o ně útočník prostě řekne. Jinak řečeno: "Amateurs hack systems, professionals hack people" (volně přeloženo: "Amatéři se nabourávají do systémů, profesionálové se nabourávají přímo do lidí").
Útočníci se snaží zneužívat zejména faktory, jako je stres (mám tady na drátě zákazníka...), nebezpečí (mám podezření na útok...), změna identity (tady náměstek ředitele...), důvěryhodná činnost (opravujeme vaši počítačovou síť a...) atd. Tyto útoky jsou velmi nebezpečné zejména proto, že mohou přijít prakticky odkudkoliv, útočník bývá obvykle dobře připraven a samotný útok je velmi často přizpůsoben konkrétnímu cíli.

SMTP motor

Označení komponenty, která má na starosti odesílání e-mailu pomocí Simple Mail Transfer Protokolu. U e-mailových červů se jedná o velice jednoduché nástroje, které dokáží realizovat pouze nezbytné služby.

VBS

Visual Basic Skript jednoduchý skriptovací programovací jazyk. Aby škodlivý kód vytvořený pomocí VBS fungoval, musí operační systém obsahovat komponentu Windows Scripting Host, která je součástí operačních systémů počínaje Windows 2000 a Windows 98, nebo může být nainstalována současně s balíkem Office 2000 či prohlížečem Internet Explorer od verze 5.

Co je správně "červi" nebo "červy"?

Také nevíte, podle jakého vzoru skloňovat "počítačového červa"? Přestože všechny dosavadní jazykové příručky charakterizují slovo "červ" jako podstatné jméno rodu mužského životného, je třeba přihlédnout k tomu, že tyto příručky zatím neuvažují o "počítačovém červu". V tomto významu je skloňování slova "červ" rozkolísané, podobně jako např. u slova "počítačový agent" (v množném čísle "počítačoví agenti" i "počítačové agenty"). Neměli bychom tedy především směšovat životnost a neživotnost a správně psát např. "sužují nás počítačoví červi" (podle vzoru pán) nebo "sužují nás počítačové červy" (podle vzoru hrad). (Podle odpovědi na dotaz položený Ústavu pro jazyk český.)Další typickou vlastností dnešního e-mailového červa jsou pokusy o maskování instalace do infikovaného systému. Pěkným příkladem je třeba e-mailový červ Swen, který se maskuje za bezpečnostní aktualizaci Microsoftu. Kromě vhodně formulovaného a graficky velmi zdařile vyvedeného e-mailu používá několik dialogových oken, simulujících instalaci domnělé bezpečnostní záplaty. Zajímavé je, že se do systému skrytě instaluje i tehdy, pokud uživatel "aktualizaci" v prvním dialogovém okně červa ukončí.
Pokud je e-mailový červ spuštěn, první věc, kterou zpravidla podnikne, je kopírování svých souborů na disk počítače (zpravidla někam do systémových adresářů Windows). Aby byl následně spouštěn současně s operačním systémem, vytváří si v systémovém registru klíče, které to zajistí.
Když se červ v systému zabydlí, začíná provozovat další činnosti. Jednou z nich je sbírání adres využitelných k dalšímu šíření. Zpravidla skenuje obsah všech lokálních disků a hledá soubory s určitými příponami, u nichž je pravděpodobné, že mohou obsahovat e-mailové adresy (HTML, HTM, TXT, DOC, RTF, WAB apod.). Někteří červi dokáží využít i nalezená doménová jména (třeba aec.cz) a zkoušejí je doplňovat různými jmény do formy e-mailové adresy (georg@aec.cz). Poměrně rozšířenou funkcí je filtrování nalezených e-mailových adres tak, aby se mezi adresáty infikovaných e-mailů nedostaly např. antivirové firmy, administrátoři, univerzity apod.
Jak jsem si už uvedli, červi dříve zneužívali k rozesílání infikovaných e-mailů přímo e-mailového klienta na infikované stanici. Dnes už se tento způsob vyskytuje jen sporadicky. Drtivá většina červů disponuje vlastním SMTP motorem, s jehož pomocí obsah infikovaných e-mailů generuje a rozesílá.
Pokud se již e-mailovému červu podaří systém infikovat, snaží se v něm udržet co nejdéle a zůstat utajen. Proto zpravidla podniká některé aktivní kroky směřující proti antivirovým programům, případně proti dalším bezpečnostním aplikacím. Snaží se ukončovat jejich spuštěné procesy, maže jejich klíče v systémovém registru nebo přímo soubory na disku, prostě "otupuje jejich zbraně". Případně může blokovat některé součásti systému, které by mohly jeho existenci ohrozit (např. editor registru).
A aby toho nebylo málo, velmi často se navíc ještě snaží na infikovaný počítač instalovat další škodlivé kódy typu zadní vrátka, trojský kůň, keylogger apod., případně z něj dokáže udělat tzv. zombie, tedy počítač zneužitelný na dálku pro šíření spamu nebo jiné nelegální činnosti. E-mailový červ tedy přestává být primárním cílem svého tvůrce a je využíván "pouze" jako prostředek pro šíření jiných škodlivých kódů, které jsou často daleko přesněji cíleny na konkrétní oběť.

A co dál?

Předpovídat nejbližší vývoj e-mailových červů je poměrně obtížné. Můžeme očekávat, že s tím, jak se neustále zdokonalují antivirové nástroje pro ochranu elektronické pošty a kontrolu jejího obsahu, bude úspěšnost této formy škodlivých kódů postupně klesat. Jejich autoři budou zcela jistě hledat způsoby, jak tato úskalí obejít (důkazem je např. používání šifrovaného archivu ZIP), s určitostí ale nelze odhadnout, do jaké míry se jim to bude dařit.
E-mailoví červi již zenitem své "kariéry" pravděpodobně prošli. Jejich technologie se nijak výrazně nevyvíjí, ani neabsorbuje žádné výrazné novinky. Jednotlivé exempláře si jsou podobné jako vejce vejci. Možná to bude znít poněkud troufale, ale pokud si e-mailoví červi chtějí svoji "pozici na trhu" udržet, budou se muset inspirovat např. u síťových červů a začlenit do svého repertoáru třeba využívání bezpečnostních děr.
Doufejme ale, že se tak nestane a my se v budoucnu budeme moci při užívání elektronické pošty cítit relativně bezpečně...