Samostatně se aktivující viry
V poslední době se velice silně rozšířil virus BadTrans. V naší redakční poště jsme zaznamenali již několik desítek e-mailů rozeslaných právě tímto virem. Pojďme se podívat na to, jak se tato kategorie virů aktivuje, šíří, co provádí a může provádět s počítačem a v něm uloženými daty a především jak se těmto virům bránit.
Virový pravěk
Počítačové viry se dříve šířily především přes diskety s programy předávané vzájemně mezi uživateli. Tím byla dána relativně nepříliš vysoká rychlost a viry byly podstatně složitější, neboť umístit kód do zkompilovaného programu a zajistit jeho další replikaci je po programátorské stránce rozhodně obtížnější, než napsat několik příkazů pro připojení k adresáři poštovního klienta a rozeslání zpráv na všechny zde nalezené adresy. V tehdejší době v podstatě stačilo zkontrolovat přinesené médium antivirovým programem a byl-li tento pravidelně aktualizovaný, měl uživatel takřka naprostou jistotu, že se mu v počítači neusadí žádný nežádoucí kód.
S nástupem sítí se začali objevovat první červi, kteří se šířili například na sdílené síťové disky a další pracovní stanice. Řešení opět nebylo příliš složité - stačil rezidentní antivir na serveru a všech pracovních stanicích, který permanentně kontroloval spouštěné programy a otevírané soubory. Alfou a omegou byla opět pravidelná aktualizace.
Nastupuje Internet
Doslova boom v oblasti virů přinesl Internet spojující tisíce počítačů po celém světě. Autoři virů začali využívat jisté standardizace v tomto sektoru, který z velké části obsadil prohlížeč Internet Explorer a e-mailoví klienti Outlook a Outlook Express. V takové situaci homogenního prostředí je samozřejmě podstatně jednoduší napsat rutinu fungující na co největším množství stanic, což je jedním ze základních předpokladů pro masové rozšíření viru.
První viry se rozesílaly obvykle jako příloha e-mailové zprávy. Velkou roli v bezpečnosti opět hraje rezidentní antivirový program, který ovšem nemusí postačovat, neboť rychlost rozšíření viru v určité oblasti mohla být vyšší, než aktualizace a uvolnění nové virové databáze. Snadno se tedy mohlo stát, že antivir virus nerozpoznal a uživatel považoval přiložený soubor za bezpečný. Pasivní bezpečnost v podobě rezidentního antiviru tedy přestala stačit a bylo nutné, aby si uživatelé osvojili alespoň základní bezpečnostní návyk neotevírat přílohy e-mailových zpráv, ve kterých odesílatel dostatečně nevysvětluje důvod jejich zaslání.
Začala hra autorů virů s uživateli, kterým bylo nutné "vnutit" otevření přílohy. Princip byl poměrně jednoduchý: vypustit e-mail s tak zajímavým předmětem, textem a názvem souboru, aby uživatel prostě "nemohl odolat" a bez váhání (a bez přemýšlení) otevřel soubor v příloze. Velký "úspěch" v té době zaznamenaly skriptové viry I Love You evokující v uživatelích dojem, že jde o milostný dopis, nebo například Anna Kournikova, kterou bez váhání otevírala zejména mužská část počítačové populace v domnění, že uvidí pikantní obrázek ruské tenistky. Místo milostných dopisů a obrázků si však spustili virus, který provedl předem danou činnost a rozeslal se e-mailem na další adresy spoléhajíc při tom na fakt, že na některých bude podobně zbrklý a nepozorný uživatel.
I dnes se najde velké množství uživatelů, kteří se nechají zlákat a otevírají soubory z e-mailů v domnění, že je poslal někdo, koho znají, ačkoli skutečnost je taková, že odesílatel zpravidla o odeslané zprávě ani netuší...
Aktivace viru bez vědomí uživatele
Samozřejmě nejlepší cestou bylo aby se virus bez vědomí uživatele nejen šířil, ale také aktivoval. I to programátoři virů dokázali - využili totiž bezpečnostní díry umožňující spuštění prakticky jakéhokoli kódu i při pouhém zobrazení zprávy v okně e-mailového klienta. Tuto chybu objevil Španěl Juan Carlos Garcia Cuartango a týká se MS Internet Exploreru 5.01 a 5.5 (výjimkou je MS Internet Explorer Service Pack 2, který má zmíněný problém ošetřen). Problém se samozřejmě dotýká všech aplikací, které s Internet Explorerem spolupracují - tedy mimo jiné i e-mailových klientů. V kostce jde o to, že zprávy ve formátu HTML jsou ve své podstatě zjednodušenými webovými stránkami, které jsou zpracovávány jádrem Internet Exploreru. Ten kromě zobrazení textu také zpracovává přílohy podle jejich typu (tedy například spustí přehrávání zvuku, zobrazí obrázek atd.). Úpravou MIME hlavičky lze dosáhnout nekorektního chování programu a pokud například do přílohy vložíme spustitelný program, není složité vyvolat jeho automatické spuštění během zobrazení zprávy. Co tento program provede je plně v rukách jeho autora - obvyklý je tento scénář:
- uložení spustitelného programu na pevný disk.
- zajištění automatického spuštění při každém startu systému (obvykle přes jednoduchou modifikaci registru v klíči HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run).
- rozeslání e-mailových zpráv s virem dalším uživatelům (nejčastěji jsou tyto zprávy odesílány na všechny adresy z adresáře kontaktů, nebo virus automaticky "odpovídá" na všechny přijaté zprávy).
- vykonání další činnosti (například napadání souborů, uložení a aktivace trojského koně, prohledávání sítě, skenování portů atd.).
Samozřejmou ochranou by měl být antivirový program s pokud možno nejčastější aktualizací. Ideální je automatická aktualizace přes Internet, kterou dnes nabízí drtivá většina produktů.
Velice důležité je také aplikování opravných balíčků (service packů, záplat, patchů, ...) zajišťujících zabezpečení objevených bezpečnostních děr. Záplatu pro výše zmíněný problém vydal Microsoft již před několika měsíci a kdyby si jí uživatelé nainstalovali, neměly by viry typu BadTrans sebemenší šanci. Bohužel situace je taková, jaká je a nevypadá to, že by se v dohledné době nějak radikálně změnila.
Jaký je rozdíl mezi chováním e-mailového klienta s nainstalovanou záplatou a bez ní? Velice zásadní. E-mailový klient bez záplaty při zobrazení zprávy obsahující nekorektní MIME hlavičku spustí bez jakéhokoli dotazu soubor, který je součástí zprávy. Po opravě se program chová tak, jak bychom od něj v případě takového souboru čekali - po otevření zprávy zobrazí standardní dialogové okno s dotazem, zda chcete přiložený soubor otevřít nebo uložit na disk. Správná odpověď je samozřejmě "ani jedno, ani druhé" - stačí stisknout tlačítko Storno, smazat tento e-mail a v zájmu ostatních uživatelů Internetu upozornit jeho odesílatele na skutečnost, že má s největší pravděpodobností v počítači virus.
Záplatu si můžete stáhnout z http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp. Dovolím si ale upozornit na jisté problémy s její instalací, neboť na několika počítačích jsem zaznamenal hlášku, že záplatu není nutné aplikovat, ačkoli realita byla zcela opačná a zaznamenal jsem také informace o tom, že na některých systémech záplata ani po úspěšném nainstalování nefunguje. Další a patrně spolehlivější cestou je samozřejmě instalace posledních service packů, nebo přechod na novou verzi MS Internet Explorer 6.0, která je k dispozici i v české verzi.
Stručná historie samostatně se aktivujících virů
Nejznámější viry, které se aktivují automaticky po zobrazení e-mailové zprávy (data objevení jsou převzata z databáze SARC).
22. květen 2001 - W32.Aliz
Tento maličký internetový červ byl jakýmsi předvojem. Koncem listopadu byla zaznamenána druhá vlna jeho šíření. Virus neobsahuje žádné destruktivní funkce a jeho jediným smyslem je šíření se.
24. říjen 2001 - W32.Toal.A
Toal je podstatně nebezpečnější, protože infikuje spustitelné programy na lokálních a síťových discích, čímž je nebezpečný především pro firemní sítě LAN, kde se může velice rychle rozšířit. Kromě dalších funkcí se také pokouší deaktivovat rezidentní antivirové programy, čímž otevírá bránu pro snadnější průnik dalších virů.
25. říjen 2001 - W32.Klez
Červ pocházející podle informací z Číny. Je zajímavý především tím, že infikuje programy virem W32.ElKern.3326. Ke svému šíření používá kromě elektronické pošty též sdílené disky. Hlavní nebezpečí ovšem tkví ve smazání všech souborů na lokálních i sdílených discích každého třináctého dne v měsíci.
12. listopad 2001 - W32.Nimda.A
Velice propracovaný virus, který dokáže infikovat počítač několika možnými způsoby - kromě standardního rozesílání elektronickou poštou se například umí dostat do systému se spuštěným IIS (náhodně skenuje IP adresy a využívá dříve objevenou bezpečnostní díru), skrze www stránky nebo síť. Kromě mnoha dalších nebezpečí je nepříjemný například tím, že na systémech Windows NT/2000 přidává uživatele Guest do skupiny Administrators, čímž dává těmto uživatelům plná práva. Dá se předpokládat, že tento virus ukazuje směr dalšího vývoje programů pro infiltraci do systémů.
24. listopad 2001 - W32.Badtrans.B
Navazuje na starší variantu, která nevyužívala ke svému spouštění bezpečnostní díru v MSIE. Kromě rozesílání e-mailů zaznamenává a ukládá všechny stisknuté klávesy a odesílá je do Internetu. Přítomnost tohoto viru v počítači poznáte například podle problémů při psaní některých českých znaků.
Užitečná utilitka na závěr
Jestliže si chcete zkontrolovat svůj počítač na přítomnost virů Badtrans, Vote, Sircam, Anna Kournikova, Help, Kak Worm, Navidad, Shell Scrap, Klez, Nimda, FunLove, Cool Notepad, I Love You, Matrix, Pretty Park a Verona, doporučujeme vám ke stažení jednoduchou utilitku od Panda Software velkou necelý 1 MB, která dokáže nejen zdetekovat výše uvedené viry, ale umí je též odstranit. Tento šikovný prográmek není nutné instalovat - stačí jej pouze spustit a během několika vteřin se dozvíte, jak na tom váš počítač vlastně je. Pro jistotu podotýkám, že Panda Quick Remover 1.0 nenahrazuje klasický antivirový program, ale může být praktickým pomocníkem pro rychlou detekci, takže ho ocení například správci systému a pro jednoduchost ovládání též laičtí uživatelé. |