Poznaj swojego wirusa

Ostatnio programy antywirusowe przestały wystarczać do zabezpieczenia systemu przed złośliwymi atakami. Jedną z metod powstrzymania epidemii jest jej aktywniejsze zwalczanie. Wyjaśnimy, jak działają wirusy, jak rozpoznać infekcję i jak wyleczyć swój system.

Ostatnio programy antywirusowe przestały wystarczać do zabezpieczenia systemu przed złośliwymi atakami. Jedną z metod powstrzymania epidemii jest jej aktywniejsze zwalczanie. Wyjaśnimy, jak działają wirusy, jak rozpoznać infekcję i jak wyleczyć swój system.

Pomimo wielu poniesionych szkód nie traktujemy wirusów i im podobnych szkodników wystarczająco poważnie. Przypominamy sobie o ich istnieniu z wiadomości dziennika i rozmawiamy o tym następnego dnia w pracy. Informacje w mediach najczęściej wywołują wśród użytkowników strach, chociaż nie trzeba być wielkim guru od ochrony, aby choć trochę się zabezpieczyć przed zarażeniem. Także do przeprowadzenia dezynfekcji nie trzeba być geniuszem. Zamiast chować się za tarczą Norton AntiVirusa znalezionego w pudle z komputerem, warto zrobić coś więcej dla zwalczania tego paskudztwa. Wytłumaczymy, jak zostać wirusowym zabójcą.

Anatomia ataku

Oprogramowanie antywirusowe działa reaktywnie. Wpierw identyfikuje się szkodnika, potem powstaje uodparniająca szczepionka. Lekarstwo powinno jak najszybciej znaleźć się w jak największej liczbie komputerów, aby zdążyć przed wirusem. Skuteczność takiego sposobu działania zależy od tempa przygotowania i rozesłania szczepionki, a także od szansy aktualizacji oprogramowania antywirusowego przez producenta. Kiedy wirusy podróżowały na dyskietkach, taki model ochrony gwarantował wystarczające zabezpieczenie. Sytuacja zmieniła się wraz z upowszechnieniem Internetu. Coraz wyraźnej widać, że za jego pomocą wirusy rozprzestrzeniają się szybciej niż mogą zareagować producenci szczepionek. Skuteczność ochrony reaktywnej ciągle maleje.

Wirusy mnożą się wykładniczo. Jest tak bez przerwy od roku 1995, kiedy zaczęto je rejestrować w laboratorium McAfee. Ten wzrost jest głównie spowodowany wyjściem Internetu poza mury uniwersytetów i dotarciem do każdego prawie mieszkania w rozwiniętym świecie. Najlepszym sojusznikiem autorów wirusów stała się poczta elektroniczna. Minęło wiele lat od czasów, kiedy dyskietki przestały być największym zagrożeniem dla zdrowia komputera. O wiele wygodniej wysłać wiadomość pocztą elektroniczną nawet z sąsiedniego mieszkania czy biurka. Łatwo przesyłkę ozdobić jakimś załącznikiem, który jest natychmiast otwierany przez odbiorcę pomimo bezustannych apeli o ostrożność.

Nie tylko na załączniki i pocztę powinniśmy uważać. Wirusy szukają drogi do nas, używając wypróbowanych i pewnych metod z repertuaru producentów oprogramowania, które uważasz za zabezpieczone. Najwięcej jest teraz robaków internetowych, podobnych do ich protoplasty wypuszczonego w świat w celach naukowych siedemnaście lat temu. Połącz wirusa z siecią i oprogramowaniem, które ma wady w systemie zabezpieczeń, a otrzymasz takiego robaka, jakiego napisał Robert T. Morris na Uniwersytecie Cornella w roku 1988.

Jeśli chciałbyś zebrać trochę doświadczeń z pierwszej ręki, możesz wyłączyć osobistą ochronę antywirusową i połączyć się z Internetem przez jednego z darmowych dostawców. Zwykle wystarczy kilka minut, aby doświadczyć wątpliwej przyjemności bezpośredniego obcowania z Blasterem albo jego krewniakiem. Wirusy pocztowe są także bardzo rozpowszechnione, bo przemieszczają się tak szybko, że producentom oprogramowania antywirusowego zdarza się nie uaktualnić na czas zabezpieczeń zarówno systemów pocztowych, jak i programów na pecetach. Nie dosyć tego, bardzo łatwo pobrać i zainstalować sobie podstępnego szpiega, który częściowo przejmuje władzę nad twoim komputerem i z tej perspektywy jest tak samo niebezpieczny, jak prawdziwy wirus. Poza innymi szkodami, podobnie jak pozostałe robactwo, zmniejsza wydajność systemu.

Poznaj swego wroga

Trudno pogodzić się z tym, że nawet osoby znające się na zabezpieczeniach, profesjonalni użytkownicy pecetów, od czasu do czasu mogą stać się ofiarą wirusa. W tym artykule rozejrzymy się za możliwymi zabezpieczeniami. Nie mamy zamiaru poprzestać na zalecaniu instalacji antywirusa i jego regularnym uaktualnianiu, bo to już nie gwarantuje wystarczającego bezpieczeństwa. Aby mieć lepszą ochronę, trzeba poznać atakującego i słabe strony zabezpieczeń. Odkryjemy rozmaite sposoby dostania się do komputera, stosowane przez wirusy, nauczymy dostrzegać, że atak nastąpił, powiemy, jak opanować sytuację i co zrobić, aby się nie powtórzyła.

Złapać wirusa

Obecnie najbardziej prawdopodobne są dwa sposoby infekcji: przez automatycznego robaka internetowego i przez robaka pocztowego. Drugi z nich uruchamia się z pomocą użytkownika, ale robaki internetowe mogą zarazić system i rozpowszechniać się całkiem samodzielnie. Większość z nich do inwazji wykorzystuje słabe punkty systemu Windows. Bez czynnego firewalla każdy system podłączony do Internetu żyje na kredyt. Do pierwszego zarażenia wystarczy czas raczej liczony w minutach niż kilka dni.

O trudach walki z wirusem świadczy przykład robaka o nazwie Lovsan. Historia zaczyna się w lipcu 2003 roku, kiedy Microsoft ogłosił znalezienie dziury i opracowanie łaty do swoich systemów operacyjnych Windows NT, 2000 i XP. Dziura tkwiła w części oprogramowania, usłudze Remote Procedure Call (RPC). Wykorzystując ten błąd, atakujący z zewnątrz mógł uruchomić własny kod nie tylko na komputerach udostępniających zasoby przez Internet Information Server (IIS) Microsoftu, ale też na innych, wyposażonych w system operacyjny z jądrem pochodzącym od NT. Prawie każdy niezabezpieczony firewallem komputer mógł zostać zhakowany.

W ciągu następnego miesiąca wirus przegalopował przez sieci, zarażając cały Internet. Poza zarażaniem innych komputerów dziury w module RPC zostały wykorzystane do przeprowadzenia z zainfekowanych maszyn skoordynowanego ataku na serwery Microsoftu udostępniające usługę Windows Update. Kiedy wirus wykradał ich pasmo, użytkownicy doświadczali załamywania się systemów albo wyjątkowego zwolnienia połączenia z Internetem. Walkę z robakiem podjęło bardzo wielu internautów z ważniejszych i mniej istotnych węzłów sieci. Instalacja zapór internetowych zapobiegała rozprzestrzenianiu się wirusa, łaty z Microsoftu uodparniały nie tylko na ten rodzaj, ale i na cały tłum podobnych wirusów typu Blaster. Pomimo to zarażone komputery znajdywano jeszcze po roku od dnia ataku.

Wirus stale zaskakuje

Instalacja internetowego skanera. Zaczynamy od ActiveX.

Instalacja internetowego skanera. Zaczynamy od ActiveX.

Automatyczne wirusy internetowe, zanim zostaną unieszkodliwione, przechodzą przez fazę wzrostu i upadku, w miarę jak systemy komputerowe podlegają zarażeniu, wyczyszczeniu i aktualizacjom. Byłoby naiwnością liczyć na kompletną likwidację zjawiska, ślady najlepszych fragmentów kodu wirusów znajduje się w coraz to nowych odmianach. Kolejne wersje NetSky, MyDoom czy Swen regularnie okupują najwyższe miejsca w statystykach firm antywirusowych w kategorii wirusów pocztowych.

Automatyczne robaki Sasser i Korgo, które wykorzystują dziury w Local Security Authority Subsystem Service (LSASS), zostały przebojami poprzedniego sezonu.

Pomimo bezustannego nawoływania do czujności podczas otwierania załączników pocztowych najwięcej infekcji rozpowszechnia się właśnie tą drogą. Mało kto wie, że wirus może się ukryć w niewinnym JPEG-u czy raporcie ze spotkania w formacie DOC. Nieostrożni i niedoinformowani potrzebują programów antywirusowych. Przecież trudno postulować likwidację pożytecznego i popularnego dodatku do korespondencji, którą są załączniki, albo oczekiwać od przeciętnego użytkownika poczty umiejętności analizy prawdopodobieństwa znalezienia się tam złośliwego konia trojańskiego.

Samo wykształcenie, doświadczenie i profesjonalizm nie gwarantują bezpieczeństwa. Wręcz przeciwnie, mogą stać się źródłem zgubnej pewności siebie. Jednemu z dziennikarzy komputerowych przydarzyła się przygoda z robakiem Prolin, podobnym do lepiej znanej Melissy. Od dobrze sobie znanej firmy, obsługującej dziennikarzy z jednej i producentów oprogramowania z drugiej strony, otrzymał wiadomość, a w niej tekst "Nowy film Shockwave flash" i załącznik nazwany creative.exe. Firmę znał bardzo dobrze i niejednokrotnie otrzymywał od niej podobnie zatytułowane dodatki multimedialne. Nie zapaliło się w porę czerwone światełko. Otworzył załącznik i była to ostatnia czynność wykonana w tej instalacji systemu operacyjnego. Pecha miał podwójnego. Robaki raczej nie niszczą systemu, którego używają do rozpowszechniania się. Gdyby regularnie uaktualniał program antywirusowy, zaoszczędziłby sobie pracy przy powtórnej instalacji wszystkich programów. Niestety, dokumenty i dane z twardego dysku odeszły w siną dal na zawsze. Morał z tej historii wynika podwójny. Nie tylko należy uważać przy każdym załączniku, ale także nie wierzyć, że ostrożnością da się zastąpić regularne backupowanie i aktualizację programów antywirusowych.


Zobacz również