Czym jest robak i jak go rozpoznać?

W przeciwieństwie do wirusów i trojanów, robaki nie wymagają Twojej aktywności do rozprzestrzeniania się.


Robak - definicja

Robak jest formą malware, która działa na zasadzie samodzielnej aplikacji, mającej zdolność do replikowania się i rozsyłania pomiędzy urządzeniami. Działa całkowicie autonomicznie, nie potrzebując podczepiać się do żadnego pliku lub przejmowania kodu. Często używa tych elementów systemu operacyjnego, które są automatyczne i niewidoczne dla użytkownika, dlatego bardzo ciężko zauważyć jego działanie w praktyce. Generalnie wirusy wykorzystują znane luki w systemach operacyjnych, które wykorzystują w celu ominięcia zabezpieczeń i zagnieżdżenia się. Robaki są to najbardziej destruktywne, a jednocześnie najbardziej rozpowszechnione szkodniki.

Czy robak to wirus?

Robak a wirus - często określenia te używane są zamiennie, ale to dość duże uogólnienie. Wirusy komputerowe nie są to samodzielne programy, ale fragmenty kodu, które "wstrzykują się" w inne aplikacje. Gdy zainfekowana aplikacja jest uruchamiana, wraz z nią wykonywany jest kod, co skutkuje dziesiątkami efektów - od spowolnienia pracy systemu po kasowanie z niego danych. Robak to nieco ulepszone rozwiązanie - podobnie jak w przyrodzie, nie jest duży, ale ma zdolność do replikacji oraz przemieszczenia w środowisku.

Robak a trojan — robak jest pewną firmą trojana, czyli oprogramowania udającego pożyteczną aplikację, aby wyrządzić szkody lub doprowadzić do przejęcia komputera. Jednak po instalacji żyje własnym życiem, nie wymagając od użytkownika żadnych interakcji. Często używa się okreslania "wirusy" na robakia, a czasami nawet klasyfikuje się je w kategorii worm viruses. Jak się nie pogubić? Należy przede wszystkim pamiętać, że jeśli szkodnik potrafi się samoczynnie replikować i rozprzestrzeniać - jest to robak.

Jak działa robak?

Robaki komputerowe korzystają z najgłębszych i i najgroźniejszych luk na maszynie ofiary. Tam, gdzie trojany używają inżynierii socjalnej, aby oszukać użytkownika i skłonić go do uruchomienia aplikacji, a wirus korzysta z luk w ich kodzie, robak sam znajduje swoją niszę, aby się zainstalować i kopiować. Gdy już to zrobi, wyszukuje również luk w sieci i protokołach odpowiedzialnych za transfer plików. Używanie robaków przez cyberprzestępców to miecz obosieczny - udane wprowadzenie szkodnika do komputera ofiary umożliwia jego pełne przejęcie i dostęp do innych maszyn podpiętych do tej samej sieci. Jednak po aktualizacji, która likwiduje wykorzystywaną lukę, robak znika - a akcja taka może mieć miejsce w każdej chwili, więc przestępca nigdy nie wie, jak długo szkodnik mu posłuży. A przynajmniej tak jest... w teorii, ponieważ zarówno firmy, jak i użytkownicy prywatni, bardzo często odkładają aktualizację swoich systemów operacyjnych na później, dzięki czemu robak ma dłuższy czas życia.

Jak rozprzestrzenia się robak komputerowy?

Robak NotPetya uderzył w systemy komputerowe w 2017 roku i jest dobrym przykładem na to, jak szkodnik tego typu może się rozprzestrzeniać. Pojawił się po raz pierwszy na serwerze firmy M.E.Doc, produkującej oprogramowanie do rozliczeń podatkowych wykorzystywanych w Ukrainie. Wprowadzony został tam za pomoca backdoora znajdującego w pliku ZvitPublishedObjects.dll - odpowiadał on za złośliwe aktualizacje oprogramowania. Jak się powszechnie uważa - za jego wpuszczenie na serwer odpowiadają opłacani przez władze Rosji hakerzy. Po dostaniu się na komputery ofiar, robak rozprzestrzeniał się dalej, korzystając z połączeń wychodzących z komputerów. Co więcej, sprawdzał, z jakimi serwerami dana maszyna łączyła się w przeszłości i również korzystał z tych kanałów, aby się rozprzestrzeniać. Pomagały mu w tym dwa epxloity - EternalBlue oraz EternalRomance, wynalezione przez... NSA, które zostały wykradzione z baz danych agencji. Choć Microsoft wypuścił łatki, uniemożliwiające ich użycie, nie wszystkie systemy zostały za ich pomocą zaktualizowane. Co więcej NotPetya używała Mimikatz - exploita, pozwalającego znaleźć pary nazwa użytkownika/hasło w pamięci systemu operacyjnego Windows, gdzie powinny być bezpiecznie przechowywane.

Jakie szkody może wyrządzić robak?

Co ciekawe, robak może nie wyrządzać żadnych szkód. W początkach współczesnych komputerów były tworzone po to, aby identyfikować luki w oprogramowaniu. Poza replikacją (przeprowadzaną w tle) nie robiły niczego więcej, a jedynym objawem ich obecności była sytuacja, w której robak wykonał zbyt wiele swoich kopii - wówczas system zaczynał zauważalnie spowalniać. W miarę coraz lepszych zabezpieczeń systemów, liczba robaków znacznie spadła, ale nie zniknęły. Jednak dzisiaj są one bardziej groźne - ich kod został rozbudowany tak, że nie tylko reprodukują się i rozprzestrzeniają, ale również mogą wykonywać szereg innych działań. Na przykład robak Mydoom, który grasował w sieci w 2004 roku, otwierał "furtkę" w zabezpeiczeniach, przez którą atakujący mógł przejąć kontrolę nad systemem. Obecnie wykorzystywane są najczęściej w takich właśnie celach.

Istnieje wiele gatunków robaków, podzielonych ze względu na zakres szkód, jakie mogą wyrządzać na maszynach ofiar. Niektóre zmieniają je w "zombie", wchodzące w skład botnetów i za ich pomocą przeprowadzają ataki DDoS, inne wykradają ważne informacje, jak hasła i loginy, inne z kolei umożliwiają przeprowadzenie ataku ransomware. NotPetya to właśnie przykład takiego ataku, jednak o ile w normalnej sytuacji po zapłaceniu okupu ofiara otrzymywała klucz deszyfrujący, o tyle ten szkodnik nim nie dysponował - podczas szyfrowania plików od razu je niszczył. W praktyce robaki mogą pomagać w złośliwym ataku każdego rodzaju, zaś sama Petya - czyli "poprzedniczka" NotPetya - była trojanem, nie robakiem.

Inny sposób podziału robaków to podział pod względem ich dystrybucji. Tutaj mamy robaki rozprzestrzeniające się poprzez pocztę elektroniczną, robaki IM oraz IRC, robaki przenoszone wraz z plikami, a także rezydujące w sieci.

Jak usunąć robaka komputerowego?

Gdy robak znalazł się w systemie, proces jego usuwania jest taki sam, jak w przypadku innych malware - ale nie jest prosty. Najlepiej w tym celu posłużyć się specjalistycznym oprogramowaniem, a także wykorzystać możliwości swojego antywirusa. Narzędzia pozwalające na usuwanie robaków oferuje w swoich zestawach wielu producentów pakietów ochronnych, jak ESET czy Bitdefender.

Skąd możesz otrzyma robaka?

Pierwszy robak komputerowy, który rozprzestrzenił się po świecie, był napisany przez Roberta Tappana Morrisa Juniora. Składał się z trzech tysięcy linii kodu. Trafił do sieci 2 listopada 1988 i w ciągu kilku godzin spowodował paraliż ok. sześciu tysięcy komputerów. Do wprowadzenia go do ówczesnego internetu Morris wykorzystał serwery MIT. Jak wspomina to po latach, robak miał być "ćwiczeniem intelektualnym", a zarazem wykrywaczem luk w systemach Unix. Jednak rozprzestrzenił się bardziej, niż jego twórca spodziewał. W szczytowym momencie zostało przez niego zablokowane niemal 10% wszystkich połączonych wówczas komputerów i serwerów na świecie! Morris skończył tę przygodę jako pierwsza w historii USA osoba skazana na podstawie wydanego w 1986 aktu Computer Fraud and Abuse Act. Nie trafił jednak do więzienia - skończyło się na wysokiej grzywnie. A co ciekawe - parę lat później został profesorem na MIT. Można zatem powiedzieć, że spotkał go happy end.

Krótka lista najbardziej znanych robaków

W tekście wspomniane zostały Mydoom oraz NotPetya. Inne, które zapisały w historii, to:

  • SQL Slammer - mający zaledwie 376 bitów robak zablokował pracę większości serwerów SQL na świecie;
  • Blaster - robak na systemy Windows, przeprowadzał w 2003 roku ataki DDoS wymierzone w serwery Microsoftu i zainfekował ok. 2 miliardów komputerów;
  • Conficker - robak, który w 2008 roku zainfekował miliony komputerów i stworzył olbrzymie botnety;
  • Stuxnet - stworzony wspólnie przez wywiady USA i Izraela; w 2010 roku użyto go do zniszczenia irańskiego programu jądrowego

Jedną z cech, przez które robaki są tak niebezpieczne, jest ich nieprzewidywalność. Robak Morrisa wyrwał się spod kontroli, SQL Slammer miał być dowodem na zdolności programistyczne jego twórcy, a twórcy Conflickera nigdy nie skorzystali z botnetów - ich powstanie nie było ich intencją. Stuxnet był celowym tworem, przemyconym do fabryki badawczej za pomocą pendrive'a. Ponieważ jej laboratoria nie były połączone z siecią, robak miał nigdy nie wyjść poza kompleks. NotPetya miała prawdopodobnie szkodzić tylko maszynom na Ukrainie, ale rozprzestrzeniła się po świecie, Rosji nie wyłączając.

Dzięki obfitej reprodukcji robaki działają dłużej i mają większy zasięg, niż przewidzieli to ich twórcy. Dlatego tak ważne jest, aby najszybciej jak to możliwe aktualizować systemy operacyjne i zainstalowane na nich oprogramowanie. To główny środek prewencji.