Odporny na wirusy

W poniższym artykule opisujemy sposoby działania współczesnych szkodników komputerowych. Za miesiąc pokażemy ci, jak przeobrazić swojego peceta w maszynę, która będzie omijana szerokim łukiem przez wirusy i inne intruzy.

W poniższym artykule opisujemy sposoby działania współczesnych szkodników komputerowych. Za miesiąc pokażemy ci, jak przeobrazić swojego peceta w maszynę, która będzie omijana szerokim łukiem przez wirusy i inne intruzy.

Prawie każdy użytkownik obawia się, że podczas przeglądania Internetu jego komputer może paść ofiarą wirusów, robaków, trojanów lub innych sieciowych szkodników. Program antywirusowy i zapora sieciowa już nie zapewniają wystarczającej ochrony. Jak więc się bronić, skoro nawet nie można w pełni polegać na narzędziach zabezpieczających?

Rozwiązaniem jest system, którym nie zainteresują się wirusy. Wyjaśnimy ci, jak go skonfigurować i w jaki sposób najlepiej uodpornić środowisko Windows na sieciowe szkodniki.

Jak działają wirusy?

Wirus o nazwie NetSky sieje postrach od 2004 r. pod wieloma postaciami.

Wirus o nazwie NetSky sieje postrach od 2004 r. pod wieloma postaciami.

Aby znaleźć odpowiedź na pytanie, czego nie lubią intruzy, powinniśmy zaobserwować, w jaki sposób rozprzestrzenia się szkodliwy kod i jak próbuje dostać się do komputera potencjalnej ofiary. Z tego wywnioskujemy, jakich miejsc, funkcji, konfiguracji i technologii trzeba unikać w systemie. W tym celu dogłębnie zbadamy trzy wirusy, które w 2007 r. były szczególnie groźne lub szczególnie powszechne.

NetSky - nad wyraz skuteczny robak

Od 2004 r. szkodniki z rodziny NetSky zajmują czołowe pozycje w rankingach najgroźniejszych wirusów. Znany jest nawet twórca ich prototypu. Sven J. zaprogramował również Sassera - innego przedstawiciela tego samego gatunku. Kod źródłowy NetSky'a został szeroko rozpowszechniony, a wielu cyberprzestępców tworzy coraz więcej nowych wariantów intruza. Poniżej opisujemy zachowanie typowego reprezentanta tej rodziny szkodników.

W lutym zeszłego roku specjaliści z firmy Websense powiadomili o spreparowaniu witryny Dolphin Stadium.

W lutym zeszłego roku specjaliści z firmy Websense powiadomili o spreparowaniu witryny Dolphin Stadium.

Rozprzestrzenianie. Szkodnik rozprzestrzenia się za pomocą poczty elektronicznej, używając dowolnych adresów nadawcy. W polu tematu wiadomości widnieją takie wpisy, jak "Re: Encrypted Mail", "Re: Status", "Re: Notify", "Re: Message Error", "Re: Protected Mail Request" lub podobne. Treść wiadomości zawiera komunikat odpowiadający wspomnianemu powyżej tematowi, np. "Bad Gateway: The message has been attached".

Złośliwy kod dodany do wiadomości w postaci załącznika jest plikiem z podwójnym rozszerzeniem, np. .doc.exe, .doc.pif, .jpg.exe lub .mpeg.scr. Mało doświadczony użytkownik może przeoczyć, że kryje się w nim plik wykonywalny. Nazwa dokumentu ma kuszące brzmienie, np. "The Sims 4 beta", "Windows 2000 Sourcecode" lub "Harry Potter 5".

Robak uaktywni się tylko wtedy, gdy odbiorca wiadomości sam otworzy załącznik. W starszych wariantach NetSky'a nie trzeba było tego robić - wystarczyło obejrzeć wiadomość w Outlooku. Powodem okazała się luka w zabezpieczeniach, którą odkryto w 2001 r. (więcej informacji: Microsoft Security Bulletin MS01-020).

Działanie. Gdy użytkownik uaktywni robaka, intruz umieści swój kod w pliku EXE (np. Vprotect.exe), zapisując go w katalogu %windir%. Utworzy bibliotekę Userconfig9x.dll i kilka innych plików. Ponadto umieści swój wpis w jednym z kluczy rejestru, aby być wczytywanym automatycznie wraz z uruchamianiem systemu Windows. Później wyśle swoje duplikaty pocztą elektroniczną na wszystkie adresy, które znajdzie w komputerze. Użyje w tym celu swojego własnego silnika SMTP. Oprócz tego robak umieści swoje klony w udostępnionych folderach sieci lokalnej w nadziei, że zostanie przywołany przez któregoś z jej współużytkowników.

Niektóre warianty NetSky'a usuwają wpisy z kluczy automatycznego uruchamiania (np. Run). Do wspomnianych wpisów należą d3dupdate.exe, gouday.exe, rate.exe i wiele innych. Są to po części inne robaki, po części zaś programy zabezpieczające.

Super-Bowl - zaraźliwy szkodnik

Cyberprzestępcy zmodyfikowali oficjalną witrynę stadionu, na którym odbywał się najważniejszy mecz 2007 r. w lidze amerykańskiego futbolu, umieszczając w niej złośliwy kod.

Cyberprzestępcy zmodyfikowali oficjalną witrynę stadionu, na którym odbywał się najważniejszy mecz 2007 r. w lidze amerykańskiego futbolu, umieszczając w niej złośliwy kod.

Przedsiębiorstwo Websense (www.websense.com ) specjalizujące się w zabezpieczeniach komputerowych, odkryło w lutym 2007 r. bezimiennego szkodnika, który zakrada się do komputera ofiary bez jej udziału - wystarczyło odwiedzić określoną witrynę internetową. Wprawdzie w porównaniu z omawianym powyżej NetSky'em intruz miał minimalną skalę rozprzestrzeniania się, ale za to był typowy dla obecnych zagrożeń.

Rozprzestrzenianie. Cyberprzestępcom udało się włamać na internetową stronę Dolphin Stadium w amerykańskim Miami. Na tym stadionie odbywały się ważne rozgrywki Super Bowl, a więc wymieniona witryna cieszyła się ogromną popularnością i oglądalnością.

Przywoływała skrypt napisany w języku Java, wykorzystujący luki w zabezpieczeniach Windows i Internet Explorera 7 (opisane w artykułach MS06-014 i MS07-004 dostępnych w witrynie Microsoft Technet). Jeśli choć jedna ze wspomnianych luk nie została załatana, do komputera ofiary został wczytany z Internetu szkodliwy plik (W1c.exe).