Wirusy komputerowe - podstawy


Robak może rozprzestrzeniać się też przez udziały sieciowe, które potajemnie zakłada na dyskach lokalnych. Jeżeli znajdzie udział z prawem zapisu, tworzy na nim własną kopię w formacie NWS lub EML. Nazwa pliku generowana jest losowo.

Choć od dawna dostępne są łaty zamykające luki w zabezpieczeniach, przez które rozprzestrzenia się robak, wygląda na to, że prawie nikt ich nie instalował. Dzięki temu mógł przenosić się w tempie pożaru buszu, unieruchamiając komputery na całym świecie.

W32/Klez, który panoszył się w roku 2002, wykorzystywał lukę zabezpieczeń IFRAME przeglądarki Internet Explorer i instalował się automatycznie przy przeglądaniu wiadomości pocztowej w programie Outlook. W pierwszej kolejności wyłączał oprogramowanie antywirusowe za pomocą polecenia Windows-API "TerminateProcess", a następnie rozprzestrzeniał się, korzystając a książki adresowej Windows i własnego klienta SMTP. Dodatkowo zarażał pliki na dyskach lokalnych i udostępnionych dyskach sieciowych.

Trojany

O ile wirusy i robaki w miarę możliwości starają się ukryć, trojany występują otwarcie. Podają się za wygaszacze ekrany, programy do zarządzania hasłami lub inne pożyteczne narzędzia. Niektóre z nich nawet wykonują deklarowane funkcje. Najczęściej jednak chodzi o zachęcenie użytkownika do uruchomienia złośliwego programu, tak, by mógł zacząć realizować swoje właściwe zadania - usunięcie zawartości twardego dysku, instalacja wirusa bootsektora czy narzędzia do zdalnej administracji systemem.

Wirusy komputerowe - podstawy

Maskowanie to podstawa - robak explore.zip rozsyła się samoczynnie do osób z książki adresowej Outlooka.

Szczególnie jaskrawy przypadek ataku za pomocą trojana miał miejsce na początku 1998 roku. Dwaj szesnastoletni uczniowie z Kolonii (Niemcy), Aaron Spohr i Marcel Henning, rozpracowali system szyfrowania haseł T-Online. Następnie opracowali T-Online Power Tools, program pomocniczy do oprogramowania T-Online Decoder, który szybko zdobył popularność. Gdy tylko użytkownik "programu pomocniczego" logował się do sieci, trojan przesyłał zmyślnym młodzieńcom hasła dostępu do danego łącza. Okazało się, że szyfrowanie oprogramowania Decoder było niedopracowane. W krótkim czasie udało się zebrać 600 haseł. Na szczęście dla użytkowników chłopcom chodziło tylko o to, by udowodnić wykonalność swoich zamierzeń. O swoich "osiągnięciach" poinformowali prasę.

Podobnie działa darmowy program pocztowy ProMail 1.21. Użytkownik wpisuje dane dostępu do swojego konta pocztowego, zaś program przesyła je w tle pod znany sobie (i twórcom) adres poczty elektronicznej. W ten sposób osoby niepowołane uzyskują dostęp do kont pocztowych swoich ofiar.

Wirusy komputerowe - podstawy

Jak pożar buszu - w ciągu 24 godzin W32/Nimda rozprzestrzenił się na całym świecie na dziesiątkach tysięcy komputerów.

Trojan Back Orfice zagnieżdża się w jądrze systemowym Windows. Następnie program czeka, aż zostanie aktywowany przez Internet. Uzyskawszy w ten sposób dostęp do komputera, haker może kopiować pliki, przechwytywać teksty wpisywane z klawiatury, uruchamiać programy itd. Należy się niestety spodziewać, że w przyszłości pojawi się w obiegu jeszcze więcej tego rodzaju programów. Dobry program antywirusowy powinien przed nimi ochronić.

Hoaxy - fałszywki

Wśród rozlicznych szkodliwych i złośliwych programów istnieje jeszcze jedna odmiana - hoaxy, czyli fałszywki. Hoax to świadomy, fałszywy alarm o pojawieniu się wirusa lub innego szkodliwego programu, rozsyłany pocztą elektroniczną. Odbiorca jest z reguły proszony o przesłanie maila do jak największej liczby znajomych. I właśnie na tym polega szkodliwy skutek pojawienia się fałszywki - zabiera wiele czasu i rozprzestrzenia się w piorunującym tempie.

Wirusy komputerowe - podstawy

Zamaskowany jako darmowy program - program pocztowy ProMail wysyła w sposób niezauważalny dla użytkownika dane dostępu do jego kont pocztowych pod anonimowy adres.

Jedna z pierwszych fałszywek, "GoodTimes", pojawiła się pod koniec roku 1994. List ostrzegał przed wirusem, który miał infekować komputer już po przeczytaniu pewnego e-maila. Wiadomość miała być rozpoznawalna po słowach "Good Times" w temacie listu. Wirus miał kasować twardy dysk lub wręcz niszczyć procesor. Wiadomość ta w tłumaczeniu na polski brzmiała mniej więcej tak: "Niektórzy z użytkowników Internetu, mający konta na CompuServe, Prodigy i AOL, rozsyłają plik o nazwie "Good Times". Jeżeli otrzymasz list z takim załącznikiem, NIE OTWIERAJ go! Natychmiast skasuj list. Wiem, że w tym pliku jest wirus, który zniszczy wszystkie pliki, jeżeli dostanie się do twojego komputera".

Szczególnie uporczywie utrzymuje się pogłoska o wirusie, który miałby być rozpoznawalny przez obecność w komputerze pliku jdbgmgr.exe. Obroną przed wirusem ma być natychmiastowe usunięcie tego pliku. W rzeczywistości jest on ważnym składnikiem wirtualnej maszyny Javy w Windows.

Według tego wzoru funkcjonują wszystkie popularne fałszywe meldunki o domniemanych wirusach. Często w tekście zawarta jest informacja, że ostrzeżenie o nowym wirusie pochodzi od znanych firm komputerowych. Informacje o hoaxach można znaleźć pod adresemhttp://www.mks.com.pl/baza.html?show=listBytype&typ=falszywka . Jeżeli mimo to masz wątpliwości, możesz sprawdzić swój komputer online pod adresemhttp://skaner.mks.com.pl/ . Inny adres z listą fałszywek tohttp://www.symantec.com/avcenter/hoax.html . Na koniec, zwyczajnie nie wierz w plotki.

Makrowirusy

Prawdziwym niebezpieczeństwem ostatnich lat stały się makrowirusy. Pakiet Microsoft Office zawiera język makr o bardzo dużych możliwościach - VBA, Visual Basic for Applications. Za pomocą jego poleceń makro może manipulować plikami i dokumentami Office lub zdalnie kontrolować programy działające pod kontrolą Windows.

Cały problem polega na tym, że makra są zapisane bezpośrednio w dokumentach. Jeżeli wysyłasz dokument Worda, Excela czy PowerPointa, makro będzie znajdować się w dokumencie. Do tego jest funkcja autostartu. Jeżeli otworzysz dokument, który zgodnie z deklaracją zawiera makro, tym samym je uruchomisz. Makrowirusy zmieniają standardowy szablon Worda normal.dot w ten sposób, że wirus staje się aktywny przy każdym uruchomieniu edytora. Podobnie dzieje się w przypadku innych aplikacji Office.

Szczególnie groźne są makrowirusy, które rozsyłają się samoczynnie w poczcie elektronicznej. Najbardziej znanym przykładem jest wirus Melisa. Wyszukuje on sobie 50 adresatów z książki adresowej programu Outlook i wysyła do nich list z wirusem w załączniku. Gdy odbiorca otworzy załącznik, wirus zagnieżdża się w systemie. Ponieważ list pochodzi od znanego nadawcy, zwiększa się szansa, że załącznik zostanie otwarty jako niebudzący zastrzeżeń. Do tej pory jest już sporo wirusów naśladujących ten mechanizm, również do Excela.

Szkody, jakie mogą wyrządzić makrowirusy, są wręcz trudne do oszacowania. Wyobraźmy sobie duży arkusz Excela z danymi statystycznymi, w którym wirus pozmieniał niektóre dane, lub dokument Worda, w którym wprowadził błędy pisowni lub pozamieniał słowa. Przywrócenie stanu pierwotnego może kosztować bardzo dużo pracy.