Cyfrowe krety - najnowsze metody stosowane przez wirusy

Stosując wyrafinowane rozwiązania techniczne, najnowsze wirusy z łatwością przechytrzają użytkownika i mechanizmy zabezpieczające komputer. Wyjaśniamy, jak się maskują i jak się przed nimi bronić.


Wyjątkowo perfidny wirus zakrada się po kryjomu do komputera, zagnieżdża się na stałe w systemie operacyjnym, lecz wcale nie wykonuje żadnych destrukcyjnych czynności. Jego zadanie polega na oczekiwaniu. Czeka na najbardziej dogodny moment do zaatakowania. Takie cyfrowe krety zwane również śpiochami lub szpiegami uśpionymi należą do najbardziej niebezpiecznych wirusów i już od dawien dawna sieją strach wśród użytkowników. Na przykład już w 1992 r. intruz o nazwie Michelangelo wywołał masowe przerażenie u ówczesnych posiadaczy komputerów z systemem MS-DOS. Szkodnik ten zaraził wedle szacunków miliony komputerów, czekając w ukryciu na wyznaczony termin. 6. marca, w dniu urodzin słynnego, renesansowego malarza Michała Anioła, wirus wchodził do akcji, niszcząc startowe struktury twardego dysku, co na dobre paraliżuje działanie systemu operacyjnego. Na szczęście wirusowi udało się zainfekować znacznie mniejszą liczbę komputerów, niż zakładano. Jednak ich właściciele mieli dużego pecha. Szkodnik nadpisywał sto pierwszych sektorów twardego dysku, a na dodatek przemieszczał sektor MBR (Master Boot Record). Tylko komputerowi eksperci byli w stanie uratować swoje dane zgromadzone na dysku, pozostali użytkownicy stracili je na zawsze.

Współczesne wirusy przeważnie nie mają na celu niszczyć zasobów dyskowych. Ich twórców znacznie bardziej interesują pieniądze przechowywane przez użytkowników na kontach banków internetowych. Niektóre intruzy próbują wykraść wrażliwe dane osobowe i hasła zapisane w komputerze. Jednak także obecne wirusy zabierają się do dzieła krok po kroku.

Wirus przedostaje się tylko do komputerów podatnych na atak

Im więcej komputerów zakazi dany wirus, tym bardziej prawdopodobne, że zostanie wykryty przez specjalistów od zabezpieczeń. Gdy wpadnie w ich ręce, mogą go gruntownie zbadać i stworzyć przeciw niemu specjalną szczepionkę (tzw. sygnaturę), która umożliwia programowi antywirusowemu wykrycie go i zablokowanie, zanim wyrządzi jakiekolwiek szkody. To ogromna strata dla internetowych kryminalistów, bo poświęcili zapewne wiele czasu lub środków finansowych na zaprogramowanie szkodnika. Dlatego wpadli na pewną sztuczkę, która ma zapobiec niepotrzebnemu rozprzestrzenianiu się intruza i zarażaniu jak największej liczby komputerów.

Atak komputera następuje ze specjalnie spreparowanej witryny. Jeśli użytkownik dał się zwabić na taką zainfekowaną stronę internetową, przeważnie jako pierwszy wchodzi do akcji program pobierania plików. Wpina się do systemu operacyjnego, wykorzystując np. lukę w module Adobe Flash lub we wtyczce do przeglądania dokumentów PDF. Zadanie tego narzędzia do pobierania (zwanego także dropperem) polega jednak tylko na przemyceniu właściwego szkodnika do komputera ofiary.

Do tej chwili złośliwy moduł pobierający na pewno przerzucił intruza do komputera docelowego. Dotyczy to nawet tych systemów, które nie są podatne na atak danego wirusa. Jeśli trojan bankowy wyspecjalizował się w wykorzystywaniu luki w przeglądarce Internet Explorer 8, jest całkowicie bezradny w systemie z Internet Explorerem 9, więc w tym wypadku nie przyniesie cyberprzestępcom żadnych korzyści. Mimo to trojan na pewno znalazł już się w komputerze potencjalnej ofiary.

Najnowsze, bardziej inteligentne wersje złośliwego kodu wgrywają wirus tylko do tych systemów, w których jest odpowiednia luka w zabezpieczeniach. W ten sposób cyberprzestępcy ograniczyli rozprzestrzenianie się intruza, aby zmniejszyć prawdopodobieństwo (a zarazem wydłużyć czas) wykrycia go przez ekspertów opracowujących szczepionki antywirusowe.

Niemalże doskonałe szyfrowanie wirusów

W walce z coraz bardziej wyrafinowanymi intruzami oprogramowanie antywirusowe stosuje coraz lepsze mechanizmy - chociażby analizę heurystyczną (analizę zachowań). Gdy jedna z aplikacji zachowuje się nietypowo i zaczyna budzić podejrzenia, narzędzie zabezpieczające wysyła ją do laboratorium antywirusowego, gdzie może zostać poddana gruntownym badaniom. Pierwsza analiza jest wykonywana w pełni automatycznie przez wyspecjalizowane komputery. Jeśli nie uzyskają żądanego rezultatu, kod przejmują fachowcy, po czym biorą go pod lupę.

Aby uniemożliwić komputerom i badaczom osiągnięcie swojego celu, programiści wirusów zabezpieczają złośliwy kod, szyfrując go. Uruchomienie kodu intruza i przeanalizowanie jego działania jest możliwe dopiero po zdeszyfrowaniu go, co wymaga podania odpowiedniego klucza. W wypadku zdecydowanej większości wirusów klucz ten jest umieszczony na tajnym serwerze w internecie, którego adres jest ukryty w kodzie szkodnika. Specjaliści od zabezpieczeń mają więc znacznie więcej pracy, bo muszą wykryć zamaskowany adres prowadzący do klucza. Adres ten musi być jednak zapisany w niezaszyfrowanym fragmencie kodu wirusa, więc przeważnie fachowcom udaje się go odnaleźć.

Powstał jednak nowy, wyjątkowo szczwany wirus, który posuwa się jeszcze o krok dalej od swoich poprzedników. Candid Wüest, badacz i łowca wirusów w firmie Symantec, wykrył szkodnika, który wcale nie pobiera klucza deszyfrującego z serwera w internecie, lecz oblicza go samodzielnie na podstawie konfiguracji sprzętowej zarażonego komputera. Wskutek tego każdy egzemplarz kodu wirusa ma inną postać. Również i ten intruz obrał sobie za cel środki finansowe zgromadzone na koncie banku internetowego ofiary. Gdy odszyfruje się, umieszczając złośliwy kod w pamięci operacyjnej komputera, zaczyna wykonywać podejrzane czynności. Dobry program antywirusowy powinien to zauważyć i wysłać próbkę kodu do laboratorium. Jednak specjaliści od zabezpieczeń otrzymają tylko ten fragment kodu, który został zaszyfrowany indywidualnie w celu zaatakowania pojedynczego komputera. W obliczu tego faktu fachowcy nie są w stanie zdeszyfrować wirusa i poddać go analizie.

W każdym komputerze nie może zabraknąć choćby najprostszego programu antywirusowego.

W każdym komputerze nie może zabraknąć choćby najprostszego programu antywirusowego.

Doskonale zamaskowane centrum dowodzenia

Większość obecnych wirusów zalicza się do gatunku botów. Bot przekształca komputer ofiary w zdalnie sterowaną maszynę. Przechwycony w ten sposób komputer zombie otrzymuje polecenia od specjalnego serwera dowodzącego (serwer C&C) w internecie, który jest sterowany przez cyberprzestępców. Zarządza on jednak nie tylko pojedynczym zarażonym komputerem zombie, lecz wieloma tysiącami komputerów jednocześnie - całą siecią botów (tzw. botnetem).

Komputery zombie nawiązują same z siebie połączenia ze swoimi serwerami C&C, aby sprawdzić, czy są dla nich nowe polecenia. I właśnie to okazuje się piętą achillesową botnetów. Gdy organom ścigania (np. policji) uda się zarekwirować serwer dowodzący, automatycznie wyzwolą wszystkie zarażone komputery zombie z rąk internetowych kryminalistów.

W wypadku prostych botów lokalizacja serwera dowodzącego jest na stałe wpisana w kodzie intruza - albo w postaci adresu IP, albo jako zwyczajny adres internetowy URL (np. http://ZhakowanySerwer.cn/TajnyPodkatalog). Serwery dowodzące tego typu nie tylko trzymają w pogotowiu polecenia dla komputerów zombie, lecz ponadto gromadzą dane wykradzione z zarażonych komputerów (np. hasła z przeglądarki internetowej).

Gdy specjalistom od zabezpieczeń udaje się wykryć adres takiego serwera dowodzącego, organy ścigania mogą wymóc na jego operatorze zaprzestania działania.

Super-wirus Conficker. Ten szkodnik z 2008 r. zastosował nowy, cwany sposób wybierania serwera dowodzącego. Zamiast umieścić w wirusie stały adres serwera, autorzy intruza wyposażyli go w algorytm, który codziennie generuje losowo nowe adresy stron internetowych. Odmiany Conficker.A i Conficker.B tworzyły po 250 adresów dziennie. Szkodnik przywoływał następnie wszystkie te adresy jeden po drugim, sprawdzając, czy za którymś z nich kryje się serwer dowodzący z poleceniami dla zainfekowanego komputera. Dysponując wspomnianym algorytmem, twórcy wirusa mogli z góry wygenerować nim te 250 adresów. Jednak wystarczyło im zarejestrować tylko jeden z tych 250 i połączyć go z serwerem dowodzącym.