Inteligentne wirusy

Do niedawna Windows NT uchodził za system praktycznie całkowicie odporny na najgroźniejsze wirusy, które potrafią usuwać zawartość twardego dysku.


Do niedawna Windows NT uchodził za system praktycznie całkowicie odporny na najgroźniejsze wirusy, które potrafią usuwać zawartość twardego dysku.

Niedawno system stał się obiektem ataku wirusa W32.FunLove.4099. Jest to wyjątkowo sprytny mikrob: wstawia plik fclss.exe do Menedżera zadań w katalogu systemowym Windows. Gdy W32.FunLove.4099 zostanie uruchomiony w komputerze administratora, uzyskuje się dostęp do wszystkich plików, bez względu na ich zabezpieczenia. Oznacza to, że nawet osoba mająca najniższe uprawnienia w systemie będzie mogła odczytać i zmodyfikować wszystkie pliki, łącznie z tymi, które w normalnych warunkach są dostępne wyłącznie dla administratora. Wirus może się następnie przenieść do dowolnego komputera, do którego ma dostęp. Po jego ataku dane nie są już chronione przed żadnym użytkownikiem. Wirus sam tworzy program dla siebie i kopiuje swój kod w sposób niewidoczny dla użytkowników, podczas wykonywania głównego programu. Może też infekować inne komputery za pośrednictwem sieci.

Mechanizm działania wirusa i zagnieżdżanie się w pamięci systemu pracującego w środowisku Windows NT sprawiają, że o ile W32.FunLove.4099 można stosukowo łatwo wykryć, o tyle naprawa systemu, który zainfekował, jest niezwykle trudna. Wszelkie próby usunięcia go z systemu - bez całkowitego usunięcia z pamięci - doprowadzają do dalszego rozprzestrzenienia się kodu podczas wykonywania operacji w tle.

Nie ma obecnie programu antywirusowego, który mógłby wykrywać i usuwać W32.FunLove.4099 z komputera, ponieważ tradycyjne programy tego typu przeznaczone do Windows NT nie radzą sobie z usuwaniem wirusów rezydujących w pamięci. Jednak specjaliści z firmy Symantec opracowali metodę wykrywania i usuwania wirusa ze środowiska Windows 95 i Windows NT. Po usunięciu W32.FunLove.4099 należy specjalnym narzędziem sprawdzić zabezpieczenia Windows NT.

BABILON Z IRC-a

Inny interesujący wirus ujawniony w grudniu to Babylonia, która dotyka użytkowników systemu Windows 95/98 korzystających z IRC-a. Babylonia sama rozpowszechniała się przez IRC i instalowała w komputerach osób uprawiających internetowe pogawędki. Następnie co 60 sekund kontrolowała stronę WWW twórcy wirusa, umieszczoną w Japonii (szybko została zamknięta) w poszukiwaniu nowych "wtyczek". Owe "wtyczki" były rozszerzeniami wirusa realizującymi konkretne zadania, jak formatowanie twardego dysku czy zbieranie i wysyłanie danych osobistych (np. numeru karty kredytowej).

Dla Babylonii były cztery wtyczki, ale w każdej chwili mogły się pojawić nowe. Wirus ten przejdzie do historii jako pierwszy, którego instrukcje mogły być zmieniane przez autora zdalnie i w dowolnym momencie. Jednym z pierwszych lekarstw na ten program było bezpłatne narzędzie firmy CA dostępne na stronie www.antivirus.cai.com.

Windows jak sito

Nie najlepsze informacje mamy także dla użytkowników samych Windows 95, 98 i NT 4.0. Microsoft wykrył i naprawił aż pięć dziur w tych systemach.

W pewnych okolicznościach z komputerów z Windows 95 i 98 (lecz nie 98 SE) łączących się z sieciami Windows NT można odczytać tzw. listy uwierzytelniające poprzedniego użytkownika. Są one przechowywane na komputerze lokalnym w czasie sesji sieciowej i usuwane dopiero po ponownym uruchomieniu komputera. Jeśli użytkownik tylko się wyloguje, a haker będzie miał fizyczny (nie zdalny) dostęp do komputera, listy te mogą posłużyć do uzyskania dostępu do informacji sieciowych poprzedniego użytkownika. Poprawki do W95 (148 KB) i W98 (161 KB) znajdziesz pod adresem

download.microsoft.com/download/win95/update/168115/w95/en-us/168115us5.exe

oraz download.microsoft.com/download/win98/update/168115/w98/en-us/168115us8.exe

a także na naszym CD-ROM-ie.

Windows NT 4.0 jest narażony na cztery niebezpieczeństwa. Pierwsze jest skutkiem błędu w działaniu filtru SSL ISAPI z MS Internet Information Severa 4.0. Choć szanse, że wykorzysta go haker, są prawie zerowe, warto zastosować łatę 433 KB o nazwie sslune4i.exe ze strony www.microsoft.com/downloads/release.asp?ReleaseID=16186 lub naszego CD-ROM-u (drugi plik sslune4is.exe 2,41 MB to pełna wersja poprawki).

Wreszcie 5.01, ale wciąż kłopoty

Od marcowej premiery Internet Explorera 5 Microsoft opublikował mnóstwo łat i poprawek do swej flagowej przeglądarki. Wszyscy ci, których skołowało już kolekcjonowanie dziesiątków plików aktualizacji, mogą od grudnia pobrać wersję 5.01 programu (choć na razie tylko angielską) dostępną pod adresemhttp://www.microsoft.com/windows/ie/download lubhttp://windowsupdate.microsoft.com . Dokładny opis prawie czterdziestu wprowadzonych zmian znajdziesz na stroniehttp://support.microsoft.com/support/kb/articles/Q244/6/55.asp . Niestety, IE 5.01 nie rozwiązał definitywnie wszystkich problemów z zabezpieczeniami. Wkrótce MS musiał w swej witrynie umieścić nowe łaty. Okazało się bowiem, że jeżeli operator serwera WWW zna nazwę i położenie pliku w komputerze internauty, może w pewnych warunkach przekierować przeglądarkę na lokalny plik użytkownika, omijając dzięki temu zabezpieczenia dostępu i uzyskując możliwość przeglądania pliku. Problem dotyczy tylko tych typów plików, które można otworzyć w oknie przeglądarki, m.in. TXT, HTM czy JS, i w zasadzie nie jest groźny. Poprawkę znajdziesz pod adresem www.microsoft.com/windows/ie/security/servredir.asp i na stronie Windows Update. Na CD-ROM-ie zamieściliśmy jej wersję do IE 5 (476-KB plik q246094.exe).

Drugie niebezpieczeństwo, efekt niedoskonałości menedżera kontroli usług SCM, może spowodować zawieszenie się systemu. Poprawka 152 KB dostępna jest z www.microsoft.com/Downloads/Release.asp?ReleaseID=16382

lub naszej płyty CD-ROM (plik q246045.exe).

Trzecia poprawka usuwa dwa niebezpieczeństwa: osłabienia ochrony bazy haseł NT 4.0, jaką daje atak na dziurawy moduł zabezpieczający Syskey, oraz zawieszenia komputera przez podanie modułowi weryfikacji uprawnień LSA złego argumentu (system odmawia wówczas świadczenia klientom wszelkich usług). Plik 385 KB o nazwie q248183.exe pobrać można z www.microsoft.com/Downloads/Release.asp?ReleaseID=16798 lub z naszego CD-ROM-u.