Příloha 1
Po absolvování tohoto tématu dovedete: Stránky: BIVŠ Moodle Kurz: Základy informatiky I Kniha: Malware Vytiskl(a): Správa Uživatel Datum: Saturday, 28. June 2014, 13.42
1
1 Historie PC viru 2 Malware; Boot viry, P episující souborové viry 3 Doprovodné viry, Link viry 4 Spyware, Adware 5 Hoax, Phishing 6 Trojské kon 7 Multiparitní viry, makroviry 8 Antivirové programy, rezidentní programy
2
Sci-fi literatura p edpov d la již v 60. letech. V reálu se malware objevil až v 80. letech. Nejstarší – Trojské kon , snažily se p edstírat užite nost… P íklady: 1985 EGABTR sliboval lepší grafiku, ve skute nosti mazal a když domazal, napsal „Arf! Arf! Gotcha“ Hra Nuklea – po dohrání na disku nic nezbylo P elom 80. až 90. let, trojani se vydávají za antivirové programy, místo hledání vir rovnou mažou disk První virus 1986 Brain (brat i Basit a Amjads Farooq Alvi z Pakistánu – Lahore. Údajn ho dávali jako bonus cizinc m, kte í si u nich v obchod kupovali nelegální software. Experimenty p. Franka. Jeho první pokus s viry 10. 9. 1983 na po íta i VAX 11/750 pod UNIXem, nad kterým ztratil po p l hodin kontrolu. 1987 Lehigh, Stoned, Vienna, Cascade. Posledn jmenovaný – slavná padající písmenka na obrazovce. XI.1988 Robert T. Morris vypustil do sv ta tzv. „Morris v erv“. erv napadl kolem 6000 unixových po íta , blokoval tehdejší sí 36 hodin, erv se dostal i do Lawrence Livermore National Laboratory, škody 100 milión dolar . 1988 antivirové programy - McAfee VirusScan, Dr. Solomon AVTK. 1990 polymorfní viry - viry, u nichž vypadá každý exemplá „na venek“ odlišn . Antiviry vyhledávají podle et zc . „Stealth“ viry, tj. viry, které se dokážou maskovat v systému. P íklad virus Frodo, který sledoval manipulaci se soubory a uživateli nebo antiviru „p edhazoval“ nezávadné verze t chto, ve skute nosti infikovaných soubor . 1991 Tequila první multipartitní virus. Multipartitní viry dokážou napadnout systémové oblasti disku i soubory. Tequila byla navíc polymorfní a pro jistotu i typu stealth. 1994 One_Half.3544.A - Siln polymorfní a multipartitní virus ze Slovenska. ada antivir ho nedokázala stoprocentn detekovat. 1995 Form - Opera ní systém Windows 95 sliboval zánik po íta ových vir . Boot virus Form, byl spole ností Microsoft distribuován spole n s Windows 95 beta tester m na instala ních disketách. Windows 95 neznamenal konec vir m. 1995 makrovirus Concept - ší í se v dokumentech MS Word. Dlouhou dobu nejrozší en jší vir (tehdejší antiviry nebyly na makroviry p ipraveny). Relativní klid panoval u majitel eských verzí – pod eskou verzí nefungovalo. Od verze MS Office 97 makroviry funk ní i v eských verzích… 1995 Win95/Boza.A - První opravdový virus pro Windows 95. 1995 Win95/Punch „pam ov rezidentní“, p ežíval v pam ti jako VxD ovlada . 1995 Laroux – první makrovirus pro MS Excel. 1998 Win95/CIH – noviná i nazvaný ernobyl. Vždy 26. dubna (záleželo na variant ) se pokusil p emazat pam Flash BIOS na základní desce a ást dat na disku. První pop el tezi, že virus neohrozí hardware. 1998 Skriptové viry nap íklad VBS/Rabbit nebo HTML/Internal. 1999 Skriptové viry „mass-mailing“, W97M/Melissa.A@mm.
3
Úvodem tohoto bloku je pot eba vysv tlit výraz malware – ten vznikl složením anglických slov „malicious“ (záke ný) a „software“ a popisuje zám r autora takového programu spíše než jeho specifické vlastnosti. Pod souhrnné ozna ení malware se zahrnují po íta ové viry, trojské kon , spyware a adware a podobn . Po íta ový virus, za který je v tšinou (chybn ) ozna ován jakýkoliv malware, je škodlivý program i kód, který se dokáže sám ší it bez v domí uživatele. Takový program se tedy chová obdobn jako biologický virus. V souladu s touto analogií se n kdy procesu ší ení viru íká nakažení i infekce a napadenému souboru hostitel. Boot viry napadají systémové oblasti disku. Ší í se po restartu po íta e, který má povoleno zavád ní systému z externího média (disketa, USB disk, …) s boot virem. Vir se spustí a napadne systémové oblasti pevného disku. P i dalším spušt ní po íta e se boot vir inicializuje z pevného disku a napadá další externí pam ová úložišt , které uživatel použije. Hlavní výhodou bootvir je to, že se dostanou do pam ti jako v bec první program zavád ný z disku nebo diskety. Díky tomu mají k dispozici informace o stavu po íta e bezprost edn po jeho startu a mohou také ovliv ovat innost všech následn spušt ných program . Souborové viry napadají pouze soubory, které obsahují spustitelný kód - programy. V napadeném programu p epíší ást kódu svým vlastním, nebo vlastní kód k programu p ipojí a tím zm ní jeho velikost a chování. Jsou velmi snadno rozpoznatelné, jelikož p episem zni í p vodní program. Základem této problematiky je termín malware, kterým se ozna uje veškerá hav ohrožující naše za ízení. Jedená se o víry, rootkity, boot viry, souborové viry, trojské kon a spoustu dalších, které jsou vysv tleny v následujících kapitolách. Boot viry napadají systémové oblasti disku a po restartu se zavád jí do opera ní pam ti, kde mohou za ít páchat škody a dále se ší it. Souborové viry napadají pouze spustitelné soubory – programy. Nahradí ást p vodního kódu vlastním a tím jsou velmi snadno rozpoznatelné. P vodní program po napadení p estává díky p episu jeho vlastního kódu fungovat.
4
Doprovodné viry – využívají „chyb“ n kterých opera ních systém , které p i požadavku na spušt ní programu se pokouší nejd íve vyhledat a spustit .com p íponu a poté až .exe. Tyto viry vytvo í své kopie se shodným názvem souboru, ale p íponou .com, ímž se p i spušt ní programu nejprve spustí virus, který provede vše, co uzná za vhodné, a poté p edá ízení p vodnímu programu s .exe p íponou. Tento zp sob ší ení není p íliš efektivní a má jedinou výhodu – doprovodný virus nemusí modifikovat obsah žádného existujícího souboru a je tedy mén pravd podobné, že ho zachytí n jaká kontrola integrity dat nebo rezidentní ochrana. Jen pro up esn ní doplním, že tento vir byl nebezpe ný hlavn pro opera ní systém MS-DOS. Link viry – takto ozna ujeme ty souborové viry, které se p ipojují k infikovanému souboru a zachovávají jeho p vodní funkce. Je z ejmé, že tyto viry mají daleko v tší šanci na úsp ch a své maskování. Tyto viry modifikují kód své ob ti tak, aby p i spušt ní infikovaného souboru byl spušt n kód viru, který vykoná vše, co považuje za nutné, a poté obnoví a spustí p vodní program. Doprovodné viry a link viry jsou další druhy souborových vir . Doprovodné viry využívali d ív jší zranitelnosti opera ních systém , které p i spušt ní nejd íve hledali soubor s p íponou .com a poté až .exe. Po provedení požadovaných akcí vir p edal ízení p vodnímu programu a tím se do jisté míry ú inn maskoval. Link viry se nabalují k napadenému programu, ale zachovávají jeho funkce, na rozdíl od souborových vir . Po provedení plánovaných inností p edá vir ízení zp t p vodnímu programu.
5
Spyware (z anglického spy – špión) je škodlivý program, jehož cílem je odesílat data z vašeho po íta e. M že se jednat o obchodní informace, sledování vašeho chování na internetu, odeslání p ihlašovacích jmén a hesel, ísla kreditních karet a další. N který spyware umož uje vzdálen ovládat po íta , takže úto ník m že s po íta em nakládat jakkoliv uzná za vhodné. Spyware se asto nainstaluje spole n s instalací "legitimního" software a s v domím autora „legitimního“ programu, který si instalujete. Za distribuci spyware dostávají mnohdy auto i korektních program zaplaceno. Adware (z anglického ad – reklama) se do po íta e op t dostává za v domí uživatele a p evážn i s jeho souhlasem, podobn jako je to u spyware. Odlišuje se tím, že na rozdíl od „vynášení“ citlivých informací zobrazuje nevyžádanou reklamu, ímž dokáže do zna né míry znep íjemnit práci s po íta em. Jedním p íklad m že být nap íklad zm na domovské stránky a vyhledáva e internetového prohlíže e. Spyware a Adware je malware obt žující uživatele napadeného po íta e. Spyware je vytvá en s cílem odcizit citlivé údaje a Adware s cílem zobrazovat nevyžádanou reklamu na po íta i uživatele. Spyware i Adware mohou být ší eny bu samostatn , p ípadn jako „sou ást“ legitimního software, který si v dom stahujeme (díky emuž autor software dostane zaplaceno od tv rce Spyware i Adware).
6
Jedním z velmi astých nešvar , který se na Internetu vyskytuje, je ší ení poplašných, nebezpe ných a zbyte ných et zových zpráv, tzv. hoax . Anglické slovo HOAX [:houks:] v p ekladu znamená falešnou zprávu, mystifikaci, noviná skou kachnu, podvod, poplašnou zprávu, výmysl, žert, kanadský žertík. Typický text poplašné zprávy obsahuje v tšinou tyto body: Popis nebezpe í (viru) - smyšlené nebezpe í (vir) bývá stru n popsané, v p ípad viru bývá uvád ný i zp sob ší ení. Ni ivé ú inky viru - zde záleží p evážn na autorov fantazii. Ni ivé ú inky mohou být celkem oby ejné, t eba zformátování disku nebo už mí d v ryhodné - zb silý út k myši do ledni ky, rozto ení HDD opa ným sm rem, výbuch po íta e ... D v ryhodné zdroje varují - ve v tšin p ípad se pisatel poplašné zprávy snaží p esv d it, že varování p išlo od d v ryhodných zdroj ("IBM a FBI varují" nebo "Microsoft upozor uje" atd...) Výzva k dalšímu rozeslání - tento bod HOAX vždy obsahuje! Mnoho nezkušených uživatel se nechá zprávou napálit a bez p emýšlení výzvu uposlechnou. Práv proto se tyto nesmysly lavinovit ší í. Phishing ozna uje podvodné e-mailové útoky na uživatele Internetu, jejichž cílem je vylákat d v rné informace. Nej ast ji jsou to údaje k platebním kartám v etn PINu nebo r zné p ihlašovací údaje k ú t m. Nemusí jít jenom o ú ty p ímo bankovní, ale také ostatních organizací, kde dochází k manipulaci s pen zi nebo je možné jakýmkoliv zp sobem zneužit jejich služeb. P íkladem m žem být PayPal, eBay, Skype, Google. Typické znaky phishingového emailu: Snaží se vyvolat dojem, že byl odeslán organizací z jejichž klient se snaží vylákat d v rné informace. Toho se snaží docílit grafickou podobou e-mailu a zfalšováním adresy odesílatele. Text m že vypadat jako informace o neprovedení platby, výzva k aktualizaci bezpe nostních údaj , oznámení o do asném zablokování ú tu i platební karty, výzkum klientské spokojenosti nebo jako elektronický bulletin pro klienty. V textu zprávy je link, který na první pohled v tšinou vypadá, že sm uje na stránky organizace (banky). P i jeho bližším prozkoumání zjistíte, že ve skute nosti odkazuje na jiné místo, kde jsou umíst né podvodné stránky. P íklad Phishingu – eská spo itelna Ukázkový Phishing, kdy byla zkopírována úto níkem p ihlašovací stránka do elektronického bankovnictví eské spo itelny. Stránka se tvá ila jako pravá, jediným signálem byla adresa webové stránky, kdy na místo https://servis24.cz/ zde bylo uvedeno http://210.211.139.140:9070/index.htm Nezkušený uživatel tento detail snadno p ehlédl a vyplil své p ihlašovací jméno a heslo do úto níkova formulá e. Po odeslání systém vrátil informaci, že byly zadány chybné údaje a požádal o op tovné zadání. Ihned také p esm roval klienta na správnou – oficiální – stránku bankovnictví eské spo itelny. Na druhý pokus vše fungovalo jak m lo a klient se p ihlásil, aniž by mu došlo, že p i prvním pokusu p edal své p ihlašovací údaje díky podvržené stránce úto níkovi. Tento p ípad vedl k zavedené autentizace pomocí SMS kódu, která zhoršila do jisté míry vstup do bankovnictví, ale také není nep ekonatelná.
7
Hoax i phishing pat í mezi techniky sociálního inženýrství, které vychází z manipulovatelnosti a d v ivosti lidí. Hoax je škodlivý o do ší ení poplašné zprávy, na rozdíl od phishingu, který se cílen snaží odcizit vaše p ihlašovací údaje do r zných portál i jiné d v rné informace.
8
Trojský k je jedním z druh Malware, stejn jako nap íklad po íta ový virus, link virus a podobn . Ozna ení trojské kon získaly podloudné prográmky podle starov kých eckých bájí, kdy se ekové rozhodli dobýt m sto Trója úsko nou lstí – darovali tam jším obyvatel m d ev ného kon , v jehož útrobách byli skryti vojáci. Paralela s novodobými elektronickými verzemi trojských ko je nabíledni, protože oproti klasickým vir m se trojské kon nej ast ji ší í tak, že se vydávají za na první pohled neškodný, nebo dokonce nadmíru užite ný, p ípadn zábavný prográmek. Trojský k m že být ší en samostatn v podobn odkazu nap íklad na sociálních sítích upozor ující na nové fotografie, které vám práv zaslal váš p ítel. Po kliknutí na odkaz je ale spušt n trojský k , který infikuje po íta . Druhým zp sobem ší ení m že být p idání k funk nímu programu. Poté je upravená verze ší ena nap íklad pomocí peer-to-peer sítí nebo warez server . Uživatel stažením kopie aplikace (nej ast ji bez platné licence nebo jako voln ší ený program z ned v ryhodného serveru) m že získat pozm n nou kopii aplikace obsahující ást programového kódu trojského kon dodaného t etí stranou.
Trojský k v podstat funguje shodn se svou antickou p edlohou. Jedná se o transportní médium, které v sob m že zahrnovat nap íklad sniffer, keylogger, spyware, zadní vrátka, spam server a další. Po íta ové trojské kon jsou typem infiltrace, které se snaží maskovat za užite né programy. Jejich hlavním cílem je získat snadný p ístup do systému, aby tam mohli vykonávat škodlivou innost.
9
Multipartitní viry využívají jednu z hlavní výhod bootvir a to, že se dostanou do pam ti jako v bec první program zavád ný z disku nebo diskety. Díky tomu mají k dispozici informace o stavu po íta e bezprost edn po jeho startu a mohou také ovliv ovat innost všech následn spušt ných program . Multipartitní viry dokáží infikovat nejen Partition tabulku pevného disku, ale i spustitelné soubory. P i útoku na soubor mohou multipartitní viry použít libovolný postup souborové infekce a napadení systémové oblasti je shodné s technikami používanými b žnými bootviry. Jednou z technicky zajímavých pasáží je, že multipartitní virus se po svém zavedení ze systémové oblasti do pam ti musí chvíli chovat trp liv – po kat, až bude dokon eno zavád ní opera ního systému a teprve poté p evzít kontrolu. Jedním z hlavních p edstavitel této skupiny vir byl One_Half, jeden z v bec nejrozší en jších vir v historii PC. Makroviry napadají datové soubory - dokumenty vytvo ené v n kterých kancelá ských aplikacích. Využívají toho, že tyto soubory neobsahují pouze data, ale i makra, která viry využívají ke svému ší ení. Jsou napadány p edevším dokumenty aplikací MS Office, výjime n byly zaznamenány i p ípady dokument jiných aplikací. Možnosti jazyka Visual Basic for Aplications, ve kterém jsou psána makra, jsou velmi rozsáhlé a bezpe nost byla zvlášt v d ív jších dobách minimální. P íkladem m že být vir W97M Melissa, který p i své aktivaci použije dokument, na n mž uživatel zrovna pracuje, infikuje jej a rozešle elektronickou poštou na 50 náhodn vybraných adres z adresá e uživatele. Multiparitní viry kombinují p ístupy boot vir a souborových vir a napadají tak soubory i systémové oblasti disku. Makroviry oproti tomu napadají datové soubory – dokumenty – nej ast ji vytvo ené pro aplikace Microsoft Word a Excel. To je možné díky jejich funkci spoušt t makra, která využívají programovací jazyk Microsoft Visual Basic.
10
Antivirový program je programové vybavení po íta e (aplika ní software), který slouží k nalezení a eliminaci škodlivého kódu (malware) v po íta i, i jiném za ízení (mobilní telefon, tablet,…). Antivirový program sleduje všechny nejpodstatn jší vstupní/výstupní místa, kterými by malware mohl do po íta ového systému proniknout. Pokud jde o malware jako takový, m žeme íci, že se jedná o nežádoucí a ve v tšin p ípad škodící kód, který se cílen ší í. Antivirové programy m žeme rozd lit nap íklad takto: On-demand skenery - spoušt jí se p es rozhraní p enosných OS a jsou ur eny pro p ípad, že systém není z d vodu poškození schopen nastartovat b žným zp sobem. Jednoú elové antiviry - jde o antivirové programy, které jsou zam eny na detekci, pop ípad i odstran ní jednoho konkrétního malware, pop ípad menší skupiny vir . Tyto antiviry vznikají v tšinou k likvidaci aktuáln rozší eného malware. Antivirové systémy - jde o komplexní antivirové ešení, které má za úkol ochránit váš po íta p ed širokou škálou nežádoucího malware. Tento komplexní nástroj m že mít ve výbav firewall a další specializované nástroje, závisející na výrobci konkrétního antivirového ešení. Mezi základní principy a funkce antiviru pat í: Antivirový program vyhledává a kontroluje data na základ virové databáze. V dnešní dob vznikají nové viry a jejich mutace tak rychle, že výrobce musí na tuto situaci reagovat 24 hodin denn . Tato virová databáze je tedy pr b žn aktualizována a je k dispozici uživatel m ke stažení, což se v tšinou d je automaticky stažením z internetu. Antivirové programy dnes všechna data, ke kterým p istupujeme, kontrolují na pozadí. Tuto innost v tšinou uživatel nezaregistruje, pokud je antivirový program dostate n rychlý a soubor není infikován. Antiviry nabízejí také funkci skenování soubor na vyžádání uživatele s nastavitelnou úrovní analýzy soubor . Rezidentní programy – neboli rezidentní ochrana antivirového programu pr b žn kontroluje provoz na po íta i a chrání jej tak v reálném ase p ed pr nikem po íta ových vir . Rezidentní ochrana antivirového programu se n kdy ozna uje jako rezidentní štít. Rezidentní ochranou se rozumí funkce antivirového programu, která neustále na pozadí systémových úloh kontroluje a monitoruje všechny otevírané soubory, složky systému a rovn ž to, s ím momentáln pracujeme. Jestliže máme v po íta i zavirovaný soubor a otev eme jej, potom nám antivirový program pomocí rezidentní ochrany zahlásí p ítomnost malware v konkrétním souboru. Co se s takto nalezeným souborem stane, závisí na nastavení rezidentní ochrany. To, co se zobrazí, je už opravdu pouze oznámení, rezidentní ochrana musí totiž z bezpe nostních d vod zareagovat co nejrychleji a nem že proto ekat na reakci uživatele. Rezidentní ochrana je asto posledním místem, jak zachytit virus p ed jeho spušt ním v opera ní pam ti, p i kterém obvykle dochází k dalšímu ší ení škodlivého kódu. Antivirový program (zkrácen antivir) je po íta ový software, který slouží k identifikaci, odstra ování a eliminaci po íta ových vir a jiného škodlivého kódu (malware). Rezidentní program je takový program, který po spušt ní z stává v opera ní pam ti až do vypnutí po íta e ( i jeho ukon ení) a je schopen na sebe navázat n které d ležité procesy. Konkrétn u antivirových program zajiš uje jeho rezidentní ást nep etržitou kontrolu práv spoušt ných soubor a je tak schopen zachytit nebezpe ný kód p ed jeho na tením do opera ní pam ti (spušt ním).
11
