Menu Zavřít

Kůzlátka, zavírejte vrátka

3. 11. 2005
Autor: Euro.cz

Kolik koní máte pod kapotou počítače?

Již v roce 1988 první zaznamenaný počítačový červ způsobil kolizi předchůdce dnešního internetu. V roce 2003 slavný Blaster nakazil všechny (!) počítače na světě vybavené operačními systémy Windows 2000 a Windows XP. Letos červ Zotob na devadesát minut přerušil dokonce vysílání CNN. A bude hůř - šance, že se uživatelé vyhnou virové nákaze svých počítačů, je minimální.

„Právě jste obdrželi čestný virus. Smažte prosím několik souborů v registrech vašeho operačního systému a rozešlete jej deseti kamarádům.“ Lidská tvořivost nezná mezí, a tak se možná i ve vaší e-mailové schránce objevil podobný skvost. Historie je plná takových klenotů, jež lze považovat v porovnání s dnešními ryze destruktivními viry za žertovná dílka. Virus, který uživateli zobrazí test počítačové gramotnosti a po nesprávném zodpovězení otázek vám nedovolí spustit počítač, politicky angažované viry s textem „stop leninism“ nebo mravokárný malware, jenž zobrazí místo obsahu pornostránek výňatek z textu koránu. Objevují se již od osmdesátých let a nutno podotknout, že měly nezaměnitelnou poetiku a půvab.

Se slzou v oku si počítačoví pamětníci vzpomenou na legendární havěť jako Cascade: po infiltraci do počítačového systému začala písmenka na obrazovce padat ke spodnímu okraji. Nebo virus Ping Pong se skákajícím míčkem či parazitní program, který žádal po uživateli sušenku. S nástupem internetu a komunit fanatiků však dostala tato programátorská disciplína ničivý rozměr.

Když má havěť nožičky

Jeden z Murphyho fundamentálních počítačových zákonů tvrdí, že v každém programu je alespoň jedna chyba. Každý IT odborník i zkušenější uživatel tuto krutou skutečnost potvrdí. V podstatě každá verze masově rozšířených webových prohlížečů a poštovních klientů v sobě mívá nejednu „díru“. Tyto bezpečnostní nedostatky pak fungují jako dveře, díky nimž se může virus infiltrovat do systému.

Nezvaný host je v mnoha ohledech podobný svým biologickým protějškům. I virus složený z binárního kódu je totiž schopen sebereplikace, přičemž hostitelem mu mohou být například systémové oblasti disku nebo spustitelné soubory. Prostředníkem může být i běžná aplikace jako Microsoft Word – jakmile je hostitelský program spuštěn, aktivuje se i kód viru. Poté se příšerka obvykle snaží dále zmnožovat připojením k dalším aplikacím a souborům, čímž narušuje strukturu systému. Počítač onemocní.

Kondomy nestačí

Existuje stoprocentně účinná metoda, jak útok parazitů eliminovat? S prevencí je to podobné jako s pohlavními chorobami: neprovozujte sex, ergo vůbec nepoužívejte počítač. Komu připadá toto opatření příliš drastické, musí kombinovat několik postupů, a i tak je pravděpodobnost, že se mu nepříjemnosti vyhnou, minimální. A bude hůř. Ve světě se denně objeví zhruba deset nových počítačových virů nebo nebezpečných kódů. Obvykle se jedná o vylepšené koncepce předchůdců. Jsou ale destruktivnější, záludnější, hůře rozpoznatelné a mají velice rychlý dopravní prostředek – internet. Riziková jsou ale i fyzická média v podobě disket, CD nebo DVD disků.

Nic nového. A nic nového ani v ochraně. Pravidlem číslo jedna je pořád ještě obezřetnost, zálohování dat a pravidelně aktualizovaný antivirový program.

Mýtus o vybuchujícím počítači

Na často kladenou otázku, zda může virus přímo poškodit hardware neboli fyzické komponenty počítače, lze v dnešní době naštěstí odpovědět: V žádném případě. V minulosti se sice objevovaly případy, kdy parazit zapříčinil neustálým opakováním jednoho příkazu zahlcení systému a následné přehřátí části procesoru, rozkmitání hlavy pevného disku do krizové polohy, kdy se odlomila. To proto, že architektura hardwaru s takovými okolnostmi nepočítala. Vývoj všechny tyto nedostatky odstranil a jakékoliv obavy jsou v dnešní době liché.

To však neznamená, že ani ten nejmenší a v podstatě neviditelný program nedokáže napáchat zcela reálné škody. Příkladem za všechny jsou takzvané trojské koně (pro zjednodušení tak budeme nazývat větev zahrnující backdoor či špionážní programy spyware). V porovnání s viry nejsou „trojani“ schopni sebereplikace a řetězcové nákazy souborů. Momentálně jsou však v módě a velká většina z nich je variantou plnohodnotného viru, okleštěnou pouze o funkci množení.

Jak název napovídá, trojský kůň obvykle vypadá jako užitečný program a typicky se schovává pod spustitelným souborem s koncovkou .exe, který se nenápadně zařadí mezi spustitelné soubory nebo do systémové oblasti computeru. Nejdůležitější krok ale musí učinit uživatel – bez kliknutí na přiložený „exáč“ v elektronické poště či nainstalování obsahu z pochybných stránek se havěť neobejde.

Její usazení v počítači však může mít dalekosáhlé následky, počínaje nabouráním e-mailové schránky a vyrabováním bankovního konta konče. Mluvíme o takzvaných PWS, neboli trojských koních, jejichž cílem je zjištění tajných hesel a jejich následné odeslání na předdefinovanou adresu. Pokud například vyřizujete bankovní transakce přes internet, za určitých okolností může tento vyšší druh spyware získat „čtením klávesnice“ i velice choulostivá hesla.

Většina „koní“ je však destruktivní povahy. Po infiltraci a následném spuštění likvidují soubory na harddisku, v horším případě zničí všechna data surovým zformátováním. Do této kategorie se řadí většina trojanů s příponou .bat.

Po infekci obtížnou havětí z kategorie spyware se v podstatě opakuje stejný scénář: tyto programy odesílají data o vašem pohybu na internetových stránkách a stahují z internetu další škodlivé kódy. Na monitoru poté vyskakují reklamní okna nebo je počítač zahlcen a jeho výkon zpomalen do té míry, že je v podstatě nepoužitelný. Poté je nutné zformátovat pevný disk a přeinstalovat operační systém.

Výkonnější než porsche

Většina uživatelů se začne zajímat o léčbu počítače až po infekci, kdy se začnou projevovat destruktivní příznaky. Tato lehkovážnost vás může vynést až na první příčku v žebříčku „Totálně nabouraných počítačů“. Po instalaci programů pro detekci a odstranění malwaru (škodlivých programů) takového uživatele zřejmě překvapí, že se mu „pod kapotou“ prohání i několik stovek koní. Nehledě na další havěť. Obzvláště nebezpeční jsou takzvaní červi, jež nelze detekovat standardními metodami, protože pracují na nižší síťové úrovni nežli klasické viry. Novodobí červi si s sebou navíc nosí trojského kumpána.

Pod názvy nejrozšířenějších červů Blaster, Sasser, SQL Slammer, MyDoom nebo Zotob se skrývá infekce operačního systému zneužitím bezpečnostních děr a následná produkce dalších paketů, které mohou kompletně zahltit síť, což může znamenat nejen pro firmy malou apokalypsu.

Prvně jmenovaný se stal jakýmsi kultem a králem mezi červy: Blaster (LovSan) se zhruba před dvěma lety velice rychle rozšířil do všech počítačů připojených na internet a vybavených operačními systémy Windows 2000/XP bez aktualizovaných záplat. Jednalo se tak o nejrozsáhlejší infiltraci v historii. Červ si vynucoval restartování s šedesátivteřinovým odpočtem, takže byl počítač bez odborného zásahu nepoužitelný.

Surfujte za desetitisíce

Značnou pozornost si v minulosti vysloužily i takzvané dialery, jež dokázaly znásobit účet za surfování na internetu a přidělat tím vrásky nejednomu „modemáři“. Jejich podstatou je přesměrování připojení z původně nastaveného telefonního čísla na takzvané žluté linky. Při mnohonásobně dražším tarifu nebyly výjimkou složenky na částku v řádu desítek tisíc korun. Jednoduchou právní kličkou se navíc část dialerů pohybovala v legální sféře: stačilo nastražit okno s textem o zpoplatnění napsaném v exotickém jazyce a počkat na náhodné aktivování služby nezkušeným nebo zbrklým uživatelem. Zde právě narážíme na základní kámen prevence proti podobným potvorám: Neklikat na vše, co se na monitoru zobrazí. Autoři virů jsou stále při chuti a způsoby šíření škodlivých kódů se neustále zdokonalují. Mohutný vývoj této škodné evokuje logickou otázku: „Kdo za tvorbou virů stojí a jaký mu přináší užitek?“

Teroristi, umělci a sběratelé

V první řadě je nutné vyloučit firmy nabízející antivirové produkty. Riziko, že se tato skutečnost provalí, si nikdo nevezme na triko. Naprostá většina nejrozšířenějších virů pochází od jednotlivých fanatiků a celých skupin kyberteroristů, kteří si vytyčili jednoduchý cíl: uškodit, proslavit svůj výtvor co největším počtem infikovaných počítačů a hlavně si vydobýt respekt u obdobně smýšlejících jedinců.

Příbuznou větví jsou podnikavci, kteří vytvářejí trojské koně a spyware za účelem obohacení. Databáze s citlivými údaji a statistickými daty jsou žádaným zbožím s velkým marketingovým potenciálem.

Na druhé straně morální barikády stojí programátoři, kteří si nechávají říkat umělci a koncipují často hravá díla. Tato havěť sice může obtěžovat, základní motivací ale není destrukce a umělci světové virové scény obvykle své kousky nevysílají do oběhu. Svého koníčka navíc provozují zcela otevřeně, na internetu vystavují zdrojové kódy svých virů včetně přezdívek. Zaznamenáníhodným projektem je například virus vypuštěný před více než čtyřmi lety - při příležitosti benátského Biennale si prožili patnáct minut slávy členové panevropské 0100101110101101.ORG a spřátelené epidemiC. V hysterické době, kdy tato programátorská disciplína zažívala mediální boom, byl neškodný virus „biennale.py“ vpravdě uměleckým počinem. Ve Slovinském pavilonu byla v souvislosti s produkcí nezvaného hosta vystavena kolekce triček s natištěným zdrojovým kódem viru. Tyto svršky nesly výmluvné poselství o virtuální havěti „přenositelné“ člověkem.

Nejznámější viry

Brain (1986)
Podle všeho první virus, naprogramovaný bratry s příjmením Farooq Alvi z Pákistánu, sloužil podle dostupných informací jako bič na pirátské kopie jejich softwaru. Poměrně pokročilý škodlivý kód údajně sloužil také jako propagační prostor pro jejich firmu.

Cascade, Christmas tree (1987)
Legendární Cascade, jehož průvodním jevem jsou písmenka padající ke spodnímu okraji obrazovky, je v současnosti vyhledávaným sběratelským artiklem. Zlidověl i síťový virus Christmas tree, který byl zaznamenán v prosinci a po infekci počítače zobrazil na monitoru obrázek vánočního stromku.

Jerusalem, Morris Worm (1988)
Virus Jerusalem zavřel pusu všem odborníkům včetně Petera Nortona, pozdějšího autora známého antivirového programu. Jejich tvrzení, že počítačové viry reálně neexistují, bylo rozšířeným virem smazáno. V témže roce se objevil první zaznamenaný červ, jehož autorem byl Robert Morfia, první z odsouzených na základě amerického zákona proti zneužití počítačů. Jeho červ způsobil kolizi předchůdce dnešního internetu a zasáhl více než šest tisíc počítačů.

PS-MPC generátor (1992)
Jeden z nejpoužívanějších generátorů, které byly v této době v kurzu. I nezkušený uživatel mohl prostým nastavením parametrů vygenerovat svůj vlastní virus s příznaky a způsobem šíření podle přání. PS-MPC je otcem více než tisícovky virů.

One_Half.3544 (1994)
Legendární virus vytvořený na Slovensku, který byl díky své architektuře neviditelný pro většinu rozšířených antivirů ještě dlouho po vypuknutí epidemie. One_Half.3544 kódoval data na harddisku a dokázal zničit i „zamčený“ obsah.

Word-Concept (1995)
První makrovirus, tedy havěť schopná šíření pomocí aplikací. V tomto případě se jednalo o Microsoft Word. České republice se nákaza v podstatě vyhnula, protože aplikace byly lokalizovány do češtiny i do funkcí makrojazyka. Ironickou pointou byl kód tohoto viru, který byl vystaven ve stejném roce na internetu – obsahoval totiž další makrovirus Word-Nuclear.

ILoveYou (2000)
Červ, který se dostal do zpráv v hlavním vysílacím čase televizí po celém světě. Malware v příloze „milostného“ dopisu se šířil rekordní rychlostí a způsobil škody v řádu miliard.

W32.Winux (2001)
Zřejmě první počítačový virus, který se dokázal infiltrovat i do počítačů s operačním systémem Linux. Nezpůsoboval však ztrátu dat a neuměl se dále šířit.

Blaster (LovSan) (2003)
Síťový červ, který měl spadeno na OS Windows společnosti Microsoft. Blaster infikoval počítač skrze softwarovou chybu objevenou v červenci 2003, průvodním znakem byl vynucený restart počítače. Šířil se jako lavina a během velice krátké doby se infiltroval v podstatě do všech počítačů se systémem Windows 2000 a XP bez aktualizovaných záplat.

MyDoom (leden 2004)
Červ, který napadl během prvních 24 hodin 1,2 milionu počítačů. Příloha e-mailové zprávy obsahovala škodlivý kód, který umožňoval při dalším připojení na internet neautorizovaný přístup a zároveň se odeslal na všechny adresy elektronické pošty uložené v počítači.

Zotob (2005)
„Slavný“ virus typu červ, jehož autoři byli slavně vypátráni FBI a zatčeni. V napadeném počítači instaluje trojského koně umožňujícího neautorizovaný přístup. Jedna z variant této velice rychle se šířící infekce údajně přerušila na devadesát minut i vysílání televizní stanice CNN.

Kam nemůže lékař…
Pro boj s havětí doporučujeme:

avast! 4.6 (www.asw.cz)
Jeden z nejlepších a celosvětově uznávaných hubitelů je produktem české společnosti Alwil Software. O jeho kvalitách přesvědčuje řada ocenění. Antivirový program nabízející příjemné uživatelské rozhraní lze nainstalovat pro domácí použití zdarma.

AVG 7.0 (free.grisoft.com)
Komplexní antivirové řešení společnosti Grisoft, původně české firmy, nedávno prodané do rukou Intel Capital a investiční Enterprise Investors. Podporuje vyhledávání známých virů, skenování došlé pošty i rezidentní kontrolu spouštěných a ukládaných programů. K dispozici je i ve freeware verzi AVG 7.344.

NOD32 Standard Edition 2.5 (www.esetsoftware.cz)
Produkt určený pro pracovní stanice i domácí počítače, vyvinutý slovenskou společností Eset. Oceňovaný software pro identifikaci a odstraňování virů využívá nové technologie včetně heuristické analýzy, díky níž dokáže detekovat i hůře rozpoznatelnou havěť.

bitcoin_skoleni

Další:
Norton Antivirus 2005 (www.symantec.com)
Kaspersky Anti-virus Personal 5.03.83 (www.kaspersky.com)
Mcafee Viruscan 7 (us.mcafee.com)
Panda Titanum Antivirus 2005 (www.pronetix.sk)
AntiVir PersonalEdition Classic 6.32 (www.free-av.com)
Norman Virus Control 5.81 (norman.com)

  • Našli jste v článku chybu?