Po absolvování tohoto tématu dovedete:

Transkript

1 Po absolvování tohoto tématu dovedete: Stránky: BIVŠ Moodle Kurz: Základy informatiky I Kniha: Malware Vytiskl(a): Správa Uživatel Datum: Saturday, 28. June 2014,

2 2 1 Historie PC viru 2 Malware; Boot viry, P episující souborové viry 3 Doprovodné viry, Link viry 4 Spyware, Adware 5 Hoax, Phishing 6 Trojské kon 7 Multiparitní viry, makroviry 8 Antivirové programy, rezidentní programy

3 3 Sci-fi literatura p edpov d la již v 60. letech. V reálu se malware objevil až v 80. letech. Nejstarší Trojské kon, snažily se p edstírat užite nost P íklady: 1985 EGABTR sliboval lepší grafiku, ve skute nosti mazal a když domazal, napsal Arf! Arf! Gotcha Hra Nuklea po dohrání na disku nic nezbylo P elom 80. až 90. let, trojani se vydávají za antivirové programy, místo hledání vir rovnou mažou disk První virus 1986 Brain (brat i Basit a Amjads Farooq Alvi z Pakistánu Lahore. Údajn ho dávali jako bonus cizinc m, kte í si u nich v obchod kupovali nelegální software. Experimenty p. Franka. Jeho první pokus s viry na po íta i VAX 11/750 pod UNIXem, nad kterým ztratil po p l hodin kontrolu Lehigh, Stoned, Vienna, Cascade. Posledn jmenovaný slavná padající písmenka na obrazovce. XI.1988 Robert T. Morris vypustil do sv ta tzv. Morris v erv. erv napadl kolem 6000 unixových po íta tehdejší sí 36 hodin, erv se dostal i do Lawrence Livermore National Laboratory, škody 100 milión dolar., blokoval 1988 antivirové programy - McAfee VirusScan, Dr. Solomon AVTK polymorfní viry - viry, u nichž vypadá každý exemplá na venek odlišn. Antiviry vyhledávají podle et zc. Stealth viry, tj. viry, které se dokážou maskovat v systému. P íklad virus Frodo, který sledoval manipulaci se soubory a uživateli nebo antiviru p edhazoval nezávadné verze t chto, ve skute nosti infikovaných soubor Tequila první multipartitní virus. Multipartitní viry dokážou napadnout systémové oblasti disku i soubory. Tequila byla navíc polymorfní a pro jistotu i typu stealth One_Half.3544.A - Siln polymorfní a multipartitní virus ze Slovenska. ada antivir ho nedokázala stoprocentn detekovat Form - Opera ní systém Windows 95 sliboval zánik po íta ových vir. Boot virus Form, byl spole ností Microsoft distribuován spole n s Windows 95 beta tester m na instala ních disketách. Windows 95 neznamenal konec vir m makrovirus Concept - ší í se v dokumentech MS Word. Dlouhou dobu nejrozší en jší vir (tehdejší antiviry nebyly na makroviry p ipraveny). Relativní klid panoval u majitel eských verzí pod eskou verzí nefungovalo. Od verze MS Office 97 makroviry funk ní i v eských verzích 1995 Win95/Boza.A - První opravdový virus pro Windows Win95/Punch pam ov rezidentní, p ežíval v pam ti jako VxD ovlada Laroux první makrovirus pro MS Excel Win95/CIH noviná i nazvaný ernobyl. Vždy 26. dubna (záleželo na variant ) se pokusil p emazat pam Flash BIOS na základní desce a ást dat na disku. První pop el tezi, že virus neohrozí hardware Skriptové viry nap íklad VBS/Rabbit nebo HTML/Internal Skriptové viry mass-mailing, W97M/Melissa.A@mm.

4 4 Úvodem tohoto bloku je pot eba vysv tlit výraz malware ten vznikl složením anglických slov malicious (záke ný) a software a popisuje zám r autora takového programu spíše než jeho specifické vlastnosti. Pod souhrnné ozna ení malware se zahrnují po íta ové viry, trojské kon, spyware a adware a podobn. Po íta ový virus, za který je v tšinou (chybn ) ozna ován jakýkoliv malware, je škodlivý program i kód, který se dokáže sám ší it bez v domí uživatele. Takový program se tedy chová obdobn jako biologický virus. V souladu s touto analogií se n kdy procesu ší ení viru íká nakažení i infekce a napadenému souboru hostitel. Boot viry napadají systémové oblasti disku. Ší í se po restartu po íta e, který má povoleno zavád ní systému z externího média (disketa, USB disk, ) s boot virem. Vir se spustí a napadne systémové oblasti pevného disku. P i dalším spušt ní po íta e se boot vir inicializuje z pevného disku a napadá další externí pam ová úložišt, které uživatel použije. Hlavní výhodou bootvir je to, že se dostanou do pam ti jako v bec první program zavád ný z disku nebo diskety. Díky tomu mají k dispozici informace o stavu po íta e bezprost edn po jeho startu a mohou také ovliv ovat innost všech následn spušt ných program. Souborové viry napadají pouze soubory, které obsahují spustitelný kód - programy. V napadeném programu p epíší ást kódu svým vlastním, nebo vlastní kód k programu p ipojí a tím zm ní jeho velikost a chování. Jsou velmi snadno rozpoznatelné, jelikož p episem zni í p vodní program. Základem této problematiky je termín malware, kterým se ozna uje veškerá hav ohrožující naše za ízení. Jedená se o víry, rootkity, boot viry, souborové viry, trojské kon a spoustu dalších, které jsou vysv tleny v následujících kapitolách. Boot viry napadají systémové oblasti disku a po restartu se zavád jí do opera ní pam ti, kde mohou za ít páchat škody a dále se ší it. Souborové viry napadají pouze spustitelné soubory programy. Nahradí ást p vodního kódu vlastním a tím jsou velmi snadno rozpoznatelné. P vodní program po napadení p estává díky p episu jeho vlastního kódu fungovat.

5 5 Doprovodné viry využívají chyb n kterých opera ních systém, které p i požadavku na spušt ní programu se pokouší nejd íve vyhledat a spustit.com p íponu a poté až.exe. Tyto viry vytvo í své kopie se shodným názvem souboru, ale p íponou.com, ímž se p i spušt ní programu nejprve spustí virus, který provede vše, co uzná za vhodné, a poté p edá ízení p vodnímu programu s.exe p íponou. Tento zp sob ší ení není p íliš efektivní a má jedinou výhodu doprovodný virus nemusí modifikovat obsah žádného existujícího souboru a je tedy mén pravd podobné, že ho zachytí n jaká kontrola integrity dat nebo rezidentní ochrana. Jen pro up esn ní doplním, že tento vir byl nebezpe ný hlavn pro opera ní systém MS-DOS. Link viry takto ozna ujeme ty souborové viry, které se p ipojují k infikovanému souboru a zachovávají jeho p vodní funkce. Je z ejmé, že tyto viry mají daleko v tší šanci na úsp ch a své maskování. Tyto viry modifikují kód své ob ti tak, aby p i spušt ní infikovaného souboru byl spušt n kód viru, který vykoná vše, co považuje za nutné, a poté obnoví a spustí p vodní program. Doprovodné viry a link viry jsou další druhy souborových vir. Doprovodné viry využívali d ív jší zranitelnosti opera ních systém, které p i spušt ní nejd íve hledali soubor s p íponou.com a poté až.exe. Po provedení požadovaných akcí vir p edal ízení p vodnímu programu a tím se do jisté míry ú inn maskoval. Link viry se nabalují k napadenému programu, ale zachovávají jeho funkce, na rozdíl od souborových vir. Po provedení plánovaných inností p edá vir ízení zp t p vodnímu programu.

6 6 Spyware (z anglického spy špión) je škodlivý program, jehož cílem je odesílat data z vašeho po íta e. M že se jednat o obchodní informace, sledování vašeho chování na internetu, odeslání p ihlašovacích jmén a hesel, ísla kreditních karet a další. N který spyware umož uje vzdálen ovládat po íta, takže úto ník m že s po íta em nakládat jakkoliv uzná za vhodné. Spyware se asto nainstaluje spole n s instalací "legitimního" software a s v domím autora legitimního programu, který si instalujete. Za distribuci spyware dostávají mnohdy auto i korektních program zaplaceno. Adware (z anglického ad reklama) se do po íta e op t dostává za v domí uživatele a p evážn i s jeho souhlasem, podobn jako je to u spyware. Odlišuje se tím, že na rozdíl od vynášení citlivých informací zobrazuje nevyžádanou reklamu, ímž dokáže do zna né míry znep íjemnit práci s po íta em. Jedním p íklad m že být nap íklad zm na domovské stránky a vyhledáva e internetového prohlíže e. Spyware a Adware je malware obt žující uživatele napadeného po íta e. Spyware je vytvá en s cílem odcizit citlivé údaje a Adware s cílem zobrazovat nevyžádanou reklamu na po íta i uživatele. Spyware i Adware mohou být ší eny bu samostatn, p ípadn jako sou ást legitimního software, který si v dom stahujeme (díky emuž autor software dostane zaplaceno od tv rce Spyware i Adware).

7 7 Jedním z velmi astých nešvar, který se na Internetu vyskytuje, je ší ení poplašných, nebezpe ných a zbyte ných et zových zpráv, tzv. hoax. Anglické slovo HOAX [:houks:] v p ekladu znamená falešnou zprávu, mystifikaci, noviná skou kachnu, podvod, poplašnou zprávu, výmysl, žert, kanadský žertík. Typický text poplašné zprávy obsahuje v tšinou tyto body: Popis nebezpe í (viru) - smyšlené nebezpe í (vir) bývá stru n popsané, v p ípad viru bývá uvád ný i zp sob ší ení. Ni ivé ú inky viru - zde záleží p evážn na autorov fantazii. Ni ivé ú inky mohou být celkem oby ejné, t eba zformátování disku nebo už mí d v ryhodné - zb silý út k myši do ledni ky, rozto ení HDD opa ným sm rem, výbuch po íta e... D v ryhodné zdroje varují - ve v tšin p ípad se pisatel poplašné zprávy snaží p esv d it, že varování p išlo od d v ryhodných zdroj ("IBM a FBI varují" nebo "Microsoft upozor uje" atd...) Výzva k dalšímu rozeslání - tento bod HOAX vždy obsahuje! Mnoho nezkušených uživatel se nechá zprávou napálit a bez p emýšlení výzvu uposlechnou. Práv proto se tyto nesmysly lavinovit ší í. Phishing ozna uje podvodné ové útoky na uživatele Internetu, jejichž cílem je vylákat d v rné informace. Nej ast ji jsou to údaje k platebním kartám v etn PINu nebo r zné p ihlašovací údaje k ú t m. Nemusí jít jenom o ú ty p ímo bankovní, ale také ostatních organizací, kde dochází k manipulaci s pen zi nebo je možné jakýmkoliv zp sobem zneužit jejich služeb. P íkladem m žem být PayPal, ebay, Skype, Google. Typické znaky phishingového u: Snaží se vyvolat dojem, že byl odeslán organizací z jejichž klient se snaží vylákat d v rné informace. Toho se snaží docílit grafickou podobou u a zfalšováním adresy odesílatele. Text m že vypadat jako informace o neprovedení platby, výzva k aktualizaci bezpe nostních údaj, oznámení o do asném zablokování ú tu i platební karty, výzkum klientské spokojenosti nebo jako elektronický bulletin pro klienty. V textu zprávy je link, který na první pohled v tšinou vypadá, že sm uje na stránky organizace (banky). P i jeho bližším prozkoumání zjistíte, že ve skute nosti odkazuje na jiné místo, kde jsou umíst né podvodné stránky. P íklad Phishingu eská spo itelna Ukázkový Phishing, kdy byla zkopírována úto níkem p ihlašovací stránka do elektronického bankovnictví eské spo itelny. Stránka se tvá ila jako pravá, jediným signálem byla adresa webové stránky, kdy na místo zde bylo uvedeno Nezkušený uživatel tento detail snadno p ehlédl a vyplil své p ihlašovací jméno a heslo do úto níkova formulá e. Po odeslání systém vrátil informaci, že byly zadány chybné údaje a požádal o op tovné zadání. Ihned také p esm roval klienta na správnou oficiální stránku bankovnictví eské spo itelny. Na druhý pokus vše fungovalo jak m lo a klient se p ihlásil, aniž by mu došlo, že p i prvním pokusu p edal své p ihlašovací údaje díky podvržené stránce úto níkovi. Tento p ípad vedl k zavedené autentizace pomocí SMS kódu, která zhoršila do jisté míry vstup do bankovnictví, ale také není nep ekonatelná.

8 8 Hoax i phishing pat í mezi techniky sociálního inženýrství, které vychází z manipulovatelnosti a d v ivosti lidí. Hoax je škodlivý o do ší ení poplašné zprávy, na rozdíl od phishingu, který se cílen snaží odcizit vaše p ihlašovací údaje do r zných portál i jiné d v rné informace.

9 9 Trojský k je jedním z druh Malware, stejn jako nap íklad po íta ový virus, link virus a podobn. Ozna ení trojské kon získaly podloudné prográmky podle starov kých eckých bájí, kdy se ekové rozhodli dobýt m sto Trója úsko nou lstí darovali tam jším obyvatel m d ev ného kon, v jehož útrobách byli skryti vojáci. Paralela s novodobými elektronickými verzemi trojských ko je nabíledni, protože oproti klasickým vir m se trojské kon nej ast ji ší í tak, že se vydávají za na první pohled neškodný, nebo dokonce nadmíru užite ný, p ípadn zábavný prográmek. Trojský k m že být ší en samostatn v podobn odkazu nap íklad na sociálních sítích upozor ující na nové fotografie, které vám práv zaslal váš p ítel. Po kliknutí na odkaz je ale spušt n trojský k, který infikuje po íta. Druhým zp sobem ší ení m že být p idání k funk nímu programu. Poté je upravená verze ší ena nap íklad pomocí peer-to-peer sítí nebo warez server. Uživatel stažením kopie aplikace (nej ast ji bez platné licence nebo jako voln ší ený program z ned v ryhodného serveru) m že získat pozm n nou kopii aplikace obsahující ást programového kódu trojského kon dodaného t etí stranou. Trojský k v podstat funguje shodn se svou antickou p edlohou. Jedná se o transportní médium, které v sob m že zahrnovat nap íklad sniffer, keylogger, spyware, zadní vrátka, spam server a další. Po íta ové trojské kon jsou typem infiltrace, které se snaží maskovat za užite né programy. Jejich hlavním cílem je získat snadný p ístup do systému, aby tam mohli vykonávat škodlivou innost.

10 10 Multipartitní viry využívají jednu z hlavní výhod bootvir a to, že se dostanou do pam ti jako v bec první program zavád ný z disku nebo diskety. Díky tomu mají k dispozici informace o stavu po íta e bezprost edn po jeho startu a mohou také ovliv ovat innost všech následn spušt ných program. Multipartitní viry dokáží infikovat nejen Partition tabulku pevného disku, ale i spustitelné soubory. P i útoku na soubor mohou multipartitní viry použít libovolný postup souborové infekce a napadení systémové oblasti je shodné s technikami používanými b žnými bootviry. Jednou z technicky zajímavých pasáží je, že multipartitní virus se po svém zavedení ze systémové oblasti do pam ti musí chvíli chovat trp liv po kat, až bude dokon eno zavád ní opera ního systému a teprve poté p evzít kontrolu. Jedním z hlavních p edstavitel této skupiny vir byl One_Half, jeden z v bec nejrozší en jších vir v historii PC. Makroviry napadají datové soubory - dokumenty vytvo ené v n kterých kancelá ských aplikacích. Využívají toho, že tyto soubory neobsahují pouze data, ale i makra, která viry využívají ke svému ší ení. Jsou napadány p edevším dokumenty aplikací MS Office, výjime n byly zaznamenány i p ípady dokument jiných aplikací. Možnosti jazyka Visual Basic for Aplications, ve kterém jsou psána makra, jsou velmi rozsáhlé a bezpe nost byla zvlášt v d ív jších dobách minimální. P íkladem m že být vir W97M Melissa, který p i své aktivaci použije dokument, na n mž uživatel zrovna pracuje, infikuje jej a rozešle elektronickou poštou na 50 náhodn vybraných adres z adresá e uživatele. Multiparitní viry kombinují p ístupy boot vir a souborových vir a napadají tak soubory i systémové oblasti disku. Makroviry oproti tomu napadají datové soubory dokumenty nej ast ji vytvo ené pro aplikace Microsoft Word a Excel. To je možné díky jejich funkci spoušt t makra, která využívají programovací jazyk Microsoft Visual Basic.

11 11 Antivirový program je programové vybavení po íta e (aplika ní software), který slouží k nalezení a eliminaci škodlivého kódu (malware) v po íta i, i jiném za ízení (mobilní telefon, tablet, ). Antivirový program sleduje všechny nejpodstatn jší vstupní/výstupní místa, kterými by malware mohl do po íta ového systému proniknout. Pokud jde o malware jako takový, m žeme íci, že se jedná o nežádoucí a ve v tšin p ípad škodící kód, který se cílen ší í. Antivirové programy m žeme rozd lit nap íklad takto: On-demand skenery - spoušt jí se p es rozhraní p enosných OS a jsou ur eny pro p ípad, že systém není z d vodu poškození schopen nastartovat b žným zp sobem. Jednoú elové antiviry - jde o antivirové programy, které jsou zam eny na detekci, pop ípad i odstran ní jednoho konkrétního malware, pop ípad menší skupiny vir. Tyto antiviry vznikají v tšinou k likvidaci aktuáln rozší eného malware. Antivirové systémy - jde o komplexní antivirové ešení, které má za úkol ochránit váš po íta p ed širokou škálou nežádoucího malware. Tento komplexní nástroj m že mít ve výbav firewall a další specializované nástroje, závisející na výrobci konkrétního antivirového ešení. Mezi základní principy a funkce antiviru pat í: Antivirový program vyhledává a kontroluje data na základ virové databáze. V dnešní dob vznikají nové viry a jejich mutace tak rychle, že výrobce musí na tuto situaci reagovat 24 hodin denn. Tato virová databáze je tedy pr b žn aktualizována a je k dispozici uživatel m ke stažení, což se v tšinou d je automaticky stažením z internetu. Antivirové programy dnes všechna data, ke kterým p istupujeme, kontrolují na pozadí. Tuto innost v tšinou uživatel nezaregistruje, pokud je antivirový program dostate n rychlý a soubor není infikován. Antiviry nabízejí také funkci skenování soubor na vyžádání uživatele s nastavitelnou úrovní analýzy soubor. Rezidentní programy neboli rezidentní ochrana antivirového programu pr b žn kontroluje provoz na po íta i a chrání jej tak v reálném ase p ed pr nikem po íta ových vir. Rezidentní ochrana antivirového programu se n kdy ozna uje jako rezidentní štít. Rezidentní ochranou se rozumí funkce antivirového programu, která neustále na pozadí systémových úloh kontroluje a monitoruje všechny otevírané soubory, složky systému a rovn ž to, s ím momentáln pracujeme. Jestliže máme v po íta i zavirovaný soubor a otev eme jej, potom nám antivirový program pomocí rezidentní ochrany zahlásí p ítomnost malware v konkrétním souboru. Co se s takto nalezeným souborem stane, závisí na nastavení rezidentní ochrany. To, co se zobrazí, je už opravdu pouze oznámení, rezidentní ochrana musí totiž z bezpe nostních d vod zareagovat co nejrychleji a nem že proto ekat na reakci uživatele. Rezidentní ochrana je asto posledním místem, jak zachytit virus p ed jeho spušt ním v opera ní pam ti, p i kterém obvykle dochází k dalšímu ší ení škodlivého kódu. Antivirový program (zkrácen antivir) je po íta ový software, který slouží k identifikaci, odstra ování a eliminaci po íta ových vir a jiného škodlivého kódu (malware). Rezidentní program je takový program, který po spušt ní z stává v opera ní pam ti až do vypnutí po íta e ( i jeho ukon ení) a je schopen na sebe navázat n které d ležité procesy. Konkrétn u antivirových program zajiš uje jeho rezidentní ást nep etržitou kontrolu práv spoušt ných soubor a je tak schopen zachytit nebezpe ný kód p ed jeho na tením do opera ní pam ti (spušt ním).