Mailem se šířící viry musí pro své úspěšné přežití přesvědčit příjemce infikované zprávy že otevření přiloženého dokumentu je dobrý nápad. Pokusme se podívat na prostředky, které k tomu používají.
Internet
Nevím jak budou jednou badatelé říkat naší epoše, ale nejspíš "mladší doba internetová". Skoro si troufám říct, že Internet přinesl revoluční změnu (třetí v pořadí) v komunikaci mezi lidmi. Objev řeči dovolil výměnu informací mezi jedinci, vynález knihtisku umožnil autorovi sdělit jeho moudra "všem" lidem a Internet efektivně zprostředkovává komunikaci "všech se
všemi".
Ostatně se domnívám, že rozmach Internetu definitivně dokázal známou cimrmanologickou poučku, že řeč nevznikla z potřeby domluvy při společné práci, ale že se člověk prostě potřebuje vykecat. Internet je dnes neuvěřitelně rozsáhlou sbírkou zbytečných a nepřesných informací, přehlídkou silných řečí vedených z bezpečné anonymity nějaké freemailové adresy a neustále opakovaných poťouchlostí všeho
druhu. Předpokládám, že každý kdo Internet používal déle jak hodinu, už příliš dobře ví, jak se anglicky řekne Kryštof Harant z Polžic a Bezdružic nebo dokáže rozluštit hádanku "je to černé a ťuká to na sklo". Kromě blábolů všeho druhu ale Internet obsahuje také slušné množství užitečných informací (tedy alespoň zatím) a tak s ním víceméně spokojeně přežíváme a každou minutu se k nám přidávají mraky dalších uživatelů.Internet a viry
Jak by na světě bylo krásně, kdyby jediným problémem Internetu byl trošku vyšší podíl blábolení na jeho obsahu. Internet je ale také bohužel nejnebezpečnějším zdrojem infekce. Ne snad, že by ostatní způsoby šíření virů vymíraly, ale email dnes v tomto orchestru jednoznačně hraje první housle. Umožňuje totiž masivní šíření infekce v relativně krátkém čase. Například první mass mailing virus - W97M/Melissa.A potřeboval ke svému celosvětovému rozšíření čtyři dny a byla to rychlost na tu dobu nevídaná. I-Worm/ExploreZIP to zvládnul za den - byť jeho epidemie nezasáhla takové množství počítačů jako bývá zvykem u ostatních rozšířenějších mass-mailing virů. VBS/LoveLetter (známý jako Iloveyou) byl všude za čtyři hodiny a (zatím) poslední rekordman (I-Worm/Klez.H) potřeboval jenom půl hodiny.
Jenom pro ilustraci jsem vytáhnul pár dat sesbíraných firmou Messagelabs, která kontroluje maily svých zákazníků:
[*IMG ALLTIME *]
Tuhle "all-time" hitparádu, sčítající nalezené exempláře virů za celou dobu fungování Messagelabs, mám velmi rád. Je nutně nepřesná protože počet klientů (a tím i kontrolovaných emailových adres) se v čase mění, ale pro hrubou představu o tom jak vypadá "první liga" ve virové hitparádě bohatě stačí.
[*IMG VIR_EML *]
Tento graf zobrazuje na kolik mailů zkontrolovaných v Messagelabs připadl jeden zavirovaný. Asi nepřekvapí, že rekordní hodnoty najdeme v dobách epidemie vrcholící virů I-Worm/SirCam (prosinec 2001) a I-Worm/Klez.H (květen 2002), ale za pozornost určitě stojí ta čísla jako taková: V dobách zuřících epidemií je v každých 200 mailech nalezen alespoň jeden virus!
A to se prosím pěkně bavíme o všech emailech. Pokud se podíváme na maily, které jako přílohu obsahují spustitelný program, tak dostaneme mnohem zábavnější čísla. Tohle je například reálná statistika jednoho "běžného" dne v Messagelabs: Zachyceno bylo celkem 11000 EXE souborů. Z toho bylo 8000 známých virů a 2700 známých žertovných programů, takže jenom 300 souborů bylo snad možná případně mohlo obsahovat něco užitečného. Domnívám se ovšem že většina z to
ho byly také žertovné programy, pouze v čase toho testování ještě neznámé. Zdá se tedy, že implementovat na mailserveru pravidlo blokující doručení všech spustitelných souborů vůbec není špatný nápad!Spustím se sám
Čestnou výjimkou z pravidla o "nutnosti spolupráce" uživatele při šíření emailového viru představují viry využívající chyb ve starších verzích Internet Exploreru. Na první pohled se pravda může zdát, že webový browser má se zpracováním pošty společného asi tolik jako tuzemské politické strany se slušností, ale v integrovaném světě Windows používají mailery Outlook a Outlook Express pro zobrazení HTML formátované zprávy služeb Exploreru.
Vedlejším účinkem tohoto řešení je, že HTML mail je zpracováván opravdu důkladně - včetně třeba věcí jako automatického přehrání přiloženého souboru se zvuky. To je sice jenom pitomoučké, ale zase až tak by to nevadilo. Kdyby. Kdyby se do zpracování nevloudila drobná chybička. Starší verze Exploreru totiž narazí na informaci, že přiložen je zvukový doprovod a odešle ten soubor do dalších vrstev Windows s pokynem "přehrejte to". Pokud je ovšem místo korektního audio souboru přiložen spustitelný program, tak je díky svému původu prohlášen za bezpečný kus kódu a bez milosti spuštěn. Tento trik patří k běžné výbavě většiny novějších virů a proto bych uživatelům Outlooku a Outlook Expressu vřele doporučil stáhnout a aplikovat bezpečnostní záplaty, které pro zavření pár bezpečnostních děr Microsoft vydal.
Jak zamaskovat co jsem zač
Ve Windowsoidním světě o typu souboru rozhoduje jeho jméno, resp. přípona a jen trošku zkušenější uživatelé jsou už zvyklí si dávat pozor na napadnutelné soubory nejprofláknutějších typů. Proto konstrukce jméno souboru připojeného k virem poslané zprávě hraje důležitou roli.
Tři králové: SCR, PIF a LNK
Soubor AHOJ.EXE dorazivší mailem si dnes už za normálních spustí pravděpodobně jenom velmi dobrodružná povaha. Viroví pisálci ale objevili další přípony, které mají z praktického pohledu na věc stejný význam. Stačí vzít normální EXE soubor, přejmenovat ho s použitím některé z těchto přípon a double click ve Windows ho spolehlivě spustí.
Ikona
Soubor typu EXE v sobě nese i informaci o tom, jak má vypadat jeho "prezentace" na ploše Windows - ikonu. Na toto konto použil pěkným trik virus I-Worm/Naked, který používal ikonku EXE souborů vyráběných populárním programem pro vytváření animací.
[* IMG IKONA *]
Překvapivě velké množství uživatelů (i těch zkušenějších) si tento virus spustilo v domnění, že uvidí nějaké legrácky.
Schovám se za bratříčka
Ve starých dobrých dobách DOSu bylo vše jasné. Vlastní jméno souboru mělo maximálně 8 znaků a tečkou oddělená přípona nanejvýš 3 znaky. Dlouhé názvy souborů do tohoto zaběhaného systému vnesly trošku zmatku a to je samozřejmě situace, která virovým pisálkům vyhovuje. Jméno souboru tak totiž může obsahovat libovolné množství teček a teprve za poslední z nich je to, co Windows použijí jako příponu pro rozlišení typu souboru. A aby to bylo ještě o trošku zábavnější, tak konfigurace Windows dovoluje tuto skutečnou příponu skrýt a typ souboru je pak vyjádřen pouze odpovídající ikonou. Takže soubor se jménem TAJNE.ZIP.EXE může uživatel vidět jako TAJNE.ZIP a pokud byl autor viru jenom o fous chytřejší než hromada bláta, tak ho vybavil typickou ikonkou datového souboru WinZIPu a ke spuštění takového souboru je pak jenom krůček.
Schovám se daleko
Další milou vlastností dlouhých jmen souborů je, že mohou bát opravdu velmi dloooooouhá. Prostor pro zobrazení názvu souboru v aplikacích ale bývá omezen a příliš dlouhá jména je zvykem ořezávat. Takže stačí použít před poslední a rozhodující příponou dostatečné množství mezer: KOZY.JPG [*SPOUSTA MEZER, PRIPONA JE HODNE VPRAVO*] .EXE a příjemce tohoto souboru uvidí jenom lákavé KOZY.JPG. No a je snad jasné, že takový obrázek si každý chlap (který má rád přírodu) s chutí otevře v domnění že uvidí fotografii kamzíků skotačících na hřebenech Karpat.
Takhle se přece viry neposílají
Přece jenom máme zažité jakési "obvyklé modely chování virů" a pokud se virus pošle dostatečně netypickým způsobem, tak příjemci nemusí začít "blikat červená kontrolka".
Příkladem z doby relativně nedávné je český I-Worm/Cervivec, který se posílá jako EXE soubor zabalený uvnitř archivu .ZIP s tímto textem: Cau posilam ti cerviky tak se na to podivej (virus to neni). Když k tomu připočítáme, že ten mail dorazí od člověka, kterého adresát dobře zná (měl jeho mail ve svém seznamu kontaktů v ICQ) a ve správném jazyce (virus si vybírá text zprávy podle koncovky internetové adresy z osmi různých jazykových verzí), tak je jasné že spoustě adresátů vůbec nepřipadal podezřelý. Dlužno ovšem podotknout, že díky tomuto způsobu šíření se sice Cervivec dokázal rychle rozšířit v uzavřené komunitě lidí "co si spolu píšou na ICQ" ale svým rozšířením nedosáhl běžným mass-mailing virům (tedy těm které se bezhlavě rozesílají na všechno co vypadá jako emailová adresa) ani po kotníky.
Málo známé nebezpečí
S rostoucí složitostí Windows se objevují stále nové a nové typy souborů, které mohou být nosičem infekce. Příkladem mohou být třeba HLP nebo THEME soubory. Už se sice objevily viry demonstrující zneužitelnost těchto souborů ale dokud nebudou použity v nějakém rozsáhlejším útoku, který by si získal publicitu, tak se o tom moc lidí nedozví a při prvním setkání s takovouto infekcí budou pravděpodobně ochotni přiložený soubor spustit.
Lákavé jméno
Zkušenosti s virem VBS/VBSWG.J (známějším jako AnnKournikovova) ukazují, že občas není třeba vymýšlet nějaké perfektní finty a triky. Dostatečně lákavé jméno přiloženého souboru s virem se může postarat o šíření takřka zázračné. Tahle taktika stačí k rychlému rozšíření ale dlouhodobější úspěch takové viry nemají.
[* IMG AK_02 *] Poprvé byl tento virus zachycen 12. února a za dva týdny nasbíral docela vysoké skóre.
[* IMG AK_03 *] V březnu už zůstal po běžnými viry.
[* IMG AK_04 *] V dubnu pak dosáhl stádia "klinické smrti" a v květnu už nebyl zachycen ani jednou. Dodnes se sice ojediněle objeví, ale dny jeho slávy jsou zjevně sečteny.
Důvěryhodný text
Nějaké méně podezřelé jméno souboru není zase až takový problém vymyslet, ale s vlastním obsahem mailu to není tak jednoduché. Zkuste si schválně vzít textový editor a napsat
pár řádků mailu, který by neměl vzbudit podezření - uvidíte že to není nic triviálního. Různé viry přinesly různé pokusy o vyřešení tohoto problémů. Docela zajímavý (a překvapivě úspěšný) způsob používá I-Worm/Magistr - prostě si náhodně "vylosuje" nějaký text z disku a jeho fragment vloží do těla zprávy.
[* IMG MAGISTR *]
Tohle je příklad reálného mailu vyrobeného Magistrem. Je to sice ryzí blábol, ale musím připustit že jsem už dostal už spoustu ještě šílenějších mailů, napsaných reálnými lidmi.
I-Worm/Klez.H si generuje krátké anglické větičky pomocí malého slovníčku a jednoduché sady pravidel. Kromě toho se ale občas pošle i v tomto půvabném mailu:
[*IMG KLEZH *]
Drzost s jakou se vydává za prostředek k odléčení svého staršího bratříčka je půvabná. A závěrečné upozornění, že se přiložený soubor možná nebude některým antivirům líbit - to už je jenom taková třešňička na dortu.
Událost kterou čekám
Obsah zprávy není jediným kritériem, podle kterého příjemce posuzuje důvěryhodnost zprávy. Důležitou roli také hraje zda vůbec podobný mail čeká. Proto například Win32/Ska (známější jako Happy99) monitoruje poštu odesílanou z napadeného počítače a za každým mailem pošle ještě další prázdnou zprávu, ke které se připojí. A ještě o fous chytřeji to dělá I-Worm/ExploreZip, který sleduje přijatou poštu a na zprávy sám odpovídá ve smyslu "nemám teď čas zatím se podívej na přiložený dokument". Že je místo dokumentu přiložená kopie viru asi není nutné říkat.
Nožičky a závěr
Strašně rád bych na tomhle místě napsal něco na způsob "kupte si antivirový program XYZ, nainstalujte ho a pak už můžete po zbytek života se založenýma rukama sledovat marné pokusy virů o průnik do vašeho systému". Nemůžu. Je sice pravda že antivirové programy jsou pořád ještě mnohem účinnější než třeba zaříkávání, ale 100% bezpečnost sám o sobě žádný takový systém systém nezajistí. Riziko, že zrovna vy obdržíte vzorek nějaké novinky hned v "první vlně" (v prvních pár minutách světové epidemie), je reálné a nelze ho podceňovat. Pořád tedy platí, že opatrné zacházení s doručenou poštou je základním předpokladem pro bezpečné přežití.
Petr Odehnal - Grisoft Software
Sdílet na Facebooku
© Stránka vygenerována za 0.0036 sec. | Aktuálně máme v databázi 8395 článků
práva na články náleži jejich autorům, provozovatel magazínu nenese žádnou zodpovědnost za škody způsobené prohlížením těchto stránek.
Magazín provozuje ICOK (administrátor Miloslav Fuček)
http://icok.icok.cz | http://wwww.mfsoft.cz
Bazény na míru | Bennewitzovo kvarteto | Lady XL Fashion | Optika v Praze | Světové brýle.cz | Inspiro ERP systém | Bezpečnostní poradce | Fass-Hasicí technika | Dukla - Atletika | Dukla Praha