Security labs
Rodzaje zagrożeń

Rodzaje zagrożeń

Wirusy, konie trojańskie, robaki internetowe itp. to specyficzna grupa programów, bynajmniej nie użytkowych. Malware (malicious = złośliwy + software = oprogramowanie), to ogólnie przyjęte określenie zbiorcze na programy, które w złej intencji udostępniają, zmieniają lub usuwają dane zarażonego komputera. Są zazwyczaj niewielkie, co utrudnia ich wykrycie, ale w kodzie zawierają funkcje i polecenia mogące zaszkodzić właścicielowi zarażonego komputera – od szpiegowania i przechwytywania danych osobistych po usuwanie plików z dysku. Dzieli się je na trzy podstawowe grupy: trojany (konie trojańskie), robaki i wirusy. W szerszym sensie określenie malware obejmuje też programy typu spyware oraz dialery.

Trojany

Podstępny program komputerowy zawierający ukryte procedury, umożliwiające jego autorowi komunikację i czasem wręcz przejęcie kontroli nad zainfekowanym komputerem. Metody ukrywania szkodliwych funkcji są przeróżne. Czasem polecenia potrafią być podpięte pod wiersz poleceń administratora systemu, czasem trojany przychodzą pocztą w formie skryptów, wygaszaczy ekranu lub udostępniane są do pobrania przez Internet pod nazwami znanych gier, programów lub cracków. Uruchomienie takiego załącznika, programu powoduje natychmiastową infekcję systemu.

Robaki

Robaki rozpowszechniają się przez sieci komputerowe lub pocztą elektroniczną:

  • Robak sieciowy: Robak może infekować komputery zdalnie, przez sieć komputerową. Skanując porty komputera wynajduje słabe punkty systemu, konfiguracji lub zabezpieczeń i wykorzystuje je aby wedrzeć się do systemu – przykładem jest robak Sasser wykorzystujący błąd przepełnienia bufora w usłudze Local Security Authority Subsystem Service (LSASS). W 2004 roku Sasser zainfekował w ten sposób rekordowe ilości komputerów.
  • Robak pocztowy: Wysyła się jako załącznik do poczty elektronicznej. Może wykorzystywać w tym celu domyślny program pocztowy, ale zazwyczaj posiada wbudowany własny silnik poczty wychodzącej, a adresy mailowe pobiera z książek adresowych programów pocztowych lub wyszukuje je w plikach tekstowych. Poza generowaniem ruchu w sieci i absorbcją zasobów systemowych robaki mogą wyrządzać inne szkody, w zależności od woli autora. Typowymi przedstawicielami gatunku są Bagle i Netsky, najpopularniejsze wirusy w roku 2004.

Wirusy

Wirusy to programy zajmujące się reprodukcją i przenoszeniem się na inne komputery. Infekują pliki lub bootsektory nośników danych. Przemieszczają się niezauważone na dyskietkach, dyskach, przez sieci komputerowe (także Peer-to-Peer), pocztą elektroniczną lub przez zwykłe pobieranie plików z Internetu. Umieszczają swoje kopie w różnych miejscach na dysku i działają na różne sposoby. Rozróżniamy następujące grupy wirusów:

  • Wirus bootsektorowy: Jest to szczególnie uciążliwy typ wirusa, na szczęście obecnie zdarza się już rzadko. Atakuje Master Boot Record dysku twardego lub dyskietki, umieszczając się tuż przed nim. W ten sposób do pamięci wczytywany jest najpierw wirus, a dopiero potem bootsektor. W ten sposób wirus niepostrzeżenie przenika do systemu i będzie uruchamiał się za każdym startem komputera z zarażonego dysku. Kod wirusa często pozostaje w pamięci komputera. Takie wirusy nazywamy rezydentnymi. Takie wirusy rozprzestrzeniają się głównie na dyskietkach, przeszły więc wraz z dyskietkami do historii. Wirusy bootsektorowe potrafiły być bardzo niebezpieczne – najgroźniejsze potrafiły uszkodzić dysk.
  • Wirus plikowy: Wirusy plikowe popularne niegdyś, dziś pojawiają się sporadycznie. Infekcja polega na doczepienie się do pliku uruchamialnego. Czasem wirus pozostawia plik żywiciela nietknięty, instalując się tuż przed lub tuż za nim, często jednak dochodzi do uszkodzenia pliku właściwego. W tym przypadku program antywirusowy nie jest w stanie przywrócić pliku do działania – może tylko usunąć go wraz zagrożeniem.
  • Makrowirus: Makrowirusy też infekują pliki, ale innego rodzaju. Pisane są w języku Visual Basic i doczepiają się do dokumentów programów obsługujących język makr, np. Microsoft Access, Excel czy Word. Poza tym w mechanizmach działania nie różnią się od wirusów plikowych.
  • Wirus Stealth: Niektóre wirusy wyposażone są w specjalne mechanizmy umożliwiające im ukrycie się przed programami antywirusowymi. Przejmują w tym celu kontrolę nad różnymi funkcjami systemowymi, a jeżeli to się uda, są w stanie oszukać skaner antywirusowy i nie wykazać obecności wirusa przy próbie dostępu do zarażonego pliku. Aby funkcjonować, wirus stealth musi rezydować w pamięci operacyjnej. W mechanizmy stealth wyposażone są często inne rodzaje wirusów.
  • Wirus polimorficzny: Wirusy polimorficzne tworząc kolejne swoje kopie modyfikują pewne parametry – nazwę, rozmiar itp. aby utrudnić wykrycie kolejnych infekcji. W tym celu fragmenty kodu wirusa są zaszyfrowane. Modyfikacje polegają m.in. na zmianie kolejności wykonywanych poleceń (np. poprzez losowanie). W ten sposób powstają miliardy wariantów jednego wirusa. Aby skutecznie wykrywać tego typu wirusy, nie wystarczy zastosowanie klasycznych sygnatur wirusów. Potrzebne są do tego specjalne, osobne procedury lub programy.
  • Wirus pocztowy: Wirusy pocztowe to modna obecnie mieszanka cech (Blended threats = zmiksowane zagrożenie) trojanów, robaków i wirusów. Możliwe dzięki temu jest stworzenie wirusa infekującego komputer już w momencie podglądania wiadomości pocztowej w formacie HTML. Dzieje się to z powodu błędu w zabezpieczeniach przeglądarki internetowej Microsoft Internet Explorer.

Wspólne cechy wirusów i robaków

Zarówno robaki, jak i wirusy komputerowe zbudowane są z następujących składników:

  • Moduł replikujacy – Złośliwe programy wyposażone są w mechanizmy służące do rozprzestrzeniania się. Infekowanie może zachodzić przy wykorzystaniu nośników wymiennych (dyskietek, pendrive`ów itp.), poprzez udostępnione zasoby sieciowe, sieci peer-to-peer lub pocztą elektroniczną. Często wykorzystywane są różne kombinacje tych metod lub wszystkie jednocześnie, co zwiększa możliwości rozprzestrzeniania się szkodników.
  • Moduł rozpoznawczy – Składnik rozpoznawczy, sprawdza przed rozpoczęciem infekcji, czy dany wirus/robak nie został już zainstalowany w danym systemie. Zapobiega to wielokrotemu infekowaniu jednego komputer, co ułatwiłoby wykrycie szkodnika.
  • Moduł wyrządzający szkody – Narzędzia wyrządzające szkody (ang. payload) można podzielić na następujące grupy:
    - Pozostawienie otwartych tylnych drzwi (ang. backdoor) umożliwia twórcy wirusa zdalny dostęp do komputera. Dzięki temu może manipulować danymi, przeprowadzać różnego rodzaju ataki sieciowe lub przejąć całkowitą kontrolę nad komputerem.
    Szkodniki mogą w różny sposób manipulować danymi komputera. Zdarza się wyświetlanie komunikatów, grafik, wydawanie dźwięków, a czasem też usuwanie danych z dysków.
    Częstą metodą ataku jest wynajdywanie i przesyłanie do twórcy wirusa ważnych informacji. Celem takich ataków jest uzyskanie haseł dostępu, numerów kart kredytowych i innych poufnych danych.
    - Ataki typu Denial of Service (DoS) mają na celu zasypanie komputera lub strony internetowej zapytaniami w celu wywołania przeciążenia serwera lub danej usługi. Usługa lub też strona internetowa przestaje funkcjonować prawidlowo, co może spowodować duże straty finansowe, np. w przypadku dobrze prosperujących stron internetowych. Zdarzają się szkodniki, które nie wyrządzają żadnych szkód, oprócz spowolnienia działania komputera lub połączenia internetowego. Wiele wirusów i robaków zawiera błędy, dzięki którym nie działają prawidłowo. Niestety może to mieć również negatywne skutki, ponieważ niektóre z zamiaru niegroźne złośniki mogą wyrządzić wiele szkód właśnie przez błędy popełniane przez twórców.
  • Mechanizm warunkowy – Zarówno replikacja, jak i wyrządzanie szkód może uruchamiać się dopiero po spełnieniu warunków postawionych przez twórce szkodnika. Najczęściej wirus zaczyna funkcjonować od razu po uruchomieniu.
    W niektórych przypadkach mechanizm wyrządzający szkody musi zostać uruchomiony przez użytkownika, np. poprzez otwarcie załącznika poczty elektronicznej.
    Niektóre wirusy stosują opóźnienie czasowe, uaktywniając się w konkretnym dniu, lub o konkretnej godzinie. Spotyka się również szkodniki uaktywniające się po danej liczbie uruchomień komputera lub zainfekowanego programu.
  • Moduł ukrywający – Często twórcy robaków, wirusów i innych złośliwych programów usiłują tak skonstruować swoje dzieła, aby nie były zauważalne dla użytkownika komputera, lub aby nie dało się ich wykryć oprogramowaniem zabezpieczającym. Szkodniki potrafią wykryć działanie programów skanujących, a także ukrywać się samoistnie dzięki długim i skomplikowanym poleceniom w kodzie maszynowym. Dobrą metodą na ukrycie wirusa, jest wyposażenie go w mechanizm usuwający ślady infekcji. W tym celu fałszowane są raporty i komunikaty systemu. Przykładowo wirus rezydujący w pamięci może przekazywać do systemu informację, że zajęte przez niego obszary w pamięci są zajęte przez niegroźny program, który znajdował się tam wcześniej. Szkodniki potrafią szyfrować fragmenty swojego kodu, aby zabezpieczyć się przed wykryciem przez program antywirusowy. Współczesne szkodniki wykorzystują mechanizmy znane pod nazwą rootkit, których działanie polega na przejęciu kontroli nad systemem operacyjnym poprzez ukrycie własnych procesów.

Malware

Malware to ogólne określenie na złośliwe oprogramowanie, powstała ze złożenia słów malicious (ang. złośliwy) oraz software (ang. oprogramowanie. Fałszywy alarm: Często w Internecie krążą wiadomości o rzekomym, bardzo groźnym wirusie. Zazwyczaj autor namawia do przesłania maila do wszystkich znajomych w celu ostrzeżenia. Znamy takie metody z modnych swojego czasu listów-łańcuszków. Ogólnie chodzi chyba o wzbudzenie niepotrzebnej paniki i wywołanie niepotrzebnego ruchu w sieci.

Backdoor

Wielu administratorów sieci korzysta z procedur nasłuchujących do zdalnego łączenia się z komputerami. Nie ma w tym nic złego, ale te same metody w rękach twórców wirusów umożliwiają zdalne łączenie się z zainfekowanymi komputerami i wykonywanie operacji na plikach, bez wiedzy ich właścicieli i użytkowników. Wystarczy, że wirus pozostawi otwarte tylne drzwi (backdoor), np. w postaci otwartego portu TCP.

Spyware

To grupa programów zajmująca się szpiegowaniem użytkowników. Potajemnie rejestrują procesy i czynności wykonywane na komputerze i przesyłają je do autora, lub serwera. Dane wykorzystywane są do analizowania zachowań użytkownika podczas pracy z Internetem, np. w celu dopasowania wyświetlanych odpowiednich banerów reklamowych. Istnieją programy wykrywające i usuwające spyware.

Dialer

Dialery instalują się w komputerze równie niepostrzeżenie jak wirusy. Potrafią przekierować połączenie Internetowe typu dial-up na droższy numer. Skutkuje to niezasłużenie wysokimi rachunkami za telefon. Istnieją nawet specjalne programy chroniące przed plagą dialerów.

Spam

Wiadomości masowe, niechciana poczta, propaganda elektroniczna – czyli po prostu spam. Dotyka to każdego użytkownika poczty elektronicznej. Nowoczesne programy antyspamowe stosują statyczne i statystyczne metody (analiza treści i filtry samouczące, np. Bayes Theorem) wykrywania i filtrowania niechcianej poczty.

Phishing

Phishing to określenie na działalność polegającą na wysyłaniu rzekomo w imieniu banków i innych instytucji, próśb o podanie prywatnych danych: nazwa użytkownika, hasło, numer karty kredytowej itp. Zaproszenie do przekazania danych zazwyczaj przychodzi pocztą elektroniczną z linkiem do fałszywej strony banku lub innej instytucji. Niestety coraz więcej osób daje się na to nabrać. Więcej informacji na ten temat można znaleźć na anglojęzycznej witrynie poświęconej tej tematyce: www.antiphishing.org.