Embed Size (px)
Citation preview
UUNNIIVVEERRZZIITTAA MMAATTEEJJAA BBEELLAA VV BBAANNSSKKEEJJ BBYYSSTTRRIICCII
FFAAKKUULLTTAA PPRRÍÍRROODDNNÝÝCCHH VVIIEEDD
KKAATTEEDDRRAA IINNFFOORRMMAATTIIKKYY
ŠŠKKOODDLLIIVVÉÉ KKÓÓDDYY AA AANNTTIIVVÍÍRRUUSSOOVVÁÁ OOCCHHRRAANNAA
PPRRAACCOOVVNNÝÝCCHH SSTTAANNÍÍCC SS OOSS MMSS WWIINNDDOOWWSS 99xx--22000033
DDIIPPLLOOMMOOVVÁÁ PPRRÁÁCCAA
((KKrráá tt eennáá uukkáážžkkaa))
BBaannsskkáá BByyss tt rr ii ccaa ,, 22000044 MMaarr tt iinn LLEEPPIIŠŠ
V diplomovej práci použité názvy programových produktov, firiem a pod.
môžu byť ochrannými známkami alebo registrovanými ochrannými známkami
príslušných vlastníkov.
Žiadna časť tejto diplomovej práce nesmie byť publikovaná a šírená
žiadnym spôsobom a v žiadnej podobe bez výslovného povolenia autora.
AABBSSTTRRAAKKTT
Diplomová práca je venovaná informačnej bezpečnosti z hľadiska problematiky
škodlivých kódov a antivírusovej ochrany pracovných staníc s OS MS Windows 9x-2003.
Prezentované sú základné formy klasifikácie škodlivých i nežiadúcich kódov, vrátane ich
všeobecných vlastností a konštrukcie i princípov tvorby ich názvoslovia. Čitatelia v tejto
práci nájdu sumárny pohľad na informačné zdroje venované škodlivým kódom a ochrane
proti nim i pravdepodobné vyhliadky do blízkej budúcnosti. Druhá a tretia kapitola je
obsahovo zameraná na AV-ochranu pracovných staníc, s dôrazom kladeným na prehľad
modulov tvoriacich základ moderných AV-systémov a bezpečnostným prvkom slúžiacim
pre ochranu systémov pred útokmi škodlivých kódov a hackerov, i množiacim sa spamom.
V závere sú naznačené detailnejšie možnosti dodatočnej ochrany pracovných staníc na
úrovni súborového systému, OS MS Windows, masovo používaných aplikácií i aplikácií
slúžiacich pre sieťovú komunikáciu v reálnom čase i sieťach Peer-to-Peer.
KĽÚČOVÉ SLOVÁ:
Informačná bezpečnosť. Škodlivé kódy. Vírus. Červ. Trójsky kôň. Adware. Spyware.
Poplašné správy. Nevyžiadaná emailová pošta. Antivírusový systém. Osobný firewall.
Spamový filter. Zabezpečenie a ochrana počítačových systémov. Útoky. Kyberterorizmus.
Tvorcovia škodlivých kódov.
AABBSSTTRRAACCTT
This thesis deals with computer system security with focus on how to protect
workstations running Microsoft Windows 9x-2003 operating systems against malicious
software and viruses. We present basic forms of classification of malicious and undesirable
software including their general properties, composition, and principles for creating their
nomenclature. In this work readers will find summary of sources of information about
malicious software and protection against it, as well as a short term prognosis. The second
and third chapters are focused on antiviral protection of workstations with emphasis on
modules that form foundation of modern antivirus software and security features serving to
protect systems against malicious software and hackers, as well as ever increasing spam. In
conclusion we more specifically outline possibilities of additional protection of
workstations at the level of filesystem, the operating system of Microsoft Windows,
commonly used applications and applications used for real time network communication as
well as peer-to-peer networks.
KEYWORDS:
Information security. Malicious software. Virus. Worm. Trojan horse. Adware.
Spyware. Hoaxes. Unsolicited emails. Antiviral system. Personal firewall. Spam filter.
Security and protection of computer systems. Attacks. Cyberterrorism. Creators of
malicious software.
ÚÚVVOODD I think computer viruses should count as life.
I think it says something about human nature
that the only form of life we have created
so far is purely destructive. We've created
life in our own image.
Stephen W. Hawking
Keď v roku 1949 americký počítačový expert John von Neumann (1903 – 1957) položil
prvé základy moderných počítačových systémov a teórie samočinne fungujúcich
programov určite ani v tom najhoršom sne netušil, čo za ich pomoci dokáže časom vytvoriť
jeho nasledujúca generácia. Počítače sa postupne presunuli z veľkých firiem, podnikov,
organizácií aj do školských výpočtových stredísk, čím sa dostali bližšie k bežným
používateľom. Netrvalo dlho a spoločnosť si uvedomila, aký veľký potenciál sa skrýva
v nových technických prostriedkoch, ktoré je možné vďaka ich hardvérovej i softvérovej
flexibilite použiť v tých najrozmanitejších oblastiach ľudského života. Čas pomaly plynul
a nové technológie umožnili, aby sa z veľkorozmerných a energeticky i finančne náročných
zariadení stali systémy pre každodenné použitie. Tie dnes má väčšina z nás v zamestnaní
alebo doma, používa ich pre prácu, oddych i zábavu a tiež nevyhnutnú komunikáciu
s inými ľuďmi. Tá bola v minulosti možná len pri osobnom kontakte, prostredníctvom
listov či telefónu, avšak len do okamihu, kým sa neobjavil počítač a počítačová sieť
internet. Priestor a možnosti pre vlastnú prácu, sebarealizáciu, vzdelávanie i zábavu, ktoré
so sebou priniesol internet boli do tej doby niečím, čo sme mohli vidieť len na
hollywoodskych filmových plátnach či stránkach sci-fiction literatúry. Počítač a počítačová
sieť internet sa postupne stali novým fenoménom druhej polovice 20. storočia.
Rozvoj nových technológií vo veľmi krátkej dobe prispel k tomu, že sa naša pôvodne
priemyselná spoločnosť transformuje postupne na spoločnosť informačnú. V nej sa
hlavným obchodným artiklom stávajú informácie, ktoré je možné zaznamenávať už nielen
v papierovej, fotografickej či magnetickej podobe, ale aj omnoho efektívnejšej digitálnej
forme. Informácie sa tak razom premenili na to najcennejšie, čím disponuje naša
spoločnosť i každý jej jednotlivec.
Objavil sa tu však nový problém. Počítače, obsahujúce cenné firemné, tajné i osobné
informácie, sa začlenili do rozmáhajúcej sa infraštruktúry internetu. Tak ako v celej histórii
ľudstva aj teraz sa začali medzi používateľmi počítačov objavovať takí jedinci, ktorí okrem
svojich informácií mali záujem aj o informácie svojich konkurentov, firiem, organizácií či
cudzích osôb, a pod.. Často ich zámerom nebolo získať informácie, ale skôr sa postarať
o ich poškodenie či úplné znehodnotenie. Ďalším sprievodným fenoménom informačnej
spoločnosti sa tak stáva počítačová kriminalita, ktorá sa za posledné roky vyprofilovala do
viacerých podôb – hackermi počnúc a tvorcami škodlivých či nežiadúcich kódov končiac.
Zatiaľ čo v minulosti boli informácie o útokoch na informačné systémy firiem,
organizácií, štátnych a vojenských inštitúcií len ojedinelým javom, vývoj a nové
technologické možnosti v oblasti komunikácie a výmeny dát prostredníctvom internetu
prispeli žiaľ k tomu, že dnes patria ku každodenným správam, s ktorými sa stretávame
v médiách i na stránkach informačných serverov. Reakciou spoločnosti na tieto udalosti
bolo vytvorenie istých noriem, štandardov a ochranných prostriedkov, ktoré dnes poznáme
ako všadeprítomnú informačnú bezpečnosť. Hlavným problémom pri presadzovaní
a dodržiavaní informačnej bezpečnosti v praxi je najčastejšie to, že nech sa snažíme ako
chceme nikdy nebudeme schopní dosiahnuť dokonalú ochranu našich informačných
systémov. Dôvod je pritom dosť prostý. Na jednej strane v tomto „začarovanom kruhu“
stoja softvérové spoločnosti, ktoré hoci o bezpečnosti hovoria viac než treba, stále vo
svojich vyvíjaných programoch uprednostňujú kvantitu pred kvalitou. Na strane druhej sa
nachádza používateľ, ktorý pri kúpe softvérových produktov dúfa, že za svoje nemalé
finančné prostriedky získa to čo potrebuje – funkčný, flexibilný a bezpečný nástroj pre
prácu, oddych či zábavu. Žiaľ, nie vždy je tomu tak... .
Bezpečnostné diery a programátorské chyby sa stali bežnou súčasťou dnešných masovo
používaných produktov a zároveň aj voľnou priepustkou pre hackerov, tvorcov škodlivých
kódov i spamerov do našich nedostatočne chránených systémov. Najhoršie na tom je však
to, že nás práve chyby spôsobené človekom pri tvorbe softvérových produktov radia tesne
za tých, ktorí sa snažia našej spoločnosti škodiť. Našťastie na „každú chorobu existuje
liek“. A tak vďaka novým operačným systémom1, bezpečnostným aplikáciám ako sú
antivírusové systémy2, osobné firewally a spamové filtre dokázala spoločnosť vždy nájsť
dostatočne účinné prostriedky, ktorými tento nerovný boj zvrátila vo svoj prospech
a v konečnom dôsledku ho vyhrala. Otázkou zostáva, ako dlho vydržíme hrať takúto
únavnú a nie práve povzbudivú hru?
Ako bolo naznačené v predchádzajúcom texte, táto diplomová práca je venovaná
problematike informačnej bezpečnosti. Vzhľadom na to, že sa jedná o rozsiahlu
a všestranne orientovanú tematickú oblasť, nahliadne iba do jedného z jej najživších
a najaktuálnejších zákutí, ktorým sú škodlivé kódy a ochrana počítačových staníc
s operačnými systémami MS Windows 9x-2003 proti nim.
V nasledujúcich troch kapitolách sú zosumarizované informácie o škodlivých
a nežiadúcich kódoch z pohľadu ich dvadsaťročnej histórie, informácie o ich klasifikácii,
prejavoch, princípoch fungovania i šírenia, o ich tvorcoch i vyhliadkach do blízkej
budúcnosti. Pozornosť je venovaná aj pálčivej otázke akou sú príčiny výrazného rozšírenia
sa škodlivých kódov za posledných päť rokov a s tým spojený rozvoj kyberterorizmus.
Ďalšia časť práce je venovaná AV-systémom ako základným prostriedkom pre účinnú
ochranu a boju proti rozmáhajúcim sa škodlivým i nežiadúcim kódom. Okrem AV-riešení
je dôraz kladený aj na celkovú bezpečnosť používaných softvérových produktov, ako na
úrovni súborového systému, OS MS Windows, masovo používaných kancelárskych
i komunikačných aplikácií. Záver práce v krátkosti pojednáva o otázkach zálohovania
dôležitých nastavení OS MS Windows a dát vytvorených samotným používateľom.
Pevne verím, že nasledujúca publikácia bude tvoriť základ nielen pre moju diplomovú
prácu, ale bude aj vhodným študijným a informačným materiálom pre mnohých
používateľov počítačov a počítačovej siete internet, ktorý im pomôže prekonať strach
z doposiaľ neznámeho a nepoznaného – strach zo všade prítomných škodlivých kódov.
Na tomto mieste by som chcel poďakovať Ing. Ľudovítovi TRAJTEĽOVI, PhD.
za podnetné pripomienky pri tvorbe diplomovej práce.
1 V ďalšej časti bude tento pojem nahradený skratkou OS. 2 V ďalšej časti bude tento pojem nahradený výrazom AV-systémy.
11 ŠŠKKOODDLLIIVVÉÉ KKÓÓDDYY
Výrazný nárast počtu používateľov počítačovej siete internet v uplynulých rokoch
(... a s tým úzko súvisiaci nárast počtu prenášaných dát medzi nimi) zvyšuje čoraz
razantnejšie riziko vzniku incidentov spôsobených škodlivými kódmi3, ktorých výsledkom
môže byť strata dôležitých dát i informácií. Vzhľadom na možnosť hroziaceho rizika, ktoré
sa dnes týka takmer každého používateľa je vhodné porozumieť tejto zložitej problematike.
Jej pochopenie by malo prispieť výraznou mierou k tomu, aby používatelia boli schopní
permanentne a vždy účinne chrániť svoje systémy pred existujúcimi i novo vznikajúcimi
škodlivými kódmi. Skôr, než sa však dostaneme k detailnej charakteristike väčšiny
existujúcich digitálnych nástrah, s ktorými sa môžu stretnúť používatelia pri práci
s počítačovou sieťou internet a jej vybranými službami, objasnime si aspoň vo všeobecnej
rovine pojem škodlivé kódy.
Škodlivými kódmi budeme rozumieť akékoľvek počítačové programy, dokumenty
alebo správy, ktoré môžu pri svojom priamom i sprostredkovanom použití zapríčiniť
ohrozenie počítačového systému, dôsledkom čoho môže dôjsť k poškodeniu, strate,
prípadne odcudzeniu dát, zníženiu výkonu samotného systému i produktivity používateľa.
Súhrnným pojmom škodlivé kódy budeme v ďalšom texte označovať počítačové
vírusy, počítačové červy a trójske kone. Za istú špecifickú podskupinu škodlivých kódov
sme sa rozhodli zaradiť nežiadúce kódy, ako sú žartovné programy, generátory vírusov,
adware a spyware, dialers, hacktools a tiež (hoci to nebude celkom správne) poplašné
správy. Ich prítomnosť v akomkoľvek počítačovom systéme zvyšuje riziko straty, prípadne
odcudzenia súkromných informácií. Preto je potrebné, aby používatelia o ich existencii boli
informovaní a vedeli sa proti nim chrániť.
Vzhľadom na to, že vyššie uvedená charakteristika pojmu škodlivé kódy je dosť
všeobecná budeme sa v niekoľkých nasledujúcich podkapitolách podrobne venovať
jednotlivým typom škodlivých i nežiadúcich kódov. Predtým, než sa dostaneme k ich
zložitejšej klasifikácii, považujeme za vhodné upriamiť pozornosť aspoň na stručný
prehľad udalostí, ktoré predchádzali a súviseli s objavením sa i ďalším rozvojom
škodlivých kódov až do takej podoby v akej ich poznáme dnes.
3 Pojem škodlivé kódy sa v anglickej literatúre označuje ako MALicious SoftWARE alebo skrátene
MALWARE.
11..11 HHIISSTTÓÓRRIIAA AA BBUUDDÚÚCCNNOOSSŤŤ ŠŠKKOODDLLIIVVÝÝCCHH KKÓÓDDOOVV
Prvé zmienky o tom, čo dnes väčšina používateľov zvykne
označovať pojmom počítačové vírusy sa objavili už v období
60. a 70. rokov minulého storočia v literárnych dielach rôznych
autorov4. Medzi najznámejšie z nich patrí dielo The Shockwave
Rider (1975) od Johna Brunnera [1], v ktorom sa po prvý raz
objavil opis programu TapeWorm pripomínajúceho počítačový
červ. Uvedenie týchto predstáv o existencii malých skryte
pracujúcich programov, ktoré by dokázali kradnúť dôležité
informácie, poškodzovať či dokonca ničiť údaje, do reálneho
sveta počítačov však trvalo ešte nejaký čas. Až v roku 1983 sa
rozhodol pán Fred Cohen venovať bližšie tejto problematike na
teoretickej i praktickej úrovni počas svojho pôsobenia – štúdia na
Lehigh University of Pennsylvania [3]. Pri experimentoch so
samoreplikujúcimi sa kódmi na OS Unix bol vtedy po prvý raz
použitý pojem vírus5, ktorý sa v tejto oblasti sveta počítačov
zachoval až dodnes... .
„Počítačový vírus je počítačový program, ktorý môže infikovať iný počítačový program
takým spôsobom, že k nemu pripojí alebo do neho skopíruje svoje telo, čím sa infikovaný
program stáva prostriedkom pre ďalšiu aktiváciu vírusu.“ [2, s.4]
Zaoberať sa na tomto mieste detailne doterajšou – dvadsaťročnou históriou škodlivých
kódov by nebolo práve najšťastnejším riešením vzhľadom na množstvo rôznych udalostí,
ktoré sa počas nej udiali. Pozrime sa na uplynulé obdobie ich existencie len „telegraficky“
a vyberme z neho tie najpodstatnejšie okamihy.
Ako už bolo spomenuté v úvode, prvým priekopníkom
v oblasti počítačových vírusov sa stal Američan Fred Cohen, ktorý
sformuloval definíciu toho, čo je to vírus, čím sa vyznačuje, čo
potrebuje pre svoju existenciu a ako vôbec dokáže koexistovať vo
svete digitálnych informácií. Zároveň svojimi experimentmi
aplikovanými v laboratórnych podmienkach dokázal, že vhodne
navrhnutý – naprogramovaný samoreplikujúci sa programový kód,
či inak povedané počítačový vírus, sa dokáže šíriť v systéme
veľmi rýchlo. Svoje prvé výsledky verejne prezentoval na
seminári zameranom na otázky bezpečnosti, ktorý sa konal 10.
novembra 1983 [3]. Už vtedy Fred Cohen vo svojich úvahách a
4 V roku 1984 vydal William Gibbson román nazvaný „Neuromancer“, ktorý sa stal základným stavebným
kameňom cyberpunku a v nadväznosti na to aj kultúry hackerov. Prvým dielom, ktoré sa v bývalom
Československu venovalo problematike vírusov bola poviedka „Troglodyt a maska“ od Josefa
Pecinovského, ktorá vznikla po umelo vyvolanej hystérii súvisiacej s vírusom Michelangelo. Zverejnená
bola v časopise PC World (11/1992) [4]. 5 Niektoré zdroje pritom uvádzajú, že prvou osobou, ktorá počas prebiehajúcich experimentov pomenovala
ukážkový program pojmom vírus bol Len Adleman (... neskôr jeden z tvorcov šifrovacieho algoritmu RSA,
kde písmeno A = Adleman). Dôvodom vraj bola analógia s biologickým vírusom, ktorý sa rovnako ako
vírus počítačový pri svojom množení snaží pripojiť k inému hostiteľovi [3].
Obrázok 2 Fred Cohen
Obrázok 1 Obálka knihy
The Shockware Rider
neskôr aj v experimentoch pripúšťal, že vírus sa dokáže šíriť nielen v rámci jedného
počítača, ale aj medzi počítačmi pripojenými do počítačovej siete. To však ešte netušil, aké
následky bude mať pre našu spoločnosť ďalší vývoj ním definovaných a verejne
prezentovaných počítačových vírusov.
Krátko po prvotných experimentoch so samoreplikujúcimi kódmi uzrel (v roku 1986)
svetlo sveta prvý funkčný počítačový vírus nazvaný Brain, ktorý vytvorili bratia Basit
a Amjad Farooq Alviovci v pakistanskom Lahore za účelom propagácie svojho malého
obchodu so softvérom. Postupne sa problematika tvorby a šírenia počítačových vírusov
dostala do celého sveta vďaka čomu začali pribúdať stále nové a nové vírusy. Všeobecný
základ v oblasti tvorby počítačových vírusov položil (v roku 1987) Ralph Burger, ktorý vo
svojej knihe nazvanej Computer Viruses: A High-tech Disease popísal princíp
fungovania vtedy dosť dobre známeho vírusu Vienna [5]. Tým otvoril brány do sveta
počítačových vírusov stovkám až tisícom ďalších ľudí – často tvorcom nových
počítačových vírusov a neskôr aj červov.
Podľa dnes dostupných informácií a odhadov boli koncom roka 1986 známe len tri
vírusy, o rok neskôr ich bolo už dvanásť, v roku 1991 sa ich počet blížil k hranici štyristo
exemplárov a stále rapídne vzrastal [4]. Každým rokom bol medziročný nárast počtu
novovytvorených počítačových vírusov a ich nových mutácií výraznejší. Najintenzívnejší
nárast nastal za posledných päť rokov (t.j. od roku 1999 do roku 2004). Dnes sa odhaduje,
že na svete existuje približne 75 000 až 85 000 škodlivých kódov (t.j. počítačových
vírusov, červov a trójskych koní dohromady, vrátane ich jednotlivých variantov).
Ďalší vývoj v oblasti škodlivých kódov sa postupne menil v závislosti od napredovania
možností operačných systémov a masovo používaných aplikácií pochádzajúcich od
spoločnosti Microsoft. Zatiaľ čo na počiatku existovali len boot a súborové vírusy, neskôr
sa do popredia začali dostávať aj dokonalejšie – rezidentné, polymorfné, stealth,
multiparitné a mnohé iné škodlivé kódy. Dosť výrazným medzníkom medzi klasickými
počítačovými vírusmi písanými pre OS MS DOS a vírusmi modernými sa stal svojho času
nový OS MS Windows 95. Jeho tvorcovia síce sľubovali veľkú odolnosť a ochranu proti
škodlivým kódom, ale ako už iste každý dnes dobre vie, ostalo iba pri sľuboch. Operačný
systém MS Windows 95 priniesol so sebou obrovské množstvo nových funkcií pre
používateľov, pre ich pohodlie i prácu. Tvorcovia počítačových vírusov vďaka tomu získali
nové možnosti na rýchlejšie a efektívnejšie šírenie svojich výtvorov medzi desiatky
i stovky tisíc používateľov. V tomto prípade nemožno zabúdať ani na to, že s nástupom
nového systému sa do popredia začal čoraz viac dostávať aj internet a jeho služby. Skôr než
však internet ukázal svetu svoje temné stránky, prezentoval sa opäť Microsoft so svojim
vylepšeným produktom MS Office. Ten so sebou priniesol integrovaný, odľahčený
programovací jazyk Visual Basic for Applications, ktorý sa vo veľmi krátkom čase stal
ďalším silným nástrojom pre tvorcov vírusov, resp. makrovírusov. Softvérový gigant
Microsoft samozrejme nezaháľal a v každej novej verzii OS MS Windows takpovediac
nevedome prinášal niečo nové – zaujímavé pre tvorcov škodlivých kódov. Iste mnohí
používatelia poznajú pojmy ako sú Visual Basic Script alebo Windows Scripting Host.
Samozrejme, boli to dva hlavné nástroje, vďaka ktorým po ére makrovírusov nastúpila
(... a ešte aj dnes doznieva) éra skript vírusov. Tie sa rovnako ako makrovírusy už dokázali
šíriť nielen v súboroch prenášaných prostredníctvom diskiet a kompaktných diskov, ale aj
priamo prostredníctvom internetu, najmä elektronickej pošty.
Doba potrebná pre masové rozšírenie škodlivých kódov v celosvetovom meradle práve
vďaka internetu a jeho relatívne neobmedzeným možnostiam klesla z pôvodných týždňov
a dní na hodiny a neskôr až minúty. Hlavné slovo nakoniec získal internet, čoho výsledkom
sú dnes všadeprítomné počítačové červy. Tie na rozdiel od počítačových vírusov
nepotrebujú pre svoju existenciu hostiteľa (t.j. iný program, ktorý by infikovali), ale bohato
im postačuje počítač s OS MS Windows 9x-2003, ktorý je nedostatočne zabezpečený,
neaktualizovaný a je pripojený na lokálnu alebo globálnu počítačovú sieť. Moderné červy
sa dokážu šíriť ako skryté samoaktivujúce sa prílohy emailových správ, ako spustiteľné
súbory prostredníctvom sieťovo zdieľaných jednotiek a pod.. Škodlivé kódy sa snažia toho
času zneužiť, či skôr vo svoj prospech využiť každú nepozornosť zo strany používateľa
a všetky nedostatky zo strany AV-systému i samotného OS MS Windows.
Ako sa zvykne hovoriť, „dobre už bolo a lepšie už byť nemôže...“. Do budúcna treba
očakávať, že škodlivé kódy nám všetkým budú znepríjemňovať život čoraz viac a čoraz
intenzívnejšie. Nebude trvať dlho a moderné škodlivé kódy budú schopné útočiť nielen na
najnovšie OS a masovo používané aplikácie, ale aj na mobilné zariadenie, ktoré dnes
zažívajú výrazný rozmach. Využívanie nových počítačových vírusov, červov alebo
trójskych koní pri činnosti hackerov tiež nie je vylúčené a dokonca stretnúť sa s takýmito
aktivitami môžeme už dnes. Rovnako treba počítať aj s tým, že čoraz viac škodlivých
kódov bude vo svete používaných pre rozvoj spamu, či inak povedané nevyžiadanej –
najčastejšie reklamne ladenej emailovej pošty. Alarmujúce sú pritom aj odhady mnohých
zahraničných odborníkov, ktorí tvrdia, že už onedlho bude práve spam tvoriť viac ako 50 %
celosvetovej emailovej komunikácie a bude výraznejšie prispievať k „spomaľovaniu
a zdražovaniu“ vybraných služieb siete internet.
S ohľadom na budúcnosť musíme brať do úvahy aj nové techniky v oblasti
programovania škodlivých kódov, ktoré im budú možno už čoskoro umožňovať vzájomnú
efektívnu a rýchlu komunikáciu prostredníctvom rozsiahlych a početných wormnetov6,
ochranu vlastných zdrojov prostredníctvom asymetrického šifrovania, ... . Prekvapením by
určite nemali byť ani počítačové vírusy, či skôr červy využívajúce pri svojej činnosti
princípy genetického programovania. Nepríjemnou novinkou, ktorá bude v budúcnosti vo
výraznej miere ohrozovať používateľov počítačov je existencia internetových červov
(... ako napríklad: CodeRed, Slammer, Blaster či Welchia). Ich doménou na rozdiel od
emailových červov je to, že sa nešíria medzi počítačmi na úrovni súborov, ale priamo na
úrovni dát zasielaných z jedného počítača na druhý prostredníctvom počítačovej siete.
Hlavným rizikom pre našu spoločnosť je v tomto ohľade práve všadeprítomná počítačová
sieť, do ktorej by za pár rokov podľa predstáv mnohých „IT vizionárov“ mohli byť
pripojené nielen počítače, ale aj moderné zariadenia, prístroje a možno aj inteligentné
domáce spotrebiče.
Chronologický prehľad udalostí od roku 1945 do 2004, ktoré priamo i sprostredkovane
súvisia s vývojom smerujúcim k vzniku prvých počítačových vírusov a neskôr aj ďalších
škodlivých kódov je dostupný v závere tejto publikácie – Príloha 1.
6 Wormnet predstavuje privátnu komunikačnú sieť vytvorenú medzi aktívnymi škodlivými kódmi [24, 38].
ZZÁÁVVEERR
Obsah tejto diplomovej práce je venovaný informačnej bezpečnosti z hľadiska
problematiky škodlivých kódov a AV-ochrany pracovných staníc s OS MS Windows 9x-
200x. Výber tejto témy nebol v žiadnom prípade náhodný. Udalosti odohrávajúce sa
v uplynulých dvoch až troch rokoch na scéne škodlivých kódov nám jasne prezentovali,
akú hrozbu pre spoločnosť predstavujú masovo sa šíriace emailové a internetové červy,
ktoré dokážu v priebehu niekoľkých hodín infikovať státisíce počítačových systémov po
celom svete. To je jeden z dôvodov, ktorý ma viedol k napísaniu práce, ktorá poskytuje
detailnejší pohľad na túto pálčivú problematiku a zároveň ponúka používateľom počítačov
aj isté východiská, ako sa účinne chrániť proti existujúcim hrozbám modernej informačnej
doby. Doby, kedy sú najdôležitejším artiklom informácie, ktoré si každý jednotlivec
i spoločnosť musí vedieť dokonale chrániť a vedieť ich náležite zúročiť.
Mojou snahou bolo vytvoriť relatívne systematický pohľad na históriu škodlivých
kódov, na možné spôsoby ich klasifikácie i na nepríjemné dôsledky, ktoré môžu byť
spojené s ich útokom na počítačové systémy. Okrem teoretických informácií majú čitatelia
k dispozícií prehľad niektorých informačných zdrojov, ktoré môžu dlhodobo a efektívne
používať pri získavaní nových poznatkov o škodlivých kódoch i v boji proti nim.
Poukázané je tiež na reálne hrozby, ktoré škodlivé kódy predstavujú pre jednotlivcov i celú
spoločnosť. Nevyhol som sa ani problematike kyberterorizmu, či inak povedané cieleným
alebo náhodným útokom škodlivých kódov na strategické armádne, politické, finančné
a iné ciele.
V ďalšej časti práce som venoval pozornosť rozdeleniu prostriedkov použiteľných pre
účinnú ochranu proti škodlivým kódom. Mojim cieľom bolo poukázať na to, z akých
modulov pozostávajú moderné AV-systémy, ako približne fungujú a aké formy ochrany
a zabezpečenia poskytujú svojim používateľom. Je dôležité, aby si používatelia uvedomili,
že o ochranu počítačových systémov sa musia zaujímať neustále a nie len v čase masových
epidémií spôsobených škodlivými kódmi. Musia sa naučiť rozlišovať skutočné útoky
spôsobené škodlivými kódmi alebo inými narušiteľmi, od nepríjemných falošných
poplachov. Zároveň nemožno prehliadať ani tú skutočnosť, že súčasnú AV-ochranu už nie
je možné vytvárať len použitím AV-systémov, ale aj prostredníctvom doplnkových foriem
ochrany. V neposlednom rade je poukázané na možnosti eliminácie jednotlivých typov
škodlivých kódov a problémy i škody, ktoré pri tejto aktivite môžu vzniknúť či už
činnosťou AV-systémov alebo samotných používateľov.
Pochopenie vzájomných súvislostí medzi fungovaním škodlivých kódov, AV-systémov
i OS MS Windows, by malo používateľom napomôcť pri ochrane ich počítačových
systémov a prispieť k minimalizácii strát z hľadiska času i finančných prostriedkov
potrebných na obnovu napadnutých a poškodených dát. V tejto oblasti navyše treba
neustále počítať s tým, že každý softvér, ktorý vytvoril človek môže okrem svojich
požadovaných funkcií skrývať vo svojom kóde viaceré nedostatky. Tie môžu útočníkom
umožniť jeho narušenie a prípadný prienik do systému, ktorý môže byť spojený
s poškodením či odcudzením dôležitých dát používateľov. Všetci používatelia by preto
svojim konaním a tiež starostlivosťou o používané počítačové systémy (... najmä na
softvérovej úrovni), mali prispievať k tomu, aby škodlivé kódy nemali príliš veľkú šancu na
„prežitie“.
Prax nám už viackrát potvrdila, že brať v tejto dynamicky sa rozvíjajúcej oblasti sveta
informačných technológií ohľad na vek a dosiahnuté vzdelanie používateľov nie je
podstatné. Dôležité je skôr hľadieť na to, aby čo najväčší počet používateľov počítačov
dodržiaval aspoň základné princípy bezpečnosti pri sieťovej komunikácii. Počítačová sieť
internet patrí nám všetkým a preto sme sami zodpovední za to, aké výhody nám bude
v budúcnosti poskytovať a aké riziká budú spojené s jej používaním.
Myšlienky a poznatky uvedené v tejto diplomovej práci by mali napomôcť
používateľom počítačových systémov pochopiť, že škodlivé kódy predstavujú pre nich istú
hrozbu. Netreba sa jej však báť a vnímať prípadnú prítomnosť škodlivých kódov v systéme
ako neriešiteľný problém, ktorý musí končiť stratou dát, novou inštaláciou systému, či
dokonca poškodením dobrého mena osoby alebo firmy. Škodlivé kódy sú skôr „chorobou“
modernej informačnej doby, proti ktorej poznáme dostatočne účinné formy prevencie
i ochrany, len sme sa ich zatiaľ nenaučili správne aplikovať v globálnom meradle. Do
budúcnosti by malo byť našou spoločnou snahou venovať pozornosť otázkam týkajúcim sa
tejto problematiky a vytvárať také prostredie a informačno-komunikačné systémy, ktorých
prítomnosť v reálom svete nedá škodlivým kódom a ich tvorcom šancu na prežitie či
uplatnenie.
„Vo svete ktorého základ tvoria informačno-komunikačné systémy
je najväčšou hrozbou pre celú spoločnosť práve človek.
Ten dokáže tvoriť i ničiť to, čo vytvorili iní bez ohľadu na to,
aké následky to bude mať na existenciu jeho samotného.“
Autor
PPOOUUŽŽIITTÁÁ LLIITTEERRAATTÚÚRRAA AA IINNFFOORRMMAAČČNNÉÉ ZZDDRROOJJEE
[1] TRNKA, M.: Počítačové infiltrácie šírené elektronickou poštou a ochrana proti nim,
Bezpečnosť dát 2002 (Zborník), AEC, Bratislava 2002.
[2] JALŮVKA, J.: Moderní počítačové viry, Computer Press, Praha 2000.
[3] COHEN, F.: Computer Viruses – Theory and Experiments, Fred Cohen, 1984.
[4] KOVÁČ, P.: Vírusový underground, 5.seminár Počítačové vírusy, Bratislava 1998.
[5] KASPERSKY, E.: Computer Viruses – What are they and how to fight them?,
VirusList.com (www.viruslist.com).
[6] LUDWIG, Mark A.: The Little Black Book of Computer Viruses, American Eagle
Publications, Inc., Arizona 1996.
[7] HAK, I.: Moderní počítačové viry (Bakalářská práce), Univerzita Hradec Králové,
Fakulta informatiky a managementu, Katedra informatiky a kvantitatívních metod,
Hradec Králové 2003.
[8] CIEPŁY, M. – SKŁADZIEŃ, K.: Wirusy komputerowe – architektura komputerów,
Wrocław 2001-2002.
[9] NÁDENÍČEK, P. – PŘIKRYLOVÁ, O. – PŘIBYL, T. – VOBRUBA, T.: CHIP Speciál
– Jak na počítačové viry, Vogel Publishing, Praha 2002.
[10] TUHÁRSKY, P.: Vírusy a antivírusy (Bakalárska práca), Univerzita Mateja Bela,
Fakulta prírodných vied, Katedra informatiky, Banská Bystrica 2000.
[11] SOLOMON, A.: A Brief History of PC Viruses, S&S International, VDAT (The
Computer Virus “Scene“ Database) – Cicatrix, 2000.
[12] HRUSKA, J.: The Future of Computer Viruses, Sophos, Oxford (England) 1998.
[13] CICATRIX: VDAT (The Computer Virus “Scene“ Database), Microsoft Word
document macro virus (dokument), Data Fellows, 1996.
[14] AITKEN, Peter G.: Windows Script Host 2.0 dávkové soubory pro Windows, Grada,
Praha 2001.
[15] VOBRUBA, T.: Červi – Noční můra internetu?, Bezpečnosť dát 2003 (Zborník),
AEC, Bratislava 2003.
[16] DŽUBÁK, J.: Hoax.cz (www.hoax.cz), 2001.
[17] FITZGERALD, N.: A Virus by Any Other Name – Virus Naming Updated,
Elektronická publikácia Virus Bulletin (1/2003), Virus Bulletin Ltd, Abingdon
(England) 2003.
[18] BAUDIŠ, P.: Chip: Antivirový koutek, Časopis CHIP (9/2003), Vogel Publishing,
Praha 2003.
[19] BENNY/29A: Situation in VX scene by Benny/29A, 29A e-Zine 6, 29A Labs 2003.
[20] GORDON, S.: Virus Writers (Part 1), Elektronická publikácia Virus Bulletin
(5/1999), Virus Bulletin Ltd, Abingdon (England) 1999.
[21] GORDON, S.: Virus Writers (Part 2), Elektronická publikácia Virus Bulletin
(6/1999), Virus Bulletin Ltd, Abingdon (England) 1999.
[22] GORDON, S.: Virus Writers (Part 3), Elektronická publikácia Virus Bulletin
(7/1999), Virus Bulletin Ltd, Abingdon (England) 1999.
[23] KOVÁČ, P.: Právne aspekty vírusových infiltrácií, Bezpečnosť dát 2003 (Zborník),
AEC, Bratislava 2003.
[24] ZALEWSKI, M.: I don`t think I really love you (lcamtuf.coredump.cx/worm.txt),
California, U.S.A. 1998-2000.
[25] LEPIŠ, M.: I-Worm.Serotonin (www.virusy.sk/clanok.ltc?ID=316), Informačný web
server Vírusy.sk, 2003.
[26] PŘIBYL, T.: Kyberterorismus, Bezpečnosť dát 2003 (Zborník), AEC, Bratislava
2003.
[27] VELDMAN, F.: Heuristics Anti-Virus Compatibility, ESaSS B.V., 1994-1995.
[28] LOHNISKÝ, J.: Rakovina internetu, Časopis Computer (1/2004), Computer Press,
Praha 2004.
[29] DILLARD, K. – MALDONADO, J. – WARRENDER, B.: Windows Server 2003
Security Guide (elektronická príručka), Microsoft Corporation, 2003.
[30] ESENKOLB, K. – GÖKHAM, M. – WEICKARDT, H.: Bezpečnost Windows
2000/XP, Computer Press, Praha 2003.
[31] CAFOUREK, B. – BŘEHOVSKÁ, J.: 1001 tipů a triků pro Microsoft Windows 2000
Server a Professional, Computer Press, Praha 2001.
[32] Microsoft Corporation: Microsoft Windows 2000 Professional Resource Kit,
Computer Press, Praha 2000.
[33] BEGNALL, B. – BROOMES, O. Chris – RUSSELL, R.: E-mail Virus Protection
HandBook, Syngress Publishing Inc., 2000.
[34] LEPIŠ, M.: Informačný web server Vírusy.sk (www.virusy.sk), 2001-2004.
[35] BENNY/29A: I-Worm.Serotonin, 29A e-Zine 6, 29A Labs 2003.
[36] BENNY/29A: Wormz in 21st century by Benny/29A, 29A e-Zine 5, 29A Labs 2000.
[37] KERBS, B.: A Short History of Computer Viruses and Attacks, Washington Post
(14/02/2003).
[38] NAZARIO, J.: The Future of Internet Worms (www.crimelabs.net), CrimeLabs
Research, 2001.
[39] KASPERSKY, E.: AVP Virus Encyclopedia – Computer Virus Classification,
Kaspersky Lab, 1999.
[40] MULVENON, J.: Taiwan and the Revolutions in Military Affairs, The RAND
Corporation, 2003.
[41] TRNKA, M.: Nové trendy v heuristickej analýze, Bezpečnosť dát 2001 (Zborník),
AEC, Bratislava 2001.
PPRRÍÍLLOOHHYY
PPRRÍÍLLOOHHAA 11
Chronológia najvýznamnejších udalostí zo sveta škodlivých kódov
PPRRÍÍLLOOHHAA 22 Manuálna eliminácia škodlivých kódov
CCHHRROONNOOLLÓÓGGIIAA NNAAJJVVÝÝZZNNAAMMNNEEJJŠŠÍÍCCHH UUDDAALLOOSSTTÍÍ
ZZOO SSVVEETTAA ŠŠKKOODDLLIIVVÝÝCCHH KKÓÓDDOOVV
Vzhľadom na to, že toho času neexistuje v žiadnej dostupnej slovenskej a českej
literatúre detailnejší pohľad na významné udalosti – medzníky zo sveta škodlivých kódov
rozhodli sme sa v samostatnej prílohe venovať pozornosť chronológii udalostí, ktoré sa
v tejto oblasti udiali za posledných viac ako tridsaťpäť rokov. [1, 5, 11, 12, 34, 37]
Admirál Grace Murray Hopper objavil v počítačových systémoch
amerického námorníctva medzi reléovými prvkami moľu, ktorú označil
pojmom „bug“. Toto označenie sa zachovalo až do dnešných dní, pričom charakterizuje
chybu objavenú v elektronických zariadeniach i softvérových aplikáciách. Hooper zaviedol
tiež pojem „debugging“ pre označenie procesu, pri ktorom dochádza k odstráneniu chyby
objavenej v počítačovom systéme.
Americký vedec (... maďarského pôvodu) John von Neumann
prezentoval teóriu o samočinne fungujúcich programoch, ktoré
pri svojej činnosti využívali pre dočasné uloženie informácií pamäť. Táto
teória sa neskôr stala odrazovým mostíkom pri tvorbe prvých pokusných
a následne aj moderných počítačových programov a samozrejme aj vírusov.
V týchto rokoch, kedy svetu dominovali veľké sálové
systémy sa stretávame s programami označovanými
pojmom „králiky“ (the rabbits). Ich úlohou bolo vytvárať nové kópie seba samých výlučne
v lokálnom systéme (t.j. nedokázali sa šíriť na iné počítače), čím zmenšovali jeho dostupné
voľné prostriedky. Prvý incident podobný počítačovému vírusu prezentoval program
nazvaný „Pervading Animal“, ktorý sa dokázal šíriť na systémoch Univax 1108 takým
spôsobom, že pripájal svoj vlastný kód na koniec spustiteľných súborov.
Výskumníci z Bellových laboratórií (Victor Vyssotsky, Douglas McIlroy
a Robert Morris Sr.) pokusne vytvorili hru nazvanú „Darwin“. Tá
inšpirovaná skutočnou evolučnou teóriou simulovala boj medzi malými programami,
ktorých úlohou bolo získať dominanciu vo vymedzenom digitálnom priestore. Zaujímavé
na tejto hre bolo to, že práve pán Morris rozšíril jej kód natoľko, že každý novo vznikajúci
a vyvíjajúci sa program neskôr útočil nielen na konkurentov, ale aj svojich vlastných
potomkov. Hra bola koncipovaná pre systémy IBM 7090.
Bobom Thomasom bol vytvorený vírus „The Creeper“ fungujúci v rámci
OS Tenex, ktorý sa šíril prostredníctvom v tom čase existujúcej globálnej
počítačovej siete. Dokázal pristupovať k modemu a prenášať kópie seba samého na
vzdialené systémy. Pre odstránenie tohto vírusu bol po prvý raz použitý špecializovaný
„antivírusový“ program.
Výskumníci John Shock a John Hepps zo spoločnosti Xerox pokusne
vytvorili niekoľko počítačových červov, t.j. krátkych programov, ktoré im
mali napomôcť pri vykonávaní rutinných operácií v počítačovej sieti. Postupný vývoj
1945
1949
1960 – 1970
1961
1971
1979
červov sa však uberal iným smerom, než pôvodne zamýšľali ich tvorcovia, a skončil
nakoniec kolapsom počítačových systémov a výpadkom počítačovej siete. I napriek tomu
sadu experimentálnych červov od Johna Shocka a Johna Heppsa mnohí až dodnes považujú
za akýchsi praotcov moderných počítačových červov, ktoré sa začali objavovať
v neskoršom období.
Popularizácia počítačov priniesla vývoj aj na strane počítačových aplikácií,
ktoré tvorili už nielen softvérové firmy, ale aj jednotlivci z radov
používateľov. Zaznamenaný bol nárast voľne šíriteľných programov pomocou sietí typu
BBS (Bulletin Board System). Medzi poskytovanými programami sa začali objavovať také
exempláre – podobné trójskym koňom, ktoré okrem prezentovaných činností vykonávali aj
skryté operácie.
Na počítačových systémoch Apple II bol objavený boot vírus „Alk Clener“,
ktorý vkladal svoje telo do boot sektoru pružných diskov, odkiaľ sa dokázal
aktivovať pri každom štarte OS. Jeho sprievodnými prejavmi bolo vypínanie obrazovky,
zobrazovanie rôznych správ i blikanie a padanie písmen.
Američan Fred Cohen položil všeobecné teoretické i praktické základy
v oblasti samoreplikujúcich sa programových kódov. Definoval podstatu
i význam pojmu počítačový vírus a zároveň na počítači VAX 11/750 s OS Unix
prezentoval praktickým pokusom7 výsledky dosiahnuté vo výskume samoreplikujúcich sa
kódov.
Na svete sa objavil prvý moderný počítačový boot vírus nazvaný Brain,
ktorého tvorcami boli Basit a Amjad Farooq Alviovci z pakistanského
Lahoru. Veľkosť tohto nedeštruktívneho vírusu bola podľa dostupných zdrojov necelý
3 kB, pričom implementovaná v ňom bola aj maskovacia (tzv. stealth) technológia, ktorá
mala sťažiť jeho priamu identifikáciu. Vírus dokázal infikovať výlučne boot sektory nízko
kapacitných pružných diskov, pričom ich názov menil na „@BRAIN“ alebo „(c)BRAIN“.
Jedinečnosť tohto vírusu spočívala navyše v tom, že jeho tvorcovia boli známi nielen pod
svojimi prezývkami, ale aj pod skutočnými menami, vrátane miesta ich pôsobiska.
Nasleduje ukážka textu, ktorý bol súčasťou kódu tohto vírusu [4]:
Welcome to the Dungeon
(c) 1986 Basit & Amjad (pvt) Ltd.
BRAIN COMPUTER SERVICES
730 NIZAB BLOCK ALLAMA IQBAL TOWN
LAHORE-PAKISTAN
PHONE : 430791, 443248, 280530.
Beware of this VIRUS....
Contact us for vaccination............
Programátor Ralph Burger vytvoril demonštračný program nazvaný
„VirDem“, ktorý dokázal pripájať svoje vlastné telo do kódu spustiteľných
programov v OS MS DOS. O rok neskôr napísal knihu „Computer Viruses: A High-tech
7 Niektoré informačné zdroje uvádzajú, že vytvorenie prvého pokusného samoreplikujúceho sa kódu trvalo
F. Cohenovi približne 8 hodín.
1980
1981
1983
1986
1986
Disease“, v ktorej prezentoval princíp fungovania vírusu Vienna, čím otvoril brány do sveta
počítačových vírusov stovkám používateľov počítačov – najmä programátorom.
V októbri bola objavená prvá kópia vírusu Brain na diskete so záverečnou
prácou jedného zo študentov na americkej University of Dalaware. Následne
sa zistilo, že tento vírus je rozšírený v celosvetovom meradle, v relatívne veľkom počte
kópií. Vo svete sa podarilo odhaliť viaceré ďalšie počítačové vírusy, ako napríklad Vienna
(... s pravdepodobnosťou 1:8 reštartoval počítač), Lehigh (... infikoval výlučne súbor
COMMAND.COM), Suriv-1 (... infikoval všetky .COM súbory), Suriv-2 (... infikoval ako
prvý všetky .EXE súbory) a Suriv-3 (... infikoval .COM aj .EXE súbory). V rôznych
častiach sveta boli identifikované nové boot vírusy, ako napríklad Stoned na Novom
Zélande, PingPong v Taliansku a Yale v Spojených štátoch amerických. Istým prevratom
v oblasti tvorby škodlivých kódov bol prvý šifrovaný súborový vírus Cascade.
Na pôde významných svetových firiem a univerzít sa dosť nečakane
v piatok trinásteho8 prezentoval počítačový vírus Jerusalem. Podstata jeho
činnosti spočívala v ničení súborov, ktoré sa používatelia pokúsili v osudný deň spustiť na
infikovanom počítači. Bol to prvý okamih, kedy si spoločnosť uvedomila skutočné riziko,
ktoré pre počítačové systémy predstavujú škodlivé kódy. Zároveň sa ukázala potreba
vývoja softvérových produktov určených pre vyhľadávania a odstraňovanie existujúcich
počítačových vírusov, červov a trójskych koní – t.j. aplikácií, ktoré dnes väčšina pozná pod
označením AV-systémy.
Po prvý raz v histórii sa začal šíriť počítačovou sieťou ARPANET skutočný
internetový červ známy ako Morrisov červ, ktorého autorom bol 23-ročný
Robert Morris Jr.. Tento červ dokázal v priebehu krátkeho času infikovať viac ako 6 000
počítačových systémov v Spojených štátoch amerických a doslova paralyzovať vtedajšiu
počítačovú sieť na desiatky hodín. Medzi systémami, ktoré v tom čase „padli za obeť“ boli
aj počítače výskumného inštitútu NASA. Celkové odhadované škody, ktoré vznikli jeho
činnosťou boli vyčíslené na 96 miliónov amerických dolárov. Mladý pán Morris bol ako
tvorca tohto červa identifikovaný a potrestaný – zaplatiť musel pokutu vo výške 10 000
dolárov a dostal trest v dĺžke trvania troch rokov.
Počítačový vírus Datacrime prišiel s novinkou, ktorou bola časovo
podmienená aktivácia prebiehajúca od 12. októbra do 31. decembra. Počas
uvedeného obdobia sa vírus snažil formátovať pevné disky infikovaných systémov. Jeho
existencia spôsobila najmä v krajinách ako Holandsko a Veľká Británia nemalú hystériu
a strach z počítačových vírusov. Koncom roka sa na scéne objavil trójsky kôň AIDS, ktorý
bol rozdistribuovaný medzi 20 000 používateľov ako informačná disketa o chorobe AIDS.
V skutočnosti sa trójsky kôň po 90 reštartoch systému postaral o zašifrovanie všetkých
uložených súborov na pevnom disku a nastavil im atribút skryté. Jediným viditeľným
súborom bol odkaz, ktorý nútil používateľov poslať takmer 200 dolárov na adresu
v Paname, ako poplatok za obnovenie zašifrovaných dát. Autor tohto škodlivého kódu bol
identifikovaný, uznaný vinným a nakoniec aj odsúdený.
8 Bez ohľadu na aktuálny mesiac dochádzalo v piatok trinásteho k aktivácii deštruktívnej rutiny
počítačového vírusu Jerusalem.
1987
1988
1988
1989
Objavujú sa prvé polymorfné vírusy (napríklad Chameleon), ktoré dokážu
premenlivo šifrovať celé svoje telo, pričom na jeho počiatku obsahujú
dôležitú dešifrovaciu rutinu. Vzhľadom na neustálu premenlivosť výsledných infikovaných
súborov bolo potrebné výrazne rozšíriť existujúce skenovacie technológie v AV-systémoch.
Najproduktívnejšou krajinou v tvorbe škodlivých kódov sa stalo Bulharsko, v ktorom
vznikla aj prvá sieť typu BBS zameraná na výmenu počítačových vírusov a s nimi
súvisiacich informácií. Značnú aktivitu vykazoval tiež bulharský pisateľ vírusov známy ako
Dark Avenger. Veľmi často sa začína objavovať tendencia tvorcov vírusov integrovať ich
nové výtvory do voľne šíriteľných programov. Vo Veľkej Británii bolo po prvý raz
predaných približne 50 000 kusov počítačového magazínu PC Today s priloženou disketou,
ktorá bola infikovaná vírusom DiskKiller.
Počet škodlivých kódov výraznejšie stúpol na takmer 1000 exemplárov. Na
softvérovom trhu sa začali predávať viaceré AV-systémy. V apríli svet
zachvátila epidémia, ktorú spôsobil multiparitný, plne polymorfný vírus Tequila. V letných
mesiacoch sa o horúce chvíle používateľom počítačov postaral prvý adresárový9 vírus Dir-
II. V septembri sa v Európe objavil ďalší polymorfný vírus Maltese Amoeba. Dark
Avenger prezentoval „vírus“, ktorý dokázal nadobudnúť až 4 000 000 000 rôznych podôb.
Nakoniec sa ukázalo, že nejde ani tak o vírus ako o prvý polymorfný generátor vírusov
MtE (tzv. Mutation Engine).
Vírus Michelangelo vyvolal vlnu hystérie hneď potom ako jedna
nemenovaná americká spoločnosť predpovedala, že infikuje počas svojej
aktivity približne 5 000 000 počítačov. Realita bola našťastie taká, že infikovaných bolo
menej ako 10 000 systémov. Bulharský tvorca vírusov Dark Avenger prichádza v tomto
roku s ďalšou pozoruhodnou novinkou nazvanou Commander Bomber, ktorá umožňuje
umiestniť kód počítačového vírusu kamkoľvek do spustiteľných súborov. AV-spoločnosti
boli v mnohých prípadoch nútené opäť výraznejšie prepracovať svoje AV-systémy, iné
naopak nezvládli situáciu a boli nútené časom ukončiť svoje pôsobenie na trhu. V druhej
polovici roka sa na internete objavili nové generátory vírusov, ako napríklad VCL (Virus
Creation Laboratory) a PS-MPC (Phalcom/Skism Mass-Produced Code Generator).
V Spojených štátoch amerických a Európe sa objavujú jednotlivci, ktorí začínajú za peniaze
ponúkať zbierky počítačových vírusov.
Tento rok by sa dal nazvať obdobím, kedy sa tvorcovia škodlivých kódov
snažili prezentovať svoje nové najčastejšie polymorfné vírusy a generátory
podporujúce ich rýchlu a hromadnú produkciu. Typickými príkladmi generátorov vírusov
sú TPE (Trident Polymorphic Engine), NED (Nuke Encryption Device) alebo DAME
(Dark Angel’s Multiple Encryptor). Výsledkom aktivít tvorcov škodlivých kódov bol
rastúci počet škodlivých kódov i vírusových incidentov v rôznych krajinách.
9 V anglickej literatúre sa označuje pojmom Link Virus alebo Cluster Virus. Podstata jeho činnosti spočíva
v tom, že neinfikuje konkrétny súbor, ale presmeruje ukazovateľ prvej alokačnej jednotky daného súboru
v rámci FAT na telo vírusu. Pri spustení takto „upraveného súboru“ sa najprv aktivuje a umiestni do
pamäte vírus, ktorý následne zabezpečí aktiváciu „infikovaného súboru“.
1990
1991
1992
1993
S rozvojom kompaktných diskov obsahujúcich okrem hudby aj softvér sa
čoraz viac dostávali do popredia možnosti šírenia sa škodlivých kódov na
novom type vysokokapacitných médií. Vo Veľkej Británii sa objavili dva komplikované
polymorfné počítačové vírusy nazvané SMEG.Pathogen a SMEG.Queeg, ktoré sa rozšírili
medzi širšie masy používateľov sieťou BBS. V lete bol autor polymorfného generátora
vírusov SMEG (Simulated Metamorphic Encryption Generator), skrývajúci sa pod
prezývkou Black Baron, zadržaný políciou. Postupne sa objavovali aj vírusy ako Shifter
a SrcVir, ktoré dokázali infikovať objektové moduly a súbory obsahujúce zdrojové kódy
jazykov C a Pascal. Jednu z najväčších epidémií v histórii odštartovali vírusy OneHalf
(... postupne šifroval obsah disku od poslednej alokačnej jednotky a pri každom reštarte sa
posunul o dve alokačné jednotky ďalej, až kým nezašifroval celý disk) a neskôr aj
3APA3A.
Vo februári sa jednému beta testerovi podarilo objaviť na jednej z diskiet
obsahujúcich demonštračnú verziu novo vyvíjaného OS MS Windows 95
vírus Form. Najvýznamnejším obdobím v tomto roku sa však stal mesiac august, kedy sa
na svete objavil prvý makrovírus nazvaný Concept. Ten bol schopný infikovať dokumenty
vytvorené v aplikácii MS Word a odštartoval tým novú éru. Éru makrovírusov, ktoré
v krátkom čase vytlačili z celosvetových štatistík škodlivých kódov staré počítačové vírusy
a červy. Tvorbou makrovírusov sa začalo zaoberať veľké množstvo používateľov, nakoľko
ich hlavný programovací jazyk Visual Basic for Applications bol priamou súčasťou každej
inštalácie kancelárskeho balíka MS Office.
AV-spoločnostiam sa poradilo identifikovať prvý počítačový vírus
Win95/Boza schopný infikovať súbory v OS MS Windows 95 a zároveň aj
prvý makrovírus Laroux pre aplikáciu MS Excel. Bezpečnostné nedostatky nového OS MS
Windows 95 využil koncom roka pri svojom šírení prvý pamäťovo-rezidentný vírus
Win95/Punch, fungujúci na princípe systémového virtuálneho ovládača, ktorý dokázal
infikovať spustiteľné súbory počas ich aktivácie. Nárast počtu škodlivých kódov bol
v tomto období výrazný. Podľa odhadov AV-spoločností bolo dokumentovaných takmer
8 000 exemplárov rôznych typov škodlivých kódov. Spomenuté udalosti opäť donútili
tvorcov AV-systémov vylepšiť skenovacie algoritmy jednotlivých AV-skenerov a doplniť
do nich množstvo nových funkcií.
Okrem nedostatkov OS MS Windows 95 a následne aj MS Windows NT sa
čoskoro ukázalo, že ani OS Linux nie je úplne bezpečným systémom.
Objavený bol prvý vírus pre OS Linux nazvaný Bliss. Na softvérový trh prišiel kancelársky
balík MS Office 97, ktorý rozšíril možnosti spracovania dokumentov a rovnako aj možnosti
tvorby dokonalejších a komplexnejších makrovírusov. Umožnil dokonca konverziu starých
makrovírusov do nového prostredia, čím razantne vzrástol počet ich rôznych variantov.
Pozornosť si v tomto smere zaslúži aj červ Homer, ktorý sa dokázal šíriť prostredníctvom
počítačovej siete, resp. protokolu FTP a vírus Esperanto, ktorý ako prvý na svete dokázal
infikovať spustiteľné súbory v rámci OS MS DOS, MS Windows a tiež MacOS. Koncom
1994
1995
1996
1997
roka sa prostredníctvom komunikačných sietí IRC10 začali šíriť prvé počítačové červy,
ktoré využili bezpečnostnú chybu objavenú v aplikácii mIRC.
Stabilná pozícia softvérovej spoločnosti Microsoft na trhu, masová
obľúbenosť jej produktov a postupne sa rozmáhajúci internet obrovskou
mierou napomohli k rozvoju všetkých dovtedy existujúcich typov škodlivých kódov (... ich
počet sa odhaduje na necelých 20 000 exemplárov). K slovu sa po dlhšej odmlke prihlásili
aj niektoré trójske kone, prostredníctvom ktorých sa ich tvorcovia snažili získať dôležité
prístupové kódy, heslá a iné informácie (príkladom sú BackOrifice a NetBus). Rozvoj
makrovírusov pokračoval ďalej, pričom objavený bol prvý makrovírus nazvaný AccessiV
pre databázový systém MS Access a následne aj univerzálny makrovírus Tristate, ktorý
dokázal infikovať dokumenty aplikácií MS Word, MS Excel a MS PowerPoint. Polymorfné
vírusy Win95/HPS a Win95/Marburg do istej miery „prekvapili“ AV-spoločnosti, ktoré
neboli na takto koncipované škodlivé kódy pripravené a museli opäť inovovať skenovacie
algoritmy implementované vo svojich AV-systémoch. V júni sa objavil vírus Win95/CIH11,
ktorý infikoval spustiteľné súbory v rámci OS MS Windows 9x-NT a každý 26. deň
v mesiaci aktivoval svoju deštruktívnu rutinu, ktorá dokázala prepísať pôvodný obsah Flash
BIOSu. Výsledkom, najmä na novších počítačoch, bolo poškodenie matičnej dosky a úplné
znefunkčnenie počítača. K masovému rozšíreniu tohto vírusu prispel značný počet vo svete
rozšírených a žiaľ infikovaných kópií niektorých populárnych počítačových hier. V druhej
polovici roka bol objavený prvý vírus schopný infikovať spustiteľné súbory jazyka Java,
ktorý získal označenie Java.StangeBrew. November priniesol ďalšie dve novinky v podobe
prvého skript vírusu VBScript.Rabbit, ktorý dokázal infikovať súbory obsahujúce Visual
Basic Script kódy a následne aj vírusu HTML.Internal, ktorý ako prvý na svete dokázal
infikovať HTML stránky.
Po uplynulom roku bohatom na technologické novinky svet dúfal, že zažije
konečne jeden pokojný a škodlivými kódmi minimálne poznačený rok.
Opak bol pravdou, nakoľko rok 1999 sa niesol v znamení škodlivých kódov šíriacich sa
prostredníctvom príloh emailových správ. Začiatkom roka sa o „zábavu“ postaral červ
Win32/SKA12, ktorý na pozadí pekného farebného ohňostroja infikoval jeden počítač za
druhým. Netrvalo dlho a prvú vlnu celosvetovej epidémie odštartoval 26. marca makrovírus
Melissa, ktorý využil prílišnú dôverčivosť a zvedavosť používateľov elektronickej pošty.
Šíril sa ako dokument vytvorený v aplikácii MS Word tvoriaci prílohu emailových správ
s textom, nabádajúcim používateľov k jeho otvoreniu. Tí, čo podľahli a dokument otvorili
aktivovali zároveň aj skryté makro obsahujúce vírus. Jeho úlohou bolo rozposlať kópiu
dokumentu aj s makrovírusom na 50 ďalších emailových adries. Autor tohto makrovírusu
David Lee Smith bol zadržaný a neskôr odsúdený. Prehliadnuť sa nedala ani aktivita vírusu
Win32/CIH a masová epidémia spôsobená červom Win32/ExploreZIP, ktorý vyhľadával na
pevných diskoch niekoľko najpoužívanejších súborov ( na základe ich prípony) a skracoval
ich na nulovú veľkosť (t.j. nenávratne odstránil ich pôvodný obsah). Za zmienku ešte stojí
spomenúť objavenie červov VBS/BubbleBoy a VBS/Kakworm, ktoré v praxi prezentovali
10 Skratka IRC znamená Internet Relay Chat. Jedná sa o on-line komunikáciu väčšieho počtu používateľov
zoskupených do tzv. diskusných skupín – kanálov. 11 Známy tiež pod označením Chernobyl (Černobyl). 12 Občas prezývaný aj ako Happy99.
1998
1999
možnosť aktivácie škodlivého kódu tvoriaceho súčasť emailovej správy už pri jej zobrazení
– čítaní (... vďaka bezpečnostnej chybe v aplikácií MS Internet Explorer, MS Outlook a MS
Outoolk Express).
AV-spoločnostiam sa podarilo identifikovať prvý makrovírus pre aplikáciu
AutoCAD, nazvaný ACAD.Star a rovnako aj vírus Win2000/Installer13,
ktorý si získal pozornosť najmä preto, že predstavoval prvý škodlivý kód určený pre nový
OS MS Windows 200014. Zatiaľ čo tieto dva škodlivé kódy používateľov počítačov príliš
neohrozovali, úplne iná situácia nastala v prípade červa ILoveYou15, ktorý sa začal šíriť
4. mája 2000. Jednalo sa o epidémiu dovtedy nevídaných rozmerov, ktorá postihla
v priebehu niekoľkých desiatok hodín milióny počítačových systémov po celom svete.
Zároveň donútila tvorcov AV-systémov zamyslieť sa nad koncepciou AV-bezpečnosti,
ktorá sa postupne okrem kontroly spustiteľných súborov musela rozšíriť, aj na kontrolu
súborov obsahujúcich rôznorodé skript kódy a prijímané emailové správy, vrátane ich
príloh. Postupom času sa objavilo ešte takmer tridsať modifikovaných variantov tohto
červa, ktoré však nezaznamenali taký výrazný úspech ako prvý variant červa ILoveYou.
Tento rok priniesol aj ďalší komplexne navrhnutý škodlivý kód nazvaný Win32/MTX,
ktorý pozostával z vírusu, červa, zadných vrátok simulujúcich jednoduchý FTP server a
skriptu pre IRC klient aplikácie. Na prelome rokov 2000 a 2001 sa začali objavovať červy
založené na technológii plug-in modulov. Typickým príkladom je červ Win32/Hybris,
ktorý sa šíril ako spustiteľná príloha emailových správ, schopná len infiltrácie do systému.
Všetky ďalšie moduly a tým aj možnosti svojho pôsobenia v infikovanom systéme si musel
Win32/Hybris dodatočne, bez vedomia používateľa, stiahnuť z internetu.
Rozmach počítačov i siete internet a ich postupný prienik do všetkých sfér
spoločenského života vo výraznej miere „nahrával do kariet“ tvorcom
škodlivých kódov, ktorí mohli v čoraz väčšej miere využívať pri svojich vírusoch a červoch
nedostatky masovo používaných aplikácií i sociálneho inžinierstva. Objavovať sa postupne
začali prvé vírusy naprogramované v jazyku PHP, určenom pre tvorbu dynamického
obsahu HTML stránok. Zaujímavou českou novinkou sa stal multiplatformový vírus
Win32/Linux.Winux schopný infikovať súbory ako v OS MS Windows, tak aj v OS Linux.
Značný rozruch spôsobil skript vírus VBS/SST, ktorý sa mediálne zvykne označovať ako
Anna Kurnikovova. Ten v priloženom súbore, tvoriacom súčasť masovo rozposielaných
emailových správ, mal obsahovať obrázok mladej a príťažlivej ruskej tenistky. Namiesto
obrázku bol však v súbore prítomný relatívne dosť chybový skript kód vytvorený pomocou
známeho generátora skript vírusov nazvaného Kalamar VBSWG. Ďalší podobný trik sa
snažil použiť červ Naked Wife, ktorý namiesto „nahej ženy“ ukázal používateľom len to,
ako môžu prísť kvôli svojej dôverčivosti a ľahkovážnosti o dôležité systémové súbory.
Extrémne nebezpečným škodlivým kódom sa stal Win32/Magistr, t.j. počítačový vírus
a červ v jednom. Šíriť sa dokázal ako spustiteľná príloha emailových správ, ako spustiteľný
súbor prostredníctvom sieťovo zdieľaných diskov a navyše dokázal infikovať aj spustiteľné
13 Jeho tvorcami bola dvojica mladíkov skrývajúcich sa pod prezývkami Benny/29A a Darkman/29A.
Obidvaja boli toho času členmi španielskeho zoskupenia tvorcov škodlivých kódov nazvaného 29A Labs. 14 V tom čase spoločnosť Microsoft ešte len pripravovala jeho uvedenie na softvérový trh. 15 Neskoršie vyšetrovanie ukázalo, že autorom spomenutého červa bol Filipínec Onel de Guzman. Ten
chcel veľmi podobnej koncipovaný škodlivý kód prezentovať vo svojej diplomovej práci, čo mu však
24. februára 2000 zamietol pracovník filipínskej AMA Computer College.
2000
2001
aplikácie v rámci OS MS Windows. Jeho deštruktívna rutina dokázala za istých podmienok
poškodiť dáta uložené na disku i v pamäti typu CMOS a Flash BIOS. Ďalším masovo
rozšíreným červom sa stal Win32/Sircam, ktorý sa rovnako ako jeho predchodcovia šíril vo
forme príloh emailových správ. Navyše však z infikovaných systémov odosielal na získané
adresy okrem svojho tela aj niektoré typy súborov a dokumentov, čo malo za následok
početné úniky dôležitých súkromných i firemných informácií. Do histórie sa zapísal
výrazne aj červ Win32/Badtrans (najmä jeho druhý variant). Internetový červ CodeRed po
prvý raz v praxi prezentoval spôsob šírenia sa škodlivého kódu výlučne prostredníctvom
počítačovej siete internet a jeho integráciu do vzdialeného systému bez nutnosti vytvorenia
akéhokoľvek súboru na pevnom disku infikovaného počítača. V sieti sa snažil vyhľadávať
a infikovať výlučne počítače s aktívnou službou Microsoft Internet Information Service,
ktorá obsahovala vážnu bezpečnostnú dieru. Epidémia, ktorú svet v tom čase zažil bola
natoľko masívna, že AV-spoločnosti na jednej strane a používatelia na strane druhej
nestačili adekvátne zareagovať na prítomnosť tohto červa. Výsledkom boli desaťtisíce
infikovaných systémov po celom svete. Jedným z najkomplexnejších škodlivých kódov sa
stal červ Win32/Nimda, ktorý sa dokázal šíriť prostredníctvom príloh emailových správ,
lokálnej počítačovej siete a v neposlednom rade aj pomocou HTML stránok umiestnených
na infikovaných HTTP serveroch. Za zmienku navyše stojí aj červ Win32/Klez, ktorý sa
šíril prostredníctvom emailových správ i sieťovo zdieľaných diskov a navyše vo svojom
tele obsahoval ukrytý polymorfný parazitický vírus Win32/Elkern napádajúci spustiteľné
aplikácie.
Hneď v prvých dňoch roka 2002 sa na internete objavila správa o škodlivom
kóde SWF/LFM.926, ktorý ako prvý na svete dokázal infikovať animácie
vytvorené aplikáciou Macromedia Flash. Vzápätí z Čiech dorazila ďalšia novinka v podobe
vírusu Win32/Donut, ktorý bol schopný infikovať súbory/aplikácie naprogramované
v jazyku C#16. Masového rozšírenia sa dočkali niektoré nové varianty červa Win32/Klez.
K sviatku zamilovaných (t.j. na Valentína) používatelia dostali malý darček v podobe
emailového červa Win32/Yaha. Experimentálnou ukážkou toho, ako možno infikovať
informačný systém SAP R/3 sa stal vírus ABAP/RivPAS. Objavil sa tiež multiplatformový
počítačový vírus Win32.Linux/Simile schopný infikovať spustiteľné súbory v OS Linux
i OS MS Windows. Vírus nazvaný Win32/Perun ako prvý na svete infikoval súbory
formátu JPEG – a to takým spôsobom, že na ich koniec pripojil svoj vlastný kód.
S využitím bezpečnostnej diery objavenej v HTTP serveri Apache pre Linux sa sieťou
internet začal šíriť internetový červ Linux/Slapper. Koncom roka prezentovali svoju silu
dva nové červy Win32/BugBear a Win32/Opasoft, ktoré sa začali medzi používateľmi
masovo šíriť prostredníctvom emailových správ so spustiteľnou prílohou. Prvý z nich
okrem bežných činností obsahoval vo svojom kóde integrovaného trójskeho koňa určeného
pre získavanie hesiel a zadné vrátka pre vzdialený prístup k zdrojom infikovaného systému.
Druhý červ používal pri vyhľadávaní svojich nových obetí dosť účinný systém skenovania
okolitých počítačových sietí, pričom sa dokázal šíriť za použitia systémovej služby
NETBIOS medzi nedostatočne zabezpečenými počítačmi umiestnenými v lokálnej sieti.
Najzaujímavejšou poplašnou správou roku 2002 bola informácia o tom, že americká FBI
vyvíja softvér nazvaný Magic Lantern (tzv. kúzelná lampa), ktorý má záujem použiť na
16 V tom čase programovací jazyk C# (súčasť MS Visual Studio .NET) čakal na oficiálne uvedenie na trh.
2002
sledovanie aktivít v rôznych počítačových systémoch na svete. Táto informácia sa však
dodnes nepotvrdila... .
Začiatok roka odštartoval vcelku obyčajný červ Win32/Lirva, ktorý zneužil
dočasnú popularitu mladej speváčky Avril Lavigne. Následne si istú mieru
pozornosti vyslúžil český vírus Win32/Che, ktorý dokázal ako prvý rezidentný škodlivý
kód na svete infikovať súbory s príponou .SYS (... tvoriace ovládače zariadení ako sú
zvuková karta, sieťová karta, grafická karta a iné) v rámci OS MS Windows 2000/XP.
Januárovou jednotkou sa i napriek spomenutým udalostiam stal internetový červ
Win32/SQL.Slammer. Ten sa šíril sieťou internet „od počítača k počítaču“ prostredníctvom
špeciálne upraveného UDP paketu o veľkosti 434 bajtov. Na počítačoch sa snažil
identifikovať aktívny MS SQL Server 2000 a MS Desktop Engine 2000 (... bez
nainštalovaného Service Packu 3) a v prípade jeho dostupnosti preniknúť do daného
systému za použitia jednej z objavených bezpečnostných dier. V čase jeho
najintenzívnejšieho šírenia boli vyradené z činnosti viaceré informačné systémy a dokonca
aj celé časti počítačových sietí. Tomuto červovi sa podarilo preniknúť aj do privátnej
počítačovej siete jadrovej elektrárne v Spojených štátoch amerických, kde infikoval
existujúci MS SQL Server a následne vyradil z činnosti bezpečnostný monitorovací systém
na približne 5 hodín. Pozoruhodnou technologickou novinkou sa stal ďalší český červ
nazvaný I-Worm.Serotonin, ktorý využíval pri svojej činnosti princípy genetického
programovania, komunikácie prostredníctvom decentralizovaného wormnetu, dokázal
infikovať spustiteľné súbory určené pre platformu Microsoft .NET, šíriť sa prostredníctvom
špeciálne upravených emailových správ a deaktivovať bezpečnostné i AV-systémy.
V letných mesiacoch sa objavil červ Win32/BugBear.B, ktorý mal vo svojom tele
zabudovaný jednoduchý keylogger a backdoor (... ktorých úlohou bolo kradnúť dôležité
dáta, prístupové heslá a vybrané informácie zo systémov lokalizovaných vo významných
bankách a bankových inštitúciách). Detailná analýza červa nakoniec potvrdila, že ide
o polymorfný škodlivý kód s integrovaným, miniatúrnym HTTP server (... umožňujúcim
priamy prístup k jednotlivým súborom uloženým v infikovanom počítači za použitia
klasického prehliadača web stránok). Koncom leta sa pozornosť všetkých odborníkov
i používateľov počítačov upierala na internetový červ Win32/Blaster. Ten sa šíril medzi
počítačmi s nezabezpečeným OS MS Windows NT-2003 pomocou siete internet, bez
priameho zásahu zo strany používateľov. Využíval pritom bezpečnostnú dieru v rozhraní
Distributed Component Object Model (DCOM) Remote Procedure Call (RPC), ktorá bola
objavená 26 dní pred jeho masovým rozšírením. Navyše červ Win32/Blaster predstavoval
hrozbu nielen pre serverové stanice, ale aj systémy bežných používateľov. O značnú
medializáciu tohto červa sa postarali hlavne informácie týkajúce sa pripravovaného
(... avšak neúspešného) útoku na aktualizačný web server spoločnosti Microsoft. Druhú
„ranu pod pás“ uštedril používateľom počítačov koncom leta červ Win32/Sobig.F, ktorý sa
podľa mnohých AV-odborníkov zapíše do histórie ako jeden z najaktívnejších škodlivých
kódov, ktorý dokázal počas svojej aktivity na infikovaných počítačoch vygenerovať
a rozposlať viac ako 300-miliónov „infikovaných“ emailových správ. AV-spoločnostiam sa
detailnou analýzou tohto škodlivého kódu podarilo v jeho kóde identifikovať skrytý
mechanizmus, ktorý sa mal aktivovať vo všetkých aktívnych kópiách červa Win32/Sobig.F
po celom svete v jeden okamih – t.j. 22.8.2003 o 19:00 UTC. Jeho úlohou bolo kontaktovať
20 preddefinovaných styčných serverov, z ktorých mal červ získať určité informácie pre
svoje ďalšie fungovanie. Žiaľ dodnes nevedno, o aké informácie sa presne jednalo, nakoľko
2003
aktívnou spoluprácou AV-spoločností, tajných služieb a prevádzkovateľov vybraných web
serverov sa podarilo tejto udalosti zabrániť. Približne necelých 15 minút pred aktiváciou
spomenutej, skrytej rutiny boli vyradené z činnosti všetky preddefinované servery.
Posledné mesiace roka 2003 sa niesli v znamení červa Win32/Swen, ktorého prvá kópia
bola objavená17 na Slovensku! Spomedzi ostatných škodlivých kódov by sme ešte nemali
prehliadnuť internetový červ Win32/Welchia, ktorý počas svojho šírenia dokázal na
9 hodín vyradiť z činnosti americký federálny systém pre kontrolu víz a emailový červ
Win32/Mimail označovaný ako červ mnohých „tvárí“, ktorý sa do povedomia dostal najmä
tým, že vykonával cielené DDoS (Distributed Denial of Service) útoky proti vybraným web
serverom. Za istú novinku uplynulého roka môžeme považovať spoluprácu, ktorá vznikla
medzi tvorcami škodlivých kódov a spamermi. Jej výsledkom sú trójske kone označované
ako TrojanProxy, ktorých len za rok 2003 vzniklo približne 30 exemplárov. Ich úlohou je
vytvorenie efektívnej a spätne neidentifikovateľnej distribúcie spamu, t.j. nevyžiadaných
emailových správ, bez možnosti určiť skutočného odosielateľa.
Zaujímavým prírastkom do rodiny škodlivých kódov sa stal koncom januára
emailový červ Win32/Mydoom, ktorý za niekoľko hodín infikoval státisíce
počítačových systémov na celom svete, čím spôsobil vznik novej masovej epidémie. Jeho
prvý variant navyše zahájil začiatkom februára masový DDoS útok proti web serveru
spoločnosti The SCO Group, ktorá za jeho autora vypísala odmenu vo výške 250 000 USD.
O niekoľko dní neskôr zahájil aj druhý variant červa Win32/Mydoom DDoS útok proti web
serveru spoločnosti Microsoft, ktorá za informácie vedúce k identifikácii jeho autora
ponúkla ďalších 250 000 USD. Udalosti, ktoré nás čakajú v nasledujúcich mesiacoch18 roku
2004 nie je možné jednoznačne predpovedať. Dá sa však predpokladať, že „nikdy nie je tak
zle, aby nemohlo byť ešte horšie“.
17 Podľa informácií zverejnených spoločnosťou MessageLabs na stránkach http://www.messagelabs.com. 18 Aktuálny prehľad najnovších udalostí zo sveta škodlivých kódov, činnosti AV-spoločností i vývoja AV-
systémov môžete nájsť na stránkach slovenského informačného web servera Vírusy.sk (www.virusy.sk).
2004
MMAANNUUÁÁLLNNAA EELLIIMMIINNÁÁCCIIAA ŠŠKKOODDLLIIVVÝÝCCHH KKÓÓDDOOVV
Pri objavení škodlivého kódu v počítači nie je vhodné podľahnúť počiatočnej panike.
Treba postupovať skôr uvážene krok za krokom, s cieľom eliminovať konkrétny počítačový
červ alebo trójsky kôň zo systému, bez rizika straty dôležitých dát či poškodenia systému
ako celku. V tejto prílohe sa vynasnažíme načrtnúť základný spôsob manuálnej eliminácie
bežných počítačových červov a trójskych koní. Jedná sa o tie typy infiltrácií, s ktorými sa
používatelia stretávajú v praxi najčastejšie. Neraz pritom zisťujú, že nimi používaný AV-
systém dané škodlivé kódy dokáže len identifikovať, nie však eliminovať. Pre detailnejšie
návody a odporúčania ako odstrániť mnohé iné škodlivé kódy, adware a spyware programy
odporúčame čitateľom nahliadnuť na priložené CD19 – konkrétne do diskusie venovanej
počítačovým vírusom.
Používatelia najčastejšie odhalia prítomnosť škodlivého kódu v systéme na základe
toho, že počítač pri bežných činnostiach nereaguje tak, ako sú zvyknutí alebo vykonáva
operácie, s ktorými sa nikdy predtým nestretli. Na začiatku je vhodné uistiť sa, že zmeny vo
fungovaní systému nemohli byť spôsobené inštaláciou nejakej novej aplikácie v posledných
dňoch alebo aktualizáciou OS MS Windows, prípadne jeho vybraných častí. Ak je možné
takúto alternatívu vylúčiť zostáva tu ešte možnosť, že systém bol infikovaný nejakým
škodlivým kódom. Ten treba v prvom rade identifikovať a lokalizovať ním používané
súbory. Za týmto účelom používatelia musia vykonať aktualizáciu AV-systému (... stačí len
na úrovni databázy vírusových reťazcov) a kompletnú AV-kontrolu systému. Po jej
ukončení by mali získať informácie o názve škodlivého kódu, ktorý infikoval ich systém
a údaje o umiestnení a názvoch súborov, ktoré AV-systém označil za infikované. V druhej
fáze je potrebné, aby sa používatelia pokúsili eliminovať daný škodlivý kód za použitia
AV-systému, prípadne jedno/viacúčelového AV-programu, ktorý môžu bezplatne získať na
web stránkach vybraných informačných serverov alebo AV-spoločností. V tom najhoršom
prípade by mali pristúpiť k manuálnej eliminácii škodlivého kódu (... pokiaľ ide
o počítačový červ alebo trójsky kôň), pričom si musia uvedomiť, že neodborný zásah do
systému môže mať za následok jeho poškodenie.
Pri manuálnej eliminácii je potrebné poznať...
názov identifikovaného škodlivého kódu,
názvy a umiestnenie súborov, ktoré škodlivý kód v systéme vytvoril, (... vychádzajúc z informácií poskytnutých AV-systémom a získaných z internetu)
zmeny v systémových registroch, ktoré vykonal škodlivý kód,
približný princíp fungovania škodlivého kódu,
škody, ktoré môže spôsobiť,
riziká, ktoré predstavuje pre používateľa a jeho systém počas svojej aktivity.
19 Priložený CD disk, ktorý je súčasťou tejto diplomovej práce obsahuje kompletnú kópiu informačného
web servera Vírusy.sk (www.virusy.sk), ktorá bola vytvorená ku dňu 15.3.2004. Poskytnuté materiály
majú napomôcť používateľom počítačov získať informácie o vybraných škodlivých kódoch a AV-
systémoch.
Bez predchádzajúceho písomného oprávnenia udeleného autorom tejto publikácie a zároveň aj tvorcom
informačného servera Vírusy.sk nesmú byť žiadne informácie uverejnené na priloženom CD disku, či už celé
alebo ich časti, reprodukované v akejkoľvek inej podobe, ako pre osobné nekomerčné využitie.
PPoossttuupp mmaannuuáállnneejj eelliimmiinnáácciiee ppooččííttaaččoovvýýcchh ččeerrvvoovv aa ttrróójjsskkyycchh kkoonníí
((OOSS MMSS WWiinnddoowwss 9988//MMee//XXPP//22000033))
Najdôležitejšou úlohou je odstrániť nežiadúce hodnoty doplnené škodlivým kódom do
systémových registrov, ktoré mu umožňujú aktivovať jeho výkonný kód pri každom štarte
OS MS Windows. Treba si uvedomiť, že pokiaľ je škodlivý kód aktívny v operačnej pamäti
nie je možné vykonať elimináciu ním používaných súborov uložených na pevnom disku.
Namiesto priamej editácie systémových registrov, ktorá
nie je vhodná pre neskúsených používateľov je lepšie
použiť jednoduchšiu alternatívu. V hlavnom menu Štart
vyberieme položku Spustiť..., do zobrazeného
dialógového okna20 zadáme názov súboru
msconfig.exe21 a klikneme na tlačidlo OK.
Zobraziť by sa malo aplikačné okno
s titulkom Nástroj pre konfiguráciu systému,
pomocou ktorého je možné prekontrolovať
aké programy a systémové služby sa
spúšťajú pri štarte OS MS Windows.
Nastavenia v záložke nazvanej Obecné nie
je vhodné meniť.
V záložke SYSTEM.INI je potrebné zistiť, či
sa náhodou dostupné hodnoty neodkazujú na
niektorý zo súborov, ktorý AV-systém pri
kontrole označil za infikovaný. V prípade, že by sa takýto odkaz medzi hodnotami
nachádzal, je potrebné označiť ho a kliknutím na tlačidlo Zakázať deaktivovať. Rovnako
treba postupovať aj pri záložke nazvanej WIN.INI.
V ďalšej záložke nazvanej Služby (... dostupná je len pri OS MS Windows XP/2003), je
potrebné najprv zaškrtnúť políčko Skryť všetky služby spoločnosti Microsoft a medzi
zostávajúcimi službami sa pokúsiť nájsť názov služby, ktorú pri svojej aktivácii používa
20 Obrázky nachádzajúce sa v Prílohe 2 nie sú číslované, nakoľko ich opis je súčasťou predkladaného textu. 21 Táto praktická aplikácia je súčasťou výlučne OS MS Windows 98/98 SE/Me/XP/2003.
škodlivý kód. V tomto prípade treba vychádzať z popisu konkrétneho škodlivého kódu
získaného z internetu (... zo stránok informačného web servera alebo web encyklopédie).
Nájdenú službu je potrebné deaktivovať zrušením zaškrtávacieho políčka pred jej názvom.
V poslednej záložke nazvanej Po spustení je
zobrazený zoznam všetkých aplikácií, ktoré
sa aktivujú pri štarte OS MS Windows
prostredníctvom systémových registrov
alebo odkazov umiestnených v menu: Štart
Programy Po spustení. V zozname je
potrebné vyhľadať názvy všetkých súborov,
ktoré AV-systém pri kontrole označil za
infikované a deaktivovať ich (t.j. zrušiť
zaškrtávacie políčko na začiatku toho-
ktorého riadku).
Po ukončení týchto operácií je nutné vykonať reštart systému. Po opätovnom nabehnutí
OS MS Windows by sa už škodlivý kód nemal nachádzať aktívny v operačnej pamäti
počítača, vďaka čomu je možné počas kompletnej AV-kontroly systému (... vykonanej za
použitia klasického AV-skenera) odstrániť z disku všetky podozrivé a infikované súbory.
Pokiaľ bol systém infikovaný takými škodlivými kódmi, ktoré sa doňho dostali za
použitia známych bezpečnostných dier, je potrebné okamžite navštíviť web stránky
aktualizačného servera spoločnosti Microsoft – Microsoft Windows Update a nainštalovať
do počítača potrebné záplaty.
PPoossttuupp mmaannuuáállnneejj eelliimmiinnáácciiee ppooččííttaaččoovvýýcchh ččeerrvvoovv aa ttrróójjsskkyycchh kkoonníí
((OOSS MMSS WWiinnddoowwss 99xx--22000033))
Vykonávať elimináciu zložitejších škodlivých kódov, ktoré vo väčšom rozsahu modifikujú
systémové registre alebo dôležité systémové súbory, by mali výlučne skúsení používatelia
a správcovia sieťových systémov. V opačnom prípade používatelia riskujú poškodenie OS
MS Windows a v ňom uložených dát.
V hlavnom menu Štart vyberieme položku Spustiť..., do
zobrazeného dialógového okna zadáme názov súboru
regedit.exe a klikneme na tlačidlo OK. Zobraziť by sa
malo aplikačné okno s titulkom Editor registrov, ktoré
umožňuje pridávať, editovať a odstraňovať hodnoty
uložené v systémových registroch. Väčšina škodlivých
kódov sa snaží aktivovať svoj kód počas štartu OS MS
Windows. Za týmto účelom pridávajú nové hodnoty do viacerých kľúčov:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Pri každom z vyššie uvedených kľúčov je potrebné označiť jeho poslednú vetvu
(... nazvanú: Run alebo RunServices) a v zobrazenom zozname (... v pravej časti okna)
nájsť položku, ktorá sa odkazuje na niektorý z infikovaných súborov identifikovaných AV-
systémom pri kontrole systému. Nežiadúcu položku je potrebné kliknutím označiť
a následne odstrániť zo zoznamu.
Po ukončení uvedených operácií je nutné vykonať reštart systému. Po nabehnutí OS
MS Windows, by sa už škodlivý kód nemal nachádzať aktívny v operačnej pamäti počítača,
vďaka čomu je možné počas kompletnej AV-kontroly systému vykonanej klasickým AV-
skenerom odstrániť z disku všetky podozrivé a infikované súbory.
