Wirus co nie odpuści

Obyś żył w ciekawych czasach - to chińskie przekleństwo oddaje znakomicie sytuację, w jakiej znajdują się obecnie administratorzy.

Obyś żył w ciekawych czasach - to chińskie przekleństwo oddaje znakomicie sytuację, w jakiej znajdują się obecnie administratorzy.

Ze względu na powszechność i wygodę, poczta elektroniczna jest bardzo ważnym medium komunikacji, dlatego statystyka ruchu związanego właśnie z pocztą umożliwia określenie tendencji. Niestety, zestawienia statystyczne są niesłychanie niepokojące: firma Radicati przedstawiła 30 maja raport związany z obecnością złośliwego kodu (malware) w listach przesyłanych pocztą elektroniczną.

Według raportu, którego podsumowanie znajduje się na stronie:http://www.radicati.com/cgi-local/brochure.pl?pub_id=497&subscr=&back_link=/reports/single.shtml , liczba listów zawierających złośliwy kod wzrosła do 900 mln dziennie. Jeśli trend zostanie zachowany (wiele wskazuje na to, że szacunki Radicati są bardzo ostrożne), w roku 2009 liczba ta osiągnie 4,2 mld maili dziennie. W dobie takich szacunków i coraz powszechniejszego zagrożenia wirusami przenoszonymi tą drogą należy bardzo uważnie zadbać o bezpieczeństwo poczty elektronicznej. Tym bardziej, że wachlarz możliwości wirusów jest naprawdę szeroki.

Więcej sprytu

Twórcy wirusów roznoszonych poprzez błędy przeglądarki Internet Explorer upodobali sobie podmienianie strony startowej w przeglądarce WWW. Tak robi znaczna część obecnie atakujących wirusów, z których najpopularniejszym jest StartPage.FH (nomenklatura Panda Software). Wirus instaluje oprogramowanie szpiegujące i reklamowe, a podmiana strony startowej służy do uaktualniania kodu i reklam.

Wszelkie wirusy instalujące spyware/adware są plagą dzisiejszego Internetu - coraz częściej razem ze stroną WWW można pobrać dodatkową, niechcianą zawartość. Treści te wcale nie muszą być pobierane od razu - są wirusy, które doinstalowują złośliwe składniki po cichu, np. gdy komputer stoi dłuższy czas bezczynnie. Tak działają niektóre wirusy z rodziny Downloader, wykorzystujące nie tylko Internet Explorera, ale także składniki systemu Windows, jak host skryptów czy Visual Basic for Applications wbudowane w pakiet Microsoft Office.

Na drodze rozwoju wirusów było wiele ważnych kamieni milowych. Jednym z nich było powstanie wirusów roznoszących się za pomocą poczty elektronicznej. Wielką rolę odegrał w tej dziedzinie program Outlook Express oraz Outlook. Gdy pojawiły się zabezpieczenia, wirusy zostały przystosowane do roznoszenia się za pomocą własnego silnika SMTP. Nadal jednak jest to najważniejsza droga roznoszenia się wirusów. Wirusy roznoszące się przez wykorzystywanie błędów w usługach sieciowych systemu Windows nadal są w obiegu, niemniej dość łatwo można się przed nimi zabezpieczyć, instalując wraz z systemem dobrą zaporę sieciową.

Żegnajcie dokumenty

Na przestrzeni lat ewoluowały także działania destrukcyjne wykonywane przez wirusy. Znane są już wirusy niszczące dyski, dające dostęp zdalny włamywaczowi, uszkadzające system Windows, a czasami konkretne programy (np. program AutoCAD firmy AutoDesk), usuwające pliki dokumentów użytkownika i tym podobne.

Nowością na tym polu jest wirus znany jako PGPCoder. PGPCoder jest bardzo dobrym materiałem na wybitnie złośliwego wirusa. Program ten wybiera pliki zawierające dokumenty użytkownika (zawierające rozszerzenie DOC, XLS, DBF, JPG i tak dalej), popularne archiwa ZIP oraz RAR, a także dokumenty HMTL, a następnie szyfruje je za pomocą wbudowanego w program algorytmu. Gdy zakończy działanie, umieszcza plik tekstowy z informacją, że dane zawarte w plikach można odzyskać, gdy użytkownik zapłaci "okup" - podany jest adres e-mail, pod który należy zgłaszać żądania odzyskania danych. Jest to bardzo ważna informacja, bowiem wirus ten może być prekursorem bezprawnych działań mających na celu uzyskanie korzyści majątkowych - są ludzie, którzy nie posiadają kopii bezpieczeństwa i w przypadku zarażenia takim wirusem, zapłacą żądaną kwotę.

Oczywiście namierzenie twórcy wirusa (a jednocześnie odbiorcy takiego "okupu") jest stosunkowo proste i stosowne służby raczej prędko dadzą sobie z tym radę, niemniej problemy wynikające z jego rozprzestrzenienia się mogą w praktyce okazać się większe, niż np. wypełnienie sieci ruchem. Niebawem można się spodziewać nawału podobnych wirusów, być może nawet na miarę popularnego Blastera. PGPCoder nie zawiera wprawdzie kodu umożliwiającego rozprzestrzenienie się za pomocą poczty elektronicznej, niemniej w Internecie można znaleźć skrypt, który wykorzystuje w tym celu skrzynkę kontaktów komunikatora internetowego AOL. Ponieważ AOL Instant Messenger nie jest w Polsce popularny, zagrożenie jest raczej niewielkie.

Efekty działania niektórych wirusów są łatwo zauważalne - zainfekowany komputer zaczyna "sam" wyświetlać otwierające się okna itp. PGPCoder działa tymczasem po cichu, a gdy się go wykryje, zwykle jest już za późno. Integracja wirusa z przeglądarką Internet Explorer jest przy tym tak dopracowana, że usunięcie go jest bardzo trudne - jedynym wyjściem jest czasami tylko odtworzenie systemu z kopii bezpieczeństwa. Najlepiej całkowicie zrezygnować z przeglądarki IE do przeglądania Internetu.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200