Igiho strßnka o virech

Typy infiltracφ

Nejprve je nutnΘ vysv∞tlit pojem äpoΦφtaΦovß infiltraceô. PoΦφtaΦovou infiltracφ nazveme jak²koliv neoprßvn∞n² vstup do poΦφtaΦovΘho systΘmu a tφm i do jeho dat (soubory, programy...). Jde o termφn s velice Üirok²m v²znamem, my se vÜak zam∞°φme pouze na infiltraci, mezi kterou pat°φ trojskΘ kon∞, Φervi, backdoory a v neposlednφ °ad∞ viry. Je nutnΘ poznamenat, ₧e jmenovanß infiltrace by nem∞la bez p°isp∞nφ (tj. jeho blbosti) Φlov∞ka ₧ßdnou Üanci na Üφ°enφ. K aktivaci trojsk²ch ko≥∙, Φerv∙, backdoor∙ Φi vir∙ toti₧ dochßzφ pouze v p°φpad∞, ₧e je u₧ivatel spustφ. Tvrzenφ, ₧e k aktivaci a nßslednΘ infekci poΦφtaΦe dojde p°i pouhΘm vlo₧enφ diskety do mechaniky (+ po p°φpadnΘm naΦtenφ diskety) jsou tedy zcela nesmyslnß.

Z p°edchßzejφcφho odstavce je z°ejmΘ, ₧e p°i infekci poΦφtaΦe nemusφ jφt nutn∞ o virus. Tento pojem se nesprßvn∞ uchytil natolik, ₧e °ada lidφ oznaΦuje slovem ävirusô prakticky cokoliv, bez ohledu na to, ₧e ve skuteΦnosti jde nap°. o Φerva.

V n∞kolika nßsledujφcφch odstavcφch jsou popsßny hlavnφ rozdφly mezi uvedenou infiltracφ.

TrojskΘ kon∞ - Trojan Horses

änejretardovan∞jÜφô forma infiltrace, u₧ivatel se musφ opravdu hodn∞ sna₧it, aby se do jeho poΦφtaΦe dostal.

Trojsk² k∙≥ (n∞kdy oznaΦovßn jako trojan) je v∞tÜinou program, kter² se na prvnφ pohled chovß jako zcela legßlnφ program, ve skuteΦnosti vÜak tajn∞ provßdφ ÜkodlivΘ operace. P°φkladem zcela typickΘho trojskΘho kon∞ (jejich Θra je vÜak nenßvratn∞ pryΦ) je faleÜnß verze antiviru McAfee VirusScan. I kdy₧ byl trojsk² k∙≥ vzhledov∞ podobn² (stejn² v²stup na monitor) jmenovanΘmu antiviru, ve skuteΦnosti pouze mazal bezbrannΘ soubory na disku.

D∙le₧itou skuteΦnostφ je, ₧e trojsk² k∙≥ NEN═ narozdφl od viru schopen replikace (mno₧enφ) a nep°ipojuje se k hostiteli - souboru. Trojsk² k∙≥ se tak nejΦast∞ji vyskytuje na poΦφtaΦi pouze v jednom exemplß°i - souboru, kter² v sob∞ neobsahuje nic jinΘho, ne₧ jmenovanΘho trojana (tj. platφ soubor = trojan).

Z p°edchßzejφcφho bodu je z°ejmΘ, ₧e jedinou metodou, jak se trojskΘho kon∞ zbavit, je smazßnφ dotyΦnΘho soubor∙.

Trojan∙ je sice hromada, dφky nφzkΘ inteligenci se s nimi b∞₧n∞ nesetkßme.

╚ervi - Worms

╚ervi jsou v dneÜnφ dob∞ velice rozÜφ°enΘ.

V dneÜnφ dob∞ se pojmem äΦervô oznaΦuje takov² typ infiltrace, kterß do poΦφtaΦe dostane elektronickou poÜtou (e-maily). ╚erv mß n∞kolik v∞cφ spoleΦn²ch s trojsk²m kon∞m. Na poΦφtaΦi se op∞t vyskytuje nejΦast∞ji pouze v jednom exemplß°i û souboru, kter² v sob∞ neobsahuje nic jinΘho, ne₧ jmenovanΘho Φerva (soubor = Φerv). Jak u₧ bylo °eΦeno, Φervi k nßm p°ichßzejφ v elektronickΘ poÜt∞. äPosti₧en²ô e-mail obsahuje v∞tÜinou p°φlohu (Φasto ji signalizuje symbol kancelß°skΘ sponky) se souborem. Pokud tento soubor ( = Φerv) u₧ivatel spustφ, dojde k aktivaci Φerva. Ten se pak nejΦast∞ji ubytuje v poΦφtaΦi a ve vhodnΘm okam₧iku odeÜle dalÜφ takto posti₧enΘ e-maily ostatnφm u₧ivatel∙m (p°esn∞ji na jejich e-mailovΘ adresy), kterΘ si u₧ivatel eviduje ve svΘm adresß°i kontakt∙.

Mo₧nß se ptßte, proΦ vlastn∞ u₧ivatel PC takov² soubor v e-mailu spustφ... je to jasnΘ, koho by nelßkal soubor s nßzvem Anna Kurnikovovß Φi Pamela Anderson, kter² je navφc v t∞le zprßvy podpo°en textem äKoukni se do p°φlohy na nahatou Pamelu Anderson, nebudeÜ litovat !ô. B∞₧n² u₧ivatel by se t∞Üil na obrßzek, ale ejhle, ve skuteΦnosti jde o Φerva, kter² jen Φekß na to, a₧ ho u₧ivatel spustφ.

Vzhledem k tomu, ₧e Φervi se Üφ°φ prost°ednictvφm elektronickΘ poÜty, rychlost Üφ°enφ je obrovskß. D∙kazem m∙₧e b²t nap°φklad Φerv I_Love_You (VBS/Loveletter.A), kter² se dokßzal po celΘm sv∞t∞ rozÜφ°it doslova za pßr hodin.

Bli₧Üφ informace o Φervech najdete zde.

Je to teda Φerv, nebo virus, nebo co ???

N∞kolik odstavc∙ pro vysv∞tlenφ:

V dneÜnφ dob∞ se v∞tÜinou pojmem "Φerv" (pon∞kud nesprßvn∞) oznaΦuje typ infiltrace, kterß do poΦφtaΦe pronikß prost°ednictvφm elektronickΘ poÜty. V∙Φi Φervu Code Red ("Rud² k≤d") je to trochu nefΘr, metoda Üφ°enφ Code Red je toti₧ zcela odliÜnß (dφra v IIS).
Vzhledem k tomu, ₧e prvnφm populßrnφm Internetov²m Φervem se stal (tuÜφm, ₧e n∞kdy v roce 1988) tzv. "Morris∙v Φerv", kter² se v n∞kter²ch ohledech podobß "rudΘmu k≤du", dovolil bych si "Morris∙v Φerv" a Red Code oznaΦit za PRAV╔ ╚ERVY a "hav∞¥" Üφ°φcφ se elektronickou poÜtou pouze za "Φervy" v uvozovkßch.

╚ervi lze obecn∞ pova₧ovat za jistou podskupinu vir∙, nikoliv vÜak opaΦn∞.

Backdoory - Backdoors

V p°ekladu n∞co jako äzadnφ vrßtkaô.

Chovßnφ je op∞t velice podobnΘ trojanu, proto se nebudu opakovat. Narozdφl od trojanu se na sebe nesna₧φ v∙bec upozor≥ovat. TiÜe po aktivaci/spuÜt∞nφ posti₧enΘho souboru äzalezeô do systΘmu a Φekß. ╚ekß na to a₧ se n∞kdo (nejΦast∞ji osoba, kterß se sna₧ila backdoora na bezmocnΘho u₧ivatele nastra₧it) z druhΘ strany zem∞koule prost°ednictvφm sφt∞ Internet änapφchneô na posti₧en² poΦφtaΦ a zaΦne s n∞j vymlßcet duÜi. Hacker (nebo jak chcete oznaΦit tu äzlouô osobu, kterß ·toΦφ na u₧ivatel∙v poΦφtaΦ) m∙₧e provßd∞t z druhΘ strany zem∞koule prakticky cokoliv.

Od posti₧enΘho u₧ivatele m∙₧e hacker snadno zφskßvat data, vymazßvat mu soubory/programy, vypφnat mu operaΦnφ systΘm Windows, hrßt si se äÜuplφkemô CD-ROM mechaniky.

Proto₧e se nebudu o backdoory ji₧ blφ₧e zab²vat, uvedu vÜe podstatnΘ ji₧ tady. Backdoory lze rozd∞lit na dv∞ Φßsti, klientskou a serverovou. Serverovß je ta Φßst, kterß se usadφ v PC posti₧enΘho u₧ivatele.

Pomocφ klientskΘ Φßsti, kterou vlastnφ hacker lze serverovou Φßst a tak zßrove≥ i PC posti₧enΘho u₧ivatele na dßlku ovlßdat.

Klient navß₧e nejΦast∞ji spojenφ se serverem prost°ednictvφm protokolu TCP/IP, na kterΘm je zalo₧ena sφ¥ Internet. Ka₧d² poΦφtaΦ mß v tΘto sφti p°id∞leno jedineΦnΘ Φφslo û IP adresu (v praxi to lze p°irovnat k poÜtovnφ adrese). Pokud znß hacker IP adresu poΦφtaΦe, na kterΘm b∞₧φ serverovß Φßst, u₧ mu nic nebrßnφ, aby mohl tento poΦφtaΦ ovlßdat.

Obecn∞ vÜak platφ, ₧e nejvφce Üancφ mß u poΦφtaΦ∙, kterΘ jsou p°ipojeny k Internetu statickou IP adresou (pevnß linka, bezdrßtovΘ spojenφ...). P°i p°ipojenφ do Internetu prost°ednictvφm modemu je IP adresa p°id∞lovßna poskytovatelem dynamicky, co₧ znamenß, ₧e je poka₧dΘ jinß a to st∞₧uje hacker∙m prßci... Alespo≥ jedno pozitivum modemovΘho p°ipojenφ :)

Viry

Nejznßm∞jÜφ a nejΦast∞jÜφ formou infiltracφ jsou vÜak poΦφtaΦovΘ viry. Nßzev je odvozen z podobnosti chovßnφ t∞chto programßtorsk²ch produkt∙ s biologick²mi originßly. PoΦφtaΦov² virus je takovß forma poΦφtaΦovΘ infiltrace, kterß mß schopnost vlastnφho mno₧enφ a infikovßnφ dalÜφch systΘm∙ bez v∞domφ u₧ivatele.
PodstatnΘ je, ₧e virus, aby byl schopen sebereplikace, musφ b²t p°ipojen k hostitelskΘ proveditelnΘ jednotce (spustitelnΘ soubory s p°φponou COM, EXE, SCR, VBS..., boot sektory atd.). Kdy₧ je tato hostitelskß proveditelnß jednotka spuÜt∞na (spuÜt∞nφ programu spustiteln²m souborem, start poΦφtaΦe - zavedenφ programu z boot sektoru), provede se rovn∞₧ k≤d viru. Jestli₧e je to mo₧nΘ, virus se p°itom bude replikovat p°ipojenφm svΘ vlastnφ kopie k jin²m dalÜφm takov²m objekt∙m. Virus je tedy program, kter² je schopen zapisovat sßm sebe do nejr∙zn∞jÜφch mφst systΘmu.

èkßla destruktivnφ Φinnosti je samoz°ejm∞ velmi Üirokß a bude zßviset nejen na skupinovΘm typu viru, ale i na jeho konkrΘtnφm typu, mnohdy variant∞ Φi mutaci. Takov²mi nejobvyklejÜφmi nφΦiv²mi akcemi vir∙ je vymazßnφ soubor∙, p°eformßtovßnφ disku, modifikace dat, p°epis tabulky rozd∞lenφ disku (PaT), znφΦenφ tΘto tabulky, oznaΦovßnφ sektor∙ za vadnΘ, p°epsßnφ boot sektoru atd. Na druhΘ stran∞ existujφ i viry "hodnΘ", kterΘ jen vyhro₧ujφ texty apod.

Proto₧e chce virus setrvat v systΘmu co nejdΘle nepozorovßn, vyu₧φvß n∞kterΘ techniky, kterΘ mu to umo₧≥ujφ. Jednou z t∞chto technik je i "technika sebeidentifikace". Technika sebeidentifikace je postup, kter²m virus urΦuje, zda proveditelnß jednotka (boot sektor, spustitelnΘ soubory COM, EXE, SCR...) jφm byla Φi nebyla ji₧ napadena. Tato procedura obvykle zahrnuje vyhledßvßnφ urΦitΘ hodnoty na znßmΘm mφst∞ v proveditelnΘ jednotce. Schopnost sebeidentifikace je nutnß, jestli₧e se virus chce vyhnout n∞kolikanßsobnΘmu infikovßnφ jednotliv²ch provediteln²ch jednotek (to mß pak za nßsledek neustßle prodlu₧ovßnφ souboru). Bli₧Üφ informace o "technice sebeidentifikace" lze najφt zde.

Bli₧Üφ informace o virech lze najφt v Φlßncφch:
D∞lenφ podle umφst∞nφ v pam∞ti
D∞lenφ podle oblastφ, kterΘ jsou napadeny