Rozhovor s nep°φtelem
PoΦφtaΦovΘ viry a ostatnφ hav∞¥ nßs v poΦφtaΦovΘm sv∞t∞ pronßsledujφ prakticky neustßle. S Φφm p°esn∞ mßte tu Φest se dozvφte v nßsledujφcφm Φlßnku. Dovolil jsem si nejrozÜφ°en∞jÜφ formy infiltrace pozvat na krßtk² pohovor:
Jß virus
Pojem ävirusô byl odvozen od naÜich biologick²ch p°φbuzn²ch. Zatφmco oni napadajφ nap°φklad lidskΘ t∞lo, my se spokojφme nejΦast∞ji se spustiteln²m souborem. To jsou takovΘ ty soubory, co majφ p°φponu EXE. K p∙vodnφmu obsahu spustitelnΘho souboru se p°ipojφme tak Üikovn∞, ₧e u₧ivatel po jeho spuÜt∞nφ obvykle ani nepoznß, ₧e se krom∞ jeho oblφbenΘho programu aktivoval i n∞kdo z nßs û vir∙. Jakmile nßs takto u₧ivatel nev∞domky aktivuje, obvykle vyhledßme a napadneme dalÜφ vhodnΘ ob∞ti, tj. dalÜφ dosud neinfikovanΘ spustitelnΘ soubory. Pak u₧ jen doufßme, ₧e u₧ivatel bude tak hodn², ₧e nap°φklad nßmi infikovanΘ soubory ulo₧φ na disketu a p°edß ji svΘmu kolegovi, kter² nßs z nφ op∞t nev∞domky spustφ. Tento kolob∞h se opakuje tak dlouho, dokud nenarazφme na naÜeho nejv∞tÜφho nep°φtele û antivirov² program. Ten zmetek nßs skoro v₧dycky dokonale usmrtφ. Nem∞l bych zapomenout ani na kolegy makroviry. Makroviry nenapadajφ p°φmo spustitelnΘ soubory, ale nejΦast∞ji dokumenty textovΘho editoru Microsoft Word, pop°φpad∞ seÜity û produkty aplikace Microsoft Excel. Jejich ₧ivot je zalo₧en na existenci jazyku Visual Basic for Application, kter² je souΦßstφ jmenovan²ch produkt∙. N∞kte°φ z naÜich zl²ch p°φbuzn²ch obΦas provedou n∞jakou tu neplechu a kup°φkladu vyma₧ou dotyΦnΘmu vÜechny data z pevnΘho disku apod. Ti hodn∞jÜφ se pouze nenßpadn∞ Üφ°φ, pop°φpad∞ obΦas n∞co napφÜou na obrazovku monitoru apod.
Jß Φerv
V naÜφ rodin∞ Φerv∙ mßme celkem nepo°ßdek, on toti₧ ka₧d² pova₧uje za Φerva n∞koho jinΘho. Naprosto prvnφ Φerv (tzv. äMorris∙v Φervô) se objevil n∞kdy v roce 1988 a dokßzal ochromit znaΦnou Φßst tehdejÜφ sφt∞ Internet. TΘto skuteΦnosti dosßhl dφky ädφrßmô, tj. nedostatk∙m v n∞kter²ch sφ¥ov²ch aplikacφch. PodobnΘho efektu dosßhl p°ed nedßvnem velice populßrnφ äCode Redô, kterΘho podobn∞ jako äMorrisovaô Φerva m∙₧eme pova₧ovat za pravΘ Φervy. Naopak dnes se pojem äΦervô pou₧φvß ve spojitosti s viry, kterΘ se Üφ°φ prost°ednictvφm elektronickΘ poÜty a to je vzhledem k äMorrisoviô a äCode Redô trochu nefΘr. I kdy₧ jß osobn∞ pat°φm mezi ty nepravΘ Φervy a Üφ°φm se elektronickou poÜtou, v∙bec se za to nestydφm. èφ°φme se v dneÜnφ dob∞ jednoznaΦn∞ nejrychleji a nejvφce. Cel² sv∞t dokß₧eme prost°ednictvφm elektronickΘ poÜty zamo°it b∞hem n∞kolika hodin. P°φkladem m∙₧e b²t nßÜ starÜφ bratr I_Love_You aneb VBS/LoveLetter.A. Cel² proces Üφ°enφ je velice jednoduch², ke svΘmu Üφ°enφ vyu₧φvßme p°edevÜφm vlastnosti e-mailovΘho klienta Microsoft Outlook a laskavost u₧ivatele. K u₧ivateli se dostaneme jako spustitelnß p°φloha e-mailu obvykle s lßkav²m nßzvem (kdo by odolal obrßzk∙m Anny KurnikovΘ, ₧e ?) a s n∞jak²m textem kter² u₧ivatele zaruΦen∞ donutφ p°φlohu, tj. nßs, zlΘ Φervφky spustit. Jakmile se tak stane, prohlΘdneme si knihu e-mailov²ch adres u₧ivatele a na nalezenΘ e-mailovΘ adresy zaÜleme dalÜφ naÜe potomky û op∞t s lßkav²m nßzvem p°φlohy a donucovacφm textem. N∞kte°φ chyt°ejÜφ p°φbuznφ vyu₧φvajφ äd∞rô v e-mailov²ch klientech (MS Outlook...). Nap°φklad m∙j bratr, virus/Φerv I-Worm/BadTrans.B se dokß₧e dφky dφ°e v Microsoft Outlooku Üφ°it na dalÜφ poΦφtaΦe bez nutnosti spustit infikovanou p°φlohu. Ta se toti₧ dφky tΘto dφ°e spustφ automaticky, od u₧ivatele jen pot°ebujeme, aby na tuto zprßvu änakouknulô (vyvolal jejφ nßhled).
Jß Trojsk² k∙≥ aneb trojan
Narozdφl od mΘho kolegy Φerva, mßme u nßs, v rodin∞ trojan∙ naprost² po°ßdek. NaÜe definice, tj. definice trojana je jasnß. Jsem (jß trojan) samostatn² program, kter² nepot°ebuje ₧ßdnΘho hostitele. To je sice p∞knß v∞c, ale na druhou stranu, nedokß₧eme se sami o sob∞ Üφ°it. Kam si nßs prost∞ äposadφô, tam Φekßme. Na urΦitΘ mφsto nßs m∙₧e äposaditô jak virus, kter² nßs nese ve svΘm ₧aludku, tak i nev∞domky u₧ivatel. Na druh² p°φpad vzpomφnajφ p°edevÜφm naÜi d∞deΦkovΘ, kte°φ se dodnes sm∞jφ tomu, jak mohli tehdy napßlit u₧ivatele. Jeden z d∞deΦk∙ mi kup°φkladu povφdal, jak p°ed n∞kolika lety (kolem roku 1990) vypadal vzhledov∞ jako antivirov² program, kter² vÜak mφsto toho, aby hledal viry, vymazal cel² disk. Tato Θra je ji₧ v dneÜnφ dob∞ dßvno za nßmi. Jak u₧ jsem °ekl, v dneÜnφ dob∞ se nechßvßme vozit po sv∞t∞ n∞kter²mi viry (nejΦast∞ji t∞mi, co se Üφ°φ elektronickou poÜtou). Zatφmco oni se Üφ°φ pouze na dalÜφ poΦφtaΦe, nßs trojany na ka₧dΘm z nich vypustφ. NßÜ autor (tj. programßtor - äpisßlekô vir∙) nßs trojany vyu₧φvß obvykle jako tzv. backdoory, nebo zlod∞je. Pokud nßs vyu₧φvß jako backdoor (v p°ekladu äzadnφ vrßtkaô), dokß₧eme plnit po₧adavky naÜeho pßna-autora, kter² m∙₧e sed∞t prßv∞ na druhΘ stran∞ zem∞koule. Typick²m po₧adavkem m∙₧e b²t nap°φklad povel: vyma₧ soubor, vypni poΦφtaΦ, vypni klßvesnici. Je pak k popukßnφ, kdy₧ se naprosto nov² poΦφtaΦ posti₧enΘho u₧ivatele sßm od sebe vypφnß, mizφ z n∞j data atd. N∞kdy nßs naÜi auto°i vyu₧φvajφ jako zlod∞je. Prost∞ nßm p°edem, p°i naÜem zrodu °eknou, co konkrΘtnφho mßme z poΦφtaΦe odcizit a zaslat na urΦitou e-mailovou adresu. Jsme na sebe hrdφ, kdy₧ se nßm poda°φ ukrßst tajnΘ dokumenty, pop°φpad∞ p°φstupovΘ k≤dy k bankovnφmu ·Φtu. NßÜ pßn, vlastnφk cφlovΘ e-mailovΘ adresy na kterΘ ukradenΘ materißly zasφlßme je obvykle velice pot∞Üen.
╚eho se my viry nejvφce bojφme...
D∞kujeme za informace p°φmo z ·st naÜich celo₧ivotnφch nep°ßtel, z ·st vir∙, Φerv∙ a ostatnφ hav∞ti.
╚lßnek p°evzat z Φasopisu Computer 4/2002. Autorem Igor Hßk (Igi)
