Inteligence počítačových virů roste neuvěřitelnou rychlostí

  • 50
Počet červů, které využívají známé nedostatky, se neustále zvyšuje. V blízké budoucnosti se uživatelé i firmy budou muset vypořádat s viry, které jsou stále utajenější a nesou s sebou stále větší destruktivní schopnosti.

Ten člověk už vyráběl viry sedm let. Říká si Melhacker a je možné, že je zodpovědný za epidemii Bugbearu, který byl v minulém roce druhým nejčastějším červem na internetu. Nyní tvrdí, že pracuje na novém viru, kterému pracovně říká Scezda a který má znamenat novou významnou hrozbu.

Podle toho, jak Scezdu popisuje, spadá tento „produkt“ do nové kategorie tzv. megačervů, které kombinují vlastnosti některých nejrozšířenějších červů a virů, jako jsou Sircam, Klez nebo Nimda. Tento megačerv používá generátor náhodných čísel, aby určil, jak dlouho zůstane skrytý v napadeném systému. Potom také náhodně zvolí jednu z mnoha metod, jak se rozmnožit.

Uvedené vlastnosti jsou základem současných megačervů obecně, přičemž megačervem někteří odborníci nazývají komplikovaný polymorfní škodlivý kód, který se spoléhá na různé metody rozmnožování.

Dnešní problémy
V minulém roce zaregistrovali výzkumníci z firmy Sophos dohromady 7 189 nových virů, červů a trojských koní, takže je dnes na světě dohromady již více než 78 000 takových kódů. Virové laboratoře Sophosu přitom průměrně vyrobí detekční procedury pro více než 25 nových virů denně.

V roce 2002 bylo se devět z deseti virů, které odhalily hlavní firmy zabývající se ochranou proti virům, šířilo hromadnými e-maily a využívalo známých nedostatků v aplikačním programovém rozhraní ve Win32. A 87 % všech zpráv o infekci se týkalo virů pro Windows.

„Počet červů, které využívají známé nedostatky, se neustále zvyšuje,“ říká Vincent Weafer, ředitel skupiny Symantec Security Response. „To je významné v tom, že se poněkud vzdalujeme od minulé módy zneužívání sociálního inženýringu.“

Nejdůležitějším nedostatkem zneužitým v minulém roce byla tzv. zranitelnost MIME (malformed MIME vulnerability), poprvé objevená v roce 2001. I když byla záplata dostupná víc než rok, viry a červi mohli využít tuto zranitelnost na počítačích, u nichž záplata ještě nebyla aplikována, a automaticky spustit virus, když se uživatel podíval na e-mail v náhledovém okně. „Brid, Bugbear, Nimda a Klez - všechny využívají tohoto nedostatku,“ říká Weafer.

„Dnes je hranice mezi červy a viry dost nejasná, protože ‚úspěšné‘ napadení má charakteristiku obou a šíří se přes internet,“ říká Dan Ingevaldson, vedoucí skupiny X-Force firmy Internet Security Systems. „Nejúspěšnější červi se chovají jako švýcarský armádní nůž, protože se šíří mnoha různými ověřenými metodami, jako je hromadný e-mail, nedostatky webových serverů nebo technologie peer-to-peer.“

Evoluce virů
Podle pracovníků z výzkumu se v blízké budoucnosti uživatelé i firmy budou muset vypořádat s viry, které jsou stále utajenější a nesou s sebou stále větší destruktivní schopnosti. Struart Stanford, ředitel společnosti Silicon Defence, naznačil v nedávné výzkumné studii nastupující hrozbu tajných červů, které se šíří pomaleji, ale zato takovým způsobem, aby je bylo možno jen těžko detekovat. „Prokázali jsme, že takovýto červ by dnes mohl poškodit až 10 milionů internetových uživatelů,“ poznamenává Stanford.

Výzkumní pracovníci týmu AVERT (AntiVirus Emergency Response Team) firmy McAfee Security říkají, že se setkali s virem, který využil technologie ADS (Alternate Data Streams) souborového systému NTFS. Tato technologie umožňuje, aby data byla uschována v neviditelných souborech spojených s viditelnými soubory NTFS, a nemohou být smazána bez mazání samotných souborů NTFS.

Uživatelé, kteří nemají povolení zapisovat do souboru, k němu ADS přidat nemohou. A i když ochrana souborů Windows zavedená ve Windows 2000 brání hackerům měnit chráněné systémové soubory, nebrání autorizovaným uživatelům, aby k nim přidali přidali ADS spolu s tajným, spustitelným kódem.

Hlavním úkolem ADS je umožnit kompatibilitu se soubory systému počítačů Macintosh. Ale v září roku 2000 našli ve firmě McAfee virus jménem Win2K.Stream, který se schovával právě v ADS. „Tento přístup funguje, protože většina antivirových produktů neskenuje charakteristiky ADS,“ říká Vincent Gullotto, viceprezident skupiny AVERT. Firma McAfee ovšem okamžitě po zjištění prvního viru tuto schopnost do svých produktů přidala. Gullotto však podle vlastních slov až dodnes neviděl další příklad tohoto přístupu.

Co chtějí
Mění se také záměry tvůrců červů a virů. V minulosti většina virů a červů prostě ničila data. Ale nyní se začíná ukazovat, že se mistři zákeřných kódů snaží data krást. „Vidíme, že vývoj postupuje směrem k získávání dat,“ říká Gullotto. „Minulý rok tu byl např. Sircam, který náhodně bral dokumenty ze složky Dokumenty.“

Weafer z firmy Symantec souhlasí. „Výsledky napadení se změnily z ničení dat na aplikaci trojských koní a kompromitaci počítačů, spolu s posíláním informací ven ze stroje do sítě,“ říká. „Své bezpečnostní záplaty je skutečně třeba si aktualizovat.“

Chris Wraight, technologický konzultant v Sophosu, upozorňuje, že uživatelé budou červy ve formě kombinovaných koktailů odstraňovat mnohem obtížněji než běžné škodlivé kódy. Takový červ podle něj může dopravit do počítače trojského koně nebo jiný virus, případně se může při nějaké příležitosti duplikovat. Takže, jenom proto, že jste našli nějakou infekci a odstranili jste ji, si ještě nemůžete být jisti, že jste objevili vše, a jste tedy v bezpečí.

Výhledy
I když převážná většina červů a virů je prozatím napsána tak, aby využívala známé nedostatky platformy Windows, někteří výzkumní pracovníci varují uživatele Unixu a Linuxu, aby si také dali pozor. Například zářijová epidemie červa Slapper na Linuxu infikovala více než 20 000 strojů a mohla být podle Weafera použita k útoku typu odepření služby (DoS, Denial of Service). „V obchodním světě neustále mícháme systémy Linux a Windows,“ říká. “Ti, kteří mají systémy Linux a Unix, předpokládali, že jsou imunní. Teď víme, že to není pravda,“ dodává.

Hlavním terčem pro některé autory virů a červů se může stát také framework .Net od Microsoftu. I když mají zatím .Net framework nainstalovaný jenom uživatelé, kteří používají Windows XP a Service Pack 1, tvůrci virů se dívají do budoucnosti. A to je právě ta potíž. Je totiž třeba se snažit nalézt správnou rovnováhu mezi akcí proti nynějším ohrožením a myšlením na hrozby budoucí.

„Nejlepší ochrana - právě teď i v budoucnu - je prostě být opatrný,“ říká Weafer. „Všímejte si bezpečnostních aktualizací a vypínejte nepotřebné služby.“ 

Článek přinášíme ve spolupráci s časopisem Computerworld