Zbavte se nejhorších virů
Malware ohrožuje naše počítače z různých zdrojů. Otázkou pouze zůstává, kudy se do systému dostane. Chip vám ukáže nejčastější cesty, kterými hrozby do počítačů pronikají.
PETR KRATOCHVÍL, CLAUDIO MÜLLER
Internet používají téměř dvě miliardy lidí. To jsou dvě miliardy potenciálních obětí malwaru, který má spadeno na jejich cenná data, tedy hesla k účtům webových služeb, čísla kreditních karet a PIN k platebním kartám – to vše mohou hackeři snadno zpeněžit. Nejjednodušší způsob, jak ukrást data, je prostřednictvím infikované webové stránky nebo pomocí speciálně upravených souborů – například ve formátu "PDF dokumentu". Dalším způsobem šířením malwaru, zažívajícím "renesanci", je využití USB disků – starší počítačoví uživatelé si nemohou nevzpomenout na podobné způsoby "infekce" pomocí disket… Chip vám ukáže, jak pomocí těchto tří oblíbených cest standardní virus infikuje počítač a jak se lze před touto hrozbou chránit.
Od ledna do března 2010 zaznamenala firma Kaspersky nárůst pokusů o "internetové" infikování počítače o 26,8 procenta – většinou přes manipulované internetové stránky. Pokud se jim chcete vyhnout, nestačí jen ignorovat pochybné porno, vyhýbat se stahování nelegálního softwaru nebo nenavštěvovat stránky s cracky a sériovými čísly softwaru. Podle nejnovějších statistik firmy Avast tvoří 99 procent nebezpečných stránek legitimní a běžné portály, které byly napadeny hackery. Častokrát je dokonce kód napadené stránky téměř beze změn – jen je během její návštěvy malware automaticky načten z externího webu. Podle odhadu firmy Kaspersky je v současné době takovýchto rizikových webů přibližně 120 milionů!
V další oblasti počítačových hrozeb, ve využívání mezer softwaru, je zcela v čele program Adobe Reader. V něm bezpečnostní analytici ze společnosti Secunia od června 2009 do června 2010 našli 69 mezer. To pravděpodobně způsobilo, že se konečně probudila i společnost Adobe a rozhodla se pro zajištění bezpečnosti udělat více. Od verze 10 dále by měly všechny kódy Adobe Readeru běžet v Sandboxu, čímž se minimalizuje přístup do systému. V praxi se však tato technika objeví až v roce 2011.
Pro spoustu uživatelů je patrně překvapivou informací, že jedním z nejčastějších malwarových kanálů je i "USB zařízení". Pravda ale je, že přes tento hardware se nejčastěji šíří speciálně zaměřený malware nebo trojské koně zacílené na vybranou firmu. Tyto informace jsou smutné především proto, že k ochraně před touto hrozbou postačí primitivní "nástroj". Stačí pomocí několika kliknutí vypnout funkci automatického spouštění systému Windows (ta je implicitně zapnuta).
Internet: Zloději dat útočící přes infikované weby
Nejefektivnějším způsobem šíření virů se stávají známé legální (hackery upravené) webové stránky. V minulosti se oběťmi tohoto typu útoku staly weby firem Lenovo, TomTom, nebo dokonce amerického ministerstva financí.
Na míru: Malwarová sada pro PC
Místo jednotlivých virů vytvoří hacker na svých internetových stránkách speciální sadu malwaru. Tato sada dokáže na základě využití obrovského množství bezpečnostních mezer (v softwaru, prohlížeči nebo jeho doplňcích) získat automaticky přístup do téměř každého počítače.
Malwarová sada "Eleonore" (na obrázku vpravo) stojí v aktuální verzi přibližně 1 000 USD a má na svědomí téměř 1,2 milionu infikovaných PC po celém světě.
Nakažené: Jak hacker upraví WWW stránky
Hackeři pro infikování obyčejných webových stránek malwarem využívají tří typů manipulací s obsahem webu.
Přesměrování
Nejjednodušší metoda, při které je pomocí HTML kódu návštěvník automaticky přesměrován přímo na stránku hostící malware, vypadá takto:
iFrame
Prvek označovaný jako iFrame, který "neviditelně" funguje v rámci webové stránky a při její návštěvě automaticky načte malware. iFrame prvek s odkazem na stránku s malwarem vypadá takto:
Javascript
Vkládání kódu v Javascriptu do hacknutého webu je o něco náročnější a tato metoda je v poslední době spíše spojována s pojmem ActionScript (programovací jazyk pro Flash). Většina tohoto kódu je obvykle skrytá (viz níže), na základě čehož je pro bezpečnostní software téměř nemožné rozpoznat odkaz na cílovou stránku:
ZIELDOMAIN: http://antivirus.vc/?174c
Jak chránit počítač před hrozbami z internetu
Bezpečnostní balík: Kvalitní bezpečnostní balík by měl všechny uvedené hrozby snadno eliminovat, navíc častokrát dokáže hlídat pravidelnou aktualizaci systému. V nouzi může pomoci alespoň kvalitní antivir nebo prohlížeč spouštěný v sandboxu.
Kontrola odkazů: Abyste se vyhnuli kliknutí na odkaz s nebezpečným obsahem, nainstalujte si nástroj na "kontrolu odkazů" (jako například WOT). Pomoci by mohl i kvalitní antiphishingový filtr, který najdete ve většině prohlížečů.
Javascript: Doplňky pro prohlížeč (například AdBlock nebo NoScript) chrání počítač před nebezpečnými kódy (od Javy po Javascript). Poněkud těžkopádnější (ale účinnou) ochranou je kompletní zákaz všech rizikových prvků přímo v prohlížeči.
PDF: "Malware puzzle" přechytračí ochranu před viry
Virové skenery už dnes rozpoznají většinu kódu známých virů. Proto hackeři používají novou taktiku: rozdělí kód malwaru a distribuují ho – často zašifrovaný – v PDF dokumentech.
1 Skrytí: Kód je distribuován v PDF souborech
PDF dokumenty se skládají z jednotlivých objektů, jako jsou text, mezery, formuláře nebo značky "skoku". V běžném dokumentu se na 100 stránkách může nacházet nejméně 10 000 objektů. Trik: Hackeři rozdělí a distribuují škodlivý kód do několik objektů tak, aby nemohl být detekován antiviry.
2 Skládání: Reader načte PDF dokument a vytvoří funkční kód
Reader otevře PDF, spojí jednotlivé objekty a v PDF zobrazí obsah s odpovídajícími parametry objektů. Tímto způsobem Reader spustí skripty, které jsou v objektech umístěny, jako například Javascript, nebo jako v případě konkrétního PDF exploitu "Pidief" (viz níže) jazyk "Visual Basic skript". První příkaz skriptu sestaví kód jednotky z různých objektů a na konci ho vykoná. To může například vést k přetečení vyrovnávací paměti.
3 Spuštění: Škodlivý kód naruší paměť
Spuštěný malware zaplní oblast v paměti určenou pro Reader zbytečným kódem, takže je škodlivý kód umístěn a spuštěn v další oblasti paměti – častokrát jde o nástroj, který z webu načte další malware.
4 Infikované: Malware přebírá počítač
Do počítače se přes zmanipulovaný PDF dokument mohou dostat různé typy malwaru. Nejčastější hrozbou je zde trojský kůň Zeus (také známý jako Zbot a Kneber).
57% webového malwaru útočí na zranitelnosti v PDF readerech
Jak ochránit počítač před infikovanými PDF dokumenty
Skripty: V programu Adobe Reader v nabídce "Úpravy | Předvolby | Všeobecné | Javascript " deaktivujte skripty. V nabídce "Oprávnění" zakažte spouštění externích programů.
Alternativa: Protože většina PDF zranitelností je u Adobe Readeru, doporučujeme používat alternativní reader – například Foxit Reader (najdete ho na Chip DVD). I tento nástroj by ale měl být pravidelně aktualizován.
Kontrola souborů: Hackeři posílají nakažené PDF soubory také e-mailem. Pro analýzu těchto souborů použijte on-line programy pro kontrolu souborů, například VirusTotal – Uploader, který najdete na Chip DVD.
USB: Vysoké riziko infekce pro každé zařízení
Nezáleží na tom, zda jde o fotoaparát, MP3 přehrávač, nebo USB disk – pro malware je snadné nakazit USB zařízení. Díky implicitnímu nastavení systému Windows infikují viry počítač bez problémů…
Manipulace: Malware identifikuje USB zařízení
Některé druhy malwaru dokáží odhalit externí datové nosiče monitorováním systémové funkce "Windows Autorun". Jakmile malware detekuje infikovatelné USB zařízení, zkopíruje se na nosič dat a zapíše povel ke spuštění (viz obrázek) do souboru Autorun.inf, který je ukrytý v kořenovém adresáři datového nosiče.
Spuštění: Funkce Autorun ohrožuje Windows
Pokud je infikovaný datový nosič připojen k jinému počítači, Windows spustí příkazy v souboru Autorun.inf – a v tomto případě dojde k aktivaci malwaru. Kromě spuštění "exe souborů" může také dojít k aktivaci HTML souborů, které se po otevření v prohlížeči otevřou na stránky s malwarem.
Doručeno: Viry přímo od výrobce
Mimořádně odporné: Mezi uživateli se objevila USB zařízení, která byla infikována už přímo při výrobě nebo při distribuci "důvěryhodnými" poskytovateli. Zde jsou některé příklady:
Olympus µTough 6010: Kvůli chybám v oblasti kontroly kvality prodal Olympus v Japonsku 1 700 "nakažených" kamer.
IBM USB disk: Na australské bezpečnostní konferenci rozdávala firma IBM návštěvníkům stánku infikované USB disky.
Creative Sound Blaster X-FI Go: Toto zařízení bylo infikováno trojskými koni a červy. Nejprve trojský kůň "Corelink.D" nainstaloval rootkit THK, poté načetl dalšího trojského koně "Almanahe. V" a zmanipuloval funkci Autorun. Nakonec červ "RJump. AJ" načetl trojského koně Agent JXU, který se zkopíroval do každého zařízení s USB portem.
Jak se chránit před infekcí z USB disku
Automatické spuštění: Funkci automatického spuštění lze deaktivovat manuálně, nebo jednoduše pomocí specializovaného nástroje – například pomocí nástroje "Panda USB vaccine", který najdete na Chip DVD. Poté už by měl být váš počítač proti hrozbě z USB imunní.
Kontrola virů: Ve svém bezpečnostním softwaru udělejte před spuštěním čehokoliv z USB disku alespoň rychlou kontrolu média. Tato funkce je obvykle nazývána jako "Scan removable drives". To umožní odhalení virů skrytých i mimo "autostart.inf".