Vir nebo falešný alarm?
Důvěřujete stránkám, které pravidelně navštěvujete? Vývojáři malwaru doufají, že ano, protože v případě, že prohlížeč zobrazí varování na známé stránce, jen málokdo této výstraze věnuje pozornost a i přes toto varování stránku navštíví.
CLAUDIO MÜLLER
Nedávné události ukazují, že tato důvěra může být nebezpečná. V dubnu tohoto roku se stalo obětí útoku přibližně 500 000 webů, které infiltroval nebezpečný škodlivý kód. Mezi postižené obvykle patřily nenápadné, ale často navštěvované stránky – včetně několika podcastů v iTunes. Případů, kdy se na běžných a často navštěvovaných stránkách začíná objevovat malware, však rychle přibývá.
Jak se na ně uživatelé dostanou? Kromě "staré" taktiky s využitím phishingových e-mailů nyní vývojáři malwaru uživatele na rizikové weby lákají pomocí dvou nových taktik – přes sociální sítě a aplikacemi pro smartphony. A jde o mimořádně úspěšnou taktiku – celá řada uživatelů sociálních sítí si vůbec neuvědomí, že odkazy, které obdrželi od svých "přátel", mohou být nebezpečné. Zároveň také rychle roste počet aplikací ve specializovaných "obchodech" (a to jak na App store, tak i na Android Marketu), které se snaží odcizit údaje z mobilního telefonu nebo podvést uživatele. Dalším důvodem úspěšnosti obou taktik je poměrně nízké procento počítačů (a téměř minimální počet smartphonů) chráněných bezpečnostním softwarem. Pokud se pak přece jen na počítači objeví hlášení o návštěvě podezřelé stránky, uživatelé jej obvykle ignorují.
Na druhou stranu je ale také nutné podotknout, že jak prohlížeče, tak i samotný operační systém častokrát uživatele "otravují" podobnými, avšak zbytečnými varováními. V nich uživatele upozorňují na "podezřelé" aktivity týkající se navštívených stránek nebo na akce podezřelých programů. Je tedy častokrát velmi obtížné rozpoznat zbytečnou zprávu od důležitého varování – rozdíl mezi falešným poplachem a útokem virů může být minimální. Nicméně pokud použijete ty správné nástroje a víte, na co se zaměřit, budete vždy vědět, na čem jste…
Opravdové viry: Jak se maskuje malware
HACKNUTÉ WEBY Útočníci stále častěji využívají k šíření malwaru na první pohled neškodné stránky. Nejnovější příklad: Výše zmiňovaný útok na zhruba půl milionu internetových stránek, který se proslavil jako "LizaMoon útok". Hackeři do kódu stránky pronikli pomocí "SQL mass injection" a vložili tam automatické přesměrování na stránku, která hostila malware. Většina přesměrování vedla k doméně lizamoon.com (proto LizaMoon útok). Podobný útok byl proveden už v červnu loňského roku, to ale bylo napadeno "pouze" 114 000 webů.
Všechny útoky měly identický scénář: na přesměrovaných stránkách se skrýval malware, který zjišťoval nezazáplatované mezery v prohlížeči, jeho doplňcích nebo přímo v operačním systému. Po nalezení zranitelnosti byl aktivován příslušný exploit, který po prolomení ochrany do počítače nahraje dalšího škůdce – obvykle je to trojský kůň specializovaný na krádež dat nebo některý z rogueware programů (viz níže).
-- I v případě, že prohlížeč nebo antivirový program zobrazí varování, uživatelé na známých webech jen velmi zřídka očekávají útok a obvykle bezpečnostní upozornění ignorují. Samotný útok je pak nemožné zaznamenat – veškeré aktivity malwaru probíhají skrytě na pozadí. Jak se bránit? Základem je pravidelná aktualizace antivirového softwaru a použití prohlížeče s bezpečnostními doplňky. Typickým příkladem může být Firefox s doplňkem NoScript, který umožní regulaci aktivních prvků a blokování vložených skriptů. Zákaz skriptování ale není jedinou výhodou doplňku NoScript. Ten si dokáže poradit i s další nepříjemnou hrozbou – na stránku přidaným obsahem přes tzv. iframe. Zakázat ho lze kliknutím na "Nástroje | Správce doplňků | NoScript | Možnosti", kde v sekci "Embedded" aktivujte zatržítko u položky "Zakázat Iframe".
NESPRÁVNÁ DETEKCE VIRU Varování z "Centra stability systému Windows" vypadá na první pohled opravdu důvěryhodně a jen málokterý uživatel si troufne ho ignorovat. To je ale velká chyba, protože jde o falešný bezpečnostní program (rogueware), který klame uživatele pomocí falešných výstrah. Rogueware obvykle pochází z webových stránek, které pomocí javascriptu simulují v prohlížeči zdánlivý útok viru. Pokud vás tento útok vystraší a vy kliknete na tlačítko typu "Odstranit vir", do počítače se vám nahraje "bezplatný antivir", který by si měl s virem poradit. Obvykle tomu tak ale není a dalším krokem je nabídka "lepší" – placené verze bezpečnostního řešení. Odmítnout tuto nabídku je velmi těžké, protože po nainstalování "bezplatného antiviru" se práce na počítači stane nesnesitelnou – systém začne být náhle nestabilní a uživatel je při práci obtěžován varovnými zprávami. Problém ale neřeší ani zakoupení "lepší verze" – pouze hackeři získají jako bonus číslo vaší kreditní karty…
Odstranění tohoto falešného nástroje je pak obvykle náročná výzva i pro zkušeného uživatele a častokrát je jednodušším řešením kompletní reinstalace systému.
-- Jak se tedy bránit? Varování, která se vám náhle začnou objevovat na webových stránkách (nebo v rámci systému), neignorujte, rozhodně je ale neřešte nákupem pochybného softwaru. Nejjednodušším řešením je použití bezplatného internetového antiviru, pokud však chcete investovat do bezpečnostního softwaru, nakupujte přímo na stránkách výrobce nebo na renomovaných softwarových portálech (u nás například www.sw.cz). Pro odstranění falešných antivirů jsme pro vás na DVD připravili program "Remove Fake Antivirus", který by si měl poradit s většinou zákeřných škůdců.
POKUSY O VYDÍRÁNÍ V posledních měsících se na hůře zabezpečených počítačích uživatelů začíná objevovat další nebezpečná hrozba, založená na vydírání. Na obrazovce se náhle objeví varování od americké FBI nebo německého úřadu pro vyšetřování trestné činnosti BKA, které tvrdí, že na vašem počítači byla nalezena dětská pornografie nebo teroristické materiály, a proto byl počítač zablokován. Odblokování bude provedeno pouze po zaplacení "kauce" 100 €. Existuje také alternativa, kdy je uživatel vyzván k "podání vysvětlení" pomocí zavolání na určité (zahraniční a draze zpoplatněné) číslo. O tom, že nejde o běžný postup bezpečnostních orgánů, je asi zbytečné psát – i přes správná loga nebo reálný vzhled zpráv systému Windows hackery prozradí zahraniční telefonní čísla, časté překlepy v textu, podivné e-mailové adresy nebo anonymní platební metody. Je to zkrátka jen obyčejné vydírání, které může zmást jen nezkušené uživatele.
Místo placení lze uživatelům doporučit použití antivirového programu (po nabootování z Live CD). V některých případech ale může být malware integrován do systému natolik, že pomůže pouze reinstalace Windows.
SVŮDNÉ ODKAZY Z FACEBOOKU Pozornosti hackerů se nevyhnuly ani sociální sítě, a tak se v současnosti odkazy na "problematický obsah" rychle šíří například na Facebooku.
Důvod je logický: mnozí uživatelé bez přemýšlení kliknou na odkaz, který údajně pochází od jejich přátel. Neškodnou variantou tohoto podvodu na Facebooku je odkaz na video, které obsahuje záběry celebrit, havárie nebo sex. Pokud na tento odkaz kliknete, obsah je pomocí skrytého tlačítka "líbí se mi" přidán na profil uživatele. Za těmito aktivitami stojí obvykle reklamní společnosti, které vydělávají peníze za každé kliknutí (a nového uživatele). Nicméně existují i nebezpečnější verze podvodů – například aplikace, které slibují, že budete mít možnost poznat všechny lidi, kteří navštíví váš profil (to na Facebooku není možné). Tyto aplikace ale nic takového ve skutečnosti neumí, pouze od vás získají přístup k vašim uživatelským datům, nebo dokonce mohou krást hesla a infikovat počítač malwarem.
Dalším trikem je odkaz na video, které na první pohled nejde zobrazit a pro přehrání je nutné si nainstalovat "kodeky". Pro čtenáře Chipu asi nebude žádným překvapením, že se místo kodeků nainstaluje do počítače malware…
Pokud chcete ze svého profilu na Facebooku odstranit již zaregistrovanou aplikaci, přejděte na "Můj účet | Nastavení soukromí | Apps a webové stránky | Upravit nastavení". Z bezpečnostních důvodů byste také měli resetovat nové heslo po každém podvodném útoku. To lze udělat v nabídce "Můj účet | Nastavení účtu | Heslo | Změna".
PODVODNÉ APLIKACE PRO SMARTPHON Na nebezpečné aplikace lze narazit i v softwarových obchodech pro mobilní zařízení – a to jak v App-store pro iOS, tak pro Android. Zvláště u bezplatných aplikací je možné, že kliknete na reklamní banner a "omylem" se tak přihlásíte ke službě, která je vám poté automaticky naúčtována. Ještě nebezpečnější jsou viry pro smartphony. V březnu hackeři infikovali malwarem DroidDream více než padesát programů pro Android, včetně aplikací Photo Editor, Super Guitar Solo a Best password safe. Podle firmy Panda software byly za čtyři dny tyto zavirované aplikace staženy více než 50 000krát. Po instalaci na mobilní zařízení mohou takové viry číst soukromá data, posílat drahé SMS nebo automaticky aktivovat "správce" a stáhnout další malware.
-- Takovýmto útokům dokážou předejít antivirové aplikace pro smartphone. Jako elegantní a účinné řešení lze označit například AVG Anti-Virus Free (najdete ho zdarma na Android Marketu). Pokud instalovat antivir nechcete, po přidání aplikace do zařízení si alespoň zkontrolujte, zda má přístup k vašim zprávám nebo historii prohlížeče – to je typické pro hackerský a "špionážní" software. Je také nutné si uvědomit, že i v případě "zneužití" vašeho mobilního zařízení hackery budete muset účet u svého operátora zaplatit, protože je velmi obtížné prokázat, že jste danou službu objednali neúmyslně.
PROFESIONÁLNÍ PHISHING Šíření odkazů na phishingové stránky prostřednictvím e-mailu opět roste. Podle společnosti Symantec se počet phishingových mailů jen od ledna do února zvýšil o padesát procent. Nejčastěji jsou to e-maily, jejichž odkaz vás zavede na bankovní web, který vás požádá o zadání přihlašovacích údajů.
-- Jak se bránit? Webové adresy bank, obchodů a platebních služeb vždy zadávejte ručně nebo je vyvolávejte přes záložky. Také si uvědomte, že banky nikdy neposílají výzvy k zadávání přihlašovacích údajů jako e-maily. Ujistěte se, že webové stránky bank i platebních služeb používají HTTPS spojení, protože jde o bezpečnější připojení než klasické http. Varovat by vás také měly podezřelé názvy domén – stránky, jako je paypaldeb.com, pravděpodobně nebudou mít se službou PayPal nic společného.
Falešné poplachy: Neustálé varovné zprávy mohou být nepříjemné
AGRESIVNÍ VIROVÉ SKENERY Zdravý rozum říká, že pokud se na obrazovce objeví varování od vašeho antivirového programu, měli byste jej rozhodně brát vážně. V praxi to ale vzhledem k občasným falešným poplachům (při instalaci nebo spuštění aplikace) nemusí být ideální přístup.
Podle našeho antivirového testu se počet falešných poplachů na začátku letošního roku (ve srovnání se čtvrtým čtvrtletím roku 2010) podstatně snížil. Nicméně i tak se u bezpečnostních balíků stále objevují falešné poplachy i v případě řady známých aplikací (například u OpenOffice nebo editoru Notepad++), které jsou naprosto neškodné. Na vině je obvykle heuristická analýza, která má za úkol analyzovat některé části kódu nebo činnost instalačního souboru. Zda bezpečnostní program uživatele varuje před podezřelou činností, pak závisí na nastavení tzv. prahové hodnoty (viz článek Jak virové skenery odhalují viry? v Chipu 5/2011). Je-li tato hranice překročena, nástroj označí program za podezřelý.
-- Pokud dojde k zablokování programu, měli byste nejprve porovnat kontrolní součet (bývá označen jako md5) instalačního souboru s hodnotou uvedenou na stránce autorů, případně na stahovacích portálech. Tak lze zjistit, zda nebyl instalační soubor někým "upraven" (například přidáním malwaru). Pokud se vám nepodařilo najít žádný důvěryhodný zdroj s kontrolním součtem, lze alespoň stáhnout program z některých prověřených stránek – například z portálu Slunečnice.cz nebo Stahuj.cz.
Pokud není blokovaný soubor instalační, nezbývá než ho přesunout do karantény a zahájit jeho kontrolu: nahrát ho na web pomocí nástroje VirusTotal Uploader (najdete ho na Chip DVD), kde bude analyzován více než čtyřiceti antivirovými programy. Pokud kontrolou projde bez problémů, určitě nepůjde o malware.
BLOKOVÁNÍ INTERNETOVÝCH NABÍDEK Phishingové filtry v prohlížeči jsou obvykle založeny na principu "černé listiny" (blacklistu), která obsahuje seznam stránek se škodlivým kódem. Tyto seznamy jsou obvykle spolehlivé a umožní zablokovat nebezpečné stránky, bohužel ale nejsou zcela aktuální. Nové stránky se škodlivým obsahem se totiž objevují každý den – například ve srovnání s loňským rokem se jejich počet téměř zdvojnásobil, až na téměř 3 300 za den. Problémem také je, že častokrát nebývá "škodlivý" samotný web, ale například pouze "reklamní" banner na něm. I po odstranění banneru pak může stránka zůstat na blacklistu i několik dní…
-- Zablokované WWW stránky lze zkontrolovat pomocí on-line skeneru (jejich test najdete v Chipu 4/2010), například s využitím služby od AVG (www.avgthreatlabs.com/sitereports). Výhodou služeb tohoto typu je, že dokážou analyzovat zadané URL, často také včetně subdomén nebo odkazů z nich vedoucích.
Před infikovanými bannery se také můžete chránit pomocí doplňku pro prohlížeč – například pro Firefox je to AdBlock.
NESPRÁVNÉ CERTIFIKÁTY Některé webové stránky používají pro "zvýšení bezpečnosti" tzv. SSL certifikáty. Ty nejen teoreticky zvyšují důvěryhodnost webu, ale také bezpečnost dat předávaných ze strany uživatele. SSL certifikát totiž slouží k šifrování a autentizaci celého přenosu mezi počítačem uživatele a webovým serverem. I pokud ale pomineme skutečnost, že se již hackerům podařilo zfalšovat platné SSL certifikáty (od certifikační autority Comodo), nemusí být použití certifikátu bezproblémové. Určitě už se každý uživatel někdy setkal s varováním prohlížeče, že SSL certifikát není platný…
-- Toto varování může mít zcela neškodné příčiny: nesprávné datum v systému (Windows nebo BIOS), prošlý certifikát nebo certifikát z neznámého zdroje. Poslední příčinou může být použití levných, nebo dokonce bezplatných certifikátů (například certifikát VeriSign stojí deset tisíc ročně, levnější IPSCA přibližně desetinu). V každém případě je ale vhodné varování o problémech s certifikátem neignorovat, a to především u finančních institucí.
OTRAVNÉ UAC Od Windows Vista najdou uživatelé v systému nástroj, který brání malwaru v infikování vašeho počítače – řízení uživatelských účtů (UAC). Tento nástroj však bohužel velmi často nerozlišuje mezi malwarem a neškodným softwarem. Ve výchozím nastavení vždy uživatele upozorní, pokud chce aplikace změnit nastavení systému Windows (nebo přidat položku do registru). Výsledkem je, že naprostá většina uživatelů automaticky "odkliká" schválení akce, aniž by hlášení programu četli. A to může být nepříjemná chyba.
-- Přísnost UAC můžete snížit v nabídce "Ovládací panely | Systém a zabezpečení | Centrum akcí | Změnit nastavení řízení uživatelských účtů". Pokud chcete tuto funkci vypnout úplně, rozhodně byste neměli používat Windows s právy administrátora, protože tak se malware může snadno dostat do systému.
PŘÍLIŠ HORLIVÝ FIREWALL Ne každý program, který odesílá data na web, je trojský kůň, který krade údaje o bankovním účtu či kreditní kartě nebo přihlašovací údaje k internetovým službám. Existuje celá řada neškodných programů, které často odesílají data na web: typickým příkladem jsou P2P TV nástroje, jako TVU nebo SopCast. Problémem ale je, že firewall tyto nástroje, které používají pro přenos dat jiné porty než prohlížeč, obvykle blokuje.
-- Pokud si nejste jisti aktivitou programu, můžete aktivní připojení k síti analyzovat pomocí nástroje CurrPorts (na Chip DVD). Nejprve v něm skryjte všechny systémové procesy (v nabídce Options deaktivujte položku "Display Items without Remote Address") a poté si vyberte mezi zbývajícími procesy ten, který chcete prozkoumat. Zjistěte, který soubor je za proces zodpovědný (položka "Process path"), a poté soubor nahrajte pomocí nástroje "VirusTotal Uploader" na web ke kontrole. Pokud bude soubor odhalen jako vir, odpojte ho v nástroji CurrPorts pomocí klávesové zkratky [Ctrl] + [T], a nakonec proces ukončete pomocí příkazu "Kill Processes of selected Ports" v kontextové nabídce.
TYPICKÉ CHYBY SYSTÉMU Špatně naprogramovaný malware může způsobit selhání systému nebo poškození paměti. Vzhledem k tomu, že většina malwaru funguje skrytě, je pro uživatele těžké odhalit, že není na vině systém. Pravda ale je, autoři malwaru své výtvory testují stále důkladněji a trojské koně a podobní škůdci jsou stále "spolehlivější". V praxi to znamená, že příčinou selhání systému jsou většinou konflikty v paměti systému, staré ovladače nebo opotřebení hardwaru. Jak tedy poznat, co způsobuje nestabilitu vašeho systému?
-- Nejprve ve Správci zařízení zkontrolujte, zda v systému nejsou nějaké konflikty hardwaru, a aktualizujte všechny důležité ovladače. To může pomoci zejména ve starších operačních systémech (Windows XP a předchůdcích), protože novější verze systému Windows si obvykle stáhnou příslušné ovladače automaticky. Pokud jste před objevením problémů instalovali program, vyzkoušejte funkci obnovení systému a použijte takový bod obnovy, ve kterém počítač pracuje bez problémů. Použijte nástroje CCleaner nebo Defraggler na vyčistění disku a registru a zbavte se tak starých souborů a záznamů se starými systémovými chybami. Zmizí tak všechna otravná varování – tedy alespoň do příští návštěvy infikované webové stránky.
AUTOR@CHIP.CZ
FBI: Hackeři se nebojí zneužít ani známé bezpečnostní instituce
Loga známých bezpečnostních organizací a výhrůžné texty by vás měly přesvědčit k zaplacení "výpalného".
Foto: FBI Zaplaťte do 48 hodin pomocí služby PayPal a nezablokujeme vám všechny účty.
Foto: Falešné výhrůžky Organizace EFCC ve spolupráci s FBI zjistila všechny vaše prohřešky a pokud nezaplatíte, bude zahájeno přísné vyšetřování...
Bezpečnostní balíky jsou často náchylné k falešným poplachům
Zatímco některé skenery, jako Avira nebo McAfee, až příliš často straší uživatele falešnými poplachy, programy od Avastu a Microsoftu jen zřídka naruší soukromí uživatelů.
Foto: Falešný alarm: Místo prevence útoků malwaru občas firewall blokuje neškodné programy.
Foto: Vir: Prohlížeče varují před infikovanými stránkami – neignorujte to!
Foto: Hack: Datový špion se skrývá za zdánlivě neškodnou hudební aplikací.