Hlavní navigace

Autorun a Conficker: Donekonečna nesmrtelné hrozby?

Pavel Čepský 11. 10. 2011

Některá rizika pominou velice rychle, ať už jejich nedokonalostí nebo bleskovou reakcí ze strany tvůrců bezpečnostních řešení. Jiná nás však bohužel trápí stále dokola – jak je to vůbec možné?

Různé pravidelně aktualizované žebříčky virových hrozeb, které typicky vycházejí v měsíčních prodlevách, ukazují na zajímavý malwarový vývoj. Jednak bojujeme s nebezpečími, která jsou nová, často jen krátkodobého charakteru, kromě toho ale nekonečně dlouhou dobu válčíme s takovými riziky, jež by dávno měla vyhynout. Tvůrci za to musí být vděční, vždyť právě to je součást jejich snu – neúprosně trýznit síťové administrátory i běžné koncové uživatele jedním kusem škodlivého kódu, byť v různých mutacích.

INF/Autorun stále „ruluje“

Podle aktuálních statistik společnosti ESET během letošního září znovu potvrdil svou nechvalně a obecně známou přední pozici mezi malware virus INF/Autorun s poměrem nakažených počítačů 6,49 % na celém světě, z čehož evropský podíl činí 5,42 %. Na druhém místě je Win32/Conficker s celosvětovým poměrem nakažení 3,65 %, jenž se stal také třetím nejrozšířenějším malwarem v Evropě s podílem 3,40 %. I když se tedy útočníci průběžně snaží balamutit uživatele novými triky, uvedené dvě letité stálice na předních místech nejrozšířenějších hrozeb potvrzují lítý boj s klasickými nástrahami.

Pro úplnost statistik dle citované zprávy doplňme, že INF/Autorun je obecné označení, jež popisuje širokou škálu škodlivého kódu využívajícího soubor autorun.inf jako cesty k ovládnutí počítače. Tento soubor obsahuje informace o programech, které se mají automaticky spustit, jakmile uživatel počítače s Windows připojí přenosné médium pro ukládání dat (často se jedná o USB disk). Virus Win32/Conficker je síťový červ, který se původně šířil díky využití zranitelnosti operačního systému Windows. V závislosti na variantě se může šířit i prostřednictvím nezabezpečených sdílených složek a přenosných médií, přičemž využívá funkce automatického spuštění Autorun, která ve starších verzích OS Windows byla implicitně zapnutá, což samozřejmě neplatí již pro Windows 7.

Trojan pro čínské uživatele Mac OS X

V kontrastu s těmito dvěma riziky je informace, že novým typem hrozby, která se objevila v září, je ohrožení Mac OS X v podobě trojanu zaměřeného na čínsky mluvící uživatele systému Macintosh. Trojan se vůči uživateli tváří jako PDF dokument obsahující článek v čínštině týkající se dlouhodobého sporu o ostrovy Diaoyu. V okamžiku, kdy uživatel otevře „PDF“ soubor, červ se pokusí zamaskovat instalaci škodlivého obsahu tím, že otevře skutečný PDF dokument, jenž přitáhne pozornost uživatele k danému tématu. Mezitím malware dokončí instalaci obsahu, který je vytvořen s cílem poskytnout útočníkovi vzdálený přístup k počítači oběti. Tento typ zneužití PDF souborů je běžný na platformě Windows, kde je často k vidění v podobě souborů „se dvěma příponami“ .pdf.exe. U platformy Mac je však dle zprávy ESET tento druh útoku novinkou.

Hrozby září
Rozšíření jednotlivých infiltrací v uplynulém měsíci. Zdroj: ESET

Červík, který jen tak nevyhyne

Rozmanitost zneužití letmo zmíněného Confickeru, resp. jeho záludných následků, vybočuje z řady běžných virů nebo jiných pokusů o útok. Původně vše začalo standardně: jedna zranitelnost ve Windows byla prohlášena za vysoce kritickou, bylo zapotřebí záplatovat, ale (podobně jak tomu už bývá) ne všichni správci a domácí uživatelé tak učinili.

A co je na stále aktivním Confickeru tak zajímavé? Jeho vznik sahá až do roku 2008, a tak jde o malware, který vydatně řádí a patří mezi nejaktivnější již po dobu dvou let. A bohužel zatím nic nenaznačuje, že by jeho manévry měly v brzké době skončit. Conficker tak postupně využíval nezáplatované stroje, a dokonce je ještě nyní zneužívá. Hlavní problém ale tkví v tom, že na první pohled nemusí být infekce Confickerem pozorovatelná, žádné soubory se nesmažou, varovná okna nevyskočí, nikdo uživatele nevydírá. Právě to poskytlo prostor pro vybudování armády botů, která čeká na příkazy.

Čas již dostatečně prokázal, že právě botnety mohou být nejvíce problematické, a to kvůli popsané tiché hrozbě. Jejich tvůrci navíc nemusí usilovat pouze o rozesílání spamu nebo hromadné útoky, včele například s DDoS, ale nabízí se jim také možnost pronájmu takto systematicky vytvořených sítí – pokud chce někdo další rozeslat nevyžádanou poštu, případně odrovnat konkurenci odepřením služby, stáčí se veškeré otázky jen k ceně. Conficker již tři roky představuje nejrozšířenější hrozbu a můžeme směle odhadnout, že nás neopustí ani v roce 2012.


Pokud vás trápí USB zařízení namísto čistokrevného Confickeru, můžete využít specializované aplikace

Přežijí i příští rok?

Také aktuálně nejrozšířenější hrozba v podobě zneužitelných informací o automaticky spouštěných komponentách vyměnitelných médií poskytuje zajímavé údaje. Zneužití USB nebo dalších vyměnitelných médií skrze popsaný známý princip nepatří mezi novinky, ukazuje ale, že úspěšné scénáře vydrží dlouhou dobu. Klasickým CD a DVD již v mnoha případech zvoní hrana nejen kvůli Internetu, ale také vinou USB disků, jejichž ceny klesají rychlostí blesku. Bohužel si ale celá řada uživatelů i firem stále neuvědomuje související rizika.

Přes déle trvající nebezpečí a stále častější zneužití mají USB úložiště z pohledu útočníků stále tu výhodu, že patří mezi přehlížená rizika. V drtivé většině internetových kaváren nebo jinak veřejně přístupných počítačích zpravidla nebudete mít problém na USB klíčenku ukládat data, stejně tak z ní kopírovat přinesené soubory do počítače. Možná vám nastolená bezpečnostní politika zatrhne celou řadu jiných akcí v systému, ale s připojeným USB diskem budete nejspíš moci pracovat. A nejde jen o to, že kdokoliv může do počítače přinést cokoliv, ale ve světě USB virů také o možnost automatického zkopírování.

Tak jako se zneužití dočkávají pracovní přenosné počítače, jež pendlují mezi firemní sítí a domácími profily po skončení šichty, je jednou z variabilních cest šíření virů také USB. I když si třebas svůj systém strážíte jako oko v hlavně a patříte mezi neuživatele antivirů, kteří se hájí tím, že virus nechytnou, protože surfují s rozumem, postačí jediné připojení USB klíčenky k sousedovu zavirovanému počítači a virus už je jen krůček od toho, aby se pak zabydlel i ve vašem systému. Přestože tedy antivir nepoužíváte, jelikož surfujete naprosto bezpečně, zkuste si čas od času aspoň jednorázový test některým ze zdarma dostupných produktů.

Budou útočníci v nadcházejícím roce 2012 stále spoléhat na léty prověřené hrozby, nebo již konečně Conficker a jemu podobná rizika pohřbí čas? Podělte se o svůj odhad s ostatními čtenáři v diskuzi pod článkem.

Našli jste v článku chybu?

13. 10. 2011 8:16

Gorog (neregistrovaný)

Pro prevenci vetsinou staci vytvorit na usb disku adresar autorun.inf. Viry vetsinou nejsou tak inteligenti aby smazali adresar (plus mu samozrejme muzete zmenit prava).

11. 10. 2011 9:47

lední brtník (neregistrovaný)

".. a virus už je jen krůček od toho, aby se pak zabydlel i ve vašem systému."
a jak prosím, jestliže mám už léta autorun na všech pc zakázán?
všechny flashky / sd karty / externí disky mám navíc ošetřeny vlastním autorunem, který pouze zobrazuje ikonu flashky. jakmile ji ve správci souborů neuvidím, rozpomenu se kterému retardovi jsem flashku půjčil, zvesela si přečtu co mi nyní zkouší nahradit autorun, a jdu dotyčnému poblahopřát k profesionalitě.



120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

120na80.cz: 5 poporodních problémů a jejich řešení

5 poporodních problémů a jejich řešení

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!