Hlavní navigace

Červi jako nástroj průmyslové špionáže: ACAD/Medre.A posílá výkresy do Číny

Pavel Čepský 17. 7. 2012

Jednu z nestárnoucích hrozeb, která sužuje běžné uživatele i síťové správce po celém světě, představují červi. Proč se jim tak daří a v jaké podobě se s nimi dnes setkáváme?

Aktuální novinkou, která ukazuje nebezpečnost moderních červů, se stal malware označovaný jako ACAD/Medre.A. Mezi prvními na něj upozornila společnost ESET a podle původní zprávy červ krade soubory a posílá je na e-mailové účty v Číně. Desetitisíce kreseb z AutoCADu, především pak od uživatelů v Peru, unikly ještě před odhalením hrozby. Otevřené kresby AutoCADu jsou automaticky zasílány na 22 účtů na doménách 163.com a 21 účtů na qq.com – jedná se o služby čínských poskytovatelů internetu.

Právě zmíněné akce nově objeveného červa jsou typické pro většinu moderních variant. Tvůrci se snaží vytvořit co možná nejméně nápadný malware a po průniku do zpravidla náhodně vybraného systému skrytě provádět následné akce. ACAD/Medre.A je o to nebezpečnější, že se specializuje na úzce vybraná data, panuje tedy podezření zneužití v duchu klasické průmyslové špionáže. Do budoucna pro tvůrce samozřejmě nebude problém upravit tohoto červa tak, aby namísto výkresů AutoCADu vybíral jiné potenciálně zajímavé soubory a posílal je na nové adresy.

V souvislosti se současnými červy a dalšími zástupci škodlivého kódu se hojně diskutuje právě možnost případné propracované špionáže. V článku FBI nástrojem podvodníků. Nenechte si zablokovat počítač jsme se detailně zabývali soudobým ransomwarem, který uživatele agresivní technikou donutí zaplatit za svůj systém a data (podobně jako proslulý Cryzip). V kontrastu s tím však chce být ACAD/Medre.A co nejvíce skryt, nenápadně ukrást data. Vzhledem k aktuálnímu vývoji a nedávným trendům bude do budoucna především ve firemních sítích takovýchto hrozeb přibývat, klasické okaté loudění peněz zůstane doménou hlavně při útocích a podvodech na běžné koncové uživatele.

Rozšíření Medre
Graf rozšíření nového červa podle lokality. Zdroj: ESET

Červ proti červu

Červi bývají mnoha uživateli často mylně zařazováni do skupiny běžných počítačových virů, nicméně princip jejich činnosti je do určité míry odlišný. Červi se stejně jako viry šíří bez vědomí uživatele a páchají často jen obtížně vyčíslitelnou škodu. Nepoužívají k tomu však nosiče v podobě jiné aplikace – jejich činnost je nezávislá na parazitování v jiných programech, šíří se na nižší vrstvě síťového modelu. I zde se samozřejmě postupem času termíny stírají, nicméně pro odlišení specifických funkcí jednotlivých červů je dobré se držet této definice, která odkrývá možná specifika.

Označení červ bylo převzato ze sci-fi knihy Jezdec na rázové vlně od Johna Brunnera (anglický titul v originále nese název The Shockwave Rider). Ve svém románu autor popisuje spustitelný kód replikující sebe sama v síti, který nese označení tasemnice (v původním anglickém označení tapeworm). Odtud je na lingvistické úrovni již pouze krůček k současnému označení červ (worm). I když to sám autor mohl jen stěží tušit, zpracoval nadčasové a zdá se, že i nesmrtelné téma: už v roce 1975 předpověděl princip hrozby na další desítky let. Nicméně až koncem osmdesátých let zahltil student Robert Tappan Morris počítačový svět prvním červem a tehdejší ArpaNet měl závažný problém.

Postupem času se označení červ vžilo i pro nákazy šířené prostřednictvím e-mailových příloh, v takovém případě padá vina především na hlavu důvěřivých a naivních uživatelů, kteří si neodpustí otevření podezřelé přílohy. Pokud některý takovýto červ patří do kategorie chytřejších, může své další šíření provádět nezávisle na použitém poštovním klientovi, a to přímo prostřednictvím protokolu SMTP.

Odlišení červů od dalšího malwaru vzhledem k jejich funkcionalitě je dobré také z toho důvodu, že některé jejich vybrané druhy nebyly vyloženě škodlivé, spíše naopak. Příkladem je dnes již legendární červ Welchia, který v dřívějších Windows zneužíval skulinu RPC služby, a tedy se šířil stejným způsobem jako například neblaze proslulý Blaster. Tvůrce tohoto červa připravil tak, že pro proniknutí do zranitelného systému došlo k pokusu o stažení odpovídajících aktualizací a záplat, jejich instalaci, pokusu o odstranění červa Blaster (pokud byl v systému přítomen) a pozdějšímu automatickému odebrání. S nadsázkou se dá říci, že šlo o souboj dvou červů, třeba i bez vědomí uživatele, v jehož systému k němu došlo…

Klasická obrana bez podceňování

Právě vzájemná nevraživost mezi jednotlivými červy by mohla být zajímavá i do budoucna. Stejně jako mezi sebou na internetu a jeho různými prostředky bojují hackerské či další skupiny, není těžké vytvořit automatizovaný škodlivý kód, který se zaměří na podobné výtvory možných nepřátel. V současné době jde samozřejmě spíše o koncept, který v praxi nenachází časté uplatnění, princip je však jednoduchý jako v případě souboje Welchia vs. Blaster: pokud se v infikovaném systému vyskytnou dva „znepřátelení“ červi, jeden zaútočí na druhého a odstraní ho, aby měl celý systém pouze pro sebe.

Jaká jsou obecná doporučení obrany proti počítačovým červům? Proti malwaru šířícímu se prostřednictvím příloh e-mailových zpráv se  může účinně bránit každý uživatel – stačí neotevírat podezřelé přílohy a nebýt zvědavý, co že to ten soubor s „dvojitou příponou“ názvu joke.jpg.exe asi skrývá za tajemství. Naštěstí však poštovní servery i méně znalým uživatelům podobné soubory blokují, a tak je riziko takovéto infiltrace relativně nízké.

Samozřejmostí by dále měla být pravidelná aktualizace systému a veškerého softwaru vůbec ruku v ruce s provozem antivirového programu podpořeného pravidelně naplánovanými testy. Také správně nakonfigurovaný firewall (doplněný o systém detekce průniku) dokáže červům značně znepříjemnit napadení počítače. Pokud už máte podezření, že se některý ze známých červů zabydlel ve vašem počítači, můžete jej odhalit a odstranit jednoúčelovou utilitou, kterou výrobci antivirových systémů většinou poskytují zdarma.

Našli jste v článku chybu?
Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

DigiZone.cz: ČT láká na jarní programové tipy

ČT láká na jarní programové tipy

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

DigiZone.cz: Další dva kanály nabídnou HbbTV

Další dva kanály nabídnou HbbTV

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Vitalia.cz: Nahradí sluch, ale zvuk je zcela jiný

Nahradí sluch, ale zvuk je zcela jiný