Hlavní navigace

Letní online hrozby: klasika i botnety

 Autor: 29
Pavel Čepský

Podle aktuálních statistik se nám na lepší časy ještě dlouho blýskat nebude, uživatelé jsou zřejmě nepoučitelní. Zelenou dostávají botnety čekající na povel svých tvůrců, stejně jako moderní klasika v podobě virů zneužívajících autorun informací. Co přesně tedy prozrazují aktuální statistiky?

V současném světě počítačové bezpečnosti je často velice těžké udržet si přehled o všech stávajících hrozbách a rizicích, která nám ztěžují život. Také proto různí analytici i výrobci bezpečnostního softwaru průběžně vydávají souhrnné zprávy, jež mapují vývoj na poli malwaru, podvodů a všemožných i nemožných útoků. Mezi posledními objevivšími se lze vystopovat také McAfee Threats Report: Second Quarter 2010. Jak již název napovídá, jde o analýzu rizik druhé poloviny roku 2010 – jaká nebezpečí jsou tedy právě v kurzu, čeho se má poctivý uživatel nebo správce sítě bát?

Ze studie kromě jiného vyplývá, že oproti letošnímu prvnímu čtvrtletí se povaha malwaru značně změnila. Škodlivých kódů, hrozeb a útoků neustále přibývá, ale především se stávají stále diferencovanějšími. Jsou šity na míru konkrétním obětem a liší se například podle toho, zda jejich cílem jsou koncoví uživatelé nebo firmy. Právě specializace na konkrétní uživatele či menší skupinu patří mezi hlavní trendy poslední doby, již dříve se touto cestou vydaly třebas i phishingové útoky. Scénář ve srovnání s masovými útoky velice podobný, nicméně není tolik anonymní. Z minulosti jsou známé případy útoků na klienty místních organizací, namísto rozsáhlejšího, avšak vinou univerzálnosti ne tak účinného pokusu o nalákání většího počtu uživatelů obecnými podvody.

Nesmrtelný Conficker je stále s námi

Malware je dle zprávy o stavu nebezpečenství druhého čtvrtletí také do značné míry „lokalizován“ – v různých zemích a regionech jsou nejrozšířenější vždy jiné hrozby (naopak v prvním čtvrtletí letošního roku byly prakticky ve všech oblastech na čele žebříčku stejné druhy malwaru). V databázích společnosti McAfee bylo na konci června uloženo téměř 45 milionů jedinečných vzorků malwaru. Ještě rychleji než samotného malwaru přibývá podvodných webů, které se ho snaží šířit.

Odbočme nyní od statistik McAfee a podívejme se na aktuální čísla, jež servíruje Eset Software v pravidelném měsíčním přehledu škodlivého kódu. Nejrozšířenější počítačovou hrozbou současnosti je stále červ Win32/Conficker a jeho různé varianty, v červenci jeho podíl tvořil 12,47 % detekovaných hrozeb. Conficker v současnosti tvoří jeden z největších botnetů a odhaduje se, že celkem je na dálku ovládaných až 10 miliónů počítačů po celém světě. Podíl Confickeru neustále roste také v Česku a v červenci u nás zaznamenal 9,55% podíl.

Druhou nejčastější hrozbou byl malware INF/Autorun, což je směs trojských koní (5,9 %), Na třetím místě systémy ESET nejčastěji detekovaly škodlivý kód Win32/Agent, tedy vykradače citlivých údajů z počítače. Novinkou v žebříčku je Win32/Dursg.A. Tento trojský kůň, pravděpodobně ruského původu, přesměrovává výsledky vyhledávání na webstránky obsahující adware. Tento trojan se často šíří pomocí výměnných P2P sítí jako soubor s atraktivním názvem (aktuální hudební hit atp.).

Falešná antivirová online podpora

Novinkou, zatím zaměřenou na anglofonní uživatele, je falešná antivirová online podpora. Zavolá vám callcentrum, telefonista vám ukáže, kolik škodlivého software máte na vašem počítači a prodá vám nic nedělající bezpečnostní software i online podporu.

METSupport

Příklad stránek podvodné online podpory, která vás nepodpoří.

Nebezpečné hrátky s USB

Na škodlivý kód, jenž volí cestu nákazy prostřednictvím informací automatického spouštění, poukazuje také zpráva McAfee, skokový nárůst byl během druhého čtvrtletí zaznamenán hlavně v červnu. Pokud i vy patříte mezi ty šťastnější uživatele, které viry šířené skrze autorun informace minuly, tak nejen pro vás doplníme stručné informace o principu jejich činnosti, a to na konkrétním případu neblaze proslulého SillyFD-AA.

Zmíněný SillyFD-AA v kořenové složce vytvoří skrytý soubor autorun.inf, čímž může dojít při zapojení USB flash disku nebo jakéhokoliv jiného vyměnitelného média ke spuštění souboru s červem, který mimo jiné mění některé položky v systémovém registru. Infikovaný počítač se pozná podle textu „Hacked by 1BYTE“ zobrazujícího se v záhlaví okna prohlížeče Internet Explorer. Obdobný model tohoto více než tři roky starého červa se stal vzorem také pro řadu současných hrozeb stejného zaměření.

Hacked by 1BYTE

Právě jste spustili SillyFD-AA, takže váš prohlížeč je Hacked by 1BYTE

Prvotní obrana je v uvedeném případě již z podstaty obdobná jako u klasických souborových virů, jelikož se z principu jedná o stejnou hrozbu. Základním stavebním kamenem by se tak měl stát kvalitní antivirový program s průběžnou kontrolou všech přistupovaných souborů v reálném čase, případně vypnutí nebo alespoň ne automatické povolení spuštění souboru autorun.inf při připojení USB zařízení do počítače. Jiná situace ale samozřejmě nastává v případě, kdy se USB zařízení nestanou prostředníkem pro šíření virů, ale poslouží k odnesení často citlivých dat.

Spam vévodí veškeré rozeslané poště

Na lepší počítačové časy se bohužel neblýská ani v oblasti botnetů, jelikož jejich tvorba, zneužití a případný pronájem jsou stále populárnější, alespoň v druhém čtvrtletí. Nejnebezpečnějším z nich je dnes zřejmě botnet Zeus, v Indii je součástí botnetů až 1,5 milionů počítačů, v Rusku, Brazílii a Německu převyšuje tento počet 1 milion.

V případě botnetů největší problémy vyplývají z faktu, že jde často o pomalou, plíživou, stěží viditelnou hrozbu. Postižený uživatel se ani nemusí dozvědět, že se jeho systém stal součástí větší armády zombie počítačů, které pouze čekají na rozkaz od svého tvůrce. Tímto povelem zkázy se nejčastěji stává další šíření malwaru, DDoS útok nebo hromadné rozesílání spamu.

Právě horší detekce a absence přímé viditelné destrukce dává útočníkům čas i prostor pro postupné budování rozsáhlých botnetů, které udeří až v tu pravou chvíli. A pokud by zrovna nebylo jak jejich sílu využít, lze si bez dalšího většího snažení aspoň přivydělat dočasným pronájmem. S botnety se totiž čile obchoduje, a pokud má někdo zájem o jejich služby, může si na předem určenou dobu některý z nich vypůjčit.

I když se v překotném světe síťové bezpečnosti máme jen z máločeho těšit, tak alespoň jedna pozitivní zpráva na závěr: růst spamu ve druhém čtvrtletí oproti dřívějším obdobím zpomalil. Výsledné číslo, prozrazující 142 miliard nevyžádaných zpráv, je však i přesto stále alarmující, jelikož celkově zajišťuje více než 1,5 miliardy spamových e-mailů denně. Nelichotivá hranice 90% podílu veškeré kolující pošty nás bohužel bude strašit ještě asi hodně dlouhou dobu.

S jakými hrozbami jste se v poslední době setkali ve své domácí nebo firemní síti? Co podle vás může nejvíce ohrožovat běžné koncové uživatele? Přispějte s vlastními statistikami do diskuze pod článkem.

Anketa

Vypínáte funkci autorun?

Našli jste v článku chybu?

18. 8. 2010 11:52

uživatel si přál zůstat v anonymitě
A co Jan Tleskač? Má taky svůj botnet?

18. 8. 2010 10:37

suryp (neregistrovaný)
To, ze se da botnet pujcit za penize, jsem cetl uz nekolikrat.
Jak to ale funguje?
Jak si muzu ja, jako obycejny obcan, vypujcit botnet treba na tyden? Koho mam kontaktovat? Je to legalni?
A kdyz to muzu udelat ja, tak proc to neudela treba FBI nebo jina podobna instituce a nezatkne ty poskytovatele?
Nebo proc si to nevypujcuji antivirove firmy a neleci to, znovu a znovu?
Znate nekdo nekoho ve svem okoli, kdo si pronajal botnet?




Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: V účtenkové loterii? 65 milionů ročně

V účtenkové loterii? 65 milionů ročně

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

DigiZone.cz: Perspektivy TV v roce 1939 podle časopisu Life

Perspektivy TV v roce 1939 podle časopisu Life

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák