Hlavní navigace

Recyklace malwaru: Starého útočníka novým kouskům nenaučíš

Pavel Čepský 31. 7. 2012

Občas se může zdát, že síťoví podvodníci a útočníci celé dny nedělají nic jiného, než že vymýšlejí a vytvářejí stále nové hrozby. Opak je pravdou. Proč se tak moc daří hlavně starším nebezpečím?

Některé praktiky světa škodlivého kódu mají stále dokola stejný scénář, a tak se může zdát, že podobné metody už nemohou fungovat. Z dlouhodobého sledování měsíčních statistik nejrozšířenějších malwarových hrozeb však snadno odtušíme, že prim hrají hlavně techniky, které zneužívají už dříve zneužité skuliny a přežívají nikoliv týdny nebo měsíce, ale dokonce roky.

Zpravidla opravdu nejde o převratné inovace, které by zalarmovaly celý svět a donutily každého majitele zařízení připojeného k síti bát se o svá data a systém. Prvenství ve vývoji síťových útoků trochu paradoxně během posledního roku patří DDoS útokům, phishingu, nigerijským dopisům v elektronické podobě nebo nesmrtelnému farmaceutickému spamu.

Nepřímo na to upozornila a dlouhodobý trend potvrdila také společnost ESET v aktuálním sumáři hrozeb, který může nezávisle na použitém antiviru posloužit jako vodítko pro analýzu nejnovějších i těch starších rizik. Hrozba INF/Autorun se stala druhý měsíc za sebou nejrozšířenějším škodlivým kódem, druhá příčka připadla malwaru Conficker a třetí pozici obsadil HTML/ScrInject.B. Že vám jsou tyto názvy až příliš povědomé, i když s viry nemáte osobní zkušenost? Máte pravdu, jde o skupiny škodlivého kódu, které uživatele sužují již velmi dlouhou dobu.

Zmíněný INF/Autorun představuje různé druhy malwaru využívající jako cestu k napadení počítače soubor autorun.inf, nesmrtelný Conficker na stříbrné pozici patří dobře známému a hlavně letitému riziku. Konečně bronzovou „plackou“ ověnčený HTML/ScrInject.B je generická detekce webových HTML stránek obsahující falešný script nebo iframe tag, který automaticky přesměruje uživatele ke stahování škodlivého kódu.

Hrozby červen 2012
Aktuální hrozby podle souhrnných statistik za červen. Zdroj: ESET

Nesmrtelná klasika na druhém místě

Před koncem roku 2008 byla objevena a popsána zranitelnost operačního systému Windows, která mohla otevřít cestu pro vzdálené spuštění kódu a jíž se věnoval security bulletin s pořadovým označením MS08–067. Ačkoliv tak byla záplata k dispozici, v lednu následujícího roku se rychlostí blesku začal šířit škodlivý kód, který danou zranitelnost zneužíval.

Neblaze proslulým hlavním hrdinou představeného malwarového thrilleru se stal právě červ Conficker (též známý jako Downadup), který během poměrně krátké doby nakazil více než deset milionů počítačů. Jedná se o jeden z příkladů, kdy za rozšíření mohou sami uživatelé nebo nezodpovědní správci, jelikož se oprava distribuovala pomocí automatických aktualizací ještě před největším rozmachem červa. Dnes, čtyři roky poté, co byla hrozba detekována, nicméně podle aktuálních statistik stále spoluvévodí malwarovému světu.

V případě Confickeru je důvod jeho nesmrtelnosti nasnadě, první silná vlna si totiž rychle vybudovala základnu infikovaných strojů, které jsou využity k dalším útokům. Navíc také Conficker zpočátku patřil mezi škodlivý kód, který z pohledu začínajících uživatelů nebylo snadné z počítače odstranit, a tak získal ještě delší čas pro další šíření. A do třetice je zde více mutací, jelikož Conficker prošel postupnou evolucí. Z pohledu útočníků je vždy snazší upravit již existující a dostatečně fungující „mustr“, než vyvíjet vše od prvního škodlivého bajtu.

Night Dragon
Moderním útokem, který zneužívá původní rizika, je také Night Dragon. Zdroj: McAfee 

Neviditelné riziko stále dokola

První místo žebříčku aktuálně nejrozšířenějších rizik okupuje další notoricky známá hrozba: INF.Autorun. Jedná se o kategorii malwaru, který zneužívá možnosti automatického spuštění obsahu z externích médií připojených ve Windows. Původně se šířil prostřednictvím CD a DVD disků, nyní však soubory autorun.inf ve své nebezpečné variantě vládnou hlavně různým USB flash diskům a externím pevným diskům.

I zneužití Autorun informací se stále dokola drží na předních příčkách žebříčků nebezpečného kódu. Jedním z důvodů jsou zde opět různé mutace, nejedná se totiž o konkrétní virus nebo jeho dvě či tři varianty, ale rodinu škodlivého kódu. Pokud tedy i nadále budete upozorněni na toto riziko, nepanikařte, nejde o hrůzostrašnou revoluci, ale spíše evoluci. Bohužel se rodina tohoto škodlivého kódu postupem času rozrostla, a tak i z tohoto důvodu mají útočníci-začátečníci snadno dostupnou inspiraci pro vytvoření vlastní varianty a nemusejí vytvářet zbrusu nový malware.

Pokud byste hledali společného jmenovatele, který nejčastější malwary spojuje, je jím zneužití bez přímé vědomé interakce uživatele. Připojení USB disku s infikovaným obsahem (podloudné zneužití autorun informací), útok na nedostatečně záplatovaný systém, nepoužití antiviru v pro- i reaktivní obraně (Conficker a všechny jeho mutace) i vkládání podvodného kódu do na první pohled důvěryhodných stránek patří mezi zneužití standardních akcí, které uživatelé dělají, aniž by nad zhoubnými následky kdovíjak přemýšleli.

Útočníci se při tvorbě nových hrozeb jednoduše inspirují stávajícími druhy škodlivého kódu, případně zakoupí toolkit pro vytváření nových variant a na pár kliknutí jakoby vytvoří nového síťového strašáka. Ukazuje se však, že jde o známé scénáře s novým obsazením v hlavních rolích. I přes léta negativních zkušeností zde tyto hrozby budou tak dlouho, dokud je běžní koncoví uživatelé nezvládnou ukočírovat.

Našli jste v článku chybu?

31. 7. 2012 10:51

P2010 (neregistrovaný)

Aktualizace pouzivam odjakziva a nemel jsem jediny problem, ze by neco prestalo fungovat.

Ovsem, ty Windows byly vzdy legalne zakoupene.

31. 7. 2012 15:05

A.S.Pergill (neregistrovaný)

To byly ty moje taky.
Problémy byly především s tím, že se modifikovaly některé funkce Visual BASICu, na nichž závisely věci z MS Office, ale spousta dalšího, mnohdy přestalo fungovat i přehrávání multimédií.
Asi je lépe mít nezajištěný, ale plně funkční počítač, než počítač sice zajištěný, ale nefungující.



Podnikatel.cz: Platební brány a EET? Stále s otazníkem

Platební brány a EET? Stále s otazníkem

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Měšec.cz: Jak levně odeslat balík přímo z domu?

Jak levně odeslat balík přímo z domu?

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Podnikatel.cz: Dárky v podnikání. Jak je uplatnit v daních?

Dárky v podnikání. Jak je uplatnit v daních?

120na80.cz: 5 přírodních tipů na bolest v krku

5 přírodních tipů na bolest v krku

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Podnikatel.cz: S.r.o. využívá cizí auto. Jak je to s daněmi?

S.r.o. využívá cizí auto. Jak je to s daněmi?