Autorun a Conficker: Donekonečna nesmrtelné hrozby?

11. 10. 2011
Doba čtení: 5 minut

Sdílet

Viry, malware a jiná havěť v počítači
Viry, malware a jiná havěť v počítači
Některá rizika pominou velice rychle, ať už jejich nedokonalostí nebo bleskovou reakcí ze strany tvůrců bezpečnostních řešení. Jiná nás však bohužel trápí stále dokola – jak je to vůbec možné?

Různé pravidelně aktualizované žebříčky virových hrozeb, které typicky vycházejí v měsíčních prodlevách, ukazují na zajímavý malwarový vývoj. Jednak bojujeme s nebezpečími, která jsou nová, často jen krátkodobého charakteru, kromě toho ale nekonečně dlouhou dobu válčíme s takovými riziky, jež by dávno měla vyhynout. Tvůrci za to musí být vděční, vždyť právě to je součást jejich snu – neúprosně trýznit síťové administrátory i běžné koncové uživatele jedním kusem škodlivého kódu, byť v různých mutacích.

INF/Autorun stále „ruluje“

Podle aktuálních statistik společnosti ESET během letošního září znovu potvrdil svou nechvalně a obecně známou přední pozici mezi malware virus INF/Autorun s poměrem nakažených počítačů 6,49 % na celém světě, z čehož evropský podíl činí 5,42 %. Na druhém místě je Win32/Conficker s celosvětovým poměrem nakažení 3,65 %, jenž se stal také třetím nejrozšířenějším malwarem v Evropě s podílem 3,40 %. I když se tedy útočníci průběžně snaží balamutit uživatele novými triky, uvedené dvě letité stálice na předních místech nejrozšířenějších hrozeb potvrzují lítý boj s klasickými nástrahami.

Pro úplnost statistik dle citované zprávy doplňme, že INF/Autorun je obecné označení, jež popisuje širokou škálu škodlivého kódu využívajícího soubor autorun.inf jako cesty k ovládnutí počítače. Tento soubor obsahuje informace o programech, které se mají automaticky spustit, jakmile uživatel počítače s Windows připojí přenosné médium pro ukládání dat (často se jedná o USB disk). Virus Win32/Conficker je síťový červ, který se původně šířil díky využití zranitelnosti operačního systému Windows. V závislosti na variantě se může šířit i prostřednictvím nezabezpečených sdílených složek a přenosných médií, přičemž využívá funkce automatického spuštění Autorun, která ve starších verzích OS Windows byla implicitně zapnutá, což samozřejmě neplatí již pro Windows 7.

Trojan pro čínské uživatele Mac OS X

V kontrastu s těmito dvěma riziky je informace, že novým typem hrozby, která se objevila v září, je ohrožení Mac OS X v podobě trojanu zaměřeného na čínsky mluvící uživatele systému Macintosh. Trojan se vůči uživateli tváří jako PDF dokument obsahující článek v čínštině týkající se dlouhodobého sporu o ostrovy Diaoyu. V okamžiku, kdy uživatel otevře „PDF“ soubor, červ se pokusí zamaskovat instalaci škodlivého obsahu tím, že otevře skutečný PDF dokument, jenž přitáhne pozornost uživatele k danému tématu. Mezitím malware dokončí instalaci obsahu, který je vytvořen s cílem poskytnout útočníkovi vzdálený přístup k počítači oběti. Tento typ zneužití PDF souborů je běžný na platformě Windows, kde je často k vidění v podobě souborů „se dvěma příponami“ .pdf.exe. U platformy Mac je však dle zprávy ESET tento druh útoku novinkou.

Hrozby září
Rozšíření jednotlivých infiltrací v uplynulém měsíci. Zdroj: ESET

Červík, který jen tak nevyhyne

Rozmanitost zneužití letmo zmíněného Confickeru, resp. jeho záludných následků, vybočuje z řady běžných virů nebo jiných pokusů o útok. Původně vše začalo standardně: jedna zranitelnost ve Windows byla prohlášena za vysoce kritickou, bylo zapotřebí záplatovat, ale (podobně jak tomu už bývá) ne všichni správci a domácí uživatelé tak učinili.

A co je na stále aktivním Confickeru tak zajímavé? Jeho vznik sahá až do roku 2008, a tak jde o malware, který vydatně řádí a patří mezi nejaktivnější již po dobu dvou let. A bohužel zatím nic nenaznačuje, že by jeho manévry měly v brzké době skončit. Conficker tak postupně využíval nezáplatované stroje, a dokonce je ještě nyní zneužívá. Hlavní problém ale tkví v tom, že na první pohled nemusí být infekce Confickerem pozorovatelná, žádné soubory se nesmažou, varovná okna nevyskočí, nikdo uživatele nevydírá. Právě to poskytlo prostor pro vybudování armády botů, která čeká na příkazy.

Čas již dostatečně prokázal, že právě botnety mohou být nejvíce problematické, a to kvůli popsané tiché hrozbě. Jejich tvůrci navíc nemusí usilovat pouze o rozesílání spamu nebo hromadné útoky, včele například s DDoS, ale nabízí se jim také možnost pronájmu takto systematicky vytvořených sítí – pokud chce někdo další rozeslat nevyžádanou poštu, případně odrovnat konkurenci odepřením služby, stáčí se veškeré otázky jen k ceně. Conficker již tři roky představuje nejrozšířenější hrozbu a můžeme směle odhadnout, že nás neopustí ani v roce 2012.


Pokud vás trápí USB zařízení namísto čistokrevného Confickeru, můžete využít specializované aplikace

Přežijí i příští rok?

Také aktuálně nejrozšířenější hrozba v podobě zneužitelných informací o automaticky spouštěných komponentách vyměnitelných médií poskytuje zajímavé údaje. Zneužití USB nebo dalších vyměnitelných médií skrze popsaný známý princip nepatří mezi novinky, ukazuje ale, že úspěšné scénáře vydrží dlouhou dobu. Klasickým CD a DVD již v mnoha případech zvoní hrana nejen kvůli Internetu, ale také vinou USB disků, jejichž ceny klesají rychlostí blesku. Bohužel si ale celá řada uživatelů i firem stále neuvědomuje související rizika.

Přes déle trvající nebezpečí a stále častější zneužití mají USB úložiště z pohledu útočníků stále tu výhodu, že patří mezi přehlížená rizika. V drtivé většině internetových kaváren nebo jinak veřejně přístupných počítačích zpravidla nebudete mít problém na USB klíčenku ukládat data, stejně tak z ní kopírovat přinesené soubory do počítače. Možná vám nastolená bezpečnostní politika zatrhne celou řadu jiných akcí v systému, ale s připojeným USB diskem budete nejspíš moci pracovat. A nejde jen o to, že kdokoliv může do počítače přinést cokoliv, ale ve světě USB virů také o možnost automatického zkopírování.

Tak jako se zneužití dočkávají pracovní přenosné počítače, jež pendlují mezi firemní sítí a domácími profily po skončení šichty, je jednou z variabilních cest šíření virů také USB. I když si třebas svůj systém strážíte jako oko v hlavně a patříte mezi neuživatele antivirů, kteří se hájí tím, že virus nechytnou, protože surfují s rozumem, postačí jediné připojení USB klíčenky k sousedovu zavirovanému počítači a virus už je jen krůček od toho, aby se pak zabydlel i ve vašem systému. Přestože tedy antivir nepoužíváte, jelikož surfujete naprosto bezpečně, zkuste si čas od času aspoň jednorázový test některým ze zdarma dostupných produktů.

Budou útočníci v nadcházejícím roce 2012 stále spoléhat na léty prověřené hrozby, nebo již konečně Conficker a jemu podobná rizika pohřbí čas? Podělte se o svůj odhad s ostatními čtenáři v diskuzi pod článkem.

Autor článku

Autor je odborníkem na počítačovou bezpečnost a moderní online služby. Pracuje jako konzultant na volné noze zejména pro finanční instituce.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).