Ogłoszenia Zwierzęta
Aktualności: Usługi detektywistyczne tylko  ze sprawdzonym biurem Detektyw Warszawa polecamy tego detektywa.

Autor Wątek: Wirus w skrzynce - artykuł  (Przeczytany 4410 razy)

Offline mamawika

  • User z prawami do pisania
  • Raczkujący bywalec
  • **
  • Wiadomości: 262
Pozdrowienia,
mamawika
 Wiko już od jakiegoś czasu 10 lat- MPD, epi (N,E,R,L,O,P) & Gaba prawie 15 - szatan nie kogut.

Pan Rajek

  • to weteran
  • polecający usługi
  • *******

Offline Ulka

  • User z prawami do pisania
  • Rozgadany Weteran
  • *******
  • Wiadomości: 10988
Firewall, czyli nie otwieraj drzwi byle komu
« Odpowiedź #1 dnia: Październik 11, 2004, 06:01:34 pm »
Firewall, czyli nie otwieraj drzwi byle komu

   
Czy do komputera ktoś może się włamać? Niestety, tak. Co więcej, wcale nie musi siadać przy naszej klawiaturze. Wystarczy, że nasz komputer jest podłączony do internetu i niedokładnie zabezpieczony

Czym to może grozić? Domorośli hakerzy czerpią przeważnie radość z samego faktu włamania się do czyjegoś komputera. Ale wystarczy, że będą nieco bardziej złośliwi i buszując po naszym dysku, zaczną kasować ważne pliki. Albo je wykradać. Pół biedy, jeśli jest to kopia listu do babci, gorzej, gdy w plikach na dysku trzymamy jakieś istotne informacje, takie choćby jak numery kont, PIN-y do kart bankowych itd. Wtedy taką kradzież możemy odczuć bardzo dotkliwie - w końcu złodziej znając nasze dane i numer karty kredytowej, może zrobić zakupy w internetowym sklepie, a znając numer konta internetowego banku, teoretycznie może na nie wejść i spróbować przelać sobie pieniądze (na szczęście do zewnętrznych przelewów w e-bankach potrzebne są zwykle jeszcze jednorazowe kody, ale lepiej nie kusić losu).

Nasz komputer może się też - bez naszej wiedzy - stać żołnierzem armii, która na komendę hakera będzie atakować wybrane serwery w sieci. Może się też stać fałszywym bankowym serwerem, który będzie wyciągał od bogu ducha winnych ludzi ich numery kont i hasła. Możliwości niecnego wykorzystania naszej maszyny są liczne i ogranicza je tylko fantazja hakerów. My też możemy je ograniczyć, a nawet zredukować do zera - instalując tzw. firewall.

Drzwi do komputera

Firewall to rodzaj zapory internetowej, która chroni komputer przed niebezpiecznym ruchem w sieci. Dane, jakie wpływają i wypływają z naszego komputera podłączonego do sieci, nie są jednolite. Innego języka (protokołu) komputer używa do ściągania stron internetowych, jeszcze innego do pogaduszek na Gadu-Gadu, a zupełnie innego do ściągania plików z serwisów peer-to-peer (P2P), takich jak KaZaA czy Morpheus. Co więcej, ruch do i z komputera odbywa się przez wiele tzw. portów, czyli wirtualnych drzwi. Wyobraźmy sobie komputer jako wielki biurowiec, do którego prowadzi długi rząd drzwi. Cały czas przez te drzwi płynie w jedną i w drugą stronę rzeka ludzi. Jeśli nikt nie będzie drzwi pilnował, mogą się przez nie przedostać ludzie nie pracujący w tym biurowcu - i stanowiący potencjalne zagrożenie. Tak właśnie - w dużym uproszczeniu - włamują się do niestrzeżonego komputera hakerzy.

Firewall to rodzaj firmy ochroniarskiej, która monitoruje ruch na wejściu do komputera. Wykwalifikowani ochroniarze wiedzą, kto ma prawo wchodzić do budynku i którymi drzwiami. Wiedzą też, kto powinien z budynku wychodzić, a kogo raczej tam być nie powinno. Jeśli z budynku wychodzi ktoś niepowołany - to powód do alarmu. Podobnie jest z komputerem - jeśli nagle zaczyna wysyłać w sieć nietypowe pakiety danych, może to znaczyć, że ochrona jednak coś przeoczyła i jakiś haker zainstalował nam złośliwy program, za którego pomocą jest w stanie potem wyrządzić nam krzywdę.

Sprzętowy czy programowy?

Firewalle można podzielić na dwie grupy: sprzętowe i programowe. Firewall sprzętowy to oddzielne urządzenie (często połączone z modemem kablowym i routerem sieciowym), które zajmuje się kontrolowaniem ruchu do naszego komputera lub sieci lokalnej. Firewall programowy to po prostu program instalowany na komputerze, który spełnia tę samą kontrolną funkcję. Bezpieczniejszym - ale i nieco droższym rozwiązaniem - jest firewall sprzętowy. Jednak nawet firewall programowy zainstalowany w komputerze na pewno znacznie zwiększy bezpieczeństwo korzystania z internetu.

Aby jednak firewall zadziałał właściwie, należy go odpowiednio skonfigurować. Dobry firewall działa według prostej zasady: udostępnia tylko te porty (drzwi) komputera, które są niezbędne do poprawnego działania podstawowych programów. Wszelkie próby komunikacji przez nietypowe porty są traktowane jako potencjalne zagrożenie. W ten sposób może się niestety zdarzyć, że firewall zablokuje także zupełnie niegroźny ruch. Niektóre uniemożliwiają np. korzystanie z gier online lub niektórych funkcji sieciowych (np. udostępnianie plików przez sieć). Na szczęście, jeśli wiemy, z jakiego portu i protokołu korzysta dana gra czy usługa, możemy odblokować firewall ręcznie. Ale uwaga! Lepiej poprosić o to znajomego, który zna się dobrze na komputerach. Inaczej zupełnie niechcący możemy zrobić dziurę w murze nie tu gdzie trzeba. A na takie dziury hakerzy tylko czekają.

Zwykle firewall sam wykrywa próbę komunikacji przez zamknięty port i pyta wtedy, czy zgadzamy się na jego udostępnienie. W ten sposób program może się "uczyć", czyli dostosowywać do tego, jakich programów używamy.

Podobnie jak programy antywirusowe, zapory internetowe także trzeba aktualizować. Kolejne wersje udoskonalone są o nowe metody wykrywania bardziej złożonych zagrożeń.

Darmowe firewalle:

•  Sygate

•  Prevx

•  Enigma Software Group

•  Jetico

•  Secure Point

•  Minute Group

•  Zone Labs

Firewalle w wersjach testowych:

•  eTrust

•  F-Secure

•  McAfee

•  Panda Software

•  Symantec

Uwaga! W czwartek w "Gazecie" płyta CD z dwoma firewallami: Nortona (wersja testowa) oraz F-Secure (wersja pełna)

http://serwisy.gazeta.pl/wyborcza/1,34513,2333622.html
Ulka-Darek30mpdz & Magda31 &   wspomnienia

Offline Gaga

  • Administrator
  • Rozgadany Weteran
  • *****
  • Wiadomości: 26310
Wirus w skrzynce - artykuł
« Odpowiedź #2 dnia: Październik 20, 2004, 10:58:27 am »
Czy trzeba się bać komputerowych wirusów?

To nie są już szalone dzieciaki. Walczymy z zawodowcami, którzy na wirusach chcą po prostu zarobić - mówi Mikko Hypponenem z fińskiej firmy F-Secure, wybitny specjalista od walki z wirusami.

Cytuj
Czemu tak się dzieje?

Zanik niszczycielskich wirusów jest związany z powstaniem grupy profesjonalnych autorów wirusów. Piszą wirusy, aby zarobić, a nie zarobią, gdy skasują pliki lub uszkodzą dysk twardy. Po co im to? Z ich punktu widzenia dużo bardziej efektywne jest dyskretne zarażenie komputera, tak aby nie zwrócić naszej uwagi. Nieświadomy niczego użytkownik nie zdaje sobie nawet sprawy, że ktoś inny ma kontrolę nad jego komputerem. W tle uruchamiane są programy, które np. pozwalają na rozsyłanie spamu. Bez wiedzy użytkownika można nawet wykorzystać komputer jako serwer strony pornograficznej. Dzięki takim wirusom można stworzyć sieć kontrolowanych komputerów, które zostaną wykorzystane np. do zmasowanego ataku na witryny dużych koncernów. Kiedy taki atak spowoduje wyłączenie strony danej firmy na kilka godzin, dostaje ona żądania zapłaty pieniędzy w zamian za "ochronę" przed kolejnymi atakami. W ten sposób też można zarobić. Nie można tylko na niedziałających komputerach.

Więcej : Gazeta.pl
Pozdrawiam :))
"Starsza Jesienna Miotełka"

Offline Gaga

  • Administrator
  • Rozgadany Weteran
  • *****
  • Wiadomości: 26310
Wirus w skrzynce - artykuł
« Odpowiedź #3 dnia: Grudzień 02, 2004, 02:04:46 am »
Tasin zjada Windowsy

Jak informuje Panda Software, najczęściej wykrywanym wirusem komputerowym są trzy odmiany robaka Tasin.

Program rozprzestrzenia się za pomocą poczty elektronicznej i jest bardzo groźny, bo kasuje dużą część plików systemu Windows.

Aby odwrócić uwagę użytkownika, Tasin wyświetla na monitorze serię wiadomości, przypominających grę. W tym czasie wirus rozsyła z zainfekowanego komputera kopie, a następnie kasuje pliki systemowe.

Robak Tasin.A po raz pierwszy został wykryty w trzeciej dekadzie listopada i od tego czasu stopniowo zajmuje coraz wyższą pozycję na liście najczęściej wykrywanych wirusów. Robak przychodzi wraz z hiszpańskojęzyczną wiadomością, przy czym zarówno temat wiadomości, jak i treść zmieniają się w wielu konfiguracjach.

Po uruchomieniu załącznika Tasin.A tworzy kilkanaście plików, z których część zawiera kopie wirusa, pozostałe zaś służą do podejmowania szkodliwej dla systemu działalności. Ponadto wirus łączy się z Internetem, a następnie pobiera i uruchamia inne szkodliwe programy.

autor: AK
Pozdrawiam :))
"Starsza Jesienna Miotełka"

Offline Gaga

  • Administrator
  • Rozgadany Weteran
  • *****
  • Wiadomości: 26310
Wirus w skrzynce - artykuł
« Odpowiedź #4 dnia: Marzec 12, 2005, 12:39:57 am »
Twórcy wirusów nawiązali współpracę?
Analiza ostatniego ataku wirusa Beagle, który nastąpił 1 marca br., doprowadziła specjalistów
 z Kaspersky Lab do wniosku, że twórcy robaków
Zafi, NetSky i Beagle nawiązali współpracę.


 Na pierwsze jej ślady pracownicy Kaspersky'ego wpadli 15 lutego, gdy pracowali nad kodem wirusa SpamTool.Win32.Small.b, zbierającego adresy e-mail znalezione na zarażonych komputerach. Robak nie kolekcjonuje jedynie adresów do firm antywirusowych. Analitycy rosyjskiej firmy uważają, że twórcy wirusów nie muszą znać się osobiście, ale na pewno korzystają z informacji dostarczanych im przez autora Beagle'a.

W ciągu dwóch dni w Sieci znalazło się 50 zmodyfikowanych robaków tego typu. Oznacza to, że prace nad kolejnymi ich mutacjami przebiegają automatycznie lub półautomatycznie. Kaspersky Lab ostrzega, że taka tendencja wskazuje na postępującą kryminalizację Internetu.
Pozdrawiam :))
"Starsza Jesienna Miotełka"

Offline Gaga

  • Administrator
  • Rozgadany Weteran
  • *****
  • Wiadomości: 26310
Wirus w skrzynce - artykuł
« Odpowiedź #5 dnia: Czerwiec 10, 2005, 04:47:02 pm »
Uwaga na e-maile !

Wirus w mailach o próbie samobójczej Jacksona

 E-maile z informacją o rzekomej próbie samobójczej gwiazdora muzyki pop Michaela Jacksona, oskarżonego o molestowanie seksualne nieletnich chłopców, rozsyłają hakerzy, by w ten sposób włamywać się do komputerów - poinformowała firma antywirusowa Sophos.

"Hakerzy rozsyłają wiadomości o treści: »Ubiegłej nocy na swoim ranczo Neverland Michael Jackson próbował popełnić samobójstwo«. W temacie wpisują słowa »Próba samobójcza«" - powiedział specjalista ds. ochrony antywirusowej Sophosu.

E-mail wymaga od odbiorcy kliknięcia na odsyłacz (link), który łączy ze stroną, gdzie niezauważalnie dla użytkownika w jego komputerze instaluje się złośliwy kod.

"Jeśli klikniesz na link, przeniesiesz się na stronę, na której pojawi się komunikat, że jest ona w tej chwili przeciążona, co wszystkich żądnych sensacji na temat Jacksona może nie zdziwić" - dodała Carole Theriault, konsultantka z Sophosu.
Pozdrawiam :))
"Starsza Jesienna Miotełka"

Offline Gaga

  • Administrator
  • Rozgadany Weteran
  • *****
  • Wiadomości: 26310
Wirus w skrzynce - artykuł
« Odpowiedź #6 dnia: Wrzesień 22, 2005, 02:00:03 pm »
Internet pełen szpiegów

Polska to siedlisko internetowych szpicli. Więcej mają ich tylko Amerykanie
Jest ich coraz więcej. Działają niepostrzeżenie i zawsze podstępem. Nie pracują dla żadnych specsłużb, ale inwigilują każdego, kogo tylko spotkają na swojej drodze.


Cytuj
Programy szpiegujące nie ostrzegają internauty o rozpoczęciu procesu instalacji. Zagnieżdżają się na dysku podstępem, a gdy już wejdą do systemu, ukrywają się i rozpoczynają swoją tajną misję. Ich obecność przez długi czas może być niezauważalna, mimo że gromadzą dane o użytkownikach zainfekowanych komputerów, a potem – bez ich wiedzy – wysyłają je do autora danego szpiega. – Program, któremu pozwolimy się zainstalować w naszym komputerze, może udostępnić absolutnie całą zawartość naszego dysku – ostrzega Ireneusz Parafjańczuk, specjalista w dziedzinie bezpieczeństwa systemów teleinformatycznych z CERT Polska (zespołu reagującego na naruszenia bezpieczeństwa w Internecie, dotyczące domeny.pl). – Będzie „podsłuchiwał” wszystko to, co robimy na naszym komputerze, wszelkie hasła, odwiedzane strony czy nawet napisane maile – dodaje. Uzyskane w ten sposób informacje mogą zostać później dowolnie wykorzystane, przeważnie tak, aby twórca szpiega mógł na nas zarobić. Spyware potrafi nie tylko wyświetlać niechciane reklamy, ale również wykradać numery kart kredytowych, a jeśli korzystamy z bankowości internetowej, także numery umożliwiające logowanie do kont i zlecanie przelewów online.

Więcej>>>
Pozdrawiam :))
"Starsza Jesienna Miotełka"

Offline Gaga

  • Administrator
  • Rozgadany Weteran
  • *****
  • Wiadomości: 26310
Wirus udający Google Toolbar
« Odpowiedź #7 dnia: Lipiec 23, 2006, 09:32:36 am »
Wirus udający Google Toolbar

Twórcy wirusów wymyślili trojana, który udaje najnowszą wersję narzędzia Google Toolbar.
Reklamy zachęcające do pobrania narzędzia kierują na stronę wyglądającą jak oryginalna witryna Google Toolbar,
 ale wypełnioną złośliwym oprogramowaniem.

Użytkownik który pobierze stamtąd cokolwiek, zainstaluje sobie trojana, który zamienia jego komputer w zdalnie dostępne narzędzie dla hackerów.
zródło
Pozdrawiam :))
"Starsza Jesienna Miotełka"

Offline Gaga

  • Administrator
  • Rozgadany Weteran
  • *****
  • Wiadomości: 26310
Wirus w skrzynce - artykuł
« Odpowiedź #8 dnia: Styczeń 04, 2007, 05:06:06 pm »
Nowa fala złośliwych linków na Gadu-Gadu
27.12.2006

Wielu czytelników poinformowało nas wczoraj o kolejnych przypadkach nieświadomego rozsyłania odnośników przez użytkowników programu Gadu-Gadu. Linki te prowadzą do różnych stron, na których użytkownicy systemu Windows i przeglądarki Internet Explorer oraz - w pewnych przypadkach - Firefox zostaną zainfekowani koniem trojańskim. Co ciekawe, wśród rozsyłanych linków jest także www.google.pl. Liczba komputerów z zarażonym systemem rośnie niezwykle szybko.

Oczywiście ręczne wpisanie adresu www.google.pl do przeglądarki nie spowoduje infekcji. Użytkownicy sieci GG, którzy w wyniku działania szkodnika otrzymali link do google.pl twierdzą, że ma on formę tekstową. W takiej sytuacji trudno jest zdefiniować cel rozsyłania adresu do google.pl, ale może on przynajmniej stanowić dowód na to, że akcja skierowana jest przede wszystkim przeciwko polskojęzycznym użytkownikom internetu.

Warto także pamiętać, że przestępcy mogą także podsyłać link w formie obrazka podlinkowanego do strony ze złośliwymi kodami. Obrazek można tak umieścić w okienku wiadomości, że wygląda jak zwykły tekst. Na szczęście forma obrazkowa nie ma takiego zasięgu jak tekstowa - nie wszystkie komunikatory mają możliwość odbierania grafiki wysłanej z Gadu-Gadu.

Według Exploit Prevention Labs rozsyłanych szkodników jest co najmniej dwa. Jeden z nich wykorzystuje znaną już lukę w systemie Windows, opisaną w biuletynie MS06-14. Drugi to poprawiona wersja exploita, który wcześniej powodował tylko zawieszenie się przeglądarki Internet Explorer, a teraz umożliwia także wykonanie zewnętrznego kodu.

Do rozprzestrzeniania się szkodniki wykorzystują listę kontaktów komunikatora Gadu-Gadu oraz przeglądarkę Internet Explorer. Użytkownicy sieci Gadu-Gadu otrzymują od osób, które mają je na liście swoich kontaktów, pojedyncze wiadomości z odnośnikami, takimi jak:

www.google.pl
www.jhjhaliwgpee.info
www.hsqvyrpzeh.info/wcoiyw.jpg
www.sqvyrpzeh.info/?awbiby.jpg
www.hhsqvyrpzeh.info/?awbiby.jpg

Linki te są często zniekształcone oraz zawierają losowe znaki za ukośnikiem. Zapraszamy do dodawania w komentarzach kolejnych adresów, które otrzymaliście.

Osoby rozsyłające złośliwe linki nie mają oczywiście pojęcia, że ich system Windows został zainfekowany. Wiadomości ze szkodliwym odnośnikiem rozsyłane są do wszystkich kontaktów na liście ofiary.

Jak donosi serwis Wikinews.pl, zagrożenie dotyczy również użytkowników systemu Windows korzystających z przeglądarki Mozilla Firefox z aktywną wtyczką Windows Media Player. Szkodnik jest uruchamiany właśnie przez tę wtyczkę. Można ją wyłączyć - podaje Wikinews - wpisując w pasek adresu przeglądarki:
about:config


Następnie należy odnaleźć klucz:

plugin.scan.WindowsMediaPlayer


i ustalić jego wartość na 12.0.

Kod trojana został wyodrębniony przez Smalu, który udostępnił go do wglądu (plik .txt) na swojej stronie.

Warto w tym momencie przypomnieć, że istnieją serwisy, jak LinkScanner, które umożliwiają sprawdzenie odnośników przed kliknięciem. W związku z coraz częstszym pojawianiem się złośliwych linków w sieci GG, twórcy program Gadu-Gadu wprowadzili niedawno ostrzeżenie przed otwieraniem odnośników, które pojawia się podczas próby otwarcia linku przesyłanego w wiadomości. Można także zgłaszać podejrzane linki do producenta na stronie bezpiecznik.gadu-gadu.pl

Wydaje się także, iż coraz częstsze wykorzystywanie listy kontaktów przez twórców szkodników internetowych powinno zachęcić użytkowników komunikatorów do stosowania nowego zwyczaju: zanim klikniesz w odnośnik od znajomego potwierdź, że wysłał go do ciebie świadomie.


Trojan rozpowszechnia się przez sieć Gadu-Gadu
 2006-12-28

We wtorek wieczorem wielu użytkowników komunikatora Gadu-Gadu otrzymało pojedyncze wiadomości, w których znajdował się jedynie link do strony internetowej. Wiadomość możemy dostać nawet od nieznajomego, wystarczy, że on ma nas na swojej liście kontaktów.

Rozsyłane są wiadomości:


www.google.pl

www.jhjhaliwgpee.info

www.hsqvyrpzeh.info/wcoiyw.jpg

www.sqvyrpzeh.info/?awbiby.jpg

www.hhsqvyrpzeh.info/?awbiby.jpg

Fakt, że link przychodzi jako pojedyncza wiadomość, każe przypuszczać, że do użytkowników GG trafia jako zagnieżdżony w rozmowie obrazek. Ludzie, którzy rozsyłają linki, nie mają pojęcia, o co chodzi, bo – jak twierdzą - nic nie wysyłali.

Użytkownik Smalu deobfuskował kod strony (wysyłany jest tylko do użytkowników IE), wygląda na to, że do wstrzyknięcia używa techniki Trojan-Downloader.JS.Agent.ab, dalej nie wiadomo, co (oprócz rozsyłania linka dalej) robi sam trojan.

Problem dotyczy również użytkowników przeglądarki Mozilla Firefox z aktywną wtyczką Windows Media Player, przez którą uruchamiany jest kod robaka. Można się przed tym uchronić poprzez wyłączenie wtyczki WMP. Można to zrobić wpisując w pasek adresu about:config. Odnajdujemy klucz plugin.scan.WindowsMediaPlayer i ustalamy jego wartość na 12.0.

Po uruchomieniu robak skanuje dysk w poszukiwaniu plików profilu Gadu-Gadu - gromadzi hasła do kont oraz kontakty.

Dane te są następnie wykorzystywane do rozesłania złośliwych linków.

Takie działanie może powoduje złudną obsługę komunikatorów innych niż Gadu-Gadu, gdyż wielu z ich użytkowników posiada na swoich dyskach profile programu Gadu-Gadu.

Warto wspomnieć że sposób rozprzestrzeniania się robaka sam w sobie zawiera mechanizm automatycznej aktualizacji - każda z ofiar pobiera na swój dysk najbardziej aktualną wersję.

Nie jest znane szkodliwe działanie (poza rozprzestrzenianiem się) obecnych wersji, lecz kolejne wersje robaka mogą zawierać kod którego szkodliwość będzie dużo wyższa.

W kodzie robaka znaleziono tagi kilkunastu emotikon, co wskazuje na to że wiadomości mogą znacznie różnić się od wymienionych wyżej schematów (chociaż nie jest to potwierdzone).

Robak krążył po Internecie już od początku listopada, ten atak to jego nieco bardziej rozwinięta wersja, której pierwsze symptomy (jak atak na Firefoksa) pojawiły się około miesiąca temu.

Masowe wysyłanie wiadomości do użytkowników z listy kontaktów komunikatora powoduje także, że działanie zaczyna filtr antyspamowy serwerów Gadu-Gadu i wiadomości wychodzące i przychodzące do konta zarażonego zostają zablokowane na jakiś czas.

Exploit jest, przynajmniej na ten moment, ściągany zawsze z tego samego adresu.

Wystarczy więc na firewallu wyciąć adresy zamieszane w aferę (64.202.189.170 - strona do której prowadzi pierwszy link, 66.185.126.34 - ostateczny kod robaka), by zaznać chwilowego przynajmniej spokoju. Dokonano już tego w wielu sieciach osiedlowych.

Źródło: Wikinews
Pozdrawiam :))
"Starsza Jesienna Miotełka"

Offline Gaga

  • Administrator
  • Rozgadany Weteran
  • *****
  • Wiadomości: 26310
Wirus w skrzynce - artykuł
« Odpowiedź #9 dnia: Styczeń 12, 2007, 08:51:48 am »
Ewolucja cyfrowych mikrobów
Marcin Bieńkowski2007-01-02

Liczba wirusów komputerowych z roku na rok rośnie, zwiększając się w imponującym tempie: o ponad sześć tysięcy miesięcznie. Na nasze nieszczęście wirusy nie tylko się mnożą - stają się także coraz inteligentniejsze.

Wraz z rozwojem technologii komputerowych i oprogramowania, a przede wszystkim powiększaniem się uzależnienia współczesnego świata od internetu, zmienia się istota zagrożenia wirusami komputerowymi. Złośliwe, samoreplikujące się programy stają się niebezpieczniejsze niż kiedyś. Celem ich twórców coraz częściej jest nie sama chęć sprawdzenia się w roli autora wirusa czy zdobycie źle pojętej i najczęściej anonimowej sławy, ale konkretne cyberprzestępcze działania. Niczego niepodejrzewający użytkowni cy komputerów "użyczają" swoich maszyn do przeprowadzenia internetowych ataków na serwery znanych firm i banków lub "pomagają" w rozsyłaniu spamu. O tym, czym są komputerowe wirusy, czy należy się ich rzeczywiście bać oraz o sposobach zabezpieczenia się przed nimi pisaliśmy w poprzednim numerze "WiŻ". Teraz przyjrzymy się ewolucji komputerowych mikrobów, najnowszym metodom ich rozprzestrzeniania się oraz sposobom walki z nimi.

Historia światowych epidemii

Już w czasach przedinternetowych wirusy potrafiły skutecznie się rozpowszechniać. Pierwszą globalną epidemię wywołał w 1986 roku wirus Brain. W ciągu kilku miesięcy rozpełzł się po całym świecie. Tak duża skala inwazji wynikała z faktu, że zjawisko było nowe i świat informatyczny nie miał najmniejszego pojęcia o ochronie antywirusowej. Liczne publikacje, które wówczas się pojawiły, zamiast informować o zabezpieczeniach, podsycały tylko panikę wśród użytkowników.

W piątek 13 maja 1988 roku świat informatyczny ponownie zatrząsł się w posadach, a to za sprawą wirusa Jerusalem, znanego też pod nazwą Suriv-3. Dzień ten przeszedł do historii informatyki pod nazwą Czarnego Piątku. Jerusalem, który zainfekował wcześniej tysiące komputerów w wielu przedsiębiorstwach, biurach rządowych oraz uczelniach wyższych, uaktywnił tego dnia procedurę destrukcji - zaczął niszczyć wszystkie uruchomione pliki na zainfekowanych komputerach. Uderzenie wirusa odczuł cały świat, ale największe szkody mikrob wyrządził w USA, Europie i na Bliskim Wschodzie. Ta inwazja stała się pierwszym poważnym bodźcem do tworzenia i powszechnego stosowania programów antywirusowych.

W lipcu 1990 roku do brytyjskiego magazynu komputerowego "PC Today" dołączono dyskietkę, która - jak się okazało - była zainfekowana wirusem DiskKiller. Sprzedano ponad 50 tys. egzemplarzy tego czasopisma. Podobną wpadkę pięć lat później zaliczyło wydawnictwo Ziff-Davis, dwukrotnie dołączając do swoich gazet niechcianego gościa: na dyskietce do angielskiego wydania "PC Magazin" znalazł się wirus Sampo, a z pismem "Computer Life" czytelnicy otrzymali wirusa Parity Boot. W 1995 roku incydent z dystrybucją wirusa na płytach CD-ROM przydarzył się także firmie Microsoft; wirus Form "przykleił się" do płyt z próbną wersją systemu Microsoft Windows 95.

W marcu 1992 roku byliśmy świadkami głośnej epidemii wirusa Michelangelo. Jego spodziewana inwazja (po raz pierwszy został wykryty w 1991 roku) została poprzedzona ogólnoświatowym szumem medialnym. Specjaliści przewidywali, że zostanie zainfekowanych ponad 5 mln komputerów. W rzeczywistości liczba ta wyniosła... kilka tysięcy.

W 1998 roku pojawił się wirus WIN95.CIH, który potrafił kasować zawartość wewnętrznej pamięci płyty głównej komputera (pamięć flash BIOS-u). Rok później królowała Melissa - wirus atakował dokumenty Worda, a przenosił się dzięki programowi pocztowemu Outlook Express. Straty wywołane wirusem sięgnęły 80 mln dolarów. Co ciekawe, autor Melissy trafił do więzienia na 20 miesięcy, o czym głośno było nie tylko w prasie, ale i w telewizji.

Podobną medialną furorę zrobił w 2001 robak I Love You, znany też pod nazwą LoveLetter, który przesyłał wszystkie hasła znalezione na zainfekowanym komputerze do swojego twórcy - studenta z Filipin (który zresztą uniknął kary, gdyż prawo tego kraju nie ścigało autorów wirusów). W roku 2001 po świecie grasował wirus Anna Kurnikova, rozsyłający zdjęcia słynnej tenisistki. Jego sławę przyćmiły Code Red i przede wszystkim Nimda, robaki nowej generacji, które zaczęły wykorzystywać różnego rodzaju dziury w systemie operacyjnym.

Kolejnym ważnym wydarzeniem było pojawienie się w styczniu 2003 roku robaka Sobig, jednego z najpopularniejszych w dotychczasowej historii. W kulminacyjnym punkcie epidemii - w sierpniu 2003 roku - jego wersja "f" znajdowała się w co dwudziestym e-mailu. W 2004 roku triumfował MyDoom, który rozprzestrzenił się głównie przez sieć bezpośredniej wymiany plików KaZaA (sieć peer-to-peer). W ostatnich dwóch latach nie mieliśmy do czynienia ze spektakularnymi inwazjami, niemniej należy pamiętać, że liczba wirusów, robaków i trojanów wciąż rośnie i przekroczyła już 250 tys. Nowej, ogromnej inwazji możemy spodziewać się dosłownie w każdej chwili.

Wirusy i antywirusy


Pierwsze wirusy komputerowe nie były zbyt inteligentne, a kod każdego egzemplarza tego samego "gatunku" wyglądał zawsze tak samo. Do znalezienia wirusa wystarczała zatem znajomość kilku lub kilkunastu charakterystycznych dla danego mikroba bajtów - tzw. sygnatury. Program antywirusowy porównywał obiekty znalezione w pamięci komputera i na jego dysku z tymi właśnie szablonami. Metoda ta jest wykorzystywana do dzisiaj: współczesne programy antywirusowe również korzystają ze specjalnych plików zawierających sygnatury charakterystyczne dla setek tysięcy wirusów, trojanów i robaków internetowych. Nie jest to jednak rozwiązanie idealne. Przede wszystkim technologia skanowania z wykorzystaniem sygnatur wymaga od laboratorium producenta antywirusa nieustannego śledzenia pojawiających się nowych mikrobów i ich dokładnej analizy, a następnie dodawania sygnatur do plików wykorzystywanych przez programy antywirusowe. Rosnąca baza danych z sygnaturami sprawia, że programy antywirusowe wymagają co chwila aktualizacji, a częstotliwość ich dostarczania ma istotny wpływ na skuteczność programu antywirusowego.

Na szczęście technologia sygnatur nie jest jedyną metodą wykorzystywaną przez programy antywirusowe. Drugą techniką jest aktywne badanie kodu, zwane analizą heurystyczną. Pojawiła się ona jako odpowiedź na tzw. wirusy polimorficzne, czyli takie, które nie mają żadnego stałego fragmentu kodu. Pierwszym wirusem polimorficznym był Chameleon z 1990 roku. Wirus ten nie tylko szyfrował swój kod, ale także zmieniał go wraz z każdą infekcją. W 1992 roku Eugene Kaspersky, twórca firmy Kasperski Lab, stworzył jedną z najskuteczniejszych metod neutralizowania wirusów polimorficznych: programowy emulator procesora i środowiska systemu operacyjnego. Służy on do deszyfrowania kodów wirusa i analizy jego zachowania, dzięki czemu można wykryć nie tylko wirusy polimorficzne, ale również zablokować działanie wielu nowych mikrobów, jeszcze nieznanych twórcom oprogramowania antywirusowego.

Obecnie technologia wykorzystująca emulator procesora jest integralnym składnikiem wszystkich programów antywirusowych. Rozwinięciem analizy heurystycznej jest mechanizm blokowania zachowań. Specjalny moduł programu antywirusowego analizuje poczynania uruchomionych programów i blokuje wszelką podejrzaną aktywność. W przeciwieństwie do klasycznych modułów analizy heurystycznej, gdzie czynności są śledzone w trybie emulacji procesora, mechanizmy blokowania zachowań pracują w warunkach rzeczywistych.

Czas rootkitów

Złośliwe komputerowe mikroby wciąż ewoluują. Stają się coraz inteligentniejsze i coraz skuteczniej ukrywają się przed programami antywirusowymi. Obecne wirusy potrafią nie tylko zmienić swój kod, ale mogą również dostać się do ukrytych procedur systemowych, co powoduje, że stają się niemal nie do wykrycia. Co gorsza, często są wczytywane do pamięci przed rezydentnymi modułami programów antywirusowych. Gdy taki program próbuje skanować pamięć komputera i pliki na dysku twardym, wirus podsyła mu wówczas poprawne dane. W takiej sytuacji wyśledzenie mikroba staje się wyjątkowo trudne.

Ukryte głęboko w systemie mikroby są często nazywane root-kitami. Pod tą nazwą kryją się nie tylko wirusy i trojany, ale również programy służące do zbierania danych marketingowych, np. o tym, które witryny internetowe zostały przez nas ostatnio odwiedzone. Swego czasu głośno było o rootkicie, który instalował się z niektórych płyt CD-Audio firmy Sony i był związany z kontrolą legalności odtwarzanych płyt (mechanizm DRM - Digital Right Management).

Uruchomionego rootkita nie można zobaczyć korzystając z normalnych narzędzi, bo jego kod binarny znika z dysku komputera. Wiele rootkitów stara się nawet kontrolować pracę narzędzi służących do ich wykrywania, aby te błędnie informowały użytkownika, że system jest "czysty". Takie techniki stosował jeden z najbardziej znanych rootkitów, czeski Hacker Defender (co ciekawe, program ten jest czasami wykorzystywany przez cyberprzestępców w funkcji ochroniarza, który ukrywa działanie towarzyszącego mu konia trojańskiego). Programy antywirusowe potrafią odszukać pliki zawierające kod rootkita, ale tylko pod warunkiem, że system nie został wcześniej zainfekowany. To najistotniejsza różnica w stosunku do działań typowych wirusów, gdyż po uruchomieniu rootkita staje się on całkowicie niewidzialny - nawet dla programów antywirusowych, które działają w momencie infekcji!

Na szczęście są już narzędzia służące do automatycznego wykrywania rootkitów, np. Sophos Anti-Rootkit czy F-Secure BlackLight. Programy te korzystają z techniki krzyżowego porównania (ang. cross-checking) listy plików i procesów działających w pamięci komputera, otrzymanych za pośrednictwem systemu operacyjnego, z listami uzyskanymi za pomocą mechanizmów bezpośredniego dostępu do zasobów komputera. W niezainfekowanym systemie otrzymane wyniki b2ędą identyczne, w zarażonym zaś są różne. Najlepsze programy służące do usuwania rootkitów, takie jak napisany przez polskich programistów Gmer, wymagają jednak interwencji użytkownika. Aby za ich pomocą usunąć ukrywającego się mikroba, trzeba dysponować sporą wiedzą na temat działania systemu operacyjnego.

Rootkity to nie ostatnie wirusowe nowości, które czyhają na nasze komputery. Specjaliści coraz mocniej obawiają się inwazji wirusów, które będą w stanie przetrwać wyłączenie komputera. Taką wizję zakreślił niedawno John Heasman z firmy NGSSoftware. Sugeruje on, że możliwe jest zainstalowanie się mikroba w pamięci wbudowanej w kartę graficzną czy sieciową pod warunkiem, że ma ona funkcję aktualizacji wewnętrznego oprogramowania. Taki kod wirusa uruchamiałby się podczas startu komputera, jeszcze przed startem systemu operacyjnego. Z pewnością ułatwieniem dla wirusów byłoby także upowszechnienie się pamięci operacyjnych, których zawartość nie znika po wyłączeniu zasilania.

Informatycy starają się wyprzedzić poczynania twórców wirusów. Na ciekawy pomysł wpadli naukowcy z uniwersytetu w Tel Awiwie - chcą stworzyć internetowy system immunologiczny. Składałby się on z rozsianych po świecie komputerów-przynęt, które stałyby się celem pierwszego ataku każdego nowego wirusa. Taki atak byłby wówczas automatycznie analizowany i powstawałaby szczepionka, która miałaby być rozsyłana do pozostałych maszyn-przynęt. Naukowcy uważają, że w ten sposób nie tylko skróciłby się czas od odkrycia wirusa do znalezienia lekarstwa na niego, ale sama szczepionka rozprzestrzeniałaby się z taką samą prędkością co wirusy.


Immunologia bitów ibajtów

Inną metodą ochrony przed wirusami staną się z pewnością lepsze zabezpieczenia wprowadzane do programów. Nowe systemy operacyjne, takie jak Windows Vista, mają być znacznie bardziej odporne na wirusy, gdyż ich wewnętrzne procedury systemowe zostaną w znacznym stopniu oddzielone od warstwy oprogramowania. Czy twórcy wirusów pokonają nową architekturę systemu? Zapewne jest to tylko kwestia czasu. Gorzej, że przy okazji taka architektura utrudnia pisanie skutecznych programów antywirusowych - przecież one także nie będą mogły przedostać się do chronionych obszarów systemu, aby sprawdzić, czy nie zagnieździł się tam przypadkiem jakiś mikrob!

Trudno przewidzieć, w którą stronę będą ewoluowały wirusy, tym bardziej że zmienia się mentalność ich twórców. Do niedawna byli to głównie ludzie, którzy pisali wirusy dla wewnętrznej satysfakcji, sławy lub po prostu programiści, którzy chcieli sprawdzić swoje możliwości; niektórzy chcieli się zemścić na firmie, np. za zwolnienie z pracy. Dziś wirusy, robaki i trojany zaczynają coraz częściej powstawać na czyjeś konkretne zamówienie. Na razie są to zazwyczaj grupy użytkowników chcących wymóc na dużej firmie lepsze traktowanie internautów czy opublikowanie kodu źródłowego. Takie działania nie wróżą w przyszłości nic dobrego.

DR INŻ. MARCIN BIEŃKOWSKI jest dziennikarzem zajmującym się popularyzacją nauki i techniki.
Pozdrawiam :))
"Starsza Jesienna Miotełka"

Offline Gaga

  • Administrator
  • Rozgadany Weteran
  • *****
  • Wiadomości: 26310
Wirus w skrzynce - artykuł
« Odpowiedź #10 dnia: Kwiecień 17, 2007, 08:02:59 am »
Microsoft ostrzega polskich internautów

Firma Microsoft informuje, że nikomu nie zleciła ani sama nie jest nadawcą rozsyłanych do polskich internautów wiadomości e-mail zatytułowanych "Uwaga? twój komputer jest zagrożony".

Są one opatrzone logo Microsoft Windows i aliasem Microsoft Centrum Bezpieczeństwa. Zachęcają do natychmiastowej aktualizacji systemu Windows. Microsoft przestrzega polskich internautów przed otwieraniem takiej korespondencji oraz przed klikaniem w zawarte w niej linki oraz instalowaniem z nich jakichkolwiek aplikacji.

 Łącza te prowadzą do strony internetowej zawierającej niebezpieczne oprogramowanie infekujące komputer.

kk

zródło
Pozdrawiam :))
"Starsza Jesienna Miotełka"

 

(c) 2003-2017 Team Dar Życia :: nota prawna :: o plikach Cookies :: biuro@darzycia.pl
Polecamy:   Forum o zwierzętach