Ewolucja cyfrowych mikrobówLiczba wirusów komputerowych z roku na rok rośnie, zwiększając się w imponującym tempie: o ponad sześć tysięcy miesięcznie. Na nasze nieszczęście wirusy nie tylko się mnożą – stają się także coraz inteligentniejsze.Wraz z rozwojem technologii komputerowych i oprogramowania, a przede wszystkim powiększaniem się uzależnienia współczesnego świata od Internetu, zmienia się istota zagrożenia wirusami komputerowymi. Złośliwe, samoreplikujące się programy stają się niebezpieczniejsze niż kiedyś. Celem ich twórców coraz częściej jest nie sama chęć sprawdzenia się w roli autora wirusa czy zdobycie źle pojętej i najczęściej anonimowej sławy, ale konkretne cyberprzestępcze działania. Niczego niepodejrzewający użytkownicy komputerów „użyczają” swoich maszyn do przeprowadzenia internetowych ataków na serwery znanych firm i banków lub „pomagają” w rozsyłaniu spamu. O tym, czym są komputerowe wirusy, czy należy się ich rzeczywiście bać oraz o sposobach zabezpieczenia się przed nimi pisaliśmy w poprzednim numerze „WiŻ”. Teraz przyjrzymy się ewolucji komputerowych mikrobów, najnowszym metodom ich rozprzestrzeniania się oraz sposobom walki z nimi.
Historia światowych epidemiiJuż w czasach przedinternetowych wirusy potrafiły skutecznie się rozpowszechniać. Pierwszą globalną epidemię wywołał w 1986 roku wirus Brain. W ciągu kilku miesięcy rozpełzł się po całym świecie. Tak duża skala inwazji wynikała z faktu, że zjawisko było nowe i świat informatyczny nie miał najmniejszego pojęcia o ochronie antywirusowej. Liczne publikacje, które wówczas się pojawiły, zamiast informować o zabezpieczeniach, podsycały tylko panikę wśród użytkowników.
W piątek 13 maja 1988 roku świat informatyczny ponownie zatrząsł się w posadach, a to za sprawą wirusa Jerusalem, znanego też pod nazwą Suriv-3. Dzień ten przeszedł do historii informatyki pod nazwą Czarnego Piątku. Jerusalem, który zainfekował wcześniej tysiące komputerów
w wielu przedsiębiorstwach, biurach rządowych oraz uczelniach wyższych, uaktywnił tego dnia procedurę destrukcji – zaczął niszczyć wszystkie uruchomione pliki na zainfekowanych komputerach. Uderzenie wirusa odczuł cały świat, ale największe szkody mikrob wyrządził w USA, Europie i na Bliskim Wschodzie. Ta inwazja stała się pierwszym poważnym bodźcem do tworzenia i powszechnego stosowania programów antywirusowych.
W lipcu 1990 roku do brytyjskiego magazynu komputerowego „PC Today” dołączono dyskietkę, która – jak się okazało – była zainfekowana wirusem DiskKiller. Sprzedano ponad 50 tys. egzemplarzy tego czasopisma. Podobną wpadkę pięć lat później zaliczyło wydawnictwo Ziff-Davis, dwukrotnie dołączając do swoich gazet niechcianego gościa: na dyskietce do angielskiego wydania „PC Magazin” znalazł się wirus Sampo, a z pismem „Computer Life” czytelnicy otrzymali wirusa Parity Boot. W 1995 roku incydent z dystrybucją wirusa na płytach CD-ROM przydarzył się także firmie Microsoft; wirus Form „przykleił się” do płyt z próbną wersją systemu Microsoft Windows 95.
W marcu 1992 roku byliśmy świadkami głośnej epidemii wirusa Michelangelo. Jego spodziewana inwazja (po raz pierwszy został wykryty w 1991 roku) została poprzedzona ogólnoświatowym szumem medialnym. Specjaliści przewidywali, że zostanie zainfekowanych ponad 5 mln komputerów. W rzeczywistości liczba ta wyniosła... kilka tysięcy.
W 1998 roku pojawił się wirus WIN95.CIH, który potrafił kasować zawartość wewnętrznej pamięci płyty głównej komputera (pamięć flash BIOS-u). Rok później królowała Melissa – wirus atakował dokumenty Worda, a przenosił się dzięki programowi pocztowemu Outlook Express. Straty wywołane wirusem sięgnęły 80 mln dolarów. Co ciekawe, autor Melissy trafił do więzienia na 20 miesięcy, o czym głośno było nie tylko w prasie, ale i w telewizji.
Podobną medialną furorę zrobił w 2001 robak I Love You, znany też pod nazwą LoveLetter, który przesyłał wszystkie hasła znalezione na zainfekowanym komputerze do swojego twórcy – studenta z Filipin (który zresztą uniknął kary, gdyż prawo tego kraju nie ścigało autorów wirusów). W roku 2001 po świecie grasował wirus Anna Kurnikova, rozsyłający zdjęcia słynnej tenisistki. Jego sławę przyćmiły Code Red i przede wszystkim Nimda, robaki nowej generacji, które zaczęły wykorzystywać różnego rodzaju dziury w systemie operacyjnym.
Kolejnym ważnym wydarzeniem było pojawienie się w styczniu 2003 roku robaka Sobig, jednego z najpopularniejszych w dotychczasowej historii. W kulminacyjnym punkcie epidemii – w sierpniu 2003 roku – jego wersja „f” znajdowała się w co dwudziestym e-mailu. W 2004 roku triumfował MyDoom, który rozprzestrzenił się głównie przez sieć bezpośredniej wymiany plików KaZaA (sieć peer-to-peer). W ostatnich dwóch latach nie mieliśmy do czynienia ze spektakularnymi inwazjami, niemniej należy pamiętać, że liczba wirusów, robaków i trojanów wciąż rośnie i przekroczyła już 250 tys. Nowej, ogromnej inwazji możemy spodziewać się dosłownie w każdej chwili.
Wirusy i antywirusyPierwsze wirusy komputerowe nie były zbyt inteligentne, a kod każdego egzemplarza tego samego „gatunku” wyglądał zawsze tak samo. Do znalezienia wirusa wystarczała zatem znajomość kilku lub kilkunastu charakterystycznych dla danego mikroba bajtów – tzw. sygnatury. Program antywirusowy porównywał obiekty znalezione w pamięci komputera i na jego dysku z tymi właśnie szablonami. Metoda ta jest wykorzystywana do dzisiaj: współczesne programy antywirusowe również korzystają ze specjalnych plików zawierających sygnatury charakterystyczne dla setek tysięcy wirusów, trojanów i robaków internetowych. Nie jest to jednak rozwiązanie idealne. Przede wszystkim technologia skanowania z wykorzystaniem sygnatur wymaga od laboratorium producenta antywirusa nieustannego śledzenia pojawiających się nowych mikrobów i ich dokładnej analizy, a następnie dodawania sygnatur do plików wykorzystywanych przez programy antywirusowe. Rosnąca baza danych z sygnaturami sprawia, że programy antywirusowe wymagają co chwila aktualizacji, a częstotliwość ich dostarczania ma istotny wpływ na skuteczność programu antywirusowego
Na szczęście technologia sygnatur nie jest jedyną metodą wykorzystywaną przez programy antywirusowe. Drugą techniką jest aktywne badanie kodu, zwane analizą heurystyczną. Pojawiła się ona jako odpowiedź na tzw. wirusy polimorficzne, czyli takie, które nie mają żadnego stałego fragmentu kodu. Pierwszym wirusem polimorficznym był Chameleon z 1990 roku. Wirus ten nie tylko szyfrował swój kod, ale także zmieniał go wraz z każdą infekcją. W 1992 roku Eugene Kaspersky, twórca firmy Kasperski Lab, stworzył jedną z najskuteczniejszych metod neutralizowania wirusów polimorficznych: programowy emulator procesora i środowiska systemu operacyjnego. Służy on do deszyfrowania kodów wirusa i analizy jego zachowania, dzięki czemu można wykryć nie tylko wirusy polimorficzne, ale również zablokować działanie wielu nowych mikrobów, jeszcze nieznanych twórcom oprogramowania antywirusowego.
Obecnie technologia wykorzystująca emulator procesora jest integralnym składnikiem wszystkich programów antywirusowych. Rozwinięciem analizy heurystycznej jest mechanizm blokowania zachowań. Specjalny moduł programu antywirusowego analizuje poczynania uruchomionych programów i blokuje wszelką podejrzaną aktywność. W przeciwieństwie do klasycznych modułów analizy heurystycznej, gdzie czynności są śledzone w trybie emulacji procesora, mechanizmy blokowania zachowań pracują w warunkach rzeczywistych.
Czas rootkitówZłośliwe komputerowe mikroby wciąż ewoluują. Stają się coraz inteligentniejsze i coraz skuteczniej ukrywają się przed programami antywirusowymi. Obecne wirusy potrafią nie tylko zmienić swój kod, ale mogą również dostać się do ukrytych procedur systemowych, co powoduje, że stają się niemal nie do wykrycia. Co gorsza, często są wczytywane do pamięci przed rezydentnymi modułami programów antywirusowych. Gdy taki program próbuje skanować pamięć komputera i pliki na dysku twardym, wirus podsyła mu wówczas poprawne dane. W takiej sytuacji wyśledzenie mikroba staje się wyjątkowo trudne.
Ukryte głęboko w systemie mikroby są często nazywane root-kitami. Pod tą nazwą kryją się nie tylko wirusy i trojany, ale również programy służące do zbierania danych marketingowych, np. o tym, które witryny internetowe zostały przez nas ostatnio odwiedzone. Swego czasu głośno było o rootkicie, który instalował się z niektórych płyt CD-Audio firmy Sony i był związany z kontrolą legalności odtwarzanych płyt (mechanizm DRM – Digital Right Management).
Uruchomionego rootkita nie można zobaczyć korzystając z normalnych narzędzi, bo jego kod binarny znika z dysku komputera. Wiele rootkitów stara się nawet kontrolować pracę narzędzi służących do ich wykrywania, aby te błędnie informowały użytkownika, że system jest „czysty”. Takie techniki stosował jeden z najbardziej znanych rootkitów, czeski Hacker Defender (co ciekawe, program ten jest czasami wykorzystywany przez cyberprzestępców w funkcji ochroniarza, który ukrywa działanie towarzyszącego mu konia trojańskiego). Programy antywirusowe potrafią odszukać pliki zawierające kod rootkita, ale tylko pod warunkiem, że system nie został wcześniej zainfekowany. To najistotniejsza różnica w stosunku do działań typowych wirusów, gdyż po uruchomieniu rootkita staje się on całkowicie niewidzialny – nawet dla programów antywirusowych, które działają w momencie infekcji!
Na szczęście są już narzędzia służące do automatycznego wykrywania rootkitów, np. Sophos Anti-Rootkit czy F-Secure BlackLight. Programy te korzystają z techniki krzyżowego porównania (ang. cross-checking) listy plików i procesów działających w pamięci komputera, otrzymanych za pośrednictwem systemu operacyjnego, z listami uzyskanymi za pomocą mechanizmów bezpośredniego dostępu do zasobów komputera. W niezainfekowanym systemie otrzymane wyniki będą identyczne, w zarażonym zaś są różne. Najlepsze programy służące do usuwania rootkitów, takie jak napisany przez polskich programistów Gmer, wymagają jednak interwencji użytkownika. Aby za ich pomocą usunąć ukrywającego się mikroba, trzeba dysponować sporą wiedzą na temat działania systemu operacyjnego.
Rootkity to nie ostatnie wirusowe nowości, które czyhają na nasze komputery. Specjaliści coraz mocniej obawiają się inwazji wirusów, które będą w stanie przetrwać wyłączenie komputera. Taką wizję zakreślił niedawno John Heasman z firmy NGSSoftware. Sugeruje on, że możliwe jest zainstalowanie się mikroba w pamięci wbudowanej w kartę graficzną czy sieciową pod warunkiem, że ma ona funkcję aktualizacji wewnętrznego oprogramowania. Taki kod wirusa uruchamiałby się podczas startu komputera, jeszcze przed startem systemu operacyjnego. Z pewnością ułatwieniem dla wirusów byłoby także upowszechnienie się pamięci operacyjnych, których zawartość nie znika po wyłączeniu zasilania.
Informatycy starają się wyprzedzić poczynania twórców wirusów. Na ciekawy pomysł wpadli naukowcy z uniwersytetu w Tel Awiwie – chcą stworzyć internetowy system immunologiczny. Składałby się on z rozsianych po świecie komputerów-przynęt, które stałyby się celem pierwszego ataku każdego nowego wirusa. Taki atak byłby wówczas automatycznie analizowany i powstawałaby szczepionka, która miałaby być rozsyłana do pozostałych maszyn-przynęt. Naukowcy uważają, że w ten sposób nie tylko skróciłby się czas od odkrycia wirusa do znalezienia lekarstwa na niego, ale sama szczepionka rozprzestrzeniałaby się z taką samą prędkością co wirusy.
Immunologia bitów i bajtówInną metodą ochrony przed wirusami staną się z pewnością lepsze zabezpieczenia wprowadzane do programów. Nowe systemy operacyjne, takie jak Windows Vista, mają być znacznie bardziej odporne na wirusy, gdyż ich wewnętrzne procedury systemowe zostaną w znacznym stopniu oddzielone od warstwy oprogramowania. Czy twórcy wirusów pokonają nową architekturę systemu? Zapewne jest to tylko kwestia czasu. Gorzej, że przy okazji taka architektura utrudnia pisanie skutecznych programów antywirusowych – przecież one także nie będą mogły przedostać się do chronionych obszarów systemu, aby sprawdzić, czy nie zagnieździł się tam przypadkiem jakiś mikrob!
Trudno przewidzieć, w którą stronę będą ewoluowały wirusy, tym bardziej że zmienia się mentalność ich twórców. Do niedawna byli to głównie ludzie, którzy pisali wirusy dla wewnętrznej satysfakcji, sławy lub po prostu programiści, którzy chcieli sprawdzić swoje możliwości; niektórzy chcieli się zemścić na firmie, np. za zwolnienie z pracy. Dziś wirusy, robaki i trojany zaczynają coraz częściej powstawać na czyjeś konkretne zamówienie. Na razie są to zazwyczaj grupy użytkowników chcących wymóc na dużej firmie lepsze traktowanie internautów czy opublikowanie kodu źródłowego. Takie działania nie wróżą w przyszłości nic dobrego.
GDZIE ZNALEŹĆ INFORMACJE O WIRUSACH?>>Informacji dotyczących wirusów i ich ataków najlepiej szukać na stronach producentów pakietów antywirusowych:Kasperski Lab (
www.kasperski.pl)
MKS_Vir (
www.mks.com.pl)
Panda Software (
www.pandasoftware.com.pl)
Grisoft AVG (
www.avg.pl)
G Data (
www.gdata.pl)
Arcabit (
www.arcabit.pl)
Symantec (
www.symantec.pl)
Tam też znajdziemy porady dotyczące zabezpieczenia komputera przed wirusami i dokładne opisy, co który wirus robi w systemie i jak go ewentualnie ręcznie usunąć.onet