Jak dzia a wirus

Jak dzia a wirus
O wirusach komputerowych powstaj legendy, w telewizji s yszy si o kolejnych atakach mikrobów, w
filmach wirusy coraz cz ciej graj wa ne, cho przewa nie negatywne role. Ma o osób zdaje sobie spraw , e to
nie wirusy poczyni y w ostatnich czasach najwi ksze szkody. O wiele wi kszym zmartwieniem s dzi robaki i
wirusy makr.
Dlaczego wirus?
Nazwa powsta a przez analogi do naturalnego wirusa. Jest to bardzo dziwny twór, poniewa z biologicznego
punktu widzenia jest martwy. Nie yje, nie ma metabolizmu, nie porusza si , nie rozmna a si samodzielnie, a
jednak ma si doskonale. Jest kawa kiem informacji DNA wyposa onej w naturalny interfejs pozwalaj cy czy
si z ywymi komórkami. Po po czeniu wirus podmienia kod genetyczny, zmuszaj c komórk do zmiany
zachowa oraz tworzenia swoich kopii. Ca kiem jak komputerowy odpowiednik.
Typy szkodników
Wirus samopowielaj cy si fragment kodu. Ma mechanizmy pozwalaj ce czy si z innymi programami. Mo e
zarazi dyski, zapisuj c si sektorze startowym. Zaawansowane wirusy potrafi maskowa swój kod ród owy,
wy cza oprogramowanie antywirusowe czy mutowa , utrudniaj c identyfikacj .
Robak program maj cy za zadanie mno y si w sieciach komputerowych, przejmowa funkcje serwera i
zapycha
cza sztucznym ruchem.
Ko troja ski szkodliwy program, który udaje, e jest normaln aplikacj . W zale no ci od zamiarów twórcy
mo e umo liwia przej cie kontroli nad komputerem, wysy a poufne informacje o u ytkowniku czy niszczy dane
na dysku.
Wirus makr szkodnik oparty na j zyku skryptowym charakterystycznym dla danej aplikacji. W praktyce
najcz ciej jest to skrypt VBA wykorzystuj cy dziury w zabezpieczeniach Microsoft Office. Rodzajem tego typu
szkodników s tak e wirusy e-mailowe.
mier wirusa
Czasy wietno ci klasyczne wirusy maj za sob . Kiedy wi kszo danych, programy, a nawet systemy
operacyjne by y przechowywane na dyskietkach i przenoszone mi dzy komputerami, wirusy mia y raj.
Zainfekowana dyskietka zara a a komputer, który nagrywa kopi wirusa na kolejn dyskietk , ta w drowa a do
nast pnej maszyny. Jednak programy zacz y si rozrasta i do powszechnego u ytku wesz y p yty CD. Z racji
tego, e na wyt oczonym CD nie mo na niczego nagra , mo liwo ci rozmna ania si dramatycznie si skurczy y.
Do upadku wirusów przyczynili si tak e producenci sprz tu, wprowadzaj c zabezpieczenia przed
nieautoryzowan modyfikacj sektora startowego dysku. Nie bez znaczenia by a te rosn ca wiadomo
u ytkowników, którzy zacz li stosowa oprogramowanie antywirusowe. Nie nale y jednak uwa a , e jeste my
bezpieczni. Nigdy nie wiadomo, czy jaki psychopata nie tworzy w a nie nowego zagro enia.
Ochrona przed makrami w Office
Jednym z najprostszych sposobów na zwi kszenie bezpiecze stwa swoich danych jest wy czenie
automatycznego wykonywania makr. Uruchamiamy Word i z menu Narz dzia wybieramy pozycj Opcje. W
pojawiaj cym si oknie znajdujemy zak adk Zabezpieczenia. Na niej klikamy na przycisk Bezpiecze stwo
makr. Pojawi si okno, w którym zaznaczamy pozycj rednie. Mo esz zdecydowa , czy uruchamia
potencjalne niebezpieczne makra. Wychodzimy z opcji, klikaj c na OK. Od tej pory b dziemy potwierdzali
uruchamianie si ka dego potencjalnego niebezpiecznego makra.
Sieciowe pu apki
Na miejsce klasycznych wirusów wesz y twory wykorzystuj ce Internet. Najpopularniejszym sposobem na
dokonanie szkód jest wirus pocztowy. Przyk adami s Melissa i ILOVEYOU (zwany listem mi osnym). Wykorzystuj
one zarówno dziury w zabezpieczeniach programów, jak i naiwno u ytkowników. Trik Melissy polega na
umieszczeniu w pliku DOC makra, które wysy a o do pierwszych 50 adresatów ksi ki adresowej kopi listu z
do czonym feralnym dokumentem DOC. List zawiera kilka s ów zach caj cych do otwarcia za cznika. E-mail
móg sprawia wra enie, e zosta napisany przez cz owieka by nawet podpisany imieniem w a ciciela
komputera wysy aj cego. Je li kto by na tyle naiwny, eby wykona polecenie, stawa si ogniwem infekcji. Wirus
zara a tak e Word, tak e ka dy nowy dokument zawiera kod Melissy. Ciekawym przyk adem jest wirus
ILOVEYOU. Bazowa on na sk onno ci u ytkowników do sprawdzania nowych programów oraz pró no ci. Bo jak
inaczej wyt umaczy fakt, e miliony u ytkowników wiadomie uruchomi o program, który przyszed jako za cznik
od nieznanego nadawcy? Mo e wyznanie mi o ci u pi o czujno ? Trudnym, bo wymagaj cym znajomo ci
dzia ania skomplikowanych programów i rodowisk sposobem na sterroryzowanie sieci jest napisanie robaka. Jak
zabójczy mo e by dobrze skonstruowany insekt, wiadcz przeprawy ze Slammerem.
Fa szywki
Atmosfer strachu wokó wirusów cz sto wykorzystuj szukaj cy naiwnych artownisie. Od czasu do czasu
pojawiaj si wysy ane e-mailem alarmuj ce wiadomo ci o nowym szczególnie gro nym wirusie. Zawieraj one
szczegó owy opis, jakie szkody wyrz dzi nam wirus, i strasz , e jest to powa ne zagro enie, na które na razie
nie ma szczepionki. Pó biedy, je li na tym si ko czy. Niektóre listy podaj cudowne recepty, jak zabezpieczy
si przed mikrobem najcz ciej wykonanie za czonych instrukcji ko czy si uszkodzeniem systemu. Taka
sytuacja mia a miejsce w przypadku listu namawiaj cego do usuni cia rzekomego wirusa jdbgmgr.exe zbiór,
który wed ug zalece trzeba by o skasowa (mia charakterystyczn ikon z pluszowym misiem) by wa nym
plikiem systemowym. Alarmy-fa szywki na szcz cie rzadko s t umaczone na j zyk polski.
Samo z o
Analizuj c Slammera, nie sposób nie dostrzec zimnej kalkulacji robak rozmna a si z niewiarygodn
pr dko ci w jednym celu niszczy . Domowy pecet ze sta ym czem móg wysy a kilkaset zaka nych pakietów
na sekund . Firmowe serwery stanowi y wr cz monstrualne wyl garnie nowych zarodników. Robak nie tylko
zara a podatne maszyny (s raporty o 750 000 zainfekowanych serwerach SQL), ale skutecznie blokowa
wszystkich u ytkowników Internetu, zapychaj c sie miliardami pakietów danych. O ile poprzedni s ynny szkodnik
robak Code Red oprócz rozmna ania si mia jeszcze zadanie atakowa witryn Bia ego Domu
(WWW.whitehouse.gov), to Slammer niszczy wszystko, co napotka na drodze.
Kto to pisze
Kto pisze wirusy i dlaczego? W ludziach drzemie ch zniszczenia i frustracja. Kto , kto nie ma innego
sposoby, eby zaistnie w wiadomo ci innych inaczej ni powoduj c straty materialne, podpala przystanki
autobusowe, ma e flamastrem czyste ciany, pisze wirusy. Znane s wprawdzie nieliczne przyk ady wirusów,
których pojawienie si wi za o z jakim manifestem czy protestem, na przyk ad politycznym (apele o poparcie dla
Palestyny), lub ogólnym (przeciwko Microsoftowi), jednak znakomita wi kszo to zwykle przest pstwo
wymierzone w u ytkowników. Nie dajmy, si jednak zastraszy . Odrobina przezorno ci wystarczy, eby nie da
satysfakcji chuliganom.
Z perspektywy robaka
Wspó czesne robaki i wirusy staj si coraz bardziej wyspecjalizowane. Ich twórcy nie staraj si napisa
uniwersalnego kodu, lecz program, który wykorzystuje konkretn s abo danej aplikacji lub systemu. Dobrym
przyk adem jest nies awny robak Slammer. By a to relacja z perspektywy producenta antywirusów Symanteca.
Zobaczmy, jak ca a infekcja wygl da a z punktu widzenia robaka. Jak na program, który spowodowa miliardowe
straty, zablokowa na jaki czas ruch internetowy w wielu miejscach wiata czy wy czy spor cz
sieci
komórkowej w Korei, Slammer jest do niepozorny. Jego kod zajmuje 376 bajtów czyli kilkana cie razy mniej ni
ten artyku . 15 minut do rozpocz cia ataku Slammera pierwsze du e serwery przesta y dzia a ze wzgl du na
przeci enie cz. Jak to mo liwe, eby robak dzia a tak szybko? Tajemnica tkwi w sposobie rozsiewania kopii
szkodnika. Wykorzystuje on internetowy protokó UDP szybsz i l ejsz wersj znanego TCP. W TCP, aby
przes a dane, komputer nadaj cy i odbieraj cy musz nawi za dialog. Nadawca nie zacznie wysy a danych,
zanim odbiorca nie da sygna u, e jest gotowy. Protokó UDP wykorzystuje natomiast podró uj ce w jedn stron ,
zaadresowane do konkretnego serwera pakiety informacji. Ich nadanie nie wymaga pozwolenia odbiorcy. Tak si
z o y o, e protokó UDP jest szeroko wykorzystywany przez Microsoft SQL Server 2000 do zdalnego
przeszukiwania baz danych. Co wi cej, podobny kod obs ugi SQL jest wbudowany w szereg innych aplikacji
Microsoftu. Wiele z ofiar Slammera nawet nie wiedzia o, e korzysta z SQL. Robak mo liwo dzia ania
zawdzi cza b edowi typu buffer overflow, czyli przepe nieniu bufora. W skrócie trik mo na opisa nast puj co
je li wy lemy bardzo du porcj danych i w jaki sposób nak onimy program odbieraj cy, eby nie zweryfikowa
wielko ci naszej paczki, to zawarto komunikatu b dzie wi ksza ni przeznaczone dla niego miejsce. Jego
wychodz ca poza bufor cz
nadpisze wi c inne rejony pami ci w tym fragmenty kodu programu-gospodarza.
Zobaczmy krok po kroku, jak wygl da infekcja Slammerem.
1. Do komputera z Microsoft SQL Server 2000 nadchodzi pakiet UDP z pro
danych. Tak si przynajmniej wydaje. 04
pierwsza liczba w ci gu
b o wyszukanie informacji w bazie
sygnalizuje serwerowi, e po niej nast pi
nazwa bazy, któr trzeba przeszuka . Wed ug specyfikacji Microsoftu nazwa ma mie 16 bajtów i ko czy si
liczb 00. Jednak w feralnym pakiecie 00 nie wyst puje. Serwer SQL nie ma planu dzia ania na tak ewentualno
ca y pakiet jest wklejany do pami ci.
2. Zapisany pakiet na pocz
tku sk ada si z serii liczb 01 zajmuj cej 128 bajtów. To wystarczy, eby zape ni
bufor na przychodz ce paczki UDP. Dalsza cz
pakietu jest zapisywana na miejscu tak zwanego stosu. Stos to
miejsce w pami ci, gdzie program przechowuje list zada , które ma do zrobienia. Slammer zast pi wi c
oryginaln list zada w asn , czyli przeprogramowanie zaatakowan aplikacj bez wzbudzenia niczyich
podejrze .
3. Dalej sprawy tocz
si b yskawicznie. Program przekazuje inicjatyw robakowi. Slammer odczytuje liczb
milisekund, które up yn y od w czenia serwera, i tworzy z niej adres IP, pod który wy le nowy pakiet. W praktyce
jest to adres losowy.
4. Robak ma ju
adres nowej potencjalnej ofiary, teraz przygotowuje zawarto
przesy ki, jako ród o wskazuj c
samego siebie.
5. Serwer, zgodnie z poleceniem, wysy a nowy sfa szowany pakiet UDP. W kolejnym obrocie p
tli robak tworzy
nowy adres i zleca wysy anie nast pnego pakietu. Mechanizm ruszy . W zale no ci od przepustowo ci cza i
mocy komputera rozsiewa teraz po Internecie od kilkuset do kilkuset tysi cy swoich kopii na sekund . Tu zwraca
uwag spryt programisty Slammer nie marnuje nawet setnej cz ci sekundy na ponowne odwo anie si do
zegara systemowego nowy adres losowy tworzy, przypadkowo zamieniaj c miejscami cyfry w poprzednim
adresie IP. Po kryzysie wywo anym przez ten atak podnios a si fala g osów, e skala zniszcze nie by aby tak
du a, gdyby zamiast SQL Servera 2000 Mictosoftu stosowano oprogramowanie Open Source. Gdyby kod
ród owy by ogólnie dost pny, by mo e kto wcze niej wy apa by dziur w zabezpieczeniach i uniemo liwi by
atak. Jest to jednak tylko teoria.