Chip 09/2005: antivirový koutek

 

Na přelomu roku se zdálo, že klasické e-mailové viry jsou na ústupu a že podobně velká epidemie, jakou v lednu 2004 způsobil virus Mydoom, je už minulostí. To je asi pravda, nicméně viry, které pro svoje šíření využívají elektronickou poštu, rozhodně nemizí, jen využívají další nové techniky. Typickým příkladem je skupina virů Mytob, kterou se dnes budeme zabývat.

 

To, že tyto viry vůbec existují, souvisí se změnou situace v oblasti vytváření virů a dalších škodlivých kódů. Po loňských zásazích proti mediálně známým „klasickým“ autorům, kteří viry psali pro slávu, obdiv svých vrstevníků či ze „vzdoru“ jich velká většina této činnosti zanechala. Rychle byli ale vystřídáni těmi, kteří viry tvoří čistě pro zisk: pro šíření spamu, reklamy, kteří chtějí ovládat cizí počítače zejména proto, aby na tom mohli vydělávat peníze.

 

Viry Mytob jsou kombinací dvou úspěšných metod šíření z minulosti: pomocí elektronické pošty a využívání známých chyb v systémech. Šíření přes e-mail bylo převzato z již zmíněného a úspěšného viru Mydoom: Mytoby hledají na lokálním disku adresy dalších potencionálních obětí, posílají sebe sama pomocí vlastního SMTP programu a mimo jiné stejným způsobem „hádají“ jména poštovních serverů. Druhá část virů Mytob je převzata ze škodlivých programů rodiny SdBot (o programech typu Bot jsem psal v květnovém čísle Chipu). Už Mydoom instaloval do napadeného počítače backdoor („zadní vrátka“), který umožňoval vzdálenou manipulaci a přístup. SdBot však jde v této oblasti mnohem dál: celou síť napadených počítačů je možno ovládat přes kanál IRC, škála příkazů je také mnohem větší. Zajímavé je, že v Mytobu nebyla řada z těchto příkazů použita, autorům zcela postačily funkce pro nahrání a spuštění dalších programů. Tímto způsobem mohou napadený počítač využívat například k rozesílání spamu a nových verzí viru, ke zjišťování citlivých dat (jména a hesla k účtům, PIN kódy a podobně). Není nutné, aby potřebné programy byly přímo součástí vlatního viru, stačí, když si je virus dodatečně stáhne z Internetu.

 

Kromě toho SdBot (a tedy i Mytoby) obsahuje i útok typu LSASS, který byl vloni na přelomu května využit známým virem Sasser. Přestože jsou Mytoby mnohem mladší než Sasser, tento způsob šíření je stále velmi účinný – řada počítačů, připojených k Internetu, totiž dodnes onu záplatu instalovanou nemá. Pozdější varianty Mytobu začaly využívat i další (a ještě starší) bezpečnostní díru v systému – RPC DCOM, kterou v létě 2003 zneužil nechvalně proslulý červ Blaster.

 

První varianta viru Mytob se objevila na konci února 2005. Autoři pak začali chrlit obrovské množství dalších, které se lišily jen v maličkostech (například ve jméně IRC serveru pro ovládání napadených počítačů). Pro zabalení viru využívali také řadu pakovačů, často velmi obskurních či speciálně upravených tak, aby je antivirové programy nebyly schopny správně rozbalit. Namátkou jmenujme aspoň některé: UPX, Upack, FSG, MEW či PESpin. Nové verze se dodnes objevují i několikrát denně – do konce srpna jich bylo identifikováno více než třista. Autoři vycházejí z toho, že neaktualizované antivirové programy nebudou schopny zachytit prvotní nástup viru a že (podobně jako u spamu) aspoň malá část uživatelů na přílohu zprávy klikne a přidá tak svůj počítač do sítě již existujících strojů, které mohou být dále zneužity. K co největšímu rozšíření viru má mimo jiné přispět i to, že obsahuje dlouhý seznam adres, na které se zásadně neposílá. Tento seznam například obsahuje kromě jmen antivirových a bezpečnostních firem i řetězce „admin“, „edu“, „mil“, „gov“ či „webmaster“. O těchto adresátech autoři předpokládají, že by virus stejně nespustili a že zaslání viru na tyto adresy by vedlo jen k dřívějšímu odhalení toho, že se něco nového po síti šíří. Důsledkem je mimo jiné i to, že v pojmenování jednotlivých variant existuje mezi různými antivirovými programy naprostý zmatek, ve kterém se nevyznají nejen uživatelé ale ani například různí testeři. Tento zmatek se mimo jiné přenáší i do seznamu ItW (In the Wild), který má mapovat skutečné rozšíření virů mezi uživateli. A i když žádná z variant nezpůsobila takovou epidemii, jako kdysi Mydoom, na žebříčku nejrozšířenějších virů se vyskytují hodně vysoko.

 

Dnes bohužel na Internetu existují rozsáhlé sítě počítačů, které mohou být vzdáleně ovládány či zneužity a jejich majitelé o tom nemají ani tušení. Bohužel chybí i možnost zjistit, jak rozsáhlé tyto sítě jsou a jakým způsobem jsou zneužívány. Internet se stále více stává džunglí, o jejímž nebezpečí nemá průměrný uživatel ani tušení.