Počítačové viry známé a neznámé

2. díl E-mailový červ, starý dobrý známý


Pokud alespoň občas používáte elektronickou poštu, jistě jsou e-mailoví červi

vaši staří dobří známí. Určitě jste se již někdy setkali s podezřele

vypadajícím e-mailem, který obsahoval přiložený soubor a text (nejspíše v

angličtině), jenž se vás snažil přesvědčit, abyste jej spustili. Pokud jste se

tímto způsobem už někdy nechali zmást a přiložený soubor spustili,

pravděpodobně se vaše PC stalo domovem minimálně jednoho škodlivého kódu a

zdrojem dalších infikovaných e-mailů předávaných všem, jejichž e-mailové adresy

byly tehdy na disku k dispozici.

Pokud chcete proniknout e-mailovým červům takříkajíc „pod kůži“, určitě se vám

některé informace uvedené v tomto článku budou hodit.



Co to vlastně je?

Jako e-mailového červa označujeme škodlivý kód, který nepotřebuje hostitelskou

aplikaci a ke svému šíření zneužívá prostředky elektronické pošty. Bez čeho se

ale typický e-mailový červ neobejde, je „spolupráce“ uživatele. Ten totiž

většinou musí červa z přiloženého souboru spustit nebo alespoň infikovaný

e-mail otevřít, aby se červ mohl spustit sám automaticky např. pomocí

bezpečnostní díry.



Kolik jich je?

Není tomu tak dávno, kdy byli e-mailoví červi naprosto dominantním druhem

škodlivých kódů. Statistiky z let 2001 až 2003 ukazují, že představovaly asi 80

až 90 % celkového objemu veškerých škodlivých kódů. Tato jejich naprostá

převaha kulminovala někdy v roce 2004, od té doby jsou již poněkud na ústupu.

E-mailoví červi ale svoje „místo na výsluní“ neopouštějí. V porovnání s jinými

druhy škodlivých kódů je jich stále více než dost…

Co se výskytu e-mailových červů týká, zajímavé údaje najdete například na

www.messagelabs.com nebo na www.virovyradar.cz. Statistiky Messagelabs

vycházejí z velice slušného vzorku dat, který pochází od řady velkých firem a

korporací, jejichž poštovní servery tato firma chrání. Je ale třeba podotknout,

že jiné než e-mailem šířené škodlivé kódy zde nenajdete a tato statistika je

tedy do jisté míry zkreslená. Podobně je na tom Virový radar, který údaje pro

svoji statistiku bere z freemailového serveru Seznam.cz.



Cesta k dokonalosti

Schopnosti a možnosti e-mailových červů jsme na vlastní kůži poznali už někdy v

roce 1999. Jedním z prvních škodlivých kódů, který se opravdu masivně šířil

prostřednictvím elektronické pošty, byla v březnu uvedeného roku Melissa.

Jednalo se o makrovirus, který dokázal infikovat wordovské dokumenty. Šířil se

pod rouškou souboru LIST.DOC, který obsahoval přístupová hesla některých webů s

poněkud „choulostivým“ obsahem. Pokud sexu chtivý uživatel neodolal a

infikovaný dokument otevřel, došlo k nakažení jeho počítače a rozeslání tohoto

dokumentu na prvních padesát kontaktů z adresáře poštovního klienta.

Daleko známější kauzou spojenou s e-mailovými červy byl notoricky známý

LoveLetter (alias ILoveYou, Lovebug…), který se na internetu poprvé objevil v

květnu roku 2000. Jednalo se o poměrně jednoduchý univerzální škodlivý kód

vytvořený ve VBS, původem z Filipín. Neměl problémy s lokalizovanými verzemi

operačních systémů, s jazykovými bariérami ani s různými verzemi operačních

systémů. Text infikovaného e-mailu byl vytvořen přesně v duchu zásad sociálního

inženýrství. Dvojité přípony přiloženého souboru (LOVE-LETTER-FOR-YOU.TXT.vbs)

si uživatel buď nevšimnul, nebo se mu díky nastavení Windows (nezobrazovat

přípony souborů známých typů) vůbec nezobrazila. Jako jeden z mála e-mailových

červů s sebou LoveLetter nesl také škodlivou rutinu mazal soubory s obrázky ve

formátu JPG a JPEG, čímž zarmoutil mnohé jejich sběratele. Jeho rozšíření po

celém světě trvalo asi tři hodiny. Inu, každý chtěl vědět, proč ho někdo, často

naprosto neznámý, tak miluje…

E-mailoví červi známí v počátcích své krátké historie ke svému šíření

zneužívali takřka výhradně prostředky e-mailového klienta, instalovaného na

infikované stanici. Kontakty shromážděné v rámci tohoto klienta byly často

jediným zdrojem adres dalších potencionálních obětí. Postupem času se e-mailoví

červi od této závislosti oprostili. Nejprve se naučili hledat e-mailové adresy

v souborech různých typů na disku infikovaného počítače, posléze do své

výzbroje přibraly i vlastní jednoduché poštovní klienty (tzv. SMTP motory),

jejichž prostřednictvím nyní infikované soubory nejčastěji rozesílají.



E-mailový červ současnosti

Dnešní typický e-mailový červ se vyznačuje řadou charakteristických vlastností.

Šíří se pomocí infikovaného e-mailu, jehož text je vytvořen v souladu se

zásadami sociálního inženýrství. Tento e-mail v podstatě vždy obsahuje falešnou

adresu odesílatele. Červ jednoduše dosadí některou z adres nalezených na disku

infikovaného počítače. Dnes už tedy nemá absolutně žádný význam odpovídat na

infikované e-maily upozorněním, že je odesílatel infikovaný. Stejně tak se

nemusíte divit, pokud vám přijde infikovaný e-mail od vás samotných. E-mailový

červ může kromě „standardní“ zdvojené přípony používat i velký počet mezer mezi

„falešnou“ a „skutečnou“ příponou, což má podobný efekt, jako když je systém

nastaven na nezobrazování přípon souborů známých typů.

Poslední dobou se stále častěji setkáváme s tím, že soubor s červem je jaksi

navíc „zabalen“ v ZIP archivu, který může být šifrován heslem. Tímto úhybným

manévrem se snaží zkomplikovat práci antivirovým programům, kontrolujícím

elektronickou poštu na serverech, a zvýšit tak svoje šance na úspěšné

proniknutí k adresátovi. Navíc mu to poskytuje další prostor pro využití

sociálního inženýrství: „…posílám ti něco tajného, tak jsem to raději

zašifroval…“. Názorně je vývoj této metody vidět u jednotlivých variant červů

Bagle. Ten se nejprve šířil jako „klasický“ spustitelný soubor. Pozdější

varianty už začínají využívat ZIP archiv. Od verze F už Bagle používá archiv

zajištěný heslem, uvedeným v textu e-mailu, od verze N pak archiv zajištěný

heslem, přičemž toto heslo je vloženo v e-mailu jako obrázek.

V praxi je až nevídané, v kolika procentech případů tento jednoduchý trik

funguje vzpomeňte si třeba na epidemii e-mailového červa Mydoom v lednu roku

2004. Ten v době vrcholící epidemie představoval asi 95 % všech zachycených

e-mailových infiltrací a byl zdrojem desetiny veškerého světového e-mailového

provozu. Mydoom s přehledem překonal předchozího rekordmana Sobig.F. Přitom by

ale úplně stačilo, kdyby se uživatelé zamysleli nad logikou věci: „Proč je

heslo, které je klíčem k tajným informacím, uloženo ve stejném e-mailu, kde se

nachází i šifrovaná příloha? Není to podezřelé?“



Sociální inženýrství

Jako sociální inženýrství označujeme soubor technik, kterými se např. hackeři

snaží uživatele přesvědčit, aby spustili nějaký soubor, sdělili jim informace o

konfiguraci PC, řekli jim svoje heslo apod. Je to metoda, která umožňuje

získávat informace cestou nejmenšího odporu místo pracného hledání si o ně

útočník prostě řekne. Jinak řečeno: „Amateurs hack systems, professionals hack

people“ (volně přeloženo: „Amatéři se nabourávají do systémů, profesionálové se

nabourávají přímo do lidí“).

Útočníci se snaží zneužívat zejména faktory, jako je stres (mám tady na drátě

zákazníka…), nebezpečí (mám podezření na útok…), změna identity (tady

náměstek ředitele…), důvěryhodná činnost (opravujeme vaši počítačovou síť

a…) atd. Tyto útoky jsou velmi nebezpečné zejména proto, že mohou přijít

prakticky odkudkoliv, útočník bývá obvykle dobře připraven a samotný útok je

velmi často přizpůsoben konkrétnímu cíli.



SMTP motor

Označení komponenty, která má na starosti odesílání e-mailu pomocí Simple Mail

Transfer Protokolu. U e-mailových červů se jedná o velice jednoduché nástroje,

které dokáží realizovat pouze nezbytné služby.



VBS

Visual Basic Skript jednoduchý skriptovací programovací jazyk. Aby škodlivý kód

vytvořený pomocí VBS fungoval, musí operační systém obsahovat komponentu

Windows Scripting Host, která je součástí operačních systémů počínaje Windows

2000 a Windows 98, nebo může být nainstalována současně s balíkem Office 2000

či prohlížečem Internet Explorer od verze 5.



Co je správně „červi“ nebo „červy“?

Také nevíte, podle jakého vzoru skloňovat „počítačového červa“? Přestože

všechny dosavadní jazykové příručky charakterizují slovo „červ“ jako podstatné

jméno rodu mužského životného, je třeba přihlédnout k tomu, že tyto příručky

zatím neuvažují o „počítačovém červu“. V tomto významu je skloňování slova

„červ“ rozkolísané, podobně jako např. u slova „počítačový agent“ (v množném

čísle „počítačoví agenti“ i „počítačové agenty“). Neměli bychom tedy především

směšovat životnost a neživotnost a správně psát např. „sužují nás počítačoví

červi“ (podle vzoru pán) nebo „sužují nás počítačové červy“ (podle vzoru hrad).

(Podle odpovědi na dotaz položený Ústavu pro jazyk český.)Další typickou

vlastností dnešního e-mailového červa jsou pokusy o maskování instalace do

infikovaného systému. Pěkným příkladem je třeba e-mailový červ Swen, který se

maskuje za bezpečnostní aktualizaci Microsoftu. Kromě vhodně formulovaného a

graficky velmi zdařile vyvedeného e-mailu používá několik dialogových oken,

simulujících instalaci domnělé bezpečnostní záplaty. Zajímavé je, že se do

systému skrytě instaluje i tehdy, pokud uživatel „aktualizaci“ v prvním

dialogovém okně červa ukončí.

Pokud je e-mailový červ spuštěn, první věc, kterou zpravidla podnikne, je

kopírování svých souborů na disk počítače (zpravidla někam do systémových

adresářů Windows). Aby byl následně spouštěn současně s operačním systémem,

vytváří si v systémovém registru klíče, které to zajistí.

Když se červ v systému zabydlí, začíná provozovat další činnosti. Jednou z nich

je sbírání adres využitelných k dalšímu šíření. Zpravidla skenuje obsah všech

lokálních disků a hledá soubory s určitými příponami, u nichž je pravděpodobné,

že mohou obsahovat e-mailové adresy (HTML, HTM, TXT, DOC, RTF, WAB apod.).

Někteří červi dokáží využít i nalezená doménová jména (třeba aec.cz) a zkoušejí

je doplňovat různými jmény do formy e-mailové adresy (georg@aec.cz). Poměrně

rozšířenou funkcí je filtrování nalezených e-mailových adres tak, aby se mezi

adresáty infikovaných e-mailů nedostaly např. antivirové firmy, administrátoři,

univerzity apod.

Jak jsem si už uvedli, červi dříve zneužívali k rozesílání infikovaných e-mailů

přímo e-mailového klienta na infikované stanici. Dnes už se tento způsob

vyskytuje jen sporadicky. Drtivá většina červů disponuje vlastním SMTP motorem,

s jehož pomocí obsah infikovaných e-mailů generuje a rozesílá.

Pokud se již e-mailovému červu podaří systém infikovat, snaží se v něm udržet

co nejdéle a zůstat utajen. Proto zpravidla podniká některé aktivní kroky

směřující proti antivirovým programům, případně proti dalším bezpečnostním

aplikacím. Snaží se ukončovat jejich spuštěné procesy, maže jejich klíče v

systémovém registru nebo přímo soubory na disku, prostě „otupuje jejich

zbraně“. Případně může blokovat některé součásti systému, které by mohly jeho

existenci ohrozit (např. editor registru).

A aby toho nebylo málo, velmi často se navíc ještě snaží na infikovaný počítač

instalovat další škodlivé kódy typu zadní vrátka, trojský kůň, keylogger apod.,

případně z něj dokáže udělat tzv. zombie, tedy počítač zneužitelný na dálku pro

šíření spamu nebo jiné nelegální činnosti. E-mailový červ tedy přestává být

primárním cílem svého tvůrce a je využíván „pouze“ jako prostředek pro šíření

jiných škodlivých kódů, které jsou často daleko přesněji cíleny na konkrétní

oběť.



A co dál?

Předpovídat nejbližší vývoj e-mailových červů je poměrně obtížné. Můžeme

očekávat, že s tím, jak se neustále zdokonalují antivirové nástroje pro ochranu

elektronické pošty a kontrolu jejího obsahu, bude úspěšnost této formy

škodlivých kódů postupně klesat. Jejich autoři budou zcela jistě hledat

způsoby, jak tato úskalí obejít (důkazem je např. používání šifrovaného archivu

ZIP), s určitostí ale nelze odhadnout, do jaké míry se jim to bude dařit.

E-mailoví červi již zenitem své „kariéry“ pravděpodobně prošli. Jejich

technologie se nijak výrazně nevyvíjí, ani neabsorbuje žádné výrazné novinky.

Jednotlivé exempláře si jsou podobné jako vejce vejci. Možná to bude znít

poněkud troufale, ale pokud si e-mailoví červi chtějí svoji „pozici na trhu“

udržet, budou se muset inspirovat např. u síťových červů a začlenit do svého

repertoáru třeba využívání bezpečnostních děr.

Doufejme ale, že se tak nestane a my se v budoucnu budeme moci při užívání

elektronické pošty cítit relativně bezpečně…