Malware a jeho současné podoby

, 11. června 2012

Světově proslulý britský atrofyzik Stephen Hawking již před téměř před dvaceti lety v tisku (St. Petersburg Times) prohlásil: „Domnívám se, že počítačové viry bychom měli počítat mezi živé. Myslím si, že to vypovídá leccos o lidské povaze, že jediná forma života, kterou jsme vytvořili, je čistě destruktivní. Stvořili jsme tak život dle našich vlastních představ.“ V tomto článku bude tedy řeč o škodlivém software, tzv. malware, v dalším článku na tento navazující pak budou navíc představena řešení malware, především počítačových virů, za pomoci online antivirů. Podobně jako v předchozích článcích o online grafických editorech, i zde se bude jednat o aplikace, které jsou uživatelům k dispozici na webových stránkách, v tomto případě na serverech antivirových tvůrců. 

Zdroje a druhy malware

Jak již bylo zmíněno v úvodu, v poslední době často skloňovaný výraz malware je obecným označením pro škodlivý software. Tento pojem vznikl jako složenina z anglických slov malicious (zlomyslný) a ware (odvozené ze slova software). Stejně jako se dynamicky vyvíjí počítačový software, svižně s ním samozřejmě drží krok i malware, který tak již dávno neznačí pouze klasické počítačové viry, ale spektrum jeho záběru je mnohem širší. Obrovskou živnou půdou je pro škodlivý software především síť internetu, která je právě v současnosti velmi častým zdrojem infekce počítače. Důkazem toho jsou údaje od statistického úřadu Eurostat, dle kterých byl v roce 2010 počítač každého třetího uživatele internetu (přesně 31 %) v zemích EU během roku infikován malwarem, přičemž celkem 84 % uživatelů internetu v EU používalo nějaký software pro zabezpečení počítače, jako jsou např. antiviry (zdroj: http://europa.eu/rapid/pressReleasesAction.do?reference=STAT/11/21).

Dle tohoto průzkumu bylo pak infikováno malwarem v České republice 26 % uživatelů internetu, ze Slovenska 47 % uživatelů a z Německa 22 % uživatelů internetu. Další údaje pak uvádějí, že pouze 68 % čechů využívající internet má počítač chráněn nějakým softwarem (např. antivirem), kdežto u slováků je to 86 % a u němců 88 %. Důvod k obavám je tedy jak je vidět zcela oprávněný, dalším důkazem je množství nově vznikajícího malware, který ilustruje následující graf (např. jen v druhé půlce roku 2011 bylo objeveno 1 330 146 nových malware):

 

Zdroj: G-Data Malware Report (www.infosec.co.uk/ExhibitorLibrary/764/GData_MWR_2_2011_DE_EN_final2_20.pdf)

 Níže uvedený graf zachycuje kategorie webových stránek v rozmezí let 2009 – 2011, které nejčastěji obsahovaly minimálně jeden odkaz směřující na malware. Nechvalný primát v tomto směru drží weby s pornografickým obsahem, následované stránkami věnované loteriím.

Zdroj: http://www-935.ibm.com/services/us/iss/xforce/trendreports/

 

V následujících odstavcích si popíšeme současné podoby a trendy malware.

Phishing

Phishing nespadá přímo do kategorie malware, neboť označuje spíše aktivity útočníků s cílem získat od obětí citlivé údaje, jako jsou hesla od jejich účtů, čísla a PINy (tzv. CVV či CVV2) platebních karet, atd. Dosahují toho zpravidla za pomoci falešných emailů (často s podvrhnutou adresou odesilatele) či webových stránek, kterými se snaží u oslovených uživatelů vzbudit dojem, že jde o oficiální výzvy např. z banky či platební brány internetových obchodů, spoléhajíc na to že uživatelé poskytnout své citlivé údaje, jež se pak dostanou přímo do rukou útočníkům, které je sami zneužijí či je nabízejí na černém trhu prostřednictvím různých diskusních fór apod. Phishing však k realizaci svých záměrů mnohdy využívá právě malware, který se např. spouští na počítači oběti a automaticky přesměrovává uživatele na falešné webové stránky, proto si také zaslouží být v této spojitosti phishing zmiňován. Na podobném principu, ovšem ještě sofistikovaněji funguje tzv. pharming, který přepisuje záznamy o DNS a v nich odpovídající IP adresy na adresy falešných serverů. V poslední době se pak objevuje i tzv. smishing, neboli phishing prostřednictvím SMS zpráv, ve kterých se podvodníci snaží opět vylákat z příjemce jeho citlivé údaje (zpravidla k jeho bankovnímu účtu či platební kartě) a to dokonce i tím způsobem, že je příjemce vybídnut aby zatelefonoval na podvržený automatický hlasový systém, kde má zadat své údaje, které se tak v tu chvíli dostávají do rukou podvodníků. Víceméně stejné praktiky využívá i tzv. vishing, neboli phishing pomocí internetové telefonie (VoIP).

Obranou proti phishingu je rozumné dodržování základních bezpečnostních pravidel, zejména následujících:

  • Neposkytování svých citlivých údajů (přihlašovací jméno, heslo, PINy, atd.) jinde než na důvěryhodných webových stránkách patřících pouze vydavatelům údajů k účtu, v případě webů s bankovními transakcemi pak stránkám se zabezpečeným přenosem (HTTPS) vždy s ověřenou certifikací vydavatele. V případě platebních karet prověřování jejich historie plateb a limitování možností plateb přes Internet (např. jen do výše částky, o které víme, že ji běžně nezbytně potřebujeme).
  • Udržování počítače čistého od škodlivých kódů, pomocí k tomu určeného software, který dle dohledatelných aktuálních recenzí patří ke špičce v oboru (tj. programy antivirové a antispywarové, firewall).
  • Využívat aktualizované operační systémy, pokud možno nepracující běžně s administrátorským oprávněním (tj. v případě Windows verze Vista a vyšší).
  • Přistupovat k internetovým stránkám vždy pouze v aktualizovaných webových prohlížečích.
  • Vždy je na prvním místě selský rozum při zvažování využití poskytnuté nabídky.

 

Příklady kradených citlivých údajů platebních karet nabízených na černém trhu:

Zcizený údaj Průměrná cena
Kompletní údaje běžné americké (USA) platební karty 25 $
Kompletní údaje Gold/Platinum/Business americké (USA) platební karty 40 $
Kompletní údaje běžné evropské platební karty 50 $
Kompletní údaje Gold/Platinum/Business evropské platební karty 90 $

Zdroj: http://press.pandasecurity.com/wp-content/uploads/2011/01/The-Cyber-Crime-Black-Market.pdf

 

Příklad falešného webu napodobující stránky internetbankingu České spořitelny je ilustrován na obrázku níže – pozorný uživatel může podvod odhalit podle cizí, nesprávné internetové adresy (červeně vyznačeno). Zde bylo samozřejmě cílem phishingu získat uživatelské přihlašovací údaje k bankovnímu účtu.

 

Zdroj: http://www.maxiorel.cz/ceska-sporitelna-phishing-kdy-uz-skonci

 

Obrázky níže ukazují, ze kterých zemí nejčastěji pochází odesilatelé phishingových emailů a na které oblasti se nejvíce zaměřují.

Zdroj: http://www-935.ibm.com/services/us/iss/xforce/trendreports/ 

 

Spam

Tento pojem označuje nevyžádané sdělení (obvykle reklamního charakteru) zasílané různými metodami internetové komunikace, nejčastěji pomocí emailů, ale také přes diskusní fóra (tzv. komentářový spam) či další komunikační aplikace (např. ICQ či Facebook – tzv. SPam over Instant Messaging, zkráceně SPIM), v poslední době se dokonce začíná stále častěji hovořit o hrozbě spamu v internetové telefonii (tzv. SPam over Internet Telephony, zkráceně SPIT). Ani v případě spamu nemusí jít vždy o malware, přesto jsou mnohé spamové emaily infikovány malwarem (často tzv. trojským koněm, o něm více v dalších odstavcích), často právě za účelem phishingu.

Obrana proti zneužití spamem by měla být v první řadě již na straně provozovatelů poštovních serverů (tzv. SMTP), které pokud jsou nezajištěné, bývají mnohdy pro účely spamu zneužity. V případě serverů cíleně používaných pro spam se lze bránit pomocí tzv. black-listů (např. www.spamcop.net), což jsou mezinárodní databáze IP adres označených jako původci spamu – nevýhodou může být, pokud se veřejný poštovní server z důvodu excesu jednoho uživatele dostane na black-list, následkem čehož jsou pak emaily ostatních uživatelů chybně vyhodnoceny jako spam a nedoručeny jejich adresátům. Že jde o skutečný problém dokazují i události z posledních měsíců, kdy doplatili na zařazení na black-list uživatelé O2 (viz. tento článek).

Další obranou, naopak na straně poštovních serverů (tzv. POP3 či IMAP) kde jsou emaily přijímány, bývají často filtry zkoumající jejich obsah a v případě že je vyhodnotí jako spam, uživateli vůbec emaily nedoručí či je umožňují přesunout do zvláštní složky pro spam (to lze pouze v případě IMAP serveru). Pro prvotní kontrolu odesílatele emailu zda nejde o spam může posloužit i již zmíněný black-list. Obranou proti spamu na posledním článku řetězce, tj. u samotného uživatele, mohou být filtry pro samotný poštovní klient, pokud ani toto nepomůže, opět zbývá jako poslední, ale přesto nejschopnější varianta uživatelův zdravý úsudek a vymazání takového emailu.

Následující graf zobrazuje, jaké země jsou nejčastějšími původci rozesílaného spamu.

 

Zdroj: http://www-935.ibm.com/services/us/iss/xforce/trendreports/

 

Adware

Tento druh se od většiny ostatních malware liší tím, že se nesnaží automaticky propašovat na počítač bez vědomí uživatele, ale je zpravidla instalován současně s jinou aplikací, často typu freeware. Ta totiž při výchozím nastavení nabízí uživateli právě doinstalování adware, čehož si mnohdy uživatel zvyklý klikat jen na tlačítko „OK“ ani nepovšimne a nevědomky tak nabídku odsouhlasí. Nicméně je třeba říci, že adware není destruktivní, jeho škodlivost tkví pouze ve zbytečném zatěžování výkonu počítače a leckdy obtěžuje vnucováním změny domovské webové stránky či vyskakujícími okny s reklamou.

Obranou proti malware je důkladné čtení potvrzovaných voleb při instalaci nového software, zejména pak bezplatného software. Pokud je již adware v počítači nainstalován, zpravidla jej lze odstranit běžným způsobem pro odinstalování software anebo využít některý speciální software pro vyhledávání a odstranění adware, kterým je např. bezplatná aplikace Spybot – Search & Destroy. Následující obrázek ilustruje nabídku adware při instalaci známé aplikace WinAmp:

 

 

Spyware

Spyware patří mezi malware, který slouží především k ilegálnímu získávání údajů, jako jsou historie navštívených webů či seznam instalovaných aplikací na počítači, ale i údajů o uživatelských účtech a mnohé další, vše samozřejmě bez souhlasu a vědomí uživatele počítače. V poslední době bývá Spyware bývá velmi často využíván při phishingových aktivitách, kde má za cíl získat citlivé údaje především platebních karet či bankovních účtů, samozřejmě s cílem okradení jejich vlastníků. Z tohoto důvodů je také toto spojenectví označováno jako tzv. „Spy-phishing“. Způsobů jak může být do počítače Spyware propašován existuje celá řada – počínaje relativně málo nebezpečnými Cookies (sloužící spíše pro marketingové využití), přes využití chyb webových prohlížečů, až po samotné aplikace běžící jako procesy na pozadí operačního systému. Tyto se často usazují mezi programy spouštěné hned po startu počítače, takže mají zajištěný trvalý provoz na infikovaném počítači – v operačních systémech Windows jsou proto oblíbeným cílem registry Windows.

Jako obranu proti tomuto malware je možné využít velké množství i bezplatných antispyware aplikací (např. Spybot – Search & Destroy, Spyware Terminator a mnohé další), spyware který je v operačních systémech Windows již usazen po spuštění lze odhalit kontrolou registrů, jednoduše v nástroji msconfig.exe (karta Po spuštění). Nejlepší prevencí je však samozřejmě obezřetnost při klikání na odkazy a spouštění aplikací z webu, či příloh z emailů.

 

Hoax

Jde o emailem šířené poplašné zprávy s cílem mystifikovat své příjemce. Obvykle jde o různé falešné poplachy, prosby, petice či výzvy, řetězové dopisy štěstí atd. Tyto emaily pak zpravidla jejich příjemce také nabádají k jejich hromadnému přeposílání všem jeho známým. Škodlivost hoaxů tak spočívá především v poskytování nebezpečných rad příjemcům pošty a v jejich dezinformování a obtěžování, ale i ve zbytečném zatěžování internetových linek a serverů.

Obranou proti hoaxům je zdravý úsudek příjemce o obsahu dané zprávy anebo ověření zda jde o hoax pomocí různých specializovaných informačních databázích jako např. www.hoax.cz.

 

Příklad hoaxu:

Předmět: BANKOMAT + PIN – Může to být užitečné…Jakmile se ocitnete v situaci, kdy jste přinuceni násilníkem a musíte pod nátlakem vybrat peníze z Bankovního automatu, zadejte svůj PIN opačně: tzn. od konce – > např.máte-li 1234 , tak zadáte 4321 a automat vám peníze přesto vydá, ale též současně přivolá policii, která vám přijede  na pomoc.Tato zpráva byla před nedávnem vysílána  v TV, přesto ji využili doposud jen 3 lidé, protože se o  této skutečnosti mezi lidmi neví.Přepošlete co nejvíce lidem.

Další příklad hoaxu:

Mléko v tetrapaku, které se nespotřebuje do konce trvanlivosti, prodejce vrátí zpracovateli.Zpracovatel otevře obal, mléko opětovně převaří a opět zabalí.Mohou tak učinit max. 5 krát. Zespodu krabice je pod zalepeným záhybem číslo 12345, kde jedno z čísel chybí.Tato chybějící cifra udává, kolikrát už bylo mléko „recyklováno“.Tj. 12 45 znamená, že bylo převařeno 3 krátTak dobrou chuť.Mrkla jsem na to a opravdu. Na krabicích plnotučného mléka, které bylo „v akci“ za 11,90 Kč, chybí v řadě č. 4.Doufám, že alespoň u mléka prodávaného jako čerstvé, nechybí v řadě žádné  číslo   😮

 

Závěr

V tomto článku byl uveden přehled současných druhů malware, zejména těch které využívají Internetu pro své aktivity a především pro své další rozšiřování. Popis dalších druhů malware bude následovat v příštím dílu tohoto článku, stejně jako možnost řešení jejich odstranění pomocí online antivirů. Jak již bylo mnohokrát řečeno, k nejlepším způsobům ochrany proti malware patří selský rozum a dodržování patřičných preventivních opatření. Při rozlišení zda jde o falešný email nám pak mnohdy napomůže krásný, ale složitý jazyk český, který tak sám napoví, že s emaily ve znění: „Příznivý Vítěz, blahopřání!! To je Vám oznámit, že jste vyhráli cenu peněz (900000.00dolar) promotion.“ asi něco nebude v pořádku…

 

Štítky: .

Diskuze k článku

Martin Bugner, 18. 6. 2012 (16:35):

Pane Radku, bývá slušnost se v komentářích pod daným článkem vyjadřovat pouze k předmětu daného článku. Vše ostatní je považováno za nevhodné, tedy k odstranění.
K vyřizování vzkazů apod. máme jiné kanály jako např. e-mail.
Také si prosím přečtěte upozornění pod každým okénkem, kde odpovídáte.

Jak jsem napsal, máme zablokované komentáře ke starším článkům, aby nám na ně nechodil spam. Automatický filtr není schopen vždy všechno zachytit.

Radek, 18. 6. 2012 (09:10):

Dobrý den, chyby přijetí mě k tomuto vláknu donutily. Jistě nebude problém jej i vymazat. Nemohu vám „dopravit“ řádný komentář z daty měření a pár otázek.

Miloslav Sova, 17. 6. 2012 (03:30):

Dobrý den Radku,
není to jedno kam to píšete. Kdyby jste se trochu soustředil , zjistil by jste, že článek o rychlostech pod kterým jste diskutoval se mezitím posunul o jedno místo směrem dolů a vy tedy momentálně diskutujete pod úplně jiným článkem. Mimochodem na ten váš trochu „zmatený“ diskuzní příspěvek jsem vám velice podrobně a jsem přesvědčen že i srozumitelně odpovídal. http://www.internetprovsechny.cz/statistiky-mereni-na-speedmeteru-za-duben-2012/#comments

Hezký den přeje Sova

Radek, 17. 6. 2012 (00:36):

Je to jedno, kde to píši, ale děláte, že tomu rozumíte, ale není tomu tak. Diskuze uzavíráte, protože se bojíte poctivě a normálně komunikovat.

Sbohem podivíni. :-)))))

Kategorie Internet.

Štítky: .

Diskuze: 4 Comments

Navštivte také

Speedmeter Internetu pro všechny

Katalog Wifi sítí

Reklama:

Bleskovky

Rádi bychom Vás pozvali na naší ISP Roadshow zaměřenou na poskytovatele internetového připojení

, 21.9. Komentáře nejsou povolené u textu s názvem Rádi bychom Vás pozvali na naší ISP Roadshow zaměřenou na poskytovatele internetového připojení

Aprílový prehľad udalostí zo života slovenských operátorov

, 28.4. Komentáře nejsou povolené u textu s názvem Aprílový prehľad udalostí zo života slovenských operátorov

Inovativní řešení plánování optických sítí FTTH

, 22.10. Komentáře nejsou povolené u textu s názvem Inovativní řešení plánování optických sítí FTTH

Pozvánka na workshop IPv6 v praxi – posledních pár dní na registraci.

, 28.2. Komentáře nejsou povolené u textu s názvem Pozvánka na workshop IPv6 v praxi – posledních pár dní na registraci.

Sprintel jako první regionální operátor spouští novou síť v pásmu 3,7 GHz

, 6.2. Komentáře nejsou povolené u textu s názvem Sprintel jako první regionální operátor spouští novou síť v pásmu 3,7 GHz

IT dovednosti teenagerů – mají se starší bát mladé generace?

, 14.1. Komentáře nejsou povolené u textu s názvem IT dovednosti teenagerů – mají se starší bát mladé generace?

MPO spustilo veřejnou konzultaci nové mapy – intervenčních oblastí pro dotace NGA

, 19.11. Komentáře nejsou povolené u textu s názvem MPO spustilo veřejnou konzultaci nové mapy – intervenčních oblastí pro dotace NGA

UPC hlásí výrazný růst tržeb i připojených domácností

, 12.11. Komentáře nejsou povolené u textu s názvem UPC hlásí výrazný růst tržeb i připojených domácností

Konferencia „Kam kráčajú telekomunikačné siete Slovensko 2018“ už za pár dní. Nepremeškajte registráciu.

, 8.10. Komentáře nejsou povolené u textu s názvem Konferencia „Kam kráčajú telekomunikačné siete Slovensko 2018“ už za pár dní. Nepremeškajte registráciu.

Ruší vaše vysílače meteoradary? Nově máte 48 hodin na odstranění rušení bez sankce.

, 4.10. Komentáře nejsou povolené u textu s názvem Ruší vaše vysílače meteoradary? Nově máte 48 hodin na odstranění rušení bez sankce.

Více bleskovek →

Články

Viete, že aj regionálni operátori majú zaujímavé vianočné ponuky?

, 11.12. Komentáře nejsou povolené u textu s názvem Viete, že aj regionálni operátori majú zaujímavé vianočné ponuky?

Mobilné služby počas dovolenky

, 10.7. Komentáře nejsou povolené u textu s názvem Mobilné služby počas dovolenky

Svetový deň telekomunikácií a informačnej spoločnosti nám pripomína, ako sa svet vďaka telekomunikáciám zmenil

, 17.5. Komentáře nejsou povolené u textu s názvem Svetový deň telekomunikácií a informačnej spoločnosti nám pripomína, ako sa svet vďaka telekomunikáciám zmenil

Zo súťaže a etického podnikania telekomunikačných operátorov budú profitovať zákazníci

, 29.3. Komentáře nejsou povolené u textu s názvem Zo súťaže a etického podnikania telekomunikačných operátorov budú profitovať zákazníci

Viete čo majú spoločné zvieratá ukrývajúce sa pred zimou, stovky kilogramov ľadu a orkán PIT?

, 1.3. Komentáře nejsou povolené u textu s názvem Viete čo majú spoločné zvieratá ukrývajúce sa pred zimou, stovky kilogramov ľadu a orkán PIT?

Nová pravidla kybernetické bezpečnosti

, 20.2. Komentáře nejsou povolené u textu s názvem Nová pravidla kybernetické bezpečnosti