Μολυσματικό
malware: Ιοί (Viruses) και σκουλήκια (Worms)
Οι
ιοί και τα σκουλήκια είναι τα πιο γνωστά
είδη κακόβουλου λογισμικού. Κι αυτό
εξαιτίας κυρίως του τρόπου διάδοσής
τους κι όχι κάποιου άλλου χαρακτηριστικού.
Διαδίδονται δηλαδή μόνα τους αναπαράγοντας
τον εαυτό τους ή κάποιο τμήμα τους. Η
διαφορά τους έγκειται στο γεγονός ότι
οι ιοί μολύνουν (δηλαδή χρησιμοποιούν)
άλλα εκτελέσιμα λογισμικά (executable
software) ή τομείς εκκίνησης (boot sectors) ενώ τα
σκουλήκια μεταδίδονται μόνα τους. Σήμερα
βέβαια, με την εξέλιξη του κακόβουλου
λογισμικού, αυτός ο διαχωρισμός δεν
είναι επαρκής αφού πολλοί ιοί έχουν τη
δυνατότητα να αναπαραχθούν μόνοι τους,
ενώ πολλά σκουλήκια μολύνουν άλλα
λογισμικά. Αυτό έχει ως συνέπεια οι όροι
αυτοί να είναι ανταλλάξιμοι.
Τι
ονομάζουμε ιό Η/Υ
Μια
ακολουθία (ή σειρά ακολουθιών) συμβόλων
που, όταν εκτελεστούν κάτω από ορισμένες
συνθήκες ή σε ένα ορισμένο περιβάλλον,
δημιουργούν ένα ακριβές ή παρόμοιο
αντίγραφο της ακολουθίας, το οποίο και
τοποθετούν μέσα στον υπό-μόλυνση Η/Υ. Η
τοποθέτηση γίνεται σε τέτοιο μέρος,
όπου θα είναι δυνατή η μελλοντική
εκτέλεση του αρχείου (κοινώς «άνοιγμα
του μολυσμένου αρχείου»). Αυτή είναι
και η επονομαζόμενη «αναπαραγωγή»
(replication) του ιού μέσα στον υπολογιστή.
Βέβαια, ένας ιός μπορεί να περιλαμβάνει
και μια επιπλέον λειτουργία (payload), με
την οποία θα κάνει ζημιά στο μολυσμένο
σύστημα, χωρίς όμως αυτό να είναι
αναγκαίο.
ΕΙΔΗ
ΙΩΝ
Trojan
horses / Backdoor programs
Πρόκειται
για την πιο διαδεδομένη, ίσως, κατηγορία
ιών. Αυτός ο τύπος ιών περιέχει ένα
κώδικα, με την εκτέλεση του οποίου ο
ξενιστής Η/Υ του ιού γίνεται ευάλωτος
στην διαχείρισή του από τον αποστολέα
του ιού, χωρίς ο χρήστης του Η/Υ να
αντιλαμβάνεται το παραμικρό. Γι’ αυτό
το λόγο, οι ιοί αυτοί αποστέλλονται από
τους κακόβουλους ψευτο-hackers σε ανυποψίαστους
χρήστες, με την παρότρυνση του χρήστη
να τους εκτελέσει για να δει κάτι τελείως
ανύπαρκτο, όπως μια φωτογραφία, ένα
σημείωμα κ.ά. Οι αποστολείς τέτοιου
είδους ιών ονομάζονται στη γλώσσα του
Internet “lamers”. Δυστυχώς, τα προβλήματα
ΔΕΝ τελειώνουν εδώ … Με την εκτέλεση
του Trojan πιθανώς να υπάρξει σβήσιμο
αρχείων από τον Η/Υ, ή ακόμα και ολοκληρωτικό
format του δίσκου! Οι Trojan horses δεν αναπαράγονται,
γι’ αυτό και δεν θεωρούνται από πολλούς
ως ιοί.
Πολυμορφικοί
Πολυμορφικοί
ονομάζονται οι ιοί, οι οποίοι κρύβουν
τον κώδικά τους με διαφορετικό τρόπο,
κάθε φορά που μολύνουν ένα εκτελέσιμο
αρχείο (συνήθως .exe, .com). Έτσι, όταν ο
χρήστης εκτελέσει το μολυσμένο αρχείο,
ο ιός «ξεκλειδώνει» τον καταστροφικό
κώδικα μέσα από το μολυσμένο εκτελέσιμο
αρχείο και τον εκτελεί. Αυτός ο τύπος
ιών αποτελεί ένα ιδιαίτερο «πονοκέφαλο»
για τα προγράμματα antivirus, διότι δεν
υπάρχει πάντα ένα συγκεκριμένο/παρόμοιο
κομμάτι του ιού για να χρησιμοποιηθεί
για την αναγνώρισή του.
Stealth
(αόρατοι) viruses
Χρησιμοποιούν
τους καταχωρητές μνήμης του Η/Υ. Για να
εκτελεστεί ένα πρόγραμμα (ιδιαίτερα τα
προγράμματα MS-DOS) χρειάζεται να επικαλεστούν
μια διεύθυνση στη μνήμη του Η/Υ. Εκεί
ακριβώς επεμβαίνει και ο ιός. Όταν το
πρόγραμμα καλέσει την συγκεκριμένη
διεύθυνση, ενεργοποιείται ο ιός αντί
για το πρόγραμμα, με αποτέλεσμα την
μόλυνση του συστήματος. Οι stealth ιοί έχουν
και μια επιπλέον λειτουργία. Είναι
ικανοί να κρύβονται κατά την ανίχνευσή
τους από τα προγράμματα antivirus. Συγκεκριμένα,
όποτε ανιχνεύουν δράση προγράμματος
antivirus, αποκαθιστούν προσωρινά το αρχικό
αρχείο στην κανονική του θέση, αφήνοντας
το antivirus να το ανιχνεύσει και το
ξανά-μολύνουν αργότερα, αφού έχει
τελειώσει η λειτουργία του προγράμματος
antivirus. Η συγκεκριμένη λειτουργία της
απόκρυψης του ιού από το antivirus
(αντι-antivirus) λέγεται και “tunneling”.
Parasitic
a.k.a. Appending viruses
Λέγονται
παρασιτικοί ή και επι-προσθετικοί,
ακριβώς γιατί προσθέτουν τον καταστροφικό
τους κώδικα μέσα στον κώδικα του αρχικού
αρχείου (συνήθως στο τέλος του, για
προστασία από ανίχνευση antivirus προγράμματος),
χωρίς να το καταστρέψουν. Όμως, αν κάποιος
πιστέψει ότι θα εκτελεστεί το αρχικό
πρόγραμμα, επειδή ο κώδικας του ιού
βρίσκεται στο τέλος του αρχείου, τότε
την «πάτησε», μιας και ο ιός φροντίζει
να εκτελείται αυτός και όχι το αρχικό
πρόγραμμα.
Overwriting
viruses
Ο
απλούστερος τρόπος για να μολύνεις ένα
σύστημα είναι να αντικαταστήσεις το
αρχικό αρχείο με τον ιό. Με τον τρόπο
αυτό ΔΕΝ υπάρχει δυνατότητα αποκατάστασης
(καθαρισμού) του αρχικού αρχείου. Οι ιοί
αυτοί μπορούν ακόμα να διατηρούν το
αρχικό μέγεθος του αρχείου, αποφεύγοντας
έτσι την ανίχνευσή τους από προγράμματα
antivirus. Παρά τις δυνατότητές τους,
θεωρούνται «αναξιοπρεπείς» για ένα
«σοβαρό» συγγραφέα ιών.
Companion
viruses
Πρόκειται
για ιούς που ενεργούν κυρίως σε λειτουργικό
MS-DOS. Όταν ο χρήστης πληκτρολογήσει μια
εντολή DOS (π.χ. Program1) και δεν βρεθεί το
αρχείο Program1.exe, τότε το λειτουργικό θα
εκτελέσει το αρχείο Program1.com, που θα είναι
και ο ιός. Προσοχή όμως. Αν ο χρήστης
θελήσει να εκτελέσει το αρχείο
Program1.exe, ενώ ταυτόχρονα υπάρχει στο δίσκο
και ο ιός με το όνομα Program1.com, τότε με την
πληκτρολόγηση Program1 θα εκτελεστεί ο ιός!
Retro
viruses
Πρόκειται
για ιούς που στοχεύουν αποκλειστικά
στην καταπολέμηση ενός ή περισσοτέρων
προγραμμάτων antivirus.
Logic
bombs
Πρόκειται
για ιούς που ενεργοποιούνται όταν
επέλθει μια συγκεκριμένη χρονική στιγμή,
π.χ. στις 14.00 το μεσημέρι της 13 του
Σεπτέμβρη. Συνήθως επιτελούν καταστροφικό
έργο, όπως διαγραφή αρχείων κ.ά.
Droppers
Είναι
εκτελέσιμα αρχεία, που περιέχουν εντολές
για την δημιουργία ιού μέσα στο σύστημα
και δεν περιέχουν τον ίδιο τον ιό.
Ανιχνεύονται πιο δύσκολα σε σύγκριση
με τους απλούς ιούς.
Worms
(σκουλήκια)
Λέγονται
έτσι γιατί συνήθως βρίσκονται σε δίκτυα
Η/Υ. Χρησιμοποιούν το Internet ως μέσο
διάδοσής τους (emails, irc chat κ.ά.).
Boot
sector viruses
Οι
ιοί αυτού του είδους μολύνουν τον τομέα
εκκίνησης του Η/Υ, είτε αυτός είναι
δίσκος ή δισκέτα. Σε αυτούς οφείλεται
το μεγαλύτερο ποσοστό μολύνσεων ανά
τον κόσμο. Συνήθως, δεν είναι απαραίτητο
να υπάρχει λειτουργικό MS-DOS στον Η/Υ για
να ενεργοποιηθεί ένας τέτοιος ιός, μιας
και οι συγκεκριμένοι ιοί δεν κάνουν
τέτοιου είδους … διακρίσεις. Π.χ. παρ’
ότι ο ιός Michelangelo δεν μπορεί να επεκταθεί
σε λειτουργικό Windows NT, δεν σημαίνει ότι
δεν θα διαγράψει τα περιεχόμενα του
δίσκου στις 6 Μαρτίου!
Direct
action viruses
Οι
ιοί αυτοί εκτελούν το καταστροφικό τους
έργο μόνο όταν εκτελεστούν (μια φορά
δηλαδή) και δεν μένουν στην μνήμη του
Η/Υ.
Macro
viruses
Είναι
οι γνωστοί ιοί που μολύνουν χρησιμοποιώντας
μια μακρο-εντολή. Μολύνουν ΜΟΝΟ έγγραφα
τύπου Word, Excel, Office, PowerPoint, Access. Πρόκειται
για ιούς που διαδίδονται πάρα πολύ
εύκολα. Χαρακτηριστικό παράδειγμα η
ίδια η Microsoft, η οποία όταν πρωτο-κυκλοφόρησε
την έκδοση MS Office ‘97, είχε αφήσει μέσα
στο cd ένα κείμενο μολυσμένο με macro-ιό.
Rootkits
Για
να παραμείνει συγκαλυμμένο το malware μετά
την εγκατάστασή του χρησιμοποιούνται
τεχνικές όπως αυτή που ακούει στο όνομα
rootkit. Τα rootkits τροποποιούν το λειτουργικό
σύστημα έτσι ώστε το malware να παραμείνει
κρυμμένο απ’ το χρήστη. Ένα rootkit μπορεί
να μην επιτρέψει την αναφορά του malware
στον πίνακα εργασιών και να κρατήσει
τα αρχεία του μη αναγνώσιμα.
Malware
για κέρδος: Spyware, botnets, loggers και dialers
Είναι
malwares που δημιουργήθηκαν με σκοπό να
αποφέρουν κέρδος στον συγγραφέα τους.
Τα περισσότερα malware σήμερα είναι αυτού
του τύπου.
Spyware
Τα
spywares εξυπηρετούν εμπορικούς σκοπούς.
Για παράδειγμα μπορεί να συγκεντρώνουν
πληροφορίες που αφορούν τους χρήστες,
να προβάλλουν διαφημιστικά pop-ups, να
αλλάζουν τη συμπεριφορά του Web-Browser με
σκοπό να επωφεληθεί ο δημιουργός τους.
(π.χ. μερικά spyware ανακατευθύνουν
(redirecting) τα αποτελέσματα των μηχανών
αναζήτησης σε σελίδες γεμάτες διαφημίσεις.
Spam
και botnets
Ένας
άλλος τρόπος να χρησιμοποιηθεί το
malware για κέρδος είναι να κάνουν τα
μολυσμένα συστήματα να δουλεύουν για
τον δημιουργό. Οι ιοί Spammer, όπως οι
οικογένειες Sobig και Mydoom, ελέγχονται από
ομάδες των e-mail spammer. Τα μολυσμένα συστήματα
στέλνουν μηνύματα spam. Το κέρδος των
spammers είναι το μεγάλο εύρος αποστολής
μηνυμάτων spam και η ανωνυμία, προστατεύοντάς
τους απ’ την αποκάλυψή τους. Μερικοί
spammer έχουν χρησιμοποιήσει μολυσμένα PC
με σκοπό να επιτεθούν σε οργανισμούς
anti-spam.
Για
να συντονίσουν τη λειτουργία πολλών
μολυσμένων υπολογιστών, οι attackers έχουν
χρησιμοποιήσει συστήματα συντονισμού
γνωστά ως botnets. Σε ένα botnet, το malware συνδέεται
σε ένα Internet Relay Chat (IRC) Channel ή άλλο σύστημα
chat. Ο attacker μπορεί να δώσει οδηγίες στα
μολυσμένα συστήματα ταυτόχρονα. Τα
botnets επίσης αναβαθμίζουν το malware στο
μολυσμένο σύστημα, ώστε να μπορούν να
αντισταθούν καλύτερα στα συστήματα
antivirus ή άλλα μέτρα ασφάλειας.
(key-)Loggers
Ένα
άλλο είδος malware για κέρδος είναι τα key
loggers. Τα key loggers κλέβουν “ευαίσθητες”
πληροφορίες του χρήστη (όπως κωδικούς
πιστωτικών καρτών, CD keys κ.α.). Στην ουσία
ένα key logger παρακολουθεί και καταγράφει
ότι πληκτρολογεί ο χρήστης και αποστέλλει
τα “χρήσιμα” στον δημιουργό.
Dialers
Τα
dialers είναι προγράμματα που παίρνουν τον
έλεγχο του modem και κάνουν ακριβές κλήσεις.
Βεβαίως με την εξάπλωση του DSL κάτι
τέτοιο είναι αδύνατο.
Για
την καταπολέμηση όλων των παραπάνω θα
χρειαστείτε ειδικό λογισμικό το site που
χρησιμοποίησα ως πηγή (http://www.virus.gr)
έχει
αρκετές λύσεις. Αν και θα επιμείνω στην
χρήση λειτουργικού συστήματος Linux καθώς
μειώνει σημαντικά τον κίνδυνο να
προσβληθείτε. Συν ότι σας γλυτώνει από
επεξεργαστική ισχύ (συρσίματα) καθώς
δεν τρέχει κάποιο anti-virus
παράλληλα. Έπεται άρθρο για key-loggers.