Šíření spywaru
 x   TIP: Přetáhni ikonu na hlavní panel pro připnutí webu
Reklama

Šíření spywaruŠíření spywaru

 

Šíření spywaru

Google       Google       19. 2. 2006       11 982×
Reklama
Reklama

Nejnovější výzkumy organizací CSI a FBI udávají, že téměř 80 procent počítačů je infikováno spywarem. Toto číslo navíc neustále narůstá, protože autoři spywaru využívají nové a nové metody k jeho šíření. Protože bývají informace získávané spywarem velice hodnotné, investuje organizovaný zločin do osob a nových technologií nemalé částky. Ochrana vůči této hrozbě je naopak velmi obtížná. Společnosti jsou nuceny vyvíjet nejen řešení, která je ochrání vůči nové infekci, ale současně také řešení, která vyléčí již infikované systémy. Zaměřme se nyní podrobněji na metody šíření nákazy na počítačích s operačními systémy Windows. U každé metody uvedeme současně, jakým způsobem lze nákazu zjistit, jak zabránit jejímu rozšíření v systému a jak ji odstranit. Tento článek nelze chápat jako úplný přehled informací o spywaru, ale spíše jako přehled několika zajímavých způsobů šíření nákazy spywaru a současně jako přehled ručních metod ochrany vůči tomuto softwaru, jelikož automatizované nástroje často nenabízejí odpovídající funkce.


Druhy spywaru

Automaticky otevíraná okna (Pop-ups)

Automaticky otevíraná okna se využívají pro vynucení uživatelské akce. Bývají součástí webových stránek, emailů, některého softwaru nebo mají podobu panelů nástrojů instalovaných jako doplňky prohlížeče Internet Explorer. Spyware v podobě automaticky otevíraných oken obsahuje celá řada softwaru pro sdílení dat. Aplikace KaZaA například obsahuje spyware GAIN (Gator) a Cydoor. Spyware GAIN sleduje návyky uživatele při procházení webových stránek na Internetu a současně stahuje reklamy, které jsou následně zobrazeny ve vlastní aplikaci. Spyware Cydoor stáhne během instalace aplikace KaZaA seznam adres URL, které poté zobrazuje při prohlížení webových stránek na Internetu.

Další typ spyware v podobě automaticky otevíraných oken obsahuje služba Messenger systému Windows. Tento spyware zobrazuje textové reklamy (viz obrázek 1). Uvedený spyware lze však ze systému Windows NT/XP/200x snadno odstranit – zakázat službu Messenger.


Dialery (programy pro vytáčení placených linek)

Nástroje zvané dialery mění (obvykle tajně) nastavení vytáčeného spojení. Místo telefonního čísla místního poskytovatele Internetu uživatel vytočí velmi drahou mezinárodní linku. Tyto nástroje se často využívají pro placení za přístup na webové stránky s počítačovými hrami nebo webové stránky pro dospělé. K instalaci prohlížeče bývá vyžadován souhlas uživatele (viz obrázek 2).

Browser hijacker (software provádějící nežádoucí změny v nastavení prohlížeče)

Nástroje nazývané browser hijackery provádějí bez souhlasu uživatele změny v nastavení prohlížeče. Obvykle se tyto změny týkají nastavení domovské stránky a vyhledávačů, ale často se mění také nastavení odkazů v oblíbených položkách. Uveďme například nástroj ISTbar, který instaluje panel nástrojů Tinybar a další parazity, kteří zobrazují automaticky otevíraná okna s pornografickou tématikou.

Výzvědné cookies

Soubory cookies se užívají k ukládání identifikace uživatele pro případný návrat na webovou stránku. Často však bývají zneužity spywarem. Některé webové stránky například využívají cookies ke sledování návyků uživatele při procházení webových stránek na Internetu. Tyto webové stránky sbírají cookies jiných webových stránek (cookies bývají často ukládány prostřednictvím reklamních bannerů). Soubory cookies však naštěstí nejsou nebezpečné, nelze je využít k šíření kódu.

Některé společnosti, například DoubleClick, provozují bannery na vlastních serverech a tyto servery využívají pro uložení informací do souborů cookies a současně pro čtení souborů cookies. Společnost DoubleClick tak může ověřit, kteří uživatelé navštěvují webové stránky s jejími bannery.


Jak spyware detekovat/zamezit instalaci/odstranit

Abychom zamezili infikování počítače, měli bychom provést následující kroky:

  • Pravidelně aktualizovat systém Windows – instalovat záplaty.
  • Pomocí seznamů ACL (Access Control Lists) zamezit uživatelům v instalaci softwaru do složek C:WINDOWS a C:WINDOWSsystem32.
  • Pomocí seznamů ACL zamezit uživatelům v přidávání hodnot (nastavovat hodnoty nebo vytvářet podklíče) do následujících klíčů v registru:
    • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
    • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
    • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
    • HKEY_LOCAL_MACHINESystemCurrentControlSetServices
  • Používat software pro zajištění integrity souborů, například produkt Tripwire.

Literatura

  • H. Carvey, The Dark Side of NTFS (Microsoft’s Scarlet Letter)
  • R. Means, ADS
  • Ed Skoudis, Lenny Zeltser, Malware: Fighting Malicious Code
  • Peter Szor, The Art of Computer Virus Research and Defense
  • James C. Foster, Stuart McClure, Sockets, Shellcode, Porting, and Coding: Reverse Engineering Exploits and Tool Coding for Security Professionals

×Odeslání článku na tvůj Kindle

Zadej svůj Kindle e-mail a my ti pošleme článek na tvůj Kindle.
Musíš mít povolený příjem obsahu do svého Kindle z naší e-mailové adresy kindle@programujte.com.

E-mailová adresa (např. novak@kindle.com):

TIP: Pokud chceš dostávat naše články každé ráno do svého Kindle, koukni do sekce Články do Kindle.

2 názory  —  2 nové  
Hlasování bylo ukončeno    
0 hlasů
Google
(fotka) Lukáš ChurýLukáš je šéfredaktorem Programujte, vyvíjí webové aplikace, fascinuje ho umělá inteligence a je lektorem na FI MUNI, kde učí navrhovat studenty GUI. Poslední dobou se snaží posunout Laser Game o stupeň výše a vyvíjí pro něj nové herní aplikace a elektroniku.
Web     Twitter     Facebook     LinkedIn    

Nové články

Obrázek ke článku Malware KONNI se úspěšně skrýval 3 roky. Odhalil ho bezpečnostní tým Cisco Talos

Malware KONNI se úspěšně skrýval 3 roky. Odhalil ho bezpečnostní tým Cisco Talos

Bezpečnostní tým Cisco Talos odhalil celkem 4 kampaně dosud neobjeveného malwaru, který dostal jméno KONNI. Ten se dokázal úspěšně maskovat od roku 2014. Zpočátku se malware zaměřoval pouze na krádeže citlivých dat. Za 3 roky se ale několikrát vyvinul, přičemž jeho současná verze umožňuje útočníkovi z infikovaného počítače nejenom krást data, ale i mapovat stisky na klávesnici, pořizovat screenshoty obrazovky či v zařízení spustit libovolný kód. Pro odvedení pozornosti oběti zasílali útočníci v příloze také obrázek, zprávu a výhružkách severokorejského režimu či kontakty na členy mezinárodních organizací.

Reklama
Reklama
Obrázek ke článku Pouze jedna z deseti lokálních firem ví o pokutách plynoucích z GDPR

Pouze jedna z deseti lokálních firem ví o pokutách plynoucích z GDPR

Trend Micro, celosvětový lídr v oblasti bezpečnostních řešení a VMware, přední světový dodavatel cloudové infrastruktury a řešení pro podnikovou mobilitu, oznámily výsledky výzkumu mezi českými a slovenskými manažery zodpovědnými za ochranu osobních údajů, který zjišťoval, jak jsou připraveni na nové nařízení o ochraně osobních údajů (GDPR). Většina firem v České republice a na Slovensku nad 100 zaměstnanců je již s novým nařízením GDPR obeznámena. Výzkum provedený ve spolupráci s agenturou Ipsos ukázal, že téměř 8 firem z 10 o nařízení ví, přičemž jeho znalost je o něco vyšší na Slovensku (89 %) než v České republice (69 %).

Obrázek ke článku Vyděračský software Locky se vrací, tváří se jako potvrzení platby, odhalil tým Cisco Talos

Vyděračský software Locky se vrací, tváří se jako potvrzení platby, odhalil tým Cisco Talos

Jeden z nejznámějších ransomwarů, Locky, se vrací. Po většinu roku 2016 patřil mezi nejrozšířenější vyděračské softwary. Ke svému šíření využíval emailové kampaně s infikovanými přílohami. Ransomware Locky byl rozesílán prostřednictvím botnetu (internetový robot zasílající spamy) Necurs. Jeho aktivita na konci roku 2016 téměř upadla a spolu s ní i šíření ransomwaru Locky. Před několika týdny se Necurs opět probudil a začal posílat spamy nabízející výhodný nákup akcií. Dne 21. dubna zaznamenal bezpečnostní tým Cisco Talos první velkou kampaň ransomwaru Locky prostřednictvím botnetu Necurs za posledních několik měsíců.

Obrázek ke článku Dovozci baterií mění logistiku, letadlo nahrazuje námořní doprava

Dovozci baterií mění logistiku, letadlo nahrazuje námořní doprava

Dovozci baterií do mobilů či notebooků upouštějí od letecké přepravy zboží. V letošním roce plánují dovézt až 80 % produktů lodí. Přitom před 5 lety byla většina baterií do mobilních přístrojů dovezených do České republiky přepravována letadlem. Za proměnou způsobu transportu akumulátorů stojí zpřísnění pravidel pro leteckou přepravu, která přinášejí vyšší náklady i náročnou agendu.

Reklama autora

loadingtransparent (function() { var po = document.createElement('script'); po.type = 'text/javascript'; po.async = true; po.src = 'https://apis.google.com/js/plusone.js'; var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(po, s); })();
Hostujeme u Českého hostingu       ISSN 1801-1586       ⇡ Nahoru Webtea.cz logo © 20032017 Programujte.com
Zasadilo a pěstuje Webtea.cz, šéfredaktor Lukáš Churý