Šíření spywaru
 x   TIP: Přetáhni ikonu na hlavní panel pro připnutí webu
Reklama

Šíření spywaruŠíření spywaru

 

Šíření spywaru

Google       Google       19. 2. 2006       12 075×
Reklama
Reklama

Nejnovější výzkumy organizací CSI a FBI udávají, že téměř 80 procent počítačů je infikováno spywarem. Toto číslo navíc neustále narůstá, protože autoři spywaru využívají nové a nové metody k jeho šíření. Protože bývají informace získávané spywarem velice hodnotné, investuje organizovaný zločin do osob a nových technologií nemalé částky. Ochrana vůči této hrozbě je naopak velmi obtížná. Společnosti jsou nuceny vyvíjet nejen řešení, která je ochrání vůči nové infekci, ale současně také řešení, která vyléčí již infikované systémy. Zaměřme se nyní podrobněji na metody šíření nákazy na počítačích s operačními systémy Windows. U každé metody uvedeme současně, jakým způsobem lze nákazu zjistit, jak zabránit jejímu rozšíření v systému a jak ji odstranit. Tento článek nelze chápat jako úplný přehled informací o spywaru, ale spíše jako přehled několika zajímavých způsobů šíření nákazy spywaru a současně jako přehled ručních metod ochrany vůči tomuto softwaru, jelikož automatizované nástroje často nenabízejí odpovídající funkce.


Druhy spywaru

Automaticky otevíraná okna (Pop-ups)

Automaticky otevíraná okna se využívají pro vynucení uživatelské akce. Bývají součástí webových stránek, emailů, některého softwaru nebo mají podobu panelů nástrojů instalovaných jako doplňky prohlížeče Internet Explorer. Spyware v podobě automaticky otevíraných oken obsahuje celá řada softwaru pro sdílení dat. Aplikace KaZaA například obsahuje spyware GAIN (Gator) a Cydoor. Spyware GAIN sleduje návyky uživatele při procházení webových stránek na Internetu a současně stahuje reklamy, které jsou následně zobrazeny ve vlastní aplikaci. Spyware Cydoor stáhne během instalace aplikace KaZaA seznam adres URL, které poté zobrazuje při prohlížení webových stránek na Internetu.

Další typ spyware v podobě automaticky otevíraných oken obsahuje služba Messenger systému Windows. Tento spyware zobrazuje textové reklamy (viz obrázek 1). Uvedený spyware lze však ze systému Windows NT/XP/200x snadno odstranit – zakázat službu Messenger.


Dialery (programy pro vytáčení placených linek)

Nástroje zvané dialery mění (obvykle tajně) nastavení vytáčeného spojení. Místo telefonního čísla místního poskytovatele Internetu uživatel vytočí velmi drahou mezinárodní linku. Tyto nástroje se často využívají pro placení za přístup na webové stránky s počítačovými hrami nebo webové stránky pro dospělé. K instalaci prohlížeče bývá vyžadován souhlas uživatele (viz obrázek 2).

Browser hijacker (software provádějící nežádoucí změny v nastavení prohlížeče)

Nástroje nazývané browser hijackery provádějí bez souhlasu uživatele změny v nastavení prohlížeče. Obvykle se tyto změny týkají nastavení domovské stránky a vyhledávačů, ale často se mění také nastavení odkazů v oblíbených položkách. Uveďme například nástroj ISTbar, který instaluje panel nástrojů Tinybar a další parazity, kteří zobrazují automaticky otevíraná okna s pornografickou tématikou.

Výzvědné cookies

Soubory cookies se užívají k ukládání identifikace uživatele pro případný návrat na webovou stránku. Často však bývají zneužity spywarem. Některé webové stránky například využívají cookies ke sledování návyků uživatele při procházení webových stránek na Internetu. Tyto webové stránky sbírají cookies jiných webových stránek (cookies bývají často ukládány prostřednictvím reklamních bannerů). Soubory cookies však naštěstí nejsou nebezpečné, nelze je využít k šíření kódu.

Některé společnosti, například DoubleClick, provozují bannery na vlastních serverech a tyto servery využívají pro uložení informací do souborů cookies a současně pro čtení souborů cookies. Společnost DoubleClick tak může ověřit, kteří uživatelé navštěvují webové stránky s jejími bannery.


Jak spyware detekovat/zamezit instalaci/odstranit

Abychom zamezili infikování počítače, měli bychom provést následující kroky:

  • Pravidelně aktualizovat systém Windows – instalovat záplaty.
  • Pomocí seznamů ACL (Access Control Lists) zamezit uživatelům v instalaci softwaru do složek C:WINDOWS a C:WINDOWSsystem32.
  • Pomocí seznamů ACL zamezit uživatelům v přidávání hodnot (nastavovat hodnoty nebo vytvářet podklíče) do následujících klíčů v registru:
    • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
    • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
    • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
    • HKEY_LOCAL_MACHINESystemCurrentControlSetServices
  • Používat software pro zajištění integrity souborů, například produkt Tripwire.

Literatura

  • H. Carvey, The Dark Side of NTFS (Microsoft’s Scarlet Letter)
  • R. Means, ADS
  • Ed Skoudis, Lenny Zeltser, Malware: Fighting Malicious Code
  • Peter Szor, The Art of Computer Virus Research and Defense
  • James C. Foster, Stuart McClure, Sockets, Shellcode, Porting, and Coding: Reverse Engineering Exploits and Tool Coding for Security Professionals

×Odeslání článku na tvůj Kindle

Zadej svůj Kindle e-mail a my ti pošleme článek na tvůj Kindle.
Musíš mít povolený příjem obsahu do svého Kindle z naší e-mailové adresy kindle@programujte.com.

E-mailová adresa (např. novak@kindle.com):

TIP: Pokud chceš dostávat naše články každé ráno do svého Kindle, koukni do sekce Články do Kindle.

2 názory  —  2 nové  
Hlasování bylo ukončeno    
0 hlasů
Google
(fotka) Lukáš ChurýLukáš je šéfredaktorem Programujte, vyvíjí webové aplikace, fascinuje ho umělá inteligence a je lektorem na FI MUNI, kde učí navrhovat studenty GUI. Poslední dobou se snaží posunout Laser Game o stupeň výše a vyvíjí pro něj nové herní aplikace a elektroniku.
Web     Twitter     Facebook     LinkedIn    

Nové články

Reklama
Reklama
Obrázek ke článku Blockchain & Bitcoin konference

Blockchain & Bitcoin konference

V pátek 19. 5. 2017 se v pražském konferenčním centru Andel’s konala Blockchain & Bitcoin konference. Řada odborníků a podnikatelů v oboru blockchainu a kryptoměn představila možnosti budoucího směřování tohoto oboru. Speakeři většinou rusky mluvící provenience prezentovali řešení svých firem založená na technologii blockchainu.

Obrázek ke článku Malware KONNI se úspěšně skrýval 3 roky. Odhalil ho bezpečnostní tým Cisco Talos

Malware KONNI se úspěšně skrýval 3 roky. Odhalil ho bezpečnostní tým Cisco Talos

Bezpečnostní tým Cisco Talos odhalil celkem 4 kampaně dosud neobjeveného malwaru, který dostal jméno KONNI. Ten se dokázal úspěšně maskovat od roku 2014. Zpočátku se malware zaměřoval pouze na krádeže citlivých dat. Za 3 roky se ale několikrát vyvinul, přičemž jeho současná verze umožňuje útočníkovi z infikovaného počítače nejenom krást data, ale i mapovat stisky na klávesnici, pořizovat screenshoty obrazovky či v zařízení spustit libovolný kód. Pro odvedení pozornosti oběti zasílali útočníci v příloze také obrázek, zprávu a výhružkách severokorejského režimu či kontakty na členy mezinárodních organizací.

Reklama autora

loadingtransparent (function() { var po = document.createElement('script'); po.type = 'text/javascript'; po.async = true; po.src = 'https://apis.google.com/js/plusone.js'; var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(po, s); })();
Hostujeme u Českého hostingu       ISSN 1801-1586       ⇡ Nahoru Webtea.cz logo © 20032017 Programujte.com
Zasadilo a pěstuje Webtea.cz, šéfredaktor Lukáš Churý