Šíření spywaru

Nejnovější výzkumy organizací CSI a FBI udávají, že téměř 80 procent počítačů je infikováno spywarem. Toto číslo navíc neustále narůstá, protože autoři spywaru využívají nové a nové metody k jeho šíření. Protože bývají informace získávané spywarem velice hodnotné, investuje organizovaný zločin do osob a nových technologií nemalé částky. Ochrana vůči této hrozbě je naopak velmi obtížná. Společnosti jsou nuceny vyvíjet nejen řešení, která je ochrání vůči nové infekci, ale současně také řešení, která vyléčí již infikované systémy. Zaměřme se nyní podrobněji na metody šíření nákazy na počítačích s operačními systémy Windows. U každé metody uvedeme současně, jakým způsobem lze nákazu zjistit, jak zabránit jejímu rozšíření v systému a jak ji odstranit. Tento článek nelze chápat jako úplný přehled informací o spywaru, ale spíše jako přehled několika zajímavých způsobů šíření nákazy spywaru a současně jako přehled ručních metod ochrany vůči tomuto softwaru, jelikož automatizované nástroje často nenabízejí odpovídající funkce.

Druhy spywaru

Automaticky otevíraná okna (Pop-ups)

Automaticky otevíraná okna se využívají pro vynucení uživatelské akce. Bývají součástí webových stránek, emailů, některého softwaru nebo mají podobu panelů nástrojů instalovaných jako doplňky prohlížeče Internet Explorer. Spyware v podobě automaticky otevíraných oken obsahuje celá řada softwaru pro sdílení dat. Aplikace KaZaA například obsahuje spyware GAIN (Gator) a Cydoor. Spyware GAIN sleduje návyky uživatele při procházení webových stránek na Internetu a současně stahuje reklamy, které jsou následně zobrazeny ve vlastní aplikaci. Spyware Cydoor stáhne během instalace aplikace KaZaA seznam adres URL, které poté zobrazuje při prohlížení webových stránek na Internetu.

Další typ spyware v podobě automaticky otevíraných oken obsahuje služba Messenger systému Windows. Tento spyware zobrazuje textové reklamy (viz obrázek 1). Uvedený spyware lze však ze systému Windows NT/XP/200x snadno odstranit – zakázat službu Messenger.

Dialery (programy pro vytáčení placených linek)

Nástroje zvané dialery mění (obvykle tajně) nastavení vytáčeného spojení. Místo telefonního čísla místního poskytovatele Internetu uživatel vytočí velmi drahou mezinárodní linku. Tyto nástroje se často využívají pro placení za přístup na webové stránky s počítačovými hrami nebo webové stránky pro dospělé. K instalaci prohlížeče bývá vyžadován souhlas uživatele (viz obrázek 2).

Browser hijacker (software provádějící nežádoucí změny v nastavení prohlížeče)

Nástroje nazývané browser hijackery provádějí bez souhlasu uživatele změny v nastavení prohlížeče. Obvykle se tyto změny týkají nastavení domovské stránky a vyhledávačů, ale často se mění také nastavení odkazů v oblíbených položkách. Uveďme například nástroj ISTbar, který instaluje panel nástrojů Tinybar a další parazity, kteří zobrazují automaticky otevíraná okna s pornografickou tématikou.

Výzvědné cookies

Soubory cookies se užívají k ukládání identifikace uživatele pro případný návrat na webovou stránku. Často však bývají zneužity spywarem. Některé webové stránky například využívají cookies ke sledování návyků uživatele při procházení webových stránek na Internetu. Tyto webové stránky sbírají cookies jiných webových stránek (cookies bývají často ukládány prostřednictvím reklamních bannerů). Soubory cookies však naštěstí nejsou nebezpečné, nelze je využít k šíření kódu.

Některé společnosti, například DoubleClick, provozují bannery na vlastních serverech a tyto servery využívají pro uložení informací do souborů cookies a současně pro čtení souborů cookies. Společnost DoubleClick tak může ověřit, kteří uživatelé navštěvují webové stránky s jejími bannery.

Jak spyware detekovat/zamezit instalaci/odstranit

Abychom zamezili infikování počítače, měli bychom provést následující kroky:

• Pravidelně aktualizovat systém Windows – instalovat záplaty.
• Pomocí seznamů ACL (Access Control Lists) zamezit uživatelům v instalaci softwaru do složek C:WINDOWS a C:WINDOWSsystem32.
• Pomocí seznamů ACL zamezit uživatelům v přidávání hodnot (nastavovat hodnoty nebo vytvářet podklíče) do následujících klíčů v registru:
• HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
• HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
• HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
• HKEY_LOCAL_MACHINESystemCurrentControlSetServices
• Používat software pro zajištění integrity souborů, například produkt Tripwire.

Literatura

• H. Carvey, The Dark Side of NTFS (Microsoft’s Scarlet Letter)
• R. Means, ADS
• Ed Skoudis, Lenny Zeltser, Malware: Fighting Malicious Code
• Peter Szor, The Art of Computer Virus Research and Defense
• James C. Foster, Stuart McClure, Sockets, Shellcode, Porting, and Coding: Reverse Engineering Exploits and Tool Coding for Security Professionals