Malware

Z Wikipedie, otevřené encyklopedie
Skočit na: Navigace, Hledání

Malware je počítačový program určený ke vniknutí nebo poškození počítačového systému.

Výraz malware vznikl složením anglických slov „malicious“ (zákeřný) a „software“ a popisuje záměr autora takového programu spíše než jeho specifické vlastnosti. Pod souhrnné označení malware se zahrnují počítačové viry, trojské koně, spyware a adware. V právní terminologii je malware někdy nazýván počítačová nečistota (angl. „computer contaminant“), například v zákonech států Kalifornie, Západní Virginie a několika dalších členských států USA. Malware je někdy pejorativně nazýván scumware. Jako malware by neměl být označován software, který sice obsahuje chyby, ale byl napsán pro legitimní účely.

V průběhu let autoři psali zákeřný software z různých důvodů. Mnoho dřívějších nakažlivých programů, mezi které patří internetoví červi a velký počet virů napsaných pro operační systém MS-DOS, vzniklo jako experiment nebo žert a většinou se záměrem vůbec neškodit nebo pouze obtěžovat. Mladí programátoři, kteří studovali možnosti virů a techniky jejich psaní, vytvářeli takové programy, aby ukázali, že to dovedou, nebo aby viděli, jak dalece se mohou jejich výtvory rozšířit.

Větší hrozbu představují programy navržené tak, aby poškozovaly nebo zcela mazaly data. Mnoho virů pro DOS bylo napsáno tak, aby smazaly soubory na pevném disku nebo aby poškodily souborový systém zapsáním nesmyslných dat. Síťoví červi, jako například Code Red nebo Ramen, také patří do této kategorie, protože byly napsány, aby vandalizovaly webové stránky.

Motivem pro vznik zákeřného softwaru bývá někdy pomsta. Programátor nebo správce systému, který byl propuštěn ze zaměstnání, může v systému zanechat zadní vrátka (angl. „backdoors“) nebo softwarovou „časovanou bombu“, která mu umožní poškodit v budoucnu systémy bývalého zaměstnavatele nebo zničit jeho vlastní dřívější práci.

S rozšířením širokopásmového internetového připojení vzniklo velké množství škodlivého softwaru zaměřeného čistě na zisk. Například v roce 2003 byla většina nejrozšířenějších virů a červů navržena tak, aby získala kontrolu nad napadeným počítačem pro jeho pozdější podvodné zneužití. Nakažené počítače jsou zneužity pro rozesílání spamu, šíření nezákonného obsahu, kterým je například dětská pornografie, nebo jsou zapojeny v distribuovaných útocích způsobujících nefunkčnost jiných systémů (DDoS, angl. „Distributed Denial of Service“) jako nové formě vyděračství.

Další kategorií malwaru psaného výhradně za účelem zisku je spyware, tedy programy, které monitorují uživatelem navštívené webové stránky, zobrazují nevyžádané reklamy a přinášejí tak autorovi spywaru podíl na zisku. Spyware se nešíří způsobem obdobným počítačovým virům, obvykle se instalují zneužitím bezpečnostních chyb prohlížeče nebo jako trojské koně při instalaci jiného softwaru.

Cíle malwaru[editovat | editovat zdroj]

Mnoho dříve nakažlivých programů, včetně prvních internetových červů a řady MS-DOS virů, bylo původně napsáno jako experimenty, či žerty. Jejich původní záměr byl neškodný nebo pouze otravný, ne aby způsobil vážné škody počítačovým systémům. V některých případech si pachatel ani nedokázal představit, jak moc velké škody může udělat jeho výtvor. Mladí programátoři, kteří se učili o virech a jejich technikách, je psali pro jednoduché procvičování, nebo aby zjistili, jak daleko se můžou rozšířit. Až v roce 1999 byly rozšířené viry, jako virus Melissa, nebo virus David, které byly napsány především jako žerty. První Mobilní virus Cabir se objevil v roce 2004.

Nepřátelský úmysl související s vandalismem můžete nalézt v programech vytvořených pro poškození nebo ztrátu dat. Mnoho DOS virů a červů bylo vytvořeno, aby zničily soubory na pevném disku, nebo aby zapsáním chybných dat do souborového systému jej poškodily. Sítí přenášení červi z roku 2001, Code Red červ nebo červ Ramen, spadají do stejné kategorie. Červi, vytvoření na poškozování webových stránek, mohou připomínat on-line ekvivalent grafitů s přezdívkou autora nebo skupiny, odkud červ pochází.

Od dob rozšíření širokopásmového připojení k internetu byl zákeřný software vytvořen pro zisk (např. z nucené reklamy). Například od roku 2003 byla většina rozšířených virů a červů vytvořena, aby převzala kontrolu nad uživatelskými počítači pro zneužití na černém trhu. Nakažené "zombie počítače" jsou používány na rozesílání emailů, sdílení kontrabandu, dat jako je dětská pornografie, nebo na napadání DDOS útoky.

Jako další vyloženě výdělečná kategorie malware se objevil spyware -- programy vytvořené tak, aby sledovaly prohlížení internetu uživatele, zobrazovaly nevyžádané reklamy, nebo přesměrování zisků výrobci spywaru. Spywarové programy se nešíří jako viry, obecně jsou instalovány zneužitím bezpečnostních děr nebo jsou přibaleny k instalovanému softwaru, například p2p aplikacím.

Nakažlivý malware: viry a červi[editovat | editovat zdroj]

Nejznámější typy malwaru, viry a červi, jsou spíše známy pro jejich způsob šíření, než pro jiné chování. Výraz počítačový virus je použit pro programy, které nakazí spustitelný software a když se spustí, způsobí, že se rozšíří do jiných spustitelných aplikací. Viry také mohou obsahovat placený software, který vykonává další akce, často zákeřné. Na druhou stranu počítačový červ je program, který aktivně přenáší sám sebe přes síť, aby infikoval ostatní počítače. Ten také může obsahovat placený obsah.

Tyto definice vedou k pozornosti, že viry vyžadují zásah od uživatele, aby se mohly rozšířit, i když se červ šíří automaticky. Pomocí tohoto rozdílu jsou infekce přenášeny emaily nebo dokumenty, které jsou otevřeny příjemcem a následně infikují systém.Tyto infekce jsou klasifikovány spíše jako virus než jako červ.

Někteří spisovatelé živnostníci, stejně jako bulvární tisk, mylně pochopili tento rozdíl a užívají tyto termíny obráceně.

Přehled historie virů a červů[editovat | editovat zdroj]

Než se rozšířil přístup k internetu, tak se viry šířily na osobních počítačích tím, že infikovaly spustitelný bootovací (načítací) sektor disket. Virus spustil sám sebe tím, že vložil kopii sebe sama mezi instrukce strojového kódu spustitelných aplikací. Toto proběhlo buď při spuštění programu nebo při bootování (načítání) diskety. Dřívější verze počítačových virů byly napsány pro Apple II a Apple Macintosh, ale více se rozšířily až dominancí IBM počítačů a MS-DOS systémů na trhu. Viry infikující spustitelné aplikace jsou závislé na vyměňování softwaru mezi uživateli nebo na bootovacích (načítacích) disketách, tudíž se rapidně rozšířily v kruzích počítačových fanoušků.

První červi, sítí přenášené nakažlivé programy, nevznikli na osobních počítačích, ale na víceúlohových unixových systémech. První dobře známý červ byl internetový červ v roce 1988, který nakazil SunOS a VAX BSD systémy. Na rozdíl od viru, tento červ nevkládá sám sebe do jiných programů. Místo toho využívá bezpečnostní mezer v síťových serverových programech a spouští se jako oddělený proces. Takovéto chování je stejně tak používáno i dnešními červy.

S růstem platformy Microsoft Windows v 90. letech a flexibilitou maker jejích aplikací, se stalo možným zapisovat nakažlivý kód do makroinstrukcí Microsoft Office Word a podobných programů. Tyto makro viry raději infikovaly dokumenty a šablony, než spustitelné aplikace, avšak závisí to na faktu, že makra ve "wordovském" dokumentu jsou formou spustitelného kódu.

Dnes jsou červi obecně nejvíce psané pro operační systémy Windows, ačkoliv několik červů, mezi které patří Mare-D a Lion, jsou také psané v Linuxových a Unixových systémech. Červi dnes pracují na stejném základním principu, jako v roce 1988 Internetový červ: skenují síť a využívají zranitelné počítače, aby se mohli kopírovat. Jelikož nepotřebují zásah od uživatele, tak se dokáží šířit velice rychle. Červ SQL Slammer infikoval tisíce počítačů během několika minut.

Utajení: trojští koně, rootkity a backdoory[editovat | editovat zdroj]

Trojští koně[editovat | editovat zdroj]

Aby zákeřný program splnil své cíle, musí být schopen se spustit, aniž by byl zastaven nebo smazán uživatelem či administrátorem počítačového systému, na kterém běží. Utajení může také pomoci, aby se v první řadě malware mohl nainstalovat. Když je zákeřný program přestrojen za něco nevinného či užitečného, uživatelé mohou být svedeni k instalaci tohoto programu, aniž by věděli, co dělá. Toto je technika Trojského koně.

Obecně je Trojský kůň jakýkoliv program, který vybízí uživatele ke spuštění, přičemž mu zatajuje nebezpečí či skryté platby. Platba může mít okamžitý efekt a může vést k mnoha dalším nežádoucím věcem, jako je smazání uživatelských souborů nebo k instalaci dalšího zákeřného a nežádoucího softwaru. Trojští koně, známí jako droppery jsou použity k propuknutí červí vzpoury tím, že vloží červy do uživatelské lokální sítě.

Jedna z nejčastějších cest šíření spywaru je Trojský kůň, který je součástí nežádoucího softwaru, staženého uživatelem z internetu. Jakmile uživatel nainstaluje software, rovněž se nainstaluje i spyware. Autoři spywaru, kteří se pokouší jednat legálním způsobem mohou vložit licenční ujednání, které podléhá volnějším pravidlům chování spywaru. Uživatelé jej však velmi neradi čtou nebo mu dokonce neporozumí. Samotné licenční ujednání pak způsobí dojem seriózního softwaru.

Trojští koně jsou nejčastěji používáni v marketingu. Dnešní pokročilí trojští koně jsou plně schopni převzít absolutní kontrolu nad prohlížečem, bez ohledu na typ (Internet Explorer, Mozilla Firefox, atd.). Je dokonce známé přidání falešné výjimky do bezpečnostních nastavení prohlížečů (čemuž často zabraňuje aktualizace prohlížeče), stejně tak jako editování počítačových registrů.

Rootkity[editovat | editovat zdroj]

Když se nakažlivý program nainstaluje do systému, je nutné, aby zůstal utajený a předešel své detekci a následnému smazání. To samé platí, když se lidský útočník dostane přímo do počítače. Techniky známé jako rootkity dovolují toto utajení modifikováním hostujícího operačního systému, takže malware je skrytý před uživatelem. Rootkity mohou zabránit nakažlivému procesu, aby byl viditelný v systémovém seznamu procesů nebo udržují své soubory od přečtení. Původně byl rootkit sadou nástrojů instalovaných útočníkem na Unix systém, dovolující útočníkovi získat administrátorský přístup. Dnes je tento termín užíván spíše pro utajení rutin v nakažlivém programu.

Některé nakažlivé programy obsahují rutiny, které brání proti odstranění, ne přímo tím, že se schovají, ale tím, že odmítnou přístup k jejich odstranění. Původní příklad tohoto chování je zaznamenán v povídce Jargon File o páru programů zamořujících Xerox CP-V systém sdílení času:

Každý utajený proces by detekoval fakt, že jiný byl zabit a spustil by další kopii nedávno zabitého programu během několika milisekund. Jediná možnost, jak zabít oba procesy, byla zabít je současně (velmi složité) nebo úmyslně shodit celý systém.

Podobné techniky jsou použity u některých moderních malwarů, kde malware spustí více procesů, které se monitorují a obnovují navzájem když je potřeba. V situaci, kdy uživatel systému Microsoft Windows je infikován takovýmto malwarem a chtěl by jej manuálně vypnout, musí použít Windows Task manažer na záložce procesy a musí najít hlavní proces (ten který založil obnovovací proces(y)) a použít funkci ukončení stromu procesů, která zabije nejen hlavní proces, ale i ten obnovovací, i když byl spuštěn hlavním procesem. Některé malware programy používají jiné techniky, jako například pojmenování infikovaných procesů podobně jako pravých nebo důvěryhodných (expl0rer.exe VS explorer.exe).

Backdoory[editovat | editovat zdroj]

Backdoor je metoda, jak obejít normální autentizační procedury. Když byl systém kompromitován (jednou z výše zmíněných metod, nebo jinou cestou), jeden nebo více backdoorů může být instalováno, aby povolily v budoucnu snadnější přístup. Backdoory mohou být také instalovány přednostně nakažlivým softwarem, aby umožnily přístup útočníkům.

Myšlenka byla často navržena tak, že počítačoví výrobci předinstalovali backdoory na jejich systémy, aby mohli zajistit technickou podporu pro jejich zákazníky, ale to nikdy nebylo s jistotou dokázáno. Cracker typicky používá backdoory, aby ochránil vzdálený přístup k počítači, když chce zůstat skrytý před občasnou inspekcí. K instalaci backdoorů cracker může použít Trojské koně, červy, nebo jiné metody.

Zranitelnost vůči malwaru[editovat | editovat zdroj]

Je nutné si v této souvislosti uvědomit, že napadený objekt může být různého typu (jeden počítač, operační systém, síť nebo aplikace). Určité faktory dělají systém zranitelnější vůči malwaru:

  • Homogenita - Všechny počítače v síti běží na stejném operačním systému.
  • Chyby systému - Většina systémů obsahuje chyby (díry), které mohou být využity malwarem.
  • Nepotvrzený kód - kód z diskety, CD nebo USB přístrojů mohou být zpracovány bez souhlasu uživatele.
  • Nadměrné oprávnění uživatelů - některé systémy umožňují všem uživatelům měnit své vnitřní struktury. Není tedy žádný rozdíl mezi správcem a běžným uživatelem.

Softwarové chyby[editovat | editovat zdroj]

Většina systémů obsahuje chyby (díry, mezery), které může využívat malware. Typickým příkladem je přetečení vyrovnávací paměti. V tomto stavu umožňuje rozhraní, které je navržené pro ukládání přepsat vnitřní struktury. Tímto způsobem je možné, aby malware přinutil systém nahradit legitimní kód s vlastní instrukcí škodlivým kódem.

Původně byly počítače bootovány z diskety. Určitou dobu to bylo jediné bootovací zařízení. To znamená, že napadená disketa mohla poškodit počítač již během bootování. Tato možnost platí v dnešní době pro bootování z CD nebo vyměnitelného zařízení.

Grayware[editovat | editovat zdroj]

Grayware (nebo greyware) je obecný termín, který se odkazuje na aplikace nebo soubory, které nejsou přímo klasifikovány jako malware (červi nebo trojské koně), ale stále negativně ovlivňují výkon počítače a zahrnují významná bezpečnostní rizika. Popisuje tak aplikace, které se chovají nepříjemným nebo nežádoucím způsobem, a přesto jsou méně závažné nebo znepokojující než malware. Grayware zahrnuje spyware, adware, dialery, žertovné programy, vzdálený přístup k nástrojům a jakýkoliv jiný program odlišný od viru, který je navržen tak, aby poškodil výkon počítačů. Termín je v provozu asi od roku 2004.

Reference[editovat | editovat zdroj]

V tomto článku byl použit překlad textu z článku Malware na anglické Wikipedii.