Typy infiltracφ


PoΦφtaΦovou infiltracφ nazveme jak²koliv neoprßvn∞n² vstup do poΦφtaΦovΘho systΘmu, a tφm i do jeho soubor∙, program∙ atd. Je to tedy termφn s pom∞rn∞ Üirok²m v²znamem. Jako infiltraci lze oznaΦit:

  • TrojskΘ kon∞ - Trojan Horses
    V∞tÜinou se jednß o programy s u₧iteΦnou nebo p°ita₧livou tΘmatikou, utility nebo krßtkΘ obslu₧nΘ programy. Jak napovφdß nßzev, jednß se o to, aby pomocφ tΘto u₧iteΦnΘ nebo p°ita₧livΘ utility se do jinak hlφdanΘho systΘmu dostalo n∞co ne₧ßdoucφho.
    K≤d takovΘho programu obsahuje ve svΘm t∞le ukrytou sekvenci (Φßst), kterß mß v∞tÜinou destruktivnφ charakter, a aktivuje se na n∞jak², p°edem neznßm² impuls, kter²m m∙₧e b²t nap°φklad poΦet spuÜt∞nφ programu nebo systΘmovΘ datum. Ty mΘn∞ zßludnΘ programy nap°φklad sma₧ou data nebo naformßtujφ disk.
    Trojsk² k∙≥ je podobn² viru, s tφm rozdφlem, ₧e trojsk² k∙≥ se nereplikuje.

  • ╚ervi - Worms
    ╚erv je narozdφl od trojskΘho kon∞ sebereplikujφcφ program. Je to sob∞staΦn², samostatn² program (nebo sada program∙), kter² je schopen Üφ°it svΘ funkΦnφ kopie nebo jejich Φßsti do jin²ch poΦφtaΦov²ch systΘm∙. Proto₧e je sob∞staΦn², nevy₧aduje ₧ßdn² hostitelsk² program. Program typu Φerv sßm vytvß°φ svΘ kopie a zp∙sobuje, ₧e jsou spouÜt∞ny. Nenφ k tomu zapot°ebφ ₧ßdnß Φinnost ze strany u₧ivatele. ╚ervi v∞tÜinou vyu₧φvajφ sφ¥ov²ch slu₧eb, aby se rozÜi°ovali do jin²ch poΦφtaΦov²ch systΘm∙. Prvnφm takov²m Φervem byl "Morris∙v Φerv", kter² v roce 1988 napadl 5% tehdejÜφ sφt∞ internet (4000 - 6000 poΦφtaΦ∙).

    Dnes se vÜak jako Φervi (i kdy₧ to nenφ zrovna sprßvn∞) oznaΦujφ programy, kterΘ se Üφ°φ prost°ednictvφm emailu. Podle p°edchozφ v∞ty jsem sestrojil i m∙j Φlßnek o Φervech (zde), kolem kterΘho vzniklo dost rozruchu... Moji reakci lze najφt v novince ze dne 24.7.1999.
    Podrobn∞jÜφ informace o Φervech lze najφt v p°φsp∞vku, se kter²m jsem vystoupil na konferenci Security 2000. Hledejte zde.

  • Backdoory - Backdoors
    Jednß se o programy typu klient/server. Backdoor (v p°ekladu n∞co jako "zadnφ vrßtka") je velice podobn² trojanu (trojsk² k∙≥). Dva podstatnΘ rozdφly by se vÜak naÜly: sßm o sob∞ nenφ backdoor v∞tÜinou Ükodliv² a navφc obsahuje k≤d, kter² je schopen komunikovat se vzdßlen²m poΦφtaΦem v sφti (LAN, Internet...). Backdoor se do systΘmu dostane velice jednoduÜe. U₧ivatel Pepa kup°φkladu stßhne z podivnΘho serveru na Internetu n∞jak² ten EXE soubor. Pak ho spustφ a je hotovo - na Pepov∞ poΦφtaΦi se prßv∞ zabydlela Φßst Backdooru, kterß se naz²vß Server. N∞kde ve sv∞t∞ (v p°φpad∞ Internetu), nebo ve vedlejÜφ kancelß°i (v p°φpad∞ podnikovΘ sφt∞) pak Φφhß u₧ivatel Martin (v∞tÜinou tou₧φcφ po pomst∞), kter² mß na svΘm PC Φßst zvanou Klient (Client). Klient je v∞tÜinou program s p∞kn²m prost°edφm, kter² umo₧≥uje prakticky neomezen∞ ovlßdat Pep∙v poΦφtaΦ. M∙₧e kup°φkladu mazat soubory, vypφnat Windows, hrßt si s Üuplikem CD mechaniky atd. Aby mohl Martin ovlßdnout Pepu, musφ ve v∞tÜin∞ p°φpad∙ znßt IP adresu jeho poΦφtaΦe. N∞kte°φ klienti jsou natolik chyt°φ, ₧e automaticky poÜlou IP adresu Pepova poΦφtaΦe p°φmo Martinovi a ten ji pak nemusφ pracn∞ zjiÜ¥ovat.
    Pro ulo₧enφ do systΘmu vyu₧φvajφ backdoory ve v∞tÜin∞ p°φpad∙ registry (dalÜφ informace t°eba zde).

  • Viry
    Nejznßm∞jÜφ a nejΦast∞jÜφ formou infiltracφ jsou vÜak poΦφtaΦovΘ viry. Nßzev je odvozen z podobnosti chovßnφ t∞chto programßtorsk²ch produkt∙ s biologick²mi originßly. PoΦφtaΦov² virus je takovß forma poΦφtaΦovΘ infiltrace, kterß mß schopnost vlastnφho mno₧enφ a infikovßnφ dalÜφch systΘm∙ bez v∞domφ u₧ivatele.
    PodstatnΘ je, ₧e virus, aby byl schopen sebereplikace, musφ b²t p°ipojen k hostitelskΘ proveditelnΘ jednotce (v systΘmu MS-DOS nap°φklad: soubory COM-EXE, boot sektory apod.). Kdy₧ je tato hostitelskß proveditelnß jednotka spuÜt∞na (spuÜt∞nφ programu, start poΦφtaΦeà), provede se rovn∞₧ k≤d viru. Jestli₧e je to mo₧nΘ, virus se p°itom bude replikovat p°ipojenφm svΘ vlastnφ kopie k jin²m dalÜφm takov²m objekt∙m. Virus je tedy program, kter² je schopen zapisovat sßm sebe do nejr∙zn∞jÜφch mφst systΘmu.
    èkßla destruktivnφ Φinnosti je samoz°ejm∞ velmi Üirokß a bude zßviset nejen na skupinovΘm typu viru, ale i na jeho konkrΘtnφm typu, mnohdy variant∞ Φi mutaci. Takov²mi nejobvyklejÜφmi nφΦiv²mi akcemi vir∙ je vymazßnφ soubor∙, p°eformßtovßnφ disku, modifikace dat, p°epis tabulky rozd∞lenφ disku (PaT), znφΦenφ tΘto tabulky, oznaΦovßnφ sektor∙ za vadnΘ, p°epsßnφ boot sektoru atd. Na druhΘ stran∞ existujφ i viry "hodnΘ", kterΘ jen vyhro₧ujφ texty apod. Proto₧e chce virus setrvat v systΘmu co nejdΘle nepozorovßn, vyu₧φvß n∞kterΘ techniky, kterΘ mu to umo₧≥ujφ. Jednou z t∞chto technik je i "technika sebeidentifikace". Technika sebeidentifikace je postup, kter²m virus urΦuje, zda provediteln² jednotka (boot sektor, soubor COM,EXEà) jφm byla Φi nebyla ji₧ napadena. Tato procedura obvykle zahrnuje vyhledßvßnφ urΦitΘ hodnoty na znßmΘm mφst∞ v proveditelnΘ jednotce. Schopnost sebeidentifikace je nutnß, jestli₧e se virus chce vyhnout n∞kolikanßsobnΘmu infikovßnφ jednotliv²ch provediteln²ch jednotek (to mß pak za nßsledek neustßle prodlu₧ovßnφ souboru).

    Toto je jen zlomek informacφ o poΦφtaΦov²ch virech ! PokraΦujte ZDE !

    Zdroj: O poΦφtaΦov²ch virech ... a jak na n∞ ? - (c)1996 Ing.Ji°φ MrnuÜtφk, AEC s.r.o.