Typy infiltracφ
PoΦφtaΦovou infiltracφ nazveme jak²koliv neoprßvn∞n² vstup do poΦφtaΦovΘho systΘmu, a tφm i do jeho soubor∙,
program∙ atd. Je to tedy termφn s pom∞rn∞ Üirok²m v²znamem. Jako infiltraci lze oznaΦit:
TrojskΘ kon∞ - Trojan Horses
V∞tÜinou se jednß o programy s u₧iteΦnou nebo p°ita₧livou tΘmatikou, utility nebo krßtkΘ obslu₧nΘ programy.
Jak napovφdß nßzev, jednß se o to, aby pomocφ tΘto u₧iteΦnΘ nebo p°ita₧livΘ utility se do jinak hlφdanΘho systΘmu
dostalo n∞co ne₧ßdoucφho.
K≤d takovΘho programu obsahuje ve svΘm t∞le ukrytou sekvenci (Φßst), kterß mß v∞tÜinou destruktivnφ charakter,
a aktivuje se na n∞jak², p°edem neznßm² impuls, kter²m m∙₧e b²t nap°φklad poΦet spuÜt∞nφ programu nebo
systΘmovΘ datum. Ty mΘn∞ zßludnΘ programy nap°φklad sma₧ou data nebo naformßtujφ disk.
Trojsk² k∙≥ je podobn² viru, s tφm rozdφlem, ₧e trojsk² k∙≥ se nereplikuje.
╚ervi - Worms
╚erv je narozdφl od trojskΘho kon∞ sebereplikujφcφ program. Je to sob∞staΦn², samostatn² program (nebo sada program∙),
kter² je schopen Üφ°it svΘ funkΦnφ kopie nebo jejich Φßsti do jin²ch poΦφtaΦov²ch systΘm∙. Proto₧e je sob∞staΦn²,
nevy₧aduje ₧ßdn² hostitelsk² program. Program typu Φerv sßm vytvß°φ svΘ kopie a zp∙sobuje, ₧e jsou spouÜt∞ny.
Nenφ k tomu zapot°ebφ ₧ßdnß Φinnost ze strany u₧ivatele. ╚ervi v∞tÜinou vyu₧φvajφ sφ¥ov²ch slu₧eb,
aby se rozÜi°ovali do jin²ch poΦφtaΦov²ch systΘm∙. Prvnφm takov²m Φervem byl "Morris∙v Φerv", kter² v roce 1988 napadl 5% tehdejÜφ
sφt∞ internet (4000 - 6000 poΦφtaΦ∙).
Dnes se vÜak jako Φervi (i kdy₧ to nenφ zrovna sprßvn∞) oznaΦujφ programy, kterΘ se Üφ°φ prost°ednictvφm emailu.
Podle p°edchozφ v∞ty jsem sestrojil i m∙j Φlßnek o Φervech (zde), kolem kterΘho vzniklo dost rozruchu...
Moji reakci lze najφt v novince ze dne 24.7.1999.
Podrobn∞jÜφ informace o Φervech lze najφt v p°φsp∞vku, se kter²m jsem vystoupil na konferenci Security 2000. Hledejte zde.
Backdoory - Backdoors
Jednß se o programy typu klient/server. Backdoor (v p°ekladu n∞co jako "zadnφ vrßtka") je velice podobn² trojanu (trojsk² k∙≥).
Dva podstatnΘ rozdφly by se vÜak naÜly: sßm o sob∞ nenφ backdoor v∞tÜinou Ükodliv² a navφc obsahuje k≤d, kter² je schopen komunikovat
se vzdßlen²m poΦφtaΦem v sφti (LAN, Internet...). Backdoor se do systΘmu dostane velice jednoduÜe. U₧ivatel Pepa kup°φkladu stßhne z podivnΘho
serveru na Internetu n∞jak² ten EXE soubor. Pak ho spustφ a je hotovo - na Pepov∞ poΦφtaΦi se prßv∞ zabydlela Φßst Backdooru, kterß se naz²vß Server.
N∞kde ve sv∞t∞ (v p°φpad∞ Internetu), nebo ve vedlejÜφ kancelß°i (v p°φpad∞ podnikovΘ sφt∞) pak Φφhß u₧ivatel Martin (v∞tÜinou tou₧φcφ po pomst∞), kter²
mß na svΘm PC Φßst zvanou Klient (Client). Klient je v∞tÜinou program s p∞kn²m prost°edφm, kter² umo₧≥uje prakticky neomezen∞ ovlßdat Pep∙v poΦφtaΦ.
M∙₧e kup°φkladu mazat soubory, vypφnat Windows, hrßt si s Üuplikem CD mechaniky atd. Aby mohl Martin ovlßdnout Pepu, musφ ve v∞tÜin∞ p°φpad∙ znßt
IP adresu jeho poΦφtaΦe. N∞kte°φ klienti jsou natolik chyt°φ, ₧e automaticky poÜlou IP adresu Pepova poΦφtaΦe p°φmo Martinovi a ten ji pak nemusφ pracn∞ zjiÜ¥ovat.
Pro ulo₧enφ do systΘmu vyu₧φvajφ backdoory ve v∞tÜin∞ p°φpad∙ registry (dalÜφ informace t°eba zde).
Viry
Nejznßm∞jÜφ a nejΦast∞jÜφ formou infiltracφ jsou vÜak poΦφtaΦovΘ viry. Nßzev je odvozen z podobnosti chovßnφ t∞chto
programßtorsk²ch produkt∙ s biologick²mi originßly. PoΦφtaΦov² virus je takovß forma poΦφtaΦovΘ infiltrace,
kterß mß schopnost vlastnφho mno₧enφ a infikovßnφ dalÜφch systΘm∙ bez v∞domφ u₧ivatele.
PodstatnΘ je, ₧e virus, aby byl schopen sebereplikace, musφ b²t p°ipojen k hostitelskΘ proveditelnΘ jednotce
(v systΘmu MS-DOS nap°φklad: soubory COM-EXE, boot sektory apod.). Kdy₧ je tato hostitelskß proveditelnß
jednotka spuÜt∞na (spuÜt∞nφ programu, start poΦφtaΦeà), provede se rovn∞₧ k≤d viru. Jestli₧e je to mo₧nΘ, virus se
p°itom bude replikovat p°ipojenφm svΘ vlastnφ kopie k jin²m dalÜφm takov²m objekt∙m. Virus je tedy program, kter²
je schopen zapisovat sßm sebe do nejr∙zn∞jÜφch mφst systΘmu.
èkßla destruktivnφ Φinnosti je samoz°ejm∞ velmi Üirokß a bude zßviset nejen na skupinovΘm typu viru, ale i na jeho
konkrΘtnφm typu, mnohdy variant∞ Φi mutaci. Takov²mi nejobvyklejÜφmi nφΦiv²mi akcemi vir∙ je vymazßnφ soubor∙,
p°eformßtovßnφ disku, modifikace dat, p°epis tabulky rozd∞lenφ disku (PaT), znφΦenφ tΘto tabulky, oznaΦovßnφ sektor∙ za vadnΘ, p°epsßnφ boot sektoru atd. Na druhΘ stran∞ existujφ i viry "hodnΘ", kterΘ jen vyhro₧ujφ texty apod.
Proto₧e chce virus setrvat v systΘmu co nejdΘle nepozorovßn, vyu₧φvß n∞kterΘ techniky, kterΘ mu to umo₧≥ujφ.
Jednou z t∞chto technik je i "technika sebeidentifikace". Technika sebeidentifikace je postup, kter²m virus urΦuje,
zda provediteln² jednotka (boot sektor, soubor COM,EXEà) jφm byla Φi nebyla ji₧ napadena. Tato procedura obvykle
zahrnuje vyhledßvßnφ urΦitΘ hodnoty na znßmΘm mφst∞ v proveditelnΘ jednotce. Schopnost sebeidentifikace je
nutnß, jestli₧e se virus chce vyhnout n∞kolikanßsobnΘmu infikovßnφ jednotliv²ch provediteln²ch jednotek (to mß pak
za nßsledek neustßle prodlu₧ovßnφ souboru).
Toto je jen zlomek informacφ o poΦφtaΦov²ch virech ! PokraΦujte ZDE !
Zdroj: O poΦφtaΦov²ch virech ... a jak na n∞ ? - (c)1996 Ing.Ji°φ MrnuÜtφk, AEC s.r.o.