Březen - JV Project

More documents

Recommendations

Info

Dll soubor „ws2_32“ před napadením. Po napadení můžete vidět přesměrování na rootkit. Zde je funkce volání přesměrována. 11,545s SLEDOVÁNÍ FTP PŘIPOJENÍ Gumblar nyní analyzuje úplný oběh dat v síti. Ukládá všechny přihlašovací údaje a odesílá je programátorům malwaru. Virus přes mail: TDSS se zamaskuje jako aktualizace Na rozdíl od viru Gumblar, který je distribuován pomocí přímého stažení, existuje spousta škůdců, kteří se stále ještě snaží najít cestu do počítače přes e-maily. Bezpečnostní experti z antivirové společnosti Panda pro nás důkladně prozkoumali trojského koně známého pod označením TDSS. JAK SE TDSS DOSTANE DO PC: Hacker odesílá prostřednictvím e-mailu odkaz na zajímavé video o urychlovači částic v CERN. Zde je (pomocí doplňku prohlížeče – Flash přehrávače) do počítače uživatele nahrán trojský kůň TDSS a spolu s aplikací otevírají v počítači 86 POČÍTAČOVÉ VIRY 03/2010 WWW.CHIP.CZ PARTNER TÉMATU 4,126s ZRANITELNOST V ADOBE READERU Gumblar infikuje počítač pomocí přetečení bufferu u mezery v doplňku prohlížeče. „zadní vrátka“ chytře naprogramovaným rootkitům. Společnost Panda škůdce analyzovala a našla v malwaru (vytvořeném v assembleru) kód, který TDSS maskuje přepsáním volání funkce, které odkazuje na jeho jednotlivé funkce. Je tedy obtížné odhalit jeho „rootkit schopnosti“, antivir si nemusí být jist, zda jde o trojského koně, nebo ne. Jediným „identifikačním“ údajem je, že se při přístupu na internetovou stránku nejprve zobrazí chybové hlášení. Hacker tak chce uživatele přesvědčit, že stránka neexistuje. 10,218s MANIPULACE DLL Funkci „WSASend“ v souboru „ws2_32.dll“ manipuluje Gumblar tak, že funkce volání „send ()“ je přesměrována na rootkit Daonol. To umožní například získávat přihlašovací údaje. programy v našem systému. Gumblar se zaměřuje zejména na mezery v programech Adobe Reader a Adobe Flash a v balíku Microsoft Office. Na základě zranitelností zjištěných na konkrétním počítači si pak škůdce stáhne ze serveru příslušný exploit. Na váš počítač tedy zaútočí škodlivý kód přímo zaměřený na vaše konkrétná „slabá místa“. 4,126 s Abychom škůdci porozuměli lépe, podívali jsme se do zdrojového kódu a zkoušeli jsme odhalit to, co se jeho tvůrci snaží skrýt: zdrojový kód je záměrně vytvořen poměrně komplikovaným způsobem, takže jeho skutečný účel není na první pohled jasný. Tímto krokem hackeři ztěžují práci nejen virovým analytikům, ale především automatickým detekčním systémům. My jsme však objevili klíčový prvek, který plní funkci „šperháku“. Tento prvek (označovaný také jako dropper) sám o sobě „destrukční“ schopnosti nemá – pouze otevírá cestu pro další viry. Zde například pomocí vkládání objektů a spouštění souborů ve formátu PDF (na pozadí) otevírá cestu svým nebezpečnějším kolegům. V našem případě šlo o poměrně „tvrdý oříšek“ – konkrétně o „Exploit.Win32.Pidief.crv“, který využívá mezeru v programu Adobe Reader v podobě „klasického“ přetečení zásobníku. Běžný uživatel nemá šanci si útoku všimnout – Adobe Reader se na
pozadí otevře a krátce poté znovu zavře. Na obrazovce se neobjeví nic, co by naznačovalo útok – malware se do počítače dostane zcela nepozorovaně. 5,693 s Nyní představený program je poslední etapou – tedy alespoň v tomto případě. Škůdce označovaný jako „Trojan-PSW. Win32.Kates.ad“ se do počítače dostane na několik kroků. To, že se program rozdělí na několik malých částí, je speciální trik, tvůrci označovaný jako modularizace. Díky tomuto triku je údržba škůdce jednodušší a jeho nasazení efektivnější. Dropper tak může nenápadně stáhnout jednotlivé komponenty přesně podle potřeb hackera. 7,953 s Škůdce přidá do registru následující záznam: „HKEY_LOCAL_MACHINE\Software\ Microsoft\WindowsNT\CurrentVersion\ Windows“ „LoadAppInit_DLLs“ = „1“. 8,131 s Druhou položkou v registru (HKEY_LO- CAL_MACHINE\Software\Microsoft\WindowsNT \CurrentVersion\Windows, AppInit_DLLs = „winmm.dll“) hacker zajistí, že každá aplikace, která využívá „user32.dll“ (je jich většina), zároveň automaticky spustí i DLL škůdce. Soubor „winmm.dll“ je součástí rootkitu označovaného jako Daonol. Ze systému nezmizí ani po restartu, přičemž se maskuje následujícím způsobem: DLL viru zachytí libovolný proces (v našem případě je to Adobe Reader), do RAM zapíše vlastní kód a DLL okamžitě „uzavře“. Samotný proces Gumblaru se tak objeví jen na zlomek sekundy. Výsledkem je cizí kód spuštěný v paměti RAM, původně vyhrazený aplikaci Adobe Reader. Tato metoda „injekce procesů“ byla objevena Felixem Lederem pomocí nástroje RE-Google (viz rámeček vpravo). 10,218 s Zde koloběh Gumblaru končí a může začít nový útok. Jakmile se uživatel přihlásí ke TRUSTPORT ANTIVIRUS PRO USB Pokud máte příliš zavirovaný počítač a není možné nainstalovat alternativní produkt, uživatelé často propadají panice. My vám nabízíme řešení. Antivirový program můžete nosit stále s sebou v kapse na zabezpečené USB klíčence nebo na paměťové kartě. Tento program najdete na DVD pod indexem Viry. Tým studentů odhaluje Conficker a Gumblar Felix Leder, doktorand univerzity v Bonnu, vyvinul s týmem studentů nástroj, který analyzuje malware a určuje jeho funkce. Pomocník s názvem RE-Google je doplněk pro IDA dissembler a pouze ve finále odesílá Googlu automatické vyhledávácí dotazy. JEDNODUCHÝ KONCEPT S VÝSLEDKEM Jednoduchý, ale velmi účinný trik: Vzhledem k tomu, že viry a malware rády používají existující knihovny a programové části, můžete mnoho škůdců snadno odhalit pouhým hledáním na netu. Díky tomu mohl Leder se svým týmem identifikovat různé kryptovací funkce v malwaru Conficker a Waledac Bot. Jeho nástroj „RE-Google“ také pomá- svým webovým stránkám (například pomocí FTP), škůdce data prozkoumá a začne s nimi manipulovat – například do stránek vloží výše uvedený kód v javaskriptu a umožní napadení dalšího počítače. Soubor „Winmm.dll“ také hackerovi umožňuje kontrolu FTP připojení – součástí rootkitu Daonol bývá i nástroj označovaný jako sniffer. Ten dokáže monitorovat síťovou komunikaci všech programů. Kromě toho DLL přepíše části standardní funkce Windows Send a Recv (z dynamické knihovny „ws2_32.dll“) a umožní „kontrolu“ jejich volání. To například dovolí analyzovat datový tok a získat přístup k zajímavým datům, jako jsou třeba uživatelská jména a hesla k FTP účtům. 10,228 s Ve finále se v registru vytvoří ještě položka, která slouží k informování „nově příchozích“ verzí Gumblaru, že systém již byl napaden: „HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32“ „midi9“ = „[filename] 0yAAAAAAAA“. 11,545 s Od této chvíle Gumblar nejen slídí po disku a kontroluje FTP připojení, ale i manipuluje s dotazy Googlu: pomocí instalace proxy, která je „převlečená“ za Sys- 32dll.exe, a také vytvořením kanálu pro vyhledávací dotazy přes port 7171. Pokud se při surfování pohybujete po stránkách bank, obchodních portálů nebo měst, je možné, že vám při hledání Google ukáže správné výsledky, ale mno- Vizualizace: Modulární struktura malwaru s tzv. loaderem (vpravo) a rootkitem (vlevo). hal s Gumblarem. Leder například zjistil, jak rootkit funkce funguje a že je založen na „toolkitu Shock Shock“. Kromě toho také objevil, že Gumblar filtruje z datového provozu protokol FTP, a to i přesto, že tato „funkce“ není z analýzy zdrojového kódu rootkitu zřejmá – byla totiž zašifrována přímo v kódu malwaru. hem častěji zavede uživatele na phishingové stránky. Při hledání nástrojů na odstranění Gumblaru také logicky nenajdete nic… To ale zdaleka není vše – jakmile váš počítač ovládne Gumblar, je jen otázkou času, kdy se na něj dostane specializovaný škůdce, který změní váš počítač v zombie a začlení se do botnetu. Váš počítač tak budou moci na dálku ovládat hackeři a používat ho ke svým dalším výnosným aktivitám (rozesílání spamu, DOS útokům…). A jak se bránit? Prvním krokem by měla být aktualizace Windows, prohlížeče a jeho doplňků (Adobe Reader a Flash). To by mělo pro odvrácení útoku stačit. Pokud je váš počítač již napaden, pomohou vám naše nástroje na odstranění škodlivého softwaru. NAJDETE NA DVD AUTOR@CHIP.CZ RootAlyzer – nový typ nástroje, který vyhledává skrývající se škůdce, případně je i eliminuje HijackThis – detekuje malware, který zanechává stopy při změnách v systému Radix Antirootkit – vyhledává rootkity, které se skrývají v „hloubce“ operačního systému Symantec Removal Tool for W32.Downadup – specializovaný nástroj na vyhledání a odstranění červa Conficker Dr. Web CureIt – kontroluje počítač na přítomnost počítačových virů a červů, umožňuje i jejich odstranění Programy k tomuto článku najdete na DVD pod indexem Viry WWW.CHIP.CZ 03/2010 PARTNER TÉMATU 87
Page 1 and 2:
DVD 8 GB 03 2010 Testy: Notebooky s
Page 3 and 4:
Josef Mika šéfredaktor první mě
Page 5 and 6:
Nové přístroje 46 s USB 3.0 NOVI
Page 7 and 8:
PLACENÁ INZERCE
Page 9 and 10:
Mobilní navigace Ovi Maps zdarma N
Page 11 and 12:
Novinky ze světa e-booků NOVINKY
Page 13 and 14:
PLACENÁ INZERCE
Page 15 and 16:
Photo Commander: Šikovný nástroj
Page 17 and 18:
Operační systém z Chip DVD 9/200
Page 19 and 20:
Topfun On-line videopůjčovna V po
Page 21 and 22:
Canon EOS 550D Zrcadlovka mezi EOS
Page 23 and 24:
Server BIND: DNS s chybami Chyba v
Page 25 and 26:
NOVÁ BEZPEČNOSTNÍ RIZIKA ADOBE A
Page 27 and 28:
PLACENÁ INZERCE
Page 29 and 30:
1994 Integrovaná navigace Sériov
Page 31 and 32:
PLACENÁ INZERCE
Page 33 and 34:
UDÁLOSTI Z HISTORIE STROJOVÉHO P
Page 35 and 36: Pečlivý strážce odinstalace Pom
Page 37 and 38: Bezpečnost nejen na cesty Antivir
Page 39 and 40: Zálohovač důležitých dat Nást
Page 41 and 42: PLACENÁ INZERCE
Page 43 and 44: VÍCE OPERAČNÍ PAMĚTI DÍKY 64 B
Page 45 and 46: Vyšší výkon díky grafickému
Page 47 and 48: 4Vyplatí se pospíchat? I když by
Page 51 and 52: Navigace Googlu: Takto bude brzy vy
Page 53 and 54: Navigace v PDA Nemáte správný ty
Page 55 and 56: VYHLEDÁVÁNÍ OBRÁZKŮ V ROZŠÍ
Page 57 and 58: Nezapomeňte! Záloha 2010 ZÁVĚR
Page 59 and 60: Pokud vám jde především o velko
Page 61 and 62: FOTO: INTEL VÝZKUM V braunschweigs
Page 63 and 64: TESTOVACÍ ZÁKLADNA Prototypy 48j
Page 65 and 66: Výkonnější turbodiesel Zdá se
Page 67 and 68: nabízí jas na úrovni 362 cd/m 2,
Page 69 and 70: Špatné výkony, nestabilní syst
Page 71 and 72: Knowledge Base: Rady od expertů Po
Page 75 and 76: Dlouhé vzdálenosti 1000 Krátké
Page 77 and 78: net Plus pak dokonce žádné omeze
Page 79 and 80: PROFIL Cena: cca 33 000 Kč Kamkord
Page 81 and 82: Lokalizace telefonu: Mobil vybaven
Page 85: Jak se na problematiku Gumblaru dí
Page 89 and 90: eDocPrintPro Všechno v PDF Lhostej
Page 91 and 92: Telefonní seznam Správa kontaktů
Page 93 and 94: Výkon a výdrž na maximu Úsporn
Page 95 and 96: Srovnání: Netbook s novým Atomem
Page 97 and 98: FOTO: GETTY IMAGES; ISTOCKPHOTO zda
Page 101 and 102: OBSAH 100 Produkt měsíce Acer Asp
Page 103 and 104: HAL3000 Alien 9514 Stolní PC HAL30
Page 105 and 106: Canon CanoScan LiDE 700F Skener Can
Page 107 and 108: Mobilní telefon LG BL20 new chocol
Page 109 and 110: Sony Ericsson Satio Mobilní telefo
Page 111 and 112: eM Client 2.5 E-mailový klient eM
Page 113 and 114: Ocster Backup Free-1.22 Zálohován
Page 115 and 116: TIP r Freeware Unlocker vám pomů
Page 117 and 118: 8. Rychlé tipy OBSLUHA KALKULAČKY
Page 119 and 120: nál. Ten můžete nahradit jiným
Page 121 and 122: zachována; indikována jsou barevn
Page 123 and 124: kde XXX je vaše přezdívka zadan
Page 125 and 126: 26. Profesionální tip: Optimaliza
Page 129 and 130: 5. Vyberte si z knihovny 6. Připoj
Page 133 and 134: DIGITÁLNÍ FOTOAPARÁTY ZRCADLOVKY
Page 135 and 136: SSD DISKY SSD disky Jsou bezhlučn
Page 137 and 138:
BLU-RAY PŘEHRÁVAČE Blu-ray přeh
Page 139 and 140:
PLACENÁ INZERCE
Page 141 and 142:
Pořadí 21 Intel Core 2 Duo SU9600
Page 143 and 144:
PLACENÁ INZERCE
Page 145 and 146:
PLACENÁ INZERCE
show all

Březen - JV Project

Create successful ePaper yourself

Delete template?

Save as template?