Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
pozadí otevře a krátce poté znovu zavře. Na<br />
obrazovce se neobjeví nic, co by naznačovalo<br />
útok – malware se do počítače dostane<br />
zcela nepozorovaně.<br />
5,693 s<br />
Nyní představený program je poslední<br />
etapou – tedy alespoň v tomto případě.<br />
Škůdce označovaný jako „Trojan-PSW.<br />
Win32.Kates.ad“ se do počítače dostane na<br />
několik kroků. To, že se program rozdělí<br />
na několik malých částí, je speciální trik,<br />
tvůrci označovaný jako modularizace. Díky<br />
tomuto triku je údržba škůdce jednodušší<br />
a jeho nasazení efektivnější. Dropper<br />
tak může nenápadně stáhnout jednotlivé<br />
komponenty přesně podle potřeb<br />
hackera.<br />
7,953 s<br />
Škůdce přidá do registru následující záznam:<br />
„HKEY_LOCAL_MACHINE\Software\<br />
Microsoft\WindowsNT\CurrentVersion\<br />
Windows“ „LoadAppInit_DLLs“ = „1“.<br />
8,131 s<br />
Druhou položkou v registru (HKEY_LO-<br />
CAL_MACHINE\Software\Microsoft\WindowsNT<br />
\CurrentVersion\Windows, AppInit_DLLs<br />
= „winmm.dll“) hacker zajistí, že<br />
každá aplikace, která využívá „user32.dll“<br />
(je jich většina), zároveň automaticky<br />
spustí i DLL škůdce. Soubor „winmm.dll“<br />
je součástí rootkitu označovaného jako<br />
Daonol. Ze systému nezmizí ani po restartu,<br />
přičemž se maskuje následujícím způsobem:<br />
DLL viru zachytí libovolný proces<br />
(v našem případě je to Adobe Reader), do<br />
RAM zapíše vlastní kód a DLL okamžitě<br />
„uzavře“. Samotný proces Gumblaru se<br />
tak objeví jen na zlomek sekundy. Výsledkem<br />
je cizí kód spuštěný v paměti RAM,<br />
původně vyhrazený aplikaci Adobe Reader.<br />
Tato metoda „injekce procesů“ byla<br />
objevena Felixem Lederem pomocí nástroje<br />
RE-Google (viz rámeček vpravo).<br />
10,218 s<br />
Zde koloběh Gumblaru končí a může začít<br />
nový útok. Jakmile se uživatel přihlásí ke<br />
TRUSTPORT ANTIVIRUS<br />
PRO USB<br />
Pokud máte příliš zavirovaný počítač<br />
a není možné nainstalovat alternativní<br />
produkt, uživatelé často propadají panice.<br />
My vám nabízíme řešení. Antivirový<br />
program můžete nosit stále s sebou<br />
v kapse na zabezpečené USB klíčence<br />
nebo na paměťové kartě. Tento program<br />
najdete na DVD pod indexem Viry.<br />
Tým studentů odhaluje Conficker a Gumblar<br />
Felix Leder, doktorand univerzity<br />
v Bonnu, vyvinul<br />
s týmem studentů nástroj,<br />
který analyzuje malware<br />
a určuje jeho funkce. Pomocník<br />
s názvem RE-Google<br />
je doplněk pro IDA dissembler<br />
a pouze ve finále odesílá<br />
Googlu automatické vyhledávácí<br />
dotazy.<br />
JEDNODUCHÝ KONCEPT<br />
S VÝSLEDKEM<br />
Jednoduchý, ale velmi účinný trik: Vzhledem<br />
k tomu, že viry a malware rády používají<br />
existující knihovny a programové<br />
části, můžete mnoho škůdců snadno odhalit<br />
pouhým hledáním na netu.<br />
Díky tomu mohl Leder se svým týmem<br />
identifikovat různé kryptovací<br />
funkce v malwaru Conficker a Waledac<br />
Bot. Jeho nástroj „RE-Google“ také pomá-<br />
svým webovým stránkám (například pomocí<br />
FTP), škůdce data prozkoumá a začne<br />
s nimi manipulovat – například do<br />
stránek vloží výše uvedený kód v javaskriptu<br />
a umožní napadení dalšího počítače.<br />
Soubor „Winmm.dll“ také hackerovi<br />
umožňuje kontrolu FTP připojení – součástí<br />
rootkitu Daonol bývá i nástroj označovaný<br />
jako sniffer. Ten dokáže monitorovat<br />
síťovou komunikaci všech programů.<br />
Kromě toho DLL přepíše části standardní<br />
funkce Windows Send a Recv (z dynamické<br />
knihovny „ws2_32.dll“) a umožní „kontrolu“<br />
jejich volání. To například dovolí<br />
analyzovat datový tok a získat přístup<br />
k zajímavým datům, jako jsou třeba uživatelská<br />
jména a hesla k FTP účtům.<br />
10,228 s<br />
Ve finále se v registru vytvoří ještě položka,<br />
která slouží k informování „nově příchozích“<br />
verzí Gumblaru, že systém již byl<br />
napaden:<br />
„HKEY_LOCAL_MACHINE\Software\Microsoft\Windows<br />
NT\CurrentVersion\Drivers32“<br />
„midi9“ = „[filename] 0yAAAAAAAA“.<br />
11,545 s<br />
Od této chvíle Gumblar nejen slídí po<br />
disku a kontroluje FTP připojení, ale i manipuluje<br />
s dotazy Googlu: pomocí instalace<br />
proxy, která je „převlečená“ za Sys-<br />
32dll.exe, a také vytvořením kanálu pro<br />
vyhledávací dotazy přes port 7171.<br />
Pokud se při surfování pohybujete po<br />
stránkách bank, obchodních portálů nebo<br />
měst, je možné, že vám při hledání<br />
Google ukáže správné výsledky, ale mno-<br />
Vizualizace: Modulární struktura malwaru<br />
s tzv. loaderem (vpravo) a rootkitem (vlevo).<br />
hal s Gumblarem. Leder například zjistil,<br />
jak rootkit funkce funguje a že je založen<br />
na „toolkitu Shock Shock“.<br />
Kromě toho také objevil, že Gumblar<br />
filtruje z datového provozu protokol FTP,<br />
a to i přesto, že tato „funkce“ není z analýzy<br />
zdrojového kódu rootkitu zřejmá –<br />
byla totiž zašifrována přímo v kódu<br />
malwaru.<br />
hem častěji zavede uživatele na phishingové<br />
stránky. Při hledání nástrojů na odstranění<br />
Gumblaru také logicky nenajdete<br />
nic…<br />
To ale zdaleka není vše – jakmile váš<br />
počítač ovládne Gumblar, je jen otázkou<br />
času, kdy se na něj dostane specializovaný<br />
škůdce, který změní váš počítač<br />
v zombie a začlení se do botnetu. Váš počítač<br />
tak budou moci na dálku ovládat<br />
hackeři a používat ho ke svým dalším výnosným<br />
aktivitám (rozesílání spamu,<br />
DOS útokům…).<br />
A jak se bránit? Prvním krokem by<br />
měla být aktualizace Windows, prohlížeče<br />
a jeho doplňků (Adobe Reader a Flash).<br />
To by mělo pro odvrácení útoku stačit.<br />
Pokud je váš počítač již napaden, pomohou<br />
vám naše nástroje na odstranění<br />
škodlivého softwaru.<br />
NAJDETE NA DVD<br />
AUTOR@CHIP.CZ<br />
RootAlyzer – nový typ nástroje, který vyhledává skrývající<br />
se škůdce, případně je i eliminuje<br />
HijackThis – detekuje malware, který zanechává stopy při<br />
změnách v systému<br />
Radix Antirootkit – vyhledává rootkity, které se skrývají<br />
v „hloubce“ operačního systému<br />
Symantec Removal Tool for W32.Downadup – specializovaný<br />
nástroj na vyhledání a odstranění červa Conficker<br />
Dr. Web CureIt – kontroluje počítač na přítomnost počítačových<br />
virů a červů, umožňuje i jejich odstranění<br />
Programy k tomuto článku najdete<br />
na DVD pod indexem Viry<br />
WWW.CHIP.CZ 03/2010<br />
PARTNER TÉMATU<br />
87