Na řádcích našich bezpečnostních komentářů vás pravidelně informuje nejen o aktuálních trendech, ale také konkrétních škodlivých kódech. Často analýzy doplňujeme slovy, že většina současných útoků nekončí destrukcí dat, ale spíše se snaží vyloudit z postiženého uživatele peníze nebo citlivé informace. Výjimky však odedávna potvrzují pravidla, a tak se i tentokrát objevil malware, který se zaměří na ničení: červ Zimuse dokáže zlikvidovat vaše soubory.
Stříháme drátky malwarové bomby
Zimuse má původ na Slovensku, kde si vydobyl 90% podíl tamější malwarové scény, postupně však došlo k velkému rozšíření také na území Spojených států, Španělska nebo například i Česka. O jmenovaném červu mezi prvními informovala společnost Eset, která také uvedla detaily o způsobech šíření.
Červ se šíří dvěma způsoby – buď je nastražen na legitimních stránkách v podobě samorozbalovacího ZIP balíčku nebo jako zábavný IQ test program a šíří se prostřednictvím USB. Právě jeho schopnost šířit se pomocí vyměnitelného média způsobuje, že počet celosvětově infikovaných PC narůstá. Dosud byly objeveny dvě varianty Win32/Zimuse.A a Win32/Zimuse.B, které se kromě použité metody sociálního inženýrství liší v načasovaní.
První varianta potřebuje deset dní na to, aby se začala šířit přes USB, u druhé je tato doba zkrácená na sedm dní od instalace. Taktéž spuštění destrukční rutiny je zkráceno z původních čtyřiceti dní na dvacet. Ta se navíc spustí i tehdy, pokud se při odstraňování červa nepoužije správný postup. Je to jakási analogie stříhání drátků při zneškodňování bomby, jak to známe z filmů – pokud přestřihnete ten nesprávný, je konec.
Zimuse pod dlouhé době představuje čistě destruktivní riziko, ani se své choutky nesnaží nijak krkolomně maskovat. Jakmile dojde k jeho aktivaci, zaměří se rovnou na zaváděcí oblast disku, přesněji MBR. Žádné šifrování, žádné kličky s touhou po penězích, jednoduše pokus o zničení disku tak, že běžný uživatel bez pomoci odborného servisu své původní soubory jen stěží získá zpět. Kromě klasické ochrany v podobě použití zdravého rozumu a pravidelně aktualizovaného antiviru je tak možné škody minimalizovat i pravidelným zálohováním důležitých dat. Rozšíření po světě bylo poměrně rychlé, do budoucna bude zajímavé sledovat, jak se viru bude v tomto ohledu neslavně dařit v blízké době.
USB disky jsou kromě šíření virů také snadno zneužitelné pro krádeže dat. Jak zabránit zápisu ve Windows?
USB je opravdu univerzální
Kromě ničení dat pevných disků je dobré povšimnout si také šíření prostřednictvím USB, které představuje jednu z častých cest automatického kopírování a aktivace současných virů. Hlavní riziko obecně spočívá v tom, že nemusí jít jen o klasické USB flash disky, ale prakticky kterékoliv USB zařízení, jež lze k počítači připojit. Pokud se vám na něm zničehonic objeví souboru autorun.inf s údaji pro automatické spouštění, je možná načase zbystřit. Samozřejmě přitom nemusí jít pouze o Zimuse, ale také celou řadu dalších hrozeb.
Z pohledu napadeného uživatele pak v praxi může infekce nejčastěji vypadat tak, že po připojení některého USB zařízení dojde k zavolání souboru autorun.inf (buď automaticky, nebo po výslovném svolení), jenž se již postará o další neplechu – jednou z možností je přímé spuštění škodlivého kódu, další úprava registru nebo otevření speciálně upravené webové stránky apod. Dobrou zprávou pro majitele některého z pravidelně aktualizovaných antivirů je to, že se ve finále jedná o škodlivý kód jako kterýkoliv jiný, soubor autorun.inf poskytuje „jen“ přímou cestu šíření. V drtivé většině případů tak antivir dokáže hrozbu zachytit, samozřejmě až na případy, kdy jde o nový, dosud neznámý vzorek.
Šíření škodlivého kódu prostřednictvím souborů autorun.inf představuje další vývojový stupeň infekcí kolujících vyměnitelnými médii. Po disketách, díky nimž klasické viry prožily zlatá léta, vládne internet se svými zlomyslnostmi, nicméně autorun.inf se snaží vrátit zacházející záškodnickou slávu. Jak se proti moderním virům osobně bráníte? Spoléháte již jen na operační systém a zdravý rozum, nebo má antivir stále pevné místo v obranné barikádě? Podělte se s ostatními čtenáři v diskuzi pod článkem.