Rok 2004 byl plný velmi zajímavých zvratů v oblasti zákeřných kódů. Viry a červy se předháněly, objevil se první 64-bitový vir, červy pro mobilní telefony se staly reálnou hrozbou a emailový červ nám kazil Vánoce. Na druhé straně barikády největší změnu znamenal Service Pack 2 pro Windows XP, který znamená skutečný zlom v oblasti bezpečnosti platformy Windows.
Všeobecně se odhadem za rok 2004 objevilo více než 100 000 nových virů a červů. Některé nepodstatné, některé bez valných reprodukčních schopností a v neposlední řadě také ty, které dokázaly notně zahýbat celou internetovou veřejností. Oproti loňskému roku se jedná prakticky o dvojnásobný růst aktivity v této oblasti.
Orientační přehled virové infekce v roce 2004
Procentuální výskyty virové aktivity se mohou poměrně hodně lišit podle místa, kde statistiky sledujeme. Následující údaje čerpají ze stránek www.virovyradar.cz a odrážejí aktuální dění na jednom z našich největších freemailových serverů. Virový radar monitoruje poštu zhruba od dubna roku 2004.
| Pořadí |
Jméno viru |
Počet zachycených |
Poměr infekce |
| 1 |
Win32/Zafi.B |
23 273 582 |
2,737 % |
| 2 |
Win32/Netsky.Q |
21 841 778 |
2,569 % |
| 3 |
Win32/Bagle.AB |
10 993 205 |
1,293 % |
| 4 |
Win32/Netsky.D |
7 755 364 |
0,912 % |
| 5 |
Win32/Sober.I |
7 563 823 |
0,890 % |
| 6 |
Win32/Netsky.B |
5 426 369 |
0,638 % |
| 7 |
Win32/Sober.G |
4 496 306 |
0,529 % |
| 8 |
Win32/Netsky.C |
2 920 776 |
0,343 % |
| 9 |
Win32/Bagle.AS |
2 186 551 |
0,257 % |
| 10 |
Win32/Netsky.R |
2 015 052 |
0,237 % |
Sloupeček Poměr infekce určuje procento emailů infikovaných daným virem v poměru k celkovému počtu příchozích neinfikovaných emailů. Celkově na tomto poštovním serveru bylo za minulý rok v době funkční antivirové statistiky zachyceno zhruba 100,1 milionu infikovaných zpráv z celkového počtu 850,4 milionu emailových zpráv.
Pokud se podíváme například na statistiky za rok 2004 ze serveru společnosti Sophos, spatříme rozdíly. Na první místo zde vystoupil červ Netsky.P (22,6 procent), na druhé místo Zafi.B (18,8 procenta) a na třetí místo červ Sasser (14,2 procenta).
Stejně jako každý měsíc neopomeneme ani procentuální virovou aktivitu za prosinec.
| Pořadí |
Jméno viru |
Počet zachycených |
Poměr infekce |
| 1 |
Win32/Sober.I |
6 035 931 |
5,246 % |
| 2 |
Win32/Netsky.Q |
1 681 544 |
1,462 % |
| 3 |
Win32/Zafi.B |
1 014 185 |
0,881 % |
| 4 |
Win32/Bagle.AB |
605 502 |
0,526 % |
| 5 |
Win32/Netsky.Z |
566 709 |
0,493 % |
| 6 |
Win32/Netsky.D |
457 168 |
0,397 % |
| 7 |
Win32/Netsky.B |
323 856 |
0,281 % |
| 8 |
Win32/Netsky.C |
222 041 |
0,193 % |
| 9 |
Win32/Zafi.D |
185 278 |
0,161 % |
| 10 |
Win32/Bagle.drp.gen |
127 564 |
0,111 % |
Sloupeček Poměr infekce opět určuje procento emailů infikovaných daným virem v poměru k celkovému počtu příchozích neinfikovaných emailů. Celkově na tomto poštovním serveru bylo za minulý měsíc zachyceno zhruba 12 milionu infikovaných zpráv z celkového počtu 115,1 milionu emailových zpráv.
Průšvihy roku 2004
V roce 2004 se často mluvilo o pojmech Zafi, Bagle, Netsky, Mydoom a Sober.
Hned v polovině ledna 2004 internet zavalila celosvětová epidemie červa Bagle.A. Jednoduše vypadající email, s přílohou v podobě ikony kalkulačky, šel na dračky a spousta uživatelů ho podpořila poklepáním na infikovanou přílohu. Epidemie postupně ustala 28. ledna, kdy červ sám ukončil své šíření.
Kdo si myslel, že po zbytek ledna již bude klid, se mýlil. Ke konci ledna totiž přišel červ Mydoom.A, který v rychlosti svého šíření strčil Bagle.A s přehledem do kapsy. Obsahoval velkou řadu metod šíření – od klasického infikovaného emailu až po šíření pomocí P2P sítí. Jeho hlavním posláním bylo uspořádat od 1. února mohutný DoS útok proti stránkám www.sco.com. K nelibosti pánů z SCO se tento útok červu povedl a servery SCO na nějakou dobu přestaly odpovídat na požadavky běžných návštěvníků.
V březnu se objevil červ Bagle a s ním i další důkaz lidské nepoučitelnosti. Obsahoval totiž zavirovanou přílohu v podobě zaheslovaného archívu. Pro infikaci počítače bylo nutné vlastnit komprimační program, před otevřením archivu přepsat heslo umístěné v textu emailu a nakonec spustit zkomprimovaný binární soubor s červem. Ani tento komplikovaný způsob nezabránil červu v jeho rychlém rozšíření po celém světě.
Květen přinesl na virovou scénu další pohromu. Červ Sasser si vzal na mušku bezpečnostní chybu v LSASS operačních systémů Windows 2000, XP a 2003. Velkou změnou byla distribuce – červ na uživatelský systém nepřišel ve formě souboru či zavirované přílohy, což znemožnilo detekci běžným antivirovým softwarem bez rozšířených schopností. Pomocí chyby v LSASS se červ dostal přes síťový port až do systému a miliony uživatelů začala trápit nová nemoc a zároveň hmatatelný projev činnosti tohoto červa – jejich počítač se v průměru do dvou minut vypnul. I tento fakt ve velkém procentu případů znemožňoval z časových důvodů stáhnout bezpečnostní záplatu na již infikovaném počítači – než se stihla stáhnout pomocí Windows Update, červ již dávno vypínal počítač.
Květen byl rovněž měsícem, kdy do povědomí uživatelů vešel červ Zafi.B. Ten se v českém internetu nakonec umístil na prvním žebříčku celkové aktivity. Jedním ze zásadních důvodů byl i fakt, že tento červ jako jeden z mála uměl nezvykle mnoho řečí. Mezi 18-ti jazyky byla bohužel i čeština, pomocí které červ v doprovodném textu emailu upozorňoval na elektronickou pohlednici ze serveru Seznam.cz, umístěnou v příloze. Žádná pohlednice se nekonala, zato červík tam spolehlivě počkal na svoji příležitost. Společnost Seznam.cz dokonce podala trestní oznámení na neznámého pachatele.
V červenci v grafech virové aktivity vyskočil do popředí červ Mydoom. Vyznačoval se velkou variabilitou textů a velkou úspěšností šíření.
V prosinci se objevila nová varianta červa Zafi.D, které se velmi brzo začalo přezdívat „vánoční přání“. Opět uměla česky a opět byla mimořádně úspěšná. Potenciálním obětem přála v českém jazyce Veselé Vánoce…
Zajímavosti roku 2004
Mezi zajímavosti roku 2004 bych zařadil zhruba čtyři počiny.
Prvním z nich byl květnový, mediálně proslavený, 64-bitový vir Win64/Rugrat.3344. Z hlediska koncepce neznamenal žádnou reálnou hrozbu (jednalo se o vir přímé akce bez schopnosti šíření mimo počítač). Navíc 64-bitové prostředí má doma stále zatím velmi malé procento uživatelů.
V červenci roku 2004 se objevil první virus WinCE/Duts.A pro operační systém Windows CE .NET. Opět se nejednalo o žádnou reálnou hrozbu, ale spíše o ukázku, že i v tomto prostředí nejsou virové útoky žádnou utopií.
Další zajímavostí roku 2004 se stal červ Cabir, který naznačil, že hrozba virových útoků na mobilní zařízení není až tak nereálná. V dnešní době existuje již v několika variantách a pro šíření používá Bluetooth.
Poslední zajímavostí je červ známý z prosince roku 2004. Neznamená hrozbu pro běžné uživatele, ale spíše pro správce webových serverů, využívajích diskuzní fórum phpBB. Červ Santy je „dobrou“ ukázkou zneužití bezpečnostní chyby v masivně využívaných produktech. Více než 40 tisíc uživatelů phpBB fóra našlo na svých stránkách pouze stručný vzkaz zanechaný červem namísto původního obsahu diskusního fóra.
Pošli mi vir a já ti o tom řeknu
Naprostá většina dnešních emailových červů dosazuje do zavirovaného emailu do kolonky „Odesílatel“ zfalšovanou adresu. Snadno tak můžete dostat zavirovaný email od vašeho přítele či zaměstnavatele, Gagarina či pana prezidenta, aniž by alespoň jeden ze zmíněných měl ve skutečnosti opravdu zavirovaný počítač.
Bohužel stále spousta antivirových kontrol poštovních serverů má nastaveno automatické upozornění na příchozí zavirovaný email. Pomineme-li zbytečné zatěžování internetu nesmyslnými upozorněními, zbude minimálně hrstka vyděšených uživatelů, kteří ráno ve své poště našli varování o „zavirování jejich stroje“. K zamyšlení je i fakt, proč ještě stále je tato nesmyslná volba vůbec v antivirových řešeních dostupná.
Krásnou a úsměvnou analogií s lidským protějškem může být i pro mě stále neznámá sekretářka jedné nejmenované společnosti, která mi zhruba na 2 stránách A4 emailu totálně vytmavila, jak strašně ničím pověst internetu tím, že rozesílám uživatelům viry – od rána ji totiž přišly již 3 kopie zavirovaného emailu a jako odesílatel jsem byl uveden právě já.
Jak přibrzdit rozjetý vlak
V září roku 2004 Microsoft po dlouhé době vývoje, testování a příprav zveřejnil opravný balíček, do kterého investoval nemalé peníze a rovněž si od něj sliboval nemalé změny právě na poli bezpečnosti operačních systémů Windows.
Service Pack 2 přinesl řadu konkrétních změn v bezpečnostní politice Windows a hlavně změnu celkového přístupu. Od principu „zakaž si co chceš“ se posunul k pracnějšímu, ale bezpečnějšímu principu „povol si co potřebuješ“.
Hlavním prezentovaným prvkem SP2 je tzv. Centrum zabezpečení, které sdružuje dohromady tři klíčové prvky pro dobrou kondici počítače. Je jím po instalaci automaticky aktivní interní firewall, kontrolní centrum antivirového řešení a centrum automatických aktualizací. Tento prvek, úhledně zabalený do barevných dialogů, dokáže neznalé a nedbalé uživatele dohánět k šílenství neustálým zobrazováním informativních varovných bublin s informacemi, že něco není v pořádku.
V oblasti „pod pokličkou“ nastala velká změna v práci s pamětí. Service Pack 2 se chlubí schopností zabránit často využívanému způsobu útoku pomocí přetečení zásobníku. Dále je celkově po instalaci SP2 více zdůrazňováno spouštění aplikací z prostředí internetu a ve výchozím stavu jsou vypnuty nepotřebné služby.
Nová verze webového prohlížeče Internet Explorer byla doplněna přepracovaným systémem zabezpečení. Nově se objevila možnost pro blokování vyskakujících oken, která Internet Exploreru silně chyběla. Změn v bezpečnostní části se rovněž dočkal i často používaný emailový klient Outlook Express.
Jaký bude rok 2005?
Těžko v tuto chvíli predikovat, jakým bude současný rok 2005. Bezpečnostní experti se však shodují, že procházku růžovým sadem určitě nezažijeme. Rafinovanost programátorů a jejich rychlost při zneužití nově odhalených bezpečnostních chyb prudce roste.
V současné době je spíše zázrakem, že většina masivně šířících se červů zatím nepřinesla žádnou vysoce destruktivní akci. Možná i proto je lidstvo nepoučitelné a na světě stále existuje velká řada absolutně nezabezpečených počítačů, kterým nic neříká ani bezpečnostní záplaty, ani antivir a o pojmu firewall už netuší vůbec nic. Takovéto počítače se velmi lehko stanou tzv. „zombie PC“, které následně útočníci mohou použít k šíření nových virů, k DoS útokům, k distribuci spamu či k dalším nekalým úmyslům. A co vy doma? Jak na Nový rok, tak po celý rok. Máte opravdu aktuální záplaty operačního systému, aktuální virovou databázi a kvalitní osobní firewall?
Zpracováno podle podkladů virového radaru on-line.
