Malware

Malware

Malware (složení anglických slov malicious software) je v informatice označení pro škodlivé programy,[1][2][3] které v počítači provádějí činnost, se kterou uživatel nesouhlasí nebo by s ní nesouhlasil, kdyby o ní věděl. Označení malware se tak nevztahuje na programy, které působí škody kvůli programátorským chybám, ale jinak jde o legitimní (užitečný) software. Malware je možné rozdělit na mnoho typů, například: počítačový virus, počítačový červ, trojský kůň, crimeware, spyware, ransomware, adware a další.

Historie vzniku malware

Slovo malware vzniklo složením anglických slov „malicious“ (zlovolný, zlomyslný) a „software“ a vztahuje se spíše na záměr autora programu, než na vlastnosti malware (malware nemusí způsobovat přímou škodu, může např. jen zabírat místo nebo čas uživatele počítače). V právní terminologii je malware někdy nazýván počítačová nečistota (angl. „computer contaminant“), například v zákonech států Kalifornie, Západní Virginie a několika dalších členských států USA. Malware je také někdy pejorativně nazýván scumware. Naopak jako malware by neměl být označován software, který sice obsahuje chyby (které mohou způsobit škodu), ale byl napsán pro legitimní účely.

Malware byl a je vytvářen z různých důvodů. Zpočátku některé vznikly jako experiment nebo žert a většinou bez záměru způsobit nějakou škodu, případně pouze uživatele obtěžovat. U tvůrců malware se objevuje i touha sobě (nebo jiným) dokázat, že něco takového dovedou (např. Morrisův červ v roce 1988). S postupem času se však malware stal nástrojem šedé ekonomiky na vydělávání peněz (např. vyděračský ransomware).

Charakteristika

Větší hrozbu představují programy navržené tak, aby poškozovaly nebo zcela mazaly data. Mnoho virů pro DOS bylo napsáno tak, aby smazaly soubory na pevném disku nebo aby poškodily souborový systém zapsáním nesmyslných dat. Síťoví červi, jako například Code Red nebo Ramen, také patří do této kategorie, protože byly napsány, aby vandalizovaly webové stránky.

Motivem pro vznik škodlivého softwaru bývá někdy pomsta. Programátor nebo správce systému, který byl propuštěn ze zaměstnání, může v systému zanechat zadní vrátka (angl. „backdoors“) nebo softwarovou „časovanou bombu“, která mu umožní poškodit v budoucnu systémy bývalého zaměstnavatele nebo zničit jeho vlastní dřívější práci.

S rozšířením širokopásmového internetového připojení vzniklo velké množství škodlivého softwaru zaměřeného čistě na zisk. Například v roce 2003 byla většina nejrozšířenějších virů a červů navržena tak, aby získala kontrolu nad napadeným počítačem pro jeho pozdější podvodné zneužití. Nakažené počítače jsou zneužity pro rozesílání spamu, šíření nezákonného obsahu, kterým je například dětská pornografie, nebo jsou zapojeny v distribuovaných útocích způsobujících nefunkčnost jiných systémů (DDoS, angl. „Distributed Denial of Service“) jako nové formě vyděračství.

Další kategorií malwaru psaného výhradně za účelem zisku je spyware, tedy programy, které monitorují uživatelem navštívené webové stránky, zobrazují nevyžádané reklamy a přinášejí tak autorovi spywaru podíl na zisku. Spyware se nešíří způsobem obdobným počítačovým virům, obvykle se instalují zneužitím bezpečnostních chyb prohlížeče nebo jako trojské koně při instalaci jiného softwaru.

Cíle malwaru

Mnoho dříve nakažlivých programů, včetně prvních internetových červů a řady MS-DOS virů, bylo původně napsáno jako experimenty, či žerty. Jejich původní záměr byl neškodný nebo pouze otravný, ne aby způsobil vážné škody počítačovým systémům. V některých případech si pachatel ani nedokázal představit, jak moc velké škody může udělat jeho výtvor. Mladí programátoři, kteří se učili o virech a jejich technikách, je psali pro jednoduché procvičování, nebo aby zjistili, jak daleko se mohou rozšířit. Až v roce 1999 byly rozšířené viry, jako virus Melissa, nebo virus David, které byly napsány především jako žerty. První Mobilní virus Cabir se objevil v roce 2004.

Nepřátelský úmysl související s vandalismem můžete nalézt v programech vytvořených pro poškození nebo ztrátu dat. Mnoho DOS virů a červů bylo vytvořeno, aby zničily soubory na pevném disku, nebo aby zapsáním chybných dat do souborového systému jej poškodily. Sítí přenášení červi z roku 2001, Code Red červ nebo červ Ramen, spadají do stejné kategorie. Červi, vytvoření na poškozování webových stránek, mohou připomínat on-line ekvivalent grafitů s přezdívkou autora nebo skupiny, odkud červ pochází.

Od dob rozšíření širokopásmového připojení k internetu byl škodlivý software vytvořen pro zisk (např. z nucené reklamy). Například od roku 2003 byla většina rozšířených virů a červů vytvořena, aby převzala kontrolu nad uživatelskými počítači pro zneužití na černém trhu. Nakažené „zombie počítače“ jsou používány na rozesílání emailů, sdílení kontrabandu, dat jako je dětská pornografie, nebo na napadání DDOS útoky.

Jako další vyloženě výdělečná kategorie malware se objevil spyware – programy vytvořené tak, aby sledovaly prohlížení internetu uživatele, zobrazovaly nevyžádané reklamy, nebo přesměrování zisků výrobci spywaru. Spywarové programy se nešíří jako viry, obecně jsou instalovány zneužitím bezpečnostních děr nebo jsou přibaleny k instalovanému softwaru, například p2p aplikacím.

Nakažlivý malware: viry a červi

Nejznámější typy malwaru, viry a červi, jsou spíše známy pro jejich způsob šíření, než pro jiné chování. Výraz počítačový virus je použit pro programy, které nakazí spustitelný software a když se spustí, způsobí, že se rozšíří do jiných spustitelných aplikací. Viry také mohou obsahovat placený software, který vykonává další akce, často škodlivé. Na druhou stranu počítačový červ je program, který aktivně přenáší sám sebe přes síť, aby infikoval ostatní počítače. Ten také může obsahovat placený obsah.

Viry tedy vyžadují akci uživatele, aby se mohly rozšířit, kdežto červ se šíří automaticky. Kromě toho je infekce přenášena emaily nebo dokumenty, které jsou otevřeny příjemcem a následně infikují systém. Tento způsob infekce je klasifikován spíše jako virus než jako červ.

Přehled historie virů a červů

Než se rozšířil přístup k internetu, tak se viry šířily na osobních počítačích tím, že infikovaly spustitelný bootovací (načítací) sektor disket. Virus spustil sám sebe tím, že vložil kopii sebe sama mezi instrukce strojového kódu spustitelných aplikací. Toto proběhlo buď při spuštění programu nebo při bootování (načítání) diskety. Původní verze počítačových virů byly napsány pro Apple II a Apple Macintosh, ale rozšířily se až s dominancí IBM počítačů a MS-DOS systémů na trhu. Viry infikující spustitelné aplikace jsou závislé na vyměňování softwaru mezi uživateli nebo na bootovacích (načítacích) disketách, proto se rychle šířily v kruzích počítačových fanoušků.

První červi, sítí přenášené nakažlivé programy, nevznikly na osobních počítačích, ale na víceúlohových unixových systémech. První dobře známý červ byl internetový červ v roce 1988, který nakazil SunOS a VAX BSD systémy. Na rozdíl od viru, tento červ nevkládá sám sebe do jiných programů. Místo toho využívá bezpečnostních mezer v síťových serverových programech a spouští se jako oddělený proces. Takové chování je používáno i dnešními červy.

Růst platformy Microsoft Windows v 90. letech a makra jejích aplikací umožnila zapisovat nakažlivý kód do makroinstrukcí Microsoft Office Word a podobných programů. Tyto makro viry infikovaly dokumenty a šablony místo spustitelných aplikací, protože makra ve „wordovském“ dokumentu jsou formou spustitelného kódu.

Dnes jsou červi obecně psané pro operační systémy Windows, ačkoliv několik červů, mezi které patří Mare-D a Lion, jsou také v Linuxových a Unixových systémech. Červi dnes pracují na stejném základním principu, jako Internetový červ v roce 1988: skenují síť a využívají zranitelné počítače, aby se mohly kopírovat. Jelikož nepotřebují zásah uživatele, tak se dokáží šířit velice rychle. Červ SQL Slammer infikoval tisíce počítačů během několika minut.

Utajení: trojští koně, rootkity a backdoory

Trojští koně

Aby škodlivý program splnil své cíle, musí být schopen se spustit, aniž by byl zastaven nebo smazán uživatelem či administrátorem počítačového systému, na kterém běží. Utajení může také pomoci, aby se v první řadě malware mohl nainstalovat. Když je škodlivý program přestrojen za něco nevinného či užitečného, uživatelé mohou být svedeni k instalaci tohoto programu, aniž by věděli, co dělá. Toto je technika Trojského koně.

Obecně je Trojský kůň jakýkoliv program, který vybízí uživatele ke spuštění, přičemž mu zatajuje nebezpečí či skryté platby. Platba může mít okamžitý efekt a může vést k mnoha dalším nežádoucím věcem, jako je smazání uživatelských souborů nebo k instalaci dalšího škodlivého a nežádoucího softwaru. Trojští koně, známí jako droppery jsou použity k propuknutí červí vzpoury tím, že vloží červy do uživatelské lokální sítě.

Jedna z nejčastějších cest šíření spywaru je Trojský kůň, který je součástí nežádoucího softwaru, staženého uživatelem z internetu. Jakmile uživatel nainstaluje software, rovněž se nainstaluje i spyware. Autoři spywaru, kteří se pokouší jednat legálním způsobem mohou vložit licenční ujednání, které podléhá volnějším pravidlům chování spywaru. Uživatelé jej však velmi neradi čtou nebo mu dokonce neporozumí. Samotné licenční ujednání pak způsobí dojem seriózního softwaru.

Trojští koně jsou nejčastěji používáni v marketingu. Dnešní pokročilí trojští koně jsou plně schopni převzít absolutní kontrolu nad prohlížečem, bez ohledu na typ (Internet Explorer, Mozilla Firefox, atd.). Je dokonce známé přidání falešné výjimky do bezpečnostních nastavení prohlížečů (čemuž často zabraňuje aktualizace prohlížeče), stejně tak jako editování počítačových registrů.

Rootkity

Když se nakažlivý program nainstaluje do systému, je nutné, aby zůstal utajený a předešel své detekci a následnému smazání. To samé platí, když se lidský útočník dostane přímo do počítače. Techniky známé jako rootkity dovolují toto utajení modifikováním hostujícího operačního systému, takže malware je skrytý před uživatelem. Rootkity mohou zabránit nakažlivému procesu, aby byl viditelný v systémovém seznamu procesů nebo udržují své soubory od přečtení. Původně byl rootkit sadou nástrojů instalovaných útočníkem na Unix systém, dovolující útočníkovi získat administrátorský přístup. Dnes je tento termín užíván spíše pro utajení rutin v nakažlivém programu.

Některé nakažlivé programy obsahují rutiny, které brání proti odstranění, ne přímo tím, že se schovají, ale tím, že odmítnou přístup k jejich odstranění. Původní příklad tohoto chování je zaznamenán v povídce Jargon File o páru programů zamořujících Xerox CP-V systém sdílení času:

Každý utajený proces by detekoval fakt, že jiný byl zabit a spustil by další kopii nedávno zabitého programu během několika milisekund. Jediná možnost, jak zabít oba procesy, byla zabít je současně (velmi složité) nebo úmyslně shodit celý systém.

Podobné techniky jsou použity u některých moderních malwarů, kde malware spustí více procesů, které se monitorují a obnovují navzájem když je potřeba. V situaci, kdy uživatel systému Microsoft Windows je infikován takovýmto malwarem a chtěl by jej manuálně vypnout, musí použít Windows Task manažer na záložce procesy a musí najít hlavní proces (ten který založil obnovovací proces(y)) a použít funkci ukončení stromu procesů, která zabije nejen hlavní proces, ale i ten obnovovací, i když byl spuštěn hlavním procesem. Některé malware programy používají jiné techniky, jako například pojmenování infikovaných procesů podobně jako pravých nebo důvěryhodných (expl0rer.exe VS explorer.exe).

Backdoory

Backdoor je metoda, jak obejít normální autentizační procedury. Když byl systém kompromitován (jednou z výše zmíněných metod, nebo jinou cestou), jeden nebo více backdoorů může být instalováno, aby povolily v budoucnu snadnější přístup. Backdoory mohou být také instalovány přednostně nakažlivým softwarem, aby umožnily přístup útočníkům.

Myšlenka byla často navržena tak, že počítačoví výrobci předinstalovali backdoory na jejich systémy, aby mohli zajistit technickou podporu pro jejich zákazníky, ale to nikdy nebylo s jistotou dokázáno. Cracker typicky používá backdoory, aby ochránil vzdálený přístup k počítači, když chce zůstat skrytý před občasnou inspekcí. K instalaci backdoorů cracker může použít Trojské koně, červy, nebo jiné metody.

Zranitelnost vůči malwaru

Je nutné si v této souvislosti uvědomit, že napadený objekt může být různého typu (jeden počítač, operační systém, síť nebo aplikace). Určité faktory dělají systém zranitelnější vůči malwaru:

  • Homogenita – Všechny počítače v síti běží na stejném operačním systému.
  • Chyby systému – Většina systémů obsahuje chyby (díry), které mohou být využity malwarem.
  • Nepotvrzený kód – kód z diskety, CD nebo USB přístrojů mohou být zpracovány bez souhlasu uživatele.
  • Nadměrné oprávnění uživatelů – některé systémy umožňují všem uživatelům měnit své vnitřní struktury. Není tedy žádný rozdíl mezi správcem a běžným uživatelem.

Softwarové chyby

Většina systémů obsahuje chyby (díry, mezery), které může využívat malware. Typickým příkladem je přetečení vyrovnávací paměti. V tomto stavu umožňuje rozhraní, které je navržené pro ukládání přepsat vnitřní struktury. Tímto způsobem je možné, aby malware přinutil systém nahradit legitimní kód s vlastní instrukcí škodlivým kódem.

Původně byly počítače bootovány z diskety. Určitou dobu to bylo jediné bootovací zařízení. To znamená, že napadená disketa mohla poškodit počítač již během startu systému. Tato možnost platí v dnešní době pro bootování z CD nebo vyměnitelného zařízení.

Antimalwarové strategie

Jako se malwarové útoky stávají stále častější, tak se také pozornost začala přesouvat od ochrany proti virům a spyware na ochranu proti malware, a programům, které byly speciálně vytvořeny pro boj proti malware. (Další preventivní opatření a opatření obnovy, jako je zálohování a obnovení metod, jsou uvedeny v článku počítačového viru).

Antivirový a antimalwarový software

Specifická komponenta antimalwarového či antivirového softwaru obyčejně označovaného jako on-access nebo real-time skener se obecně připojí hluboko do jádra operačního systému nebo do funkcí jádra podobným způsobem jako to dělá malware sám, ale s uživatelským informovaným souhlasem chránit systém. Kdykoli operační systém přistupuje k souboru, on-access skener kontroluje zda jde o legitimní soubor nebo ne. Pokud je soubor skenerem považován za malware, tak je operace přístupu zastavena a soubor je skenerem řešen v předdefinovaném stavu (podle nastavení antivirového programu v průběhu nebo po instalaci) a zároveň o tom obeznámí uživatele. Toto obecně zpomaluje operační systém a/nebo spotřebovává velké množství operační paměti v závislosti na tom, jak je antivirový program nastaven. Cílem je zastavit všechny operace malwaru pokusit se usadit do OS, než k nim dojde, včetně dalších činností, které by mohly využívat chyby operačního systému nebo spustit neočekávané chování operačního systému.

Antimalwarové programy mohou bojovat proti malwaru dvěma způsoby:

  1. Mohou poskytnout ochranu v reálném čase proti instalaci škodlivého softwaru na počítači. Tento typ ochrany funguje stejným způsobem jako antivirová ochrana. Antimalwarový software skenuje všechna příchozí síťová data a blokuje jakékoliv hrozby.
  2. Antimalwarové programy mohou být použity pouze pro detekci škodlivého softwaru, který již byl nainstalován do počítače. Tento typ antimalwarového softwaru kontroluje obsah registru systému Windows, soubory operačního systému a nainstalované programy v počítači a poskytne seznam všech nalezených hrozeb. Umožňuje uživateli vybrat, které soubory chce odstranit či zachovat nebo tento seznam porovná se seznamem známých malware komponent. Real-time ochrana před malware pracuje identicky k real-time antivirové ochraně: software skenuje soubory na disku v době stahování a blokuje ty aktivity komponent, které jsou známé jako malware. V některých případech také může zachytit pokus o nainstalování start-up položek nebo o úpravu nastavení prohlížeče. Protože mnoho malwarových komponent je nainstalováno po zneužití prohlížeče nebo chybou uživatele, pomáhá prohlížeč bezpečnostním softwarem „sandbox“ (odděluje prohlížeč od počítače a tím žádný malware nemůže provést změny) s účinným omezením jakékoliv škody, kterou by mohl malware napáchat.

Příklady antivirových programů od Microsoft Windows a antimalwarových softwarů zahrnují Microsoft Security Essentials (WinXp, 7, 8) pro ochranu v reálném čase, nástroj pro odstranění škodlivého softwaru systému Windows a Windows Defender. Navíc je možné si zdarma stáhnout z internetu některé antivirové programy (obvykle jsou omezeny a jsou k dispozici jen pro nekomerční použití). Testy nalezly free programy konkurenceschopné oproti komerčním programům. Patří sem také Microsoft System File Checker, který lze použít pro opravu poškozených systémových souborů.

Některé viry vypínají funkci Obnovení systému a další nástroje systému Windows, jako je Správce úloh a MS-DOS. Takové viry lze odstranit restartováním počítače a spuštěním nouzového režimu s prací v síti a použitím systémových nástrojů nebo pomocí Microsoft Safety Scanner.

V současné době není známa žádná metoda pro rozpoznání hardwarových implantátů.

Dobré vědět

Typické malwarové produkty detekují problémy na základě heuristiky a podpisů, tj. na základě informací, které mohou být vyhodnoceny jako špatné. Některé produkty mají alternativní přístup při skenování dokumentů typu Word a PDF, a to vytvořením nového čistého souboru na základě toho, o čem víme, že je dobré z definice schématu v souboru (pro tento přístup existuje patent).

Grayware

Grayware (nebo greyware, tedy „šedá zóna“ či „šedý software“) je obecný termín, který se odkazuje na aplikace nebo soubory, které nejsou přímo klasifikovány jako malware (červi nebo trojské koně), ale stále negativně ovlivňují výkon počítače a zahrnují významná bezpečnostní rizika. Popisuje tak aplikace, které se chovají nepříjemným nebo nežádoucím způsobem, a přesto jsou méně závažné nebo znepokojující než malware. Grayware zahrnuje spyware, adware, dialery, žertovné programy, vzdálený přístup k nástrojům a jakýkoliv jiný program odlišný od viru, který je navržen tak, aby poškodil nebo zneužil výkon počítačů. Termín je používán asi od roku 2004.

Reference

V tomto článku byl použit překlad textu z článku Malware na anglické Wikipedii.

  1. "Terminology Search - Microsoft | Language Portal", Microsoft, accessed 5 October 2017
  2. "škodlivý software - anglický překlad - slovník bab.la", Slovník bab.la, accessed 5 October 2017
  3. "Malware – Živě.", Živě.cz, accessed 5 October 2017

Externí odkazy

Média použitá na této stránce