«

»

Jak wygląda atak wirusa?

Wirusy, robaki i inne szkodniki, takie jak na przykład konie trojańskie, atakują komputery na tysiące różnych sposobów. Wiele z tych sposobów opartych jest na szczegółowej wiedzy dotyczącej błędów w oprogramowaniu, której zdobycie jest skomplikowane i kosztowne. Gdy przyjrzeć się tematowi z bliska, okazuje się jednak, że prościej i taniej jest zaatakować użytkownika stosując socjotechniki i wykorzystując jego niewiedzę.

Poniżej przedstawiony jest krok po kroku socjotechniczny atak na komputer (a więc liczący głównie na niewiedzę informatyczną i naiwność użytkownika). Jest to tylko jeden z możliwych scenariuszy i to bardzo prymitywny!

Obrazki powiększają się po kliknięciu. Na stronę z tekstem można powrócić klikając „ZAMKNIJ” na dole obrazka lub poza obszarem obrazka – w tło strony.


Historia ataku

W czasie przeglądania stron w Internecie, nagle wyskakuje okienko z niepokojącym komunikatem. Brzmi on: „Windows security has found critical process activity on your system and will perform fast scan of system files” (Zabezpieczenia systemu Windows znalazły krytyczną aktywność procesu w twoim systemie i wykonają szybkie skanowanie plików systemowych). Okienko ma tylko jeden przycisk – OK (Rys. 1.). Tutaj komunikat jest po angielsku, ze względu na popularność języka, ale coraz więcej szkodników posiada wbudowane tłumaczenia.

Okienko przeglądarki z nieudolnym komunikatem udającym systemowy.

Rys. 1. Okienko przeglądarki komunikatem nieudolnie udającym systemowy, a jednak klikanym przez ludzi.

W sytuacji takiej powinniśmy zwrócić uwagę, czy komunikat pochodzi od systemu, czy jest próbą oszustwa przez stronę internetową. Można to sprawdzić, patrząc, czy komunikat ma swoją ikonkę na pasku zadań systemu i czy nie jest to ikonka przeglądarki.

Gdy nieuważny, nieświadomy, bądź bezmyślny użytkownik naciśnie OK, zamiast zamknąć okienko, dochodzi do zaskakującego ukazania się… okienka plików (Rys. 2). Uwaga: niektóre szkodniki mogą od razu udawać system!

Strona internetowa udająca okienko systemu Windows

Rys. 2. Strona internetowa udająca okienko systemu Windows

„System” zaczyna przeprowadzać „skanowanie” naszego komputera, zwiększa się zielony pasek postępu i zaczyna się „wykrywanie” wirusów w naszym systemie. Zwróć uwagę, że całość nadal znajduje się w okienku przeglądarki. Nawet, jeżeli znikną paski adresu i ikonek w przeglądarce, to na pasku adresu będzie jej ikona lub nazwa. To nadal jest tylko strona internetowa. Skanowanie kończy się „wykryciem” kilku szkodników w naszym systemie (Rys. 3)

Skanowanie powoduje "wykrycie zagrożeń" we wszystkich istotnych miejscach naszego dysku

Rys. 3. Skanowanie powoduje „wykrycie zagrożeń” we wszystkich istotnych miejscach naszego dysku

Żeby nie pozostały żadne wątpliwości, strona internetowa udająca nasz system pokazuje dodatkowe okienko z bardzo ważnym komunikatem (Rys. 4.): „To help protect your computer, Windows Web Security have detected Trojans and ready to remove them.” (Żeby pomóc w ochronie twojego komputera, System Bezpieczeństwa Sieciowego Windows wykrył Konie trojańskie i jest gotowy do ich usunięcia). Okienko to można się przesuwać, gdy przytrzymamy je za górny pasek, ale.. nie można go wysunąć poza obszar przeglądarki – jest to więc nadal strona internetowa!

Komunikat o wykryciu zagrożenia w systemie i możliwości jego rozwiązania

Rys. 4. Komunikat o wykryciu zagrożenia w systemie i możliwości jego rozwiązania

Nadal mamy wybór:

  • możemy zamknąć okienko lub kartę przeglądarki – to często jest najbezpieczniejsza opcja,
  • możemy kliknąć Cancel (Anuluj) – klikanie w cokolwiek nie jest najlepszym pomysłem,
  • możemy kliknąć Remove all (Usuń wszystkie).

Wybranie ostatniej opcji spowoduje wyświetlenie okienka pobierania pliku „AntiSpyWareSetup.exe” (Rys 5.). I tak na prawdę, dopiero instalacja tego programu w systemie stwarza dla nas zagrożenie.

 

Użytkownik musi sam pobrać i zainstalować szkodliwe oprogramowanie.

Rys. 5. Użytkownik musi sam pobrać i zainstalować szkodliwe oprogramowanie.

[error]Nigdy nie instalujemy oprogramowania którego instalacji nie zaplanowaliśmy i sami nie zdecydowaliśmy skąd je pobrać.[/error]

Jak widać, ten przykładowy, prymitywny atak może się powieść tylko przy dużej dozie interakcji i bezwiednego klikania przez użytkownika. Skoro jednak takie metody ataku są spotykane – to zapewne są w jakimś stopniu skuteczne.


Analiza pobranego pliku

Dla celów tego opracowania zdecydowałem się pobrać plik AntiSpyWareSetup.exe, a następnie sprawdzić, czy jest to jakiś szkodnik i czy wykrywają go programy antywirusowe. Jeżeli nie jesteś zaawansowanym użytkownikiem, sam nie podejmuj takich działań – po co się narażać?

Pobrany plik wysłałem do serwisu virustotal.com umożliwiającego sprawdzanie podejrzanych plików. W dniu, w którym pobrałem szkodliwy kod (6 czerwca 2011 r.) wykrywało go tylko 5 z 42 programów antywirusowych (Rys. 6.). Pół roku później (3 listopada) wykrywa go 33 z 39 badanych antywirusów (Rys. 7.).

 

Efekt skanowania witryną VirusTotal 2011.06.06

Rys 6. Efekt skanowania witryną VirusTotal 2011.06.06

Efekt skanowania witryną VirusTotal 2011.11.03

Rys. 7. Efekt skanowania witryną VirusTotal 2011.11.03

 

[notice]Posiadanie programu antywirusowego nie chroni przed wszystkimi zagrożeniami i nie uzasadnia bezmyślności.[/notice]