Computer Viruses, reedice 2009
i Zdroj: PCTuning.cz
Zábava Článek Computer Viruses, reedice 2009

Computer Viruses, reedice 2009 | Kapitola 3

Michal Rybka

Michal Rybka

11. 4. 2009 16:00 41

Seznam kapitol

1. Od teorie... 2. Se soudruhy a nikdy jinak 3. Ochrana je důležitá 4. Za Windows bezpečnější 5. Metro se špetkou paranoie

Rozjímání s viry, o virech, minulosti jedince a budoucnosti lidstva. Asi tak by se dalo shrnout dnešní víkendové čtení o věcech a myšlenkách, kterou jednou za čas vplují na mysl každému z nás. Kdo z nás je však dokáže srozumitelně sepsat a vzájemně propojit do čtivého článku? Zda se to autorovi podařilo i tentokrát můžete posoudit sami.

Reklama

Onu minulost, kdy jsem se zájmem studoval varianty virů a jejich strategie šíření, jsem si připomněl před pár dny, kdy jsem pochytil novou infekci. Nejsem stupidní, abych si nechal systém široce otevřený a nechráněný, pochopitelně používám firewally, antiviry a antimalware, nicméně tenhle kousek byl vážně dobrý. Naprosto pohodově prošel třemi různými (a aktualizovanými) antiviry a detekovalo ho až Comodo, které po zasunutí flashdisku prohlásilo, že je na něm hanebnost, kterou bych měl zničit.

Computer Viruses, reedice 2009
i Zdroj: PCTuning.cz

Opakované pokusy o vymazání ho ale neodstranily, což mě zaujalo a začal jsem zkoumat, jak se ta věc chová. Po každém odstranění se tam virus okamžitě vrátil a zajímavé to začalo být ve chvíli, kdy se virus instantně objevil na disku i po jeho formátování. Zformátoval jsem ho pod Linuxem, ale stačilo flashku zastrčit do počítače a ihned se to tam objevilo zase. Byl to zajímavý virus, vytvořil si neviditelný koš, v něm neviditelný, systémový a read-only adresář. Do něj umístil EXE, které nebylo možné smazat – a do rootu disku pak udělal neviditelný a nesmazatelný autorun, který mířil na onen ukrytý EXE soubor. Z chování viru bylo jasné, že nepochybně už v počítači běží – zamkne si onen EXE soubor tak, aby k němu nebylo možné přistupovat a pokud ho přece jenom odstraním, ihned ho obnoví.

Pozoruhodné bylo ovšem to, že scan systému neobjevil vůbec nic. Comodo nic nenašlo, Avast nic nenašel, NOD nic nenašel – jediný antivirus, který byl alespoň schopen říci, že je něco v nepořádku, bylo právě Comodo, které ale reagovalo jenom na ono „čertovo vajíčko“, které si virus vytvářel na výměnných discích. Virus byl vyloženě vypečený – schovával se nejenom v neviditelném koši, ale i v neviditelném a uživateli nepřístupném adresáři System Restore. Zkrátka a dobře, bylo to vlezlé jako štěnice, i když to viditelně nic moc nedělalo.

Schopnost využívat maskování byla zajímavá – normální uživatel, který by používal normálně nastavené Windows, by vůbec podivné chování nepostřehl. Přiznám se, že jsem se během hrátek s touhle potvorou mnohokrát podivil, jak že to jsou Windows vlastně navržené – virus si zaleze tam, kam se nepodíváte ani jako administrátor. Pokud se adresář System Restore používá zcela specificky, proč není uzamčen pro úplně všechny procesy s výjimkou procesů System Restore? Proč Windows dovolí spouštět neviditelný autorun – a pokud už to dovolí, proč klidně spustí aplikaci, která leží v koši? Není snad koš a System Restore naprosto ukázkovým příkladem adresáře, ze kterého by nikdy nic za žádných okolností nemělo jít spustit? Která legitimní aplikace by se chovala takhle strašně divně? Proč ani normální antiviry neskenují autoruny a nehledají takhle strašně podivná volání?

Trpělivost přináší růže

Nemíním si v žádném případě hrát na haura a pouštět se do boje s takovým virem sám, neprogramuji už velice dlouho. Nezbývá mi než čekat, až společnosti, které se chlubí po webech a případně i v televizních reklamách, prokážou akceschopnost a vypráskají tuto potvoru z mého stroje ven. Musím ale uznat, že jeho autor nepochybně věděl co dělá a jak má Windows ošálit, aby tancovaly po předních tak, jak jim on píská. Hledal jsem všechny možné způsoby, jak jsem k této potvoře přišel, považuji se za opatrného až paranoidního – a velice jsem se podivil, že stačí tak málo, jako hledat něco na webu, kliknout na nějakou nalezenou relativně normálně vypadající webovou stránku – a ona mi přes Javu nainjektuje kód, který se pak pohodlně ubytuje v antivirům nepřístupných oblastech a snaží se kolonizovat okolí přes každou flashku, kterou do stroje strčíte.

Computer Viruses, reedice 2009
i Zdroj: PCTuning.cz

Nemůžu říct, že bych autora obdivoval, obdiv vyžaduje jisté morální uznání, ale cítím respekt k oné zlé práci, kterou vykonal. Konat zlo správně a efektivně vyžaduje inteligenci, znalosti a plán, to není totéž, jako když čekáte v noci s klackem v ruce na ožraly za hospodou, abyste je obrali o zbytek kapesného. Tenhle člověk nepochybně velmi dobře věděl co dělá a proč to dělá – a samotný fakt, že si dal tolik práce s tím, aby pronikl do systému a co nejnenápadněji se v něm ubytoval, aniž bych chápal účel celého počinu, mě trochu děsí.

Onen virus se, přísně vzato, nepokusil o nic zjevně zlého, i když mě měl tak dokonale na háku, že by mohl v poklidně zlikvidovat opravdu mnoho dat. Navíc v situaci, kdy nevíte, jak si bezpečně obnovit systém a zda je bandita ze systému doopravdy pryč, není radno připojovat ani záložní disky. Můžete přijít i o kopie dat, můžete znovu nakazit už zdravý systém a nebo si infekci rozšířit na systém další a zatím nedotčený.

Předchozí
Další
Reklama
Reklama

Komentáře naleznete na konci poslední kapitoly.

Reklama
Reklama