G DATA Software AG: Antivirus, Virenschutz, Virenscanner, Internet Security

Áttekintés

Ha vírusokról, férgekről és trójai lovakról beszélünk, általában ez alatt egy szoftver káros aspektusát értjük. Ezért a malware vált gyűjtőfogalommá a magyar nyelvben is (malicious = kártevő, káros és szoftver) ezzel kapcsolatban. A malware olyan programok összefoglaló neve, melyek az elektronikus adatokat rossz értelemben teszik hozzáférhetetlenné, változtatják meg, törlik, vagy illetéktelenek számára teszik hozzáférhetővé. A malware mindig rendelkezik káros funkcióval (ang. payload) és különböző effektusokat okoz. Ez a hatás az ártalmatlan megnyilvánulástól a személyes adatok kikémlelésén keresztül a merevlemez törléséig terjedhet. A malware a trójai lovak, férgek és vírusok 3 csoportjára osztható. A spyware és O190-dialer a trójai lovakhoz kerül besorolásra. Tágabb értelemben a hoaxok is

Trójai lovak

A trójai ló - tévesen gyakran trójaiként is megnevezve - a férgektől és vírusoktól abban különbözik, hogy nem automatikusan sokszorozza meg magát. A trójai ló név történelmi mintán alapul és olyan programot értünk alatta, amely a felhasználó számára megszabja, hogy meghatározott és akaratlagos funkcióval rendelkezzen. Ezen kívül a trójai vírus még olyan rejtett programelemet is tartalmaz, ami mintha rejtekajtót nyitna meg a megtámadott számítógéphez, és így a hozzáférési szándékot az érintett rendszerhez úgy biztosítja, hogy a felhasználó észre sem veszi azt.
A trójai vírus rejtőzködő módszerei korlátlanok. Álcázhatják magukat UNIX rendszergazdai parancssorokként, pl. passwd, ps, netstat (úgynevezett rootkitek) vagy Trójai Remote Access-ként (úgynevezett RAT-ok, ill. backdoor-ok) is. Ezek az alattomos programok képernyővédőként vagy játékként is küldhetők e-mail-ben. Egyszeri elindítás is elegendő ahhoz, hogy a kártevő megfertőzze a rendszert.

Vírusok és férgek hasonlóságai

A vírusok és férgek a következő részekből épülnek fel:
Sokszorosító elem
Ezzel a programelemmel végezhető el a vírus sokszorosítása. Ez minden vírus és féreg kötelező eleme. A fertőzés lemezeken (és egyéb cserélhető adathordozókon), engedélyezett mappákon, hálózati leolvasásokon, peer-to-peer hálózatokon vagy e-mailen keresztül történhet. Ehhez a károkozók különböző támadási pontokat használnak, melyek részben csak hardverek, szoftverek és operációs rendszerek meghatározott kombinációján működnek.
Felismerő rész
A felismerő rész ellenőrzi, hogy ez a vírus okozott-e már fertőzést. Minden gazdaprogramot csak egyszer fertőz meg, hogy gyorsítsa az elterjedést és fenntartsa az álcázást.
Káros elem
A káros funkciók (ang. payload), melyek a vírusokkal és férgekkel együtt járnak, a következő csoportokba oszthatók:

A backdoor programokkal a hacker hozzáférést nyer a számítógéphez és az adatokhoz, és manipulálhatja az adatokat vagy Denial of Service támadásokat indíthat.
Előfordulhatnak adatmanipulációk is. Ez (többé vagy kevésbé vidám) jelentésektől, hirdetésektől és zajoktól egészen az adatok és meghajtók törléséig terjedhet.
Az adatokhoz való hozzáférést lehet pl. kódolással korlátozni.
Lehetséges információk kikémlelése és elküldése is. E támadások célpontjai jelszavak, hitelkártya-számok, felhasználói nevek és egyéb személyes adatok, illetve vállalati titkok.
A fertőzött számítógépeket gyakran Denial of Service (DoS) támadásokra használják ki. A DoS támadások célja a szolgáltatás vagy weboldal túl gyakori látogatással történő túlterhelése. Ha a támadások csak egy forrásból származnak, az ilyen támadások nagyon könnyen elháríthatók. A Distributed Denial of Service (DDoS) esetében a támadások támogatására az előzőleg megfertőzött számítógépeket használják fel. A DoS és DDoS támadások irányulhatnak a célrendszer megsemmisítésére, a sávszélesség és a tároló kihasználtságának túlterhelésére vagy a hálózati szolgáltatás eltüntetésére.

Az egyértelmű káros elem azonban hiányozhat is. Az elpazarolt idő, a sávszélesség lefoglalása és a megnövekedett tárhely azonban enélkül is elegendő veszteség.
Előzmény
Az elterjedés és a kártékonyság foka is a feltételektől függően programozható.

Legegyszerűbb esetben a kártékony kód automatikusan elindul anélkül, hogy az áldozat ebből bármit is észrevenne.
Néhány esetben a káros funkciót épp az áldozat indítja el. Ez lehet egy fertőzött program elindítása, egy e-mail mellékletének megnyitása, de akár személyes adatok adathalászata is.
A kártékony kód elindítása kötött lehet bizonyos feltételekhez. Pl. néhány vírus esetén a károkozás bizonyos dátum beálltakor vagy bizonyos számú elindítás után következik be. A végrehajtás azonban attól is függhet, hogy bizonyos programok telepítve vannak-e a számítógépre.
Álcázó elem

A férgek, trójai vírusok és vírusok megpróbálnak védekezni a felhasználó és a vírus felismerők általi felfedezés ellen. Ehhez egy sor mechanizmust használnak.

Felismerik pl., ha a Debugger fut vagy felesleges és összezavaró (Assembler) kódsorokkal védekeznek.
Elrejtik a fertőzés nyomait. Ehhez pl. hamisítják a státuszjelentések vagy napló bejegyzések kiadását. Pl. egy memóriarezidens vírus úgy megtévesztheti a rendszert, hogy a tár, amit elfoglal, még mindig az előzőleg eltávolított programból származik. Ez az eljárásmód leginkább a rootkitekről ismert.
A felfedezés elkerüléséhez néhány vírus titkosítja magát és/vagy kárkódját. A megfejtésnél mindig ugyanazokat a kulcsokat használják, a kulcsokat lista tartalmazza (oligomorf), vagy a kulcsok korlátlanul újra létrehozhatók (polimorf).
Futásidő tömörítőkkel a végrehajtható fájlok úgy kerülnek átstrukturálásra, hogy csak új vírus szignatúrákkal legyenek felismerhetőek.


Férgek

A féreg a vírussal ellentétben nem a futtatható fájlokat támadja meg. Hálózatokon és számítógépes csatlakozásokon keresztül terjednek át másik számítógépre.

Hálózati férgek

A hálózatban véletlenszerűen kiválasztott számítógépeken néhány portot olvasnak be, és ha lehetőség nyílik a támadásra, a protokollok gyenge pontjait (pl. IIS) vagy azok terjedési hajlandóságát használják ki. A típus ismert képviselői a "Lovsan/Blaser" és a "CodeRed".
A Sasser a Buffer Overflow hibát használja ki a Local Security Authority Subsystem Service (LSASS) rendszerben, és a számítógépet az Internethez csatlakozás közben azonosítja.

E-mail férgek

Az e-mailen keresztül történő terjedéskor a féreg meglévő e-mail programokat (pl. Outlook, Outlook Express) használhat, vagy saját SMTP-Mail engine-t hozhat magával. A keletkező hálózati forgalomtól és a megnövekedett hálózati erőforrásoktól eltekintve a férgek még további káros funkciókat is tartalmaznak. A csoport prominens tagjai a Beagle és a Sober.

Peer-to-peer férgek

A P2P-férgek a peer-to-peer fájlcserélő hálózatokon, mint pl.: Emule, Kazaa stb. terjednek és másolják magukat számítógépről számítógépre. Ezután a gépen egy aktuális szoftver vagy prominens személyiség megtévesztő neve alatt vár áldozatára.

Instant Messaging-férgek

Az IM-férgek a chat programokat használják a terjeszkedésre. Ennek során nem csupán a fájlátvitel funkciót használják. A leggyakrabban egy linket küldenek, melyre rákattintva egy káros weboldalra jutunk. Egyes IM-férgek arra is képesek, hogy akár chateljenek is áldozataikkal.

Vírusok

A vírusok célja önmaguk sokszorosítása és más számítógépre való átterjedése. Ehhez más fájlokhoz csatolják magukat vagy befészkelődnek az adathordozó bootszektorába. Gyakran észrevehetetlenek a cserélhető adathordozók számára (pl. lemezek), hálózatokon (peer-to-peer) keresztül, e-mail révén vagy az Internet-ről kerülnek a számítógépre.

A vírusok az operációs rendszerek legkülönbözőbb pontjain épülhetnek be, ahol legkülönbözőbb csatornákon keresztül hatnak. Az alábbi csoportok különböztethetők meg:

Bootszektor vírusok

A bootszektor vagy MBR vírusok (= Master Boot Record vírusok) mindig az adathordozó bootszektora elé települnek és gondoskodnak arról, hogy az indítási folyamat során az adathordozón keresztül először a víruskód, azután pedig az eredeti bootszektor kerüljön leolvasásra. Így a vírus észrevétlenül befészkelődhet a rendszerbe és onnan a bootoláskor a merevlemezről megnyitásra kerül. Gyakran a víruskód a fertőzés után a tárhelyben marad. Az ilyen vírusokat memória-rezidensnek nevezzük. A lemezek formázásakor a vírus továbbadódik és így más számítógépekre is eljut. Azonban a boottartomány vírus nem csak a formázási folyamatok alatt aktiválódhat. A DOS DIR paranccsal így elindítható a vírus átvitele a lemezről. A kárrutintól függően a boottartomány vírusok lehetnek rendkívül veszélyesek, vagy egyszerűen csak zavaróak. A legrégebbi és legelterjedtebb ilyen vírus a "Form".

Fájl vírusok

Sok vírus kihasználja azt a lehetőséget, hogy a megnyitható fájlokat rejtekhelyként használja fel. Ehhez a gazdafájl vagy törölhető/felülírható, vagy a vírus ráakaszkodik a fájlra. Az utóbbi esetben a fájl megnyitható kódja továbbra is működőképes. Ha a megnyitható fájlt előhívta, legtöbbször először az 'Assemblerben' írt víruskód nyílik meg, utána indul az eredeti program (ha nem törlődött).

Többosztályú vírusok

Ez a víruscsoport különösen veszélyes, mivel képviselői nemcsak a bootszektort (ill. partíciós táblázatokat) azonosítják, hanem a végrehajtható fájlokat is megtámadják.

Companion vírusok

DOS alatt a COM fájlokat az azonos nevű EXE fájlok nyitják meg. Azokban az időkben, amikor a számítógépet kizárólag vagy gyakran csak parancssorokkal kezelték, ez hatékony mechanizmusnak bizonyult az észrevehetetlen káros kód számítógépen történő megnyitásához.

Makrovírusok

A makrovírusok is fájlokra akaszkodnak. Ezek azonban önmagukban nem futtathatóak. A makrovírusok nem az 'Assemblerben', hanem valamilyen makronyelven, pl. Visual Basic nyelven vannak megírva. A vírusok megnyitásához egy olyan makronyelv értelmezőre van szükség, mint amilyen pl. a Word, Excel, Access és PowerPoint programokba van integrálva. Máskülönben a makrovírusok a fájl vírusokhoz hasonló mechanizmussal hatnak. Álcázhatják magukat, ezen kívül megfertőzhetik a bootszektort, vagy Companion vírust hozhatnak létre.

Stealth vírusok és rootkitek

A stealth vírusok, vagy láthatatlan vírusok speciális védelmi mechanizmusokkal rendelkeznek, hogy kivonják magukat a víruskereső programok felfedezése alól. Ehhez átveszik a különböző rendszerfunkciók feletti ellenőrzést. Ha ezt az állapotot csak egyszer hozták létre, akkor ezek a vírusok a fájlok vagy rendszertartományok normál hozzáférésekor már nem állapíthatók meg. A víruskereső programot megtévesztik egy fertőzött fájl nem fertőzött állapotát mutatva, vagy láthatatlanná teszik a fájlt a vírusvédelem előtt. A stealth vírus álcázó mechanizmusai csak akkor hatásosak, miután a vírus a munkamemóriában rezidens lett.

Polimorf vírusok

A polimorf vírusok mechanizmusokat tartalmaznak, hogy fertőzéskor megváltoztassák kinézetüket. Ehhez a víruselemek titkosításra kerülnek. A vírusba beépült titkosító rutin ekkor minden másolathoz új kulcsot, és részben még új titkosító rutint is generál. Ezen kívül kicseréli vagy véletlenszerűen összekeveri azokat a parancssorozatokat, melyek a vírus működéséhez nem szükségesek. Könnyen vírus-milliárdok keletkezhetnek. A titkosított és polimorf vírusok biztosabb felismeréséhez és megszüntetéséhez gyakran nem elegendő a klasszikus vírusszignatúrák alkalmazása. Gyakran speciális programokat kell írni. A megfelelő ellenszer elemzéséhez és rendelkezésre bocsátásához azonban rendkívül magas ráfordítás szükséges. A polimorf vírusokat minden túlzás nélkül a vírusok királyának nevezhetjük.

Intended vírus

Intended vírusnak a részben hibás vírust nevezzük, mely bár a fájl komoly fertőzését okozza, de onnan már nem sokszorosítható.

E-mail vírusok

Az e-mail vírusok az úgynevezett "Blended threats" (= többféle fenyegetés) csoporthoz tartoznak. Az ilyen malware kombinálja a trójaiak, a férgek és a vírusok tulajdonságait. A Bubbleboy vírus keretében ismertté vált, hogy már lehetséges HTML levél előnézetén keresztül is vírust átcsempészni a számítógépre. A veszélyes víruskód a HTML levélben bújik meg és a Microsoft Internet Explorer biztonsági rését használja ki. Ezen kombinált vírusok veszélyét nem szabad alábecsülni.

Trójai lovak

A trójai lovaknak (TL) nincsen saját terjedési rutinjuk. Általában e-mailben terjednek, vagy fájlcserélőkön, weboldalakon állnak lesben. Osztályba sorolásukat kártékony funkciójuk alapján lehet megtenni.

Backdoors

A backdoor programok egy rejtett hátsó ajtót nyitnak a fertőzött számítógépen. Ezáltal a számítógépet egy támadó távolról vezérelheti. A leggyakoribb esetben további szoftver is telepítésre kerül és a számítógép más zombigépekkel együtt egy bothálózatba integrálódik. Vannak azonban legitim felhasználási lehetőségek is. Sok rendszergazda használ programokat távkarbantartással, hogy a számítógépet aktuális helyéről irányíthassa. Különösen nagy vállalatoknál hasznos ez. Általában a rendszergazda beavatkozása a számítógép felhasználó tudomásával és egyetértésével történik. A backdoor program csak akkor tekinthető malware-nek, ha a backdoor funkciót a számítógép felhasználó tudomása és egyetértése nélkül alkalmazzák és kártékony műveleteket végeznek vele.

Adware

Az adware egy számítógép műveleteit és folyamatait jegyzi fel, mint pl. a felhasználó szörfölési magatartása. Adandó alkalommal ezenkívül reklámajánlatokat is megjelenít a képernyőn. Esetleg manipulálja a keresési kérelmek eredményeit.

Spyware

A spyware segítségével adatokat lopnak: jelszavakat, dokumentumokat és adatokat, szoftverek regisztrációs számait, e-mail címeket, stb. Az adatokat vagy adathordozókon keresik, vagy a hálózati forgalomból szűrik ki. A webes űrlapokon (elsősorban online bankolásnál) megadott adatok is összegyűjtésre kerülnek. A legrosszabb esetben a támadó hozzáférést szerezhet az áldozat által használt összes e-mail fiókhoz, online-üzlethez, stb. Az online bűnözők előszeretettel használják ezt az álcázási módot.

Downloader és Dropper

Sok trójai lónak vannak specifikus feladatai. A downloader és dropper programok feladata, hogy egy adott fájlt töltsenek be és másoljanak a fertőzött számítógépre. Ez előtt sokszor megpróbálják csökkenteni a rendszer biztonsági beállításait.

Tárcsázó program

A tárcsázó programok sokszor észrevétlenül települnek a számítógépre. Ha az adatátviteli kapcsolat modemen keresztül jön létre, a következő kapcsolat felépítésénél rendkívül drága 0900-val kezdődő, vagy hasonló telefonszámot fog tárcsázni. Bár a "(0)190/(0)900 többletszolgáltatási hívószámmal való visszaélés elleni harcról szóló törvénnyel" 2003. aug. 15-tól néhány meghagyás (maximált ár, regisztráció) érvénybe lépett, azok a tárcsázó programok még mindig komoly csapást jelentenek, melyek pl. komoly anyagi kárt okozhatnak. A tárcsázókkal szembeni védelemről bővebb információt talál a www.dialerschutz.de oldalon.

Malware tágabb értelemben

A teljesség kedvéért itt még néhány más kellemetlen és részben káros kategóriát is meg kell említeni, melyeket nem sorolunk a Malware csoporthoz.

Hoaxok

A hoaxok állítólagos téves figyelmeztetések, melyek gyakran e-mail-en keresztül terjednek. A címzettet arra szólítják fel, hogy az e-mail figyelmeztetést továbbítsa barátainak és ismerőseinek. Legtöbbször az utasítások célja csak pánikkeltés. Tovább...

Spam

Ugyancsak drága és komoly csapás a nemkívánatos reklámlevelek, vagy propaganda levelek küldése. A modern anti-spam programok egyesítik a statikus (szövegvizsgálat, levélszerver listák) és automatikus (Bayes Theorem alapú) eljárásokat a kéretlen posta szűrésére.

Adathalászat

Az adathalászat a személyes adatok, pl. felhasználónév, jelszavak, hitelkártyaszámok, bankkivonat adatok stb. megszerzésére irányuló kísérletét jelenti hamis weboldalak vagy e-mail-ek segítségével. Ehhez gyakran hamisított weboldalakra terelnek. Az utóbbi években ez a jelenség nagy méreteket öltött. A specializált trójai lovak mindeközben milliárdos károkat okoznak. Erről többet a www.antiphishing.org (angol) oldalon tudhat meg.