Inet.sk - internetový denník

Ak si v anglicko-slovenskom slovníku vyhľadáme význam „bugbear“, dozvieme sa, že ide o strašidlo, či strašiaka. Vo svojej podstate je tento názov celkom výstižný. Vírus Bugbear sa stal nočnou morou väčšiny používateľov elektronickej pošty. Nepoškodzuje síce údaje uložené na pevnom disku, škody ním spôsobené môžu byť ale pre užívateľa veľmi nepríjemné. Bez toho, aby sa majiteľa počítača opýtal, rozosiela podľa náhodného výberu jeho súkromnú poštu, čo v prípade informácií obchodného charakteru, prípadne súkromných, ba až dôverných e-mailov asi počítačového užívateľa nepoteší. Skôr naopak.

Vírus zverejňuje súkromné maily

Možno je to prekvapujúce, ale vírus BugBear si užívateľ spúšťa sám. Samozrejme, deje sa tak nie celkom dobrovoľne. Je to spôsobené otvorením infikovaného súboru, ktorý prišiel ako príloha. Vírus je založený na známom triku s dvojitou príponou a využíva skutočnosť, že operačný systém Windows zobrazí prvú príponu, kým druhá, skutočná, už zobrazená nie je. Ak sa teda príloha javí ako obrázok, či dokument s príponou JPG alebo DOC, v skutočnosti ide o súbory typu PIF, SCR alebo EXE. A to už nie je neškodný súbor, ale spustiteľný program, ktorý obsahuje telo vírusu. Vírus mení neustále svoju podobu a dokáže sa šíriť aj prostredníctvom nedostatočne zabezpečených sieťových diskov. Okrem bežných operácií sa vírus - červ snaží infikovať spustiteľné súbory vybraných aplikácií a ukončovať činnosť bezpečnostných a antivírusových systémov.

Po aktivácii sa červ okamžite nainštaluje do pamäte počítača a preberá riadenie. Najprv uloží sám seba do systémových adresárov a registrov, prostredníctvom ktorých zabezpečí svoju existenciu aj pri reštartovaní počítača. Aby nebolo zlým správam koniec, vírus vytvorí v systémovom adresári operačného systému tri nové súbory s príponou DLL, z ktorých jeden predstavuje externý keylogger (čo nie je nič iné nástroj pre odchytávanie stlačených kláves) a zostávajúce dva obsahujú informácie o stlačených klávesách používateľa počas práce s infikovaným systémom a zoznam tajne získaných hesiel.

Aj vás začína chytať pri čítaní týchto riadkov panika? Nuž, celkom oprávnene. Keď už teda vírus odstaví antivírové programy, zabezpečí svoje spúšťanie po reštartovaní počítača a odchytí všetky zadávané heslá, nasleduje fáza vlastnej reprodukcie. Na infikovanom počítači začne pátrať po súboroch nazvaných INBOX a po súboroch s príponami DBX, TBB, EML, MBX, NCH, MMF a ODS, teda po súboroch, v ktorých je uložená vaša kompletná e-mailová korešpondencia. V ich obsahu vyhľadá mailové adresy, ktoré si postupne ukladá a pravidelne aktualizuje. Na všetky získané adresy neskôr začne odosielať sám seba mimoriadne nepríjemným spôsobom. Z priečinku prijatých správ vyberie určité maily alebo ich časti, priradí im náhodne vybraný predmet správy a majiteľovi počítačového konta neostáva už nič iné, ako tŕpnuť, ktorý mail vírus odoslal a komu všetkému prišiel.

Môže vírus spôsobiť rozpad manželstva?

Ak máte šťastie, vírus rozošle iba nejaké neškodné správy, na ktorých sa vaši známi možno iba pozastavia, začudujú, pobavia, a tí informovanejší vás aj upozornia, že rozosielate vírus. Horšie však je, ak sa v priečinku vašich prijatých e-mailov nachádza ľúbostná korešpondencia, utajované skutočnosti, či ohováranie šéfa. Do počítačovej siete takto prenikajú interné informácie spoločností, telefónne čísla, či bankové výpisy. Dovedené do absurdity, počítačový červ BugBear tak môže spôsobiť rozpad manželstva, krach firmy, či krízu vo vládnej koalícii. (Len si predstavte, čo by sa stalo, keby elektronická pošta Pavla Ruska o interrupciách prišla Pavlovi Hrušovskému).

Tvorcovia vírusu si podľa všetkého na svojom diele dali mimoriadne záležať. Ako som už spomínal, počítačový červ v sebe obsahuje mnohé pre užívateľa nepríjemné funkcie. Dosiaľ sa mi nepodarilo presne zistiť, ako funguje odchytávanie stlačených kláves, či hesiel. Vírus obsahuje v sebe tzv. backdoor (zadné vráta), čo slúži pre vzdialený prístup k infikovanému počítaču. Inak povedané, niekto iný môže teda z Kalifornie pristupovať k údajom, ktoré ste zadali cez klávesnicu na svojom počítači v Banskej Bystrici. Ak radi využívate informačné technológie a napríklad internet banking, môže sa niekto dostať k vašim heslám. Tu by som však vyslovil určité pochybnosti, pretože sledujúc masové rozšírenie vírusu, nemám pocit, že by jeho tvorcovia boli schopní sledovať stotisíce infikovaných počítačov. Hoci, prečo by si niekto nemohol vybrať práve vás?

---

aj takto môže vyzerať "napadnutý" počítač :-)
---

Najlepšia ochrana je čestnosť

Otázkou zostáva, ako sa pred počítačovým vírusom BugBear chrániť. Ak vynecháme síce zaručené, ale nie veľmi praktické rady ako odpojenie sa od siete, či sformátovanie pevného disku, azda najúčinnejšie je nainštalovať si aktualizovanú verziu antivírového systému. Veľmi praktické je pri odvírovaní dočasne sa vypojiť zo siete a niekoľkonásobne spustiť antivírový program. Prvé správy o šírení vírusu sa síce objavili nedávno - 5. júna, existuje však už niekoľko jednoúčelových programov, ktoré ho dokážu spoľahlivo zachytiť a zlikvidovať. Samozrejme, netreba zabúdať ani na aktiváciu tzv. POP3 skenera, teda programu, ktorý dokáže rozpoznať vírus priamo v prichádzajúcej pošte.

Myslíte si, že vás sa tento vírus netýka? Vzhľadom na jeho obrovské rozšírenie sa môžem sa s vami staviť, že už ste ho minimálne raz dostali aj vy. Najmenšie obavy o infikovaní počítačovým vírusom môžu mať tí, ktorí nemajú čo skrývať a elektronickú komunikáciu nevyužívajú na rôzne pololegálne, či nelegálne činnosti. S istou dávkou podpichnutia teda možno povedať, že vírus BugBear trestá tých, ktorí nemajú čisté svedomie. Samozrejme, jeho účinnosť je, žiaľ, veľmi nízka.

Aby som nezostal len pri čistom teoretizovaní, počas písania tohto článku som mal možnosť prakticky si vyskúšať, ako spomínaný vírus funguje. Všetkých, ktorí dostali môj mail a nie celkom pochopili, prečo práve im posielam informáciu, že inžinierovi Novákovi treba poslať dva výtlačky týždenníka Slovo, môžem ubezpečiť, že s odoslaním tohto mailu nemám nič spoločného. Skúste sa opýtať programátorov vírusu BugBear.

(písané pre týždenník Slovo)

18. 06. 2003 Michal Feik Bezpečnosť Komentáre