HIRDETÉS
KIEMELT HÍREK
- Két hét alatt csaknem hétszáz új álláshirdetést adott fel a Belügyminisztérium, óriási a tanárhiány
- Jön még pénz Brüsszelből? Megszólalt a miniszter
- Gyárfás Tamás ismét a bíróság előtt: kulcsfontosságú hangfelvételek kerültek terítékre
- Mi történt? Lezuhant egy helikopter a Mount Everest közelében - Senki nem élte túl
- Mutatjuk, melyek lesznek a legfontosabb témák a vilniusi NATO-csúcson
HIRDETÉS
MAGAZINOK > IT > Biztonság > A hülye is tud vírust írni
A vírusok íróit az ember úgy képzeli el, mint a Sötét Oldal felé fordult jediket, akik szörnyű tudással bírnak, a testüket évek óta nem érte napfény, sötét alagsori helységekben élnek féltucat villódzó monitor társaságában, az agyuk nagyobb, mint az összes többi testrészük összesen, százezer programnyelven beszélnek folyékonyan, és tegezőviszonyban vannak minden processzorral és memóriacsippel.
A vírusirtó szakemberek ezzel szemben folyton amiatt siránkoznak, hogy ma már nem kell programozói tudás egy vírus, vagy más kártékony program megalkotásához, és a net sötét bugyraiban közkézen forgó vírusgyártó programokkal a hülye is tud saját vírust írni. Hogy lássuk, valóban így van-e, a nyakunkba vettük a netet vírusíró program után kutatva.
Cápa a hálóban
Bő tízperces Google-bűvészkedés után sikerült beszereznünk az egyik leghírhedtebb vírusgyártó program, a Shark legújabb 2.4-es verzióját (nem az "Ezt ne próbáljátok ki otthon, gyerekek!" mozgalom jegyében nem adunk linket hozzá, hanem mert másnapra törölték az oldalt, ahonnan letöltöttük). Bár hivatalosan rendszergazdáknak szánt adminisztrációs programnak nevezi magát - telepítésnél fel is szólít, hogy nehogy véletlenül illegális dolgokra használjuk -, egyértelmű, hogy mire tervezték: arra hogy egy megfertőzött gépből feltűnés nélkül tudjunk távolról adatokat kihúzni, vagy akár átvenni felette az uralmat.
Vírus születik
A Shark kezelése egyszerű; bár elsőre irgalmatlanul bonyolultnak tűnik a sok opció, valójában meglepően gyorsan ki lehet tanulni, és összeütni vele egy kártevőt. Igaz, elég fapados lesz, de az álcázási opciók, a különféle anti-debugger metódusok és pánik módok birizgálása nélkül is életképes. Alapjáraton nem kell többet tennünk, mint megadni a vírus nevét (hirtelen felindulásból a meglepi.exét választottuk, amihez a legegyszerűbb álcázás kedvéért a program odabiggyeszt egy .txt kiterjesztést - majd később kiderül, miért nem volt jó ötlet ez a név), a gépünk ip-címét [1] , ahová majd az információkat küldözgeti, és még pár apróságot (milyen könyvtárba telepítse magát és hasonlók). Fél perc kattintgatás után a trójaink csőre töltve várja, hogy bevessük.
Most jön a kényes pont: a vírus célba juttatása. A témával foglalkozó fórumokon azt tanácsolják, fájlcserélő hálózatokon képnek álcázva (a mérete miatt videónak nemigen lehet) dobhatjuk be a csalit, ha pedig célzottan támadnánk, emailben vagy valamilyen csevegőprogramon át próbálkozzunk, a trójait pedig maszkírozzuk képernyővédőnek (vagyis nevezzük át screensaver.exére). Az egyszerűség kedvéért ezt a fázist elegánsan átugrottuk a kísérletben, és onnan folytattuk, hogy a csomag elérte a célját, és a mit sem sejtő áldozat elindította a programot.
Bevetésen
Az élesített trójait első tesztként az egyik indexes szerkesztőségi gép ellen vetettük be. A vírusirtónk megnyugtató módon állta a próbát és egy "The file meglepi.exe was found to be infected with Backdoor.VB.BAX and has been quarantined." felkiáltással megakadályozta, hogy a program feltelepedjen a gépre. Egy-null oda. Vagy ide, attól függőn, hogy a vírusíró, vagy az -irtó oldalára helyezzük magunkat éppen.
Vírus? Trójai? Malware?
Tulajdonképpen nem is vírust írtunk; egy vírusnak ugyanis fontos jellemzője hogy szaporodik és magától fertőz - a mi kis meglepi.exénk nem tudott ilyet. Talán a trójai definíciójához áll a legközelebb (olyan program, ami rosszindulatú kódot telepít, miközben úgy tesz, mintha valami mást csinálna), de a rosszindulatú programokra általánosan használt malware [2] gyűjtőszó alá mindenképpen beillik.
A második próbában egy átlagos felhasználó komolyabb vírusvédelem nélküli gépe volt a célpont: a saját otthoni pécénket támadtuk meg, elvégre az őrült tudósok is mindig magukon próbálják ki a találmányaikat a filmekben. A trójai szépen befészkelte magát a rendszerbe, de amint az első adatokat elkezdte volna kiszivárogtatni, a szoftveres tűzfal (a ZoneAlarm [3] legkisebb verziója) kötelességtudóan jelezte, hogy itt bizony a meglepi.exe kifelé kacsintgat a gépről, és adatokat akar küldeni egy távoli szerverre.
Úgy kell elnevezni a kártevőt, hogy az elaltassa a felhasználó éberségét - jegyeztük fel a tanulságot, majd úgy tettünk, mintha valami sokkal jobb névvel (például windowsupdater.exe, aminek talán könnyebben elnézi az egyszeri júzer, hogy egy másik géppel kommunikál) átvertük volna a vírusgazda felhasználót, és nagylelkűen kiengedtük a tűzfalon a programot.
"És ha besötétedik, előbújunk a nyúlból..."
Miután szimuláltuk, hogy az áldozatnak nincs se rendes vírusvédelme, se tűzfala, és még arra is hajlandó, hogy mindenféle gyanús fájlokat indítson el a gépén, eljutottunk arra a pontra, ami a trójai gazdájának álma: a meglepi.exe bejelentkezett a Shark-szerverre (vagyis arra a gépre, ahol készült) a megtámadott pécéről.
A lehetőségeink innentől kezdve szinte határtalanok. Vérbeli kukkolóként láthatjuk, mi történik éppen a fertőzött gép képernyőjén, ellophatjuk a jelszavakat tartalmazó fájlokat, telepíthetünk keyloggert (vagyis a billentyűlenyomásokat rögzítő programot), amivel újabb jelszavakat vagy számlaszámokat szerezhetünk, átirányíthatjuk az áldozat böngészőjét tetszőleges oldalra, lemásolhatjuk a fájljait, beleolvashatunk a levelezésébe - mintha csak a gép előtt ülnénk. Szörnyű! Amennyire megnyugodtunk a vírusirtó és a tűzfal reakciója láttán, annyira zavarbaejtő volt látni, hogy ha egyszer a meglepi.exe bejutott a védelem mögé, onnan nincs kegyelem.
Védd magad!
A címben feltett kérdésre tehát igen a válasz: valóban, a hülye is tud vírust írni. Szerencsére azonban még a vírus írójánál is sokkal hülyébbnek kell lenni ahhoz, hogy ez tényleg kárt okozzon nekünk. Amíg vesszük a fáradságot a tűzfal és a vírusirtó frissítésére, és nem indítunk el gondolkodás nélkül jöttment fájlokat, nem kell félnünk. Legalábbis nem jobban az egészségesnél.
index
2007.09.28
t: 2079
A hülye is tud vírust írni
A vírusok íróit az ember úgy képzeli el, mint a Sötét Oldal felé fordult jediket, akik szörnyű tudással bírnak, a testüket évek óta nem érte napfény, sötét alagsori helységekben élnek féltucat villódzó monitor társaságában, az agyuk nagyobb, mint az összes többi testrészük összesen, százezer programnyelven beszélnek folyékonyan, és tegezőviszonyban vannak minden processzorral és memóriacsippel. A vírusirtó szakemberek ezzel szemben folyton amiatt siránkoznak, hogy ma már nem kell programozói tudás egy vírus, vagy más kártékony program megalkotásához, és a net sötét bugyraiban közkézen forgó vírusgyártó programokkal a hülye is tud saját vírust írni. Hogy lássuk, valóban így van-e, a nyakunkba vettük a netet vírusíró program után kutatva.
Cápa a hálóban
Bő tízperces Google-bűvészkedés után sikerült beszereznünk az egyik leghírhedtebb vírusgyártó program, a Shark legújabb 2.4-es verzióját (nem az "Ezt ne próbáljátok ki otthon, gyerekek!" mozgalom jegyében nem adunk linket hozzá, hanem mert másnapra törölték az oldalt, ahonnan letöltöttük). Bár hivatalosan rendszergazdáknak szánt adminisztrációs programnak nevezi magát - telepítésnél fel is szólít, hogy nehogy véletlenül illegális dolgokra használjuk -, egyértelmű, hogy mire tervezték: arra hogy egy megfertőzött gépből feltűnés nélkül tudjunk távolról adatokat kihúzni, vagy akár átvenni felette az uralmat.
Vírus születik
A Shark kezelése egyszerű; bár elsőre irgalmatlanul bonyolultnak tűnik a sok opció, valójában meglepően gyorsan ki lehet tanulni, és összeütni vele egy kártevőt. Igaz, elég fapados lesz, de az álcázási opciók, a különféle anti-debugger metódusok és pánik módok birizgálása nélkül is életképes. Alapjáraton nem kell többet tennünk, mint megadni a vírus nevét (hirtelen felindulásból a meglepi.exét választottuk, amihez a legegyszerűbb álcázás kedvéért a program odabiggyeszt egy .txt kiterjesztést - majd később kiderül, miért nem volt jó ötlet ez a név), a gépünk ip-címét [1] , ahová majd az információkat küldözgeti, és még pár apróságot (milyen könyvtárba telepítse magát és hasonlók). Fél perc kattintgatás után a trójaink csőre töltve várja, hogy bevessük.
Most jön a kényes pont: a vírus célba juttatása. A témával foglalkozó fórumokon azt tanácsolják, fájlcserélő hálózatokon képnek álcázva (a mérete miatt videónak nemigen lehet) dobhatjuk be a csalit, ha pedig célzottan támadnánk, emailben vagy valamilyen csevegőprogramon át próbálkozzunk, a trójait pedig maszkírozzuk képernyővédőnek (vagyis nevezzük át screensaver.exére). Az egyszerűség kedvéért ezt a fázist elegánsan átugrottuk a kísérletben, és onnan folytattuk, hogy a csomag elérte a célját, és a mit sem sejtő áldozat elindította a programot.
Bevetésen
Az élesített trójait első tesztként az egyik indexes szerkesztőségi gép ellen vetettük be. A vírusirtónk megnyugtató módon állta a próbát és egy "The file meglepi.exe was found to be infected with Backdoor.VB.BAX and has been quarantined." felkiáltással megakadályozta, hogy a program feltelepedjen a gépre. Egy-null oda. Vagy ide, attól függőn, hogy a vírusíró, vagy az -irtó oldalára helyezzük magunkat éppen.
Vírus? Trójai? Malware?
Tulajdonképpen nem is vírust írtunk; egy vírusnak ugyanis fontos jellemzője hogy szaporodik és magától fertőz - a mi kis meglepi.exénk nem tudott ilyet. Talán a trójai definíciójához áll a legközelebb (olyan program, ami rosszindulatú kódot telepít, miközben úgy tesz, mintha valami mást csinálna), de a rosszindulatú programokra általánosan használt malware [2] gyűjtőszó alá mindenképpen beillik.
A második próbában egy átlagos felhasználó komolyabb vírusvédelem nélküli gépe volt a célpont: a saját otthoni pécénket támadtuk meg, elvégre az őrült tudósok is mindig magukon próbálják ki a találmányaikat a filmekben. A trójai szépen befészkelte magát a rendszerbe, de amint az első adatokat elkezdte volna kiszivárogtatni, a szoftveres tűzfal (a ZoneAlarm [3] legkisebb verziója) kötelességtudóan jelezte, hogy itt bizony a meglepi.exe kifelé kacsintgat a gépről, és adatokat akar küldeni egy távoli szerverre.
Úgy kell elnevezni a kártevőt, hogy az elaltassa a felhasználó éberségét - jegyeztük fel a tanulságot, majd úgy tettünk, mintha valami sokkal jobb névvel (például windowsupdater.exe, aminek talán könnyebben elnézi az egyszeri júzer, hogy egy másik géppel kommunikál) átvertük volna a vírusgazda felhasználót, és nagylelkűen kiengedtük a tűzfalon a programot.
"És ha besötétedik, előbújunk a nyúlból..."
Miután szimuláltuk, hogy az áldozatnak nincs se rendes vírusvédelme, se tűzfala, és még arra is hajlandó, hogy mindenféle gyanús fájlokat indítson el a gépén, eljutottunk arra a pontra, ami a trójai gazdájának álma: a meglepi.exe bejelentkezett a Shark-szerverre (vagyis arra a gépre, ahol készült) a megtámadott pécéről.
A lehetőségeink innentől kezdve szinte határtalanok. Vérbeli kukkolóként láthatjuk, mi történik éppen a fertőzött gép képernyőjén, ellophatjuk a jelszavakat tartalmazó fájlokat, telepíthetünk keyloggert (vagyis a billentyűlenyomásokat rögzítő programot), amivel újabb jelszavakat vagy számlaszámokat szerezhetünk, átirányíthatjuk az áldozat böngészőjét tetszőleges oldalra, lemásolhatjuk a fájljait, beleolvashatunk a levelezésébe - mintha csak a gép előtt ülnénk. Szörnyű! Amennyire megnyugodtunk a vírusirtó és a tűzfal reakciója láttán, annyira zavarbaejtő volt látni, hogy ha egyszer a meglepi.exe bejutott a védelem mögé, onnan nincs kegyelem.
Védd magad!
A címben feltett kérdésre tehát igen a válasz: valóban, a hülye is tud vírust írni. Szerencsére azonban még a vírus írójánál is sokkal hülyébbnek kell lenni ahhoz, hogy ez tényleg kárt okozzon nekünk. Amíg vesszük a fáradságot a tűzfal és a vírusirtó frissítésére, és nem indítunk el gondolkodás nélkül jöttment fájlokat, nem kell félnünk. Legalábbis nem jobban az egészségesnél.
index
2007.09.28
Legfrissebb magazinok
- A legtutibb balatoni éttermek
- Hetente frissül majd az Office
- Telefonszámokat lop a Facebook
- Rajtol a Tour de dopping
- Szúnyogriasztó és napvédő krém házilag
- Gyümölcsös ínyencségek - 4 szuper recept
- RIPORT MÓNIKÁVAL AZ EROTIKA VILÁGÁBÓL!
- ZTE V889M - kétélű penge
- Újabb csatát nyert a Samsung: betilthatnak néhány iPhone-t
- Viszi az árvíz a motort?
HIRDETÉS
TOVÁBBI HÍREINK
- Ezeken a magyar településeken már készülhetnek az ivóvízhiányra
- Fokozódik a konfliktus: tűzharc tört ki a Wagner-csoport és az orosz légierő között, már három helikoptert lelőttek
- Putyin beszédet intézett népéhez a a Wagner-csoport lázadása után: „Az ilyen fenyegetésre keményen fogunk reagálni”
- Lázadás tört ki Oroszországban: a Wagner zsoldoscsoport elfoglalt egy orosz várost, Putyin hamarosan beszédet mond
- Olyan vihar jöhet, ami ellen az esernyő nem elég
- Ők öten vesztek hullámsírba a Titan fedélzetén
- Az Európai Parlament megszavazta: Magyarország alkalmatlan az uniós elnökségre
- Aligha most robban föl a Balkán puskaporos hordója
- Putyin arra játszik, hogy legyen ürügye az első nukleáris csapásra
- Novák Katalin a kórházban indította a reggelt
HIRDETÉS
