J

J

a

a

k

k

d

d

z

z

i

i

a

a

a

a

w

w

i

i

r

r

u

u

s

s

O wirusach komputerowych powstaj legendy, w telewizji s yszy si o kolejnych atakach mikrobów, w

filmach wirusy coraz cz

ciej graj wa ne, cho przewa nie negatywne role. Ma o osób zdaje sobie spraw , e to

nie wirusy poczyni y w ostatnich czasach najwi ksze szkody. O wiele wi kszym zmartwieniem s dzi robaki i
wirusy makr.

D

D

l

l

a

a

c

c

z

z

e

e

g

g

o

o

w

w

i

i

r

r

u

u

s

s

?

?

Nazwa powsta a przez analogi do naturalnego wirusa. Jest to bardzo dziwny twór, poniewa z biologicznego
punktu widzenia jest martwy. Nie yje, nie ma metabolizmu, nie porusza si , nie rozmna a si samodzielnie, a
jednak ma si doskonale. Jest kawa kiem informacji DNA wyposa onej w naturalny interfejs pozwalaj cy czy
si z ywymi komórkami. Po po czeniu wirus podmienia kod genetyczny, zmuszaj c komórk do zmiany
zachowa oraz tworzenia swoich kopii. Ca kiem jak komputerowy odpowiednik.

T

T

y

y

p

p

y

y

s

s

z

z

k

k

o

o

d

d

n

n

i

i

k

k

ó

ó

w

w

W

W

i

i

r

r

u

u

s

s

samopowielaj cy si fragment kodu. Ma mechanizmy pozwalaj ce czy si z innymi programami. Mo e

zarazi dyski, zapisuj c si sektorze startowym. Zaawansowane wirusy potrafi maskowa swój kod ród owy,
wy cza oprogramowanie antywirusowe czy mutowa , utrudniaj c identyfikacj .

R

R

o

o

b

b

a

a

k

k

program maj cy za zadanie mno y si w sieciach komputerowych, przejmowa funkcje serwera i

zapycha

cza sztucznym ruchem.

K

K

o

o

t

t

r

r

o

o

j

j

a

a

s

s

k

k

i

i

szkodliwy program, który udaje, e jest normaln aplikacj . W zale no ci od zamiarów twórcy

mo e umo liwia przej cie kontroli nad komputerem, wysy a poufne informacje o u ytkowniku czy niszczy dane
na dysku.

W

W

i

i

r

r

u

u

s

s

m

m

a

a

k

k

r

r

szkodnik oparty na j zyku skryptowym charakterystycznym dla danej aplikacji. W praktyce

najcz

ciej jest to skrypt VBA wykorzystuj cy dziury w zabezpieczeniach Microsoft Office. Rodzajem tego typu

szkodników s tak e wirusy e-mailowe.

m

m

i

i

e

e

r

r

w

w

i

i

r

r

u

u

s

s

a

a

Czasy wietno ci klasyczne wirusy maj za sob . Kiedy wi kszo

danych, programy, a nawet systemy

operacyjne by y przechowywane na dyskietkach i przenoszone mi dzy komputerami, wirusy mia y raj.
Zainfekowana dyskietka zara a a komputer, który nagrywa kopi wirusa na kolejn dyskietk , ta w drowa a do
nast pnej maszyny. Jednak programy zacz y si rozrasta i do powszechnego u ytku wesz y p yty CD. Z racji
tego, e na wyt oczonym CD nie mo na niczego nagra , mo liwo ci rozmna ania si dramatycznie si skurczy y.
Do upadku wirusów przyczynili si tak e producenci sprz tu, wprowadzaj c zabezpieczenia przed
nieautoryzowan modyfikacj sektora startowego dysku. Nie bez znaczenia by a te rosn ca wiadomo
u ytkowników, którzy zacz li stosowa oprogramowanie antywirusowe. Nie nale y jednak uwa a , e jeste my
bezpieczni. Nigdy nie wiadomo, czy jaki psychopata nie tworzy w a nie nowego zagro enia.

O

O

c

c

h

h

r

r

o

o

n

n

a

a

p

p

r

r

z

z

e

e

d

d

m

m

a

a

k

k

r

r

a

a

m

m

i

i

w

w

O

O

f

f

f

f

i

i

c

c

e

e

Jednym z najprostszych sposobów na zwi kszenie bezpiecze stwa swoich danych jest wy czenie
automatycznego wykonywania makr. Uruchamiamy Word i z menu

N

N

a

a

r

r

z

z

d

d

z

z

i

i

a

a

wybieramy pozycj

O

O

p

p

c

c

j

j

e

e

. W

pojawiaj cym si oknie znajdujemy zak adk

Z

Z

a

a

b

b

e

e

z

z

p

p

i

i

e

e

c

c

z

z

e

e

n

n

i

i

a

a

. Na niej klikamy na przycisk

B

B

e

e

z

z

p

p

i

i

e

e

c

c

z

z

e

e

s

s

t

t

w

w

o

o

m

m

a

a

k

k

r

r

. Pojawi si okno, w którym zaznaczamy pozycj

r

r

e

e

d

d

n

n

i

i

e

e

.

.

M

M

o

o

e

e

s

s

z

z

z

z

d

d

e

e

c

c

y

y

d

d

o

o

w

w

a

a

,

,

c

c

z

z

y

y

u

u

r

r

u

u

c

c

h

h

a

a

m

m

i

i

a

a

p

p

o

o

t

t

e

e

n

n

c

c

j

j

a

a

l

l

n

n

e

e

n

n

i

i

e

e

b

b

e

e

z

z

p

p

i

i

e

e

c

c

z

z

n

n

e

e

m

m

a

a

k

k

r

r

a

a

. Wychodzimy z opcji, klikaj c na

O

O

K

K

. Od tej pory b dziemy potwierdzali

uruchamianie si ka dego potencjalnego niebezpiecznego makra.

S

S

i

i

e

e

c

c

i

i

o

o

w

w

e

e

p

p

u

u

a

a

p

p

k

k

i

i

Na miejsce klasycznych wirusów wesz y twory wykorzystuj ce Internet. Najpopularniejszym sposobem na

dokonanie szkód jest wirus pocztowy. Przyk adami s Melissa i ILOVEYOU (zwany listem mi osnym). Wykorzystuj
one zarówno dziury w zabezpieczeniach programów, jak i naiwno

u ytkowników. Trik Melissy polega na

umieszczeniu w pliku DOC makra, które wysy a o do pierwszych 50 adresatów ksi

ki adresowej kopi listu z

do czonym feralnym dokumentem DOC. List zawiera kilka s ów zach caj cych do otwarcia za cznika. E-mail
móg sprawia wra enie, e zosta napisany przez cz owieka

by nawet podpisany imieniem w a ciciela

komputera wysy aj cego. Je li kto by na tyle naiwny, eby wykona polecenie, stawa si ogniwem infekcji. Wirus
zara a tak e Word, tak e ka dy nowy dokument zawiera kod Melissy. Ciekawym przyk adem jest wirus
ILOVEYOU. Bazowa on na sk onno ci u ytkowników do sprawdzania nowych programów oraz

pró no ci. Bo jak

inaczej wyt umaczy

fakt, e miliony u ytkowników wiadomie uruchomi o program, który przyszed jako za cznik

od nieznanego nadawcy? Mo e wyznanie mi o ci u pi o czujno

? Trudnym, bo wymagaj cym znajomo ci

dzia ania skomplikowanych programów i rodowisk sposobem na sterroryzowanie sieci jest napisanie robaka. Jak
zabójczy mo e by dobrze skonstruowany insekt,

wiadcz przeprawy ze Slammerem.

F

F

a

a

s

s

z

z

y

y

w

w

k

k

i

i

Atmosfer strachu wokó wirusów cz sto wykorzystuj szukaj cy naiwnych artownisie. Od czasu do czasu
pojawiaj si wysy ane e-mailem alarmuj ce wiadomo ci o nowym szczególnie gro nym wirusie. Zawieraj one
szczegó owy opis, jakie szkody wyrz dzi nam wirus, i strasz , e jest to powa ne zagro enie, na które na razie
nie ma szczepionki. Pó biedy, je li na tym si ko czy. Niektóre listy podaj cudowne recepty, jak zabezpieczy
si przed mikrobem

najcz

ciej wykonanie za czonych instrukcji ko czy si uszkodzeniem systemu. Taka

sytuacja mia a miejsce w przypadku listu namawiaj cego do usuni cia rzekomego wirusa jdbgmgr.exe

zbiór,

który wed ug zalece trzeba by o skasowa (mia charakterystyczn ikon z pluszowym misiem) by wa nym
plikiem systemowym. Alarmy-fa szywki na szcz

cie rzadko s t umaczone na j zyk polski.

S

S

a

a

m

m

o

o

z

z

o

o

Analizuj c Slammera, nie sposób nie dostrzec zimnej kalkulacji

robak rozmna a si z niewiarygodn

pr dko ci w jednym celu

niszczy . Domowy pecet ze sta ym czem móg wysy a kilkaset zaka nych pakietów

na sekund . Firmowe serwery stanowi y wr cz monstrualne wyl garnie nowych zarodników. Robak nie tylko
zara a podatne maszyny (s raporty o 750

000 zainfekowanych serwerach SQL), ale skutecznie blokowa

wszystkich u ytkowników Internetu, zapychaj c sie miliardami pakietów danych. O ile poprzedni s ynny szkodnik

robak Code Red

oprócz rozmna ania si mia jeszcze zadanie

atakowa witryn Bia ego Domu

(WWW.whitehouse.gov), to Slammer niszczy wszystko, co napotka na drodze.

K

K

t

t

o

o

t

t

o

o

p

p

i

i

s

s

z

z

e

e

Kto pisze wirusy i dlaczego? W ludziach drzemie ch

zniszczenia i frustracja. Kto , kto nie ma innego

sposoby, eby zaistnie w wiadomo ci innych inaczej ni powoduj c straty materialne, podpala przystanki
autobusowe, ma e flamastrem czyste ciany, pisze wirusy. Znane s wprawdzie nieliczne przyk ady wirusów,
których pojawienie si wi za o z jakim manifestem czy protestem, na przyk ad politycznym (apele o poparcie dla
Palestyny), lub ogólnym (przeciwko Microsoftowi), jednak znakomita wi kszo

to zwykle przest pstwo

wymierzone w u ytkowników. Nie dajmy, si jednak zastraszy . Odrobina przezorno ci wystarczy, eby nie

da

satysfakcji chuliganom.

Z

Z

p

p

e

e

r

r

s

s

p

p

e

e

k

k

t

t

y

y

w

w

y

y

r

r

o

o

b

b

a

a

k

k

a

a

Wspó czesne robaki i wirusy staj si coraz bardziej wyspecjalizowane. Ich twórcy nie staraj si napisa

uniwersalnego kodu, lecz program, który wykorzystuje konkretn s abo

danej aplikacji lub systemu. Dobrym

przyk adem jest nies awny robak Slammer. By a to relacja z perspektywy producenta antywirusów Symanteca.
Zobaczmy, jak ca a infekcja wygl da a z punktu widzenia robaka. Jak na program, który spowodowa miliardowe
straty, zablokowa na jaki czas ruch internetowy w wielu miejscach wiata czy wy czy spor cz

sieci

komórkowej w Korei, Slammer jest do

niepozorny. Jego kod zajmuje 376 bajtów

czyli kilkana cie razy mniej ni

ten artyku . 15 minut do rozpocz cia ataku Slammera pierwsze du e serwery przesta y dzia a ze wzgl du na
przeci

enie cz. Jak to mo liwe, eby robak dzia a tak szybko? Tajemnica tkwi w sposobie rozsiewania kopii

szkodnika. Wykorzystuje on internetowy protokó UDP

szybsz i l ejsz wersj znanego TCP. W TCP, aby

przes a dane, komputer nadaj cy i odbieraj cy musz nawi za dialog. Nadawca nie zacznie wysy a danych,
zanim odbiorca nie da sygna u, e jest gotowy. Protokó UDP wykorzystuje natomiast podró uj ce w jedn stron ,
zaadresowane do konkretnego serwera pakiety informacji. Ich nadanie nie wymaga pozwolenia odbiorcy. Tak si
z o y o, e protokó UDP jest szeroko wykorzystywany przez Microsoft SQL Server 2000 do zdalnego
przeszukiwania baz danych. Co wi cej, podobny kod obs ugi SQL jest wbudowany w szereg innych aplikacji
Microsoftu. Wiele z ofiar Slammera nawet nie wiedzia o, e korzysta z SQL. Robak mo liwo

dzia ania

zawdzi cza b edowi typu buffer overflow, czyli przepe nieniu bufora. W skrócie trik mo na opisa nast puj co

je li wy lemy bardzo du

porcj danych i w jaki sposób nak onimy program odbieraj cy, eby nie zweryfikowa

wielko ci naszej paczki, to zawarto

komunikatu b dzie wi ksza ni przeznaczone dla niego miejsce. Jego

wychodz ca poza bufor cz

nadpisze wi c inne rejony pami ci w tym fragmenty kodu programu-gospodarza.

Zobaczmy krok po kroku, jak wygl da infekcja Slammerem.

1

1

.

.

Do komputera z Microsoft SQL Server 2000 nadchodzi pakiet UDP z pro b o wyszukanie informacji w bazie

danych. Tak si przynajmniej wydaje. 04

pierwsza liczba w ci gu

sygnalizuje serwerowi, e po niej nast pi

nazwa bazy, któr trzeba przeszuka . Wed ug specyfikacji Microsoftu nazwa ma mie 16 bajtów i ko czy si
liczb 00. Jednak w feralnym pakiecie 00 nie wyst puje. Serwer SQL nie ma planu

dzia ania na tak ewentualno

ca y pakiet jest wklejany do pami ci.

2

2

.

.

Zapisany pakiet na pocz tku sk ada si z serii liczb 01 zajmuj cej 128 bajtów. To wystarczy, eby zape ni

bufor na przychodz ce paczki UDP. Dalsza cz

pakietu jest zapisywana na miejscu tak zwanego stosu. Stos to

miejsce w pami ci, gdzie program przechowuje list zada , które ma do zrobienia. Slammer zast pi wi c
oryginaln list zada w asn , czyli przeprogramowanie zaatakowan aplikacj bez wzbudzenia niczyich
podejrze .

3

3

.

.

Dalej sprawy tocz si b yskawicznie. Program przekazuje inicjatyw robakowi. Slammer odczytuje liczb

milisekund, które up yn y

od w czenia serwera, i tworzy z niej adres IP, pod który wy le nowy pakiet. W praktyce

jest to adres losowy.

4

4

.

.

Robak ma ju adres nowej potencjalnej ofiary, teraz przygotowuje zawarto

przesy ki, jako ród o wskazuj c

samego siebie.

5

5

.

.

Serwer, zgodnie z poleceniem, wysy a nowy sfa szowany pakiet UDP. W kolejnym obrocie p tli robak tworzy

nowy adres i zleca wysy anie nast pnego pakietu. Mechanizm ruszy . W zale no ci od przepustowo ci cza i
mocy komputera rozsiewa teraz po Internecie od kilkuset do kilkuset tysi cy swoich kopii na sekund . Tu zwraca
uwag spryt programisty

Slammer nie marnuje nawet setnej cz

ci sekundy na ponowne odwo anie si do

zegara systemowego nowy adres losowy tworzy, przypadkowo zamieniaj c miejscami cyfry w poprzednim
adresie IP. Po kryzysie wywo anym przez ten atak podnios a si fala g osów, e skala zniszcze nie by aby tak
du a, gdyby zamiast SQL Servera 2000 Mictosoftu stosowano oprogramowanie Open Source. Gdyby kod

ród owy by ogólnie dost pny, by mo e kto wcze niej wy apa by dziur w zabezpieczeniach i uniemo liwi by

atak. Jest to jednak tylko teoria.