Μάθετε αναλυτικά, τι είναι το κακόβουλο λογισμικό

Νομίζετε ότι ξέρετε για τι μιλάμε όταν λέμε κακόβουλο λογισμικό; Το παρακάτω άρθρο είναι για να βεβαιωθούμε ότι ξέρουμε για τι “πράγμα” μιλάμε αλλά περιέχει και μερικές βασικές συμβουλές από το infoworld για το τι πρέπει να κάνουμε όταν έχουμε χτυπηθεί από malware.

  Ιοί – Viruses 
Ένας ιός υπολογιστών είναι αυτό που ο περισσότερος κόσμος αποκαλεί κάθε πρόγραμμα malware που αναφέρετε στις ειδήσεις. Ευτυχώς που τα περισσότερα προγράμματα malware δεν είναι ιοί. Ένας ιός υπολογιστών τροποποιεί νόμιμα αρχεία υποδοχής του υπολογιστή (ή δείκτες σε αυτούς) κατά τέτοιο τρόπο, ώστε όταν ο χρήστης θελήσει να τρέξει ένα αρχείο, τρέχει αυτόματα τον ιό. Οι απλοί ιοί υπολογιστών είναι αρκετά ασυνήθιστοι σήμερα και εκπροσωπούν το λιγότερο από το 10% του συνόλου των malware. Αυτό είναι καλό, καθώς οι ιοί είναι το μόνο είδος κακόβουλου λογισμικού που “μολύνει” άλλα αρχεία. Αυτό καθιστά ιδιαίτερα δύσκολη την απομάκρυνση τους από το σύστημα, επειδή μολύνουν αρχεία από το νόμιμο πρόγραμμα και αυτά αναπαράγουν τον ιό. Τα καλύτερα antivirus αδυνατούν να καθαρίσουν σωστά ένα σύστημα και σε πολλές περιπτώσεις απλά βάζουν σε καραντίνα τον ιό ή τον διαγράφουν. Όμως το σύστημα παραμένει μολυσμένο.

 Σκουλήκια – Worms 
 Τα σκουλήκια υπάρχουν πολύ πριν από τους ιούς των υπολογιστών, από την εποχή mainframe. Τα e-mail τους έφεραν στη μόδα στα τέλη της δεκαετίας του 1990, και για σχεδόν μια δεκαετία, οι υπολογιστές υπέφεραν από αυτά καθώς έφταναν συνεχώς συνημμένα με τα μηνύματα ηλεκτρονικού ταχυδρομείου. Χρειάζεται ένα άτομο να ανοίξει ένα τέτοιο συνημμένο και ολόκληρη η εταιρεία θα προσβληθεί σε χρόνο μηδέν. Το ιδιαίτερο χαρακτηριστικό τους είναι ότι ...


 ...τα σκουλήκια είναι αυτοαναπαραγόμενα. Πάρτε το διαβόητο worm ILOVEYOU: Χτύπησε σχεδόν σε κάθε χρήστη ηλεκτρονικού ταχυδρομείου στον κόσμο, υπερφόρτωσε τηλεφωνικά συστήματα (με την αποστολή κείμενων), έριξε τηλεοπτικά δίκτυα, και μία καθημερινή εφημερίδα καθυστέρησε την κυκλοφορία της για μισή ημέρα. Υπάρχουν πολλά άλλα σκουλήκια, συμπεριλαμβανομένων του SQL Slammer και του MS Blaster, που καθιέρωσαν και εξασφάλισαν μια πρωταγωνιστική θέση για τα Worms στην ιστορία της ασφάλειας των υπολογιστών. Αυτό που κάνει τόσο αποτελεσματικό ένα σκουλήκι αλλά και τόσο καταστροφικό είναι η ικανότητά του να εξαπλώνετε χωρίς την άδεια του χρήστη. Οι ιοί, αντίθετα, απαιτούν κάποιο εναρκτήριο λάκτισμα από τον χρήστη, πριν να προσπαθήσουν να μολύνουν άλλα αθώα αρχεία ή άλλους χρήστες. Τα σκουλήκια εκμεταλλεύονται άλλα αρχεία και προγράμματα για να κάνουν τη βρώμικη δουλειά. Για παράδειγμα, το SQL Slammer worm χρησιμοποίησε μια (patched) ευπάθεια του Microsoft SQL για να επιβαρύνει με υπερχειλίσεις buffer σχεδόν σε κάθε unpatched διακομιστή SQL που ήταν συνδεδεμένος στο Internet σε περίπου 10 λεπτά, ένα ρεκόρ που στέκεται ακόμα και σήμερα.

 Δούρειος ίππος – Trojans
 Τα σκουλήκια σήμερα έχουν αντικατασταθεί από προγράμματα malware Trojans σαν νέο όπλο επίθεσης από τους hackers. Τα Trojans μεταμφιέζονται ως νόμιμα προγράμματα, αλλά περιέχουν κακόβουλες οδηγίες. Υπάρχουν σχεδόν από πάντα, ακόμα πιο πριν και από τους ιούς των υπολογιστών, αλλά έχουν επικρατήσει στους σημερινούς υπολογιστές περισσότερο από κάθε άλλο είδος κακόβουλου λογισμικού. Ένα Trojan πρέπει να εκτελεστεί από το θύμα του για να κάνει τη δουλειά του. Τα Trojans συνήθως φτάνουν μέσω e-mail ή από ιστοσελίδες που έχουν μολυνθεί και κάποιος χρήστης τις επισκέπτεται. Το πιο δημοφιλές είδος Trojan είναι ένα ψεύτικο πρόγραμμα προστασίας από ιούς, το οποίο αναδύεται και ισχυρίζεται ότι έχετε μολυνθεί. Αν δώσετε εντολή να τρέξει το πρόγραμμα για να καθαρίσετε τον υπολογιστή σας τότε το Trojan ριζώνει. Από τα Trojans είναι δύσκολο να προστατευτείτε για δύο λόγους: Είναι εύκολο να δημιουργηθούν (οι εγκληματίες του κυβερνοχώρου που συνήθως τα παράγουν δεν δυσκολεύονται καθώς έχουν δημιουργηθεί Trojan-building kits που διευκολύνουν το έργο τους) και εξαπλώνονται πολύ γρήγορα αφού μπορούν και εξαπατούν τον τελικό χρήστη – καθώς ένα patch, ή ένα τείχος προστασίας, ή άλλες παραδοσιακές άμυνες δεν μπορούν να τα σταματήσουν. Οι κακόβουλοι παραγωγοί των Malwares κερδίζουν από τα Trojans εκατομμύρια κάθε μήνα.

 Υβρίδια και εξωτικές μορφές – Hybrids and exotic forms 
 Σήμερα, τα περισσότερα malware είναι ένας συνδυασμός των παραδοσιακών κακόβουλων προγραμμάτων, συχνά επίσης περιλαμβάνουν και μέρη των Trojans και worms και περιστασιακά έναν ιό. Συνήθως, το πρόγραμμα malware θα εμφανιστεί στον τελικό χρήστη ως ένα Trojan, αλλά μόλις εκτελεστεί, επιτίθεται σε άλλα θύματα μέσω του διαδικτύου, όπως ένα worm (σκουλήκι). Πολλά από τα προγράμματα malware σήμερα θεωρούνται rootkits ή προγράμματα stealth. Ουσιαστικά, τα προγράμματα malware προσπαθούν να τροποποιήσουν το βασικό λειτουργικό σύστημα για να αναλάβουν τον απόλυτο έλεγχο και να κρύβονται από τα antimalware προγράμματα. Για να απαλλαγούμε από αυτά τα είδη των προγραμμάτων, θα πρέπει να αφαιρέσετε το στοιχείο ελέγχου από τη μνήμη, αρχίζοντας με μία σάρωση από ένα antimalware. Τα Bots είναι ουσιαστικά συνδυασμοί Trojan / worn που προσπαθούν να κάνουν ατομικούς πελάτες-θύματα ένα μέρος ενός μεγαλύτερου κακόβουλου δικτύου  Οι Botmasters έχουν ένα ή περισσότερους “διοίκησης και ελέγχου” servers στους οποίους οι bot πελάτες ελέγχουν για να λάβετε ενημερωμένες οδηγίες τους. Τα botnet κυμαίνονται σε μέγεθος από μερικές χιλιάδες μολυσμένους υπολογιστές μέχρι τεράστια δίκτυα με εκατοντάδες χιλιάδες συστήματα υπό τον έλεγχο ενός κεντρικού botnet. Τα botnets συχνά ενοικιάζονται σε άλλους εγκληματίες που χρησιμοποιούν στη συνέχεια για τους δικούς τους φαύλους σκοπούς.

 Spyware και adware 
 Αν είστε τυχεροί, τότε το μόνο πρόγραμμα malware που έχετε έρθει σε επαφή είναι απλά ένα adware, το οποίο επιχειρεί να εκθέσει σε κίνδυνο το τελικό χρήστη σε κάτι ανεπιθύμητο, πιθανά σε μία κακόβουλη διαφήμιση. Ένα κοινό πρόγραμμα adware μπορεί να ανακατευθύνει τις αναζητήσεις προγραμμάτων περιήγησης του χρήστη να μοιάζουν με ιστοσελίδες που περιέχουν όμως άλλες προσφορές προϊόντων. Μια άλλη κατηγορία είναι το malware spyware, το οποίο πιο συχνά χρησιμοποιείται από τους ανθρώπους που θέλουν να ελέγχουν τις δραστηριότητες των υπολογιστών των αγαπημένων τους προσώπων. Φυσικά, σε στοχευμένες επιθέσεις, οι εγκληματίες μπορούν να χρησιμοποιήσουν λογισμικό υποκλοπής spyware για να καταγράψουν την πληκτρολόγηση των θυμάτων και να αποκτήσουν πρόσβαση σε κωδικούς πρόσβασης ή πνευματικής ιδιοκτησίας. Τα Adware και spyware προγράμματα είναι συνήθως το πιο εύκολο να αφαιρέσετε, επειδή δεν είναι σχεδόν φαύλα ως προς τις προθέσεις τους. Βρείτε το κακόβουλο εκτελέσιμο αρχείο, απότρεψέ το να εκτελείται – τελειώσατε.

 Η καταπολέμηση της απειλής Σήμερα, πολλά προγράμματα malware ξεκινούν ως ένα Trojan ή ιός τύπου worm, αλλά στη συνέχεια προσκαλούν ένα botnet και αφήνουν στον επιτιθέμενο χρήστη τον υπολογιστή και το δίκτυο του θύματος. Πολλές προηγμένες επίμονες επιθέσεις ξεκινούν με αυτόν τον τρόπο: Χρησιμοποιούν Trojans να αποκτήσουν τo αρχικό πρόσβαση σε εκατοντάδες ή χιλιάδες επιχειρήσεις, ενώ οι ανθρώπινες επιθέσεις παραμονεύουν, σε αναζήτηση μιας ενδιαφέρουσας πνευματικής ιδιοκτησίας. Η συντριπτική πλειοψηφία του κακόβουλου λογισμικού υπάρχει για να κλέψουν χρήματα – άμεσα από έναν τραπεζικό λογαριασμό ή έμμεσα με το να κλέβουν τους κωδικούς πρόσβασης ή ταυτότητες. Αν είστε τυχεροί, μπορείτε να βρείτε τα κακόβουλα εκτελέσιμα αρχεία χρησιμοποιώντας ένα πρόγραμμα όπως το Autoruns της Microsoft ή το Silent Runners. Αν το πρόγραμμα malware είναι λαθραίο, θα πρέπει να αφαιρέσετε το κομμάτι του που κρύβεται στη μνήμη πρώτα (αν είναι δυνατόν) και στη συνέχεια να εργαστείτε για να ξεριζώσετε το υπόλοιπο του προγράμματος. Συχνά εκκινώ τον υπολογιστή μου σε ασφαλή λειτουργία ή μέσω άλλης μεθόδου, αφαιρώ την ύποπτη συνιστώσα stealth (μερικές φορές κάνοντας του απλή μετονομασία), και τρέχω ένα καλό antivirus scanner μερικές φορές για να καθαρίσει τα υπολείμματα του stealth.
 Δυστυχώς, η εύρεση και την αφαίρεση μεμονωμένων στοιχείων ενός προγράμματος κακόβουλου λογισμικού είναι θέλημα μόνο ενός ανόητου. Είναι εύκολο να κάνετε λάθος και να χάσετε ένα στοιχείο. Πλέον, δεν ξέρετε αν το πρόγραμμα malware έχει τροποποιήσει το σύστημα με τέτοιο τρόπο ώστε να είναι αδύνατο να γίνει εντελώς αξιόπιστο και πάλι.
 Όταν βρείτε κακόβουλο λογισμικό σε έναν υπολογιστή, αν δεν είστε καλά εκπαιδευμένοι στην απομάκρυνση του κακόβουλου λογισμικού, κάντε αντίγραφα ασφαλείας των δεδομένων (εάν απαιτείται), διαμορφώστε (format) την μονάδας δίσκου, και εγκαταστήστε ξανά τα προγράμματα και τα δεδομένα. Επιδιορθώστε σωστά την ζημιά και βεβαιωθείτε ότι οι τελικοί χρήστες θα καταλάβουν τι έκαναν λάθος. Με αυτόν τον τρόπο, μπορείτε να πάρετε ένα αξιόπιστο υπολογιστή και να προχωρήσετε μπροστά στον αγώνα χωρίς κινδύνους ή παρατεταμένες ερωτήσεις.

 Πηγή: Undersec

Add To Facebook Add To Twitter Add To Yahoo Stumble This Fav This With Technorati Add To Del.icio.us Digg This Add To Reddit

0 σχόλια:

Δημοσίευση σχολίου