Komputer pracuje bardzo wolno, bez wiedzy użytkownika zainstalowały się zupełnie nieznane i co gorsza
niechciane aplikacje. Jednym słowem - komputer zaczyna żyć swoim życiem, zupełnie przestaje "słuchać"
użytkownika. Mało prawdopodobne? Opisany scenariusz zdarzeń, to typowy wynik działania aplikacji spyware.
Przedstawiamy opis konkretnego ataku grupy aplikacji spyware, na komputer użytkownika, odwiedzającego
odpowiednio spreparowaną stronę WWW. Co gorsza, do rozpoczęcia ataku wystarczyło jedynie wpisanie adresu
strony do przeglądarki internetowej - atak nastąpił już podczas otwierania strony. Podkreślamy, iż nie
były otwierane żadne linki wewnątrz strony, a użytkownik świadomie nie wyrażał zgody na zainstalowanie
żadnego programu z Internetu. W czasie pisania tego tekstu strona-pułapka była cały czas dostępna w sieci
Internet!
Komputer testowy
Nasz komputer testowy (zrzut 1,
zrzut 2) to maszyna podłączona
stałym łączem do sieci Internet, z zainstalowanym systemem Windows XP z dodatkiem Service Pack 2,
na bieżąco przeprowadzanymi aktualizacjami oraz z włączoną standardową zaporą ogniową dostarczaną z
Microsoft Windows. Do surfowania w Internecie używana jest standardowa przeglądarka - Internet Explorer.
Żeby uzyskać bardziej szczegółowe informacje na temat systemu i widzieć atakujące w ukryciu
programy szpiegowskie, musimy do tego celu użyć specjalnego programu diagnostycznego.
W tym celu na komputerze testowym został uruchomiony program Process Explorer,
który w bardzo szczegółowy sposób pokazuje jakie programy działają na komputerze w podziale na tzw.
procesy. Działający w naszym systemie program może składać się z kilku procesów (np. Internet Explorer,
ma odpowiadający mu proces, ale jednocześnie może uruchomić na jednym komputerze kilka-kilkanaście procesów).
Jak użytkownik trafia w pułapkę?
Wystarczy, iż użytkownik kliknie na nieznany link np. wiadomości GaduGadu nadesłanej od nieznajomej osoby.
Link do strony podobnej, do tej użytej w niniejszej prezentacji, był ostatnio masowo rozsyłany do
użytkowników popularnego, polskiego komunikatora Gadu-Gadu. Prezentujemy oryginalny zrzut ekranowy
wiadomości otrzymanej przez autora tego tekstu (w kwietniu 2006), kliknięcie na link prowadziło wprost do
strony z atakującymi programami szpiegowskimi:
Oczywiście link może być zawarty również w e-mailu lub też użytkownik może trafić na dana stronę surfując
w sieci Internet. Do celów niniejszej prezentacji wykorzystaliśmy inny niebezpieczny link - wpisując go
po prostu adres strony do przeglądarki.
Faza pierwsza ataku - unieszkodliwienie zapory Microsoft Windows
Po kliknięciu na użytkownika na niebezpieczny link lub wpisaniu adresu niebezpiecznej strony,
komputer użytkownika zaczyna wędrówkę w jedną stronę - by stać się zombie, czyli komputerem który
bez naszej wiedzy będzie infekować inne czy też umożliwi hackerom zdalny (z zewnątrz) dostęp do niego.
W naszym przypadku odpowiednio spreparowane wpisy na stronie www powodują wywołanie przez proces
IEXPLORE.EXE innego programu systemowego - rundll32.exe
(zrzut 3).
Nie jest to działanie normalne - w przypadku niezainfekowanej strony www, taka sytuacja nigdy nie
miałaby miejsca! W tym momencie wzrasta do blisko 100% obciążenie komputera i w tle zostaje pobrany
koń trojański smt16.exe, który zostaje uruchomiony przez proces rundll32.exe,
powodując wyłączenie zapory ogniowej systemu Windows.
System Windows próbuje zapobiec wykonywaniu dalszych, szkodliwych czynności (otwarcie dodatkowych portów,
wyłączenie kolejnych usług) przez konia trojańskiego smt16.exe jednak jest to działanie bezskuteczne.
Wyłączenie zapory ogniowej systemu Windows otwiera drogę kolejnym szkodliwym programom typu spyware.
Komputer stał się bezbronny wobec ataku z zewnątrz.
W polu systemowym (prawy dolny róg) pojawia się nowy, nie zainstalowany wcześniej przez użytkownika program:
Jednocześnie w tle, koń trojański smt16.exe pobiera z sieci Internet obcy program vgqx.exe.
Program ten powoduje zamknięcie wszystkich okien przeglądarki Internet Explorer (wcześniej
użytkownik nie mógł tego zrobić) oraz wyświetlenie okienka informacyjnego, które podszywa się pod monit
systemu Windows, informując użytkownika o fakcie zainfekowania jego systemu aplikacjami spyware -
co oczywiście jest prawdą. Bynajmniej nie jest to informacja od przyjaznego programu, który samoistnie
pobrał się na komputer użytkownika, by chronić jego zasoby przed spyware. Jest to aplikacja, która
podszywa się pod oprogramowanie typu antyspyware.
Fałszywe programy antyspyware
Koń trojański smt16.exe nadal działa w
systemie, pobierając coraz to nowsze aplikacje (
zrzut 4),
powodując ściągnięcie i uruchomienie programu Spy Sheriff,
który jest aplikacją typu adware,
wyświetlającą reklamy oraz będącą w stanie zmienić wyniki zwracane przez najpopularniejsze wyszukiwarki
internetowe, tak, by na pierwszych miejscach wyświetlały odnośniki do reklamowanych produktów.
Usunięcie tego programu z systemu, jest bardzo trudne i wymaga zazwyczaj zewnętrznych aplikacji.
SpySheriff znajduje oczywiście w systemie ślady aplikacji spyware. Jednak, by je usunąć,
należy zakupić pełną wersję programu. Podanie numeru karty kredytowej podczas zakupu programu, może
doprowadzić jej właściciela do uszczuplenia budżetu konta bankowego.
Infekcja komputera testowego miała miejsce na początku maja 2006. Wszelkie adresy www zamieszczone
w niniejszym artykule mają na celu pokazanie zagrożenia. Zdecydowanie odradzamy sprawdzanie na własnych
komputerach znajdujących się adresów www. Większość stron zwierających spyware pojawia się i znika w
krótkim czasie, dlatego pod podanymi linkami mogą obecnie znajdować się zupełnie inne treści.
Wnioski
Zapora ogniowa systemu Windows jest zupełnie nieskuteczna, jeżeli chodzi o ataki wrogich aplikacji
spyware i może być bez najmniejszego problemu przez nie wyłączona. W sieci Internet dostępne jest wiele
serwisów www, które są w stanie zainfekować komputer już podczas wyświetlania strony (bez klikania na
linki wewnątrz). Przekonanie części użytkowników, iż wystarczy nie instalować nieznanych programów z
Internetu by być bezpiecznym, jest o tyle nieprawdziwe, iż możliwe są inne ataki wykorzystujące luki w
zabezpieczeniach, mimo niewyrażenia zgody użytkownika na instalowanie jakichkolwiek programów.
Spyware rozprzestrzenia się bardzo szybko, również w Polsce - użytkownicy mogą być atakowani np. poprzez
popularne komunikatory internetowe (np. Gadu-Gadu). Bezpieczeństwo użytkownikom może zapewnić używanie
programu antywirusowego z funkcją antyspyware lub dedykowanego programu antyspyware, który zapewnia
ochronę w czasie rzeczywistym.
