További Biztonság cikkek
A vírusok íróit az ember úgy képzeli el, mint a Sötét Oldal felé fordult jediket, akik szörnyű tudással bírnak, a testüket évek óta nem érte napfény, sötét alagsori helységekben élnek féltucat villódzó monitor társaságában, az agyuk nagyobb, mint az összes többi testrészük összesen, százezer programnyelven beszélnek folyékonyan, és tegezőviszonyban vannak minden processzorral és memóriacsippel.
A vírusirtó szakemberek ezzel szemben folyton amiatt siránkoznak, hogy ma már nem kell programozói tudás egy vírus, vagy más kártékony program megalkotásához, és a net sötét bugyraiban közkézen forgó vírusgyártó programokkal a hülye is tud saját vírust írni. Hogy lássuk, valóban így van-e, a nyakunkba vettük a netet vírusíró program után kutatva.
Cápa a hálóban
Bő tízperces Google-bűvészkedés után sikerült beszereznünk az egyik leghírhedtebb vírusgyártó program, a Shark legújabb 2.4-es verzióját (nem az "Ezt ne próbáljátok ki otthon, gyerekek!" mozgalom jegyében nem adunk linket hozzá, hanem mert másnapra törölték az oldalt, ahonnan letöltöttük). Bár hivatalosan rendszergazdáknak szánt adminisztrációs programnak nevezi magát - telepítésnél fel is szólít, hogy nehogy véletlenül illegális dolgokra használjuk -, egyértelmű, hogy mire tervezték: arra hogy egy megfertőzött gépből feltűnés nélkül tudjunk távolról adatokat kihúzni, vagy akár átvenni felette az uralmat.
Vírus születik
A Shark kezelése egyszerű; bár elsőre irgalmatlanul bonyolultnak tűnik a sok opció, valójában meglepően gyorsan ki lehet tanulni, és összeütni vele egy kártevőt. Igaz, elég fapados lesz, de az álcázási opciók, a különféle anti-debugger metódusok és pánik módok birizgálása nélkül is életképes. Alapjáraton nem kell többet tennünk, mint megadni a vírus nevét (hirtelen felindulásból a meglepi.exét választottuk, amihez a legegyszerűbb álcázás kedvéért a program odabiggyeszt egy .txt kiterjesztést - majd később kiderül, miért nem volt jó ötlet ez a név), a gépünk ip-címét , ahová majd az információkat küldözgeti, és még pár apróságot (milyen könyvtárba telepítse magát és hasonlók). Fél perc kattintgatás után a trójaink csőre töltve várja, hogy bevessük.
Most jön a kényes pont: a vírus célba juttatása. A témával foglalkozó fórumokon azt tanácsolják, fájlcserélő hálózatokon képnek álcázva (a mérete miatt videónak nemigen lehet) dobhatjuk be a csalit, ha pedig célzottan támadnánk, emailben vagy valamilyen csevegőprogramon át próbálkozzunk, a trójait pedig maszkírozzuk képernyővédőnek (vagyis nevezzük át screensaver.exére). Az egyszerűség kedvéért ezt a fázist elegánsan átugrottuk a kísérletben, és onnan folytattuk, hogy a csomag elérte a célját, és a mit sem sejtő áldozat elindította a programot.
Bevetésen
Az élesített trójait első tesztként az egyik indexes szerkesztőségi gép ellen vetettük be. A NOD32 vírusirtónk megnyugtató módon állta a próbát: a behatolót Win32/Agent.AXA trójaiként érzékelte, és megakadályozta, hogy feltelepedjen a gépre (érdekes módon egy másik vírusirtó később Backdoor.VB.BAX-ként azonosította). Egy-null oda. Vagy ide, attól függőn, hogy a vírusíró, vagy az -irtó oldalára helyezzük magunkat éppen.
Vírus? Trójai? Malware?
Tulajdonképpen nem is vírust írtunk; egy vírusnak ugyanis fontos jellemzője hogy szaporodik és magától fertőz - a mi kis meglepi.exénk nem tudott ilyet. Talán a trójai definíciójához áll a legközelebb (olyan program, ami rosszindulatú kódot telepít, miközben úgy tesz, mintha valami mást csinálna), de a rosszindulatú programokra általánosan használt malware gyűjtőszó alá mindenképpen beillik.
A második próbában egy átlagos felhasználó komolyabb vírusvédelem nélküli gépe volt a célpont: a saját otthoni pécénket támadtuk meg, elvégre az őrült tudósok is mindig magukon próbálják ki a találmányaikat a filmekben. A trójai szépen befészkelte magát a rendszerbe, de amint az első adatokat elkezdte volna kiszivárogtatni, a szoftveres tűzfal (a ZoneAlarm legkisebb verziója) kötelességtudóan jelezte, hogy itt bizony a meglepi.exe kifelé kacsintgat a gépről, és adatokat akar küldeni egy távoli szerverre.
Úgy kell elnevezni a kártevőt, hogy az elaltassa a felhasználó éberségét - jegyeztük fel a tanulságot, majd úgy tettünk, mintha valami sokkal jobb névvel (például windowsupdater.exe, aminek talán könnyebben elnézi az egyszeri júzer, hogy egy másik géppel kommunikál) átvertük volna a vírusgazda felhasználót, és nagylelkűen kiengedtük a tűzfalon a programot.
"És ha besötétedik, előbújunk a nyúlból..."
Miután szimuláltuk, hogy az áldozatnak nincs se rendes vírusvédelme, se tűzfala, és még arra is hajlandó, hogy mindenféle gyanús fájlokat indítson el a gépén, eljutottunk arra a pontra, ami a trójai gazdájának álma: a meglepi.exe bejelentkezett a Shark-szerverre (vagyis arra a gépre, ahol készült) a megtámadott pécéről.
A lehetőségeink innentől kezdve szinte határtalanok. Vérbeli kukkolóként láthatjuk, mi történik éppen a fertőzött gép képernyőjén, ellophatjuk a jelszavakat tartalmazó fájlokat, telepíthetünk keyloggert (vagyis a billentyűlenyomásokat rögzítő programot), amivel újabb jelszavakat vagy számlaszámokat szerezhetünk, átirányíthatjuk az áldozat böngészőjét tetszőleges oldalra, lemásolhatjuk a fájljait, beleolvashatunk a levelezésébe - mintha csak a gép előtt ülnénk. Szörnyű! Amennyire megnyugodtunk a vírusirtó és a tűzfal reakciója láttán, annyira zavarbaejtő volt látni, hogy ha egyszer a meglepi.exe bejutott a védelem mögé, onnan nincs kegyelem.
Védd magad!
A címben feltett kérdésre tehát igen a válasz: valóban, a hülye is tud vírust írni. Szerencsére azonban még a vírus írójánál is sokkal hülyébbnek kell lenni ahhoz, hogy ez tényleg kárt okozzon nekünk. Amíg vesszük a fáradságot a tűzfal és a vírusirtó frissítésére, és nem indítunk el gondolkodás nélkül jöttment fájlokat, nem kell félnünk. Legalábbis nem jobban az egészségesnél.