Viruses, safety Bunkóczi László SZIE GTK KJMI AIT Gödöllő, – 1 st date – 2 nd date
Introduction Mottó: „Számítógépes vírusok már pedig nincsenek” – Peter Norton, 1984 (?) – a Symantec A.V. alapjául szolgáló Norton Antivirus írója Nowaday's networked Windows based PC world (and with other operating systems) it is necessary to know/understand the real risks and morely the possible precautions. Previously, only viruses occurred. These days, I've been openly on the web can meet attacks from (eg.Sasser, nimdA, Code Red, SirCam respectively: )
Important Topics Víruses: – definitions – Grouping possibilities – grouping Hálózaton keresztüli fertőzések, támadások Vírus infection „Hasznos” hálózati kommunikációs programok Hoax-es SPAM’s Spyware, adware, troyan horses Defense against them
Valós veszélyek Vírusfertőzés esetén: – hardware tönkretétele – adatvesztés, adatok összekeveredése – szerver leállás, lebénulás (pl. levél vírusok) Spyware, trójai falovak: - Teljes gépen tárolt adathalmaz idegenek kezébe kerülhet - Titkos login/pwd párok ellopása - Adatgyűjtés Adware: - Felugró ablakok miatt lehetetlenné váló munkavégzés
Definitions Élővilágban: olyan önálló szaporodásra és életre képtelen, örökítő-anyagot tartalmazó mikroorganizmusok, melyek élőszervezetek megfertőzésével biztosítják fennmaradásukat. "A computer virus is a program that attaches it’s code to other programs in such a way that by running the modified program, the virus starts also. "The virus is a program or any code that reproduces itself."
F-Prot definíció 1. A vírus egy szaporodni képes program, azaz képes (esetleg módosított) másolatokat készíteni magából. 2. A szaporodás a cél, nem egy mellékhatás – elvileg 3. A másolatok legalább egy része maga is vírus, ugyanezt a definíciót használva. 4. A vírusnak egy gazdához kell kapcsolódnia, abban az értelemben, hogy a gazda elindítása a vírus lefutását okozza. – van példa, hogy nincs szüksége gazdára, csak annak a jelenlétére
Csoportosítási lehetőségek Típus szerint – File vírusok (CEB) – Boot vírusok – Makró vírusok (Word, Excel, Powerpoint, Access) – Java, jscript és vb script vírusok – webes vírusok – Root-kits Platform szerint Visszakeresés elleni védelem szerint Kártétel szerint – destruktív – nem destruktív
Típus szerint File víruses – végrehajtható állományt fertőznek – command, exe, bat file-okat (sys-t) – vagy az indítási sorrendet kihasználva indul el a vírus Boot víruses: – az MBR-ben helyezkednek el, ált. TSR programok (pl.one Half) Makro víruses (Word, Excel, Powerpoint, Access) – since Office 4.3 ( ) (when VB macros were included) Java, jscript és vb script vírusok – webes, vírusok (pl március „I love You” vbs alapú vírus – a generált levélforgalom miatt állt le minden) Root-kits (only the possibility can be detected by certain, that
További csoportosítások szerint Platform szerint: – DOS, Windows, OS/2, Linux, Java, Makró Visszakeresés elleni védelem szerint – Kódolt vírusok (vírustest kódolt, test + kibontó) – Polimorf vírusok (változó kódolás) – Lopakodó vírusok (pl. egy boot vírus ami a partíciós táblát manipulálja – így abban minden helyesnek tűnik) – Visszafejtés elleni vírusok (többszörös ugrások a kódban, nyomkövetés figyelése…)
By damage Destructive: hardware tönkretétele (HDD, FDD) tárolt anyagok törlése, lemezek formázása adatok összekeverése (pl. I love You) Partíciós tábla manipulálása (pl. One half) „Not destructive” Számítógép lekapcsolása (pl. Sasser) – szerverek! régen: potyogtatós vírus, cookie vírus, Yankee doodle..
Hálózattal kapcsolatos fertőzések, támadások Minden TCP/IP alapú hálózatra kötött gépnek logikai kapuja (port-ja) van – ezek mind támadási felületek lehetnek ha nincsenek lezárva (port-scan) 2001 őszén: nimdA (Admin) Win Nt-ket fertőzte 2001 nyarán: SirCam vírus ami minden Windows-os gépen egy saját kis SMTP host-ot nyitott és szórta a leveleket (önmagát), levélben terjedt – és a felhasználó okozta a fertőzést 2004 január: Sasser – Win 2000 gépeket fertőzte ha az SP2-nem volt telepítve – egyszerű gépleállás!!
„Useful” net based phone softweres IRC – Internet Relay Chat ICQ – I seek You Skype – webes telefon és telefonrendszer Speak freely - webes telefon VoipBuster – webes telefon összes hálózatba Ezek közül talán egyedül a Speak freely, amelyik nem nyitogat port-okat kifele… Az IRC és ICQ kimondottan veszélyessé válhat
Vírusírtás Vírusirtó programmal. Működésük: - Memória és boot-szektor scan - Keresés: - program szekvencia azonosságát vizsgálják csak - vagy heurisztikát is alkalmaznak - F-Prot esetében: irtás (vírus), törlés (file), átnevezés (file) Követelmények manapság: - napi webes frissítés, működés közbeni folyamatos védelem Vírusirtó programok: – MSAV, Scan (McAfee), F-Prot (F-Secure), Norton Antivirus (Symantec), Thunderbyte (TBAV), Kaspersky Lab, AVG, NOD32 – Virusbuster, Panda
Hoax-es Warning mails: eg.: certain dll-s are virus, so clean them, and after it, some functions won’t work under windows Rémhírterjesztés kategória: a fölhasználók tudatlanságának kihasználása Küld tovább még legalább 20 helyre típusú levelek – akár ingyen ajándékért – SPAM SPAM: not wished/asked mail
SPAM-s You won on a Lottery! Afrikai király özvegye vagy hagyatéki biztosa bankszámlát kér, hogy kiküldhesse a $-jait Investment advices Drugs (Cialis, Viagra, Xanax…) Software-ek – Ezek egy részének valós háttere: címlisták gyűjtése – Másik részük a gyűjtött címekre küldözgeti a leveleket és csalásra, visszaélésre használja majd fel a kapott adatokat
Spyware, Adware, Troyan „horses” Spyware: kémprogram mely általában a felhasz- náló „aktív, de nem tudatos” közreműködése révén kerül a gépre. Onnantól kezdve adatokat gyűjt és küld megfelelő helyekre (pl. bankkártya információk, login/pwd, szoftver információk) Adware: hasonló módon kerül a gépre (DirectX, Active-X, telepedő exe….) és egyre gyakoribb pop up reklámablakok az eredmény Trójai falovak: gépre kerülés után port-okat nyit külső behatolók számára (korábban kicsit hasonlók voltak a cookie-k – vírusok is vannak)
Defence Most important: Megelőzés! Spybot Search and Destroy, Ad-aware, MS Anti Spyware Vírusirtó (F-Prot, Norton S.A., NOD32, Virusbuster…) – napi frissítés! Ismeretlen küldőtől származó anyagok törlése, nem ismert anyagok elutasítása (telepítés előtt) Operációs rendszer rendszeres biztonsági frissítése cím korlátozott és ellenőrzött kiadása Hálózatban: – router és tűzfal mögé – tűzfal program – Explorer és Outlook használatának kerülése (VB script, Active- X, J script…)
Kerülendő csatolt file-ok „Vírust” tartalmazó EXE-k álcázva: – scr – képernyővédő – pif – program információs file – sys.txt txt.vbs – már ha a vbs látszik ismeretlen forrásból: exe, com, bat hasonlóan: doc, dot, xls, xlt, ppt, mdb… érdekesség: már jpg képek is ártalmasak lehetnek: az Explorer jpeg dekódoló API-jának belső hibája miatt a jpg is képessé válik ártalmas hatás kiváltására
What to use? Operációs rendszer: – Linux disztributions (Redhat, Debian, SUSE, Mandrake…) – Windows 7 – with refreshing, behind router or firewall – Windows 8 – Web browser: – Mozilla Firefox – Opera – Chrome (if you don’t aware google) Levelező kliensek: – Thunderbird – The Bat, vagy: Web based mail servers (yahoo, gmail etc.)
Reference: Nagy Ferenc László: And own experiences… Thanx for watching!