Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Robak? Trojan? Wirus? O co w tym wszystkim chodzi?

10 lutego 2021, 09:29 | Teksty | komentarzy 9
Tym razem mamy dla Was tekst publikowany wcześniej w magazynie Programista Junior. Przeczytajcie i podrzućcie swoim dzieciakom :-)

Cyfrowy świat, podobnie jak ten za oknem, pełen jest niebezpieczeństw. Brak ostrożności podczas przebywania w Internecie może spowodować, że nasza maszyna zapadnie na komputerową chorobę. Skutki takiej infekcji są różne. Czasami komputer zaczyna działać wolniej, czasami otwierają się na nim same z siebie niepożądane okienka, ale często też nie obserwujemy niczego podejrzanego, a tymczasem właśnie wykradane są dane, hasła albo pieniądze. Warto nauczyć się kilku zasad, które pomogą ustrzec nasz sprzęt przed takim losem. W tym artykule omówimy przyczyny, skutki i sygnały wskazujące na to, że mamy problem.

Ilustracja 1. Wirus komputerowy. Wizja artysty

Wirusy, robaki i inne pasożyty

W świecie rzeczywistym choroby powstają, kiedy zarazki atakują zdrowe komórki. Podobnie jest w świecie wirtualnym – takie zarazki nazywamy „złośliwym oprogramowaniem” albo po angielsku „malware”. Jest to ogólna nazwa na wszystkie rodzaje programów, które chcą wykorzystać nasz komputer w złym celu. Jak mówi stare przysłowie, żeby pokonać wroga, trzeba go najpierw poznać. Z tego powodu ludzie podzielili malware na różne kategorie i typy. Pierwszym podziałem jest podział według sposobu infekcji:

 1. Robaki – rozprzestrzeniają się szybko przez Internet, wykorzystując tak zwane eksploity. Tak działał na przykład WannaCry (Ilustracja 2), który wykorzystywał eksploit EternalBlue, żeby przenosić się między komputerami z Windowsem bez najnowszych aktualizacji. Dlatego tak ważne jest regularnie instalować łatki bezpieczeństwa (zazwyczaj komputer robi to automatycznie).

Ilustracja 2: WannaCry w akcji. Takie okienko wyświetlało się ludziom, którzy na swoje nieszczęście zostali zaatakowani (źródło: https://en.wikipedia.org/wiki/WannaCry_ransomware_attack)

 2. Trojany (konie trojańskie) – udają inny program (np. ciekawą grę), ale po uruchomieniu pokazują swoje prawdziwe oblicze. Na przykkład użytkownik może pobrać aplikację, która udaje zwykłą latarkę, ale tak naprawdę po zainstalowaniu zaczyna czytać wszystkie SMSy i wysyłać je na serwery przestępców. 

 3. Wirusy – dopisują swój kod do innych plików wykonywalnych na komputerze. W ten sposób szybko wszystkie programy na dysku są zarażone i jedynym ratunkiem jest reinstalacja wszystkiego. Kiedyś były popularne, ale dzisiaj prawie już nie występują. Mimo to z przyzwyczajenia czasami (błędnie) mówi się „wirus” na wszystkie rodzaje malware.

4. Oraz „inne”, bo trafiają się przypadki które wcale nie należą do żadnej z tych kategorii

Ciekawostka

Czemu na złośliwe oprogramowanie udające przydatny program mówi się „koń trojański”? Legenda głosi, że podczas wojny trojańskiej Achajowie oblegali Troję, ale nie mogli przedostać się przez jej mury. Uciekli się więc do sposobu – zbudowali wielki drewniany posąg konia, schowali się w nim i zostawili go przed murami. Obrońcy wciągnęli posąg do miasta, myśląc, że to prezent, a tymczasem w nocy Achajowie wyszli z „konia trojańskiego” i podbili Troję. Stąd „koń trojański” to określenie na podstępny podarunek przynoszący zgubę obdarowanemu.

Jest to jednak problematyczne, bo za często coś nie pasuje do żadnej kategorii. Poza tym tak naprawdę ludzi interesuje, co taki złośnik robi, a nie, jak znalazł się na komputerze. Dlatego współcześnie dzielimy według sposobu działania:

1. Trojany bankowe (albo potocznie „bankery”) wykradają pieniądze z kont użytkowników komputera logujących się do banku.

 2. Ransomware (z ang. ransom – okup) szyfrują wszystkie pliki na dysku i żądają okupu (setek lub tysięcy złotych) za odszyfrowanie ich.

 3. Spamboty wykorzystują komputery ofiar, żeby wysyłać spam (niechciane wiadomości e-mail).

 4. Stealery (albo inaczej spyware) podsłuchują wpisywane hasła i wysyłają je do swoich twórców. Na takie konta logują się później nieznajomi i podszywają się pod prawdziwego użytkownika – mogą w ten sposób nieźle namieszać.

5. RATy (z ang. Remote Access Trojan, stanowiącego połączenie słów „trojan” i „zdalny dostęp”) pozwalają obcej osobie zalogować się na komputer albo podglądać to, co dzieje się na monitorze w danym momencie.

 6. I kilka innych…

W praktyce nowoczesne złośliwe oprogramowanie często należy do kilku kategorii jednocześnie. Ma dzięki temu więcej możliwości działania.

Znajomość takiego słowniczka bardzo pomaga w czytaniu artykułów o bezpieczeństwie IT albo rozmawianiu na ten temat. Ale sam podział złośliwego oprogramowania na kategorie nie pomoże nam wiele, jeśli zostaniemy nim zarażeni. Dlatego musimy nauczyć się, jak się przed nim uchronić.

Higiena przy komputerze

Przed wirtualnymi zarazkami zabezpieczymy się tak samo jak przed tymi materialnymi – zachowując odpowiednie zasady higieny. Nie chodzi tu o mycie rąk po wyjściu z ubikacji. Zasady higieny pracy przy komputerze są zupełnie inne, ale równie ważne.

Najważniejsza zasada to pobieranie programów tylko z zaufanych źródeł. Dla ludzi rozprowadzających złośliwe oprogramowanie nie ma nic prostszego, niż wrzucenie złośliwego programu i nazwanie go np. „Fortnite.exe”. Niczego nie spodziewająca się ofiara pobierze taki plik i uruchomi, infekując swoją maszynę. Jest to częsty scenariusz w przypadku tzw. cracków do gier. Osoba pobierająca i instalująca taki program często liczy się z tym, że jest trochę „nielegalny” i ignoruje ostrzeżenia antywirusa. Z tego powodu jest to łatwy sposób na ukrycie czegoś naprawdę złośliwego – bo jest duża szansa, że potencjalna ofiara uruchomi go mimo ostrzeżeń. Najbezpieczniej jest kupować programy zawsze tylko w sklepie, pobierać przez zaufanego dystrybutora (np. Steam lub Google Play) albo z oficjalnej strony producenta. Czasami jednak coś, czego szukamy, jest dostępne tylko przez mniej zaufane źródła – np. na anonimowej stronie internetowej albo serwisach wymiany plików typu torrent. Koniecznie trzeba wtedy zachować szczególną ostrożność. Na przykład, jeśli pobieramy film, a nazwa pliku kończy się na .exe, możemy być prawie pewni, że to koń trojański. Niebezpiecznych rozszerzeń jest więcej.

Warto wiedzieć

Prawie każdy wie, że pliki .exe to programy. Ale nie każdy wie, że wykonywalnych rozszerzeń w systemie Windows jest znacznie więcej, między innymi:

  • .bat: skrypty bat pochodzące jeszcze z czasów systemu DOS.
  • .ps1: skrypty nowego typu, w języku Powershell
  • .jse, .js, .jsf: skrypty JavaScript albo JScript
  • .vbs, .vbe: skrypty w języku Visual Basic
  • .scr: wygaszacze ekranu (to też programy!)

Na każdy plik z takim rozszerzeniem wystarczy kliknąć dwukrotnie myszką, żeby uruchomił swój kod na naszej maszynie.

Ważne też jest ostrożne obchodzenie się z plikami otrzymanymi od kogoś w Internecie – przez e-mail albo nawet od znajomego. Często traktujemy je jako godne zaufania, tymczasem złośliwe załączniki to jedna z najpopularniejszych metod zarażania ludzi. Niektóre typy spambotów są jeszcze bardziej złośliwe i potrafią podszywać się pod naszych znajomych albo ludzi, z którymi kiedyś korespondowaliśmy. Warto o tym pamiętać, kiedy ktoś, z kim dawno nie pisaliśmy, wyśle dziwną wiadomość, w której zachęca nas do zainstalowania czegoś albo wejścia pod jakiś link. Z drugiej strony nie ma co wpadać w paranoję – odbieranie zdjęć i filmów od osób, z którymi codziennie rozmawiamy, jest OK i nie grozi niczym złym.

Co zatem zrobić, jeśli chcemy uruchomić jakieś oprogramowanie, ale nie jesteśmy w 100% pewni, czy jest bezpieczne? Dobrą opcją jest przeskanowanie go za pomocą portalu VirusTotal (Ilustracja 3).

Ilustracja 3. Interfejs systemu VirusTotal po wrzuceniu do niego złośliwego oprogramowania

VirusTotal sprawdza plik za pomocą kilkudziesięciu silników antywirusowych i pokazuje wynik w oknie przeglądarki. Jeśli pojawi się dużo czerwonych detekcji, oznacza to, że lepiej dać sobie spokój i zrezygnować z uruchamiania. Jeśli za to wyniki są w większości puste, program jest niemal na pewno bezpieczny.

Objawy choroby

Po czym poznać, że nasz komputer jest zawirusowany? Wbrew pozorom jest to dość trudne. Często ludzie wyobrażają sobie, że taki komputer musi zawsze działać powoli albo wyświetlać groźne komunikaty na ekranie. To nieprawda – zazwyczaj złośliwe skrypty starają się jak najlepiej ukryć w systemie i nie dawać znaku życia (Ilustracja 4). 

Ilustracja 4. Dwa rodzaje problemów z komputerami – te, które są powodowane przez malware, i te, które wyglądają, jakby były spowodowane przez malware 

Z tego powodu bardzo ciężko je wykryć, kiedy już dostaną się na nasz system. Dlatego ważne jest, żeby ich tam nie wpuścić. Najważniejsza jest ostrożność, jak pisaliśmy w poprzednim punkcie. Dodatkowo warto jest mieć cały czas włączony antywirus – dedykowany system do wykrywania i walki ze złośliwym oprogramowaniem. Co jakiś czas można też ręcznie skanować system, żeby sprawdzić, czy na pewno nie pojawiło się coś podejrzanego.

Metody leczenia

Najprostszą i najpewniejszą metodą usunięcia złośliwego oprogramowania jest przeniesienie ważnych danych (i tylko danych) na inny nośnik oraz ponowna instalacja systemu operacyjnego. Daje to największą pewność, że uda się usunąć zagrożenie, a przy okazji ciężko jest o czymś zapomnieć.

Jest to niestety dość czasochłonna metoda. Warto jednak to zrobić, bo skutki choroby mogą być poważne. Jeśli jednak bardzo zależy nam na czasie, albo bardzo wierzymy w swoje umiejętności, albo po prostu chcemy poćwiczyć obchodzenie się z wirusami, możemy spróbować zrobić to ręcznie. W tym celu można pobrać skaner od firmy antywirusowej (albo skorzystać z wbudowanego Windows Defendera) i przeskanować system. Dla odważnych opcją jest analiza ręczna: warto użyć narzędzia autoruns napisanego przez pracownika Microsoftu. Wyświetla ono wszystkie programy, które uruchamiają się przy starcie systemu. Jeśli faktycznie jesteśmy zainfekowani malwarem, będzie on na tej liście. Można przejrzeć ją całą i usunąć wszystkie podejrzane wpisy. Trzeba tylko uważać, żeby nie usunąć przypadkowo niczego potrzebnego – może to skończyć się uszkodzeniem systemu!

Podsumowanie

Złośliwe oprogramowanie to trudne, ale interesujący zagadnienie. Warto trochę o nim wiedzieć, żeby uchronić nasz system przed kataklizmem. Zainteresowanych tą problematyką zachęcamy do zgłębiania jej na własną rękę. Taka pasja może po kilku latach przerodzić się w dobrze płatną pracę, bo analiza złośliwego oprogramowania to ciągle ważny i potrzebny temat. A nawet jeśli nie planujemy zajmować się tą dziedziną zawodowo, taka wiedza na pewno się nam przyda.

–Jarosław Jedynak

Analityk malware w CERT Polska. W swojej pracy zajmuje się głównie walką ze złośliwym oprogramowaniem oraz przestępcami internetowymi. W wolnym czasie gra w CTFy z zespołem p4 albo rozwija własne projekty programistyczne.

W magazynie Programista Junior, tekst był zatytułowany: „Chory komputer, czyli rzecz o wirusach”

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Dlatego warto zawsze mieć antywirusa i do tego cykliczne robisz skany nawet online, aby sprawdzać trojany, keylogery itp.

    Miałem tak czasami że po nowej instalacji win i włożeniu USB od razu miałem zasypany dysk cały syfem.

    Odpowiedz
    • M

      Warto rozważyć porzucenie pendriveów. Ja bez nich żyję.

      Odpowiedz
      • socjotechnik biologiczny

        W książkach i artykułach o tzw. inżynierii społecznej stosowanej przez przestępców komputerowych są ostrzeżenia przed „porzuconymi” pendrive’ami (zwłaszcza na parkingu firmowym) ;-).

        Odpowiedz
    • F

      Jak korzystałeś z aktywatora pirackiego windowsa to na start miales wirusy ;)
      A co do antywirusa – ja zyje 10 lat bez i trzymam się świetnie. Uwazam, ze najlepszym antywirusem jest łącznik miedzy myszka a klawiatura – użytkownik. Swiadomy użytkownik zapewnia wieksze bezpieczeństwo niz nieswiadomy ale z antywirem.

      Odpowiedz
  2. nazwa

    Tl, DR ;)
    ale odnoszę wrażenie graniczące z pewnością, że chory komputer, to ten z windowsem.
    bat`y, ps`y, vbs`y…

    Odpowiedz
  3. asdsad

    Do „zakazanych rozszerzeń”, dodałbym jeszcze nieco już zapomnieny PIF.

    Odpowiedz
  4. Yhj

    S co to sa rootkity?

    Odpowiedz
  5. BIZNES_VIRUS

    ciekawe co sie stanie jak wysle wirusa robaka

    Odpowiedz

Odpowiedz