|
Jak działają nowoczesne wirusy komputerowe
wystarczy wejść na stronę internetową i może się okazać że jeszcze nasza przeglądarka nic nie wyświetliła a w naszym komputerze zagościł wirus. Skutki takiej inwazji możemy odczuwać tygodniami. W ten sposób haker może przejąć kontrolę nad naszym komputerem. Nasz PC może w takiej sytuacji być wykorzystywany do dowolnego celu, intruz może przeglądać nasze konta bankowe, pocztę czy też rozsyłać spam. Jednak sposób dostania się na komputer oraz samo ukrywanie się wirusa na naszym dysku nie jest proste. Jednym z popularniejszych wirusów tego typu jest Gumblar – wirus driver-by download, gnieździ się ona na zarażonych stronach i z nich rozprzestrzenia się na domowe komputery.
Wszystko zaczyna się od odwiedzenia strony WWW, zwykłej, przeciętnej w niczym nie podejrzanej, po prostu w sieci są miliardy takich stron. Nie ważne jakiej przeglądarki używamy i tak znaleźliśmy się na stronie z wirusem który nas zaatakuje. Po około połowie sekundy po wejściu nasza przeglądarka analizuje kod jaki znajduje się na stronie. W wyglądzie nic nas nie zastanawia po prostu to ta sama strona co zawsze, z tym że opanowana przez intruza. W kodzie zostało wstawione trochę dodatkowego kodu, jest to jedno polecenie JavaScript. Dla zwykłego użytkownika kod ten nie jest widziany, niektóre programy antywirusowe też go nie widzą. JavaScrypt uruchamia skrypt PHP który znajduje się na innej stronie, z niej też pobierany jest wirus. Wirus ten przeprowadził ponad 2 miliony ataków na komputery i z każdym dniem jest ich coraz więcej. Tak olbrzymia ekspansja jest możliwa ponieważ wirus nie posiada barier językowych, działa sprawnie na stronie napisanej w każdym języku. Kod wirusa zostaje tak zagmatwany by na pierwszy rzut oka nie było widać że to jest wirus i jaki jest jego cel działania. Po pierwsze Gumblar skanuje nasz komputer, jeśli znajdzie wtyczkę Adobe Reader w przeglądarce internetowej to umieszcza w niej kod co stwarza dalsze zagrożenie. Kolejnym krokiem jest przejęcie danych do kont FTP. Podczas połączeń zapisywane są logi i hasła oraz przesyłane do twórców wirusa. Działa wtedy tzw. sniffing czyli skanowanie pakietów wychodzących i przychodzących. Wirus ten dokonuje też zmian w plikach DLL dzięki czemu przechwytuje dane logowania. Następują także modyfikacje rejestru dzięki czemu wywołanie praktycznie każdego programu na komputerze uruchamia odpowiedni kod wirusa. Za większość szkód odpowiada plik winmm.dll.
|