Czym jest złośliwe oprogramowanie?

Termin „złośliwe oprogramowanie” jest pojęciem bardzo szerokim. Obejmuje ono świadomie przygotowane fragmenty kodu i programy, których działanie jest szkodliwe zarówno dla systemu operacyjnego komputera, telefonu czy tabletu (i innych urządzeń korzystających z sieci Internet), jak i ich użytkownika.

Istnieje wiele odmian złośliwego oprogramowania. Zależnie od rodzaju służy ono do wykradania danych i wrażliwych informacji z systemu operacyjnego ofiary, niszczenia plików (przypadkowych lub wybranych) albo do całkowitego uniemożliwienia pracy z komputerem.

Wirusy

Wirusami komputerowymi nazywamy programy, które po uruchomieniu są w stanie dokonać własnej replikacji poprzez modyfikację istniejących procesów i wstrzykiwanie do nich swojego kodu. Gdy replikacja się powiedzie, zmodyfikowane pliki i procesy nazywamy zainfekowanymi przez wirusa.

RwsYo6eTCOkcV1
Źródło: Contentplus.pl Sp. z o.o., licencja: CC BY-SA 3.0.

Wirusy mogą być niezwykle szkodliwe dla systemu operacyjnego. Często powodują jego awarie, niszczą lokalne pliki lub zauważalnie zwiększają zużycie zasobów urządzenia (pamięci operacyjnej, czasu procesora, przestrzeni dyskowej). Mogą również wykradać wrażliwe dane użytkowników.

Do skutecznego wykrywania i neutralizacji działań wirusów stosuje się programy antywirusowe. Dostępne są zarówno narzędzia bezpłatne, jak i komercyjne, dostarczane np. przez producentów systemów operacyjnych. Trzeba zdawać sobie jednak sprawę z faktu, że autorzy złośliwego oprogramowania stale wymyślają nowe sposoby ukrywania się w systemie przed programami antywirusowymi. Może to być nowa metoda wstrzykiwania lub bardziej skomplikowany wariant obfuskacjiobfuskacjaobfuskacji własnego kodu. Walka między twórcami wirusów a dostawcami programów antywirusowych trwa nieustannie.

Robaki

Robaki – podobnie jak wirusy – mają zdolność replikacji i rozprzestrzeniania się. Tym, co odróżnia je od wirusów, jest samodzielność. Powielanie robaków następuje bez wykorzystania istniejących plików lub procesów. Robaki najczęściej rozprzestrzeniają się przez sieci komputerowe (w tym Internet), wykorzystując luki systemu operacyjnego albo posługując się technikami manipulacjimanipulacjamanipulacji.

Po zainfekowaniu systemu operacyjnego ofiary robaki mogą niszczyć pliki, wysyłać wiadomości pocztą elektroniczną lub po prostu biernie czekać na instrukcje od atakującego. Komputery zarażone robakami niejednokrotnie tworzą botnetybotnetbotnety, czyli sieci zainfekowanych maszyn wykorzystywanych do przeprowadzania dalszych ataków. Dzięki temu atakujący zyskuje większą anonimowość oraz moc obliczeniową.

Konie trojańskie (trojany)

Konie trojańskie (popularnie nazywane trojanami) to programy, które wprowadzają użytkownika w błąd co do ich rzeczywistego działania. Oprogramowanie tego rodzaju udaje przydatne aplikacje, w istocie jednak realizuje zadania inne, niż sugeruje opis – np. oprócz katalogowania zdjęć wykrada dane z książki adresowej albo niszczy wybrane pliki na dysku urządzenia, np. komputera. Sama nazwa „koń trojański” jest nawiązaniem do podarunku, który przyczynił się do upadku Troi.

R1PcovPQuDnyg1
Źródło: Contentplus.pl Sp. z o.o., licencja: CC BY-SA 3.0.

Najczęstszą przyczyną zainfekowania komputera trojanem jest pobieranie plików z nieautoryzowanych źródeł. Atakujący często modyfikują kod takich aplikacji, aby użytkownik nie zauważył różnicy między zmodyfikowaną a oryginalną wersją programu. Konie trojańskie zazwyczaj nie podejmują prób dokonania samoreplikacji. Natomiast ze względu na działanie mogą być równie szkodliwe jak wirusy komputerowe.

Ważne!

Do nieautoryzowanych źródeł możemy zaliczyć serwisy, w których to użytkownicy udostępniają programy do pobrania (często nielegalne kopie). Jednak nieautoryzowanym źródłem mogą być nie tylko serwisy P2PP2P (ang. peer to peer)P2P, ale też strony, które zamiast przekierować użytkownika na witrynę wydawcy oprogramowania, umieszczają pliki na swoich serwerach, z których użytkownik pobiera dany program.

Oprogramowanie szpiegujące

Aplikacje, które gromadzą informacje na temat użytkownika bez jego wiedzy i zgody, nazywamy oprogramowaniem szpiegującym. Może ono zbierać dane takie jak numery kart kredytowych, loginy i hasła, treść dokumentów przechowywanych na dyskach albo sprawdzać aktywność użytkownika w internecie (np. tworzyć listę odwiedzanych stron WWW). Zazwyczaj oprogramowanie szpiegujące jest jednym z elementów większego zestawu złośliwego oprogramowania.

Bomby dekompresyjne

Bomba dekompresyjna jest złośliwym plikiem. Twórcy bomb dekompresyjnych wykorzystują metody kompresji i dekompresji archiwów, aby utworzyć plik, który po rozpakowaniu jest bardzo duży – zazwyczaj powiększa się do kilku petabajtów. Obecnie bomby dekompresyjne są skutecznie wykrywane przez programy antywirusowe i nie stanowią dużego zagrożenia.

Ograniczenie ryzyka zainfekowania systemu

Aby zmniejszyć ryzyko zainfekowania komputera (ale też telefonu czy tabletu) złośliwym oprogramowaniem należy przede wszystkim stosować programy antywirusowe. Do wyboru mamy zarówno aplikacje płatne, jak i darmowe; warto się nimi zainteresować w celu zwiększenia poziomu bezpieczeństwa systemu.

Bardzo ważne jest także świadome korzystanie z komputera. Przeglądając zasoby internetu, należy stale pamiętać, że w globalnej sieci można paść ofiarą złośliwego oprogramowania.

RaMfqy7OSHcqS1
Źródło: Contentplus.pl Sp. z o.o., licencja: CC BY-SA 3.0.

Podczas sprawdzania skrzynki odbiorczej poczty elektronicznej nie należy klikać hiperłączy znajdujących się w podejrzanych wiadomości e‑mail. Poza tym oprogramowanie zawsze należy pobierać ze strony producenta lub innego autoryzowanego źródła. Powinniśmy również odwiedzać wyłącznie zaufane strony internetowe.

Innym sposobem na to, by zabezpieczyć siebie i swój komputer czy telefon przed złośliwym oprogramowaniem, jest wykonywanie regularnych aktualizacji systemu operacyjnego oraz oprogramowania zainstalowanego na urządzeniu.

Ciekawostka

2018 roku pewien haker wykradł bazę danych sklepu Morele.net – doprowadziło to do wycieku danych ponad 2 miliony użytkowników. Serwis nie zdecydował się na wykupienie danych od hakera – w konsekwencji klienci sklepu zaczęli otrzymywać SMS‑y, w których informowano ich, że muszą dopłacić złotówkę do jakiegoś zamówienia. Link z wiadomości prowadził do bramki płatności elektronicznej, która umożliwiała oszustowi zdobycie loginu i hasła do banku.

Urząd Ochrony Danych Osobowych nałożył na spółkę karę 600 tys. euro (prawie 3 miliony złotych). Urząd w ten sposób motywował swoją decyzję:

Morele.net, mając na uwadze, że przetwarza dane osobowe 2,2 mln osób, a także zakres tych danych i kontekst, powinno skutecznie oceniać związane z tym ryzyko i zagrożenia.

Słynne wirusy i robaki

Jednym ze znanych wirusów, który doprowadził do wyłączenia serwerów mailowych firmy Microsoft, była Melissa. Złośliwe oprogramowanie rozprzestrzeniało się przez wiadomości e‑mail – po aktywacji program wysyłał wiadomość do 50 osób ze skrzynki e‑mail ofiary.

Innym programem (robakiem), który przyprawił wielu użytkowników o ból głowy, był robak ILOVEYOU. Do wiadomości e‑mail dołączony był plik LOVE‑LETTER‑FOR‑YOU.TXT.vbs. Tak jak w przypadku Melissy, po aktywacji robaka program przesyłał e‑mail 50 kolejnym adresatom. Robak ponadto kopiował się i ukrywał w różnych folderach na dysku. Do rejestru w systemie operacyjnym MS Windows dodawał również klucze, usuwał pliki, zastępując je kopiami samego siebie. Co więcej, był w stanie ściągnąć z sieci plik o nazwie WIN‑BUGSFIX.EXE, który odpowiedzialny był za wykradanie haseł.

Melissa oraz ILOVEYOU to programy, które siały spustoszenie pod koniec ubiegłego wieku. W 2012 r. program Flame został uznany za najbardziej rozwiniętego technologicznie robaka.

Ten robak waży prawie 20 megabajtów. W paczce znajduje się np. maszyna wirtualna oraz biblioteki umożliwiające kompresję.

Główne zadanie Flame'a to wykradanie danych – jest w stanie nawet nagrywać dźwięk z mikrofonu czy zbierać informacje pochodzące ze znajdujących się w pobliżu urządzeń z interfejsem Bluetooth. Flame potrafi też rozprzestrzeniać się nie tylko przy pomocy sieci lokalnej, ale przez strony internetowe, maile czy za pośrednictwem dysków zewnętrznych. Atakuje zarówno instytucje rządowe, jak i osoby prywatne.

Inne wirusy, o których warto poczytać to CryptoLocker, Stuxnet, My Doom czy Code Red.

Słownik

botnet
botnet

grupa komputerów zainfekowanych szkodliwym oprogramowaniem; połączoną moc obliczeniową wielu jednostek atakujący wykorzystują np. do rozsyłania spamu, przeprowadzania ataków DDoSDDoS (ang. distributed denial of service, rozproszona odmowa usługi)DDoS lub łamania haseł

DDoS (ang. distributed denial of service, rozproszona odmowa usługi)
DDoS (ang. distributed denial of service, rozproszona odmowa usługi)

atak na system komputerowy lub usługę sieciową, który ma na celu uniemożliwienie działania; dzieje się tak przez zajęcie wszystkich wolnych zasobów; atak jest przeprowadzany równocześnie z wielu komputerów

manipulacja
manipulacja

stosowanie środków psychologicznych i metod mających na celu wyłudzenie informacji bądź nakłonienie do wykonania pewnych czynności

obfuskacja
obfuskacja

technika przekształcania programów, która zachowuje ich działanie, ale znacząco utrudnia analizowanie ich kodu; istnieją trzy główne rodzaje transformacji obfuskacyjnych: transformacja wyglądu, transformacja danych i transformacja kontroli

P2P (ang. peer to peer)
P2P (ang. peer to peer)

sieć, która służy głównie do dzielenia się plikami pomiędzy użytkownikami internetu, przy użyciu odpowiedniej aplikacji