Hrozí masivní výpadek internetu a vybrakovaná konta

Nová varianta červa Conficker chystá velký útok. Česká média prorokují vykradené pevné disky i padající internet. A ochrana prý neexistuje. Ale no tak...

23. března zahájila televize Nova své večerní Televizní noviny opravdu ve velkém stylu. Diváci si v první hlavní zprávě mohli vyslechnout děsící zvěst o konci jejich počítačů a snad i celého internetu. Nová varianta červu Conficker vám sežere počítač, vybrakuje konta, ztratíte data a nakonec vám ukousne hlavu. A ochromí ještě celý internet. Což vám ale vzhledem k absenci hlavy nebude muset vadit.

Trošku přeháním, stejně jako trošičku přeháněla Nova. Bohužel, což je více zarážející, se k ní v podobném stylu přidal i výrobce antivirových programů společnost Eset. 

Nebývá často, aby se zpráva z oblasti počítačů dostala na první místo ve vysílání jakýchkoliv televizních novin. Červ Conficker je opravdu v mnoha směrech výjimečný, ale nijak zásadně nevybočuje z obecné šablony škodlivého softwaru ― řeči o tom, že před ním není ochrany, jsou zkrátka lži.

Kusá historie a popis

První varianta červa Conficker (též Downadup, Downup nebo Kido) se objevila už v říjnu minulého roku. Začala zneužívat chybu v systémech Windows, přesněji ve službě Server, jež se mj. stará o sdílení souborů a tiskáren v síti. Vysoce zranitelné místo představovalo pro Windows velkou bezpečnostní hrozbu. Vždyť v lednu se kvůli ní novější variantou Confickeru za 24 hodin nakazil více než milion počítačů (celkový počet napadených strojů za chvíli narostl na miliony, k dnešku odhad infikovaných systémů činí asi 15 milionů).

Od října 2008 do dneška vzniklo několik variant červa Conficker, který dospívá a chová se pokaždé trošku jinak a sofistikovaněji. Jeho nebezpečnost spočívá hlavně v jedné věci: k tomu, aby infikoval hostitelský systém, si nežádá interakce s uživatelem, tj. není to ten typ „sociálního“ viru, který si uživatel nainstaluje sám otevřením přílohy e-mailu nebo jinou podobnou akcí. Červ se šíří sám, bez ohledu na to, jestli zrovna někdo před cílovým počítačem sedí.

Jakmile se Conficker přes síť dostane do systému, usídlí se v něm a začne připravovat půdu pro další útok na systém dalším útočníkovým malwarem (škodlivým softwarem). Aby následná napadení byla úspěšná, musí vykonat několik akcí, jež systém oslabí.

V prvé řadě vypne důležité služby Windows. Deaktivuje centrum zabezpečení systému Windows (jež upozorňuje na neaktivní antivirový program, vypnutý firewall a aktualizační službu systému), smaže body obnovení systému Windows (aby uživatel nemohl systém vrátit do dřívější podoby), vypne službu inteligentního přenosu na pozadí, automatické aktualizace Windows, Windows Defender (antispyware), deaktivuje také služby pro hlášení chyb Windows a upraví nastavení firewallu Windows. Ještě vytvoří své kopie a ty rozeseje po několika místech v systému, přidá se do automatického spouštění při startu Windows a vytvoří vlastní soubory autorun.ini (zaručující automatické spuštění) na přenositelných médiích (kterými se šíří na další počítače).

„Přisaje se“ i na běžící procesy Windows (svchost.exe, explorer.exe, services.exe), napadne nastavení DNS, zamezí přístup na webové stránky věnované zabezpečení Windows (různé domény jako Microsoft, Symantec, Avast, McAfee, Trendmicro, Kaspersky, … nedovolí tak ani aktualizaci virové databáze antivirových programů), upraví nastavení TCP/IP, aby maximalizoval počet spojení, které využije ke svému dalšímu šíření po síti, začne vyhledávat okolní počítače, jednoduchým příkazem vyhledá uživatelská jména na počítačích v síti a začne hádat jednoduchá a často používaná hesla (tedy ta nejslabší).

Dalším způsobem šíření je stažení vlastní kopie na počítače připojené k síti. Conficker nejprve zjistí externí IP adresu hostitelského počítače (připojením se na webové adresy jako getmyip.co.uk, whatismyipaddress.com aj.), vytvoří HTTP server na náhodně zvoleném portu, poté začne náhodně generovat IP adresy počítačů a zkoušet na ně posílat speciálně vytvořené packety, jimiž si stroje „osahá“. Pokud najde počítače se systémem Windows, které obsahují zranitelnost ve službě Server, podsune jim stažení své kopie. Do napadených počítačů stáhne další malware určený k různým jiným účelům.

Eset a televizní reklama

I z tohoto obecného popisu je vidět, že Conficker toho svede opravdu dost. Jak bylo řečeno, nejnebezpečnější je v tom, že se šíří zcela volně, bez nutnosti interakce s uživatelem. Vše výše zmíněné může vzbuzovat pocit, že před Confickerem není úniku. Jenže to není pravda, byť se nás Nova a Eset snažili přesvědčit o opaku.

Samotná reportáž je v mnoha místech pravdivá ― napadena bude opravdu spousta milionů počítačů (ta je už dnes). V pořádku je i to tvrzení, že do útoku se zapojí mnohonásobně větší počet domén a že přesné instrukce nikdo nezná (přídavného malwaru, který bude stažen následně).

Problém je, že se celá reportáž nesla v duchu pouhého šíření strachu a nezaznělo v ní to nejdůležitější ― že na Conficker už od října existuje velice jednoduchý lék... A holým nesmyslem je, že člověk nepozná, že jeho systém byl tímto červem infikován. Že je něco špatně totiž přehlédnout nejde (viz body výše, ze kterých vyplývá i řada příznaků).

Sama společnost Eset vydala k tomuto červu tiskovou zprávu, jež co do snahy vyděsit uživatele jde ve stejných stopách jako reportáž TV Nova. A stejně jako ve zprávách Novy ani tato tisková zpráva výrobce antivirových řešení neobsahuje důrazně řečenou veledůležitou informaci o snadném způsobu, jak infekci Confickerem zabránit (na rozdíl od jiných zahraničních společností, které triviální řešení problému zmiňují neustále dokola při každé příležitosti).

Na druhou stranu se není co divit, že si Eset přihřívá vlastní polívčičku, Conficker je úžasnou příležitosti, jak využít strachu lidí k propagaci svých produktů, které je před červem a následnou zkázou ochrání. A nejde přehlédnout ani televizní reklamu na Eset Smart Security 4, která se v poslední době na obrazovkách objevuje. A reportáž TV Nova do této šablony zapadá více než dobře.

Jak infekci zabránit

Před Confickerem šířeným sítí se uchráníte opravdu lehce. Společnost Microsoft totiž už v říjnu vydala záplatu pro Windows, která opravila zranitelné místo ve službě Server. Takže pokud aktualizujete systém (on to dělá sám za vás, jestliže jste však nevypnuli automatické aktualizace), jste před hrozbou ze sítě chráněni od října 2008. Toť vše. Katastrofické scénáře se vás netýkají.

Nemůžete-li z nějakých důvodů používat automatické aktualizace Windows nebo Windows Update na webu, záplatu si můžete stáhnout ručně a kliknutím nainstalovat (pro Windows XP SP2+SP3 zde, pro Windows Vista 32bit i s SP1 zde, pro Vista 64bit zde).

To, že Windows jsou dávno aktualizacemi chráněné, neřekla ani Nova a ani Eset. Obě strany prohlásily jen obecné pravidlo mít aktuální systém a Nova to podmínila ještě systémem legálním. V tom se sice tento fakt skrývá, ale není jasný všem, natož laickým uživatelům.

V reportáži navíc zazněly názory nějakých vybraných lidí sedících za počítačem. První oslovený diváky poučil, že riziku napadení jsme vystaveni vždy, když zapneme kompjůtr, druhý je zase „ubezpečil“, že ubránit se napadení úplně nelze.

Samozřejmě tohle jsou lži, ubránit se lze, v tomto konkrétním případě instalací aktualizace existující už od října minulého roku.

Možný problém vyvstává v případě šíření Confickeru přes vyměnitelná média (jako jsou paměťové karty, flash disky/USB klíčenky). Na vině je funkce Windows, která je sice pro někoho užitečná, jinému ale překáží ― řeč je o Autorun, automatickém spouštění, které aktivuje automatické přehrávání obsahu např. na zmíněných USB klíčenkách, USB discích různého typu apod. Po připojení takového zařízení systém Windows analyzuje soubor autorun.ini, který se na médiu nachází, a hledá v něm instrukce, jaké příkazy má provést. Červ Conficker tohoto zneužívá, jak bylo už řečeno, autorun.ini upravuje tak, aby se mohl šířit a napadat počítače, ke kterým takové médium bude připojeno.

V tomto případě nestačí použít zmíněnou záplatu, jež brání napadení přes síť, ale je potřeba si dát pozor i na vyměnitelná média z cizích zdrojů. Vůbec nejlepším řešením je funkci Autorun vypnout. K tomu můžete použít přímo nástroj od Microsoftu (ke stažení zde), nebo to můžete udělat ručně (a případně stejným způsobem funkci v budoucnu zapnout).

Klikněte na tlačítko Start, zvolte Spustit a do řádku napište gpedit.msc. V levém sloupci vyberte položky v tomto pořadí: Konfigurace počítače | Šablony pro správu | Systém. V pravé části okna najděte položku Vypnout automatické přehrávání, dvakrát na ni poklepejte a zvolte možnost Povolit (ujistěte se, že níže v nabídce je vybráno Na všech jednotkách). Potvrďte tlačítkem OK a restartujte počítač. Jste chráněni.

Oba uvedené postupy musíte však provést na všech počítačích ve vaší vnitřní síti. Jestliže jeden z nich bude infikován třeba přes USB klíčenku, hrozí riziko infikování i dalších počítačů, kterou jsou ošetřeny jak záplatou, tak i mají zakázanou funkci automatického spouštění. Samozřejmě byste měli mít i antivirový program s pravidelně aktualizovanou virovou databází ― antivirus podivné chování jednoho počítače v síti dokáže rozpoznat a další stroje ochránit.

Kdo je nejvíce ohrožen

Ochránit se před Confickerem je tedy jednoduché. Záplata měsíce stará, vypnutí autorun. Dvě nejčastější cesty nákazy tím zablokujete. Antivir vás ochrání, kdybyste snad nějak měli virus otevřít přímo z disku jeho dobrovolným spuštěním. Ale takové způsoby jsou již z kategorie interakce s uživatelem (takže neotevírat každý nesmysl, nespouštět přílohy z divných e-mailových adres, mít antivirus).

Červem jsou nejvíce ohroženi ti uživatelé, kteří nepoužívají aktualizace Windows a často pracují s vyměnitelnými médii majíc aktivovanou funkci autorun.

Co se týče absence bezpečnostních záplat, do takové skupiny patří jednak uživatelé pirátských Windows, kteří se brání nainstalování aplikace WGA, jež kontroluje pravost systému a jež je pro přístup k aktualizacím nutná. Komu není rady, tomu není pomoci, ale takovým uživatelům lze s ohledem na okolí a další uživatele poradit aspoň to, aby si stáhli záplatu ručně (viz odkazy výše). Druhou postiženou skupinou budou uživatelé ve větších sítích, například firmy, kde se administrátoři často aktualizacím v zaběhlých systémech brání, k čemuž mívají tisíc ne vždy opodstatněných důvodů. Tohle je bohužel na postoji vedení jednotlivých IT oddělení a administrátorů

Firemní klientela bude ohrožena i tam, kde se navíc hojně používají vyměnitelná média. Snad nejvíce to bude platit v malých firmách, kde se na USB discích a paměťových kartách různého typu pracuje s multimediálním obsahem, například fotografiemi. Bohužel u malých firem takového typu nic jako IT oddělení neexistuje, snad jen nárazově najímaný vzdálený správce, který tu a tam přijde restartovat router.

Jestliže jste dodrželi zmíněné body ochrany systému, Conficker můžete nechat na pokoji ― oni si s ním pohrají bulvární novináři nebo PR agentury.

27. 3. 2009

Autor: Oldřich Klimánek