Roman Gorbenko, a számítógépes bűnözés kutatóközpontjának vezetője: "Sajnálatos módon a számítógépes vírusok száma napról napra nő és azok egyre egzotikusabbak és veszélyesebbek lesznek.”
Hogyan kezdődött?
Nem is olyan régen a Network Associates portálján (http://www.nai.com), egy ismert antivírusokat gyártó cég (mely a McAfee http://www.mcafee.com/anitvírust is gyártja) kutatói egy olyan cikket publikáltak, mely arról szólt, hogy megtalálták az első olyan vírust, amely a JPEG formátumú grafikai fájlokat fertőzi meg. Ez az új vírus a W32/Perrun nevet kapta. Ez a hír hamarosan eljutott a legtöbb szolgáltatóhoz, akiket teljesen megdöbbentett az ilyen típusú vírusok megjelenése. Engem ez nem nagyon lepett meg, és a hálózati szolgáltatók reakciója enyhén szólva érthetetlen volt számomra. Ezért úgy döntöttem, hogy elmondom az ezzel kapcsolatos véleményemet. Remélem, érdekli a tisztelt olvasót is.
Mi is az a W32/Perrun? A kutatólaboratórium munkatársai szerint a Perrun egy Windows-program, mely Visual Basic nyelven íródott és a mérete 18 Kbájt. Annak érdekében, hogy az olvasó jobban megértse a szerkezetét, egy vázlatot mellékelek.
Néhány szó a rajzzal kapcsolatban. A „fertőzés” szó ebben az esetben egy exe kódot jelent, mely a JPEG fájl végéhez íródik. A vírus nem rendelkezik azzal a mechanizmussal, mely a "szaporodást" biztosítja, ezért technikai szempontból primitív vírusnak tekinthetjük. Az algoritmusa alig különbözik a már korábban megismert vírusok algoritmusaitól. Ugyanúgy, akárcsak a többi vírus, ez is a fájl végéhez csatolja önmagát, csak adott esetben nem .exe, .com vagy .dll fájlt használ ehhez, hanem .jpg fájlt. Egészen biztos vagyok abban, hogy a felhasználók 99,9%-a sohasem fog találkozni ezzel a vírussal. Ezért is siettem leszögezni, hogy a szolgáltatók pánikszerű reakciója számomra teljesen érthetetlen. Engem egy egészen más dolog izgat: a Perrun valószínűleg csak az első fecske ezen a téren, hiszen a körülötte létrejött visszhang csak inspirálja a vírusírókat. Az ő vírusaik pedig már nem primitív módon fognak működni, hanem egy bonyolult algoritmus alapján, melynek alapja a szteganográfia.
Információim szerint az ilyen vírusok fejlesztése már elkezdődött. A hozzám eljutott adatok alapján megpróbálom vázolni e vírus „képét”, mellyel a jövőben még valószínűleg találkozni fogunk. Mint azt már említettem a vírus a szteganográfián (steganos- titok, graphy- feljegyzés) alapszik. Ezt a módszert az emberiség ősidők óta alkalmazza, a titkosírások és a láthatatlan tinták pedig jól ismert dolgok a kémfilmekből. Ezek mind a szteganográfia példái. Az új technológiák megjelenésével egyre újabb információ formák jelennek meg és mind újabb és újabb módszerekkel lehet ezeket az információkat továbbítani. Ennek köszönhetően új típusú szteganográfiák is megjelentek.
A szteganográfia módszere az információs technológiákban azon alapszik, hogy az információ az audio-, video- és hagyományos grafikai képeken nem túl „érzékeny” a kisebb változásokra. Ez azt jelenti, hogy amennyiben akár az audio-, akár a videófájlokban néhány bit vagy bájt megváltozik, attól még a hang, a kép élvezhető marad, s gyakorlatilag észre sem vesszük a változást.
A grafikai kép egy számokból álló sorozat. Például az RGB esetében minden egyes képpontot 3 bájt által lehet meghatározni. Vagyis valami hasonlót kapunk: 00000000 00000000 00000000 a fekete szín, míg a 11111111 11111111 11111111 pedig a fehér színnek felel meg. Ha minden bájtban megváltoztatunk egy bitet, akkor a képpont színe csak annyira fog változni, hogy azt emberi szem nem lesz képes észlelni. Ha viszont valamilyen algoritmus segítségével a grafikai fájlok minden bájtjában csak egy bitet manipulálunk ilyen módon, akkor egy meglehetősen terjedelmes információ-mennyiséget lehet így elraktározni egy grafikai fájlban. Szavaimat alátámasztandó, megpróbálom ezt a következő példával bebizonyítani.
 
Hasonlítsa össze a két képet. Az elsőn egy 16 bites kép látható, mely mérete 16 Kbájt. A másodikon ugyanez a kép, ennek egy része azonban speciális módon van kódolva.
Akárhogy is nézzük ezeket a képeket, nem leszünk képesek meglátni a különbséget közöttük. Csak egy speciális algoritmus segítségével (kulcs) sikerülhet a kódolt információ kinyerése. Mint azt már említettem, az ilyen adatokat nemcsak grafikai fájlba lehet elrejteni, hanem akár audio- vagy video-fájlokba is. Az utóbbiakban a kódolást sokkal nehezebb észlelni, mint a grafikai fájlok esetében. Ily módon egy 44.1 KHz-es audio-fájlban 10 Kbájt információt rejthetünk el úgy, hogy minden bájtban csak egy bitet változtatunk meg. Miért mondom el mindezt? Csak azért, hogy bebizonyítsam, a szteganográfián alapuló vírusok megjelenése abszolút realis.
A várható jövő
Az új vírus nagy valószínűséggel két komponensből fog állni. Az első fele egy nagyon rövid program lesz, melynek csupán az a feladata, hogy megtalálja az audio-, video- vagy grafikai fájlt, és meghatározza, hogy az kódolva tartalmazza-e a vírus másik felét. Ha igen, akkor kinyeri az adott multimédia-fájlból a vírus másik felét, elmenti az adattárolóra, s aktivizálja azt.
Ez a másik rész lesz maga a vírus, mely nagyságrenddel nagyobb méretü, mint az első fele. Ez hordozza majd azokat a mechanizmusokat, melyek a vírus sokszorozódását biztosítják. Ez a vírusfajta minden bizonnyal leginkább e-mail útján terjed, illetve az IFRAME biztonsági mechanizának hiányosságát használja majd ki.
E vírus működési elve a következő lehet: az első része egy rövid program formájában fog terjedni az elektronikus levelezés útján. A második része maga a vírustest, mely egy különálló grafikai fájlban fog rejtőzni. Hiszen senki sem gondol arra, hogy miközben letölti a Garbage legújabb számát, vagy elkéri barátjától a legújabb George Lucas filmet, vírust visz be a gépébe. Nagy a valószínűsége annak, hogy hamarosan nem csak az .exe fájlokat kell majd antivírus segítségével ellenőrizni...
Ahhoz, hogy a víruskészítők megkezdhessék a vírus terjesztését, természetesen szükségük lesz bizonyos számú felhasználóra, akik tudtukon kívül fogják ezeket a vírusokat terjeszteni. E felhasználók ezt a vírust képgalériákon, pornó-, mp3 és más hasonló oldalakról fogják tudtukon kívül letölteni. A fertőzött PC-k száma napról napra növekedni fog egy tipikus mértani sorozatot követve.
Reméljük azonban, hogy a vírus megjelenésének időpontjában rendelkezésünkre fog állni az ellenszer is. Ezzel befejezem. Mindig legyenek naprakészek, hogy semmi se tudja meglepni önöket!
Forrás: http://www.mycomp.com.ua/
|
