W32/ExploreZip.worm: UŽ TO NENÍ HOAX!Většina naléhavých zpráv o různých "e-mailových virech" patřila ještě donedávna do kategorie nejapných žertů, které ke svému šíření využívají lidskou neznalost a naivitu. Zprávy o šíření nového "poštovního" viru ExploreZip však mají jinou podobu - do kategorie hoaxů již nespadají. V čem je ale skutečná změna? Změnilo se něco podstatného? Jednou z tradičních součástí internetového folklóru jsou i naléhavé zprávy varující před nebezpečným e-mailovým virem, které se šíří na principu řetězového dopisu. Jako hnací motor využívají lidskou neznalost a naivitu. V angličtině se pro ně vžilo výstižné označení HOAX, což podle slovníku znamená: podvod, švindl, falešnou zprávu, kachnu, nejapný vtip, kanadský žertík, resp. udělat si z někoho dobrý den, vystřelit si z někoho, napálit ho atd. Snad nejznámějšími případy hoax-ů jsou varování před viry jako GOOD TIMES, JOIN THE CREW či PENPAL GREETINGS (podrobnější seznamy, včetně jejich podrobné "genealogie", najdete například zde či zde). Podstatou je vždy varování před takovým virem, který se šíří prostřednictvím elektronické pošty a příjemce napadá již pouhým přečtením příslušné poštovní zprávy (a někdy dokonce již samotným stažením zprávy jako takové, aniž by vůbec musela být čtena). Jeden úplný příklad lze najít například zde . Skutečným cílem takovéhoto "varování" však je něco jiného, než někoho před něčím ochránit - cílem je to, aby příjemce tuto zprávu v dobré víře rozeslal co možná největšímu počtu dalších příjemců. Z tohoto důvodu je varování psáno tak, aby vypadalo co nejdůvěryhodněji. Nejčastěji proto začíná odkazem na nějaký důvěryhodně vypadající subjekt, od kterého má varování pocházet (mohou to být třeba obchodní partneři odesilatele, známá firma XY, některá významná státní instituce apod.), a končí žádostí o další rozeslání zprávy. Například:
Samotný popis ničivých účinků viru také bývá formulován tak, aby vypadal co nejvíce věrohodně. Obvykle je psán stylem odborného textu - tak aby na nepříliš zkušeného a méně znalého uživatele udělal dojem, že je psán někým, kdo rozumí příslušné problematice. Často se pak mezi příjemci najde někdo, kdo buď přímo uvěří autentičnosti varování, nebo si alespoň řekne, že sám nedokáže věc dostatečně posoudit, a raději zprávu rozešle dál, protože mu to připadá jako menší zlo, než kdyby nikoho nevaroval. Tím vlastně udělá přesně to, co po něm původní autor chtěl - sám rozešle hoax na další adresy. Velmi často k tomu ještě přidá vlastní komentář, který může dále zvýšit věrohodnost celého nejapného žertu v očích dalších nezkušených příjemců. Například:
Jak poznat hoax?
Poplašné zprávy o falešném nebezpečí e-mailových virů se šíří na principu řetězových dopisů. Od klasických řetězových dopisů se ale liší svým cílem - nejde v nich o žádnou pyramidovou hru či jiné obohacení. Jde v nich spíše o žert, o recesi, o "vystřelení si" z někoho, kdo nerozpozná skutečnou podstatu zprávy. V praxi to bohužel docela funguje, sám jsem dostal mnoho takovýchto varování i od lidí, u kterých bych předpokládal že tak snadno "nesednou někomu na špek". Problém je ale v tom, jak spolehlivě poznat hoax od něčeho, co je skutečně opodstatněné. Zde bohužel neexistuje žádný zaručený návod. Kromě doporučení řídit se zdravým rozumem, logikou a být vybaven dostatečnými znalostmi (právě to poslední, bohužel, může často chybět). Snad všechny dosavadní hoaxy, varující před poštovními viry, sázely na jeden podstatný moment - na to, že uživatel není obeznámen s mechanismy fungování elektronické pošty v Internetu, a tudíž neví, kdy a jakým způsobem může nějaká nákaza přijít. Konkrétně jde o tvrzení, že poštovní virus "účinkuje" sám, tedy bez toho, aby vyžadoval nějaký explicitní zásah uživatele. To je samozřejmě mnohem působivější než tvrzení, že virus ke svému účinkování potřebuje explicitní "pomoc" uživatele a bez ní nemůže nic napadnout! Pak by totiž varování muselo vyznít ve smyslu "nedělejte takové a takové nebezpečné akce", odpovídají principu, že příjemce musí něco sám pokazit, aby se stal něčí obětí. Typický hoax však k dosažení požadovaného účinku potřebuje navodit hrozivější atmosféru. Atmosféru v duchu toho, že příjemce je ohrožen automaticky a naopak musí sám něco explicitně udělat, aby se hrozbě vyhnul. Většina hoaxů s e-mailovými viry konkrétně staví na tom, že uživatel si neuvědomuje (či nezná) tuto podstatnou skutečnost: v e-mailové zprávě může být obsažen proveditelný kód, resp. program (i nežádoucího charakteru, např. ve formě viru). Aktivace tohoto kódu (jeho spuštění) však není automatická, ale vyžaduje explicitní zásah uživatele nebo zásah uživatelem přímo aktivovaných mechanismů. Řečeno jinými slovy: přijetím "nakažené" e-mailové zprávy se nakazit nemůžete. K nákaze může dojít pouze vaší nevhodnou manipulací s nakaženou zprávou. Kde je možnost nákazy?
Závěr předchozí zprávy je velmi závažný, a proto si zaslouží podrobné rozvedení. Stávající mechanismus fungování elektronické pošty v Internetu vychází z použití protokolu SMTP (Simple Mail Transfer Protocol), který definuje přenos zpráv mezi poštovními servery, a z dokumentu RFC 822, který definuje tvar jednotlivých zpráv a jejich součástí (včetně adres). Tento původní mechanismus vůbec nepočítá s tím, že by součástí přenášené zprávy mohl být nějaký proveditelný kód, a připouští pouze přenos zpráv tvořených tzv. čistými ASCII texty (což jsou texty tvořené sedmibitovými znaky). To z principu vylučuje přenos jakéhokoli viru. Postupem času však byl původní mechanismus fungování elektronické pošty v Internetu rozšířen o možnost přenášet v roli přílohy čistě textové zprávy i cokoli, co lze "zabalit" do podoby souboru. Takovouto přílohou tedy může být například formátovaný text (například dokument MS Wordu či WinTextu), nebo spreadsheet, obrázek nebo komprimovaný archiv (soubor ZIP, ARJ apod.) a také jakýkoli přímo spustitelný soubor. Teprve v této příloze je potenciální prostor pro nákazu - ať již ve formě virem nakaženého spustitelného souboru, nebo červa či třeba v podobě makrovirů dokumentu MS Wordu apod. Nesmírně důležité je ale to, že mechanismus elektronické pošty, konkrétně standard MIME, pouze poskytuje prostředky pro zařazování takovýchto souborových příloh ke zprávám elektronické pošty, ale již neřeší jejich další zpracování (ani jej sám od sebe neiniciuje!). Pokud například někomu pošlete e-mailem třeba wordovský dokument, který je nakažen makrovirem, samotná skutečnost, že je doručen do vaší poštovní schránky, ještě nedává makroviru šanci se uplatnit. Tu dostává až teprve tehdy, když se příjemce rozhodne příslušný dokument otevřít - což typicky udělá tak, že klikne na ikonku reprezentující přílohu přijaté zprávy a operační systém jeho počítače toto kliknutí interpretuje jako povel spustit příslušnou aplikaci (MS Word), a předat jí ke zpracování příslušný dokument. Teprve tehdy, ne dříve, má makrovirus šanci "dostat se ke slovu" a udělat něco nekalého. Stejně je tomu se všemi ostatními druhy příloh - také zde musí uživatel explicitně vyvolat jejich aktivaci, což se samozřejmě týká i přímo spustitelných programů. Princip je tedy úplně stejný, jako když si přinesete nějaké nakažené soubory odněkud na disketě - aby mohly nakazit váš počítač, musíte tyto soubory sami explicitně aktivovat. Přesto je zde ale jeden podstatný rozdíl oproti disketě, který je dobré si také zdůraznit: z diskety je možné se nakazit i bez toho, že by byl explicitně aktivován jakýkoli soubor na ní, v důsledku pouhého zastrčení diskety do disketové mechaniky (jde o tzv. boot sektorový virus, který se dostane "ke slovu" při pokusu o tzv. nabootování z příslušné diskety). V případě elektronické pošty k tomu neexistuje analogie, pouhým přijetím zprávy se nakazit nelze! Pro úplnost je ale třeba dodat ještě dva důležité momenty. Explicitní aktivování nějaké přílohy elektronické pošty, které teprve může způsobit nákazu, nemusí být vyvoláno pouze přímým zásahem uživatele. Za určitých okolností může být tímto uživatelem vyvoláno i nepřímo, prostřednictvím nějakého samočinného mechanismu - který si uživatel sám nakonfiguruje (či jinak nastaví) tak, aby sám aktivoval přílohy elektronické pošty. Příkladem by mohlo být takové nastavení klientského programu, které automaticky otevírá textové přílohy psané v určitém konkrétním formátu - pokud by šlo například o dokumenty MS Wordu, které mohou obsahovat makroviry, mohl by být uživatel skutečně napaden již pouhým přečtením e-mailové zprávy. Důležité je ale uvědomit si, že chyba je zde v nakonfigurování klienta tak, aby sám podnikal určité konkrétní akce, které mohou být zdrojem nákazy (otevírání příloh). Druhým důležitým aspektem je to, že standard MIME pamatuje nejen na vkládání příloh k emailovým zprávám, ale umožňuje například i to, aby samotné tělo zprávy bylo tvořeno něčím jiným než jen čistým ASCII textem, ve kterém žádné viry z principu být nemohou. Standard MIME umožňuje například to, aby tělo zprávy bylo tvořeno HTML kódem, tedy vlastně "běžnou" WWW stránkou. Do HTML kódu je přitom možné vkládat různé formy proveditelného kódu, od skriptů až po javovské applety. Všechny tyto mechanismy jsou ale chráněny proti svému zneužití v podobě virů - například v Javě či Javascriptu by z principu nemělo být možné napsat cokoli, co by mohlo uživatelům poškodit jejich počítač. První zprávy o W32/ExploreZip.worm
Minulý týden se v mnoha zemích světa, včetně ČR, rozšířil nový e-mailový virus jménem W32/ExploreZip.worm. Rychle se začaly šířit i zprávy o tomto novém viru. Z českých internetových médií jako jedny z prvních zareagovaly České noviny, jejichž zprávu převzali i na iDnes. Ve zprávě se doslova píše, že "Výrobce programů Microsoft rozeslal svým klientům dopis, ve kterém je před novým nebezpečím varuje". Pravdou je, že toto samotné oznámení mohlo připomínat typický hoax, na což se nachytali i ve Světě Namodro, zřejmě v duchu svého životního kréda, které jim káže nikdy, nikomu a ničemu nevěřit.
Tentokrát se ale nejednalo o žádný falešný poplach (či něčí výmysl). Dokonce i to oznámení Microsoftu bylo autentické. I český Microsoft totiž začal sám rozesílat tiskovou zprávu s varováním před novým virem. Večer pak o novém viru informovala i veřejnoprávní televize, v páteční hlavní večerní zpravodajské relaci přinesla rozhovor s Ondřejem Neffem, a také vyjádření generálního ředitele českého Microsoftu pana Muhlfeita (v tom smyslu, že nejde o virus útočící explicitně na firmu Microsoft). O víkendu pak psaly o novém poštovním viru snad všechny významnější světové e-ziny.
Čím se zprávy o W32/ExploreZip.worm liší?
Zprávy o novém viru W32/ExploreZip.worm tedy nejsou žádným žertem, výmyslem či něčí legrací, neboli tím, co je zvykem označovat jako legraci. Důležité je povšimnout si, že zprávy o něm mají diametrálně odlišnou podobu od toho, jak se obvykle šíří skutečné hoaxy: přijde-li zpráva s varováním od renomované firmy, pak přichází skutečně od této firmy (resp. její PR agentury), ne zprostředkovaně od někoho, kdo se pouze zmiňuje o původním odesilateli. Typické je pro tyto zprávy i to, že obsahují fungující odkazy na WWW stránky renomovaných e-zinů a specializovaných antivirových firem, které se novým virem skutečně seriózně zabývají - právě toto jsou charakteristiky, podle kterých je možné rozpoznat, zda jde jen o další hoax, či o zprávu, kterou je dobré brát vážně. V čem je W32/ExploreZip.worm jiný?
Seriózní varování před novým virem W32/ExploreZip.worm jsou skutečně na místě, protože tento virus je opravdu nebezpečný. Jeho vysoká nebezpečnost přitom není dána jen jeho technickým řešením, ale především jeho schopností útočit na lidskou důvěřivost. Ani tento virus samozřejmě nemůže překonat principiální bariéru, kterou je nemožnost "dostat se ke slovu" (být spuštěn) bez toho, že by jej uživatel sám explicitně aktivoval. O co se ale snaží, je přesvědčit i poměrně znalého uživatele, aby jej považoval za seriózní a bezpečnou přílohu, kterou lze otevřít bez nebezpečí. Dělá to tak, že maskuje sám sebe jako jiný druh přílohy, než jakým ve skutečnosti je. Snaží se vystupovat jako komprimovaný ZIP archiv, který je poměrně bezpečné rozbalit, a nikoli jako přímo spustitelný program (ve skutečnosti je souborem .EXE). Jde přitom dokonce tak daleko, že uživateli se představuje takovou ikonkou, která skutečně patří ZIP archivu. Svou "důvěryhodnost" dále zvyšuje i mechanismem svého šíření - na další počítače se dostává tak, že napadený počítač posílá odpovědi na došlé zprávy, které obsahují inkriminovanou přílohu a doprovodný text ve smyslu "odpovím brzy, zatím se podívejte na dokumenty v příloze". Příjemce přitom dostává tuto infikovanou zprávu jako odpověď na svou skutečnou zprávu, kterou někdy dříve poslal uživateli již napadeného počítače - jde tedy o zprávu, která mu přichází z adresy, kterou sám zná a nejspíše považuje za důvěryhodnou (když na ni sám předtím něco psal a teď třeba i nedočkavě čeká na skutečnou odpověď). Podrobný technický popis fungování nového viru, a to včetně způsobů jeho šíření i popisu toho, co vykonává na napadeném počítači, lze najít např. zde. Jaká je ochrana?
Principiální možnosti ochrany před virem W32/ExploreZip.worm jsou naprosto stejné jako u všech ostatních virů, které se šíří prostřednictvím elektronické pošty - "nepustit je ke slovu", neboli nedovolit jejich aktivaci (spuštění). Jelikož se samy aktivovat (spustit) nemohou, jde vlastně o to, aby je neaktivoval (nespustil) uživatel sám. A to ani přímo svým vlastním explicitním zásahem, případně nějakým nepřímým způsobem. Jde tedy o to, aby uživatel sám neotvíral přílohy k došlým zprávám elektronické pošty bez toho, že by si spolehlivě ověřil, že tak může učinit bez nebezpečí. Většina dnešních poštovních klientů v tomto vychází uživatelově bezpečnosti vstříc: před každou aktivací (spuštěním) přílohy jej explicitně varují.
Obvykle je generování takových varování implicitně zapnuto a některé klientské programy jej ani neumožňují vypnout. Jinde to je možné vypnout (ale pak je nutné s tím počítat a také vědět, kde se tato možnost zapíná a vypíná).
Velmi vhodné je i použití různých prostředků antivirové ochrany, kterých je dnes na trhu celá řada. Tyto prostředky fungují tak, že automaticky prozkoumávají všechny soubory, se kterými se v prostředí operačního systému jakkoli manipuluje. Pokud tyto prostředky dokáží spolupracovat s klienty elektronické pošty (což většina dokáže), dokáží "proskenovat" i přílohu elektronické pošty, kterou uživatel aktivuje (spustí). A pokud zjistí, že je tato příloha nakažena, postarají se o potřebné varování (event. i o nápravu). Je to relativně spolehlivá ochrana, ovšem až na jeden zásadní moment - nové viry, červy a jiné formy nákaz vznikají neustále a výrobci antivirových prostředků na ně dokáží reagovat vždy až s určitým odstupem, teprve poté, co dostanou šanci se s nimi seznámit a vyvinout potřebné prostředky na jejich rozpoznání a eliminaci. Proto je vždy třeba pravidelně a často aktualizovat používané prostředky antivirové ochrany. I tak ale hrozí nebezpečí napadení takovým virem, který ani nejnovější verze antivirové ochrany ještě není schopna rozpoznat. Proto je velmi žádoucí nespoléhat se jen na antivirovou ochranu a o bezpečnost svého počítače se aktivně starat svépomocí. V případě poštovních virů velmi pečlivým a uvážlivým nakládáním se všemi přílohami. Podrobný seznam antivirových prostředků schopných detekovat nový virus W32/ExploreZip.worm lze nalézt například zde.
|
![[Obr: snmhoax.gif (1742 Bytes)]](gifs/snmhoax.gif)
![[Obr: msmail.gif (3524 Bytes)]](gifs/msmail.gif)
![[Obr: mswarning.gif (12030 Bytes)]](gifs/mswarning.gif)
![[Obr: setting.gif (7030 Bytes)]](gifs/setting.gif)