Czego nie wiesz o złośliwym oprogramowaniu?

Kiedyś malware niekoniecznie był oprogramowaniem, którego celem było zniszczenie czy zaszyfrowanie danych użytkowników. Na początku był to w dużej mierze pokaz możliwości programistycznych, dopiero później stał się bronią w rękach cyberprzestępców. Obecnie malware ma na celu pozyskanie pieniędzy od osoby, która uruchomiła złośliwe oprogramowanie.
Trzeba mieć świadomość, że malware to nie tylko szyfrowanie plików. Takie oprogramowanie może np.  podmieniać kopiowane przez nas dane, takie jak numer konta, podmieniając go na numer konta przestępców.

Należy pamiętać, że głównym czynnikiem infekcji jest błąd ludzki, taki jak otwarcie pliku tekstowego i uruchomienie makra czy pobranie złośliwego załącznika z wiadomości email. Złośliwe oprogramowanie jednak nie musi być wysłane jako załącznik w mailu, może też kryć się na stronach internetowych, czy być zaszyte w popularnych aplikacjach i w ten sposób się rozprzestrzeniać. 

Jedna z najnowszych technik, która jest ostatnio bardzo popularna, korzysta z aplikacji Discord. Za pomocą tego narzędzia można rozmawiać, ale również pisać teksty czy wysyłać pliki. Cyberprzestępcy korzystają również z tej funkcji i załączają złośliwe oprogramowanie poprzez odpowiednie linki do pobrania tego pliku. Wykorzystają do tego również różne formy komunikacji. Oficjalnej strony Discorda oczywiście nikt nie zablokuje, więc jest to łatwy sposób na rozprzestrzenianie złośliwego oprogramowania.  

Zastanówmy się, dlaczego wiadomości ze złośliwym oprogramowaniem w ogóle trafiają na nasze skrzynki i nie są wyłapywane przez oprogramowanie antywirusowe.
Dzieje się tak, ponieważ treść maila to zazwyczaj tekst, a większość klientów poczty rozpoznaje składnie html. Dokładnie taka sama jest używana przez strony www. Wykorzystując zatem składnie html, można używać różnego rodzaju styli, czy zmieniać wielkość czcionki, nie tylko dla każdego akapitu, ale też dla pojedynczych słów czy znaków. 

Poniżej przedstawię prosty przykład na podstawie adresu naszej strony: vol.com.pl, gdzie część liter ma ustawioną wielkość czcionki na 0:

To co widzi użytkownik to: adres:  

vol.com.pl

Natomiast dla automatu jest to napis:

0h #$%v! no, is bl.ocked, come back. please

Nie jest to zatem rzecz, którą można dostrzec na pierwszy rzut oka.

A zastanawialiście się kiedyś Państwo jak działa drukarka?
Należy włączyć drukarkę, wpiąć kabel USB do komputera, wybrać interesujący nas dokument np. word-a, kliknąć drukuj (wybrać ewentualnie format papieru) i gotowe! To jest odpowiedź większości z nas. 

Ale jak działa drukarka od strony systemu?
System posiada tzw. Print Spooler, który decyduje kiedy jest odpowiedni moment na drukowanie. Wywołuje wtedy Print Procesor (specjalny plik dll który zamienia format na taki, który można przesłać do Print Monitora). Print Procesor odpowiada, też za wstrzymywanie i anulowanie zadań do druku. Gdzie tu niebezpieczeństwo? Otóż można zainstalować wiele print procesorów, dzieje się tak zwykle podczas instalacji sterowników drukarki. Malware często instaluje się jako kolejny Pront Procesor. Dzięki takiemu rozwiązaniu, przy każdym uruchomieniu komputera, system automatycznie uruchamia Print Spoooler, a ten natomiast uruchamia wszystkie Print Procesory, dzięki czemu zainstalowany malware jest uruchamiany za każdym razem gdy uruchamiany jest komputer. Nie jest to zatem tak proste i „bezpieczne” jak widzi to użytkownik. 

Oczywiście to tylko niektóre z przykładów działania złośliwego oprogramowania. Jeśli chodzi o malware to jest to duża grupa programów podzielona na kilka mniejszych podgrup. Jeżeli jesteście zainteresowani rozwinięciem tego tematu piszcie do nas: cyberVOL@vol.com.pl

MZaw