Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Hrozba pro aplikace podporující makrojazyk (MS Office). ke své vlastní replikaci používá makrojazyk uživatelské aplikace, infekce dokumentů uložena v.

Podobné prezentace


Prezentace na téma: "Hrozba pro aplikace podporující makrojazyk (MS Office). ke své vlastní replikaci používá makrojazyk uživatelské aplikace, infekce dokumentů uložena v."— Transkript prezentace:

1

2 Hrozba pro aplikace podporující makrojazyk (MS Office). ke své vlastní replikaci používá makrojazyk uživatelské aplikace, infekce dokumentů uložena v jednom souboru s dokumentem, neinfikují (na rozdíl od virů) spustitelné soubory, ale dokumenty, po otevření infikovaného souboru dojde k infiltraci systému a virus je schopen infikovat otevřené a vytvářené šablony či dokumenty, Příklad: globální šablona MS Wordu (NORMAL.DOT) se otevírá při každém spuštění MS Wordu, při dalších spuštěních aplikace zůstává makrovirusaktivní Některé možné způsoby ochrany: WordView–bez maker ale s omezeními při interpretaci formátů *.RTF-typografické informace o textu, nemůže obsahovat makra vytvoření makra AutoExec, které bude obsahovat příkaz DisableAutoMacros1 a bude uloženo v šabloně NORMAL.DOT.

3 Stealthviry se snaží zamaskovat svou přítomnost v souboru tím, že se zachytí na přerušení, kudy prochází veškeré požadavky na čtení dat ze souboru (tedy i požadavky antiviru). Vir si pak kontroluje, zda se požadavek týká i infikovaného souboru, v tomto případě pak vrátí aplikaci data původního neinfikovaného souboru. Skrývá změny proveditelných komponent systému: délky souboru, data a času vytvoření, zaváděcího sektoru. Polymorfní viry –počátek těla je tvořen rutinou odkódovací části těla viru v paměti po jeho spuštění, modifikující se při každé infekci. Metamorfní viry –kompletní modifikace při každé nové infekci. Multiparitníviryinfikují zaváděcí sektor i spustitelný soubor. Tunelující viry „protunelují“ řetězy ovladačů zařízení v paměti připojí se na konec tohoto řetězu a přímo ovládají řadič harddisku. Generické viry –odvozené a modifikované od základních skupin.

4

5 Trojský kůň (Trojan, TrojanHorse) provádí činnost o které uživatel neví (nedokumentovanou) a nemůže ji ovlivnit. RemoteAccess Trojans Data SendingTrojans DestructiveTrojans Proxy Trojans FTP Trojans securitysoftware disablerTrojans denial-of-serviceattack(DoS) Trojans URL Trojans Backdoor–umožňuje obejít běžnou autentizaci uživatele při vstupu do systému, převzít vzdáleně (např. přes Internet) kontrolu nad takto infikovaným VS a zachovat tento přístup skrytý před běžnou kontrolou jako: instalovaný program, modifikace legitimního programu.

6 Červ (worm) je program, který pomocí počítačové sítě rozšiřuje svoje kopie na připojené výpočetní systémy a způsobuje např. neúměrné zatížení sítě nebo zahlcení diskového prostoru připojených stanic. Šíří se pomocí síťových paketů s infikovaným obsahem. Pakety infikují systémy se specifickou bezpečnostní dírou. Nelze detekovat klasickou formou antivirového programu. Červům podobné jsou infiltrace kopírující sebe sama, neformálně zvané: baktérie(bacterium) -šíří své kopie jiným uživatelům a systémům za účelem rozšíření, králík(rabbit). šíří své kopie bez omezení s cílem vyčerpatdostupnésystémové zdroje (čas procesoru, diskový prostor …) Morrisůvčerv –zahlcení tehdejšího Internetu Dnes -CodeRed, SQL Slammer

7 Bomby jsou programy, které aktivují svoji nedokumentovanou činnost (převážně destruktivního charakteru) v závislosti na druhu spouštěcí rozbušky: Logické bomby -Aktivačním symptomem může být např. změna obsahu určitého souboru (odstranění copyrightu z hlavičky programu) nebo definovaná vstupní datová sekvence programu Virus DarkAvenger2000, způsobí zamrznutí operačního systému jakmile zjistí ve spouštěném programu výskyt jména V. Bontcheva Časované bomby -rozbuška je nastavena na datum příp. čas. Jsou známy případy načasování zničení firemních databází. ANSI-bomby-zneužitím ovladače ANSI-grafiky (ANSI.SYS) přeprogramují klávesnicové sekvence na výmaz souborů aktuálního adresáře. Přímočaré bomby -zahlcení systému opakujícím se generováním téhož obsahu nebo neúměrně velkého obsahu. SMS bombery zavalují vybranou oběť neustále se opakující SMS zprávou.

8 je sada platformních(Linux, Solaris, Microsoft Windows, …) počítačových programů a technologií, pomocí kterých lze maskovat přítomnost zákeřného software v počítači (virů, trojských koňů, spyware, …) tak, aby nebyla běžně dostupnými systémovými prostředky odhalitelná: skrýváním souborů a adresářů, v nichž jsou instalovány, API volání, položek registru, procesů, síťových spojení, systémových služeb. … Panda Anti-Rootkit

9 Na americkém trhu prodávala firma Sony BMG hudební CD vybavená softwarem (XCP, MediaMax), který omezuje kopírování na osobních počítačích (tzv. digital rights management): a)instalují se na počítač bez jakéhokoli vědomí uživatele, bez žádosti o jeho souhlas, b)instalace jako rootkit -přepisují Windows tak, aby nebyly běžnými prostředky uživatele zjistitelné (pravděpodobně protizákonné) c)tyto programy posílaly zprávy o činnosti firmě Sony BMG, d)tyto programy otevíraly dvířka virům a dalším útokům (vznikl trojský kůň, který této díry využil) Mimosoudní vyrovnání u všech hromadných žalob -Sony zákazníkům nahradí jejich CD bez dotyčného software. Případně je (pokud o to požádají) odškodní sedmi a půl dolary v hotovosti a možností downloadu jednoho alba zdarma.

10 je program, který využívá Internet k odesílání odcizených dat a údajů z počítače bez vědomí jeho uživatele: přehled navštívených stránek, přehled nainstalovaných/spouštěných programů, jména uložená v registrech, IP adresu, hesla a čísla kreditních karet (backdoor spyware) Tato činnost bývá odůvodňována snahou zjistit potřeby nebo zájmy uživatele a informace využít pro cílenou reklamu. (Bez záruky!!!) Spyware se šíří společně s řadou sharewarových programů. Souhlas s instalací (podmínka licenční smlouvy) může být součástí. Pozor! Podvodné programy naleznou neexistující infekci a nabídnou zakoupení plnohodnotné verze. Spyware Terminator(prevence) :

11 je software, který způsobuje: automatické stahování, zobrazování nebo přehrávání reklamních a propagačních materiálů v počítači uživatele bez jeho vědomí nebo s částečnou asistencí. EULA (End User License Agreement) –licenční ujednání. Uživatel musí v některých případech souhlasit s instalací. Typické příznaky: „vyskakující“ pop-upreklamní okna během surfování, vnucování stránek o které nemá uživatel zájem, nastavení stránky jako domovské -bez vědomí uživatele. SW ochrana -programy prohledávají HDD, registry i paměť. Obsahují databázi dle níž detekují, identifikují a odstraní - Nutnost aktualizací. (Ad-Awareod Lavasoft… )

12 je nevyžádané sdělení, masově se šířící, nejčastěji pomocí Internetu. UBE/UCE (Unsolicited Bulk/Commercial ). Nevyžádaná příchozí poštovní nebo ová komunikace, obsah diskusních fór, komentářů a instant messangingu: velké výhry, zájezdy, finanční transakce ve prospěch adresáta, nabídka zázračných léků, nabídka zboží zdarma, politická prohlášení, atd. ové adresy do spamových databází jsou získávány pomocí robotů, kteří procházejí webové stránky a sbírají e- mailové adresy na nich uvedené. Sbírají vše, co Ochrana –psát např. jmeno (zavinac) domena.cz.

13 (hoax = fáma, podvod, mystifikace či žert) je nevyžádaná ová, Jabbernebo ICQ zpráva, která uživatele varuje před nějakým virem, prosí o pomoc, informuje o nebezpečí, snaží se ho pobavit apod. (Odrůda Spamu.) Může obsahovat výzvu k dalšímu rozeslání -řetězový . Běžní uživatelé hoaxůmčasto věří a (v dobré víře) jednají podle nich. Obtěžování příjemců -stejná zpráva několikrát denně. Nebezpečné rady -jak se zbavit domnělého viru smazáním souboru. Zbytečné zatěžování linek a serverů. Ztráta důvěryhodnosti -pracovní (firemní) . Prozrazení důvěrných informací ( ovéadresy).

14 činnost, která využívá prvky tzv. sociálního inženýrství (manipulativní způsob získávání důvěrných informací). Princip: Rozesílání ovýchzpráv, které se tváří jako oficiální žádost banky či jiné podobné instituce a vyzývají adresáta k zadání jeho údajů (hesla, čísla kreditních karet apod.) na odkazovanou stránku. (Nápodoba přihlašovacího okna internetového bankovnictví). Ochrana–zdravý rozum Phreaking je volání zdarma pomocí napíchnutí na cizí telefonní linku v rozvodech, budkách - obcházení telefonních firem, volání zdarma nebo levněji: nabourávání se do telefonní sítě, nabourávání se do mobilní sítě, výroba odposlouchávacích zařízení.

15


Stáhnout ppt "Hrozba pro aplikace podporující makrojazyk (MS Office). ke své vlastní replikaci používá makrojazyk uživatelské aplikace, infekce dokumentů uložena v."

Podobné prezentace


Reklamy Google