Niedawno wiedza na temat złośliwego oprogramowania miała okazję przydać mi się w praktyce. Nie pierwszy raz czyściłem system Windows XP/Vista z wirusów, ale pierwszy raz odzyskiwałem dane z dysku nadpisanego przez spyware po wykonaniu komendy „kill OS”. Początkowo podejrzewałem awarię dysku, ale napęd zgłosił się do systemu operacyjnego poprawnie, zatem skopiowałem dysk do pliku obrazu za pomocą dd, a następnie wykorzystałem program testdisk do odtworzenia tablicy partycji. Po zamontowaniu systemu plików w trybie tylko do odczytu, ukazał mi się taki oto obraz głównego katalogu:

Tak, dobrze myślicie, to są pliki wykonywalne wirusa. Po przeskanowaniu prostym programem antywirusowym (w celach informacyjnych, bo osoba ta już korzysta z innego systemu, zainstalowanego na nowym dysku twardym), można było potwierdzić istnienie całej kolekcji zahibernowanych wirusów:

Nadmienię, że osoba ta posiadała sprawny i aktualny program antywirusowy (na dysku są informacje o szczepionkach datowanych na czas tuż przed „zabiciem” systemu przez spyware) a trojany te działały co najmniej pół roku. Dlaczego program ich nie wykrył? Odpowiedź jest prosta – jeden z modułów, który instalował także Zeusa, dociągnął sobie wtyczkę, która unieszkodliwiała motor skanowania oraz wyłączała kontrolę chroniącą integralność antywirusa. Analiza dysku potwierdziła moje wstępne podejrzenia w całej rozciągłości.

Jestem przekonany, że bardzo wiele domowych komputerów posiada nieznane właścicielowi „życie wewnętrzne”. Z kolei pewna część zarażonych maszyn to są komputery firmowe. Jeśli miał rację Uri Rivner (oraz kilku polskich specjalistów), jedna trzecia maszyn w różnych botnetach Zeusa, to właśnie korporacyjne stacje robocze, z założenia wyposażone w najnowsze oprogramowanie antywirusowe i tak dalej. Niestety prognozy nie są pomyślne, niebawem postaram się opracować i opublikować raport na temat zagrożeń bezpieczeństwa polskich firm. Prace trwają, dziękuję przy tym ekspertom CERT Polska oraz tym pracownikom instytucji rządowych, którzy poświęcili mi cenny czas.

Obecnie nawet Mac, wbrew reklamom, nie zapewnia wymaganego poziomu bezpieczeństwa, głównie ze względu na opóźnienia w aktualizacji oprogramowania. W tej chwili jedynym w miarę bezpiecznym środowiskiem aplikacji firmowych jest cienki klient, gdzie w podsieci użytkowników całkowicie wyeliminowano system Microsoft Windows i typowe stacje robocze, a serwer terminalowy jest chroniony za pomocą dedykowanych rozwiązań. Czy taki poziom można osiągnąć w praktyce za pomocą tradycyjnych metod? Tak, ale wcale nie będzie to proste. Tutaj antywirus to niestety zdecydowanie zbyt mało.