Η #7 έβδομη στάση από το μακρύ οδοιπορικό των πιο φονικών ιών της ιστορίας αφορά τον Concept Virus. Ο ιός Concept, εγκαθίστατε στο λειτουργικό σύστημα της Microsoft τα περιβόητα Windows 1995 και ήταν ο πρώτος ιός που μόλυνε έγγραφα του Microsoft Word. Μέσα σε λίγες μέρες έγινε ο πιο διαδεδομένος ιός που είχαν συναντήσει οι χρήστες.
Ο ιός εκμεταλλεήτηκε το γεγονός ότι οι χρήστες ηλεκτρονικών υπολογιστών εκείνη την εποχή είχαν ξεκινήσει την ανταλλαγή κοινόχρηστων εγγράφων μέσω του ηλεκτρονικού ταχυδρομείου.
Πως λειτουργούσε ο ιός Concept;
O ιός concept εμφανίστηκε για πρώτη φορά το 1995 και είχε σαν στόχους το Microsoft word (windows) 6.x και 7.x, το word for macintosh 6.x καθώς και τα ίδια τα λειτουργικά συστήματα windows 95 και windows nt. O ιός εκτελείται κάθε φορά που ανοίγει ένα μολυσμένο έγγραφο και προσπαθεί να μολύνει το NORMAL.DOT. Αν εντοπίσει κάποια από τις μακρο εντολές “payload” ή “filesaveas” υποθέτει ότι ο ιός υπάρχει ήδη οπότε σταματάει την λειτουργία του. Αν όμως δεν βρει τις παραπάνω εντολές τότε αρχίζει να γράφει τις κακόβουλες εντολές και εμφανίζει ένα μικρό μήνυμα στην οθόνη:
Το μήνυμα αυτό εμφανίζεται μόνο κατά την αρχική μόλυνση του NORMAL.DOT. Από τη στιγμή αυτή ο ιός περνάει σε κάθε κείμενο που δημιουργήθηκε με την “Save As” εντολή. Ο concept αποτελείται από τις ακόλουθες μακρο εντολές:
Να παρατηρήσουμε εδώ ότι η AutoOpen και η FileSaveAs είναι ονόματα που υπάρχουν και υπό φυσιολογικές συνθήκες στο word. To PayLoad που βλέπουμε παραπάνω περιέχει το εξής κείμενο:
Το οποίο δεν εκτελείται ποτέ.
Μιλήσαμε ήδη για τον Concept Virus, ο οποίος ήταν ο πρώτος Macro ιός της ιστορίας. Ας δούμε μερικές πληροφορίες γενικά για τους Macro ιούς:
Γενικά χαρακτηριστικά Macro ιών:
Γενικά, οι μακρο εντολές μπορούν να χρησιμοποιηθούν σε προγράμματα όπως το Word και το Excel, για να αυτοματοποιήσουν σύνθετους ή επαναλαμβανόμενους στόχους. Μόλις γραφτούν, ορίζεται σε αυτές ένας συνδυασμός πλήκτρων, ή κάποιο κουμπί από μία εργαλειοθήκη που θα ενεργοποιεί την μακρο εντολή.
Οι μακρο εντολές αποθηκεύονται σαν μία σειρά οδηγιών σε μία γλώσσα όπως η visual basic. Από τη στιγμή που καταγραφεί μια μακρο εντολή ο χρήστης μπορεί να την επεξεργαστεί ή ακόμα και να προσθέσει πιο περίπλοκες εντολές που δεν είναι κανονικά εγγράψιμες. Αυτό δίνει στον έμπειρο χρήστη τη δυνατότητα όχι μόνο να αυτοματοποιήσει λειτουργίες μέσα στο πρόγραμμα αλλά και να εκτελεί βασικές εντολές του συστήματος όπως διαγραφή, μετονομασία, ή αλλαγή των ιδιοτήτων αρχείων.
Ένας μακρο ιός χρησιμοποιεί την δύναμη και την λειτουργικότητα των μακροεντολών για να δημιουργήσει αντίγραφα του εαυτού του και για να διαδοθεί. Όταν ένας χρήστης λαμβάνει και ανοίγει ένα αρχείο που περιέχει έναν μακροϊό, αυτός (ο ιός) είτε θα εκτελεστεί αυτόματα είτε από τον συνδυασμό κάποιων πλήκτρων, την εκτέλεση κάποιας εντολής από το menu επιλογών, το πάτημα κάποιου κουμπιού μιας εργαλειοθήκης κα.
Στη συνέχεια ο ιός θα αντιγραφτεί στο σύστημα (ο τρόπος μπορεί να ποικίλει ανάλογα με τις λεπτομέρειες του ιού). Ο macro ιός θα είναι παρών πλέον στα αρχεία που ανοίγει ο χρήστης και μπορεί να μεταδοθεί με πολλούς διαφορετικούς τρόπους. Μερικά πολύ επικίνδυνα πράγματα που μπορεί να κάνει ένας τέτοιος ιός είναι να διαγράψει/τροποποιήσει τα περιεχόμενα ενός κειμένου, να
αλλάξει τις ρυθμίσεις του Word, να τοποθετήσει κωδικό πρόσβασης, να αντιγράψει έναν DOS ιό στο σύστημα ή και να παρεμβάλει επιβλαβής γραμμές κώδικα στα αρχεία config.sys και autoexec.bat.
Θεωρητικά ένας μακρο ιός μπορεί να γραφτεί για οποιοδήποτε πρόγραμμα που αποθηκεύει μακρο εντολές σε μορφή που μπορεί να ανοιχτεί και να επεξεργαστεί χρησιμοποιώντας μία γλώσσα όπως Word Basic και Visual Basic. Στην πράξη ωστόσο οι περισσότεροι που έχουν βρεθεί αφορούν κυρίως το Word και το Excel.
Μία άλλη ενδιαφέρουσα ιδιότητα των μακροϊών είναι ότι μπορούν ενδεχομένως να διαδίδονται σε διαφορετικές πλατφόρμες, όπως από Mac σε PC κα. Οι macro ιοί υφίστανται και μεταδίδονται μέσα στο περιβάλλον κάθε εφαρμογής το οποίο για τις μακρο εντολές είναι κοινό στις διαφορετικές πλατφόρμες. Οι διάφοροι ιοί που προσπαθούν να προκαλέσουν ζημιά σε ένα μέρος του συστήματος του χρήστη έξω από το word δεν θα είναι σε θέση να κάνουν το ίδιο πράγμα σε μία διαφορετική πλατφόρμα (Πχ. ένας μακρο ιός
που προσπαθεί να επεξεργαστεί το αρχείο config.sys του χρήστη σε ένα pc θα δυσκολευτεί να κάνει το ίδιο πράγμα σε έναν Mac, ο οποίος δεν έχει κανένα αρχείο Config.sys.).
Συνοψίζοντας δηλαδή ένας μακρο ιός που διαδίδεται και μπορεί να προκαλεί βλάβες σε ένα σύστημα, μπορεί να διαδίδεται σε κάποιο άλλο, αλλά να μην προκαλεί κάποια βλάβη. Υπάρχει η δυνατότητα βέβαια ένας macro ιός να βρίσκει/ εντοπίζει σε ποιο σύστημα τρέχει (αν είναι pc,mac ή κάτι άλλο) και να αλλάζει την συμπεριφορά του ανάλογα, όμως κάτι τέτοιο δεν είναι σύνηθες.
Τρόποι αντιμετώπισης Macro ιών:
Όταν τον Αύγουστο του 1995 έκανε την εμφάνιση του ο πρώτος μακρο ιός -στην πραγματικότητα δεν ήταν ο πρώτος, αφού κάποιες αντι-ιικές εταιρίες είχαν πειραματικά δημιουργήσει ιούς που μεταδίδονταν από ένα κείμενο στο άλλο, ωστόσο σχεδόν κανείς δεν ενδιαφέρθηκε για αυτό το μάλλον αποτυχημένο πείραμα- η αντι-ιική κοινότητα βρέθηκε απροετοίμαστη.
Αξιοσημείωτο μάλιστα είναι ότι αν παρατηρούσε κανείς την τότε βιβλιογραφία σε σχέση με τους ιούς θα έβλεπε ότι στην ερώτηση, αν μπορεί ένα κείμενο να περιέχει κάποιον ιό, η απάντηση ήταν απλή: ΟΧΙ. Έτσι η πρώτη βιαστική αντιμετώπιση της επιδημίας μακρο ιών που προέκυψε ήταν η δημιουργία άλλων ιών που μεταδίδονταν από κείμενο σε κείμενο και έσβηναν τις κακόβουλες μακρο εντολές.
Οι τρόποι για την ανίχνευση των μακρο ιών πλέον ποικίλουν. Ένας πολύ απλός είναι με την ανίχνευση του ονόματος του ιού. Επίσης επειδή ένα μεγάλο μέρος των νέων ιών που κυκλοφορούν είναι ουσιαστικά “αλλαγμένες” εκδόσεις παλιών, είναι δυνατόν να γίνεται η
ανίχνευση με βάση το βασικό σώμα ενός ιού. Τέλος χρησιμοποιείται και η ευριστική ανάλυση.
Ανανεώνουμε το ραντεβού μας για το ερχόμενο Σάββατο!
Μείνετε συντονισμένοι στο SecNews!
