Přejít k hlavnímu obsahu

Podezřelé soubory pod drobnohledem: jak odhalit škodlivý kód a dobře se chránit před jeho účinky

redakce 08.07.2023
info ikonka
Zdroj:

Přicházejí e-mailem nebo si je stáhnete z webu: obrázky infikované viry, PDF nebo Office soubory. Infekci těmito maskovanými škůdci však lze předejít. Ukážeme vám, jak na to.

Kapitoly článku

Podle bezpečnostních expertů z institutu AV-Test se každou sekundu do sítě dostane v průměru 3,3 nových škodlivých nebo nežádoucích programů. Téměř 12 000 za hodinu, více než 280 000 za den, 8,6 milionu za měsíc a za posledních dvanáct měsíců bylo těmito bezpečnostními odborníky objeveno více než 100 milionů nových malwarů a dalšího škodlivého softwaru.

Většina těchto programů se do cizích počítačů dostává prostřednictvím nevyžádaných a podvodných e-mailů nebo kontaminovaných souborů nabídnutých ke stažení. V tomto článku vám proto ukážeme, jak škůdce včas odhalit a zabránit tak napadení vašeho počítače.

Nebezpečný internet

emailspam

Klasický spam: výhodné nabídky, výhry, erotické seznamky. Většina uživatelů internetu tento typ falešných zpráv zná. Ještě nebezpečnější jsou však e-maily s přiloženým malwarem. | Zdroj: Email/podvodná zpráva

V minulosti se počítačové viry musely poměrně pracně šířit prostřednictvím disket, CD-ROM disků nebo USB flash disků. Dnes je mnohem snazší a pohodlnější je šířit prostřednictvím internetu. Do počítačů koncových uživatelů se dostávají přímo a bez většího úsilí prostřednictvím e-mailu nebo stahování.

Rozpoznání phishingu a spamu

czechpost

I v tomto případě by ve vás měly všechny bezpečnostní kontrolky zablikat. Podezřelý je odesílatel i stránka, na kterou odkaz vede. | Zdroj: phishingový e-mail zneužívající Českou poštu

Můžete se nechat napálit poměrně rychle: pokud jste někdy použili svou e-mailovou adresu na nějakém fóru, které bylo později hacknuto, téměř jistě se budete muset vypořádat se spamem a phishingovými e-maily.

Obyčejné nevyžádané zprávy lze celkem snadno rozpoznat, protože se posílají stejné na mnoho e-mailových adres a jsou tedy obecné. Podvodníci se v nich obvykle snaží příjemcům prodat údajné pilulky na podporu účinku nebo ukrást přístupové údaje k online účtům – pokud tyto podvody už trochu znáte, těžko jim naletíte. E-maily jsou však také často zneužívány k šíření škodlivého kódu. Místo údajné přiložené faktury nebo upomínky obsahuje zpráva tzv. downloader, který tajně stahuje do počítače další malware.

Před kliknutím na odkaz v e-mailu nebo spuštěním nebo otevřením přiloženého souboru byste proto měli zvážit: je zpráva skutečně legitimní, nebo ne? Znáte odesílatele? Sedí styl psaní a další náležitosti? Je e-mail plný překlepů? Jste oslovováni obecně, nebo svým jménem? Kromě toho přejíždějte myší nad odkazy a zkontrolujte, kam ve skutečnosti vede URL adresa – záhadné webové adresy obvykle svědčí o pokusu o podvod. I když se vše zdá být vše v pořádku, měli byste zůstat obezřetní. V případě pochybností zvedněte telefon a zeptejte se odesílatele, zda se jedná o skutečně legitimní zprávu.

Rizikové stahování

virustotal

Před kliknutím si nechte odkaz zkontrolovat: než kliknete na podezřelý odkaz v e-mailu, také ho zkontrolujte pomocí nástroje Virustotal. | Zdroj: Virustotal.com

Další běžnou cestou infekce jsou nejrůznější soubory nabízené ke stažení z internetu. Nové nástroje je nejlepší stahovat pouze ze známých a ověřených webů. Tam jsou před zveřejněním testovány na přítomnost škodlivého kódu. Ani zde však neexistuje stoprocentní záruka, že se v počítači neobjeví nežádoucí software. Proto všechny stažené soubory před spuštěním v počítači sami zkontrolujte. Následně vám popíšeme, jak to udělat.

Vícenásobná kontrola na přítomnost virů

Virový skener vašeho počítače kontroluje každý nový soubor. Používá tzv. signatury, které mu pravidelně zasílá jeho výrobce. Nemusí ale rozpoznat nový malware, pro který ještě nemá k dispozici signaturu. Nikdy byste se proto neměli spoléhat pouze na tento jeden nástroj.

Online skenování souborů

Virustotal je online služba, která pomocí několika desítek virových skenerů prověří soubory na přítomnost škodlivého kódu. Vysoký počet skenovacích programů, které používá a vy je nemusíte instalovat, zvyšuje pravděpodobnost odhalení skrytého malwaru. Pokud několik programů odhalí v nahraném souboru problém, neměli byste ho v žádném případě spouštět.

Použití je velice jednoduché. Přejděte na stránku www.virustotal.com a klikněte na „Choose file“. Vyberte příslušný soubor a potvrďte tlačítkem „Open | Confirm upload“. Některé soubory již byly do služby Virustotal odeslány jiným uživatelem. Pak okamžitě uvidíte výsledek.

Filtry proti phishingu a spamu

Vzhledem k obrovskému množství rozesílaných nevyžádaných e-mailů byste se měli vybavit spamovým filtrem. Velkou část škodlivých e-mailů roztřídí na základě různých charakteristik tak, že se k vám ani nedostanou.

Většina poštovních klientů, například Thunderbird a Outlook, již takový spamový filtr obsahují. Je však skutečně aktivován? Kromě toho byste měli aktivovat antispamový filtr provozovaný poskytovatelem vašich e-mailových služeb.

Tyto filtry jsou často ještě výkonnější než ty místní, protože jsou obvykle doplněny o další seznamy adres a antispamové služby.

Nicméně pamatujte na to, že i ten nejlepší spamový filtr může opakovaně některé nevyžádané zprávy přehlédnout. Zůstaňte proto ostražití a pečlivě kontrolujte odkazy a přiložené soubory.

V horní části je uvedeno, zda a kolik virových skenerů klasifikuje soubor jako nebezpečný. Níže jsou uvedeny informace o formátu souboru, velikosti a datu posledního skenování. Může to být před několika hodinami, několika dny, nebo dokonce měsíci. Kliknutím na kruhovou šipku vpravo nahoře spustíte novou kontrolu s aktuálními virovými signaturami.

Skenování důvěrných dat

Služba Virustotal má však jeden háček, o kterém byste měli vědět. Služba, kterou již několik let vlastní Google, totiž sdílí všechny nahrané soubory s příslušnými společnostmi, které vyvíjejí antivirové nástroje. To znamená, že byste tam neměli nahrávat důvěrná data.

U velmi velkých souborů (např. instalačních souborů nebo ISO souborů operačního systému) může nahrávání trvat příliš dlouho. V takových případech místo toho vytvořte tzv. hash kód souboru a zkontrolujte jej na webu Virustotal. Hash kód je malý a vždy přesně odpovídá pouze jednomu souboru, aniž by bylo možné vyvodit závěry o jeho obsahu. Pokud však kód patří k již známému malwaru, a ne například k legitimnímu souboru z wordu kolegy z práce, pak jej pravděpodobně odeslal jiný uživatel pod falešným jménem.

Hash kód souboru zjistíte například pomocí oblíbeného a doporučovaného zipovacího programu 7-Zip. Otevřete tento program, vyhledejte požadovaný soubor a klikněte na něj pravým tlačítkem myši. Z nabídky vyberte „CRC“ a poté „SHA-1“ nebo „SHA-256“. U velkých souborů může výpočet trvat o něco déle. Otevře se nové okno, ve kterém vyberte dlouhou kombinaci čísel a písmen a zkopírujte ji pomocí klávesové zkratky [Ctrl] + [C]. Otevřete webovou stránku Virustotal a klikněte na „Search“. Vložte zkopírovaný hash kód do vstupního pole pomocí klávesové zkratky [Ctrl] + [V] a stiskněte klávesu [Enter]. Poté zkontrolujte výsledek a rozhodněte se, zda chcete danému souboru důvěřovat, nebo ne.

Kontrola podezřelých odkazů

Virustotal umí skenovat a prověřovat podezřelý obsah nejen u souborů, ale na vyžádání také zkontroluje URL adresy. Než tedy kliknete na pochybný odkaz v e-mailu, měli byste jej nejprve zkontrolovat na webu Virustotal. To provedete tak, že například v aplikaci Thunderbird kliknete pravým tlačítkem myši na odkaz a vyberete možnost „Kopírovat adresu odkazu“. Poté ji vložte do záložky „URL“ na webu Virustotal.

Další praktické tipy

Virustotal není jediným nástrojem, pomocí kterého můžete zkontrolovat podezřelý soubor. Sporné dokumenty můžete sami převést na neškodné nebo také analyzovat EXE soubory.

Test pomocí druhého skeneru

Nejrychlejší výsledek přinese kontrola pomocí alternativního virového skeneru. Bezplatná verze programu od Malwarebytes se obejde bez skeneru na pozadí, takže je vhodná jako „druhý názor“. Nainstalujte tento nástroj a prohledejte buď celý počítač, nebo pouze složku s podezřelým souborem.

Převod rizikových dokumentů

Mnoho škůdců se do cizích počítačů dostává prostřednictvím zmanipulovaných PDF souborů nebo dokumentů wordu. Bezpečnostní expert Micah Lee proto vyvinul bezplatný software Dangerzone, který převádí rizikové dokumenty na neškodné PDF soubory.

Za tímto účelem používá Dangerzone dva linuxové kontejnery. V prvním se daný soubor otevře pomocí programů LibreOffice nebo GraphicsMagick a převede jej do prvního PDF souboru. Ten pak nástroj rozdělí na jednotlivé stránky, které převede do PNG formátu. Následně Nástroj Dangerzone zkopíruje obrázky do druhého kontejneru, kde je znovu sestaví a přenese zpět do PDF souboru. Díky tomuto postupu Dangerzone zajistí, že konečným výsledkem je čistý PDF soubor, který již neobsahuje žádné škodlivé součásti.

Kromě vlastního programového kódu vyžaduje Dangerzone také kontejnerové řešení Docker Desktop a Windows Subsystem for Linux (WSL). Při prvním spuštění po instalaci můžete v počítači obě komponenty nastavit. Restartujte počítač a znovu otevřete Dangerzone. Nástroj následně nastaví své kontejnery v aplikaci Docker Desktop, pomocí kterých pak dokumenty převede.

Jakmile je předběžná práce hotová, klikněte na „Select suspicious document“ (vybrat podezřelý dokument). Vyberte soubor a potvrďte tlačítkem „Otevřít“. Zaškrtnutí před „OCR document“ zajišťuje, že nástroj provede také rozpoznávání textu. Pomocí rozevírací nabídky určete, který jazyk dokument používá. Poté klikněte na „Convert to Safe Document“ („Převést na bezpečný dokument“). Po převodu najdete nový PDF dokument ve stejné složce jako původní soubor. Pro odlišení obsahuje název souboru připonu „-safe“.

Testování v sandboxu Windows

Majitelé profesionální verze Windows 10 a 11 mají k dispozici tzv. sandbox, pomocí kterého mohou kontrolovat potenciálně nebezpečné soubory. Chcete-li tuto funkci aktivovat, dostaňte se do Nastavení a následně do části „Aplikace a funkce“. Zde najdete položku „Programy a funkce“ a „Zapnout nebo vypnout funkce systému Widows“.

V seznamu vyberte „Sandbox ve Windows“: Potvrďte tlačítkem „OK“, chvíli počkejte a restartujte počítač. Poté do vyhledávacího pole systému Windows zadejte „Windows Sandbox“ a spusťte nový sandbox. Zkopírujte a vložte podezřelý soubor do sandboxu pomocí kombinace kláves [Ctrl] + [C] a [Ctrl] + [V] nebo jej stáhněte pomocí internetového prohlížeče Edge. Všechny akce se odehrají pouze v sandboxu a na zbytek počítače nemají vliv. Pokud sandbox později zavřete, systém Windows všechny změny odstraní.

Testy v Sandboxie Plus

sanboxieplus

Sandboxie Plus je výkonná alternativa ke službě Windows Sandbox. Vychází z klasické verze Sandboxie. Verze Plus má ale modernější rozhraní a několik nových funkcí, z nichž některé jsou zpoplatněné. I bezplatná verze je však dostačujícím nástrojem pro analýzu možných škůdců. | Zdroj: Sandboxie-Plus

Nainstalujte si Sandboxie Plus a na dotaz ohledně požadovaného uživatelského rozhraní vyberte verzi pro začátečníky (Simple UI for beginners). Zrušte zaškrtnutí týkající se aktivace „Windows Filtering Platform (WFP)“, protože se jedná o zpoplatněnou funkci.

Potvrďte následující otázku týkající se kompatibility softwaru. Poté dvakrát klikněte na položku „DefaultBox“ zobrazenou v aplikaci Sandboxie a otevře se nastavení. V části „General options | Box options| Sandbox Window border“ vyberte položku „always show“ a za ní červenou barvu. Tak zvýrazníte své sandboxy, které mohou obsahovat škodlivý kód, červeným rámečkem.

Chcete-li vyzkoušet a otestovat nějaký program, klikněte v Sandboxie Plus pravým tlačítkem myši na „DefaultBox“ a nabídky vyberte „Run | Run program” a vyberte požadovaný program. Program se spustí v červeném boxu. Teď to začíná být zajímavé. Sandboxie Plus zaznamenává vše, co se v sandboxu děje. Jako příklad jsme si vzali freewarovou verzi programu CCleaner a pozorovali ji. Program doporučuje nainstalovat také AVG Free Antivirus.

Co se v celém procesu děje, lze přesně sledovat. Sandboxie Plus zobrazuje, které procesy by byly v počítači spuštěny a které soubory a složky by byly vytvořeny. Vše se však odehrává pouze na pískovišti. Chcete-li například zjistit, které soubory a složky software vytváří, klikněte pravým tlačítkem myši na položku „DefaultBox“ a vyberte možnost „Box Contents | Show Contents“. Chcete-li později sandbox obnovit, klikněte znovu pravým tlačítkem myši na „DefaultBox“ a zde vyberte možnost „Delete contents“.


Máte k článku připomínku? Napište nám

Sdílet článek

Mohlo by se vám líbit








Všechny nejnovější zprávy

doporučujeme