Nie pamiętam czasów komputerów bez wirusów. Możliwe jednak, że takowe kiedyś istniały. Pierwszy wirus komputerowy pojawił się bowiem w 1986 roku i został wykryty w systemie DOS. Nazwany został „Brain” i wyświetlał kilka wariantów różnego tekstu na ekranie. Teraz przyszedł czas na Separ.

Od tego czasu wiele wody w Wiśle upłynęło, wiele ludzi się narodziło i powstało wiele nowych zagrożeń. Mam wrażenie, ze z roku na rok ich ilość coraz bardziej się zwiększa, a ich działanie jest coraz bardziej szkodliwe dla zwykłego wyjadacza chleba. Kiedyś martwiliśmy się o to, że trzeba było przeinstalować system — teraz kradną nam dane bankowe.

Kolejnym zagrożeniem, które ostatnio rozsiadło się w sieci jest Separ.

Jest to oczywiście jeden z wielu wirusów, jakie niedawno pojawiły się w sieci, ale ten przypadek jest wyjątkowo ciekawy. Wirus ten znany jest nam już od 2017 roku. Jednakże to właśnie teraz wrócił „do łask” w ulepszonej wersji. Liczbę infekcji na tę chwilę szacuje się na 1500 maszyn. Nie jest to nie wiadomo jak wiele, ale biorąc pod uwagę, co robi to zagrożenie, może lepiej, aby więcej się nie pojawiło. Najbardziej interesujące w nowej wersji Separa jest to, że świetnie potrafi się zakamuflować przed programami antywirusowymi. Jest to spory problem — szczególnie dla zwykłych użytkowników. Wszystko dlatego, że wirus ten wykrada dane znajdujące się z naszych komputerach. Może on także zagrozić firmom. Lista jego możliwości jest długa. Jest w stanie zbierać informacje o kontach bankowych, loginach oraz hasłach do popularnych usług.

wirus, malware, separ

Jak już wspomniałem, Separ jest wyposażony w sekwencję pozwalającą uniknąć wykrycia.

Dzieje się tak dlatego, że Separ wykonuje wszystkie operacje za pomocą zaufanych procesów w komputerze ofiary. Co więcej, proces infekowania poszkodowanego jest tak samo infantylny. Wszystko dzieje się z użyciem poczty elektronicznej, czyli narzędzia, którego używa większość społeczeństwa mającego sieć w urządzeniach mobilnych, czy komputerach stacjonarnych. Ofiara otrzymuje wiadomość z załącznikiem w formacie PDF. Nie ważne, czy jest to jakaś faktura do zapłacenia, czy oferta reklamowa — znajdą się tacy, którzy to uruchomią. Pracuje w branży tyle, że jestem tego pewien. Już 1500 osób się jakoś nabrało, wiec zapewne będą kolejne. Po kliknięciu takiego załącznika wszystko potoczy się wręcz lawinowo. Uruchomi to listę wstępnych procesów, które mają na celu uzyskanie kontroli nad komputerem ofiary.

Wykorzystuje się do tego procesy oraz narzędzia zaufane.

To właśnie dlatego jest to takie niebezpieczne. To właśnie jego prostota tak zadziwia wszystkich. Nie jest przecież nie wiadomo jak rozbudowanym malware. Okazuje się jednak, że może więcej niż nie jeden super wirus. Droga do sukcesu jest prosta i mało wyboista. Wystarczą krótkie, proste skrypty oraz możliwość wykorzystania zaufanych procesów znajdujących się w maszynie ofiary. Sami możecie zobaczyć fragment kodu aplikacji:

@echo off
@cls
@md "%APPDATA%\Adobe\Adobe Inc\AadobeRead"
@xcopy /y /h /e /r /k /c *.* "%APPDATA%\Adobe\Adobe Inc\AadobeRead"
@attrib +r +a +s +h "%APPDATA%\Adobe\Adobe Inc\AadobeRead"
...
@start "ogbsdretur" /normal /b /d "%APPDATA%\Adobe\Adobe Inc\AadobeRead" "%APPDATA%\Adobe\Adobe Inc\AadobeRead\abd02.bat"
@cls

Analizując działanie Separ wywnioskowaliśmy, że tylko jedna nieuwaga może narazić na infekcję Separem.

Pamiętajmy, że jest to wirus bardzo ciężki do wykrycia. Długo nie będzie wiedzieć, że go macie. No, bo niby jak. Antywirus nie zauważy jego obecności. Wasze komputery nie spowolnią działania i funkcjonowania. Nie pojawi się także żaden okup z Bronisławem Komorowskim ani inną znaną osobistością w tle. Separ jest bardzo lapidarny, ale w całkowicie naturalnie unika sytuacji, w których daje jednoznacznie do zrozumienia, że maszyna została zainfekowana. Taki był zamysł przy tworzeniu tego wirusa i jak widać, świetnie się to sprawdza. Nie jest to bowiem zagrożenie, które ma pokazać, jacy twórcy są świetni, bo udało im się do was włamać. Ten wirus zastawiony jest na cel, jaki mu ustawiono, czyli kradzież danych.

wirus, malware, separ

Wcale nie zdziwi nas, jeżeli infekcji jest więcej, niż podaje licznik.

Wiele osób może jeszcze o tym przecież nie wiedzieć. Co więcej, wirus ten dalej ma się bardzo dobrze i dalej roznosi się po sieci. Nikt nie powiedział, że sieć została z niego wyleczona albo że jakiś antywirus nauczył się go wykrywać. Nie jest zatem dobrze. Może się więc okazać, że w ciągu najbliższych tygodni zanotowanych przypadków infekcji będzie o wiele więcej. Śmieszy mnie jednak, że userzy dalej nabierają się na fałszywe maile — myślałem, że ta metoda już dawno jest nieskuteczna, bo wszyscy już wiedzą, że w takich mailach są wirusy. Jak się okazuje, niestety miałem zbyt wysokie mniemanie o użytkownikach i dalej są nieodpowiedzialni i nieogarnięci. Żadna kampania nie pomaga i pewnie nawet wśród tych, co przeczytają ten artykuł, znajdą się tacy, co będą dalej klikać w lewe maile, a później będzie płacz i zgrzytanie zębów.

PJ
Przemek jest mózgiem operacyjnym SpeedTest.pl. Studiował na Politechnice Wrocławskiej elektronikę i telekomunikację. Zarządza projektami IT, relacjami z klientami oraz nadzoruje procesy rozwoju. Prywatnie zaangażowany w rodzinę, wsparcie różnych działalności charytatywnych i projekty ekstremalne.