Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Prawdziwych wirusów już nie ma…
Główną motywacją wszystkich działań dzisiejszych twórców złośliwego oprogramowania jest chęć zysku. Kiedyś było jednak zupełnie inaczej. Zapraszam w retrospektywną podróż do świata nieco zapomnianych już, prawdziwych wirusów komputerowych.
W czasach gdy powstawały pierwsze wirusy i robaki internetowe nie było jeszcze zorganizowanej przestępczości komputerowej, a większość z nich była zupełnie pozbawiona jakichkolwiek złośliwych funkcji.
Tego typu oprogramowanie było raczej manifestem oraz wyrazem kreatywności swych twórców, a tylko w nielicznych przypadkach było zdolne do wyrządzenia (często niezamierzonych) szkód na zainfekowanych systemach. Spójrzmy na kilka bardzo interesujących przykładów z dawnych lat.
Sztuka dla sztuki?
Z klasycznych wirusów przeznaczonych dla systemu DOS warto wspomnieć Green Caterpillar, którego dokładne pochodzenie jest do dziś nieznane. Ten rezydentny wirus infekował pliki .COM oraz .EXE podczas ich uruchomienia i był pozbawiony funkcji destrukcyjnych (poza nieuniknionym zużyciem dodatkowych zasobów). Po trzech miesiącach od pierwszej infekcji wirus ujawniał się na ekranie pod postacią zielonej gąsienicy zjadającej po kolei wszystkie znaki:
Innym przykładem podobnego wirusa jest Virus.DOS.Plane, który poszukiwał w systemie DOS plików .EXE i tworzył własną kopię każdego z nich pod tą samą nazwą, ale z rozszerzeniem .COM. Ponieważ w przypadku wywołania pliku bez określenia rozszerzenia system DOS zawsze jako pierwszy wykona plik .COM użytkownicy korzystając z poszczególnych programów uruchamiali wirusa. Ten z kolei losowo wyświetlał ciekawe graficzne intro w postaci samolotu i spadochroniarza:
W międzyczasie twórcy wirusów dla systemu DOS zaczęli tworzyć prawdziwe dzieła elektronicznej sztuki. Przykładem może tu być chociażby wirus znany jako Virus.DOS.Spanska, który dołączał swój kod do plików .COM i wyświetlał bardzo efektowną jak na swoje czasy wizualizację powierzchni Marsa:
Oczywiście w pionierskich czasach zdarzały się również przypadki wirusów wyposażonych w funkcje destrukcyjne. Nadal nie chodziło jednak o wzbogacenie się kosztem ofiary (tak jak to ma miejsce chociażby w przypadku dzisiejszego oprogramowania typu ransomware), a jedynie sprawienie jej „psikusa”.
Przykładem tego typu wirusa jest Casino DOS Virus, który zmuszał swą ofiarę do osobliwej gry hazardowej, w której stawką były dane zgromadzone na jej dysku twardym:
Wszystkich zainteresowanych tego typu nietypową sztuką wirusową z dawnych czasów zachęcam do odwiedzenia kanału danooct1, na którym zgromadzone zostały dziesiątki podobnych przykładów.
Warto jeszcze wspomnieć, że zanim klasyczne wirusy ustąpiły miejsca swym nastawionym na czerpanie zysku następcom, ich twórcy eksperymentowali z coraz to bardziej złośliwymi funkcjami.
Jednym z najsłynniejszych przykładów wirusów zdolnych do całkowitego unieruchomienia zainfekowanego komputera po dziś dzień pozostaje Win9x.CIH znany powszechnie jako „Czarnobyl”.
Jak sama nazwa wskazuje, wirus ten był przeznaczony dla systemów Windows 9.x, a jego ponura sława wywodzi się przede wszystkim stąd, że jedną z jego funkcji było nadpisanie części systemu BIOS. W efekcie uruchomienie zainfekowanego komputera przestawało być możliwe:
Era robaków
Wkrótce po pojawieniu się pierwszych wirusów zaczęły również pojawiać się robaki komputerowe. Główną różnicą między wirusem a robakiem jest to, że typowy wirus potrzebuje nosiciela (zwykle jakiegoś pliku wykonywalnego), natomiast robak sam aktywnie poszukuje kolejnych ofiar.
Robaki są przede wszystkim bardziej samowystarczalne, rozprzestrzeniają się za pośrednictwem sieci komputerowych poprzez wykorzystanie znanych luk w systemach lub oprogramowaniu użytkowym. Często wykorzystują też metody socjotechniczne.
Jednym z pierwszych robaków grasujących z dużym powodzeniem na wolności był słynny Morris Worm. Jego twórcą jest Robert Tappan Morris, obecnie profesor Instytutu Technologicznego w Massachusetts (słynnego „MIT”).
Podobnie do pierwszych wirusów, założenia twórcy pierwszego robaka były całkiem niewinne. Program powstał by pokazać słabości zabezpieczeń ówczesnych systemów BSD w wersjach 4.2 oraz 4.3, autor wspominał również o zamiarze oszacowania rozmiarów ówczesnego Internetu.
Robak korzystał ze znanych podatności w sendmailu, fingerd oraz rsh. Morris Worm był również w stanie wykorzystać słabe hasła użytkowników poszczególnych systemów.
Morris zjadał niewiele zasobów systemowych i nie wykonywał jakichkolwiek złośliwych akcji. Był również wyposażony w mechanizm zabezpieczający przed ponownym infekowaniem już zarażonych systemów, tak by nie powodować nadmiernego zużycia zasobów.
Niestety, w wyniku błędów w tej procedurze, zabezpieczenia nie zadziałały zgodnie z intencją autora i już w kilka godzin po wpuszczeniu kodu do globalnej sieci około 6 tys. komputerów (było to 10 % ówczesnego Internetu!) przestało być dostępnych w wyniku całkowitego wyczerpania zasobów.
Fascynujące świadectwo heroicznej walki z Morris Wormem stanowi ten raport przygotowany przez pracowników jednego z ośrodków badawczych NASA, którzy aby skutecznie zwalczyć zagrożenie musieli na kilka dni odłączyć własne systemy od Internetu.
Warto również przytoczyć ciekawostkę w postaci telewizyjnego reportażu z tamtych czasów. W 1988 roku media nad wyraz dramatycznie relacjonowały tego typu zdarzenia (warto zwrócić uwagę na wstawki pochodzące z ówczesnych gier komputerowych oraz filmów fabularnych ;).
Prawdziwych wirusów już nie ma
Dziś przychodzi nam żyć w czasach o wiele mniej interesujących. Współczesny malware nie wyświetla już spektakularnych lub zabawnych animacji, a chce jedynie wykraść nasze pieniądze, dane lub moc obliczeniową naszego systemu.
Prawdziwe dzieła sztuki wirusowej odeszły w niepamięć wraz z pojawieniem się zorganizowanych grup przestępców internetowych. Coraz bardziej niebezpieczny malware spowodował gwałtowny rozwój technologii antywirusowych, bez których obecnie najczęściej nie jesteśmy w stanie w ogóle zauważyć infekcji…
Warto jednak pamiętać, że świat komputerowych wirusów niegdyś wyglądał zupełnie inaczej.
– Wojciech Smol, (wojciech.smol<at>sekurak.pl)
Pamiętam jak za dawnych dosowych czasów odpalałem MkS_VIRa i oglądałem demonstrację działania części graficznej wirusów. To były czasy :)
Tak, kiedyś w ogóle w programach antywirusowych często można było znaleźć interesujące zintegrowane „encyklopedie” wirusów :).
Ale dawniej żaden software nie mógł fizycznie zniszczyć hardware. A teraz padają płyty główne, palą się twardziele, padają nagrywarki. Dawniej na dysku twardym mogły powstać najwyżej błędy logiczne. Teraz malware przeora BIOS i sprzęt staje się bezużteczny. WinCih to już historia, sprawy poszły naprzód.
joker,
Chyba jak w każdej dziedzinie, jakość wykonania wszystkiego mocno spadła…
Pamiętam jak kiedyś uczyłem się asemblera na podstawie książki „Jak pisać wirusy”.
Nawet napisałem prostego wirusa, który wyszukiwał i infekował pliki *.com i *.exe – jednak nigdy go nie wypuściłem na świat :)
To były czasy… kiedyś wirusów było tak mało, że przez wiele lat korzystało się z komputera bez zainstalowanego antywirusa. Teraz zainstalowany antywirus + regularne dodatkowe skanowania kilkoma skanerami, a mimo to i tak wchodząc na zawirusowaną stronę można złapać syfa.
Aż łezka się w oku kręci. Bardzo dobry artykuł. Pozdrawiam
@soal, to jedna z najciekawszych i najlepszych Polskich książek na ten temat. Oprócz samych wirusów, bardzo dobrze opisywała wnętrzności DOS-a i inne aspekty programowania. Świetna książka mimo, iż trochę zakurzona ciągle mam ją na półce i trzymam dla dzieci.
Swoją drogą, kiedyś wirusy napisane w assemblerze to były perełki – malutkie, przemyślane itp. Dzisiaj coraz częściej „wirus” to cała aplikacja rozmiarów pakietu biurowego.
No i na koniec pozostają motywy, dla których tworzy(ło) się wirusy. Kiedyś hobby, zabawa i chęć uznania. Dzisiaj kasa, kasa, kasa…
Panowie, zauważcie też, że kiedyś nie logowaliście się na swoje konto bankowe w domu, nie korzystaliście z PayPala, a wasze komputery posiadały moc obliczeniową dzisiejszych budzików. Wtedy nie było czego kraść :) Gdyby internet zgodnie z założeniami IBMu nie rozwinął się do dzisiejszej formy, dalej mielibyśmy świat z wirusami tworzonymi z czystego trollingu.
Poza tym, chce zauważyć, że nie ma na świecie oprócz pracowników wywiadów i wojska, prawdziwie zorganizowanych grup hackerskich. Każdy informatyk to egoista, działa sam. Chyba, że są to anonimki, które deface’ują strony bo mają illuministyczne treści. Czemu? Bo gdyby istniała taka świetnie zorganizowana grupa podzielona na dwie sekcje 1. zajmująca się szukaniem luk i exploitów 2. pisaniem wirusów/robaków – to z przykrością stwierdzam, że antyvirusy przestały by być jakkolwiek skuteczne.
Czemu? Bo możliwości przenoszenia robaka, są miliony. Przykład? Wystarczy znaleźć dwie luki – 1. pozwalająca na przesyłanie wirusa przez kabel do telefonu np. przez KIESa 2. pozwalająca na nieautoryzowane przesłanie plików bluetoothem/WiFi/czymkolwiek, w mgnieniu oka zarażasz dziesiątki milionów telefonów działających na systemie androida firmy Samsung. Co potem? Z każdego telefonu wysyłasz jednego płatnego smsa „McHelp” na numer fundacji Ronalda McDonalda i setki tysięcy hamburgerów leci do Afryki – gratulację! Wygrałeś z głodem!
Dodatkowo, obecnie wszystkie firmy tworzące antyvirusy, szczycą się ochroną proaktywną, piaskownicami, chmurami i innymi badziewiami. Jak to powiedział kiedyś Michał Wójcik „chłyyyt małketingowy”. Te firmy zatrudniają setki osób, aby analizowały pojawiające się w sieci pliki, które trafiają do baz danych. Tworzy się schematy budowy, używane funkcje, części itd. a informacje te, lądują w programach antyvirusowych. Nie dajcie się zwieźć. Nie ma czegoś takiego jak inteligentny program, który wykryje zagrożenie sam i sam je unieszkodliwi. Żaden program antyvirusowy nie wykryje nowo powstałego virusa. Dodatkowo, przykład flame’a udowodnił, że można stworzyć coś, czego usunąć się po prostu nie da, a wykryli go dopiero po kilku latach działalności.
Na koniec jeden z moich ulubionych cytatów:
„Najlepsza ochrona przed wszelkiej maści wirusami to instalacja Linuxa” :)
AV dawno temu przestały być skuteczne w jakikolwiek sposób. Od kilku lat nie spotkałem infekcji którą dało by się usunąć tradycyjnym oprogramowaniem, już nie wspominając o wykryciu jej.
józek, najlepszą obroną jest atak :-)
Warto mysle tez wspomniec o polskim „kaczor4444”.. wszyscy to mieli nie szlo sie cholerstwa pozbyc bo zaraz od kogos na dyskietkach z powrotem sie przynosilo.
Ale są i zalety.
Kiedyś usunięcie wirusa wymagało odpowiedniego oprogramowania a i to nie zawsze ratowało dane.
Teraz wystarcza tryb awaryjny o ile w ogóle trzeba aż tak szaleć.
No i jak ktoś teraz potrzebuje antywirusa i dużo dodatkowych skanerów (post adam01) to może niech zmieni przeglądarkę i znajdzie sobie dziewczynę. Zdrowiej i prościej.
Wirus wykryty podczas wczytywania zawartości strony sieci Web.
Adres: http://sekurak.pl/wp-content/plugins/google-analyticator/external-tracking.min.js?ver=6.4.9
Status: Odmowa dostępu.
Brawo dla twórców strony o bezpieczeństwie, szwendam się po różnych stronach, ale to jest pierwsza od dawna, na której antywirus wykrył wirusa… :P
http://sekurak.pl/w-jaki-sposob-dzialaja-programy-antywirusowe/
Jaki antywirus?
Reverse 948 to moje dzieło szkoda że kodu już nie mam