Security labs
Historia wirusów

Historia wirusów komputerowych

Niedawno minęła dwudziesta rocznica pierwszego oficjalnie zaprezentowanego wirusa komputerowego. Poniżej przedstawiamy kamienie milowe rozwoju wirusów, robaków oraz trojanów.

1949

Teoretyczne rozważania na temat możliwości istnienia groźnych algorytmów sięgają roku 1949. John von Neumann (1903-1957) sformuował teorię samoreprodukujących się automatów. W tamtych czasach wprowadzenie podobnej teorii w życie było nie do pomyślnenia.

Lata 70-te

Podczas Core Wars napisane w Redcode programy zwalczają się nawzajem. Walczą o przeżycie w obszarze pamięci. Tak zwane Impsy zawieszają się w pamięci i kasują na chybił trafił zapisy adresowe. Niektóre z wersji potrafią same się kopiować. Takie były początki wirusów komputerowych.

1981

Profesor Leonard M. Adleman używa w rozmowie z Fredem Cohenem po raz pierwszy określenia wirus komputerowy.

1982

Pierwsze wirusy na komputerach Apple II są wymieniane za pośrednictwem dyskietki w wąskim gronie użytkowników. Z powodu błędu wirus prowadzi do zawieszania się programów. Błąd ten zostaje usunięty w wersji późniejszej.
Wirus Elk Cloner nęka użytkowników jako pierwszy.
Wirus dotyka użytkowników Apple / DOS 3.3 skaczącymi liniami, odwróconym i nieprawidłowym obrazem oraz odgłosem stukania. On również rozprzestrzenia się standardowo – poprzez dyskietki.

1983

W listopadzie podczas seminarium Fred Cohen, po raz pierwszy, prezentuje koncepcję wirusa. Do zaimplementowania pierwszego funkcjonującego wirusa w systemie UNIX potrzebuje tylko 8 godzin. Po czym w ciągu kilku minut uzyskuje pełne prawo dostępu do plików na wszystkich komputerach.

1984

Fred Cohen publikuje pierwszy artykuł o eksperymentach z wirusami komputerowymi, który staje się częścią jego pracy doktorskiej, opublikowanej w 1986 pt. Computer Viruses – Theory and Experiments. Definicja wirusa Freda Cohena, raczej matematycznie ukierunkowana, jest ciągle uznawana, przy czym nie rodzi tak negatywnych skojarzeń i emocji, jakie wirusy mają dzisiaj.

1985

Kolejne wirusy nie pozwoliły na siebie za długo czekać. Często są to tylko żartobliwe programy, które naprzykrzają się użytkownikom komputerów. Tak naprawdę złośliwy okazał się dopiero trojan Gotcha. Po wystartowaniu programu, który miał umożliwiać przedstawianie grafiki, usuwane zostają pliki zapisane na twardym dysku, a na monitorze ukazuje się napis Arf, arf, Gotcha.
Polski półświatek hackerów również zajmuje się wirusami. Jednakże ciągle jeszcze nie docenia się zagrożenia jakie niosą ze sobą wirusy komputerowe.

1986

Bracia Basit i Amjad Farooq Alvi prowadzą mały sklep komputerowy o nazwie Brain Computer Services w Lahore, w Pakistanie. Aby karać za nielegalne kopiowanie swoich programów, tworzą pierwszy wirus sektora bootowania systemu DOS. Wirus ten rozprzestrzenia się jak epidemia poprzez pakistańskich studentów na uczelniach wyższych w USA. Program ten jest stosunkowo niegroźny, gdyż jedynie zmienia nazwę spisu treści zainfekowanych dyskietek na słowo Brain (mózg).
John McAfee, i wielu innych specjalistów komputerowych, zakłada pierwsze firmy zajmujące się pisaniem programów antywirusowych.

1987

Coraz częściej pojawiają się teraz wirusy, które zarażają pliki (na razie ciągle jeszcze tylko pliki z rozszerzeniem .com).
Opinii publicznej daje się poznać wirus Lehigh. Zaraża on plik command.com, a po utworzeniu 4 kopii na dyskietkach usuwa dane na wszystkich znajdujących się w komputerze nośnikach pamięci. Taka radykalna akcja prowadzi do jego szybkiej zagłady. W związku z wirusem Lehigh powstaje lista mailingowa VIRUS-L/comp.virus i grupa dyskusyjna, która staje się z czasem najważniejszym źródłem informacji w walce przeciwko wirusom.
Organizują się zarówno autorzy wirusów, jak i antywirusowi specjaliści. Powstają pierwsze programy antywirusowe.

1988

MacMag jest pierwszym wirusem komputerów Macintosh i oferuje całą gammę innowacji. Jest to pierwszy wirus, który powstał na zamówienie (redaktora naczelnego magazynu MacMag). Jako pierwszy zaraża pliki danych (w tym przypadku pliki HyperStack), aby się powielać. Poza meldunkiem nie posiada jednak żadnej szkodliwej funkcji.

W piątek 13-go maja w Jerozolimie, po raz pierwszy wybucha logiczna bomba (w tym przypadku bomba czasowa). Tym samym powstaje nowa odmiana wirusów. Kod wirusa zawiera błąd, przez co zaraża ciągle ten sam plik i dość łatwo go rozpoznać. Mechanizm rozprzestrzeniania się jest podobny do Lehigh, lecz o wiele bardziej efektywny, ponieważ infekuje nie tylko pliki .com lecz również .exe.

1989

DataCrime powoduje kolejne wielkie zamieszanie w mediach. Wraz z Vienna (V2Px) autorstwa Marka Washburna pojawiają się pierwsze wirusy polimorficzne. Wirus ten szyfruje się sam zmiennymi kluczami i zmienia również formę rutyny dekodującej. Mogą go wykryć jedynie programy antywirusowe o kompleksowym algorytmie, które mają, niestety, skłonności do fałszywych alarmów. Problem ten jest powodem upadku wielu producentów oprogramowania antywirusowego.

1990

Hodowanie wirusów stało się modne. W biuletynie VX (Virus Exchange) wymieniane są stare oraz coraz to nowsze wirusy.
4096 Bytes to rozmiar wirusa o tej samej nazwie, który ukazał się w styczniu. Doczepia się on do otwartych oraz wykonywalnych plików. Mechanizm, który próbuje to ukryć prowadzi często do tego, że zarażone pliki zostają zniszczone.
Próba edytowania wiadomości Frodo Lives prowadzi do zawieszania i wyłączania się systemu.

1991

Michał Anioł jest pierwszym wirusem bootsektorowym, który 6. marca – w dniu urodzin Michała Anioła – zapisuje pierwsze 256 sektorów nośnika pamięci. Po takim działaniu komputer staje się praktycznie bezużyteczny. W roku następnym media szeroko nagłaśniają sposób działania i potencjalne szkody jakie może wyrządzić Michał Anioł, co przyczynia się od ograniczenia liczby infekcji i destrukcyjnego działania. Michał Anioł jest jednak jeszcze aktywny przez długie lata.

1992

Komputery typu Commodore, Amiga oraz Atari ST tracą na znaczeniu. MS-DOS zdobywa i rozbudowuje swoją pozycję na rynku. Odpowiednio do tego procesu wzrasta również ilość wirusów DOS-owych. Altair do Atari ST reklamuje się jako program antywirusowy. Likwiduje on wszystkie wirusy jakie znajduje w bootsektorze. Ostatecznie ponosi jednak klęskę, podobnie jak wiele innych programów antywirusowych.

1993

Ukazują się nowe narzędzia do wytwarzania wirusów polimorficznych: Trident Polymorphic Engien (TPE), Nuke Encryption Device (NED) i Dark Angel’s Multiple Encryption (DAME) bazują na MtE. Sygnatury wirusów są nadal używane.
Pojawiają się pierwsze wirusy komputerowe na system Windows.

1994

Pojawiają się pierwsze wirusy wielopartycyjne. Wykorzystują one wiele mechanizmów infekcyjnych i mogą zarażać jednocześnie, oprócz samych plików, również bootsektory, względnie tablice partycji.
Black Baron publikuje Smeg.Pathogen (oraz Smeg.Queen). Smeg.Pathogen ukazuje informację i zapisuje następnie pierwszych 256 sektorów twardego dysku. Doprowadza to w niektórych firmach do znacznych strat finansowych. Rok później autor zostaje skazany na karę więzienia.

1995

DMV i Night Watchman to pierwsze makrowirusy.
Melissa, Loveletter, Sobig itp. ustanawiają coraz to nowe rekordy w prędkości rozprzestrzeniania się.
Hunter.c to pierwszy polimorficzny makrowirus.
Rozpoznanie wirusów makro stawia wysokie wymagania wobec skanerów wirusowych, chociażby z powodu stale zmieniających się formatów języków, w jakich tworzone są skrypty.

1996

Pojawiają się pierwsze makrogeneratory dla niemieckich i angielskich wirusów makro. Wirusy makro nie ograniczają się już tylko do formatu Word, lecz atakują również pliki Excel i AmiPro. Przekraczają również granice poszczególnych systemów operacyjnych i zarażają zarówno komputery typu PC jak i Mac.

1997

Wirusy stają się coraz bardziej wyspecjalizowane i atakują docelowo słabe miejsca w programach, systemach operacyjnych i sprzęcie komputerowym.
Pojawia się pierwszy wirus na system operacyjny Linux.

1998

Strange Brew jest pierwszym wirusem Java.
CIH (Spacefiller, Chernobyl) jest, jak dotąd, jednym z najgroźniejszych wirusów. 26-go każdego miesiąca staje się aktywny i wprowadza zapis we Flash-BIOS oraz tablica partycji twardego dysku. Z tego powodu komputer nie daje się już uruchomić. Na niektórych płytach głównych trzeba wymieniać lub na nowo programować elektroniczne podzespoły BIOS. Ale nawet po uruchomieniu systemu dane ulegają zniszczeniu.
Dr. Solomons został kupiony przez Network Associates. Jak we wcześniejszym przypadku firmy McAfee klienci zaniechali kupowania programu.

1999

W związku z pojawieniem się Back Orifice dyskutuje się nad pytaniem czy jest to program do zdalnego serwisowania czy też zdalnego sterowania komputera. Jako, że funkcje zdalnego serwisowania mogą zostać wykonane bez wiedzy korzystającego, Back Orifice należy uznać za trojana. W połowie roku 2000 przeprowadzającemu atak BO udało się włamać do sieci wewnętrznej firmy Microsoft.

Happy99 tworzy kopię wysłanej poczty elektronicznej każdego z nadawców, a następnie rozsyła ją ponownie z tą samą treścią i tematem, lecz już z robakiem w załączniku. W identyczny sposób odbywa się to w przypadku poczty Usenet.

2000

Palm/Phage oraz Palm/Liberty-A występują co prawda rzadko, ale są w stanie zaatakować urządzenia PDA i PalmOS.
W maju nowy robak rozsyła w sposób lawinowy pocztę elektroniczną z listy kontaktów programu Outlook o temacie I love you (Loveletter) i wyrządza miliardowe szkody w sieciach komputerowych dużych przedsiębiorstw. Od pierwotnej wersji napisanej przez filipińskiego studenta o nazwisku Onel de Guzman wywodzą się liczne warianty tego wirusa. Amerykańscy eksperci mówią o najbardziej złośliwym wirusie w historii komputerów.
Po wirusie Loveletter i jego licznych wariantach na serwerach poczty elektronicznej, zainfekowane wiadomości z określonym tematem są zwalczane po prostu poprzez filtrowanie. Wirus Stages of Life zmienia więc temat wiadomości elektronicznej i w ten sposób pokonuje zastosowane zabezpieczenia.
Pomimo wszelkich zapowiedzi nie pojawił się jednak robak tysiąclecia, który zasłużyłby na ten tytuł.

2001

Code Red wykorzystuje błąd tzw. przepełnienia bufora w Internet Information Server (IIS) Indexing Service DLL programu Windows NT, 2000 oraz XP. Skanuje przypadkowe adresy IP na standardowym porcie połączenia internetowego i instaluje trojana, który między 20 a 27 dniem danego miesiąca przeprowadza atak typu Denial of Service (DoS) przeciwko stronie internetowej Białego Domu. Usunięcie wirusa jest bardzo kosztowne i pochłania miliardy dolarów.

2002

Robak MyParty ukazuje internautom na początku tego roku, że nie wszystko, co się kończy na .com jest stroną internetową. Kto klika na załącznik www.myparty.yahoo.com otrzymuje zamiast oczekiwanej strony internetowej ze zdjęciami – robaka z elementami backdoor.
Lentin jest robakiem, który wykorzystuje fakt niewiedzy wielu ludzi, że pliki .scr nie są jedynie prostymi wygaszaczami ekranu, lecz również plikami wykonywalnymi. W porównaniu z Klezem Lenin jest bardziej szkodliwy i uciążliwy. Nie rozprzestrzenił się jedna k w takim stopniu jak Klez.
W końcu września jak epidemia grasuje wirus Opasoft (zwany również Brazil). Na porcie 137 skanuje on komputer w sieci i sprawdza, czy istnieje możliwość dostępu do plików lub drukarek. Następnie próbuje powielić się w systemie. Jeśli na komputerze istnieje hasło (hasła) dostępu, usiłuje je złamać.
Tanatos zwany również BugBear jest pierwszym robakiem, który od wiosny zdetronizował Kleza. Robak rozprzestrzenia się przez pocztę elektroniczną oraz sieć komputerową, instaluje elementy szpiegowskie (spyware) i przesyła zapisy wszystkich znaków wprowadzanych z klawiatury inwigilowanego komputera.

2003

W styczniu W32/SQL-Slammer godzinami blokuje Internet, wykorzystując lukę serwera SQL firmy Microsoft w celu przesyłania treści baz danych.
Robak masowej poczty elektronicznej Sobig.F za pomocą swego własnego silnika przesyłowego ustanawia nowy rekord prędkości rozprzestrzeniania się. Robi to 10 razy szybciej niż dotychczasowe robaki.

2004

Rugrat to pierwszy wirus 64-bitowego systemu Windows.
Cabir jest pierwszym wirusem telefonów komórkowych wyposażonych w system Symbian z interfejsem Bluetooth. Został stworzony przez Grupę 29A, znaną z wirusów typu Proof-of-Concept. Niewiele później powstaje WinCE4Dust.A – pierwszy wirus dla Windows CE. Zresztą autorstwa tej samej grupy.

2005

Pierwszy robak atakujący aparaty Symbian Smartphone to CommWarrior.A atakujący przez wiadomości MMS. Wysyła wiadomości do wszystkich kontaktów książki adresowej.

2006

Koncern Sony BMG umieszcza na swoich płytach audio-CD mechanizm rootkit zapobiegający kopiowaniu płyt. Rootkity stają się obiektem zainteresowania twórców wirusów i pojawiają się masowo jako składowe złośliwych programów utrudniając ich wykrycie przez oprogramowanie zabezpieczjące.

2007

Oprócz ogromnej ilości ataków przy pomocy mechanizmów phishingowych i pharmingowych pojawiają się botsieci komputerów zombie wysyłające wiadomości masowe.