Seznam kapitol
Veřejné komunikační kanály (počítačové sítě a zejména Internet) poskytují úrodnou půdu pro zákeřné programy, jež můžeme označit za malware. Nejstarším fenoménem jsou počítačové viry, s nimiž se setkal snad každý. Jedná se o škodlivý software různých podob.
Vzpomenout bychom měli incident jménem "
AIDS Information - Introductory Diskette Version 2.0
". V prosinci 1989 bylo s tímto označením vytvořeno na 20 000 kopií disket s fiktivním úmyslem informovat o této nevyléčitelné nemoci. Ve skutečnosti šlo o trojského koně, který po spuštění zakódoval data na pevném disku, nastavil soubory pomocí atributů jako neviditelné a zobrazil požadavek na zaplacení 189 dolárů za klíč pro dekódování. Tehdejší tvůrce se podařilo vypátrat, byli zatčeni a následně i odsouzeni.
- Virus Tequila -
Dostáváme se do devadesátých let, kde světlo světa spatřují
polymorfní
viry, jež měnily svůj obsah tak, aby nemohly být detekovány antivirovými programy. K tomu si připočtěme také techniku "
stealth
" nebo-li utajení
amultiparitní viry
(dokáží napadnout mimo jiné i systémovou oblast disku). Zde spatřujeme vývoj v oblasti nových způsobů detekce a prevence, osvědčené postupy podle vyhledávání řetezců znaků nebyly účinné. Mezi zástupce výše uvedených forem řadíme kousky jako
Tequila
(navíc napadal soubory i boot sektory),
Chameleon
,
Frodo
,
Whale
,
Amoeba
,
Dir_II
etc. Velká část této produkce vznikala na území Bulharska.
- NOP Virus Creator v1.666 -
Aby toho nebylo málo, v roce 1992 se objevují první programy na vytváření vlastních virů -
generátory
a
konstruktory
. Stačilo jen nastavit vybrané parametry (způsob šíření/projevu atp.) a vygenerovat obsah. Za oblíbené nástroje jsou považovány
MtE
(základ polymorfních virů),
DAME
(bulharský Dark Avenger Mutation Engine),
VCL
(Virus Creation Laboratory s jednoduchým uživatelským rozhraním)
a
PS-MPC
. Mimo to se objevily další hrozby jako
Michelangelo
alias March6, jenž byl silně zmedializován, a údajně první vir pro operační systém typu Windows -
Win.Vir_1_4
.
- SaTaNiC BRaiN virus tools -
Mezi další antivirové programy se v letech 1993 zařadil Microsoft Anti-Virus, jenž vycházel z konkurenčního produktu Central Point AntiVirus (CPAV). CP následně zaniká a nastupuje korporace Symantec. V oblasti virů cituje literatura především
PMBS
(pracoval v chráněném režimu procesorů Intel 80386),
Strange
(propracovaná forma stealth),
Emmie
,
Metallica
,
Bomber
,
Uruguay
,
Cruncher
aj. Poslední pětice s sebou přinesla nové a zásadní techniky ukrytí sebe sama v infikovaných souborech. Následující čas získávájí na popularitě optické CD disky, celosvětová síť Internet a zejména operační systémy Windows 3.x později verze 95 s formátem výkonných programů Portable Executable a aplikačním rozhraním Win32 API.
- Tehdejší podoba produktu PC Tools od CP -
Mezi extrémní hrozby těchto let řadíme polymorfní infekce
SMEG.Pathogen
a
SMEG.Queeg
,
Shifter
napadající objektové moduly (*.OBJ),
Phantom1
,
ScrVir
zaměřený na zdrojové kódy jazyků Pascal,C a konečně legenda
OneHalf
. Tento silně polymorfní a multiparitní virus původem ze Slovenska nedokázala řada tehdejších antivirů stoprocentně detekovat. Jeho speciální algoritmus byl rozdělen na několik navzájem propojených částí rozesetých v infikovaném hostiteli. Projevoval se šifrováním obsahu pevného disku podle určitého klíče. Neodborné odstranění znamenalo ztrátu těchto dat.
- Virus Phantom -
Jak jsme již naznačili, s uvedením Windows 95 obliba tohoto systému strmě vzrůstala. Na povrch pronikly informace, že je to možný konec pro počítačové viry. O to komičtější byla skutečnost, když se beta verze tohoto OS distribuovala na disketách společně s boot virem. Velmi známým makrovirem po celém světě byl
Concept
- jeho specializací byly dokumenty aplikace Microsoft Word. Podobně na tom byl
Laroux
, jenž se zaměřoval na Microsoft Excel. Definitivní tečku nad úvahou o konci řádění počítačové havěti udělal virus
Boza
(první svého druhu pro OS Windows 95) a
Zhengxi
.
- Virus Boza od australské skupiny VLAD -
Dostáváme se na přelom roku 1996-97, kdy se sluší zmínit novinku v podobě rezidentního slídila
Win95.Punch
. Přežíval jako VxD ovladač v paměti a napadal *.EXE soubory. Neustále narůstal počet záškodníků pro uvedené kancelářské aplikace (
ShareFun
), ušetřen nezůstal ani Linux (
Linux.Bliss
). Nastal také čas zrození tzv. mIRC červů. Virové útoky neustále pokračovaly, objevovalo se mnoho trojských koní k obstarání přístupu na veřejné komunikační kanály a infikována byly stále častěji i optická média CD.
- Jedna z verzí viru Concept v programovém prostředí Microsoft Word -
Vývoj tedy stále pokračoval, a tak byly v roce 1998 k vidění první souborové polymorfní 32bitové viry -
Win95.HPS
a
Win95.Marburg
. Nutno podotknout, že pro vývojáře antivirových produktů to bylo něco nepředstavitelného, okamžitě se totiž museli přizpůsobit novým podmínkám. Doslova fenoménem se stal
Win95.CIH
, později známý jako Černobyl/Chernobyl. Vytvořil ho taiwanský programátor
C
hen
I
ng
H
au a poprvé byl detekován v červnu téhož roku.
- Autor Win95.CIH Chen Ing Hau (vpravo) -
Do světa se dostal v několika vezích (1.2, 1.3, 1.4 aj.) a mnoho počítačů proměnil v hromadu "nepotřebného" železa. Používal techniku napadání volného místa v souborech, a tím obcházel kontrolu délky znaků. Po vniknutí do systémové paměti hlídal služby souborového systému a postupně napadal *.EXE soubory. Každého 26. dubna se pokusil o smazání/přepsání prvních 1 024 sektorů na pevném disku a navíc přepsání údajů v BIOSu základní desky.
- Praktická ukázka e-mailové hrozby ILOVEYOU -
V dalších letech dochází k rozvoji virů napadající HTML a VBScripty (VBS.Rabbit nebo HTML.Internal) a šířící se pomocí elektornické pošty. Příkladem za všechny jsou
Happy99
,
W97M.Marker
nebo
W97M.Melissa
. V pozdějších letech se do historie zapsaly také e-mailové červy typu
ILOVEYOU
,
VBS.SST@mm
(znám jako Anna Kournikova) nebo
W32.Mydoom.A@mm
. Jistě nesmíme zapomenout ani na kousek
W32.Blaster
, jenž využíval softwarové chyby v systémech Windows 2000/XP. Rychlost a hlavně rozsah jeho rozšíření byl neuvěřitelný!
- Možná příčina viru W32.Blaster -
Naší snahou nebylo uvést všechny škodlivé programy, ale pouze sumarizovat jejich postupný rozvoj. V jednom z minulých článků jsme poukázali na fakt, že vývoj nelze zastavit. Tohle tvrzení se týká i oblasti počítačové havěti. Šíření pomocí elektornické pošty stále pokračuje, procesy replikace jsou stále dokonalejší, dochází k masovému šíření spamu, spywaru, adwaru ve spojení s trojskými koni etc. Na ústupu je myšlenka primárního poškození, stále častěji jde útočníkům o ovládnutí cílového subjektu.
Atraktivním zbožím jsou nejrůznější hesla a přístupy, čísla kreditních karet atp. Velkou kapitolou jsou hromadné útoky (DDoS - Distributed Denial of Service) na vybrané URL adresy. Jedno je tak jisté,
antivirové programy jsou a budou vždy o krok pozadu
. Ze stran uživatelů se klade důraz zejména na prevenci a dodržování základních bezpečnostních pravidel. V další kapitole nahlédneme na jednotlivé současné fromy malwaru.