Počítačová havěť - vývoj a rozdělení malware
12.2.2009, Michal Koláček, článek
Veřejné komunikační kanály (počítačové sítě a zejména Internet) poskytují úrodnou půdu pro zákeřné programy, jež můžeme označit za malware. Nejstarším fenoménem jsou počítačové viry, s nimiž se setkal snad každý. Jedná se o škodlivý software různých podob.
Kapitoly článku:
- Počítačová havěť - vývoj a rozdělení malware
- Historický vývoj počítačových virů
- Rozdělení malware - 1. část
- Rozdělení malware - 2. část
Vzpomenout bychom měli incident jménem "AIDS Information - Introductory Diskette Version 2.0". V prosinci 1989 bylo s tímto označením vytvořeno na 20 000 kopií disket s fiktivním úmyslem informovat o této nevyléčitelné nemoci. Ve skutečnosti šlo o trojského koně, který po spuštění zakódoval data na pevném disku, nastavil soubory pomocí atributů jako neviditelné a zobrazil požadavek na zaplacení 189 dolárů za klíč pro dekódování. Tehdejší tvůrce se podařilo vypátrat, byli zatčeni a následně i odsouzeni.
- Virus Tequila -
Dostáváme se do devadesátých let, kde světlo světa spatřují polymorfní viry, jež měnily svůj obsah tak, aby nemohly být detekovány antivirovými programy. K tomu si připočtěme také techniku "stealth" nebo-li utajení a multiparitní viry (dokáží napadnout mimo jiné i systémovou oblast disku). Zde spatřujeme vývoj v oblasti nových způsobů detekce a prevence, osvědčené postupy podle vyhledávání řetezců znaků nebyly účinné. Mezi zástupce výše uvedených forem řadíme kousky jako Tequila (navíc napadal soubory i boot sektory), Chameleon, Frodo, Whale, Amoeba, Dir_II etc. Velká část této produkce vznikala na území Bulharska.
- NOP Virus Creator v1.666 -
Aby toho nebylo málo, v roce 1992 se objevují první programy na vytváření vlastních virů - generátory a konstruktory. Stačilo jen nastavit vybrané parametry (způsob šíření/projevu atp.) a vygenerovat obsah. Za oblíbené nástroje jsou považovány MtE (základ polymorfních virů), DAME (bulharský Dark Avenger Mutation Engine), VCL (Virus Creation Laboratory s jednoduchým uživatelským rozhraním) a PS-MPC. Mimo to se objevily další hrozby jako Michelangelo alias March6, jenž byl silně zmedializován, a údajně první vir pro operační systém typu Windows - Win.Vir_1_4.
- SaTaNiC BRaiN virus tools -
Mezi další antivirové programy se v letech 1993 zařadil Microsoft Anti-Virus, jenž vycházel z konkurenčního produktu Central Point AntiVirus (CPAV). CP následně zaniká a nastupuje korporace Symantec. V oblasti virů cituje literatura především PMBS (pracoval v chráněném režimu procesorů Intel 80386), Strange (propracovaná forma stealth), Emmie, Metallica, Bomber, Uruguay, Cruncher aj. Poslední pětice s sebou přinesla nové a zásadní techniky ukrytí sebe sama v infikovaných souborech. Následující čas získávájí na popularitě optické CD disky, celosvětová síť Internet a zejména operační systémy Windows 3.x později verze 95 s formátem výkonných programů Portable Executable a aplikačním rozhraním Win32 API.
- Tehdejší podoba produktu PC Tools od CP -
Mezi extrémní hrozby těchto let řadíme polymorfní infekce SMEG.Pathogen a SMEG.Queeg, Shifter napadající objektové moduly (*.OBJ), Phantom1, ScrVir zaměřený na zdrojové kódy jazyků Pascal,C a konečně legenda OneHalf. Tento silně polymorfní a multiparitní virus původem ze Slovenska nedokázala řada tehdejších antivirů stoprocentně detekovat. Jeho speciální algoritmus byl rozdělen na několik navzájem propojených částí rozesetých v infikovaném hostiteli. Projevoval se šifrováním obsahu pevného disku podle určitého klíče. Neodborné odstranění znamenalo ztrátu těchto dat.
- Virus Phantom -
Jak jsme již naznačili, s uvedením Windows 95 obliba tohoto systému strmě vzrůstala. Na povrch pronikly informace, že je to možný konec pro počítačové viry. O to komičtější byla skutečnost, když se beta verze tohoto OS distribuovala na disketách společně s boot virem. Velmi známým makrovirem po celém světě byl Concept - jeho specializací byly dokumenty aplikace Microsoft Word. Podobně na tom byl Laroux, jenž se zaměřoval na Microsoft Excel. Definitivní tečku nad úvahou o konci řádění počítačové havěti udělal virus Boza (první svého druhu pro OS Windows 95) a Zhengxi.
- Virus Boza od australské skupiny VLAD -
Dostáváme se na přelom roku 1996-97, kdy se sluší zmínit novinku v podobě rezidentního slídila Win95.Punch. Přežíval jako VxD ovladač v paměti a napadal *.EXE soubory. Neustále narůstal počet záškodníků pro uvedené kancelářské aplikace (ShareFun), ušetřen nezůstal ani Linux (Linux.Bliss). Nastal také čas zrození tzv. mIRC červů. Virové útoky neustále pokračovaly, objevovalo se mnoho trojských koní k obstarání přístupu na veřejné komunikační kanály a infikována byly stále častěji i optická média CD.
- Jedna z verzí viru Concept v programovém prostředí Microsoft Word -
Vývoj tedy stále pokračoval, a tak byly v roce 1998 k vidění první souborové polymorfní 32bitové viry - Win95.HPS a Win95.Marburg. Nutno podotknout, že pro vývojáře antivirových produktů to bylo něco nepředstavitelného, okamžitě se totiž museli přizpůsobit novým podmínkám. Doslova fenoménem se stal Win95.CIH, později známý jako Černobyl/Chernobyl. Vytvořil ho taiwanský programátor Chen Ing Hau a poprvé byl detekován v červnu téhož roku.
- Autor Win95.CIH Chen Ing Hau (vpravo) -
Do světa se dostal v několika vezích (1.2, 1.3, 1.4 aj.) a mnoho počítačů proměnil v hromadu "nepotřebného" železa. Používal techniku napadání volného místa v souborech, a tím obcházel kontrolu délky znaků. Po vniknutí do systémové paměti hlídal služby souborového systému a postupně napadal *.EXE soubory. Každého 26. dubna se pokusil o smazání/přepsání prvních 1 024 sektorů na pevném disku a navíc přepsání údajů v BIOSu základní desky.
- Praktická ukázka e-mailové hrozby ILOVEYOU -
V dalších letech dochází k rozvoji virů napadající HTML a VBScripty (VBS.Rabbit nebo HTML.Internal) a šířící se pomocí elektornické pošty. Příkladem za všechny jsou Happy99, W97M.Marker nebo W97M.Melissa. V pozdějších letech se do historie zapsaly také e-mailové červy typu ILOVEYOU, VBS.SST@mm (znám jako Anna Kournikova) nebo W32.Mydoom.A@mm. Jistě nesmíme zapomenout ani na kousek W32.Blaster, jenž využíval softwarové chyby v systémech Windows 2000/XP. Rychlost a hlavně rozsah jeho rozšíření byl neuvěřitelný!
- Možná příčina viru W32.Blaster -
Naší snahou nebylo uvést všechny škodlivé programy, ale pouze sumarizovat jejich postupný rozvoj. V jednom z minulých článků jsme poukázali na fakt, že vývoj nelze zastavit. Tohle tvrzení se týká i oblasti počítačové havěti. Šíření pomocí elektornické pošty stále pokračuje, procesy replikace jsou stále dokonalejší, dochází k masovému šíření spamu, spywaru, adwaru ve spojení s trojskými koni etc. Na ústupu je myšlenka primárního poškození, stále častěji jde útočníkům o ovládnutí cílového subjektu.
Atraktivním zbožím jsou nejrůznější hesla a přístupy, čísla kreditních karet atp. Velkou kapitolou jsou hromadné útoky (DDoS - Distributed Denial of Service) na vybrané URL adresy. Jedno je tak jisté, antivirové programy jsou a budou vždy o krok pozadu. Ze stran uživatelů se klade důraz zejména na prevenci a dodržování základních bezpečnostních pravidel. V další kapitole nahlédneme na jednotlivé současné fromy malwaru.
- Virus Tequila -
Dostáváme se do devadesátých let, kde světlo světa spatřují polymorfní viry, jež měnily svůj obsah tak, aby nemohly být detekovány antivirovými programy. K tomu si připočtěme také techniku "stealth" nebo-li utajení a multiparitní viry (dokáží napadnout mimo jiné i systémovou oblast disku). Zde spatřujeme vývoj v oblasti nových způsobů detekce a prevence, osvědčené postupy podle vyhledávání řetezců znaků nebyly účinné. Mezi zástupce výše uvedených forem řadíme kousky jako Tequila (navíc napadal soubory i boot sektory), Chameleon, Frodo, Whale, Amoeba, Dir_II etc. Velká část této produkce vznikala na území Bulharska.
- NOP Virus Creator v1.666 -
Aby toho nebylo málo, v roce 1992 se objevují první programy na vytváření vlastních virů - generátory a konstruktory. Stačilo jen nastavit vybrané parametry (způsob šíření/projevu atp.) a vygenerovat obsah. Za oblíbené nástroje jsou považovány MtE (základ polymorfních virů), DAME (bulharský Dark Avenger Mutation Engine), VCL (Virus Creation Laboratory s jednoduchým uživatelským rozhraním) a PS-MPC. Mimo to se objevily další hrozby jako Michelangelo alias March6, jenž byl silně zmedializován, a údajně první vir pro operační systém typu Windows - Win.Vir_1_4.
- SaTaNiC BRaiN virus tools -
Mezi další antivirové programy se v letech 1993 zařadil Microsoft Anti-Virus, jenž vycházel z konkurenčního produktu Central Point AntiVirus (CPAV). CP následně zaniká a nastupuje korporace Symantec. V oblasti virů cituje literatura především PMBS (pracoval v chráněném režimu procesorů Intel 80386), Strange (propracovaná forma stealth), Emmie, Metallica, Bomber, Uruguay, Cruncher aj. Poslední pětice s sebou přinesla nové a zásadní techniky ukrytí sebe sama v infikovaných souborech. Následující čas získávájí na popularitě optické CD disky, celosvětová síť Internet a zejména operační systémy Windows 3.x později verze 95 s formátem výkonných programů Portable Executable a aplikačním rozhraním Win32 API.
- Tehdejší podoba produktu PC Tools od CP -
Mezi extrémní hrozby těchto let řadíme polymorfní infekce SMEG.Pathogen a SMEG.Queeg, Shifter napadající objektové moduly (*.OBJ), Phantom1, ScrVir zaměřený na zdrojové kódy jazyků Pascal,C a konečně legenda OneHalf. Tento silně polymorfní a multiparitní virus původem ze Slovenska nedokázala řada tehdejších antivirů stoprocentně detekovat. Jeho speciální algoritmus byl rozdělen na několik navzájem propojených částí rozesetých v infikovaném hostiteli. Projevoval se šifrováním obsahu pevného disku podle určitého klíče. Neodborné odstranění znamenalo ztrátu těchto dat.
- Virus Phantom -
Jak jsme již naznačili, s uvedením Windows 95 obliba tohoto systému strmě vzrůstala. Na povrch pronikly informace, že je to možný konec pro počítačové viry. O to komičtější byla skutečnost, když se beta verze tohoto OS distribuovala na disketách společně s boot virem. Velmi známým makrovirem po celém světě byl Concept - jeho specializací byly dokumenty aplikace Microsoft Word. Podobně na tom byl Laroux, jenž se zaměřoval na Microsoft Excel. Definitivní tečku nad úvahou o konci řádění počítačové havěti udělal virus Boza (první svého druhu pro OS Windows 95) a Zhengxi.
- Virus Boza od australské skupiny VLAD -
Dostáváme se na přelom roku 1996-97, kdy se sluší zmínit novinku v podobě rezidentního slídila Win95.Punch. Přežíval jako VxD ovladač v paměti a napadal *.EXE soubory. Neustále narůstal počet záškodníků pro uvedené kancelářské aplikace (ShareFun), ušetřen nezůstal ani Linux (Linux.Bliss). Nastal také čas zrození tzv. mIRC červů. Virové útoky neustále pokračovaly, objevovalo se mnoho trojských koní k obstarání přístupu na veřejné komunikační kanály a infikována byly stále častěji i optická média CD.
- Jedna z verzí viru Concept v programovém prostředí Microsoft Word -
Vývoj tedy stále pokračoval, a tak byly v roce 1998 k vidění první souborové polymorfní 32bitové viry - Win95.HPS a Win95.Marburg. Nutno podotknout, že pro vývojáře antivirových produktů to bylo něco nepředstavitelného, okamžitě se totiž museli přizpůsobit novým podmínkám. Doslova fenoménem se stal Win95.CIH, později známý jako Černobyl/Chernobyl. Vytvořil ho taiwanský programátor Chen Ing Hau a poprvé byl detekován v červnu téhož roku.
- Autor Win95.CIH Chen Ing Hau (vpravo) -
Do světa se dostal v několika vezích (1.2, 1.3, 1.4 aj.) a mnoho počítačů proměnil v hromadu "nepotřebného" železa. Používal techniku napadání volného místa v souborech, a tím obcházel kontrolu délky znaků. Po vniknutí do systémové paměti hlídal služby souborového systému a postupně napadal *.EXE soubory. Každého 26. dubna se pokusil o smazání/přepsání prvních 1 024 sektorů na pevném disku a navíc přepsání údajů v BIOSu základní desky.
- Praktická ukázka e-mailové hrozby ILOVEYOU -
V dalších letech dochází k rozvoji virů napadající HTML a VBScripty (VBS.Rabbit nebo HTML.Internal) a šířící se pomocí elektornické pošty. Příkladem za všechny jsou Happy99, W97M.Marker nebo W97M.Melissa. V pozdějších letech se do historie zapsaly také e-mailové červy typu ILOVEYOU, VBS.SST@mm (znám jako Anna Kournikova) nebo W32.Mydoom.A@mm. Jistě nesmíme zapomenout ani na kousek W32.Blaster, jenž využíval softwarové chyby v systémech Windows 2000/XP. Rychlost a hlavně rozsah jeho rozšíření byl neuvěřitelný!
- Možná příčina viru W32.Blaster -
Naší snahou nebylo uvést všechny škodlivé programy, ale pouze sumarizovat jejich postupný rozvoj. V jednom z minulých článků jsme poukázali na fakt, že vývoj nelze zastavit. Tohle tvrzení se týká i oblasti počítačové havěti. Šíření pomocí elektornické pošty stále pokračuje, procesy replikace jsou stále dokonalejší, dochází k masovému šíření spamu, spywaru, adwaru ve spojení s trojskými koni etc. Na ústupu je myšlenka primárního poškození, stále častěji jde útočníkům o ovládnutí cílového subjektu.
Atraktivním zbožím jsou nejrůznější hesla a přístupy, čísla kreditních karet atp. Velkou kapitolou jsou hromadné útoky (DDoS - Distributed Denial of Service) na vybrané URL adresy. Jedno je tak jisté, antivirové programy jsou a budou vždy o krok pozadu. Ze stran uživatelů se klade důraz zejména na prevenci a dodržování základních bezpečnostních pravidel. V další kapitole nahlédneme na jednotlivé současné fromy malwaru.
