|
Strona przeznaczona do ogladania w rozdzielczosci 800 x 600.
Historia...wirusów...
Pojęcie "wirus komputerowy" powstało trzy lata po pojawieniu się wirusa Apple. Autorstwo nazwy przypisuje się dr. Fredowi Cohenowi - specjaliście od zabezpieczeń. 3 listopada 1983 r. podczas seminarium na temat bezpieczeństwa Cohen po raz pierwszy przedstawił teoretyczne zasady działania wirusów komputerowych. Kilka dni później, po uzyskaniu zgody uczelni, pokazał pierwszego działającego wirusa komputerowego - efekt swoich eksperymentów. Uruchomiono go na komputerze Vax działającym pod kontrolą systemu Unix. W 1984 r. podczas pracy na Uniwersytecie Południowej Kalifornii Cohen podał definicję wirusa jako "programu, który infekuje inne programy, modyfikując je tak, aby zawierały i wykonywały jego własny kod". Analogia do świata przyrody jest oczywista i bardzo trafna. Kilka lat później powstało pojęcie "robaka" (ang. worm) - programu równie destrukcyjnego co wirus. Lepiej nie kradnij Nowoczesne wirusy nie powstały jednak w Stanach Zjednoczonych. Uprzedzili ich programiści z Pakistanu, który podobnie jak Indie ma niezwykle zdolnych programistów. W 1986 r. dwaj bracia prowadzących małą firmę Brain Computers zajmującą się produkcją oprogramowania analizowali tzw. sektor startowy (boot sektor) dyskietki komputerowej zawierającej system operacyjny MS-DOS. Zawiera on procedurę, której celem jest wprowadzenie do pamięci i uruchomienie systemu operacyjnego. Czynność ta wykonywana jest przy każdym uruchomieniu komputera. Pakistańczycy wpadli na pomysł umieszczenia w sektorze startowym programu, który powielałby się w każdym nowo napotkanym sektorze startowym. W ten sposób wirus Brain (nazwa pochodziła od nazwy firmy) po każdym uruchomieniu komputera przenoszony był do pamięci, po czym nagrywał się w sektorach startowych wszystkich dyskietek wkładanych do stacji dysków. Dzieło Pakistańczyków błyskawicznie rozprzestrzeniło się po całym świecie, zarażając najwięcej komputerów w Stanach Zjednoczonych. Cel, jaki przyświecał twórcom zarówno wirusów Apple i Brain, można by uznać za światły. Ich autorzy chcieli odwieść użytkowników komputerów od powszechnej wówczas praktyki kopiowania oprogramowania. To właśnie dzięki kopiowaniu programów wirusy rozprzestrzeniały się tak szybko.
Po pojawieniu się Brain po raz pierwszy zwrócono uwagę na zagrożenie, jakim są wirusy komputerowe. Powstały pierwsze programy antywirusowe, w firmach wprowadzono po raz pierwszy procedury, których celem była ochrona komputerów przed zarażeniem. Aby je obejść, twórcy wirusów wymyślili zupełnie nowy typ - tzw. konia trojańskiego. Metoda jest prosta i, co ciekawe, do dziś stosowana z doskonałym skutkiem. Autor konia trojańskiego zachęca właściciela komputera, by sam znalazł i uruchomił program zawierający wirusa. Jak to zrobić? Wystarczy umieścić mikroba w popularnym programie, takim, który wiele osób chciało by mieć w swoim komputerze. Na pierwszy rzut oka program jest nieszkodliwy, wręcz pożyteczny, choć w rzeczywistości realizuje zadania postawione mu przez swego autora - pozwala na przykład przejąć kontrolę nad komputerem ofiary.
Po raz pierwszy metodę konia trojańskiego zastosowano, umieszczając wirusa w edytorze tekstów PC-Write. Wczesne wirusy właściwie nie powodowały dużych szkód, a jeżeli już, to dlatego, że często były dziełem pomysłowych, aczkolwiek dość nieudolnych programistów. Tak jest zresztą do dziś - autorzy wirusów często popełniają szkolne błędy, a ich dzieła są w większości wypadków źle napisanymi programami - twierdzi Andre Post z Symanteca. To dlatego szkodliwa działalność komputerowych wirusów często objawia się w sposób przez autora niezamierzony, np. zawieszeniem komputera albo uszkodzeniem struktury plików na dyskietce. W 1987 r. studenci uniwersytetu Leigh zaczęli zgłaszać dość dziwne problemy. Twierdzili, że z ich dyskietek znikały pliki. Na początku informatycy uniwersyteccy bagatelizowali problem, twierdząc, że najprawdopodobniej studenci sami niechcący kasowali pliki. Wkrótce okazało się, że winę ponosił wirus o nazwany później Leigh. Był to pierwszy wirus, który rozprzestrzeniał się nie w sektorach startowych dyskietek, ale infekował pliki komputerowe nagrane na dyskietce. Kod wirusa Leigh dołączał się do pliku command.com (jeden z kluczowych plików MS-DOS) i starał się przenosić na wszystkie inne dyskietki zawierające ten plik. Fakt, że atakował tylko jeden rodzaj pliku, oraz w sumie dość wczesne wykrycie go spowodowało, że Leigh nie wydostał się poza dyskietki i komputery uniwersytetu.
Wkrótce potem powstał wirus o nazwie Jerusalem (zwanym też Israeli), który po raz pierwszy wykryto w komputerach Izraelskiego Ministerstwa Obrony. Uznawany jest za jednego z najbardziej udanych wirusów. Jego autor może być dumny, bo nie tylko udało mu się opracować zupełnie nowy rodzaj wirusa, ale również zachęcić innych do tworzenia jego mutacji. Leigh zarażał tylko jeden plik: command.com, tymczasem Jerusalem atakował wszystkie napotkane pliki programów (z końcówkami .com i .exe). Autor wirusa wykazał się nie lada pomysłowością. Jego kod po uruchomieniu programu, w którym się znajdował, umieszczany był w pamięci komputera, skąd zarażał inne pliki. Dzięki temu wirus prowadził swoją destrukcyjną działalność nawet, jeśli użytkownik przestał używać zarażonego programu. Jerusalem zasłynął również jako pierwszy wirus zawierający tzw. bombę logiczną. Sprawdzał on aktualną datę i jeśli był to 13 dzień miesiąca i piątek, kasował znajdujące się na twardym dysku pliki z programami. Dokładna analiza kodu wirusa pokazała, że pierwszym dniem, w którym miał zadziałać, był 13 maja 1988 r. - 50. rocznica powstania państwa Izrael. Biorąc to pod uwagę, oraz fakt, że wirusem zainfekowano komputery Ministerstwa Obrony Izraela, można przypuścić, że wirusa stworzył programista palestyński.
Początek lat 90. to okres, w którym wybuchła swoista wojna pomiędzy twórcami wirusów a producentami programów antywirusowych. Programy antywirusowe, podobnie jak same wirusy, były stosunkowo proste - ich zadaniem było sprawdzenie, czy w pamięci albo plikach na twardym dysku nie ma specyficznych kodów identycznych z tymi, jakie zawierają wirusy. Zadaniem autorów programów antywirusowych była jak najszybsza analiza kodu wirusa i przygotowanie tzw. sygnatury (charakterystycznych dla wirusa ciągów znaków) oraz szczepionki - programu, który usuwał złoczyńcę. W 1991 r. wszystko uległo zmianie. Amerykański naukowiec Mark Washburn opracował na podstawie znanego wirusa o nazwie Vienna metodę ukrywania kodu programu. Tak powstała idea wirusów polimorficznych, czyli takich, których kod jest zaszyfrowany, a na dodatek każda kolejna kopia różni się od pierwowzoru. Pomysł Washburna oraz kod stworzonego przez niego wirusa były i są nadal dostępne w internecie. Sam autor stworzony przez siebie kod wirusa początkowo udostępnił tylko i wyłącznie autorom programów antywirusowych. Mimo tajemnicy, na pierwszego wirusa polimorficznego nie trzeba było długo czekać. Jeszcze w tym samym 1991 r. komputery na całym świecie zaatakowane zostały przez pochodzącego ze Szwajcarii Tecquille. Na początku lat 90. środowisko twórców udanych wirusów było dość hermetyczne. Autorów rzeczywiście działających i groźnych programów można było policzyć na palcach dwóch rąk. Wielką "zasługę" w rozpowszechnieniu wiedzy o tworzeniu wirusów zawdzięczamy pierwszemu BBS-owi (pierwowzór internetu oparty na komputerach z modemami) o wirusach, który powstał w Bułgarii. Korzystający z niego twórcy wirusów wymieniali się pomysłami i dyskutowali nad skutecznymi metodami tworzenia wirusów oraz oszukiwania programów antywirusowych. Na efekty nie trzeba było długo czekać. Wkrótce pojawił się jeden z najgroźniejszych wirusów - Dark Avenger, nazwany tak od pseudonimu nieznanego dotąd z imienia i nazwiska bułgarskiego programisty. Opracował on również pierwszy program do tworzenia wirusów, Dark Avenger Mutation Engine, który zamieniał dowolnego wirusa w jego postać polimorficzną - niełatwą do wykrycia w ówczesnych czasach. Wkrótce tworzenie wirusów stało się bajecznie łatwe za sprawą Virus Creation Kit - programu, który pozwala nawet dziecku, stworzyć niebezpieczny program. Wystarczy z menu wybrać rodzaj wirusa, określić, co ma robić i wskazać program, do którego nasze dzieło ma być dołączone. Po kilku minutach wirus jest gotowy. Obydwa programy spowodowały, że wirusy zaczęły pojawiać się jak grzyby po deszczu. Na szczęście szybko opracowano metodę wykrywania programów tworzonych przy użyciu takich narzędzi i dziś każdy program antywirusowy radzi sobie z nimi bez żadnego problemu.
Powstanie wirusów polimorficznych i narzędzi do ich tworzenia oraz olbrzymia ilość tzw. fałszywych alarmów zwróciły uwagę mediów. Pierwszym nagłośnionym przez gazety na całym świecie przypadkiem pojawienia się wirusa był Michelangelo. Media na całym świecie (w tym również "Gazeta Wyborcza") ostrzegały przed wirusem, który miał zaatakować 6 marca 1992 r. Przewidywano, że uszkodzonych może zostać około 5 mln komputerów (w rzeczywistości zarażonych wirusem zostało "ledwie" kilka tysięcy), podawano recepty jak się przed nim ustrzec, producenci programów antywirusowych sprzedawali ogromne ilości programów, które wykrywały i usuwały intruza. Ten ostatni fakt stał się zapewne źródłem do dziś powtarzanej bzdury, że autorzy i producenci programów antywirusowych to jedne i te same osoby. Najpierw tworzą wirusy, a następnie szczepionki, które je usuwają. Co prawda nikomu jeszcze nie udało się dowieść tego związku, ale dmuchając na zimne, wielu producentów, np. Symantec, wprowadziło zasady, jakich muszą przestrzegać ich pracownicy. Przede wszystkim nie wolno im mieć absolutnie żadnych kontaktów z twórcami wirusów. Pracownikiem takiej firmy nie może zostać też były autor wirusów - choćby nie wiadomo jak był zdolny.Pierwsze wirusy zagrażały właściwie wyłącznie posiadaczom komputerów z systemem DOS. W 1992 r. po raz pierwszy spadła liczba komputerów zainfekowanych wirusami działającymi w tym systemie operacyjnym. Jednocześnie powoli pojawiły się nowe. Był to efekt ekspansji Windowsa 3.1 - pierwszej popularnej wersji flagowego produktu Microsoftu. Jednak prawdziwa eksplozja wirusów nowej generacji nastąpiła po premierze Windowsa 95 w sierpniu 1995 r.
Już na przełomie 1995/96 pojawił się Boza - pierwszy wirus korzystający z nowego systemu plików zastosowanego właśnie w Windows 95. Choć wprawdzie nowe okienka sprawiły, że zniknęło wiele rodzajów wirusów, np. atakujące sektor startowy, to jednak pojawienie się nowego systemu operacyjnego i możliwości nowych programów, głównie Worda i Excela, spowodowały, że autorzy wirusów ochoczo przystąpili do pracy. Microsoft i Kult zdechłej krowy Wirusy komputerowe potrzebują, podobnie jak ich biologiczni kuzyni, środowiska, w którym mogą się rozmnażać. Im większe środowisko, tym oczywiście lepiej. W miarę jak rosła popularność czołowych programów Microsoftu, rosło też zainteresowanie nimi autorów wirusów. Wchodzące w skład pakietu Office programy mają bardzo przydatną funkcję - język makropoleceń, który pozwala zautomatyzować pewne czynności. Ów język makropoleceń jest na tyle elastyczny, że pozwala na stworzenie wirusa. Palmę pierwszeństwa dzierżą dwa mikroby: Concept i Laroux. Wirusy "makro" są początkiem zupełnie innej, o wiele niebezpieczniejszej generacji wirusów. Przez lata 90. powstawały coraz bardziej wyrafinowane pomysły, jak przeniknąć przez w miarę szczelną zaporę programów antywirusowych. Ponieważ wzrosła świadomość zagrożenia, jakie stanowią programy nieznanego pochodzenia, autorzy musieli wymyślić inne formy rozprzestrzeniania wirusów. Zaostrzenie się konkurencji na rynku oprogramowania zmusiło wiele firm do coraz częstszego uaktualniania swoich programów i wyposażania ich w nowe funkcje. Takie programy, jak Outlook, nie mówiąc już o Excelu czy Wordzie, posiadają możliwości znacznie przekraczające potrzeby przeciętnego użytkownika. W tej pogoni programiści często tworzyli buble, albo niechcący niezbyt dobrze zabezpieczali programy. Klasycznym przykładem jest Microsoft Outlook oraz jego skromniejsza, ale dołączana do każdej kopii Windows wersja Outlook Express. Jednym z wynalazków Microsoftu szybko wykorzystanym przez autorów wirusów jest automatyczny podgląd treści listu. Dzięki autopodglądowi e-mail otwierał się automatycznie, nie dając użytkownikowi szans na usunięcie listu przed otwarciem. Funkcja ta przysłużyła się rozpowszechnieniu nowej metody rozsyłania, głównie makro wirusów, pocztą elektroniczną. Jeden z pierwszych zaczął działać trzy lata temu w piątek 24 marca 1999 r. Posiadacze kont poczty elektronicznej na całym świecie otrzymali list z załączonym do niego dokumentem Worda. Nie uruchamiał się on sam jak późniejsze wirusy, trzeba było otworzyć dokument. Otwarcie dokumentu było równoznaczne z zainfekowaniem swój komputera wirusem o nazwie Melissa. Ukryty program pobierał adresy pierwszych 50 osób z naszej książki teleadresowej i wysłał do nich mail z dokumentem, w którym znajdował się kod wirusa. W ten sposób Melissa błyskawicznie rozprzestrzeniła się na całym świecie.
Pod koniec lat 90. w internecie hakerska grupa o nazwie Cult of the Dead Cow (Kult zdechłej krowy) udostępniła pakiet Back Oriffice, przy pomocy którego możliwe jest zdalne zarządzanie komputerem. Składał się on z niewielkiego serwera oraz programu, dzięki któremu z dowolnego miejsca na świecie można połączyć się i pracować na włączonym np. w pracy pececie. W rzeczywistości szybko okazało się, że BO jest klasycznym koniem trojańskim, który pozwalał hakerom wykorzystywać komputer do słynnych ataków DoS (Denial of Service). Ataki polegają na tym, że atakowany serwer stron WWW dostaje tak dużo żądań wyświetlenia strony, aż przestaje działać. W ten właśnie sposób grupa hakerów zablokowała kilka znanych serwisów internetowych, m.in. Yahoo! czy Amazon. W tym czasie, kiedy strony znanych serwisów padały pod atakiem DOS, pojawił się inny groźny wirus: I Love You. Rozprzestrzeniany poprzez pocztę e-mail skutecznie zablokował tysiące serwerów pocztowych na całym świecie.Przyszłość w robalach 3 listopada 1988 r. zapamiętali chyba wszyscy ówcześni administratorzy sieci komputerowych w Stanach Zjednoczonych. Gdy przyszli rano do pracy, okazało się, że serwery i sieci, którymi się opiekują, są przeciążone, i to do tego stopnia, że tylko niektórym udało się nawet zalogować. Jednocześnie w pokojach administratorów rozdzwoniły się telefony wściekłych użytkowników. Sprawcą całego zamieszania był robak o nazwie Internet Worm. Stworzył go w ramach eksperymentu młody student Robert Morris - nawiasem mówiąc - syn jednego z wykładowców uniwersyteckich, a później specjalistów CIA. Program Morrisa rzeczywiście pełzał jak robak, zarażając błyskawicznie wszystkie komputery, do których mógł dotrzeć. Całe nieszczęście polegało na tym, że Morris wcale nie chciał zrobić nic złego, ale z powodu błędu w programie jego twórca stracił nad nim zupełnie kontrolę. W ciągu kilku godzin Internet Worm zaraził praktycznie wszystkie podłączone do internetu amerykańskie komputery. Przez prawie dwa dni, po raz pierwszy i na razie ostatni, internet praktycznie przestał działać w Stanach Zjednoczonych, bo komputery nie robiły nic innego, tylko przesyłały między sobą listy z wirusem. Robert Morris został skazany na trzy lata ograniczenia wolności i kilkadziesiąt tysięcy dolarów grzywny.
Koncepcja robaków internetowych, których główną cechą jest to, że potrafią infekować inne komputery bez pomocy człowieka, czyli mniej lub bardziej świadomego uruchomienia programu, odżyła pod koniec lat 90.
Niestety, teraz przeżywa swój renesans, a przykładem jest kilka naprawdę groźnych robali, takich jak Nimda i Code Red .Fakty mówią same za siebie - Nimda w ciągu jednego tylko dnia zaatakował ponad 2,2 mln serwerów i komputerów na całym świecie. Jeden dzień działania robaka kosztował zaatakowane firmy ponad 500 mln dol. - tyle trzeba było wydać na usunięcie go z komputerów i odtworzenie danych.
Według specjalistów Symanteca Nimda i Code Red są robakami nowej generacji, a ich autorzy dość dokładnie przeanalizowali dotychczasowe metody działania robaków i wirusów. Nimda atakuje wyłącznie serwery działające pod kontrolą Microsoft Internet Information Server, w których administrator nie zainstalował jednej z poprawek poprawiających bezpieczeństwo programu. Po przejęciu kontroli nad serwerem Nimda działa jak klasyczny robak i próbuje z zaatakowanego serwera wyszukiwać kolejne ofiary. Potrafi również rozprzestrzeniać się, wykorzystując do tego celu pocztę elektroniczną. Kod wirusa zawiera nawet własny serwer pocztowy umożliwiający wysłanie e-maila z nieistniejącego konta pocztowego.
Równie niebezpieczny jest Code Red. Robak umożliwia przeprowadzenie z zainfekowanego komputera ataku typu DoS na wybrany przez autora serwer. W przeciwieństwie do innych rezyduje w pamięci komputera i dlatego początkowo programy antywirusowe nie potrafiły go wykryć. Nie powodował również jak Nimda żadnych zakłóceń w pracy IIS - twierdzą specjaliści z Symanteca.Według Erica Chiena z europejskiego oddziału Symanteca największym zagrożeniem będą właśnie "bledned threats" - robaki internetowe wyposażone w wiele innych funkcji, jak Nimda czy Code Red.
Dziś atakują one właściwie tylko serwery i komputery podłączone do internetu, ale jutro - przewidują w Symantecu - zagrożone będą wszystkie urządzenia w jakikolwiek sposób podłączone do sieci.
|