Historie počítačových virů

ITbiz.cz, 16. duben 2007 06:35 0 komentářů
Rubriky: Security

Klíč
Roku 1983 vyzkoušel Dr. Frederick Cohen na Pensylvánské univerzitě kód, který byl schopen samostatného šíření. V této souvislosti označil svůj kód slovem virus. Prvním virem pro osobní počítače IBM se stal v roce 1986 Brain. Viry byly v minulosti poměrně jednoduché, ale s postupem času došlo k jejich velkému zdokonalení. Později mezi tvůrci virů stoupla obliba makrovirů, jejichž tvorba byla velmi snadná, a červů, kteří se dokáží velmi rychle šířit pomocí e-mailů. Naopak klesl počet boot virů a klasických souborových virů. Objevují se také nové typy nebezpečných útoků, které zneužívají vlastností Webu 2.0.

Boot virus na disketách


Když ještě mezi často používaná média patřily diskety, začaly je využívat některé viry pro přenos svého kódu na jiné počítače. Každá disketa obsahuje oblast, které se odborně říká boot sektor. Pokud zapomenete disketu v mechanice, pokusí se počítač po zapnutí přečíst z boot sektoru příkazy pro spuštění systému (např. Windows). V případě, že se na disketě takové příkazy nevyskytují, zobrazí počítač hlášení: Invalid system disk. Replace the disk, and press any key. Pro virus je právě boot sektor ideálním místem, kam mohl umístit svůj vlastní kód. Jak se tedy choval boot virus?

Ukryt v boot sektoru čekal, až disketu necháte v mechanice a zapnete nebo restartujete počítač. Poté se spustil kód viru v boot sektoru diskety a současně zobrazil hlášení Invalid system disk. Virus si nejprve ověřil, jestli už pevný disk počítače nebyl infikován, a pokud ano, nejspíš ukončil svojí činnost.

V opačném případě zkopíroval virus sám sebe do partition tabulky nebo boot sektoru pevného disku. Od této chvíle začal virus kontrolovat požadavky uživatele na čtení z disket a ověřoval, zda právě vložená disketa nebyla infikována, případně napadl její boot sektor.

Virus měl samozřejmě velký zájem o to, aby nebyl odhalen například antivirovým programem. Některé typy boot virů si proto původní obsah boot sektoru pevného disku zálohovaly a na vyžádání jej předkládaly k nahlédnutí.

Pokud se virus uložil do partition tabulky, představovovalo jeho odstranění docela vážný problém. Partition tabulka je opět určité místo na pevném disku, které v sobě obsahuje instrukce pro spuštění operačního systému. Při použití příkazu format se sice odstraní veškerá data, ale partition sektor zůstává stále zavirovaný.

Disketa na rozdíl od pevného disku neměla partition tabulku, takže ji stačilo pouze naformátovat. Pokud byl váš počítač napaden boot virem, mohli jste mu znepříjemnit rozmnožení tím, že jste začali chránit diskety proti zápisu. Protože ochranu proti zápisu nelze nijak obejít, snažily se viry například hlásit přítomnost fiktivního viru na disketě.

Nezkušený uživatel na základě tohoto hlášení chtěl disketu otestovat svým antivirovým programem, odemkl ji, a tím umožnil viru její infikování.

Šíření virů pomocí souborů


Všechny informace jsou na disku uloženy v podobě souborů. Protože virus obsahuje spustitelný kód, musí se logicky vložit do souborů stejné povahy. Virus se sice může také vložit do nějakého obrázku (nejlépe polonahé slečny), ale v tomto případě nebude nikdy spuštěn. Proto viry zneužívají tohoto faktu a předstírají, že se jedná o neškodný datový soubor.

Tyto viry se často šířily internetem a zneužívaly sociální inženýrství. Virus připojoval k e-mailu zdánlivě neškodný soubor. Uživatel na první pohled viděl, že je příloha JPG a nevšiml si, že následuje poslední nejdůležitější přípona (EXE, COM, PIF). Skrytý virus okamžitě převezal kontrolu nad systémem a vyhledal další soubory k napadnutí.

Viry v dokumentech


Původní účel maker byl v usnadnění určitých operací, které uživatel napsal do makra a po stisku klávesy se tyto operace vykonaly. S postupem doby se makra zdokonalila, takže si jich brzy všimli i viroví pisálci. Jak tedy makrovirus funguje? Když otevřete infikovaný dokument, zkopíruje makrovirus svůj obsah do globální šablony (soubor normal.dot).

Od této chvíle každý nově napsaný nebo uložený dokument obsahuje makrovirus. Aby nebylo příliš snadné odhalit přítomnost viru, skryje většinou makrovirus nabídku Nástroje/Makra.

Některé makroviry jsou nastaveny tak, aby infikovaly dokument při jeho uzavírání (funkce AutoClose nebo AutoExit). Microsoft Word lze nastavit také tak, aby před otevíráním dokumentu obsahující makra zobrazil varování. Prakticky všechny makroviry toto nastavení vypínají, protože by stálý výskyt varovného okna začal být podezřelý.

Zamilovaný virus


Jedná se o viry napsané pomocí skriptovacích jazyků Windows a poznáte je podle přípony vbs, wsc, sct a scf. Tento druh červů se šíří prostřednictvím elektronické pošty a snaží se uživatele přimět k otevření připojeného souboru s virem pomocí lákavých názvů např. pamela_anderson.AVI.vbs nebo LOVE-LETTER-FOR-YOU.TXT.vbs.

Jakmile je červ spuštěn, vytvoří si někdy v adresáři Windows jeden nebo dva "systémové soubory" (např. MSKernel32.vbs, Win32DLL.vbs - ve skutečnosti se o žádné systémové soubory samozřejmě nejedná) obsahující zdrojový kód viru. Současně prohledá adresář poštovního programu MS Outlook a připraví e-mail s textem, který obvykle obsahuje výzvu k otevření přiloženého souboru.

Ve většině případů také virus pozmění registry tak, aby se spouštěl automaticky po startu systému. Některé viry v sobě obsahují pokus rozšířit se pomocí komunikačních programů IRC a ICQ. Jakmile je červ úspěšně odeslán dalším uživatelům, provede různé akce - zobrazení hlášení, změní domovskou stránku v Internet Exploreru, smaže soubory atd.

Červy využívající skriptovací jazyky však mají jedno velké omezení - ke svému spuštění potřebují, aby bylo na počítači nainstalováno odpovídající skriptovací jádro.

Červy se mohou vyskytovat také ve spustitelných souborech exe, com, pif, bat, lnk a scr. Po spuštění obvykle nenapadají jiné soubory, pouze umístí svůj program do systémového adresáře a modifikací Winsock.dll si zajistí kontrolu nad odesílanou poštou.

Většina červů se dokáže rozšířit na ostatní počítače v síti. Konkrétně červ SirCam k tomu používá velmi rafinovaný způsob: svůj kód zkopíruje do libovolného souboru a k jeho názvu připojí spustitelnou koncovku. Nic netušící uživatel takto upravený soubor spustí, a virus tak aktivuje.


Komentáře

RSS 

Komentujeme

Intel Inside aneb všichni jsme načipováni

Petr Zavoral , 10. prosinec 2017 18:20
Petr Zavoral

V Havlově hře Audience přesvědčuje Sládek Ferdinanda Vaňka, aby donášel sám na sebe. Z pohledu letoš...

Více







Kalendář

09. 01.

13. 01.
CES 2018
18. 01.

19. 01.
itSMF 2018
29. 01.

30. 01.
G2BTechEd
RSS 

Zprávičky

EP zamítl možnost přeshraničního vysílání on-line televizí

ČTK , 13. prosinec 2017 10:00

Komise navrhovala, aby u on-line televizního vysílání musel provozovatel řešit autorská práva pouze ...

Více 0 komentářů

Dvě americké firmy usilují o povolení bitcoinových ETF fondů

ČTK , 13. prosinec 2017 09:00

Fondy ETF se kupují a prodávají na klasické burze stejně jako akcie....

Více 0 komentářů

Firmy v Česku přišly kvůli podvodným e-mailům o miliony

ČTK , 13. prosinec 2017 08:00

Firmy v Česku čelí novému typu podvodu, účetní dostávají falešné e-maily od ředitelů s požadavkem na...

Více 1 komentářů

Starší zprávičky

Atos chce koupit konkurenta Gemalto za 4,3 mld. eur

ČTK , 12. prosinec 2017 14:00

Gemalto patří mezi největší světové výrobce SIM karet a čipů do platebních karet...

Více 0 komentářů

T-Mobile testuje NB-IoT, chystá novou síť pro Internet věcí

Pavel Houser , 12. prosinec 2017 13:30

Testování technologie NB-IoT začalo v Praze na Roztylech, v lednu přibude Mladá Boleslav. Operátor z...

Více 0 komentářů

ISP DNS Stack chrání doménu .CZ v případě útoku proti DNS serverům

Pavel Houser , 12. prosinec 2017 12:53

Sdružení CZ.NIC zvyšuje bezpečnost Internetu v ČR, na nové službě se zatím podílí Seznam.cz a Vodafo...

Více 0 komentářů

Apple kupuje aplikaci pro rozpoznávání hudby Shazam

ČTK , 12. prosinec 2017 08:00

Shazam umožňuje uživatelům prostřednictvím mikrofonu chytrého telefonu identifikovat hudbu hrající v...

Více 1 komentářů