Historie počítačových virů

ITbiz.cz, 16. duben 2007 06:35 0 komentářů
Rubriky: Security

Klíč
Roku 1983 vyzkoušel Dr. Frederick Cohen na Pensylvánské univerzitě kód, který byl schopen samostatného šíření. V této souvislosti označil svůj kód slovem virus. Prvním virem pro osobní počítače IBM se stal v roce 1986 Brain. Viry byly v minulosti poměrně jednoduché, ale s postupem času došlo k jejich velkému zdokonalení. Později mezi tvůrci virů stoupla obliba makrovirů, jejichž tvorba byla velmi snadná, a červů, kteří se dokáží velmi rychle šířit pomocí e-mailů. Naopak klesl počet boot virů a klasických souborových virů. Objevují se také nové typy nebezpečných útoků, které zneužívají vlastností Webu 2.0.

Boot virus na disketách


Když ještě mezi často používaná média patřily diskety, začaly je využívat některé viry pro přenos svého kódu na jiné počítače. Každá disketa obsahuje oblast, které se odborně říká boot sektor. Pokud zapomenete disketu v mechanice, pokusí se počítač po zapnutí přečíst z boot sektoru příkazy pro spuštění systému (např. Windows). V případě, že se na disketě takové příkazy nevyskytují, zobrazí počítač hlášení: Invalid system disk. Replace the disk, and press any key. Pro virus je právě boot sektor ideálním místem, kam mohl umístit svůj vlastní kód. Jak se tedy choval boot virus?

Ukryt v boot sektoru čekal, až disketu necháte v mechanice a zapnete nebo restartujete počítač. Poté se spustil kód viru v boot sektoru diskety a současně zobrazil hlášení Invalid system disk. Virus si nejprve ověřil, jestli už pevný disk počítače nebyl infikován, a pokud ano, nejspíš ukončil svojí činnost.

V opačném případě zkopíroval virus sám sebe do partition tabulky nebo boot sektoru pevného disku. Od této chvíle začal virus kontrolovat požadavky uživatele na čtení z disket a ověřoval, zda právě vložená disketa nebyla infikována, případně napadl její boot sektor.

Virus měl samozřejmě velký zájem o to, aby nebyl odhalen například antivirovým programem. Některé typy boot virů si proto původní obsah boot sektoru pevného disku zálohovaly a na vyžádání jej předkládaly k nahlédnutí.

Pokud se virus uložil do partition tabulky, představovovalo jeho odstranění docela vážný problém. Partition tabulka je opět určité místo na pevném disku, které v sobě obsahuje instrukce pro spuštění operačního systému. Při použití příkazu format se sice odstraní veškerá data, ale partition sektor zůstává stále zavirovaný.

Disketa na rozdíl od pevného disku neměla partition tabulku, takže ji stačilo pouze naformátovat. Pokud byl váš počítač napaden boot virem, mohli jste mu znepříjemnit rozmnožení tím, že jste začali chránit diskety proti zápisu. Protože ochranu proti zápisu nelze nijak obejít, snažily se viry například hlásit přítomnost fiktivního viru na disketě.

Nezkušený uživatel na základě tohoto hlášení chtěl disketu otestovat svým antivirovým programem, odemkl ji, a tím umožnil viru její infikování.

Šíření virů pomocí souborů


Všechny informace jsou na disku uloženy v podobě souborů. Protože virus obsahuje spustitelný kód, musí se logicky vložit do souborů stejné povahy. Virus se sice může také vložit do nějakého obrázku (nejlépe polonahé slečny), ale v tomto případě nebude nikdy spuštěn. Proto viry zneužívají tohoto faktu a předstírají, že se jedná o neškodný datový soubor.

Tyto viry se často šířily internetem a zneužívaly sociální inženýrství. Virus připojoval k e-mailu zdánlivě neškodný soubor. Uživatel na první pohled viděl, že je příloha JPG a nevšiml si, že následuje poslední nejdůležitější přípona (EXE, COM, PIF). Skrytý virus okamžitě převezal kontrolu nad systémem a vyhledal další soubory k napadnutí.

Viry v dokumentech


Původní účel maker byl v usnadnění určitých operací, které uživatel napsal do makra a po stisku klávesy se tyto operace vykonaly. S postupem doby se makra zdokonalila, takže si jich brzy všimli i viroví pisálci. Jak tedy makrovirus funguje? Když otevřete infikovaný dokument, zkopíruje makrovirus svůj obsah do globální šablony (soubor normal.dot).

Od této chvíle každý nově napsaný nebo uložený dokument obsahuje makrovirus. Aby nebylo příliš snadné odhalit přítomnost viru, skryje většinou makrovirus nabídku Nástroje/Makra.

Některé makroviry jsou nastaveny tak, aby infikovaly dokument při jeho uzavírání (funkce AutoClose nebo AutoExit). Microsoft Word lze nastavit také tak, aby před otevíráním dokumentu obsahující makra zobrazil varování. Prakticky všechny makroviry toto nastavení vypínají, protože by stálý výskyt varovného okna začal být podezřelý.

Zamilovaný virus


Jedná se o viry napsané pomocí skriptovacích jazyků Windows a poznáte je podle přípony vbs, wsc, sct a scf. Tento druh červů se šíří prostřednictvím elektronické pošty a snaží se uživatele přimět k otevření připojeného souboru s virem pomocí lákavých názvů např. pamela_anderson.AVI.vbs nebo LOVE-LETTER-FOR-YOU.TXT.vbs.

Jakmile je červ spuštěn, vytvoří si někdy v adresáři Windows jeden nebo dva "systémové soubory" (např. MSKernel32.vbs, Win32DLL.vbs - ve skutečnosti se o žádné systémové soubory samozřejmě nejedná) obsahující zdrojový kód viru. Současně prohledá adresář poštovního programu MS Outlook a připraví e-mail s textem, který obvykle obsahuje výzvu k otevření přiloženého souboru.

Ve většině případů také virus pozmění registry tak, aby se spouštěl automaticky po startu systému. Některé viry v sobě obsahují pokus rozšířit se pomocí komunikačních programů IRC a ICQ. Jakmile je červ úspěšně odeslán dalším uživatelům, provede různé akce - zobrazení hlášení, změní domovskou stránku v Internet Exploreru, smaže soubory atd.

Červy využívající skriptovací jazyky však mají jedno velké omezení - ke svému spuštění potřebují, aby bylo na počítači nainstalováno odpovídající skriptovací jádro.

Červy se mohou vyskytovat také ve spustitelných souborech exe, com, pif, bat, lnk a scr. Po spuštění obvykle nenapadají jiné soubory, pouze umístí svůj program do systémového adresáře a modifikací Winsock.dll si zajistí kontrolu nad odesílanou poštou.

Většina červů se dokáže rozšířit na ostatní počítače v síti. Konkrétně červ SirCam k tomu používá velmi rafinovaný způsob: svůj kód zkopíruje do libovolného souboru a k jeho názvu připojí spustitelnou koncovku. Nic netušící uživatel takto upravený soubor spustí, a virus tak aktivuje.


Komentáře

RSS 

Komentujeme

Bezpečnost IT a tygří logika

Pavel Houser , 14. únor 2017 11:00
Pavel Houser

Jak praví známý vtip, běží-li za vámi tygr, netřeba se pohybovat rychleji než šelma – stačí předběhn...

Více






Kalendář

22. 02. IT mezi paragrafy
20. 03.

24. 03.
CeBIT 2017
25. 03. INSPO 2017
RSS 

Zprávičky

Verizon koupí aktivity Yahoo za sníženou cenu 4,48 miliardy USD

ČTK , 21. únor 2017 16:05

Americký telekomunikační operátor Verizon Communications se dohodl na nových podmínkách převzetí zák...

Více 0 komentářů

Jen desetina SMB firem těží z digitální transformace

ITBiz.cz , 21. únor 2017 09:00

Studie IDC a SAP ukázala, že čtyři z pěti SMB firem vidí v digitální transformaci značné výhody včet...

Více 0 komentářů

Trump si nechal registrovat tisíce internetových domén

ČTK , 21. únor 2017 08:30

Málokterá veřejná osoba je tak aktivní ve skupování internetových domén jako americký prezident Dona...

Více 3 komentářů

Starší zprávičky

Mall Group ovládla internetový obchod s elektrem CZC.cz

ČTK , 20. únor 2017 16:39

Skupina Mall Group se stala jediným vlastníkem e-shopu CZC.cz. Od zakladatele obchodu Josefa Matějky...

Více 2 komentářů

Eurowag dokončil akvizici firmy Princip

Pavel Houser , 20. únor 2017 16:12

W.A.G. payment solutions proniká na trh telematických služeb....

Více 0 komentářů

Samsung zpřístupňuje nové čipy 5G RFIC

Pavel Houser , 20. únor 2017 16:01

Čip dokáže poskytnout větší pokrytí v pásmu milimetrových vln (mmWave)....

Více 0 komentářů

Soud povolil vydání Dotcoma do USA, ten se znovu odvolá

ČTK , 20. únor 2017 12:00

Novozélandský soud zamítl odvolání internetového magnáta německého původu Kima Dotcoma proti jeho vy...

Více 0 komentářů

AbcPráce