Historie počítačových virů

ITbiz.cz, 16. duben 2007 06:35 0 komentářů
Rubriky: Security

Klíč
Roku 1983 vyzkoušel Dr. Frederick Cohen na Pensylvánské univerzitě kód, který byl schopen samostatného šíření. V této souvislosti označil svůj kód slovem virus. Prvním virem pro osobní počítače IBM se stal v roce 1986 Brain. Viry byly v minulosti poměrně jednoduché, ale s postupem času došlo k jejich velkému zdokonalení. Později mezi tvůrci virů stoupla obliba makrovirů, jejichž tvorba byla velmi snadná, a červů, kteří se dokáží velmi rychle šířit pomocí e-mailů. Naopak klesl počet boot virů a klasických souborových virů. Objevují se také nové typy nebezpečných útoků, které zneužívají vlastností Webu 2.0.

Boot virus na disketách


Když ještě mezi často používaná média patřily diskety, začaly je využívat některé viry pro přenos svého kódu na jiné počítače. Každá disketa obsahuje oblast, které se odborně říká boot sektor. Pokud zapomenete disketu v mechanice, pokusí se počítač po zapnutí přečíst z boot sektoru příkazy pro spuštění systému (např. Windows). V případě, že se na disketě takové příkazy nevyskytují, zobrazí počítač hlášení: Invalid system disk. Replace the disk, and press any key. Pro virus je právě boot sektor ideálním místem, kam mohl umístit svůj vlastní kód. Jak se tedy choval boot virus?

Ukryt v boot sektoru čekal, až disketu necháte v mechanice a zapnete nebo restartujete počítač. Poté se spustil kód viru v boot sektoru diskety a současně zobrazil hlášení Invalid system disk. Virus si nejprve ověřil, jestli už pevný disk počítače nebyl infikován, a pokud ano, nejspíš ukončil svojí činnost.

V opačném případě zkopíroval virus sám sebe do partition tabulky nebo boot sektoru pevného disku. Od této chvíle začal virus kontrolovat požadavky uživatele na čtení z disket a ověřoval, zda právě vložená disketa nebyla infikována, případně napadl její boot sektor.

Virus měl samozřejmě velký zájem o to, aby nebyl odhalen například antivirovým programem. Některé typy boot virů si proto původní obsah boot sektoru pevného disku zálohovaly a na vyžádání jej předkládaly k nahlédnutí.

Pokud se virus uložil do partition tabulky, představovovalo jeho odstranění docela vážný problém. Partition tabulka je opět určité místo na pevném disku, které v sobě obsahuje instrukce pro spuštění operačního systému. Při použití příkazu format se sice odstraní veškerá data, ale partition sektor zůstává stále zavirovaný.

Disketa na rozdíl od pevného disku neměla partition tabulku, takže ji stačilo pouze naformátovat. Pokud byl váš počítač napaden boot virem, mohli jste mu znepříjemnit rozmnožení tím, že jste začali chránit diskety proti zápisu. Protože ochranu proti zápisu nelze nijak obejít, snažily se viry například hlásit přítomnost fiktivního viru na disketě.

Nezkušený uživatel na základě tohoto hlášení chtěl disketu otestovat svým antivirovým programem, odemkl ji, a tím umožnil viru její infikování.

Šíření virů pomocí souborů


Všechny informace jsou na disku uloženy v podobě souborů. Protože virus obsahuje spustitelný kód, musí se logicky vložit do souborů stejné povahy. Virus se sice může také vložit do nějakého obrázku (nejlépe polonahé slečny), ale v tomto případě nebude nikdy spuštěn. Proto viry zneužívají tohoto faktu a předstírají, že se jedná o neškodný datový soubor.

Tyto viry se často šířily internetem a zneužívaly sociální inženýrství. Virus připojoval k e-mailu zdánlivě neškodný soubor. Uživatel na první pohled viděl, že je příloha JPG a nevšiml si, že následuje poslední nejdůležitější přípona (EXE, COM, PIF). Skrytý virus okamžitě převezal kontrolu nad systémem a vyhledal další soubory k napadnutí.

Viry v dokumentech


Původní účel maker byl v usnadnění určitých operací, které uživatel napsal do makra a po stisku klávesy se tyto operace vykonaly. S postupem doby se makra zdokonalila, takže si jich brzy všimli i viroví pisálci. Jak tedy makrovirus funguje? Když otevřete infikovaný dokument, zkopíruje makrovirus svůj obsah do globální šablony (soubor normal.dot).

Od této chvíle každý nově napsaný nebo uložený dokument obsahuje makrovirus. Aby nebylo příliš snadné odhalit přítomnost viru, skryje většinou makrovirus nabídku Nástroje/Makra.

Některé makroviry jsou nastaveny tak, aby infikovaly dokument při jeho uzavírání (funkce AutoClose nebo AutoExit). Microsoft Word lze nastavit také tak, aby před otevíráním dokumentu obsahující makra zobrazil varování. Prakticky všechny makroviry toto nastavení vypínají, protože by stálý výskyt varovného okna začal být podezřelý.

Zamilovaný virus


Jedná se o viry napsané pomocí skriptovacích jazyků Windows a poznáte je podle přípony vbs, wsc, sct a scf. Tento druh červů se šíří prostřednictvím elektronické pošty a snaží se uživatele přimět k otevření připojeného souboru s virem pomocí lákavých názvů např. pamela_anderson.AVI.vbs nebo LOVE-LETTER-FOR-YOU.TXT.vbs.

Jakmile je červ spuštěn, vytvoří si někdy v adresáři Windows jeden nebo dva "systémové soubory" (např. MSKernel32.vbs, Win32DLL.vbs - ve skutečnosti se o žádné systémové soubory samozřejmě nejedná) obsahující zdrojový kód viru. Současně prohledá adresář poštovního programu MS Outlook a připraví e-mail s textem, který obvykle obsahuje výzvu k otevření přiloženého souboru.

Ve většině případů také virus pozmění registry tak, aby se spouštěl automaticky po startu systému. Některé viry v sobě obsahují pokus rozšířit se pomocí komunikačních programů IRC a ICQ. Jakmile je červ úspěšně odeslán dalším uživatelům, provede různé akce - zobrazení hlášení, změní domovskou stránku v Internet Exploreru, smaže soubory atd.

Červy využívající skriptovací jazyky však mají jedno velké omezení - ke svému spuštění potřebují, aby bylo na počítači nainstalováno odpovídající skriptovací jádro.

Červy se mohou vyskytovat také ve spustitelných souborech exe, com, pif, bat, lnk a scr. Po spuštění obvykle nenapadají jiné soubory, pouze umístí svůj program do systémového adresáře a modifikací Winsock.dll si zajistí kontrolu nad odesílanou poštou.

Většina červů se dokáže rozšířit na ostatní počítače v síti. Konkrétně červ SirCam k tomu používá velmi rafinovaný způsob: svůj kód zkopíruje do libovolného souboru a k jeho názvu připojí spustitelnou koncovku. Nic netušící uživatel takto upravený soubor spustí, a virus tak aktivuje.


Komentáře

RSS 

Komentujeme

Telefony vodní i podvodní

Pavel Houser , 16. červen 2017 13:00
Pavel Houser

Jako zajímavou technickou kuriozitu lze uvést, že všech 28 států NATO schválilo protokol Janus, kter...

Více






Kalendář

25. 06.

29. 06.
Cisco Live 2017
22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
RSS 

Zprávičky

VZLUSAT-1, první česká nanodružice

ČTK , 24. červen 2017 18:13

V pátek indická raketa PSLV-C38 vynesla na oběžnou dráhu českou technologickou nanodružici VZLUSAT-1...

Více 0 komentářů

BlackBerry se vrací k zisku, tržby však zaostaly za očekáváním

ČTK , 24. červen 2017 09:46

Kanadský výrobce chytrých telefonů BlackBerry v prvním finančním čtvrtletí vydělal 671 milionů dolar...

Více 0 komentářů

Operátoři díky výměně kmitočtů zrychlí mobilní internet

ČTK , 23. červen 2017 12:36

Mobilní operátoři O2, T-Mobile a Vodafone si vyměnili kmitočty v pásmu 1800 MHz pro provoz rychlých ...

Více 0 komentářů

Starší zprávičky

Toshiba a Western Digital stále ve sporu

ČTK , 23. červen 2017 08:39

Toshiba chce prodat čipovou divizi skupině, za kterou stojí vláda. ...

Více 0 komentářů

CETIN vyplatí PPF za loňský rok dividendu 2,36 miliardy Kč

ČTK , 23. červen 2017 08:00

CETIN loni zvýšil čistý zisk o 16 % na 2,26 miliardy Kč....

Více 0 komentářů

VMware Horizon v cloudu Microsoft Azure

Pavel Houser , 22. červen 2017 11:50

Řešení pro poskytování desktopu jako služby za poslední roky vyzrála....

Více 0 komentářů

Akcelerátor StartupYard získal 26 milionů Kč

Pavel Houser , 22. červen 2017 11:00

Pražský startupový akcelerátor společně s Fundliftem oznámil investici, kterou získal formou neveřej...

Více 0 komentářů