Historie počítačových virů

ITbiz.cz, 16. duben 2007 06:35 0 komentářů
Rubriky: Security

Klíč
Roku 1983 vyzkoušel Dr. Frederick Cohen na Pensylvánské univerzitě kód, který byl schopen samostatného šíření. V této souvislosti označil svůj kód slovem virus. Prvním virem pro osobní počítače IBM se stal v roce 1986 Brain. Viry byly v minulosti poměrně jednoduché, ale s postupem času došlo k jejich velkému zdokonalení. Později mezi tvůrci virů stoupla obliba makrovirů, jejichž tvorba byla velmi snadná, a červů, kteří se dokáží velmi rychle šířit pomocí e-mailů. Naopak klesl počet boot virů a klasických souborových virů. Objevují se také nové typy nebezpečných útoků, které zneužívají vlastností Webu 2.0.

Boot virus na disketách


Když ještě mezi často používaná média patřily diskety, začaly je využívat některé viry pro přenos svého kódu na jiné počítače. Každá disketa obsahuje oblast, které se odborně říká boot sektor. Pokud zapomenete disketu v mechanice, pokusí se počítač po zapnutí přečíst z boot sektoru příkazy pro spuštění systému (např. Windows). V případě, že se na disketě takové příkazy nevyskytují, zobrazí počítač hlášení: Invalid system disk. Replace the disk, and press any key. Pro virus je právě boot sektor ideálním místem, kam mohl umístit svůj vlastní kód. Jak se tedy choval boot virus?

Ukryt v boot sektoru čekal, až disketu necháte v mechanice a zapnete nebo restartujete počítač. Poté se spustil kód viru v boot sektoru diskety a současně zobrazil hlášení Invalid system disk. Virus si nejprve ověřil, jestli už pevný disk počítače nebyl infikován, a pokud ano, nejspíš ukončil svojí činnost.

V opačném případě zkopíroval virus sám sebe do partition tabulky nebo boot sektoru pevného disku. Od této chvíle začal virus kontrolovat požadavky uživatele na čtení z disket a ověřoval, zda právě vložená disketa nebyla infikována, případně napadl její boot sektor.

Virus měl samozřejmě velký zájem o to, aby nebyl odhalen například antivirovým programem. Některé typy boot virů si proto původní obsah boot sektoru pevného disku zálohovaly a na vyžádání jej předkládaly k nahlédnutí.

Pokud se virus uložil do partition tabulky, představovovalo jeho odstranění docela vážný problém. Partition tabulka je opět určité místo na pevném disku, které v sobě obsahuje instrukce pro spuštění operačního systému. Při použití příkazu format se sice odstraní veškerá data, ale partition sektor zůstává stále zavirovaný.

Disketa na rozdíl od pevného disku neměla partition tabulku, takže ji stačilo pouze naformátovat. Pokud byl váš počítač napaden boot virem, mohli jste mu znepříjemnit rozmnožení tím, že jste začali chránit diskety proti zápisu. Protože ochranu proti zápisu nelze nijak obejít, snažily se viry například hlásit přítomnost fiktivního viru na disketě.

Nezkušený uživatel na základě tohoto hlášení chtěl disketu otestovat svým antivirovým programem, odemkl ji, a tím umožnil viru její infikování.

Šíření virů pomocí souborů


Všechny informace jsou na disku uloženy v podobě souborů. Protože virus obsahuje spustitelný kód, musí se logicky vložit do souborů stejné povahy. Virus se sice může také vložit do nějakého obrázku (nejlépe polonahé slečny), ale v tomto případě nebude nikdy spuštěn. Proto viry zneužívají tohoto faktu a předstírají, že se jedná o neškodný datový soubor.

Tyto viry se často šířily internetem a zneužívaly sociální inženýrství. Virus připojoval k e-mailu zdánlivě neškodný soubor. Uživatel na první pohled viděl, že je příloha JPG a nevšiml si, že následuje poslední nejdůležitější přípona (EXE, COM, PIF). Skrytý virus okamžitě převezal kontrolu nad systémem a vyhledal další soubory k napadnutí.

Viry v dokumentech


Původní účel maker byl v usnadnění určitých operací, které uživatel napsal do makra a po stisku klávesy se tyto operace vykonaly. S postupem doby se makra zdokonalila, takže si jich brzy všimli i viroví pisálci. Jak tedy makrovirus funguje? Když otevřete infikovaný dokument, zkopíruje makrovirus svůj obsah do globální šablony (soubor normal.dot).

Od této chvíle každý nově napsaný nebo uložený dokument obsahuje makrovirus. Aby nebylo příliš snadné odhalit přítomnost viru, skryje většinou makrovirus nabídku Nástroje/Makra.

Některé makroviry jsou nastaveny tak, aby infikovaly dokument při jeho uzavírání (funkce AutoClose nebo AutoExit). Microsoft Word lze nastavit také tak, aby před otevíráním dokumentu obsahující makra zobrazil varování. Prakticky všechny makroviry toto nastavení vypínají, protože by stálý výskyt varovného okna začal být podezřelý.

Zamilovaný virus


Jedná se o viry napsané pomocí skriptovacích jazyků Windows a poznáte je podle přípony vbs, wsc, sct a scf. Tento druh červů se šíří prostřednictvím elektronické pošty a snaží se uživatele přimět k otevření připojeného souboru s virem pomocí lákavých názvů např. pamela_anderson.AVI.vbs nebo LOVE-LETTER-FOR-YOU.TXT.vbs.

Jakmile je červ spuštěn, vytvoří si někdy v adresáři Windows jeden nebo dva "systémové soubory" (např. MSKernel32.vbs, Win32DLL.vbs - ve skutečnosti se o žádné systémové soubory samozřejmě nejedná) obsahující zdrojový kód viru. Současně prohledá adresář poštovního programu MS Outlook a připraví e-mail s textem, který obvykle obsahuje výzvu k otevření přiloženého souboru.

Ve většině případů také virus pozmění registry tak, aby se spouštěl automaticky po startu systému. Některé viry v sobě obsahují pokus rozšířit se pomocí komunikačních programů IRC a ICQ. Jakmile je červ úspěšně odeslán dalším uživatelům, provede různé akce - zobrazení hlášení, změní domovskou stránku v Internet Exploreru, smaže soubory atd.

Červy využívající skriptovací jazyky však mají jedno velké omezení - ke svému spuštění potřebují, aby bylo na počítači nainstalováno odpovídající skriptovací jádro.

Červy se mohou vyskytovat také ve spustitelných souborech exe, com, pif, bat, lnk a scr. Po spuštění obvykle nenapadají jiné soubory, pouze umístí svůj program do systémového adresáře a modifikací Winsock.dll si zajistí kontrolu nad odesílanou poštou.

Většina červů se dokáže rozšířit na ostatní počítače v síti. Konkrétně červ SirCam k tomu používá velmi rafinovaný způsob: svůj kód zkopíruje do libovolného souboru a k jeho názvu připojí spustitelnou koncovku. Nic netušící uživatel takto upravený soubor spustí, a virus tak aktivuje.


Komentáře

RSS 

Komentujeme

Další na řadě je bezpečnost

Richard Jan Voigts , 09. říjen 2017 00:00
Richard Jan Voigts

Co všechno lze automatizovat pomocí strojového učení? Larry Ellison, technologický ředitel společnos...

Více







RSS 

Zprávičky

Bělobrádek chce evropská pravidla pro internetová média

ČTK , 17. říjen 2017 00:55

Podle expertů na internetová média jde o předvolební proklamaci. ...

Více 0 komentářů

Mobilní signál bude i v tunelech pražského metra

ČTK , 16. říjen 2017 15:19

V první fázi by měl být signál na trase metra C mezi stanicemi Muzeum a Roztyly....

Více 0 komentářů

Další velká pokuta pro Qualcomm, tentokrát na Tchaj-wanu

ČTK , 16. říjen 2017 13:10

Qualcomm čelí vyšetřování také v Evropské unii....

Více 0 komentářů

Starší zprávičky

Vybudování infrastruktury na vysokorychlostní internet bude stát 120 až 150 miliard Kč

Pavel Houser , 16. říjen 2017 08:00

Firmy na jednání Hospodářské komory potvrdily, že mají zájem čerpat prostředky na výstavbu vysokoryc...

Více 0 komentářů

Qualcomm se žalobou snaží zakázat prodej iPhonů v Číně

ČTK , 14. říjen 2017 08:00

Obě firmy vedou právní spory kvůli licencím technologií firmy Qualcomm již měsíce....

Více 0 komentářů

Nové profese: manažer spolupráce a specialista sdílení technologií

Pavel Houser , 13. říjen 2017 13:35

Umělá inteligence mění trh práce. Zavádění robotické automatizace dává vzniknout zcela novým profesí...

Více 0 komentářů

Šéf Samsungu překvapivě oznámil rezignaci

ČTK , 13. říjen 2017 13:06

Firma současně informovala, že čeká rekordní zisk....

Více 0 komentářů