Najsłynniejsze i najbardziej szkodliwe wirusy w historii komputerów

Wirus komputerowy – program komputerowy posiadający zdolność powielania się, tak jak prawdziwy wirus, stąd jego nazwa. Wirus do swojego działania potrzebuje i wykorzystuje system operacyjny, aplikacje oraz zachowanie użytkownika komputera.
Wirusa komputerowego zalicza się do złośliwego oprogramowania.
Pełna definicja: Wikipedia.
Taki mały zestaw historyczny. Teraz dziennie powstają tysiące wirusów. Nawet laik może teraz stworzyć własnego wirusa. Można znaleźć generatory wirusów w sieci. Pewnie są w internecie jeszcze nie odkryte robale. Teraz całe państwa biorą się za pisanie wirusów. Bo to po prostu staje się bronią.

Historia wirusów komputerowych.

VIRUS-THE-CREEPERCreeper

Pierwszy wirus w historii komputerów, ale jeszcze nie osobistych. Napisany w 1971 r. przez Boba Thomasa Creeper nie szkodził maszynie. Jego zadaniem było pokazanie obserwatorom możliwości aplikacji przemieszczającej się i replikującej.
Działał tylko na systemie TENEX i infekował komputery DEC PDP-10 poprzez sieć ARPANET. Chwilę po zainfekowaniu system wyświetlał następujący komunikat:
I’m the creeper, catch me if you can!
Aby usunąć bezpowrotnie Creepera i jego klony, należało wgrać aplikację Reaper, której jedynym celem było wyeliminowanie kreacji Boba.

michelangelo-drawing-study-for-adam-red-chalk-c-1511-british-museumMichał Anioł

Opisywany w otwarciu wirus to oczywiście Michał Anioł. Miał być wszędzie, miał kasować systemy operacyjne, wpływać na zawartość dyskietek i być supergroźny. Niewiele osób o tym wiedziało, ale Michał Anioł aktywował się tylko 6 marca, więc ryzyko awarii było zerowe, gdy komputery pozostawały wyłączone tego dnia lub gdy data została ręcznie zmieniona z np. 5 marca na 7 marca.
W przypadku uruchomienia komputera zarażonego wirusem Michelangelo nadpisywał sektory startowe dysku (także FAT), co dość skutecznie niszczyło strukturę danych. W tamtym czasie ich odtworzenie było praktycznie niemożliwe.
Efekty działalności Michelangelo były znikome. Awarii uległo jedynie kilka tysięcy maszyn na całym świecie, a stopień rozprzestrzenienia się wirusa był o wiele mniejszy, niż przypuszczano. Można wręcz uznać, że Michelangelo wyrządził więcej dobrego niż złego, bo na fali jego sławy powstało kilka firm zajmujących się produkcją oprogramowania antywirusowego

ANIMAL

Pierwszy koń trojański w historii IT. Napisany w 1975 r. przez Johna Walkera na system UNIVAC 1108. ANIMAL zadawał użytkownikowi kilka pytań dotyczących zwierzęcia, o którym ten miał myśleć, a następnie zgadnąć, co to za zwierzę. Tymczasem w tlepodprogram PERVADE wykonywał kopie siebie oraz ANIMAL i rozsyłał wszędzie tam, gdzie użytkownik miał dostęp.
Trojan rozprzestrzeniał się praktycznie wszędzie tam, gdzie użytkownicy mieli nakładające się na siebie uprawnienia. Także wymiana taśm powodowała infekcję. PERVADE nie powodował szkód i tak też został napisany. Miał być jedynie ciekawostką programistyczną ukazującą możliwości replikacji programu.

elkclonerElk Cloner

Poznajemy wirusa, który spowodował pierwszą pokaźną epidemię. Elk Cloner został napisany (o ironio…) na system Apple II przez Richarda Skrenta. Apple II prosił się o tego typu szkodnika, bo system operacyjny przechowywany był na dyskietce, czyli bardzo wdzięcznym nośniku dla wszelakich wirusów.
Richard Skrent miał 15 lat, gdy go stworzył. Wirus doczepiał się do Apple DOS 3.3 w boot sectorze i wędrował na dyskietkach do kolejnych nieświadomych użytkowników. Wirus w stanie uśpienia dołączony był do gry. Po 50 z kolei uruchomieniu gra uwalniała Elk Clonera, a oczom użytkownika ukazywał się (foto) ekran z poematem o wirusie.

Brain-virusBrain

Pierwszy wirus na komputery klasy IBM PC. Napisali go w Pakistanie (Lahore) dwaj bracia: Basit Farooq Alvi oraz Amjad Farooq Alvi. Zamiary twórców nie były złe, a całe przedsięwzięcie miało być jedynie żartem. Napisany w 1986 r. Brain infekował boot sector DOS-a na dyskietce. Prawdziwy boot sector (podmieniony przez wirusa) był relokowany do innego sektora i oznaczany jako nieprawidłowy. Po uruchomieniu komputera pojawiał się następujący tekst:

Welcome to the Dungeon (c) 1986 Basit & Amjads (pvt) Ltd VIRUS_SHOE RECORD V9.0 Dedicated to the dynamic memories of millions of viruses who are no longer with us today – Thanks GOODNESS!! BEWARE OF THE er..VIRUS : this program is catching program follows after these messages….$#@%$@!!

Wirus nie był groźny. Unikał uszkadzania partycji i nie infekował dysków twardych. Z tego powodu często pozostawał niewykrywany. Bracia umieścili w manifeście numery telefonów i adres, aby użytkownicy mogli poprosić o pomoc w skasowaniu wirusa:

Welcome to the Dungeon © 1986 Brain & Amjads (pvt). BRAIN COMPUTER SERVICES 730 NIZAM BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE: 430791,443248,280530. Beware of this VIRUS…. Contact us for vaccination…

10-loveILOVEYOU

Wirus był stosunkowo prostą aplikacją napisaną w Visual Basic (Wikipedia).
Pojawił pojawił się w Hongkongu 3 maja. Infekował maszyny poprzez e-mail z załącznikiem Love-Letter-For-You.TXT.vbs. Następnie robak rozsyłał się samodzielnie do pierwszych 50 kontaktów w książce adresowej. Wirus niszczył zbiory muzyczne, pliki graficzne, wyszukiwał hasła i loginy, przesyłając je następnie autorowi wirusa. Infekcja obięła aż 10% maszyn podłączonych do Internetu. Wszystko to stało się w ciągu 10 dni!

Straty oszacowano na około 20 miliardów dolarów (koszt utraconych danych plus koszt usunięcia wirusa i szczepienia). Był to jeden z najbardziej destrukcyjnych wirusów w historii i najbardziej kosztownych. Twórcy robaka, Reonel Ramones oraz Onel de Guzman z Filipin, nie zostali pociągnięci do odpowiedzialności z powodu braku odpowiednich przepisów i przebywają na wolności.

mydoom_virusMyDoom

Przypuszczalne pochodzenie: Rosja Rok: 2004
Niewiele osób pamięta, ale 26 stycznia 2004 r. Internet zauważalnie zwolnił (ogólna wydajność spadła o 10%, a ładowanie stron nawet o 50%). Efekt ten trwał niecały dzień. Powodem był malutki programik infekujący komputery poprzez e-mail. Nazywał się MyDoom lub Norvarg.
Użytkownik otrzymywał wiadomość z komunikatem typu “Mail Transaction Failed“. W załączniku znajdował się plik. Jego kliknięcie uwalniało robaka, który przeczesywał kontakty w skrzynce i rozsyłał się dalej. Poza tym aplikacja wykrywała klienta sieci Kazaa i tam również uwalniała się w świat.
Szacuje się, że 1 na 10 wiadomości rozsyłanych tego dnia była zainfekowana wirusem. Owo spowolnienie było spowodowane lawiną e-maili wysyłanych przez MyDoom. Kto napisał wirusa?
W wiadomości tekstowej znaleziono taką oto linijkę tekstu:
andy; I’m just doing my job, nothing personal, sorry
Wygląda na to, że wirus został napisany na zlecenie przez firmę produkującą spam i po prostu wymknął się spod kontroli. Nazwa powstała od kolejnego fragmentu kodu, w którym twórca napisał “mydom“.
Wirus instalował backdoora na porcie 3127/tcp, co umożliwiało zdalne sterowanie maszyną. Wystarczyło zainstalować własny plik SHIMGAPI.DLL w katalogu system32. Dodatkowo program wykonywał atak DoS na serwery firmy SCO Group, co także może wskazywać na osobiste porachunki. (Wikipedia)

melissaMelissa

Przypuszczalne pochodzenie: USA Rok: 1999
Nazwany na cześć egzotycznej tancerki z Florydy, obrał sobie za cel dokumenty edytora Word, arkusza kalkulacyjnego Excel oraz pliki klienta pocztowego Outlook. W samych Stanach Zjednoczonych dotkniętych zostało nim ponad milion komputerów. Melissa to jeden z pierwszych wirusów rozpowszechnianych za pomocą poczty elektronicznej. Doprowadził do paraliżu sieci korporacyjne oraz rządowe. W pewnym sensie wyznaczył początek nowej ery wirusów oraz przemysłu z nimi walczącego.

confickerConficker

Pochodzenie: Europa Rok: 2009
Tutaj chyba nie ma zaskoczenia. Infekcje dziesiątek milionów komputerów oraz serwerów w 200 krajach na całym świecie zrobiły swoje. Conficker wykorzystuje różne złożone techniki i jest częściowo wirusem, a częściowo trojanem. Próbuje zablokować aktualizacje systemowe i atakuje antywirusa. Największe straty spowodował na terenie Europy, uderzając między innymi w brytyjskie ministerstwo obrony, francuską marynarkę wojenną, czy norweską policję.(Wikipedia)

nimdaNimda

Pochodzenie nieznane Rok: 2001
Do tej pory Nimda pozostaje jednym z najbardziej skomplikowanych technicznie wirusów w historii. Do replikacji wykorzystywał aż pięć różnych metod, a po dostaniu się do komputera lub serwera skutecznie uniemożliwiał pracę. Tworzył konto z uprawnieniami administratora, nadpisywał dane na twardym dysku oraz ustawienia sieciowe. Co ciekawe, nie wymagał otwierania lub uruchamiania jakiegokolwiek pliku. Wikipedia.

klezKlez

Rosja Rok: 2002
Robak Klez zasłużył sobie na miejsce w kategorii ‘naj’ pod względem stopnia rozpowszechnienia na całym świecie. Zachowywał się bardzo podobnie do SirCam nadpisując zawartość plików zerami. Dodatkowo Klez walczył z oprogramowaniem antywirusowym próbując je wyłączyć i utrzymać się możliwie jak najdłużej przy życiu.

StuxnetStuxnet

Przypuszczalne pochodzenie: Izrael Rok: 2010
Robak, który zaatakował komputery w świeżo uruchomionej irańskiej elektrowni atomowej. Temperaturę podniosły dodatkowo doniesienia brytyjskiej telewizji Sky News, jakoby kod robaka niemal natychmiast trafił na informatyczny czarny rynek. Stuxnet uzyskał miano atomowego wirusa i zdaniem ekspertów wyznacza start nowej ery zagrożeń.

sasserSasser

Pochodzenie: Niemcy Rok: 2004
Straty spodowane działaniem tego wirusa ocenia się na całym świecie na ponad 18 miliardów dolarów. Od Sassera ucierpiały małe i wielkie biznesy. Padł między innymi satelitarny system komunikacji między francuskimi agencjami prasowymi, a linie lotnicze Delta Airlines zostały zmuszone do odwołania wielu zaplanowanych lotów.(Wikipedia)

zeus_INGZeus

Zidentyfikowany w czerwcu 2007 roku, Zeus był wówczas wykorzystany do wykradania informacji z amerykańskiego Department of Transportation.
Sprawa przycichła – ale tylko po to, by w dwa lata później pojawić się na listach zagrożenia firmy Prevx, która odkryła, że za pośrednictwem Zeusa zainfekowano 74 tys. serwerów FTP tak gigantycznych organizacji, jak Bank of America, NASA, ABC, Oracle, Cisco, Amazonu czy magazynu BusinessWeek.
Zeus rozprzestrzenia się poprzez ataki drive-by download i phishing. Trojan w dalszym ciągu jest wykorzystywany do ataków; wirus podmieniał wtedy stronę logowania do bankowości internetowej na sfałszowaną, łudząco podobną do oryginału. Pojawiają się też przeróżne odmiany programu, jak choćbyZitMo (Zeus in the Mobile). Zeus atakuje klientów instytucji finansowych, prosząc o instalację mobilnego antywirusa.

Zeus do tej pory określany jest jako największy botnet w sieci; w samych Stanach Zjednoczonych, zainfekowanych jest przeszło 3,6 mln komputerów. (Wikipedia)

138310-StormWorm-ecardStorm Worm

Wirus pojawił się w 2006 roku, rozsyłając siebie w e-mailach zatytuowanych „230 ofiar śmiertelnych burzy nad Europą” – stąd jego ogólnie przyjęta nazwa. Znany był jeszcze, jako Peacomm i Nuwar. Warto przypomnieć, że w 2001 roku po sieci grasował W32.Storm.Worm, ale był to zupełnie inny, inaczej działający twór. Wracając do Storm Worm z 2006 roku, był on trojanem podszywającym się pod różne programy, nie zawsze te same. Zainfekowany komputer zmieniał w zombie albo w bota, przekazując kontrolę swojemu właścicielowi. Część korzystających ze Storm Worm hackerów wykorzystywało go do tworzenia wielkich sieci botnet, z których rozsyłali całe tony spamu. Wiele wersji wirusa potrafiło dostosować się do bieżących wydarzeń na świecie, np. przed Igrzyskami Olimpijskimi w Pekinie w 2008 roku, rozsyłał siebie w wiadomościach zatytuowanych „nowa śmiercionośna katastrofa w Chinach” oraz „najbardziej śmiertelne trzęsienie ziemi w Chinach”. Maile zawierały link do rzekomego wideo lub artykułu, ale po kliknięciu oczywiście ściągał się Storm Worm. Z perspektywy czasu, to zdecydowanie najbardziej agresywny i rozpowszechniony wirus – w lipcu 2007 roku firma Postini przyznała, że wykryła ponad 200 milionów e-maili noszących w sobie Storm Worm, a były to dane z ataku monitorowanego jedynie kilka dni. Szczęśliwie, nie każda wiadomość zakończyła się ściągnięciem wirusa. Nie jest również trudno wykryć obecnego w systemie robaka – wystarczy regularnie aktualizować oporgramowanie antywirusowe i nie otwierać maili z niewiadomych źródeł. (Wikipedia)

Graficzna historia wirusów

Infekcja komputera wirusem

Najczęściej poprzez pliki. Wystarczy pobrać coś z Internetu lub zgrać coś z płyty, dyskietki czy z pendrive’a. Jak się chronić przed wirusami? Zainstalować naprawdę dobry program antywirusowy, Nawet darmowy. Nosicielami wirusów są cracki, keygeny. Chociaż nic nie może nam dać 100% bezpieczeństwa. Bo to co sekundę się zmienia.
Nie mam zaufania do firmy Kasperky. Nie udowodnili im na 100%, ale najprawdopodobniej sami pisali wirusy na które mieli od razu aktualizację (jeden z wielu artykułów na ten temat). Czysty marketing.

Podział:

  • Wirusy dyskowe, które atakują sektory dyskietek i dysków twardych,
  • Wirusy plikowe, infekujące pliki na różne sposoby. Można tu wymienić wirusy, które są na końcu pliku, nadpisujące, nagłówkowe, wykorzystujące pustą przestrzeń pliku i takie, które lokują się w dowolnym miejscu.
  • Wirusy skryptowe (bardziej skomplikowane dla zwykłego użytkownika), takie jak wsadowe, powłokowe, makrowe, lokacyjne.

Sposób infekcji

  • Wirusy rezydentne zaszywają się w pamięci operacyjnej komputera i żerują na odwołaniach do systemu operacyjnego. Można je podzielić na szybkie i wolne. Te pierwsze chcą zaatakować system w możliwie jak najszybszy sposób. Zarażają wszystko co się da z prędkością światła. Z reguły użytkownik komputera szybko orientuje się, że coś tu nie gra, bo nagle jego komputer zaczyna pracować na zwolnionych obrotach. Wirusy wolne wcale nie są takie leniwe jak wskazuje ich nazwa, wręcz przeciwnie. Są one bardziej przebiegłe od tych szybkich. Zależy im na tym, żeby użytkownik jak najdłużej nie wiedział, że nie korzysta z tego komputera już sam. Są to wirusy bardzo trudne do wykrycia, ale i do usunięcia, nawet przez osoby, które dobrze się na tym znają.
  • Wirusy nierezydentne to najprostsze wirusy, które atakują nasz sprzęt. Ich działanie polega na zaatakowaniu pliku. Niczego nieświadomy użytkownik go uruchomi, a ten zagnieździ się w naszej pamięci operacyjnej i poszuka kolejnej ofiary do zarażenia. O tym, że zostaliśmy zaatakowani dowiemy się przez wolniejsze działanie programów.

Muzeum wirusów pokazuje dawne zagrożenia

Każdy wchodząc na stronę Internet Archive może zobaczyć, w jaki sposób działały dawne wirusy, a trzeba przyznać, że zakres ich działań był bardzo szeroki i nie w każdym przypadku niszczycielski. Niektóre z nich zalewały ekran monitora mozaiką kolorowych pikseli, inne setkami tych samych wyrazów, itp.
W muzeum dostępnych jest łącznie 78 przykładów wirusów, których efekty działania możemy bezpiecznie obejrzeć w internetowej przeglądarce. Jeśli chcecie dokładniej je poznać, możliwe jest również pobranie ich na dysk naszego komputera. Twórcy muzeum zapewniają, że wszystkie wirusy zostały zmodyfikowane, więc nie stanowią już żadnego zagrożenia.

Aby ustrzec się przed wirusami należy nie tylko instalować sprawdzone programy antywirusowe, ale też uważać na to, co ściągamy, co przynosimy na pamięci zewnętrznej, na jakie strony wchodzimy i regularnie robić kopie zapasowe.

Źródło: Gadżetomania, Wikipedia, Komputer Świat,