Najsłynniejsze i najbardziej szkodliwe wirusy w historii komputerów.
Wirus komputerowy – program komputerowy posiadający zdolność powielania się, tak jak prawdziwy wirus, stąd jego nazwa. Wirus do swojego działania potrzebuje i wykorzystuje system operacyjny, aplikacje oraz zachowanie użytkownika komputera.
Wirusy komputerowe (więcej o tym tutaj) zalicza się do złośliwego oprogramowania.
Taki mały zestaw historyczny.
Teraz dziennie powstają tysiące wirusów. Nawet laik może teraz stworzyć własnego wirusa. Można znaleźć generatory wirusów w sieci. Pewnie są w Internecie jeszcze nie odkryte do tej pory robale.
Obecnie całe państwa biorą się za pisanie wirusów. Bo to po prostu staje się bronią.
Creeper – 1971
Pierwszy wirus w historii komputerów.
Napisany w 1971 r. przez Boba Thomasa Creeper nie szkodził maszynie. Jego zadaniem było pokazanie obserwatorom możliwości aplikacji przemieszczającej się i replikującej. Działał tylko na systemie TENEX i infekował komputery DEC PDP-10 poprzez sieć ARPANET.
Chwilę po zainfekowaniu system wyświetlał następujący komunikat:
I’m the creeper, catch me if you can!
Aby usunąć bezpowrotnie Creepera i jego klony, należało wgrać aplikację Reaper, której jedynym celem było wyeliminowanie kreacji Boba.

ANIMAL – 1975
Pierwszy trojan w historii komputerów.
Pierwszy koń trojański w historii IT. Napisany w 1975 r. przez Johna Walkera na system UNIVAC 1108. ANIMAL zadawał użytkownikowi kilka pytań dotyczących zwierzęcia, o którym ten miał myśleć, a następnie zgadnąć, co to za zwierzę.
Tymczasem w tle podprogram PERVADE wykonywał kopie siebie oraz ANIMAL i rozsyłał wszędzie tam, gdzie użytkownik miał dostęp.
Trojan rozprzestrzeniał się praktycznie wszędzie tam, gdzie użytkownicy mieli nakładające się na siebie uprawnienia. Także wymiana taśm powodowała infekcję.
PERVADE nie powodował szkód i tak też został napisany. Miał być jedynie ciekawostką programistyczną ukazującą możliwości replikacji programu.

Elk Cloner – 1982
Wirus, który spowodował pierwszą większą epidemię.
Elk Cloner został napisany na system Apple II przez Richarda Skrenta. Apple II prosił się o tego typu szkodnika, bo system operacyjny przechowywany był na dyskietce, czyli bardzo wdzięcznym nośniku dla wszelakich wirusów.
Richard Skrent miał 15 lat, gdy go stworzył.
Wirus doczepiał się do Apple DOS 3.3 w boot sectorze i wędrował na dyskietkach do kolejnych nieświadomych użytkowników. Wirus w stanie uśpienia dołączony był do gry.
Po 50 z kolei uruchomieniu gra uwalniała Elk Clonera, a oczom użytkownika ukazywał się (foto) ekran z poematem o wirusie.

Brain – 1986
Pierwszy wirus na komputery klasy IBM PC.
Napisali go w Pakistanie (Lahore) dwaj bracia: Basit Farooq Alvi oraz Amjad Farooq Alvi. Zamiary twórców nie były złe, a całe przedsięwzięcie miało być jedynie żartem. Napisany w 1986 r.
Brain infekował boot sector DOS-a na dyskietce. Prawdziwy boot sector (podmieniony przez wirusa) był relokowany do innego sektora i oznaczany jako nieprawidłowy.
Po uruchomieniu komputera pojawiał się następujący tekst:
Welcome to the Dungeon (c) 1986 Basit & Amjads (pvt) Ltd VIRUS_SHOE RECORD V9.0 Dedicated to the dynamic memories of millions of viruses who are no longer with us today – Thanks GOODNESS!! BEWARE OF THE er..VIRUS : this program is catching program follows after these messages….$#@%$@!!
Wirus nie był groźny. Unikał uszkadzania partycji i nie infekował dysków twardych. Z tego powodu często pozostawał niewykrywany.
Bracia umieścili w manifeście numery telefonów i adres, aby użytkownicy mogli poprosić o pomoc w skasowaniu wirusa:
„WELCOME TO THE DUNGEON © 1986 BRAIN & AMJADS (PVT). BRAIN COMPUTER SERVICES 730 NIZAM BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE: 430791, 443248, 280530. BEWARE OF THIS VIRUS…. CONTACT US FOR VACCINATION…”

Michelangelo – 1992
Opisywany wirus to oczywiście Michał Anioł. Miał być wszędzie, miał kasować systemy operacyjne, wpływać na zawartość dyskietek i być supergroźny. Niewiele osób o tym wiedziało, ale Michał Anioł aktywował się tylko 6 marca, więc ryzyko awarii było zerowe, gdy komputery pozostawały wyłączone tego dnia lub gdy data została ręcznie zmieniona z np. 5 marca na 7 marca.
W przypadku uruchomienia komputera zarażonego wirusem Michelangelo nadpisywał sektory startowe dysku (także FAT), co dość skutecznie niszczyło strukturę danych. W tamtym czasie ich odtworzenie było praktycznie niemożliwe.
Efekty działalności Michelangelo były znikome. Awarii uległo jedynie kilka tysięcy maszyn na całym świecie, a stopień rozprzestrzenienia się wirusa był o wiele mniejszy, niż przypuszczano.
Można wręcz uznać, że Michelangelo wyrządził więcej dobrego niż złego, bo na fali jego sławy powstało kilka firm zajmujących się produkcją oprogramowania antywirusowego

Melissa – 1999
Jeden z pierwszych wirusów rozpowszechnianych za pomocą poczty elektronicznej.
Przypuszczalne pochodzenie: USA.
Nazwany na cześć egzotycznej tancerki z Florydy, obrał sobie za cel dokumenty edytora Word, arkusza kalkulacyjnego Excel oraz pliki klienta pocztowego Outlook.
W samych Stanach Zjednoczonych dotkniętych zostało nim ponad milion komputerów.
Doprowadził do paraliżu sieci korporacyjne oraz rządowe.
W pewnym sensie wyznaczył początek nowej ery wirusów oraz przemysłu z nimi walczącego.

I LOVE YOU – 2000
Jeden z najbardziej destrukcyjnych wirusów.
Wirus był stosunkowo prostą aplikacją napisaną w Visual Basic. Pojawił pojawił się w Hongkongu 3 maja.
Infekował maszyny poprzez e-mail z załącznikiem Love-Letter-For-You.TXT.vbs.
Następnie robak rozsyłał się samodzielnie do pierwszych 50 kontaktów w książce adresowej.
Wirus niszczył zbiory muzyczne, pliki graficzne, wyszukiwał hasła i loginy, przesyłając je następnie autorowi wirusa.
Infekcja obięła aż 10% maszyn podłączonych do Internetu. Wszystko to stało się w ciągu 10 dni!
Straty oszacowano na około 20 miliardów dolarów (koszt utraconych danych plus koszt usunięcia wirusa i szczepienia).
Był to jeden z najbardziej destrukcyjnych wirusów w historii i najbardziej kosztownych.
Twórcy robaka, Reonel Ramones oraz Onel de Guzman z Filipin, nie zostali pociągnięci do odpowiedzialności z powodu braku odpowiednich przepisów i przebywają na wolności.

Nimda – 2001
Najszybciej rozprzestrzeniający się wirus wszechczasów.
Przypuszczalne pochodzenie: Chiny.
Nimda (od tyłu czytana jako „admin”). Nimda potrzebowała zaledwie 22 minut, by dotrzeć na szczytowe pozycje raportów pakietów antywirusowych.
Do tej pory Nimda pozostaje jednym z najbardziej skomplikowanych technicznie wirusów w historii.
Do replikacji wykorzystywał aż pięć różnych metod, a po dostaniu się do komputera lub serwera skutecznie uniemożliwiał pracę. Tworzył konto z uprawnieniami administratora, nadpisywał dane na twardym dysku oraz ustawienia sieciowe.
Autorom wirusa chodziło o jak najskuteczniejsze zablokowanie ruchu internetowego.
Nimda atakowała przede wszystkim komputery oparte na serwerowych wersjach Windows 2000 i NT.
Co ciekawe, nie wymagał otwierania lub uruchamiania jakiegokolwiek pliku.
Code Red – 2001
Wirus, który zablokował Biały Dom.
Code Red zablokował całą infrastrukturę on-line amerykańskiego rządu. Uniemożliwiając odwiedziny w serwisie Białego Domu. Wirus zmusił pozostałe podmioty rządu USA do tymczasowego zdjęcia ich stron. Tu mieliśmy do czynienia z atakiem DDoS.
Później pojawił się Code Red II, tym razem korzystający z backdoora, który pozwalał przejąć kontrolę nad systemem operacyjnym użytkownika. To znów odmiana ataku DDoS, gdzie pecet stawał się komputerem-zombie, wykorzystywanym do przeprowadzania ataków na inne maszyny.
Jego wykrycie było trudne, ponieważ w pełni operował w pamięci RAM, której zużywał zaledwie 3,569 bajta. Program miał tworzyć setkę kopii siebie, lecz w wyniku błędu kopii było znacznie więcej, co skutkowało widocznym zużyciem RAM-u.
Wg szacunków, Code Red zainfekował 1-2 mln serwerów, a straty szacuje się na 2 miliardy dolarów.
Microsoft szybko zareagował, wydając łatkę zarówno do Windowsa 2000, jak i NT. Aktualizacja nie usuwała wirusów z zainfekowanych komputerów, a jedynie uniemożliwiała jego instalację na tych, które jeszcze nie zostały zarażone.

Klez – 2002
Pochodzenie: Rosja
Klez to robak komputerowy , który rozprzestrzeniał się za pośrednictwem poczty e-mail. Zasłużył sobie na miejsce w kategorii ‘naj’ pod względem stopnia rozpowszechnienia na całym świecie.
Nadpisywał zawartość plików zerami. Dodatkowo Klez walczył z oprogramowaniem antywirusowym próbując je wyłączyć i utrzymać się możliwie jak najdłużej przy życiu.
Późniejsze warianty robaka wykorzystywały fałszywy adres nadawcy, wybierając losowo adres e-mail z książki adresowej programu Outlook lub Outlook Express zainfekowanej maszyny, uniemożliwiając przypadkowym obserwatorom określenie, która maszyna jest zainfekowana, a ekspertom. aby określić cokolwiek więcej niż dostawcę usług internetowych zainfekowanej maszyny.

Slammer – 2003
Robak, który zainfekował serwery Microsoft SQL na całym świecie.
Cechą szczególną SQL Slammera była szybkość rozprzestrzeniania się. Tempo podwajania liczby zainfekowanych komputerów wynosiło ok. 8 i pół sekundy, w porównaniu z 37 minutami w przypadku Code Red.
Ten sposób działania umożliwił robakowi generowanie gigantycznego ruchu w sieci, rzędu wielu gigabajtów na sekundę. W kwadrans po ataku Slammer był już zainstalowany na połowie najważniejszych serwerów na świecie.
Nie działały bankomaty Bank of America, w Seattle nie dało się dodzwonić na 911 – amerykański numer alarmowy. Continental Airlines musiało anulować kilka lotów wskutek błędów w wydawaniu biletów elektronicznych.
Elektrownia nuklearna w Ohio również została zaatakowana. Autorowi Slammera udało się zneutralizować monitoring instytucji na ponad pięć godzin.
Slammer wygenerował straty szacowane na ponad miliard dolarów.

MyDoom – 2004
Przypuszczalne pochodzenie: Rosja.
26 stycznia 2004 r. Internet zauważalnie zwolnił (ogólna wydajność spadła o 10%, a ładowanie stron nawet o 50%). Efekt ten trwał niecały dzień. Powodem był malutki programik infekujący komputery poprzez e-mail. Nazywał się MyDoom lub Norvarg.
Użytkownik otrzymywał wiadomość z komunikatem typu “Mail Transaction Failed“. W załączniku znajdował się plik. Jego kliknięcie uwalniało robaka, który przeczesywał kontakty w skrzynce i rozsyłał się dalej. Poza tym aplikacja wykrywała klienta sieci Kazaa i tam również uwalniała się w świat.
Szacuje się, że 1 na 10 wiadomości rozsyłanych tego dnia była zainfekowana wirusem. Owo spowolnienie było spowodowane lawiną e-maili wysyłanych przez MyDoom. Kto napisał wirusa?
W wiadomości tekstowej znaleziono taką oto linijkę tekstu:
“andy; I’m just doing my job, nothing personal, sorry“
Wygląda na to, że wirus został napisany na zlecenie przez firmę produkującą spam i po prostu wymknął się spod kontroli. Nazwa powstała od kolejnego fragmentu kodu, w którym twórca napisał “mydom“.
Wirus instalował backdoora na porcie 3127/tcp, co umożliwiało zdalne sterowanie maszyną. Wystarczyło zainstalować własny plik SHIMGAPI.DLL w katalogu system32.
Dodatkowo program wykonywał atak DoS na serwery firmy SCO Group, co także może wskazywać na osobiste porachunki.

Sasser oraz Netsky – 2004
Ten sam autor. W szczytowej formie Sasser i Netsky stanowiły przeszło 25% wszystkich wirusów komputerowych, które były spotkać w sieci.
Twórcę wirusów, Svena Jaschana, udało się zatrzymać dzięki współdziałaniu FBI i CIA. Został skazany przez niemiecki sąd na rok i 9 miesięcy pozbawienia wolności w zawieszeniu.
Sasser
Pochodzenie: Niemcy.
Jego obecność objawiała się m.in. nagłym wyłączaniem się komputera.
Od Sassera ucierpiały małe i wielkie biznesy. Padł między innymi satelitarny system komunikacji między francuskimi agencjami prasowymi, a linie lotnicze Delta Airlines zostały zmuszone do odwołania wielu zaplanowanych lotów. Sieć informatyczna banku Goldman Sachs, niemiecka poczta.
Straty spodowane działaniem tego wirusa ocenia się na całym świecie na ponad 18 miliardów dolarów.

Netsky
Robak atakował systemy operacyjne Microsoft Windows.
Netsky nie tylko wywoływał szkody w sieciach informatycznych. Jest prawdopodobnie najbardziej znany z komentarzy zawartych w kodzie obraźliwych dla autorów robaków Bagle i Mydoom oraz, w niektórych przypadkach, procedur usuwających wersje tych wirusów.
Inne objawy Netsky’ego obejmowały piski w określonych dniach, zwykle w godzinach porannych.
Robak został wysłany jako wiadomość e-mail , zachęcająca odbiorców do otwarcia załącznika. Po otwarciu załączony program skanował komputer w poszukiwaniu adresów e-mail i wysyłał e-mail na wszystkie znalezione adresy.

Storm Worm – 2006
Najbardziej agresywny i rozpowszechniony wirus.
Wirus pojawił się w 2006 roku, rozsyłając siebie w e-mailach zatytuowanych „230 ofiar śmiertelnych burzy nad Europą” – stąd jego ogólnie przyjęta nazwa.
Znany był jeszcze, jako Peacomm i Nuwar. W sieci w 2001 roku istniał też W32.Storm.Worm, ale był to zupełnie inny robal.
Storm Worm był trojanem podszywającym się pod różne programy, nie zawsze te same.
Zainfekowany komputer zmieniał się w zombie albo w bota, przekazując kontrolę swojemu autorowi.
Hackerzy wykorzystywali Storm Worm do tworzenia wielkich sieci botnet, z których rozsyłali spam.
Wiele wersji wirusa potrafiło dostosować się do bieżących wydarzeń na świecie, np. przed Igrzyskami Olimpijskimi w Pekinie w 2008 roku, rozsyłał siebie w wiadomościach zatytuowanych „nowa śmiercionośna katastrofa w Chinach” oraz „najbardziej śmiertelne trzęsienie ziemi w Chinach”.
Maile zawierały link do rzekomego wideo lub artykułu, ale po kliknięciu oczywiście ściągał się Storm Worm.
Z perspektywy czasu, to zdecydowanie najbardziej agresywny i rozpowszechniony wirus – w lipcu 2007 roku firma Postini przyznała, że wykryła ponad 200 milionów e-maili noszących w sobie Storm Worm, a były to dane z ataku monitorowanego jedynie kilka dni.

Zeus – 2007
Największy botnet w sieci.
Zidentyfikowany w czerwcu 2007 roku, Zeus był wówczas wykorzystany do wykradania informacji z amerykańskiego Department of Transportation.
Sprawa przycichła – ale tylko po to, by w dwa lata później pojawić się na listach zagrożenia firmy Prevx, która odkryła, że za pośrednictwem Zeusa zainfekowano 74 tys. serwerów FTP tak gigantycznych organizacji, jak Bank of America, NASA, ABC, Oracle, Cisco, Amazonu czy magazynu BusinessWeek.
Zeus rozprzestrzenia się poprzez ataki drive-by download i phishing.
Trojan w dalszym ciągu jest wykorzystywany do ataków: wirus podmienia wtedy stronę logowania do bankowości internetowej na sfałszowaną, łudząco podobną do oryginału.
Pojawiają się też przeróżne odmiany programu, jak choćby ZitMo (Zeus in the Mobile). Zeus atakuje klientów instytucji finansowych, prosząc o instalację mobilnego antywirusa. Przed tym ostrzegają Nas banki (n.p. ING) w Polsce.
Zeus do tej pory określany jest jako największy botnet w sieci. W samych Stanach Zjednoczonych, zainfekowanych jest przeszło 3,6 mln komputerów.

Conficker – 2008
Jeden z groźniejszych znanych dotychczas robaków komputerowych.
Pochodzenie: Europa. Conficker, znany także jako Downup, Downadup lub Kido
Atakuje systemy operacyjne z rodziny Microsoft Windows. Systemy Linux i Macintosh były całkowicie odporne.
Infekcje dziesiątek milionów komputerów oraz serwerów w 200 krajach na całym świecie zrobiły swoje.
Conficker wykorzystuje różne złożone techniki i jest częściowo wirusem, a częściowo trojanem.
Próbuje zablokować aktualizacje systemowe i atakuje antywirusa.
Największe straty spowodował na terenie Europy, uderzając między innymi w brytyjskie ministerstwo obrony, francuską marynarkę wojenną, czy norweską policję.
13 lutego 2009 roku firma Microsoft wyznaczyła po 250 tys. dolarów nagrody dla każdego, udzieli informacji mogących pomóc w ujęciu twórcy wirusa.

Stuxnet – 2010
Pierwszy wirus przemysłowy.
Przypuszczalne pochodzenie: Izrael.
Podstawową formą rozpowszechniania się robaka są zainfekowane podręczne pamięci USB.
Pierwszym głównym celem były ataki na irańską elektrownię jądrową w Natanz. Na miejsce trafił za pośrednictwem pendrive’a jednego z tamtejszych pracowników. Systemy bezpieczeństwa elektrowni zostały zneutralizowane, przez co wirówki gazowe używane do wzbogacania uranu zaczęły pracować na pełnych obrotach i uległy zniszczeniu.
Wirus atakuje dwoma typy sterowników przemysłowych PLC. Po infekcji zmienia parametry pracy kontrolowanych przez nich silników w taki sposób, aby je fizycznie uszkodzić.
Dokładna liczba zarażonych komputerów i systemów nie jest znana, według danych z 29 września zarażonych było ok. 100 000 komputerów ze 155 krajów. Najwięcej infekcji odkryto w Iranie – 58% zarażonych komputerów, Indonezji – 18%, Indiach – 10% i Azerbejdżanie – 3,4% (pozostałe kraje poniżej 2%).
Według niepotwierdzonych informacji chińskiego producenta oprogramowania antywirusowego, Rising International, robak zaatakował kilka tysięcy zakładów przemysłowych w Chinach. Telewizja Sky News podała że kod robaka niemal natychmiast trafił na informatyczny czarny rynek. Stuxnet uzyskał miano atomowego wirusa i zdaniem ekspertów wyznacza start nowej ery zagrożeń.

Flame – 2012
Najbardziej zaawansowany technologicznie wirus
Przypuszczalne pochodzenie: Izrael lub USA(Equation Group).
Flame waży prawie 20 megabajtów. W paczce znajdują się przeróżne moduły, w tym maszyna wirtualna dla języka Lua i umożliwiające kompresję biblioteki. Mamy tu kompilację przeróżnych języków, od Lua właśnie począwszy, przez zapytania SQL, po moduły w C i skrypty Windows Management Instrumentation.
Do tego pięć rodzajów szyfrowania, trzy techniki kompresji, nagrywanie głosu, wykrywanie urządzeń Bluetooth znajdujących się w pobliżu, sniffer i unikanie wykrycia przez jakiegokolwiek antywirusa w przez dwa lata!
Możliwości wirusa są imponujące. Potrafi on zbierać informacje w każdej postaci i przekazywać je do centrum sterowania. Nagrywanie naciskanych klawiszy, wirus wykonuje regularne zrzuty ekranu (co 60 sekund, jeśli nic się nie dzieje i co 15 sekund, jeśli otwarte są okna klienta poczty lub komunikatorów).
Posiada także moduł sniffera, umożliwiającego przechwytywanie haseł przesyłanych bez szyfrowania. Potrafi także nagrywać głos z mikrofonu, co umożliwia monitorowanie otoczenia i nagrywania np. rozmów przez Skype.
Aktywne skanowanie otoczenia w poszukiwaniu urządzeń z włączonym interfejsem Bluetooth. Wirus zbiera także wszystkie informacje o działających procesach, sterownikach, plikach i katalogach znajdujących się na zainfekowanym komputerze.
Skanuje także dyski w poszukiwaniu konkretnych plików lub ich rodzajów. Wszystkie zebrane dane przechowuje w zaszyfrowanej bazie SQLite i okresowo przekazuje do centrali.
Co ciekawe, wirus nie rozmnaża się, chyba ze otrzyma taki rozkaz.
Taki technologiczny majstersztyk.

Muzeum wirusów pokazuje dawne zagrożenia
Każdy wchodząc na stronę Internet Archive może zobaczyć, w jaki sposób działały dawne wirusy. Trzeba przyznać, że zakres ich działań był bardzo szeroki i nie w każdym przypadku niszczycielski. Niektóre z nich zalewały ekran monitora mozaiką kolorowych pikseli, inne setkami tych samych wyrazów, itp.
W muzeum dostępnych jest łącznie 78 przykładów wirusów, których efekty działania możemy bezpiecznie obejrzeć w internetowej przeglądarce. Jeśli chcecie dokładniej je poznać, możliwe jest również pobranie ich na dysk naszego komputera.
Twórcy muzeum zapewniają, że wszystkie wirusy zostały zmodyfikowane, więc nie stanowią już żadnego zagrożenia.
Aby ustrzec się przed wirusami należy nie tylko instalować sprawdzone programy antywirusowe, ale też uważać na to, co ściągamy, co przynosimy na pamięci zewnętrznej, na jakie strony wchodzimy i regularnie robić kopie zapasowe.p