!
Počítačové viry a bezpečnost počítačových systémů
Historie a motivace prof. Ing. Ivan Zelinka, Ph.D. Department of Computer Science Faculty of Electrical Engineering and Computer Science VŠB-TUO 17. listopadu 15 708 33 Ostrava-Poruba Czech Republic
!
Email:
[email protected] www.ivanzelinka.eu Phone: +420 57 603 5192 GSM: +420 775 161 965 prof. Ing. Ivan Zelinka, Ph.D. http://www.ivanzelinka.eu/hp/Vyuka.html
Motivace
Havárie Spanair MD-82, Madrid, 2008
• V r. 2008 havaroval Spanair MD-82 při vzletu v Madridu, zahynulo 154 lidí, byla to
• • •
nejhorší letecké tragédie Španělska za posledních 25 roků. Orgány vyšetřující 2008 havárii letu Spanair 5022 objevili centrálního počítačového systému, sloužícího ke sledování provozu, že technické problémy letadla byly způsobeny škodlivým softwarem. Interní zpráva vydaná leteckou společností odhalila infikovaný počítač který neodhalil tři technické problémy s letadly, která by v případě zjištění, zabránily vzlétnutí letadla - podle zpráv ve španělském deníku El País. Americká Národní rada pro bezpečnost dopravy ohlásila v předběžném šetření, že letadlo vzlétlo s klapkami a sloty zasunutými - a že žádný zvukový signál na to neupozornil. Malware v počítači Spanair byla identifikován jako typ trojského koně.
Škody
Viry působí firmám obrovské škody • Tři viry, které se masivně šířily v posledních dvou týdnech, nakazily milióny počítačů a podle údajů firmy MessageLabs rozeslaly po internetu více než sto miliónů infikovaných e-mailů.
• Vzhledem k tomu, že působení nákaz ještě neskončilo, žádná z analytických
agentur nezveřejnila odhad celkových škod. Samotný virus Blaster/LovSan zatím způsobil podle specializované firmy na vyhledávání původců útoku TrueSecure škody asi za dvě miliardy dolarů.
• Útokům internetových červů podlehly například kanadské aerolinie Air Canada, americká dopravní firma CSX, centrální banka v americké Atlantě nebo centrála švédského telekomunikačního gigantu TeliaSonera.
• Ve Spojených státech docházelo několik dnů za sebou ke zpožďování vlaků,
•
protože vypadl signální systém řízený počítači. V neděli 23. srpna málem nevyšel prestižní deník New York Times. Sobig. F napadl redakční počítačový systém. Přitom Sobig. F je ještě relativně nevinný. Napadá sice počítače a ochromuje elektronickou komunikaci. Ale například neničí datové soubory. Společnost Computer Economics, která se zabývá výzkumem počítačového trhu, uvádí, že podle předběžných odhadů by měly viry způsobit letos škody v celkové výši 13 miliard dolarů.
Trochu statistiky
Rootkit (vyslovuj [růtkyt]) je sada počítačových programů a technologií, pomocí kterých lze maskovat přítomnost zákeřného software v počítači (například přítomnost virů, trojských koňů, spyware a podobně).
Trochu statistiky
Špionáž - Na Írán zaútočil počítačový vir, tvářil se jako vládní soubory • Íránští vědci zachytili nebezpečný počítačový vir Stars a nyní ho zkoumají v laboratořích.
Špionážní vir je podle nich součástí kybernetického tažení, které proti Teheránu vedou jeho nepřátelé. Loni napáchal škody na íránských jaderných zařízeních virus Stuxnet. V posledních osmi měsících je to už druhý vážný útok na íránské počítačové systémy. "Naši mladí experti byli naštěstí schopni virus Stars objevit a nyní ho zkoumají v laboratořích," řekl šéf íránské civilní obrany Gholámreza Džalálí. Džalálí neprozradil, co měl Stars napadnout. Podle něj se přesná charakteristika viru stále zkoumá. "Stars si rozumí s počítačovými systémy a v počáteční fázi působí jen malé škody a může být lehce zaměnitelný se soubory vládních organizací," přiblížil Džalálí.
• Virus Stuxnet stále hrozí
Irán z útoku podle britského listu The Guardian okamžitě obvinil nepřátele, kteří údajně usilují o podkopání jaderného programu země. Obavy z cíleného kyberútoku jsou v Íránu na místě. Loni na íránská jaderná zařízení zaútočil virus Stuxnet, který experti popisují jako první řízenou kybernetickou střelu, která měla ochromit nukleární program země. To se částečně i povedlo. Stuxnet vyřadil z provozu několik centrifug potřebných k výrobě jaderného paliva v nukleárním komplexu v Natanzu a poškodil počítače jaderného reaktoru v Búšehru. Podle Íránců však vědci virus neutralizovali dřív, než stačil napáchat větší škody. Podle amerického listu The New York Times virus vyvinuli američtí a izraelští odborníci a dva roky ho testovali v izraelském jaderném zařízení Dimona. Džalálí i osm měsíců po incidentu připustil, že Stuxnet stále představuje jisté nebezpečí.
Špionáž - Nový počítačový virus jako nástroj mezinárodní špionáže • Ruská společnost, specializující se na počítačovou bezpečnost, vydala 28. května
prohlášení, ve kterém oznamuje, že objevila nový virus, který se zaměřuje na mezinárodní špionáž.
• Virus, označovaný jako „Flame", je schopen shromažďovat data, zapínat mikrofony
připojené k počítači, aby nahrával případné rozhovory, pořizovat snímky obrazovky a ukládat obsah konverzace z instant messangerových klientů.
• Vitalij Kamluk je hlavním expertem na malware společnosti Kaspersky Lab, která virus
Flame zachytila. Podle Kamluka napovídá velikost a komplexnost řešení viru, že byl pravděpodobně vytvořen pro nějakou vládu. Virus byl zřejmě vyvinut stejnými lidmi, kteří stojí i za červem Stuxnet.
• Objevují se spekulace, že Stuxnet, který v roce 2010 zaútočil na počítače spojené s
íránským jaderným programem, byl vyvinut v Izraeli a Spojených státech. „Myslíme si, že se jedná o poměrně vzácný příklad virtuální zbraně, která dokládá, že tu v současnosti probíhají utajené kybernetické válečné operace. Jednou z definic kybernetické války je právě její kompletní utajení, je to vlastně její klíčová charakteristika. Pokud dojde k prozrazení útoku, znamená to, že nebyl úspěšný," uvádí Vitalij Kamluk.
Kybenetická válka - Kybernetické schopnosti čínské armády představují pro USA vážnou hrozbu • Vojenské počítačové sítě, které čínská vláda vyvíjí pro případ kybernetických válek,
představují vážnou hrozbu pro vojenské operace USA v případě konfliktu. Uvádí to březnová zpráva sestavená zbrojní firmou Northrop Grumman pro americký kongres.
• Studie určená výboru pro ekonomické a bezpečnostní otázky mezi USA a Čínou líčí
alarmující obraz překotného vývoje kybernetických schopností čínské lidové armády, k němuž v posledních letech dochází. Analytikové na základě velkého množství podkladů tvrdí, že čínský režim se pokouší o integraci propracovaných počítačových sítí do širšího vojenského a výzvědného kontextu.
• Panují obavy, že tento moderní potenciál by mohl být využit pro účely kybernetické války
vůči Spojeným státům a vyřadit nebo poškodit jejich vojenské zařízení. Nebezpečí podle zprávy spočívá i v tom, že o napadení by se americká strana dozvěděla až po samotném útoku, nikoli předtím.
• Jak upozorňuje zpráva, vojensko-počítačové možnosti asijské země jsou rozvíjeny za
pomoci zahraničních firem, přičemž kromě vojenského využití se kybernetická válka čínské strany soustřeďuje také na získávání cenného intelektuálního vlastnictví amerických společností.
• Agentura Bloomberg vloni v prosinci napsala, že čínští hackeři napadli 760 firem, zatímco Wall Street Journal odhaduje, že americké společnosti přišly díky krádežím intelektuálního vlastnictví (včetně počítačových útoků) o 50 miliard dolarů.
Kybernetická studená válka je stále nebezpečnější Stuxnet malware je předzvěstí nové éry kybernetické války
• Stuxnet je jiný, než většina malware - škodlivého softwaru. Program se nenabourává do
finanční sféry, avšak experti se domnívají, že na jeho vývoj padly milióny dolarů. Stuxnet je kybernetická zbraň, která dokáže převzít kontrolu nad stroji, k jejichž obsluze se používají počítače, a to i nad těmi, které nejsou připojeny k internetu.
• Tvůrce Stuxnetu není znám, program sám však představuje první výstřel nového typu války. • 26. září ohlásila íránská média, že malware Stuxnet byl objeven v búšehruské jaderné elektrárně a napadl IP adresy více než 30 000 počítačových systémů. Malware se šířil dál a útočil na systémy po celém světě, včetně Spojených států, Indie a Číny.
• Krátce nato náměstek amerického ministra obrany William Lynn oznámil, že Pentagon a Ministerstvo vnitřní bezpečnosti vyvíjejí nové kybernetické strategie, které mají v plánu rozšiřovat i na mezinárodní úrovni, s tím, že „vláda USA začala zavádět různé iniciativy na obranu Spojených států v digitální éře."
• „Každý den jsou americké vojenské a civilní sítě tisíckrát sondovány a milionkrát
skenovány," píše Lynn a dodává: „Protivníci získali z amerických sítí, spojeneckých sítí a ze sítí průmyslových partnerů tisíce souborů, včetně plánů zbraní, operačních plánů a sdělovacích dat."
Kybernetická studená válka je stále nebezpečnější
Stuxnet malware je předzvěstí nové éry kybernetické války
• Během akce Rady zahraničních vztahů konané 1. října Lynn řekl, že bude existovat pět pilířů kyber-strategie, z nichž hned ten první chápe „kyberprostor takový, jaký je: jako nové válečné území. Stejně jako země, moře, vzduch a vesmír, musíme zacházet s kybernetickým prostorem jako s oblastí, v níž budeme operovat, kterou budeme chránit a se kterou budeme nakládat z pohledu vojenských doktrín".
• Zbylé pilíře jsou věnovány aktivní počítačové obraně, ochraně rozvodných sítí, dopravních sítí a finančních sítí, spolupráci se spojenci za použití „konceptu studené války" ve smyslu sdílení zpravodajských informací a technologií, a správě zdrojů tak, aby zajistily Spojeným státům potřebné technické prostředky k obraně proti útokům jakéhokoli původu.
• „V budoucnu se jakákoli válka na nebi, zemi či moři bude také odehrávat v
kybernetickém světě," uvedl v e-mailové korespondenci Roel Schouwenberg, vedoucí vědecký pracovník v oblasti malwaru anti-virové společnosti Kaspersky Lab.
Kybernetické zbraně • „Nemyslím si, že si uvědomují, jak zásadní a zranitelné naše systémy jsou. Naše doprava na ně spoléhá, stejně tak naše logistika a zásobování," říká Jonkman. „Tři nebo čtyři hlavní databáze - a můžete zastavit veškeré dodávky jídla v USA."
• Podle Jonkmana jakákoli účinná počítačová strategie bude muset být důkladná. K plné
ochraně počítačových systémů bude proto nějaké formě dohledu muset podléhat i hardware. Poznamenal, že v minulosti již bylo zjištěno, že Čína přidávala viry do firmware základního softwaru samotných zařízení.
• „Takže pokud nakupujeme hardware odtamtud, cokoliv, co přijde do Států, se snadno může
změnit v zadní vrátka, protože oni [čínské podniky] jsou pod kontrolou vlády. Pokud chceme skutečně chránit náš národ, musíme si také sami postavit hardware," podotýká Jonkman.
• Podle toho, co Jonkman říká „kybernetická válka nejsou jen hackeři v jedné místnosti,
útočící na hackery v jiné místnosti". „Je to útok na infrastrukturu a obrovské množství infrastruktury mohou ovlivnit drobné maličkosti - například ovládání rozvodny elektrické sítě; nebo rozvážku jídla; nebo zavirovat počítač centrálního vodárenského systém v New Yorku, který umí otevírat a zavírat ventily nebo přidávat či odebírat chemikálie."
Z pytláka nejlepší hajný: dobří hackeři se snaží počítačové systémy chránit
• Ve světě počítačů jsou dobří hackeři, kteří naše systémy zabezpečují a zlí hackeři, kteří se nám snaží do systémů nabourat a poničit data či ukrást informace. V IBM zaměstnávají takzvané White Hat hackery, kteří se starají o bezpečnost počítačových systémů a softwaru.
• „Musíme zajistit, že je ten systém bezpečný. Jedním způsobem, jak to udělat, je provést
etický průnik. Při této činnosti se lidé vlastně snaží nabourat do systému a překonat a obejít různé ochranné mechanizmy, které systém má," říká Adi Sharabani ze Security Architecture & Strategy z IBM.
• Sharabani říká, že hackeři používají celou řadu metod od automatizovaných nástrojů až po
ruční metodologie: „Představte si, že systém je budova. Já budu zkoumat dveře, okna, střechu, každé místo, kudy bych se mohl dostat dovnitř. A pak analyzuji všechna omezení, která každý z těchto vstupních bodů má. No a pak se budu snažit vymyslet, jak tato omezení překonat."
Historie
Historie
Historie • Late 1960s - early 1970s
Periodically on the mainframes at that period of time there appeared programs called "the rabbit". These programs cloned themselves, occupied system resources, thus lowering the productivity of the system. Most probably "rabbits" did not copy themselves from system to system and were strictly local phenomena - mistakes or pranks by system programmers servicing these computers. The first incident which may be well called an epidemic of "a computer virus", happened on the Univax 1108 system. The virus called "Pervading Animal" merged itself to the end of executable files - virtually did the same thing as thousands of modern viruses do.
• The first half of 1970s
"The Creeper" virus created under the Tenex operating system used global computer networks to spread itself. The virus was capable of entering a network by itself by modem and transfer a copy of itself to remote system. "The Reeper" anti-virus program was created to fight this virus, it was the first known anti-virus program.
• Early 1980s
Computers become more and more popular. An increasing number of program appears written not by software companies but by private persons, moreover, these programs may be freely distributed and exchanged through general access servers - BBS. As a result there appears a huge number of miscellaneous "Trojan horses", programs, doing some kind of harm to the system when started.
Historie
• 1981
"Elk Cloner" bootable virus epidemics started on Apple II computers. The virus attached itself to the boot sector of diskettes to which there were calls. It showed itself in many ways - turned over the display, made text displays blink and showed various messages.
• 1986
The first IBM PC virus "Brain" pandemic began. This virus infecting 360 KB diskettes became spread over the world almost momentarily. The secret of a "success" like this late probably in total unpreparedness of computer society to such a phenomenon as computer virus. The "Brain" virus was the first stealth virus, too - if there was an attempt to read the infected sector, the virus substituted it with a clean original one. Also in 1986 a programmer named Ralph Burger found out that a program can create copies of itself by adding its code to DOS executables. His first virus called "VirDem" was the demonstration of such a capability. This virus was announced in December 1986 at an underground computer forum, which consisted of hackers, specializing at that time on cracking VAX/VMS systems (Chaos Computer Club in Hamburg).
Historie
• 1987
"Vienna" virus appears. Some more IBM PC viruses are being written independently in the same year. They are: "Lehigh", infecting the COMMAND.COM file only; "Suriv-1" a.k.a. "April1st", infecting COM files; "Suriv-2", infecting (for the first time ever) EXE files; and "Suriv-3", infecting both COM and EXE files. There also appear several boot viruses ("Yale" in USA, "Stoned" in New Zealand, "PingPong" in Italy), and the first self encrypting file virus "Cascade". Non-IBM computers are also not forgotten: several viruses for Apple Macintosh, Commodore Amiga and Atari ST have been detected. In December of 1987 there was the first total epidemics of a network virus called "Christmas Tree", written in REXX language and spreading itself under the VM/CMS operating environments. On the ninth of December this virus was introduced into the Bitnet network in one of West German universities, then via gateway it got into the European Academic Research Network (EARN) and then into the IBM Vnet. In four days the virus paralyzed the network, which was overflowing with copies of it. On start-up the virus output an image of the Christmas tree and then sent copies of itself to all the network users whose addresses were in the corresponding system files NAMES and NETLOG.
Historie 1988 On Friday the 13 1988 several companies and universities in many countries of the world "got acquainted" with the "Jerusalem" virus. On that day the virus was destroying files which were attempted to be run. Probably this is one of the first MS-DOS viruses which caused a real pandemic, there were news about infected computers from Europe, America and the Middle East. Incidentally the virus got its name after one of the places it stroke - the Jerusalem University. "Jerusalem" together with several other viruses ("Cascade", "Stoned", "Vienna") infected thousands of computers still being unnoticed - anti-virus programs were not as common then as they are now, many users and even professionals did not believe in the existence of computer viruses. It is notable that in the same year the legendary computer guru Peter Norton announced that computer viruses did not exist. He declared them to be a myth of the same kind as alligators in New York sewers. Nevertheless this delusion did not prevent Symantec from starting its own anti-virus project Norton Anti-virus after some time. Notoriously false messages about new computer viruses started to appear, causing panic among the computer users. One of the first virus hoaxes of this kind belongs to a Mike RoChenle (pronounced very much like "Microchannel"), who uploaded a lot of messages to the BBS systems, describing the supposed virus copying itself from one BBS to another via modem using speed 2400 baud for that. Funny as it may seem many users gave up 2000 baud standard of that time and lowered the speed of their modems to 1200 baud. Similar hoaxes appeared even now. The most famous of them so far are GoodTimes and Aol4Free.
Historie
1988
• November 1988: a total epidemic of a network virus of Morris (a.k.a. Internet Worm). This virus
infected more than 6000 computer systems in USA (including NASA research Institute) and practically paralyzed their work. Because of erratic code of the virus it sent unlimited copies of itself to other network computers, like the "Christmas Tree" worm virus, and for that reason completely paralyzed all the network resources. Total losses caused by the Morris virus were estimated at 96 millions of dollars. This virus used errors in operating systems Unix for VAX and Sun Microsystems to propagate. Besides the errors in Unix the virus utilized several more original ideas, for example picking up user passwords.
• December 1988: the season of worm viruses continues this time in DECNet. Worm virus called
HI.COM output and image of spruce and informed users that they should "stop computing and have a good time at home!!!" There also appeared new anti-virus programs for example, Doctors Solomon's Anti-virus Toolkit, being one of the most powerful anti-virus software presently.
Historie
1989
• New viruses "Datacrime", "FuManchu" appear, as do the whole families like "Vacsina" and "Yankee". The first one acted extremely dangerously - from October 13th to December 31st it formatted hard disks. This virus "broke free" and caused total hysteria in the mass media in Holland and Great Britain.
• September 1989: 1 more anti-virus program begins shipping - IBM Anti-virus. • October 1989: one more epidemic in DECNet, this time it was worm virus called "WANK Worm". • December 1989: an incident with a "Trojan horse" called "AIDS". 20,000 copies were shipped on diskettes marked as "AIDS Information Diskette Version 2.0". After 90 boot-ups the "Trojan" program encrypted all the filenames on the disk, making them invisible (setting a "hidden" attribute) and left only one file readable - bill for $189 payable to the address P.O. Box 7, Panama. The author of this program was apprehended and sent to jail.
• Also in 1989 began a total epidemics of computer viruses in Russia, caused by the same "Cascade",
"Jerusalem" and "Vienna", which besieged the computers of Russian users. Luckily Russian programmers pretty quickly discovered the principles of their work, and virtually immediately there appeared several domestic anti-viruses, and AVP (named "-V") those time, was one of them.
Historie 1990
• This year brought several notable events. The first one was the appearance of the first
polymorphic viruses "Chameleon" (a.k.a. "V2P1", "V2P2", and "V2P6"). Until then the anti-virus programs used "masks" - fragments of virus code - to look for viruses. After "Chameleon"'s appearance anti-virus program developers had to look for different methods of virus detection. The second event was the appearance of Bulgarian "virus production factory": enormous amounts of new viruses were created in Bulgaria. Disease wears the entire families of viruses "Murphy", "Nomenclatura", "Beast" (or "512", "Number-of-Beast"), the modifications of the "Eddie" virus etc. A certain Dark Avenger became extremely active, making several new viruses a year, utilizing fundamentally new algorithms of infecting and covering of the tracks in the system. It was also in Bulgaria that the first BBS opens, dedicated to exchange of virus code and information for virus makers. In July 1990 there was an incident with "PC Today" computer magazine (Great Britain). It contained a floppy disk infected with "DiskKiller" virus. More than 50,000 copies were sold. In the second half of 1990 there appeared two Stealth monsters - "Frodo" and "Whale". Both viruses utilized extremely complicated stealth algorithms; on top of that the 9KB "Whale" used several levels of encrypting and anti-debugging techniques.
Historie
• 1991
Computer virus population grows continuously, reaching several hundreds now. Anti-viruses also show increasing activity: two software monsters at once (Symantec and Central Point) issue their own anti-virus programs - Norton Anti-virus and Central Point Anti-virus. They are followed by less known anti-viruses from Xtree and Fifth Generation. In April a full-scale epidemic broke out, caused by file and boot polymorphic virus called "Tequila", and in September the same kind of story happened with "Amoeba" virus. Summer of 1991: "Dir_II" epidemic. It was a link virus using fundamentally new methods of infecting files.
Historie 1992
• Non-IBM PC and non-MS-DOS viruses are virtually forgotten: "holes" in global access network are closed,
errors corrected, and network worm viruses lost the ability to spread themselves. File-, boot- and file-boot viruses for the most widely spread operating system (MS-DOS) on the most popular computer model (IBM PC) are becoming more and more important. The number of viruses increases in geometrical to progression; various virus incidents happen almost every day. Miscellaneous anti-virus programs are being developed, dozens of books and several periodic magazines on anti-viruses are being printed. A few things stand out: Early 1992: the first polymorphic generator MtE, serving as a base for several polymorphic viruses which follow almost immediately. Mte was also the prototype for a few forthcoming polymorphic generators. March 1992: "Michelangelo" virus epidemics (a.k.a. "March6") and the following hysteria took place. Probably this is the first known case when anti-virus companies made fuss about this virus not to protect users from any kind of danger, but attract attention to their product, that is to create profits. One American anti-virus company actually announced that on the 6th of March the information on over five million computers will be destroyed. As a result of the fuss after that the profits of different anti-virus companies jumped several times; in reality only about 10,000 computers suffered from that virus. July 1992: The first virus construction sets were made,VCL and PS-MPC. They made large flow of new viruses even larger. They also stimulated virus makers to create other, more powerful, construction sets, as it was done by MtE in its area. Late 1992: The first Windows virus appears, infecting this OS's executables, and starts a new page in virus making.
Historie
1993
• Virus makers are starting to do some serious damage: besides hundreds of mundane viruses which are no different than their counterparts, besides the whole polymorphic generators and construction sets, besides new electronic editions of virus makers there appear more and more viruses, using highly unusual ways of infecting files, introducing themselves into the system etc. The main examples are: "PMBS", wording in Intel 80386 protected mode. "Strange" (or "Hmm") - a "masterpiece" of Stealth technology, however fulfilled on the level of hardware interrupts INT 0Dh and INT 76h. "Shadowgard" and "Carbunkle", which widened debt range of algorithms of companion viruses. "Emmie", "Metallica", "Bomber", "Uruguay" and "Cruncher" - the use of fundamentally new techniques of "hiding" of its own code inside the infected files. In spring of 1993 Microsoft made its own anti-virus MSAV, based on CPAV by Central Point.
Historie 1994
• The problem of CD viruses is getting more important. Having quickly gained popularity CD disks became one of the main means of spreading viruses. There are several simultaneous cases when a virus got to the master disk when preparing the batch CDs. As a result of that a fairly large number (tens of thousands) of infected CDs hit the market. Of course they cannot be cured, they just have to be destroyed. Early in that year in Great Britain there popped out two extremely complicated polymorphic viruses, "SMEG.Pathogen" and "SMEG.Queeg”. Their author placed infected files to a BBS, causing real panic and fear of epidemics in mass media. Another wave of panic was created by a message about a supposed virus called "GoodTimes", spreading via the Internet and infecting a computer when receiving E-mail. No such virus really existed, but after some time there appeared a usual DOS virus containing text string "Good Times". It was called "GT-Spoof". Law enforcement increases its activities: in Summer of 1994 the author of SMEG was "sorted out" and arrested. Approximately at the same time also in Great Britain there was arrested an entire group of virus makers, who called themselves ARCV (Association for Really Cruel Viruses). Some time later one more author of viruses was arrested in Norway.
Historie
1994
• There appear some new unusual enough viruses:
January 1994: "Shifter" - the first virus infecting object modules (OBJ files). "Phantom1" - the cause of the first epidemic of polymorphic virus in Moscow. April 1994: "SrcVir" -- the virus family infecting program source code (C and Pascal). June 1994: "OneHalf" - one of the most popular viruses in Russia so far starts a total epidemics. September 1994: "3APA3A" - a boot-file virus epidemic. This virus uses a highly unusual way of incorporating into MS-DOS. No anti-virus was ready to meet such kind of a monster. In 1994 (Spring) one of the anti-virus leaders of that time - Central Point - ceased to exist, acquired by Symantec, which by that time managed to "swallow" several minor companies, working on antiviruses - Peter Norton Computing, Cetus International and Fifth Generation Systems.
Historie 1995
• Nothing in particular among DOS viruses happens, although there appear several complicated
enough monster viruses like "NightFall", "Nostardamus", "Nutcracker", also some funny viruses like "bisexual" virus "RMNS" and BAT virus "Winstart". The "ByWay" and "DieHard2" viruses become widespread, with news about infected computers coming from all over the world. February 1995: an incident with Microsoft: Windows95 demos disks are infected by "Form". Copies of these disks were sent to beta testers by Microsoft; one of the testers was not that lazy and tested the disks for viruses. Spring 1995: two anti-virus companies - ESaSS (ThunderBYTE anti-virus) and Norman Data Defense (Norman Virus Control) announce their alliance. These companies, each making powerful enough anti- viruses, joined efforts and started working on a joint anti-virus system. August 1995: one of the turning points in the history of viruses and anti-viruses: there has actually appeared the first "alive" virus for Microsoft Word ("Concept"). In some month the virus "tripped around the world", pesting the computers of the MS Word users and becoming a firm No. 1 in statistic research held by various computer titles.
Historie 1996
• January 1996: two notable events - the appearance of the first Windows95 virus ("Win95.Boza") and the epidemics of the extremely complicated polymorphic virus "Zhengxi" in St. Petersburg (Russia).
• March 1996: the first Windows 3.x virus epidemic. The name of the virus is "Win.Tentacle". This
virus infected a computer network a hospital and in several other institutions in France. This event is especially interesting because this was the FIRST Windows virus on a spree. Before that time all the Windows viruses had been living only in collections and electronic magazines of virus makers, only boot viruses, DOS viruses and macro viruses were known to ride free.
• June 1996: "OS2.AEP" - the first virus for OS/2, correctly infecting EXE files of this operating system. Earlier under OS/2 there existed only the viruses writing themselves instead of file, destroying it or acting as companions.
• July 1996: "Laroux" - the first virus for Microsoft Excel caught live. The idea of "Laroux", like that of Microsoft Word viruses, was based on the presence of so-called macros (or Basic programs) in the files. Such programs can be included into both electronic spreadsheets of Microsoft Excel and Microsoft Word documents. As it turned out the Basic language built into Microsoft Excel also allows to create viruses.
Historie
• 1996 • December 1996: "Win95.Punch" - the first "memory resident" virus for
Windows95. It stays in the Windows memory as a VxD driver, hooks file access and infects Windows EXE files that are opened.
• In general the year 1996 is the start of widespread virus intervention into the Windows32 operating system (Windows95 and WindowsNT) and into the Microfoft Office applications. During this and the next year several dozens of Windows viruses and several hunsdreds of macro viruses appeared. Many of them used new technologies and methods of infection, including stealth and polymorphic abilities. That was the next round of virus evolution. During two years they repeated the way of improving similar to DOS viruses. Step by step they started to use the same features that DOS viruses did 10 years beforehand, but on next technological level.
Historie 1997
• February 1997: "Linux.Bliss" - the first virus for Linux (a Unix clone). This way viruses occupied one more "biological" niche.
• February-April 1997: macro viruses migrated to Office97. The first of them turned out to be only "converted" to the format macro viruses for Microsoft Word 6/7, but also virtually immediately there appeared viruses aimed at Office97 documents exclusively.
• March 1997: "ShareFun" - macro-virus hitting Microsoft Word 6/7. It uses is not only standard features of Microsoft Word to propagate but also sends copies of itself via MS-Mail.
• April 1997: "Homer" - the first network worm virus, using File Transfer Protocol (FTP) for propagation. • June 1997: There appears the first self encrypting virus for Windows95. This virus of Russian origin has been sent to several BBS is in Moscow which caused an epidemic.
• November 1997: The "Esperanto" virus. This is the first virus that intends to infect not only DOS
and Windows32 executable files, but also spreads into the Mac OS (Macintosh). Fortunately, the virus is not able to spread cross the platforms because of bugs.
• December 1997: new virus type, the so-called "mIRC Worms", came into being. The most popular
Windows Internet Relay Chat (IRC) utility known as mIRC proved to be "hole" allowing virus scripts to transmit themselves along the IRC-channels. The next IRC version blocked the hole and the mIRC Worms vanished.
Historie 1998
• The virus attack on MS Windows, MS Office and the network applications does not weaken. There arose new viruses employing still more complex strokes while infecting computers and advanced methods of network-to-computer penetration. Besides numerous the so-called Trojans, stealing Internet access passwords, and several kinds of the latent administration utilities came into the computer world. Several incidents with the infected CDs were revealed - Some computer media publishers distributed CIH and Marburg (the Windows viruses) through CDs attached to the covers of their issues, with infected.
• The year beginning: Epidemic of the "Win32.HLLP.DeTroie" virus family, not just infecting Windows32
executed files but also capable to transmit to the "owner" the information on the computer that was infected, shocked the computer world. As the viruses used specific libraries attached only to the French version of Windows, the epidemic has affected just the French speaking countries.
• February 1998: One more virus type infecting the Excel tables "Excel4.Paix" (aka "Formula.Paix) was
detected. This type of a macro virus while rooting into the Excel tables does not employ the usual for the kind of viruses macro area but formulas that proved to be capable of the self-reproduction code accommodation.
• February - March 1998: "Win95.HPS" and "Win95.Marburg" - the first polymorphous Windows32• •
viruses were detected and furthermore they were "in-the-wild". The anti-virus programs developers had nothing to do but rush to adjust the polymorphous viruses detecting technique, designed so far just for DOS-viruses, to the new conditions. March 1998: "AccessiV" - the first Microsoft Access virus was born. March 1998: The "Cross" macro-virus, the first virus infecting two different MS Office applications Access and Word, is detected. Here upon several more viruses transferring their codes from one MS Office application to the other have emerged.
1998
Historie
• May 1998 - The "RedTeam" virus infects Windows EXE-files and dispatches the infected files through Eudora e-mail.
• June 1998 - The "Win95.CIH" virus epidemic beginning was registered in Taiwan where some
unknown hacker mailed the infected files to local Internet conferences. There from virus has made the way to USA where through the staff oversight infected at once several popular Web servers that started to distribute infected game programs. According to the "popularity" ratings the virus pushed "Word.CAP" and "Excel.Laroux" to second cabin. One should also pay attention to the virus dangerous manifestation - depending on the current date the virus erased Flash BIOS what in some conditions could kill motherboard.
• August 1998: Nascence of the sensational "BackOrifice" ("Backdoor.BO") - utility of latent (hacker's) management of remote computers and networks. After "BackOrifice" some other similar programs "NetBus", "Phase" and other - came into being. Also in August the first virus infecting the Java executed files - "Java.StangeBrew" - was born. The virus was not any danger to the Internet users as there was no way to employ critical for the virus replication functions on any remote computer. However it revealed that even the Web servers browsers could be attacked by viruses.
• November 1998: "VBScript.Rabbit" - The Internet expansion of computer parasites proceeded by
three viruses infecting VisualBasic scripts (VBS files), which being actively used in Web pages development. As the logical consequence of VBScript-viruses the full value HTML-virus ("HTML.Internal") was born to life. Virus-writers obviously turned their efforts to the network applications and to the creation of full value Network Worm-Virus that could employ the MS Windows and Office options, infect remote computers and Web-servers or/and could aggressively replicate itself through e-mail.
Nejhorší viry
Nejhorší viry Začátky virů sahají do 70. let minulého století, kdy se objevil první virus na prastarém ARPA pod názvem Creeper. Od té doby se mnohé změnilo a dnes se v "divočině" (internet) objevují viry, vytvářející milionové botnety, schopné odstavit od internetu klidně celou zemi.
• Brain, 1986
Při viru Brain se to všechno začalo. Brain byl první virus objeven v roce 1986, který byl vytvořen pro PC. Tento virus nebyl sám o sobě ničivý, jediné, co udělal, bylo zkopírování se do boot sektoru disku. Jeho přítomnost na disku se dala zjistit tím, že se vypsal text: Welcome to the Dungeon (c) 1986 Basi * Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES 730 Nizam BLOCK Allam Iqbal TOWN Lahore-PÁKISTÁN PHONE: 430791,443248,280530. Beware of this VIRUS .... Contact us for vaccination ... Bylo přímo amatérské zveřejnit své kontaktní údaje a jeho tvůrci na tuto chybu doplatili. Začaly dostávat tak velké množství telefonátů, že museli změnit své telefonní číslo.
• Michelangelo, 1991
Michelangelo je nejhorší virus, jaký byl napsán pro MS DOS. Stejně jako Brain se šířil pomocí kopírování se do boot sektoru disků. Potichu se šířil měsíce a následně 6. března přepsal první sektory všech disků na nuly. Cenná data sice na disku zůstaly, ale pro většinu běžných uživatelů byly navěky ztracené (nezapomeňte, že v té době nebyly nástroje, znalosti a ani internetové diskuse, díky kterým by se mohlo podařit získat potřebné informace, jak zvrátit tento žalostný stav).
Nejhorší viry
• Melissa, 1999
Červ Melissa se objevil na internetu v roce 1999. Rozesílají se sám a jeho obsah byl soubor dopis.doc, který údajně obsahoval hesla na 80 pornografických stránek. I když tento červ neměl přímé destrukční sklony, díky jeho masovému šíření padlo mnoho stovek mailových serverů po celém světě, které nezvládli zátěž, a jeho autor byl potrestán 20 měsíci ve federální věznici a pokutou 5000 USD.
• ILOVEYOU, 2000
Jeden z prvních notoricky známých červů. Pokud se nemýlím, o tomto červu se zmínili iv některých večerních zprávách u nás. Jde o červa, který se šíří mailem. Po napadení počítače se automaticky odešle všem kontaktům v mailovém klientovi a následně zničí veškerou hudbu a filmy na napadeném počítači. Například Pentagon musel dokonce vypnout své servery, aby se tohoto viru dokázal zbavit. Celkové škody způsobené tímto červem se odhadují na 5,5 miliardy USD. Červ ILOVEYOU vytvořil mladý student, kterému škola nedovolila ukončit studium, protože jeho závěrečná práce byla posouzena jako porušující zákon.
Nejhorší viry • Code Red, 2001
Code Red byl jeden z prvních virů, které napadaly servery místo klientských počítačů. Hned po tom, jak napadl dostatečné množství počítačů, začal DDoS útok na známé servery, jako například stránky Bílého domu. V té době měla většina uživatelských počítačů pomalé připojení (dial-up) do internetu, a proto bylo výhodnější napadnout servery. V dnešní době je, naopak, výhodnější napadnout statisíce uživatelských počítačů, jejichž výkon a výsledná kapacita linky mnohonásobně překonávají běžné servery ve světě.
• Nimda, 2001
Nimda fungovala podobně jako Code Red, ledaže napadala rovnou servery a také uživatelské počítače. Využívala více způsobů šíření se. Byla napsána tak efektivně, že stačilo jen 22 minut od prvního objevení se na to, aby se stala nejrozšířenějším virem na internetu.
• Klez, 2001
E-mailový virus Klez byl první, který využíval falešného odesílatele. Náhodně si vybral jeden kontakt ze seznamu kontaktů oběti a rozeslal své kopie ostatním pod tímto jménem. Tím se stalo pro uživatele nemožným určit, zda šlo o spam, nebo ne. Byl to první příklad excelentního využití sociálního inženýrství.
• Slammer, 2003
Virus Slammer potřeboval jen 10 minut na to, aby mohl infikovat až 75 000 počítačů. Díky tomuto fantastickému šíření se mu podařilo výrazně zpomalit světové linky a tím celý internet a také může za odstávku desítek tisíc serverů.
Nejhorší viry • MyDoom, 2004
Tento červ pravděpodobně znáte velmi dobře. Byl to první malware, který se díky excelentnímu využití sociálního inženýrství rozšířil na závratné množství počítačů. Po úspěšném infikovaní počítače oběti začal okamžitě spamovat všechny kontakty uložené v e-mailovém klientovi a spustil masivní DDoS útoky na servery společnosti The SCO Group, Inc., Která se proslavila žalobami proti unixovým Distribuce které údajně obsahovaly části jejího zdrojového kódu. V době, kdy se MyDoomu začal šířit, bylo velmi těžké neinfikuje se vzhledem k tomu, že tehdejší Outlook automaticky otevíral e-maily, takže po přijetí škodlivého e-mailu byla oběť okamžitě infikovaná. Mnoho ISP tehdy řešilo problém s tímto červem odpojením klienty od internetu.
• PoisonIvy (2005)
PoisonIvy is a computer security nightmare; it allows the attacker to secretly control the infected user’s computer. Malware like PoisonIvy is known as a “remote access trojan,” because it provides full control to the perpetrator through a backdoor. Once the virus is installed, the perpetrator can activate the controls of the targeted computer to record or manipulate its content or even use the computer’s speaker and webcam to record audio and video. Once thought of as a tool for amateur hackers, PoisonIvy has been used in sophisticated attacks against dozens of Western firms, including those involved in defense and chemical industries, according to a white paper written by Symantec, the computer security firm. The attacks were traced back to China.
Nejhorší viry • Storm, 2007
Storm je oblíbený malware. Šíří se prakticky čímkoliv - od e-mailů až po napadené stránky. Po úspěšném infikovaní počítače ho zapojí do sítě zvané botnet. Storm botnet se podle odhadů odborníků v době své největší slávy pyšnil více než 50 000 000 infikovanými počítači. Storm se dá považovat za průkopníka a zakladatele nové doby, zvané Cybercrime 2.0.
• Zeus (2007)
There is no shortage of malware kits that target personal information, but Zeus has become the go-to tool for many of today’s cyber criminals and is readily available for sale in the cyber crime underworld. It can be used to pilfer passwords as well as files, helping to create a literal underground economy for compromised identities that can be bought and sold for as little 50 cents. In the age of Internet banking and online shopping, a compromised identity is much more than just a name and social security number: it’s your address, date of birth, mother’s maiden name, and even your secret security questions (your first pet, your favorite teacher, or your best friend from grade school).
• MayDay, 2008
Malware, který je díky kompletnímu šifrování své komunikace a zdrojového kódu zahalen do roušky tajemství. Údajně pochází od tvůrců stol. Neidentifikovatelné, destruktivní, Cybercrime 3.0.
Nejhorší viry • agent.btz (2008)
This piece of malware’s claim to fame is that it temporarily forced the Pentagon to issue a blanket ban on thumb drives and even contributed to the creation of an entirely new military department, U.S. Cyber Command. Agent.btz spreads through infected thumb drives, installing malware that steals data. When agent.btz was found on Pentagon computers in 2008, officials suspected the work of foreign spies. Former Deputy Secretary of Defense William Lynne later wrote that agent.btz created “a digital beachhead, from which data could be transferred to servers under foreign control.” Though some anti-virus experts have disputed the contention that the virus was the creation of a foreign intelligence agency, its effect was to make cyber war a formal part of U.S. military strategy.
• Conficker Virus (2009)In 2009, a new computer worm crawled its way into millions of
Windows-based PCs around the world, creating a massive botnet army of remotely controlled computers capable of stealing financial data and other information. Its complexity made it difficult to stop, and the virus prompted the creation of a coalition of experts dedicated to stopping its spread. At its height, the Conficker worm infected millions of computers, leading anti-virus researchers to call it the “super bug,” or “super worm.” But the real mystery of Conficker, which still infects a large number of computers, is that no one knows what it was meant to do: the botnet army was never used for any specific purpose, to the best of anyone’s knowledge. Conficker’s real purpose still confounds security experts.
Nejhorší viry • Stuxnet (2009-2010) http://vimeo.com/25118844
•
Stuxnet je počítačový červ objevený v červnu 2010 běloruskou firmou VirusBlokAda. Je zajímavý tím, že to je první známý červ, který se soustředí na kontrolu průmyslových systémů. Byl naprogramován, aby útočil na systémy SCADA. Umí přeprogramovat programovatelné logické automaty a své změny skrýt. Specifically, Stuxnet was designed to damage machinery at Iran’s uranium enrichment facility in Natanz. Based on the available information, including data from the International Atomic Energy Agency, experts believe Stuxnet caused a large number of Iran’s centrifuges—essentially giant washing machines used to enrich uranium—to spin out of control and self-destruct. Though Stuxnet was discovered in 2010, it is believed to have first infected computers in Iran in 2009.
Nejhorší viry
• An error is seen on a computer screen of Bushehr nuclear power plant's map in the Bushehr
Port on the Persian Gulf, 1,000 kms south of Tehran, Iran on February 25, 2009. Iranian officials said the long-awaited power plant was expected to become operational last fall but its construction was plagued by several setbacks, including difficulties in procuring its remaining equipment and the necessary uranium fuel.
Co dál? Stuxnet a spol. mají bratříčka - říká se mu Gauss
• Gauss, a new "cyber-espionage toolkit, has emerged in the Middle East and is capable of
stealing sensitive data such as browser passwords, online banking accounts, cookies and system configurations, according to Kaspersky Lab. Gauss appears to have come from the same nation-state factories that produced Stuxnet.
• According to Kaspersky, Gauss has unique characteristics relative to other malware. Kaspersky said it found Gauss following the discovery of Flame. The International Telecommunications Union has started an effort to identify emerging cyberthreats and mitigate them before they spread.
• In a nutshell, Gauss launched around September 2011 and was discovered in June. Gauss,
which resembles Flame, had its command and control infrastructure shut down in July, but the malware is dormant waiting for servers to become active.
