Kratka istorija malware-a | Prvi deo: Počeci

   11/24/2012  Leave a Comment on Kratka istorija malware-a | Prvi deo: Počeci  Posted in InfoSec, Software, Work

Download Article as PDF


Još jednom ću se osvrnuti na istoriju malware-a, jer mislim da je tema izuzetno zanimljiva a i otkriva slika o tome gde smo nekad bili, kako je sve počelo, kako se razvilo, gde smo danas i ka ćemu će se ići u budućnosti, kako  u razvoju malware-a, tako i u borbi protiv njih. Članci o kratkoj istorij malware-a će biti podeljeni u 4 dela. Prvi će se odnositi na početke u uglavnom dos okruženju. Drugi deo će biti posvećen ranim Windows virusima. Dok će treći biti posvećen modernim spyware alatima, cybercrime sceni i dok će četvrti biti posvećen vojnoj upotrebi virusa.

 

Sve je počelo sa Brain.A. Ovo je prvi PC virus iz 1986. Ovaj virus su napisali Basit i Amsat, dva tada mlada čoveka iz Pakistana. U source kod su upisali svoje podatke,broj telefona, kao i adresu. Naravno, tada ih niko nije gonio, ali danas, 25 godina nakon toga što su napisali virus Miko Hypponen, glavni analitičar F-Secure-a je odlučio da ih podtraži i pita zašto su napisali prvi virus u PC istoriji. Otišao je u Pakistan, na adresu upisanu u kodu Brain.A virusa i vrata su mu otvorili upravo Basit i Amsat. Trenutno oni vode internet provajdersku firmu koja se zove Brain telecommunications. Objasnili su Miku da je virus bio proof of concept. Naime, imali su pozadinu u svetu Unix-a i mainframe sistemima. Kada je došao PC i DOS, što se njima nije svidelo. Mislili su da nije bezbedan, kao što očigledno nije bio. Odlučili su da to dokažu, tako što će napisati virus. Naravno nisu imali pojma da će virus obići svet i zaraziti računare u preko 100 država sveta.

[youtube=http://www.youtube.com/watch?v=lnedOWfPKT0]

 

Virusi poput Brain.A su tipični za period kasnih ’80tih, kao i motiv autora. Oni nisu želeli ništa konkretno da postignu, već su hteli da probaju nešto i dokažu.  Naprave svojevrstan proof of concept. Većina njih se i širila na sličan način. Zaraza je bila u boot sektoru diskete. Kada ubaci korisnik disketu njegov računar se zarazi, kao i svaka sledeća disketa koju on ubaci.  S obzirom da u to vreme nisu postojale mreže, ovo je bio najefikasniji način širenja. Neki računari čak nisu imali ni hard disk, već samo 2 floppy drajava. Većina ovih virusa je imalo i vizuelnu komponentu. Zaražena žrtva bi znala kad je zaražena, jer bi joj se određeni tekst ili animacija prikazala u konzoli.

Omega  je bio virus koji je zarazio boot sektor. Međutim, nije pravio mnogo štete do određenog datuma. Ukoliko bi bio petak 13. aktivirao bi na ekranu omega karakter.

Michelangelo virus 1992 prepisivao prvih 100 sektora hard diska i sistem nije mogao da se bootuje više.File allocation tabela bude uništena. Prepisivanje File allocation tabele se dešavalo ukoliko je računar bootovan na godišnjicu rođenja Michelangela. U suprotnom virus nije radio ništa

V-sign je inficirao boot sektor i jednom mesečno iscrtavao slovo V na ekranu.

Walker je sledeći virus koji se pojavio 1992. godine i koji je iscrtava hodača po kome je dobio ime na DOS konzoli s vremena na vreme i tako ometao korisnike.

Ambulance je virus jako sličan Walker-u, ovaj virus je iscrtavao ambulantni auto kako prolazi ekranom. Međutim ovaj virus je imao i zvučne efekte, odnosno mogla se čuti sirena ambulantog auta.

Casino virus je igrao igru sa zaraženim korisnikom. Prilikom zaraze obrisao bi file alocation tabelu, međutim čuvao bi kopiju u memoriji. Pokretao bi jackpot igricu u kojoj igrač treba da dobije 3 znaka £, kako bi pobedio. Ukoliko igrač pobedi, virus je kopirao nazad iz memorije file alocation tabelu i korisnik je mogao da nastavio. Ukoliko ne, korisnik bi izgubio sve fajlove. Takođe, prilikom restarta, pošto je file allocation tabela samo u memoriji, ona bi se potpuno izgubila i korisnik bi opet izgubio fajlove.

 

 

MtE – Mutation engine, napisan od strane bugarskog razvijača virusa poznatog pod pseudonimom Dark Avenger. Radilo se o programu kome se mogao proslediti bilo koji virus, koji bi dodao novu funkcijonalsnot tom virusu da može da mutira, odnosno da ima funkciju polimorfizma.  Do tada virusi su se pretraživali na računarima isključivo pomoću potpisa. Ali ovaj nova funkcijonalnost je stvorila problem antivirusnim programima tog vremena, jer prilikom svake replikacije virus bi imao za nijansu drugačiji kod i samim tim i potpis. Takođe mogao je kriptovati file virusa.

VCL – Virus Creation Laboratory – user interface za kreiranje virusa. U ovom trenutku je postalo poprilično jednostavno i za script kiddies da naprave svoj virus. VCL je davao grafički interfejs, gde su se mogle birati funkcionalnosti virusa i gde se sam virus mogao kreirati klikom na F9 ili Make padajući meni.

 

U ovo vreme počinje da bude popularan i Windows. Kreće veliki broj korisnika da ga koristi, a samim tim počinje bezbednost windows-a i pravljenje virusa za windows da bude interesantna tema kreatorima virusa. Opširnije o ovome u drugom delu.

Nikola Milošević

 

 

 

 

 

 


Other posts you may be interested in:

Author: Nikola Milošević
Born in Bratislava, Slovakia, lived in Belgrade, Serbia, now living in Manchester, UK, and visitng the world. Nikola is a great enthusiast of AI, natural language processing, machine learning, web application security, open source, mobile and web technologies. Looking forward to create future. Nikola has done PhD in natural language processing and machine learning at the University of Manchester where he worked for 2 years. In 2020, Nikola moved to Berlin and works in Bayer Pharma R&D as a computational scientist.

Leave a Reply

Your email address will not be published. Required fields are marked *