Kratka istorija malware-a | Drugi deo: Windows era

   12/01/2012  Leave a Comment on Kratka istorija malware-a | Drugi deo: Windows era  Posted in InfoSec, Software, Work

Download Article as PDF


Kako sam u predhodnom postu načeo temu istorije razvoja malware-a, sada ću da nastavim. U ovom delu ću se pozabaviti delom razvoja od nastanka windows operativnog sistema, do dana kada su se crvi krenuli da se koriste i kada je malware krenuo da se upotrebljava za materijalnu dobit, kao i za napade na infrastrukturu. Odnosno sabotažu.

Pre nego što pređemo na windows malware, bitno je pomenuti Morrisovog crva. Ovaj crv se pojavio u vreme kada je internet bio na početku i kada nisu postojale gotovo nikakve zaštite prilasku računaru. Napravljen je kao studentski projekat studenta MIT, koji je želeo da izračuna broj računara na internetu. Crv se širio preko mreže tako što je slao svoju kopiju svim povezanim računarima, tamo se replicirao i ponovo prosleđivao na ostale povezane računare. Crv je imao bug, da nije obraćao pažnju na to da li je već posetio neki računar. To je u to vreme dovelo gotovo do potpunog zagušenja i pada mreža. Robert Morris je bio prvi čovek osuđen po američkom zakonu iz 1986. godine o računarskoj šteti i zloupotrebi.

WinVir  je prvi Windows virus. Kreirao ga je čovek sa pseudonimom Masud Khafir, koji je takođe kreirao i Plague virus. WinVir nije činio neku naročitu štetu, ali je bio prvi virus koji je mogao da inficira novu PE strukturu izvršnih fajlova. Pokrenuti zaraženi fajl je tražio druge .exe fajlove i radio na njima određene izmene, dok je pokrenuti fajl vraćao u originalno stanje. Odnosno WinVir je brisao sebe iz fajla koji je pokrenut.

Monkey je virus koji je inficirao Master Boot Record hard diskova i floppija. Premeštao je prvi sektor MBR u treći i prvi sektor zamenjivao svojim kodom. Kada se korisnik bootovao normalno, ništa se ne bi primećivalo, međutim kada bi se bootovao sa floppija, ispisivala bi mu se poruka Invalit drive specification.

One_Half ili Slovački bombarder. Inficirao je master boot record hard diska, COM fajlove i EXE fajlove. Nije inficirao fajlove koje sadrže SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV ili CHKDSK u imenu, kako bi izbegao algoritme autoprovere fajlova koji pripadaju antivirusima. Poznat je po svojoj čudnoj osobini da je enkriptovao delove korisničkog hard diska, ali onda ih je dekriptovao prilikom pristupa, tako da korisnik ne bi primetio ništa. Enkripcija se radila uz pomoć XOR funksije sa nasumično generisanim ključem, dok je dekripcija mogla da se uradi takođe uz pomoć XOR-a istim tim nizom bajtova ponovo. Međutim, nepažljiva dezinfekcija je mogla da dovede do gubitka podataka, ukoliko korisnik ne dekriptuje podatke, a uništi virus koji dekriptuje i pristupa podacima.Virus je prikazivao sledeću poruku 4.,8.,10.,14.,18.,20.,24.,28 i 30. svakog meseca pod određenim okolnostima:

Dis is one half.

Press any key to continue …

ConceptWM.Concept (1995) je bio velika promena u filozofiji širenja virusa i veliki game changer. Radi se o prvom macro virusu koji se širio pomoću Microsoft Word dokumenata. Napisan je u macro jeziku za word. Funkcionisao je kako na IBM PC, tako i na Macintosh računarima, sve dok je na računarima bio instaliran MS Word. Inficirao je sistem kad god je bio učitan dokument za zaraženim template-om. Makro je kopirao zaraženi template u master template, pa tako svaki dokument koji bi na tom sistemu bio otvoren i prošao kroz Word je nosio zaraženi template.

Laroux (X97M/Laroux) je bio prvi Microsoft Excel macro virus. Detektovan je u julu 1996. Napisan je u Visual Basic za applikacie (VBA), makro jeziku baziranom na Visual Basic-u. Virus je mogao da radi pod Excelom 5.x i 7.x i pod Windowsom 3.x, WIndows 95 i Windows NT. Takođe funkcionisao je i na lokalizovanim verzijama Excela. Nije činio nikakvu štetu, samo se replicirao.

Boza – Radi se o prvom virusu koji se širio pod Microsoft Windows 95 operativnim sistemom. Nađen je januara 1996. Virus ima australijsko poreklo, ali je detektovan u celom svetu, ali nije bio ozbiljna pretnja po korisnike windowsa 95.

Inficirao je Windows Portabilne EXE datoteke- fajlove koji koriste Windows 95 i Windows NT. Međutim nije napadao mašine koje su koristile NT OS. Za sad nije nađen virus koji se specifično bazira na Windows NT.

Kad god bi EXE datoteka inficirana Boza virusom bila pokrenuta, on bi inficirao programe u tekućem direktorijumu. Jedan do tri EXE fajla su bila inficirana prilikom svakog pokretanja. Nakon ovoga Boza bi izvršio kod originalnog inficiranog fajla. Boza nije ostajao aktivan u memoriji nakon izvršavanja. Širio se relativno sporo. Međutim proces infekcije je bio dovoljno brz da ne bi mogao da bude primećen na većini mašina.

Boza nije imao nikakve destruktivne rutine, ali imao je grešku pri kojoj bi inficiran fajl mogao da poraste do nekoliko megabajta. Ovo bi moglo da redukuje brzo prostor na hard disku (s obzirom da u to vreme hard diskovi su iznosili nekoliko stotina megabajta). Virus je imao aktivacionu rutinu koja je prikazivala prozor sa tekstom ‘The taste of fame just got tastier!’ i ‘From the old school to the new’, koji se pojavljivao 31. bilo kog meseca.

Marburg – Win95/Marburg je virus koji je počeo da cirkuliše u augustu 1998. godine, kada je zarazio master CD popularne MGM/EA PC igre Wargames.

MGM – izdavač igre je izdao saopštenje 12. augusta 1998:
From: “K.Egan (MGM)” <[email protected]> Subject: MGM WarGames Statement Date: Wed, 12 Aug 1998 18:03:39 -0700
MGM Interactive recently learned that its WarGames PC game shipped with the Win32/Marburg.a virus contained in the electronic registration program. The company is working as fast as it can to resolve the problem … MGM Interactive is committed to delivering top quality products to consumers. This is an unfortunate circumstance and we sincerely apologize for any convenience this has caused you. … If you have any questions or if you would like to receive a replacement disc, please contact MGM Interactive.

Isti virus se proširio i autustu 1998., kada je bio sadržan na pratećem CD austrijskog PC Power Play časopisa.

Maburg je polimorfni Windows 95/98 virus. Inficirao je Win32 i SCR (screen saver) fajlove, enkriptovao svoj kod sa variabilnim polimorfnim slojem enkripcije. Polimorfni motor virusa je bio poprilično napredan, jer je enkriptovao virus sa 8, 16 i 32 bitnim ključen i nekoliko metoda. Virus je koristio spori polimorfisan, što znači da je menjao svoj dekriptor jako sporo.
Maburg je brisao integriti bazu nekoliko antivirusnih produkta. Takođe je izbegavao inficiranje izvršnih fajlova poznatih antivirusnih programa, uključujući sve izvršne fajlove koji sadže slovo V u svom imenu. Ovo je urađeno kako bi se izbeglo okidanje samo proveranja ovih programa.


Maburg se aktivirao 3 meseca nakon inicijalne infekcije. Ukoliko je inficirana aplikacija pokrenuta u isti sat kao i inicijalna infekcija, virus bi prikazivao standarnu Windows error ikonicu (crveni krst u belom krugu) na nasumičnim pozicijama po ekranu.
Happy99 – Prvi mail virus. Prilikom otvaranja file-a iz attachmenta prikazivao je animaciju u kojoj je želeo srećnu novu 1999. godinu, ali je uz to sebe mailovao svim kontaktima. Otkriven 1998. Važno je napomenuti da u to vreme nisu postojale zaštite na mail serverima

Melissa -Imenovan po ženskoj egzotičnoj plesačici, poznatoj pisaču virusa, Melissa je kombinovala tehnike virusa i mail virusa. Inficirala je Word fajl, koji je posle slala emailom svim kontaktima u korisnikovom imeniku. Na ovaj način je Melissa postala prvi virus koji se proširio svetom za samo nekoliko časova. Virus je takođe ubacivao komentare iz serije The Simpsons u zaraženi dokument. Takođe slala je nasumični dokument koji je našla na hard disku korisnika, što je moglo da načini priličnu štetu, s obzirom da su tu mogli biti određeni planovi, ljubavna pisma…

LoveLetter (2001) – Mail virus koji je slomio milijone srca, LoveLetter je do danas jedan od najvećih širenja virusa u istoriji. Širio se preko email attachmenta i prepisivao je mnoge krucijalne fajlove na inficiranom računaru. Ovo širenje je bio zapravo jedan jako uspešan pokušaj socijanog inženjerstva. Koristeći premisu ljubavi, virus je ubedio milijone da otvore attachment, što je prouzrokovalo štetu od 5,5 milijardi dolara širom sveta.

Anakournikova – Još jedan popularan virus koji se širio putem email-a. Navodno je slao slike Ane Kurnjikove, lepe i sexi teniserke. Međutim attachemnt je bio izvršni fajl, koji je opet slao zaraženi fajl svim kontaktima. Ljudi iz antivirusnih kompanija su imali problem da ubede ljude koji su dobili mail, da ne mogu da vide sliku Ane Kurnjikove i da ne mogu da otvore attachment, pa čak i ako ga otvore, sliku Kurnjikove neće videti. Čak i molbe da potraže sexy slike Ane Kurnjikove na internetu nisu mnogo urodile plodom…

Nastavak o crvima i malware-u koji se koristio za finansijsku dobit i sabotažu, iduće nedelje.

Nikola Milošević

 

 

 

 

 


Other posts you may be interested in:

Author: Nikola Milošević
Born in Bratislava, Slovakia, lived in Belgrade, Serbia, now living in Manchester, UK, and visitng the world. Nikola is a great enthusiast of AI, natural language processing, machine learning, web application security, open source, mobile and web technologies. Looking forward to create future. Nikola has done PhD in natural language processing and machine learning at the University of Manchester where he worked for 2 years. In 2020, Nikola moved to Berlin and works in Bayer Pharma R&D as a computational scientist.

Leave a Reply

Your email address will not be published. Required fields are marked *