Historie a vývoj malware

Transkript

BAKALÁŘSKÁ PRÁCE
History and evolution of malware
Jan Kopřiva
U ni c or n C ol le ge © 20 11
U ni c or n C ol le ge , V Ka ps l ov n ě 27 67 /2 , Pr aha 3, 1 30 00
N áze v pr á c e v ČJ :
N áze v pr á c e v AJ :
H is t or i e a v ýv o j m al war e
H is t or y and ev ol u ti o n of
m al wa r e
A ut or :
J an K opř i va
Ak adem ic k ý r ok :
2 010 / 20 1 1
K ont ak t:
E-mail: [email protected]
T e l.: ( +42 0) 7 23 08 4 26 9
Bakalářská práce
1.
ZADÁNÍ
Zadání závěrečné bakalářské práce
Název ZBP v češtině: Historie a vývoj malware
Název ZBP v angličtině: History and evolution of malware
Studijní obor: Informační technologie
Akademický rok: 2010/2011
Vedoucí závěrečné práce: Jan Kaše
Termín odevzdání Zadání ZBP: 5.10.2010
Termín odevzdání práce ZBP: 13.05.2011
Cíl závěrečné bakalářské práce
Vyplnění "vakua", které v oblasti publikací o historii malware je-v soušasné době nelze najít
česky psanou publikaci, která by se touto konkrétní tématikou-tedy historií malwaru-do
detailu zabývala. Dále by pak, díky popisu propagačních mechanismů malware, měla práce
nabídnout představu o tom, jak se malwaru bránit a na jaké bázi ona obrana funguje a
případně kde může běžný uživatel pocítit její nedostatky. Konečně, po přečtění by měly být
pochopitelné trendy, kterými se vývoj malwaru v současnosti řídí a z nich získání schopnosti
usuzovat na případné budoucí potřeby obrany proti nim.
Základní literatura
Počítačová kriminalita - Michal Matějka - Computer Press 2002
Kybernetická kriminalita - Václav Jirovský - Grada Publishing 2007
Počítačové viry - Peter Szor - Zoner Press 2006
Hacking bez záhad - Stuart McClure, Joel Scambray, George Kurtz - Grada Publishing 2007
Počítačová bezpečnost a ochrana dat - Tomáš Doseděl - Computer Press 2004
Moderní počítačové viry - Igor Hák - www.viry.cz
Computer Viruses and Malware - John Aycock - Springer Science 2006
Computer viruses: From theory to applications - Eric Filiol - Springer-Verlag France 2005
Cyber Warfare - Jeffrey Carr - O’Reilly Media 2009
Hacking exposed: Malware & Rootikits - Michael A. Davis, Sean M. Bodmer, Aaron
LeMasters - The McGraw-Hill 2010
Handbook of Information and Communication Security - Peter Stavroulakis, Mark Stamp Springer-Verlag Berlin Heidelberg 2010
Spyware and Adware - John Aycock - Springer Science 2010
The Little Black Book of Computer Viruses vol. 1 - Mark Ludwig - American Eagle
Publications 1996
The Giant Black Book of Computer Viruses - Mark Ludwig - American Eagle Publications
1995
The Rootkit Arsenal - Reverend Bill Blunden - Wordware Publishing 2009
Viruses Revealed - David Harley, Robert Slade, Urs E. Gattiker - McGraw-Hill 2001
Computer Viruses for Dummies - Peter Gregory - Wiley Publishing 2004
Elements of Computer Security - David Salomon - Springer-Verlag London Limited 2010
Malware Forensics - James M. Aquilina, Cameron H. Malin, Eoghan Casey - Elsevier 2008
Trojans, Worms, and Spyware - Michael Erbschloe - Elsevier 2005
▪3▪
2.
ABSTRAKT
Bakalářská práce se zabývá popisem historie a vývoje jednotlivých forem malwaru od
prvních virů až po moderní zástupce škodlivého software a snaží se vysvětlit trendy v
minulém vývoji a odhadnout trendy ve vývoji budoucím.
Práce popisuje rozdělení malware do skupin podle zaměření a účinků konkrétního kusu a
historický význam jednotlivých skupin. Dále ukazuje na příkladech způsoby infekce a
pronikání malware do systémů, jmenuje nejúspěšnější a nejzajímavější zástupce
jednotlivých kategorií a vysvětluje důvody jejich úspěchu. Dále pak popisuje dopad vývoje
malware na vývoj antivirových programů a dalších nástrojů vytvořených k boji s malware a
likvidace jím způsobených škod.
Pomocí detailního rozboru programového kódu vybraných virů, červů a dalších druhů
škodlivého software práce demonstruje účinné techniky užívané tvůrci malware v průběhu
jeho historie a jejich změny a vývoj v závislosti na vývoji hardware, operačních systémech a
jejich změnách a vývoji dalších kusů běžně instalovaného software a dalších technických
faktorů. Práce se nicméně neomezuje pouze na popis a zhodnocení vlivu technických
faktorů na evoluci malware, ale ukazuje též vliv a dopad změn politických a společenských,
které přispěly znatelnou měrou k vytváření specializovanějších verzí již existujících
škodlivých programů i tvorbě zcela nových kategorií těchto programů.
Neustálý vývoje malware nicméně pochopitelně působí zpětně na vývoj v moderní
informační společnosti. V našich podmínkách jde většinou o dopady v podobě zohlednění
existence a nebezpečí malware v podobě tvorby a úprav zákonů-na těch jsou v rámci práce
tyto skutečnosti demonstrovány-v případě jiných států může jít o důsledky v podobě
vytváření virů nebo jiného malware pro vojenské použití. Působení malware na společnost a
jeho dopady jsou tedy v práci rovněž zmíněny i s odpovídajícími příklady.
Klíčová slova: malware, virus, červ, spyware, adware, trojský kůň, antivirus, antispyware,
infekce, historie
▪4▪
3.
ABSTRACT
The batchelor thesis describes history and evolution of diferent forms of malware from the
first viruses to modern examples of malicious software and tries to explain trends of evoution
in the past and tries to make an estimate as to the future evolution.
The thesis describes divison of malware into groups according to specialization and impact
of individual piece of malware and historical importance and impact of individual groups. It
gives examples of diferent forms of infection and intrusion into systems, names the most
successful pieces from individual categories and explains the reasons of their success. Next,
the thesis describes the impact of evolution of malware on the evolution of antivirus
programs and other tools, created to combat malware and repair the damages done by it.
The thesis, by a detail examination of program code of chosen viruses, worms and another
kinds of malicious software, demonstrates effective techniques used by the creators of
malware during the course of its history and changes and evolution of malware caused by
the evolution of hardware, changes in operation systems and changes in other pieces of
commonly installed software and by other technical factors. The thesis however isn't limited
to only description and assesment of the influence of technical factors on the evolution of
malware, but also shows the influence and impact of political and social changes that
contributed to an extent to the creation of new, specialized versions of already existing
malicious software and creation of entirely new categories of these programs.
The uninterupted evolution of malware, however, has an effect on changes in modern
information society. In our geographical conditions, the changes these effects are ussualy in
the form of reacting to the existence and dangers of malware by creation and changes in
laws-on these laws are the changes demonstrated in this thesis. For other states, the
consequences may be the creation of weaponized viruses and other malware intended for
use by the military. The effect of malware on society and its impact therefore also falls in the
scope of this thesis and is demonstrated by relevant examples.
Keywords: malware, virus, worm, spyware, adware, trojan, antivirus, antispyware, infection,
history
▪5▪
4.
PROHLÁŠENÍ
Prohlašuji, že svou bakalářskou práci na téma Historie a vývoj malware jsem vypracoval
samostatně pod vedením vedoucího bakalářské práce a s použitím odborné literatury a
dalších informačních zdrojů, které jsou v práci citovány a jsou též uvedeny v seznamu
literatury a použitých zdrojů.
Jako autor uvedené bakalářské práce dále prohlašuji, že v souvislosti s vytvořením této
bakalářské práce jsem neporušil autorská práva třetích osob, zejména jsem nezasáhl
nedovoleným způsobem do cizích autorských práv osobnostních a jsem si plně vědom
následků porušení ustanovení § 11 a následujících autorského zákona č. 121/2000 Sb.
V Praze dne 13.5.2011
…….……………….
Jan Kopřiva
▪6▪
5.
PODĚKOVÁNÍ
Děkuji vedoucímu bakalářské práce ing. Janu Kašemu za účinnou metodickou,
pedagogickou a odbornou pomoc a další cenné rady při zpracování mé bakalářské práce.
Rovněž děkuji ing. Petru Bůvovi za mnoho podnětných návrhů a připomínek ke
zpracovávanému tématu.
▪7▪
6.
OBSAH
1.
2.
3.
4.
5.
6.
7.
8.
Zadání..................................................................................................................................3
Abstrakt...............................................................................................................................4
Abstract...............................................................................................................................5
Prohlášení...........................................................................................................................6
Poděkování.........................................................................................................................7
Obsah...................................................................................................................................8
Úvod...................................................................................................................................11
Druhy malware.................................................................................................................12
8.1 Virus..........................................................................................................................12
8.2 Červy (W orms).........................................................................................................16
8.3 Trojský kůň/Trojan (Trojan horse)........................................................................18
8.4 Logická bomba (Logic bomb)................................................................................20
8.5 Exploit.......................................................................................................................21
8.6 Dialer.........................................................................................................................21
8.7 Key-logger................................................................................................................21
8.8 Rootkit.......................................................................................................................22
8.9 Dropper.....................................................................................................................22
8.10 Injektor....................................................................................................................22
8.11 Spyware..................................................................................................................22
8.12 Adware....................................................................................................................23
8.13 Hybridní hrozby.....................................................................................................24
8.14 Jmenné konvence malware.................................................................................25
8.15 Další kategorizace malware................................................................................26
9. Vývoj malware..................................................................................................................27
9.1 Historicky dominantní malware.............................................................................27
9.2 Časová osa...............................................................................................................28
9.2.1 Počátky malware..................................................................................................28
9.2.2 80. léta a éra DOSu.............................................................................................30
9.2.3 Éra Windows.........................................................................................................45
9.2.4 Současnost - éra červů.......................................................................................51
9.3 Vývoj ostatního malware........................................................................................62
9.4 Trendy v počtech malware.....................................................................................62
10. Nejúspěšnější malware................................................................................................65
10.1 Brain........................................................................................................................65
10.1.1 Historie................................................................................................................65
10.1.2 Technické informace.........................................................................................66
10.1.3 Způsobená škoda..............................................................................................66
10.1.4 Zajímavé varianty..............................................................................................66
10.2 Jerusalem...............................................................................................................67
10.2.1 Historie................................................................................................................67
10.2.3 Způsobená škoda..............................................................................................68
10.3 Stoned.....................................................................................................................69
10.3.1 Historie................................................................................................................69
10.3.3 Způsobená škoda..............................................................................................70
10.4 Morris......................................................................................................................71
10.4.1 Historie................................................................................................................71
▪8▪
10.4.3 Způsobená škoda..............................................................................................72
10.5 Onehalf...................................................................................................................73
10.5.1 Historie................................................................................................................73
10.5.3 Způsobená škoda..............................................................................................74
10.6 Pathogen................................................................................................................74
10.6.1 Historie................................................................................................................74
10.6.3 Způsobená škoda..............................................................................................75
10.7 Wazzu.....................................................................................................................76
10.7.1 Historie................................................................................................................76
10.7.3 Způsobená škoda..............................................................................................76
10.8 CIH...........................................................................................................................77
10.8.1 Historie................................................................................................................77
10.8.3 Způsobená škoda..............................................................................................77
10.9 Melissa....................................................................................................................78
10.9.1 Historie................................................................................................................78
10.9.3 Způsobená škoda..............................................................................................79
10.10 ExploreZip............................................................................................................79
10.10.1 Historie..............................................................................................................79
10.10.2 Technické informace.......................................................................................79
10.10.3 Způsobená škoda............................................................................................80
10.11 Loveletter.............................................................................................................81
10.11.1 Historie..............................................................................................................81
10.11.3 Způsobená škoda............................................................................................82
10.11.4 Zajímavé varianty............................................................................................82
10.12 Code Red.............................................................................................................82
10.12.1 Historie..............................................................................................................82
10.12.3 Způsobená škoda............................................................................................84
10.13 Klez.......................................................................................................................84
10.13.1 Historie..............................................................................................................84
10.13.3 Způsobená škoda............................................................................................85
10.14 Sobig.....................................................................................................................86
10.14.1 Historie..............................................................................................................86
10.14.3 Způsobená škoda............................................................................................87
10.15 Slammer...............................................................................................................87
10.15.1 Historie..............................................................................................................87
10.15.3 Způsobená škoda............................................................................................88
▪9▪
10.16 Blaster...................................................................................................................89
10.16.1 Historie..............................................................................................................89
10.16.3 Způsobená škoda............................................................................................90
10.17 Mydoom................................................................................................................91
10.17.1 Historie..............................................................................................................91
10.17.3 Způsobená škoda............................................................................................92
10.18 Stration.................................................................................................................93
10.18.1 Historie..............................................................................................................93
10.18.3 Způsobená škoda............................................................................................93
10.19 Zhelatin.................................................................................................................94
10.19.1 Historie..............................................................................................................94
10.19.3 Způsobená škoda............................................................................................95
10.20 Conficker..............................................................................................................96
10.20.1 Historie..............................................................................................................96
10.20.3 Způsobená škoda............................................................................................97
11. Nástroje pro boj s malware a jejich vývoj.................................................................98
11.1 Druhy anti-malware nástrojů...............................................................................98
11.2 Způsoby detekce malware.................................................................................100
11.3 Historie a vývoj nástrojů pro boj s malware...................................................102
11.4 Netradiční řešení ochrany před malware........................................................103
11.4.1 Antiviry založené na cloudu (Cloud-based AV)..........................................103
11.4.2 Procesory s NX bitem.....................................................................................104
11.5 Hodnocení kvality AV nástrojů.........................................................................104
12. Dopady malware na vývoj ve společnosti...............................................................106
12.1 Malware a právo..................................................................................................106
12.2 Zvláštní jednotky bezpečnostních složek.......................................................109
12.3 Malware pro vojenské použití a kyberterorismus..........................................110
12.4 Ekonomické dopady malware...........................................................................110
12.5 Dopady malware v prostředí firem ..................................................................111
13. Závěr.............................................................................................................................112
14. Conclusion....................................................................................................................113
15. Seznam použité literatury..........................................................................................114
16. Seznam použitých symbolů a zkratek.....................................................................118
17. Seznam obrázků..........................................................................................................119
18. Seznam grafů...............................................................................................................120
▪ 10 ▪
7.
ÚVOD
"Domnívám se, že počítačové viry by měly být považovány za živé. Myslím, že to, že jediná
forma života, kterou jsme prozatím stvořili, je čistě destruktivní, docela vypovídá o lidské
nátuře. Stvořili jsme život k obrazu svému...", tato slova pronesl Stephen Hawking a
domnívám se, že nebyl příliš daleko od pravdy. Malware se stal v průběhu posledních
desetiletí nedílnou součástí každodenního života v podstatě každého, kdo přichází do styku
s počítačovými systémy. Vzhledem k rychlosti vývoje těchto systémů a jejich pronikání do
téměř všech oblastí lidského snažení je pochopitelné, že škodlivé programy mají k dispozici
mnohem větší 'živnou půdu' a že se ji autoři malware snaží co nejvíce využít.
Malware se nicméně do dnešní podoby vyvíjel velmi dlouhou a kamenitou cestou plnou,
obdobně jako v případě biologické evoluce, slepých uliček. Některé formy škodlivého
software tedy buď úplně, nebo alespoň z větší části vymizely, zatímco jiným se dařilo a daří.
Je velmi poučné a zajímavé sledovat jak a proč některé druhy prospívaly, zatím co jiné
upadly v zapomění. Rozdělení malware na jednotlivé druhy sdílející společné znaky(a
sledování úspěchu či neúspěchu těchto druhů) pomáhá při studiu vývoje škodlivých
programů odpovídat na otázky ohledně výhodnosti užití těchto znaků. Umožňuje též
vysvětlení úspěchu nebo neúspěchu malware užívajícího tyto znaky(případně odhad
budoucího úspěchu konkrétního škodlivého programu při jeho tvorbě v závislosti na použití
těchto znaků). Toto rozdělení též umožňuje sledovat změny v rámci jednotlivých druhů v
čase.
Tento vývoj je ovlivňován nespočtem faktorů, z nichž hlavním je pravděpodobně vývoj antimalware technologií. U softwaru určeného k likvidaci malware je pochopitelně možné
sledovat změny v reakci na evoluci škodlivých programů. Dostáváme se zde tedy do
pomyslného 'začarovaného kruhu'. Nicméně byla by chyba předpokládat, že tato zpětná
závislost končí u anti-malware technologií - je vhodné si uvědomit, že malware nějakým
způsobem, mimo jiné díky svému ohromnému rozšíření, ovlivňuje zpětně i všechny ostatní
na něj působící faktory, ať již jsou technického, právního, nebo jiného charakteru.
Tato práce by měla poskytnout komplexní a, vzhledem k absenci obdobně zaměřené
publikace na trhu, unikátní pohled na všechny výše zmíněné body problematiky malware,
vysvětlit důvody i následky evoluce těchto programů a dát čitateli k dispozici nástroje pro
odhad případného vývoje budoucího.
▪ 11 ▪
8.
DRUHY MALWARE
Vzhledem k nemírné rozmanitosti škodlivého software je už samotná definice pojmu
malware poměrně problematická. Samo slovo 'Malware' je složeninou latinského slova 'mal',
znamenajícího
'špatný'(případně
z
něj
odvozeného
anglického
slova
'malicious'
znamenajícího 'škodlivý') a koncovky 'ware' v tomto případě odvozené ze slova 'software'. Z
toho vyplývá, že tento pojem označuje špatný/škodlivý program. Pro potřeby této práce
příjmeme definici z výše popsaného vyplývající, tedy že malware je 'libovolný program, který
je objektivně možno považovat za škodlivý'.
V této kapitole jsou popsány jednotlivé druhy malware. Případné příklady jsou převzaty z
knihy "Computer viruses and malware" Johna Ayocka[1] a případně upraveny pro lepší
pochopení.
8.1
Virus
Jméno tohoto druhu malware je převzaté od virů biologických kvůli podobnostem chování
tohoto malware. Virus se při spuštění replikuje na další spustitelný kód, který se při spuštění
dále rekurzivně replikuje. Tato replikace sama sebe do již existujícího kódu je virům vlastní a
nazývá se, opět pro podobnost s funkcí biologických virů, 'infekce'. Viry jsou díky tomuto
chování označovány jako 'parazitické'. Aby mohl program toto chování splňovat(a tedy byl
virem), musí dle Marka Ludwiga[2, s. 16] obsahovat alespoň dvě základní části. První je
vyhledávací rutina, pomocí které bude moci nalézt soubory vhodné pro infekci. Druhou částí
je kopírovací rutina, která vloží vlastní tělo viru do nalezeného souboru.
Přestože kód, ke kterému se tělo viru připojuje, musí být pro další šíření pochopitelně
spustitelný a jeho replikace do kódu nespustitelného je tedy zbytečná, obvjevují se čas od
času v médiích poplašné zprávy, které popisují objevení viru šířícího se touto cestou. Jde
pochopitelně o nesmysl, jak demonstruje Igor Hák[3, s. 9]:
"Párkrát se již stalo, že novináři jásali nad objevením prvního viru na světě, který dokáže
infikovat soubory formátu JPEG či MP3. V tomto případě nelze mluvit o infekci, ale o
prostém připojení zcela nepoužitelného kódu (tělo viru) k výše uvedenému formátu. Jelikož
tělo viru nedrží s původním kódem žádnou společnou strukturu, přehrávač (v případě MP3)
či prohlížeč (JPEG) považují tělo viru za 'smetí'. Navíc, JPEG i MP3 jsou datové formáty,
kdežto tělo viru binární kód."
▪ 12 ▪
Virus se tedy touto cestou nemůže šířit. Úpravy nespustitelných souborů však nemusí být
zcela nesmyslné. Pomocí změn v JPEG souborech může malware například dosáhnout
využití chyby v prohlížeči(exploitu) a způsobit tak nežádoucí chování počítače. Pravdou také
zůstává, že například makroviry(viz níže) infikují dokumenty, které samy o sobě spustitelné
nejsou. Zde je však potřeba brát ohled na fakt, že virus nepřipojuje svůj kód k vlastnímu tělu
dokumentu, ale k v něm obsaženému makru(a tedy ke spustitelnému kódu).
Vzhledem k absenci všeobecně uznávaných definic se často stává, že pojmem virus jsou
označovány i červy. Přestože nejde striktně vzato o chybu, červy nejsou - až na vyjímky parazitické (tedy nepřipojují se k jinému spustitelnému kódu) což u virů, jak je výše zmíněno,
platí. Typickými příklady virů jsou Michelangelo a Chernobyl. Viry je možné rozdělit do
mnoha kategorií podle mnoha hledisek, v této práci jsou pro popis virů užity kategorie
následující:
Rezidentní a nerezidentní virus (Memory-resident/non-resident virus)
Dvě různá pojetí virů, existující v podstatě již od počátků malware. Rozdílem je to, že
nerezidentní viry po spuštění okamžitě vykonají svůj kód(tedy pokud mohou, rozšíří
infekci) a dále se již v paměti nevyskytují. Rezidentní virus naproti tomu po spuštění
v paměti zůstává a pokud nastane stav, při kterém má rozšířit infekci, učiní tak a
nadále zůstává v paměti, kde čeká na další takové stavy. Rezidentní viry je možné
dále dělit podle rychlosti infekce na pomalé a rychlé infektory. Jak uvádí Mark
Ludwig[4, s. 87], rezidentní viry jsou mnohem mobilnější než jejich nerezidentní
protějšky a bývají tedy většinou úspěšnější. Příkladem rezidentního viru je
Stoned/Marijuana, příkladem nerezidentního pak virus Vienna.
Bakterie/Zárodek (Germ)
Bakterie, nebo podle některých autorů zárodky, jsou první generace virů, které
nevznikly šířením viru, ale zkompilováním jeho kódu. Bakterie je typická tím, že
neparazituje na jiném kódu, ale existuje samostatně. Vzhledem k jistým odlišnostem
od dalších generací může být potřeba jiných detekčních metod při vyhledávání
malware.
▪ 13 ▪
Souborový virus (File virus)
Jeden z prvních typů virů, šíří se, jak je již z názvu patrné, infikováním souborů.
Toho dociluje připojením těla viru do kódu daného souboru a vložením instrukce,
která zajistí provedení tohoto kódu při spuštění infikovaného souboru. Způsoby
vkládání kódu jsou různé, od velmi primitivních, kdy virus jednoduše připojí svůj kód
na konec infikovaného souboru, po velmi sofistikované, kdy je virus rozložen na
mnoho bloků a rozmístěn po náhodných místech v celém souboru. První viry tohoto
typu byly jednoformátové - schopné infikovat pouze jeden typ souborů(např. soubory
COM), v průběhu dalšího vývoje byly jako další evoluční krok vytvořeny viry
multiformátové, schopné přenášet infekci na soubory více typů(např. COM a EXE).
Příkladem souborového viru je CIH/Chernobyl.
Boot virus/Boot sektorový virus (Boot sector virus)
Další z příkladů raných virů. Šíří se infikováním boot sektorů, což jsou první sektory
na discích, nebo disketách. Tyto sektory jsou čteny vždy při nabootování/načtení
daného disku nebo diskety. Boot virus se tedy spustil vždy při nabootování systému
z nakaženého média, nebo při jeho prvním přečtení systémem(např. po vložení
diskety do počítače). Tato infekční technika byla velmi účinná v době, kdy většina
uživatelů používala pro přenos souborů mezi počítači diskety. Vzhledem k tomu, že
data původně obsažená v boot sektorech byla pro správnou funkci média potřebná,
boot viry tato data zpravidla uložily do sektorů jiných a v případě potřeby na ně
odkazovaly. Příkladem typického boot viru se Brain.
Multipartitní virus (Multipartite virus)
Za multipartitní jsou označovány takové viry, které se šíří více než jednou cestou.
Tento termín vznikl původně pro popsání hybridů souborových virů a boot virů. Do
této kategorie spadá mimo jiné i virus OneHalf.
Skrytý virus (Stealth virus)
Jako skrytý, nebo také 'stealth' virus označujeme jakýkoli virus schopný skrývat se
před detekčními nástroji. Jednodušší varianty skrývají svou přítomnost například
maskováním skutečné velikosti infikovaných souborů a skrýváním systémových
hlášení, složitější pak dočasným skrýváním v paměti, nebo na jiném místě disku,
▪ 14 ▪
změnou své signatury, nebo případně dalšími metodami jako je například šifrování.
Příkladem stealth viru je například Frodo.
Šifrovaný virus (Encrypted virus)
Virus, skrývající se před detekčními nástroji zakódováním svého těla při každé
infekci pomocí jednoduché šifry. Zpravidla obsahuje dvě části, vlastní tělo viru a
šifrovací/dešifrovací rutinu, která sama zůstává neměnná a AV nástroje ji tedy
mohou detekovat. Šifrovaným virem byl například Cascade.
Polymorfní virus (Polymorphic virus)
Polymorfní virus je složitější šifrovaný virus, schopný měnit šifrováním(mutovat) celý
svůj kód, aniž by došlo ke změně původního algoritmu. Narozdíl od šifrovaných virů
tedy dojde při každé infekci i k modifikaci šifrovací rutiny. Díky tomu je polymorfní
virus schopen skrývat se před detekčními nástroji podstatně úspěšněji než
jednodušší šifrované viry. Tuto maskovací techniku užíval například virus Zmist.
Metamorfní virus (Metamorphic virus)
Zatím poslední krok v šifrování virů. Metamorfní viry jsou velmi koplexní a používají
velmi sofistikované metamorfní enginy(viz virus MetaPHOR v kapitole 9). Při infekci
svůj kód nejenom mutují, ale v podstatě kompletně přepisují.
SPaM virus (SPaM virus)
Virus, spadající do tří z výše uvedených kategorií, konkrétně takový, který je zároveň
Skrytý, Polymorfní a Multipartitní(Stealth, Polymorphic and Multipartite). Malware
splňujícím tato kritéria byl například virus Natas.
Virus vypínající antiviry (Anti-antivirus virus)
Virus schopný deaktivovat některé části programů, nebo celé programy určené pro
detekci malware. Tuto funkčnost obsahoval nepříklad virus Tremor.
▪ 15 ▪
Cluster virus
Poměrně zajímavý typ viru viry, dosahující pomocí modifikace directory table
spuštění svého kódu při spuštění libovolného programu na daném počítači. Přesto,
že se vlastní virus nachází na jediném místě na pevném disku, je tak infikován v
podstatě každý soubor v počítači. Příkladem cluster viru je Dir-II.
Makrovirus (Macro virus)
Virus šířící se v makrech(spustitelných částech kódu), obsažených převážně v
souborech MS Office. Jak zmiňuje John Ayock[1, s. 89], vzhledem k tomu, že makra
fungují ve velmi omezené doméně, je pro anti-virové nástroje možné poměrně
snadno rozlišit normální chování od nebezpečného a tedy detekovat případný virus.
Jedním ze známých makrovirů je Melissa.
Multiplatformní virus (Multi-platform virus)
Multiplatformní, nebo též cross-platform viry jsou, jak je již z označení patrné, viry
schopné infikovat soubory na více než jedné platformě(např. na platformách MS
Windows a Linux). Příkladem takového malware byl demonstrační virus Winux.
8.2
Červy (Worms)
Jak je výše zmíněno, jsou červy občas považovány za viry a důvodem k tomu jsou některé
sdílené charakteristiky těchto dvou druhů. Hlavní z nich je virům podobná schopnost sebereplikace. Je zde však několik rozdílů. Prvním je již uvedený neparazitický profil červů, tedy
vlastní existence bez hostitele a šíření bez potřeby jiného spustitelného kódu. Pravdou je, že
existují červy parazitické(například Gael), nicméně jde pouze o vyjímky. Druhým rozdílem je
způsob šíření. Narozdíl od virů, které se mohou celé generace šířit pomocí infikování nových
souborů na jediném stroji, jsou v případě červů hlavním prostředkem šíření počítačové sítě,
konkrétně většinou přes přes sítě přístupné bezpečnostní 'díry' v software instalovém na
dalších koncových stanicích. Příkladem úspěšně se šířících červů je Blaster/Lovsan, nebo
Mydoom. Typů červů existuje nesmírné množství, z něhož některé si zaslouží vlastní
zmínku.
▪ 16 ▪
Králík (Rabbit)
S tímto termínem se při zkoumání problematiky malware můžeme setkat ve dvou
variantách. První je program který se rekurzivně spouští a snaží se tak vyplnit (a
tedy 'sežrat') všechny volné systémové prostředky. Příkladem je Rabbit/Wabbit,
popsaný blíže v 9. kapitole.
Druhou variantou je zvláštní verze červu, která je specifická tím, že na síti existuje
vždy právě jedna kopie-červ se zkopíruje na nového hostitele a smaže se na hostiteli
minulém a tedy 'poskakuje' (odtud zřejmě označení 'králík') po jednotlivých
počítačích sítě. Příkladem může být skript Purple Haze.
Chobotnice (Octopus)
Velmi vyspělá a nepříliš běžná forma červu. Chobotnice existuje jako skupina
programů na více než jednom počítači na síti. Příkladem může být stav, kdy hlava je
na jednom počítači, chapadlo na druhém a tyto dvě části spolu po síti komunikují za
účelem vykonání funkce červu. Tímto způsobem funguje například červ Opasoft.
Mailer a Mass-Mailer červy (Mailer/Mass-mailer worm)
Červ, které se, jak je již z názvů patrné, šíří posíláním sebe sama elektronickou
poštou, resp. v její příloze. Po spuštění této přílohy se červ, opět v podobě e-mailů,
odesílá na další adresy(většinou na všechny adresy, které nalezne v adresáři).
Existují i varianty schopné infikovat počítač již při čtení e-mailu(tzv. preview-pane
infekce). Hlavním rozdílem mezi mailer a mass-mailer červy je frekvence s jakou
jsou zprávy odesílány. Příkladem mailer červu je Happy99, mass-mailer červu pak
ExploreZip.
Internetový červ (Internet worm)
Červy tohoto typu se šíří přímo pomocí internetu, k čemuž využívají bezpečnostní
slabiny na připojených koncových stanicích. Vzhledem k této cestě infekce se
internetové červy šíří zcela samostatně, bez potřeby jakéhokoli přispění koncových
uživatelů. Tímto způsobem se šířil například velmi známý Morrisův červ(Morris
worm), nebo CodeRed.
▪ 17 ▪
Síťový červ (Network worm)
Červ, šířící se pomocí lokálních sítí. Vzhledem k minimálním možnostem rozšíření
touto cestou bývá většinou kombinovaný s jiným typem červu(viz níže).
IM a IRC červ (IM/IRC worm)
Červy, šířící se pomocí technologií pro zasílání zpráv a pro chatování. Většinou se
dokáží šířit pouze přes bezpečnostní díru v konkrétním klientu a uživatelé
používající klienty jiné tedy nebývají ohroženi. Příkladem červu využívajícího tohoto
způsobu šíření je Oompa.
Multivektorový červ (Multi-vector worm)
Za multivektorový červ je považován takový, který se šíří více než jednou cestou(a
tedy má více než jeden vektor útoku). Multivektorovým červem tedy bude každý
červ, který je kombinací alespoň dvou výše zmíněných(a případně šířící se ještě
dalším, zde neuvedeným způsobem). Jako příklad lze uvést červ Sobig.
8.3
Trojský kůň/Trojan (Trojan horse)
Jméno odvozené od velmi známého manévru užitého Řeky proti Trójanům s funkcí
odpovídající jménu. Jde o jednu z nejjednodušších forem malware, která není schopná
sebe-replikace a tedy ani samostatného šíření. Některé trojské koně se snaží vypadat jako
užitečný software a tím donutit uživatele k jeho spuštění, v případě jiných může jít o připojení
trojanu ke skutečnému programu a jeho implantování do systému (např. hackerem).
Příkladem typického trojanu je Animal, který se tvářil jako počítačová hra. Je možné setkat
se s mnoha různámi druhy malware, které se dají označit jako trojští koně a zároveň spadají
i do dalších kategorií. Pro naše potřeby budeme nicméně následující varianty považovat za
trojské koně.
Backdoor
Trojský kůň(nicméně může jít i o naprogramovanou funkčnost) umožňující překonání
zabezpečovacího mechanismu, nejčastěji při vzdáleném připojení k systému. Jako
▪ 18 ▪
příklad může sloužit následující ukázka kódu kdy při zadání uživatelského jména
"h4ck3r" obejdeme ověřovací proces aplikace.
username = read_username()
password = read_password()
if username is "h4ck3r":
return ALLOW_LOGIN;
if username and password are valid:
return ALLOW_LOGIN;
else:
return DENY_LOGIN;
Backdoor - Ukázka funkce
V momentě kdy takto útočník získá kontrolu nad systémem hovoříme o tomto
počítači jako o 'zombii'. Pokud jich útočník má pod kontrolou více, nazýváme
množinu těchto stanic jako tzv. 'botnet'. Příkladem klasického backdoor trojanu je
VirtualRoot. Zvláštní variantou backdooru je tzv. RAT, neboli Remote Administration
Tool (případně Remote Access Trojan). Díky nim je možné počítač vzdáleně
monitorovat a ovládat. Tyto programy nemusí být nutně chápány jako škodlivé,
vzhledem k tomu, že jsou často používány správci systémů a dalšími oprávněnými
uživateli k ulehčení práce, nicméně existuje možnost jejich zneužití. Příkladem
tohoto typu programů je BackOrifice.
Password-stealing trojan
Pod-druh trojanů, který jak je již z názvu patrné, krade hesla. Heslo je buď získáno z
konkrétního systému, nebo nahráno při zadávání(pomocí keyloggeru-viz níže) a
následně odesláno, většinou na předem zadanou e-mailovou adresu útočníka, nebo
přes IRC. Příkladem je trojan Bugsfix, distribuovaný červem I Love You.
Downloader
Doslovný překlad "stahovač" dává poměrně přesnou představu o funkci tohoto
trojanu - po spuštění z internetu stahuje a následně spouští další soubory, většinou
složitější trojské koně, nebo adware či spyware. Většinou bývá šířený pomocí emailu a vzhledem k jednoduchosti a nulové nebezpečnosti vlastního kódu těchto
▪ 19 ▪
trojanů je často problematická jejich detekce pomocí anti-malware programů.
Popsaným způsobem se chovají trojany z rodiny Lipler, ale také například některé
varianty červu Mytob.
Proxy trojan
Pod-druh trojských koní, umožňující použití počítače, na němž je spuštěň, jako proxy
serveru. Toho se využívá například při rozesílání spamu, kdy je tak původní autor emailů skrytý. Příkladem takto se chovajícího trojanu je Wopla.
8.4
Logická bomba (Logic bomb)
Definice Erica Filiola říká, že „logická bomba je samostatně se nereprodukující malware,
který se nainstaluje do systému a čeká na nějakou spouštěcí událost...než začne provádět
ničivou nebo jinou ofenzivní funkci“.[5, s. 99] Logickou bombou může být nicméně i kód,
který často do svých aplikací umísťují sami autoři (např. smazání aplikace po určitém počtu
spuštění), podobně jako backdoor funkce tedy může, ale nemusá být použita jako malware.
Logická bomba se skládá ze dvou částí a to 'nákladu', čili vlastní škodlivé části a 'spouště'
která udává kdy doje k provedení kódu v 'nákladu'. Logické bomby jsou v některých
aplikacích použity jako nadbytečné funcionality, tzv. easter eggy, nicméně zde jde
pochopitelně o neškodlivé použití. Jako příklad škodlivé varianty může sloužit následující
pseudo-kód, zajišťující pád systému v pátek třináctého:
...legitimní kód
if date is Friday the 13th:
crash_computer();
...legitimní kód
Logická bomba - Ukázka funkce
Použití slova 'bomba' se může zdát na první pohled přehnané, nicméně je třeba si uvědomit
že 'shození' počítače, jak je ukázáno výše, není zdaleka nejhorší variantou logické bomby a
▪ 20 ▪
v extrémně destruktivních případech může její spuštění znamenat i ztrátu všech dat v
počítači, celé síti nebo v databázi daného podniku.
8.5
Exploit
Kód určený k využití konkrétní chyby, nebo slabiny v operačním systému, nebo jiném
programu, díky kterému je možno získat i přístup do systému a potřebná práva pro téměř
libovolné operace. Takto kompromitovaný systém se, opět, nazývá 'Zombie'. Na první
pohled je patrné nebezpečí plynoucí z těchto chyb a jejich zneužití. Jako zajímavost lze
uvést, že 'White hat' hackeři užívají těchto exploitů pro testování možností pronikání do
systémů. Podle způsobu použití tedy nemusí být takový kód hodnocený jako škodlivý,
nicméně potřeba jeho uvedení zde je jasná. Je také vhodné uvést, že, jak zmiňuje
Jirovský[6, s.61], exploity nemají příliš dlouhou životnost. To je způsobeno zejména tím, že
ve chvíli, kdy se začne exploit široce využívat, si ho velmi rychle všimnou autoři daného
programu a využívanou slabinu opraví.
8.6
Dialer
Druh malware populární zejména v době vytáčeného připojení. Dialery fungovaly na principu
přesměrování vytáčeného čísla z uživatelem zamýšleného čísla poskytovatele připojení
(nebo v dobách dávnějších čísla BBS) na číslo se zvláštní, zvýšenou tarifikací. Uživatel
takového připojení tak nic nepoznal až do příchodu účtu za telefon. Příkladem takového
programu je Stardial. Dnešní 'dialery', dá-li se jim tak říkat, se mohou pokoušet například o
přesměrování prohlížeče na placené WWW stránky, nebo, v případe mobilních telefonů, bez
vědomí uživatele odesílat SMS na čísla se zvýšenou tarifikací. Příkladem takto se chovající
aplikace je FakePlayer pro platformu Android.
8.7
Key-logger
Malware zaznamenávající stisky kláves na klávesnici počítače, kde je instalován. Následně
jsou tato data odeslána, většinou formou e-mailu útočníkovi. Touto cestou může útočník
získat nejen hesla a uživatelská jména, ale i čísla kreditních karet, nebo obsah osobní
korespondence. Pro zajímavost uvádím, že key-loggery mohou existovat nejen jako škodlivý
▪ 21 ▪
kód, ale existuje i hardwarová verze. Jako příklad softwarové implementace lze uvést červ
Tanatos/Bugbear, který fungoval, mimo jiné, i jako keylogger.
8.8
Rootkit
Termín původně označující soubor nástrojů k dobytí rootu na UNIX-based operačních
systémech. V současnosti se tento termín používá pro malware, který se pokouší
zamaskovat svou činnost, případně činnost jiných programů. Jak se uvádí v knize Hakcing
exposed: Malware & Rootkits[7, s. 88], exitují dva hlavní typy rootkitů – 'user-mode' rootkit a
'kernel-mode' rootkit – lišící se režimem v němž fungují(uživatelský režim, resp. režim jádra).
Rozdílem mezi těmito režimy je, jak vysvětluje Bill Blunden[8, s. 100], že kód spuštěný v
uživatelském režimu nemá možnost přímé interakce s jádrem systému, ani s hardwarem.
Kód spuštěný v režimu jádra pak tato omezení samozřejmě nemá. Vzhledem k tomu, že
tento malware tedy může pracovat i v hlubších úrovních systému, může být problém jej
nejen odstranit, ale i detekovat.
8.9
Dropper
Program, který po spuštění nainstaluje svůj obsah do počítače, zpravidla jde o další
malware. Původně byl tento termín užíván pro instalátor kódu první generace virů, např. kód
boot viru byl do boot sektoru diskety instalován pomocí dropperu. Příkladem dropperu je
trojan/makrovirus Adser.
8.10
Injektor
Injektor je zvláštní druh dropperu, který instaluje kód viru do paměti počítače. Jako injektor
se v některých verzích chová trojan MSIL.
8.11
Spyware
Program, který shromažďuje data o uživateli a následně je pomocí internetu odesílá
autorovi. Tato data mohou mít podle různých definic spyware různou podobu, od seznamu
navšítených stránek, nebo nainstalovaných programů až po seznam e-mailových adres v
adresáři, nebo čísla kreditních karet. Přestože osobně se kloním k definici, která za
▪ 22 ▪
spyware(a tedy malware) označuje všechen sofware, který bez vědomí uživatele odesílá
jeho data (do této definice by tedy spadal jak všechen komerční spyware, tak i key-loggery a
podobné programy), pravdou je, že spyware je do jisté míry legální a sami tvůrci software
někdy své programy šíří společně se spyware. Spyware je tedy občas označován jako
'grayware', tedy šedivý software, tedy něco na pomezí malware a neškodného software.
Programy spadající do této kategorie zpravidla postrádají možnost sebe-replikace.
8.12
Adware
Adware má mnoho společného se spyware - podobně jako u něj, i zde je poměrně častým
jevem úmyslné šíření tohoto více nebo méně škodlivého kódu výrobci software s jejich
programy, v takovém případě bývá nicméně uživatel na tuto skutečnost upozorněn, případně
má možnost instalaci tohoto nechtěného přídavku zabránit. Není to ale pravidlem - velká
část v současnosti existujícího adware se instaluje bez vědomí uživatele. Jak již jméno
napovídá (ad = zkráceně advertisment, tedy reklama) jde o software reklamní. Hlavním
znakem nainstalovaného adware jsou, při surfování na internetu, vyskakující pop-up okna s
reklamou, nebo změna domovské stránky prohlížeče na jinou. Někteří zástupci této
kategorie se snaží o cílenou reklamu a podle vyhledávaných slov mohou nabízet produkty,
které vyhledávání odpovídají. Existují i varianty hybridů se spyware, které mohou odesílat
data o uživateli pro možnost cílenější reklamy. Podobně jako spyware jde opět o druh
malware(opět občas označován jako 'grayware'), který se nemůže samostatně replikovat.
▪ 23 ▪
8.13
Hybridní hrozby
Vzhledem k výše popsanému je logické, že je možné se setkat s hybridy, které vykazují
znaky více než jedné skupiny (například červ, který infikuje cizí kód) a tedy rozhodně
nepovažovat toto rozdělení za vyčerpávající a úplné. Poskytuje nicméně dostatečný podklad
pro další studium vývoje jednotlivých druhů malware.
▪ 24 ▪
8.14
Jmenné konvence malware
Vzhledem k existenci velmi vysokého počtu forem malware je pochopitelná vhodnost(nebo
spíše nutnost) alespoň částečné standardizace jmenných konvencí malware. Téměř každý
výrobce anti-malware technologií používá v současnosti své vlastní standardy, nicméně
vzhledem k jejich původu je v nich možné najít jisté společné prvky. Jmennou konvencí ze
které vycházejí standardy snad všech firem je 'CARO Malware Naming Scheme' vydaná v
roce 1991 a revidovaná roku 2002. Formát jména malware byl podle tohoto dokumentu
následující:
[<type>://][<platform>/]<family>[.<group>][.<length>].<variant>[<modifiers>][!<comment>]
CARO Malware Naming Scheme (Položky uvedené v hranatých závorkách jsou nepovinné)
Zdroj: Current Status of the CARO Malware Naming Scheme [10]
Příkladem pojmenování malware podle této konvence může být
virus://W97M/Foo.A@irc@mm
Jméno malware dle CARO MNS
Je z něj poměrně zřejmé, o jaký typ malware se jedná('virus'), pro jakou je určen
platformu('W97M' - Word97Macro), do jaké patří rodiny('Foo'), o jakou se jedná variatnu('.A')
a jak je schopen se šířit(@irc@mm - IRC kanály a e-maily).
Základem tohoto formátu je tedy uvedení jména rodiny, do které škodlivý program spadá, a
označení verze. Standardy jednotlivých firem tuto konvenci s menšími či většími obměnami
kopírují a většina jich používá formát platforma-rodina-varianta. Vzhledem k rozdílům se
nicméně stává, že dva výrobci anti-malware technologií používají jiné jméno nejen pro
konkrétní verzi, ale i pro celou rodinu. Varianta červu Netsky, označená Symantecem
Netsky.K@mm tak odpovídá Netsky.J@mm v označení McAffee a například varianta červu
Conficker označená Conficker.A(Microsoft, Sophos) je totožná s Downandup.A(F-Secure).
Malware zmiňovaný v této práci je pro zjednodušení označován pouze jménem(jmény)
rodiny(a případně jménem konkrétní varianty).
▪ 25 ▪
8.15
Další kategorizace malware
Malware může bývá rozdělován nejen podle funkce, jak je výše zmíněno, ale též podle
dalších kritérií. Ta se, podobně jako označení malware, u jednotlivých AV firem často drobně
liší. Firma Symantec např. používá pro hodnocení a popis malware následující kategorie[11]:
Wild - popisuje rozšíření daného malware, počty infekcí, složitost odstranění aj.
Damage - popisuje destruktivitu
Distribution - popisuje schopnost šíření
V případě dalších společností bývají kategorie mírně odlišné, například podle CA
Technologies jsou to 'Overall Risk', 'Wild', 'Destructiveness' a 'Pervasiveness'[12], je zde
nicméně jasně vidět podobnost s kategoriemi Symantecu. U většiny firem se tak tato
hodnocení(obecně-počty výskytů 'v divočině', ničivý potenciál a schopnost šíření) objevují v
pouze drobně odlišných podobách, nicméně některé společnosti používají členění jiné.
Firma McAfee např. užívá kategorie 'Home risk' a 'Corporate risk' pro zhodnocení
nebezpečnosti malware pro domácí uživatele, resp. pro firmy.[13]
▪ 26 ▪
9.
VÝVOJ MALWARE
Tato kapitola se zabývá popisem jednotlivých zástupců malware, dokumentujících vývoj
tohoto typu programů. Dále se snaží popsat trendy, kterými se vývoj malware řídil a řídí a
uvádí vysvětlení pro dominantní(z pohledu představované hrozby) postavení určitých druhů
malware v daných obdobích.
9.1
Historicky dominantní malware
Jak je možno pozorovat na níže uvedené časové ose, prvními zástupci malware, o kterých
by se dalo říci, že byli jistým způsobem dominantní, jsou viry, konkrétně viry souborové a
boot sektorové. Je to poměrně pochopitelné, vzhledem k tomu, že rozsahy i počet
počítačových sítí v roce 1986 byly jen zlomkem v porovnání se stavem okolo roku 2000, kdy
se dominantním malware staly červy. Malware se tedy, vzhledem k těmto omezením, šířil
hlavně pomocí disket a to je jedním z hlavních důvodů úspěchu těchto virů.
Souborové a boot sektorové viry zůstaly nejběžnějším druhem malware až do roku 1995,
kdy s příchodem operačního systému MS Windows 95 a programů MS Office předaly
pomyslnou vládu nad světěm malware makrovirům. Čas od času se sice objevil velmi účinný
souborový virus(např. CIH), nicméně počtem zástupců makroviry jednoznačně převažovaly.
S rozšiřováním internetu se makroviry začaly šířit pomocí elektronické pošty a infikovat tak
obrovská množství počítačů. Od takto se šířících makrovirů zbýval již jen příslovečný krok k
mailer a mass-mailer červům.
Ty přejaly postavení dominantního malware okolo roku 2000. S rozšířením internetu a
neustále se zvyšujícím počtem koncových stanic začaly mass-mailer červy velmi brzy
způsobovat obrovské škody a vzhledem k použitým technikám šíření a nedostatečnému
vzdělání koncových uživatelů z hlediska bezpečnosti je bylo velmi obtížné zastavit. S
vyjímkou multivektorových
červů, které kromě mass-mailingu používají
ještě jiný
způsob(vektor) šíření, jsou mass mailer červy dominantní hrozbou dodnes. V posledních
letech se začínají velmi často objevovat varianty těchto červů, ktetré na infikované stanice
vypouští trojské koně/backdoory, pomocí kterých jsou tyto počítače sdružovány do tzv.
botnetů(viz výše) a dále pak využívány autory těchto červů, např. k šíření spamu, DDoS
útokům nebo lámání hesel. Z důvodu ohromné výpočení kapacity využitelné pro tyto úkoly i
velké rychlosti připojení k Internetu jsou botnety často považovány[14, s. 335] za jednu z
největších hrozeb pro Internet. Výjměčné nejsou ani případy pronajímání těchto sítí – podle
Jeffreyho Carra[15, s. 151] v březnu roku 2009 jistá izraelská bezpečnostní společnost
▪ 27 ▪
dočasně způsobila nedostupnost stránek organizace Hizballáh pomocí SQL injection útoků
vedených z pronajatého botnetu.
9.2
Časová osa
Na následujících několika stranách jsou zmíněny události, které nějakým způsobem ovlivnily
v průběhu let vývoj malware, od jeho počátků až do současnosti. Viry a červy jsou uváděny
pro, z pohledu této práce, přelomové, důležité, nebo zajímavé vlastnosti, nebo jako
dokumentace trendů vývoje malware panujících v daném období. Uvedený výčet rozhodně
není vyčerpávající, pro potřeby této práce je nicméně naprosto dostačující. Některé z
nejúspěšnějších zde uvedených virů a červů jsou detailněji popsány v 10. kapitole.
9.2.1
Počátky malware
Doba počátků malware je charakteristická experimentováním s možnostmi samovolně se
šířících programů a většina 'malware' z této doby měla spíše formu programátorských vtipů,
než destruktivní charakter. Šlo tedy většinou o programy, které vtipně(alespoň z pohledu
jejich autorů) obtěžovaly uživatele, ale nebyly míněny jako ničivé. Vzhledem k možnostem
šíření těchto programů pouze v rámci uzavřených systémů a sítí byla infekce vždy poměrně
lokalizovaná.
1966
John von Neumann publikuje svou 'Teorii sebereplikujících automatů'(Theory of SelfReproducing Automata).
1970 (podle různých zdrojů 1969-1972)
Creeper - Jeden z nejstarších programů(ne-li vůbec nejstarší), které lze označit za
virus(červ). Běžel pod operačním systémem TENEX a šířil se pomocí modemového
připojení přes síť Arpanet, předchůdce dnešního Internetu. Na infikovaných systémech se
zobrazovala zpráva "I'm the creeper, catch me if you can!" - 'Já jsem creeper , chyť mě, jestli
to dokážeš!'[16]. Autorství bývá někdy přisuzováno Bobu Thomasovi pracujícímu tou dobou
pro BBN Technologies.[17]
▪ 28 ▪
1970 (podle různých zdrojů 1969-1972)
Reaper - Program vytvořený k likvidaci Creeperu(občas je označován za 'první antivir'), má
velmi podobné chování - dá se říct, že jde opět o virus/červ, nicméně tato varianta v sobě
nenese žádný škodlivý kód, spíše naopak. Bývá považován za první tzv. 'nematode', neboli
virus/červ, který ničí jiný virus/červ. Všeobecně přijímaným názorem je, že autor Reaperu je
shodný s autorem Creeperu, ať již jde o Thomase, či nikoli.
1974
Wabbit/Rabbit - Jak bylo zmíněno v 8. kapitole, jako 'rabbit' nebo 'králík' může být označován
malware, který kopírováním sama sebe v paměti počítače zpomaluje jeho výpočetní
schopnosti až do míry, kdy v podstatě znemožňuje práci s daným systémem. V tomto
případě šlo o první infekci tohoto typu a podle ní(Rabbit/Wabbit) jsou nazývány všechny
obdobně se chovající programy. Tento, původní, králík běžel na platformě OS 360 a systém
zahcoval tak, že se po spuštění zkopíroval a následně kopii zařadil dvakrát do fronty
programů ke spuštění(input jobstream), čímž znemožňoval využití výpočetní kapacity jinými
programy.
1975
Animal/Pervading Animal - Verze hry '20 Questions'(20 otázek) napsaná pro UNIVAC 1108.
Program se po spuštění zkopíroval do složek ke kterým měl uživatel právo přisupovat.
Pokud složka již obsahovala starší verzi Animal, byla tato přepsána. Žádná jiná data však
tato apliace nepřepisovala ani nemazala. Díky skrytému kopírování sebe sama bez vědomí
uživatele, zatímco hrál, je Animal považován za první, i když relativně 'neškodlivý', trojan.
1979
Xerox PARC/Xerparc – První program, který je možné označit za červ. Byl vytvořen v rámci
experimentů s distribuovaným zpracováním úloh(na počítačích propojených pomocí sítě
LAN) ve výzkumném centru firmy Xerox v Palo Alto. Vzhledem k chybě v kódu ale v rámci
jednoho z pokusů, kdy byl program spuštěn přes noc – jak popisuje kniha Viruses
▪ 29 ▪
Revealed[18, s. 21] – došlo k přílišnému rozšíření programu a následnému 'zamrznutí'
nakažených systémů. Přestože způsobené škody byly minimální, Xerparc předznamenal
budoucí vývoj jedné z nejúspěšnějších forem malware.
9.2.2
80. léta a éra DOSu
V průběhu 80. let se začaly objevovat první opravdové viry a vzhledem k používání disket,
jako hlavního datového nosiče pro přenos dat mezi počítači, se začaly pomocí nich poměrně
úspěšně šířit. Malware postupně ztrácí charakter vtipných obtěžujících programů a získává o
něco hrozivější podobu programů schopných likvidovat cenná data. S rozmachem MS-DOS
se tato platforma stala hlavní živnou půdou virů. Objevilo se mnoho nových variant - pokud
jde o účinky i způsob šíření. S postupujícím časem a masovějším rozšířením počítačů a
částečně i počítačových sítí se tak začaly objevovat škodlivé programy šířící se úspěšně
přes sítě nebo pomocí BBS systémů, ze kterých si uživatelé nevědomky stahovali nakažené
soubory. Přestože se nejednalo o dominantní způsob šíření, šlo o významný krok ve vývoji
malware. Vzhledem k potřebě nástrojů pro boj s těmito hrozbami se začínají objevovat stále
častěji antivirové programy. S nástupem rizika detekce ze strany těchto programů se autoři
virů začaly zabývat maskováním malware(pomocí stealth-technik, polymorfismu,...),
případně jeho upravením tak, aby dokázal likvidovat AV programy. Obecně se dá říci, že pro
malware, zejména pak pro viry, znamenala tato doba ohromný evoluční skok.
1981 (podle některých zdrojů 1982)
Elk Cloner - První 'divoký' virus pro domácí počítače. Jeho autorem byl 15-letý Richard
Skrenta a virus se šířil pomocí 5.25" disket na počítačích Apple II. Šlo o boot virus - po
vložení infikované diskety a nabootování se virus zkopíroval do paměti počítače a následně
na boot sektor každé další vložené diskety. Podobně jako ve výše zmíněných případech, ani
tento program nebyl vysloveně 'škodlivý'. Spíše uživatele, podobně jako velká většina raných
virů, obtěžoval - při každém padesátém bootování zobrazoval básničku 'Elk Cloner: The
program with a personality'.
▪ 30 ▪
Obr. 2 - Text zobrazovaný virem Elk Cloner
Zdroj: VirusInfo [17]
1983 10. listopadu
Frederic Cohen předvedl na Lehigh University 'demonstrační virus' na systému VAX11/750.
Program byl schopný se připojovat svůj kód k jiným objektům v systému.
1984
Frederic Cohen používá termín 'počítačový virus' a definuje ho jako "program, který dokáže
'infikovat' ostatní programy jejich modifikací tak, aby obsahovaly jeho, případně dále
vyvinutou, kopii".
1986 leden
Brain - Všeobecně považován za první IBM PC kompatibilní virus. Šířil se pomocí 5.25"
disket. Po vložení infikované diskety se zkopíroval do paměti počítače a následně na každou
další vloženou disketu. O Brainu se často hovoří jako o prvním 'full-stealth', nebo 'plně
▪ 31 ▪
skrytém' viru(občas bývá mylně označován za první virus vůbec, nebo, opět mylně, za první
boot virus). Rodina virů Brain obsahuje mj. i viry Shoe. Vzhledem k na svou dobu poměrně
velkému rozšíření je tento virus dále popsán v 10. kapitole.
1986 prosinec
Ralf Burger představuje 'Virdem model'(též Virdem virus) na setkání hackerské organizace
Chaos Computer Club(CCC) v Hamburgu. Šlo o první souborový virus pro operační systém
DOS. Byl schopný replikace pomocí připojení se ke spustitelným souborům COM. Nešlo o
destruktivní, ale spíše o demonstrativní virus.
1986
Burger - Další z virů Ralfa Burgera, opět pro operační systém DOS a opět spíše
demonstrativní, než destruktivní. Jednalo se o první virus schopný infikovat více než jeden
formát souborů - v tomto případě se jednalo o formáty COM a EXE.
1986
Rushhour - Virus německého autora Berndta Fixe, napadal pouze soubor 'KEYBGR.COM',
ovladač MS-DOS pro německou klávesnici. Po infekci ovladače virem mohlo docházet k
problémům se zadáváním znaků, nicméně opět šlo spíše o demo-virus.
1987 1. října
Jerusalem/Friday13th/BlackBox - Objeven v Izraeli, Jerusalem byl souborový virus infikující
spustitelné soubory(COM a EXE). Je poměrně známý podle data odpálení hlavního
payloadu, kterým byl každý pátek 13. Šlo o velmi rozšířený virus a jako takový je blíže
popsán v 10. kapitole.
1987 1. října
Cascade - Souborový virus pro systém MS-DOS. Po spuštění payloadu způsoboval
náhodné 'padání' znaků na obrazovce do kup u spodního okraje. Vyjímkou byla třetí varianta
viru(z celkem přibližně 40), která po spuštění payloadu zformátovala disk. Pro potřeby této
▪ 32 ▪
práce je virus Cascade postatný jakožto první šifrovaný virus. Jeho kód se skládal ze dvou
částí - těla viru a šifrovací rutiny, která zašifrováním těla viru zajistila, že v každém souboru
vypadalo jinak. Díky tomu byl Cascade schopný vyhnout se detekci pomocí tehdejších
diskových nástrojů.
Obr. 3 - Cascade – Odpálení payloadu
Zdroj: antivirus-gratis.com [19]
1987 1. listopadu
Lehigh - Souborový virus pojmenovaný podle Lehigh Univesity odkud pocházel. Virus
napadá pouze soubor COMMAND.COM a šíří se tedy pouze pomocí infikování vložených
disket se systémem DOS. Virus si v sobě uchovává počet provedených infekcí a po
infikování čtvrtého souboru přepisuje boot sektor a file allocation table(FAT), čímž znemožnil
nabootování operačního systému a přístup k datům na disku. Existuje několik variant tohoto
viru, nicméně rozdíly spočívají téměř výhradně v počtu infekcí, po kterém 'odpálí' payload.
1987 listopad
SCA/Swiss Amiga Virus - Boot sector virus pro platformu Amiga. Jde o nejstarší známý virus
pro tuto platformu. Nešlo nutně o destruktivní virus, i když k jistým škodám mohlo při
přepisování boot sektorů dojít, pokud je na disketách obsažené programy využívaly. Kromě
šíření bylo jeho jedinou funkcí zobrazování zprávy od autorů viru, asociace SCA(Swiss
Cracking Association) po každém patnáctém rebootování systému. Poměrně zajímavý je
▪ 33 ▪
cyklus vytváření nových verzí, ke kterému došlo po vytvoření prvního antiviru, jak jej
popisuje David Salomon[20, s. 144] – první antivirus hledal v souborech na místě prvního
bytu data odpovídající viru. O týden později se objevila verze s modifikovaným prvním bytem
a druhý antivirový program hledal obě varianty. Následně došlo k vypuštění verze viru, která
při infekci měnila první byte jednou z 10 různých možností. V reakci na tento, třetí, SCA, byl
vytvořen dezinfekční program hledající na disku soubory s prvním bytem neodpovídajícím
systému Amiga. V zápětí se objevila další verze viru s korektním prvním bytem a
proměnným druhým. Jak Salomon zmiňuje, není jasné, jak tento cyklus nakonec skončil,
nicméně vzhledem k tomu, že je známá existence přibližně třiceti variant SCA[17], je možné,
že autoři viru ještě nějakou dobu pokračovali v podobném duchu ve tvorbě nových verzí.
1987 9. prosince
Christmas Tree/Christmas Tree EXEC - Mass mailer červ/trojan v jazyce REXX běžící na
systémech VM/CSM čili na platformě mainframů, spíše než na PC. Infikovaný soubor z
přílohy e-mailu po spuštění zobrazil následující zprávu:
Obr. 4 - Christmas Tree – Odpálení payloadu
Zdroj: F-Secure [21]
Při té příležitosti přečetl soubory NAMES a NETLOG, což byly soubory s e-mailovými
adresami se kterými systém komunikoval, a následně se na všechny tyto adresy rozeslal.
▪ 34 ▪
Vzhledem k naprosté nepřipravenosti tehdejších uživatelů se začal červ šířit ohromnou
rychlostí a na dva dny se mu podařilo zcela paralyzovat síť IBM VNet. Šířící se infekci
zastavilo až vypnutí sítě. Červ se znovu objevil v roce 1990, kdy opět pomohlo až vypnutí
sítě IBM terminálů. Jak je výše zmíněno, jde o červ/trojan a dodnes se vedou debaty o tom,
do které kategorie by měl tento malware spadat. Pro potřeby této práce není tento problém
podstatný a omezíme se pouze na konstatování, že v Christmas Tree jsou patrné prvky
chování obou zmíněných skupin.
1987
Vienna - Souborový virus pro MS-DOS. Po spuštění nezůstává v paměti(není rezidentní), ale
vyhledá všechny soubory typu COM a do jednoho z nich se následně pokusí zkopírovat. V
přibližně 15% případů Vienna soubor neinfikovala, ale poškodila takovým způsobem, že
každé jeho spuštění způsobovalo reboot systému.
1988 1. února (podle některých zdrojů 1987)
Stoned/Marijuana - Velká rodina virů, do které patří i níže uvedený virus Michelangelo. Ve
verzi z roku 1988 jde o rezidentní boot virus, který infikuje pouze 5.25" diskety a pevné disky.
Šlo o jeden z nejběžnějších virů pro MS-DOS a je blíže popsán v 10. kapitole.
1988 březen
Den Zuk/Denzuko - Boot virus infikující, pokud je zavedený v paměti, všechny připojené
disky. Kopíruje se i na non-bootable datové disky, ze kterých se může za určitých okolností
dále šířit. Pokud je virus spuštěný, objeví se při pokusu o restartování počítače po stisknutí
kláves CTRL+ALT+DEL na monitoru slova DEN ZUKO a virus zůstane v paměti i po
restartu. Zajímavé na tomto viru je, že jde o 'nematode', který likviduje virus Brain.
▪ 35 ▪
Obr. 5 - Den Zuk – Odpálený payload
1988 březen
PingPong - Bootvirus, který po 30 minutách od spuštění zobrazoval 'míček' odrážející se od
okrajů monitoru. Poměrně zajímavou, z hlediska účinků, je jeho varianta 'Typo', která
způsobovala chyby při tisku dokumentů.
1988 červen
Festering Hate - Virus pro počítače Apple s operačním systémem ProDOS. Šlo o velmi
destruktivní virus, který se šířil do všech systémových souborů a ve chvíli, kdy již byly
všechny soubory na hostitelském počítači infikované, zlikvidoval všechny programy v
systému. Po spuštění virus zobrazil níže uvedený výpis. Zajímavostí je, že v něm uvedené
telefoní číslo patřilo Johnu Maxfieldovi, známému soukromému detektivovi a informátorovi
FBI se specializací na hackery[22]. Vzhledem k tomu, že autory viru jsou členové hackerské
skupiny Legion of Doom(LOD), je tato skutečnost poměrně pochopitelná.
▪ 36 ▪
1988 září
Eddie/Dark Avenger.1800 - První pokus kodéra virů známého jako Dark Avenger. Šlo o
souborový virus napadající spustitelné soubory typu COM a EXE, nicméně nejen, jak bylo
obvyklé, při jejich spouštění, ale i při jejich čtení(např. při kopírování). Po každé šestnácté
infekci ještě virus přepisoval náhodný sektor na disku.
1988 2. listopadu
Morris - Morissův červ, nebo též 'Internetový červ', bývá považován za první skutečný
internetový červ, tak jak je chápeme dnes. Využíval k šíření slabin v UNIX-based systémech
SunOS a BSD(v sendmail, rsh,...). Jak po po stránce mediální, tak po stránce účinnosti
kódu, šlo o velmi úspěšný malware a jako takový je detailněji popsán v 10. kapitole.
▪ 37 ▪
1989 1. března
Datacrime - Souborový virus, přepisující části disku a zobrazující text "DATACRIME VIRUS'
'RELEASED: 1 MARCH 1989". Dostalo se mu poměrně velkého zájmu ze strany médií,
která předpovídala ničivé následky infekce. Nicméně ukázalo se, že tyto předpovědi měly s
realitou pramálo společného a virus nezpůsobil žádnou vážnější škodu.
1989 říjen
Frodo/4096/4K - První 'full-stealth' virus pro MS-DOS.
1989 říjen
Ghostball/Ghostorb/Ghost - První multipartitní virus(virus šířící se více než jednou cestou).
Jde o kombinovaný souborový virus/boot virus, konkrétně o variantu viru Vienna, která
infikuje vložené diskety virem PingPong.
1990 leden
Chameleon/1260/V2P1/V2PX - První polymorfní virus, vyvinutý Markem Washburnem
pracujícím tou dobou s Ralfem Burgerem na analýze virů Vienna a Cascade. Šlo, jako vždy
v případě Burgerových projektů, o nedestruktivní, demonstrační virus, který měl ukázat
dosah této nové techniky, umožňující virům měnit kód(mutovat), aniž by docházelo ke
změnám v původním algoritmu. Pokud jde o kód viru, je jisté, že vychází z viru Vienna,
nicméně obsahuje dostatečný počet rozdílů, abychom ho neřadili do této rodiny. Pod
jménem Chameleon je známý ještě jeden zástupce malware, opět polymorfní, a to
makrovirus pro MS Word. Ten ale nemá, kromě polymorfismu, s původním virem 1260
zřejmě nic společného.
1990 červenec
Flip - Poměrně známý multipartitní virus který druhý dne každého měsíce mezi 16:00 a
16:59 'otočil'(pomocí speciálního 'obráceného' fontu) zleva doprava obraz na monitoru. Měl
velmi sofistikovaně a originálně řešenou část kódu pro infekci boot sektoru.
▪ 38 ▪
1990 červenec
Anthrax - Multitpartitní virus od Dark Avengera. Zajímavostí tohoto viru je, že mohl být i po
odstranění(pokud zbytky viru zůstaly v některých sektorech disku) znovu 'vzkříšen' virem
V2100/Eddie.V2100(verze výše uvedeného viru od téhož autora).
1990 srpen
Whale/Mother Fish/Fish 9 - Ve své době největší známý virus s délkou infekce(připojeného
bloku s tělem viru) 9216 bytů v souboru na disku a 9984 bytů v paměti. Šlo o souborový
virus, který občas infikoval pouze spouštěné soubory EXE a COM, občas i čtené. V době
kdy se tento virus objevil někteří odborníci předpovídali možnou epidemii, nicméně ukázalo
se, že tento virus nemá pro větší rozšíření předpoklady. Tuto skutečnost velmi dobře
dokumentují slova Stewa Whita z IBM, který na konferenci o virech v roce 1991 prohlásil, že
i kdyby nakazil pomocí Whale počítače všech členů publika, virus by se stejně nerozšířil.
1990
VxBBS/Virus exchange BBS - V průběhu roku 1990 se začaly objevovat BBS(Bulletin Board
System) zaměřené na výměnu virů. Touto cestou se rychle šířily zdrojové kódy virů, ale
vzhledem k nutnosti nahrát vlastní virus pro získání práva stahovat na ně uživatelé nahrávali
i nepovedené pokusy o viry a někdy i zcela nezávadné programy. V téže době začaly někteří
autoři virů a jejich sběratelé, zejména v Evropě a Spojených státech, prodávat 'sbírky
malware', což spolu s VxBBS nepochybně přispělo k jeho rozšíření.
1990
Založeno CARO(Computer AntiVirus Researcher's Organization), organizace zabývající se
studiem malware.
▪ 39 ▪
Obr. 7 - Příklad uživatelského rozhraní generátoru virů
Zdroj: VX Heavens [23]
1990
VCS V1.0 - Virus Construction Set, nebo také genarátor virů. Pochází z Německa a za jeho
tvorbou stojí Verband Deutscher Virenliebhaber, neboli "Německá asociace milovníků virů".
[23] Po nastavení požadovaných vlastností, typů souborů, které měl virus infikovat, a pod.
vygeneroval VCS finální podobu viru. Umožňoval i uživatelům s minimálními znalostmi
výpočetní techniky a programování tvořit viry a červy, nicméně pravdou zůstává, že většina z
takto vytvořeného malware nebyla příliš úspěšná, pokud vůbec fungovala. VCS zřejmě není
prvním generátorem virů - EICAR[24] uvádí, že program tohoto typu se objevil již v roce
1988.
1991 leden
Starship - Multipartitní virus pocházející ze Sovětského Svazu s poměrně unikátní metodou
infekce a metodou zavedení viru do paměti. Tělo viru se při nabootování systému nahrávalo
do videopaměti a až po několika dalších krocích do hlavní operační paměti.
▪ 40 ▪
1991 březen
Dark Avenger na Bulharské BBS oznamuje že se zabývá tvorbou polymorfního viru, který
bude schopný mutovat na čtyři miliardy variant. Jak se později ukázalo, nešlo o virus, ale o
mutační engine(viz níže).
1991 duben
Michelangelo - Velmi známý a médii oblíbený boot virus, varianta viru Stoned. Po infikování
systému zůstával nečinný až do 6. března(narozeniny renesančního umělce Michelangela di
Lodovico Buonarroti Simoni - odtud jméno dané tomuto viru), kdy virus přepsal prvních 100
sektorů hard disku nulami. Virus tedy neničil data obsažená na disku, jak se někteří mylně
domnívají, ale možnost přistupovat k nim. První mediální poplach okolo tohoto viru nastal v
lednu roku 1992, kdy se ukázalo, že někteří výrobci software a hardware prodávali své
produkty tímto virem již infikované(například Intel LANSpool Print Server). Počet
infikovaných strojů se tehdy reálně pohyboval v řádu stovek, maximálně v řádu tisíců,
nicméně začaly se objevovat zprávy hovořící mnohdy i o milionech infikovaných počítačů.
Počet stanic postižených dne 6. března 1991, kdy virus odpálil svůj payload, byl nakonec
mezi deseti a dvaceti tisíci. Poslední známé zprávy o nalezení tohoto viru 'v divočině' jsou z
roku 1996.
1991 duben
Tequila - Tak zvaný SPaM(Stealth, Polymorphic and Multipartite) virus, používal velmi
účinné techniky pro skrývání své činnosti. I přes vyspělost viru nedosáhl počet infekcí nikdy
úrovně epidemie, byl však poměrně běžný v Evropě a v Jižní Africe.
1991 květen
Dir-II - První cluster virus pro platformu DOS. Po zavedení do neinfikovaného systému se
uložil na poslední cluster disku(pokud tento obsahoval data, virus je přepsal), u disket na
poslední 2 clustery(jeden cluster diskety měl velikost 512 bytů a tělo viru 1024 bytů). Virus
neinfikoval jednotlivé soubory, místo toho upravil záznamy v tzv. 'directory table', kde před
volání programů vložil ukazatel na místo, kde se sám nacházel(poslední cluster). Tím bylo
dosaženo spuštění viru při spuštění programu, přestože tento program sám infikovaný nebyl.
▪ 41 ▪
1991 17. srpna
Dark Avenger Mutation Engine/MtE - V březnu oznámený projekt bulharského crackera.
Nešlo o virus jako takový, ale o polymorfní mutační engine - 'modul', který mohl být připojen
k viru a propůjčoval mu schopnost mutovat a tedy skrývat se před antivirovými programy.
Fungoval velmi účinně - i když se většině AV společností podařilo zanedlouho vytvořit
skenery schopné nalézt pomocí MtE chráněný virus, označovaly tyto skenery za nakažené i
poměrně značné množství neškodných souborů.
1991 říjen
Invol/Involuntary - První virus schopný infikovat soubory typu SYS(systémové soubory MSDOS a Windows). Každého čtrnáctého dne v měsíci pak přepisoval prvních deset sektorů
FAT tabulky disku C:.
1991
Založen EICAR(European Institute for Computer Antivirus Research), organizace pro
studium malware vzniklá převážně ze členů CARO. Narozdíl od CARO se zabývá nejen
technickou stránkou malware, ale i dalšími s malware spojenými oblastmi - právem,
informační bezpečností, apod.
1992 květen (podle některých zdrojů 1993)
Commander/Commander Bomber/Bomber - Další ze souborových virů, jejichž autorem je
Dark Avenger. Kromě toho, že používal MtE pro šifrování bloků kódu(viz výše, samotné tělo
viru šifrované nebylo), měl ještě jednu zajímavaou zlváštnost a to způsob infekce. Hlavní tělo
viru bylo vloženo do náhodného místa uprostřed souboru a na začátek souboru byl vložen
blok kódu odkazující na jiný, náhodně vložený blok kódu. Odkazování bylo tímto způsobem
provedeno několikrát a tyto bloky kódu obsahovaly velké množství zbytečného(tzv. garbage)
kódu, což značně ztěžovalo jeho čtení. Antivirové skenery tak musely pro objevení tohoto
viru procházet celé soubory a hledat v nich odpovídající bloky a tělo viru, což bylo značně
časově náročné.
▪ 42 ▪
1992 září
WinVir/Virus_for_Windows v1.4/MK92 - První virus pro operační systém MS Windows. K
bezproblémovému běhu potřeboval být spuštěný ze složky s Windows - při spuštění z jiných
složek zobrazoval virus chybové hlášky.
1992 říjen
EXEBug - Stealth boot virus z Jižní Afriky, šlo o první virus schopný modifikovat CMOS. Této
modifikace využíval ke skrývání všech ukládacích jednotek s vyjímkou pevného disku.
1992 červenec
PS-MPC a VCL - 'Phalcon-Skism Mass-Produced Code Generator' a 'Virus Creation
Laboratory', další dva zástupci z kategorie generátorů virů. Je známých více než 15000
variant virů vytvořených pomocí PS-MPC.
1993 červen
Cruncher - Souborový virus pro MS-DOS infikující COM soubory. Jde o jeden z mála virů,
které mohou být považovány za užitečné, vzhledem k tomu, že většina infikovaných souborů
se infekcí zmenší. Vyjímku představovaly některé programy s velikostí menší než 3 kilobyty,
u kterých mohlo dojít k drobnému zvětšení.
1993
Vydání MS-DOS 6.0 s Microsoft Anti-virus(nebo též Central Point Anti-virus).
1993
Tremor - Německý virus, objevující se po vydání MS-DOS 6.0 s CPAV a schopný odstranit
rezidentní ochranu tohoto antiviru.
▪ 43 ▪
1994 duben
One_Half/Onehalf/Explosion II/Slovak Bomber/Free Love
- Multipartitní virus, který při
každém nabootování systému šifroval část pevného disku. Existovalo poměrně velké
množství variant tohoto viru. Jeho podrobnější popis obsahuje 10. kapitola.
1994 duben
Pathogen - Virus vytvořený pomocí generátoru 'SMEG Virus Construction Kit'. Rychle se
rozšířil a způsobil značné škody. Infikoval soubory typu COM a EXE a přepisoval CMOS
paměť. Pathogen je dále popsán v 10. kapitole.
1994 květen
Junkie - Další z příkladů nafouknuté mediální bubliny, Junkie je multipartitní virus pocházející
ze Švédska a je znám případ, kdy se připojil k antivirovému programu. Byl považován za
poměrně nebezpečný a některé poplašné zprávy ho označovaly dokonce za "Mother of all
viruses", ve skutečnosti však šlo o naprosto průměrný virus.
1994 červen
Natas - SPaM virus velmi rozšířený v Mexiku. Při každém spuštění infikovaného souboru,
přístupu do master boot record(MBR) a některých dalších akcích existovala pravděpodonost
1:512, že virus zlikviduje část dat na disku. Zajímavostí tohoto viru bylo, že za určitých
okolností vypínal ochranu(stealth) za účelem snazšího šíření. Infikoval master boot record,
spustitelné soubory a boot sektory disket.
1994 prosinec
DMV - První makrovirus pro Microsoft Word. Šlo o demonstrační virus, který nikdy nebyl
vypuštěn do 'divočiny'. Autor viru, Joel McNamara, o jeho existenci informoval až po
vypuštění viru Concept následujícího roku a tak bývá DMV prvenství v kategorii makrovirů
často upíráno. McNamara je též autorem zřejmě prvního makroviru pro Microsoft Excel.
▪ 44 ▪
9.2.3
Éra Windows
Spolu s příchodem Windows 95 a jejich rozšířením se začínají postupně vytrácet viry pro
platformu MS-DOS. Příchod Windows tak měl podle některých optimistických vyjádření
'expertů' znamenat konec virů vůbec. Jak se brzy ukázalo, byly tyto předpoklady velmi
vzdáleny realitě. Souborové viry a boot viry, které byly v dobách DOSu dominantní, již sice
nebyly nejčastějším malware, nicméně stále se často objevovaly a jejich účinky byly mnohdy
velmi destruktivní. Hlavní hrozba však přišla ze strany makrovirů. Ohromná obliba balíků MS
Office a fakt, že uživatelé sdílí dokumenty častěji než programy, jim poskytla netušené
možnosti šíření, jak dokumentuje Peter Szor[25, s. 75]: „S prvním, velice rozšířeným,
makrovirem jsme měli tu čest v případě WM/Concept.A na konci roku 1995. Během pár
měsíců jsme nalezli pouze tucet podobných virů, ale do roku 1997 už existovaly tisíce
podobných výtvorů“. Makroviry se tak staly na poměrně dlouhou dobu dominantním
malware.
1995 24. srpna
Vydání Windows 95/Chicago.
1995
Concept - Makrovirus pro Microsoft Word, mnohými považován za první svého druhu,
nicméně jak je popsáno výše, prvenství v této kategorii patří viru DMV. Pravdou však
zůstává, že Concept byl prvním 'divokým' makro virem. Nebyl nijak destruktivní - v makru s
payloadem se nacházela pouze následující zpráva:
Sub MAIN
REM That's enough to prove my point
End Sub
Concept - Obsah makra s payloadem
Šlo o velmi rozšířený virus, což dokumentuje skutečnost, že v jistém bodě v roce 1997 byl
každou druhou infekcí právě Concept. Za celý rok 1997 byl pak tento virus zodpovědný za
jednu třetinu všech infekcí. Jako některým výše zmíněným virům, i Conceptu se podařilo
▪ 45 ▪
rozšířit s oficiálním software. Nacházel se například na CD s 'Microsoft Windows 95
Software Compatability Test', které Microsoft rozesílal v roce 1995.
1995
Nuclear - Jeden z mnoha makrovirů pro Microsoft Word, které následovaly po vypuštění
Conceptu. Narozdíl od svého předchůdce je ale Nuclear vysloveně škodlivý virus - mazal
systémové soubory(IO.SYS, COMMAND.COM,...), infikoval systém virem 'Ph33r Windows' a
při tisku, nebo faxování vkládal do dokumentů dva řádky s textem:
And finally I would like to say:
STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC
Nuclear - Text vkládaný do dokumentů
Zajímavým faktem je, že Francie zastavila jaderné testy v Pacifiku v roce 1996, tedy v roce
následujícím, s virem Nuclear to nicméně s největší pravděpodobností nemělo nejmenší
souvislost.
1995
Bizatch/Boza - První virus pro Windows 95 a současně první virus schopný infikovat PE
executables(formát spustitelných souborů, knihoven, atd. ve Windows). Přestože tímto
prvenstvím byl zajímavý a objevilo se o něm několik zpráv v médiích, jako virus Bizatch
rozhodně neobstál - měl problémy s během na většině verzí Windows 95 a na jednotlivých
jazykových mutacích nemusí být vůbec schopný se replikovat. Pokusy o opravení těchto
chyb v dalších verzích viru byly neúspěšné a některé verze dokonce obsahovaly chyby
nové.
1996
Wazzu - Makrovirus pro MS Word který se velmi rychle rozšířil a stal se základem velké
rodiny. Není úmyslně destruktivní - v infikovaném dokumentu pouze přesouvá slova.
Vzhledem k velkému rozšíření je mu věnována část 10. kapitoly.
▪ 46 ▪
1996 květen
Hare - Polymorfní multipartitní vir pro platformu MS-DOS. Ve dnech 22. srpna a 22. září
odpaloval payload, který mazal data na pevném disku. Přestože se v případě Hare rozhodně
nedá hovořit o epidemii, podařilo se mu rozšířit na místa po celém světě.
1996 25. července
Laroux - První 'divoký' makrovirus pro Microsoft Excel. Není destruktivní a neobsahuje žádný
payload. Jako v případě viru Concept, i Laroux byl jedním z nejrozšířenějších virů své doby.
1996 20. října
Staog - První virus pro platformu LINUX. Byl vytvořen skupinou VLAD, která stojí i za virem
Bizatch. Virus nenesl žádný payload a byl tedy nedestruktivní, podařilo se mu ale vyvrátit
fámu, že viry pro LINUX 'neexistují' a 'nemohou existovat', jak se někteří dodnes domnívají.
1996 30. prosince
Vydání Microsoft Office 97 - makra v dokumentech MS Office 97 se stala hlavní živnou
půdou pro viry(např. Melissa).
1996
Ply - První polymorfní nešifrovaný virus. Fungoval na platformě MS-DOS a infikoval všechny
soubory EXE, výjma známých antivirů. Používal velmi sofistikovanou a komplikovanou
polymorfní rutinu.
1997 leden (podle některých zdrojů únor 1997)
Bliss - Druhý virus pro platformu LINUX(někteří se mylně domnívají, že jde o první virus pro
LINUX, toto prvenství výše uvedenému viru Staog). Dodnes se vedou debaty o jeho
klasifikaci vzhledem k tomu, že vykazuje známky viru, červu a trojanu.
▪ 47 ▪
1997 15. října
EICAR 'Standard antivirus test file' - soubor pro testování detekčních možností antivirových
produktů. Soubor obsahuje signaturu, kterou autoři AV software znají a přidávají do
seznamu signatur virů. Mělo by tedy platit, že pokud AV software odhalí testovací soubor
jako infikovaný,0 dokáže odhalit i virus, jehož signaturu zná. Používaná verze vypadá
následovně:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
EICAR Standard antivirus test file [24]
Po uložení tohoto řetězce do souboru typu COM(případně i jiného) a následném skenu
tohoto souboru by měl každý antivir označit tento soubor za 'infikovaný', i když nebezpečný,
pochopitelně, není.
1997 listopad
Esperanto - První multiplatformní virus. Dokázal infikovat soubory platformy MS-DOS,
Windows a Mac OS. Kvůli chybám v kódu však byla možnost této meziplatformí infekce
spíše teoretická.
1998 červen
CIH/Chernobyl/Spacefiller - Velmi úspěšný souborový virus pro Windows. Obsahuje dva
payloady, oba destruktivní. CIH nakazil vysoký počet systémů a je blíže popsán v 10.
kapitole.
1998 3. srpna
Back Orifice - Velmi známý a používaný RAT(Remote Administration Tool)/Backdoor.
▪ 48 ▪
1998 srpen
Strangebrew - První Java virus, funguje na libovolném systému s Java Runtime Enviroment.
Velikost infikovaných souborů upravoval tak, aby byla dělitelná číslem 101. Při objevení
souboru jehož velikost tomuto pravidlu neodpovídala, Strangebrew zkontroloval zda je
'vhodné' ho infikovat, pokud ne, upravil jeho velikost, aby byla číslem 101 dělitelná(a tak ho
při příštím hledání vynechával jakožto 'infikovaný') a přesunul se na další soubor.
1998
Autostart - První červ pro Macintosh, původně z Číny. Každých 30 minut kontroloval
připojené disky a pokud objevil nový, neinfikovaný, uložil na něj skrytý soubor, který
následnou infekci zajistil. Kromě toho vyhledával datové soubory a přepisoval je garbage
kódem.
Obr. 8 - Happy99 – Animace při spuštění
Zdroj: F-Secure [21]
▪ 49 ▪
1999 27. ledna
Happy99 - Mailer červ s prvky viru a trojanu. Neobsahoval destruktivní payload a pouze se
při odeslání e-mailu uživatelem odeslal na stejnou adresu. Sám autor ho popsal jako
"sympatického stopaře, který použije vaše internetové připojení k cestování a poděkuje vám
za ten výlet malou animací," v originále "sympathetic hitchhiker who uses your internet
connection to travel, and thank you for the trip with a small animation." Předpokládaný počet
počítačů infikovaných Happy99 byl mezi devíti a patnácti tisíci.
1999 26. března
Melissa/Simpsons/Kwyjibo - Médii velmi oblíbený a velmi rozšířený makrovirus pro MS
Word. Jeho detailnímu popisu je věnována část 10. kapitoly.
1999 6. června
ExploreZip/Zipped Files - Mass-mailer červ pro platformu MS Windows napsaný v jazyce
Delphi. Obsahoval destruktivní payload a způsobil díky němu závažnější škody než Melissa,
přestože se tak dobře nešířil. Vzhledem k těmto škodám je blíže popsán v 10. kapitole.
1999 9. listopadu
BubbleBoy - První email červ schopný infikovat počítač při prohlížení e-mailu(tzv. 'previewpane-infecting worm'). Po prvním restartu od infekce se rozešle na všechny e-mailové
adresy v adresáři, upraví některé vlastnosti systému(např. nastaví vlastníka počítače na
"BubbleBoy") a vytvoří klíč v registru, díky kterému nebude z daného počítače znovu
rozesílat e-maily. Zajímavou variantou tohoto červu je BubbleBoy.C, obsahující destruktivní
payload.
▪ 50 ▪
9.2.4
Současnost - éra červů
Vzhledem ke globálnímu rozšíření internetu se tato celosvětová síť stala hlavním kanálem
pro šíření malware. Červy se tak staly logickým nástupcem makrovirů na postu
dominantního malware. Zejména mailer a mass-mailer červy slaví nebývalé úspěchy
vzhledem k obrovským počtům uživatelů elektronické pošty, kteří nevědomky napomáhají
jejich šíření. Mnoho z těchto červů navíc počítače infikuje dalším malware, např. trojany.
Zejména v posledních letech se tak objevují ohromné botnety složené ze stanic nakažených
právě pomocí backdoor trojanů instalovaných červem. Tyto botnety pak bývají použity k
šíření spamu, případně dalším nelegálním aktivitám. Čím dál tím častěji se také začíná
objevovat malware pro platformy mobilních zařízení.
2000 4. května
Loveletter/ILOVEYOU/Love bug - Jeden z nejznámějších červů vůbec, způsobil na svou
dobu velmi vysoké, dokonce několikamiliardové, škody. Jedná se o tzv. multiple vector
worm, neboli červ s více vektory(červ, šířící se více než jednou cestou). V případě Loveletter
šlo o rozesílání e-mailů a šíření přes infikované IRC kanály. Vzhledem k velké úspěšnosti je
Loveletter detailněji popsán v 10. kapitole.
2000 květen
Stages/Lifestages/Scrapworm - Další z řady multiple vector červů šířících se e-mailem a
přes kanály IRC. Stages byl prvním červem, který používal falešnou koncovku souboru pro
usnadnění šíření - infikovaný soubor se jmenoval 'LIFE_STAGES.TXT.SHS', nicnéně
koncovka .SHS byla neviditelná i pokud bylo v systému nastaveno zobrazování všech
koncovek. Jedním z autorů Stages je Zulu, autor červu BubbleBoy.
2000 29. srpna
Liberty - První trojan pro PalmOS. Liberty vypadá jako crack pro Liberty Gameboy emulator
1.1 a po spuštění smaže všechny soubory aplikací a restartuje zařízení.
2000 22. září
Phage - První virus pro PalmOS, přepisuje začátky spustitelných souborů, které jsou v
důsledku toho dále nepoužitelné.
▪ 51 ▪
2000 25. září
Hybris/Snow White - Červ, šířící se pomocí e-mailu. Zajímavostí Hybris je použití
aktualizovatelných pluginů(zásuvných modulů). Červ se připojoval ke své domovské stránce
a na ní hledal novější verzi pluginu, pokud ji našel, použil ji místo verze zastaralé. Autor tak
mohl vzdáleně ovlivňovat chování tohoto červu.
2000 7. prosince
Creative/Prolin/Shockwawe - E-mailový červ šířící se podobně jako Meilissa. Byl opakovaně
zmiňován médii jako 'červ nabádající uživatele k přechodu na systém LINUX' - červ po
infikování počítače přesunul všechny soubory ZIP, MP3 a JPG do kořenového adresáře
disku C(C:\) a za koncovky přidal text "change atleast now to LINUX".
2001 16. ledna
Ramen - Červ, šířící se přes internet a napadající Linuxové systémy. Začátkem roku 2001 již
existovalo okolo 50 škodlivých programů pro Linux, přesto byl Ramen prvním pro Linux
určeným červem. Napadal systémy Red Hat 6.2 a 7.0, obsahuje však i rutiny pro útok na
počítače se systémy SuSE Linux a FreeBSD. Tyto rutiny ale červ z neznámého důvodu
nikdy nepoužíval. Červ není nutně destruktivní, je spíše ambiguitní - obsahoval sice payload
přepisující webové stránky, ale zároveň záplatoval v systému chybu, přes kterou do něj
proniknul.
2001 12. února
OnTheFly/Anna Kournikova - Další z řady velmi známých zástupců malware, OnTheFly je
mass-mailer červ, tvářící se jako obrázek slavné tenistky Anny Kurnikovové. To bylo zřejmě
hlavním důvodem jeho mediální obliby. Tento červ je nicméně výjmečný i svým původem jde o červ, vytvořený pomocí generátoru(VBS Worm Generator) a jde o jeden z mála
případů, kdy takto vytvořený malware fungoval a dokázal se úspěšně šířit.
2001 13. března
Magistr/Disemboweler - Souborový virus/červ se schopností šířit se pomocí infikovaných
souborů i e-mailem. Šlo o virus s velmi sofistikovaným kódem a nebezpečným payloadem,
▪ 52 ▪
kterým byl údajně schopen smazat paměť CMOS a, podobně jako virus CIH, vymazat data
ve Flash BIOSu.
2001 27. března
Winux/Peelf/Lindose - Multiplatformní demonstrační virus, schopný infikovat soubory na
platformě MS Windows a Linux. Jde o jeden z prvních virů tohoto typu, i když ne úplně
první(prvenství v této kategorii patří výše zmíněnému viru Esperanto). Autorem tohoto viru je
český kodér známý jako Benny.
2001 8. května
Sadmind - První z řady čínských červů roku 2001. Sadmind byl internetový červ infikující
servery Solaris a schopný modifikovat stránky na Microsoft IIS serverech, bežících na
Windows 2000 a Windows NT(dalo by se tedy říci, že jde o červ multiplatformní). Zajímavé
je, že v obou systémech využíval pro šíření bezpečnostní díry, na které tou dobou již přes
rok existovaly záplaty.
2001 13. července
CodeRed - Čínský internetový červ pro Microsoft IIS servery. Velmi rychle se rozšířil a
způsobil obrovské škody. Je proto blíže popsán v 10. kapitole.
2001 17. července
Sircam – Poměrně rozšířený mass-mailer červ připojující do přílohy e-mailu, kterým se
odesílá, náhodné dokumenty nalezené na disku. Díky této funkci byl Sircam, jak zmiňuje
Michael Erbschloe[26, s. 43], údajně zodpovědný za zveřejnění tajných dokumentů patřících
ukrajinské vládě a rozeslání několika dokumentů z nakažených počítačů FBI.
2001 18. září
Nimda - Další z čínských červů, tentorkát se jedná o červ multivektorový, schopný šířit se
pěti různými způsoby. Prvním způsobem bylo automatické stažení z infikované stránky, dále
pak instalace z e-mailu již při jeho otevření, infekce po lokální síti(LAN), infekce MS IIS
4.0/5.0 serverů pomocí bezpečností díry(nebo pomocí backdoor trojanu zanechaného
▪ 53 ▪
červem CodeRed.II) a konečně schopnost infikovat(resp. v případě červu Nimda spíše
asimilovat) soubory a šířit se s nimi. Způsobené škody údajně přesahovaly 2,5 miliardy
dolarů.
2001 25. října
Klez - Poslední ze zajímavých červů, které se roku 2001 rozšířily z Číny. Je velmi
destruktivní a podobně jako Nimda dokáže infikovat počítač již při čtení e-mailu. Narozdíl od
svého předchůdce má ale schopnost falšovat adresu odesilatele, což nepochybně přispělo k
jeho rozšíření. Vzhledem ke značné výši napáchaných škod je červu Klez věnována část 10.
kapitoly.
2001 4. prosince
Goner - Multiple vector, mass-mailer červ, šířící se jako spořič obrazovky pomocí e-mailu a
ICQ. Zajímavá je na tomto červu schopnost likvidovat nainstalované antivirové programy,
pokud ho tyto včas nezastavily.
2001
Zmist - Souborový virus pocházející z Ruska. Používal velmi sofistikovaný polymorfní
algoritmus a většina AV produktů nebyla schopna ho poměrně dlouhou dobu detekovat.
2002 8. ledna
LFM/LFM-926 - První(demonstrační) virus infikující soubory Shockwawe Flash.
2002 9. ledna
Donut/Dotnet/.NET virus - První(demonstrační) virus infikující spustitelné soubory platformy
MS.NET. Autorem Donut je český kodér virů, známý jako Benny.
▪ 54 ▪
2002 11. ledna
MetaPHOR/Smile/Etap - Metamorfní virus pro MS Windows, jehož pozdějí varianty byly
multiplatformní. Metamorfní engine tohoto viru zabíral okolo 90% z celkem 14000 řádek
kódu.
2002 15. února
Yaha - Mass-mailer červ pocházející z Indie. Mnoho variant tohoto červu bylo vytvořeno v
rámci kybernetického boje mezi indickými a pakistánskými hackery.
2002 26. února
Sharp/Sharpei - Virus napadající spustitelné soubory platformy MS.NET, bývá často uváděn
jako první virus napsaný v jazyce C#(ačkoli podle některých zdrojů[21] toto prvenství připadá
viru Donut). Jako v případě Donut, i Sharp je virus demonstrační. Zajímavým faktem je, že
autorem tohoto viru je žena známá pod jménem Gigabyte.
2002 13. září
Slapper - Červ běžící na platformě Linux, využívající pro šíření chybu v knihvnách OpenSSL.
Po infikování systému instaluje backdoor a umožňuje tak crackerovi převzít kontrolu na
systémem.
2002 30. září
Tanatos/Bugbear
-
Multivektorový
červ,
instalující
na
infikovaných
stanicích
backdoor/keylogger. Průvodním jevem tohoto viru bylo tištění nesmyslných textů na síťových
tiskárnách.
2003 13. ledna
YahaSux/Sahay - Mass-mailer červ od Gigabyte, autorky viru Sharp. Jde o nematode,
likvidující červ Yaha zmíněný výše.
▪ 55 ▪
Obr. 9 - YahaSux – Zpráva zobrazená po spuštění
V pozdější verzi viru Yaha(Yaha.Q) se objevila v reakci na virus YahaSux zpráva:
to gigabyte: chEErS pAL, kEEp uP tHe g00d w0rK..buT W32.HLLP.YahaSux is.. lolz ;)
Yaha.Q - Reakce na YahaSux
2003 9. ledna
Sobig - Velmi efektivní a rychle se šířící multivektorový červ, je jedním z nejdestruktivnějších
zástupců malware všech dob. Jako takový je dále popsán v 10. kapitole.
2003 25. ledna
Slammer/Saphire/Helkern/SQLSlammer/SQLExp - Velmi jednoduchý internetový červ, který
se rozšířil rekordně rychle - celosvětové rozšíření údajně trvalo 15 minut. Vzhledem k tomuto
úspěchu je Slammer blíže popsán v 10. kapitole.
2003 11. srpna
Blaster/Lovesan/Poza/MSBlast - Velmi rozšířený internetový červ, který, kromě restartování
systémů s MS Windows po minutě odpočítávání, způsoboval masivní DDoS(Distributed
Denial of Service) útoky na server windowsupdate.com. DDoS útok je, jak se uvádí v knize
Hacking bez záhad[27, s. 387], útok jehož se účastní velký počet počítačů schopných
neustálým zasíláním požadavků na cílový systém zcela zahltit kapacitu i těch největších
▪ 56 ▪
linek a tedy i daný systém. Vzhledem k úspěšnosti šíření je tento červ detailněji popsán v 10.
kapitole.
Obr. 10 - Blaster – Odpočet do restartu systému
Zdroj: Viry.cz [28]
2003 18. srpna
Welchia/Nachi - Červ-nematode, odstraňující červ Blaster/Lovsan a následně záplatující
bezpečnostní díru ve Windows, kterou Blaster používal k pronikání do systému.
2003 24. října
Sober - Úspěšně se šířící mass-mailer červ. Existovalo mnoho variant, z nichž většina
nenesla žádný payload a jedinou funkcí červu tedy bylo jeho šíření.
2003 21. listopadu
Podle průzkumů bylo 85% všech počítačů v Číně v průběhu roku 2003 infikováno
virem(,červem, trojanem,...).
▪ 57 ▪
2004 18. ledna
Beagle/Bagle - Mass-mailer červ(resp. poměrně rozsáhlá rodina), který způsobil škodu
blížící se 900 milionů dolarů. Zajímavé na tomto červu je, že se k e-mailu přikládal v
zaheslovaných ZIP archivech. Kód pro rozšifrování archivu býval uveden v těle e-mailu.
2004 26. ledna
Mydoom/Novarg/Shimgapi - Multivektorový červ, zřejmě nejničivější, který byl kdy vypuštěn.
Vzhledem k tomuto úspěchu je Mydoom detailněji popsán v 10. kapitole.
2004 16. února
Netsky - Multivektorový červ s mnoha variantami z nichž některé se velmi rychle a úspěšně
šířily - dlouhou dobu stály na prvních místech žebříčků malware. V době psaní této práce se
verze Netsky.C a zejména verze Netsky.Q stále ve většině virových žebříčků objevují[29]. Za
zmínku stojí fakt, že některé varianty tohoto červu byly nematody - likvidovaly červy Beagle a
Mydoom. Autorem Netsky je Němec Sven Jaschan.
2004 30. dubna
Sasser - Internetový červ vytvořený, stejně jako Netsky, Svenem Jaschanem. Přestože
Sasser neobsahoval žádný úmyslně destruktivní payload, byl příčinou pádu mnoha systémů
a způsobené škody se odhadují na 18,1 miliard dolarů.
2004 19. dubna
Hazafi/Zafi/Erkez - Internetový červ, jehož některé varianty po infikování počítače
zobrazovaly text upozorňující na korupci v maďarské politice. Zajímavé na něm především
je, že se velmi úspěšně rozšířil a podle serveru virovyradar.cz je jeho verze 'Zafi.B' v době
psaní této práce nejrozšířenějším červem/virem šířícím se elektronickou poštou v České
Republice.
2004 6. května (zřejmě)
Rugrat/Rugrat.344 - První plně 64-bitový virus pro Windows(x64). Vzhledem k velikosti byl
zřejmě napsán v IA64 assembly.[21]
▪ 58 ▪
2004 14. června
Caribe/Cabir - Červ pro mobilní telefony se systémem Symbian OS. Byl to první červ pro
tento systém a zároveň první červ schopný šířit se pomocí rozhraní bluetooth. Jsou známé
případy nákazy tímto virem ve Finsku a ve Španělsku.
2004 21. prosince
Santy - Webový červ(web worm), napadjící servery s nazáplatovaným phpBB(freeware balík
pro tvorbu diskuzních fór), na napadená fóra umisťoval text "This site is defaced!!!". Šlo o
první malware vůbec, který používal vyhledávací engine google k hledání systémů vhodných
pro infekci.
2005 19. ledna
Crowt-A - Mailový červ, zajímavý tím, že předmět a tělo e-mailových zpráv, se kterými se
posílal, generoval v reálném čase podle web stránek CNN. Zprávy zasíláné tímto červem tak
vypadaly poměrně důvěryhodně.
2005 26. února
Mytob - Multivektorový červ, který na infikovaných stanicích fungoval jako backdoor.
Existovalo mnoho variant Mytob a nové se objevovaly i několikrát denně(Trend Micro
informoval o 125 objevených variantách za 3 měsíce). V některých verzích fungoval Mytob
také jako keylogger, downloader(stahoval do počítače spyware a adware), nebo vypínal AV
software.
2005 7. března
Commwarrior-A - První červ pro mobilní telefony schopný šířit se pomocí MMS. Fungoval,
stejně jako výše zmíněný červ Caribe, na platformě Symbian a dokázal se šířit i pomocí
bluetooth. Šlo tedy o multivektorový virus pro mobilní telefony. Jsou známé případy infekcí
tímto červem z více než 20 zemí.
▪ 59 ▪
2005 březen
Kelvir - IM(Instant Messaging) červ, šířící se pomocí MSN Messengeru.
2005 14. srpna
Zotob - Internetový červ, jehož tvůrci jsou autory červu Mytob. Instaloval na počítači
backdoor a infikované stanice sdružoval do botnetu.
2006 10. února
Oompa/Leap - První červ pro Mac OSX, k šíření využívá IM aplikaci iChat. Byly a jsou
vedeny diskuze ohledně správné klasifikace tohoto malware, některými prvky chování totiž
připomíná virus, červ i trojan.
2006 17. února
Iqtana - Druhý červ pro Mac OSX, schopný šířit se přes nezáplatovanou bezpečnostní díru v
operačním systému. Virus byl nicméně pouze demonstrační a nikdy se neobjevil 'v divočině'.
2006 18. srpna
Stration/Warezov - E-mailový červ pocházející z Ruska. Z infikovaných stanic tvořil botnety,
které pak autoři využívali k nelegální činnosti. Šlo o velmi rozšířený malware s mnoha
různými variantami a je mu věnována část 10. kapitoly.
2007 17. ledna
Zhelatin/Nuwar/Peacomm/Small DAM/Storm Worm - Červ(resp. velká rodina červů), šířící se
pomocí e-mailů s texty v předmětu ve stylu titulků z bulvárních plátků. Infikované počítače
sdružoval do botnetu, který mohl autor červu vzdáleně ovládat. Vzhledem k velmi
úspěšnému rozšíření je Storm Worm detailněji popsán v 10. kapitole.
▪ 60 ▪
2008 1. dubna
Nový Zhelatin - V dubnové verzi červu mají zprávy v předmětu text s 'aprílovými' tématy.
2008 20. listopadu
Conficker/Downandup/Kido - Další z médii velmi oblíbených internetových červů. Velmi
dobře se šířil aniž by způsobil větší škody. Vzhledem k počtu nakažených systémů je mu
věnována část 10. kapitoly.
2009 24. srpna
Autorun - Červ, šířící se hlavně kopírováním na přenosná média, např. USB disky.
Jednotlivé jeho verze obsahovaly payload v podobě keyloggerů, backdoorů a dalších
trojanů.
2010 17. června
Stuxnet - Červ, známý též jako 'první kybernetická superzbraň'. Jako první malware infikoval
SCADA systémy(systémy pro průmyslové řízení, jsou jimi řízeny například elektrárny,
železniční doprava, apod.) a následně o nich odesílal informace. Spekuluje se, že jde
opravdu o zbraň, vytvořenou USA nebo Izraelem pro použití proti Íránu - se Stuxnet je
spojována údajná infekce systémů íránské jaderné elekrtárny Bushehr.
2010
První člověk infikovaný PC virem - Dr. Mark Gasson z University of Reading infikoval virem
podkožní čip, který si následně implantoval do ruky. Tímto virem poté v rámci demonstrace
infikoval počítač.
▪ 61 ▪
9.3
Vývoj ostatního malware
Jak je zmíněno výše, dominantním malware byly již od počátků převážně viry a červy. V
oblasti ostatního malware nicméně také došlo v průběhu sledovaného období ke změnám.
Mezi nejpodstatnější patřilo ohromné rozšíření trojanů, většinou vypouštěných červy. Trojany
'prospívají' i v současnosti a jejich počty stále rostou. O něco méně příznivý osud potkal
malware vycházející z původního Rabbitu/Wabbitu a dnes jde již pouze o historicky zajímavý
druh. Podobné, i když ne úplné, zmizení ze světa potkalo v rámci ústupu vytáčeného
faxmodemového připojení dialery. Jak bylo zméněno v 8. kapitole, verze 'dialerů', s nimiž se
můžeme setkat dnes, přesměrovávají většinou prohlížeče na stránky s placeným, většinou
pornografickým, obsahem. V roce 2010 se nicméně objevil trojský kůň pro platformu
Android, který je možno považovat za formu dialeru - z telefonu odesílá SMS na čísla se
zvýšenou tarifikací.
9.4
Trendy v počtech malware
Jak je z předchozích řádků zřejmé, exituje obrovské množství variant malware. Vzhledem k
rozdílům v jejich zařazování/pojmenování u jednotlivých AV společností(viz 8. kapitola) je
téměř nemožné zjistit přesné počty exitujících škodlivých programů v konkrétních obdobích.
Pro potřeby demonstrace rychlosti vytváření nového malware jsou však plně postačující
údaje uváděné na stránkách Computer Knowledge a odhady uváděné jednotlivými
společnostmi a institucemi.[30]
Podle většiny z nich se v roce 1990 pohybovaly počty malware mezi jedním a pěti sty a v
roce následujícím mezi třemi sty a tisícem. Tento stoupavý trend trval a odhaduje se, že v
roce 1992 existovalo již mezi jedním a dvěma a půl tisíci různých variant malware. Jejich
počet se dále zvyšoval a ke konci roku 1995 dosáhnul přibližně 7,500 a v roce 1996 pokořil
hranici 10,000.
Tato cifra se v průběhu dalších dvou let zdvojnásobila(dle vyšších odhadů dosahovala v roce
1998 čísla 25,000). V roce 1999 překročil počet variant hranici 40,000 a v roce 2000 pak
hranici 50,000. Následoval raketový růst v počtu variant malware dokumentovaný
překonáním statisícové hranice počtu signatur(z nichž některé odpovídají i desítkám variant,
vlastního malware tedy existovalo mnohem více - viz níže) roku 2004 a překonáním hranice
milionové roku 2008(dle firmy Symantec - dle údajů firmy Kaspersky byl konečný počet v
▪ 62 ▪
roce 2008 okolo 1,5 milionu). Dnes se počty signatur užívaných softwarem jednotlivých AV
společností pohybují běžně mezi 2,000,000 a 3,000,000.
Přestože se tato čísla se mohou zdát až závratně vysoká, je dobré si povšimnout, že jde
pouze o signatury, ne reálné počty malware. Rozdíl mezi těmito hodnotami začíná být
zajímavý okolo roku 2007. V té době jednotlivé společnosti užívaly většinou mezi 500,000 a
700,000 signatur, ale vlastní počet variant malware překonával hranici několikanásobně
(např. podle grafu počtu vzorků ve sbírce AV-Test.org až cca 6x) vyšší. V následujících
letech začaly být rozdíly mezi počtem signatur a malware ještě citelnější a ke konci roku
2008 měla většina AV společností ve sbírkách okolo 15,000,000 vzorků škodlivých
programů. Přestože ve sbírkách firmy Kaspersky došlo od té doby dokonce k mírnému
poklesu počtu uchovávaných variant(viz graf 3), jiné sbírky stále rostou - například institut
AV-Test ohlásil, že v průbehu roku 2009 jeho sbírka obsahovala přes 22 milionů vzorků
malware a tento počet se stále zvyšuje(viz graf 2). Pravdou nicméně zůstává, že 'v divočině'
se lze běžně setkat jen s velmi malou částí obsahu těchto sbírek a tak jsou tato čísla spíše
zajímavostí, než důvodem k panice.
▪ 63 ▪
▪ 64 ▪
10.
NEJÚSPĚŠNĚJŠÍ MALWARE
V 9. kapitole byl zmíněn malware, který byl z nějakého důvodu zajímavý pro dokumentaci
vývoje škodlivých programů. V této kapitole jsou někteří z nejúspěšnějších zástupců
malware blíže popsáni a jsou vysvětleny principy jejich funkce a následky, které způsobily.
Programy jsou řazeny chronologicky podle data objevení(viz 9. kapitola).
10.1
10.1.1
Brain
Historie
Jak bylo zmíněno v 9. kapitole, je Brain prvním IBM PC virem, resp. prvním virem pro MSDOS. Je známý též pod jmény Pakistani Flu, Lahore, Pakistani, Pakistani Brain a Basit
Virus. Jak je z těchto názvů zřejmé, je Brain virem pocházejícím z Pákistánu. Výjma
prvenství v oblasti PC virů je unikátní ještě z jednoho důvodu - do dnešního dne jde o zřejmě
jediný malware, který obsahuje pravá jména, telefonní čísla a adresy svých autorů. Těmi
jsou bratři Basit a Amjad Farooq Alvi, tehdy majitelé obchodu Brain Computer Services, kteří
virus vytvořili v lednu roku 1986 s úmyslem infikovat diskety, obsahující pirátské verze jimi
prodávaného programu. Brain se nicméně šířil poměrně nevybíravě a objevil se mimo jiné i
ve Velké Británii nebo ve Spojených Státech Amerických. V těle virus obsahoval následující
zprávu:
Welcome to the Dungeon
© 1986 Basit & Amjad (pvt) Ltd.
BRAIN COMPUTER SERVICES
730 NIZAB BLOCK ALLAMA IQBAL TOWN
LAHORE-PAKISTAN
PHONE :430791,443248,280530.
Beware of this VIRUS....
Contact us for vaccination............ $#@%$@!!
Brain - Adresa v těle viru
▪ 65 ▪
Díky adrese v kódu programu nebylo příliš složité autory kontaktovat a ti byli po záplavě
rozezlených telefonátů nuceni nechat odpojit uvedené telefonní linky. Zajímavým faktem je,
že bratři Basit a Amjad dnes vlastní firmu Brain NET poskytující internetové připojení.
10.1.2
Technické informace
Brain je boot virus naprogramovaný v assembly(lidově 'assembleru') s infekční délkou mezi
3 a 7 kilobyty. Šířil se pomocí 5.25" disket o velikosti 360 kB,neobsahoval žádný úmyslně
destruktivní payload a neinfikoval pevné disky. Po vložení nakažené diskety se virus načetl
do paměti počítače a následně infikoval každou další vloženou disketu při jakémkoli přístupu
na ní. Průběh infekce byl poměrně přímočarý - virus se zkopíroval do boot sektoru diskety,
uložil jeho původní obsah do volných sektorů na disketě a poté je označil za chybné.
Následně změnil popisek diskety na '(c)Brain'. V případě pokusu o přístup k boot sektoru,
kde se nyní nacházelo tělo viru, odkazoval Brain na původní obsah boot sektoru, čímž byl v
podstatě neviditelný pro tehdejší diskové nástroje. Vzhledem k implementované ochranné
technice bývá považován za první full-stealth virus. Díky změněnému popisku diskety
nicméně nebylo složité objevit nakažené diskety.
10.1.3
Způsobená škoda
Jak již bylo zmíněno, viru se podařilo úspěšně rozšířit, nicméně vzhledem k jeho
nedestruktivnosti byly škody minimální, většinou šlo pouze o zpomalení čtení z diskety,
výjmečně až do té míry, kdy byla disketa dále nepoužitelá. Při infekci 100 počítačů novin
Providence Journal-Bulletin v roce 1988 tak jeden z reportérů údajně přišel o několik měsíců
práce uložené na disketě.
10.1.4
Zajímavé varianty
Brain.B
Varianta naprosto shodná s původním Brainem, s přidanou schopností infikovat pevné disky.
Brain.C
Varianta schopná infikovat pevné disky a při infekci neměnící popisek disku. Díky této
změně byla detekce této verze Brain poměrně problematická.
▪ 66 ▪
Brain.Clone.B
Destruktivní varianta Brain, která, pokud byla načtena po datu 05.05.1992, poškozovala FAT
tabulku.
Brain.Shoe/Ashtar/UIUC Virus
Shoe je velmi podobný viru Brain.B, má pouze změněnou zprávu obsaženou v těle viru.
Podle některých zdrojů je tato varianta ještě starší než původní Brain[17].
10.2
Jerusalem
10.2.1
Jerusalem,
Historie
známý
též
jako
Friday13th,
BlackBox,
BlackWindow,
Israeli,
1813,
HebrewUniversity nebo ArabStar je souborový virus vycházející z viru Surviv. Jak název
napovídá, jde o virus objevený v Izraeli, odkud, jak se někteří domnívají, pochází. Některé
důkazy nicméně ukazují na Itálii jakožto zemi původu. Vyskytoval se v mnoha verzích po
téměř 8 let - od svého objevení v říjnu roku 1987 až do příchodu Windows 95 v roce 1995.
Názvy, pod kterými je virus znám, jsou odvozeny převážně od místa objevení a
předpokládaného místa původu(Jerusalem), od data odpálení hlavního destruktivního
payloadu(pátek 13.), nebo od účinků payloadu sekundárního(viz níže).
10.2.2
Jerusalem infikoval spustitelné soubory COM a EXE. V původní verzi virus infikoval soubory
EXE při každém spuštění znovu a tak jejich velikost poměrně rychle rostla a soubory tak
nebylo po určitém čase možné načíst do paměti. Podle některých zdrojů jde o úmyslnou
funkčnost viru[22], nicméně jako pravděpodobnější se jeví varianta vysvětlující tuto funkci
viru jako neúmyslnou chybu v kódu[17]. Tomu by také odpovídal fakt, že toto chování je
specifické pouze pro rané verze Jerusalemu a v pozdějších variantách se již nevyskytuje.
Infekční délka viru je 1813 bytů pro soubory COM a mezi 1808 a 1823 byty pro soubory
▪ 67 ▪
EXE. Při spuštění nakaženého souboru dojde k načtení viru do paměti. Virus pak zůstává
rezidentní i po skončení hostitelského programu a infikuje všechny následně spuštěné
programy s vyjímkou souboru COMMAND.COM. Infekce probíhá vložením těla viru na
začátek souboru a posunutí vlastního kód programu. V rámci svého běhu Jerusalem mimo
jiné zachytával interupty systému a upravoval výstupy předávané uživateli. Například pokud
se virus pokusil infikovat soubor určený pouze pro čtení, zabránil zobrazení chybového
hlášení o pokusu změnit tento soubor. Jak je výše řečeno, obsahoval Jerusalem kromě
infekční rutiny i dva payloady. První a hlavní payload, spouštěný každý pátek 13., byl
destruktivní - smazal všechny v ten den spuštěné programy. Druhý, nedestruktivní, nicméně
velmi nepříjemný payload způsoboval 30 minut po spuštění zobrazení černého okna a
zpomalení běhu počítače.
10.2.3
Způsobená škoda
Virus se, jak je zmíněno výše, velmi dlouho a úspěšně šířil v mnoha různých variantách.
Vzhledem
ke snadné detekci, jednoduchosti odstranění a výjmečnosti spouštění
destruktivního payloadu nicméně nezpůsoboval nijak závratné škody.
10.2.4
Zajímavé varianty
Surviv
Virus starší naž původní Jerusalem, nicméně vzhledem k velké podobnosti je považován za
část rodiny Jerusalem. Existoval ve 3 variantách z nichž dvě odpalovaly payload 1. dubna a
jedna každý pátek 13.
Jerusalem.Carfield
Obsahuje payload, který, pokud je rezidentní a je pondělí, každých 42 vteřin zobrazuje slovo
'Carfield!'.
Jerusalem.Czech
Varianta zajímavá pro nás zejména jménem, má jinak řešené umísťování kódu při infekci
než původní Jerusalem.
▪ 68 ▪
Jerusalem.Frère
Hraje jednou za určitý časový úsek francouzskou píseň Frère Jacques. Tento úsek se liší v
různých podverzích.
Jerusalem.Sunday
Varianta která každou neděli zobrazuje jeden z následujících textů:
* Today is SunDay! Why do you work so hard?
* All work and no play make you a dull boy!
* Come on ! Let's go out and have some fun!
Také se, kdykoli je spuštěna, snaží smazat každý program, který je spuštěný. Vzhledem k
chybě v kódu ale tato funkčnost v původní verzi nepracuje. Virus Sunday existuje v mnoha
variantách a ve většině verzí byla tato chyba opravena. Ve své nejběžnejší verzi také na
rozdíl od původního Jerusalemu nezobrazuje 'černé okno', nezpůsobuje postupný růst
velikosti infikovaných souborů a nezpomaluje běh počítače a jeho přítomnost v systému tedy
nemusela být na první pohled zřejmá.[33]
10.3
Stoned
10.3.1
Historie
Stoned, známý též jako New Zealand nebo Marijuana, je boot virus pocházející z univerzity
ve Wellingtonu na Novém Zélandu. Rodina těchto virů je velmi rozsáhlá. Původní virus se
poprvé objevil v únoru roku 1988 a velmi rychle se rozšířil po Novém Zélandu, Austrálii a
následně v podstatě po celém světě - šlo o jeden z nejběžnějších virů pro MS DOS vůbec.
10.3.2
Stoned byl napsán v assembly a měl infekční délku 512 bytů, šlo o rezidentní boot virus
infikující diskety a pevné disky. Po nabootování z nakažené diskety se virus nejprve nahrál
▪ 69 ▪
do paměti a následně infikoval harddisk, pokud tento nebyl nakažen dříve. Následně byla
nakažena každá vložená disketa. Při infekci Stoned, typycky pro boot viry, zkopíroval
původní obsah boot sektoru do sektoru jiného(sektor 11 u disket, 7. sektor na cylindru 0
hlavy 0 u HDD) a nahrál se na jeho místo. Byl schopný infikovat pouze 360 kB diskety - v
případě disket s vyšší kapacitou docházelo ke ztrátám původních dat. Přestože virus nebyl
úmyslně destruktivní, přesouvání původního boot sektoru mohlo v některých verzích DOSu
poškodit FAT tabulku a tedy znemožnit přístup k datům na disketě(sektor 11 byl v některých
verzích DOSu částí FAT tabulky). Virus obsahoval payload, který byl aktivní pouze při
nabootování z diskety(pokud došlo k nabootování z pevného disku, nebyl uživatel nijak
informován o přítomnosti viru) a spouštěl se s pravděpodobností 1:8. Pokud došlo k jeho
odpálení, začal počítač pípat a zobrazil zprávu 'Your PC is now stoned! LEGALIZE
MARIJUANA!'.
10.3.3
Způsobená škoda
Stoned se rychle a úspěšně šířil - velmi dobře to dokumentuje skutečnost, že níže zmíněná
varianta Angelina se v říjnu roku 1995 objevila na nových 850MB discích firmy Seagate nebo
fakt, že tatáž verze se údajně objevila v září roku 2007 na noteboocích Medion. Přes tento
až rekordně dlouhý život a skutečnost, že virem bylo v jeho průběhu nakaženo obrovské
množství systémů, nebyly škody jím způsobené nijak vysoké. Na tom má podíl zejména
absence jakéhokoli úmyslně destruktivního payloadu, ale také jednoduchost detekce viru.
10.3.4
Zajímavé varianty
Michelangelo
Velmi známá varianta viru Stoned, je detailněji popsána v 9. kapitole.
Angelina
Varianta pocházející z května roku 1994, velmi podobná původnímu viru. Narozdíl od něj je
ale Angelina stealth virus, který navíc obsah původního boot sektoru přesouvá do jiných
sektorů než Stoned, čímž se vyhýbá možnému poškození FAT tabulky.
▪ 70 ▪
10.4
10.4.1
Morris
Historie
Morrisův červ, přezdívaný také 'Internet Worm', nebo 'Great Worm', určený pro UNIX-based
systémy byl vypuštěn 2.listopadu roku 1988. Jeho autorem je Robert Tappan Morris, toho
času student na Cornellské univerzitě, dnes profesor na MIT. Červ rozeslal z institutu MIT,
aby zakryl fakt, že pochází z Cornellu. Existuje teorie, podle které měl být nedodělaný červ
vypuštěn omylem před tím, než mohl být dokončen. Tato verze, přestože je krajně
nepravděpodobná, by alespoň poskytla možné vysvětlení pro nevyužití některých rutin, které
kód obsahuje. Ať již bylo vypuštění červu úmyslné, nebo ne, vzhledem k chybě v kódu se
začal šířit mnohem rychleji než autor předpokládal a opakovaně infikoval již nakažené
systémy. V důsledku toho docházelo k pádům počítačů, jejich 'zamrzání', nebo jejich
značnému zpomalení. Zároveň červem generovaný provoz v podstatě zablokoval možnost
komunikace po internetu. Vzhledem k tomuto zahlcení a k vysokému počtu nakažených
systémů(viz níže) trvalo čtyři dny, než se podařilo úspěšně se červu zbavit a Internet se vrátil
k běžnému fungování. 'Great Worm' se téměř okamžitě objevil na prvních stranách novin a
byl ještě dlouho předmětem mnohých článků. Robert Morris byl později zadržen a 22. ledna
1990 odsouzen tříletému podmíněnému trestu, 400 hodinám veřejně prospěšných prací a
pokutě 10,050 dolarů.
10.4.2
Červ Morris, napsaný v jazyce C, se šířil na počítačích DEC VAX s variantami 4BSD Unix a
Sun-3 systémech využíváním slabin v 'sendmail', 'fingerd' a 'rsh/rexec'. Funkce červu byla
následující: po spuštění se červ v prvé řadě snaží vyhnout detekci - mimo jiné nastavením
jména svého procesu na 'sh'(jméno společné s obvyklým shellem, čili uživatel nevidí na
výpisu běžících procesů nic neobvyklého). Následně načte soubory, které potřebuje k
dalšímu běhu(a poté je může smazat z disku). Pokud by se mu nepodařilo načíst některý ze
souborů potřebných pro další běh, nebo soubor pro další šíření(l1.c), ukončí se. Potom
začne skenovat síťová rozhraní počítače, na kterém je spuštěn, získá jejich adresy a načte
síťovou masku pro lokální síť(kdyby neobjevil žádné síťové rozhraní, ukončí se). Červ se
také snaží o objevení síťových adres, na které by se mohl dále šířit, v sytému a také se
pokouší dešifrovat hesla v /etc/passwd. Po vyhledání dalších potenciálních cílů infekce
vygeneruje náhodné číslo, podle nějž zkontroluje, zda již na systému vybraném pro další
infekci instance Morrisu běží a pokud ano, nebude se ho snažit infikovat. Existuje
▪ 71 ▪
pravděpodobnost 1:7, že kontrola nebude provedena. Tato procedura měla ztížit likvidaci
červu, je nicméně jedním z důvodů jeho tak rychlého rozšíření[34] - mohl díky ní jeden
systém infikovat vícekrát. Pokud nebyla kontrola provedena, nebo nebyl detekován běžící
červ, začne Morris útočit na daný systém a pokouší se na něj rozšířit využitím jedné z výše
zmíněných slabin. První variantou je vytvoření duplikátního procesu a jeho spuštěním na
vzdáleném systému pomocí try_rsh. Druhou variantou je způsobení přetečení zásobníku
funkce fingerd, kdy přebytečná část přeteče do systémové paměti a je následně spuštěna.
Tato část obsahuje metodu pro 'vtažení' červu do systému. Pokud ani tato metoda infekce
neuspěje, pokusí se červ využít slabiny v sendmail, díky které bylo možné odeslat zprávu ne
uživateli, ale procesu. Tato zpráva je formátována tak, aby ji proces na vzdáleném systému
zkompiloval a spustil. Výsledkem je opět metoda, která 'vtáhne' do systému kopii červu.
Pokud není ani útok pomocí této metody úspěšný, je vzdálený systém označen jako imunní
a Morris se dále nepokouší jej infikovat.
10.4.3
Způsobená škoda
I přes absenci destruktivního payloadu dokázal Morris způsobit pád mnoha systémů a v
podstatě zablokování komunikace na Internetu. Odhady způsobených škod se značně
různily - John McAfee odhadoval způsobené škody na 96(podle některých zdrojů 98[35])
milionů dolarů, někteří šli ještě dále s částkou 186 milionů. Jak se později ukázalo, tato čísla
byla značně přehnaná a celková škoda se reálně pohybovala okolo jednoho milionu dolarů.
Přemrštěné, i když v žádném případě ne tolik jako v případě škod, se ukázaly i odhady
ohledně počtu nakažených systémů. Prvotní teorie hovořily o nakažení přibližně 10%
tehdejšího Internetu, tedy 6200 systémů. Pozdější průzkum však prokázal, že nakažených
systémů bylo okolo 2000.[17]
▪ 72 ▪
10.5
Onehalf
10.5.1
Historie
Onehalf byl multipartitním polymorfním stealth virem, objeveným v Rakousku v dubnu roku
1994, odkud podle některých zdrojů[17] také pochází. Mnohem pravděpodobnější se však
zdá varianta označující za zemi původu Slovensko. Úspěšně se mu podařilo rozšířit po celé
Evropě, jsou nicméně známé i případy infekce v USA. Onehalf je známý též jako Explosion
II, Slovak Bomber a Free Love. Zajímavým faktem je, že makrovirus(/dropper trojan) Adser
vypouštěl Onehalf do systémů které nakazil.
10.5.2
Jak již bylo zmíněno, šlo o virus multipartitní, konkrétně o klasického hybrida boot
sektorového a souborového viru. Jeho infekční délka byla 3544 bytů. Po spuštění
infikovaného souboru na 'čistém' systému infikoval Onehalf boot sektor pevného disku.
Rezidentní zůstával až po nabootování z nakaženého disku. Následně vyhledával a infikoval
spustitelné soubory COM a EXE na vložených disketách a sítových discích, vyhýbal se
nicméně souborům které podle názvu mohly být antivirovými programy. Při nakažení
souboru nebylo celé tělo viru připojeno v jednom místě, ale jeho kód, podobně jakou v 9.
kapitole zmíněného Commander Bombera, byl rozdělen na bloky, které se vkládaly na
náhodná místa v souboru. Další šíření nebylo jedinou funkcí viru, jak se zprvu někteří
odborníci domnívali. Virus také při každém nabootování spouštěl payload - jednoduchou
XOR šifrovací rutinu, která pomocí náhodně generovaného klíče (symetricky) šifrovala
postupně část pevného disku. Ta se postupně zvětšovala a s dostatečným počtem spuštění
mohlo dojít až k zakódování disku celého. Tuto akci prováděl virus bez vědomí uživatele - při
přístupu k již zašifrovaným datům je odkódoval a data tak byla uživateli čitelná. Pokud byl
Onehalf odstraněn z paměti, data na zašifrované části disku byla dále nepřístupná. Po
zašifrování poloviny disku, a při splnění některých dalších podmínek, virus zobrazoval
zprávu:
Dis is one half.
Press any key to continue...
Onehalf - Zobrazovaná zpráva
▪ 73 ▪
10.5.3
Způsobená škoda
Žádné odhady škod způsobených Onehalf nebyly zveřejněny. Lze se však domnívat, že
vzhledem k šifrovací rutině viru, jeho schopnosti skrývat se před detekcí a poměrně značné
složitosti na odstranění byly škody, zejména v Evropě, poměrně značné.
10.5.4
Zajímavé varianty
Existovalo více než 20 variant tohoto viru, šlo nicméně o varianty funkčně velmi podobné
originálu a tedy nezasluhující další popis.
10.6
10.6.1
Pathogen
Historie
Pathogen je jedním z mála úspěšných virů vytvořených pomocí generátorů, v tomto případě
pomocí 'SMEG Virus Construction Kit'. Pochází z Anglie, kde se objevil v průběhu dubna
roku 1994. Zejména v Anglii se také úspěšně rozšířil a způsobil značné škody. Jeho autor,
Christopher Pile, známý též jako Black Baron, byl dopaden a 15. listopadu 1995 byl
odsouzen k 18 měsícům odnětí svobody. Ze jména generátoru i ze zpráv, které zobrazovaly
jednotlivé varianty viru, jsou patrné odkazy na seriál Červený Trpaslík.
10.6.2
Virus zůstává po spuštění nakaženého souboru rezidentní a následně se připojuje ke
spuštěným programům - infekční délka je 7856 bytů. Při infekci se vyhýbá infikování souboru
COMMAND.COM a souborů antivirových programů. Pathogen počítá již infikované soubory
a pokud jejich počet dosáhne 32 a virus je spuštěn kterékoli pondělí mezi 17:00 a 18:00,
dojde k zablokování klávesnice a poškození dat na disku. Virus dále přepíše CMOS čímž
zablokuje přístup k disku a zobrazí následující zprávu:
▪ 74 ▪
Your hard-disk is being corrupted, courtesy of PATHOGEN!
Programmed in the U.K. (Yes, NOT Bulgaria!) [C] The Black Baron 1993-4.
Featuring SMEG v0.1: Simulated Metamorphic Encryption Generator!
'Smoke me a kipper, I'll be back for breakfast.....'
Unfortunately some of your data won't!!!!!
Pathogen - Zobrazovaná zpráva
10.6.3
Způsobená škoda
Škody způsobené virem do listopadu 1995, kdy byl autor odsouzen, se odhadují na přibližně
jeden milion liber. Je nicméně možné, že tato částka byla ve skutečnosti ještě o něco vyšší.
10.6.4
Zajímavé varianty
Queeg
Je totožný s Pathogenem až na zobrazovanou zprávu:
-¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦
- -» QUEEG «- - 23:58, May 2, 2010 (UTC) -(C)The Black Baron 1994 -- Featuring: SMEG v0.2 -- Better than life..... L¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦Queeg - Zobrazovaná zpráva
▪ 75 ▪
10.7
10.7.1
Wazzu
Historie
Wazzu je makrovirus pro MS Word pocházející z roku 1996, pravděpodobně z USA. Existuje
mnoho vatiant viru -
Wazzu je jednou z nějvětších rodin virů vůbec, většina verzí se
nicméně liší pouze drobně. Vzhledem k tomu, že původní kód viru obsahoval chybu, Wazzu
občas padal a způsoboval zobrazení chybového hlášení. Virus byl spíše obtěžující než
destruktivní - viz níže.
10.7.2
Wazzu, skládající se z jednoho makra, po otevření nakaženého souboru infikuje
NORMAL.DOT, globální šablonu pro Word. Tím je zaručeno, že všechny následně uložené
dokumenty budou automaticky nakaženy. Poté virus odpálí payload - přesune jedno až tři
slova na náhodná místa v dokumentu a na další náhodné místo vloží slovo 'wazzu'. V
původní verzi neobsahoval Wazzu žádný jiný payload a tedy nebyl úmyslně destruktivní.
10.7.3
Způsobená škoda
Škody způsobené Wazzu nebyly nikterak vysoké - infekce virem způsobovala spíše trapné
situace než co jiného. Virus se nicméně velmi úspěšně šířil a v roce 1996 se Wazzu objevil
dokonce na oficiálních CD s některými produkty firmy Microsoft, nebo na webových
stránkách téže společnosti.
10.7.4
Zajímavé varianty
Wazzu.C, D, F, Q, T,...
Tyto a některé další varianty viru buď vůbec neobsahují payload, nebo ho nikdy nespouštějí.
Wazzu.E, H, G, R
Šifrované varianty makroviru Wazzu.
▪ 76 ▪
10.8
10.8.1
CIH
Historie
CIH je souborovým virem pro Windows(95, 98 a ME - nefunguje na NT variantách)
pocházejícím z Taiwanu, kde byl v červnu roku 1998 vypuštěn. Virus obsahuje dva velmi
destruktivní payloady. Jméno viru je odvozené od iniciálů autora, kterým je Chen Ing-Hau.
Virus je známý též jako Chernobyl a Spacefiller, prvně uvedené jméno bylo viru přiřknuto
podle data odpálení payloadů - 26. dubna, čož je datum tragédie v Černobylu. Virus s ní
nicméně nemá nic společného - shodou okolností jde o datum narození autora CIH. Jméno
Spacefiller získal virus podle způsobu infikování souborů(viz níže).
10.8.2
Chernobyl má infekční délku 1000 bytů, velikost jím infikovaných souborů se nicméně
nezvyšuje. Virus totiž rozdělí svůj kód na části, které následně vloží do nevyužitých míst v
hlavičce spustitelných souborů. Po spuštění nakaženého programu je virus načten do paměti
a následně infikuje všechny spustitelné soubory se kterými je nějakým způsobem
pracováno. Jak již bylo řečeno, virus obsahuje dva značně destruktivní payloady. První
payload přepisuje obsah pevného disku náhodnými daty - začne od sektoru 0 a pokračuje v
nekonečné smyčce dokud nedojde k pádu systému. Virus tímto nejenom způsobí ztrátu
původních dat, ale také znemožní nabootování z pevného disku. Druhý payload se pokouší
poškodit data ve Flash BIOSu a znemožnit tak úspěšné nastartování počítače. Žádný
poškozený BIOS v důsledku nákazy virem CIH však nikdy nebyl oficiálně potvrzen.
10.8.3
Způsobená škoda
CIH se podařilo rozšířit pomocí infikování oficiálních distribucí některých programů.
Vzhledem k této velmi dobré schopnosti šíření a vysokému destruktivnímu potenciálu viru
není nikterak překvapující, že jen v Korei nakazil údajně až milion počítačů a způsobil škody
přesahující čtvrt miliardy dolarů.
10.8.4
Zajímavé varianty
Existuje několik variant CIH, rozdíly se ale většinou objevují pouze v datu odpálení payloadů
a další popis těchto verzí je tedy zbytečný.
▪ 77 ▪
10.9
Melissa
10.9.1
Historie
Melissa je makrovirus pro MS Word pocházející z New Jersey v USA známý též pod jmény
Simpsons a Kwyjibo. Začal se šířit 26. března 1999, tedy přesně měsíc před datem odpálení
payloadu CIH(viz výše). Virus nezpůsoboval vzhledem k absenci destruktivního payloadu
nijak závratné škody, vzhledem k rychlosti šíření si ho nicméně oblíbila média, která z něj
učinila 'velmi nebezpečný virus'. Autor viru, David L. Smith, známý také jako Kwyjibo, byl v
prosinci roku 1999 odsouzen k 20 měsícům vězení, třem letům podmínečného trestu, 100
hodinám veřejně prospěšných prací a pokutě ve výši 5000 dolarů, nicméně po přijetí nabídky
na práci u FBI mu byl trest snížen. Náplní této jeho práce bylo hledání autorů malware. Mimo
jiné hrál klíčovou roli v dopadení Jana de Wita, autora viru 'OnTheFly/Anna Kournikova'
zmíněného v 9. kapitole.
10.9.2
Virus je obsažen v jednom makru a šíří se pomocí e-mailu, v obsahu zprávy je text "Here is
that document you asked for ... don't show anyone else ;-)" a v příloze se nachází nakažený
soubor LIST.DOC, který, kromě viru, obsahuje i adresy 80 pornografických stránek. Po
otevření tohoto dokumentu virus ověří v registrech, že počítač ještě nebyl infikován(pokud
byl, virus se nebude dále šířit). Následně se rozešle na prvních 50 v adresáři uložených emailových adres. Navíc infikuje šablonu NORMAL.DOT, čili všechny nově uložené
dokumenty jsou automaticky nakaženy. Pokud byl takovýto dokument otevřen na
nenakaženém počítači, došlo k jeho odeslání jako v případě LIST.DOC, pokud takovýto
dokument obsahoval citlivé informace mohlo jejich rozeslání znamenat poměrně vážný
problém. Kromě rutiny pro šíření Mellisa obsahuje ještě payload, který je aktivní každou
hodinu v minutu odpovídající dnu v měsíci(tedy 1. v měsíci každou první minutu každé
hodiny, atd.), pokud by byl v tuto dobu došlo k otevření, nebo zavření infikovaného
dokumentu, vloží Melissa do dokumentu následující text:
Twenty-two points, plus triple-word-score,
plus fifty points for using all my letters.
Game's over. I'm outta here.
Melissa - Text vkládaný do dokumentů
▪ 78 ▪
Vkládaný text je, stejně jako autorova přezdívka, odkazem na seriál Simpsnovi(konkrétně na
epizodu 1x02 - Malý génius).
10.9.3
Způsobená škoda
Přestože virus neobsahoval destruktivní payload, odhadovaná škoda přesáhla miliardu
dolarů. Většina škod byla nicméně ve formě ušlého zisku, vzhledem k tomu, že firmy musely
na nějakou dobu vypnout své servery aby zabránily šíření viru. Odhady počtu nakažených
systémů překračují číslo 100000.
10.9.4
Zajímavé varianty
Melissa.W
Tato verze viru, známá též jako Prilissa, způsobovala přepsání dokumentů a upravovala
AUTOEXEC.BAT aby došlo k naformátování disku.
Melissa.BG
Varianta známá jako 'Resume' - příchozí e-mail se tváří jako profesní životopis a kromě
rozesílání sama sebe se ještě snaží mazat obsah složek Dokumenty a Windows.
10.10
ExploreZip
10.10.1
Historie
ExploreZip, známý též jako Zipped Files je mass-mailer červ pro Windows. Objevil se 6.
června 1999 v Izraeli, odtamtud se poměrně úspěšně rozšířil a napáchal nemalé škody.
10.10.2
Červ byl napsán v jazyce Delphi a při 210432 bytech patřil k velkým červům(níže zmíněný
Loveletter má velikost přibližně dvacetinovou). Červ do systému pronikne z e-mailu s
následujícím textem:
▪ 79 ▪
Hi <jméno příjemce>!
I received your email and
I shall send you a reply
ASAP. Till then, take a
look at the attached
zipped docs.
bye, (nebo) sincerely,
<jméno odesilatele>
ExploreZip - Text rozesílaného e-mailu
V příloze tohoto e-mailu je nakažený soubor ZIPPED_FILES.EXE který po spuštění vyhodí
chybovou hlášku, ale přitom se zkopíruje do adresáře s Windows a přejmenuje se na
EXPLORE.EXE nebo _SETUP.EXE a upraví registry tak, aby byl spuštěn vždy při startu
Windows. Pak, kromě toho, že se odesílá jako odpověď na všechny přijaté e-maily které jsou
bez odpovědi, se ještě snaží se rozšířit do všech počítačů v lokální síti. Navíc prochází
pevný disk a hledá soubory se zdrojovými kódy a dokumenty MS Office a následně je
přepisuje souborem stejného jména s nulovou velikostí. Tím jsou původní soubory ztraceny
a není možné je obnovit.
10.10.3
Způsobená škoda
Jak bylo zmíněno v 9. kapitole, přestože počet infikovaných počítačů nedosahoval počtu
stanic nakažených Melissou, ExploreZip způsobil díky destruktivnímu payloadu závažnější
škody. Jejich odhad přesáhl miliardu dolarů.
▪ 80 ▪
10.11
Loveletter
10.11.1
Historie
Loveletter, nebo též 'I Love You', nebo 'Love Bug' je multivektorový červ pro Windows, šířící
se rozesíláním elektronické pošty a přes kanály Internet Relay Chatu(IRC). Pochází z Filipín,
kde byl na počátku května roku 2000 vypuštěn. Poprvé objeven v 'divočině' byl následně v
Hong Kongu. Autorem byl student AMA Computer University v Makati, Onel A. de Guzman,
známý též jako 'Spyder'. Ten po dopadení tvrdil, že k vypuštění viru došlo náhodou - ač se to
může zdát neuvěřitelné, vzhledem k nalezeným důkazům je tato verze je poměrně
pravděpodobná. Červ způsobil, jak bylo zmíněno v 9. kapitole, velmi značné škody - byl
jedním z prvních zástupců malware vůbec, u kterého přesáhly hranici 2 miliard dolarů(viz
níže).
10.11.2
Vlastní tělo červu bylo napsáno ve Visual Basic Scriptu(VBS), bylo 'dlouhé' 10307 bytů a
šířilo se e-mailem s předmětem 'ILOVEYOU' v podobě přílohy se jménem 'LOVE-LETTERFOR-YOU.TXT.vbs', nebo nakaženou webovou stránkou se jménem 'LOVE-LETTER-FORYOU.TXT.HTM' stahovanou pomocí IRC. Vzhledem k poměrně značenému počtu uživatelů,
používajících volbu skrytí přípon souborů známých typů, soubor s I Love You často vypadal
jako by šlo o soubor textový(.txt). To mělo příjemce nalákat k jeho otevření - jak se ukázalo,
šlo o vcelku úspěšnou techniku(viz níže - počet nakažených systémů). Po spuštění se červ
několikrát zkopíroval do různých podsložek adresáře s Windows a upravil registry tak, aby
došlo k jeho spuštění vždy po nastartování systému. Následně nastavil domovskou stránku
webového prohlížeče a zajistil, že při jeho příštím spuštění došlo ke stažení trojanu 'WINBUGSFIX.EXE'. Love letter vložil do registrů klíč zaručující spuštění i tohoto programu po
nabootování. Bugsfix kradl informace o systému - odesílal na autorův e-mail uživatelská
jména, hesla a další informace o nakaženém počítači. Po skončení výše uvedených akcí
začal červ přepisovat některé soubory na disku(.JPG, .JPEG, .VBS, .VBE, .JS, .JSE,
.CSS, .WSH, .SCT, .DOC, .HTA) kopií sama sebe a některé soubory, jmenovitě .MP2 a
.MP3, skrýval. Následně se červ pokoušel rozšířit na další systémy - odesláním se na
všechny adresy v adresáři a rozesláním se všem uživatelům na stejném IRC kanálu.
▪ 81 ▪
10.11.3
Způsobená škoda
Jak bylo popsáno výše a v 9. kapitole, způsobil I Love You rekordní škody - odhady se
pohybují okolo 8,75 miliardy dolarů, některé dokonce okolo 10 miliard. Důvodem je nakažení
vysokého počtu systémů(např. i velké většiny všech e-mailových serverů amerických
federálních úřadů, jak uvádí John R. Vacca [36, s.430]) - jejich počet údajně dosahoval až
45 milionů. Vzhledem k tomuto číslu není nijak překvapující, že červ byl nejúspěšněji se
šířícím malware roku 2002.
10.11.4
Zajímavé varianty
Variant červa se v průběhu let objevilo poměrně velké množství, rozdílů oproti původní verzi
nicméně nebylo ve většině případů mnoho a tedy jejich další popis by byl nadbytečný. Za
zmínku stojí pouze fakt, že přestože počty infekcí nejsou nijak závratné, je možné se s
některými verzemi stále 'v divočině' setkat.
10.12
Code Red
10.12.1
Historie
CodeRed je internetový červ napadající počítače s Microsoft IIS web serverem. Pochází z
Číny(někteří se domnívají, že virus pochází z Filipín - stejně jako Loveletter, tato varianta
však není příliš pravděpodobná) a objevil se 13. července 2001. Šířil se nesmírně rychle a
úspěšně a v roce 2001 způsobil nejvyšší škody z veškerého malware a to přes skutečnost,
že se červ 28. července šířit přestal.
10.12.2
CodeRed, dlouhý 3569 bytů, se šířil pomocí HTTP požadavku GET /default.ida se
speciálním parametrem. Pomocí něj využíval slabiny v přetečení zásobníku a na vzdáleném
systému spouštěl kód. Zajímavé je, že záplata na tuto slabinu byla v době kdy se červ objevil
již měsíc k dispozici. Červ po nakažení systému zůstával pouze v paměti a na pevný disk se
neukládal. Dále se snažil vytvořit 100 duplikátních vláken svého procesu, ale vzhledem k
chybě v kódu byl jejich počet často i několikanásobně vyšší, což způsobovalo serverům
▪ 82 ▪
značné problémy. Sté vytvořené vlákno odpalovalo první payload(červ jich nese více). Tím
bylo přepsání stránek na serveru textem "Hacked By Chinese!".
Obr. 11 - Stránka přepsaná CodeRed
Další payloady byly odpalovány podle aktuálního data. Pokud je mezi 1. a 19. dnem daného
měsíce, hledá 99 vláken červu na náhodných IP adresách vhodné systémy a následně je
infikuje. Mezi 20. a 27. dnem v měsíci útočí pomocí DDoS na několik pevně daných IP
adres(mj. i na IP adresu Bílého domu, která musela být kvůli tomuto útoku změněna). Od 28.
dne dále červ přejde do nekonečné 'spánkové' smyčky a znovu se neaktivuje. V důsledku
této smyčky se, jak je výše zmíněno, CodeRed přestal šířit 28. července.
▪ 83 ▪
10.12.3
Způsobená škoda
Škoda způsobená tímto červem je odhadována na 2,75 miliard dolarů. Předpokládaný počet
nakažených počítačů se pohybuje mezi jedním a dvěma miliony(z přibližně šesti milionů
počítačů na kterých běžel IIS). Podle FBI byl provoz způsobený CodeRed natolik obrovský,
že mohl v podstatě úplně zabránit fungování Internetu - ve skutečnosti došlo 'pouze' ke
značnému zpomalení.
10.12.4
Zajímavé varianty
CodeRed.II
Varianta, šířící se podobným způsobem jako originální červ, cíle pro infekci nicméně
nevybírá úplně náhodně, ale podle předem daného pravděpodobnostního rozdělení. Také
vypouštěla do infikovaných systémů backdoor trojan 'VirtualRoot', který následně umožňoval
vzdálené ovládání těchto systémů.
CodeGreen
Nematode s podobným způsobem šíření, livkidoval CodeRed.
10.13
Klez
10.13.1
Historie
Červ Klez, podobně jako již zmíněný CodeRed, pochází z Číny(zřejmě z provincie
Guangdong) a do dnešního dne je považován za jeden z nejdestruktivnějších červů
vůbec(viz způsobená škoda). Objevil se v říjnu roku 2001 a rozšířil se(resp. některé jeho
verze - viz zajímavé varianty) velmi rychle v podstatě po celém světě. Dodnes se jedná o
poměrně častý malware.
10.13.2
Červ Klez, napsaný v jazyce C++, se šířil více cestami(byl multivektorový), jednak pomocí
kopírování na síťové disky a zejména pak pomocí e-mailu. Zajímavé je, že byl schopen
preview-pane infekce, tedy nakažení systému již při čtení zprávy. Mimo jiné také byl, jak je
▪ 84 ▪
zmíněno v 9. kapitole, schopen v pozdějších variantách falšovat adresu odesilatele zprávy a
v některých verzích dokonce deaktivovat AV programy. Tím, pochopitelně, ještě přispíval k
rozšíření infekce. Nakažený e-mail obsahoval v předmětu jeden z přednastavených
řetězců(mj. se červ vydával i za antivirus, nebo bezpečností záplatu pro Windows), a 57-65
kilobytů(podle verze) dlouhé tělo v podobě .EXE souboru. Po spuštění se Klez zkopíroval do
systémového adresáře, vypustil do systému virus Elkern.A a vložil do registrů klíč, zajišťující
své spuštění po nabootování systému. Následně prošel sítové disky a zkopíroval se na ně a
poté se rozeslal na adresy obsažené v adresáři. Zajímavostí je, že Klez v těle obsahoval
vlastní SMTP engine, který mu toto rozesílání umožňoval. Výjma rutin pro šíření obsahoval
červ i payload, odpalovaný 13. dne každého měsíce. Ten přepisoval náhodné soubory na
discích soubory stejného jména s nulovou délkou.
10.13.3
Způsobená škoda
Červ se šířil velmi rychle a úspěšně, což dokazuje fakt, že v srpnu roku 2002 detekovaly AV
společnosti okolo 2000 nových případů infekce denně a podle odhadů firmy MessageLabs z
té doby v průměru 1 ze 300 e-mailů obsahoval nějakou verzi tohoto červu. Přestože původní
verze červu nebyla nijak zvlášť destruktivní, díky některým pozdějším variantám(viz níže)
jsou Klezem způsobené škody odhadovány na téměř dvacet miliard dolarů.
10.13.4
Zajímavé varianty
Klez.D
Verze zajímavá zejména tím, že likvidovala červy Nimda a CodeRed, resp. jejich varianty.
Klez.E
Velmi rozšířená a destruktivní varianta. Stejně jako Klez.D, i tato verze likvidovala CodeRed
a Nimdu, navíc byla ještě schopná vypínat procesy AV programů a zabránit jejich spouštění.
Vlastní červ neobsahoval nijak destruktivní payload, ale vpouštěl do systému virus Elkren.B,
který 6. března mazal soubory .DOC, .JPG, .MPG, .MP3, .XLS a další.
Klez.H
Tato varianta vypouští do systému virus Elkren.C/Foroux. Podstatnou změnou oproti
předchozí variantě je zejména způsobem získávání adres, na které se následně rozesílá -
▪ 85 ▪
adresy nečte pouze z adresáře Windows, ale také ze souborů .DOC, .HTM, .RTF, .TXT a
dalších, které najde na disku. Kromě toho je červ zajímavý ještě faktem, že rozesílá nejen
sama sebe, ale také náhodný dokument, který najde na nakaženém počítači.
10.14
Sobig
10.14.1
Historie
Jak již bylo zmíněno v 9. kapitole, Sobig(resp. některé jeho varianty) je vysoce destruktivní
multivektorový červ, který se objevil v září roku 2003. Jeho autor(ani země původu) není
dodnes znám a to přesto, že Microsoft nabízel odměnu ve výši 250000 dolarů za informace
vedoucí k jeho dopadení. Podezírán z vytvoření červu byl jistou dobu Ruslan Ibragimov,
autor spammového software Send-safe, a to vzhledem k podobnosti těchto dvou programů.
Jakákoli jeho účast na tvorbě Sobig se však zdá krajně nepravděpodobná.
10.14.2
Tělo červu je napsané v jazyce C++ a je, podle verze, mezi 64 a 72 kilobyty dlouhé. V
původní verzi se červ dokáže šířit na síťové disky a pomocí elektronické pošty. Nakažený email zobrazuje odesilatele jako '[email protected]' s jedním ze čtyř možných předmětů a jednou
ze čtyř možných příloh. Po spuštění zkontroluje zda již byl počítač infikován, vzhledem k
chybě v této funkci ale docházelo k několikanásobným infekcím jediného systému. Následně
se zkopíruje do adresáře Windows, v registrech zajistí své spuštění po nabootování systému
a z http://www.geocities.com/reteras stáhne soubor dwn.dat, který obsahuje adresu trojanu
Lala/Zasil. Ten je následně nainstalován a funguje, podle verze, například jako keylogger,
nebo backdoor. Soubor dwn.dat je dále stahován každé dvě hodiny a v případě změn jsou
tyto instalovány. Vlastní šíření provádí Sobig jednak pomocí výše zmíněného kopírování na
síťové disky, nebo prohledáním souborů(.HTM, .TXT a dalších) a odesláním se na, v nich
nalezené, e-mailové adresy. Podobně jako Klez přitom používal svůj vlastní SMTP engine.
▪ 86 ▪
10.14.3
Způsobená škoda
Sobig byl, se způsobenou škodou přesahující 37 miliard dolarů, nejničivějším červem své
doby a dodnes patří mezi nejdestruktivnější malware vůbec(konkrétně níže zmíněná varianta
Sobig.F).
Rychlost
šíření
byla
obrovská,
což
dokumentují
informace
společnosti
MessageLabs, zabývající se filtrováním e-mailů. Podle nich firma již prvního dne aktivity
červu zastavila přes milion nakažených e-mailů. Kromě toho MessageLabs odhadují, že v
době největšího rozšíření Sobig jím byla způsobena třetina celosvětového spamu.
10.14.4
Zajímavé varianty
V podstatě všechny varianty červu byly velmi podobné originálu, jedinou vyjímkou, která
zasluhuje zmínku je Sobig.F. Tato verze, která byla mimochodem nejrychleji se šířícím a
nejdominantnějším Sobig, používala spoofing(falšování) adresy odesilatele a to tak, že ji
nahradila náhodně zvolenou adresou z nakaženého počítače. Zprávy odesílané tímto
červem tak vypadaly mnohem důvěryhodněji, než v případě zpráv zasílaných předešlými
verzemi. Zajímavé je, že červ postrádal rutinu pro šíření po lokálních sítích.
10.15
Slammer
10.15.1
Historie
Slammer, známý též jako SQLSlammer, Saphire, nebo Helkern je prvním známým
příkladem tzv. Warholova červu(Warhol worm). Tímto termínem(odvozeným od výroku
Andyho Warhola "patnáct minut slávy") je označovám malware, který se šíří tak rychle, že
dokáže za 15 minut infikovat velkou většinu, nebo dokonce všechny systémy obsahující
slabinu využívanou pro šíření. Slammeru se podařilo rozšířit na více než 90% těchto
systémů během 10 minut(v úvodních fázích infekce byl čas zdvojnásobení populace - tzv.
doubling time - pouze 8,5 sekundy). Z autorství tohoto červu byl podezírán český kodér
Benny, přestože je tato eventualita značně nepravděpodobná, je možné, že červ vychází z
některého z Bennyho kódů publikovaných na internetu.
▪ 87 ▪
10.15.2
Slammer, napsaný v assembly, je velmi jednoduchý(samotné tělo je pouze 376 bytů dlouhé)
červ tvořený v podstatě pouze jedním UDP datagramem(který je 404 bytů dlouhý). Ten byl z
nakažených systémů odesílán na portu 1434 na náhodně skenované IP adresy a pokud se
na některé z nich nacházel nezáplatovaný MS SQL server, došlo po přijetí datagramu k
přetečení zásobníku a následné infekci. V průběhu ní se červ nahrál do paměti a následně
se začal rozesílat. Zůstával pouze rezidentní - neukládal žádná data na pevný disk - a tak
byla dezinfekce poměrně jednoduchá, postačilo vypnout, nebo restartovat nakažený počítač.
Červ neobsahoval žádný payload, pouze se šířil na další stroje.
10.15.3
Způsobená škoda
Přestože Slammer neobsahoval žádný destruktivní payload, je jím způsobená škoda
odhadována na 1,2 miliardy dolarů. Většinou se jedná o ušlý zisk firem, které byly nuceny
vypnout své servery, červu se ale také podařilo vyřadit 5 ze 13 kořenových DNS serverů a v
▪ 88 ▪
podstatě všem zbylým způsobit značné problémy. To bylo způsobeno zejména masivním
provozem, který červ při šíření generoval. V jeho důsledku také došlo ke zpomalení v
podstatě veškerého provozu na Internetu, ne nepodobnému účinkům CodeRed. Dle
vyjádření ředitele IT-ISAC(Information Technology . Information Sharing and Analysis Center
– Americká organizace zabývající se bezpečností IT) Petera Allora, také došlo v důsledku
infekce Slammerem k ochromení civilní i vojenské letecké dopravy.[35] Počet infikovaných
systémů se odhaduje na 75000, nicméně je možné, že toto číslo bylo ve skutečnosti značně
vyšší.[37]
10.16
Blaster
10.16.1
Historie
Blaster, známý také jako Lovsan, Poza nebo MSBlast, byl internetový červ infikující MS
Windows. Objevil v srpnu roku 2003 a pro šíření využíval slabiny objevené čínskou
crackerskou skupinou Xfocus a polskou skupinou Last Stage of Delirium. Jméno Lovsan
pochází z řetězce "LOVE YOU SAN!", který obsahovalo tělo červu:
Obr. 12 - Blaster – Tělo červu s textem „LOVE YOU SAN“
▪ 89 ▪
10.16.2
Blaster/Lovsan, napsaný v jazyce C, měl délku pouze 6176 bytů, nicméně vzhledem k
použité technice šíření byl velmi infekční. Nakažení systému probíhalo následovně nakažený systém odeslal pomocí protokolu TCP na adresu vybranou pro infekci kód
využívající slabinu v DCOM RPC. V 80% procentech případů byl kód určen pro Windows
XP, ve 20% případů pak pro Windows 2000. Pokud systém nebyl stejného typu jako kód,
došlo k chybě - Windows XP(případně Windows Server 2003) se následně restartovaly - viz
obrázek v 9. kapitole - a u Windows 2000(nebo NT 4.0) docházelo k 'zamrznutí'. Pokud byl
kód stejného typu, stáhnul do počítače vlastní tělo červu a spustil jej. Blaster pak
zkontroloval, zda již byl počítač infikován a pokud ne, upravil registry(čímž zajistil spouštění
po startu systému) a následně začal ve dvacetivteřinových intervalech prohledávat IP adresy
pro další šíření a rozesílat se na ně. Kromě šíření červ spouštěl 15. března(a náhodně v
posledních dvou týdnech prvních tří a posledních čtyř měsíců v roce) DDoS útok proti
serveru windowsupdate.com.
10.16.3
Způsobená škoda
Vzhledem k nedestruktivnosti červu se odhadované škody pohybují okolo 'pouhých' 320
miliónů dolarů a to převážně v důsledku výpadků, nebo dočasného vyřazení některých sítí a
systémů(mimo jiné byl Blasterem na 4 hodiny vyřazen i intranet amerického vojenského
námořnictva).
10.16.4
Zajímavé varianty
Verzí Blasteru existovalo pouze několik a všechny byly natolik podobné originálu, že
nezaslouží další popis.
▪ 90 ▪
10.17
Mydoom
10.17.1
Historie
Mydoom, objevený ke konci ledna roku 2004, je pravděpodobně červem(virem), který
napáchal vůbec největší škody(viz níže). Je známý též jako Novarg, nebo Shimgapi a jde o
multivektorový červ pro Windows s velmi rychlým šířením, který navíc spouští DDoS útoky
proti některým portálům - ve verzi Mydoom.A proti www.sco.com, ve verzi Mydoom.B(viz
níže) proti stránkám společnosti Microsoft. Přestože SCO Group a Microsoft vypsaly ještě v
lednu roku 2004 odměny ve výši 250000 dolarů[38] za informace vedoucí k dopadení autorů
obou verzí, nebyli tito nikdy dopadeni a nejsou známy ani země původu(nicméně mnozí se
domnívají, že jde v obou případech o Rusko). Ohledně vzniku původního červu panovalo a
panuje několik teorií, z nichž dvě stojí za zmínku - podle první, ne zcela nepravděpodobné,
byl vytvořen na zakázku spammerů, kterým měl umožnit rozesílání zpráv z nakažených
počítačů. Tomu, že byl autor Mydoom za své dílo placený, by odpovídal řetězec v těle červu
s textem "I'm just doing my job, nothing personal, sorry", tedy "Dělám jen svou práci, není to
nic osobního, promiňte". Podle druhé varianty měl být tento malware odvetou open source
komunity za žaloby, které SCO Group(vlastnící práva k UNIXu) podala proti některým
firmám zabývajícím se vývojem Linuxu. Tato teorie byla však téměř okamžitě ze strany open
source komunity a později i ze strany vyšetřovatelů komentována jako nesmyslná. S tímto
červem je možné se setkat i pod jménem Mimail.R, značícím příbuznost k rodině Mimail.
Podobnosti s těmito červy jsou však pouze minimální a toto označení není tedy úplně
správné.
10.17.2
Jak již bylo uvedeno, Mydoom je červ multivektorový, konkrétně se šíří e-mailem, nebo
pomocí síťe KaZaA. Byl napsán v jazyce C++ a jeho tělo je 22528 bytů dlouhé. Šiření přes
výměnnou síť KaZaA je velmi přímočaré - spočívá v manuálním stažení červu uživatelem z
nakaženého počítače. Šíření pomocí elektronické pošty je řešeno o něco důmyslnějším
způsobem. Červ dorazí na 'čistý' počítač v podobě e-mailu se spoofovanou(falešnou)
adresou odesilatele a jedním z přednastavených řetězců v poli předmětu a ve zprávě. K emailu je přiložen soubor se jménem typu 'DOCUMENT', 'DATA', apod., a dvěma příponami,
první-falešnou(.HTM, .TXT, nebo .DOC) a skutečnou(.EXE, .COM,...). Díky tomu vypadá
soubor poměrně neškodně a mnoho uživatelů jej spustí. Poté se však Mydoom, jak je u
úspěšných červů obvyklé, zkopíruje do složky s Windows a v registrech si zajistí spouštění
▪ 91 ▪
po startu systému a nainstaluje backdoor trojan umožňující vzdálené spouštění kódu. Dále
prohledá soubory na pevném disku a rozešle se na nalezené adresy, podobně jako Klez a
Sobig při tom používá svůj vlastní SMTP engine. Následně se začne rozesílat i na
automaticky generované(podle jistých pravidel) emailové adresy. Své šíření červ zakončí
zkopírováním do sdílené složky sítě KaZaA. Výše zmíněný payload, způsobující DoS útoky
na stránku www.sco.com(případně jiné v dalších verzích), byl odpálen mezi 1. a 12. únorem
2004, vzhledem k nevhodně naprogramovanému mechanismu kontoly data ale došlo k
útoku z pouze asi 25% nakažených počítačů.
10.17.3
Způsobená škoda
V době největšího rozšíření byl počet e-mailů generovaných Mydoomem tak obrovský, že
tvořil mezi 20 a 30% celosvětového e-mailového provozu. Vzhledem k tak velkému rozšíření
a s ním souvisejícími účinky DoS útoků jde, jak již bylo uvedeno, o červ se zřejmě nejvyšší
způsobenou škodou v historii. Ta je odhadována na 38,5 miliardy dolarů. V důsledku útoků a
z něj plynoucího zablokování serverů bylo několik společností mimo jiné nuceno dočasně(v
některých případech permanentně) změnit adresy svých stránek.
10.17.4
Zajímavé varianty
Mydoom.B
Výše zmíněná varianta útočící v různých termínech na stránky SCO Group a Microsoft.
MyDoom.O
Verze Mydoom útočící na vyhledávače Google, Altavista a Lycos, 26. července 2004 se jí
podařilo na většinu dne úplně zablokovat Google a značně zpomalit oba zbývající.
▪ 92 ▪
10.18
Stration
10.18.1
Historie
Stration, známý také jako Warezov je e-mailový červ svou funkcí velmi podobný níže
zmíněnému červu Zhelatin. Jak je popsáno níže, některé verianty těchto červů se vzájemně
likvidovaly. Poprvé se objevil v srpnu roku 2006 a jeho autory jsou členové ruské hackerské
skupiny Warezov. Zajímavostí této rodiny malware je frekvence s jakou se objevovaly nové
přírůstky - v době kdy byl červ nejrozšířenější se nová varianta objevovala přibližně každých
30 minut.
10.18.2
E-mail nesoucí červ měl spoofovanou(falešnou) adresu odesilatele, generovanou náhodně
červem ze seznamu jmen který v sobě nesl. Různily se také předměty zpráv a texty v jejich
tělech, všechny však nějakým způsobem nabádaly uživatele k otevření připojeného souboru.
Ten byl přibližně 100 kilobytů dlouhý a měl dvě přípony, což pomáhalo zamaskovat fakt, že
jde o spustitelný soubor a ne textový dokument. Červ se následně zkopíroval do adresáře s
Windows, prohledal soubory na disku a na v nich nalazené e-mailové adresy se odeslal.
Následně stáhnul z domény autora nejnovější variantu červu a nainstaloval rootkit
umožňující vzdálené ovládání systému. Kód původní variatny červu byl založen na červu
Mydoom(viz výše).
10.18.3
Způsobená škoda
Vzhledem k absenci destruktivního payloadu nebyly finanční škody způsobené červem nijak
vysoké. Spíše docházelo ke zneužití infikovaných počítačů odesíláním spamu, útokům
pomocí phishingu s využitím infikovaných stanic jako podvodných serverů, a podobně.
Přesné počty infikovaných počítačů nejsou známy, nicméně podle odhadů se v průběhu roku
2006 jejich počet pohyboval mírně nad hranicí jednoho milionu s občasným nárůstem(1,2
milionu v listopadu 2006).
10.18.4
Zajímavé varianty
Variant Warezovu bylo mnoho, většinou však velmi podobných originálu, nebo s přidanou
rutinou pro likvidaci červu Zhelatin. Zmínku si nicméně zaslouží vatianta Stration.LY. Tato
▪ 93 ▪
verze(a některé z ní odvozené) je schopná šíření pomocí programu Skype, kdy rozesílá
kontaktům v adresáři odkaz na stažení červu ze stránek autorů.
10.19
Zhelatin
10.19.1
Historie
Zhelatin, známý též jako Nuwar, Peacomm, Small DAM, nebo Storm Worm, je e-mailový
červ který, který, podobně jako Stration/Warezov(viz výše) sdružoval nakažené počítače do
botnetů, které pak autoři červu využívali k nelegální činnosti(především k distribuci spamu).
V případě Zhelatinu se tomuto botnetu přezdívalo 'Storm Net' a byl ovládán pomocí peer-topeer systému, ne, jak bylo obvyklé, přes pevně daný centrální ovladací uzel. Díky tomu
nebylo možné botnet zlikvidovat prostým odpojením takového uzlu, což byla technika
používaná pro likvidaci předchozích hrozeb tohoto typu. Zajímavé je, že mezi autory
Strationu a Storm Wormu panovala značná nevraživost - probíhala mezi nimi v podstatě
kybernetická válka, během které bylo vytvořeno mnoho variant likvidujících červy druhé
strany a přebírajících kontrolu nad jí kompromitovanými systémy. Širší veřejnosti je červ
známý zejména jako Storm Worm, což je označení pocházející z textu často se objevujícího
v předmětech e-mailů("230 dead as storm batters Europe"), kterými se červ šířil. Poprvé se
objevil v lednu roku 2007 a velmi rychle se rozšířil v Evropě a Asii a následně velmi úspěšně
i v Americe. Přestože Storm Worm již není tak rozšířený, jako byl v letech 2007 a 2008,
rozhodně nejde o mrtvou rodinu - do dnešního dne se pravidelně objevují nové verze. Za
tvorbou tohoto malware stojí ruská hackerská skupina známá jako 'Zhelatin gang'.
10.19.2
Zhlelatin byl čistě e-mailovým červem, dlouhým přibližně 130 kilobytů, napadajícím počítače
s platformou Windows. Infikovaný e-mail měl předmět odpovídající titulku z bulvárního tisku,
prázdné tělo a v příloze soubor s tělem červu. Výše byl zmíněn asi nejznámější z červem
užívaných předmětů e-mailu, červ jich ale používal více, např. "British Muslims
Genocide" ,"Naked teens attack home director", "Saddam Hussein alive!", a mnoho dalších.
To,
spolu
se
vhodně
pojmenovaným
souborem
přílohy(např.
'FULLNEWS.EXE',
'MOREHERE.EXE', apod.) pochopitelně přispělo k jeho rozšíření. Po spuštění, kromě
▪ 94 ▪
klasického zkopírování do systémového adresáře a zajištění svého spuštění po startu v
registrech, nainstaloval rootkit umožňující vzdálené ovládání systému. V důsledku toho se z
počítače stala tzv. zombie. Zhelatin také zablokoval Windows Firewall a v jistých případech
deaktivoval i nalezený AV software. Následně se, v závislosti na verzi, rozeslal automaticky
na v systému nalezené e-mailové adresy, nebo zůstával v nečinnosti a očekával
příkazy(který mohl mj. spustit i další šíření). Vzhledem k tomu, že se červ sám rozesílal
pouze v některých verzích, ho některé společnosti odmítaly klasifikovat jako červ, ale
označovaly ho za trojan.
10.19.3
Způsobená škoda
Přesné počty počítačů nakažených Storm Wormem jsou neznámé, podle většiny odhadů
však v době největší rozšířenosti červu obsahoval Storm net mezi jedním a deseti miliony
počítačů(některé odhady se dokonce pohybovaly okolo padesáti milionů). Vzhledem k tomu,
že červ nenesl žádný payload, ani nezpůsoboval výpadky sítí a systémů, nezpůsobil z
finančního pohledu nijak závratné škody a to přes vysoké počty nakažených stanic.
10.19.4
Zajímavé varianty
Červu existovalo mnoho variant, některé z nich s poměrně zajímavými rodíly, nicméně
vzhledem k této rozsáhlosti rodiny Zhelatin a různému pojmenování stejných verzí
jednotlivými AV společnostmi je popisování jednotlivých verzí problematické. Většina se jich
nicméně lišila pouze jinými 'titulky' v předmětu e-mailů, převážně vázaných na nějaké datum,
nebo událost(1. duben - Apríl, Den sv. Valentýna, apod.), případně způsobem odesílání nakažený soubor nebyl v příloze, ale v těle e-mailu se nacházel odkaz k jeho stažení.
Poměrně zajímavou však byla například varianta 'infikující blogy' uživatelů nakažených
systémů vkládáním nových stránek s odkazem na stažení červu, nebo varianty zajišťující si
spuštění ne pomocí registrů, ale infikováním ovladačů používaných systémem Windows.
Zřejmě poslední verze, která si zaslouží zmínku je Storm Worm, vytvořený v rámci boje s
autory Strationu - ten spouštěl z nakažených počítačů DoS útoky proti doménám
používaným skupinou Warezov.
▪ 95 ▪
10.20
Conficker
10.20.1
Historie
Conficker je internetový červ infikující počítače s operačním systémem Windows, který se
objevil v listopadu roku 2008 a je znám též pod jmény DownAndUp a Kido. Pochází
pravděpodobně z Ukrajiny(viz níže), ačkoli podle tvrzení firmy BKIS, která se zabývá
internetovou bezpečností, jde o červ čínský. Podle téže firmy vykazuje Conficker jisté
podobnosti s červem Nimda(viz 9. kapitola). Přestože Microsoft nabízel, jako v případě
několika již zmíněných zástpuců malware, odměnu ve výši 250000 dolarů, autor červu nebyl
nikdy identifikován. V době objevení média varovala před velmi destruktivním payloadem,
který měl červ nést, avšak jako obvykle se ukázalo, že tyto zprávy byly značně přehnané.
Tomu také odpovídal jen malý zájem, který červu věnovaly AV společnosti. Conficker je
nicméně velmi zajímavý svým značným rozšířením(viz způsobená škoda).
10.20.2
Pro šíření využívá červ, dlouhý přiližně 60 kilobytů(v původní variantě), přetečení zásobníku
při zaslání RPC požadavku, zaručujícím jeho následné stažení z HTTP serveru běžícího na
počítači který požadavek odeslal. Zajímavé je, že na slabinu, kterou Conficker/DownAndUp
využíval k šíření, existovala v době jeho objevení již měsíc záplata. Po spuštění červ nejprve
zkontroluje, zda systém používá ukrajinskou klávesnici a pokud ano, ukončí se. Toto
vyhýbání se ukrajinským počítačům(pravděpodobně jen v původní verzi) je důvodem, proč
mnozí považují Ukrajinu za zemi původu tohoto malware. Pokud systém používá klávesnici
jinou, spustí červ na daném počítači HTTP server, stáhne do systémové složky DLL
knihovnu obsahující tělo kódu, vytvoří k ní vázanou službu 'netsvcs', smaže všechny body
obnovy systému a zapíše se do registrů tak, aby byla služba 'netsvcs' spouštěna po startu
Windows. Pak se začne rozesílat na náhodné IP adresy. Každý následující den se pak
pokusí vyhledat na předem daných doménách novější verzi a pokud ji nalezne, aktualizuje
se. To mohlo obnášet nejen úpravy v rámci jedné verze, ale i stažení dalšího malware, nebo
update na novější variantu červu. Conficker také upraví v paměti nahranou verzi systému,
čímž jednak zamezí další infekci stejnou cestou, kterou se do systému sám dostal a také
znemožní přístup na webové stránky některých AV společností.
▪ 96 ▪
10.20.3
Způsobená škoda
Podle médií dosahovaly počty systémů infikovaných tímto červem rekordní výše, většinou se
hovořilo o číslech okolo dvaceti milionů(podle německého časopisu Spiegel šlo dokonce o
padesát milionů). Ve skutečnosti však tento počet zřejmě nebyl o mnoho vyšší, než 15
milionů. Náklady na odstranění infekce přesáhly, vzhledem ke značné složitosti odstranění
červu, 9 miliard dolarů.
10.20.4
Zajímavé varianty
Červu se vyskytly celkem 3 zajímavé varianty, první byla výše popisovaná verze
Conficker.A. Varianta známá jako Conficker.B(a varaianta Conficker.C s pouze drobnými
změnami) se navíc dokázala šířit pomocí výměnných médii(USB flash disky) a přes lokální
sítě, kde se pokoušela pomocí brute-force algoritmu o prolomení hesel připojených počítačů.
Počínaje touto verzí také červ blokoval automatické updaty systému. Verze Conficker.D(a
velmi podobná varianta Conficker.E) se šířila pouze jako update variant předchozích a
vytvářela z infikovaných počítačů výměnnou peer-to-peer síť pro distribuci payloadů(updaty
a malware). Také byla schopná deaktivovat některé AV produkty.
▪ 97 ▪
11. NÁSTROJE PRO BOJ S MALWARE A JEJICH
VÝVOJ
Vzhledem ke značnému vývoji malware v posledních přibližně dvaceti letech je pochopitelné,
že společnosti zabývající se vývojem anti-malware technologií musely, aby zabránily
epidemiím a zpomalily šíření škodlivého software, ve stejné době pracovat na vývoji stále
nových nástrojů a technik k jeho detekci a likvidaci. Tato evoluce anti-malware technologií,
spolu s obecným popisem jejich funkcí, tvoří obsah této kapitoly.
11.1
Druhy anti-malware nástrojů
Nástrojů pro boj se škodlivým software je poměrně velký počet a mnohdy se značně liší
poskytovanými funkčnostmi. Jejich zařazení do přesně vymezených kategorií tak může být
poměrně problematické. Následující rozdělení tedy rozhodně nepokrývá všechny varianty, s
nimiž je možno se setkat, poskytuje však popis plně postačující pro pořeby této práce.
Anti-Virus
Zřejmě nejběžnější podoba AM nástroje. Antivirus je program určený k detekci a
odstranění virů, červů, trojanů a dalšího malware. Používaných způsobů detekce je
velké množství a jsou popsány níže. Jak zmiňuje Doseděl[39, s. 16], antivirové
systémy bývají složené z více částí – modulem pro kontrolu souborů na disku,
rezidentním skenerem, skenerem elektronické pošty, apod. Příkladem antiviru je
avast! od firmy Alwil.
Osobní Firewall (Personal Firewall)
Aplikace umožňující nastavení pravidel pro propouštění nebo blokování toku dat
mezi sítí a počítačem. Funkce je tedy obdobná jako u klasických, hardwarových
firewallů. Pomocí vhodně nastaveného softwarového firewallu je možné zabránit
internetovým červům a dalšímu po síti se šířícímu malware v infikování systému.
Také lze pomocí něj zamezit odesílání informací z počítače např. při infekci
trojanem. Moderním osobním firewallem je například Comodo.
▪ 98 ▪
Anti-Rootkit
Nástroj určený speciálně k vyhledávání a bezpečnému odstranění rootkitů, které
další malware často využívá k maskování své přítomnosti. Jedním z těchto nástrojů
je Sophos Anti-Rootkit.
HIPS (Host Intrusion Prevention System)
Zkratka HIPS znamená 'systém pro zabránění průniku'. Jde o nástroj sledující
chování procesů a aplikací, které podle daných(nebo naučených) pravidel
vyhodnocuje. V případě, že jej vyhodnotí jako podezřelé, oznámí uživateli že mohlo
dojít k narušení systému a nechá ho rozhodnout o další akci. Příkladem HIPS
systému je OSSEC.
Anti-Adware a Anti-Spyware
Nástroje určené pro detekci a likvidaci adware a spyware. Jak uvádí John Ayock[40,
s. 32] existují 3 různé přístupy k detekci spyware – kontrola všech souborů na disku,
kontrola míst na disku, kde by se při infekci systému známý spyware nacházel a
kontrola spouštěných aplikací a procesů spouštěných po startu systému. Posledně
jmenovaná metoda je dle Ayocka vhodná jak z hlediska rychlosti, tak schopností
detekovat i spyware v souborech se zcela náhodnými jmény. Známými zástupci této
kategorie jsou Ad-Aware a Spybot S&D.
Anti-malware balíky
Jak bylo výše řečeno, některé nástroje je poměrně složité určit podle výše
uvedeného rozdělení. Především je tomu tak z důvodu absence obecně přijímaných
definic v této oblasti, nicméně důvodem může být i fakt, že některé nástroje obsahují
funkce více než jedné skupiny. Takový hybrid se pak může skládat například z
firewallu a antiviru 'zabaleného' v jeden celek. Příkladem takového řešení může být
Norton Internet Security 2011.
▪ 99 ▪
11.2
Způsoby detekce malware
Dnešní malware používá mnoho technik 'sebeobrany', např. polymorfní šiforvání nebo jiné
schopnosti skrývání. Aby byly anti-malware technologie schopné úspěšně chránit počítače
před takovými programy, byla vyvinuta celá řada metod pro jejich detekci. Některé z těchto
technik jsou v níže uvedeném seznamu popsány a jsou vysvětleny jejich principy. Vzhledem
k již zmíněné absenci všeobecně uznávaných definic je možné se setkat s rozdílnými názvy,
nebo i drobně odlišným fungováním těchto metod.
Skenování v reálném čase/Skenování 'na vyžádání' (Real-time scan/On demand scan)
Moderní AM nástroje jsou schopny detekovat malware ve dvou módech. V prvním z
nich(sken v reálném časse) během normální práce systému daný nástroj hledá prvky
malware ve spouštěných programech, zapisovaných a čtených souborech a v operační
paměti a blokuje případnou infekci. Toho je dosaženo pomocí tzv. rezidentního štítu. Ve
druhém módu anti-malware po nastavení a spuštění detekce uživatelem prochází soubory
na pevném disku a hledá škodlivý software v nich.
Porovnání signatury s databází
Klasická technika detekce, při které anti-malware nejčastěji porovnává bytové sekvence ze
souboru s databází signatur již známého malware(signatury jednoznačně identifikují
konkrétní škodlivý program). Pokud najde shodu, označí soubor za napadený. Ačkoli je
porovnávání signatur nejstarší způsob detekování škodlivého software, stále jde o velmi
spolehlivou techniku, kterou dodnes používají všechny moderní anti-virové programy[41] a je
možné pomocí ní odhalit většinu známého malware. Při objevení zcela nového škodlivého
programu je, vzhledem k absenci signatury, detekce touto metodou pochopitelně nemožná.
Databáze signatur tak musí být často aktualizována, aby mohl AM nástroj poskytnout
ochranu i proti nejnovějším hrozbám.
▪ 100 ▪
Heuristická analýza
Analýza programu, schopná detekovat v něm ještě neznámý malware(takový, pro který AM
nástroj ještě nemá signaturu) na základě jeho chování, kódu a podobně. Vzhledem k tomu,
že nebezpečnost souboru se 'odhaduje', jsou heuristické metody poměrně často zdojem
falešných hlášení, při kterých je jako infikovaný označen i soubor zcela nezávadný.
Heuristických metod existuje několik a jednotlivé implementace(a jejich pojmenování) se
mohou u různých společností zabývajících se vývojem AM technologií značně lišit.
Příkladem těchto metod jsou:
- Využití generických signatur
Podstatou analýzy kódu pomocí generických signatur je porovnání kódu souboru se
známým škodlivým kódem a posouzení jejich podobnosti. Pokud je dostatečná, je daný
soubor vyhodnocen jako nakažený.
- Emulace, virtualizace, sandboxing
Emulace programu spočívá ve spouštění příkazů tvořících analyzovaný program ve
virtuálním prostředí a vyhodnocování jejich dopadů na systém. Pokud je chování programu
vyhodnoceno jako nebezpečné, je tento označen za nakažený. Touto technikou je možné
detekovat například i polymorfní viry. Vzhledem k použití virtuálního systému(tzv. sandbox)
▪ 101 ▪
nemůže daný program ovlivnit systém skutečný a například způsobit ztrátu dat nebo se dále
rozšířit.
11.3
Historie a vývoj nástrojů pro boj s malware
Za první počin v oblasti anti-malware technologií by se dal zřejmě považovat program
Reaper, který se objevil okolo roku 1970 a likvidoval infekci virem/červem Creeper(viz 9.
kapitola). Za první skutečný antivirus bývá nicméně většinou považován program napsaný
Berndtem Fixem v roce 1987 - šlo o jednoúčelový(určený pro detekci/likvidaci jednoho
konkrétního viru) antivir schopný neutralizovat virus Vienna. Vzhledem k existenci poměrně
malého počtu virů(a pochopitelně ještě značně menšího počtu virů úspěšných) byly
následné antiviry po vzoru Fixovy aplikace jednoúčelové. Až mezi lety 1988 a 1989 se
začaly objevovat složitější nástroje, tzv. toolkity, schopné úspěšně detekovat větší počet virů
a odstranit je ze systému(příkladem může být v roce 1988 vydaný Dr. Solomon’s Anti-Virus
Toolkit). V prosinci roku 1990 se již na trhu vyskytovalo devatenáct takových nástrojů(mj. i
Norton Antivirus a nástroje od firem IBM a McAfee). Okolo téhož roku se objevily i první
nástroje poskytující jednoduchou ochranu v reálném čase(tzv. rezidentní štít)[31]. V této
době byla běžná čtvrtletní aktualizace databází signatur virů a pouze některé společnosti
poskytovaly příplatkovou možnost aktualizací měsíčních.
S objevením a rozšířením polymorfních virů bylo jasné, že detekce založená pouze na
porovnávání signatur je pro úspěšnou ochranu systémů nedostačující. AV společnosti tak
začaly vyvíjet techniky emulace kódu, analýzy chování programu a další metody umožňující
detekci polymorfního kódu. Pomocí těchto metod bylo též možné detekovat malware, jehož
signatura nebyla ještě známá, drobným problémem však byla výše zmíněná občasná
falešná detekce neškodného programu.
V době před rozšířením Internetu bylo jedním z často používaných řešení pro zabránění
infekce podnikových sítí a systémů skenování disket na jednom vyhrazeném standalone(nepřipojenému k jiným systémům) počítači. Pokud byla disketa infikována, nemohla
se nákaza dále šířit, a pokud ne, mohla být disketa v rámci společnosti používána na dalších
počítačích(na kterých většinou již nebyl instalován žádný AM software). S významějším
rozšířením vnitropodnikových sítí a Internetu přestala být podobná řešení dostačující a
začaly se objevovat nástroje určené k detekci malware na souborových serverech, mailserverech(spolu s anti-spam nástroji) a internetových branách(internet gateway)[31].
▪ 102 ▪
Postupně se k nim připojovaly AM nástroje pro koncové stanice, čímž se podařilo
zabezpečení systémů proti malware ještě zdokonalit.
Takto koncipovaná řešení poskytovala dostatečnou ochranu proti většině malware až do
příchodu internetových červů okolo roku 2000. V reakci na jejich rozšíření začaly AM
společnosti nabízet specializované nástroje obsahující funkci firewallu, HIPS(viz výše),
apod., schopné těmto novým hrozbám odolávat. Současné anti-malware balíky většinou
kromě klasických antivirů obsahují i nástroje s těmito funkčnostmi a poskytují tak ochranu
proti většině škodlivých programů.
Zatím zřejmě poslední významný evoluční krok ve vývoji technologií pro boj s malware
nastal okolo roku 2004, kdy se začal objevovat malware pro 'chytré' mobilní telefony a AM
společnosti začaly vyvíjet nástroje pro ochranu těchto zařízení. V průběhu let se oblast boje
s 'mobilním' malware ukázala jako poměrně zisková, což dokazuje fakt, že v současnosti
exisuje značné množství programů s tímto zaměřením(v řádu desítek).
Dnes je na trhu nespočet různých anti-malware řešení, poskytujících velmi dobrou úroveň
zabezpečení systémů a jen vzdáleně připomínajících dávné jednoúčelové antiviry(i když
faktem zůstává že některé techniky detekce užívané těmito archaickými programy jsou stále
účinné a v upravených variantách jsou implementovány i v nejmodernějších AM
programech). Sebedokonalejší nástroje však nedokáží ochránit počítač(nebo alespoň ne
úplně) před nevhodným zásahem uživatele - ten je často svým jednáním schopný
kompromitovat bezpečnost systému. Aby bylo možné tuto hrozbu co nejvíce eliminovat,
organizují některé společnosti pro své zaměstnance pravidelně semináře zaměřené na
bezpečné ovládání počítače a i v této('vzdělávací') sféře je tedy vidět značný vývoj oproti
stavu v počátcích boje s malware.
11.4
11.4.1
Netradiční řešení ochrany před malware
Antiviry založené na cloudu (Cloud-based AV)
Přibližně okolo roku 2008 se mezi technologiemi pro boj s malware objevil nový koncept cloud-based antivirus, tedy antivirus založený na využití cloudu. Cloud znamená v tomto
případě využívání výpočetních kapacit vzdálených zdrojů připojených přes Internet. V
případě aplikace tohoto modelu na potřeby anti-malware technologií tak vzniká následující
▪ 103 ▪
řešení - na koncové stanici je umístěn pouze program čtoucí data a odesílající informace o
nich na server, kde teprve dochází k vlastnímu skenování(porovnávání s databází signatur
malware, apod.). Tento přístup má několik zjevných výhod. Jednou z nich je uvolnění
výpočetní kapacity koncového systému - vzhledem k tomu, že všechny komplikované
operace prováděné antivirem jsou přesunuty na server, je vytížení systému oproti klasickým
AM nástrojům minimální. Mezi další výhody se řadí například fakt, že nástroje tohoto typu
nepotřebují pro správnou funkci časté aktualizace databází signatur(ty jsou umístěny na
serveru), nebo možnost využití několika různých detekčních nástrojů(na jednom, nebo více
serverech) pro skenování jednoho souboru zároveň. Mezi nevýhody lze počítat nutnost
připojení k Internetu pro správnou funkci antiviru. Příkladem AM řešení využívajících cloudu
je Panda Cloud Antivirus, nebo Immunet Protect.
11.4.2
Procesory s NX bitem
NX(No eXecute - 'nespouštění') bit je technologie užívaná moderními procesory pro zvýšení
ochrany systému před malware. Princip je poměrně jednoduchý - určité části paměti jsou
označeny jako nespustitelné a pokud se nějaký program pokusí spustit kód který se v nich
nachází, dojde k vyjímce a k jeho ukončení. V praxi to znamená, že nemůže dojít ke
spuštění kódu vloženého virem(případně dalším malware) do datového prostoru jiného
programu. Tato technika používaná škodlivými programy pro spouštění kódu je známá jako
buffer overflow. Technologie NX bitu je u procesorů AMD nazývána Enhanced Virus
Protection('Rozšířená ochrana proti virům'), u výrobků firmy Intel pak XD-bit(eXecute Disable
- 'spouštění blokováno').
11.5
Hodnocení kvality AV nástrojů
Po moderním antiviru bývá požadována především schopnost detekovat co největší
procento existujícího i budoucího malware(a pochopitelně následné blokování jeho funkce a
jeho odstranění). Aby bylo možné tuto(nejen) schopnost jednotlivých nástrojů objektivně
posoudit, jsou pravidelně pořádány nezávislé testy hodnotící celé spektrum jejich funkčností.
Setkat se můžeme s testy detekce již známého malware, testy detekce malware novějšího
než je daný nástroj, testy počtů falešných hlášení, testy rychlosti a mnoha dalšími. Výsledky
těchto zkoušek jsou poměrně dobrým ukazatelem kvality antivirového software a koncový
uživatel má díky nim možnost zvolit si takový program, který mu bude vzhledem k jeho
▪ 104 ▪
potřebám vyhovovat nejvíce. Mezi nejznámější testy patří například zkoušky serverů Virus
Bulletin a AV-Comparatives.
▪ 105 ▪
12. DOPADY MALWARE NA VÝVOJ VE
SPOLEČNOSTI
Vývoj škodlivých programů byl a je, jak bylo popsáno v předešlé kapitole, příčinou značných
změn v oblasti anti-malware nástrojů. Ke změnám v důsledku tohoto vývoje však došlo také
v oblastech, které na první pohled nemají s malware nic společného - například v oblasti
práva nebo ekonomiky. Tato kapitola krátce zmiňuje dopady vývoje malware na tyto a
některé další oblasti.
12.1
Malware a právo
Vzhledem k tomu, že informační technologie jsou dnes využívány téměř ve všech oblastech
lidského snažení, je poměrně pochopitelné, že se lze setkat i s případy, kdy jsou tyto
technologie užívány 'neeticky'. Jedním z těchto případů je nepochybně i tvorba malware.
Vzhledem k velmi rychlému vývoji na poli informačních technologií(a tedy i na poli jejich
zneužívání) může být problematické postihnout nevhodné jednání zákony. Právo se tak tzv.
počítačové, nebo kybernetické kriminalitě přizpůsobuje jen velmi pomalu. Přesto však došlo
v rámci legislativy(nejen naší, zmíněny jsou nicméně pouze zákony ČR) ke změnám,
zaměřeným na postižení 'nevhodného'('neetického') chování ze strany uživatelů IT. Pro tuto
práci jsou ze zákonných norem podstatné dva paragrafy - §257a Trestního zákona(zákon č.
140/1961 Sb.), který platil do 1.1.2010 a § 230 Trestního zákoníku(zákon č. 40/2009 Sb.),
který jej nahrazoval. Znění prvně jmenovaného je následující:
„§ 257a Poškození a zneužití záznamu na nosiči informací
(1) Kdo získá přístup k nosiči informací a v úmyslu způsobit jinému škodu nebo jinou újmu
nebo získat sobě nebo jinému neoprávněný prospěch
a) takových informací neoprávněně užije,
b) informace zničí, poškodí, změní nebo učiní neupotřebitelnými, nebo
c) učiní zásah do technického nebo programového vybavení počítače nebo jiného
telekomunikačního zařízení, bude potrestán odnětím svobody až na jeden rok nebo
zákazem činnosti nebo peněžitým trestem nebo propadnutím věci.
(2) Odnětím svobody na šest měsíců až tři léta bude pachatel potrestán,
a) spáchá-li čin uvedený v odstavci 1 jako člen organizované skupiny, nebo
▪ 106 ▪
b) způsobí-li takovým činem značnou škodu nebo získá-li sobě nebo jinému značný
prospěch.
(3) Odnětím svobody na jeden rok až pět let bude pachatel potrestán, způsobí-li činem
uvedeným v odstavci 1 škodu velkého rozsahu nebo získá-li sobě nebo jinému prospěch
velkého rozsahu.“
Trestní zákon(zákon č. 140/1961 Sb.)[42]
Ne všechno chování v souvislosti s tvorbou malware je podle tohoto paragrafu nezákonné dle Mgr. Matouškové, Ph.D.[43] má trestná činnost(tvorba malware/virů) dvě části: "...nejprve
někdo napíše program, který se umí sám šířit, tedy vytvoří virus. Tento akt sám o
sobě...nesplňuje skutkovou podstatu trestného činu, teprve v okamžiku, kdy dotyčný autor
viru svůj výtvor "pošle do světa", tj. infikuje první nosič informací jemu nepatřící, dopouští se
trestného činu podle § 257a Trestního zákona (Poškození a zneužití záznamu na nosiči
informací). Zde je velmi důležité, zda chápeme počítač také jako nosič informací."
Nezákonným jednáním je tedy dle § 257a pouze šíření malware, ne jeho tvorba(což mj.
znamená, že trestného činu se může dopustit i jiná osoba než jen autor daného malware).
Trestní zákoník přinesl několik podstatných změn:
„§ 230 Neoprávněný přístup k počítačovému systému a nosiči informací
(1) Kdo překoná bezpečnostní opatření, a tím neoprávněně získá přístup k počítačovému
systému nebo k jeho části, bude potrestán odnětím svobody až na jeden rok, zákazem
činnosti nebo propadnutím věci nebo jiné majetkové hodnoty.
(2) Kdo získá přístup k počítačovému systému nebo k nosiči informací a
a) neoprávněně užije data uložená v počítačovém systému nebo na nosiči informací,
b) data uložená v počítačovém systému nebo na nosiči informací neoprávněně vymaže nebo
jinak zničí, poškodí, změní, potlačí, sníží jejich kvalitu nebo je učiní neupotřebitelnými,
c) padělá nebo pozmění data uložená v počítačovém systému nebo na nosiči informací tak,
aby byla považována za pravá nebo podle nich bylo jednáno tak, jako by to byla data pravá,
bez ohledu na to, zda jsou tato data přímo čitelná a srozumitelná, nebo
d) neoprávněně vloží data do počítačového systému nebo na nosič informací nebo učiní jiný
zásah do programového nebo technického vybavení počítače nebo jiného technického
zařízení pro zpracování dat,
▪ 107 ▪
bude potrestán odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci
nebo jiné majetkové hodnoty.
(3) Odnětím svobody na šest měsíců až tři léta, zákazem činnosti nebo propadnutím věci
nebo jiné majetkové hodnoty bude pachatel potrestán, spáchá-li čin uvedený v odstavci 1
nebo 2
a) v úmyslu způsobit jinému škodu nebo jinou újmu nebo získat sobě nebo jinému
neoprávněný prospěch, nebo
b) v úmyslu neoprávněně omezit funkčnost počítačového systému nebo jiného technického
zařízení pro zpracování dat.
(4) Odnětím svobody na jeden rok až pět let nebo peněžitým trestem bude pachatel
potrestán,
a) spáchá-li čin uvedený v odstavci 1 nebo 2 jako člen organizované skupiny,
b) způsobí-li takovým činem značnou škodu,
c) způsobí-li takovým činem vážnou poruchu v činnosti orgánu státní správy, územní
samosprávy, soudu nebo jiného orgánu veřejné moci,
d) získá-li takovým činem pro sebe nebo pro jiného značný prospěch, nebo
e) způsobí-li takovým činem vážnou poruchu v činnosti právnické nebo fyzické osoby, která
je podnikatelem.
(5) Odnětím svobody na tři léta až osm let bude pachatel potrestán,
a) způsobí-li činem uvedeným v odstavci 1 nebo 2 škodu velkého rozsahu, nebo
b) získá-li takovým činem pro sebe nebo pro jiného prospěch velkého rozsahu.“
Trestní zákoník(zákon č. 40/2009 Sb.)[44]
Pro tuto práci je zajímavé, že v tomto zákoně již je vedle nosiče informací uveden i
počítačový systém(jeho zařazení mezi nosiče informací bylo dříve sporné - viz výše) a je
rozšířen výčet postižitelného jednání("Kdo..data...vymaže nebo jinak zničí, poškodí, změní,
potlačí, sníží jejich kvalitu nebo je učiní neupotřebitelnými"). Podobně jako podle
předchozího zákona není dle Trestního zákoníku tvorba malware nezákonná, díky úpravě
definic je ale vyšší pravděpodobnost postižení šiřitelů i takového malware, u něhož mohla
být dle dřívějšího zákona trestnost šíření sporná.
▪ 108 ▪
I přes existenci zákona postihujícího tvorbu malware(a existenci jiných zákonů, které autor
škodlivého programu může - podle funkce daného programu - porušovat) je třeba si
uvědomit, že legislativa řešící tento problém(resp. počítačovou kriminalitu vůbec) je značně
mezerovitá a nepostihuje zdaleka všechny možnosti 'nevhodného' chování. Vzhledem k
těmto mezerám se v nejbližších letech můžeme dočkat novelizací Trestního zákoníku,
řešících kybernetickou kriminalitu.
12.2
Zvláštní jednotky bezpečnostních složek
Se změnami v legislativě úzce souvisí potřeba útvarů, které budou dohlížet na jejich
dodržování. Snad ve všech zemích světa, které mají nějakou právní formou upravenu
problematiku malware(resp. problematiku kybernetické kriminality jako celku), se tak
můžeme setkat se zvláštními jednotkami policie a dalších bezpečnostních složek. Je však
dobré si uvědomit, že tato uskupení nejsou vždy zcela ideálně vybavena a vycvičena, jak
uvádí Porada a Rak[45, s. 35]: „V současné době jsou orgány činné v trestním řízení
(expertní pracoviště analyzující výpočetní a komunikační techniku) zahlceny analýzou
jednotlivých personálních počítačů, osobních digitálních asistentů,... Na systémovou analýzu
rozsáhlého a komplexního prostředí, jakými jsou např. komunukační sítě, podnikové
informační systémy...nejsou v celosvětovém měřítku policejní složky připraveny jak znalotně,
tak zdroji“.
Úkolem těchto skupin bývá kromě dohledu na dodržování daných zákonů také vyšetřování
případů, kdy došlo k jejich porušení. Vzhledem k celosvětovému propojení pomocí Internetu
je velmi častým jevem spolupráce těchto bezpečnostních služeb na mezinárodní úrovni.
V České republice je v současnoti několik útvarů zabývajících se počítačovou kriminalitou.
Příkladem mohou být Odbor informační kriminality(spadající pod Policejní prezidiium),
Oddělení počítačové expertízy Kriminalistického ústavu Praha, nebo specializovaná
jednotka Bezpečnostní informační služby. Pracoviště zaměřená na počítačovou kriminalitu
jsou ale také např. na krajských správách Policie ČR. Za zmínku stojí také týmy
CSIRT(Computer Security Incident Response Team), řešící bezpečnostní incidenty v
'kyberprostoru' a celosvětově spolupracující v tzv. FIRST(Forum for Incident Response and
Security Teams).
▪ 109 ▪
12.3 Malware pro vojenské použití a
kyberterorismus
Vzhledem ke značné ničivosti některých druhů malware je jasně patrná možnost jejich
využití jako zbraní pro destrukci nepřátelských informačních zdrojů a technologií. V době,
kdy jsou v podstatě všechny průmyslové a finanční(i některé vojenské) systémy nějakým
způsobem připojeny k Internetu je také částečně vyřešen problém s distribucí/dosahem
takových zbraní. Přestože se může zdát, že vojenské využití malware je výhradně záležitostí
sci-fi románů, zřejmě tomu tak není. Možnosti vedení války v kyberprostoru je věnována
řada odborných publikací a studijí a s využitím malware se v nich běžně počítá. Reálným
příkladem užití malware pro vojenské účely byl podle některých červ Stuxnet, přezdívaný
také jako 'první kybernetická superzbraň'(viz 9. kapitola). Potenciál malware, ať již pro
špionážní či destruktivní účely je velmi vysoký a bylo by chybou domnívat se, že ze stran
armád světa nejsou vyvíjeny snahy o jeho využití.
Ač může být taková myšlenka poměrně děsivá, mnohem hrozivější je možnost využití
malware k podniknutí teroristického útoku. Podobně jako v případě vojenského využití, i zde
je potenciál škodlivých programů jasně viditelný. Přestože k žádnému skutečně závaženému
teroristickému útoku vedenému touto cestou zatím nedošlo, neznamená to, jak uvádí
Matějka[46, s. 33], že by k tomu v budoucnosti nemohlo dojít a to zejména vzhledem k
radikálnímu uvažování některých členů hackerské komunity. Vzhledem k nebezpečí
vypývajícímu z možnosti takového útoku(samozřejmě nejen s využitím malware) jsou v
rámci bezpečnostních složek vytvářeny speciální jednotky pro boj s kyberterorismem. V
České republice je za tuto oblast zodpovědná Bezpečnostní informační služba.
12.4
Ekonomické dopady malware
Malware každoročně způsobuje škody v řádech miliard dolarů(viz kapitoly 9 a 10). To může
být způsobeno zejména destruktivním payloadem, který škodlivý program nese, nebo
rychlým šířením, v jehož důsledku může docházet k částečnému ochromení komunikace jak
ve vnitropodnikových sítích, tak na Internetu. Pro velké společnosti může infekce znamenat
jak ztrátu dat a, pokud se tato ztráta dotkne závažným způsobem i zákazníků, ztrátu
reputace(např. současná aféra okolo Sony Playstation), tak obrovský ušlý zisk za dobu
věnovanou likvidaci nákazy.
Ekonomický dopad malware je nicméně citelný nejen v prostředí firem, ale také na úrovni
celých států - k obrovským škodám dochází v Africe, kde většina států postrádá jak
▪ 110 ▪
odborníky na problematiku malware, tak legislativu řešící kybernetickou kriminalitu. Značné
následky způsobují infekce škodlivými programy každoročně také na Taiwanu a v Číně, kde
v průběhu roku počet nakažených systémů nezřídka značně přesahuje 50% – v době psaní
této práce se tento počet dokonce blíží 70%.[47]
12.5
Dopady malware v prostředí firem
Vzhledem ke značným ztrátám, které dokáže malware(a kybernetická kriminalita vůbec)
způsobit, se velká většina úspěšných firem zabývá zajištěním bezpečnosti svých
informačních zdrojů a technologií. Tato problematika je nesmírně široká a její bližší popis
není v této práci možný. Pro demonstraci dopadů malware je však plně postačující uvedení
dvou změn , ke kterým v rámci zabezpečování IT většinou dochází.
První z nich je vypracování a zavádění tzv. bezpečnostní politiky. Tento dokument obsahuje
mj. rozpracování hrozeb pro informační systém a návrhy ochrany proti nim(např. ochranou
proti malware může být antivir, ...). BP je schvalována vedením společnosti a následně se
stává závazným interním předpisem.
Druhou ze změn, ke kterým ve firmách většinou dochází, je organizování pravidelných
bezpečnostních školení pro zaměstnance. V rámci takového školení bývají uživatelé poučeni
o bezpečnostní politice firmy a s ní souvisejícím bezpečným používáním firemních
informačních technologií. Vzhledem k tomu, že značná část malware potřebuje k šíření
nějakou 'pomoc'(spuštění nakaženého souboru, apod.) od uživatele, jsou takováto školení
pro bezpečnost firemního IT velmi přínosná.
▪ 111 ▪
13.
ZÁVĚR
Tématem této bakalářské práce je "Historie a vývoj malware". Jejím hlavním cílem bylo
zaměřit se na nepříliš prozkoumanou problematiku historie a vývoje malware vysvětlit
důvody a dopady tohoto vývoje.
V úvodní části práce jsou uvedeny způsoby rozdělení malware dle rysů typyckých pro
jednotlivé druhy škodlivých programů spolu s jejich bližším popisem. Kde je to možné, jsou
uvedeny způsoby šíření a důvod nebezpečnosti/škodlivosti těchto typu programů. Pro
poskytnutí lepšího pochopení problematiky malware je zmíněn též postup pojmenovávání
nových variant a jejich další kategorizace dle vlastností konkrétního programu.
Hlavní část práce se zabývá historií malware a popisem jeho vývoje - od prvních programů,
které je možno objektivně považovat za škodlivé, až po moderní viry a červy, způsobující
často mnohamiliardové škody. Pomocí časové osy práce dokumentuje a na příkladech
demonstruje jednotlivé evoluční kroky vedoucí k dnešní podobě malware a následně
vysvětluje dominanci určitých druhů v průběhu let. Pro názornost jsou některé z
nejůspěšnějších škodlivých programů dále detailněji popsány a je blíže vysvětlena jejich
historie, funkce a důvody úspěchu.
V závěrečné části se práce zaměřuje na dopady vývoje malware. Zřejmě nejcitelnější jsou
tyto dopady ve oblasti nástrojů pro boj s malware. Práce popisuje změny v detekčních a
likvidačních technikách používaných těmito nástroji a jejich zběžnou historii. Dopady vývoje
malware jsou však citelné také v netechnických oděvětvích, například v právním, nebo
ekonomickém. Popisu změn v těchto odvětvích je tak také věnována část práce.
Domnívám se, že, i přes omezený rozsah, práce poskytuje originální a do jisté míry také
zajímavý pohled na problematiku malware a umožňuje její hlubší pochopení. Vzhledem k
absenci podobně zaměřené publikace se domnívám, že by tato práce mohla být cenným
zdrojem informací pro zájemce o tuto problematiku.
▪ 112 ▪
14.
CONCLUSION
The topic of this batchelor thesis is "History and evolution of malware". The main aim of the
thesis was to examine the almost undocumented matter of history and evolution of malware
and explain reasons for and impact of this evolution.
In the introductory part of the thesis are described different ways of dividing malware,
according to attributes specific for particular types of malicious software. These attributes are
then examined more closely. Where it is possible, the techniques of propagation and the
reasons of dangerousness of the different kinds of malicious programs are described. For
easier comprehension of the issue of malware, the naming conventions and further malware
categorization principles are also mentioned.
The main part of the thesis conserns itself with the history of malware and describes its
evolution - from the first programs that could be objectively considered malicious to modern
viruses and worms, capable of causing damages in the billions of dollars. Using a timeline,
the thesis shows on exaples the individual evolutionary steps leading to todays form of
malware and describes the reasons for dominance of different types of malware in different
time periods. For illustration, some of the most successful malicious programs are described
in further detail and their history, function and the reasons for the successes are explained.
In its final part, the thesis tries to describe the impacts of malware evolution. Probably the
most obvious are impacts in the area of anti-malware tools. The thesis describes changes in
detection techniques used by these tools and their history. The impacts of malware are
however observable even in non-technical aspects of our lives, for example in law or in
economics. Changes in these areas are also mentioned in the thesis.
In spite of the limited scope of the thesis, it is my opinion, that it provides original, and to a
certain point even interesting insight into the issue of malware and allows its deeper
understanding. I believe, that in view of the absence of a similarly focused publication on the
market, this thesis could provide a unseful source of information for those interested in the
study of malware.
▪ 113 ▪
15.
SEZNAM POUŽITÉ LITERATURY
1. AYOCK, John. Computer Viruses and Malware. New York : Springer
Science+Business Media, LLC, 2006. 227 s. ISBN 978-0-387-30236-2.
2. LUDWIG, Mark. The Little Black Book of Computer Viruses. Show Low, AZ :
American Eagle Publications, Inc., 1996. 167 s. ISBN 0-929408-02-0.
3. HÁK, Igor. Moderní počítačové viry [online]. třetí vydání. [s.l.] : [s.n.], 2005 [cit. 201104-24]. Dostupné z WWW: <http://viry.cz/viry.cz/kniha/kniha.pdf>.
4. LUDWIG, Mark. The giant black book of computer viruses. Show Low, AZ :
American Eagle Publications, Inc., 1995. 662 s.
5. FILIOL, Eric. Computer viruses: from theory to applications. France : SpringerVerlag, 2004. 405 s. ISBN 2-287-20297-8.
6. JIROVSKÝ, Václav. Kybernetická kriminalita. Praha : Grada Publishing, a.s., 2007.
288 s. ISBN 978-80-247-1561-2.
7. DAVIS, Michael A.; BODMER, Sean M.; LEMASTERS, Aaron. Hacking exposed :
Malware & rootkits. [s.l.] : The McGraw-Hill Companies, Inc., 2010. 377 s. ISBN 9780-07-159118-8.
8. BLUNDEN, Bill. The Rootkit Arsenal : Escape and Evasion in the Dark Corners of
the System. USA : Wordware Publishing, Inc., 2009. 908 s. ISBN 978-1-59822-0612.
9. ECKELBERRY, Alex. GFI LABS Blog [online]. 3.1.2007 [cit. 2011-04-24]. Evolving
the antimalware technology model. Dostupné z WWW:
<http://sunbeltblog.blogspot.com/2007/01/evolving-antimalware-technologymodel.html>.
10. BONTCHEV, Vesselin. FRISK Software [online]. Reykjavik : FRISK Software
International, 2005 [cit. 2011-04-24]. Current Status of the CARO Malware Naming
Scheme. Dostupné z WWW: <http://www.people.frisksoftware.com/~bontchev/papers/naming.html>.
11. Symantec Security Response [online]. 1995 [cit. 2011-04-24]. Dostupné z WWW:
<http://www.symantec.com/security_response/>.
▪ 114 ▪
12. CA Global Security Advisor [online]. 2011 [cit. 2011-04-24]. Dostupné z WWW:
<http://gsa.ca.com/>.
13. McAfee Threat Intelligence [online]. 2003 [cit. 2011-04-24]. Dostupné z WWW:
<http://www.mcafee.com/threat-intelligence/malware/>.
14. STAVROULAKIS, Peter; STAMP, Mark. Handbook of Information and
Communication Security. Leipzig : Springer-Verlag Berlin Heidelberg, 2010. 867 s.
ISBN 978-3-642-04116-7.
15. CARR, Jeffrey. Inside Cyber Warfare. USA : O’Reilly Media, Inc., 2009. 212 s. ISBN
978-0-596-80215-8.
16. Xtimeline [online]. 5.5.2009 [cit. 2011-04-24]. History of Computer Viruses. Dostupné
z WWW: <http://www.xtimeline.com/timeline/History-of-Computer-Viruses>.
17. VirusInfo : The Virus Encyclopedia [online]. 2007 [cit. 2011-04-24]. Dostupné z
WWW: <http://virus.wikia.com/wiki/Main_Page>.
18. HARLEY, David; SLADE, Robert; GATTIKER, Urs. Viruses Revealed. USA : The
McGraw-Hill Companies, Inc., 2001. 683 s. ISBN 0-07-222818-0.
19. Antivirus-Gratis [online]. 2005 [cit. 2011-04-24]. Virus Cascade o Falling Letter.
Dostupné z WWW: <http://www.antivirus-gratis.com/virus/cascade-o-fallingletter.htm>.
20. SALOMON, David. Elements of Computer Security. London : Springer-Verlag
London Limited, 2010. 374 s. ISBN 978-0-85729-005-2.
21. F-Secure [online]. 2011 [cit. 2011-04-24]. Dostupné z WWW: <http://www.fsecure.com/>.
22. Wikipedia : the free encyclopedia [online]. St. Petersburg (Florida) : Wikipedia
Foundation, [cit. 2011-04-24]. Dostupné z WWW:
<http://en.wikipedia.org/wiki/Main_Page>.
23. VX Heavens [online]. 1999 [cit. 2011-04-24]. Dostupné z WWW:
<http://vx.netlux.org/>.
24. EICAR [online]. 1998 [cit. 2011-04-24]. Dostupné z WWW: <http://www.eicar.org/>.
25. SZOR, Peter. Počítačové viry : analýza obrany a útoku. Brno : ZONER software
s.r.o., 2006. 608 s. ISBN 80-86815-04-8.
26. ERBSCHLOE, Michael. Trojans, Worms, and Spyware. Burlington, MA : Elsevir,
Inc., 2005. 212 s. ISBN 0-7506-7848-8.
▪ 115 ▪
27. MCCLURE, Stuart; SCAMBRAY, Joel; KURTZ, George. Hacking bez záhad. Praha :
Grada Publishing, a.s., 2007. 520 s. ISBN 978-80-247-1502-5.
28. HÁK, Igor. Viry.cz [online]. 1998 [cit. 2011-04-24]. Dostupné z WWW:
<http://viry.cz/>.
29. Virový radar [online]. 2004 [cit. 2011-04-24]. Dostupné z WWW:
<http://virovyradar.cz/>.
30. Computer Knowledge [online]. 3.5.2009 [cit. 2011-04-24]. Number of Viruses.
Dostupné z WWW: <http://www.cknow.com/cms/vtutor/number-of-viruses.html>.
31. Securelist : Information about Viruses, Hackers and Spam [online]. 1997 [cit. 201104-24]. Dostupné z WWW: <http://www.securelist.com/en/>.
32. Naked Security [online]. 1997 [cit. 2011-04-24]. Sophos. Dostupné z WWW:
<http://nakedsecurity.sophos.com/>.
33. CHESS, David M. Some Common PC-DOS Viruses and What They Mean To You
[online]. Yorktown Heights, NY : IBM Thomas J. Watson Research Center,
25.1.1991 [cit. 2011-04-24]. Dostupné z WWW:
<http://www.research.ibm.com/antivirus/SciPapers/Chess/PCCOMVIR/note2.html>.
34. DARBY, Thomas; SCHMIDT, Charles. The Morris Internet Worm [online]. 2001 [cit.
2011-04-24]. Dostupné z WWW: <http://snowplow.org/tom/worm/>.
35. Vmyths [online]. 2000 [cit. 2011-04-24]. Dostupné z WWW: <http://vmyths.com/>.
36. VACCA, John R. Computer Forensics : Computer Crime Scene Investigation.
Second Edition. Boston : Charles River Media, 2005. 832 s. ISBN 1-58450-389-0.
37. MOORE, David, et al. The Cooperative Association for Internet Data Analysis
[online]. 2003 [cit. 2011-04-24]. The Spread of the Sapphire/Slammer Worm.
Dostupné z WWW:
<http://www.caida.org/publications/papers/2003/sapphire/sapphire.html>.
38. The history of computing project [online]. 18.3.2006 [cit. 2011-04-24]. Chronology of
a Virus. Dostupné z WWW:
<http://www.thocp.net/reference/virus/chronology_virus.htm>.
39. DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Brno : Computer Press,
2004. 190 s. ISBN 80-251-0106-1.
40. AYOCK, John. Spyware and Adware. New York : Springer Science+Business
Media, LLC, 2011. 145 s. ISBN 978-0-387-77740-5.
▪ 116 ▪
41. SHEVCHENKO, Alisa. Malicious Code Detection Technologies [online]. [s.l.] :
Kaspersky Lab, 2008 [cit. 2011-04-24]. Dostupné z WWW:
<http://brazil.kaspersky.com/sites/brazil.kaspersky.com/files/knowledgecenter/malicious%20code%20detection%20technologies.pdf>.
42. Česká Republika. Zákon č. 140/1961 Sb., trestní zákon, §257a. In Sbírka zákonů.
1961, částka 65, s. 465.
43. MATOUŠKOVÁ, Ingrid. Právo a počítačová kriminalita. Policista [online]. 2006, 1,
[cit. 2011-04-24]. Dostupný z WWW:
<http://aplikace.mvcr.cz/archiv2008/casopisy/policista/2006/01/pockrim.html>.
44. Česká Republika. Zákon č. 40/2009 Sb., trestní zákoník, §230. In Sbírka zákonů.
2009, částka 11, s. 336.
45. PORADA, Viktor; RAK, Roman a kol. Kriminalita související s informačními
technologiemi komunikačními technologiemi a identifikace osob na základě projevů
lokomoce člověka. Karlovy Vary : Vysoká škola Karlovy Vary o.p.s., 2007. 262 s.
ISBN 978-80-254-0797-4.
46. MATĚJKA, Michal. Počítačová kriminalita. Praha : Computer Press, 2002. 106 s.
ISBN 81-7226-419-2.
47. Panda Security [online]. 5.4.2011 [cit. 2011-04-24]. PandaLabs Q1 Report.
Dostupné z WWW: <http://press.pandasecurity.com/usa/news/pandalabs-q1-reportchina-thailand-and-taiwan-world%E2%80%99s-most-infected-countries-with-nearly70-percent-of-all-computers-riddled-by-malware/>.
▪ 117 ▪
16.
SEZNAM POUŽITÝCH SYMBOLŮ A ZKRATEK
Zkratka
Popisek
AM
Anti-malware
AV
Anti-virus
BBS
Bulettin board system – systém pro komunikaci a sdílení dat mezi
uživateli
BP
Bezpečnostní politika
CAIDA
The Cooperative Association for Internet Data Analysis – organizace
zabývající se podporou kooperace mezi komerčními subjekty,
vládními orgány a výzkumnými organizacemi v oblasti Internetové
infrastruktury
CARO
Computer AntiVirus Researcher's Organization – skupina antivirových
odborníků zabývající se technickým výzkumem malware
DDoS
Distributed Denial of Service – typ útoku proti systému/serveru
způsobující jeho zahlcení
EICAR
European Institute for Computer Antivirus Research – organizace
zabývající se výzkumem v oblasti virů a malware
IM
Instant Messaging – forma komunikace, probíhající v reálném čase,
mezi dvěma nebo více účastníky pomocí klientské aplikace s využitím
počítačové sítě(Internetu)
IRC
Internet Relay Chat – komunikační protokol/internetová IM služba pro
komunikaci mezi uživateli
IT
Informační technologie
MIT
Massachusetts Institute of Technology
PC
Personal Computer – osobní počítač
USB
Universal Serial Bus – sběrnice používaná v moderních osobních
počítačích pro připojení dalších zařízení
▪ 118 ▪
17.
SEZNAM OBRÁZKŮ
1. Obr. 1 - Hybridní hrozby, strana 24
2. Obr. 2 - Text zobrazovaný virem Elk Cloner, strana 31
3. Obr. 3 - Cascade - Odpálení payloadu, strana 33
4. Obr. 4 - Christmas Tree - Odpálení payloadu, strana 34
5. Obr. 5 - Den Zuk - Odpálený payload, strana 36
6. Obr. 6 - Festering Hate - Odpálení payloadu, strana 37
7. Obr. 7 - Příklad uživatelského rozhraní generátoru virů, strana 40
8. Obr. 8 - Happy99 - Animace při spuštění, strana 49
9. Obr. 9 - YahaSux - Zpráva zobrazená po spuštění, strana 56
10. Obr. 10 - Blaster - Odpočet do restartu systému, strana 57
11. Obr. 11 - Stránka přepsaná CodeRed, strana 83
12. Obr. 12 - Blaster - Tělo červu s textem „LOVE YOU SAN“, strana 89
13. Obr. 13 - Postup při aktualizaci antiviru, strana 101
▪ 119 ▪
18.
SEZNAM GRAFŮ
1. Graf 1 - Počet signatur mezi lety 1998 a 2009, strana 63
2. Graf 2 - Počet vzorků malware ve sbírce AV-Test.org v průběhu let, strana 64
3. Graf 3 - Počet vzorků ve sbírce Kaspersky Lab v průběhu let, strana 64
4. Graf 4 - Reakce na šíření červu Slammer, strana 88
▪ 120 ▪

Historie a vývoj malware

Transkript

Podobné dokumenty