25 let virů: Slušňáci vymřeli po přeslici

V lednu to bude přesně čtvrt století od vzniku a rozšíření prvního viru, který ale oproti svým potomkům žádnou zkázu nepřinesl. Jak se neškodný koncept dokáže během doby změnit v krvelačnou bestii?

S koncem roku přicházejí pravidelné souhrny uplynulého dění a vyhlídky na další měsíce, detaily ze světa bezpečnosti jsme vám přinesli již v dřívějších článcích Bezpečnost 2010: Staré klasiky v moderním podání, resp. Bezpečnost v roce 2011? Útočníci si už brousí zuby. V rytmu kvapíku se však blíží ještě další významné datum, a sice 25. výročí vzniku prvního viru pro osobní počítače. V lednu to již bude opravdu celé čtvrtstoletí, kdy se první havěť objevila a začala inspirovat nespočet dalších tvůrců. Jak se malware vyvíjel a kterak nás dnes sužuje?

Ve středu 19. ledna uplyne dvacet pět let od rozšíření prvního počítačového viru, jenž nesl jméno Brain a svůj primát získal především díky napadání strojů IBM kompatibilních. Brainu vdechli život pákistánští bratři Alviové, kteří se tak dosti svérázně vrhli na propagaci své firmy Brain Computer Services. Nutno podotknout, že virus Brain neměl žádné destruktivní účinky, obsahoval pouze následující reklamu:

Welcome to the Dungeon
© 1986 Basit & Amjad (pvt) Ltd.
BRAIN COMPUTER SERVICES
730 NIZAB BLOCK ALLAMA IQBAL TOWN
LAHORE-PAKISTAN
PHONE :430791,44324­8,280530.
Beware of this VIRUS…
Contact us for vaccination..­.......... $#@%$@!!


Pokud se o viru Brain chcete dozvědět více, můžete zalistovat například stránkami Wikipedie

Havěť všeho druhu, mnoha variant

Je zajímavé, že ve srovnání s dnešní situací, kdy se autoři virů snaží svou identitu co možná nejlépe utajit, vtiskli bratři Basit s Amjadem „podpis“ i kontakt přímo do viru. Brain tedy sloužil pouze jako neškodná reklama, zároveň i ukázka v budoucnu hrozícího nebezpečí, a dokonce si infikovanou disketu označil svým názvem přímou změnou její jmenovky.

Naproti tomu ale při pokusu o přečtení informací v boot sektoru externím programem Brain vypsal původní nezměněné údaje, maskoval se, šlo o jednoduchou stealth techniku. Stealth techniky prožívaly zlatou éru v dobách operačního systému MS-DOS a svou existenci stealth viry později často utajovaly například tím, že zachytávaly systémová volání a upravovaly výsledek tak, aby nevyšla najevo třeba změněná velikost napadeného souboru. Inspirace jako vyšitá pro starší i současné rootkity, které na falešných odpovědích staví svou neviditelnost.

Terčem útoku boot virů se stávaly boot sektory disket a MBR (master boot record) pevných disků, díky čemuž se virus zavedl do paměti už při startu systému. Původní boot sektor si virus uložil na jiné místo na disku, a pokud při tom přepsal některou ze systémových oblastí, mohlo dojít ke ztrátě dat. Velkého rozmachu se hned v malwarových počátcích dočkaly souborové viry, jež se nezaměřovaly na zavedení do paměti ihned při startu systému, ale ukrývaly se ve spustitelných souborech rozličných typů.

I dnes jde o nejčastější infiltraci klasickými viry, cílem může být kterýkoliv soubor, jehož spuštěním se virus aktivuje a rozmnoží, tedy napadne další soubory. Jak již bylo zmíněno, stal se Brain prvním virem pouze v rámci počítačů IBM. Již začátkem sedmdesátých let ho předběhl Creeper, který svým šířením po Arpanetu připomínal dnešní síťové červy. Krátce po vzniku Creepera se začal šířit Reaper, který jej ničil, za prvního červa moderního Internetu je pak považován výtvor Roberta Morrise z roku 1988.

Do kategorie klasických počítačových virů nespadají například trojské koně, protože ty se nesnaží o automatickou reprodukci. Podobně také skupina spywaru a podobných záškodnických aplikací leží mimo obecné chápání pojmu viru. Na nižší vrstvě síťového modelu pracují červi, kteří svou hrozbu nepřenáší v podobě souborů, ale berou si na mušku přímo pakety. Postupem času se ovšem termínu červ začalo používat také pro viry šířící se pomocí e-mailu.


Rootkity se proslavily hlavně v souvislosti s ochranou DRM, nicméně jejich historie a možnosti jsou mnohem širší. Vznikly i specializované nástroje, jež se zaměřují na jejich detekci

Vděční konzumenti čehokoliv

Zmíněný Brain patřil mezi slušně se chovající viry, které dnes již příliš nepotkáme – během uplynulých pětadvaceti let se motivace útočníků několikrát pozměnila, nicméně z pohledu koncového uživatele málokdy k lepšímu. Nezapomenutelná je éra virů ničitelů, tedy škodlivého kódu, jenž se zaměřoval na destrukci dat. A chraň bůh, pokud uživatel neměl důležité soubory zálohované. Postupem času však tuto hrubou sílu nahradila touha po penězích, ruku v ruce s tím zlepšování jména v komunitě přerostlo v organizované zločinecké skupiny.

Klasické viry se držely a drží původní definice, tedy infekce jiných programů a vkládání vlastních kopií do jejich kódu. Platné je také s infekcí neodmyslitelně související šíření napříč počítači, čímž dochází k „vytouženému“ rozmachu nákazy. Právě pětadvacet let od vzniku průkopníka jménem Brain však poskytlo velice dlouhou evoluční dobu, útočníci se snažili být vždy o krok napřed před svými pronásledovateli, tvůrci antivirových programů.

Jedním z nejvýraznějších pokroků je postupné upravení cest infiltrace, klasické diskety vzaly za své, nahradil je hlavně Internet. Útočníci s jeho rozmachem získali přímou linku do počítačů milionů uživatelů, což by nebylo zas tak hrozné a zdrcující. Mnohem horší vyhlídky poskytuje rozšíření cílového spektra – síť sítí již dávno není jen pro vyvolené, je plná Pepíků a Aniček z Horní Dolní, myšleno bez urážky, v dobrém slova smyslu.

Právě tito uživatelé jsou však snadnou kořistí, rádi vypnou firewall a antivir, aby je neotravoval. Stejně tak neodolají nabídce stažení rozšíření prohlížeče zdarma a stávají se nenasytnými konzumenty lištiček a toolbarů všeho druhu. Útočníci dnes tedy nemusí složitě vymýšlet pekelně složité algoritmy a snažit se oblafnout sofistikované bariéry, postačí přesvědčit Pepíka a Aničku, že jsou na jejich straně a myslí to s nimi dobře. Kdyby bylo méně takových Pepíků a Aniček, lépe řečeno kdyby měli větší povědomí o bezpečnosti, možná by ubylo podvodných loudících e-mailů, falešných antivirů, infikovaných příloh v e-mailech apod. Bohužel ale objem takovýchto stálic neklesá, útočníkům se jejich byznys stále vyplácí.


Pokud běžnému uživateli přijde takováto pestrobarevná nabídka, není dalek od toho, aby jen tak ze zvědavosti nenásledoval zahrnuté odkazy. Zdroj: Symantec

Na lepší časy se neblýská

Pár let se sešlo s pár dalšími a máme tu podobnou situaci jako před čtvrtstoletím. Ale dnes světu vládnou peníze, tak se ani nedivme, že nás namísto neškodnosti a větičky „Contact us for vaccination“ zmíněné u viru Brain čekají pokusy o vyloudění co možná nejvíce peněz, případně cenných dat.

KL_NOMINACE

Nadcházející oslavenec roku 2011 Brain se mohl šířit prostřednictvím disket, a to navíc pouze v rámci nepříliš velkého počtu počítačů té doby. Infekce samozřejmě přicházela, ale poměrně pomalu. Dnes není problém v případě botnetů zneužít statisíce a miliony počítačů jediným povelem, stejně tak rozeslat e-mail hromadě příjemců a pokusit se z jejich účtů vysát pár dolarů.

Pětadvacet let po prvním viru je bohužel jedna věc jistá: lepší to v brzké době na poli bezpečnosti určitě nebude.

43 názorů Vstoupit do diskuse
poslední názor přidán 30. 12. 2010 8:23

Školení: Online Public Relations aneb PR sociálního věku

  •  
    Jak se liší digitální PR oproti klasickému PR.
  • Jak tvořit tiskové zprávy.
  • Jak monitorovat a vyhodnocovat PR.

Detailní informace o školení »