A számítógépes vírusok és kártevők rövid története
A Brain vírus 1986-os megjelenése óta férgek és trójai vírusok tömegei folytatnak támadásokat a számítógépeink ellen. Ezekből a fenyegetésekből szinte minden évben kiemelkedik egy-egy híresebb-hírhedtebb, nézzük hát a kronológiát.
1986
Pakisztáni BRAIN
Az egyik legelső IBM PC-re írt vírus és az első olyan, amely lopakodó mechanizmust használt. A Pakisztáni Brain a floppy lemezeken a boot rekordot fertőzte meg felülírással, az eredeti adatokat pedig elmentette. Egy hét alatt szétterjedt a világon. A program készítői az illegális programmásolást akarták vele büntetni.
1987
STONED
Ez a korai boot szektor vírus kezdetben Új-Zélandon és Ausztráliában terjedt el. A fertőzött számítógépek indításakor különböző vicces szlogeneket jelenített meg: „Your PC is now Stoned” (innen a név is), vagy „Leagalise Marijuana”. A Stoned vírus sokfajta változatban látott napvilágot és még az 1990-es évek elején is gyakran feltűnt.
1988
MORRIS WORM
A Robert Tappan Morrisról elnevezett féreg a már régóta ismert, de be nem foltozott biztonsági lyukakra épített . Több ezer számítógép és munkaállomás fertőzött meg (az akkor leginkább csak az Egyesült Államokra korlátozódó „világhálóban”), köztük sok olyan is, amelyeken VMS, BSD és SunOS futott.
1989
DISK KILLER
Az egyik legkorábbi romboló tulajdonságú vírus. Merevlemezeken is terjedt, floppy lemezek esetében pedig véletlenszerűen fűződött bele állományok közepébe, sőt adott számú fertőzés után 0-kal töltötte fel annak boot szektorát. Néha Computer Ogre-nak is nevezik, mivel ez az üzenet villogott a fertőző PC-k képernyőjén.
1990
WHALE (BÁLNA)
A visszafejtés akadályozó (anti-debugging) technológia úttörője. A Whale aktív jelenléte jelentősen megnövelte az új vírusmutációk számát. Szokatlanul nagyméretű és komplex vírus, amely az esetek egy részében leállítja a számítógép működését. Széles körben elterjedt volt, roppant hatékony és sajnálatos módon sok későbbi vírusíró is sokat tanult ebből.
1991
MICHELANGELO
Az óriási média visszhangot kapott vírus nevét arról kapta, hogy március 6-án, pénteken, Michelangelo születésnapján aktivizálta magát. Ez a Stoned továbbfejlesztett változata, amely a fertőzött hajlékonylemez boot szektorát fertőzi meg. Ha a fertőzött lemezt a munka végeztével véletlenül a gép floppymeghajtójában felejtették, úgy újraindításkor aktiválódott, és megfertőzte a merevlemez a Master Boot Record-ját.
1992
Tridents Polymorphic Engine (TPE)
A Trident nevű csoport hozta létre ezt a polimorfizáló (alakváltó) motort. úgy volt képes új program verziókat létrehozni, hogy az csak formailag különbözött az eredetitől, ám a működés szempontjából megtartotta az eredeti funkcióját. Ezt a technikát arra használták, hogy segítségével elkerüljék a víruskereső motorok szignatúra alapú felismeréseit.
1993
DARK ANGEL’S MULTIPLE ENCRYPTOR (DAME)
Az ötletadó Dark Angel's nem maradhatott ki a vírusmotor fejlődésből, és megjelent a DAME (Dark Angel Mutating Engine) egy újabb alakváltó (polimorfizáló) motor, amelyet a kanadai Phalcom/SKISM vírusíró csapat hozott létre. Forráskódja részletes útmutató kommentekkel is szépen el volt látva, ebben a formában terjedt el.
1994
ONE HALF
A One Half-ot nevezhetjük az első ransomwarenek, azaz zsarolóprogramnak, kivéve, hogy nem követelt váltságdíjat vagy kikapcsolási kódot. A DOS-os vírus a merevlemezről történő bootolásonként 2-2 cilinder teljes tartalmát titkosította. Ha csak simán mentesítettük a gépet, az elkódolt részhez soha többé nem fértünk hozzá, hiszen a szükséges kulcsfontosságú információt a Master Boot Recordba (MBR) beköltözött vírusban tárolták. Egy meggondolatlan „fdisk /mbr” parancs után – az egyedi kód hiányában már lehetetlen volt az adatok visszaalakítása.
1995
WM/CONCEPT
Ez volt a legelső makró vírus, amely az Office 95 Word állományai segítségével terjedt és okozott rengeteg problémát. Mivel alapértelmezetten a makrók automatikus futtatása engedélyezett volt, így tömegesen volt képes terjedni és kárt okozni. Az Microsoft nem segített, és nem osztotta meg az Office fájlszerkezet információkat az antivírus szereplőkkel, így emiatt azoknak külön-külön kellett visszafejteni ezeket. A linzi EICAR konferencián a CARO tagok együttes összefogása segített a hatékony védekezési módszer elkészítésében.
1996
LAROUX
Habár nem a WM/Laroux volt a legelső Excel táblázatkezelőben terjedő vírus, mégis ez volt az első olyan Excel makróvírus, ami széles körben képes volt elterjedni (ITW, In The Wild). A vírus kód két különböző makróból állt: “Auto_Open” és “Check_Files”, amelyek egy „laroux” nevű rejtett adatlapban voltak eldugva - innen ered az elnevezés.
1997
AOL TROJANS
Eddig az évig a kártékony kódok már hatalmas pályát futottak be, és a kezdeti klasszikus hozzáfűződő vírusoktól eljutottunk egészen a becsapós trójai alkalmazásokig. Az AOL jelszavak lopására tervezett trójai kód kicsit, mintha előre vetítette volna a jövőt, hiszen a XXI. században már az adatlopási funkció uralja a terepet.
1998
AUTOSTART
Az AutoStart 9805 nevű kártevő egy klasszikus féreg, hiszen nem fertőz meg más fájlokat, hanem terjedéskor saját magát másolja, de nem csatolja parazitaként magát a hordozó programhoz. Az eredeti változat 1998 áprilisában rendkívül gyorsan terjedt el Hongkongban és Tajvanon, később pedig a fertőzés átterjedt a többi kontinensre is.
1999
MELISSA
Fertőzött e-mail mellékletekben terjedt a Melissa makró vírus. Word dokumentumok Document_open makróiban bújt meg, és fertőzéskor a felhasználók Outlook címjegyzékében talált első 50 címre automatikusan tovább is küldte magát. Később sikerült kideríteni, hogy a Melissa férget David L. Smith készítette, a károkozását pedig 1.2 milliárd dollárra becsülték.
2000
LOVELETTER
Ha valaki 2000-ben egy I LOVE YOU tárgyú levelet kapott, amelyhez egy LOVE-LETTER-FOR-YOU.TXT.vbs melléklet is tartozott, az biztosan emlékszik a VBScriptben írt futótűzszerűen terjed féregre. A több millió megfertőzött gépen megkereste az Outlook címjegyzéket, és az itt talált címekre azonnal tovább is küldte magát. Komoly károkozás is történt: a zenei és képállományokat sok esetben jóvátehetetlenül bináris szeméttel írta felül. A Loveletter kivételes eset volt abból a szempontból, hogy szerzőjét, Onel Guzmant sikerült beazonosítani és elfogni, mégis megúszta a büntetést, mert akkoriban a Fülöp-szigeteken még nem létezett ilyen helyzetekre jogszabály.
2001
NIMDA
Nimda vírus megjelenésekor 24 óra leforgása alatt 2.2 millió gépet fertőzött meg. A hosszú távú, hatékony védekezéshez nem volt elég a vírusmentesítés, hanem mindenképpen szükséges volt a megfelelő Microsoft javító állományok lefuttatása is. Mivel a vírus a hálózati kapcsolatokon keresztül is fertőzött, ezért a környezet mentesítésekor szét kellett húzni azt, és minden gépet külön-külön kellett kitakarítani, csak ezután volt szabad újra hálózatba kapcsolni őket. Érdemes a vírus nevét visszafelé is elolvasni: ADMIN. A Nimdát a kezdetekben az Al-Kaidához kötötték, mert megjelenése nagyon közel volt a szeptember 11-i támadásokhoz, de ezt az elméletet aztán sohasem bizonyították be.
2002
KLEZ
A Klez egy tömeges levélküldő féreg, amely fertőzött email üzenetek mellékleteként polimorf vírust terjeszt. Ha egyszer felkerül egy fertőzött számítógépre, a rendszerben található összes e-mail címre elküldi magát. Küldési technikájáról híresült el, mivel az eredeti feladó e-mail címét egy másik, ám működő címre cserélte le.
2003
SQL SLAMMER
Az SQL Slammer egy olyan számítógépes féreg volt, amely a Microsoft SQL Server 2000 egy befoltozatlan hibáját kihasználva puffertúlcsordulást okozott az adatbázisokban. Sokakban akkor még nem tudatosult, hogy a biztonsági frissítések futtatása mennyire fontos, pedig a Microsoft még 2002-ben kiadott rá egy javítócsomagot, amit azonban sokan mégsem telepítettek. A Slammernek már az első félórában 75 ezer számítógépet sikerült megfertőznie, és a teljes internet forgalmat világszerte lelassította. Becslések szerint ténykedésével 750 millió USD kárt okozhatott.
2004
MYDOOM
Joggal érdemelte ki a leggyorsabban terjedő tömeges levélküldő e-mail féreg címet. Károkozását nagyjából 38 milliárd USD összegre becsülték. Míg az eredeti verziója a szélsebes terjedéséről híresült el, későbbi változataira leginkább az SCO Group és a Microsoft Windows rendszerek elleni DDoS támadásai miatt fogunk emlékezni. A Microsoft 250 000 dollár fejpénzt is felajánlott annak, aki információt szolgáltat a támadás kivitelezőjéről.
2005
COMMWARRIOR
Az első jelentősebb mobiltelefonokat támadó vírus, amely MMS üzeneteken és Bluetoothon keresztül terjedt a Symbian Series 60 okostelefonokon. A CommWarrior már számos tulajdonságában felülmúlta az elődjének számító Cabirt, ugyanis már nemcsak egyetlen készüléket választott ki a fertőzéshez, hanem minden, a hatótávolságában lévő és aktív Bluetooth kapcsolattal rendelkező telefont igyekezett megfertőzni. Ennél is érdekesebb, hogy saját magát már el is rejtette a feladatkezelőben (szemben a Rabicfal, amelyet megtalálása után simán kilőhettünk a FExplorerrel), emiatt sokkal életképesebbnek bizonyult.
2006
VB.NEI
Nyxem, Blackmal vagy Mywife néven is ismert féreg nagy figyelmet kapott, mivel azt a fajta számlálót használta, ami a kutatóknak lehetővé tette a fertőzött hostok számontartását. A VB.NEI fájlokat is törölt, pedig ekkorra már nem voltak jellemzőek a destruktív vírusok.
2007
STORM
Más néven Nuwar, a hírhedt Storm féreg, amely Európában és az Egyesült Államokban is megfertőzte a számítógépeket. Kezdetben az Európában pusztító viharok hírét használta fel a felhasználók megtévesztéséhez, emailen keresztül terjedt, majd Szaddam Huszein és Fidel Castro tárgyú levélként járta útját. A fertőzött számítógépek egy botnet részévé váltak.
2008
CONFICKER
A valaha volt egyik legjelentősebb botnet, amely igen széles körben és nagyon hosszú ideig terjedt, és emellett kiemelt sajtóvisszhangot is kapott, anélkül, hogy ténylegesen nagyobb károkozást végzett volna. Conficker féreg egy olyan hálózati féreg volt, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjedt. Távoli szerverekkel lépett kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosította a host fájlt, ezáltal számos vírusvédelmi webcím is elérhetetlenné vált a megfertőzött számítógépen.
2009
TDL3
Az innovatív TDL3 és utódai (TDL3+ és TDL4) rootkitek széles körben elterjedtek és sikeresek voltak. Olyan régi ötleteket alkalmaztak ezekben, mint a P2P hálózatok és a rejtőzködő technikák igénybevétele. A korábbi vírusokhoz képest a TDL saját rejtett fájlrendszert használt.
2010
STUXNET
Az első katonai számítógépes féreg, amelyet amerikai és izraeli szakemberek készített kifejezetten szabotázs cselekmények végrehajtásra. Ipari rendszereket célzott meg és az iráni Busher nukleáris létesítmények ellen használták fel sikerrel, segítségével működésképtelenné tették a centrifuga berendezéseket.
2011
KELIHOS
A Storm sikerét meglovagolva ez a botnet elsősorban spam kampányokat futtatott és információkat lopott.
2012
MEDRE
Egy AutoCAD dokumentumokat lopó vírus. Az ESET csapata fedezte fel és elemezte ki először ezt a kártevőt. Az ACAD/Medre.A féreg a számítógéppel segített tervezés egyik legismertebb eszközének, az AutoCAD rajzállományainak ellopására, illetve ezek e-mailben Kínába való továbbítására lett kifejlesztve, és célzottan Peruban fertőzte meg a számítógépeket.
2013
HESPERBOT
Ez a fejlett trójai online banki felhasználókat célzott meg, ahol az egyébként megbízható szervezetekhez tartozó weboldalakat igyekeztek hitelesen kinéző hamis adathalász oldalakkal leutánozni. A kártevő elsődleges célja az áldozatok személyes és bejelentkezési adatainak ellopása volt.
2014
WINDIGO
Egy komplex kibertámadási kampány, amelynek segítségével 25 ezer Unix szerver felett vették át az uralmat világszerte és több millió spam üzenetet küldtek ki naponta. A kifinomult kártevő célja a szerverek forgalmának észrevétlen átirányítása, a kártékony oldalakra látogatók gépeinek.
2015
POTAO
Egy oroszországi weboldal olyan trójait terjesztett, amivel például ukrán tisztviselők és újságírók után is kémkedtek. A jól megtervezett akcióban nem csak célzott spameket küldtek ki a támadók, hanem a Truecrypt fájl- és lemeztitkosító szoftver nevével is visszaéltek.
