G DATA Software AG: Antivirus, Virenschutz, Virenscanner, Internet Security

G Data: 1996-tól napjainkig

Home

1996-tól napjainkig

History of malware

A vírusok, férgek és trójaiak rövid története, 3. rész

 

1995-ben lépnek színre az első makrovírusok. Addig csak módosítható fájlok és bootszektorok fertőződtek meg. A makrovírusok komoly kihívást jelentenek a felismerés szempontjából. A Melissa, Loveletter, a Sobig és bűntársaik újabb és újabb gyorsasági rekordokat állítanak fel terjedésükkel.

1995

A "DMV" és "Éjjeliőr" az első makrovírusok. A "Concept 1995" volt az első, nyilvánosan kitörő makrovírus, és akadály nélkül terjedt az angol rendszerekben.

A Hunter.c programmal megjelenik az első polimorf makrovírus Németországban.

A Wm.Concept volt az első 'in the wild' Word számára készült makrovírus (eltekintve a HyperCard fertőzőktől). Csupán a következő üzenetet tartalmazta: "That's enough to prove a point." (megközelítőleg: "bizonyítéknak elég") és röviddel később világszerte a legelterjedtebb vírus volt. A Wm.Concept megalakította a "Proof of Concept" vírusok fajtáját. A PoC-vírusok csak azt mutatják, hogy lehetséges egy bizonyos gyenge pont kihasználása tényleges károkozás nélkül is. A makrovírusok felismerése magas követelményeket támaszt a víruskeresőkkel szemben, nem utolsósorban a scriptnyelvek és az Office-fájlok folyamatos formátumváltozása miatt.

1996

Megjelennek az első makro-generátorok a német és angol makrovírusokhoz. A makrovírusok azonban hamarosan nem csak a Word, hanem az Excel és AmiPro fájlokat is célba vették. Átugorják az operációs rendszerek közötti határokat is, és mind PC-ket, mind Mac-eket megfertőznek.

A Laroux elsőként fertőz meg MS-Excel-fájlokat.

A Boza az első olyan vírus, amely megtámadja a Windows 95-fájlok PE-EXE-formátumát. Ezt a Quantum, az ausztrál VLAD vírusszerző csoport írta.

1997

A vírusok egyre speciálisabbá válnak és célzottan támadják meg a programok, operációs rendszerek és hardverek gyenge pontjait.

Megjelennek az első mIRC szkriptek, amelyek féregszerűen terjednek az Internet Relay Chat használói között.

Felbukkan az első Linux operációs rendszerre írt vírus.

1998

A Strange Brew az első Java ellen írt vírus.

A makrovírusoktól eltekintve, amelyek az Access és más programokat is célba vette, a MacOS operációs rendszerrel működő PC-k legalább három éve megmenekültek a vírus fertőzésektől. Az Autostart.9805 féreggel ez a helyzet is megváltozik. Az Autostart a PowerPC-k Quicktime AutoStart mechanizmusát használja, és felmásolja magát merevlemezekre és más adathordozókra. Bizonyos fájlok átírásra kerülnek a Lomtár segítségével és ezzel használhatatlanná válnak. Az AutoStart HongKong-on keresztül az egész világban elterjed. Bővebben..

A Netbus és Back Orifice formájában megjelenik a Backdoors, amely segítségével az áldozat számítógépét észrevétlenül lehet felügyelni és távvezérelni. A Back Orifice féreggel összefüggésben folyamatosan folyik a vita, hogy ez valójában egy távkarbantartó, vagy távvezérlő szoftver. Mivel a távirányító funkció a felhasználó tudta nélkül is alkalmazható, a Back Orifice trójai alkalmazásnak is tekinthető. A Back Orifice segítségével egy támadónak 2000 közepén sikerül betörnie a Microsoft céges hálózatába.

Júniusban, Tajvanban megjelenik a CIH (Spacefiller, Chernobyl). Ez a program a vírustörténet legellenállóbb payload károkozója. Aktuálissá teszi azt a kérdést, hogy képesek-e a vírusok a hardverek megsemmisítésére? Amikor károkozó funkciója aktiválódik (április 26-án), felülírja a merevlemez Flash-BIOS alkalmazását és a partíciós táblázatát. Ezután a számítógép nem tud többé újraindítani. Néhány alaplapon ki kellett cserélni vagy újra kellett programozni a BIOS-alkatrészeket. Ám a rendszer visszaállítását követően sem voltak megtalálhatóak az adatok. A szerző Chen Ing-Hau, kínai egyetemi hallgató azonban nem kap jogi felelősségre vonást. Bővebben..

A VBS.Rabbit elsőként használja a Windows Scripting Hostot (WSH). Ezt a programot Visual Basic nyelven írták, és a másik VBS fájlokat támadja meg. A HTML.Prepend megmutatja amit a VBScript, HTML fájlokkal meg lehet fertőzni.

A Dr. Solomons programot megvásárolta a Network Associates. Mint ahogy ez a McAfee esetében történt, az ügyfeleket megvédték a programtól.

1999

Márciusban a "Melissa" féreg már megjelenése első napján sok ezer számítógépet fertőz meg, és szélsebesen terjed világszerte. Ez a program e-mailt küld az Outlook névjegyzék első 50 címére, és ettől sok mail-szerver összeroppan a nagy e-mail forgalom miatt. Augusztusban David I. Smith kijelenti, hogy ő írta a férget.

A Happy99 a felhasználó által küldött minden mail-ről másolatot készít és újból elküldi azt ugyanazzal a szöveggel és tárggyal, plusz fájlmellékletként a férget is. Ez ún. usenet-posting alkalmazásoknál is működik.

Az ExploreZip magát önkicsomagoló archívumnak álcázza, amely egy bejövő e-mailre küldött válaszként kerül elküldésre. Ez a hálózat engedélyezés útján terjed, és a hálózatban lévő számítógépeket fertőzheti meg, ha a felhasználó nem elég óvatos a hálózat használatában. A károkozó funkció átkutatja a merevlemezt, hogy találhatóak-e rajta C és C++ programok, Excel-, Word- vagy Powerpoint-fájlok, majd letörli azokat. Bővebben..

A Pretty Park az e-mailek mellett az Internet Relay Chats (IRC) klienseken keresztül is terjed. Hatékony védő- és álcázó mechanizmusokkal rendelkezett, amelyek megakadályozták, hogy a féreg törlésre kerülhessen. A következő víruskeresésnél a féreg legitimmé vált. Néha a víruskeresés is blokkolásra kerül. A regisztrációs adatbázis manipulációjával a Pretty Park az EX fájlok előtt került végrehajtásra, ami azt eredményezte, hogy valamennyi EXE fájl fertőzöttként jelent meg.

Az Outlook használók körében novemberben a Bubbleboy képében megvalósul a "Good-Times" vízió, vagyis hogy vírus akkor fertőzi meg a számítógépet, amikor megnyitnak egy e-mailt (még az előnézet esetében is). Ehhez a Bubbleboy egy programkönyvtárban lévő hibát használ fel.

2000

Minden jóslattal ellentétben nincs olyan Millennium-féreg, amely megérdemelné ezt az elnevezést.

A Palm/Phage és a Palm/Liberty-A ugyan ritkán, de képesek a PALMOS rendszerrel működő PDA-kat megfertőzni.

A VBS/KAKworm VB-szkript féreg az Internet Explorer szkriptjének és typelib-jének gyenge pontját használja ki. A Bubbleboy programhoz hasonlóan ez is e-mail megnyitásával terjedt (előnézetben is).

Májusban egy féreg lavinaszerűen küldözget e-maileket az Outlook-címtárból "I love you" tárggyal, és főképpen nagy céghálózatokban okoz milliárdos károkat. Ebben az esetben is rövid időn belül teljes mértékben túlterheltté váltak a hálózatok. Onel de Guzman Fülöp-szigeteki egyetemista ősverziójából számos változat kerül levezetésre. Amerikai szakértők a számítógépes történelem legrosszindulatúbb vírusáról beszélnek.

A W95/MTX megalkotója mindent megtett azért, hogy a számítógépek féreg/vírus-hibridjeit eltávolítsa. Egy PIF fájlt küldött e-mailen dupla fájlvégződéssel. Elzárta a böngésző hozzáférését néhány vírusirtó gyártó honlapjához, víruskomponensekkel szennyezett fájlokat, és néhány fájlt féregkomponensre cserélt.

A Loveletter vírust és sok változatát a MailGateway-eken a maileket egyszerűen a megfelelő tárgysor segítségével szűrték ki. A Stages of Life variálta a tárgysort, és így bújt a gépekbe.

Szeptemberben Svédországban a Liberty képében megjelent az első PDA-k számára írt Trójai. Ez a PC-vel történő szinkronizáláskor kerül átvitelre, és utána törli a frissítéseket.

2001

Februárban megindult egy e-mail féreg, amelyiknek a mellékletében az orosz teniszező, Anna Kournikova fényképe található. Ha ezt megnyitják, a férget is telepítik, ami azután az Outlook névjegyzékében szereplő valamennyi címet elküldi.

A Naked is e-maillel terjed. Ez egy flash animáció előtt egy meztelen nő. A megnyitás után saját magát telepíti és továbbküldi magát az összes Outlook címre. Mivel ez a Windows- és rendszerkönyvtárakat is törli, ezért használhatatlanná teszi a számítógépet. Csak az operációs rendszer újratelepítésével használható újra a számítógép.

A Code Red program júliusban egy Bufferoverflow-hibát használ ki az Internet Information Server (IIS) Indexing Service DLL-en a Windows NT, 2000 és XP esetében. Véletlenszerűen keres IP-címeket Internet kapcsolatok standard portjain, és egy trójait továbbít, amely a hónap 20. és 27. napja között Denial of Service (DoS) támadást indít a Fehér Ház honlapja ellen. A vírus eltávolítása nagyon körülményes és milliárdokba kerül.

Júliusban terjedt a SirCam a hálózatokon és az Outlook Express-en keresztül <b/>és néhány újdonságot is bevezetett. Ez gondoskodik arról, hogy minden indításnál egy EXE fájlt aktiváljon. Mint első féreg, a saját SMTP meghajtóját is magával viszi. Azonban nem csak saját magát küldi el, hanem a számítógépen lévő személyes fájlokat is.

A Nimda képében szeptemberben egy olyan Internet férget terjed el, amelyikhez nincs szükség felhasználói interakcióra. Ez az e-mailek terjesztése mellett a programok biztonsági hézagait is kihasználja. Számos web szerver túlterhelődik és a fertőzött fájlrendszerek az egész világ számára olvashatók lesznek.

Novemberben egy, a memóriában helyet foglaló Badtrans féreg terjedt, ami az Outlook és az Outlook Express biztonsági réseit használta ki és úgy terjesztette magát. Ez szolgálatiként telepíti magát, megválaszolja az e-maileket, kikémleli a jelszavakat és feljegyzi a billentyűzet sorrendjét.

2002

A "MyParty" féreg az év elején megmutatja, hogy nem minden weboldal, ami ".com"-ra végződik. Aki a "www.myparty.yahoo.com" levél csatolmányra kétszer rákattint, a várt képek helyett backdoor összetevőket tartalmazó férget kap.

Tavasszal és nyáron a Klez az Internet Explorer az IFRAME biztonsági rését használja ki ahhoz, hogy automatikusan telepítse magát egy levél megtekintésekor. E-mailen és hálózaton keresztül terjed, és a megnyitható fájlokat támadja. Adott hónap 13-án (a későbbi verziókban más napokon) az elérhető meghajtókon található minden fájt véletlenszerű tartalmak írnak felül. A tartalmak csak biztonsági mentésekkel állíthatók helyre.

Levélben terjed a Benjamin, a KaZaA-hálózat első férge. Különböző neveken megsokszorozza magát a hálózati mappában. A fertőzött számítógépen reklámot tartalmazó weboldal került kijelzésre. Ezt megelőzően voltak Gnutella alapú fertőzött P2P hálózatok is.

A Lentin olyan féreg, ami kihasználja, hogy sokan nem tudják, hogy az SCR fájlok nemcsak egyszerű képernyővédők, hanem megnyitható fájlok is. A Klez-hez képest a káros funkcióként indított videóhatás csupán zavaró. Elterjedtsége sem éri el a Klez-ét.

Szeptember végén járványszerűen elterjed az Opasoft (vagy Brazil). A 137-es porton vizsgálja a számítógépeket a hálózatban, hogy vannak-e ott fájl- és/vagy nyomtató-engedélyezések. Azután megkísérli magát a számítógépre másolni. Ha van jelszavas védelem, akkor a jelszólista lefuttatásra kerül és a jelszavak mentésének gyenge pontjait használja ki.

Tanatos vagy BugBear az első féreg, ami a Klez-t tavasz óta leszorítja vezető helyéről. A féreg e-mailen és hálózaton keresztül terjed, telepíti a Spyware összetevőit, majd a billentyűzet-lenyomásokról készített felvételeket küldi tovább.

2003

Az "SQL-Slammer" januárban egy óra alatt 75000 SQL szervert fertőzött meg, és ezzel órákra lebénította az Internetet. Ez a Microsoft SQL szerverek már hat hónapja ismert gyenge pontját használja ki, hogy az adatbázis szervert semlegesítse. Az SQL-Slammer csak egy hiányos lekérdezésből áll, és nem fájlként kerül betöltésre a memóriába. A következmény: Seattle-ben nem működtek a rendőrség, a tűzoltóság vészhívó számai, nem működtek a Bank of America bank automatái, Olaszországban 14000 postahivatal zárva maradt, drámai helyzet alakult ki az online tőzsdei kereskedésben. A KT Corp Koreában időszakosan teljes egészében kiesett a rendszerből. Itt a jelentősen visszaesett kereskedelmi forgalom miatt az Index 3%-kal visszaesett. Kínában a teljes külföldi hálózati forgalom blokkolódott.

Augusztusban önállóan terjedt az Interneten a Lovesan (más néven Blaster). Ez a Microsoft által csak négy héttel korábban lezárt biztonsági rést használja ki az RPC/DCOM szolgáltatásban és az IP címeken keresztül véletlenszerűen fertőzi meg a kiválasztott számítógépeket. Rendkívüli gyorsasággal a számítógépek százezreit (állítólag 570000 db számítógépet) fertőzi meg. Nem sokkal később a Welchia (vagy Nachi) megkezdi a Lovesan/ Blaster eltávolítását a számítógépről, és le is zárja az RPC/DCOM biztonsági rést. 2003 augusztus végén letartóztatták a 18 éves Jeffrey Lee Parsont , a Lovesan szerzőjét. 2005 márciusában magas pénzbüntetésre ítélték, amit azután a Microsoft hozzájárulásával három év időtartamú, hetenkénti szociális munkára változtattak.

A "Sobig.F" tömegvírus saját mailengine segítségével terjedési sebességre vonatkozó új rekordot állít fel. A korábbi férgekhez viszonyítva tízszer gyorsabban terjed.

2004

A vírusok a szervezett bűnözés fegyvertárából sem maradnak ki. Számos Trójai kémleli a jelszavakat, a hitelkártya számokat és más személyes információkat. A backdoor-ok távvezérelhetővé változtatják a számítógépeket, és integrálódnak az ún. bot-hálózatokba. Egy bot-hálózat zombijaival a futball Európa Bajnokság idején Denial-of-Service támadásokat hajtottak végre az online fogadóirodák ellen. Az üzemeltető kényszerből enged a zsaroló követeléseinek.

A Rugrat az első vírus a 64-bites Windows-rendszerekhez.

A Cabir az első, symbian operációs rendszerrel és bluetooth interfésszel rendelkező mobil telefonok ellen irányuló vírus, amit a proof-of-concept-vírusok révén ismertté vált 29A csoport fejlesztett ki. Nem sokkal később megjelent ugyanettől a csoporttól a WinCE.4Dust.A program, ami a Windows CE első PoC vírusa.

2005

A Symbian Smartphones számára írt féreg mint CommWarrior.A MMS útján terjed. Az MMS üzeneteket változtatható kísérő szövegekkel vírusirtó szoftverként, játékként, eszközvezérlőként, szimulátorként, 3D szoftverként vagy érdekes képként ábrázolva küldik el a telefonkönyv minden bejegyzésére.

A malware története