Windows 98 – strzeż się!
Microsoft musiał wyłączyć swoje serwery mailowe, by nie dopuścić do rozprzestrzeniania się Melissy – wirusa, który swoją nazwę zawdzięcza tancerce z Miami. Napisany w 1999 roku przez Davida L. Smitha, program rozprzestrzeniał się poprzez wiadomości elektroniczne; do maila dołączany był dokument o zachęcającej do otwarcia nazwie. Po aktywacji, wirus replikował się i wysyłał samoczynnie do 50 kolejnych osób z książki adresowej.
Melissa siała spustoszenie w sieciach rządowych i prywatnych
Takie oświadczenie wydała nie prasa, ale samo FBI. Poza klasycznymi mailami, Melissa rozprzestrzeniała się również za pomocą Usenetu – w grupie o nazwie alt.sex pojawiały się hasła do stron pornograficznych, oczywiście w wydzielonym, osobnym pliku z makrami.
Po długim procesie, David L. Smith został skazany na 20 miesięcy więzienia. Musiał też zapłacić 5 tys. dolarów grzywny, a dodatkową dla niego karą jest dożywotni zakaz zbliżania się do komputera bez autoryzacji.
Melissa, natomiast, stała się znana jako jeden z pierwszych wirusów komputerowych, który w tak szerokim stopniu zaistniał w opinii publicznej.
Rok później
Tym razem trafiamy nie do Stanów Zjednoczonych, a do Filipin. To wyspiarskie państwo z niespełna 100-milionową populacją spłodziło programistę, który napisał kolejnego, niezwykle groźnego wirusa – tyle tylko, że tym razem był to robak, a nie wirus per se.
ILOVEYOU był w stanie replikować się samodzielnie. Początkowo, owszem, rozprzestrzeniał się poprzez pocztę elektroniczną, sugerując w temacie, że nadawca wiadomości jest w adresacie zakochany.
Do maila dołączony był plik o nazwie LOVE-LETTER-FOR-YOU.TXT.vbs, gdzie rozszerzenie „vbs” wskazywało na język, w jakim haker napisał aplikację: Visual Basic Scripting. Podobnie jak w przypadku Melissy, tak i tutaj dochodziło do wysłania kolejnych 50 maili z naszego konta. Co więcej, ILOVEYOU kopiował się samoczynnie i równie samoczynnie ukrywał w różnych folderach na naszym dysku. Dodawał też klucze do rejestru systemowego, usuwał pliki z OS-u zastępując je kopiami samego siebie, a nawet był w stanie ściągnąć z sieci plik o nazwie WIN-BUGSFIX.EXE, który odpowiedzialny był za wykradanie haseł.
Domniema się, że autorem ILOVEYOU jest Onel de Guzman. Problemem jest to, że wówczas – w 2000 roku – Filipiny nie miały żadnego prawa związanego ze szpiegostwem komputerowym. Guzmana sądzono więc w oparciu o klasyczny kodeks karny; ILOVEYOU miał wyrządzić globalne straty na poziomie 10 mld dolarów.
Wirus, który „zdjął” stronę Białego Domu
Wykorzystując lukę w Microsoft Internet Information Server, Code Red zdołał zneutralizować całą, on-line’ową strukturę amerykańskiego rządu. Uniemożliwiając odwiedziny w serwisie Białego Domu, autor wirusa zmusił pozostałe podmioty do tymczasowego zdjęcia ich stron. Latem 2001 roku ten malware skutecznie infekował komputery z Windowsem 2000 i NT, wysyłając do nich więcej informacji, niż mogło zmieścić się w buforach. W skrócie – mieliśmy do czynienia z atakiem DDoS.
Chwilę później w świecie cyfrowym pojawił się Code Red II, tym razem korzystający z backdoora, który pozwalał autorowi wirusa przejąć kontrolę nad systemem operacyjnym użytkownika. To znów, w pewnym sensie, odmiana DDoS-a, gdzie pecet stawał się komputerem-zombie, wykorzystywanym do przeprowadzania ataków na inne maszyny.
Microsoft dość szybko zareagował, wydając łatkę zarówno do Windowsa 2000, jak i NT. Warto jednak zauważyć, że aktualizacja rozpowszechniana wówczas przez giganta z Redmond nie usuwała wirusów z zainfekowanych komputerów, a jedynie uniemożliwiała jego instalację na tych, które jeszcze nie zostały zarażone.
Korki, wszędzie korki
Nimda (od tyłu czytana jako „admin”) to robak, który w 2001 roku stał się najszybciej rozprzestrzeniającym się wirusem wszechczasów. Według jednego z szefów firmy TruSecure, Nimda potrzebowała zaledwie 22 minut, by dotrzeć na szczytowe pozycje raportów pakietów antywirusowych.
W przeciwieństwie do większości tu opisanych, Nimda atakowała nie prywatne komputery, a głównie serwery. Robak przejmował kontrolę nad systemem do takiego stopnia, w jakim pozwalało mu na to aktualnie przypisane do peceta konto. Autorom Nimdy chodziło przede wszystkim o jak najskuteczniejsze zablokowanie ruchu internetowego.
Nimda atakowała przede wszystkim komputery oparte na serwerowych wersjach Windows 2000 i NT, ale zgłaszano też przypadki zainfekowania Windowsów 95, 98, Me czy XP.
Według większości doniesień, Nimda wywodzi się z Chin.
Tak wygląda skuteczny DDoS – wśród ofiar bankomaty Bank of America, numery alarmowe czy elektrownia nuklearna
W styczniu 2003 roku nie działały bankomaty Bank of America, jednej z największej instytucji finansowych w Stanach Zjednoczonych. W Seattle, z kolei, nie dało się dodzwonić na 911 – amerykański numer alarmowy. Continental Airlines musiało anulować kilka lotów wskutek błędów w wydawaniu biletów elektronicznych. Elektrownia nuklearna w Ohio również została zaatakowana – i to nawet mimo tego, że cała sieć chroniona była przez wyrafinowy firewall. Autorowi Slammera udało się zneutralizować monitoring instytucji na ponad pięć godzin.
Zanim wydano odpowiednie łatki i aktualizacje do pakietów antywirusowych, Slammer wygenerował straty szacowane na ponad miliard dolarów. Po dotarciu do pierwszego zainfekowanego komputera, wirus duplikował się z niesamowitą prędkością – zaledwie kilka sekund potrzebował na zwielokrotnienie swojej obecności. W kwadrans po ataku Slammer był już zainstalowany na połowie najważniejszych serwerów na świecie.
Gigantyczne ataki na serwery Microsoftu i SCO
Znów prosty scenariusz – robak wywołujący ataki DDoS, rozprzestrzeniajacy się za pośrednictwem załączników w e-mailach. Co ciekawe, szkodnik powstał w lutym 2004 roku, ale spotykany jest nawet do dzisiaj – nawet mimo tego, że jego autor deaktywował dystrybucję MyDooma po 12 lutego 2004 oku.
Poza zaatakowaniem serwerów firm Microsoft i SCO, MyDoom wysyłał również miliony zapytań do Google z zainfekowanych komputerów. To, w efekcie, spowodowało zwolnienie całej sieci firmy z Mountain View.
Nazwę „MyDoom” zawdzięczamy Craigowi Schmugarowi, pracownikowi McAfee i jednemu z pierwszych odkrywców robaka. Wirus znany jest również jako Novarg, Mimail.R bądź Shimgapi.
Oblężenie LSASS
W starszych wersjach Windows, po wciśnięciu kombinacji CTRL+SHIFT+ESC, mogliście w menedżerze zadań zauważyć proces lsass.exe – czyli Local Security Authority Subsystem Service, system wspierający bezpieczeństwo naszych OS-ów. LSASS weryfikował użytkowników logujących się do „okienek”, zajmował się zmianami haseł i zapisywaniem wszystkich informacji w logach bezpieczeństwa. To jeden z najważniejszych składników systemowych, który – jak można się domyślać – dość często był przedmiotem ataków z zewnątrz.
Jednym z najskuteczniejszych było uderzenie przez Sassera, robaka, który w 2004 roku utrudniał tak proste czynności, jak wyłączanie komputera (pomijając odcięcie prądu). Na liście ofiar znalazła się m.in. sieć informatyczna banku Goldman Sachs.
Twórca wirusa, Sven Jaschan, został zatrzymany w wyniku współpracy CIA i FBI. Został skazany w Niemczech na rok i 9 miesięcy pozbawienia wolności w zawieszeniu. W momencie aresztowania, Jaschan miał mniej, niż 18 lat.
Kolejne dzieło młodego Svena
Sasser i Netsky zachowywały się w inny sposób, ale były podobnie napisane – dlatego też powszechnie uważa się, że autorem Netsky jest również wspomniany wyżej Sven Jaschan. Co więcej, Niemiec sam przyznał się do sporządzenia obydwu robaków.
Netsky był wirusem butnym – nie tylko wywoływał szkody w sieciach informatycznych, ale również obrażał autorów m.in. MyDooma. Robak Jaschana był nawet w stanie usuwać wersje tego ostatniego.
Według ekspertów z Sophosa, w szczytowej formie Sasser i Netsky stanowiły przeszło 25 proc. wszystkich wirusów komputerowych, które można było spotkać w sieci.
Prawdziwy koń trojański
Zidentyfikowany w czerwcu 2007 roku, Zeus był wówczas wykorzystany do wykradania informacji z amerykańskiego Department of Transportation.
Sprawa przycichła – ale tylko po to, by w dwa lata później pojawić się na listach zagrożenia firmy Prevx, która odkryła, że za pośrednictwem Zeusa zainfekowano 74 tys. serwerów FTP tak gigantycznych organizacji, jak Bank of America, NASA, ABC, Oracle, Cisco, Amazonu czy magazynu BusinessWeek.
Zeus rozprzestrzenia się poprzez ataki drive-by download i phishing. Trojan w dalszym ciągu jest wykorzystywany do ataków, o czym choćby w 2013 roku ostrzegał bank BZWBK; wirus podmieniał wtedy stronę logowania do bankowości internetowej na sfałszowaną, łudząco podobną do oryginału. Pojawiają się też przeróżne odmiany programu, jak choćby ZitMo (Zeus in the Mobile). Najczęściej, o czym przeczytamy również na stronach ING, Zeus atakuje klientów instytucji finansowych, prosząc o instalację mobilnego antywirusa.
Zeus do tej pory określany jest jako największy botnet w sieci; w samych Stanach Zjednoczonych, według angielskiej Wikipedii, zainfekowanych jest przeszło 3,6 mln komputerów.
Pierwszy robak przemysłowy
Stuxnet jako pierwszy wykorzystywał rootkity na Windowsa, mając przy tym zdolność aktualizacji metodą peer-to-peer. Najstarsze kompilacje wirusa pochodzą z 2009 roku, kiedy odkryto, że Stuxnet atakuje głównie systemy przemysłowe.
Co intrygujące, głównym celem przyświecającym autorowi Stuxnetu były ataki wycelowane w irańską elektrownię jądrową w Natanz. Na miejsce trafił za pośrednictwem pendrive’a jednego z tamtejszych pracowników; systemy bezpieczeństwa instytucji zostały zneutralizowane, przez co, w efekcie, wirówki zaczęły pracować na pełnych obrotach i uległy zniszczeniu.
Zagrożenie Stuxnetem do tej pory traktowane jest niezwykle poważnie. To w końcu jeden z niewielu tak rozbudowanych ataków na infrastrukturę energetyczną danego państwa.
Arcydzieło przestępczości?
Bardziej złożoną odmianą Stuxnetu jest Flame – modułowy szpieg, okrzyknięty w 2012 roku jako najbardziej zaawansowany technologicznie robak, jakiego dotychczas stworzono. Aleksander Gostew z Kaspersky Lab stwierdził, że Flame „redefiniuje zasady cyberprzestępczości”.
Flame, w przeciwieństwie do większości wirusów, waży prawie 20 megabajtów. W paczce znajdują się przeróżne moduły, w tym maszyna wirtualna dla języka Lua i umożliwiające kompresję biblioteki. Mamy tu kompilację przeróżnych języków, od Lua właśnie począwszy, przez zapytania SQL, po moduły w C i skrypty Windows Management Instrumentation.
Głównym zadaniem Flame jest wykradanie danych – a robi to w sposób niesamowicie wyrafinowany. Robak jest w stanie nawet nagrywać dźwięk z mikrofonu i zbierać informacje pochodzące ze znajdujących się w pobliżu urządzeń z interfejsem Bluetooth. Flame potrafi też rozprzestrzeniać się nie tylko przy pomocy sieci lokalnej, ale przez strony internetowe, maile czy za pośrednictwem dysków zewnętrznych. Atakuje zarówno instytucje rządowe, jak i osoby prywatne.
Niektóre odnośniki na stronie to linki reklamowe.
Komentarze
Brakuje CIH, nawet datą pasowałby (26 kwietnia) :> Ostatni i jedyny wirus jaki załatwił mi system.