Retrospektiva računarskih virusa od nastanka do danas

John von Neumann

Najvažnija karakteristika računarskog virusa jeste njegova sposobnost da se sam replikuje. Ideja o repliciranju datira još iz 1949., kada je matematičar Džon von Nojman predvideo specijalizovane računare ili samo-replicirajuće automate, koji su u mogućnosti da naprave kopiju sebe i proslede svoje programe za njihovo potomstvo.

Creeper – 1971

Nije poznato ko je napravio prvi replicirajući program, ali je zasigurno prvi računarski virus takozvani „Creeper Worm“ napisao Bob Thomas početkom 70. godina radi testiranja von Njumanove teorije. Napisan je za PDP-10 mašine koje su koristile TENEX operativni sistem. Tenex je prvi operativni sistem koji je služio prve email programe na ARPANET mreži. Creeper se pomoću ARPANET replicirao na računare u mreži i ispisivao proste poruke.

The Brain – 1986

„Brain“ je najstariji poznati virus na PC platformi, prvi put je detektovan 1986. Godine. Napisan je za IBM-PC i kompatibilan je sa PC-DOS i IBM-DOS operativnim sistemima. Brain je boot sector virus, inficira prve sektore flopi diskova koji se ubace u zaražen računar. Brain virus pokušava da se sakrije od detekcije tako što kada korisnik koristi DEBUG ili sličan program, sve će izgledati normalno jer će virus pokazivati originalni boot sektor. To znači da Brain ne samo da je prvi virus za PC računare, već i prvi rootkit.

Melissa – 1999

Melissa virus se širio putem email-a korišćenjem tehnika socijalnog inžinjeringa. Dolazio je sa porukom „U prilogu je dokument koji si tražio… ne pokazuj nikome“. U samo par dana, virus je postao najvažniji slučaj masivne infekcije u istoriji, praveći štetu oko 80 miliona dolara američkim kompanijama. Kompanije kao što su Microsoft, Intel i Lucent Technologies su morale da blokiraju svoje internet konekcije zbog „agresivnosti“ virusa. Kada se otvori dokument zaražen ovim virusom, virus kreira e-mail sa sledećim karakteristikama: Subject: „Važna poruka od _______“, text: „U prilogu je dokument koji si tražio… ne pokazuj nikome“, prilog „DOC fajl“. Primaoci ove poruke su bili prvih 500 kontakata u Microsoft Outlook adresaru. Ovo je prvi virus koji je koristio ovakve tehnike širenja.

ILOVEYOU – 2000

ILOVEYOU virus slično kao i Melissa virus dolazi sa email porukom „I LOVE YOU“ u subject liniji i sadrži u sebi prilog koji kada se tvori rezultira u prosledjivanju poruka na sve kontakte iz Microsoft Outlook-a. Sa tim što ILOVEYOU briše JPEG MP3 i slične fajlove na zaraženim računarima. 4. Maja 2000. Godine, ILOVEYOU virus se proširio toliko brzo da se e-mail morao ugasiti u brojnim većim korporacijama kao što su Ford Motor Company. Virus se proširio na oko 45 miliona korisnika u jednom danu. Malware je nastao u okolini Manile u Filipinima, šireći se prvo na Hong Kong, Evropu i SAD. Kasnije je ustanovljena šteta od 5.5 biliona dolara do 8.7 biliona dolara kao i da brisanje virusa košta 15 biliona dolara. Procenjeno je da je u vreme zaraze 10% računara sa internet konekcijom bilo zaraženo.

Nimda – 2001

Nimda je virus kome je glavna i jedina uloga bila reprodukovati se i usporiti „internet“. Širio se putem Majkrosoftovog Web servera IIS i putem korisnika koji su otvarali e-mail prilog. Nimda nije uništavao fajlove ili izvršavao neku štetu na bilo koji način osim usporavanja prometa interneta putem denial-of-service metodom. Njegovo ime dobijeno je ispisivanjem Admin unazad što se odnosi na fajl koji je inficirao: „admin.dll“. Nimda je testirao svaku IP adresu nasumičnog opsega, pokušavajući da eksploatiše slabost IIS-a, ukoliko taj server nije ažuriran. Web server će pročitati web stranicu koja sadrži Javascript kod, što izaziva da se sam taj Javascript kod kopira na sve Web strane tog servera.

Beast – 2002

Beast je jedan od prvih „trojanaca“ za Windows platforme, napisan je u Delphi programskom jeziku 2002. Godine i postao je jako popularan zbog svojih karakteristika. Koristion je client-server model, gde je client koristio napadač, dok je server nešto čime bi napao žrtvu. Beast je prvi trojanac koji je koristio obrnutu konekciju, i kada bi se konektovao davao bi napadaču potpunu kontrolu nad računarom žrtve.

SASSER – 2004

Sasser je još jedan od virusa koji je prouzrokovao bilione dolara štete. Kreirao ga je student računarskih tehnologija u Nemačkoj. Iako nije imao namernih destruktivnih namera Sasser je prouzrokovao štetu na računarima u obliku usporavanja i padanja sistema. Funkcioniše tako da kada pronađe ranjiv sistem, crv u crvu šalje shell kod ka računaru sa namerom da eksploatiše LSASS ranjivost. Kreira i pokreće skriptu cmd.ftp na računaru kako bi preuzeo ostatak Sasser virusa koji će napraviti FTP server na zaraženom računaru kako bi se virus prenosio i širio na ostale računare. Nenamerna šteta je bila ta da LSASS zbog eksploatisanja ranjivosti prestane da radi i korisnik više nema administratorske dozvole, što dovodi do smanjivanja upotrebljivosti računara kao i do toga da računar se ne može ugasiti normalnim putem već se morao isključiti iz struje.

CryptoLocker – 2013

CryptoLocker je ransomware trojanac za Windows platforme. Prenosi se putem email priloga i preko postojećeg botnet-a. Kada se aktivira, malver enkriptuje sve „privatne“ fajlove sa RSA kriptosistemom tako da privatni ključ ostaje kod napadača. Nakon toga se pojavljuje prozor sa upozorenjem da su svi fajlovi enkriptovani i da žrtva treba da uplati određenu sumu u bitcoinima (oko 2 bitcoina, cena je tada bila oko 100$ po bitcoinu, danas jedan bitcoin kosta oko 1600$). Čak iako žrtva isplati određenu sumu, neretko se dešavalo da mu fajlovi i dalje budu zaključani. CryptoLocker nije teško izbrisati iz sistema, medjutim fajlovi ostaju zaključani i dalje.

MEMZ – 2016

Memz je trojanac koji ima zadatak ne samo da uništi operativni sistem računara i fajlove u njemu, već da dok to radi, agresivno koristi računar umesto nas tako da mi praktično ne možemo da preuzmemo kontrolu nad mišem. Ako bi pokušali da ga ugasimo u task manager-u računar bi se restartovao i u sledećem boot-u bi se pojavila meme ikona „Nyan Cat“ kako skakuće preko ekrana bez da se podigne windows, jer naravno Memz je izbrisao MBR, to će se svakako desiti bez obzira da li koristite MBR ili GPT.

Autor: Dušan Marković

4351-retrospektiva-racunarskih-virusa-od-nastanka-do-danas