Wirusowy bestiariusz

I got the poison, I got the remedy, jak śpiewał kiedyś Maxim Reality z grupy The Prodigy. I w sumie miał rację, bo to „ludzie ludziom zgotowali ten los”. A raczej wirusa, bo wirusom komputerowym będzie poświęcony dzisiejszy artykuł.

Wirusa komputerowego Słownik cyberbezpieczeństwa Tomasza Pączkowskiego definiuje jako: program komputerowy zawierający zestawy krótkich samopowielających się sekwencji poleceń, które powodują jego samoczynne rozprzestrzenianie się w oprogramowaniu i rozmnażanie w systemach operacyjnych sterujących pracą komputera.

Zasadę działania wirusa można łatwo porównać do sposobu rozprzestrzeniania się w żywym organizmie wirusów biologicznych. Wirus zmienia kod genetyczny komórki, wirus komputerowy zaś zmienia sekwencje układów elektronicznych. Poza rozmnażaniem się wirusy mogą mieć złośliwe, destrukcyjne działanie.

Wielka księga pierwszych wirusów

Po raz pierwszy koncepcja wirusa omówiona została w serii wykładów matematyka Johna von Neumanna pod koniec lat 40. XX wieku oraz w artykule jego autorstwa opublikowanym w 1966 r. pt. Theory of Self-Reproducing Automata. Artykuł ten był eksperymentem myślowym, w którym spekulowano, że „mechaniczny” organizm, taki jak fragment kodu komputerowego, mógłby uszkodzić maszyny, skopiować się i zainfekować nowych gospodarzy, tak jak wirus biologiczny.

Za pierwszego wirusa często uważa się program Creeper, stworzony w 1971 r. przez Boba Thomasa z BBN Technologies. W rzeczywistości Creeper został zaprojektowany, aby sprawdzić, czy możliwy jest samoreplikujący się program. Nie da się ukryć, że pomysł się sprawdził.

Z każdym nowo zainfekowanym dyskiem twardym Creeper próbował usunąć się z poprzedniego „gospodarza”. Creeper nie miał jednak złych zamiarów i wyświetlał jedynie prostą wiadomość: „JESTEM CREEPER. ZŁAP MNIE, JEŚLI MOŻESZ!”.

Według InfoCarnivore pierwszym szkodliwym wirusem, mającym zdolność replikacji był stworzony w 1974 r. Rabbit (lub Wabbit), czyli Królik (lub Kłólik – już widzę uśmiech na twarzach wielbicieli królika Bugsa). Gdy stworzył na komputerze odpowiednią liczbę swoich kopii, powodowała ona redukcję wydajności systemu, a ostatecznie awarię całego urządzenia. Wirus swoją nazwę zawdzięcza szybkości, z jaką się replikował.

Brain był pierwszym wirusem komputerowym, infekującym komputery PC. Został stworzony w 1986 r. przez dwóch braci, Basita i Amjada Farooq Alvi, którzy prowadzili sklep komputerowy w Pakistanie. Zmęczeni klientami wykonującymi nielegalne kopie ich oprogramowania opracowali Brain, który zastępował sektor rozruchowy 5,2-calowej dyskietki (ówczesny pendrive) wirusem.

Brain, który był jednocześnie pierwszym wirusem ukrywającym się, zawierał ukrytą wiadomość o prawach autorskich, ale w rzeczywistości nie uszkadzał żadnych danych.

Definicje

Wracając do Słownika cyberbezpieczeństwa, możemy wyróżnić następujące rodzaje wirusów:

1. Wirusy typu multipartite – stosują wiele różnych metod ataku. Wirusy polimorficzne próbują unikać wykrycia, zmieniając własny kod wraz z każdą infekcją. Programy antywirusowe nie mogą więc poszukiwać stałej sekwencji bajtów. Niektóre wirusy polimorficzne używają również różnych technik szyfrowania przy każdej infekcji.
2. Wirus sektora startowego – wirus, który infekuje poprzez zmianę kodu w sektorze startowym dysku twardego na własny kod. W rezultacie, przy każdej próbie rozruchu wirus zostanie załadowany przed systemem operacyjnym.
3. Wirusy towarzyszące – rodzaj klasycznych wirusów plikowych, które nie zmieniają atakowanego pliku. Zamiast tego tworzą jego kopię zawierającą wirusa. Podczas uruchamiania zainfekowanego pliku pierwsza aktywowana zostanie kopia zawierająca wirusa.
4. Wirus – odsyłacz – typ wirusa, który nie dodaje swojego kodu bezpośrednio do zainfekowanych plików. Rozprzestrzenia się poprzez manipulowanie sposobem dostępu do plików. W momencie uruchamiania zainfekowanego pliku wirus przenika do pamięci oraz zapisuje (zazwyczaj ukryty) plik na dysku: ten plik zawiera kod wirusa. Następnie wirus modyfikuje system plików tak, aby inne pliki były przekierowywane do sektora dysku zawierającego kod wirusa. W rezultacie, zawsze po uruchomieniu zainfekowanego pliku system przeskakuje najpierw do kodu wirusa i uruchamia go.
5. Wirus nadpisujący – wirus całkowicie zastępuje kod w zainfekowanym pliku własnym kodem. Naturalnie oryginalny program przestanie działać, co będzie oznaczać, że komputer został zainfekowany. Z tego powodu wirusy nadpisujące nigdy nie rozprzestrzeniały się skutecznie na wolności.
6. Wirus ukrywający się – taki wirus próbuje uniknąć skanerów antywirusowych, przedstawiając po zapytaniu produktu antywirusowego czyste dane. Niektóre z tych wirusów podczas skanowania ukazują czystą wersję zainfekowanego pliku. Inne ukrywają nowy rozmiar zainfekowanego pliku i wyświetlają rozmiar sprzed infekcji.

Jakie szkody może wyrządzić współczesny wirus komputerowy?

Oddajmy głos specjalistom z Omegasoft.

1. Spowolnienie działania komputera – kiedy wirus zaczyna działać, replikuje się wielokrotnie. Jego praca w tle znacznie spowalnia działanie systemu, możesz mieć więc wrażenie, że wszystkie programy i pliki otwierają się niesamowicie wolno. W skrajnych przypadkach działanie wirusa całkowicie blokuje system i uniemożliwia dostanie się do zapisanych na nim danych.
2. Przekierowywanie na niepożądane strony internetowe – nie można spokojnie korzystać z internetu, bo co chwilę zostajemy przeniesieni na stronę, której nie wyszukiwaliśmy, samoistnie wyświetlają się okna lub dziwne komunikaty. Najprawdopodobniej nasz komputer jest zawirusowany.
3. Kasowanie plików – wirusy często nadpisują pliki lub zmieniają ich treść. Jeśli nie możemy znaleźć lub otworzyć swoich plików, istnieje duże prawdopodobieństwo, że przyczynił się do tego wirus.
4. Problem z uruchomieniem programów – wirusy mogą blokować niektóre programy i aplikacje. Zdarza się, że uderzają w programy antywirusowe, aby uniemożliwić ich uruchomienie i pozbycie się szkodnika.
5. Instalowanie kolejnych szkodliwych programów – znaleźliśmy na komputerze program, którego nie kojarzymy? Zdarza się, że jednym z działań wirusa jest instalowanie kolejnych szkodników.
6. Wykradanie danych – nie zauważymy tego od razu, ale wyłudzenie naszych danych osobowych czy danych logowania do konta bankowego za pomocą wirusa może mieć opłakane skutki. Cyberprzestępca posiadający nasze imię, nazwisko, adres i PESEL może przy odrobinie sprytu próbować wziąć na ciebie kredyt, zarejestrować fikcyjną firmę lub dokonać internetowych zakupów. Nasze komputery to istna skarbnica danych o nas, naszej rodzinie i znajomych. W jeszcze gorszej sytuacji znajdziemy się, gdy korzystamy ze sprzętu firmowego, na którym przechowujemy dane klientów.
7. Szpiegowanie – niektóre wirusy zostały tak zaprogramowane, aby przejmować kontrolę nad kamerą internetową i mikrofonem. Daje to hakerowi możliwość podsłuchiwania i podglądania użytkowników komputerów. Dotyczy to zwłaszcza młodych kobiet – na czarnym rynku istnieje możliwość zakupu dostępu do takiej kamery w celu obserwowania ofiary. Zdjęcia i nagrania wykonane za pomocą przejętej kamery mogą posłużyć cyberprzestępcy do szantażu.
8. Żądanie okupu – wirus zablokował nasz komputer i informuje, że musimy zapłacić okup, aby odzyskać do niego dostęp? To ransomware. Jeśli znajdziemy się w takiej sytuacji, nigdy nie decydujmy się na jego zapłatę. Prawdopodobieństwo odzyskania danych jest praktycznie zerowe.
9. Rozsyłanie spamu – niektóre wirusy działają w ukryciu, wykorzystując nasz komputer do przestępczych celów. Tak jest w przypadku botnetu, czyli grupy komputerów zainfekowanych szkodliwym oprogramowaniem. Pojedyncze urządzenie w takiej sieci zwane jest „komputerem zombie”, ponieważ wykonuje polecenia zdalnie przekazywane przez hakera, np. rozsyłanie spamu przez nasz e-mail czy wiadomości z niebezpiecznymi linkami przez komunikator internetowy.
10. Dziwne zachowania komputera – programy włączają się niespodziewanie, grafiki otwierają się same lub odtwarzają się dziwne dźwięki? Komputer sam się wyłącza? Nie ma sensu dzwonić po Pogromców Duchów. To wszystko może być efektem działania wirusów. Hakerzy są w stanie tak je zaprojektować, aby wykonywały tego typu czynności w określonych okolicznościach, np. o konkretnej godzinie.
11. Blokowanie aktualizacji – tworząc wirusy, hakerzy wykorzystują luki w oprogramowaniu, aby przeniknąć do systemu. Twórcy programów cały czas pracują nad aktualizacjami, które je usuwają, aby uniemożliwić wirusom przejęcie naszego sprzętu. Hakerzy próbują się więc zabezpieczyć i zablokować komputerowi możliwość aktualizowania się.

Powyższy katalog zdarzeń jest oczywiście otwarty. Wszystko zależy od fantazji hakera i jego umiejętności. O tym, jak możemy się bronić, napiszę w kolejnym artykule.

Łukasz Cichowski
starszy Broker w MAI Insarunce Blokers Poland