Oblężenie Windows: 20 lat innowacji malware'u

Gdy Windows był młody, wirusy przeskakiwały z systemu do systemu, czasem usuwały pliki, które prawie zawsze mogły być odzyskane lub otwierały okna dialogowe z zagadkowymi lub śmiesznymi treściami. Dzisiejszy malware kradnie dane osobiste, ważne pliki, numery kart kredytowych oraz atakuje elektrownie atomowe. To już poważna sprawa.

Przy okazji malware’u Windows pojawiła się też warta grube miliardy branża antywirusowa. Złośliwe oprogramowanie zainspirowało też napisanie artykułów, których starczyłoby na zapełnienie Biblioteki Aleksandryjskiej. Malware przez przypadek stworzył więc także nowe miejsca pracy. Jednak przede wszystkim zaowocował wieloma potężnymi bólami głowy.

Środki, metody i cele malware’u zmieniały się z biegiem czasu. Tak jak w przypadku innych technologii, innowacyjne myślenie wskazywało drogę. W artykule tym przedstawiamy jak zabawa w hakowanie Windows przerodziła się w wielomiliardowy biznes oraz dokąd zmierza malware.

Galeria wczesnych wirusów

Wiele najbardziej innowacyjnych i ciągle wszechobecnych technik malware pojawiło się jeszcze w latach poprzedzających Windows 3.0. Ustanowiły one mocne podstawy dla malware'u systemu Windows, który miał nadejść.

VirDem był pierwszym wirusem infekującym plik wykonywalny. Stworzył go Ralf Burger w Niemczech w roku 1986. Umieszczał on samopowielający się program na początku pliku COM, a oryginalny kod przenosił na koniec. W 1987 roku pojawił się wirus Cascade. Stosował on szyfrowanie, by ukryć swoją obecność. Procedura szyfrowania była taka sama we wszystkich zainfekowanych plikach, więc skanery wykrywały go z łatwością.

GhostBalls stosował dwie techniki infekowania i stał się pierwszym wirusem wieloczęściowym. Jego kod ogłaszał dumnie Proodukt Islandii / Copyright 1989. GhostBalls infekował pliki COM, ale szukał też dyskietek w dysku A i kopiował na nie wirusa boot sektora.

W 1990 roku Mark Washburn ulepszył metodę szyfrowania i stworzył wirusa 1260, który był pierwszym wirusem polimorficznym. Wirusy te zmieniają się przy każdym szyfrowaniu, a często zmieniają też sposób szyfrowania. Dzięki temu ich wykrycie jest trudniejsze.

1260 stał się wzorem dla innych wirusów Frodo i Whale, które pojawiły się w tym samym roku. Znane są jako wirusy ukrywające się (stealth). Frodo sprawiał, że Windows podawał niewłaściwą wielkość zainfekowanych plików COM. Wyglądało jakby nie były zainfekowane. Whale miał 9 KB i był największym wirusem swoich czasów. Używał technik znanych z 1260 i Frodo. Nie zainfekowały wielu maszyn, ale wyjątkowo dobrze potrafiły się ukrywać.

Dwadzieścia lat później, panteon malware'u Windows przepełniony jest infekcjami plików wykonywalnych, wirusami wieloczęściowymi, polimorficznymi i ukrywającymi się.


Zobacz również