Oblężenie Windows: 20 lat innowacji malware'u


Rozwój makrowirusów

Windows 3.0 pojawił się 22 maja 1990 i szybko stał się popularny. Przez pewien czas rozwój wirusów się zatrzymał. Wyjątkiem był wirus boot sektora Michelangelo, który rozpropagował określenie wirus komputerowy oraz pomógł wypromować oprogramowanie antywirusowe. Latem 1995 roku nastąpił przełom. Do tej pory nieznana osoba napisała prostego makrowirusa używając WordBasic, języka makro Microsoft Worda.

Zainfekowany dokument po otwarciu w Word 6, dodawał cztery makra do domyślnego szablonu Normal.dot, które infekowały kolejne zapisywane dokumenty. Makro było nieszkodliwe. Wyświetlało okno dialogowe z numerem 1. Kod makra zawierał tekst To wystarczy, aby udowodnić moje założenie - stąd wzięła się nazwa Concept.

No i się zaczęło. Concept rozprzestrzenił się na całym świecie w ciągu kilku tygodni. Firmy antywirusowe starały się chronić przed zupełnie nowym sposobem ataku, ale to twórcy wirusów, wspomagani przez szeroko rozpowszechniane w 1996 roku narzędzia do tworzenia makrowirusów byli górą. Po Wordzie przyszedł czas na Excela. Pierwszy zaatakował go Laroux, a następnie ponad 1000 innych makrowirusów.

Microsoft zwiększył bezpieczeństwo w Office 97. Zabezpieczenia te jednak szybko zostały złamane, a wiele starych wirusów przystosowało się do nowego systemu. Było tak aż do czasu, gdy producenci antywirusów zaczęli zdobywać przewagę. Również Microsoft, utrudnił infekcję w Office 2000. Mimo to, ataki makro na Worda i Excela były bardzo częste, aż do czasu zmiany domyślnego formatu plików w Office 2007.

Koniec wieku: ataki komunikacyjne

Wielki czas dla malware'u nadszedł kiedy Chen Ing Hau z Tajwanu stworzony wirusa CIH (Czarnobyl), który przeniósł infekcję ukrywające się na wyższy poziom.

CIH umieszczał się w pliku EXE między głównymi jego częściami. Infekował pliki bez zmiany ich rozmiaru. 26 kwietnia 1999 roku wirus doprowadził do zniszczenia dużej ilości komputerów z Win 95, 98, ME. Przez najbliższe lata, w okolicach 26 kwietnia pojawiały się ostrzeżenia dotyczące możliwego ataku tego wirusa. CIH był bardzo groźny, ale nie rozprzestrzeniał się zbyt szybko.

Kolejny wielki skok w technologii malware to wirus Happy99 (SKA). Infekował program komunikacji Wsock32.dll. Po wysłaniu wiadomości z zainfekowanego komputera, fałszywy Wsock32.dll dostarczał wiadomość, ale potem dodawał jeszcze jedną, pustą wiadomość do tego samego odbiorcy, z załączonym plikiem - zwykle Happy.exe. Po kliknięciu na nim, odbiorca otrzymywał ekran z noworocznymi fajerwerkami i nieprzyjemną infekcję.

Innowacją Happy99 było przejmowanie Wsock32.dll. Dlatego rozprzestrzeniał się tak dobrze. Dodatkowo, Microsoft przestał pokazywać rozszerzenia plików, począwszy od Windows 95, więc większość użytkowników po otrzymaniu pliku Happy99.exe widziała jedynie nazwę Happy99 i klikała na nią.