Oblężenie Windows: 20 lat innowacji malware'u


Cykl życiowy wirusa e-mail takiego jak Melissa

Polecamy:

Zobacz też:

Czarny ekran BubbleBoya

Schemat rozpowszechniania się malware'u ILOVEYOU

Graficzne przedstawienie funkcji i relacji wewnątrz wirusa Sobig.f

David L. Smith z New Jersey, napisał makrowirusa Melissa, który skanował książkę adresową programu Outlook i wysyłał swoje kopie do pierwszych 50 pozycji na liście. Melissa stała się prekursorem wielu przyszłych wirusów generujących spam.

Wirus ten był tak skuteczny, że doprowadził do zamknięcia serwerów Exchange na całym świecie w dniu 26 marca 1999 roku. CERT podaje, że jeden serwer otrzymał 32.000 kopii Melissy w 45 minut. Pan Smith za swoje dokonania odsiedział 20 miesięcy w więzieniu federalnym.

Pod koniec XX wieku, twórcy malware skorzystali z języka Visual Basic Script wykonywanego w Windows Script Host. Miało to im przynieść duże sukcesy w kolejnych latach.

Wirus Bubbleboy wykonał pierwszy udany atak drive-by. Jeśli ktoś wysłał nam zainfekowaną wiadomość, nawet bez załącznika i otworzyliśmy ją w programie Outlook lub Outlook Express to już oznaczało infekcję. Bubbleboy skorzystał ze skłonność HTML i Outlooka do uruchamiania skryptów Visual Basic bez ostrzeżenia.

Outlook używał wtedy Internet Explorera do wyświetlania wiadomości e-mail opartych na HTML. Nawet jeśli nie było tego widać, to IE działał w tle uruchamiając programy VBScript bez zezwolenia.

5 maja 2000 roku uderzył robak ILOVEYOU. Była to niezwykle skuteczna demonstracja socjotechniki, która napędza dzisiejszy malware. Zainfekowany pliku był dołączony do wiadomości o temacie ILOVEYOU. Załącznik był plikiem LOVE-LETTER-FOR-YOU.TXT.vbs. Windows ukrył rozszerzenie pliku vbs, więc wielu ludzi, w tym podobno jedna osoba szczebla kierowniczego z Microsoft, otworzyło załącznik, który wydawał się być plikiem tekstowym.

ILOVEYOU nadpisywał wiele różnych rodzajów plików, a następnie wysyłał swoje kopie do wszystkich z książki adresowej programu Outlook - podobnie jak Melissa. Zainfekował on 50 mln komputerów od 4 do 13 maja 2000 roku.

Wirus ten doczekał się wielu mutacji oraz naśladowców. Podobnie do ILOVEYOU działał wirus Anna Kurnikowa. Jego załącznik AnnaKournikova.jpg.vbs. Sircam natomiast wysyłał zainfekowane wersje plików Worda i Excela z zaatakowanych komputerów. Rozesłał on wiele poufnych informacji, do osób, które nie powinny ich otrzymać.

Początek botnetu

Przedsiębiorczy programiści, którym nie wystarczało rozpowszechnianie malware'u, zapragnęli bezpośredniej kontroli nad systemami Windows za pomocą Internetu.

W grudniu 1999, Brazylijczyk o nicu Vecna uwolnił trojana Babylonia. Wykorzystywał on technikę umieszczania się w pliku, znaną z wirusa CIH oraz podmieniał Winsock tak jak Happy99. Babylonia jednak samoczynnie aktualizowała się przez Internet.

Podobno BackOrifice nie został wymyślony, jako narzędzie ataków na Windows. Oferował jednak taką możliwość w przypadku systemu Windows 95 i 98. Podobnie jak kontrolery botnetu, BackOrifice udostępnia kontrolę zdalną przez Internet. BackOrifice nie jest wirusem, ale może być przyniesiony na komputer przez trojana, a następnie zostać użyty w niecnych celach.

Robak Sobig stworzył pierwszy komercyjny botnet generujący spam. Uczynił to poprzez zainfekowane załączniki wiadomości e-mail. W pewnym momencie 1 na 20 e-mail w Internecie zawierało załącznik Sobig.f. Wirus zbierał adresy z plików zainfekowanych komputerów.