Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

1987

Tagi:

Pojawił się wirus Vienna: jego pojawienie się oraz globalny zasięg zapoczątkowały gorące debaty, ponieważ społeczność informatyczna usiłowała zidentyfikować twórcę szkodnika. Franz Swoboda jako pierwszy wykrył wirusa: jego ostrzeżenie o wykryciu samoczynnie powielającego się programu o nazwie Charlie zostało nagłośnione przez wiele firm z branży technologii informatycznej i przyciągnęło uwagę mediów. Jak można było się spodziewać, wielu ludzi zaczęło interesować się wykryciem twórcy wirusa i źródła epidemii. Krążyły informacje, że Swoboda otrzymał wirusa od Ralfa Burgera, który jednak zaprzeczał wersji przedstawionej przez Swobodę. Twierdził natomiast, że otrzymał wirusa od Swobody. Ostatecznie nigdy nie dowiedzieliśmy się, kto stworzył ten złośliwy program.

Mimo zamieszania wokół autora wirusa Vienna jego pojawienie się było znamienne z innych powodów. Jeden z jego potencjalnych twórców, Ralf Burger, przesłał kopię wirusa do Bernta Fiksa, który zdołał go zneutralizować. Był to pierwszy taki przypadek. W ten sposób, Bernt Fix stał się prekursorem współczesnych ekspertów z dziedziny programów antywirusowych. Obecnie jednak, oprócz analizowania i neutralizowania wirusów, twórcy oprogramowania antywirusowego zajmują się publikowaniem modułów wykrywania i leczenia.

Burger wykorzystał pracę Fiksa i w swojej książce Computer Viruses: The Disease of High Technology opublikował kod używany do neutralizowania wirusa Vienna. Książka ta była analogiczna do publikacji B. Khizhnyaka Writing Wiruses and Anti-Viruses. Burger wyjaśnił, jak można zmodyfikować kod wirusa, aby nie mógł się rozmnażać. Jednakże, książka prawdopodobnie zyskała popularność z powodu opisu sposobu, w jaki tworzone są wirusy. Stała się inspiracją do stworzenia tysięcy wirusów, które całkowicie lub częściowo wykorzystywały pomysły w niej zawarte.

Tego samego roku pojawiło się również kilka innych wirusów komputerowych atakujących komputery IBM:

  • Sławny wirus Leigh, nazwany tak na cześć uniwersytetu w Pensylwanii, gdzie po raz pierwszy został wykryty; jak na ironię, uniwersytet ten jest alma mater ojca współczesnej wirusologii komputerowej;
  • rodzina wirusów Suriv;
  • liczne wirusy sektora startowego, które pojawiły się w wielu krajach: Yale w Stanach Zjednoczonych, Stoned w Nowej Zelandii, Ping Pong we Włoszech;
  • pierwszy samoszyfrujący się wirus plikowy - Cascade.

Lehigh przeszedł do historii jako ten, który bezpośrednio uszkadzał dane: wirus niszczył informacje na dyskach. Na szczęście, kilku ekspertów komputerowych z Lehigh Univeristy potrafiło analizować wirusy. W rezultacie, wirus nigdy nie przedostał się poza mury uniwersytetu i nigdy nie został wykryty na wolności.

Wirus Lehigh zapoczątkował program niszczycielski, który oprócz cennych danych na koniec usuwał także wirusa. Na początku wirus infekował tylko pliki systemowe command.com. Po zainfekowaniu czterech plików niszczył dane, unicestwiając ostatecznie siebie samego.

Do tego czasu użytkownicy zaczęli poważnie traktować bezpieczeństwo i nauczyli się sposobów ochrony przed wirusami. Ci najostrożniejsi szybko nauczyli się monitorować rozmiar plików command.com, po tym jak dowiedzieli się, że zwiększenie rozmiaru tego pliku było pierwszą oznaką potencjalnej infekcji.

Równie interesująco przedstawiała się rodzina wirusów Suriv (spróbuj przeczytać nazwę od końca) napisana przez nieznanego programistę z Izraela. Tak jak w przypadku wirusa Brain, nie wiadomo, czy był to tylko eksperyment, który wymknął się spod kontroli, czy też celowe stworzenie złośliwego programu. Wielu ekspertów z dziedziny programów antywirusowych twierdziło, że był to eksperyment. Wersję tę potwierdziły odkrycia fragmentów kodu na Yisrael Radai University. Wykazano, ze twórca wirusa próbował zmienić proces instalacji plików w formacie EXE, a ostatnia modyfikacja wirusa była jedynie wersją usuwającą błędy.

Pierwszy członek tej rodziny wirusów, trafnie nazwany przez jego autora Suriv-1, potrafił infekować uruchamione pliki COM w czasie rzeczywistym. W tym celu wirus ładował się do pamięci komputera i pozostawał aktywny do wyłączenia komputera. Pozwalało to wirusowi na przechwycenie operacji plikowych. W przypadku uruchomienia przez użytkownika pliku COM, wirus natychmiast infekował go. Dzięki temu wirus błyskawicznie rozprzestrzeniał się na wymienne nośniki danych.

Suriv-2, w przeciwieństwie do swojego poprzednika, atakował pliki EXE. Był to pierwszy wirus zdolny do przenikania plików EXE. Trzecie wcielenie, Suriv-3, łączyło w sobie cechy pierwszej i drugiej wersji i potrafiło zainfekować zarówno pliki COM, jak i EXE.

Wkrótce pojawiła się czwarta modyfikacja wirusa o nazwie Jerusalem i szybko rozprzestrzeniła się po całym świecie; Jerusalem spowodował w roku 1988 globalną epidemię.

Ostatnim znaczącym wydarzeniem roku 1987 było pojawienie się zaszyfrowanego wirusa Cascade, którego nazwa pochodzi od części jego funkcji dodatkowej. Po uruchomieniu wirusa symbole spływały kaskadowo do dołu ekranu. Wirus składał się z dwóch części - z ciała wirusa i procedury szyfrującej. Drugi składnik szyfrował ciało wirusa, aby w każdym zainfekowanym pliku wyglądało ono inaczej. Po uruchomieniu pliku program szyfrujący przejmował kontrolę, dekodował ciało wirusa i przekazywał mu kontrolę.

Wirus ten uznawany jest za prekursora wirusów polimorficznych, które wykonają swoje funkcje mimo braku stałego kodu programu. W przeciwieństwie do przyszłych wirusów polimorficznych, Cascade szyfrował tylko ciało wirusa. Rozmiar zainfekowanego pliku używany był jako klucz deszyfrujący. Program deszyfrowania pozostał niezmieniony, dzięki czemu współczesne rozwiązania antywirusowe bez trudu wykrywają tego wirusa.

W roku 1988 Cascade spowodował poważny incydent w belgijskim oddziale IBM i stał się impulsem do rozwoju autorskiego produktu antywirusowego. Wcześniej firma IBM tworzyła rozwiązania antywirusowe jedynie do wewnętrznego wykorzystania.

Mark Washburn połączył później informacje, które Ralf Burger opublikował na temat wirusa Vienna, z ideą samoszyfrowania wykorzystaną w wirusie Cascade i stworzył pierwszą rodzinę wirusów polimorficznych: rodzinę Chameleon.

Komputery IBM nie były jedynym celem: ofiarami wirusów padły również komputery Apple Macintosh, Commodore Amiga i Atari ST.

W grudniu 1987 roku miała miejsce pierwsza główna epidemia sieci lokalnych: spowodował ją robak Christmas Tree, który został napisany w języku programowania REXX i rozprzestrzeniał się na systemach operacyjnych VM/CMS-9. Źródłem zapoczątkowanej 9 grudnia epidemii była sieć Bitnet na uniwersytecie w Niemczech Zachodnich, skąd robak przedostał się na portal European Academic Research Network, a następnie do sieci IBM. W ciągu czterech dni (13 grudnia) robak zdołał zalać sieć. Po uruchomieniu wyświetlał na ekranie choinkę i wysyłał własne kopie do wszystkich użytkowników sieci, których adresy znajdowały się w plikach systemowych NAMES i NETLOG.