Rok 2004 nie należał do najspokojniejszych, jeżeli weźmiemy pod uwagę zagrożenia internetowe. Często wybuchały epidemie, a my byliśmy świadkami cybernetycznych wojen o bezpieczeństwo naszych danych. Wirusy zaczęły atakować pliki, które dotychczas były uważane za całkowicie bezpieczne. Zmianie uległ także stereotyp hackera. W powstałym zamieszaniu najwięcej czasu i cierpliwości stracili zwykli użytkownicy.

Biorąc pod uwagę dane opublikowane przez twórców darmowego skanera antywirusowego online Panda ActiveScan, najzłośliwszym wirusem roku 2004 był DownloaderGK. Wirus ten zaatakował największą liczbę komputerów tak w Polsce, jak i na całym świecie. Stał się zarazem pierwszym trojanem, któremu udało się rozpowszechnić na taką dużą skalę. Aż do tego momentu w rankingu najbardziej złośliwych wirusów dominowały robaki internetowe.

DownloaderGK stanowił przyczynę 16% wszystkich infekcji wirusowych w Polsce. Do rozprzestrzeniania się potrzebował on pomocy użytkownika instalującego programy typu adware. Jak zatem widać, nie zwracając uwagę na alarmy o nowych rodzajach zagrożeń, stajemy się coraz mniej ostrożni instalując podejrzane i niesprawdzone skanerem antywirusowym programy. Kolejne miejsca w rankingu popularności wirusów w Polsce zajęły Exploit/Mhtredir.gen, Sasser.ftp, Trj/StartPage.FH, W32/Bagle.pwdzip.

Pełny ranking najczęściej spotykanych w roku 2004 wirusów w Polsce i na świecie przedstawiono poniżej.

Polska

Świat

Nazwa wirusa

% infekcji

Nazwa wirusa

% infekcji

Trj/Downloader.GK

16

Trj/Downloader.GK

14

Exploit/Mhtredir.gen

8,21

W32/Netsky.P.worm

6,91

W32/Sasser.ftp

5,7

W32/Sasser.ftp

4,96

Trj/StartPage.FH

5,59

W32/Gaobot.gen.worm

4,31

W32/Bagle.pwdzip

5,47

Exploit/Mhtredir.gen

4,25

VBS/Redlof.A

4,93

W32/Netsky.D.worm

3,96

W32/Gaobot.gen.worm

3,55

Trj/Downloader.L

3,54

W32/Parite.B

3,55

Trj/Qhost.gen

3,48

Trj/Qhost.gen

2,75

Trj/StartPage.FH

3,35

W32/Netsky.C.worm

2,69

Łączna liczba komputerów przeskanowanych oprogramowaniem Panda ActiveScan w Polsce wyniosła 255834. Łączna liczba komputerów przeskanowanych oprogramowaniem Panda ActiveScan na świecie wyniosła 6488814.

Największym niszczycielem 2004 roku uznano wirusa Sassem. Był on powodem najpoważniejszej w dziejach Internetu epidemii. Doprowadzał on miliony użytkowników do szału niekontrolowanymi restartami systemu, czym unieruchomił wiele komputerów. Jedyną pocieszającą wiadomością jest fakt, że organom ścigania udało się złapać autora wirusa i odpowie on przed sądem za spowodowane zniszczenia. Popularnym wirusem był także sławny Mydłom, który zajął ze swoją notą 2.53% dopiero 15 miejsce biorąc pod uwagę ilość spowodowanych na świecie infekcji.

Rok 2004 minął zatem pod znakiem Trojanów. Trojan po raz pierwszy wygrał tak wyraźnie generalną klasyfikację podsumowania rocznego wszystkich infekcji. Od momentu, w którym Downloader.GK pojawił się po raz pierwszy, czyli w czerwcu roku 2004, spowodował ogromną ilość infekcji, dzięki czemu zepchnął na drugi plan dotychczasowych liderów, jeśli chodzi o masowe infekcje, czyli robaki internetowe. Spośród przedstawionego rankingu, aż cztery pozycje zajmują trojany. W roku 2003 zajmowały one dwie pozycje, natomiast w roku 2002 tylko jedną. Należy się spodziewać, że w przyszłych latach liczba infekcji tego typu znacznie wzrośnie. Godnym uwagi jest stała pozycja wśród rankingów robaków internetowych typu W32/Netsky.B.worm, które występują również w odmianach D oraz P. Posiadają one wszystkie bardzo podobne cechy i roznoszą się one przez pocztę elektroniczną.

Podstawowym zagrożeniem, które wręcz zachęca twórców wirusów do ich wykorzystywania, stanowią luki w oprogramowaniu, zwłaszcza systemu operacyjnego Windows. Cztery spośród złośliwych kodów wymienionych w rankingu do rozprzestrzeniania się wykorzystują luki w systemie operacyjnym i aplikacjach. Nie sposób nie zauważyć, jak łatwą i popularną jest właśnie ta metoda infekowania komputerów, skoro cztery wirusy są nadal powodem licznych ataków. W pewnym sensie winni sobie są sami użytkownicy, którzy zwlekają z aktualizacją swoich systemów, natomiast twórcy wirusów bezwzględnie to wykorzystują.

Rok 2004 to rok, w którym liczba dokonywanych przestępstw komputerowych oraz zainfekowanych komputerów znacznie wzrosła. Zwiększyła się również ilość oszustw i prób wykradania danych kont bankowych. Zmienił się również wizerunek hackera. Do tej pory wyobrażaliśmy go sobie jako zbuntowanego, młodego, zdolnego człowieka. W tym momencie inspiracją dla twórców wirusów stały się pieniądze oraz wykradanie wielu poufnych informacji w celach zarobkowych. To, co kiedyś było jedynie teorią w tym momencie stało się rzeczywistością. Słyszy się już o pierwszych wirusach atakujących telefony komórkowe. Co prawda są one jak na razie niezbyt groźne, jednak cała przyszłość przed nimi.

Bardzo często, gdy mówimy o wirusach komputerowych słyszymy określenia: wielkie straty, szkody, epidemia. Zapomnijmy jednak o statystykach i spróbujmy spojrzeć z innej strony na nasz problem. Zobaczmy, czym dokładnie wyróżniły się w mijającym roku złośliwe kody oraz co wpłynęło na tak dużą popularność części z nich.

ATAKI ROKU 2004

Najsławniejszy atak

Największą rolę wśród tych ataków odegrał na pewno wirus Mydoom.A. W momencie rozprzestrzenienia epidemii dane statystyczne pokazały, że na każde cztery maile, które krążyły w ówczesnym czasie w Internecie, jeden z nich zainfekowany był wirusem. Metoda stosowana przez Mydoom.A była niezwykle prosta i skuteczna. Ukrywał się on zawsze pod postacią wiadomości generowanej automatycznie przez serwer, która informowała o zaistnieniu błędu. Oprócz Mydoom.A popularnymi robakami stały się również Mitglieder, Deadhat oraz Doomjuice. Dzięki odpowiedniemu wykorzystaniu tworzonych przez Mydoom.A tylnich furtek, udało im się dotrzeć do systemu, czyniąc przy tym ogromne spustoszenie. Tym sposobem pojedynczy wirus stał się przyczyną infekcji trwającej wiele tygodni. Pomimo faktu, że Sassem spowodował więcej zniszczeń, szybkość rozprzestrzeniania oraz paraliż sieci spowodowane przez wirus Mydoom.A przyniosły sławę temu drugiemu.

Charakterystyka wirusa: Worm.Mydoom.A

Typ: robak

Długość kodu: 22528

Niszczący pliki: nie

Niszczący dyski: nie

Efekty dźwiękowe: nie

Efekty wizualne: nie

Działanie robaka internetowego Mydoom.A polegało na rozsyłaniu przy pomocy poczty elektronicznej własnych kopii oraz stwarzało możliwość przejęcia kontroli nad systemem operacyjnym zainfekowanego komputera. Robak umożliwiał przeprowadzenie ataku rodzaju Denial of Service.

Zazwyczaj robak ten pojawiał się na komputerze swojej ofiary w postaci załącznika do listu elektronicznego, którego parametry były następujące:

Jeden z poniższych tematów:

test

hi

Mail Transaction Failed

Mail Delivery System

hello

Status

Server Report

Error

Jedna z poniższych treści:

Mail transaction failed. Partial message is available.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

The message contains Unicode characters and has been sent as a binary attachment.

Jedna z poniższych nazw Załącznika:

dokument

doc

readme

file

text

test

data

W momencie uruchomienia przez użytkownika pliku dołączonego w załączniku, na dysku twardym, w katalogach zależnych od wersji systemu: C:WINDOWSSYSTEM, C:WINDOWSSYSTEM32 lub C:WINNTSYSTEM32, zostały tworzone pliki shimgapi.dll oraz taskmon.exe, które modyfikowały rejestr systemu Windows w ten sposób, aby kopia wirusa była automatycznie uruchamiana za każdym razem, gdy uruchamiamy system Windows. Należy oczywiście nie mylić pliku taskmon.exe, który jest standardowym komponentem systemu Windows i znajduje się w zależnym od wersji systemu katalogu: C:WINDOWS lub C:WINNT. Plik tworzony przez robaka posiada taką samą nazwę, umieszczany jest jednak w innym katalogu. Robak po uruchomieniu rozpoczyna wyszukiwanie adresów poczty internetowej, znajdujące się w plikach o rozszerzeniu htm, sht, php, pl, wab, txt, tbb, adb, asp, dbx, a następnie wysyła pod znalezione adresy, przy pomocy poczty elektronicznej, swoje kopie. Także adres nadawcy może być jednym z adresów odnalezionych w plikach o podanych rozszerzeniach. Wysyłanie poczty jest możliwe dzięki własnemu silnikowi serwera SMTP. Poza opisywaną działalnością, robak pozwalał na nieautoryzowany dostęp do zarażonego komputera, czekając ciągle na połączenia z portów od 3127 do 3198. Oprócz tego robak zawierał procedurę ataku rodzaju Denial of Service, która została aktywowana dnia 1 lutego 2004 roku.

Najbardziej oryginalny robak

Bardzo trudno o jednoznaczny wybór w tej kategorii. Na pewno uznanie wzbudził robak Noomy.A, który potrafił konstruować specjalne strony WWW, a następnie rozsyłał przez czat wiadomości udając zwykłego człowieka. Nie spowodował on światowej epidemii, jednak ze względu na swoje zaawansowanie techniczne, stanowi jeden z wyróżniających się wirusów 2004 roku. Noomy.A potrafił rozprzestrzeniać się przy pomocy kanałów IRC oraz poczty elektronicznej.

Najpierw opisana została procedura rozprzestrzeniania przy użyciu poczty elektronicznej.

Jeden z poniższych tematów:

Don't spam!!!!

Bad Request Server not found!

Przesyłana wiadomość: zmienna

Nazwa i rozszerzenie załącznika: zmienne

Sposób infekcji:

Infekcja ma miejsce po otwarciu załącznika.

Noomy.A przeszukuje adresy e-mail zawarte w plikach o rozszerzeniach HTM, HTML, PHP i DBX.

Noomy.A samodzielnie się rozsyła dzięki wykorzystaniu własnego mechanizmu SMTP.

Procedura rozprzestrzeniania przy użyciu kanałów IRC.

Sposób infekcji:

Noomy.A instaluje na zarażonym komputerze swój własny serwer HTTP.

Następnie wirus rozsyła wiadomość wykorzystując kilka spośród kanałów IRC.

Wiadomość zawiera w sobie link, łączący użytkownika do serwera HTTP znajdującego się na już zainfekowanym komputerze.

W momencie, gdy użytkownik kliknie na link, otwierana jest strona www, z której może zostać pobrana kopia robaka. Robak korzysta z kilku arkuszy stylów, aby ciągle zmieniać wygląd swojej strony.

Infekcja ma miejsce wtedy, gdy użytkownik ściągnie z otwartej strony odpowiedni plik i uruchomi go.

Objawy i działanie wirusa Noomy.A:

Wirus łączy się z pewnymi stronami WWW, w celu wysłania informacji o zainfekowanym komputerze. Wysyłane są data systemowa, informacja o dostępności pliku MSWINSCK.OCX oraz nazwa utworzonego serwera SMTP i nazwa użytkownika wykorzystywanego w programie Outlook. Następnie przeprowadzany jest atak Denial of Service przeciwko następującym witrynom internetowym:

  • www.microsoft.com
  • www kaspersky.com
  • www.sophos.com

Jeżeli plik MSWINSCK.OCX nie został odnaleziony na komputerze ofiary wirus próbuje go ściągnąć z którejś z poniższych stron:

  • http://www.webmaxx.nl
  • http://caraastuce123.free.fr
  • http://home.conceptsfa.nl
  • http://utenti.lycos.it
  • http://www.prorealtime.com
  • http://www.aasportsware.com
  • http://www.sharemation.com
  • http://www.non-ice.com
  • http://www.bluehill.com

Po pierwszym uruchomieniu wirusa, wyświetlany jest poniższy komunikat:

CRC error: 5418#223 Close file

Noomy.A napisano w języku programowania Visual Basic. Zajmuje on 88,576 bajtów i jest skompresowany za pomocą UPX.

Najbardziej gadatliwy wirus

Zdecydowanym liderem na rynku wirusów, jeśli chodzi o gadatliwość jest turecki wirus Amus.A. Wykorzystywał on mechanizmy syntezy mowy zaimplementowane standardowo w systemach Windows XP. Ogłaszał on dosłownie całemu światu swoją obecność.

Nazwa wirusa: Worm.Amus.A

Typ: robak

Długość kodu: 51782

Niszczący pliki: nie

Niszczący dyski: nie

Efekty dźwiękowe: nie

Efekty wizualne: nie

Amus.A to robak internetowy, którego działanie polegało na rozsyłaniu własnych kopii przy pomocy poczty elektronicznej. Zazwyczaj robak pojawiał się w komputerze ofiary pod postacią załącznika do listu elektronicznego, posiadającego poniższe parametry.

Temat listu: Listen and Smile

Treść listu: Hey. I beg your pardon. You must listen.

Nazwa załącznika: Masum.exe

W momencie uruchomienia przez użytkownika robak tworzył na dysku swoją kopię znajdującą się w pliku KdzEregli.exe, a następnie modyfikował odpowiednio zawartość rejestru tak, aby jego kopia uruchamiała się automatycznie wraz z każdym startem systemu Windows. Robak tworzył swoje dodatkowe kopie także w innych plikach, których nazwy są następujące: pire.exe, pide.exe, messenger.exe, cekirge.exe, _pictures.exe, meydanbasi.exe, adapazari.exe, masum.exe, myanti_virus.exe, ankara.exe. Na zakończenie swojego działania robak rozsyłał swoje kopie przy pomocy poczty elektronicznej, do każdego ze znalezionych w książkach adresowych programów pocztowych systemu Windows adresatów.

Najbardziej muzykalny wirus

Do bardzo muzykalnych wirusów zaliczają się z pewnością odmiany robaka Netsky, które potrafią uruchomić na zainfekowanym komputerze melodię trwającą nawet trzy godziny.

Nazwa wirusa: Worm.Netsky

Typ: robak

Długość kodu: 21504

Niszczący pliki: nie

Niszczący dyski: nie

Efekty dźwiękowe: tak

Efekty wizualne: nie

Netsky to robak internetowy, którego działanie polegało na rozsyłaniu własnych kopii przy pomocy poczty elektronicznej. Umieszczał on również wiele swoich kopii w folderach przypominających swoimi nazwami foldery programów służących do wymiany plików poprzez Internet. Zazwyczaj pojawiał się na komputerze swojej ofiary jako załącznik do listu elektronicznego, którego parametry były następujące.

Nadawca listu:

Ebay Auctions

Amazon automail

Yahoo Auctions

QXL Auctions

MSN Auctions

EBay Auctions

Temat listu: Auction successful!

Treść listu:

#----------------- message was sent by automail agent ------------------#

Congratulations!

You were successful in the auction.

Auction ID :[4 losowe znaki]-[4 losowe znaki]-[4 losowe znaki]-A

Product ID :[4 losowe znaki]-[4 losowe znaki]-[4 losowe znaki]-P

A detailed description about the product and the bill are attached to this mail. Please contact the seller immediately.

Thank you!

Nazwa załącznika:

prod_info_55761.rtf.exe.zip

prod_info_33543.rtf.scr.zip

prod_info_65642.rtf.scr.zip

prod_info_33325.txt.exe.zip

prod_info_56474.txt.exe.zip

W momencie uruchomienia przez użytkownika pliku znajdującego się w załączniku robak tworzył na dysku swoją kopię w pliku c:windowsservices.exe lub c:winntservices.exe, zależnie od posiadanego systemu. W następnej kolejności odpowiednio modyfikował w ten sposób zawartość rejestru, aby uruchamiać swoją kopię przy każdym uruchomieniu systemu Windows. Kolejnym szkodliwym działaniem robaka było usunięcie z klucza rejestru HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun wpisów o nazwach Explorer, Taskmon, System, KasperskyAV. Robak tworzył również na dysku szereg własnych kopii w postaci skompresowanych archiwów zip. Potem robak rozsyłał swoje kopie przy pomocy poczty elektronicznej do każdego z adresatów znalezionego w plikach z rozszerzeniami msg, oft, sht, wab, asp, uin, html, htm, pl, dbx, tbb, adb, doc, rtf, vbs, php, txt, eml. Wykorzystywał w tym celu własne mechanizmy SMTP. Na zakończenie swojego działania wirus tworzył swoje kopie w każdym katalogu, zawierającym w swojej nazwie wyraz Share, który najczęściej zawiera udostępniane w sieci programy i pliki. Nazwy udostępnianych i zainfekowanych plików wyglądały następująco:

  • doom2.doc.pif
  • rfc compilation.doc.exe
  • sex sex sex sex.doc.exe
  • win longhorn.doc.exe
  • dictionary.doc.exe

Wirus nieśmiałek

Tytuł ten przypada robakowi o nazwie Bagle, który swego czasu rozprzestrzeniał się w pliku zip zabezpieczonym hasłem, nie ujawniając przy tym swojej obecności przy skanowaniu. Strategia ta była stosowana przez wiele innych złośliwych kodów, jednak to właśnie jemu udało rozprzestrzenić się w największym stopniu.

Poliglota, czyli wirus na każdą okazję

Jednym z wirusów, którego jego ofiary z pewnością zapamiętają jest Zali.D. W zasadzie wygrał on w dwóch kategoriach: mówił w rozmaitych językach i wiedział, jakie życzenia należy złożyć w kilku szczególnych dniach w roku, takich jak święta, czy walentynki.

Nazwa wirusa: Worm.Zafi.D

Typ: robak

Niszczący pliki: nie

Niszczący dyski: nie

Efekty dźwiękowe: nie

Efekty wizualne: nie

Zafi.D to robak internetowy, który rozprzestrzenia się przy pomocy poczty elektronicznej i dzięki programom służącym do wymiany plików poprzez Internet. Zapewniał on również nieautoryzowany dostęp do komputera swojej ofiary. Zazwyczaj robak pojawiał się na komputerze swojej ofiary pod postacią załącznika do listu elektronicznego, którego parametry prezentowały się następująco:

Nadawca listu: [jakiś fałszywy adres]

Jeden z poniższych tematów listu:

Merry Christmas!

Feliz Navidad!

boldog karacsony...

Joyeux Noel!

Prettige Kerstdagen!

Buon Natale!

Jedna z poniższych treści listu:

Happy HollyDays! :)

Feliz Navidad! :)

Kellemes Unnepeket! :)

God Jul! :)

Glaedelig Jul! :)

Iloista Joulua! :)

Wesolych Swiat! :)

Naulieji Metai! :)

Fröhliche Weihnachten! :)

Veselé Vánoce! :)

Prettige Kerstdagen! :)

Buon Natale! :)

Joyeux Noel! :)

Nazwa załącznika: [losowa nazwa].[ com, pif, zip, bat, cmd]

W momencie uruchomienia przez użytkownika pliku znajdującego się w załączniku robak tworzył na dysku swoją kopię, która posiadała losową nazwę, oraz modyfikował odpowiednio rejestr w taki sposób, aby możliwe było automatyczne uruchomienie tej kopii przy każdym rozruchu systemu Windows. Oprócz tego robak tworzył również swoje kopie w katalogach o nazwach zawierających wyraz share. Katalogi te zwykle służą do udostępniania programów umożliwiających wymianę plików w Internecie. Poszczególne kopie robaka były tworzone w plikach pod nazwami: ICQ 2005a new!.exe oraz winamp 5.7 new!.exe. Robak posiadał funkcję wyłączenia niektórych popularnych monitorów programów antywirusowych ( polski program mks_vir wyłączany nie był ), a także licznych narzędzi diagnostycznych, w które wyposażony jest system Windows. Kolejnym przejawem działalności wirusa jest funkcja konia trojańskiego, dzięki prowadzeniu nasłuchu na porcie 8181. Dzięki otwartemu portowi, możliwe stało się przejęcie kontroli nad danym komputerem przez sieć internetową. Na zakończenie swojej działalności robak rozsyłał swoje kopie przy pomocy poczty elektronicznej pod każdy adres znaleziony w książkach telefonicznych programów systemu Windows oraz pod adresy znalezione w plikach o rozszerzeniach: dbx, tbb, asp, htm, wab, txt, mbx, eml, pmr, fpt, inb, php, sht, adb.

Świntuch roku

Pornografia nie była zbyt często wykorzystywana w roku 2004, jeśli chodzi o wirusy komputerowe. Można znaleźć jednak jeden wyjątek - wirus Tasin.C, który potrafił ściągać niecenzuralne obrazki pewnej gwiazdy hiszpańskiej na zainfekowany komputer. Tasin.C rozprzestrzeniał się przy pomocy poczty elektronicznej, której treść była zapisana w języku hiszpańskim i ciągle się zmieniała.

Jeden z poniższych tematów listu:

re:xD no me lo puedo creer!!!

re:Amor verdadero

re:Crees que puede ser verdad?

Jedna z poniższych treści listu:

Crees en el amor de verdad?,miralo y ya hablamos,ciaooo

No veas que cosas xD,luego me cuentas,chao.

Jeden z poniższych załączników

D-INCÓGNITO.ZIP

LOVE-ME.ZIP

EL_RECHAZO.ZIP

MY LIFE(MI VIDA).ZIP

MOON(LUNA).ZIP

PARA-BRISAS.ZIP

PSÍQUICO-MIX.ZIP

PLANETARIO.ZIP

VOODOO!.ZIP

RIMAZ.ZIP

Komputer zarażał się wirusem po otwarciu przez użytkownika załącznika. Tasin.C automatycznie rozsyłał się przez pocztę elektroniczną dzięki własnemu protokołowi SMTP. Tasin.C po uruchomieniu usuwał wszystkie znalezione pliki o rozszerzeniach: BDSPROJ, BMP, CPP, ASM, ASP, CS, DPR, FRM, GIF, CSPROJ, CSS, DOC, JPEG, JPG, MDB, HTM, HTML, MP3, PDF, PHP, PPT, NFM, NRG, PAS, REG, RESX, RPT, PCX, RC, RC2, VB, VBP, VBPROJ, WAV, XLS. SLN oraz TXT. Następnie wirus próbował ściągnąć z Internetu odpowiednią bibliotekę DLL. W czasie swojego działania otwierał okno przeglądarki Internet Explorer wchodząc na stronę zawierającą zdjęcia pornograficzne. Tasin.C tworzył swoje kopie o nazwach PAULA.PIF i SVCHOSL.PIF w katalogu systemowym Windows. Tworzony był również w katalogu systemowym plik COMMAND.PIF, którego zadaniem było pobranie z Internetu biblioteki o nazwie MSVBVM60.DLL. Plik M.ZIP tworzony w katalogu Windows stanowił kopię robaka skompresowaną przy pomocy formatu ZIP. Plik SS.EXE który wirus tworzył w katalogu systemowym Windows zakwalifikowany został jako Beeper / Joke. Kolejne pliki tworzone przez wirus w katalogu Windows: SW.EXE, SX.EXE i SZ.EXE są programami pracującymi jako lokalne serwery SMTP, dzięki czemu możliwe jest rozsyłanie robaka przy pomocy poczty elektronicznej. W katalogach dysków lokalnych o literach C, D, E i F tworzone były pliki RD2_ROBERTO.PIF, SYMBOLIC3.PIF, P, PAGE, PHT003.PIF, CODM, EXTASIS8.PIF, INZAE.PIF. Tasin.C dodawał również do rejestru systemowego Windows poniższy wpis:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Svchosl = %sysdir%svchosl.pif

%sysdir% to katalog, w którym zainstalowano system Windows. Dzięki temu wpisowi możliwa stała się praca wraz z uruchomieniem systemu Windows. Robak Tasin.C napisano w języku C++ i posiada on rozmiar 50,832 bajtów. Skompresowano go przy pomocy programu FSG.

Najczęściej powracający wirus

Kategoria ta powinna być w zasadzie poświęcona twórcom wirusów, nie zaś kodom, które stworzyli. Wirus o nazwie Gaobot powracał ciągle w ciągu roku w prawie 2000 wersjach.

Nazwa wirusa: Worm.Gaobot

Typ: robak

Długość kodu: 207872 bajty

Niszczący pliki: nie

Niszczący dyski: nie

Efekty dźwiękowe: nie

Efekty wizualne: nie

Gaobot to robak internetowy, którego zadaniem jest rozprzestrzenianie się przez dziurę w systemach Windows, identyczną z jakiej korzystał wirus Blaster. Aktywny robak tworzył w systemie swoją własną kopię znajdującą się w pliku o nazwie regloadr.exe, a także odpowiednio modyfikował zawartość rejestru, aby jego kopia została automatycznie uruchomiona wraz z każdym startem systemu Windows. Działanie robaka polegało na wyłączeniu popularnych monitorów programów antywirusowych oraz firewalli pracujących w tle, również w tym wypadku polski program mks_vir nie był wyłączany. W następnej kolejności robak łączył się z pewnym kanałem IRC, gdzie nasłuchiwał komend wydawanych przez swojego autora, dzięki czemu możliwe stało się przejęcie kontroli nad systemem operacyjnym zarażonego komputera. Oprócz tego wirus potrafił rozprzestrzeniać się dzięki znanemu błędowi systemów Windows, który umożliwiał instalację zdalną pliku w systemach niezabezpieczonych oraz w sieciach lokalnych, w których robak starał się odgadnąć hasło, którym zabezpieczone są poufne zasoby. Oprócz opisanych działań wirus starał się wykraść numery seryjne następujących gier komputerowych:

Soldier of Fortune II - Double Helix

Nox

Neverwinter Knights

Tiberian Sun

Red Alert

Red Alert 2

Project IGI 2

Battlefield 1942

Battlefield 1942 The Road to Rome

Battlefield 1942 Secret Weapons of WWII

Command & Conquer Generals

Rainbow Six III RavenShield

Nascar Racing 2002

Nascar Racing 2003

NHL 2002

NHL 2003

FIFA 2002

FIFA 2003

The Gladiators

Need For Speed Hot Pursuit 2

Heroes of Might and Magic

Unreal Tournament 2003

Half-Life

Counter-Strike

Wirus Schizofrenik

Wirus Bereb.C stosował aż 442 różne nazwy plików pod którymi występował w sieciach peer to peer. Być może nawet jego autor nie potrafi sobie przypomnieć jego prawdziwej nazwy. W celu rozprzestrzeniania się przez sieć peer to peer Bereb.C tworzył następujące foldery: C:WINDOWSSYSDLL oraz C:WINDOWSSTARTRWIN. W celu udostępniania ich użytkownikom programu WinMX dokonuje modyfikacji pliku LIBRARY.DAT.

Udostępnione kopie Bereb.C posiadają następujące nazwy:

AbsoluteFTP Crack.exe

AbsoluteFTP.exe

AbsoluteFTP Keygen.exe

Acrobat Reader 5.1.exe

Ad-Aware Retail Crack.exe

AD Remover.exe

Ad-Aware Retail.exe

Clone CD 4.0.1.3.exe

clonecd + crack.exe

Clone CD 4.0.exe

CloneCD 3.3.4.1 .exe

Coffe Cup 9.3.exe

clonecd all-versions key generator.exe

oraz wiele innych

Najważniejsze kryterium dala wyszukiwania plików przy pomocy programów peer to peer stanowi nazwa pliku, dlatego istnieje ryzyko, że osoby szukające programów o nazwach wymienionych wyżej padną ofiarą robaka. Bereb.C umożliwiał hackerom uzyskanie dostępu do zarażonych komputerów przy pomocy kanału IRC. Wirus rozprzestrzeniał się korzystając z pośrednictwa programu służącego do bezpośredniej wymiany plików o nazwie WinMX. Po zainfekowaniu komputera wirus natychmiast nawiązywał połączenie z siecią oraz rozsyłał informację o zarażeniu danego komputera oraz o jego dostępności dla hackerów. Bereb.C był trudny do rozpoznania, ponieważ nie informował swoim działaniem o tym, że komputer jest zarażony jakimś wirusem. Poza wymienionymi wcześniej folderami Bereb.C tworzył na zarażonym komputerze, w katalogu C:Windows, pliki o następujących nazwach SVCKERNELL.COM i TASKMGR.COM. Aby za każdym razem kiedy system Windows jest uruchamiany, uruchamiać również wirusa, Bereb.C dodawał do rejestru w kluczu HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun wpis o następującej treści: Taskmanager = C:Windows askmgr.com. W przypadku użycia drugiego pliku klucz rejestru wyglądał następująco: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices, natomiast wpisana do niego wartość prezentowała się w ten sposób: Svckernell = c:windowssvckernell.com.

Najgrzeczniejszy wirus

W kategorii najgrzeczniejszego wirusa można wyróżnić trzy szkodniki: Harnig.B, Multidropper.AM oraz StartPage.AV. Każdy z nich posiadał wbudowaną ciekawą funkcję powiadamiającą użytkownika o udanej infekcji jego komputera.

Robin Hood

Wśród wirusów można też wyróżnić Robin Hooda, którym nazywany jest robak Nachi. Pojawiał on się w dwóch odmianach i był również znany jako Doomhunter. Jego zadaniem było polowanie na robaki Doomjuice, Blaster oraz Mydoom. Pomimo, że sam był wirusem starał się oczyścić Internet ze swoich dużo groźniejszych kuzynów. Dzięki odpowiednim wykorzystywaniu luk w oprogramowaniu systemowym tępił wirusy o podanych nazwach oraz przygotowywał system na przyjęcie zupełnie nowej infekcji.

WYDARZENIA 2004 ROKU

Wojna cybernetyczna

W literaturze science - fiction od wielu lat opisywane są tak zwane cyberwojny, prowadzone w wirtualnym, targanym konfliktami, świecie. W roku 2004 społeczeństwo internetowe było świadkiem pierwszej potyczki między popularnymi wirusami, którą zainicjowali ich twórcy. Niestety dzięki niezdrowej konkurencji doprowadzili do powstania wielu groźnych wirusów, które zainfekowały miliony komputerów na całym świecie. Za sprawą tej wojny powstały wirusy tak znane jak Netsky, Bagle, czy Mydoom. Naprawdę trudno określić, po stronie którego wirusa leżała ostateczna wiktoria. Najwięcej na tej wojnie stracili naturalnie niewinni użytkownicy.

LSASS - wielka dziura 2004 roku

LSASS, która stanowi lukę w systemie Windows, została uznana za dziurę 2004 roku. Stało się tak za sprawą robaka Sassem, który umiejętnie wykorzystywał ją do rozprzestrzeniania się i restartowania zainfekowanych komputerów. Dzięki takiej działalności wszedł on w skład niesławnego klubu wirusów, które wykorzystują luki w oprogramowaniu. W podobny sposób atakowały wirusy Klez.1, dzięki luce Iframe, oraz Blaster, dzięki luce RPC DCOM, które przez stosunkowo długi czas atakowały w niezauważony sposób. Historia dowiodła, że lubi się powtarzać, nawet w przypadku bardzo szybkiego publikowania poprawek: Bobax, Cycle, Korgo, Kibuv, Plexus.

Atakowanie innych platform przez wirusy

Jeszcze do niedawna platformy sprzętowe inne od komputerów PC nie były narażona na infekcje wirusowe. Pomimo licznych prób ze strony pracowitych programistów nie udało się wywołać żadnej epidemii. W roku 2004 wirusy uderzyły jednak w nowe 64 bitowe systemy operacyjne, przykładem takiego wirusa jest Shruggle.1318, oraz w platformę WinCE OS - wirusy Brado.A oraz Duto.1520, różnego typu przenośne urządzenia, nawet w telefony komputerowe wyposażone w system Symbian - wirusy Skulls.A Cabir.A oraz Toquimos.A.

Twórcy wirusów komputerowych wielokrotnie ukrywali swoje pociechy w plikach uznawanych powszechnie za zupełnie nieszkodliwe. Kryły się one nawet w plikach multimedialnych i obrazach. Wydawać by się mogło, że stworzenie obrazka infekującego komputer jest niemożliwe. Istnieje jednak możliwość wykorzystania luki znalezionej w kodzie odpowiedzialnym za dekodowanie grafiki do przemycenia kodu wirusa wraz z plikiem JPEG. Skutkiem tego stanu rzeczy jest powstawanie coraz to nowych wirusów tego typu, do przykładowych należą JPGTrojan.ęto oraz JPGDownloader.

Do najbardziej znanych programów antywirusowych nalezą:

  • Anti Viren Kit produkcji firmy G Data Software
  • AVAST! produkcji firmy ALWIL Software
  • AntiVir Personal Edition produkcji firmy H BEDV Datentechnik
  • AVG produkcji firmy Grisoft
  • Dr. Web produkcji firmy DialogueScience Ltd.
  • Clam AV na licencji GNU GPL
  • eTrust InoculatelT produkcji firmy Network Associates
  • ESafe Protect Desktop produkcji firmy ESafe
  • F-Secure produkcji firmy F-Secure Corporation
  • F-Prot Antivirus produkcji firmy Frisk Software
  • Kaspersky Anti-Virus produkcji firmy Kaspersky Lab
  • Mks_Vir produkcji firmy MKS
  • McAfee Virus Scan produkcji firmy Network Associates
  • Norman Virus Control produkcji firmy Norman ASA
  • NOD32 produkcji firmy Eset
  • Norton Antivirus produkcji firmy Symantec
  • Panda Antivirus produkcji firmy Panda Software
  • Open AntiVirus na licencji GNU GPL
  • PC-Cillin produkcji firmy Trend Micro
  • Sophos Anti-virus produkcji firmy Sophos
  • RAV AntiVirus produkcji firmy GeCAD Software

Jak bronić się przed wirusami komputerowymi?

Poniżej wyszczególnione są rady, których należy przestrzegać, aby zminimalizować ryzyko zainfekowania swojego komputera przez wirus komputerowy:

  • Należy każdą do domu lub biura dyskietkę i płytę CD zaraz po włożeniu do napędu sprawdzić programem antywirusowym.
  • Nie należy instalować pirackiego oprogramowania, gdyż istnieje wielkie prawdopodobieństwo że sprytni programiści ukryli we wnętrzu różnego rodzaju robaki.
  • Należy możliwie jak najszybciej aktualizować swoje programy, gdyż często odkrywane są w nich luki, które mogą być wykorzystywane przez wirusy do zaatakowania komputera. Dotyczy to zwłaszcza aktualizacji systemów operacyjnych oraz programów antywirusowych.
  • Nie wolno otwierać załączników dołączonych do listów przesyłanych pocztą elektroniczną, bez uprzedniego ich sprawdzenia. Dotyczy to zwłaszcza listów nieznanego pochodzenia.
  • Przed uruchomieniem należy sprawdzić programem antywirusowym pliki oraz programy otrzymywane przez messangery lub klienty IRC od nieznanych osób.
  • Nasz system operacyjny powinien mieć zainstalowany cieszący się powszechnym uznaniem program antywirusowy.
  • Baza wirusów programu antywirusowego powinna być aktualizowana przynajmniej raz na tydzień.