Najsłynniejsze i najbardziej szkodliwe wirusy w historii IT

Pamiętam, jakby zdarzyło się to wczoraj. Zajęcia informatyczne w szkole podstawowej, stare 286 stoją w niewielkiej sali, a matematyczka chodzi od jednego do drugiego i zmienia daty w systemie DOS. Nie wiem, czy jej obawy były uzasadnione, ale panika z 1992 r. była wszechobecna. Co ją spowodowało? Oto najciekawsze wirusy w historii IT.

Pamiętam, jakby zdarzyło się to wczoraj. Zajęcia informatyczne w szkole podstawowej, stare 286 stoją w niewielkiej sali, a matematyczka chodzi od jednego do drugiego i zmienia daty w systemie DOS. Nie wiem, czy jej obawy były uzasadnione, ale panika z 1992 r. była wszechobecna. Co ją spowodowało? Oto najciekawsze wirusy w historii IT.

Michał Anioł

Opisywany w otwarciu wirus to oczywiście Michał Anioł. Miał być wszędzie, miał kasować systemy operacyjne, wpływać na zawartość dyskietek i być supergroźny. Niewiele osób o tym wiedziało, ale Michał Anioł aktywował się tylko 6 marca, więc ryzyko awarii było zerowe, gdy komputery pozostawały wyłączone tego dnia lub gdy data została ręcznie zmieniona z np. 5 marca na 7 marca.

W przypadku uruchomienia komputera zarażonego wirusem Michelangelo nadpisywał sektory startowe dysku (także FAT), co dość skutecznie niszczyło strukturę danych. W tamtym czasie ich odtworzenie było praktycznie niemożliwe.

Efekty działalności Michelangelo były znikome. Awarii uległo jedynie kilka tysięcy maszyn na całym świecie, a stopień rozprzestrzenienia się wirusa był o wiele mniejszy, niż przypuszczano. Można wręcz uznać, że Michelangelo wyrządził więcej dobrego niż złego, bo na fali jego sławy powstało kilka firm zajmujących się produkcją oprogramowania antywirusowego

Działał tylko na systemie TENEX i infekował komputery DEC PDP-10 poprzez sieć ARPANET. Chwilę po zainfekowaniu system wyświetlał następujący komunikat:

I'm the creeper, catch me if you can!

Aby usunąć bezpowrotnie Creepera i jego klony, należało wgrać aplikację Reaper, której jedynym celem było wyeliminowanie kreacji Boba.

Trojan rozprzestrzeniał się praktycznie wszędzie tam, gdzie użytkownicy mieli nakładające się na siebie uprawnienia. Także wymiana taśm powodowała infekcję. PERVADE nie powodował szkód i tak też został napisany. Miał być jedynie ciekawostką programistyczną ukazującą możliwości replikacji programu.

Elk Cloner

Przeskakujemy do roku moich narodzin i poznajemy wirusa, który spowodował pierwszą pokaźną epidemię. Elk Cloner został napisany (o ironio...) na system Apple II przez Richarda Skrenta. Apple II prosił się o tego typu szkodnika, bo system operacyjny przechowywany był na dyskietce, czyli bardzo wdzięcznym nośniku dla wszelakich wirusów.

Richard miał 15 lat, gdy stworzył swojego potworka. Wirus doczepiał się do Apple DOS 3.3 w boot sectorze i wędrował na dyskietkach do kolejnych nieświadomych użytkowników. Wirus w stanie uśpienia dołączony był do gry. Po 50 z kolei uruchomieniu gra uwalniała Elk Clonera, a oczom użytkownika ukazywał się poniższy ekran z poematem o wirusie.

Praktycznie wszyscy znajomi Richarda padli ofiarą wirusa, który rozprzestrzenił się niezwykle skutecznie, ku przerażeniu twórcy. Na szczęście nie wyrządzał szkód, ale jego usunięcie nie było takie proste i wymagało dość zaawansowanej pracy.

Brain

Pierwszy wirus na komputery klasy IBM PC. Napisali go w Pakistanie (Lahore) dwaj bracia: Basit Farooq Alvi oraz Amjad Farooq Alvi. Zamiary twórców nie były złe, a całe przedsięwzięcie miało być jedynie żartem. Napisany w 1986 r. Brain infekował boot sector DOS-a na dyskietce. Prawdziwy boot sector (podmieniony przez wirusa) był relokowany do innego sektora i oznaczany jako nieprawidłowy. Po uruchomieniu komputera pojawiał się następujący tekst:

Welcome to the Dungeon (c) 1986 Basit & Amjads (pvt) Ltd VIRUS_SHOE RECORD V9.0 Dedicated to the dynamic memories of millions of viruses who are no longer with us today - Thanks GOODNESS!! BEWARE OF THE er..VIRUS : this program is catching program follows after these messages....$#@%$@!!

Wirus faktycznie nie był groźny. Unikał uszkadzania partycji i nie infekował dysków twardych. Z tego powodu często pozostawał niewykrywany. Bracia umieścili w manifeście numery telefonów i adres, aby użytkownicy mogli poprosić o pomoc w skasowaniu wirusa:

Welcome to the Dungeon © 1986 Brain & Amjads (pvt). BRAIN COMPUTER SERVICES 730 NIZAM BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE: 430791,443248,280530. Beware of this VIRUS.... Contact us for vaccination...

Telefon dzwonił dzień i noc przez wiele tygodni. Rozzłoszczeni właściciele wczesnych pecetów wyzywali braci, złorzeczyli, a ci starali się pomóc w wyeliminowaniu robaka.

Pierwsza infekcja pojawiła się w Hongkongu 3 lub 5 maja. Infekowała maszyny poprzez e-mail z załącznikiem Love-Letter-For-You.TXT.vbs. Następnie robak rozsyłał się samodzielnie do pierwszych 50 kontaktów w książce adresowej. Wirus niszczył zbiory muzyczne, pliki graficzne, wyszukiwał hasła i loginy, przesyłając je następnie autorowi wirusa. Infekcja obięła aż 10% maszyn podłączonych do Internetu. Wszystko to stało się w ciągu 10 dni!

Straty oszacowano na około 20 miliardów dolarów (koszt utraconych danych plus koszt usunięcia wirusa i szczepienia). Był to jeden z najbardziej destrukcyjnych wirusów w historii i najbardziej kosztownych. Twórcy robaka, Reonel Ramones oraz Onel de Guzman z Filipin, nie zostali pociągnięci do odpowiedzialności z powodu braku odpowiednich przepisów i przebywają na wolności.

Użytkownik otrzymywał wiadomość z komunikatem typu "Mail Transaction Failed". W załączniku znajdował się plik. Jego kliknięcie uwalniało robaka, który przeczesywał kontakty w skrzynce i rozsyłał się dalej. Poza tym aplikacja wykrywała klienta sieci Kazaa i tam również uwalniała się w świat.

Szacuje się, że 1 na 10 wiadomości rozsyłanych tego dnia była zainfekowana wirusem. Owo spowolnienie było spowodowane lawiną e-maili wysyłanych przez MyDoom. Kto napisał wirusa? W wiadomości tekstowej znaleziono taką oto linijkę tekstu:

andy; I'm just doing my job, nothing personal, sorry,

Wygląda na to, że wirus został napisany na zlecenie przez firmę produkującą spam i po prostu wymknął się spod kontroli. Nazwa powstała od kolejnego fragmentu kodu, w którym twórca napisał "mydom".

Wirus instalował backdoora na porcie 3127/tcp, co umożliwiało zdalne sterowanie maszyną. Wystarczyło zainstalować własny plik SHIMGAPI.DLL w katalogu system32. Dodatkowo program wykonywał atak DoS na serwery firmy SCO Group, co także może wskazywać na osobiste porachunki.