3. leden, 2010 | Blog

Historie virů: Košický mor

Historie počítačových virů začíná někdy na rozhraní 60. a 70. let. První incident, který stál na počátku dnešních počítačových virů, se stal na systému Univac 1108. Vir nazvaný Pervading Animal přidával sám sebe na konec spustitelných souborů.

 Po něm to v následujících desetiletích zopakovalo i mnoho dalších. V první polovině 70. let se pod operačním systémem Tenex objevil nově vytvořený červ The Creeper, který k šíření využíval globální počítačovou síť. Červ byl schopný přenášet své kopie přes modem a síť do vzdálených stanic. Na boj proti tomuto škodlivému kódu byl vytvořen vůbec první antivirový program Reeper.

Začátkem 80. let pak díky popularitě osobních počítačů vzrostla i velikost a počet nejrůznějších sítí a soukromě vytvářené programy se šířily přes BBS servery se všeobecným přístupem. To pomohlo vzniku mnoha trojských koní. Trojské koně jsou programy, které se nedokáží samovolně kopírovat z počítače na počítač a mají většinou podobu spustitelných souborů. Jak je možné usuzovat už z názvu, jejich základní funkcí je to, že se dokáží maskovat jako něco jiného. Po svém spuštění uživatelem pak mohou například zaznamenávat stisknuté klávesy a odesílat tyto informace mimo počítač. Novější trojské koně dokáží také instalovat tzv. backdoory, tedy jakási zadní vrátka do počítače umožňující svému tvůrci vzdálený přístup k počítači.

V roce 1981 započal vir Elk Cloner, šířený na počítačích Apple II, éru nových boot virů. Boot virus se po svém spuštění připojil k zaváděcímu sektoru diskety. Projevoval se tím, že obracel obrazovku, zobrazoval blikající text nebo ukazoval různé zprávy. Pozdější bootviry se načítaly do operační paměti při každém spuštění počítače načtením z „bootovacího sektoru“ pevného disku počítače případně rovněž z vyměnitelných médií, která tehdy představovaly převážně diskety. Jak vidíte, zase tak moc se od té doby nezměnilo.

Jedním z nejslavnějších virů byl ve své době vir OneHalf, nazývaný rovněž Košický mor. Z východního Slovenska se tento MS-DOS vir rozšířil v roce 1994. Velký úspěch měl pravděpodobně proto, že zkombinoval tři tehdy používané vlastnosti úspěšných virů. One Half byl virus:

 

  • polymorfní – každá jeho nově vytvořená kopie se odlišovala od původní
  • multipartitní – napadal boot sektory disků i spustitelné soubory typu COM a EXE
  • stealth – používal nejrůznější maskovací taktiky proti antivirovým programům. 

 

OneHalf měl velice veselou povahu a činnost. Při každém svém spuštění zašifroval část dat na pevném disku počítače. Dokud byl aktivní, respektive neodstraněný antivirovým programem, uživatel o ničem nevěděl, protože vir zobrazoval v rámci svého utajení veškerá data operačnímu systému jako nešifrovaná. Po svém odstranění pak byla zašifrovaná data ztracena. Pokud se podařilo viru zašifrovat polovinu dat na pevném disku bez odhalení, projevil svou „veselou“ povahu a zobrazil na obrazovku nápis „Dis is one half. Press any key to continue...“ ukončil se. Virus používal symetrické šifrování a klíč ukládal v systémové oblasti disku, kde je mimo jiné zavaděč operačního systému a tabulka s rozdělením pevného disku, která označuje způsob ukládání dat na pevném disku. Teoreticky tedy bylo možné zašifrovaná data dodatečně rozšifrovat, dokonce existoval i program, který to dokázal. Dalším způsobem, jak zachránit data, bylo ponechat virus aktivní v paměti a šifrovaná data zkopírovat z počítače někam jinam. Klasické odstranění viru, tak jak se to dělo běžně do příchodu OneHalf, vedlo ke ztrátě dat. Přepisem systémové oblasti totiž došlo ke smazání klíče pro rozšifrování. Bohužel, v době největšího rozmachu viru se však OneHalf šířil úspěšněji než informace o jeho chování. Hodně uživatelů proto o data nenávratně přišlo.