1. listopad, 2013 | Blog

Pět virů, které nás ještě dnes budí ze sna

Včera se v anglosaských zemích slavil Halloween, původně keltský svátek, který znamenal konec léta a příchod zimy. Keltové věřili, že tuto noc mohou duchové zemřelých opět na svět a škodit nepřátelům. Zkusme použít tuto optiku na problematiku škodlivého kódu a pojďme zavzpomínat na malware, který bychom mezi živými rozhodně už vidět nechtěli :-). 


welivesecurity.com

1.     CIH (Chernobyl, Spacefiller) je nejstarším škodlivým kódem na seznamu. Poprvé byl objeven již v roce 1998 a na svou dobu byl velmi „vypečený“. CIH se schovával přímo do nakažených souborů, v podstatě hledal prázdní místa a ty vyplnil, proto jej bylo velmi těžké detekovat, natož odstranit. To se většinou muselo dělat ručně. Ačkoli ho měl na svědomí jeden student z Číny, CIH se rozšířil celosvětově pomocí pirátské verze her Mechcommander a traineru k populární „rubačce“ Mortal Kombat 4. Na uživatele si nachystal celou řadu milých věcí jako je zničení citlivých dat, přepis bootovacího sektoru disku, různé druhy BSOD nebo přeflashování BIOSu. Úplný domácí mazlíček J.

ExploreZip je jen o rok mladší než CIH. Šířil se tím, že automaticky odpovídal na nepřečtené maily a „vtipně“ do odpovědi psal: „Obdržel jsem Vaši zprávu a odpovím Vám, jakmile to bude možné. Mezitím se podívejte na dokumenty v příloze.“ Není asi potřeba dodávat, že příloha byl zdrojem infekce. Přepisovala wordovské dokumenty a systémové soubory na samé nuly, takže je v podstatě zničila. Dnes už by takový škodlivý kód asi moc šancí neměl, ale na přelomu století šlo o jeden z nej virů na světě.

Mebromi je poměrně nových druhem malware, objeven byl v roce 2011, ale protože jde o velmi zajímavý virus navazující na CIH, má na seznamu své místo. Mebroni se inspiroval Černobylem a přepisoval Award BIOS počítače vlastním kódem, tím se dostal mimo standardní pole působnosti detekčních metod antivirových programů, a ani MBR sektor disku nezůstal mimo jeho pozornost. Funkčně šlo o klasického trójského koně.

ZMist je velmi unikátní kousek škodlivého kódu. Na scénu přišel se zcela novou technikou, kdy se s každou novou infekcí zásadně měnil (rekompiloval) a vznikla tak „nová“ varianta původního viru. Dnes tuto techniku najdeme skoro u všech odolnějších nákaz. ZMist (Zombie.Mistfall) byl prvním tzv. metamorfním virem na světě a kdyby měli viry svůj chodník slávy, ZMist by určitě nechyběl.

 

A protože čert nikdy nespí, vybral jsem nakonec i jeden aktuálně řádící malware. Jde o Win32/Filecoder neboli Cryptolocker, o kterém se ale nebudu moc rozepisovat, jelikož to minule už dostatečně udělal kolega Šnajdr. Ale pro ty, které nebaví klikat na odkazy, samozřejmě nějaké základní info nabídnu :-). Filecoder je nákaza, kterou jsem v takové rozsahu už dlouho neviděli. Jednoduše vám neprolomitelně zašifruje soubory na disku a za odšifrování požaduje peníze. V podstatě jde o normální vydírání, které nutí uživatele zaplatit požadovanou sumu.

Martin Skýpala
Technical Marketing Specialist