Příchod hackerů: viry Jerusalem, Ghostballs, Michelangelo a OneHalf

18. 3. 2014
Doba čtení: 5 minut

Sdílet

Destruktivní čtveřice virů, které se objevily koncem osmdesátých a počátkem devadesátých let, se šířila prostřednictvím disket i počítačových sítí a napadala boot sektory a/nebo spustitelné soubory. Jednalo se o jedny z prvních virových „celebrit“, jež dopomohly zrodu odvětví antivirového software.

Je-li vám mezi třiceti a padesáti a počátkem devadesátých let jste již měli PC, nejspíš si přinejmenším na jeden ze čtveřice virů vzpomenete. Před nástupem internetu se totiž jednalo o jedny z nejčastějších hrozeb, s nimiž se majitelé PC mohli setkat. Vedle své ničivosti mají společné ještě jedno: jejich autoři nejsou známi. Tentokrát vám tedy můžeme nabídnout jen příběhy virů samotných a nikoliv jejich tvůrců.

Izraelský pátek 13.

O viru Jerusalem jsme se zmínili již v jednom z předchozích dílů. Byla ta jedna z prvních skutečně destruktivních nákaz, které se na PC rozšířily. Rezidentní virus napadající všechny spustitelné soubory (vyjma command.com) byl odhalen v říjnu 1987. Byl také jedním z prvních virů, které dokázaly skrývat svou přítomnost – například blokovat zprávy operačního systému, které by mohly jejich aktivitu odhalit.

Hlavní destrukci měl Jerusalem naplánovánu na pátky 13. ve všechny roky mimo roku 1987 (to mělo viru patrně dát dostatek „času“ na nenápadné šíření). Každý pátek 13. virus smazal všechny soubory, které byly toho dne spuštěny. Jerusalem ale dokázal škodit i jiným způsobem. Protože soubory (vyjma zmíněného command.com) infikoval opakovaně při každém spuštění, mohly se ty často spouštěné zvětšit natolik, že už se nevešly do operační paměti a nebylo dále možné je spouštět. Navázání na systémová přerušení (IRQ), jejichž smyslem bylo maskovat aktivitu viru, navíc výrazně zpomalovala zejména slabší počítače natolik, že po půl hodině bylo obtížné na nich pracovat.

Jerusalem se stal velmi „populárním“ i díky desítkám různě destruktivních variant, které z něj byly vytvořeny.

Islandský virus

Ghostballs byl objeven 1. října 1989 a jak bylo jasné z řetězce, který jeho tvůrce uložil v samotném těle nákazy, pocházel z Islandu – nakažené soubory totiž obsahovaly stručné sdělení „GhostBalls, Product of Iceland Copyright (c) 1989, 4418 and 5F10 MSDOS 3.2“. O autorovi, který napsal virus v assembleru, není bohužel známo nic, přesto stojí Ghostball za zmínku v našem výčtu především proto, že se jednalo o první virus, který se dokázal šířit různými způsoby – mohl nakazit spustitelné soubory .com a do zaváděcího (boot) sektoru navíc sám šířil virus jiný – Pingpong. Nejednalo se ale o virus původní, Ghostballs byl totiž variantou Vienny, o rok staršího viru, který napadal .com soubory a stal se předlohou pro řadu vlastních variant.

Rezidentní virus Pingpong (původně patrně italský) byl relativně neškodný – obtěžoval uživatele tím, že mu 30 minut po infekci nebo startu PC zobrazil „míček“, který se odrážel od krajů obrazovky nebo různých znaků. Oproti tomu Ghostballs zdědil po své vídeňské předloze nepříjemnou vlastnost – při infekci některé soubory poškodil a ty následně při spouštění způsobovaly restart počítače.

Rodina virů Vienna, do níž Ghostballs také patřil, patřila společně s Pingpongem mezi nejrozšířenější PC viry konce osmdesátých let. Jejich destruktivnost sice nebyla dramatická, dokázaly ale uživatelům způsobit dost starostí. Byla to stejná doba, kdy se rodily první metody detekce virů jako je heuristika, identifikační metody a rozpoznávání signatur. Příběh mailingového seznamu VIRUS-L, z nějž se zrodily první antivirové společnosti, si ale necháme na některý z následujících dílů.

Virová celebrita

Zatímco v 80. letech se problematice škodlivého kódu věnovali spíše akademici, informatici a správci či počítačoví nadšenci – řada případů nebyla prakticky vůbec medializována, nebo se o nich psalo až po několika letech, počátkem let 90. se již malware stával celebritou. Jednou z prvních byl Michelangelo, virus objevený počátkem února 1991 v Austrálii. Proslavila ho především záludnost, s níž plánoval svůj útok na napadené počítače. Zatímco většina ostatních virů se na sebe snažila více či méně upozornit ihned nebo krátce po napadení, Michelangelo infikoval zaváděcí (boot) sektory disků a disket PC potichu a vyčkával na osudové datum. Tím byl 6. březen, na který připadalo výročí narození renezančního génia.

Za proslavením viru Michelangelo je někdejší zakladatel společnosti McAfee a dnešní poněkud excentrická celebrita bezpečnostního světa John McAfee a jeho „široké“ rozpětí.

V osudový den se virus aktivoval a přepsal prvních sto sektorů pevného disku, čímž jej (a tedy i celé PC) postavil mimo provoz – běžný uživatel se tak navíc nedostal ani ke svým datům. Ani Michelangelo ale nebyl původním výtvorem. Jednalo se o variantu viru Stoned, který byl vytvořen již v roce 1987 na Novém Zélandu a propagoval legalizaci marihuany (jinak ale nebyl destruktivní). Zajímavé je že varianty stoned přežily ve světě PC celých dvacet let. Jedna z posledních – Stoned.Angelina byla naposledy objevena roku 2007 v dodávce nových notebooků v řetězcích Aldi, kde byla přítomna v předinstalovaných Windows Vista.

Záludnost a nenápadnost s níž se Michelangelo, ale i méně destruktivní verze Stoned, šířily, způsobila, že virus na svých disketách distribuovali i někteří výrobci hardware a software – stalo se to například Intelu, jehož disketa se síťovým tiskovým ovladačem byla počátkem roku 1992 distribuována právě s virem Michelangelo. To byla pochopitelně zpráva, kterou si média nenechala ujít a když se novináři ptali jedné z prvních bezpečnostních celebrit, Johna McAffee, kolik počítačů by podle něj mohlo být virem nakaženo, prohlásil, že pět tisíc až pět milionů. Není asi třeba zdůrazňovat, kterého z čísel se noviny a televize chytly. Při druhém „úderu“ viru Michelangelo bylo nakonec postiženo odhadem 10 až 20 tisíc počítačů. Michelangelo byl ale vděčnou „celebritou“ zejména proto, že postihoval neopatrné uživatele ještě několik následujících let, a tak se neustále opakovaly zprávy doporučující uživatelům 6. března nezapínat PC, nebo 5. 3. rovnou přenastavit datum v BIOSu na 7.3. (a 8.3. jej vrátit o den zpět). Postižených ale postupně ubývalo – poslední zaznamenané škody byly v březnu 1996.

Jak se o viru Michelangelo hovořilo v australských zprávách v roce 1992.

Košický bombardér

Vystihuje-li nějaké slovo virus, za jehož domovinu je často označováno východní Slovensko (někdy též Rakousko), tak je to zákeřnost. OneHalf byl objeven v říjnu 1994 a záhy dostal různé přezdívky, mezi nimž je i „Slovak Bomber“. Ta poukazuje na jeho podobnost (nikoliv ale příbuznost) s virem Bomber. Oba viry totiž používaly novou metodu nákazy spustitelných souborů, kdy svůj kód nezapsaly na jejich konec, ale na různá náhodná místa v kódu souboru. Cílem pochopitelně bylo ztížit odhalení viru, který lze odhalit jen důsledným proskenováním celého spustitelného souboru. OneHalf se navíc důsledně vyhýbal infekci spustitelných souborů známých antivirových programů (například NOD, MSAV, VSAFE) a některých utilit.

Na první pohled se může OneHalf zdát jako neškodný vtípek. Jeho jedinou aktivitou totiž je zobrazovat v určité sudé dny v měsíci a v některých dalších situacích text: „Dis is one half. Press any key to continue…“. Skutečná katastrofa ale přijde v okamžiku, kdy je virus z počítače odstraněn. OneHalf totiž šifruje některé části disku náhodným klíčem, který je při nesprávném „odvirování“ odstraněn i s virem a data v zašifrovaných částech disku jsou tak prakticky nenávratně ztracena.

bitcoin školení listopad 24

Ještě nemáte virů dost? Zkuste pořad The Computer Chronicles o virech a nákazách z roku 1989.

Odkazy

Autor článku