lunedì 17 gennaio 2011

La Storia Dei Virus, Worm, Trojan, Rootkit e Ransomware (Computer)

Tutto inizia del 1945, grazie a J.Van Neumann che dimostra matematicamente la possibilità di costruire una macchina o un programma in grado di replicarsi automaticamente.
Il primo Virus conosciuto è Elk Cloner diffusosi nei dischi del sistema operativo di Apple II nel lontano 1981.
Pare che il Virus mostrasse sullo schermo alcune rime: "It will stick to you like glue,it will modify ram too,send in the cloner!".


1985=TROJAN HORSE e BOOT VIRUS (EGABTR E BRAIN)
Partiamo dal 1985 quando compare il primo Trojan Horse, ovvero Egabtr mascheratosi in un gioco chiamato Nuke-La.
Va ricordato però che il primo Virus della storia è Creeper nel 1982.
Nel 1986 viene creato il primo Boot Virus.
Gli autori sono due fratelli, Amjad e Basit, che possiedono una piccola software house(Brain Software) e sviluppano l'infezione per tentare di comprendere la portata del fenomeno delle copie pirata.
Brain non ha un payload dannoso: si limita a riprodursi su tutti i dischetti inseriti nel lettore di un PC infetto modificandone l'etichetta con il testo "(c) Brain".
Il virus è un TSR(Terminate And Stay Resident, cioè rimane sempre in memoria)e infetta gli altri dischetti(floppy disk)che vengono successivamente inseriti.


1985=STEALTH VIRUS (LEHIGH)
Contemporaneamente ai Boot Virus nascono anche gli Stealth in quanto lo stesso (c)Brain utilizza tecniche di Stealth.
Uno Stealth Virus in generale usa un algoritmo che gli permette di nascondere completamente o parzialmente le sue tracce nel sistema operativo.
L'azione comune è di intercettare le chiamate read/write del sistema operativo per infettare altri oggetti.
Successivamente Ralph Burger realizza che si può creare un file con la capacità di riprodursi attaccando una propria copia ad un altro file, questo tipo di virus sfrutta il file system del sistema operativo per propagarsi.
In generale infetta tutti i tipi di file eseguibili del DOS, quali BAT(file batch), SYS(file di sistema), EXE(file eseguibili), COM (file di comando).
Il primo Virus che infetta command.com è Lehigh: dopo solo quattro repliche sovrascrive l’hard disk colpendo la FAT.
Con questo Virus gli hacker imparano una buona regola: un virus che danneggia troppo in fretta il suo host non può sopravvivere.
Lehigh venne facilmente debellato


1987=VIRUS CRITTOGRAFATI e WORM (CASCADE e IBM CHRISTMAS TREE)
Nel 1987 compare il primo Virus crittografato: Cascade.
Fu chiamato così perché, quando attivato, faceva cadere le lettere sullo schermo.
La maggior parte del virus è crittografata e lascia solo una piccola porzione di testo in chiaro.
Questo rende subito più difficile riparare i file infetti e restringe la scelta della stringa di ricerca alla prima coppia di 12 byte.
Si suppone che Cascade volesse fare un controllo sul BIOS: avrebbe infettato solamente i BIOS.
Questa parte del codice però non funzionava.
Nel Dicembre dell’87 il Worm IBM Christmas Tree viene rilevato sulla rete di comunicazione interna di IBM.
Un Worm, a differenza di un Virus, si diffonde senza l’aiuto delle persone attraverso una rete sfruttando, in genere, bug del sistema operativo.
Si moltiplica esponenzialmente da solo causando così un notevole rallentamento delle operazioni .


1989=DATACRIME e MORRIS
A Marzo dell’89 viene scoperto un virus potenzialmente molto pericoloso che è programmato per attivarsi dal 13 ottobre in poi: Datacrime.
IBM è l’unica ad avere un software antivirus(installato dopo aver subito seri danni da Cascade)ed è costretta dalle circostanze ad offrirlo ai suoi clienti.
A Settembre IBM spedisce la versione 1.0 di IBM Scanning Software insieme ad una lettera in cui spiega cos’è e perché ce n’è bisogno.
Morris invece riuscì ad infettare oltre 6000 macchine (non poco per i tempi).


1990=VIRUS POLIMORFI (VIENNA, CHAMALEON, V2P1, V2P2, V2P6, TPE, INVISIBLE MAN)
Il 1990 segna la comparsa, ad opera di Mark Washburn di nuovi Virus 1260(Chamaleon), V2P1, V2P2 e V2P6: sono Virus polimorfi.
Per la verità il primo di questo tipo fu Vienna.
L'intero codice è crittografato in modo variabile, infatti la parte del Virus che si incarica della de-crittograzione può assumere diverse forme.
La stringa di ricerca più lunga che si può prendere è di appena uno o due byte.
Gli antivirus dell’epoca non sono in grado di individuare questi Virus perché dato il metodo di ricerca ancora non molto sofisticato segnalavano come Virus file innocui, dando luogo ad un aumento impressionante dei falsi allarmi.
Per approfondire: Chris Pile e I Virus Polimorfi (SMEG, Pathogen, Queeg)
Si diffonde anche Fish che oltre ad essere Polimorfo era anche un Virus Stealth.
Nel 1992 Dark Avenger e i suoi Virus Polimorfi, trova altri emulatori tra cui si ricorda il Trident Polymorphic Engine (TPE).
Per l'Amiga, invece il pericolo si chiama Fuck che, guarda caso, distrugge il disco fisso... ovunque la parola fuck.
Ma è anche l'anno di Invisible Man.
Ha un contatore interno.
Alla ventesima infezione mostra su uno schermo una poesia dedicata ad Ester e suona la canzone dei Queen (Invisible Man appunto).
Il messaggio che compariva sullo schermo:

The Invisible Man - Written in Salerno (ITALY), October 1992
Dedicated to Ester: 
I don't know either how
or when, but I will hold you in my arms again.

I'm the invisible man,
I'm the invisible man,
Incredible how you can
See right through me.

I'm the invisible man,
I'm the invisible man,
It's criminal how I can
See right through me.


1992=BOOT VIRUS (MICHELANGELO ed ANGELINA)
Michelangelo, atteso con grande paura, il 6 marzo 1992 infetta circa 10.000 macchine: i venditori di antivirus ne avevano previsto 5 milioni.
Naturalmente i produttori di antivirus affermarono che c’erano state poche vittime grazie ai loro prodotti ma purtroppo non convinsero tutti; di conseguenza fu danneggiata la credibilità di coloro che difendevano ragionevoli strategie anti virali.
Questo Virus si attivava solo il 6 marzo (giorno del compleanno di Michelangelo) ed era un Boot Virus che infettava il Boot del Floppy Disk ed inoltre sovrascriveva files sul sistema operativo.
In realtà questo Virus era una variante dello Stoned uscito nel 1987 (altro Virus simile, dal quale una volta infetti si leggeva all'avvio "Your Computer Now Is Stoned. Legalize Marijuana).
Nel 1995 verrà creato Angelina, variante di Michelangelo.
Tornando a quest'ultimo i creatori del Virus non furono mai scoperti (si ritiene che il creatore fosse Australiano, Neozelandese o di Taiwan), inoltre infettò anche software commerciali.


1995-1998=CHERNOBIL PER WINDOWS e STAOG PER LINUX
Il nuovo Windows 95(e il suo successore Windows 98) non fa molto per impedire l'ingresso di virus sul sistema ma il suo modo di lavorare, in particolare l'uso di driver 32 bit per consentire l'accesso alle unità disco da parte delle applicazioni,impedisce spesso ai virus di boot di diffondersi infettando i floppy disk.
Questo ambiente non presenta invece alcun ostacolo per i virus di file e quelli polimorfi.
Nel 1998 compare Chernobil(o C.H.I.),il primo Virus diffuso che paralizza l’hardware.
Si riproduce nei file eseguibili di Windows 95/98 in maniera così rapida che in poco tempo i file infettati sono centinaia.
Il 26 aprile Chernobil attiva la parte distruttiva del suo payload: cancella i dati dal disco rigido e prova a sovrascrivere il Flash BIOS del computer.
Una volta che il BIOS è sovrascritto,il computer sarà completamente inutilizzabile.
La riparazione consiste nel rimuovere il BIOS chip e sostituirlo con uno nuovo.
In questo anno nasce anche il primo virus per Linux : Staog.


1999-2000=WORM e SCRIPT VIRUS (MELISSA, BUBBLEBOY, I LOVE YOU e CODE RED)
Grazie alla facilità con cui la posta elettronica e i newsgroup consentono di diffondere file in tutto il mondo nel giro di poche ore, Internet e le e-mail sostituiscono ben presto i floppy come strumento preferito di diffusione del malware e gli autori di virus non tardano a rendersi conto di poter sfruttare alcune caratteristiche della piattaforma Microsoft in modo più creativo.
Ad aprire la strada è Melissa nel 1999 che ha approfittato della programmabilità dei client di posta Microsoft per spedire automaticamente una sua copia ai primi 50 indirizzi presenti nella rubrica del computer infetto.
La tecnica escogitata da Melissa è particolarmente insidiosa: i messaggi inviati provengono da un mittente di sicuro noto al destinatario.
Melissa si propaga con una velocità fino ad allora sconosciuta,saturando i server di posta in tutto il mondo.
Fortunatamente non provoca danni seri al PC nelle prime versioni del Worm.
Simile a Melissa il famosissimo I Love You.
Poco dopo fa la sua comparsa nei client di posta un altro Virus che porta con se una grossa e pericolosa novità: Bubbleboy.
Il codice html di cui è composto il messaggio e-mail contiene uno script di Visual Basic Script.
Con MS Outlook lo script è attivato quando l’e-mail è aperta.
Lo script è in grado di attivarsi grazie ad un buco nella sicurezza dei prodotti Microsoft che permette a due controlli ActiveX potenzialmente pericolosi (scriptlet.typelib e Eyedog) di funzionare.
Nel 2001 invece sarà la volta di Code Red che infetterà quasi 400mila server (Microsoft).


2001-2010=TROJAN HORSE
Deve il suo nome al fatto che le sue funzionalità sono nascoste all'interno di un programma apparentemente utile.
In genere col termine Trojan ci si riferisce ai Trojan ad accesso remoto composti generalmente da 2 file: il file server, che viene installato nella macchina vittima, ed un file client usato dall'attaccante per inviare istruzioni che il server esegue.
I Trojan di nuova generazione (2008-2010) hanno molteplici funzionalità, quali connessioni tramite Bot IRC, formando appunto Botnet e opzioni per nascondersi meglio nel sistema operativo, utilizzando tecniche di Rootkit.
I Trojan sono sempre più diffusi e non tutti gli antivirus riescono a bloccarli tutti e impediscono anche l' aggiornamento di un programma antivirus.
Tra i più famosi da menzionare: Netbus, Back Orifice, GirlFriend, AntiGen, Millennium, Stealth.


2003-2005=WORM e BOTNET (SLAMMER, SASSER, BLASTER e SAMY)
Slammer, nella fine del 2003, mise in ginocchio il 60% dei server di tutto il mondo mandando in tilt i bancomat della Bank Of America.
Blaster invece colpì i primi sistemi operativi di Windows XP, il Virus era programmato per lanciare un attacco D.O.S., il 15 Agosto, contro la porta 80 del sito Windows Update.
Sasser invece colpì qualsiasi sito telematico (compagnie aeree, ferroviarie ed ovviamente computer privati di tutto il mondo).
Sicuramente i 3 Worm di maggiore impatto e che provocarono più danni nella storia di Internet.
Negli anni successivi l'altissimo numero d'infezioni porterà alla formazione di gigantesche reti di PC infetti: Botnet.
Nel 2005 Samy infetta milioni di computer, propagandosi tramite un Social Network: MySpace.


2005=WORM TRASFORMISTI (GOKAR, VUNDO e KLEZ)
Sempre più perfezionati i Worm riescono ad eludere i migliori antivirus, rendendosi invisibili.
Uno dei primi Worm trasformisti fu Gokar, diffusosi tramite mail e MIRC.
Poi Vundo.
Sicuramente il più pericoloso tra questi Klez che si diffonde spacciandosi per una patch proprio anti-klez con il seguente testo:
"Klez è il Worm che nel mondo si è maggiormente diffuso, è molto pericoloso perché distrugge i file.
Poiché utilizza tecniche intelligenti con cui si rende invisibile e colpisce gli antivirus, i software AV normali non possono individuarlo o cancellarlo.
Abbiamo sviluppato questo tool di protezione gratuito per sconfiggere questo virus dannoso.
C'è bisogno di utilizzare il tool una sola volta e poi Klez non si infilerà mai più sul tuo PC.
Nota: Poiché questo tool agisce come un finto Klez per mettere nel sacco il Worm vero, alcuni strumenti AV potrebbero identificarlo quando lo si lancia.
Se questo accade, si ignori l'avviso e si selezioni continua.
Per qualsiasi domanda, scrivimi".


2010-2011=MALWARE PROPAGATOSI SENZA INTERNET (STUXNET, DUQU e FLAME)
Stuxnet è il primo Worm che spia e riprogramma pc industriali, infettando in particolare quelli dotati di sistema operativo Windows e software WinCC e PCS 7.
Il Virus si diffonde tramite penna USB e si attiva alla apertura in visione del dispositivo che lo contiene.
Stuxnet inoltre è in grado di riprogrammare il controllore logico e di nascondere le modifiche compiute.
E’ stato scoperto nel giugno del 2010 da VirusBlokAda, una società di sicurezza Bielorussa.
La complessità di Stuxnet è insolita per un virus informatico in quanto l’attacco richiede la conoscenza dei processi industriali e mira all’attacco proprio di questi ultimi.
Per la sua realizzazione si sarebbe dovuto impiegare un team di programmatori di diverse discipline.
Secondo i tecnici Siemens la creazione di questo malware avrebbe richiesto mesi se non anni di lavoro.
Poco dopo verranno scoperti altri Malware industriali Duqu e Flame.


ANNI RECENTI=MALWARE DI CYBERSPIONAGGIO, RANSOMWARE e ROOTKIT
Nel 2007 fece molto parlare di sè un Malware spagnolo di Cyber-Spionaggio chiamato The Mask.
Il Virus forse si rifaceva al capostipide di questi Spy Virus; ovvero uscito Rbot nel 2004.
In seguito son arrivati i Virus postali detti anche Ransomware.
Possiamo ricordare: CryptoLockerTorrentLocker.
Virus che criptano i files archiviati e poi chiedono il "riscatto".
O altri tipi di Virus che prendono sempre più di mira l'Hardware.
Ed ovviamente altre varianti su cui Malware e Virus si sono spesso basati: ovvero i Rootkit.
Ovvero tipi di Virus che cercano di non farsi notare nel sistema, tra questi possiamo citare: Rustock BMebrootMebromiSpyEye.


Per approfondire su alcuni Worm: Breve Cronostoria Dei Worm: Dagli Anni 80 Al Nuovo Millennio

Nessun commento:

Posta un commento