Een kleine geschiedenis van virussen, wormen en trojanen, deel 2
De toenemende groei van computernetwerken wordt in 1988 voor de eerste keer misbruikt door een nieuw schadelijk programma. Wormen misbruiken tot op de dag van vandaag de zwakke plekken in netwerken. In deze periode organiseren zich zowel de schrijvers van virussen, als ook de antivirus-specialisten. En verovert antivirus-software een vaste plek.
1988 | Het MacMag-virus is het eerste noemenswaardige virus voor Macintosh-computers en had een reeks aanvullende innovaties te bieden. Het was het eerste virus dat op bestelling (door de hoofdredacteur van het tijdschrift MacMag) werd ontwikkeld. Het was ook het eerste virus dat gegevensbestanden besmette (in dit geval HyperStack-bestanden) om zichzelf te verspreiden. Afgezien van een melding had het geen schadelijke werking. De Indonesiër Denny Yanuar Ramdhani herkent en verwijdert met zijn virus "Den Zuk" het "Brain"-virus en bedenkt op deze manier een virus tegen een virus. Op vrijdag 13 mei ontploft in Jerusalem voor de eerste keer een logische bom (in dit geval een tijdbom). Daarmee deed een nieuwe categorie van virussen haar intrede. Jerusalem is het eerste virus dat zich in het geheugen bevindt (in engere zin van bestandsinfector). Door een bug infecteert het keer op keer hetzelfde bestand waardoor men het niet kan herkennen. Het verspreidingsmechanisme lijkt op dat van Lehigh, maar is effectiever, omdat het virus niet alleen .COM, maar ook .EXE-bestanden infecteert. Robert T. Morris jr. - de zoon van een computerbeveiligingsspecialist van de NSA - laat een internetworm los, die zich met behulp van een klein lijstje wachtwoorden toegang verschaft tot talloze UNIX-computers om zichzelf vervolgens net als het "Christmas tree"-virus door te sturen. Hierdoor werden netwerken en het mailverkeer lam gelegd. Een actie van de gebruiker was hiervoor niet nodig. De "internetworm", zoals het virus werd genoemd, kon alleen door telefonische afspraken worden bestreden en uit het veld worden geruimd. Het eerste Virus Construction Kit voor de Atari ST ontstaat. Zo kunnen ook beginners virussen met bepaalde eigenschappen maken. Als reactie op de algemeen verhoogde activiteit van de virusontwikkelaars en in het bijzonder van de "internetworm" werd in de VS het Computer Emergency Response Team /Coordination Center (CERT/CC) opgericht. Het biedt tot op heden advies op het gebied van gegevensbescherming en gegevensveiligheid. Intussen bestaan er ook Duitse CERT’s. |
1989 | DataCrime veroorzaakte een geweldige ophef in de media. Met "Vienna" verschijnen de eerste polymorfe virussen. Het codeert zichzelf met variabele sleutels en verandert ook de vorm van decoderingsroutines. Het kon daarom alleen via complexe algoritmen door antivirus-software worden opgespoord die bovendien vaak een vals alarm afgaven. Dat betekende het einde voor veel fabrikanten van antivirus-software. In juli verschijnt het eerste nummer van het Virus Bulletin. Sindsdien heeft dit blad zich tot het meest gerenommeerde vaktijdschrift voor virusonderzoekers ontwikkeld. In Bulgarije introduceert Dark Avenger twee nieuwe fenomenen: 1. Met de "Fast Infector" worden niet alleen uitvoerbare bestanden (eerst “Command.com”) besmet, maar ook bestanden die voor het lezen zijn geopend en gekopieerde bestanden. Op die manier is na korte tijd de gehele harde schijf besmet. 2. In onregelmatige afstanden worden afzonderlijke sectoren van de harde schijf overschreven. Dat blijft in de meeste gevallen onopgemerkt. Back-ups, die voornamelijk als bescherming tegen een virusaanval zijn gemaakt, zijn daardoor onbruikbaar. In Haifa, Israël wordt met Frodo het eerste gemaskeerde virus ontdekt dat bestanden infecteert. Na 22 september van een jaar moest het de harde schijf van een pc beschadigen. De bijbehorende routine werkte echter niet. Door het in Panama gevestigde bedrijf PC Cyborg wordt een trojan verspreid op diskettes die als AIDS-informatie zijn gecamoufleerd. AIDS neemt de plaats in van autoexec.bat en begint na een bepaald aantal (90) nieuwe starts de harde schijf te coderen. Daarna werd men geconfronteerd met een factuur voor het decoderen. |
1990 | Virussen schrijven komt in de mode. Op VX (Virus Exchange)-forums worden oude en nieuwe virussen geruild. 4096 bytes is de omvang van het gelijknamige virus dat in januari verschijnt. Het koppelt zich aan uitvoerbare en geopende gegevensbestanden. Het mechanisme waarmee werd geprobeerd dit te verbergen, leidde er vaak toe dat bestanden werden vernield. Een poging om de melding "Frode Lives" weer te geven, zorgde voor het vastlopen van het systeem. In de VS worden met V2Px, Virus-90 en Virus-101 de eerste polymorfe virussen geschreven. De virussen combineerden stealth- en coderingsmechanismen. Dat maakte hen tot zogenoemde multipartitie-virussen. Het virus Fish was een gemaskeerd virus met een compacte codering (14 byte). Joshi bevorderde de camouflage van bootsector-virussen. Anthrax en V1 behoorden tot een volgende groep multipartitie-virussen. Het eerste echte succesvolle multipartitie-virus was Flip.De eerste meerdelige virussen waren Anthrax en V1. Het lukte Flip als eerste virus van dit type om zich te verspreiden. De vereniging van Duitse virusliefhebbers verspreidt de eerste Virus Construction Kit voor DOS. Hiermee kunnen ook beginners virussen op maat maken. In december wordt het European Institute for Computer Antivirus Research (afgekort: EICAR) opgericht. Dit speelt tot op heden een belangrijke rol in de strijd tegen virussen en de makers daarvan. |
1991 | Michelangelo was een bootsector-virus dat op 6 maart – op de verjaardag van Michelangelo – de eerste 256 sectoren van de gegevensdrager overschreef. Daardoor werd de computer onbruikbaar. In het daaropvolgende jaar werd “Michelangelo” breed uitgemeten in de media, waardoor ongetwijfeld heel wat schade is voorkomen. Het virus was echter nog jarenlang actief. Polymorfe virussen komen nu steeds vaker voor. Tequila is het eerste polymorfe virus dat zich op grote schaal verspreidt. Maltese Amoeba overschrijft op twee bepaalde dagen van het jaar de eerste sector van de gegevensdrager. Robert Slade begint zijn reeks tutorials over computervirussen. Kort daarna begint hij met de werkzaamheden aan VIRUS-L-FAQ. Met DirII wordt het eerste clustervirus ontdekt. Het virus "Saddam-Hussein" codeert op Amiga-computers delen van gegevensdragers, zodat deze alleen nog kunnen worden gelezen als het virus in het geheugen aanwezig is. |
1992 | Een virusmaker die zichzelf Dark Avenger noemde, brengt in januari de Self Mutating Engine (MtE) in omloop. Daarmee kunnen zonder veel moeite polymorfe virussen worden gekweekt uit normale virussen. MtE is daarmee de eerste toolkit voor het kweken van polymorfe virussen. De Commodore Amiga en de Atari ST verliezen aan betekenis en MS-DOS rukt steeds verder op. Het aantal DOS-virussen groeit dienovereenkomstig. Altair voor de Atari ST doet zich voor als antivirus-software. Het overschrijft alle virussen die het in de bootsector aantreft. Het mislukt, net als veel andere "antivirus-virussen". WinVir 1.4 is het eerste virus voor Windows. Het eerste virus dat SYS-bestanden infecteert, heet Involuntary. Ook afkomstig van Dark Avenger is Commander Bomber, dat een nieuwe maskeringstechniek gebruikt. Het besmet COM-bestanden, maar koppelt zichzelf niet in een blok aan het bestand. In plaats daarvan verdeelt het de code over diverse fragmenten die onderling zijn verbonden door links. Om het virus te herkennen, moet het gehele bestand worden gescand. |
1993 | Er verschijnen nieuwe toolkits voor het maken van polymorfe virussen: Trident Polymorphic Engien (TPE), Nuke Encryption Device (NED) en Dark Angel's Multiple Encryption (DAME) baseren zich op MtE. Virushandtekeningen worden echter nog steeds toegepast. MS-DOS 6 is het eerste besturingssysteem dat een (middelmatige) virusscanner bevat. Het bevatte een slechte On-Access-component waarmee de virusbeveiliging eenvoudig kon worden uitgeschakeld. Het Amiga-virus Fuck (sorry, maar deze naam hebben wij niet zelf bedacht), dat werd verspreid door een als modemtestprogramma gecamoufleerde trojan, verving om te beginnen het systeembestand loadWB. Na het opnieuw opstarten van de computer werd de viruscode uitgevoerd: na een bepaalde tijd, afhankelijk van de refresh-rate van het beeld, werd de gehele harde schijf volgeschreven met het f-woord. Daarmee werden bovendien alle gegevens vernietigd. Joe Wells publiceert in juli de eerste Wildlist. Daarmee wil hij de activiteiten van de in omloop zijnde virussen opsommen. Uit dit overzicht zal later de Wildlist Organization. Meer computervirussen voor Windows duiken op. |
1994 | De eerste multipartitie-virussen duiken op. Deze virussen gebruiken meerdere besmettingsmethoden en kunnen tegelijkertijd behalve bestanden ook bootsectoren, resp. partitietabellen, besmetten. In Engeland publiceert en verspreid de jonge Black Baron het virus Smeg.Pathogen (en Smeg.Queen). Smeg.Pathogen geeft een melding en overschrijft daarna de eerste 256 sectoren van de harde schijf. Dat leidt bij een aantal bedrijven tot aanzienlijke schade. De maker wordt een jaar later tot een gevangenisstraf veroordeeld. Virus Hoaxes ontwikkelen zich met de "Good-Times"-waarschuwingen tot een serieus, maar onderschat probleem. |
Malwarehistorie
- De vroege jaren
- 1988 -1994
- 1995 - heden
Info
Malwarehistorie
Malwarecategorieën
Tips&trucs
Achtergrondinformatie
© 2007 - 2012 G Data Software AG. Alle rechten voorbehouden
