Een kleine geschiedenis van virussen, wormen en trojanen, deel 3
In 1995 doken de eerste macrovirussen op. Tot dan toe werden alleen uitvoerbare bestanden en bootsectoren besmet. Macrovirussen stelden hoge eisen aan de virusscanners. Met virussen als Melissa, Loveletter, Sobig en consorten worden keer op keer nieuw records gevestigd wat betreft de verspreidingssnelheid.
1995 | Met "DMV" en "Nachtwächter" verschijnen de eerste macrovirussen. “Concept 1995" is het eerste macrovirus dat het grote publiek bereikt en zich ongehinderd over Engelstalige systemen verspreidt. Met Hunter.c verschijnt het eerste polymorfe macrovirus in Duitsland. Wm.Concept was het eerste macrovirus voor Word 'in the wild' (afgezien van de HyperCard infectoren). Het bevat alleen de melding "That's enough to prove a point." (zoiets als: "Dit is voldoende bewijs") en is kort daarop het meest voorkomende virus ter wereld. Wm.Concept vormt de basis voor de "Proof of Concept"-virussen. PoC-virussen tonen alleen aan dat het mogelijk is een bepaalde zwakke plek te misbruiken, maar richten geen echte schade aan. Het herkennen van macrovirussen stelt hoge eisen aan de virusscanner, niet in de laatste plaats vanwege de voortdurend veranderende formaten van scripttalen en Office-bestanden. |
1996 | De eerste macrogeneratoren voor Duitse en Engelse macrovirussen verschijnen. Macrovirussen beperken zich niet langer tot Word, maar richten zich ook op Excel- en AmiPro-bestanden. Ze overschrijden bovendien de grenzen tussen besturingssystemen en besmetten zowel pc's als Mac's. Laroux besmet als eerste MS-Excelbestanden. Boza is het eerste virus dat het PE-EXE-formaat van Windows 95-bestanden besmet. Het werd door Quantum, een lid van de Australische groep virusauteurs VLAD geschreven. |
1997 | Virussen worden steeds gespecialiseerder en vallen doelgericht zwakke plekken aan in programma's, besturingssystemen of hardware. De eerste mIRC-scripts verschijnen die zich als wormen onder de gebruikers van Internet Relay Chat verspreiden. Het eerste virus voor het besturingssysteem Linux duikt op. |
1998 | Strange Brew is het eerste virus voor Java. Afgezien van macrovirussen, die nu ook al in Access en andere programma’s hun weg vinden, werden pc’s met MacOS al minstens drie jaar niet door virussen geplaagd. Met de worm Autostart.9805 verandert dit. Autostart gebruikt de automatische opstartprocedure van Quicktime op PowerPC's en kopieert zichzelf naar de harde schijf en andere gegevensdragers. Bepaalde bestanden worden overschreven door nepbestanden en zo onbruikbaar gemaakt. AutoStart verspreidt zich van Hongkong over de hele wereld. Meer... Met Netbus en Back Orifice verschijnen backdoors ten tonele waarmee men een computer ongemerkt door de gebruiker kan bewaken en op afstand kan besturen. In verband met Back Orifice brandt de discussie los over de vraag of het om software gaat waarmee het systeem op afstand wordt onderhouden of op afstand wordt bestuurd. Vanwege de functies waarmee een systeem, buiten medeweten van de gebruiker om, op afstand kan worden bestuurd, kan Back Orifice als trojan worden beschouwd. Met behulp van Back Orifice slaagt een hacker er medio 2000 in om in te breken in het interne bedrijfsnetwerk van Microsoft. In juni verschijnt CIH (Spacefiller, Chernobyl) in Taiwan. Hij heeft een van de zwaarste payloads in de geschiedenis van virussen. Dit virus roept opnieuw de vraag op of virussen in staat zijn hardware te vernielen. Als het actief wordt (op 26 april), worden het Flash-BIOS en de partitietabel van de harde schijf overschreven. Daardoor kan de computer niet meer worden opgestart. Op een aantal moederborden moet de BIOS-hardware vervangen of opnieuw geprogrammeerd worden. Maar zelfs na het herstel van het systeem blijkt dat de gegevens van de harde schijf verloren zijn gegaan. De auteur, de Chinese student Chen Ing-Hau, wordt niet wettelijk vervolgd. Meer... VBS.Rabbit gebruikt als eerste de Windows Scripting Host (WSH). Hij is geschreven in Visual Basic en valt andere VBS-bestanden aan. HTML.Prepend laat zien dat men met VBScript HTML-bestanden kan infecteren. Dr. Solomons werd door Network Associates gekocht. Net zoals voorheen bij MacAfee keerden de klanten zich af van het programma. |
1999 | In maart besmet de worm "Melissa" al op de dag van verschijning duizenden computers, en verspreidt het zich in razend tempo over de hele wereld. Het verstuurt e-mails aan de eerste 50 adressen in het Outlook-adresboek en door de overbelasting van de e-mails lopen talrijke mailservers vast. In augustus geeft David l.Smith toe dat hij de worm heeft geschreven. Happy99 maakt een kopie van elke door de gebruiker verzonden e-mail, en verstuurt die opnieuw met dezelfde tekst en hetzelfde onderwerp, maar met een worm als bijlage. Dit werkt ook bij Usenet-berichten. In juni vermomt ExploreZip zich als een zichzelf uitpakkend archief dat als antwoord op een binnengekomen e-mail wordt verzonden. Het verspreidt zich via netwerkvrijgaven en kan computers binnen het netwerk besmetten als slechts één gebruiker binnen het netwerk onvoorzichtig is. Het schadelijke element zoekt op de harde schijf naar C- en C++-programma's, Excel-, Word- en Powerpoint-bestanden en wist deze. Meer... Behalve via e-mails verspreidt Pretty Park zich ook via Internet Relay Chats (IRC). Het bevatte zeer effectieve methoden om zichzelf te beschermen en te camoufleren. Hierdoor werd verhinderd dat de worm kon worden verwijderd. Bij de volgende virusscan werd de worm als legitiem herkend. Soms werden virusscanners ook geblokkeerd. Door een manipulatie van de Registry werd Pretty Park door EXE-bestanden uitgevoerd. Dat leidde ertoe dat alle EXE-bestanden als geïnfecteerd werden gerapporteerd. Voor gebruikers van Outlook wordt in november in de vorm van Bubbleboy het spookbeeld van "Good-Times" bewaarheid. Het besmet de computer als men een e-mail opent (ook in de previewmodus). Hiervoor maakt Bubbleboy gebruik van een fout in een programmabibliotheek. |
2000 | Ondanks alle voorspellingen is er geen millenniumworm gekomen, die deze titel zou hebben verdiend. Palm/Phage en Palm/Liberty-A zijn weliswaar zelden doch uitstekend in staat om PDA's met PalmOS te besmetten. De VB-script-worm VBS/KAKworm maakt misbruik van een zwakke plek in scriplets en typelibs van Internet Explorer. Net zoals Bubbleboy verspreidde het zich bij het openen van een e-mail (ook in de previewmodus). In mei verstuurt een worm een lawine van e-mails vanuit het Outlook-adresboek met als onderwerp "I love you" en richt een miljardenschade aan, vooral binnen de bedrijfsnetwerken van grote ondernemingen. Ook ditmaal raakten de netwerken binnen de kortste keren overbelast. Van de oerversie van de Filippijnse student Onel de Guzman worden talrijke varianten afgeleid. Amerikaanse experts betitelen het als het kwaadaardigste virus uit de geschiedenis van de computers. De maker van W95/MTX doet alle mogelijke moeite om de worm/virushybride van computers te verwijderen. Hij verzendt een e-mail met een PIF-bestand met dubbele bestandsextensie. Hij blokkeerde de toegang van de browser tot een aantal websites van fabrikanten van antivirus-software, besmette bestanden met de viruscomponenten en verving een aantal bestanden door de wormcomponenten. Na Loveletter en de vele varianten daarop, werden e-mails met het betreffende onderwerp eenvoudig uitgefilterd door MailGateways. Stages of Life varieerde de onderwerpregel en slipte zo door de mazen van het net. In september ontstaat in Zweden met Liberty de eerste trojan voor PDA’s. Hij zet zichzelf over tijdens de synchronisatie met de computer en verwijdert dan updates. |
2001 | In februari komt een e-mail-worm in omloop diens waarvande bijlage zogenaamd een foto van de Russische tennisster Anna Kournikova bevat. Wie de bijlage opent, installeert de worm die zichzelf aan alle adressen uit het Outlook-adresboek stuurt. Ook Naked wordt via e-mail verspreid. Het doet zich voor als een Flash-animatie van een blote vrouw. Na het openen installeert het zich en verstuurt het zichzelf aan alle Outlook-adressen. Aangezien het ook Windows- en systeemdirectory’s verwijdert, maakt het de computer onbruikbaar. Alleen met een herinstallatie van het besturingssysteem kan de computer weer in gebruik worden genomen. Code Red maakt in juli misbruik van een buffer-overflowfout in de Internet Information Server (IIS) Indexing Service DLL van Windows NT, 2000 en XP. Het scant willekeurige IP-adressen op de standaardpoort voor internetverbindingen en brengt een trojan over die tussen de 20e en 27e van een maand een Denial of Service (DoS)-aanval lanceert tegen de website van het Witte Huis. De verwijdering van het virus is zeer kostbaar en verslindt miljarden. In juli verspreidt SirCam zich via netwerken en via Outlook Express en introduceert enkele vernieuwingen. Hij zorgt ervoor dat hij bij elke start van een EXE-bestand wordt geactiveerd. Als eerste worm beschikt hij over een eigen SMTP-engine. Hij verstuurt echter niet alleen zichzelf, maar ook persoonlijke bestanden die hij op de computer vindt. Met Nimda verspreidt zich in september een internetworm die niet afhankelijk is van acties van de gebruiker. Hij gebruikt voor de verspreiding behalve e-mails ook veiligheidshiaten in programma’s. Talrijke webservers raken overbelast en besmette bestandssystemen zijn voor de hele wereld toegankelijk. In november gebruikt de geheugenresidente worm Badtrans een veiligheidshiaat in Outlook en Outlook Express om zich te verspreiden. Hij installeert zich als dienst, beantwoordt e-mails, achterhaalt wachtwoorden en registreert toetsenbordaanslagen. |
2002 | De worm "MyParty" toont aan het begin van het jaar aan dat niet alles wat op “.com” eindigt een website is. Wie dubbelklikt op het bijgevoegde bestand "www.myparty.yahoo.com" krijgt in plaats van de verwachte beelden een worm met backdoor-componenten. In het voorjaar en de zomer misbruikt Klez het IFRAME-beveiligingslek in Internet Explorer om zichzelf automatisch te installeren bij het bekijken van een e-mail. Hij verspreidt zich per e-mail en netwerken en hecht zich aan uitvoerbare bestanden. Op de 13e dag van even maanden (in latere versies zijn dit andere dagen) worden alle bestanden op alle bereikbare stations overschreven met een willekeurige inhoud. De schade is alleen te herstellen door back-ups terug te zetten. In mei verspreidt Benjamin zich als eerste worm via het KaZaA-netwerk. Het kopieert zichzelf onder vele verschillende namen in een netwerkmap. Op besmette computers wordt een website getoond met een advertentie. Voorheen zijn ook op Gnutella gebaseerde P2P-netwerken besmet. Lentin is een worm die misbruik maakt van het feit dat veel mensen niet weten dat SCR-bestanden niet alleen screensavers zijn, maar ook uitvoerbare bestanden. In vergelijking met Klez is het effect dat Lentin heeft op het beeldscherm niet meer dan storend. Ook de verspreiding ervan is minder ernstig dan die van Klez. Eind september verspreidt Opasoft (ook wel Brazil genoemd) zich als een epidemie. Op poort 137 scant hij computers in netwerken en controleert of hier bestands- en/of printervrijgaven beschikbaar zijn. Daarna probeert hij zich naar de computer te kopiëren. Als er sprake is van een wachtwoordbeveiliging, wordt de lijst met wachtwoorden doorlopen en een zwakke plek in de opslag van wachtwoorden misbruikt. Tanatos alias BugBear is, sinds het voorjaar, de eerste worm die Klez van de eerste plaats in de ranglijst weet te verdrijven. De worm verspreidt zich via e-mail en netwerken, installeert een spyware-component en verzendt een registratie van toetsaanslagen. |
2003 | In januari besmet "SQL-Slammer" binnen één uur minimaal 75.000 SQL-servers en legt hiermee gedurende enkele uren het internet plat. Hij maakt gebruik van een sinds 6 maanden bekende zwakke plek in Microsoft SQL-Server om databaseservers te neutraliseren. Omdat SQL-Slammer alleen uit een fictieve aanvraag bestaat en niet als bestand in het geheugen wordt geladen, werd hij niet herkend door anitvirus-programma’s. Het gevolg: in Seattle vielen de alarmnummers van politie en brandweer uit, bankautomaten van de Bank of America werkten niet, 14.000 postkantoren in Italië bleven dicht, de online-beurshandel had ernstige problemen. In Korea was KT Corp tijdelijk volledig weg van het net. Daar daalde met het sterk gedaalde handelsvolume ook de index met 3%. In China blokkeerde men het volledige buitenlandse netverkeer. In augustus verspreidt zich Lovesan (alias Blaster) zelfstandig via het internet. Hij maakt gebruik van een veiligheidslek in de RPC/DCOM-dienst dat 4 weken daarvoor al door Microsoft was gedicht en besmet willekeurig per IP-adres geselecteerde computers. Binnen de kortste keren waren honderdduizenden computers (naar verluidt 570.000) besmet. Kort hierna begon Welchia (alias Nachi) Lovesan/ Blaster van de computers te verwijderen en het RPC/DCOM-veiligheidshiaat te dichten. Eind augustus 2003 werd de 18-jarige Jeffrey Lee Parsons als auteur van Lovesan gearresteerd. Hij werd in maart 2005 veroordeeld tot een hoge geldboete die met toestemming van Microsoft in een wekelijkse taakstraf van ruim drie jaar werd omgezet. De massamailworm "Sobig.F" vestigt met zijn eigen mailengine een nieuw record voor de verspreidingssnelheid. Hij verspreidt zich 10 keer sneller dan alle wormen tot dat moment. |
2004 | Virussen ontwikkelen zich tot wapens binnen de georganiseerde misdaad. Talloze trojanen achterhalen wachtwoorden, creditcardnummers en andere persoonlijke gegevens. Backdoors zorgen ervoor dat computers op afstand bestuurbaar worden en integreren ze op deze manier in zogenoemde botnets. Met de zombies van een botnet worden tijdens het EK Voetbal Denial-of-Service-aanvallen op online-gokkantoren uitgevoerd. De exploitanten betalen noodgedwongen de eisen van de afpersers. Rugrat is het eerste virus voor 64-bit-Windows. Cabir, het eerste virus voor mobiele telefoons met het besturingssysteem Symbian en een Bluetooth-interface, is ontwikkeld door Gruppe 29A die bekend is om haar Proof of Concept-virussen. Kort daarop volgt van dezelfde groepWinCE4Dust.A, het eerste PoC-Virus voor Windows CE. |
2005 | Als eerste worm voor Symbian smartphones verspreidt CommWarrior.A zich via MMS. De MMS-berichten worden aan alle nummers in het telefoonboek verstuurd en worden vergezeld van wisselende begeleidende teksten over antivirus-software, spelen, drivers, emulatoren, 3D-software of interessante afbeeldingen. |
Malware-geschiedenis
- De vroege jaren
- 1988 -1994
- 1995 - heden
Info
Malwarehistorie
Malwarecategorieën
Tips&trucs
Achtergrondinformatie
© 2007 - 2010 G Data Software AG. Alle rechten voorbehouden
