Perangkat lunak berbahaya yang tercatat dalam riwayat. Bagian III

Subjek seni dapat berupa gambar, pahatan, puisi, simfoni, dan bahkan virus komputer, betapapun aneh kedengarannya. Sayangnya, pembuatan virus akhir-akhir ini penuh dengan keuntungan dari kreasi mereka atau membahayakan orang lain. Namun, pada awal teknologi komputer, penulis virus adalah seniman sejati, yang warnanya potongan kode, dicampur dengan terampil, mereka berubah menjadi sebuah mahakarya. Dan tujuan mereka bukan untuk menyinggung seseorang sedemikian rupa untuk menyatakan diri, untuk menunjukkan kecerdasan dan kecerdikan mereka, dan, kadang-kadang, hanya untuk menghibur orang. Hari ini kita akan melanjutkan perkenalan kita dengan berbagai kreasi penulis virus, yang dengan satu atau lain cara layak mendapat perhatian kita. (Jika Anda ingin membiasakan diri dengan bagian-bagian sebelumnya, berikut tautannya: Bagian I dan Bagian II )

Fork bomb (Semuanya cerdik itu sederhana) - 1969

Fork bomb bukanlah virus atau worm yang terpisah, tetapi keluarga malware yang sangat sederhana. Struktur kode bom Fork dapat terdiri dari hanya 5 baris. Menggunakan beberapa bahasa untuk menulis malware semacam ini menghilangkan kebutuhan untuk menggunakan titik dua, tanda kurung, dan kadang-kadang semua karakter alfanumerik.

Ada bom Fork dengan cara yang sangat sederhana: sebagai permulaan, program memuat dirinya ke dalam memori, di mana ia menciptakan beberapa salinan sendiri (biasanya dua). Selanjutnya, masing-masing salinan ini membuat salinan sebanyak yang asli, dan seterusnya sampai memori benar-benar penuh, yang menyebabkan sistem crash. Bergantung pada perangkat, proses ini memakan waktu dari beberapa detik hingga beberapa jam.

Salah satu kasus pertama yang dicatat dari bom Fork adalah kemunculannya pada komputer Burroughs 5500 di Universitas Washington pada tahun 1969. Malware ini bernama RABBITS. Pada tahun 1972, penulis virus Q The Misanthrope menciptakan program serupa di BASIC. Sangat lucu bahwa pada saat ini penulis berada di kelas 7. Ada juga kasus di perusahaan yang tidak dikenal, pada tahun 1973, ketika IBM 360 mereka terinfeksi dengan program kelinci. Akibatnya, seorang karyawan muda yang dituduh menyebarkan virus dipecat.

Cascade (jatuh) - 1987

Salah satu virus paling lucu pada masanya. Mengapa kita mencari tahu lebih lanjut.

Ketika virus memasuki sistem dan diaktifkan, itu pertama-tama memeriksa keberadaan garis “COPR. IBM. " Jika ada satu, virus seharusnya berhenti dan JANGAN menginfeksi mesin ini, tetapi karena kesalahan dalam kode virus, infeksi tetap terjadi. Selanjutnya, Cascade menjadi residen di memori. Virus menginfeksi file .com apa pun ketika yang terakhir diluncurkan. Cascade mengganti 3 byte pertama file dengan kode yang mengarah ke kode virus itu sendiri.

Dan sekarang untuk hasil virus. Mereka mulai berlaku jika file yang terinfeksi diluncurkan dari 1 Oktober hingga 31 Desember 1988. Semua karakter di layar DOS mulai secara acak jatuh, secara harfiah, turun layar. Itu sebabnya virus itu bernama Cascade (cascade). Terkadang pada saat yang sama beberapa suara direproduksi.

Setelah menyebar di seluruh dunia, banyak varian Cascade muncul - sekitar 40. Beberapa dari mereka diciptakan oleh penulis sebelumnya dengan harapan memperbaiki bug dengan mengenali hak cipta IBM, namun, varian virus ini terus berhasil menginfeksi sistem raksasa komputer. Pilihan lain alih-alih air terjun karakter mengarah ke memformat hard drive atau hanya berisi semacam pesan. Bagaimanapun, itu adalah virus Cascade asli yang banyak diingat.

Lucu bahwa penulis mencoba menghindari menginfeksi komputer IBM, tetapi pada saat yang sama tidak hanya yang terinfeksi, tetapi seluruh kantor di Belgia adalah korban. Akibatnya, IBM merilis antivirusnya kepada publik, yang sebelumnya hanya digunakan di dalam perusahaan.

Tidak ada yang diketahui tentang asal usul virus dan pembuatnya. Ada spekulasi bahwa Cascade ditulis oleh seseorang dari Jerman atau Swiss.

Eddie (Hallowed Be Thy Name) - 1988

Salah satu virus Bulgaria pertama dan ciptaan pertama Avenger Gelap, yang menjadi sangat terkenal bukan hanya karena virusnya, tetapi juga untuk apa yang disebut Gelap Avenger Mutation Engine (tentangnya beberapa saat kemudian). Dark Avenger menamakan virusnya untuk menghormati simbol kelompok Iron Maiden - kerangka bernama Eddie.

Setelah memasuki komputer, virus menjadi residen memori. Para korban infeksi adalah file .com dan .exe. Pada saat yang sama, tidak perlu menjalankan program-program ini untuk infeksi, cukup dengan membacanya (menyalin, memindahkan, memeriksa isi file). Ada juga kemungkinan infeksi oleh perangkat lunak antivirus, yang dapat menyebabkan infeksi pada file apa pun yang dipindai oleh perangkat lunak ini. Setelah setiap infeksi ke-16, virus menulis ulang sektor acak.


Siapa penulis beberapa dari mereka masih belum diketahui. Opsi Eddie yang keluar dari pena Dark Avenger:

• Eddie.V2000 - berisi "pesan" berikut: "Salin saya - Saya ingin bepergian"; "© 1989 oleh Vesselin Bontchev."; "Hanya yang Baik mati muda ..."
• Eddie.V2100 - berisi kata-kata "Eddie hidup" dan, jika ada virus Anthrax di sektor terakhir dari disk, dipindahkan ke tabel partisi, dengan demikian memulihkan virus.

Untuk waktu yang lama, Eddie mempertahankan status virus Volgar yang paling umum, sementara itu direkam di Jerman Barat, Amerika Serikat dan Uni Soviet.

Bapa Natal (Ho-ho-ho) - 1988

Sesaat sebelum Natal (Katolik) pada tahun 1988, cacing Bapa Natal memulai perjalanannya melalui DECnet (versi awal Internet, katakanlah begitu). Tempat kelahiran cacing dianggap sebagai Universitas Neuchâtel di Swiss.

File HI.COM bertindak sebagai worm, yang menyalin dirinya dari satu node DECnet ke yang lain. Kemudian ia mencoba meluncurkan dirinya menggunakan Task Object 0 (program yang memungkinkan Anda melakukan tindakan antara dua komputer yang terhubung) atau melalui login dan kata sandi DECnet. Jika peluncuran gagal, worm menghapus file HI.COM dari sistem korban. Jika berhasil, worm tersebut dimuat ke dalam memori, setelah itu menggunakan proses MAIL_178DC untuk menghapus file HI.COM. Cacing kemudian mengirimkan spanduk SYS $ ANNOUNCE ke 20597 :: PH KONSOLIDASI, setelah itu memeriksa jam sistem. Jika waktu infeksi turun antara 00:00 dan 00:30 pada 24/12/1988, worm akan membuat daftar semua pengguna sistem dan mengirimkan salinannya kepada mereka. Jika infeksi terjadi setelah pukul 00:30 dari tanggal di atas, maka cacing itu tidak lagi aktif.

Mencari korban baru, cacing secara acak menghasilkan angka mulai dari 0 hingga 63 * 1024. Ketika nomor yang sesuai ditemukan, ia menyalin file HI.COM ke air korban. Setelah pukul 00:00 pada 24/12/1988, distribusi tidak terjadi.

Father Christmas juga menampilkan pesan (sangat bersahabat, kalau boleh saya katakan tentang malware, karakter):

"Dari: NODE :: Father Christmas 24-DEC-1988 00:00
Kepada: Anda ...
Subj: Kartu Natal.

Hai

Bagaimana kabarmu? Saya kesulitan menyiapkan semua hadiah. Ini
bukan pekerjaan yang mudah. Saya mendapatkan semakin banyak surat dari
anak-anak setiap tahun dan itu tidak mudah untuk mendapatkan yang mengerikan
Rambo-Guns, Tanks and Space Ships di sini di
Kutub utara. Tetapi sekarang bagian yang baik akan datang. Mendistribusikan semua
hadiah dengan giring saya dan rusa benar-benar menyenangkan. Kapan saya
geser ke bawah cerobong asap yang sering kutemukan dengan hadiah
anak-anak, atau bahkan Brandy kecil dari ayah. (Ya!)
Bagaimanapun cerobongnya semakin ketat
tahun. Saya pikir saya harus menjalankan diet saya lagi. Dan sesudahnya

Natal, aku punya liburan besar :-).

Sekarang hentikan komputasi dan bersenang-senanglah di rumah !!!

Selamat natal
dan Tahun Baru yang bahagia

Natal Ayahmu »

Pastor Christmas tidak menjadi penakluk dunia, ia hanya menginfeksi 6.000 mesin, dan hanya 2% dari mereka yang mengaktifkan worm. Namun, ada fakta yang aneh: cacing dari Swiss mencapai Goddard Space Flight Center di pinggiran kota Washington hanya dalam 8 menit.

Pencipta cacing yang tidak biasa dan secara kronologis melekat seperti itu tidak pernah ditemukan. Hanya diketahui bahwa komputer digunakan dari universitas, tempat banyak orang memiliki akses.

Islandia (Eyjafjallajökull) - 1989

Virus pertama yang hanya menginfeksi file .exe pada sistem DOS. Tempat lahir - Islandia.

Icelandic sampai ke komputer dalam bentuk file .exe, pada saat peluncurannya virus memeriksa dirinya dalam memori sistem. Jika tidak ada salinannya, virus menjadi residen. Dia juga memodifikasi beberapa blok memori untuk menyembunyikan kehadirannya. Ini dapat menyebabkan sistem crash jika program mencoba menulis ke blok yang sama. Virus itu kemudian menginfeksi setiap file kesepuluh yang dapat dieksekusi, menambahkan kode sendiri di akhir masing-masing. Jika file itu hanya dibaca, Islandia akan menghapus kodenya.

Jika komputer menggunakan hard drive yang lebih besar dari 10 megabyte, virus memilih area FAT yang tidak digunakan dan menandainya rusak. Operasi ini dilakukan setiap kali file baru terinfeksi.

Ada juga beberapa varietas Islandia, yang berbeda satu sama lain dalam beberapa fungsi dan sifat:

• Icelandic.632 - terinfeksi setiap program ketiga. Ditandai sebagai satu cluster yang rusak pada disk, jika lebih dari 20 megabita;
• Icelandic.B - ditingkatkan untuk mempersulit deteksi oleh beberapa antivirus, tidak melakukan tindakan apa pun selain distribusi;
• Icelandic.Jol adalah sub-varian dari Icelandic.B, yang pada 24 Desember menampilkan pesan di Islandia “Gledileg jol” (“Merry Christmas”);
• Icelandic.Mix1 - pertama kali ditemukan di Israel, menyebabkan distorsi karakter ketika mengirimkannya ke perangkat serial (misalnya, printer);
• Icelandic.Saratoga - dengan kemungkinan 50% terinfeksi file yang sedang berjalan.

Diamond (Bersinar terang seperti berlian) - 1989

Virus lain dari Bulgaria. Diasumsikan bahwa penulisnya adalah Dark Avenger, karena virus ini memiliki banyak kesamaan dengan ciptaan pertamanya, Eddie.

Ketika program yang terinfeksi diluncurkan, virus menembus memori, menempati 1072 byte. Virus memeriksa program yang mengganggu monitor 1 atau 3. Jika ada, pemeriksaan ini menyebabkan sistem membeku dan virus tidak dapat lagi mereplikasi dirinya sendiri. Jika tidak ada program seperti itu, Diamond bergabung dengan program apa pun yang berjalan yang beratnya kurang dari 1024 byte. Selama infeksi, virus menghindari file COMMAND.COM. Juga dalam virus itu sendiri, dimungkinkan untuk mendeteksi garis yang membuatnya mudah untuk mengidentifikasi - "7106286813".

Diamond menjadi nenek moyang dari beberapa variannya, yang berbeda dalam jenis efek pada sistem yang terinfeksi dan metode penyebaran dan infeksi:

Batu stabil

Virus 666-byte yang tidak menjadi residen memori jika infeksi terjadi pada tanggal 13 setiap bulan. Sebagai gantinya, ia memformat 1 hingga 10 sektor pertama pada hard drive pertama. Setelah itu, saya menimpa 32 sektor pertama dari drive C: dengan data sampah dan mem-boot ulang sistem. Ini pertama kali ditemukan di Montreal (Kanada).

Cukup penasaran adalah cara file itu terinfeksi. Untuk mulai dengan, Rock Steady memeriksa "berat" file: kurang dari 666 byte (untuk format apa pun) dan lebih dari 64358 byte (untuk file .com). Selanjutnya, virus memeriksa apakah nama file dimulai dengan huruf "MZ" dan "ZM", setelah itu mereka mengubahnya dari "ZM" menjadi "MZ" dan sebaliknya. Virus ini juga mengubah nilainya menjadi 60 dan menghilangkan "berat" nya sebesar 666 byte dari ukuran file yang terinfeksi.

David

Mungkin berasal dari Italia. Ini pertama kali terlihat pada Mei 1991. Versi pertama virus ini tidak dapat menginfeksi file .exe, tetapi sub-versinya, dirilis pada Oktober 1992, sudah memiliki kemungkinan ini. Itu menyebabkan sistem sering crash ketika file .com dieksekusi, sementara selama infeksi virus tidak menghindari file COMMAND.COM, seperti aslinya. Jika file .exe yang terinfeksi diluncurkan pada hari Selasa, virus memformat disk. Juga ditampilkan di layar bola ping-pong melompat dan pesan sebagai berikut:

© David Grant Virus Research 1991 PCVRF Disribuite virus ini
bebas !!! ... ah ... John ... Persetan dengan Anda!

Kerusakan

Ada pendapat bahwa virus ini dibuat oleh orang yang menulis David, karena Kerusakan juga ditemukan pada Mei 1991, juga di Italia. Virus menginfeksi file, yang ukurannya melebihi 1000 byte, sementara tidak menghindari file COMMAND.COM. Jika jam sistem menunjukkan 14:59:53, berlian multi-warna muncul di layar, yang pecah menjadi berlian yang lebih kecil, yang menghilangkan karakter dari layar. Ungkapan “Kerusakan” (yang namanya didapat) dan “Langsung untuk kegembiraan !!!” ditemukan dalam kode virus.

Lucifer

Virus lain dari Italia, ditemukan pada Mei 1991. File terinfeksi lebih dari 2 kilobyte, termasuk COMMAND.COM. Jika cap waktu file adalah pukul 12:00 sebelum infeksi, virus akan hilang setelah infeksi.

Greemlin

Oh, ini Italia, oh, Mei 1991 ini. Virus ini juga dari sana. Sangat memperlambat sistem (sekitar 10%). Pada tanggal 14 Juli setiap tahun, saya menulis ulang beberapa sektor drive A:, B: dan C :.

Ada beberapa opsi lain, tetapi fitur utama mereka adalah bahwa mereka tidak memeriksa ketersediaan salinan mereka dalam file korban, yang menyebabkan infeksi ulang pada yang terakhir.

Alabama (Alabama Shakes) - 1989

Virus di bawah sistem DOS yang menginfeksi file .exe. Ketika file yang terinfeksi diaktifkan, virus menjadi residen memori. Namun, tidak seperti virus residen lainnya, Alabama tidak menginfeksi file ketika dijalankan. Virus mencari file untuk infeksi dalam direktori ini, dan jika tidak berhasil, hanya kemudian beralih ke metode infeksi file yang diaktifkan. Juga, pada hari Jumat, alih-alih menginfeksi file, virus membuka beberapa file arbitrer alih-alih apa yang ingin dibuka pengguna. Alabama menampilkan teks yang berkedip di layar satu jam setelah infeksi sistem:

SALINAN PERANGKAT LUNAK DILARANG OLEH HUKUM INTERNASIONAL ...
Kotak 1055 Tuscambia ALABAMA USA.

Dark Avenger Mutation Engine (DAME) - 1991

Ini bukan virus, tetapi modul ini membuat Avenger Gelap tertentu, yang kami sebutkan sebelumnya, sangat terkenal.

Ketika virus menggunakan DAME menginfeksi file, ransomware memberikan kode virus sebagai sampah. Dan ketika file dibuka, decoder mengembalikan kode virus ke bentuk kerja sebelumnya.

Dark Avenger juga menambahkan arsip yang berisi modul terpisah untuk menghasilkan angka acak, yang, ketika digunakan, membantu penyebaran virus.

Berkat modul DAME, menjadi jauh lebih mudah bagi penulis virus untuk membuat virus polimorfik, meskipun kompleksitas penerapan modul dalam kode virus asli. Selain itu, penggunaan modul memungkinkan untuk membuat banyak varian dari virus yang sama. Menurut peneliti malware, pada akhir 1992, ada sekitar 900.000 varietas varian virus yang menggunakan DAME.

Starship (Kembali di Uni Soviet) - 1991

Jadi kami sampai di tanah kelahiran kami. Virus Starship dibuat di Uni Soviet. Tetapi ciri khasnya tidak berakhir di sana.

Sangat rumit, pada satu waktu, dan tidak biasa adalah metode infeksi dengan virus Starship. Virus ini menginfeksi file seperti .com dan .exe. Ketika file-file ini dibuka, Starship menginfeksi rekaman boot master. Pada saat yang sama, virus tidak menjadi residen memori dan tidak menginfeksi file .com dan / atau .exe lainnya. Starship memodifikasi tiga byte dalam tabel data yang dipartisi dan menyuntikkan kodenya ke dalam 6 sektor berturut-turut dari trek terakhir hard drive.

Starship juga melacak berapa kali komputer booting. Ketika ini terjadi, virus memuat dirinya ke dalam memori video, di mana ia didekripsi (dengan kata lain, dikerahkan). Saat berada dalam memori video, virus tersebut melanggar interupsi untuk melindungi dirinya dari ditulis ulang pada hard disk dan menunggu penyelesaian program pertama yang dihadapinya. Ketika ini terjadi, virus pindah sendiri ke memori utama, di mana ia menempati 2.688 byte.

Starship kemudian menginfeksi file .com dan .exe pada drive A: dan B:. Pada saat yang sama, ia menambahkan kodenya di dalam file hanya setelah ditutup, sehingga mempersulit pendeteksian.

Hasil virus itu terlihat setelah 80 unduhan komputer. Untuk suara melodi di layar, piksel berwarna ditampilkan, masing-masing menunjukkan salah satu koneksi ke disk.

Groove ("Ketika Anda mendapatkan groove, waktu berlalu") - 1992

Dan ini hanya virus yang menggunakan kreasi Dark Avenger DAME untuk enkripsi (paragraf 8). Groove adalah virus pertama yang menggunakan modul tersebut untuk menginfeksi file .exe. Tanah air dari perangkat lunak berbahaya ini adalah Jerman, meskipun ia berhasil menyebar ke seluruh dunia, bahkan mencapai Amerika Serikat.

Virus, setelah mengaktifkan file yang terinfeksi, terletak di memori "tinggi", di bawah batas


Virus Groove melampirkan kodenya ke file .com dan .exe yang dijalankan pengguna. Pada saat yang sama, untuk menginfeksi file .exe, yang terakhir harus lebih kecil dari ukuran tertentu (sayangnya, saya tidak menemukan informasi tentang yang mana). Infeksi program menyebabkan terganggunya pekerjaan mereka. Dan infeksi COMMAND.COM ke ketidakmampuan untuk mem-boot sistem.

Setelah 00:30, virus menampilkan pesan:

Jangan khawatir, Anda tidak sendirian pada jam ini ...
ThisVirus TIDAK didedikasikan untuk Sara
yang didedikasikan untuk Groove-nya (... Itu nama saya)
Virus ini hanya tes Virus di sana untuk
siap untuk Tes Selanjutnya saya ....

Untuk memperpanjang keberadaannya, virus menghapus atau merusak file yang berkaitan dengan program anti-virus.

Qark's Incest family («we are family, I got all my sisters with me…») — 1994

, «» Qark, «VLAD» (Virus Labs & Distribution). Qark 1994 1997 .

« » .

Daddy

MCB (Memory Control Block), , MCB . MCB (0x0008 — command.com) INT 21h.

. Daddy FCB findfirst/findnext. .

Daddy :

[Incest Daddy]
by Qark/VLAD

Mummy

MS-DOS , .COM .EXE. .com , .exe. .exe, INT 21h.

Daddy, . Mummy : - .com . ASCII FindFirst, . .

Mummy :

[Mummy Incest] by VLAD of Brisbane.
Breed baby breed!

Sister

MCB, Daddy. : , , Chmod, . «magic» MZ.

Sister:

[Incest Sister]
by VLAD — Brisbane, OZ

Brother

, , «»: MCB, INT 21h. Central Point Anti-Virus Microsoft Anti-Virus. 62.

Tentacle (I'm the Tentacle Virus!) — 1996

, , . .

Windows. — .exe. 1 , Windows — 2. .

Tentacle ( ), 00:00 00:15.

:

Peringatan Virus! File ini terinfeksi Win.Tentacle

CAP (Dios y Federacion) - 1996

Virus makro di bawah Word ditulis oleh Jacky Qwerty dari Venezuela. Namun, beberapa minggu kemudian dia menyebar ke seluruh dunia.

Virus mengandung 10 hingga 15 makro, tergantung pada versi bahasa Word. Jika bahasanya adalah bahasa Inggris, maka makro adalah sebagai berikut:

• Cap
• AutoExec
• Buka Otomatis
• Fileopen dibuka
• Autoclose
• Simpan File
• FileSaveAs
• Filetemplates
• ToolsMacro
• Mengisi

Pada versi bahasa lain, virus menciptakan 5 makro tambahan, yang merupakan salinan dari lima daftar terakhir di atas. Ketika file yang terinfeksi diaktifkan, virus CAP menghapus makro dari NORMAL.DOT, menggantikannya dengan miliknya sendiri. Tetapi tombol Macro, Customize, dan Templates menghilang dari menu drop-down. Jika ada ikon di bilah alat, itu hanya berhenti berfungsi.

Saat mendekripsi makro, Anda bisa melihat pesan berikut:

'CAP: Un virus social ... y ahora digital ...
' “j4cKy Qw3rTy” (jqw3rty@hotmail.com).
'Venezuela, Maracay, Dic 1996.
' PD Que suka gochito? Serial Nunca Simon Bolivar ... Bolsa!

Esperanto ("Saya membuat film di Esperanto") - 1997

. Microsoft Windows DOS x86 , MacOS Motorola PowerPC .

Windows DOS

, , . , . .com .exe . DOS, NewEXE Portable EXE.

MacOS

Untuk infeksi yang berhasil pada file di akhir kode virus adalah sumber daya MDEF khusus. OS akan menafsirkan kode Intel sebagai sampah dan akan segera melanjutkan ke pemrosesan kode Motorola. Ini mengarah pada fakta bahwa kode dijalankan oleh sistem operasi tanpa emulasi, yang memungkinkan virus menjadi penghuni dalam memori. Kemampuan virus untuk berjalan di MacOS dengan prosesor PowerPC berasal dari persaingan Motorola di inti Macintosh. Mengingat infeksi file sistem, virus diaktifkan pada startup sistem. Esperanto juga menginfeksi Finder, yang menyebabkan infeksi pada file apa pun yang dibuka melalui program ini. Seperti halnya Windows dan DOS, hanya satu salinan virus yang dapat berjalan pada MacOS pada satu waktu.

Esperanto dapat dengan mudah beralih dari Windows ke MacOS dan sebaliknya. Untuk menginfeksi komputer MacOS melalui file .com dan .exe, virus membuang sumber daya MDEF yang mengandung virus. Dan untuk menginfeksi file .com dan .exe dari file MacOS, virus mencari file executable Windows yang berjalan di emulator.

Pada tanggal 26 Juli, virus menampilkan pesan (jika virus menggunakan sistem Windows 32-bit):

Jangan pedulikan kultur Anda / Ne gravas via kulturo,
Esperanto akan melampauinya / Esperanto preterpasos gxin;
tidak peduli perbedaan / ne gravas la diferencoj,
Esperanto akan mengatasinya / Esperanto superos ilin.

Jangankan prosesor / Ne gravas Anda melalui procesoro,
Esperanto akan bekerja di dalamnya / Esperanto funkcios sub gxi;
tidak peduli platform Anda / Ne gravas via platformo,
Esperanto akan menginfeksinya / Esperanto infektos gxin.

Sekarang bukan hanya bahasa manusia, tetapi juga virus ...
Mengubah mustahil menjadi mungkin, Esperanto.

26 Juli tidak dipilih secara kebetulan, karena liburan ini adalah Hari Esperanto. Pada 26 Juli 1887, Ludwik Lazar Zamenhof menciptakan bahasa universal yang disebut Esperanto.

Gollum ("my preciousss") - 1997

GriYo, DOS/Windows .

Gollum .exe, , «v» «TB», .

GOLLUM.386. system.ini DEVICE=GOLLUM.386. .

Gollum . .exe DOS , .

Hasil dari virus Gollum adalah penghapusan database dari beberapa program anti-virus dan pengenalan Trojan GOLLUM.EXE ke dalam sistem.

Teks berikut ini juga dapat dideteksi dalam kode virus:

GoLLuM ViRuS oleh GriYo / 29A
Jauh di bawah sini oleh air gelap hidup
Gollum tua , makhluk berlendir kecil. Saya tidak tahu dari
mana asalnya, atau siapa atau apa dia.
Dia adalah seorang Gollum - gelap seperti kegelapan, kecuali
untuk dua mata pucat bulat besar di wajahnya yang kurus.
JRR ToLkieN ... HoBBit

Ini adalah kutipan dari buku The Hobbit oleh J. R. R. Tolkien, yang menggambarkan makhluk bernama Gollum, yang juga akrab bagi banyak orang dari buku The Lord of the Rings, juga dari adaptasi dari Peter Jackson. Makhluk inilah yang memberi nama pada virus itu sendiri.

Babylonia (seashell) - 1999

Virus Brasil dari pena penulis virus Vecna ​​yang menginfeksi file .exe pada komputer yang menjalankan Windows 9x.

Setelah ekstraksi, virus tidak segera menjadi aktif, untuk permulaan, ia menambal JMP atau CALL dan sedang menunggu panggilan. Virus memindai kernel OS, menerima alamat fungsi Windows API, dan menginstal sendiri dengan kedok driver sistem VxD.

Virus mengalokasikan sejumlah memori, membuat pengikatan pada penangan IFS. Setelah itu saya mengharapkan akses ke file Help, Portable Executables, dan WSOCK32.DL. Juga, virus Babylonia memindai sistem untuk pustaka anti-virus SPIDER.VXD dan AVP.VXD yang diunduh. Jika ada, virus menambalnya, akibatnya mereka tidak bisa lagi membuka file.

Ketika virus Babylonia menginfeksi portable executable, ia menempel pada sektor terakhir atau menimpa bagian .reloc. Bagian CODE juga akan dipindai untuk mencari ruang yang tersedia untuk melakukan panggilan ke virus. File bantuan terinfeksi dengan melewati kontrol ke kode virus melalui fungsi panggil balik API USER32 EnumWindows.

Virus menyebar melalui email. Pertama-tama, dia menambahkan kodenya ke fungsi send () di WSOCK32.DLL. Ini mengarah pada fakta bahwa dalam semua surat yang dikirim pengguna dari mesin yang terinfeksi, ada file terlampir yang terinfeksi virus yang disebut X-MAS.exe dengan ikon Natal.

Versi Windows yang lebih baru tidak dapat terinfeksi, karena Babylonia memiliki panggilan VxD khusus yang khusus untuk Windows 9x.

Virus Babylonia dapat diperbarui menggunakan modul pembaruan online. Modul ini terletak di folder Sistem Windows dengan nama KERNEL32.EXE, yang diluncurkan ketika sistem itu sendiri dimulai. Juga, itu tidak dapat dilihat dalam daftar tugas melalui CTRL + ALT + DEL.

Meskipun virus Babylonia tidak menyebar luas dan tidak menjadi ancaman global, metode penyebarannya, infeksi, dan modul pembaruan memungkinkan virus ini untuk mendapatkan popularitas.

Saya tidak menemukan data mengenai nama virus ini. Namun, Babylonia adalah nama dari genus gastropoda laut. Dapat juga diasumsikan bahwa nama virus berasal dari kata "Babel" (Babel adalah kota di Mesopotamia Kuno).

Sialan (sialan, virus lagi) - 2000

Virus untuk sistem seri Windows 9x yang berasal dari Rusia.

Ketika diaktifkan, virus memuat dirinya ke dalam memori, setelah itu menginfeksi file .exe yang diaktifkan, menambahkan kode sendiri ke dalamnya.


Semua untuk tujuan yang sama - untuk menyembunyikan diri - virus menghapus driver antivirus VxD AVP dan Spider. Juga tidak terdeteksi oleh debugger Soft-Ice Microsoft.

Setiap bulan, pada hari pertama, virus menyembunyikan semua ikon dari desktop dengan menambahkan nilai "1" ke "HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Kebijakan \ Explorer No Desktop".

Berikut ini dapat dideteksi dalam kode virus Dammit:

DAMMiT oleh ULTRAS [MATRiX]
© 2000

Di mana ULTRAS adalah penulis virus, dan MATRiX adalah jurnal penulis virus, di mana kode untuk virus ini diterbitkan.

Blebla ("Karena tidak pernah ada kisah yang lebih celaka daripada ini tentang Juliet dan Romeo-nya") - 2000

Postworm dari Polandia ditulis dalam Delphi. Dia menjadi salah satu cacing pertama yang dapat diaktifkan tanpa campur tangan pengguna mesin yang terinfeksi. Juga dikenal sebagai Verona atau Romeo dan Juliet.


Dalam surat ini ada 2 file terlampir Myjuliet.chm dan Myromeo.exe. Teks surat itu sendiri berisi HTML, yang menyimpan file yang dilampirkan di folder Temp Windows dan meluncurkan Myjuliet.chm. Yang terakhir, pada gilirannya, mengekstraksi bagian utama worm dari file Myromeo.exe.

Myromeo.exe meluncurkan tugas Romeo & Juliet, yang dapat dilihat di daftar tugas. Dia mencari proses yang disebut HH.exe yang memproses file .chm, dan mencoba untuk menonaktifkannya untuk menghindari memperingatkan pengguna tentang kehadirannya.

Selanjutnya, worm ini menyebar melalui enam server email yang berlokasi di Polandia (belum ada yang bekerja):

• 213.25.111.2 memo.gate.pl
• 194.153.216.60 mail.getin.pl
• 195.117.152.91 dns.inter-grafix.com.pl
• 212.244.199.2 gate.paranormix.net.pl
• 195.116.62.86 madmax.quadsoft.com
• 195.117.99.98 promail.pl

Worm ini juga memiliki mesin SMTP sendiri, yang berupaya membuat koneksi dengan salah satu server di atas untuk mengirim email dengan file MIME yang terlampir.

Terlepas dari kenyataan bahwa worm tidak menyebabkan banyak kerusakan, ia menerima cukup banyak publikasi di media.

YahaSux / Sahay (Saya tidak suka kamu) - 2003

Di antara penulis virus juga memiliki Mozart dan Salieri mereka sendiri. Mereka sama-sama brilian, dan sama banyaknya mereka tidak saling menyukai. Cacing YahaSux adalah ciptaan Gigabyte, yang tampaknya tidak disukai penulis cacing Yaha.

Korban menerima email pada subjek "Fw: Duduk dan kaget ..." dengan konten berikut:

Pikirkan angka antara 1 dan 52.
Katakan dengan lantang, dan terus mengulangi saat Anda membaca.
Pikirkan nama seseorang yang Anda kenal (lawan jenis).
Sekarang hitung tempat mana dalam alfabet, huruf kedua dari nama itu.
Tambahkan nomor itu ke nomor yang Anda pikirkan.
Ucapkan nomornya dengan keras 3 kali.
Sekarang hitung tempat di alfabet yang dimiliki oleh huruf pertama nama depan Anda, dan
kurangi angka itu dari yang baru saja Anda miliki.
Katakan dengan keras 3 kali.
Sekarang duduk, tonton slide show terlampir, dan kaget ..

File ini dilampirkan pada surat itu adalah screensaver MathMagic.scr. Setelah mengaktifkan file worm, salinan dan file executable cacing Yaha nav32_loader.exe ada di folder sistem. Jika pencarian tidak menghasilkan apa-apa, YahaSux menyalin dirinya ke folder dengan kedok file winstart.exe.

Selanjutnya, pertarungan melawan Yaha yang dibenci menjadi lebih menyenangkan. YahaSux mencoba untuk membatalkan proses yang disebut WinServices.exe (atau WINSER ~ 1.EXE), yang terkait dengan Yaha.K. Menghapus file yang dapat dieksekusi Yaha.K dari registri kunci, mengembalikan nilai aslinya. Juga, perubahan dibuat dalam koneksi WinServices (nilainya ditetapkan seperti ini: Default = (direktori sistem) \ winstart.exe), yang memungkinkan worm untuk memulai secara otomatis ketika sistem dihidupkan.

YahaSux juga membuat file yahasux.exe di folder sistem dan di folder Download Mirc. Dia melampirkan dirinya ke semua file .exe di folder mirc \ download di Program Files, dan di root pada drive C: dia menambahkan file MathMagic.scr.

Cacing menyebar dengan mengirimkan dirinya sendiri ke semua penerima di daftar Buku Alamat Outlook.

Setelah 40 detik aktivitas, sistem PC yang terinfeksi dimatikan. Setelah me-reboot dan menghapus file lain yang terkait dengan Yaha.K - tcpsvs32.exe, worm YahaSux menampilkan jendela berikut ini dengan pesan:



Mengapa Gigabyte, penulis YahaSux, sangat tidak menyukai cacing Yaha.K dan penulisnya? Faktanya adalah Yaha.K mengubah halaman beranda di Internet Explorer menjadi coderz.net, yang meng-host halaman web Gigabyte itu sendiri. Semua ini menyebabkan jatuhnya server coderz.net.

Dalam versi barunya Yaha.Q, dalam kode, penulis meninggalkan pesan untuk saingannya:

ke gigabyte: chEErS pAL, kEEp uP tEh g00d w0rK..buT W32.HLLP.YahaSux is ... lolz;)

Begitulah pergulatan kecerdasan.

Lovgate (Buka saya, saya bukan cacing. #Wink) - 2003

Cacing dari Cina yang memiliki sifat-sifat trojan.


Setelah aktivasi, worm tersebut menyalin dirinya ke folder sistem Windows dengan kedok salah satu file:

• Winrpcsrv.exe
• syshelp.exe
• winrpc.exe
• Wingate.exe
• rpcsrv.exe

Untuk memungkinkan dirinya untuk memulai pada saat yang sama dengan sistem dimulai, worm bertindak tergantung pada versi sistem.

Windows 95, 98 atau ME

Baris dijalankan = rpcsrv.exe ditambahkan ke file Win.ini. Jika ada pendaftar pada sistem, maka nilai-nilai "syshelp =% system% \ syshelp.exe", "WinGate menginisialisasi =% sistem% \ WinGate.exe -remoteshell" dan "Module Call menginisialisasi = RUNDLL32.EXE ditambahkan ke kunci registri mesin lokal" reg.dll ondll_reg ".

Nilai "winrpc.exe% 1" juga ditambahkan ke kunci registri sehingga worm dapat diluncurkan setiap kali pengguna membuka file teks.

Windows 2000, NT, atau XP

Worm tersebut menyalin dirinya sendiri ke folder sistem dengan kedok file ssrv.exe dan menambahkan nilai "run = rpcsrv.exe" ke registri kunci mesin lokal.

Juga menambahkan kunci registri Perangkat Lunak mesin lokal \ KittyXP.sql \ Instal.

Setelah tindakan ini, worm tersebut diperkenalkan ke folder sistem, dan kemudian diaktifkan, file-file berikut ini, yang merupakan komponen Trojan-nya: ily.dll; task.dll; reg.dll; 1.dll.

Beberapa file ini dapat mengirimkan informasi ke hello_dll@163.com atau hacker117@163.com. Cacing itu sendiri mendengarkan pada port 10168, menunggu perintah dari penciptanya, yang memiliki akses ke sana melalui kata sandi. Saat memasukkan kata sandi yang benar, worm menyalin dirinya ke folder dengan akses jaringan bersama dengan kedok file-file tersebut:


Selanjutnya, worm memindai sistem untuk mengetahui keberadaan proses LSASS.EXE (layanan otentikasi sistem otentikasi lokal) dan terhubung ke sana. Dia melakukan hal yang sama dengan proses yang bertanggung jawab untuk membuka lingkungan perintah pada port 20168, yang tidak memerlukan otentikasi.

Cacing Lovgate memindai semua komputer di jaringan lokal, mencoba mengaksesnya melalui administrator. Pertama, ia melakukan ini dengan bidang kata sandi kosong, kemudian, jika gagal, menerapkan kata sandi polos berikut:


Jika upaya akses berhasil, Lovgate menyalin dirinya dengan kedok file stg.exe ke folder \ admin $ \ system32 \.

Untuk distribusi lebih lanjut, worm memindai folder "winpath", folder pribadi pengguna dan folder tempat diluncurkannya, untuk keberadaan alamat email dalam file dengan ekstensi yang dimulai dengan .ht (misalnya, .html).

Epilog

Jadi perjalanan kami ke dunia malware telah berakhir. Meskipun banyak pameran hari ini pantas pameran terpisah. Dunia virus, worm, dan trojan sangat besar dan beragam. Ada yang tidak berbahaya, menyebabkan senyum, ada yang merusak, mencuri semua yang mereka temui. Tetapi keduanya adalah hasil dari kerja pikiran yang luar biasa, yang tidak berhenti mencari sesuatu yang baru, tidak berhenti untuk mengeksplorasi. Meskipun orang-orang ini tidak mengarahkan pikiran mereka ke jalan yang paling mulia, mereka masih mengajarkan kita bahwa batas tidak akan pernah tercapai jika kita melihat melampaui itu. Saya tidak ingin menulis virus. Hanya saja, jangan berdiri diam, mengembangkan, mengeksplorasi, dan biarkan pikiran Anda tidak pernah mencapai batas. Semoga harimu menyenangkan dan sampai jumpa lagi.

LANJUTAN HITAM LANJUTAN: diskon 30% untuk pembayaran pertama pada kode promo BLACK30% saat memesan selama 1-6 bulan!

Ini bukan hanya server virtual! Ini adalah VPS (KVM) dengan drive khusus, yang tidak lebih buruk dari server khusus, dan dalam kebanyakan kasus - lebih baik! Kami membuat VPS (KVM) dengan drive khusus di Belanda dan Amerika Serikat (konfigurasi dari VPS (KVM) - E5-2650v4 (6 Cores) / 10GB DDR4 / 240GB SSD atau 4TB HDD / 1Gbps 10TB tersedia dengan harga rendah yang unik - mulai dari $ 29 / bulan) , opsi dengan RAID1 dan RAID10 tersedia) , jangan lewatkan kesempatan untuk melakukan pemesanan untuk server virtual jenis baru, di mana semua sumber daya milik Anda, seperti pada yang khusus, dan harganya jauh lebih rendah, dengan perangkat keras yang jauh lebih produktif!

Cara membangun infrastruktur gedung. kelas menggunakan server Dell R730xd E5-2650 v4 seharga 9.000 euro untuk satu sen? Dell R730xd 2 kali lebih murah? Hanya kami yang memiliki 2 x Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 TV dari $ 249 di Belanda dan Amerika Serikat!