Software malicioso que entrou na história. Parte III

O tema da arte pode ser uma imagem, escultura, poema, sinfonia e até um vírus de computador, por mais estranho que pareça. Infelizmente, a criação de vírus nos dias de hoje está repleta de lucros com a criação ou causando danos a outras pessoas. No entanto, no início da tecnologia dos computadores, os criadores de vírus eram verdadeiros artistas, cujas cores eram pedaços de código, habilmente misturados, transformaram-se em uma obra-prima. E o objetivo deles não era ofender alguém a ponto de se declarar, demonstrar sua inteligência e engenhosidade e, às vezes, apenas divertir as pessoas. Hoje, continuaremos familiarizados com várias criações de criadores de vírus, que de uma maneira ou de outra merecem nossa atenção. (Se você deseja se familiarizar com as partes anteriores, aqui estão os links: Parte I e Parte II )

Fork pump (Tudo engenhoso é simples) - 1969

O fork bomb não é um vírus ou worm separado, mas uma família de malware extremamente simples. A estrutura do código da bomba Fork pode consistir em apenas 5 linhas. O uso de alguns idiomas para escrever esse tipo de malware elimina a necessidade de usar dois pontos, parênteses e, às vezes, todos os caracteres alfanuméricos.

Existe uma bomba Fork de uma maneira muito simples: para iniciantes, o programa se carrega na memória, onde cria várias cópias de si mesmo (geralmente duas). Além disso, cada uma dessas cópias cria tantas cópias quanto o original e assim por diante até que a memória esteja completamente cheia, o que leva a uma falha no sistema. Dependendo do dispositivo, esse processo leva de alguns segundos a várias horas.

Um dos primeiros casos registrados da bomba Fork é sua aparição no computador Burroughs 5500 da Universidade de Washington em 1969. Esse malware foi chamado de COELHOS. Em 1972, o escritor de vírus Q The Misanthrope criou um programa semelhante no BASIC. É engraçado que neste momento o autor estivesse na 7ª série. Também houve um caso em uma empresa desconhecida, em 1973, quando o IBM 360 foi infectado com o programa de coelhos. Como resultado, um jovem funcionário acusado de espalhar o vírus foi demitido.

Cascade (caindo) - 1987

Um dos vírus mais engraçados do seu tempo. Por que descobrimos mais?

Quando o vírus entrou no sistema e foi ativado, primeiro verificou a presença da linha “COPR. IBM ". Se houvesse um, o vírus deveria ter parado e NÃO infectou esta máquina, mas devido a um erro no código do vírus, a infecção ocorreu de qualquer maneira. Em seguida, Cascade tornou-se residente na memória. O vírus infectou qualquer arquivo .com quando o último foi lançado. O Cascade substituiu os 3 primeiros bytes do arquivo pelo código que levou ao código do próprio vírus.

E agora para os resultados do vírus. Eles entraram em vigor se o arquivo infectado foi lançado de 1 de outubro a 31 de dezembro de 1988. Todos os caracteres na tela do DOS simplesmente começaram a cair aleatoriamente, literalmente, na tela. É por isso que o vírus foi nomeado Cascade (cascade). Às vezes, ao mesmo tempo, alguns sons eram reproduzidos.

Depois de se espalharem pelo mundo, muitas variantes do Cascade apareceram - cerca de 40. Algumas delas foram criadas pelo autor anterior na esperança de corrigir um erro ao reconhecer os direitos autorais da IBM; no entanto, essas variantes de vírus continuaram infectando com sucesso os sistemas gigantes de computadores. Outras opções, em vez de uma cascata de caracteres, levaram à formatação dos discos rígidos ou simplesmente continham algum tipo de mensagem. De qualquer forma, foi o vírus original da Cascade que muitos se lembraram.

É engraçado que o autor tenha tentado evitar a infecção de computadores IBM, mas ao mesmo tempo não apenas aqueles foram infectados, mas todo o escritório na Bélgica foi vítima. Como resultado, a IBM lançou seu antivírus ao público, que antes era usado apenas dentro da empresa.

Nada se sabe sobre a origem do vírus e seu autor. Especula-se que Cascade tenha sido escrito por alguém da Alemanha ou da Suíça.

Eddie (Santificado seja o teu nome) - 1988

Um dos primeiros vírus búlgaros e a primeira criação do Dark Avenger, que se tornou extremamente famoso graças não apenas aos seus vírus, mas também ao chamado Dark Avenger Mutation Engine (um pouco mais tarde). O Dark Avenger nomeou seu vírus em homenagem ao símbolo do grupo Iron Maiden - um esqueleto chamado Eddie.

Depois de entrar no computador, o vírus se tornou residente na memória. As vítimas da infecção foram arquivos .com e .exe. Ao mesmo tempo, não havia necessidade de executar esses programas para infecção, bastava simplesmente lê-los (copiar, mover, verificar o conteúdo do arquivo). Também havia uma chance de infecção por software antivírus, o que poderia levar à infecção de qualquer arquivo verificado por este software. Após cada 16ª infecção, o vírus reescreveu um setor aleatório.


Quem é o autor de alguns deles ainda é desconhecido. Opções de Eddie saindo da caneta Dark Avenger:

• Eddie.V2000 - continha as seguintes "mensagens": "Copie-me - quero viajar"; "© 1989 por Vesselin Bontchev."; "Apenas os bons morrem jovens ..."
• Eddie.V2100 - continha as palavras "Eddie vive" e, se houvesse um vírus Anthrax no último setor do disco, o transferia para a tabela de partição, restaurando o vírus.

Durante muito tempo, Eddie manteve o status do vírus Volgar mais comum, enquanto foi registrado na Alemanha Ocidental, nos EUA e na URSS.

Pai Natal (Ho-ho-ho) - 1988

Pouco antes do Natal (católico) em 1988, o worm Father Christmas começou sua jornada pela DECnet (uma versão inicial da Internet, digamos assim). O local de nascimento do verme é considerado a Universidade de Neuchâtel, na Suíça.

O arquivo HI.COM agia como um worm, que se copiava de um nó DECnet para outro. Em seguida, ele tentou se iniciar usando o Objeto de Tarefa 0 (um programa que permite executar ações entre dois computadores conectados) ou por meio de um login e senha DECnet. Se o lançamento falhar, o worm excluirá o arquivo HI.COM do sistema da vítima. Se for bem-sucedido, o worm é carregado na memória, após o qual usa o processo MAIL_178DC para excluir o arquivo HI.COM. O worm envia o banner SYS $ ANNOUNCE para 20597 :: PHSOLIDE, após o qual verifica o relógio do sistema. Se o tempo de infecção cair entre 00:00 e 00:30 em 24/12/1988, o worm cria uma lista de todos os usuários do sistema e envia suas cópias para eles. Se a infecção ocorreu após as 00:30 da data acima, o worm simplesmente deixou de estar ativo.

Em busca de uma nova vítima, o worm gerou aleatoriamente um número que varia de 0 a 63 * 1024. Quando o número apropriado foi encontrado, ele copiou o arquivo HI.COM na água da vítima. Após as 00:00 de 24/12/1988, a distribuição não ocorreu.

Papai Noel também exibiu uma mensagem (muito amigável, se assim posso dizer sobre malware, personagem):

"De: NODE :: Pai Natal 24-DEZ-1988 00:00
Para: Você ...
Assunto: Cartão de Natal.

Oi

Como vai Tive dificuldade em preparar todos os presentes. Isso
não é um trabalho fácil. Estou recebendo mais e mais cartas de
as crianças todos os anos e não é tão fácil conseguir o terrível
Rambo-armas, tanques e naves espaciais aqui em cima no
Polo Norte. Mas agora a parte boa está chegando. Distribuindo tudo
os presentes com meu trenó e os veados é realmente divertido. Quando eu
deslize pelas chaminés, muitas vezes encontro um pequeno presente oferecido por
os filhos, ou até um pouco de conhaque do pai. (Sim!)
De qualquer forma, as chaminés estão ficando cada vez mais apertadas
ano. Eu acho que vou ter que colocar minha dieta novamente. E depois

Natal eu tenho minhas grandes férias :-).

Agora pare de computação e divirta-se em casa !!!

Feliz natal
e um feliz ano novo

Seu pai natal »

Papai Natal não se tornou um conquistador do mundo, ele infectou apenas 6.000 máquinas e apenas 2% delas ativaram o worm. No entanto, há um fato curioso: um verme da Suíça chegou ao Goddard Space Flight Center em um subúrbio de Washington em apenas 8 minutos.

O criador de um verme tão incomum e cronologicamente vinculado nunca foi encontrado. Sabe-se apenas que um computador foi usado na universidade, ao qual muitas pessoas tiveram acesso.

Islandês (Eyjafjallajökull) - 1989

O primeiro vírus que infectou apenas um arquivo .exe em um sistema DOS. Local de nascimento - Islândia.

O islandês chegou ao computador na forma de um arquivo .exe, no início do qual o vírus foi verificado na memória do sistema. Se não houvesse cópia, o vírus se tornaria residente. Ele também modificou alguns blocos de memória para esconder sua presença. Isso pode levar a uma falha no sistema se o programa tentar gravar nesses mesmos blocos. O vírus infectou cada décimo arquivo executável, adicionando seu próprio código no final de cada um. Se o arquivo fosse somente leitura, o islandês excluiria seu código.

Se o computador usasse discos rígidos maiores que 10 megabytes, o vírus selecionou a área FAT que não era usada e a marcou como quebrada. Esta operação foi realizada toda vez que um novo arquivo foi infectado.

Havia também várias variedades de islandês, que diferiam entre si em algumas funções e propriedades:

• Icelandic.632 - infectou cada terceiro programa. Marcado como um cluster quebrado no disco, se tiver mais de 20 megabytes;
• Islandês.B - foi aprimorado para complicar a detecção por alguns antivírus, mas não realizou outras ações além da distribuição;
• Icelandic.Jol é uma sub-variante de Icelandic.B, que exibia uma mensagem no Icelandic Gledileg jol (Feliz Natal) em 24 de dezembro;
• Icelandic.Mix1 - descoberto pela primeira vez em Israel, causou distorção de caracteres ao transmiti-los para dispositivos seriais (por exemplo, impressoras);
• Icelandic.Saratoga - com uma probabilidade de 50%, infectou um arquivo em execução.

Diamante (Brilha como um diamante) - 1989

Outro vírus da Bulgária. Supõe-se que seu autor seja Dark Avenger, já que esse vírus tem muito em comum com sua primeira criação, Eddie.

Quando um programa infectado foi iniciado, o vírus penetrou na memória, ocupando 1072 bytes. O vírus verificou programas que interromperam os monitores 1 ou 3. Se houver algum, essa verificação causou o congelamento do sistema e o vírus não conseguiu mais se replicar. Caso não houvesse tais programas, o Diamond ingressou em qualquer programa em execução que pesasse menos de 1024 bytes. Durante o processo de infecção, o vírus evitou o arquivo COMMAND.COM. Também no próprio vírus, foi possível detectar uma linha que facilita a identificação - “7106286813”.

O diamante se tornou o progenitor de várias de suas variantes, que diferiam no tipo de efeito no sistema infectado e no método de disseminação e infecção:

Rocha firme

Um vírus de 666 bytes que não se tornou residente na memória se a infecção ocorreu no dia 13 de qualquer mês. Em vez disso, formatou os primeiros 1 a 10 setores no primeiro disco rígido. Depois disso, substitui os 32 primeiros setores da unidade C: com dados indesejados e reinicializei o sistema. Foi descoberto pela primeira vez em Montreal (Canadá).

Muito curioso foi o modo como o arquivo foi infectado. Para começar, o Rock Steady verificou o "peso" do arquivo: menos de 666 bytes (para qualquer formato) e mais de 64358 bytes (para arquivos .com). Em seguida, o vírus verificou se os nomes dos arquivos começam com as letras "MZ" e "ZM", após o que foram alterados de "ZM" para "MZ" e vice-versa. O vírus também alterou o valor para 60 e retirou seu "peso" de 666 bytes do tamanho do arquivo infectado.

David

Talvez tenha vindo da Itália. Foi visto pela primeira vez em maio de 1991. A primeira versão deste vírus não pôde infectar arquivos .exe, mas sua sub-versão, lançada em outubro de 1992, já tinha essa possibilidade. Isso causou uma falha frequente no sistema quando o arquivo .com foi executado, enquanto durante a infecção o vírus não evitou o arquivo COMMAND.COM, como o original. Se o arquivo .exe infectado foi lançado na terça-feira, o vírus formatou os discos. Também exibida na tela uma bola de pingue-pongue de salto e uma mensagem da seguinte forma:

© David Grant Research Research 1991 PCVRF Desribuite this virus
livremente !!! ... ah ... John ... Foda-se!

Danos

Há uma opinião de que esse vírus foi criado por quem escreveu David, já que o Damage também foi encontrado em maio de 1991, também na Itália. O vírus infectou o arquivo, cujo tamanho excedeu 1000 bytes, sem evitar o arquivo COMMAND.COM. Se o relógio do sistema mostrava 14:59:53, um diamante multicolorido aparecia na tela, que se dividia em diamantes menores, que removiam caracteres da tela. As frases "Dano" (pelo qual recebeu seu nome) e "Salto de alegria !!!" foram encontradas no código do vírus.

Lúcifer

Outro vírus da Itália, descoberto em maio de 1991. O arquivo infectou mais de 2 kilobytes, incluindo o COMMAND.COM. Se o registro de data e hora do arquivo for 12:00 antes da infecção, o vírus desaparece após a infecção.

Greemlin

Oh, esta Itália, oh, em maio de 1991. Este vírus também é de lá. Abrandou bastante o sistema (em cerca de 10%). Em 14 de julho de qualquer ano, reescrevi alguns setores das unidades A:, B: e C:.

Havia várias outras opções, mas a principal característica era que eles não verificaram a disponibilidade de suas cópias nos arquivos das vítimas, o que levou à reinfecção dessas últimas.

Alabama (Alabama Shakes) - 1989

Um vírus no sistema DOS que infectou arquivos .exe. Quando um arquivo infectado foi ativado, o vírus se tornou residente na memória. No entanto, diferentemente de outros vírus residentes, o Alabama não infectou o arquivo quando ele foi executado. O vírus procurou um arquivo para infecção neste diretório e, se não funcionou, somente então mudou para o método de infecção dos arquivos ativados. Além disso, na sexta-feira, em vez de infectar arquivos, o vírus abriu um arquivo arbitrário em vez do que o usuário queria abrir. O Alabama exibiu texto intermitente na tela uma hora após a infecção do sistema:

CÓPIAS DE SOFTWARE PROIBIDAS PELO DIREITO INTERNACIONAL ...
Caixa 1055 Tuscambia Alabama EUA.

Motor de Mutação do Vingador Sombrio (DAME) - 1991

Este não é um vírus, mas este módulo tornou um certo Dark Avenger, que mencionamos anteriormente, extremamente famoso.

Quando um vírus usando DAME infectou um arquivo, o ransomware deu o código do vírus como lixo. E quando o arquivo foi aberto, o decodificador retornou o código do vírus à sua forma de trabalho anterior.

O Dark Avenger também adicionou um arquivo contendo um módulo separado para gerar números aleatórios que, quando usados, ajudavam o vírus a se espalhar.

Graças ao módulo DAME, ficou muito mais fácil para os criadores de vírus criar vírus polimórficos, apesar da complexidade de implementar o módulo no código do vírus original. Além disso, o uso do módulo tornou possível criar muitas variantes do mesmo vírus. Segundo os pesquisadores de malware, até o final de 1992, havia cerca de 900.000 variedades de variantes de vírus que usavam DAME.

Nave Estelar (De volta à URSS) - 1991

Então chegamos à nossa terra natal. O vírus Starship foi criado na URSS. Mas suas características distintivas não param por aí.

Muito complicado, ao mesmo tempo, e incomum era o método de infecção pelo vírus Starship. Este vírus infectou arquivos como .com e .exe. Quando esses arquivos foram abertos, a Starship infectou o registro mestre de inicialização. Ao mesmo tempo, o vírus não se tornou residente na memória e não infectou outros arquivos .com e / ou .exe. A Starship modificou três bytes em tabelas de dados particionados e injetou seu código em 6 setores consecutivos da última faixa do disco rígido.

A Starship também rastreou quantas vezes o computador inicializou. Quando isso aconteceu, o vírus se carregou na memória de vídeo, onde foi descriptografado (em outras palavras, implantado). Enquanto estava na memória de vídeo, o vírus violou as interrupções para se proteger de ser reescrito no disco rígido e aguardou a conclusão do primeiro programa para o qual veio. Quando isso aconteceu, o vírus se moveu para a memória principal, onde ocupava 2688 bytes.

A Starship infectou os arquivos .com e .exe nas unidades A: e B:. Ao mesmo tempo, ele adicionou seu código dentro do arquivo somente depois que ele foi fechado, complicando a detecção.

O resultado do vírus ficou visível após 80 downloads do computador. Para os sons melódicos na tela, pixels coloridos eram exibidos, cada um dos quais denotava uma das conexões com os discos.

Groove ("Quando você começa um groove, o tempo voa") - 1992

E aqui está apenas o vírus que usou a criação do Dark Avenger DAME para criptografia (parágrafo 8). O Groove foi o primeiro vírus a usar o módulo mencionado para infectar arquivos .exe. A pátria desse software malicioso é a Alemanha, embora tenha conseguido se espalhar pelo mundo, chegando até aos Estados Unidos.

O vírus, após ativar o arquivo infectado, estava localizado na memória "alta", abaixo do limite


O vírus Groove anexou seu código aos arquivos .com e .exe que o usuário executou. Ao mesmo tempo, para infectar arquivos .exe, este último precisava ser menor que um determinado tamanho (infelizmente, não encontrei informações sobre qual). A infecção de programas levou à interrupção de seu trabalho. E infecção COMMAND.COM para a incapacidade de inicializar o sistema.

Depois das 00:30, o vírus exibia a mensagem:

Não se preocupe, você não está sozinho a essa hora ... Este
vírus NÃO é dedicado a Sara,
é dedicado a seu Groove (...
Esse é o meu nome) Este vírus é apenas um vírus de teste para
estar pronto para o meu próximo teste ....

Para prolongar sua existência, o vírus excluiu ou corrompeu arquivos relacionados a programas antivírus.

Família de incesto de Qark ("somos família, tenho todas as minhas irmãs comigo ...") - 1994

Nesta seção, consideraremos não um vírus, mas toda a "família" da autoria do escritor australiano de vírus Qark, que como resultado se juntou ao grupo de irmãos de armas "VLAD" (Virus Labs & Distribution). A vigorosa atividade da Qark nas fileiras da organização cai no período de 1994 a 1997.

E agora mais sobre os "membros da família" do clã viral.

Papai

Reduzindo o tamanho do MCB (Memory Control Block), mas somente se esse MCB for o último da cadeia. O vírus também pode criar seu próprio MCB definindo o valor do campo do proprietário (0x0008 - command.com) e ingressar na INT 21h.

Os arquivos são infectados quando são abertos ou quando o usuário se familiariza com seus dados ou propriedades. Papai também ocultou o tamanho do diretório de localização do FCB findfirst / findnext. E os arquivos infectados foram marcados como tal, alterando o valor do carimbo de data / hora para o valor do carimbo de data.

Papai também continha as seguintes linhas:

[Incest Daddy]
por Qark / VLAD

Múmia

Se, no MS-DOS, uma extensão de arquivo não foi especificada para sua execução, os arquivos .COM tiveram prioridade sobre os arquivos .exe. Os arquivos .com infectados iniciaram o vírus e abriram os arquivos .exe originais. Para começar, o vírus lançou os arquivos .exe originais, após os quais se tornou residente ao ingressar na INT 21h.

Como o papai, o vírus foi criptografado e usou métodos semelhantes para evitar a detecção. Além disso, o Mummy tinha outro mecanismo furtivo incomum: os arquivos complementares .com foram criados com um conjunto oculto de atributos. Quando o ASCII FindFirst foi iniciado, o vírus removeu a parte oculta da máscara de atributo solicitada. Isso evitou a inclusão de arquivos infectados na lista de resultados de pesquisa de antivírus.

O código do vírus Mummy continha a assinatura:

[Múmia Incesto] por VLAD de Brisbane.
Raça bebê raça!

Irmã

Este vírus usou o mesmo método de manipulação do MCB que o papai. Os sinalizadores foram infectados durante as seguintes tarefas: abertura, execução, Chmod, renomeação. Os arquivos infectados foram marcados adicionando o valor "mágico" no formato MZ.

Assinatura no código do vírus Sister:

[Irmã do incesto]
por VLAD - Brisbane, OZ

Irmão

Para não se repetir, dizemos simplesmente que esse vírus fez o mesmo que outros representantes da “família”: mudou o MCB, juntou-se ao INT 21h. Também excluiu a base de soma de verificação de antivírus do Central Point Anti-Virus e Microsoft Anti-Virus. Para marcar arquivos infectados, defina o valor de segundos no carimbo de data / hora para 62.

Tentáculo (Eu sou o vírus do tentáculo!) - 1996

Outra família de vírus, embora seus representantes não tenham sido criados ao mesmo tempo, mas apenas se seguiram como várias versões atualizadas. Os possíveis países de origem desse vírus podem ser considerados Grã-Bretanha ou França.

Após a ativação do arquivo infectado, o vírus começou a pesquisar no ambiente do diretório atualmente aberto e no ambiente de diretório do Windows. O objetivo das pesquisas são os arquivos .exe. No diretório aberto, 1 arquivo foi infectado, no Windows - 2. A operação do vírus danificou alguns arquivos.

Uma característica distintiva do vírus Tentacle foi a substituição do ícone do arquivo infectado pelo seu próprio (veja a figura abaixo), mas apenas se a infecção ocorreu das 00:00 às 00:15.

Também no código do vírus, pode-se encontrar a frase:

Alerta de vírus! Este arquivo está infectado pelo Win.Tentacle

CAP (Dios e Federação) - 1996

Vírus de macro no Word, escrito por Jacky Qwerty da Venezuela. No entanto, algumas semanas depois, ele se espalhou pelo mundo.

O vírus continha de 10 a 15 macros, dependendo da versão do idioma do Word. Se o idioma for inglês, as macros são as seguintes:

• Cap
• AutoExec
• AutoOpen
• Fileopen
• Fechar automaticamente
• FileSave
• FileSaveAs
• Modelos de arquivos
• Ferramentas
• Fileclose

Em outras versões de idiomas, o vírus criou mais 5 macros adicionais, que eram cópias dos últimos cinco da lista acima. Quando um arquivo infectado foi ativado, o vírus CAP excluiu as macros do NORMAL.DOT, substituindo-as pelas suas. Mas os botões Macros, Personalizar e Modelos desapareceram do menu suspenso. Se havia um ícone na barra de ferramentas, ele simplesmente parou de funcionar.

Ao descriptografar macros, você pode ver a seguinte mensagem:

'CAP: Um vírus social ... e agora digital ...
' “j4cKy Qw3rTy” (jqw3rty@hotmail.com).
'Venezuela, Maracay, Dic 1996.
' PD Que haces gochito? Nunca seras Simon Bolivar ... Bolsa!

Esperanto ("fiz um filme em esperanto") - 1997

O primeiro vírus multiprocessador do mundo. Ele aleijou nos PCs Microsoft Windows e DOS com processadores x86 e no MacOS com processadores Motorola ou PowerPC.

Trabalhar no Windows e no DOS

Antes de tudo, após a ativação, o vírus verificou se havia uma cópia de trabalho na memória. Se não havia, tornou-se residente na memória. Arquivos .com e .exe infectados durante a abertura. Também pode infectar os principais arquivos DOS, NewEXE e Portable EXE.

Trabalhar no MacOS

Para obter êxito na infecção de arquivos no final do código do vírus, havia um recurso especial MDEF. O sistema operacional interpretará o código da Intel como lixo eletrônico e continuará imediatamente para o processamento de código da Motorola. Isso leva ao fato de o código ser executado pelo sistema operacional sem emulação, permitindo que o vírus se torne residente na memória. A capacidade do vírus de rodar no MacOS com um processador PowerPC vem da emulação da Motorola no núcleo do Macintosh. Dada a infecção dos arquivos do sistema, o vírus foi ativado na inicialização do sistema. O Esperanto também infectou o Finder, o que levou à infecção de qualquer arquivo aberto através deste programa. Assim como no Windows e no DOS, apenas uma cópia do vírus pode ser executada no MacOS por vez.

O Esperanto pode facilmente mudar do Windows para o MacOS e vice-versa. Para infectar um computador MacOS através de arquivos .com e .exe, o vírus descartou o recurso MDEF que continha o vírus. E, para infectar arquivos .com e .exe dos arquivos do MacOS, o vírus procurou arquivos executáveis ​​do Windows em execução no emulador.

Em 26 de julho, o vírus exibiu uma mensagem (se o vírus estivesse em um sistema Windows de 32 bits):

Não importa sua cultura / Ne gravas via kulturo, o
esperanto vai além dela / esperanto preterpasos gxin;
não importando as diferenças, o
esperanto as superará.

Não importa o seu processador / Ne gravas via procesoro, o
Esperanto funcionará nele / Esperanto funkcios sub gxi;
não importa sua plataforma / Ne gravas via platformo, o
Esperanto irá infectá-lo / Esperanto infektos gxin.

Agora não apenas uma linguagem humana, mas também um vírus ...
Tornando-se impossível em possível, esperanto.

O dia 26 de julho não foi escolhido por acaso, pois este feriado é o dia do esperanto. Em 26 de julho de 1887, Ludwik Lazar Zamenhof criou uma linguagem universal chamada esperanto.

Gollum ("meus preciosos") - 1997

O vírus foi escrito por um espanhol chamado GriYo, que alegou que sua criação foi o primeiro vírus híbrido do DOS / Windows.

Gollum infectou os arquivos .exe, evitando aqueles que continham "v" em seu nome ou começaram com "TB", evitando assim o contato com programas antivírus.

Na primeira ativação, o vírus introduziu o arquivo GOLLUM.386 na pasta do sistema. E a linha DEVICE = GOLLUM.386 foi adicionada ao arquivo system.ini. Esse complemento permitiu que o vírus fosse executado a cada inicialização.

Após a primeira reinicialização, Gollum tornou-se residente na memória sob o disfarce de um driver de dispositivo virtual. Quando o arquivo .exe é ativado na janela do DOS, o vírus anexa seu código a esse arquivo, infectando-o.

O resultado do vírus Gollum foi a remoção de bancos de dados de alguns programas antivírus e a introdução do Trojan GOLLUM.EXE no sistema.

O texto a seguir também pode ser detectado no código do vírus:

GoLLuM ViRuS de GriYo / 29A Lá
embaixo, perto da água escura, vivia o velho
Gollum, uma pequena criatura viscosa. Não sei de
onde ele veio, nem quem ou o que ele era.
Ele era um Gollum - tão escuro quanto a escuridão, exceto
por dois grandes olhos pálidos e redondos em seu rosto magro.
JRR ToLkieN ... O HoBBit

Este é um trecho do livro O Hobbit, de J. R. R. Tolkien, que descreve uma criatura chamada Gollum, que também é familiar a muitos dos livros de O Senhor dos Anéis, bem como das adaptações de Peter Jackson. Foi essa criatura que deu seu nome ao próprio vírus.

Babilônia (concha do mar) - 1999

Vírus brasileiro da caneta gravadora de vírus Vecna ​​que infectou arquivos .exe em computadores executando o Windows 9x.

Após a extração, o vírus não se tornou ativo imediatamente; para iniciantes, corrigiu o JMP ou o CALL e estava aguardando uma ligação. O vírus varreu o kernel do sistema operacional, recebendo os endereços da função API do Windows, e se instalou sob o disfarce de um driver de sistema VxD.

O vírus alocou uma certa quantidade de memória, estabelecendo uma ligação no manipulador IFS. Após o qual eu esperava acesso aos arquivos Ajuda, Executáveis ​​Portáteis e WSOCK32.DL. Além disso, o vírus da Babylonia examinou o sistema em busca das bibliotecas antivírus baixadas SPIDER.VXD e AVP.VXD. Se houvesse algum, o vírus os corrigiu e, como resultado, eles não puderam mais abrir arquivos.

Quando o vírus da Babylonia infecta um executável portátil, ele se anexa ao último setor ou substitui a seção .reloc. A seção CÓDIGO também será verificada quanto ao espaço disponível para fazer uma chamada ao vírus. Os arquivos de ajuda são infectados, passando o controle para o código de vírus por meio da função de retorno de chamada da API USER32 EnumWindows.

O vírus se espalhou por email. Primeiro, ele adicionou seu código à função send () no WSOCK32.DLL. Isso levou ao fato de que em todas as cartas enviadas pelo usuário da máquina infectada, havia arquivos anexados infectados com um vírus chamado X-MAS.exe com um ícone de Natal.

As versões posteriores do Windows não puderam ser infectadas, pois o Babylonia tinha chamadas específicas do VxD exclusivamente para o Windows 9x.

O vírus da Babylonia pode ser atualizado usando o módulo de atualização online. Este módulo estava localizado na pasta Sistema do Windows, com o nome KERNEL32.EXE, que foi iniciado quando o próprio sistema foi iniciado. Além disso, ele não pôde ser visto na lista de tarefas via CTRL + ALT + DEL.

Embora o vírus da Babylonia não tenha se espalhado amplamente e não tenha se tornado uma ameaça global, os métodos de seu módulo de disseminação, infecção e atualização permitiram que esse vírus ganhasse popularidade.

Não encontrei dados sobre o nome deste vírus. No entanto, Babilônia é o nome do gênero de gastrópodes marinhos. Também se pode supor que o nome do vírus provenha da palavra "Babilônia" (Babilônia é uma cidade da Mesopotâmia Antiga).

Droga (danado, vírus de novo) - 2000

Um vírus para sistemas da série Windows 9x originários da Rússia.

Quando ativado, o vírus carregou-se na memória, após o que infectou os arquivos .exe ativados, adicionando seu próprio código a eles.


Tudo com o mesmo objetivo - para se esconder - o vírus removeu os drivers antivírus VxD AVP e Spider. Também evitou a detecção pelo depurador Soft-Ice da Microsoft.

Todo mês, no primeiro dia, o vírus ocultava todos os ícones da área de trabalho, adicionando o valor "1" a "HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer No Desktop".

O seguinte pode ser detectado no código de vírus Dammit:

DAMMiT by ULTRAS [MATRiX]
© 2000

Onde ULTRAS é o autor do vírus e MATRiX é o diário dos criadores de vírus, onde o código desse vírus foi publicado.

Blebla ("Porque nunca houve uma história de mais sofrimento do que a de Julieta e seu Romeu") - 2000

Postworm da Polônia escrito em Delphi. Ele se tornou um dos primeiros worms que podiam ser ativados sem a intervenção de um usuário de uma máquina infectada. Também conhecida como Verona ou Romeu e Julieta.


Nesta carta, havia 2 arquivos anexados Myjuliet.chm e Myromeo.exe. O texto da carta em si continha HTML, que salvou os arquivos anexados na pasta Temp do Windows e iniciou o Myjuliet.chm. Este último, por sua vez, extraiu a parte principal do worm do arquivo Myromeo.exe.

Myromeo.exe inicia a tarefa Romeu e Julieta, que pode ser vista na lista de tarefas. Ele procura um processo chamado HH.exe que processa arquivos .chm e tenta desativá-lo para evitar avisar o usuário sobre sua presença.

Em seguida, o worm se propaga através de seis servidores de correio localizados na Polônia (nenhum deles já funciona):

• 213.25.111.2 memo.gate.pl
• 194.153.216.60 mail.getin.pl
• 195.117.152.91 dns.inter-grafix.com.pl
• 212.244.199.2 gate.paranormix.net.pl
• 195.116.62.86 madmax.quadsoft.com
• 195.117.99.98 promail.pl

O worm também possui seu próprio mecanismo SMTP, que tenta estabelecer uma conexão com um dos servidores acima para enviar um email com os arquivos MIME anexados.

Apesar do fato de o worm não ter causado muito dano, ele recebeu bastante publicidade na mídia.

YahaSux / Sahay (eu não gosto de você) - 2003

Entre os criadores de vírus também têm Mozart e Salieri. Eles são igualmente brilhantes e não gostam um do outro. O wha YahaSux é a criação da Gigabyte, que aparentemente não gostava do autor do wha Yaha.

A vítima recebeu um e-mail sobre o assunto "Fw: Sente-se e fique surpreso ..." com o seguinte conteúdo:

Pense em um número entre 1 e 52.
Diga em voz alta e continue repetindo enquanto lê.
Pense no nome de alguém que você conhece (do sexo oposto).
Agora conte em qual lugar do alfabeto está a segunda letra desse nome.
Adicione esse número ao número em que você estava pensando.
Diga o número em voz alta 3 vezes.
Agora conte em qual lugar do alfabeto está a primeira letra do seu primeiro nome e
subtrair esse número do que você tinha.
Diga em voz alta 3 vezes.
Agora sente-se, assista à apresentação de slides em anexo e surpreenda-se ..

Este arquivo anexado à carta foi o protetor de tela MathMagic.scr. Após a ativação do arquivo worm, seus arquivos executáveis ​​de cópia e Yaha nav32_loader.exe estão na pasta do sistema. Se a pesquisa não tiver resultado, o YahaSux se copia para uma pasta sob o disfarce de um arquivo winstart.exe.

Além disso, a luta contra o odiado Yaha se tornou ainda mais divertida. O YahaSux tentou abortar um processo chamado WinServices.exe (ou WINSER ~ 1.EXE), que estava relacionado ao Yaha.K. Arquivos executáveis ​​Yaha.K excluídos do registro de chaves, restaurando seu valor original. Além disso, foram feitas alterações na conexão WinServices (o valor foi definido assim: Padrão = (diretório do sistema) \ winstart.exe), o que permitiu que o worm iniciasse automaticamente quando o sistema era ligado.

O YahaSux também criou o arquivo yahasux.exe na pasta do sistema e na pasta Download do Mirc. Ele se conectou a todos os arquivos .exe na pasta mirc \ download nos Arquivos de Programas e, na raiz da unidade C:, adicionou o arquivo MathMagic.scr.

O worm se espalhou enviando-se a todos os destinatários na lista do Catálogo de Endereços do Outlook.

Após 40 segundos de atividade, o sistema do PC infectado é desligado. Após reiniciar e excluir outro arquivo relacionado ao Yaha.K - tcpsvs32.exe, o worm YahaSux exibiu a seguinte janela com a mensagem:



Por que Gigabyte, o autor do YahaSux, não gosta do worm Yaha.K e seu autor? O fato é que o Yaha.K mudou a página inicial no Internet Explorer para coderz.net, que hospedava as páginas da web da própria Gigabyte. Tudo isso levou à queda do servidor coderz.net.

Em sua nova versão do Yaha.Q, no código, o autor deixou uma mensagem para seu rival:

para gigabyte: amigos, mantenha-se no g00d w0rK..buT W32.HLLP.YahaSux é ... lolz;)

Tal é a luta das inteligências.

Lovgate (Abra-me, eu não sou um verme. #Wink) - 2003

Um verme da China que possuía as propriedades de um cavalo de Tróia.


Após a ativação, o worm se copiou para a pasta do sistema Windows, sob o disfarce de um dos arquivos:

• Winrpcsrv.exe
• syshelp.exe
• winrpc.exe
• Wingate.exe
• rpcsrv.exe

Para se permitir iniciar ao mesmo tempo em que o sistema foi iniciado, o worm agiu dependendo da versão do sistema.

Windows 95, 98 ou ME

A linha run = rpcsrv.exe foi adicionada ao arquivo Win.ini. Se houvesse registros no sistema, os valores "syshelp =% system% \ syshelp.exe", "WinGate initialize =% system% \ WinGate.exe -remoteshell" e "Module Call initialize = RUNDLL32.EXE foram adicionados à chave de registro da máquina local" reg.dll ondll_reg ".

O valor "winrpc.exe% 1" também foi adicionado ao registro de chaves para que o worm pudesse ser iniciado toda vez que o usuário abrisse um arquivo de texto.

Windows 2000, NT ou XP

O worm se copiou para a pasta do sistema sob o disfarce de um arquivo ssrv.exe e adicionou o valor "run = rpcsrv.exe" ao registro de chaves da máquina local.

Também foi adicionado o registro de chave da máquina local Software \ KittyXP.sql \ Install.

Após essas ações, o worm foi introduzido na pasta do sistema e, em seguida, ativado, os seguintes arquivos, que são seus componentes de Trojan: ily.dll; task.dll; reg.dll; 1.dll.

Alguns desses arquivos podem transmitir informações para hello_dll@163.com ou hacker117@163.com. O próprio worm ouviu na porta 10168, aguardando comandos de seu criador, que teve acesso a ele através de uma senha. Ao digitar a senha correta, o worm se copiava em pastas com acesso à rede compartilhada sob a aparência de tais arquivos:


Em seguida, o worm examinou o sistema quanto à presença do processo LSASS.EXE (serviço de autenticação do sistema de autenticação local) e conectado a ele. Ele fez o mesmo com o processo responsável pela abertura do ambiente de comando na porta 20168, que não exigia autenticação.

O worm Lovgate examinou todos os computadores na rede local, tentando acessá-los através do administrador. Primeiro, ele fez isso com um campo de senha vazio e, em caso de falha, aplicou as seguintes senhas simples:


Se a tentativa de acesso foi bem-sucedida, o Lovgate se copiou sob o disfarce de um arquivo stg.exe para a pasta \ admin $ \ system32 \.

Para distribuição posterior, o worm examinou a pasta “winpath”, as pastas pessoais do usuário e a pasta em que foi iniciada, quanto à presença de endereços de email em arquivos com a extensão iniciada em .ht (por exemplo, .html).

Epílogo

Portanto, nossa viagem ao mundo do malware chegou ao fim. Embora muitas das exposições de hoje mereçam uma exposição separada. O mundo dos vírus, worms e cavalos de Troia é enorme e diversificado. Há inofensivo, causando um sorriso, há destrutivo, roubando tudo o que eles encontram. Mas ambos são o resultado do trabalho de uma mente notável, que não deixa de procurar algo novo, não deixa de explorar. Embora essas pessoas não tenham direcionado suas mentes para o caminho mais nobre, elas ainda nos ensinam que o limite nunca será alcançado se olharmos além dele. Eu não agito para escrever vírus. Apenas não fique parado, desenvolva, explore e deixe sua mente nunca atingir o limite. Tenha um bom dia e até breve.

BLACK FRIDAY CONTINUA: 30% de desconto no primeiro pagamento no código promocional BLACK30% ao fazer o pedido de 1 a 6 meses!

Estes não são apenas servidores virtuais! Estes são VPS (KVM) com unidades dedicadas, que não podem ser piores que servidores dedicados e, na maioria dos casos - melhor! Fabricamos VPS (KVM) com unidades dedicadas na Holanda e nos EUA (configurações de VPS (KVM) - E5-2650v4 (6 núcleos) / 10GB DDR4 / 240GB SSD ou 4TB HDD / 1Gbps 10TB disponíveis a um preço excepcionalmente baixo - de US $ 29 / mês , opções com RAID1 e RAID10 estão disponíveis) , não perca a chance de fazer um pedido para um novo tipo de servidor virtual, onde todos os recursos pertencem a você, como em um dedicado, e o preço é muito mais baixo, com hardware muito mais produtivo!

Como construir a infraestrutura do edifício. classe usando servidores Dell R730xd E5-2650 v4 custando 9.000 euros por um centavo? Dell R730xd 2 vezes mais barato? Somente nós temos 2 TVs Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 a partir de US $ 249 na Holanda e nos EUA!