Uma breve história de vírus, vermes e cavalos de Tróia, parte 3
Em 1995 apareceram os primeiros macro-vírus. Até então eram atacados apenas ficheiros executáveis e sectores boot. Os macrovírus punham grandes exigências aos detectores. Com Melissa, Loveletter, Sobig e Konsorten são batidos novos recordes de velocidade de propagação.
1995 | Com "DMV" e "guardas nocturnos" aparecem os primeiros macro vírus. "Concept 1995" foi o primeiro macro vírus a eclodir publicamente e que se propagou livremente por sistemas ingleses. Com Hunter.c aparece o primeiro macro vírus polimorfo na Alemanha. Wm.Concept foi o primeiro macro vírus 'in the wild' para Word ( para além dos infectantes HyperCard). Ele obteve apenas o aviso "That's enough to prove a point." ( "isso é suficiente como prova") e em pouco tempo tornou-se o vírus mais propagado em todo o mundo. Wm.Concept fundou a categoria de vírus "Proof of Concept". Virus PoC mostram apenas que é possível aproveitar um determinado ponto fraco, sem provocar danos reais. A detecção de macro vírus impõe grandes exigências aos scanner de vírus, por causa dos formatos de linguagens de script em constante mudança e ficheiros office. |
1996 | Aparecem os primeiros geradores macro para macro vírus alemães ou ingleses. Os macro vírus já não se limitam ao Word, mas visam também ficheiros Excel e AmiPro. Eles transpõem também as fronteiras entre sistemas operativos e atacam tanto PC como Mac. Laroux infecta em primeiro lugar ficheiros MS-Excel. Boza ataca como primeiro vírus o formato PE-EXE de ficheiros do Windows 95. Foi escrito por, um o grupo de autores de vírus australiano VLAD. |
1997 | Agora os vírus são mais específicos e visam pontos fracos de programas, sistemas operativos ou hardware. Aparece o primeiro vírus para o sistema operativo Linux. Aparece o primeiro vírus para o sistema operativo Linux. |
1998 | Strange Brew é o primeiro vírus para Java. À excepção de macro vírus, em trânsito também em Access e outros programas, os PC com MacOS não eram infectados com vírus há pelo menos 3 anos. Com o verme Autostart.9805 isto alterou-se. Autostart aproveita o mecanismo de AutoStart do Quicktime em PowerPCs e copia-se para discos rígidos e outros portadores de dados. Determinados ficheiros são sobrescritos com ficheiros de lixo e assim tornados inutilizados. O AutoStart propaga-se desde HongKong para todo o mundo. Mais... Com Netbus e Back Orifice aparecem Backdoors, com as quais se pode monitorizar e controlar à distância um computador sem ser notado pela vítima. Em ligação com Back Orifice continua a ser discutida a questão de se tratar ou não de um software de manutenção à distância ou de comando à distância. Como as funções de comando à distância podem ser executadas sem conhecimento do utilizador, o Back Orifice pode ser designado como cavalo de Tróia. Com BO um pirata consegue em meados de 2000 aceder à rede interna da Microsoft. Em Junho aparece CIH (Spacefiller, Chernobyl) no Taiwan.Ele tem o payload mais massivo da história dos vírus. Ele estimula a questão se os vírus são capazes de destruir hardware. Quando a sua função destruidora (a 26 de Abril) se torna activa, ele sobre escreve o Flash-BIOS e a tabela de partição do disco rígido. Assim já não é possível efectuar boot no computador. Em algumas motherboards os componentes BIOS tiveram de ser trocados ou novamente programados. Mas, mesmo após a nova produção do sistema os dados tinham-se perdido. O autor, o estudante chinês não foi punido pela justiça. Mais... VBS.Rabbit utiliza em primeiro lugar o Windows Scripting Host (WSH). É escrito em Visual Basic e ataca outros ficheiros VBS em HTML. Prepend mostra que com VBScript, se podem infectar ficheiros HTML. Dr. Solomons foi comprada pela Network Associates, como anteriormente na McAfee os clientes afastaram-se do programa. |
1999 | Em Março o verme "Melissa" ataca já no primeiro dia do seu aparecimento milhões de computadores e propaga-se rapidamente pelo mundo inteiro. Ele envia emails aos primeiros 50 endereços do Outlook e muitos servidores de correio cedem sob a sobrecarga de emails. Em Agosto David l.Smith admite ter escrito o verme. Happy99 cria uma cópia de cada mail enviado pelo utilizador e envia-os novamente com o mesmo texto e a mesma linha de referência juntamente com o verme no anexo do ficheiro. Isto funciona também com Usenet-Postings. Em Junho ExploreZip disfarçou-se de arquivo auto-extraível, que é enviado como resposta a um email recebido. Ele propaga-se através da divulgação na rede e pode infectar um computador na rede se apenas um utilizador for descuidado. A função maligna procura programas C e C++, ficheiros Excel-, Word e Powerpoint no disco rígido e apaga-os. Mais... Para além do email, o Pretty Park também se propaga através de InternetRelay Chats (IRC). Ele tinha mecanismos de protecção e camuflagem muito eficazes, que evitavam que o verme pudesse ser utilizado. No próximo scan de vírus o verme era reconhecido como legítimo. Ás vezes os scans de vírus também eram bloqueados. Através de uma manipulação do Registry o Pretty Park era executado antes de ficheiros EXE o que fazia com que todos os ficheiros Excel fossem dados como infectados. Para utilizadores do Outlook torna-se realidade em Novembro, com Bubbleboy uma visão "Good-Times" segundo a qual um vírus infecta o computador quando se abre um email (também no modo de pré-visualização). Para isso o Bubbleboy aproveita um erro na biblioteca de programas. |
2000 | Apesar de todas previsões não houve um verme do milénio que pudesse ter conquistado este nome. Palm/Phage e Palm/Liberty-A são raros, mas capazes de atacar PDA com PalmOS. O script VB verme VBS/KAKworm aproveita-se de um ponto fraco em Scriplets e Typelibs do InternetExplorer. Semelhante ao BubbleBoy ele propaga-se ao abrir um email (também na pré-visualização). Em Maio um verme enviou uma avalanche de emails do livro de endereços do Outlook com a referência "I love you" e provoca milhões de prejuízos especialmente em redes de grandes empresas. Também aqui as redes ficaram totalmente sobrecarregadas em pouco tempo. Um estudante filipino de seu nome Onel de Guzman cria inúmeras variantes. Os peritos dos EUA falam do vírus mais maligno da história dos computadores. O autor de W95/MTX aplicou todos os esforços para remover o verme/vírus híbrido do computador. Ele enviou um ficheiro PIF com extensão de ficheiro dupla por email. Ele bloqueou o acesso do browser a algumas páginas web de fabricantes de antivírus, infectou ficheiros com o componente de vírus e alguns ficheiros foram substituídos por componentes de vermes. Depois da Loveletter e das suas muitas variantes os emails com as respectivas linhas de referência eram filtradas nos MailGateways. Stages of Life variava a linha de referência e eclodia por entre as malhas. Em Setembro constitui-se na Suécia com Liberty o primeiro cavalo de Tróia para PDA. Ele transmite-se na sincronização com o PC e elimina depois actualizações. |
2001 | Em Fevereiro circulou um verme email cujo anexo alegadamente continha uma foto da jogadora de ténis Anna Kournikova russa. Quem o abria instalava o verme que era enviado para todos os endereços no livro de moradas do Outlook. O Naked propaga-se igualmente por email. Ele finge ser uma animação Flash de uma mulher nua. Depois de aberto ele instala-se e é enviado para todos os endereços Outlook. Como também elimina directórios windows e de sistema, inutiliza o computador. O computador só trabalha novamente com uma nova instalação do sistema operativo. Em Julho Code Red aproveitou um erro Bufferoverflow no InternetInformation Server (IIS) Indexing Service DLL de Windows NT, 2000 e XP. Ele faz um scan ao acaso de endereços IP na porta standard para ligações de Internete transfere um cavalo de Tróia que entre o dia 20 e 27 de um mês lança ataques de Denial of Service (DoS) contra páginas da Casa Branca. A remoção do vírus é muito complexa e dispendiosa. Em Julho o SirCam propaga-se por redes e pelo Outlook Express e introduz algumas novidades. Ele faz com que em cada arranque seja activado um ficheiro EXE. Como primeiro verme ele traz a sua própria SMTP-Engine. no entanto ele não se transmite apenas a si próprio, mas também a ficheiros pessoais que encontra no computador. Com Nimda propaga-se em Setembro um verme da Internetque não necessita de interacção do utilizador. Para propagação aproveita para além de emails também falhas de segurança em programas. Inúmeros servidores web são sobrecarregados e sistemas de ficheiros infectados são legíveis no mundo inteiro. Em Novembro o verme residente na memória Badtrans aproveita uma falha de segurança no Outlook e Outlook Express para se propagar. Ele instala-se como um serviço, responde a emails, espiona palavras-passe e regista sequências do teclado. |
2002 | O verme "MyParty" mostra no início do ano que nem tudo que acaba com ".com" é uma página web, Quem clicar duas vezes no anexo de mail "www.myparty.yahoo.com" recebe em vez das imagens esperadas um verme com um componente de backdoor. Na primavera e verão, Klez aproveita a falha de segurança IFRAME no InternetExplorer para se instalar automaticamente aquando da visualização de email. Ele propaga-se por email e rede e cola-se a ficheiros executáveis. No dia 13 de meses pares (em versões mais recentes eram outros dias) todos os ficheiros em todas as unidades alcançáveis são sobre escritas com conteúdos acidentais. Os conteúdos só de deixam reproduzir novamente através de backups. Em Maio, Benjamin propaga-se como o primeiro verme através da rede KaZaA. Ele copia-se com muitos nomes diferentes para um ordenador de rede. Em computadores infectados uma páginas web era exibida com publicidade. Anteriormente foram também atacadas redes Gnutella baseadas em P2P. Lentin é um verme, que aproveita o facto de muitas pessoas não saberem que ficheiros SCR não são apenas simples fundos de ecrã mas também ficheiros executáveis. Em comparação com Klez o seu efeito vídeo é apenas perturbador, Mesmo a sua propagação não tem o alcance de Klez. No final de Setembro o Opasoft também chamado Brasil) propaga-se como uma epidemia. Na Port 137 ele efectua um scan da rede e verifica se lá existem libertações de ficheiros e/ou impressora. Então ele tenta copiar-se para o computador. Se existir uma protecção da palavra-passe, a lista de palavras-passe é percorrida e é aproveitado um ponto fraco no armazenamento de palavras-passe. Tanatos alias BugBear é o primeiro verme, que desde a Primavera consegue desalojar o Klez do seu lugar de topo. O verme propaga-se por email e rede, instala um componente de spyware e envia registos dos toques do teclado. |
2003 | Em Janeiro o "SQL-Slammer" infecta numa hora pelo menos 75000 SQL-Server e assim paralisa a Internetdurante horas. Ele aproveita um ponto fraco no Microsoft SQL-Server conhecido há 6 meses para neutralizar servidores de base de dados. Como o SQL-Slammer se constitui apenas a partir de uma consulta errada e não é carregado na memória como ficheiro, não foi detectado por programas antivírus. A consequência: Em Seattle os números de emergência da polícia e bombeiros avariaram, máquinas automáticas do Bank of America não funcionam, 14.000 postos de correio em Itália ficaram fechados, o comércio bolsista online sofreu drasticamente. Na Coreia a KT Corp esteve temporariamente fora da rede. Aí o índice desceu 3 % com o volume de negócios fortemente reduzido. Na China o tráfego de rede estrangeiro foi completamente bloqueado. Em Agosto oLovesan (alias Blaster) propagou-se pela internet. Ele aproveita uma falha de segurança, fechada há apenas 4 semanas atrás pela Microsoft, no serviço RPC/DCOM e infecta por endereço IP computadores seleccionados. Em pouco tempo cem mil computadores (diz-se 570 000) foram infectados. Em breve Welchia (alias Nachi) começou a remover Lovesan/ Blaster dos computadores e a fechar a falha de segurança RPC/DCOM. No final de Agosto de 2003, Jeffrey Lee Parsons de 18 anos foi preso como autor de Lovesan. Em Março de 2005 foi condenado a uma grande pena monetária que, com o acordo da Microsoft, foi trocado pela prestação de 3 anos de serviço social. O verme de mail em massa "Sobig.F" constitui com o seu próprio motor de mail um novo recorde de velocidade de propagação. Ele propaga-se de forma 10 vezes mais rápida do que os vermes existentes até à altura |
2004 | Os vírus tornam-se uma arma do crime organizado. Inúmeras palavras-passe, números de cartões de crédito e outras informações pessoais são espionadas por cavalos de Tróia. As backdoors tornam os computadores controláveis à distância e integram-nos nos chamados bonets. Com os Zombies de um Botnet durante o campeonato da Europa de futebol são efectuados ataques de Denial-of-Service a empresas de apostas online. Os operadores foram obrigados a pagar as exigências do chantagista. Rugrat é o primeiro vírus para 64-bit Windows. Cabir, o primeiro vírus para telemóveis com sistemas operativos Symbian e interfaces bluetooth é desenvolvido pelo conhecido Grupo 29A para os seus vírus Proof-of-Concept. Pouco depois segue-se do mesmo grupo com WinCE.4Dust.A o primeiro vírus PoC para Windows CE. |
2005 | O CommWarrior.A propaga-se por mms. As mensagens mms são enviadas por ele a todos os registos da agenda telefónica e são representados com textos de acompanhamento variados como software antivírus, jogos, operadores, emuladores, software 3D ou imagens interessantes. |
História do malware
- Os primeiros anos
- 1988 -1994
- 1996 - à data
