Una breve storia di virus, worm e trojan - Parte 2°
L'espansione crescente dei computer collegati in rete è stata sfruttata per la prima volta nel 1988 da un nuovo tipo di parassita. I worm utilizzano ancora oggi i punti deboli delle reti. In questo periodo, oltre agli autori di virus, si organizzano anche gli specialisti antivirus. Cominciano ad affermarsi i software antivirus.
1988 | MacMag è stato il primo virus degno di nota per computer Macintosh e offriva un'intera serie di innovazioni. È stato il primo virus ad essere sviluppato su ordinazione (del caporedattore di MacMag). Inoltre, è stato anche il primo virus a imporre ai file di dati di diffondersi (nel suo caso, i file di HyperStack). A parte la visualizzazione di un messaggio, non possedeva funzioni dannose. L'indonesiano Denny Yanuar Ramdhani rileva e rimuove mediante il suo virus "Den Zuk" il "virus Brain" e crea quindi un virus antivirus. Venerdì 13 maggio a Gerusalemme scoppia Jerusalem, la prima bomba logica (in questo caso, una bomba a tempo). In seguito a questo "scoppio" nasce una nuova categoria di virus. Jerusalem è il primo virus residente in memoria (nel vero senso di agente infettante dei file). Tramite un bug, infetta sempre lo stesso file e per questo è facilmente riconoscibile. Il meccanismo di diffusione è simile a quello di Lehigh, ma più efficace, dato che non attacca soltanto i file .COM, ma anche i file .EXE. Robert T. Morris jr., figlio dell'esperto in sicurezza informatica della NSA, rilascia un Internet worm che, grazie ad un piccolo elenco di password, ottiene l'accesso a moltissimi computer UNIX (2000-6000) e da qui, con la stessa modalità del virus Tannebaum, si propaga provocando il blocco del traffico di rete e della posta elettronica. Un'azione dell'utente non è necessaria. Lo "Internet-Worm", come viene chiamato, venne contrastato e finalmente isolato solo grazie ad accordi telefonici. Viene creato il primo kit per la produzione di virus per Atari ST, che permette anche ai principianti di costruire virus con determinate caratteristiche. In reazione al generale aumento delle attività da parte degli sviluppatori di virus, e in particolare in reazione al "Internet worm", negli Stati Uniti è stato fondato il centro Computer Emergency Response Team / Coordination Center (CERT/CC), il quale offre tutt'oggi consigli e interventi per la protezione e la sicurezza dei dati. Attualmente esistono alcuni centri CERT anche in Germania. |
1989 | DataCrime ha provocato un grande clamore nei media. "Vienna" è stato il primo virus polimorfo. Questo virus si codifica autonomamente con chiavi variabili, modificando anche la forma delle routine di decodifica. Per questo motivo può essere individuato dai software antivirus solo tramite algoritmi complessi, facilmente inclini a falsi allarmi. Per molti produttori di antivirus ha significato la fine delle attività. In luglio viene pubblicata la prima edizione del Virus Bulletin. Da allora si è sviluppata diventando una delle più rinomate riviste specializzate per i ricercatori di virus. In Bulgaria Dark Avenger ha introdotto due novità: 1. Con "Fast Infector" vengono colpiti non solo i file eseguibili (inizialmente command.com), ma anche i file che vengono solo aperti per la lettura o copiati. Così in breve tempo l'intero disco rigido è infettato. 2. Ad intervalli di tempo irregolari vengono sovrascritti singoli settori del disco fisso. Nella maggior parte dei casi, questa azione passa inosservata. I backup, che vengono creati spesso come protezione dagli attacchi dei virus, diventano così assolutamente inefficaci. Ad Haifa, in Israele, è stato scoperto Frodo, il primo virus invisibile che infetta i dati. Dopo il 22 settembre di un qualsiasi anno dovrebbe rovinare il disco rigido del PC. La routine corrispondente, tuttavia, non funziona. Un cavallo di Troia viene diffuso dalla società PC Cyborg, con sede a Panama, su dischetti camuffati come fonti di informazioni sull'AIDS. AIDS sostituisce il file autoexec.bat e dopo un numero specificato di nuovi avvii (90) inizia a codificare il disco rigido. Successivamente, il malcapitato viene chiamato a pagare una fattura per ottenere il codice di decodifica. |
1990 | La creazione di virus diventa di moda. Nelle Bulletin Board VX (Virus Exchange) vengono scambiati vecchi e nuovi virus. 4096 byte è la dimensione dell'omonimo virus che fa la sua apparizione in gennaio. Si attaccava a file di dati eseguibili e aperti. Il meccanismo che cercava di nascondere questo comportamento portava spesso alla distruzione degli stessi file. Il tentativo di visualizzare il messaggio "Frode Lives" provocava il crollo del sistema. Negli USA sono stati scritti i primi virus polimorfi: V2Px, Virus-90 e Virus-101. I virus combinavano meccanismi di stealth e di crittografia. Ciò li rendeva virus ad azione multipartita. Il virus Fish era un virus invisibile con una codifica compatta (14 byte). Con Joshi i virus del settore di avvio progrediscono ulteriormente. Anthrax e V1 erano altri virus multipartita. Il primo vero virus multipartita di successo è stato Flip. I primi virus multiparte sono stati Anthrax e V1. Flip è stato il primo virus di questo tipo che è riuscito a diffondersi. L'associazione tedesca degli amanti dei virus diffonde il primo kit per la produzione di virus per DOS. In questo modo, anche i principianti possono sviluppare virus su misura. A dicembre viene fondato l'ente European Institute for Computer Antivirus Research (Istituto Europeo per la ricerca di antivirus per computer: EICAR). Ancora oggi questo istituto riveste un ruolo importante nella lotta contro i virus e i loro sviluppatori. |
1991 | Michelangelo era un virus del settore di avvio che il 6 marzo, giorno del compleanno di Michelangelo, sovrascrive i primi 256 settori del supporto dati. In seguito il computer diventa inutilizzabile. L'anno successivo Michelangelo trova ampio spazio sui media e questo contribuisce sicuramente a prevenire molti danni. Ciononostante è rimasto attivo per molti anni. I virus polimorfi diventano sempre più frequenti. Tequila è il primo virus polimorfo ad ampia diffusione. Maltese Amoeba sovrascrive in due specifici giorni dell'anno il primo settore del supporto dati. Robert Slade inizia la sua serie di lezioni sui virus dei computer. Poco dopo inizia a lavorare sul VIRUS-L-FAQ. Con DirII viene scoperto il primo virus dei cluster. Il virus "Saddam Hussein" codifica sui computer Amiga alcune parti del supporto dati, in modo che questo possa essere leggibile solo quando il virus è in memoria. |
1992 | Un autore di virus, che si faceva chiamare Dark Avenger, ha pubblicato a gennaio Self Mutating Engine (MtE). Esso permette di creare con poca fatica virus comuni o virus polimorfi. MtE è quindi il primo toolkit per la creazione di virus polimorfi. Commodore Amiga e Atari ST perdono la loro importanza e il sistema operativo DOS si afferma sempre di più. Aumenta quindi in modo corrispondente il numero di virus per DOS. Altair per Atari ST viene offerto come software antivirus. Sovrascrive tutti i virus che trova nel settore di avvio. Ma fallisce come molti altri "virus antivirus". WinVir 1.4 è il primo virus per Windows. Il primo virus che invece infetta i file SYS si chiama Involuntary. Dark Avenger ha creato anche Commander Bomber, il quale utilizza un meccanismo di mimetizzazione. Questo virus attacca i file .COM, ma non si attacca come blocco unico ad un file. Distribuisce invece il suo codice su più frammenti connessi tra loro attraverso dei collegamenti. Per riconoscerlo è necessario effettuare la scansione del file completo. |
1993 | Compaiono nuovi toolkit per la creazione di virus polimorfi: Trident Polymorphic Engien (TPE), Nuke Encryption Device (NED) e Dark Angel's Multiple Encryption (DAME) si basano tutti su MtE. I database antivirus continuano ad essere utilizzati. In MS-DOS 6 viene incluso per la prima volta un (mediocre) programma di scansione antivirus. Conteneva un componente on-access alquanto carente che permetteva di disattivare la protezione antivirus. Il virus per Amiga Fuck (ci spiace, ma il nome non è di nostra invenzione), un cavallo di Troia che viene distribuito mimetizzato da programma di test del modem, sostituisce per prima cosa il file di sistema loadWB. Al riavvio del sistema, viene eseguito il codice del virus. Dopo un certo lasso di tempo, determinato dalla frequenza di aggiornamento dello schermo, l'intero disco rigido viene completamente scritto con la parola F..., provocando la distruzione di tutti i dati. A luglio Joe Wells pubblica la prima Wildlist. Con essa desiderava elencare i virus che erano ancora in circolazione. Da questo elenco è nata più tardi la Wildlist Organization. Fanno la loro comparsa ulteriori virus per Windows. |
1994 | Compaiono i primi virus multipartita. Questi virus utilizzano più meccanismi di infezione e possono contemporaneamente attaccare, oltre ai file, anche i settori di avvio o le tabelle delle partizioni. Il giovane Black Baron diffonde in Inghilterra Smeg.Pathogen (e Smeg.Queen). Smeg.Pathogen visualizza un messaggio e sovrascrive successivamente 256 settori del disco rigido. Questo virus ha provocato ingenti danni ad alcune aziende. Per questo, l'anno successivo, il suo creatore viene condannato ad una pena detentiva. Kaos4 si è diffuso attraverso un newsgroup specializzato in foto erotiche. Da allora questa strategia è stata utilizzata sempre più frequentemente. I virus hoax con gli avvisi "Good-Times" diventano un problema serio ma sottovalutato. |
Storia del malware
- I primi anni
- 1988 -1994
- Dal 1966 ad oggi
© 2007 - 2012 G Data Software AG. Tutti i diritti riservati
