Historie počítačových virů

      Samotná historie začíná na přelomu 60. a 70. let. V této době se na sálových počítačích pravidelně objevoval program nazývaný "králík". Tyto programy, klonující sebe sama, obsazovaly systémové prostředky a tak klesala výkonnost systému. Králík většinou nekopíroval své tělo ze systému do sytému, to byly hlavně lokální úkazy. Hlavní příčinou králíků byly chyby nebo žert systémového programátora. První incident, který může být nazýván jako epidemie "počítačový virus", se stal na systému Univac 1108. Vir nazvaný Pervading Animal přidával sám sebe na konec spustitelných souborů, tak jak to dělají tisíce moderních virů.

      V první polovině 70. let se pod operačním systémem Tenex objevil nově vytvořený vir The Creeper, který k šíření využíval globální počítačovou síť. Vir byl schopný přenášet své kopie přes modem a síť do vzdálených stanic. Na boj proti tomuto viru byl vytvořen první známý antivirový program Reeper.

      Počátkem 80. let se počítače staly více populární a vzrostl počet programů, které nebyly z dílen softwarových firem, ale z klávesnic soukromých osob. Tyto programy mohly být volně šířené přes servery se všeobecným přístupem - BBS. Následkem tohoto se objevilo mnoho rozmanitých "Trojan horses (trojských koní)". Trojské koně jsou programy, jenž provádějí nějakou nekalou a nedokumentovanou činnost.

      V roce 1981 vir Elk Cloner, šířený na počítačích Apple II, začal éru nových boot virů. Vir se připojil k zaváděcímu sektoru diskety. Projevoval se tím, že obracel obrazovku, zobrazoval blikající text, nebo ukazoval různé zprávy.

      První IBM PC se objevil až v roce 1986. Vir Brain napadal 360kB diskety a rozšířil se po světě téměř okamžitě. Tajemstvím jeho úspěchu byla společnost nepřipravená na fenomén počítačových virů. Vir byl vytvořen v Pákistánu bratry se jmény Basit a Amjad Farooq Alvi. V těle viru zanechali textovou zprávu s jejich jmény, adresou a telefonním číslem. Autoři byli prodejci softwaru a chtěli zjistit rozsah počítačového pirátství v Pákistánu. Bohužel jejich experiment opustil hranice Pákistánu. Je také zajímavé, že vir jako první využíval stealth techniku. Jestli se OS pokoušel číst z infikovaného sektoru, vir ho nahradil čistým původním sektorem. V tomto roce také programátor Ralf Burger zjistil, že program může vytvořit kopie sama sebe a přidat je do kódu spustitelných programů v DOSu. Jeho první vir pojmenovaný VirDem byla demonstrace takové schopnosti. Oznámil ho v prosinci 1986 v underground computer fóru, kde se scházejí hakeři, tehdy zaměření na průniky do systémů VAX/VMS.

      O rok později, v roce 1987, se objevil vir Vienna. Ralf Burger dostal kopii tohoto viru, prostudoval kód těla viru A publikoval knihu "Computer Viruses: a High-tech Disease". Burgerova kniha započala diskusi na psaní populárních knih o virech, vysvětlila jak na to. Mnoho jeho nápadů bylo ve skutečnosti zrealizováno a některé další viry byly napsány nezávisle na sobě ve stejném roce, jako Lehig, který napadá pouze soubor COMMAND.COM; Suriv-1 nebo April1st, které napadají poze soubory *.COM; Suriv-2, napadající soubory EXE, nebo jeho vylepšená verze Suriv-3, napadající navíc i COM soubory, mnoho bootvirů jako Yale (USA), Stoned (Nový Zéland), PingPong (Itálie) a samošifrovací vir Cascade. Ani ostatní počítače neupadly v zapomnění. Objevilo se několik viru pro Apple Macintosh, Commodore Amiga a Atari ST.

      V prosinci 1987 vznikla první síťová virová epidemie nazývaná Christmas Tree. Vir byl psán REXX jazykem a rozšiřoval se pod OS VM/CMS. Devátého prosince vir pronikl do Bitnet sítě v jedné ze západních německých univerzit. Pak se rozšířil do sítě evropského akademického výzkumu (EARN) a pak do IBM Vnet. V čtyřech dnech (13. prosince) vir paralyzoval síť, která byla přeplněna kopiemi toho viru. Při startu vir ukazoval obrázek vánočního stromku a poslal své kopie všem uživatelům sítě, jejichž adresy byly v souborech NAMES a NETLOG.

      V pátek 13. roku 1988 několik společností a univerzit v mnoha zemích světa chytilo vir Jerusalem. Vir zničil soubory, které se v ten den nepodařilo spustit. Pravděpodobně toto je jeden z prvních MS-DOS virů, který způsobil skutečnou pandemii. Objevovaly se zprávy o infikovaných počítačích z Evropy, Ameriky a ze Středního východu. Vir dostal jméno po jednom z míst, kde udeřil - Jeruzalémská univerzita.
      Jerusalem spolu s několika dalšími viry (Cascade, Stoned, Vienna) infikovaly tisíce počítačů a pořád ještě zůstaly nepovšimnuté. Antivirové programy nebyly jak běžné jako jsou dnes. Mnoho uživatelů a dokonce profesionálů nevěřilo v existenci počítačových virů. Je zajímavé, že ve stejném roce legendární počítačový guru Peter Norton oznamoval, že počítačové viry neexistují. Tvrdil, že je to mýtus stejného druhu jako aligátoři v newyorkských kanálech. Nicméně tento klam nezabránil Symantecu v uvedení jeho vlastního antivirového projektu Norton Anti-virus.
      Začaly se objevovat falešné zprávy o nových počítačových virech, které způsobily paniku mezi uživateli počítačů. Jedna z prvních falešných zpráv tohoto druhu patří Miku RoChenle. Popisoval podporu přenášení virů při posílání zpráv k BBS systémům přes modem rychlosti 2400 baudů. Bylo komické, jak může mnoho uživatelů vyměnit rychlejší, tehdy standardní modemy, za modemy pomalejší.
      V listopadu 1988 vznikla totální epidemie způsobená virem Morris, známý jako internetový červ, od studenta Roberta Morrise. Tento vir infikoval více než 6000 počítačových systémů v USA (včetně výzkumného ústavu NASA) a prakticky omráčil jejich práci. Kvůli nevyrovnanému kódu vir posílal neomezeně kopie sama sebe k dalším sítím, jako vir Christmas Tree. Proto kompletně paralyzoval všechny síťové zdroje. Morrisův červ způsobil ztráty odhadované na 96 milionů dolarů. Vir k rozmnožování užíval chyby v operačních systémech Unix pro VAX a Sun microsystems. Kromě těchto chyb v Unixu vir zužitkoval několik myšlenek, jako na příklad sbíral uživatelská hesla.
      V prosinci pokračovala sezóna červů tentokrát v DECNet. Červ nazvaný HI.COM ukazoval na obrazovce obrázek jedle s hláškou, že by uživatelé měli zastavit práci na počítači a mít se dobře doma.
      Objevily se nové antivirové programy například, Doctor Solomon's Anti-virus Toolkit, který byl jeden z nejmocnějších antivirových nástrojů.

      V roce 1989 se vyskytly nové viry Datacrime, FuManchu a také celé rodiny virů, jako Vacsina a Yankee. První z nich byl extrémně nebezpečný. Od 13. října do 31. prosince formátoval harddisk. Tento vir způsobil hysterii v hromadných sdělovacích prostředcích v Holandsku a Velké Británii. Další velká epidemie v DECNetu vznikla v říjnu , tentokrát to byl červ vir nazvaný WANK Worm.
      V prosinci 1989 vznikl incident s trojským koněm jménem AIDS. Bylo vytvořeno 20,000 kopií na disketách označených jako "AIDS informační disketa verze 2.0". Po 90 restartech program zakódoval všechny jména souborů na disku, nastavil atributy jako neviditelné soubory a nechal jediný soubor pro čtení - účet na 189 dolarů splatný na adresu P.O. BOX 7, Panama. Všichni čtyři autoři tohoto programu byli zatčeni a posláni do vězení.
      Ve stejném roce způsobily viry jako Cascade, Jerusalem a Vienna epidemii v celém Rusku. Naštěstí ruští programátoři rychle objevili principy jejich práce, a fakticky ihned vytvořili několik domácích antivirů. Nejznámější byl AVP - AntiViral Toolkit Pro (nazývaný "-V"). V září se na trh dostal další antivirový program IBM Anti-virus.

      Rok 1990 přinesl několik pozoruhodných událostí. Objevily se první polymorfní viry Chameleon (známé jako V2P1, V2P2, a V2P6).
      Další velkou událostí bylo objevení bulharské "továrny na viry", kde bylo vyrobeno velké množství virů jako Murphy, Nomenclatura, Beast. Tvůrce virů Dark Avenger se stal velice aktivní. Jeho viry využívaly nové metody infekce a maskování.
      V červenci 1990 počítačový časopis "PC Today" (Velká Británie) obsahoval disketu nakaženou virem "DiskKiller". Prodali více než 50,000 kopií.
      Ve druhém polovině 1990 se objevily Frodo a Whale. Oba viry využívaly komplikovanou stealth techniku. Devítikilobytový Whale užíval několik hladin šifrování a techniky proti rozkódování těla viru.

      V roce 1991 populace počítačových virů nyní vzrostla na několik stovek. Mezi dva nejlepší antiviry patřili Symantec a CentralPoint. V dubnu vypukla epidemie způsobená souborovým, bootovacím a polymorfním virem Tequila, a v září podobným virem Amoeba. V létě 1991 se objevil vir Dir_II. Spojoval používání podstatně nových metod infekce souborů.

      O rok později roku 1992 téměř vůbec nevznikají viry pro jiné počítače než pro IBM PC a OS MS-DOS. Chyby v sítí jsou opravené a síťové červy ztratily schopnost se rozšiřovat. Nejvíce se šíří souborové a bootovací viry. Počet virů roste geometrickou řadou. Vznikají rozmanité antivirové programy, tucty knih a několik časopisů.
      Počátkem tohoto roku vznikl první polymorfní generátor MtE, sloužící jako základ pro několik polymorfních virů, které následují téměř ihned. MtE byl také vzor pro několik dalších polymorfních generátorů. V červenci vznikly první konstruktory virů VCL a PS-MPC, pomocí nichž bylo vytvořeno mnoho nových virů.
      V březnu 1992 vznikla epidemie viru Michelangelo (známý jako "March6") a následující hysterie. Pravděpodobně toto je první známý případ, kdy antivirové společnosti záměrně nechránily uživatele před nebezpečím, ale přitahovaly pozornost k jejich produktu s cílem vytvořit zisky. Jedna americká antivirová společnost oznámila, že 6.března budou zničeny informace v pěti stech milionech počítačů. Následkem tohoto rozruchu vydělaly jiné antivirové společnosti. Ve skutečnosti trpělo tímto virem jen 10,000 počítačů.
      Novou éru ve tvorbě virů nastaroval ke konci roku 1992 první Windows vir, který napadá spustitelné soubory pro Windows.

      V dalším roce se objevilo mnoho generátorů polymorfních virů a konstruktorů. Používají vysoce neobvyklých způsobů , jak infikovat soubory, a uvést sebe sama do systému. Na jaře 1993 Microsoft vytvořil vlastní antivirový program MSAV, založený na CPAV od Central Pointu.
Nejvýznamnější viry tohoto roku jsou:

      V roce 1994 rychle získaly popularitu CD disky a problémy s viry na CD se stávaly se důležitějšími. Existuje mnoho případů rozšiřování virů, kdy na trh bylo posláno několik tisíc zavirovaných CD. Samozřejmě musely být zničeny.
      Na jaře 1994 jedna z antivirových vedoucích firem Central Point přestala existovat, získal ji Symantec, který koupil několik menších společností, jako Peter Norton Computing, Cetus International a Fith Generation Systems.
      Počátkem roku ve Velké Británii se vyskytly dva extrémně složité polymorfní viry, SMEG.Pathogen a SMEG.Queen. Jejich autor umístil infikované soubory na BBS a způsobil skutečnou paniku a strach z epidemie v hromadných sdělovacích prostředcích.
      Další vlna paniky byla vytvořen zprávou o viru GoodTimes, který se měl údajně šířit pomocí Internetu a nakazit počítač při přijímání e-mailu. Žádný takový vir opravdu neexistoval, ale za čas se objevil obvyklý DOSový vir obsahující textový řetězec "Good Times". Byl nazýván GT-Spoof.
      Zákon zvýšil své aktivity a v létě 1994 byli autoři viru SMEG zatčeni. Přibližně ve stejnou dobu také ve Velké Británii byla zatčena celá skupina výrobců virů, která se nazývala ARCV (Association for Really Cruel Viruses). Později byl zatčen ještě jeden autor virů v Norsku.
Objevily se i nějaké nové neobvyklé viry:

      Následujícího roku se mezi DOS viry nic zvláštního nepřihodilo. Objevilo se několik virů jako NightFall, Nostradamus, Nutcracker, také nějaké vtipné viry jako Bisexual, RNMS a BAT vir Winstart. Mezi rozšířené viry patřily ByWay a DieHard2 a zprávy o infikovaných počítačích přicházely z celého světa.
      V únoru 1995 byly disky s demonstrační verzí Windows95 infikovány virem Form. Kopie z těchto disků byly poslány beta testerům. Jeden z nich nebyl líný a disky prověřil.
      Na jaře 1995 dvě antivirové společnosti - ESASS (ThunderBYTE antivirus) a Norman Data Defense (Norman Virus Control) oznámily jejich spojení.
      Jeden z přelomů v historii virů a antivirů se stal v srpnu. Objevil se první životaschopný vir pro Microsoft Word Concept. V jediném měsíci vir obešel svět a stal se jedničkou ve statistickém výzkumu.

      Rok 1996 byl již zajímavějším, co se týče virů. V lednu se staly dvě pozoruhodné události – zjevil se první Windows95 vir Win95.Boza a nastala epidemie extrémně složitého polymorfního viru Zhengxi v St. Petersburgu.
      V březnu se narodil první vir pro Windows 3.x. Jméno viru je Win.Tentacle. Tento vir infikoval počítačovou síť nemocnic a několika dalších institucí ve Francii. Tato událost je zvláště zajímavá, protože toto byl první Windows vir "on a spree". Před tím všechny Windows viry žíly jen ve sbírkách a elektronických časopisech virových tvůrců. Volné byly jen boot viry, DOS viry a makro viry.
      Další významnou událostí se stalo červnové objevení prvního viru pro OS/2. Správně nakazí EXE soubory tohoto operačního systému. Dřívější viry přepisovaly samy sebe místo programu, zničily je, nebo je doprovázely.
      O měsíc později se objevil Laroux - první vir pro Microsoft Excel. Myšlenka byla stejná jako u virů pro Microsoft Word, byl založený na makrech. Takové programy mohou být obsaženy v dokumentech Microsoft Excelu a Microsoft Wordu.
      V prosinci 1996 vznikl první rezidentní vir pro Windows95 - Win95.Punch. Zůstává v paměti Windows jako VxD řadič, hlídá přístup k souborům a napadá Windows EXE soubory, které jsou otvírány.
      Během tohoto a příštího roku se objevilo několik tuctů Windows virů a několik stovek makro virů. Mnoho z nich užívá nových technologií a metod infekce, včetně techniky stealth a polymorfních schopností. To bylo další kolem vir vývoje. Během dvou let zopakovali způsob , jak se zlepšovaly viry pro DOS. Krok za krokem začali používat stejné rysy, které DOSové viry používaly deset let před nimi, ale na jiné technologické úrovni.

      Rok 1997 byl především rokem skandálů mezi antivirovými společnostmi. Vznikalo velké množství virů pro MS Office.
Dále jen stručný přehled:

      V roce 1998 pokračovaly virové útoky na MS Windows, MS Office a na síťové aplikace.Kromě toho se objevovalo mnoho trojských koní, které se snažily krást hesla k přístupu na Internet. Bylo odhaleno několik incidentů s infikovanými CD. Někteří vydavatelé distribuovaly CD s viry CIH a Marburg ( Windows viry).
      Počátkem roku vznikla epidemie virové rodiny Win32.HLLP.DeTroie. Nejen že nakazí Windows32, ale také byl schopný přenášet k "vlastníkovi" informace o počítači, který byl infikován. Viry používaly zvláštní knihovny a připojily jen k francouzské verzi Windows, proto epidemie ovlivnila jen francouzsky mluvící země.
      V únoru se objevil další vir Excel4.Paix pro tabulky v Excelu (známý též jako Formula.Paix). Tento typ makro viru nepoužíval obvyklý druh maker. O měsíc později se narodil AccessiV, první Microsoft Access vir. Nebyl tak úspěšný jako Word.Concept a Excel.Laroux. Ve stejném měsíci vynikl vir Cross, první makrovir, který napadá dvě různé aplikace MS Office -Access a Word. Potom se objevovalo více virů, jenž uměly převádět svůj kód z jedné do druhé aplikace MS Office.
      I souborové viry dělaly své pokroky. V únoru a v březnu byly objeveny první polymorfní Windows32-viry Win95.HPS a Win95.Marburg. Vývojáři antivirových programů museli urychleně přizpůsobit své programy, které uměly odhalit polymorfismus jen u DOSových virů, novým podmínkám. V květnu si zařádil vir RedTeam. Napadá Windows EXE soubory a posílá je pomocí Eudora e-mail.
      Jedna z největších epidemií nastala v červnu 1998. Na začátku to byla masa, pak se stala globální a pak to lze vyjádřit jen slovy jako počítačový holocaust. Vir Win95.CIH byl poprvé zaregistrovaný na Taiwanu, kde neznámý hacker poslal infikované soubory do místní internetové konference. Odtud se vir rozšířil v USA a začal se šířit pomocí infikovaných počítačových her z několik populárních serverů do celého světa. Právě tyto napadené soubory způsobily, že tento vir dominoval počítačovému světu po celý rok. Podle hodnocení "popularity" vir vytlačil Word.CAP a Excel.Laroux. Tento vir závislosti na datu vymazal Flash BIOS, což v některých případech mohlo zničit základní desku.
      V srpnu se narodil první vir, který dokáže nakazit spustitelné soubory jazyka Java - Java.StrangeBrew. Vir nebyl nebezpečný vůči uživatelům Internetu, protože neexistovala žádná cesta, jak replikovat vir na vzdálený počítač. Nicméně by se zde mohla objevit možnost do budoucna.
      Internetová expanze počítačových parazitů pokračovala třemi viry, které napadají skripty VisualBasicu (VBS soubory) , který je aktivně používaný ve vývoji webových stránek. K nejznámějším patří listopadový VBScript.Rabbit. Jako logický následek VBScriptových virů byl životaschopný HTML-vir HTML.Internal. Viroví tvůrci změnili své úsilí a zaměřili se na červy, které mohou využívat MS Windows, MS Office a e-mail k šíření na vzdálené počítače.

      V únoru 1999 se objevil jeden z dalších červů, který se dokázal šířit prostřednictvím emailové zprávy. Jmenoval se Happy99 (W32/Ska) a jeho princip šíření byl jednoduchý: ke každé odesílané zprávě připojil svoje tělo (ve formě souboru HAPPY99.EXE, který byl v příloze) a doufal, že ho adresát spustí (pak se celý proces opakoval s tím rozdílem, že adresát byl odesílatelem). Za pár dní dokázal Happy99 to, co ostatní viry nedokážou za několik měsíců - masivně se rozšířit.
      Dalším hitem tohoto období jsou viry, které vykrádají údaje z počítače uživatele. Jedním příkladem byl i makrovir W97M/Caligula, který manipuloval s Vašimi klíči PGP a snažil se je odeslat někomu, kdo je sbíral. Dalším podobným makrovirem, který něco kradl, byl makrovir W97M/Marker. V březnu se objevil další zajímavý vir - W32/SK. Tento vir dokázal šířit v souborech pod operačním systémem Windows 9x s nápovědou .

      V roce 2000 se další velkou novinkou stal makrovir W97M/Melissa. Ten se mimo jiné dokázal šířit opět prostřednictvím emailové zprávy. Za pár dní poté se objevil i podobný makrovir pro Excel X97M/Papa. Ten však obsahoval řadu chyb, a tak se celkově moc nerozšířil. Netrvalo dlouho a autor makroviru Melissa byl za pomoci organizace FBI vypátrán. Na začátku června se objevil další červ, který se šířil prostřednictvím emailových zpráv. Jmenoval se PrettyPark a velmi se podobal červu Happy99. O několik dnů později se objevil červ ExploreZIP, který se dokázal za krátkou dobu rozšířit ještě více než kolega Happy99.
      Hitem se ale stal vir ILOVEYOU. Dostanete ho jako e-mail s předmětem ILOVEYOU, jehož obsahem je věta: kindly check the attached LOVELETTER coming from me. A v příloze je soubor LOVE-LETTER-FOR-YOU.TXT.vbs. Pokud tento soubor spustíte, nastaví se vir pro spouštění při každém startu počítače a všechny soubory na lokálních a síťových discích s příponami JPG, JPEG, MP3, MP2, VBS, VBE, JS, JSE, CSS, WSH, SCT a HTA nahradí a přepíše svou kopií. Dále se na všechny adresy v adresáři Outlooku odešle tatáž kopie souboru.

      Směr, jakým se viry budou vyvýjet je již načrtnutý. Viry budou ke svému šíření používat především Internet a aplikace MS Windows. Jedno je jisté viry jsou vždy o krok dopředu před antivirovými programy

Prameny:
Moderní počítačové viry: Josef Jalůvka
A brief history of PC viruses: Dr Alan Solomon
History of Computer Viruses: Robert M. Slade
Thomas Jefferson University
www.ladysharrow.ndirect.co.uk
Aladdin Software