O wirusach w internecie

To, że wirusy komputerowe mogą być złośliwe, szkodliwe
i niebezpieczne wie dziś zapewne każdy posiadacz komputera,
ale czy potrafią być też modne?
Historia wirusów komputerowych to ciąg kolejnych epok, w każdej
z których dominował jakiś konkretny ich typ. Oczywiście,
w poszczególnych okresach występowały także inne rodzaje tych wrednych stworków, powodowały one jednak znacznie mniej zarażeń - wirusy aktualnie dominującego typu stanowiły zawsze od 70 do 90 procent wszystkich infekcji.
I tak w dawnych, mrocznych czasach DOS'u mieliśmy okres dominacji wirusów dyskowych, przenoszonych pomiędzy komputerami za pomocą dyskietki ( a dokładnie jej boot-sektora )
i infekujące sektory dysku twardego. Popularność ta była wynikiem używania w tym czasie dyskietek jako głównego środka przenoszenia danych pomiędzy komputerami. Oczywiście, w okresie tym istniały także wirusy infekujące programy, niektóre z nich osiągnęły nawet duże sukcesy w wywoływaniu ogólnoświatowych infekcji. Specyfika wirusów programów umożliwiała poza tym tworzenie znacznie bardziej wyrafinowanych dzieł. Jednak to właśnie proste wirusy dyskowe stanowiły w tym czasie przeważającą większość występujących w rzeczywistym świecie ("na wolności") infekcji.
Z czasem zaczęła rosnąć popularność systemu Windows i jego aplikacji, a wśród nich pakietu Office, posiadającego możliwość wzbogacania swych funkcji za pomocą pisanych przez użytkownika makr. Szybko okazało się, że poza swoim głównym przeznaczeniem nadają się one świetnie do pisania wirusów, a fakt iż dokumenty są najczęściej przenoszonymi pomiędzy komputerami plikami szybko doprowadził do zatryumfowania ich na wirusowej liście przebojów. Trzeba tu przyznać, że pomógł trochę także Microsoft, w którego systemie Windows 3.1 przestała działać większość napisanych dla systemu DOS wirusów programów, zaś wersja Windows 95 zupełnie nie chciała pracować, gdy komputer zaraził jeden z wirusów dyskowych. To doprowadziło do upadku większość tych "zabytkowych" już stworków.
Kolejnym etapem w rozwoju komputerów był stopniowy proces przyłączania ich do globalnej sieci Internet. Kiedy liczba połączonych ze sobą komputerów przekroczyła liczbę krytyczną, wirusy stwierdziły iż przestają polegać na niezwykle zawodnym z ich punktu widzenia człowieku, którego udział w przenoszeniu wirusa na inny komputer był dotąd kluczowy, na rzecz samoczynnego rozsyłania się
za pośrednictwem Internetu. Już pierwsze wirusy tego typu pokazały jak skuteczna to idea, powodując infekcje o szybkości rozprzestrzeniania się i skali dotąd niespotykanej. W kilka godzin potrafiły one opanować cały świat. Rozpoczęła się era dominacji wirusów sieciowych. Początkowo o funkcję taką rozbudowywane były głównie wirusy makr, jednak bardzo szybko okazało się,
że w systemie Windows istnieje niezwykle silne inne narzędzie - skrypty VBS. Już do napisania wirusa makrowego wystarczała mikroskopijna wiedza i parę minut potrzebnych na wpisanie kilku linii makra. Wirusy sieciowe skryptów VBS pisało się jeszcze łatwiej i szybciej, a dzięki naiwności użytkowników komputerów "klikających" bez zastanowienia na każdy załącznik do otrzymanych listów opanowywały one światowy Internet jeszcze szybciej. Zaczęłą się epoka dominacji wirusów skryptów.
Nie trwała ona jednak długo, szybko okazało się bowiem,
że łatwe w pisaniu wirusy skryptów są także bardzo łatwe
w wykrywaniu za pomocą bazującego na metodach heurystycznych (czyli ocenie, czy dany plik jest wirusem na podstawie tego jak się zachowuje, a nie przez porównanie go z wzorcem) oprogramowania antywirusowego, także wówczas, gdy wirus był całkiem nowy
i "widziany pierwszy raz w życiu".
W międzyczasie środowisko autorów wirusów opanowało wreszcie umiejętność pisania działających wirusów wyposażonych w funkcje samodzielnego rozsyłania się po sieci (czyli tak naprawdę zgodnie
z terminologią robaków internetowych) będących programami sytemu Windows i to właśnie one królują nam łaskawie dzisiaj. Oczywiście wirusy będące prawdziwymi programami stwarzają możliwość tworzenia znacznie bardziej skomplikowanych dzieł. Dlatego, z dużą dozą prawdopodobieństwa możemy przypuszczać, że w następnym okresie mogą zacząć dominować podobnie jak dziś, będące programami wiruso-robaki wyposażone jednak
w szereg utrudniających ich wykrywanie cech takich ja metamorfizm (czyli daleko idące mutowanie się kodu wirusa w jego kolejnych kopiach) oraz ukrywanie punktu wejścia do wirusa (wirus nie uruchamia się jak dotąd przed działaniem swego nosiciela, tylko
w dowolnym momencie w trakcie wykonywania się kodu zainfekowanego programu). Obie te funkcje mają na celu utrudnienie wykrycia wirusa, co głównie przejawia się w wydłużeniu czasu potrzebnego na sprawdzenie przez antywirusa kolejnych programów. Pierwsi przedstawiciele tego kierunku spowolnili już działanie współczesnych programów antywirusowych o mniej więcej 10 procent.
Poza tym głównym nurtem istnieje dziś także, osiągający chwilami duże sukcesy, specyficzny rodzaj wirusów. To wirusy wykorzystujące błędy w oprogramowaniu - najczęściej w systemach operacyjnych. Po odkryciu takiego błędu jego opis znajduje się błyskawicznie (często także wraz z przykładowymi programami potrafiącymi go wykorzystać) w publikowanych w Internecie periodykach autorów wirusów. To ułatwia szybkie powstanie wykorzystujących taką dziurę wirusów (lub jeszcze częściej robaków internetowych). Są one niezwykle niebezpieczne, gdyż najczęściej potrafią włamać się
na nasz komputer bez żadnej pomocy człowieka, wystarczy, że komputer jest włączony. Wydawało by się, że żywot takich wirusów powinien być krótki - zwykle szybko pojawiają się łaty na wykryte dziury i wirusy nie powinny mieć szans na dalsze życie. Niestety, bardzo często użytkownicy komputerów nie przywiązują dużej wagi do aktualizacji swojego oprogramowania, stąd okres życia takich wirusów wydłuża się, przekraczając często rok. W wypadku najbardziej krytycznych serwerów pewnym usprawiedliwienie stanowi tu fakt, że aplikowanie łatek wymaga wyłączenia systemu, na co nie pozwala ważność pełnionych przez nie funkcji - takie serwery zwykle wyłącza się raz na kilka lat.
Jako ciekawostkę przytoczę tu za agencjami informacyjnymi doniesienie, że świeżo odkryty wirus SQL-Slammer, bazujący na dziurze w Microsoftowym SQL Serwerze największe spustoszenia spowodował w samej firmie Microsoft, która opublikowała łatę na ten błąd już dość dawno.
Od dawna twórcy wirusów znajdują bardzo różne motywacje do swojego działania, ale z pewnością najczęstszą jest chęć znalezienia podziwu wśród innych. Taki podziw można zdobyć, tworząc wirusy, które w jakiś sposób zwrócą na siebie uwagę. Oczywiście, niewątpliwie wirus taki musi należeć do aktualnie królującego gatunku. Trudno sobie wyobrazić podziw dla autora wirusa dla środowiska DOS, który nie będzie działał na większości dzisiejszych komputerów.
Innym sposobem na wyróżnienie się jest wymyślenie dla swojego dzieła malowniczej nazwy, którą następnie umieszcza się w kodzie wirusa w nadziei, że stanie się on jego obowiązującą nazwą.. Właśnie dlatego środowiska antywirusowców dążąc do zmniejszenia liczby tworzonych wirusów dezawuują takie działania, nadając nowym wirusom nazwy zgodnie z pewnym przyjętym kluczem. Stąd zamiast niezwykle malowniczego wirusa "krwawa zemsta" pojawia się "głupek 2577" bądź "słabizna 2577" - autor wirusa o takiej, nie przynoszącej chluby nazwie raczej nie będzie się zbytnio chwalił swoim dziełem i być może zaniecha swej dalszej działalności. Najczęściej zresztą te nieco obraźliwe nazwy mają swoje uzasadnienie w jakości wirusa, którego opisują.
Częstym pomysłem na to, aby wirus był "na fali" jest umieszczanie w nim odniesień do aktualnych wydarzeń na świecie. Stąd niegdysiejsza seria wirusów protestujących przeciwko francuskim próbom jądrowym, a dziś modne są odniesienia do wydarzeń z 11 września i do tego co dzieje się w różnych rejonach bliskiego wschodu. Niezmiennie powraca też wśród wirusów tematyka zbyt wysokich rachunków telefonicznych.
Twórcy wirusów, to w 99% wypadków bardzo kiepscy programiści. Są oni do tego stopnia słabi, że wielu z nich nie byłoby w stanie samodzielnie napisać wirusa. Jak sobie radzą? Otóż środowisko autorów wirusów jest całkiem dobrze zorganizowane. Organizują oni swoje zjazdy, wydają własne miesięczniki, prowadzą grupy dyskusyjne. Wszystko to w jednym tylko celu - szybkiej wymiany informacji. Świat komputerów zmienia się bardzo szybko. Kolejne, coraz szybsze komputery umożliwiają uruchamianie na nich coraz bardziej skomplikowanych systemów operacyjnych. Do każdego kolejnego środowiska programy pisze się inaczej, często trudniej niż do poprzedniego. Oczywiście stopień trudności pisania wirusa także rośnie. Dlatego po każdej zmianie systemu operacyjnego nie od razu pojawiają się wirusy na nową platformę. Potrzeba od roku do dwóch zanim wymyślone zostaną nowe mechanizmy infekcji, sprawdzające się w nowym środowisku. Liczba osób trudniących się pisaniem wirusów potrafiących wymyślić takie nowe algorytmy jest niewielka - takich ludzi liczy się w dziesiątkach. Dla wielu z nich jest to wyzwanie intelektualne, piszą więc nowatorskie wirusy nie po to, aby wypuścić je w świat, lecz aby udowodnić, że są one w ogóle możliwe. Problem jednak w tym, że efekty swojego działania udostępniają innym, mniej zdolnym autorom wirusów, a ci już nie mają żadnych oporów przed tym, aby odrobinę przerobić cudze dzieło, wyposażyć je w funkcje niszczące i wypuścić na szeroką wodę. Taki sposób działania oczywiście ułatwia szerokim kręgom miernot zaistnienie w aktualnym "modnym" głównym nurcie tej twórczości. Skutkiem tego jest zmaganie się laboratoriów antywirusowych z długimi seriami bardzo podobnych wirusów.
Cóż, musimy jednak pamiętać, że modny czy też nie, każdy wirus może spowodować spustoszenie na naszym komputerze i dziś już nikt nie jest bezpieczny. Tym bardziej, że rośnie bardzo objętość plików danych, w tym fotograficznych, filmowych czy muzycznych, co znacznie utrudnia wykonanie kopii zapasowej. Jednocześnie rośnie liczba wirusów, które celowo takie pliki kasują. Znam agencje, które w wyniku ataku wirusa potraciły swoje archiwalne zbiory fotografii.
Tak więc trzeba dziś pamiętać o aktualnej wersji antywirusa zainstalowanej na komputerze, ale także, co wcale nie mniej ważne o posiadaniu zainstalowanych wszystkich aktualnych łatek na naszym systemie.

Marek Sell, MKS Sp. z o. o.
luty 2003www.mks.com.pl
11 marca 2003, godz. 00:00