1

Storia dei computer virus

Chiara Crovetto

2

Gli inizi 1945 :John Von Neumann dimostra

matematicamente la possibilità di costruire una macchina o un programma in grado di replicarsi autonomamente.

1959 :il concetto di programma auto-replicante viene per la prima volta implementato in un gioco ideato da un gruppo di programmatori dei Bell Laboratories della AT&T (Core wars).

1981 : nasce Elk Cloner, il primo virus. Si diffonde nei dischetti di Apple II (che contengono il sistema operativo).

1983 :Frederick Cohen usa per la prima volta pubblicamente il termine virus.

3

1985: Trojan horse

Nel 1985 compare il primo Trojan, un programma che si chiama EGABTR ma che si presenta come un gioco chiamato NUKE-LA.

Questo introduce una nuova minaccia perché anche programmi apparentemente innocui possono eseguire codice nocivo sul computer senza farsi notare dagli utenti.

4

1986: Boot virus In Pakistan due fratelli(Amjad e Basit)

creano (c)Brain. I boot virus infettano il Boot sector di un

floppy disk e il Boot sector o l'MBR dell'hard disk .

L’infezione avviene quando il computer è avviato con un dischetto infetto.

Il virus rimane in memoria (è un TSR) e infetta gli altri dischetti che vengono successivamente inseriti.

5

Stealth virus

Contemporaneamente ai boot virus nascono anche gli stealth in quanto lo stesso (c)Brain utilizza tecniche di Stealth.

Cosa significa?

Uno stealth virus in generale usa un algoritmo che gli permette di nascondere completamente o parzialmente le sue traccie nel sistema operativo. L'azione comune è di intercettare le chiamate read/write del sistema operativo per infettare altri oggetti.

6

File virus Nello stesso anno in Germania Ralph Burger

realizza che si può creare un file con la capacità di riprodursi attaccando una propria copia ad un altro file. Scrive una dimostrazione di ciò e la chiama Virdem.

Questo tipo di virus sfrutta il file system del sistema operativo per propagarsi.

In generale infetta tutti i tipi di file eseguibili del DOS, quali BAT (file batch), SYS (file di sistema), EXE (file eseguibili), COM (file di comando) ed inoltre quelli caratteristici di altre piattaforme come Macintosh, Unix e Windows.

7

1987: Virus crittografati Compare il primo virus crittografato :

Cascade. Fu chiamato così perché, quando attivato, faceva cadere le lettere sullo schermo.

La maggior parte del virus è crittografata e lascia solo una piccola porzione di testo in chiaro. Questo rende subito più difficile riparare i file infetti e restringe la scelta della stringa di ricerca alla prima coppia di 12 byte.

8

Worm IBM Christmas tree, viene rilevato sulla

rete di comunicazione interna di IBM. Un worm, a differenza di un virus, si

diffonde senza l’aiuto delle persone attraverso una rete, moltiplicandosi esponenzialmente e causando così un notevole rallentamento delle operazioni.

Non tutti sono ancora convinti dell’esistenza dei virus:Peter Norton, per esempio, in un’intervista dice che sono una leggenda urbana, come I coccodrilli nelle fogne di New York…

9

1988 : Primi antivirus Principalmente prodotti da piccole

compagnie, hanno prezzi veramente bassi: 5 o 10 dollari circa…qualcuno è freeware, qualcun altro shareware.

I software venduti da compagnie più grosse non hanno molta fortuna perchè quasi nessuno vuole pagare tanto per un problema potenziale …

In qualche modo è un peccato perchè così i primi virus, specialmente Cascade, Jerusalem, Stoned e Ping Pong, si diffondono tantissimo.

10

1989: IBM e Datacrime A Marzo viene scoperto un virus

potenzialmente molto pericoloso che è programmato per attivarsi dal 13 ottobre in poi… Datacrime.

IBM ha un software antivirus per uso interno ed è costretta dalle circostanze ad offrirlo ai suoi clienti.

A Settembre IBM spedsce la versione 1.0 di IBM scanning software insieme ad una lettera in cui spega cos’è e perchè ce n’è bisogno.

I pochi che trovano (o credono) Datacrime vengono assaliti dalle domande dei media.

11

1990: Virus polimorfi L’idea è di Mark Washburn. I suoi virus (1260,

V2P1, V2P2 e V2P6)sono interamente e variabilmente crittografati e il decryptor all’inizio del file può avere un largo numero di forme.

La stringa di ricerca più lunga che si può prendere è di appena uno o due byte.

Gli antivirus dell’epoca non sono in grado di individuare questi virus. Una delle conseguenza più visibili è l’aumento dei falsi_allarmi.

12

3 nuove idee Infezione veloce :l’infezione del virus è

semplicemente attivata aprendo un file in lettura. In questo modo l’intero hard disk è infettato molto velocemente.

Danneggiamento astuto :Dark Avenger-1800 sovrascrive occasionalmente un settore dell’hard disk l’utente non se ne accorge e fa il backup dei dati che crede buoni…

Distribuzione innovativa :Nascono le VX BBS (Virus Exchange Bullettin Board System). Fare l’upload del codice di un virus dà diritto a scaricarne tantissimi altri.

13

1991: ci sono 1000 virusNascono nuovi problemi: Ogni scanner ha bisogno di tenere in

memoria le stringhe di ricerca, ma sotto DOS ci sono solo 640KB disponibili.

Alcuni scanner rallentano in proporzione al numero di virus da cercare.

C’è bisogno di più esperti perchè poche persone non possono più disassemblare e studiare tutti i virus in circolazione

Molti virus sono simili tra di loro confusione da parte degli scanner e riparazione sbagliata.

14

1992: Nuovi strumenti Nasce il primo tool per rendere polimorfico

un qualsiasi virus : MtE (Self Mutating Engine).

Commander Bomber: inserisce il codice virale in un punto qualsiasi del file attaccato gli scanner sono rallentati ancora di più.

Pacchetti per costruire virus utilizzabili da chiunque abbia un computer (Virus creation laboratory).

Associazioni di hackers (Ass. of really cruel viruses) e si vendono collezioni di virus.

15

Molto rumore per nulla (o quasi)

Michelangelo, atteso con grande paura infetta il 6 marzo 92 circa 5000/10000 macchine

I venditori di antivirus ne prevedevano almeno 5 milioni danneggiamento alla credibilità di persone che difendono ragionevoli strategie anti virali.

Good Times è il primo hoax (imbroglio). Scritto su America Online nel 1994, continua ancora a circolare …

16

1995: Macro Concept è il primo macro virus per

Word. Ora anche un “documento di testo” può essere infettato da un virus !

Ogni attività che chiama la macro, (anche aprire o chiudere il documento) attiva il virus. La macro ora copia se stessa e altre che eventualmente servono nel file NORMAL.DOT.

Microsoft subito non ne riconosce la pericolosità le soprannomina “prank macro”, traducibile con ”macro birichine”.

17

1998: Chernobil e Staog Primo virus che paralizza l’hardware Cerca di sovrascrivere il Flash BIOS

chip della macchina per riavviarla bisogna riprogrammare il chip !

La grandezza dei file infettati inoltre non cresce per nulla, e vengono utilizzati trucchi avanzati per agganciare le system call.

In questo anno nasce anche il primo virus per Linux : Staog.

18

1999: E-mail virus Melissa si diffonde con una rapidità mai vista

prima grazie alle e-mail (Loveletter…) Bubbleboy : il codice HTML di cui è composto il

messaggio contiene uno script di Visual Basic nocivo.

Outlook esegue lo script anche con l’anteprima. Questo è in grado di attivarsi grazie ad un baco dei prodotti Microsoft che permette a due controlli ActiveX potenzialmente pericolosi (scriptlet.typelib e Eyedog) di funzionare

Il suo inventore ne ha spedito una copia alle maggiori compagnie di anti-virus per schernirle.

19

20

2001 -2002 Nasce Lyberty, il primo trojan per palmtop, ma

non si diffonde molto . Alcune nuove vittime dei virus :

gnutella(Gnuman) e Kazaa(benjamin)

MIRCChat (LogoLogic-A)

PDF (Peachy PDF-A)

Shockvawe flash(L.F.M.926)

servizi .NET (Donut)

SqlServer(SqlSpider)

JPG(Perrun)

freebsd/Apache (Scalper)

21

Quest’anno Sobig-F si diffonde in modo assai più feroce di

qualsiasi altro virus visto in precedenza, intasando completamente le caselle e-mail.

Alcune delle persone più colpite da Sobig sono stati gli spammer, che non potevano più inviare facilmente come prima i soliti milioni di messaggi perché i loro gateway erano inondati dal traffico generato da Sobig.

Blaster, il secondo baco dell'anno in termini di incidenza, non ha utilizzato le e-mail come veicolo, ma si è diffuso a macchia d'olio attraverso Internet, sfruttando una falla nella sicurezza di alcune versioni di Windows, causando anche un forte imbarazzo a Microsoft.

22

Riferimenti www.sophos.comwww.cert.orgwww.virusbtn.comwww.cknow.com www.unisa.itwww.symantec.comwww.repubblica.it