Τεχνική Νομοθεσία Για Μηχανικούς Πληροφορικής/Ιοί - Προστασία των δεδομένων από ιούς
Ιοί
επεξεργασίαΜια ιδιαίτερα συχνή και επικίνδυνη μορφή εγκληματικότητας που εμφανίζεται στο Διαδίκτυο είναι η αλλοίωση, κατασκοπεία ακόμη και η διαγραφή των δεδομένων με ιούς. Οι "ιοί" των υπολογιστών είναι ειδικά κακόβουλα προγράμματα που έχουν την ικανότητα να εξαπλώνονται στο υπολογιστικό σύστημα είτε από μόνα τους είτε με την λανθασμένη συγκατάθεση του χρήστη. Διακρίνονται σε δύο μορφές: στους ιούς των προγραμμάτων και στους ιούς των συστημάτων.
Leap-A/Oompa-A
επεξεργασίαΤο Oompa-Loompa είναι ένα κακόβουλο λογισμικό που λέγεται και OSX/Oomp-A ή Leap.A. Αυτό το λογισμικό μολύνει τις εφαρμογές και διαδίδεται μέσω του δικτύου LAN. Το κακόβουλο αυτό λογισμικό το ανακάλυψε η Intego, μια εταιρία ασφάλειας λογισμικού της Apple, στις 14 Φεβρουαρίου του 2006. Το Leap δεν μπορεί να διαδοθεί μέσω του Διαδικτύου, μόνο από τα LAN στα οποία χρησιμοποιεί ο χρήστης το Bonjour πρωτόκολλο. Στα περισσότερα δίκτυα αυτό περιορίζεται σε ένα μόνο υποδίκτυο.
Το σκουλήκι Leap μεταδίδεται μέσω του iChat instant messaging, σαν ένα gzip-compressed tar αρχείο το οποίο λέγεται latestpics.tgz. Για να πιάσει η δράση του σκουληκιού, πρέπει ο χρήστης να το καλέσει, ανοίγοντας το αρχείο tar και μετά να τρέξει το εκτελέσιμο αρχείο που βρίσκεται μέσα.Το εκτελέσιμο αρχείο είναι κρυμμένο πίσω από μια στάνταρ εικόνα από ένα αρχείο εικόνας και ισχυρίζεται ότι αν πατηθεί θα σου δείξει με προβολή εικόνων πως θα είναι το επόμενο λειτουργικό σύστημα της Apple. Από την στιγμή που θα τρέξει, το σκουλήκι θα προσπαθήσει να μολύνει τον υπολογιστή.
Για τους χρήστες που δεν είναι συνδεδεμένοι σαν διαχειριστές, θα τους προτρέψει να βάλουν τον κωδικό διαχείρισης του υπολογιστή προκειμένου να αποκτήσουν το προνόμιο να τροποποιήσουν τη διαμόρφωση-διάταξη του συστήματος. Το σκουλήκι δεν μολύνει τις εφαρμογές που κάθονται στον δίσκο παρά μόνο όταν οι εφαρμογές αυτές φορτωθούν, χρησιμοποιώντας μια εγκατάσταση του συστήματος που λέγεται apphook. Το Leap μολύνει μόνο εφαρμογές Cocoa και δεν μολύνει εφαρμογές που ανήκουν στο σύστημα ( μαζί με αυτές που είναι προ εγκατεστημένες με το μηχάνημα), αλλά μόνο τις εφαρμογές που ανήκουν στον χρήστη ο οποίος είναι συνδεδεμένος εκείνη την στιγμή. Τυπικά σημαίνει ότι μολύνει εφαρμογές τις οποίες έβαλε ο τρέχων χρήστης στο σύστημα με drag-and-drop και όχι με το σύστημα εγκατάστασης της Apple. Μόλις μια μολυσμένη εφαρμογή ανοίξει, το Leap προσπαθεί να μολύνει τις τέσσερις τελευταίες εφαρμογές που ανοίχτηκαν από τον χρήστη και οι οποίες δεν είναι ήδη μολυσμένες. Αν είναι μολυσμένες, τότε δεν γίνεται περαιτέρω μόλυνση του συστήματος. Μόλις ενεργοποιηθεί, το Leap θα προσπαθήσει να απλώσει τον εαυτό του μέσω των iChat Bonjour επαφών του χρήστη. Δεν απλώνεται χρησιμοποιώντας την κύρια λίστα επαφών του iChat ούτε μέσω του XMPP. Το Leap δεν διαγράφει δεδομένα, δεν παρακολουθεί το σύστημα ούτε και παίρνει τον έλεγχο του, αλλά κάνει ένα μεγάλο κακό: λόγο ενός bug που έχει μέσα του το ίδιο το Leap, μια μολυσμένη εφαρμογή δεν πρόκειται να ξανανοίξει. Αυτό είναι και χρήσιμο βέβαια διότι έτσι δεν αφήνει του χρήστες να τρέξουν μια μολυσμένη εφαρμογή για να συνεχίσουν να μολύνουν το σύστημα τους.
Μια συνήθης μέθοδος για την προστασία από τέτοιου είδους Trojan horse είναι η αποφυγή της εκτέλεσης από πηγές που δεν εμπιστεύεται ο χρήστης. Σε έναν ήδη υπάρχων λογαριασμό διαχειριστή στο σύστημα μπορεί ο χρήστης να του σταματήσει αυτό το προνόμιο και να τον κάνει απλό χρήστη. ( Τουλάχιστον ένας λογαριασμός διαχειριστή πρέπει να παραμείνει στο σύστημα για να μπορούν να γίνονται εγκαταστάσεις λογισμικών/προγραμμάτων και να μπορούν να γίνουν σημαντικές αλλαγές στις ρυθμίσεις του συστήματος, ακόμα και αν αυτός ο λογαριασμός υπάρχει αποκλειστικά για αυτήν την χρήση). Ανάκτηση του συστήματος μετά από την μόλυνση του Leap, συμπεριλαμβάνει την διαγραφή όλων τον μολυσμένων αρχείων και την καθαρή εγκατάσταση των μολυσμένων εφαρμογών από την αρχή. Δεν χρειάζεται να γίνει καθαρή εγκατάσταση του λειτουργικού ξανά, εφόσον οι εφαρμογές του συστήματος είναι απρόσβλητες, δεν αποκλείουμε όμως αυτή τη πιθανότητα.
Αυτός ο ιός αξίζει να σημειωθεί διότι παρόλο που η Apple έχει την φήμη ότι κρατάει το λειτουργικό και το υλικό της κλειστό από άλλα λογισμικά και υλικά, και παρόλο που δεν κάνει σοβαρή ζημιά ο ιός αυτός στον υπολογιστή του χρήστη, δείχνει στον κόσμο ότι ακόμα και τα Mac που σχετίζονται περισσότερο με τα Gnu/linux παρά με τα Windows που έχουν εκατομμύρια ιούς, μπορούν και αυτά να κολλήσουν και αν γίνουν διάσημα σαν τα Windows τότε υπάρχει πιθανότητα και αύξησης των Hacker και ιών και σε αυτό το λειτουργικό σύστημα.
Creeper
επεξεργασίαΤο πρώτο κακόβουλο πρόγραμμα για υπολογιστές, ονόματι «Creeper», ήταν ένα πειραματικό πρόγραμμα self-replicating γράφει ο Bob Thomas στο BBN . Έτσι το 1971, όταν εμφανίστηκε ο πρώτος ιός Creeper που μεταδιδόταν μέσω του Δικτύου ARPANET (το Δίκτυο του αμερικανικού στρατού ή αλλιώς ο «πατέρας» του σημερινού Internet) απλώς έδειχνε στην οθόνη του τερματικού το μήνυμα «Είμαι ο Creeper, πιάσε με, αν μπορείς» (I'm the creeper, catch me, if you can).Επειδή τότε δεν είχε ο κάθε χρήστης τον δικό του υπολογιστή, αλλά ένα σετ οθόνης-πληκτρολογίου και μόνο, καθώς ο κύριος και μοναδικός υπολογιστής ήταν τεραστίου μεγέθους σε δωμάτιο πολλών τετραγωνικών μέτρων, όπου σε αυτόν συνδέονταν τα πολλά σε αριθμό τέτοια σετ - κάθε σετ και χρήστης. Ο ιός Creeper το μοναδικό που έκανε ήταν να ταξιδεύει από τον PDP-10 υπέρ-υπολογιστή (mainframe) της πάλαι ποτέ πανίσχυρης εταιρείας DEC και δια μέσω του ARPANET στα τερματικά, εμφανίζοντας το παραπάνω μήνυμα. Ο σκοπός, πολύ απλός: σχεδιάστηκε ώστε να μην βλάψει αλλά να αποδείξει μια φορητή εφαρμογή και αποδείκνυε ότι ο δημιουργός του είχε την προγραμματιστική ικανότητα να «εισέλθει» στον υπολογιστή και τίποτα άλλο.
Ο Ιός 1260
επεξεργασίαΟ ιός 1260 έκανε την εμφάνισή του το 1989 και έμεινε στην ιστορία ως ο πρώτος ιός που χρησιμοποιούσε πολυμορφική κρυπτογράφηση . Αναπτύχθηκε από τον Mark Washburn και ως πολυμορφικός ιός,είχε την ικανότητα να εξαπατά τα συστήματα , μεταλλάσσοντας φαινομενικά τον αλγόριθμό του σε προκαθορισμένες μορφές , ενώ στην πραγματικότητα ο αλγόριθμός του έμενε ανέπαφος . Ο συγκεκριμένος ιός , σχεδιάστηκε για να προσβάλει αρχεία με κατάληξη .COM σε περιβάλλον MS-DOS και Windows . Από την στιγμή που κάποιο αρχείο είχε προσβληθεί , ο ιός αντικαθιστούσε τα τρία πρώτα bytes του αρχείου κατάληξης .COM κατά τέτοιο τρόπο έτσι ώστε αυτό να συνδέεται άμεσα με τον ίδιο τον ιό και όταν ο χρήστης επιχειρούσε να εκτελέσει το προσβεβλημένο αρχείο , αυτό σήμαινε αυτομάτως και την ενεργοποίηση του ιού . Ένα άλλο χαρακτηριστικό του ιού , στο οποίο μάλιστα οφείλει και την ονομασία του , είναι το γεγονός ότι κάθε αρχείο που είχε προβληθεί από τον παραπάνω ιό , αύξανε το μέγεθός του κατά 1260 bytes. Έπειτα το προσαυξημένο αρχείο κρυπτογραφούνταν , έχοντας το δικό του μοναδικό κλειδί κρυπτογράφησης από κάθε άλλο αρχείο που είχε υποστεί την ίδια ακριβώς διαδικασία . Ο ιός συνέχισε να μολύνει MS-DOS και Windows συστήματα με άλλα ψευδώνυμα όπως Camouflage , Chameleon , Stealth , Variable , V2P1 και V2PX έως το 1990 , όταν και κατάφερε να απομονωθεί . Αν και το παράδειγμα του ιού 1260 μιμήθηκαν αρκετοί μεταγενέστεροι ιοί και σκουλήκια , σήμερα ιοί που χρησιμοποιούν την ίδια τεχνική προκειμένου να μην κάνουν ορατή την παρουσία τους , μπορούν εύκολα να εντοπιστούν από τα σύγχρονα λειτουργικά συστήματα .
Ο Δούρειος Ίππος 'Gauss'
επεξεργασίαΟ ιός 'Gauss', είναι ένας ιός τύπου Trojan, ο οποίος υποκλέπτει ευαίσθητα δεδομένα και κυρίως τραπεζικές πληροφορίες χρηστών από το διαδίκτυο. Ο ιός αυτός, είναι ένα εργαλείο ηλεκτρονικής κατασκοπείας που επικεντρώνεται σε κωδικούς πρόσβασης, στοιχεία απ' ευθείας σύνδεσης τραπεζικών λογαριασμών (online banking Trojan) και συγκεκριμένες ρυθμίσεις των συστημάτων που προσβάλλει, ενώ στοχεύει χρήστες της Μέσης Ανατολής. Επίσης, υποκλέπτει πληροφορίες όπως το ιστορικό του φυλλομετρητή και τα cookies. Ένα ακόμη βασικό χαρακτηριστικό του Gauss, είναι η δυνατότητά του να προσβάλλει δίσκους USB, χρησιμοποιώντας την ίδια λειτουργικότητα που χρησιμοποιούσαν οι ιοί Stuxnet και Flame. Ο Gauss, εντοπίστηκε στο πλαίσιο της τρέχουσας πρωτοβουλίας 'μείωσης των κινδύνων που προκύπτουν από τις διαδικτυακές απειλές, ώστε να επιτευχθεί ο ευρύτερος στόχος της παγκόσμιας ειρήνης στο διαδίκτυο' της 'Διεθνούς Ένωσης Τηλεπικοινωνιών' (ITU), η οποία άρχισε μετά τον εντοπισμό του ιού Flame. Ο εντοπισμός του ιού Gauss οφείλεται κατά κύριο λόγο στις σημαντικές ομοιότητες του με τον ιό Flame, όπως η κοινή αρχιτεκτονική πλατφόρμα, οι δομές των βασικών modules, η βάση του κώδικα και τα μέσα επικοινωνίας με command & control (C&C) servers. Τον ιό ανακάλυψαν οι ειδικοί της Kaspersky Lab τον Ιούνιο του 2012 μετά από την ανάλυση και έρευνα του κακόβουλου λογισμικού Flame. Σύμφωνα με την ανάλυση του ιού Gauss, η λειτουργία του ξεκίνησε στα μέσα του Σεπτεμβρίου του 2011 και η C&C υποδομή του απενεργοποιήθηκε τον Ιούλιο του 2012, μετά από τον εντοπισμό του, και από τότε βρίσκεται σε αδρανή κατάσταση, ενώ αναμένεται η ενεργοποίηση των C&C servers του. Ακόμα, η ανάλυσή του έδειξε πως ο ιός είχε αναπτυχθεί με στόχο την υποκλοπή δεδομένων από τράπεζες με έδρα το Λίβανο, όπως η Bank of Beirut, η EBLF, η BlomBank, η ByblosBank, η FransaBank και η Credit Libanais. Επιπλέον, έδειξε πως στο στόχαστρο είναι και χρήστες των υπηρεσιών της Citibank και του PayPal. Έως τα τέλη του Μαΐου του 2012, σημειώθηκαν περισσότερες από 2.500 επιθέσεις στο cloud-based σύστημα ασφαλείας της Kaspersky Lab. Οι επιθέσεις, σε σύγκριση με αυτές του ιού Stuxnet, είναι λιγότερες σε αριθμό, αλλά σημαντικά υψηλότερες σε σύγκριση με αυτές των ιών Flame και Duqu.
Το βασικό module του ιού πήρε την ονομασία του από τον Γερμανό μαθηματικό Johann Carl Friedrich Gauss, ενώ σε άλλα μέρη του ιού έχουν δοθεί ονόματα άλλων γνωστών μαθηματικών, όπως Joseph-Louis Lagrange και Kurt Godel.
Pikachu Worm
επεξεργασίαTo Pikachu σκουλήκι,με το όνομα κλεμμένο από το ανάλογο ζώο του φανταστικού περιβάλλοντος των Pokemon,είναι το πρώτο σκουλήκι που είχε ως στόχους επιρροής τα παιδιά,με κύριο σκοπό την καταστροφή των αρχείων στους φακέλους Windows και Windows/System.Η διαδικασία ξεκινάει με την αποστολή του ως μήνυμα ηλεκτρονικού ταχυδρομείου(Email),με όνομα θέματος "Pikachu Pokemon" και με περιεχόμενο ως εξής:"Καλέ μου φίλε,ο Pikachu από τα Pokemon έχει κάποια φιλικά λόγια να σου πει.Πήγαινε στην σελίδα http://www.pikachu.com.".Μετά από το κλικ στον αντίστοιχο σύνδεσμο,η επισύναψη με το όνομα pikachupokemon.exe εμφανίζει ένα ακόμα μήνυμα και έναν κινούμενο pikachu.Τότε το σκουλήκι αλλάζει το αρχείο autoexec.bat με τέτοιο τρόπο ώστε να διαγράψει όλα τα αρχεία στα προαναφερόμενα μέρη με την επόμενη επανεκκίνηση.Πέραν αυτού,εισβάλει στην εφαρμογή Outlook και στέλνει τον εαυτό του σε όλες τις επαφές του χρήστη.Αν και το συγκεκριμένο κακόβουλο λογισμικό έχει σοβαρές πιθανότητες να προκαλέσει ζημιές μιας και το κοινό του δεν είναι συνηθισμένο στην αποφυγή ύποπτων μηνυμάτων,έχει περιορισμένες δυνατότητες επειδή διαδίδεται μόνο μέσω του Outlook,πρέπει να υπάρχει εγκατεστημένο ένα συγκεκριμένο DLL και κυριότερων,η διαδικασία διαγραφής για να ολοκληρωθεί χρειάζεται επικύρωση από τον χρήστη.Επειδή δεν διαδόθηκε γρήγορα λόγω των παραπάνω,υπήρξαν γρήγορες απαντήσεις από τις εταιρείες ανάπτυξης λογισμικών προστασίας.
Storm Worm
επεξεργασίαΤο Storm Worm είναι ένας δούρειος ίππος και επηρεάζει υπολογιστές που χρησιμοποιούν λειτουργικά συστήματα της Microsoft, που ανακαλύφθηκε στις 17 Ιανουαρίου 2007.Ο Storm Worm άρχισε να μολύνει χιλιάδες (κυρίως ιδιωτικούς) υπολογιστές στην Ευρώπη και τις Ηνωμένες Πολιτείες την Παρασκευή 19 Ιανουαρίου 2007,χρησιμοποιώντας ένα μήνυμα ηλεκτρονικού ταχυδρομείου με θέμα για μια πρόσφατη καταστροφή από καιρικές συνθήκες, "230 dead as storm batters Europe".
Κατά τη διάρκεια του Σαββατοκύριακου υπήρξαν έξι διαδοχικά κύματα της επίθεσης.Από τις 22 Ιανουαρίου 2007, ο Storm Worm αντιπροσώπευε το 8% όλων των μολύνσεων malware παγκοσμίως.Υπάρχουν στοιχεία, σύμφωνα με το PCWorld, ότι ο Worm Storm ήταν ρωσικής κατασκευής, πιθανόν του Ρωσικού Δικτύου Επιχειρήσεων.Το worm δρούσε ως εξής: Όταν ένα συνημμένο ανοίγει, το κακόβουλο λογισμικό εγκαθιστά την υπηρεσία wincom32, περνώντας πακέτα για προορισμούς που κωδικοποιούνται εντός του ίδιου κακόβουλου λογισμικού.Τα αρχεία είχαν ονόματα όπως "postcard.exe" και "Flash postcard.exe, με περισσότερες αλλαγές, καθώς η επίθεση μεταλλασσόταν.Ο κάθε μολυσμένος υπολογιστής γίνεται μέρος ενός botnet.
Στις 7 Σεπτεμβρίου 2007, οι εκτιμήσεις για το μέγεθος του botnet κυμαίνονταν από 1 - 10 εκατομμύρια υπολογιστές.
Πηγή :[3]
Beast Trojan Horse
επεξεργασίαΤο Beast είναι ένας ιός τύπου Trojan (Δούρειος Ίππος) γνωστός και ως Remote Administration Tool ή RAT. Μολύνει τις εκδόσεις 95 έως και XP των windows. Είναι γραμμένος στην γλώσσα προγραμματισμού Delphi και κυκλοφόρησε το 2002 από τον δημιουργό του Tayate. Έγινε δημοφιλής λόγω των μοναδικών του χαρακτηριστικών. Βασίζεται στο τυπικό μοντέλο πελάτη- εξυπηρετητή, όπου το κομμάτι του εξυπηρετητή βρίσκεται στον μολυσμένο υπολογιστή και το κομμάτι του πελάτη βρίσκεται στον υπολογιστή του επιτιθέμενου.Ο εξυπηρετητής κρατούσε ανοιχτή μια θύρα δίνοντας στον εισβολέα τον πλήρη έλεγχο του μολυσμένου υπολογιστή. Το Beast είχε την δυνατότητα να κλείσει οποιοδήποτε λογισμικό anti-virus ή τοίχος προστασίας (firewall) εγκαθιστώντας ένα ανοιχτό κανάλι επικοινωνίας. Έχοντας πλέον πρόσβαση στον υπολογιστή του θύματος ο εισβολέας είχε την δυνατότητα να διαχειρίζεται αρχεία (όπως εκτέλεση, προβολή, διαγραφή), να συντάσσει απομακρυσμένα αρχεία, δυνατότητα παρακολούθησης της κάμερας καθώς και στιγμιότυπων της οθόνης, δυνατότητα διαχείρισης διαδικασιών, υπηρεσιών , εφαρμογών παρέχοντας την δυνατότητα εκτέλεσης ή τερματισμού οποιασδήποτε από αυτές, δυνατότητα ανάκτησης αποθηκευμένων κωδικών πρόσβασης, επιλογή τερματισμού του υπολογιστή, επανεκκίνησης , αποσύνδεσης κτλ, δυνατότητα δημιουργίας ενοχλήσεων όπως κλείδωμα του ποντικιού, αλλαγή ταπετσαρίας, απόκρυψη της γραμμής εργαλείων κτλ, παροχή συνομιλίας μεταξύ του επιτιθέμενου και του θύματος καθώς και χρησιμοποιώντας ένα συνδετικό το οποίο περιείχε το beast ο εισβολέας μπορούσε να συνενώσει αρχεία και να αλλάξει το εικονίδιό τους.
Melissa virus
επεξεργασίαΟ Melissa δημιουργήθηκε από τον Αμερικανό David L. Smith. Πρωτοεμφανίστηκε στις 26 Μαρτίου 1999 σε μορφή e-mail. Η αρχική έκδοση του ιού εστάλη σε πολλά άτομα με μορφή e-mail. Ο ιός Melissa εξαπλώθηκε με το πρόγραμμα Microsoft Word 97 και Word 2000, καθώς και με το Microsoft Excel 97, 2000 και 2003. Έχει την ικανότητα να πολλαπλασιάζει τον εαυτό του και να στέλνει e-mail με προγράμματα όπως Microsoft Outlook 97 ή Outlook 98. Είναι ένας ιός μακροεντολών του Word που μεταδίδεται μέσω ηλεκτρονικού ταχυδρομείου σε συνημμένο έγγραφο του Word. Το μήνυμα του ηλεκτρονικού ταχυδρομείου μπορεί να έχει το εξής θέμα: Important Message From "Όνομα_χρήστη (UserName)" και μπορεί να περιέχει και το μήνυμα Here is that document you asked for ... don't show anyone else ;-). Έτσι εάν ο χρήστης ανοίξει το συνημμένο έγγραφο του Word και ενεργοποιήσει τον ιό μακροεντολών (δηλαδή επιτρέψει την εκτέλεσή του), μπορεί να επεκταθεί στέλνοντας ηλεκτρονικό ταχυδρομείο με το μολυσμένο έγγραφο σε πολλούς παραλήπτες. Ο ιός διαβάζει τη λίστα των μελών από κάθε Βιβλίο διευθύνσεων (Address Book) του Outlook και στέλνει μέσω προγράμματος ένα μήνυμα ηλεκτρονικού ταχυδρομείου στους πρώτους 50 παραλήπτες. Τελικά ο Smith συνελήφθη και καταδικάστηκε σε 10 χρόνια φυλάκιση, ενώ εξέτισε ποινή 20 μηνών και πρόστιμο 5,000$.
Trojan horse
επεξεργασίαΣτη πληροφορική Δούρειο Ίππο ονομάζουμε το κακόβουλο πρόγραμμα ή λογισμικό, το οποίο ξεγελάει το χρήστη κάνοντάς τον να πιστεύει πως εκτελεί μια χρήσιμη και ασφαλή λειτουργία, ενώ το ίδιο εγκαθιστά στα κρυφά στον υπολογιστή του άλλα κακόβουλα προγράμματα. Η ανακάλυψή του οφείλεται στον Κεν Τόμσον ο οποίος παρατήρησε, ότι είναι δυνατή η προσθήκη κακόβουλου κώδικα στην εντολή “login” του Unix με σκοπό την υποκλοπή κωδικών πρόσβασης. Επίσης, υποστήριζε πως κάθε μεταγλωττιστής C μπορεί να μετατραπεί με τέτοιο τρόπο, ώστε, να είναι δυνατή η προσθήκη κακόβουλου κώδικα στα προγράμματα που δημιουργεί, κάτι που καθιστά τον εντοπισμό του δυσκολότερο.
Την ανακάλυψη αυτή την ονόμασε Δούρειο Ίππο (Trojan Horse). Το όνομα του προκύπτει από το έργο του Ομήρου την Ιλιάδα, που αναφέρει πως ο Οδυσσέας κατασκεύασε ένα ξύλινο άλογο, στην κοιλιά του οποίου κρυβόταν αυτός και οι Έλληνες συμπολεμιστές του. Με τον τρόπο αυτό οι Τρώες ξεγελάστηκαν, γιατί νόμισαν πως το άλογο ήταν δώρο των θεών κι αυτό είχε ως αποτέλεσμα να εισβάλλει ο στρατός του Οδυσσέα στην πόλη και να την κυριεύσει. Παρόμοια τακτική έχουν και οι ιοί αυτοί, οι οποίοι μολύνουν υπολογιστές με κρυμμένο κακόβουλο κώδικα. Εξωτερικά φαίνονται στο χρήστη ως χρήσιμα και ακίνδυνα προγράμματα, τα οποία εκτελούν χρήσιμες λειτουργίες. Συνήθως, σκοπός της μόλυνσης από Δούρειους Ίππους είναι να έχουν πρόσβαση στον μολυσμένο υπολογιστή μη εξουσιοδοτημένοι χρήστες και από εκεί να γίνουν άλλοι υπολογιστές του δικτύου στόχοι.
Οι Δούρειοι Ίπποι χωρίζονται σε δύο κατηγορίες. Η πρώτη κατηγορία περιλαμβάνει κανονικά προγράμματα, τα οποία, χάκερς αλλοιώνουν προσθέτοντας κακόβουλο κώδικα, για παράδειγμα προγράμματα ανταλλαγής αρχείων (peer-to-peer). Η δεύτερη κατηγορία περιλαμβάνει μεμονωμένα προγράμματα που ξεγελούν το χρήστη και τον κάνουν να νομίζει πως πρόκειται για κάποιο παιχνίδι ή εικόνα, με αποτέλεσμα ο ίδιος να παρασύρεται και μόλις εκτελέσει το αρχείο, ο υπολογιστής του μολύνεται. Σε αντίθεση με άλλους τύπους ιών, οι Δούρειοι Ίπποι δεν μεταδίδονται μολύνοντας αρχεία. Επίσης, δε δρουν αυτόνομα, αλλά εξαρτώνται από τις κινήσεις που θα κάνουν τα θύματα χρήστες. Άλλες κατηγορίες Δούρειων Ίππων είναι επίσης, η απομακρυσμένη πρόσβαση, αποστολή e-mail, FTP Trojan, Proxy Trojan, Url Trojan και η απενεργοποίηση λογισμικών ασφαλείας (Firewall).
Παράδειγμα Δούρειου Ίππου που χρησιμοποιείται συχνά είναι η τεχνική Road Apple. Οι χάκερς τοποθετούν σε ένα φλασάκι USB ή CD ένα κακόβουλο πρόγραμμα και δίνουν ένα όνομα από το οποίο μπορεί να παρασυρθεί κάποιος. Η επίθεση στη συνέχεια οφείλεται στη περιέργεια του θύματος. Άλλα παραδείγματα είναι το Downloader-EV και το Y3K Remote Administrator Tool.
ILOVEYOU
επεξεργασίαΣτις 5 Μαΐου του 2000 ένα καταστροφικό ηλεκτρονικό σκουλήκι μόλυνε χιλιάδες υπολογιστές σε όλο τον κόσμο. Σε χρονική περίοδο πέντε ωρών εξαπλώθηκε από την Ασία στην Ευρώπη και στις Η.Π.Α. Επρόκειτο για επισυναπτόμενο μηνύματος ηλεκτρονικού ταχυδρομείου με θέμα “ILOVEYOU”. 1 Το επισυναπτόμενο αρχείο είχε την ονομασία “LOVE-LETTER-FOR-YOU.txt.vbs”. Η κατάληξη “.vbs” αναφέρεται σε σενάριο της Visual Basic το οποίο όταν έτρεχε απέστελλε ένα αντίγραφο του μηνύματος σε όλες τις επαφές του μολυσμένου χρήστη και αντικαθιστούσε όλα τα αρχεία με κατάληξη JPG, JPEG, VBS, VBE, JS, JSE, CSS, WSH, SCT, DOC, HTA, MP2, MP3 με αντίγραφο του. Επιπρόσθετα, προσπαθούσε να εξαπλωθεί μέσω του IRC και επαναδρομολογούσε τον περιηγητή του χρήστη σε μία ιστοσελίδα από όπου κατέβαζε κακόβουλο λογισμικό. Το λογισμικό αυτό αναζητούσε στα αρχεία του υπολογιστή προσωπικούς κωδικούς του χρήστη και τους υπέκλεπτε. 2 Το σκουλήκι δημιουργήθηκε από τους Reomel Ramores και Onel de Guzman, δύο προγραμματιστές από τις Φιλιππίνες, οι οποίοι συνελήφθησαν αλλά τελικά αφέθηκαν ελεύθεροι αφού δεν υπήρχε κάποιος νόμος εναντίον της δημιουργίας κακόβουλου λογισμικού.Η επιδημία του ιού προκάλεσε $5,5 δισεκατομμύρια δολάρια σε ζημίες αφού μέσα σε δέκα ημέρες είχαν μολυνθεί πάνω από 50 εκατομμύρια χρήστες. Η επιτυχία αυτή του ιού βασίζεται στο ότι η μηχανή σεναρίων στα Windows ήταν ενεργοποιημένη ως προεπιλογή χωρίς να υπάρχει λόγος και χωρίς να το γνωρίζουν οι χρήστες. Επίσης εκμεταλλεύτηκε το αλγόριθμο των Windows που κρύβει τις καταλήξεις των αρχείων και έτσι το συνημμένο φαινόταν ως ένα απλό αρχείο κειμένου. Επιπρόσθετα αξιοποίησε τις αδυναμίες του Microsoft Outlook οι οποίες του έδωσαν πλήρη έλεγχο πάνω στο λειτουργικό χωρίς την συγκατάθεση του χρήστη. Τέλος χρησιμοποιήθηκε κοινωνική μηχανική δελεάζοντας τους χρήστες με το θέμα του ηλεκτρονικού μηνύματος και το όνομα του συνημμένου.
Πηγή:3
DNS Changer
επεξεργασίαΟ εν λόγω ιός ανακαλύφθηκε το πριν 5 χρόνια το 2007, σύμφωνα με τα δεδομένα του DCWG περίπου 500.000 υπολογιστές είναι μολυσμένοι ακόμη μέχρι και σήμερα.Το 2011 το FBI συνέλαβε άτομα τα οποία ήταν υπεύθυνα για τον DNSChanger, κλείνοντας τους servers τους στην Ανατολική Ευρώπη, μια κίνηση η οποία μάλιστα είχε σαν αποτέλεσμα εκατομμύρια υπολογιστών να χάσουν τότε την δυνατότητα σύνδεσης στο internet. Παρόλο που αυτοί οι servers χρησιμοποιούνταν από τους χάκερ ώστε να τροφοδοτούν τους μολυσμένους χρήστες με επικερδής διαφημίσεις, προσπάθειες για phishing και εγκατάσταση malware, παρείχαν επίσης στα θύματα και μια λειτουργική DNS υπηρεσία. Έτσι περίπου 4 εκατ. χρήστες έμειναν εκτός internet καθώς οι υπολογιστές τους ήταν ρυθμισμένοι να χρησιμοποιούν DNS servers οι οποίοι πλέον δεν λειτουργούσαν.To FBI οργάνωσε μια προσπάθεια παροχής DNS στα θύματα του DNSChanger, όμως μετά από μια περίοδο χρόνου το FBI παρέδωσε την αρμοδιότητα αυτή σε μια μη-κερδοσκοπική οργάνωση με τη ονομασία, Internet Systems Consortium, η οποία κατάφερε να παρέχει DNS servers στα θύματα.
Πως να βρείτε αν είστε μολυσμένοι από τον DNSChanger;
Η Google και το Facebook αποστέλλουν προειδοποιήσεις σε μολυσμένους χρήστες. Επίσης μπορείτε να το διαπιστώσετε χρησιμοποιώντας αυτό το tool.
Τι πρέπει να κάνετε σε περίπτωση που είστε μολυσμένοι;
Επισκεφτείτε την ιστοσελίδα της DCWG για οδηγίες και μια λίστα από utilities ικανά να καθαρίσουν το DNSChanger από τον υπολογιστή σας. Αν κανένα από τα παραπάνω δεν έχει αποτέλεσμα, τότε πιθανώς ο ιός να έχει μεταβάλει τις ρυθμίσεις του router σας.Σε αυτή την περίπτωση θα πρέπει να μπείτε στην σελίδα του router σας και να αλλάξετε τις ρυθμίσεις του DNS, με τις ρυθμίσεις να αλλάζουν για κάθε router. Tέλος υπάρχουν αρκετά καλά και δωρεάν anti-virus που μπορούν να εντοπίσουν και να αποτρέψουν το DNSChanger να λειτουργεί.
CIH virus(1998)
επεξεργασίαΟ CIH, που είναι επίσης γνωστός ως Τσερνομπίλ ή Spacefiller,είναι ένα ιός των Windows που εμφανίστηκε για πρώτη φορά το 1998. Είναι ένας από τους πιο καταστροφικούς ιούς, αντικαθιστώντας κρίσιμες πληροφορίες για μολυσμένους δίσκους του συστήματος, και το πιο σημαντικό, σε ορισμένες περιπτώσεις, διαφθείρει τα σύστημα BIOS . Ο ιός δημιουργήθηκε από Chen Ing-Hau που ήταν φοιτητής στο Tatung Πανεπιστήμιο στην Ταϊβάν . 60 εκατομμύρια υπολογιστές εκτιμήθηκαν ότι έχουν προσβληθεί από τον ιό σε διεθνές επίπεδο, με αποτέλεσμα να εκτιμάται ζημιά ύψους 1 δισεκατομμυρίου δολαρίων.Ο Τσεν ισχυρίστηκε ότι έγραψε τον ιό ως πρόκληση κατά των τολμηρών αξιώσεων της αντί-υιικής αποτελεσματικότητας του λογισμικού προστασίας από ιούς προγραμματιστών. Ο Τσεν δήλωσε ότι αφότου ο ιός διαδόθηκε σε όλη την Tatung από τους συμμαθητές του Πανεπιστημίου, ζήτησε συγγνώμη για το σχολείο και έκανε ένα πρόγραμμα προστασίας από ιούς που διατίθενται για δημόσια λήψη, το πρόγραμμα προστασίας από ιούς το δημιούργησε με τον φοιτητή Weng Shi-Χάο (翁世豪), ένας φοιτητής από το Πανεπιστήμιο Tamkang. Το όνομα "Τσερνομπίλ Virus" επινοήθηκε μετά από κάποιο χρονικό διάστημα ενώ ο ιός ήταν ήδη γνωστός ως CIH, η ημερομηνία έκδοσης του σκανδάλου ενεργοποίησης του ιού ( που στην πραγματικότητα είναι η ημερομηνία δημιουργίας του ιού το 1998, ακριβώς για να προέρθει ένα χρόνο αργότερα) και το ατύχημα του Τσερνομπίλ , το οποίο συνέβη στο ουκρανικό SSR στις 26 Απριλίου 1986.
Πηγές: [4]
Ainslot.L
επεξεργασίαΤο Ainslot.L με την πρώτη ματιά μοιάζει με τα υπόλοιπα malware.Ωστόσο περιέχει κάτι ασυνήθιστο. Σαρώνει τον μολυσμένο υπολογιστή και αφαιρεί όλα τα υπόλοιπα malwares, έτσι ώστε να είναι το μόνο ενεργό στο σύστημα.Επιπλέον, δρα ως banker Trojan,κλέβοντας log-in πληροφορίες σχετικές με τις τράπεζες και καταγράφει όλες τις δραστηριότητες του χρήστη.
Όπως αναφέρει ο Luis Corrons,technical director των Pandalabs,το γεγονός ότι το Ainslot.L σβήνει τα άλλα bots από ένα μολυσμένο σύστημα αναμφίβολα τράβηξε την προσοχή μας.Εξαλείφει τον ανταγωνισμό του,αφήνοντας τον υπολογιστή στο έλεος του. Μας θυμίζει τις δημοφιλείς ταινίες ‘Highlander’ -μόνο ένα μπορεί να υπάρχει.
Το Ainslot.L εξαπλώνεται μέσω ενός ψευδούς email το οποίο υποτίθεται ότι αποστέλλεται από την βρετανική εταιρία ρούχων CULT. Το μήνυμα «δεξιοτεχνικά» ενημερώνει τους χρήστες ότι έχουν παραγγείλει προϊόντα αξίας 200£ από το ηλεκτρονικό κατάστημα της εταιρίας και ότι η πιστωτική τους κάρτα θα χρεωθεί με αυτό το ποσό. Το κείμενο περιλαμβάνει ένα link στο οποίο ο χρήστης μπορεί να δει την παραγγελία του,το οποίο στην πραγματικότητα κατεβάζει το bot στον υπολογιστή του.
Σύμφωνα με τον Corrons,τα phishing emails δεν είναι συνήθως τόσο καλοφτιαγμένα.Δεν υπάρχει αμφιβολία ότι αυτή τη φορά οι απατεώνες έχουν κάνει πολύ καλή δουλειά ώστε τα μηνύματα να μοιάζουν όσο αληθινά γίνεται και να «πιάνουν» στο αγκίστρι τους όσους περισσότερους μπορούν.
Explorer.zip worm
επεξεργασίαΤο σκουλήκι Explorer.zip καταστρέφει αρχεία του Microsoft Office και τυχαία αλλάζει τύπο σε άλλα αρχεία ή τα κάνει άχρηστα,παράγοντας λάθος μηνύματα προς τον χρήστη.Είναι γνωστός και ως I-Worm.ZippedFiles.Πρόκειται για ένα καταστροφικό σκουλήκι υπολογιστών το οποίο επιτίθεται σε υπολογιστές που χρησιμοποιούν Microsoft WIndows. Πρώτα ανακαλύφθηκε στο Ισραήλ.Το σκουλήκι διαδιδόταν σε μορφή email. Το μήνυμα περιείχε ένα συνημμένο αρχείο με όνομα Zipped.exe. Αν ανοιχτεί,ένα παράθυρο διαλόγου με τον χρήστη ανοίγει, αντικαθιστώντας το παράθυρο που κανονικά ανοίγει, όταν πρόκειται για ένα φθαρμένο αρχείο zip,καθώς το σκουλήκι αντιγράφει τον εαυτό του στον δίσκο και παραμετροποιεί το WIN.ini ή την Registry των Windows ώστε να ξανατρέχει σε κάθε επανεκκίνηση. Το σκουλήκι ψάχνει για αρχεία MIcrosoft Office για να στείλει τον εαυτό του και σε άλλους χρήστες που θα βρει στον κατάλογο των επαφών και καταστρέφει τα αρχεία του Office. Είχε μολύνει εκατομμύρια χρήστες.
Police Virus
επεξεργασίαΟ ιός αυτός ονομάζεται ιός της αστυνομίας (police virus) και εμφανίζει μηνύματα που περιέχουν τα λογότυπα των διεθνών υπηρεσιών επιβολής του νόμου (αστυνομία, οργανώσεις κλπ) για να ξεγελάσουν τους χρήστες και να πιστέψουν ότι οι υπολογιστές τους έχουν κλειδωθεί από την αστυνομία, λόγω επισκέψεων σε ακατάλληλες ιστοσελίδες ή γιατί έχουν κάνει παράνομες λήψεις λογισμικού.Οι πληροφορίες εμφανίζονται στην αρχική σελίδα του browser του χρήστη δήθεν από την Ελληνική Αστυνομία και αναφέρουν ότι ο χρήστης έχει προβεί σε παράνομες ενέργειες και θα πρέπει να πληρώσει πρόστιμο. Είναι στην ουσία μια εφαρμογή ransomware η οποία διαδίδεται συνήθως σαν ένα συμβατικό worm υπολογιστή, εισάγεται σε ένα σύστημα μέσω ενός αρχείου ή μιας ευπαθούς υπηρεσίας δικτύου.Τα περισσότερα εξελιγμένα ransomware μπορούν να κρυπτογραφήσουν έγγραφα κειμένου του θύματος με ένα τυχαίο συμμετρικό κλειδί και ένα σταθερό δημόσιο κλειδί.Στην περίπτωση του ιού της αστυνομίας φορτώνεται μια εφαρμογή που έχει σχεδιαστεί για να περιορίσει αποτελεσματικά την αλληλεπίδραση με το σύστημα, συνήθως υπερισχύοντας το explorer.exe στο μητρώο των Windows ως το προεπιλεγμένο shell, ή ακόμη και να τροποποιήσει το master boot record, δεν επιτρέπει το λειτουργικό σύστημα να ξεκινήσει καθόλου μέχρι να επισκευαστεί. Το ransomware θα επιχειρήσει να αποσπάσει χρήματα από τον χρήστη του συστήματος, αναγκάζοντάς τους να αγοράσουν είτε ένα πρόγραμμα για να αποκρυπτογραφήσει τα αρχεία που είχαν κρυπτογραφημένα, ή έναν κωδικό ξεκλειδώματος που θα αφαιρέσει τις κλειδαριές που είχε εφαρμοστεί. Οι πληρωμές αυτές συχνά παραδίδεται χρησιμοποιώντας είτε ένα έμβασμα, premium-rate μηνύματα κειμένου, ή μέσω ενός online υπηρεσία δελτίο πληρωμής, όπως Ukash ή Paysafecard. Ύστερα από αστυνομική έρευνα, το κακόβουλο λογισμικό φιλοξενείται σε ιστοσελίδες του διαδικτύου, στις οποίες οι χρήστες έχουν τη δυνατότητα να κατεβάζουν ψηφιακά αρχεία με οπτικοακουστικό υλικό (τραγούδια, ταινίες) και προσβάλει υπολογιστές με λειτουργικό σύστημα Windows. Για να ξεκλειδώσουν οι χρήστες τους υπολογιστές τους, πρέπει να πληρώσουν ένα πρόστιμο, συνήθως της τάξης των € 100, δολάρια ή λίρες (ανάλογα με τον στόχο της επίθεσης). Ωστόσο, αυτά τα μηνύματα δεν προέρχονται από την αστυνομία, αλλά από το ίδιο το ransomware.
Εμφανίζεται ένα μήνυμα που φέρεται να προέρχεται από το Τμήμα Ασφάλειας Αττικής και το Σώμα Δίωξης Ηλεκτρονικού Εγκλήματος, το οποίο λέει «Προσοχή! Αυτό το λειτουργικό σύστημα μπλοκάρεται λόγω παραβίασης των νόμων της Ελλάδας! Σημειώθηκαν οι ακόλουθες παραβάσεις: Η IP διεύθυνσή σας είναι …. Από αυτή την IP διεύθυνση επισκέφτηκαν ιστοσελίδες που περιέχουν πορνογραφία, την παιδική πορνογραφία, κτηνοβασία και τη βία κατά των παιδιών. Ο υπολογιστής σας επίσης περιείχε βίντεο που περιλαμβάνει πορνογραφία, βία και παιδική πορνογραφία. Επιπλέον, από το ηλεκτρονικό ταχυδρομείο σας αποστελλόταν μηνύματα με τη μορφή spam, που περιείχαν τρομοκρατική πρόθεση. Αυτό το μπλοκάρισμα του υπολογιστή έγινε για να σταματήσουν οι παράνομες δραστηριότητές σας. Για να ξεκλειδώσετε τον υπολογιστή, πρέπει να πληρώσετε πρόστιμο 100 ευρώ. Μπορείτε να πληρώσετε ποινή με δύο τρόπους:…»
Πολλοί είναι οι απλοί χρήστες που δεν ξέρουν από τεχνικά ζητήματα ,φοβήθηκαν και μερικοί μάλιστα σκέφτηκαν να πληρώσουν το αναφερόμενο ποσό.Από τη Δίωξη Ηλεκτρονικού Εγκλήματος έχει σχηματιστεί δικογραφία, η οποία υποβλήθηκε στην Εισαγγελία Πρωτοδικών Αθηνών. Καλούνται οι πολίτες που τυχόν έχουν εντοπίσει ή έχει προσβληθεί ο υπολογιστής τους, από το συγκεκριμένο κακόβουλο λογισμικό, να μην εισαγάγουν το ποσό που δήθεν απαιτείται για την απεμπλοκή του και σε κάθε περίπτωση, εφόσον επιθυμούν, μπορούν να υποβάλλουν έγκληση στην Υποδιεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος.
Elk Cloner
επεξεργασίαΟ Elk Cloner του Skrenta είναι ο πρώτος επίσημα αναγνωρισμένος ιός υπολογιστή. Γράφτηκε για τα συστήματα Aplle II σε κώδικα μηχανής το 1982 από τον 15χρονο μαθητή γυμνασίου Rich Skrenta βάζοντας ένα τέλος στα λεγόμενα της Apple που θέλει τα συστήματα της να μην είναι ευάλωτα σε ιούς και ανοίγοντας τον δρόμο για ιούς με πολύ χειρότερες προθέσεις. Ο ιός χρησιμοποιούσε μια τεχνική γνωστή σήμερα ως " boot sector " δηλαδή μόλυνε τον τομέα εκκίνησης των υπολογιστών. O Elk Cloner ήταν γενικά ένας ακίνδυνος ιός και προκαλούσε μόνο μια ενόχληση αφού όταν μόλυνε το σύστημα έβγαζε το ακόλουθο αναδυόμενο μήνυμα:
Elk Cloner:
The program with a personality
It will get on all your disks
It will infiltrate your chips
Yes it's Cloner!
It will stick to you like glue
It will modify ram too
Send in the Cloner!
Ονομάστηκε Elk Cloner γιατί η πρώτη λέξη του μηνύματος ήταν η αντίστοιχη.Ο ιός μεταδιδόταν μέσω δισκέτας και άρχισε να εξαπλώνεται όταν ο Skrenta μοίρασε αντίγραφα κυρίως στους φίλους του από πειρατικά προγράμματα που περιείχαν τον ιό.
Παραπομπές: [9] [10] [11] [12]
Blaster Worm (2003)
επεξεργασίαΤο Blaster (επίσης γνωστό ως Lovsan, Lovesan ή MSBLAST) ήταν ένα worm κακόβουλο λογισμικό που εξαπλώθηκε σε υπολογιστές που έτρεχαν τα λειτουργικά συστήματα της Microsoft: Windows XP και Windows 2000,τον Αύγουστο του 2003.Το worm παρατηρήθηκε για πρώτη φορά και άρχισε να εξαπλώνεται στις 11 Αυγούστου 2003. Ο ρυθμός εξάπλωσης αυξανόταν συνεχώς μέχρι που στις 13 Αυγούστου του 2003 ο αριθμός των μολύνσεων κορυφώθηκε. Το φιλτράρισμα από ISPs και η μεγάλη δημοσιότητα περιόρισε την εξάπλωση του Blaster. Στις 29 Αυγούστου 2003, ο 18χρονος Jeffrey Lee Parson, από το Hopkins, της Μινεσότα, συνελήφθη για τη δημιουργία της Β’ παραλλαγής του Blaster. Αυτός αποδέχτηκε τις κατηγορίες και καταδικάστηκε σε 18 μήνες φυλάκιση τον Ιανουάριο του 2005.
Σύμφωνα με δικαστικά έγγραφα, το αρχικό worm Blaster δημιουργήθηκε μετά από μία συλλογική επίθεση αντίστροφης μηχανικής στο αυθεντικό σύστημα ενημερωμένης έκδοσης κώδικα ασφαλείας της Microsoft. Αυτή η επίθεση προήλθε από τον κινέζικο οργανισμό Xfocus ο οποίος είναι μη-κερδοσκοπικός και σκοπός του είναι η ανάδειξη των τυχόν αδυναμιών διαφόρων δικτυακών υπηρεσιών και υπηρεσιών ασφαλείας. Το Blaster εξαπλώθηκε εκμεταλλευόμενο μια υπερχείλιση προσωρινής μνήμης (buffer overflow) που ανακαλύφθηκε από την πολωνική ομάδα επίθεσης Last Stage of Delirium στην υπηρεσία DCOM RPC στα λειτουργικά συστήματα που είχαν μολυνθεί, για τα οποία είχε εκδοθεί ενημερωμένη έκδοση κώδικα ασφαλείας ένα μήνα νωρίτερα πρώτα με το MS03-026 και αργότερα με το MS03-039. Αυτή η υπερχείλιση έκανε δυνατή την εξάπλωση του κακόβουλου λογισμικού χωρίς να χρειαστεί οι χρήστες να ανοίγουν επισυναπτόμενα αρχεία αλλά απλά σαν αρχεία ανεπιθύμητης αλληλογραφίας σε μεγάλο αριθμό τυχαίων IP διευθύνσεων. Έχουν ανιχνευτεί τέσσερις εκδόσεις αυτού του λογισμικού. Το κακόβουλο λογισμικό Blaster ήταν προγραμματισμένο να ξεκινήσει στις 15 Αυγούστου 2003 μια επίθεση SYN flood στη θύρα 80 της windowsupdate.com, δημιουργώντας έτσι μια κατανεμημένη επίθεση άρνησης παροχής υπηρεσιών (DDoS) στην ιστοσελίδα. Η ζημιά που προκλήθηκε στη Microsoft ήταν μηδαμινή, καθώς η στοχοθετημένη ιστοσελίδα ήταν windowsupdate.com αντί για την windowsupdate.microsoft.com. Η Microsoft είχε κλείσει προσωρινά την ιστοσελίδα στόχο για την ελαχιστοποίηση των πιθανών επιπτώσεων από το worm.
Το worm Blaster περιέχει δύο μηνύματα στον πηγαίο κώδικα του. Το πρώτο:
- «I just want to say LOVE YOU SAN!!soo much»
Για το λόγο αυτό το worm ονομάζεται το Lovesan worm. Το δεύτερο:
- «billy gates why do you make this possible ? Stop making money and fix your software!!»
είναι ένα μήνυμα για τον Bill Gates, τον συν-ιδρυτής της Microsoft και τον στόχο του worm. Το worm δημιουργεί επίσης την ακόλουθη καταχώρηση μητρώου, έτσι ώστε να προωθείται κάθε φορά με την εκκίνηση των Windows: «HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ windows update auto = Msblast.exe».
Παρά το γεγονός ότι το worm μπορεί να εξαπλωθεί μόνο σε συστήματα με Windows 2000 ή Windows XP (32 bit) μπορεί να προκαλέσει αστάθεια στην υπηρεσία RPC για συστήματα με Windows NT, Windows XP (64 bit) και Windows Server 2003. Όταν η μόλυνση εμφανίζεται, η υπερχείλιση μπλοκάρει το RPC service, με αποτέλεσμα τα Windows να εμφανίζουν το ακόλουθο μήνυμα και, στη συνέχεια να κάνουν αυτόματα επανεκκίνηση, συνήθως μετά από 60 δευτερόλεπτα.
- «Διακοπή λειτουργίας του συστήματος:
- Αυτό το σύστημα διακόπτει τη λειτουργία του. Παρακαλούμε αποθηκεύστε όλες τις εργασίες που βρίσκονται σε εξέλιξη και αποσυνδεθείτε. Τυχόν μη αποθηκευμένες αλλαγές θα χαθούν. Η διακοπή ξεκίνησε από το NT AUTHORITY\SYSTEM
- Ώρα πριν από το κλείσιμο: hh: mm: ss
- Μήνυμα:
- Τα Windows θα πρέπει να πραγματοποιήσουν επανεκκίνηση τώρα λόγω Κλήσης Απομακρυσμένης Διαδικασίας (RPC). Υπηρεσία τερματίστηκε απροσδόκητα.»
Αυτή ήταν η πρώτη ένδειξη ότι πολλοί χρήστες είχαν μολυνθεί, συχνά συνέβαινε λίγα λεπτά μετά από κάθε εκκίνηση των προσβεβλημένων υπολογιστών. Μια απλή λύση για να σταματήσει η αντίστροφη μέτρηση είναι να εκτελεστεί η εντολή "shutdown-a" στη γραμμή εντολών των Windows, η οποία προκαλεί κάποιες ανεπιθύμητες ενέργειες, όπως μια άδεια (χωρίς χρήστες) οθόνη υποδοχής. Το κακόβουλο λογισμικό Welchia είχε παρόμοιο αποτέλεσμα. Όχι περισσότερο από ένα χρόνο αργότερα, το worm Sasser ήρθε στην επιφάνεια, το οποίο εμφάνιζε ένα παρόμοιο μήνυμα.
Flame malware
επεξεργασίαΤο Flame,μια εργαλειοθήκη επίθεσης όπως χαρακτηρίστηκε, είναι κακόβουλο λογισμικό, που ανακαλύφτηκε το 2012 και το οποίο επιτίθεται σε υπολογιστές που τρέχουν το λειτουργικό σύστημα Microsoft Windows. Στην ουσία είναι ένα είδος Trojan, που συνδυάζει τα χαρακτηριστικά ενός worm, ως προς την ευκολία στην αντιγραφή, τόσο σε έναν σκληρό δίσκο όσο και σε αφαιρούμενα μέσα.Το πρόγραμμα χρησιμοποιείται για στοχευμένη κατασκοπεία στον κυβερνοχώρο σε χώρες τις Μέσης Ανατολής.
Το εξαιρετικά εξελιγμένο στέλεχος έχει τη δυνατότητα να καταγράφει ήχο(ενεργοποιώντας εσωτερικό μικρόφωνο στον υπολογιστή, ώστε να καταγράφει κρυφά συνομιλίες), εικόνες, δραστηριότητα του πληκτρολογίου και την κυκλοφορία του δικτύου. Το πρόγραμμα καταγράφει συνομιλίες στο Skype και δύναται μεταξύ άλλων να μετατρέπει τους μολυσμένους υπολογιστές σε σταθμούς Bluetooth που προσπαθούν να κατεβάσουν τις πληροφορίες επαφών από κοντινές συσκευές Bluetooth . Τα στοιχεία αυτά, μαζί με τοπικά αποθηκευμένα έγγραφα, αποστέλλονται σε διάφορους εξυπηρετητές διοίκησης και ελέγχου που είναι διάσπαρτοι σε όλο τον κόσμο. Το πρόγραμμα περιμένει στη συνέχεια περαιτέρω οδηγίες από αυτούς τους διακομιστές.
Το κακόβουλο λογισμικό είναι ιδιαίτερα ευέλικτο και μπορεί να μεταδοθεί μέσω μολυσμένων USB ή μπορεί να εξαπλωθεί και σε άλλα συστήματα σε ένα τοπικό δίκτυο(LAN). Ακόμα, όντας εξαιρετικά εκλεπτυσμένο επιτίθεται στο μηχανισμό του Windows Update και παρουσιάζει το μολυσμένο λογισμικό σε νέα θύματα σαν να έφερε την υπογραφή της Microsoft .
Ανακαλύφτηκε από τη Ρώσικη εταιρεία ανάπτυξης antivirus την Kaspersky Lab, κατά την διάρκεια ερευνάς της τελευταίας (καθώς και από την MAHER και την CrySyS Lab του Πανεπιστημίου της Βουδαπέστης), η οποία ζητήθηκε από το Οικονομικό τμήμα του ΟΗΕ , ύστερα από καταγγελία για έναν ιό που επηρεάζει υπολογιστές στο ιρανικό Υπουργείο Πετρελαίου.
Μόλις το μολυσμένο USB επικοινωνήσει με τον υπολογιστή το Flame ελέγχει αν μπορεί να επικοινωνήσει με τον διακομιστή ελέγχου του μέσω του συγκεκριμένου υπολογιστή. Εν συνεχεία, μετακινεί τα δεδομένα του στόχου από το USB στον υπολογιστή, τα συμπιέζει και τα στέλνει στον απομακρυσμένο διακομιστή μέσω του πρωτοκόλλου HTTPS.
Το Flame είναι γραμμένο, εν μέρη, σε γλώσσα Lua scripting που συνδέεται εύκολα και αναπτύσσεται με κώδικα C . Το κακόβουλο λογισμικό χρησιμοποιεί πέντε διαφορετικές μεθόδους κρυπτογράφησης και μια βάση δεδομένων SQLite για την αποθήκευση δομημένων πληροφοριών. Είναι σχεδιασμένο, ώστε να μην απενεργοποιείται αυτόματα, άλλα υποστηρίζει μια λειτουργία η οποία καθιστά δυνατή την εξάλειψη όλων των αρχείων και την παύση της λειτουργία του από το σύστημα. Το μέγεθός του αγγίζει τα 20 MB. Ο λόγος που είναι τόσο μεγάλο είναι ότι περιέχει πολλές διαφορετικές βιβλιοθήκες μαζί με ένα LUA virtual machine.
Πλέον, το Flame δεν αποτελεί απειλή, εφόσον κάθε antivirus που σέβεται τον εαυτό του παρέχει προστασία από το συγκεκριμένο στέλεχος.
Το σκουλήκι Waledac
επεξεργασίαWaledac είναι ένας ιός τύπου worm που δεν εξαπλώνεται αυτόματα, απλά στέλνοντας μηνύματα ηλεκτρονικού ταχυδρομείου που περιέχουν συνδέσμους προς αντίγραφα του εαυτού του. Στέλνει επίσης spam, downloads άλλες απειλές, και λειτουργεί ως μέρος ενός botnet. Ανήκει στην κατηγορία malware και είναι τύπου email-worm. Ανακαλύφθηκε στις 23 Δεκεμβρίου του 2008. Το μήκος Λοίμωξης που μπορεί να πετύχει φτάνει τα 386.560 bytes. Συστήματα που επηρεάζουν: Windows 98, τα Windows 95, τα Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003,Windows 2000. Αυτoύ του τύπου worm φέρουν τη μορφή ενός spam, καμπάνια ή πλαστές ιστοσελίδες και συνεπώς κάποιο είδος της κοινωνικής μηχανικής τεχνάσματος, για να προσελκύσει τους χρήστες να εκτελούν διάφορες ενέργειες που έχουν ως αποτέλεσμα την απειλή που εγκαθίσταται. Ο πρωταρχικός σκοπός τους είναι να κάνει τα χρήματα. Αυτό επιτυγχάνεται με την αποστολή spam, τη λήψη και την εγκατάσταση παραπλανητικών εφαρμογών. Οι παραπλανητικές εφαρμογές που μπορούν να εγκατασταθούν από την απειλή, προσπαθούν να ξεγελάσουν τον χρήστη ώστε να πληρώνουν για τις εφαρμογές. Οι εγκληματίες του κυβερνοχώρου πίσω από το botnet Waledac προσπαθούν να συλλάβουν περισσότερα θύματα από τη χρήση Day με θέμα τον Άγιο Βαλεντίνο. Μια παραπλανητική εφαρμογή όπου οι χρήστες μέσω των spam μηνυμάτων του ηλεκτρονικού ταχυδρομείου που περιέχει ένα σύνδεσμο με θέμα Day, όπου όταν ακολουθείται φέρνει μια σελίδα <<Αγίου Βαλεντίνου >> με κακόβουλο εκτελέσιμο αρχείο. Μια τέτοια σελίδα έχει μια εικόνα από δύο κουτάβια που κατέχουν μια καρδιά που λέει "Happy Valentine's Day". Η ιστοσελίδα υπενθυμίζει στους χρήστες ότι πλησιάζει η Ημέρα του Αγίου Βαλεντίνου και είναι ευκαιρία για δώρα. Αυτή είναι μια κοινωνική μηχανική τεχνάσματος για να πείσουν τους χρήστες να κατεβάσουν την πραγματική απειλή ώστε να καταλήξουν με κακόβουλο λογισμικό. Στις αρχές Ιανουαρίου, οι PandaLabs ερευνητές προειδοποίησαν για ένα παρόμοιο κατόρθωμα. Σε αυτή την περίπτωση, το spam έγραφε: "love πριν από την ημέρα του Αγίου Βαλεντίνου." Εάν ο χρήστης ακολουθήσει το σύνδεσμο ,θα κατεβάσει το Waledac σκουλήκι. Οι PandaLabs ερευνητές δήλωσαν τον περασμένο μήνα ότι οι χρήστες που έχουν μολυνθεί μία φορά, οι μηχανές τους θα αποτελέσουν μέρος ενός botnet που χρησιμοποιείται για να στείλει άλλα spam, καθώς και ότι το worm εξαπλώνεται με την αποστολή των μηνυμάτων σε όλες τις επαφές στο βιβλίο διευθύνσεων του θύματος.Ένα πρόσφατο παράδειγμα επίσης αφορά το λογαριασμό σας στο Facebook, πάρετε μήνυμα ή email, με τον τίτλο «Δες τη φωτογραφία μου”, ή ένα με θέμα ...«Μου λείπεις, Check my new video please», μην το ανοίξετε! Ερευνητές ασφαλείας της εταιρείας Bitdefender ανέλυσαν τα «spam emails» που συνήθως ισχυρίζονται ότι έρχονται από το Facebook από το προφίλ ενός κοριτσιού με το όνομα Μαρία. Ωστόσο, στην πραγματικότητα, οι χρήστες που κάνουν κλικ στον υπερσύνδεσμο που περιέχει το μήνυμα οδηγούνται σε ένα δικτυακό τόπο, όπου ένας κώδικας αρχίζει αυτόματα να κατεβάζει και να εγκαθιστά ένα malware (κακόβουλο λογισμικό). Ο ιός, από τη στιγμή που εισέλθει στον υπολογιστή του θύματος αρχίζει την συλλογή προσωπικών στοιχείων από τον υπολογιστή.
StuxNet
επεξεργασίαΤο Stuxnet είναι ένα πολύ εξελιγμένο σκουλήκι υπολογιστή που ανακαλύφθηκε τον Ιούνιο του 2010 από την εταιρεία VirusBlokAda. Το όνομά του προέρχεται από κάποια λέξεις-κλειδιά που ανακαλύφθηκαν στο λογισμικό . Ο λόγος για την ανακάλυψη του αυτή τη στιγμή οφείλεται σε σφάλμα προγραμματισμού, που εισήχθη κατά την ενημέρωση. Σύμφωνα με την εφημερίδα New York Times οι ΗΠΑ δημιούργησαν το Stuxnet για να σαμποτάρουν το πυρηνικό πρόγραμμα του Ιράν. Ο σχεδιασμός του Stuxnet αλλά και η εκτέλεση της κυβερνοεπίθεσης πραγματοποιήθηκε σε συνεργασία και με τη βοήθεια του Ισραήλ. Η επίθεση σύμφωνα πάντα με την ίδια πηγή σχεδιαζόταν από την κυβέρνηση Μπους ήδη από το 2006 και είχε την κωδική ονομασία «Ολυμπιακοί Αγώνες». Η λύση της κυβερνοεπίθεσης, αν και πρωτόγνωρη, αποτελούσε την καλύτερη επιλογή, καθώς έπρεπε να αποφευχθεί μία ένταση στην περιοχή που θα μπορούσε να οδηγήσει ακόμα και σε μια πολεμική σύρραξη.Νωρίτερα,όπως αναφέρει η New York Times, η CIA επιχείρησε να σαμποτάρει το πυρηνικό πρόγραμμα του Ιράν, επεμβαίνοντας στην τροφοδοσία εξαρτημάτων και στέλνοντας ελαττωματικά. Ωστόσο αυτή η προσπάθεια δεν απέφερε τα προσδοκώμενα αποτελέσματα. Το σκουλήκι Stuxnet σχεδιάστηκε ώστε να μπαίνει στα ηλεκτρονικά συστήματα βιομηχανιών, επηρεάζοντας τους φυγοκεντριστές, που πρέπει να λειτουργούν σε υψηλές ταχύτητες χωρίς διακοπή για ημέρες. Το Stuxnet αυξομείωνε τις ταχύτητες με αποτέλεσμα την καταστροφή των φυγοκεντριστών. Τελικά οι πρώτες επιθέσεις ξεκίνησαν το 2008 με ικανοποιητικά αποτελέσματα για τις ΗΠΑ και το Ισραήλ. Τελικά το Stuxnet, σύμφωνα με τους New York Times, κληροδοτήθηκε και στην κυβέρνηση Ομπάμα. Επί της νέας κυβέρνησης των ΗΠΑ οι επιθέσεις φαίνεται πως αυξήθηκαν και έγιναν περισσότερο στοχευμένες, μέχρι που το καλοκαίρι του 2010, το σκουλήκι Stuxnet, από λάθος, απελευθερώθηκε στο διαδίκτυο και μεταδόθηκε σε χιλιάδες υπολογιστές. Όπως αναφέρει η εφημερίδα, παρά τις επιφυλάξεις του Ομπάμα, οι σύμβουλοί του τον έπεισαν να συνεχίσει το πρόγραμμα, αν και το Stuxnet είχε ήδη ξεφύγει από τον έλεγχό τους. Τελικά το «σκουλήκι» εντοπίστηκε από τις εταιρείες ασφάλειας και ξεκίνησαν να αναζητούν τα ίχνη του, εντυπωσιασμένες πάντως από την περιπλοκότητα και την λειτουργικότητα του. Σε κάθε περίπτωση το ιρανικό πρόγραμμα πήγε πίσω 1,5 - 2 χρόνια, ενώ μέρος του προγράμματος, γράφουν οι New York Times, συνεχίζεται ακόμη. Το Stuxnet εξαπλώθηκε μέσω των Microsoft Windows και είναι το πρώτο κακόβουλο λογισμικό που ανακαλύπτει, κατασκοπεύει και ανατρέπει βιομηχανικά συστήματα, καθώς είναι και το πρώτο που περιλαμβάνει μια προγραμματιζόμενη μονάδα λογικού ελέγχου (PLC) rootkit. Το Stuxnet μολύνει με PLCs ανατρέποντας το Βήμα 7 (εφαρμογή λογισμικού που χρησιμοποιείται για να αναπρογραμματίσει αυτές τις συσκευές). Συγκεκριμένα, οι ειδικοί της Kaspersky Lab εκτιμούν ότι το Stuxnet άρχισε να εξαπλώνεται γύρω στον Μάρτιο ή τον Απρίλιο του 2010, αλλά η πρώτη παραλλαγή του worm εμφανίστηκε τον Ιούνιο του 2009. Στις 15 Ιουλίου 2010, την ημέρα που η ύπαρξη του σκουληκιού έγινε ευρέως γνωστή, έγινε μια ‘’ επίθεση’’ σε κάποιους διακομιστές με στόχο τα βιομηχανικά συστήματα ασφαλείας. Αυτή η επίθεση έγινε από μια άγνωστη πηγή, αλλά πιθανόν να σχετίζεται με το Stuxnet. Σε αντίθεση με τα περισσότερα κακόβουλα προγράμματα, το Stuxnet βλάπτει τους υπολογιστές και τα δίκτυα που δεν πληρούν συγκεκριμένες απαιτήσεις διαμόρφωσης. Η πολυπλοκότητα είναι πολύ ασυνήθιστη για κακόβουλο λογισμικό. Το σκουλήκι επιτίθεται εναντίων τριών διαφορετικών συστημάτων: Το λειτουργικό σύστημα των Windows, Siemens PCS 7, WinCC STEP7 και βιομηχανικές εφαρμογές λογισμικού που τρέχουν σε Windows και μία ή περισσότερες Siemens S7 PLC. Το Stuxnet εξαπλώθηκε χρησιμοποιώντας αρχικά μολυσμένους αφαιρούμενους δίσκους, όπως USB flash drives, και στη συνέχεια με άλλες τεχνικές, όπως το peer-to-peer RPC για να μολύνει και να ενημερώσει άλλους υπολογιστές μέσα ιδιωτικά δίκτυα, τα οποία δεν συνδέονται άμεσα με το Διαδίκτυο. Ο αριθμός των χρησιμοποιούμενων zero-day exploits είναι ασυνήθιστος. Το Stuxnet είναι ασυνήθιστα μεγάλο, διότι είναι το μισό ενός megabyte σε μέγεθος και είναι γραμμένο σε διάφορες γλώσσες προγραμματισμού (συμπεριλαμβανομένων των C και C + +) . Το κακόβουλων προγραμμάτων έχει και λειτουργίας χρήστη και λειτουργίας πυρήνα δυνατότητα rootkit στα Windows, και οι οδηγοί της συσκευής έχουν ψηφιακή υπογραφή με τα ιδιωτικά κλειδιά των δύο πιστοποιητικά που είχαν κλαπεί από ξεχωριστές γνωστές εταιρείες, JMicron και Realtek, τα δύο βρίσκονται στο Επιστημονικό Πάρκο Hsinchu στην Ταϊβάν. Επίσης, δύο ιστοσελίδες στη Δανία και στη Μαλαισία είχαν διαμορφωθεί για τον έλεγχο των servers σχετικά με το κακόβουλο λογισμικό, ώστε να μπορούν να ενημερώνονται και για τη βιομηχανική κατασκοπεία. Και οι δύο ιστοσελίδες έγιναν στη συνέχεια μέρος μιας παγκόσμιας προσπάθειας για να απενεργοποιηθεί το κακόβουλο λογισμικό. Η Siemens έχει κυκλοφορήσει ένα εργαλείο εντοπισμού και αφαίρεσης του Stuxnet. Η Siemens συνιστά επικοινωνία με την υποστήριξη πελατών, αν μια λοίμωξη ανιχνεύεται και συμβουλεύει την εγκατάσταση του Microsoft patches για τρωτά σημεία της ασφάλειας. Επίσης συνιστά, την απαγόρευση της χρήσης του από τρίτους USB flash drives καθώς και συμβουλεύει την αναβάθμιση αμέσως των κωδικών πρόσβασης. Η ικανότητα του σκουληκιού να αναπρογραμματίσει εξωτερικό PLCs μπορεί να περιπλέξει τη διαδικασία αφαίρεσης. Το Liam O'Murchu της Symantec προειδοποιεί ότι ο καθορισμός συστημάτων των Windows δεν μπορεί να λύσει πλήρως τη μόλυνση. Ένας ενδελεχής έλεγχος των PLCs μπορεί να είναι απαραίτητος. Παρά τις εικασίες ότι η λανθασμένη απομάκρυνση του worm θα μπορούσε να προκαλέσει ζημιά, η Siemens επισημαίνει ότι κατά τους πρώτους τέσσερις μήνες από την ανακάλυψη του, το κακόβουλο λογισμικό είχε αφαιρεθεί επιτυχώς από τα συστήματα των είκοσι δύο πελατών χωρίς αρνητικές επιπτώσεις.
Mac Flashback malware
επεξεργασίαΕιδικοί του τομέα της ασφάλειας των ηλεκτρονικών υπολογιστών υποστηρίζουν ότι περισσότεροι από μισό εκατομμύριο υπολογιστές Macintosh της Apple έχουν προσβληθεί από έναν ιό, ο οποίος έχει στόχο ειδικά τα προϊόντα της συγκεκριμένης εταιρείας, με τους περισσότερους από τους οποίους να βρίσκονται στις ΗΠΑ και τον Καναδά.
Πρόκειται για έναν ιό τύπου "Δούρειος Ίππος" με την ονομασία BackDoor.Flashback ο οποίος και σύμφωνα με τους ειδικούς, επινοήθηκε ειδικά, για να παρακάμπτει τις άμυνες των υπολογιστών.Ο συγκεκριμένος ιός δημιουργήθηκε για να διεισδύει στους υπολογιστές χωρίς να εντοπίζεται και να κλέβει ευαίσθητα δεδομένα, όπως κωδικούς ή δεδομένα τραπεζικών λογαριασμών. Εμφανίστηκε τον Σεπτέμβριο του 2011 , τον Απρίλιο του 2012 επισημάνθηκε από τη φινλανδική εταιρεία ασφάλειας F-Secure , ενώ ταυτόχρονα η εταιρεία της Apple κυκλοφόρησε μέσω του Software Update σχετικό security update για την αναγνώριση και προστασία των mac.
"Αυτό διαψεύδει για άλλη μια φορά τους ισχυρισμούς ορισμένων ειδικών σύμφωνα με τους οποίους δεν υφίσταται απειλή για το σύστημα Mac OS X" της Apple, πρόσθετε ο, Ρώσος πωλητής προγραμμάτων κατά των ιών, Dr. Web. Η Apple δεν απάντησε στις ερωτήσεις του Γαλλικού Πρακτορείο για τις πληροφορίες αυτές. Οι δημιουργοί του ιού εξαπατούν τους χρήστες των Mac προτρέποντάς τους να κατεβάσουν μια ψεύτικη νέα εκδοχή του λογισμικού Adobe Flash, που είναι στην πραγματικότητα ένας "Δούρειος Ίππος".
Zmist
επεξεργασίαZmist είναι ένας πολεομορφικός ιός κωδικοποιήθηκε από τον Ρώσο χάκερ Z0mbie . Είχε μια μέθοδο μόλυνσης που ποτέ δεν είχε χρησιμοποιηθεί πριν και ήταν σπάνια. Ήταν ένας μη ανιχνεύσιμος ιός για τους περισσότερους σαρωτές της εποχής του. Για τους προμηθευτές λογισμικού αντιμετώπισης ιών,παρουσίασε σημαντικά προβλήματα με την ανίχνευση του και την έφερε πίσω συζητήσεις για διορθώσεις στην αλγοριθμική ανίχνευση του ιού στους σαρωτές.Ο ιός αυτός υποστηρίζει μια μοναδική τεχνική την ολοκλήρωση κώδικα (code integration). Ήταν σε θέση να αποκωδικοποιεί τα εκτελέσιμα αρχεία σε μικρότερα στοιχεία και να εισέρχεται στον κώδικα, να μετακινεί μπλοκ από μόνος του και να εισάγεται μέσα στον κώδικα και να απενεργοποιεί το εκτελέσιμο αρχείο ξανά.
Zeus 2007
επεξεργασίαΥπάρχουν πολλά είδη κακόβουλων λογισμικών τα οποία στοχεύουν σε προσωπικές πληροφορίες, αλλά ο Zeus έχει γίνει το εύκολο (προσβάσιμο) εργαλείο για πολλούς διαδικτυακούς εγκληματίες και διατίθεται άμεσα διαθέσιμα προς πώληση στον υπόκοσμο του εγκλήματος στον διαδικτυακό χώρο.Το κακόβουλο λογισμικό Zeus και οι εκδοχές που βασίζονται σε αυτό αξιοποιούν την τεχνική “keylogging”, δηλαδή με ένα κρυφό σύστημα το λογισμικό συλλέγει κάθε πληροφορία για λέξεις ή αριθμούς που πιέζει ο χρήστης στο πληκτρολόγιό του. Οι πληροφορίες που συλλέγονται με αυτόν τον τρόπο αξιοποιούνται στη συνέχεια από τους χάκερ, οι οποίοι βρίσκουν έτσι κωδικούς για τραπεζικούς λογαριασμούς ή άλλες ευαίσθητες πληροφορίες ζωτικής σημασίας. Η Microsoft υπολογίζει ότι πάνω από 13 εκατομμύρια υπολογιστές παγκοσμίως έχουν μολυνθεί με το συγκεκριμένο κακόβουλο λογισμικό, ενώ έχει ασκήσει ήδη αγωγή κατά αγνώστων για το γεγονός αυτό. Μπορεί επίσης να χρησιμοποιηθεί για να υποκλέψει και αρχεία, συμβάλλοντας στην δημιουργία κυριολεκτικά μιας παραοικονομίας για πλαστές ταυτότητες οι οποίες μπορούν να αγοραστούν και να πωληθούν έως και πενήντα λεπτά. Την εποχή των τραπεζικών υπηρεσιών μέσω διαδικτύου και των διαδικτυακών αγορών, μια πλαστή ταυτότητα είναι πολύ περισσότερα από ένα όνομα και έναν κοινωνικό αριθμό, είναι η διεύθυνση, η ημερομηνία γέννησης, το πατρικό όνομα της μητέρας, ακόμη και οι μυστικές ερωτήσεις (το πρώτο σου κατοικίδιο, ο αγαπημένος σου καθηγητής, ή ο καλύτερος φίλος σου από το δημοτικό).
DuQu
επεξεργασίαΟ Duqu,είναι ένας ιός τύπου worm υπολογιστή που ανακαλύφθηκε την 1η Σεπτεμβρίου 2011, πιστεύεται ότι σχετίζεται με το σκουλήκι Stuxnet . Το Εργαστήριο Κρυπτογραφία και Ασφάλεια Συστήματος (CrySyS Lab) του Πανεπιστημίου της Βουδαπέστης Τεχνολογίας και Οικονομικών της Ουγγαρίας ανακάλυψε την απειλή, ανέλυσε το κακόβουλο λογισμικό, και έγραψε μία έκθεση 60 σελίδων ονομάζοντας την απειλή Duqu. Ο Duqu πήρε το όνομά του από το πρόθεμα «DQ ~" δίνει τα ονόματα των αρχείων που δημιουργεί. Ο Duqu malware είναι μια ποικιλία από στοιχεία λογισμικού που παρέχουν από κοινού υπηρεσίες στους επιτιθέμενους. Μέρος αυτού του κακόβουλου λογισμικού είναι γραμμένο σε άγνωστη γλώσσα προγραμματισμού υψηλού επιπέδου, που ονομάστηκε "Duqu πλαίσιο". Δεν είναι C + +, Python, Ada, Lua και πολλές άλλες γλώσσες που ελέγχθηκαν. Ωστόσο, πρόσφατα στοιχεία δείχνουν ότι Duqu μπορεί να έχουν γραφτεί σε Αντικειμενοστραφής C (OO C) και συγκεντρώνονται στο Microsoft Visual Studio 2008. Η λειτουργία μπορεί να σχετίζεται με το Stuxnet λειτουργίας.Η Symantec πιστεύει ότι ο Duqu δημιουργήθηκε από τους ίδιους συγγραφείς, όπως ο Stuxnet, ή ότι οι συντάκτες είχαν πρόσβαση στον πηγαίο κώδικα του Stuxnet. Ο ιός τύπου worm , έχει έγκυρη, αλλά κακοποιημένη ψηφιακή υπογραφή, και συλλέγει πληροφορίες για την προετοιμασία για τις μελλοντικές επιθέσεις. O Mikko Hyppönen, Γενικός Διευθυντής Έρευνας για το F-Secure, είπε ότι το πρόγραμμα οδήγησης του πυρήνα του Duqu, JMINET7.SYS , ήταν τόσο όμοιος με MRXCLS.Ο Hyppönen είπε ακόμη ότι το κλειδί που χρησιμοποιείται για τη ψηφιακή υπογραφή του Duqu (παρατηρήθηκε μόνο σε μία περίπτωση) είχε κλαπεί από την C-Media, που βρίσκεται στην Ταϊπέι, Ταϊβάν. O Duqu επιτίθεται σε συστήματα Microsoft Windows χρησιμοποιώντας ένα zero-day ευπάθεια. Ο Duqu ψάχνει για πληροφορίες που θα μπορούσαν να είναι χρήσιμες στην επίθεση σε βιομηχανικά συστήματα ελέγχου. Ο σκοπός του δεν είναι καταστροφικός, απλά προσπαθεί να συγκεντρώσει πληροφορίες. Ωστόσο, με βάση την αρθρωτή δομή του Duqu, ειδικά ωφέλιμο φορτίο θα μπορούσε να χρησιμοποιηθεί για να επιτεθούν οποιοδήποτε τύπο των ηλεκτρονικών συστημάτων με οποιοδήποτε μέσο και έτσι κυβερνο-σωματική επιθέσεων με βάση Duqu μπορεί να είναι δυνατή. Ωστόσο, η χρήση σε συστήματα προσωπικών υπολογιστών έχει βρεθεί να διαγράφει όλες τις πρόσφατες πληροφορίες που εισάγονται στο σύστημα, και σε ορισμένες περιπτώσεις συνολικά διαγράφει το σκληρό δίσκο του υπολογιστή.. Σύμφωνα με την McAfee, μία από τις δράσεις του Duqu είναι να κλέψει τα ψηφιακά πιστοποιητικά (και των αντίστοιχων ιδιωτικών κλειδιών, όπως χρησιμοποιείται στην κρυπτογραφία δημόσιου κλειδιού). Οι ειδικοί ασφαλείας εξακολουθούν να αναλύουν τον κώδικα για να καθορίσει ποιες πληροφορίες περιέχουν οι ανακοινώσεις. Η αρχική έρευνα δείχνει ότι το αρχικό δείγμα malware αφαιρείται αυτόματα μετά από 36 ημέρες για να μην εντοπίζεται εύκολα.
Klez
επεξεργασίαΟ ιός Klez πρωτοεμφανίστηκε τον Οκτώβριο του 2001 και ήταν ένας από τους πιο επίμονους ιούς.Μια σειρά από παραλλαγές του ιού υπάρχουν μέχρι και σήμερα. Ο Klez είχε μερικές διαφορές από τους συνηθισμένους ιούς.Κατά κύριο λόγο ήταν ένα λογισμικό το οποίο διένειμε τον εαυτό του σαν [12],μερικές φορές συμπεριφερόταν σαν σκουλήκι ιό και άλλες σαν δούρειος ίππος.O Klez έστελνε σε ηλεκτρονικό μήνυμα τον εαυτό του σε διευθύνσεις που είχε σαρώσει από λίστες ηλεκτρονικών ταχυδρομείων,αλλά μπορούσε να ψάξει έναν μολυσμένο σκληρό δίσκο για διευθύνσεις στο πρόγραμμα περιήγησης στο διαδίκτυο ή σε προσωρινά αρχεία.Ο Klez απέσυρε την διεύθυνση επιστροφής του έτσι ώστε να είναι δύσκολο να ανιχνευτεί ο ιός.Το κόλπο για να έχουν πρόσβαση σε περισσότερες ηλεκτρονικές διευθύνσεις ήταν να καταφέρνουν τους ανθρώπους να κάνουν κλικ σε συνημμένα αρχεία που θα μετέδιδαν τον ιό.Την περίοδο που ο ιός πρωτοεντοπίστηκε,προμηθευτές λογισμικού αντιμετώπισης ιών είχαν ανακαλύψει επτά άλλες εκδοχές παραλλαγής του ιού.Αυτές οι εκδοχές μοιράζονται πολλά χαρακτηριστικά αλλά λειτουργεί λίγο διαφορετικά το ένα από το άλλο.Για παράδειγμα κάποιες νεότερες εκδόσεις μπορούσαν να επιτεθούν σε υπολογιστές μέσω δικτύων,αντιγράφοντας μολυσμένα αρχεία σε διακομιστές αρχείων και κοινούς σκληρούς δίσκους.Η νεότερη παραλλαγή ,η W32.Klez.H@mm,περιέχει ένα άλλο σκουλήκι,έναν ιό-μέσα σε ιό με το όνομα ElKern,που μπορεί να βλάψει ένα λειτουργικό σύστημα,πέρα από την ικανότητα του λογισμικού προστασίας από ιούς για να το επισκευάσει.Σε ορισμένες περιπτώσεις, οι χρήστες έπρεπε να μορφοποιήσουν ολόκληρο το σκληρό δίσκο τους και να εγκαταστήσουν ξανά τα Windows για την εξάλειψη του ιού από τον υπολογιστή τους.Ο ιός αυτός εμφανίστηκε μαζικά για πρώτη φορά στην Κίνα και την Νοτιοανατολική Ασία.
SQL Slammer
επεξεργασίαΈνα worm (σκουλήκι) εκμεταλλεύεται συνήθως κάποιο κενό ασφαλείας σε ένα κομμάτι προγράμματος ή στο λειτουργικό σύστημα, όπως το SQL Slammer Worm, το οποίο εκμεταλλεύθηκε ένα τέτοιο κενό ασφαλείας στον SQL server της Microsoft και προκάλεσε καταστροφή τον Ιανουάριο του 2003, αν και το μέγεθός του ήταν μόνο 376 bytes.Ο ιός δημιουργήθηκε από μια ευπάθεια ασφαλείας σε λογισμικό SQL Server και αναφέρθηκε για πρώτη φορά από τη Microsoft στις 24 Ιουλίου 2002.Ο Slammer κατατάσσεται στην πρώτη θέση μαζί με τον Agobot σε επιθέσεις σε Η/Υ Ελλήνων χρηστών, ενώ οι περισσότερες επιθέσεις προέρχονταν από τις ΗΠΑ και την Κίνα.
Ενώ οι ιοί δε μπορούν να υπάρξουν ανεξάρτητοι, ο Slammer που θεωρείται worm(σκουλήκι).Αποτελεί ξεχωριστό πρόγραμμα με μόνο στόχο τον πολλαπλασιασμό του μέσω της αντιγραφής του εαυτού του και την αποστολή του σε όσους περισσότερους Η/Υ γίνεται μέσω του διαδικτύου. Δεν είναι τόσο καταστροφικός όσο οι ιοί γιατί δεν σβήνει αρχεία, όμως κάνει τη σύνδεση στο ιντερνέτ πιο αργή επειδή στέλνει τα αντίγραφα του σε άλλους Η/Υ. Επίσης κάνει το σύστημα του Η/Υ πιο αργό χρησιμοποιώντας πολύ μνήμη με το να αντιγράφει τον εαυτό του άπειρες φορές και γεμίζοντας τον ελεύθερο χώρο του σκληρού δίσκου (rabbits).
Ξεκίνησε στις 05:30 UTC ώρα στις 25 Ιανουαρίου 2003.Εξαπλώθηκε γρήγορα,μολύνοντας περισσότερα από 75.000 θύματα μέσα σε δέκα λεπτά. Ονομάστηκε έτσι από τον Christopher J. Rouland .Αν και ονομάζεται «σκουλήκι Slammer SQL", το πρόγραμμα δεν χρησιμοποιεί την γλώσσα SQL.Εκμεταλλεύτηκε το bug στην υπερχείλιση του buffer (buffer overflow) του κύριου SQL Server και την βάση δεδομένων της Microsoft για την οποία ένα patch είχε κυκλοφορήσει έξι μήνες νωρίτερα το MS02-039.Άλλα ονόματα που του έχουν δοθεί είναι W32.SQLExp.Worm, DDOS.SQLP1434.A, το Sapphire Worm, SQL_HEL, W32/SQLSlammer και Helkern. Το σκουλήκι είναι ένα μικρό κομμάτι κώδικα που παράγει τυχαία IP διευθύνσεις και στέλνει το ίδιο σε αυτές τις διευθύνσεις. Εάν η επιλεγμένη διεύθυνση συμβαίνει να μην ανήκει σε ένα πλήθος που εκτελεί ένα αντίγραφο του Microsoft SQL Server, τότε ο οικοδεσπότης (host) αμέσως μολύνεται και γεμίζει και αυτός το Διαδίκτυο με περισσότερα αντίγραφα του προγράμματος σκουλήκι(SQL slammer). Δηλαδή όταν ένα SQL / MSDE 2000 server έχει μολυνθεί από αυτό το σκουλήκι, το σκουλήκι θέτει αμέσως μια στοίβα πλαίσιο με τις πληροφορίες που χρειάζεται για τον πολλαπλασιασμό. Εντοπίζει το GetTickCount Application Programming Interface (API), καθώς και πολλές άλλες WinSock APIs. Εντοπίζει LoadLibraryA και GetProcAddress APIs, από την αναζήτηση στο IAT του sqlsort.dll. Ο χρονιστής του μολυσμένου συστήματος χρησιμοποιείται σαν σπόρος για τη δημιουργία διευθύνσεων. Όλες οι διευθύνσεις που παράγονται προβλέψιμα βασίζονται σ 'αυτή τιμή. Κάθε σύστημα λαμβάνει ένα ενιαίο πακέτο UDP που προκαλεί την υπερχείλιση του buffer, διαδίδοντας το σκουλήκι στο εν λόγω σύστημα.Ευτυχώς δύο τυχαίοι παράγοντες απέτρεψαν τα χειρότερα: Ο ιός διαδόθηκε σε μικρό χρονικό διάστημα μέσα σε ένα σαββατοκύριακο και έγινε αντιληπτός από τον Μάικλ Μπακαρέλα που ειδοποίησε το σύστημα προστασίας Bugtraq.
Σύνδεσμοι: [15] [16] [17] [18]
Anna Kournikova wormm
επεξεργασίαΤο σκουλήκι Anna Kournikova προκάλεσε προβλήματα σε όλο τον κόσμο. Προσφέρει τις εικόνες της γυναίκας πειρασμού του τένις, αλλά στην πραγματικότητα μολύνει τα Windows του υπολογιστή με ένα e-mail.Το σκουλήκι Anna Kournikova δεν είχε ιδιαίτερα εκλεπτυσμένο σχέδιο. Ήταν μια τακτική με email γραμμένη σεVisual Basic Script (VBS), η οποία διαβιβάστηκε μέσω ηλεκτρονικού ταχυδρομείου χρησιμοποιώντας τα στοιχεία που συλλέγονται από το βιβλίο διευθύνσεων της Microsoft.Ο ιός τύπου worm , ονομάζεται VBS / SST- ( τα μέσα ενημέρωσης το αποκάλεσαν "Anna Kournikova").Η πραγματική ιδιοφυΐα του σκουληκιού Anna Kournikova δεν ήταν η κωδικοποίηση του, αλλά η κοινωνική μηχανική του. Η Anna Kournikova ήταν δημοφιλής στα τέλη της δεκαετίας του 2000 -1990 τόσο για το παιχνίδι της αντισφαίρισης όσο και για την καλή της εμφάνιση. Πράγματι, από τα τέλη του 2001,η Anna Kournikova ήταν η όγδοη πιο δημοφιλής γυναίκα της αναζήτησης στο Google. Τελικά ήταν ένα απλό σκουλήκι VBS, και δεν υπήρχε κάποια εικόνα. Ο κόσμος είχε εξαπατηθεί - με έξυπνα επιλεγμένο όνομα αρχείου.Ο δημιουργός του ήταν ο Ολλανδικής καταγωγής 20 χρόνος Jan de Wit από την πόλη Sneek ο οποίος συνελήφθη από τις Ολλανδικές αρχές.Ο δήμαρχος Sieboldt Hartkamp, της πόλης Sneek, προκάλεσε διαμάχη όταν δήλωσε σε εφημερίδες ότι ήταν ικανοποιημένος με την προσοχή που είχε φέρει στην πόλη τους το σκουλήκι, το οποίο χαρακτήρισε ως αστείο.Ο δήμαρχος πρόσφερε στο Jan de Wit μια συνέντευξη ώστε να δουλέψει για μια εταιρεία anti-virus. Παρόλα αυτά στο Jan de Wit δόθηκε ποινή των 150 κοινωφελούς ωρών εργασίας για μερικές εβδομάδες.
Λογισμικά φίλτρα
επεξεργασίαΈνα φίλτρο είναι ένα πακέτο λογισμικού το οποίο μπορεί να αποκλείσει την προσπέλαση σε τόπους του Κυβερνοχώρου με παράνομο ή επιβλαβές περιεχόμενο.Η αποτελεσματικότητα ενός φίλτρου εξαρτάται από την επινοητικότητα του λογισμικού καθώς και από το πόσο ανανεωμένες είναι οι λίστες με τους απαγορευμένους τόπους. Διαφορετικά φίλτρα είναι αποτελεσματικά στο να αποκλείουν την πρόσβαση σε τόπους με διαφορετικό περιεχόμενο. Για παράδειγμα, κάποιο φίλτρο μπορεί να είναι πιο αποτελεσματικό στο να αποκλείει την πρόσβαση σε τόπους με πορνογραφικό περιεχόμενο, ενώ κάποιο άλλο να είναι πιο αποτελεσματικό σε περιεχόμενο με βία η ρατσισμό.Κάποιοι από τους παροχείς υπηρεσιών Ίντερνετ έχουν ήδη εγκαταστήσει λογισμικά φίλτρα στις υπηρεσίες τους. Σε αυτή την περίπτωση δεν είναι αναγκαία η εγκατάσταση άλλων φίλτρων.
Nimda Virus
επεξεργασίαΈνας ιός ο οποίος χτύπησε το διαδίκτυο το 2001 ήταν ο αποκαλούμενος Nimda Virus. Το όνομα του προέρχονταν από την αγγλική λέξη Admin (διαχειριστής) συλλαβισμένη ανάποδα.Ο συγκεκριμένος ιός έγινε γνωστός πολύ γρήγορα και έφτασε σε σημείο να είναι ο πιο γρήγορα μεταδιδόμενος ιός της εποχής εκείνης. Στην πραγματικότητα του πήρε μόλις 22 λεπτά από την στιγμή που χτύπησε το ίντερνετ μέχρι να φτάσει στην κορυφή της λίστας των διαδιδόμενων καταγεγραμμένων επιθέσεων.
Οι κύριοι στόχοι του συγκεκριμένου ιού ήταν μεγάλοι σέρβερ του διαδικτύου. Ενώ μπορούσε και να μολύνει ένα προσωπικό υπολογιστή ο κύριος σκοπός του ήταν να κάνει την κίνηση του διαδικτύου να σέρνεται. Μπορούσε να μεταφερθεί με πολλούς τρόπους συμπεριλαμβάνοντας και μέσω του ηλεκτρονικού ταχυδρομείου. Αυτήν η ιδιότητα του τον βοήθησε να σε πολλούς σέρβερ μέσα σε χρόνο ρεκόρ.
Ο ιός δημιουργούσε μια πίσω πόρτα στο λειτουργικό σύστημα του χρήστη και έτσι επέτρεπε στον άνθρωπο πίσω από την επίθεση να έχει πρόσβαση σε λειτουργίες του υπολογιστή ανάλογες με τον χρήστη που ήταν συνδεδεμένος εκείνη την στιγμή. Για παράδειγμα εάν ο χρήστης που ενεργοποιούσε τον ιό είχε περιορισμένες δυνατότητες στον υπολογιστή τόσες θα είχε και ο επιτιθέμενος ενώ αν τον ενεργοποιούσε ο διαχειριστής τότε θα είχε πλήρη πρόσβαση στον υπολογιστή.
Η εξάπλωση του ιού προκάλεσε πολλά συστήματα δικτύου να καταρρεύσουν. Στην πραγματικότητα ο ιός αυτός έγινε μια κατανεμημένη επίθεση άρνησης υπηρεσίας (DDoS attack).
Sasser Worm
επεξεργασίαΟ Sasser είναι ένας ιός τύπου worm που άρχισε να παρατηρείτε και να εξαπλώνετε τον Απρίλιο του 2004 την ονομασία Sasser την πήρε επειδή εξαπλώνετε εκμεταλλευόμενος την υπερχείλιση του buffer γνωστή και ως Local Security Authority Subsystem Service LSASS και επιτίθεται σε υπολογιστές που έχουν ευπάθεια στο λειτουργικό σύστημα των Windows κυρίως στις εκδόσεις 2000 και XP.
Η εξάπλωση του ιού γίνετε βρίσκοντας μια ευάλωτη θύρα δικτύου συνήθως την TCP 445 αλλά και την TCP 139 όπως και άλλοι ιοί έτσι και ο Sasser μπορεί να εξαπλωθεί χωρίς να παρέμβει ο χρήστης.Ο ιός κατάφερε να δημιουργήσει σημαντικά προβλήματα όπως να μπλοκάρει μεταδόσεις από πρακτορεία ειδήσεων,να ακυρωθούν αεροπορικές πτήσεις ,να σταματήσουν την εργασία τράπεζες και ασφαλιστικά γραφεία ακόμα και νοσοκομεία λόγο του ότι ο ιός είχε εισβάλει στα αντίστοιχα συστήματα τους.
Η δημιουργία του ιού αρχικά πιστώθηκε σε ένα Ρώσο που είχε γράψει και άλλους ιούς με παρόμοιο κώδικα όπως ο Blaster παρόλα αυτά ο ιός δημιουργήθηκε από ένα Γερμανό φοιτητή πληροφορικής τον Sven Jaschan την πληροφορία αυτή την έδωσε ένας φίλος του όταν πληροφορήθηκε πως η Microsoft προσφέρει αμοιβή 250.000$ για πληροφορίες. Ο Jaschan συνελήφθη και κατηγορήθηκε για δολιοφθορά υπολογιστών και παράνομη αλλοίωση δεδομένων αλλά δικάστηκε σαν ανήλικος διότι είχε γράψει τον κώδικα σε ηλικία 16 χρονών και η ποινή που του επιβλήθηκε ήταν 21 μήνες φυλάκιση με αναστολή.
Οι τρόποι αντιμετώπισης του Sasser είναι η σωστή χρήση του τοίχου ασφαλείας και των κατάλληλων ενημερώσεων αν παρόλα αυτά ο υπολογιστής μας μολυνθεί μια ένδειξη είναι η ύπαρξη ενός αρχείου στο σκληρό μας δίσκο το C: \ WIN.LOG ή C: \WIN2.LOG καθώς και ένα χρονόμετρο τερματισμού που κάνει επανεκκίνηση στο σύστημα για να αποφευχθεί αυτός ο τερματισμός μπορούμε να δώσουμε την εντολή shutdown -a από την γραμμή εντολών.
Stoned Virus
επεξεργασίαO Stoned είναι ένας ιός υπολογιστή για τον τομέα δίσκου που δημιουργήθηκε το 1987.Είναι αξιοσημείωτος,σαν ένας από τους πρώτους ιούς τομέα δίσκου,έχει θεωρηθεί ότι η δημιουργία του Stoned έγινε από έναν φοιτητή του πανεπιστημίου στο Γουέλινγκτον,στη Νέα Ζηλανδία.Και από το 1989 εξαπλώθηκε ευρέως στη Νέα Ζηλανδία και την Αυστραλία.Υπήρξε ένας από τους πρώτους ιούς, και ήταν, μαζί με πολλές παραλλαγές του (variants), πολύ κοινός και διαδεδομένος κυρίως στις αρχές της δεκαετίας του 1990.
Ο Stoned προφανώς έχει ως κύριο στόχο την μόλυνση συστημάτων.Γράφει ο ίδιος δισκέτες και σκληρούς δίσκους (Master Boot Record) αντικαθιστά την αρχική bootloader που στην συνέχεια και υποστηρίζει. Ο αρχικός ιός Stoned (Stoned.A) έχει μήκος 512 bytes. Προέρχεται αρχικά από μια μονάδα δισκέτας, αλλά έχει το χώρο για τον πίνακα κατανομής διατηρημένο έτσι ώστε να μπορεί επίσης να λειτουργήσει σε σκληρούς δίσκους.Ο πηγαίος κώδικας του ιού χωρίζεται σε τρία μέρη: Α.Jump Table B.Μία διακοπή (Interrupt 13h Handler)και Γ.Την εκτέλεση του κώδικα που αποτελεί την αρχή της μόλυνσης.Η διακοπή 13h Handler του Stoned είναι υπεύθυνη για την μόλυνση της δισκέτας. Κάθε φορά που γίνεται επίκληση, ελέγχει αν καλούνται εντολές read / write / verify και τις απομονώνει. Αυτό σημαίνει ότι ελέγχει τη στοχευμένη δισκέτα, αν έχει ήδη μολυνθεί (συγκρίνει τα 4 πρώτα bytes του bootloader δισκέτας με τον εαυτό της).Είναι σημαντικό να αναφερθεί ότι o ιός Stoned δεν αφήνει να εκτελεστούν οι παλιές I/O εντολές(εντολές εισόδου εξόδου), όχι οι καινούργιες εντολές(Extended Functions).Ο λόγος που δεν εμποδίζει κάποια καινούργια εντολή είναι επειδή όταν δημιουργήθηκε ο Stoned δεν είχαν εφευρεθεί καν οι εντολές.
Ο πρώτος κώδικας Stoned αν εκτελεστεί κάνει μετεγκατάστασή στο τέλος της μνήμης και αρχικά μολύνει τον σκληρό δίσκο MBR και τη δισκέτα εκκίνησης(boot disk)(εάν είναι διαθέσιμη).Και επίσης, θα εκτυπώσει το περίφημο μήνυμα "Your PC is now Stoned".
Magist
επεξεργασίαΈνας από τους πιο σημαντικούς ιούς είναι ο ιός Magist. Πιο συγκεκριμένα, ο ιός Magist αποτελεί έναν πολύ επικίνδυνο ιό μνήμης συνδεδεμένο με ρουτίνες μόλυνσης ο οποίος ανακαλύφθηκε το 2001. Ο ιός Magistr εξαπλώνεται μέσω του internet με μολυσμένα e-mail μολύνοντας εκτελέσιμα αρχεία των windows σε ένα μηχάνημα και αργότερα είναι ικανός να εξαπλωθεί σε ολόκληρο το τοπικό δίκτυο.
Ο ιός είναι ένα πρόγραμμα μεγέθους 30kb περίπου γραμμένο σε Assembler γλώσσα. Αυτό το μέγεθος του ιού προέρχεται λόγω του αλγορίθμου μόλυνσης των αρχείων Win32.EXE των ρουτινών email και εξάπλωσης δικτύου, πολυμορφικών μηχανών και αντι-αποσφαλμάτωσης που χρησιμοποιούνται από τον ιό έτσι ώστε να κάνουν τον εντοπισμό και την απολύμανσή του ακόμη πιο δύσκολη. Εξαιτίας αυτού ο συγκεκριμένος ιός είναι ένας από τους πιο σύνθετους ιούς που είναι γνωστοί αυτή τη στιγμή γεγονός που τον καθιστά και ιδιαίτερα επικίνδυνο.Έχει ένα εξαιρετικά επικίνδυνο ωφέλιμο φορτίο και ανάλογα με τις διαφορετικές συνθήκες διαγράφει δεδομένα του σκληρού δίσκου, περιεχόμενο της CMOS μνήμης και του flash Bios. Αυτό το κάνει κρυπτογραφώντας τον κύριο κώδικά του με μια πολυμορφική μηχανή και γράφοντας τον εαυτό του στο τέλος του αρχείου. Ο ιός στέλνει μολυσμένα μηνύματα συνδέεται με έναν από τους τρεις e mail servers χρησιμοποιώντας SMTP πρωτόκολλο και στέλνει μηνύματα εκεί. Αργότερα, αποθηκεύει στο σώμα του 10 e mail διευθύνσεις από τους χρήστες που έχει ήδη μολύνει . Καθώς εξαπλώνεται ο ιός συγκρίνει την e mail διεύθυνση του θύματος με αυτές της λίστας και δεν ξαναστέλνει μήνυμα στην διεύθυνση που έχει ήδη μολύνει. Στη συνέχεια, ο ιός αποκτά πρόσβαση στην επιφάνεια εργασίας των Windows και δεν επιτρέπει την πρόσβαση στα εικονίδια με το ποντίκι. Όταν το ποντίκι κινείται πάνω στο εικονίδιο ο ιός μετακινεί το εικονίδιο μακριά από τον κέρσορα σαν να προσπαθεί να ξεφύγει από αυτόν. Ένα μήνα αφού έχει μολυνθεί ο υπολογιστής ο ιός τρέχει μία ρουτίνα που γράφει πάνω από όλα τα αρχεία του δίσκου ένα κείμενο “YOUARESHIΤ” σε όλους τους δίσκους του δικτύου. Για συστήματα κάτω από WIN9x ο ιός διαγράφει CMOS,FLASH BIOS και δεδομένα του σκληρού δίσκου.
Conficker Virus
επεξεργασίαO Conficker,γνωστός και ως Downup, Downadup και Kido,είναι ένας αδίστακτος ιός τύπου worm,με στόχο το λειτουργικό σύστημα Microsoft Windows,που εντοπίστηκε για πρώτη φορά τον Νοέμβριο του 2008,ως τμήμα «πακέτου προγραμμάτων» που πουλούσε Κινέζος χάκερ.Ο συγκεκριμένος ιός των Windows(αξιοποιώντας ένα θέμα ευπάθειας στην υπηρεσία δικτύου (MS08-067) για Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008 και Windows Server 2008 Beta R2),επηρεάζει το κεντρικό σύστημα του ηλεκτρονικού υπολογιστή και εμποδίζει την πρόσβαση των χρηστών στους λογαριασμούς τους,εντάσσοντας τους σε δίκτυο botnet,υπακούοντας εντολές απομακρυσμένου υπολογιστή.Οι δημιουργοί του ιού ξεκίνησαν να χρησιμοποιούν το δίκτυο των μολυσμένων υπολογιστών για παράνομες δραστηριότητες, ενώ τις τελευταίες εβδομάδες παρατηρείται αλλαγή του κώδικα του ιού σε κάποιους υπολογιστές, όπως εξήγησε ο αντιπρόεδρος της Symantec, Βίνσεντ Γουίφερ. Παρά το γεγονός ότι σχεδόν όλες οι προηγμένες τεχνικές κακόβουλου λογισμικού που χρησιμοποιεί ο Conficker είναι γνωστές εδώ και χρόνια στους ερευνητές,η συνδυασμένη χρήση όλων αυτών κάνει τον ιό ασυνήθιστα δύσκολο να εξαλειφθεί.
Ο Conficker εγκαθιστά ένα δεύτερο ιό, γνωστό ως Waledac, που στέλνει μηνύματα spam εν αγνοία του ιδιοκτήτη του, μαζί με μια ψεύτικη έκδοση συστήματος anti-spyware. Ταυτόχρονα, ο παραλήπτης του ψεύτικου email καλείται να αγοράσει ένα πρόγραμμα anti-virus, τοSpyware Protect 2009 έναντι 50 δολαρίων. Αν ο χρήστης προχωρήσει σε αγορά, υποκλέπτονται τα στοιχεία της πιστωτικής του κάρτας, ενώ ταυτόχρονα εγκαθίστανται ακόμη περισσότερα κακόβουλα προγράμματα.Η πλειοψηφία των ιών βρίσκουν και εκμεταλλεύονται συνήθως κενά ασφαλείας του λειτουργικού συστήματος του υπολογιστή. Ο Conficker ωστόσο, αποδείχθηκε ακόμη πιο επικίνδυνος, αφού μπορούσε να μεταδοθεί και μέσω συσκευής αποθήκευσης δεδομένων με θύρα USB, ευνοώντας έτσι την εξάπλωση από υπολογιστή σε υπολογιστή.
Ειδικοί ασφαλείας δήλωσαν ότι το Conficker worm έχει προσβάλει ένα τεράστιο αριθμό υπολογιστών(κυβερνήσεις,επιχειρήσεις,τράπεζες κτλ σε πάνω από 200 χώρες), κάνοντάς το το μεγαλύτερο «botnet» στην ιστορία του διαδικτύου.Δεν είναι τυχαίο ότι πολλοί ερευνητές το αποκαλούν "super bug" ή "super σκουλήκι".Σε αυτό που δεν μπορούν να συμφωνήσουν, όμως, είναι πόσα συστήματα ακριβώς έχουν ήδη προσβληθεί.Η ομάδα των ερευνητών που μελετούν -και προσπαθούν να καταπολεμήσουν- αυτή την ψηφιακή αρρώστια, δημοσίευσε τη δική της εκτίμηση για το μέγεθος του Conficker. Σύμφωνα με δεδομένα που συλλέχθηκαν από το Conficker Working Group, το worm βρέθηκε σε περίπου 4,6 εκατ. διαφορετικές IP διευθύνσεις. Οι προηγούμενες Α και Β εκδόσεις του είχαν ανακαλυφθεί σε περισσότερες από 3,4 εκατ. IP διευθύνσεις, με το C να έχει βρεθεί μέχρι τώρα με 1, 2 εκατ. διευθύνσεις.Οι χώρες που φαίνεται να έχουν το μεγαλύτερο αριθμό μολύνσεων, για όλες τις εκδόσεις του worm, είναι η Κίνα, η Βραζιλία,η Ρωσία,η Ινδία και οι ΗΠΑ.Σύμφωνα με ερευνητές παραπάνω από 50.000 συστήματα προσβάλλονται καθημερινά από τη μάστιγα του Conficker(εκτιμάται ότι πάνω από 12 εκατομμύρια μηχανήματα έχουν μολυνθεί).Το μέγεθος της ζημιάς που δημιούργησε ο ιός αντικατοπτρίζεται και από το γεγονός ότι η Microsoft προσέφερε 250.000 δολάρια αμοιβή σε όποιον παρέχει πληροφορίες που θα οδηγήσουν στη σύλληψη και καταδίκη των υπευθύνων για τον κακόβουλο κώδικα.Πάντως,ο πραγματικός σκοπός του Conficker εξακολουθεί να προκαλεί σύγχυση στους εμπειρογνώμονες σε θέματα ασφάλειας καθώς,ο botnet στρατός δεν χρησιμοποιήθηκε ποτέ.
Προέλευση Ονόματος Η προέλευση του ονόματος Conficker πιστεύεται ότι είναι ένας συνδυασμός των λέξεων "configure" και της Γερμανικής υποτιμητικής λέξης ficker(αντίστοιχο του fucker στα Αγγλικά).Ωστόσο ο αναλυτής της Microsoft Joshua Phillips δίνει μια εναλλακτική ερμηνεία της ονομασίας, χαρακτηρίζοντάς το ως μια ανακατανομή των τμημάτων του πλαστού ονόματος τομέα trafficconverter.biz, μέσω του οποίου γίνονταν οι ενημερώσεις των πρώτων εκδόσεων του ιού. Δημιουργός του Ιού Η ακριβής προέλευση του Conficker παραμένει άγνωστη μέχρι σήμερα.Αρχικά είχε γίνει γνωστό ότι ο Conficker είχε μια διεύθυνση πρωτοκόλλου Internet από την Αργεντινή και ότι ο κώδικας του είχε ομοιότητες με κωδικούς κρυπτογράφησης που αναπτύχθηκαν στο MIT. Ωστόσο τα μέλη της ομάδας Conficker Working Group δήλωσαν to 2009 ότι η Ουκρανία είναι η πιθανή προέλευση του ιού, αλλά αρνήθηκαν να αποκαλύψουν περαιτέρω τεχνικές ανακαλύψεις για τη λειτουργία του ιού με σκοπό να αποφευχθεί η ανατροπή από τους δημιουργούς του.Η πρώτη παραλλαγή του Conficker δεν μολύνει συστήματα με Ουκρανικές διευθύνσεις IP ή με την ουκρανική διάταξη πληκτρολογίου. Επίσης η πέμπτη έκδοση του ιού(Conficker.e) ήταν διαθέσιμη για λήψη από κεντρικό υπολογιστή στην Ουκρανία..
Σε συνέντευξη του στο Reuters[19] ο John Bumgarner,ένας συνταξιούχος αξιωματικός της υπηρεσίας πληροφοριών του Στρατού και διευθυντής του ανεξάρτητου και μη κερδοσκοπικού χαρακτήρα ερευνητικού ινστιτούτουU.S. Cyber Consequences Unit αναφέρει ότι ο Conficker χρησιμοποιήθηκε για να “ ανοίξει πόρτες” στους υπολογιστές του Ιράν έτσι ώστε στη συνέχεια να εγκατασταθεί ανενόχλητα ο ιός Stuxnet σε βασικά κομμάτια του εξοπλισμού που χρησιμοποιείται στις Ιρανικές πυρηνικές εγκαταστάσεις. Μετά από μήνες ερευνών ο Bumgarner κατέληξε στο συμπέρασμα ότι Conficker δημιουργήθηκε από τους συντάκτες του Stuxnet.Πρώτον, παρατήρησε ότι και τα δύο κομμάτια του κακόβουλου λογισμικού είναι γραμμένα με πρωτοφανή πολυπλοκότητα, η οποία τον ανάγκασε να υποπτεύεται ότι συνδέονται. Διαπίστωσε επίσης ότι τα ποσοστά μόλυνσης ήταν πολύ μεγαλύτερα στο Ιράν παρά στις Ηνωμένες Πολιτείες καθώς και ότι η εξάπλωση πραγματοποιείται με την αξιοποίηση της ίδιας ευπάθειας των Windows. Έκανε περισσότερη έρευνα, συγκρίνοντας ημερομηνία και ώρα για τις διάφορες εκδόσεις του Conficker και Stuxnet, και βρήκε έναν συσχετισμό-ημερομηνίες κλειδιά πάνω στις οποίες και οι δύο ιοί αναπτύχθηκαν ή ενημερώθηκαν (όπως η 1η Απριλίου 2009 οπότε και σηματοδοτείται η 30η επέτειος από την Κήρυξη της Ισλαμικής Δημοκρατίας(έπειτα από εθνικό δημοψήφισμα) από τον Αγιατολάχ Ρουχολάχ Χομεϊνί).Ο Bumgarner πιστεύει ότι οι επιτιθέμενοι επέλεξαν τη συγκεκριμένη ημερομηνία για να στείλουν ένα μήνυμα στους ηγέτες του Ιράν.
Επιπτώσεις στην Ευρώπη Το Intramar, το δίκτυο υπολογιστών του Γαλλικού Ναυτικού, είχε μολυνθεί με τον ιό Conficker στις 15 Ιανουαρίου 2009. Το δίκτυο στη συνέχεια μπήκε σε καραντίνα, αναγκάζοντας τα αεροπλάνα να προσγειωθούν σε διάφορες βάσεις,καθώς δεν ήταν εφικτό να γίνει λήψη των σχεδίων πτήσης.
Το Υπουργείο Άμυνας του Ηνωμένου Βασιλείου ανέφερε ότι μερικά από τα σημαντικότερα συστήματα του και επιτραπέζιοι υπολογιστές μολύνθηκαν. Ο ιός έχει εξαπλωθεί σε όλα τα διοικητικά γραφεία,πάνω σε διάφορα πολεμικά πλοία και υποβρύχια του Βασιλικού Ναυτικού,και σε νοσοκομεία σε όλη την πόλη του Σέφιλντ αναφέροντας μόλυνση πάνω από 800 υπολογιστές.
Στις 2 Φεβρουαρίου 2009,η Bundeswehr(οι ενιαίες ένοπλες δυνάμεις της Γερμανίας) ανέφερε ότι περίπου εκατό από τους υπολογιστές τους είχαν μολυνθεί.
Μια λοίμωξη του πληροφοριακού συστήματος του Συμβουλίου του Μάντσεστερ προκάλεσε κατ 'εκτίμηση ζημία αξίας £ 1.5m τον Φεβρουάριο του 2009. Οι μονάδες flash USB έκτοτε απαγορεύονται, καθώς πιστεύεται ότι αποτελούσαν το φορέα για την αρχική μόλυνση.
Στις 24 Μαρτίου 2009 ένα σημείωμα από το διευθυντή της βρετανικού Κοινοβουλίου IT ενημέρωνε τους χρήστες στηΒουλή των Κοινοτήτων ότι είχε μολυνθεί με τον ιό. Το υπόμνημα, το οποίο στη συνέχεια διέρρευσε,προειδοποιούσε τους χρήστες να αποφεύγουν οποιαδήποτε μη εξουσιοδοτημένη σύνδεση στο δίκτυο.
Τον Ιανουάριο του 2010, το μεγαλύτερο δίκτυο αστυνομίας του Μάντσεστερ μολύνθηκε, με αποτέλεσμα την αποσύνδεση του για τρεις ημέρες από τοΕθνικό Δίκτυο της Αστυνομίας ως μέτρο προφύλαξης.
Bandook Rat
επεξεργασίαΤο 2005, οι προγραμματιστές άρχισαν να παρατηρούν ότι υπήρχε ένα απομακρυσμένο εργαλείο διαχείρισης το οποίο βάφτισε τελικά το RAT Bandook. Είχε πολλά ψευδώνυμα όπως Backdoor.Win32 και Bandok.bd. Ήταν επίσης η Troj.Bandok-ι και Backdoor.Bandook. Όλα τα χαρακτηριστικά αυτού του σημείου malware στο γεγονός ότι είναι μια μορφή ενός Trojan. Bandook Rat (Remote Administration Tool) είναι ένα backdoor Δούρειος ίππος που μολύνει τα Windows NT συστήματα της οικογένειας (Windows 2000, XP, 2003, Vista, 7).Αυτό σήμαινε ότι πολύ λίγοι υπολογιστές ήταν ασφαλείς από αυτό, τρέξει το πλήρες φάσμα των υπηρεσιών που ήταν διαθέσιμα. Βρίσκεται ακόμα σε λειτουργία, ως συνέπεια των πολλών παραλλαγών που απελευθερώνονται συνεχώς.Παρά το γεγονός ότι ήρθε από το Λίβανο, ο ιός αυτός κατάφερε να επηρεάσει διάφορα μέρη του κόσμου. Ένας δημιουργός διακομιστή ήταν ο τρόπος λειτουργίας το οποίο χρησιμοποιήθηκε προκειμένου να εξασφαλιστεί ότι ο πελάτης ήταν παγιδευμένος.Ο ιός αυτός θα δημιουργήσει μια σύνδεση με αποτέλεσμα να αναλάβει τον έλεγχο απομακρυσμένων υπολογιστών που είναι συνδεδεμένοι στο διακομιστή. Χρησιμοποιεί διάφορες τεχνικές για να παρακάμψει το τείχος προστασίας.Η συνιστώσα server που χρησιμοποιήθηκε από το RAT Bandook είναι 28.200 bytes. Όταν το στοιχείο του διακομιστή έχει τρέξει, θα δημιουργήσει μια σύνδεση που επιτίθεται αποτελεσματικά στο διαχειριστή του συστήματος.Επιπλέον ο ιός έχει την ικανότητα να εκτελέσει αυθαίρετο κώδικα η οποία εμποδίζει σοβαρά τη λειτουργία του δικτύου. Θα μπορούσε να αλλάξει το στοιχείο διακομιστή αριθμό θύρας, καθώς και τη διεύθυνση IP. Αυτό το κακόβουλο λογισμικό ήταν ικανή να αλλάξει τους DNS και σε συνεργασία με το δίκτυο Rootkit. Οι επιπτώσεις του ιού RAT Bandook είναι καταστροφικές. Αυτό το πρόγραμμα θα τρέξει το όνομα του εκτελέσιμου αρχείου μέσα στο φάκελο εγκατάστασης. Το μητρώο των Windows στη συνέχεια θα μετατραπεί σε βασικό ActiveX. Η διευκόλυνση του logger κλειδιού ήταν η πιο καταστροφική πτυχή που θα μπορούσε να οδηγήσει ακόμη και σε σημαντικές οικονομικές απώλειες.Επίσης, νέες παραλλαγές του ιού εξακολουθούν να απελευθερώνονται από διαφορετικούς συντάκτες και ως εκ τούτου να είναι ο πιο καταστροφικός ιός μέχρι σήμερα.
Morris worm
επεξεργασίαΤο σκουλήκι Morris ή σκουλήκι του Διαδικτύου ήταν ένα από τα πρώτα σκουλήκια υπολογιστών που εξαπλώθηκαν μέσω του Διαδικτύου.Θεωρείται το πρώτο σκουλήκι και ήταν σίγουρα το πρώτο που θα αποκτούσε σημαντική προσοχή στα μέσα μαζικής ενημέρωσης. Επίσης, είχε ως αποτέλεσμα την πρώτη καταδίκη στις ΗΠΑ,σχετικά με απάτη υπολογιστών και Πράξη Κατάχρησης.Γράφτηκε από έναν φοιτητή στο πανεπιστήμιο του Cornell,τον Robert Tappan Morris, και εγκαινιάστηκε στις 2 Νοεμβρίου 1988 από το MIT.Σύμφωνα με το δημιουργό του, το σκουλήκι Morris δεν γράφτηκε για να προκαλέσει ζημιά, αλλά για να μετρήσει το μέγεθος του Διαδικτύου. Ωστόσο, το σκουλήκι απελευθερώθηκε από το MIT για να αποκρύψουν το γεγονός ότι ο ιός προήλθε αρχικά από το Cornell. Επιπλέον, το σκουλήκι Morris ευδοκίμησε με την αξιοποίηση γνωστών τρωτών σημείων σε Unix sendmail,καθώς και σε αδύναμους κωδικούς πρόσβασης.Λόγω της εξάρτησης από to rsh δεν θα έπρεπε να επιτύχει σε ένα σωστά ρυθμισμένο σύστημα.Μια δήθεν ακούσια συνέπεια του κώδικα, ωστόσο,το έκανε πιο επιζήμιο: ένας υπολογιστής θα μπορούσε να προσβληθεί πολλές φορές και κάθε επιπλέον διαδικασία θα επιβράδυνε το μηχάνημα,σε σημείο να το καταστήσει άχρηστο.Το κύριο σώμα του σκουληκιού θα μπορούσε να μολύνει μόνο μηχανές DEC VAX που τρέχουν 4BSD,και συστήματα Sun-3.Το κρίσιμο σφάλμα που μεταμόρφωσε το σκουλήκι από μια δυνητικά αβλαβή διανοητική άσκηση σε μία παθογόνο άρνηση υπηρεσιών ήταν στον μηχανισμό εξάπλωσης.Θα μπορούσε να προσδιοριστεί εάν το σκουλήκι θα εισβάλει σε ένα νέο υπολογιστή ρωτώντας τον χρήστη εάν υπήρχε ήδη ένα αντίγραφο του.Αλλά με αυτή ακριβώς την ενέργεια θα γινόταν υπερβολικά εύκολο να εξαπλωθεί.Ο καθένας θα μπορούσε να τρέξει μόνο μια διαδικασία στην οποία θα μπορούσε να απαντήσει "ναι" όταν θα ερωτηθεί αν υπήρχε ήδη ένα αντίγραφο, και το σκουλήκι θα έμενε μακριά.Για να αντισταθμιστεί αυτή η δυνατότητα,Ο Morris προγραμμάτισε το σκουλήκι έτσι ώστε αυτό να αντιγράφεται, ακόμη και αν η απάντηση είναι "ναι", από 1 έως 7 φορές.Αυτό το επίπεδο της αντιγραφής αποδείχθηκε υπερβολικό και το σκουλήκι εξαπλώθηκε γρήγορα, μολύνοντας κάποιους υπολογιστές πολλές φορές.Ο Morris όταν άκουσε για το λάθος,παρατήρησε ότι θα έπρεπε να το έχουν δοκιμάσει πρώτα σε έναν προσομοιωτή. Αναφέρεται ότι περίπου 6.000 μεγάλες μηχανές UNIX έχουν μολυνθεί από το σκουλήκι του Morris.Το Κυβερνητικό γραφείο υπευθυνότητας των ΗΠΑ (GAO) εκτίμησε ότι το κόστος των ζημιών ανέρχεται στα 100.000-10.000.000 δολάρια.Το σκουλήκι Morris κίνησε τον Οργανισμό Άμυνας Προηγμένων Ερευνητικών Έργων (DARPA)των Η.Π.Α στο να χρηματοδοτήσει τη δημιουργία του κέντρου συντονισμού CERT από το Πανεπιστήμιο Carnegie Mellon για να δώσει στους εμπειρογνώμονες ένα κεντρικό σημείο για τον συντονισμό σε καταστάσεις έκτακτης ανάγκης του δικτύου.Ο Gene Spafford δημιούργησε επίσης τη λίστα Phage για να συντονίσει την απάντηση στην κατάσταση έκτακτης ανάγκης.Ο Robert Morris δικάστηκε και καταδικάστηκε για παραβίαση του κώδικα των ΗΠΑ.Μετά από εκκλήσεις καταδικάστηκε σε τρία χρόνια δικαστικής επιτήρησης,400 ώρες κοινωνικής εργασίας και πρόστιμο 10.000 δολαρίων.Το σκουλήκι Morris μερικές φορές αναφέρεται ως "the Great Worm" λόγω της καταστρεπτικές συνέπειες που είχε στο Internet εκείνη την εποχή, τόσο στο συνολικό downtime του συστήματος και σε ψυχολογικό αντίκτυπο όσο και στην αντίληψη της ασφάλειας και της αξιοπιστίας του Διαδικτύου. Το όνομα προήλθε από ένα βιβλίο του συγγραφέα Tolkien.
Michelangelo
επεξεργασίαΟ ιός Michelangelo είναι ένας ιός υπολογιστή που ανακαλύφθηκε για πρώτη φορά στις 4 Φεβρουαρίου του 1991 στην Αυστραλία. Ο ιός σχεδιάστηκε για να μολύνει τα συστήματα DOS, αλλά δεν εμπλέκεται με το λειτουργικό σύστημα ή με OS. Ο Michelangelo, όπως και όλοι οι ιοί boot sector, ουσιαστικά λειτουργεί σε επίπεδο BIOS. Κάθε χρόνο, ο ιός παραμένει αδρανής μέχρι 6 Μαρτίου, τα γενέθλια δηλαδή του καλλιτέχνη της Αναγέννησης Μιχαήλ Άγγελο. Δεν υπάρχει καμία αναφορά για τον καλλιτέχνη του ιού, και είναι αμφίβολο αν ο συγγραφέας του ιού Michelangelo προορίζεται να αναφέρεται στον ιό. Ο Michelangelo είναι μια παραλλαγή του ιού Stoned .
Στις 6 Μαρτίου, ο ιός διαγράφει τους πρώτους εκατό τομείς του σκληρού δίσκου με μηδενικά. Ο ιός αναλαμβάνει μια γεωμετρία των 256 κυλίνδρων, 4 κεφάλια και 17 τομείς ανά τροχιά. Παρόλα αυτά, όλα τα δεδομένα του χρήστη θα εξακολουθούν να είναι στο σκληρό δίσκο, η ζημιά όμως θα είναι ανεπανόρθωτη για το μέσο χρήστη.
Στους σκληρούς δίσκους, ο ιός κινείται την αρχική εγγραφή master boot sector με κύλινδρο 0, κεφαλή 0, τομέα 7.
Στις δισκέτες, αν ο δίσκος είναι 360 KB, ο ιός μετακινείται το αρχικό boot sector στο κύλινδρο 0, κεφαλή 1, τομέας 3.
Σε άλλους δίσκους, ο ιός μετακινείται το αρχικό boot sector στο κύλινδρο 0, κεφαλή 1, τομέας 14.
Παρά το γεγονός ότι έχει σχεδιαστεί για να μολύνει τα συστήματα DOS, ο ιός μπορεί να διαταράξει εύκολα άλλα λειτουργικά συστήματα εγκατεστημένα στο σύστημα επειδή, όπως πολλοί ιοί, ο Michelangelo μολύνει το ιστορικό master boot του σκληρού δίσκου. Μόλις ένα σύστημα μολυνθεί, καθώς και κάθε δισκέτα που εισάγεται στο σύστημα αμέσως μολύνεται. Επειδή ο ιός περνάει τον περισσότερο χρόνο του σε αδρανοποίηση και ενεργοποιείται μόνο στις 6 Μαρτίου, είναι κατανοητό ότι ένας μολυσμένος υπολογιστής θα μπορούσε να πάει για χρόνια χωρίς ανίχνευση - εφ 'όσον δεν είχε ξεκινήσει την εν λόγω ημερομηνία μετά την μόλυνση.
Ο ιός έγινε γνωστός για πρώτη φορά σε ευρεία διεθνή προσοχή τον Ιανουάριο του 1992, όταν αποκαλύφθηκε ότι μερικοί υπολογιστές και κατασκευαστές λογισμικού είχαν αποστείλει κατά λάθος προϊόντα, τα οποία είχαν μολυνθεί με τον ιό. Παρά το γεγονός ότι τα μολυσμένα μηχανήματα αριθμούνταν μόνο στις εκατοντάδες, η δημοσιότητα αύξησε τους ισχυρισμούς της σε χιλιάδες ή ακόμα και εκατομμύρια υπολογιστές να έχουν μολυνθεί από τον Μιχαήλ Άγγελο. Ωστόσο, στις 6 Μαρτίου 1992, μόνο 10.000 έως 20.000 περιπτώσεις απώλειας δεδομένων αναφέρθηκαν.
Κατά τα επόμενα έτη, οι χρήστες συμβουλεύονται να μην τρέξουν τους υπολογιστές, στις 6 Μαρτίου, περιμένοντας μέχρι τις 7 Μαρτίου, ή αλλιώς την επαναφορά του υπολογιστή έως τις 7 Μαρτίου και κάποια στιγμή στις 5 Μαρτίου (για να παρακάμψουν την 6 Μαρτίου). Τελικά, τα μέσα μαζικής ενημέρωσης έχασαν το ενδιαφέρον, και ο ιός ξεχάστηκε γρήγορα. Παρά το σενάριο που δόθηκε παραπάνω, στην οποία ένας μολυσμένος υπολογιστής θα μπορούσε να αποφύγει την ανίχνευση για χρόνια, μέχρι το 1997 δεν αναφέρθηκαν ανάλογες περιπτώσεις.
Παραπομπές:[16] [17] [18] [19]
Mydoom
επεξεργασίαΤο Mydoom , επίσης γνωστός ως W32.MyDoom @ mm , Novarg , Mimail.R και Shimgapi , είναι ένας ιός υπολογιστή που επηρεάζει τα Microsoft Windows . Ήταν ο πρώτος που εντοπίστηκε στις 26 Ιανουαρίου 2004. Έγινε ο ταχύτερος ιός σε εξάπλωση σε e-mail (τον Ιανουάριο του 2004 ), υπερβαίνοντας τα προηγούμενα ρεκόρ από το Sobig worm και ILOVEYOU.Το Mydoom φαίνεται να έχει ανατεθεί μέσω e-mail spammers , ώστε να στέλνει "πρόχειρα" e-mail μέσω μολυσμένων υπολογιστών.Ο ιός περιέχει το μήνυμα κειμένου "andy; I'm just doing my job, nothing personal, sorry," που οδηγεί πολλούς να πιστεύουν ότι η δημιουργός του σκουληκιού έχει καταβληθεί. Τα πρώτα χρόνια, πολλές επιχειρήσεις παροχής υπηρεσιών ασφαλείας εξέφρασαν την πεποίθησή τους ότι ο ιός προήλθε από έναν προγραμματιστή στη Ρωσία.Η πραγματική συγγραφέας του σκουληκιού είναι άγνωστη.Κερδοσκοπικές επιχειρήσεις έκριναν ότι ο μοναδικός σκοπός του σκουληκιού ήταν να διαπράξει μια distributed denial-of-service attack εναντίον του SCO Group. .Μια πλημμύρα κυκλοφορίας των μολυσμένων ιών παρατηρήθηκε στο www.sco.com.Η αρχική ανάλυση του Mydoom έδειξε ότι ήταν μια παραλλαγή του Mimail ιού,εξ ου και το εναλλακτικό όνομα Mimail.R ,προτρέποντας εικασίες ότι τα ίδια πρόσωπα ήταν υπεύθυνα και για τα δύο σκουλήκια.Αργότερα αναλύσεις ήταν λιγότερο πειστικές ως προς τη σχέση μεταξύ των δύο σκουληκιών.Το Mydoom μεταδίδεται κυρίως μέσω e-mail , και εμφανίζεται ως ένα σφάλμα μετάδοσης, με θέμα τις γραμμές συμπεριλαμβανομένης της "Error", "Mail Delivery System", "Test" or "Mail Transaction Failed" σε διάφορες γλώσσες, συμπεριλαμβανομένων Αγγλικά και Γαλλικά. Το μήνυμα περιέχει ένα συνημμένο που, αν εκτελεστεί , στέλνει το σκουλήκι στις e-mail διευθύνσεις που βρέθηκαν σε τοπικά αρχεία, όπως το βιβλίο διευθύνσεων του χρήστη.Αντιγράφει επίσης, τον εαυτό του στο "κοινόχρηστο φάκελο" του peer-to-peer file-sharing εφαρμογή KaZaA , σε μια προσπάθεια να εξαπλωθεί με αυτόν τον τρόπο.Ο ιός αυτός επίσης αποφεύγει να στοχεύει διευθύνσεις ηλεκτρονικού ταχυδρομείου σε ορισμένα πανεπιστήμια, όπως το Rutgers , το MIT , το Stanford και UC Berkeley , καθώς και ορισμένες εταιρείες, όπως η Microsoft και η Symantec . Μερικές από τις πρώτες αναφορές υποστήριξαν ότι το σκουλήκι αποφεύγει και όλες τις edu διευθύνσεις.
Τrojan Backdoor.Wirenet.1
επεξεργασίαΙδιαιτερότητες: Είναι ο πρώτος ιός(Τrojan) του είδους που είναι ικανός να μολύνει ταυτόχρονα δύο συστήματα.(Linux και Mac OS X) Τρόποι δράσης: Εγκαθιστά keylogger και υποκλέπτει κωδικούς από browsers και γνωστά προγράμματα,Με την εγκατάσταση του στο σύστημα των θυμάτων του, ξεκινά την επικοινωνία με τον κεντρικό server και δημιουργεί ένα αντίγραφο στον κεντρικό κατάλογο του χρήστη.Στη συνέχεια, ξεκινά να υποκλέπτει αποθηκευμένους κωδικούς από browsers όπως ο Opera,ο Firefox, ο Chrome αλλά και από δημοφιλείς εφαρμογές όπως το Thunderbird και το Seamonkey. Παράλληλα με την αναζήτηση για κωδικούς στο cache της κάθε εφαρμογής, ενεργοποιεί έναν keylogger ο οποίος καταγράφει οτιδήποτε πληκτρολογεί ο χρήστης και το στέλνει πίσω στο server.
Τρόποι αντιμετώπισης: Ένας τρόπος να προστατευτούν οι χρήστες είναι να μπλοκάρουν την επικοινωνία του υπολογιστή τους με την διεύθυνση IP του server του ιού, η οποία είναι η 212.7.208.65.3. Μπορείτε ακόμα, να χρησιμοποιήσετε και κάποιο Firewall από αυτά που υπάρχουν στους διαχειριστές πακέτων των διανομών σας (Κέντρο Λογισμικού, Synaptic, Yum, Yast), μπλοκάροντας την παραπάνω διεύθυνση. O νέος ιός φαίνεται πως ανήκει σε μια νέα γενιά ιών, οι κατασκευαστές των οποίων στοχεύουν λειτουργικά συστήματα με μικρότερη βάση χρηστών τα οποία θεωρούνται και πιο ασφαλή.
Τον Backdoor.Wirenet.1 ανακάλυψε πρώτη η ρωσική εταιρεία antivirus Doctor Web.Μάλιστα είναι από τους λίγους ιούς που μπορούν να προσβάλλουν το Linux, ένα λειτουργικό που συγκριτικά με τα Windows είναι αρκετά πιο ασφαλές αλλά όχι άτρωτο, όπως λανθασμένα πιστεύουν κάποιοι χρήστες του.
Worm Kuluoz.A
επεξεργασίαΤα PandaLabs, τα anti-malware εργαστήρια της Panda Security, εντόπισαν μια καινούργια καμπάνια απάτης που μπορεί να θέσει σε κίνδυνο την ασφάλεια των χρηστών.
Αυτό το νέο e-mail απάτης, το οποίο εμφανίστηκε ακριβώς στην έναρξη της αγοραστικής περιόδου των Χριστουγέννων, περιλαμβάνει ένα ψεύτικο μήνυμα παράδοσης της FedEx με στόχο να εξαπατήσει τους χρήστες και να τους οδηγήσει να κατεβάσουν το worm Kuluoz.A και ένα πλαστό antivirus πρόγραμμα που ονομάζεται System Progressive Protection.Ο τεχνικός διευθυντής της εταιρίας ανέφερε ότι οι καταναλωτές την περίοδο των Χριστουγέννων αναζητούν τα δώρα τους συχνά και στο internet. Αυτό το γνωρίζουν οι κυβερνοαπατεώνες και εκμεταλλεύονται την περίοδο αυτή για να διαδώσουν κακόβουλα email με σκοπό να εξαπατήσουν τους χρήστες και να αποσπάσουν τα χρήματά τους.Το μήνυμα περιέχει ένα σύνδεσμο που προτρέπει τον χρήστη να κατεβάσει μια απόδειξη και να παραλάβει το δέμα που υποτίθεται ότι του έχει αποσταλεί. Ωστόσο, εάν ο χρήστης κάνει κλικ στο σύνδεσμο, οδηγείται σε μια ιστοσελίδα που κατεβάζει ένα αρχείο .zip με το όνομα Postal Receipt. Αυτό το αρχείο περιέχει ένα εκτελέσιμο αρχείο με ένα εικονίδιο του Word που κατεβάζει μια παραλλαγή του worm Kuluoz.A, το οποίο με τη σειρά του προσπαθεί να συνδεθεί με έναν απομακρυσμένο server, προκειμένου να λάβει εντολές από τους κυβερνοαπατεώνες και να εκτελέσει διάφορες κακόβουλες ενέργειες στον εκτεθειμένο υπολογιστή, συμπεριλαμβανομένων και των λειτουργικών αρχείων.Μόλις ο χρήστης τo τρέξει, το worm ανοίγει το notepad, εμφανίζοντας μια κενή σελίδα για να κάνει τους χρήστες να πιστέψουν ότι εκτελούν ένα νόμιμο αρχείο. Επιπλέον, αυτό κατεβάζει ένα πλαστό antivirus πρόγραμμα που ονομάζεται “System Progressive Protection”, το οποίο προσομοιώνει μια σάρωση του υπολογιστή. Η σάρωση αναφέρει μια σειρά από μολύνσεις και προτρέπει το χρήστη να αγοράσει το antivirus για να τις αφαιρέσει. Ωστόσο, αυτό είναι απάτη με σκοπό να αποσπάει τα χρήματα των θυμάτων, καθώς οι μολύνσεις δεν είναι πραγματικές και το ‘λογισμικό προστασίας’ είναι ψεύτικο.
Concept
επεξεργασίαΟ ιός Concept είναι ο πρώτος ιός μακροεντολών που εμφανίστηκε το 1995 γραμμένος στο Word Basic για το Microsoft Word. Αυτός ο ιός μολύνει τα έγγραφα του Word, τα πρότυπα και το αρχείο Normal.dot του Word 6 και το Word για Windows 95. Δεν περιορίζεται σε ένα συγκεκριμένο σύστημα υπολογιστή, αλλά είναι ανεξάρτητος του συστήματος. Λειτουργεί σε ένα IBM PC ή Macintosh όσο κάποιος χρησιμοποιεί το Microsoft Word. Η μακροεντολή αντιγράφει τον ιό στο κύριο πρότυπο για το σύστημα και κάθε έγγραφο του Microsoft Word που διέρχεται από το "Πρόγραμμα επεξεργασίας κειμένου" έτσι ώστε μετά από αυτό να φέρει μαζί ένα μολυσμένο πρότυπο. Για αρκετό διάστημα έτρεχε ένα κομμάτι του κώδικα δημιουργώντας λοίμωξη από τον ιό , ενώ πλέον γίνεται με τη φόρτωση ενός εγγράφου. Ένας τρόπος για να ελεγχθεί αυτός ο ιό στο σύστημά είναι :
- Η εκκίνηση του Microsoft Word στο σύστημα.
- Η επιλογή "Μακροεντολών" από το μενού "Εργαλεία".
- Ο έλεγχος αν ισχύουν οι μακροεντολές AAAZFS, AAAZAO, AutoOpen, Payload , FileSaveAs
- Εφόσον οι παραπάνω μακροεντολές υπάρχουν, έχει μολυνθεί το σύστημα.
Μια πιθανή προσωρινή λύση είναι η αντιγραφή του αρχείου κύριου πρότυπου, Normal.dot, σε ένα αρχείο αντιγράφου ασφαλείας που ονομάζεται κάτι άλλο και στη συνέχεια δημιουργία ενός AUTOEXEC.BAT για αντιγραφή του συνηθισμένου. Από την αρχική έκδοση και την ανακάλυψη του ιού Concept, ο αριθμός των ιών μακροεντολών έχει αυξηθεί εκρηκτικά. Οι χρήστες του Microsoft Word δεν είναι τα μόνα θύματα.AmiPro και Excel έχουν γίνει επίσης στόχος. Το Κέντρο Δοκιμών του ιού στο Πανεπιστήμιο του Αμβούργου σχεδιάζει να διατηρήσει έναν ενημερωμένο κατάλογο των εν λόγω ιών μακροεντολών.Η αναγνώριση των μολυσμένων εγγράφων γίνεται εύκολα αρκεί να ανοίξει κάποιος το έγγραφο στο Microsoft Word. Την πρώτη φορά που θα ανοιχθεί ένα έγγραφο που περιέχει τον ιό μακροεντολών Concept, θα φανεί ένα παράθυρο διαλόγου που περιέχει μόνο τον αριθμό "1" και ένα κουμπί "OK". Αυτό μας δείχνει ότι έχει μολυνθεί το σύστημα και ο ιός Concept θα αποδώσει τις μακροεντολές σε όλα τα έγγραφα που ανοίχτηκαν. Πριν από την αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου με το Microsoft Word, θα πρέπει να ελέγχει κάθε έγγραφο για μακροεντολές που ενδέχεται να έχουν μολυνθεί πριν από την αποστολή.
Sobig
επεξεργασίαΟ sobig είναι ένας από τους ιούς σκουλήκια (Worms) που έχουν την ικανότητα αναπαραγωγής χωρίς να χρησιμοποιούν άλλα αρχεία. Ο τρόπος διάδοσης τους είναι το διαδίκτυο με τη βοήθεια των δικτυακών πρωτοκόλλων, εκμεταλλευόμενοι τα προβλήματα ασφαλείας των λειτουργικών συστημάτων ή με τη βοήθεια των μηνυμάτων του ηλεκτρονικού ταχυδρομείου.
Οι ιοί σκουλήκια αποκτούν προσπέλαση στο βιβλίο διευθύνσεων του υπολογιστή (όπου κρατούνται οι διευθύνσεις ηλεκτρονικού ταχυδρομείου με τις οποίες επικοινωνεί ο χρήστης του υπολογιστή) και αποστέλλει μολυσμένα μηνύματα. Αρκετές φορές χρησιμοποιούν σαν αποστολέα ένα όνομα από το βιβλίο διευθύνσεων. Όσοι παραλήπτες ανοίξουν το ηλεκτρονικό μήνυμα μολύνονται. Η διάδοση των ιών worm με αυτή τη μέθοδο είναι αστραπιαία.Μια εβδομάδα αργότερα μετά την 11η Αυγούστου 2003 που έγινε η έκρηξη του Blaster, ενός ακόμη ιού Worm και είχαν μολυνθεί συνολικά 33.7000 υπολογιστές, έκανε την εμφάνιση του ο ιός Sobig. Ο ιός αυτός μεταδιδόταν μέσω ηλεκτρονικού ταχυδρομείου και επιβάρυνε τα συστήματα ηλεκτρονικής αλληλογραφίας. O Sobig ήταν πολυμορφικός ιός. Όταν οι χρήστες άνοιγαν το μολυσμένο μήνυμα ο κώδικας του ιού ξεκινούσε την αναπαραγωγή του. Έβρισκε τις διευθύνσεις αλληλογραφίας του χρήστη και έστελνε μολυσμένα μηνύματα. Οι μολυσμένοι υπολογιστές θα επιχειρούσαν να συνδεθούν στο διαδίκτυο και Παρασκευή και Κυριακή από τις 0:00 έως τις 3:00. Τότε επικοινωνούσαν με 20 διακομιστές και θα κατέβαζαν επιπλέον λογισμικό.
Η εξάπλωση του ιού ήταν τεράστια. Οι διακομιστές αλληλογραφίας κατακλύστηκαν από μηνύματα που μετέφεραν τον ιό. Η America On Line (παροχέας διαδικτύου στις ΗΠΑ) έλαβε σε μία μέρα 31 εκατομμύρια μηνύματα (τρεις φορές περισσότερα από το κανονικό). Τα 11,5 εκατομμύρια ήταν μολυσμένα μηνύματα με τον Sobig. Μέσα σε μία εβδομάδα στάλθηκαν 200 εκατομμύρια μολυσμένα μηνύματα. Η όλη δραστηριότητα του ιού σταμάτησε στις 10 Σεπτεμβρίου καθώς έτσι είχε προγραμματιστεί ο ιός.
Jerusalem
επεξεργασίαΟ ιός Jerusalem εντοπίστηκε στα τέλη του 1987, είναι από τους πρώτους MS-DOS ιούς στην ιστορία που προκάλεσε τεράστιες καταστροφές σύμφωνα με τα δεδομένα εκείνης της περιόδου. Είχε επηρεάσει πολλές χώρες, πολλά πανεπιστήμια καθώς και πολλές εταιρίες σε όλο τον κόσμο. Στις αρχές 1988 ο ιός υπολογιστών κατάφερε να μολύνει έναν αριθμό ιδρυμάτων στην Ευρώπη, την Αμερική και την Μέση Ανατολή. Το συγκεκριμένο όνομα δόθηκε στον ιό αυτό, επειδή το Πανεπιστήμιο της Ιερουσαλήμ ήταν από τα πρώτα του θύματα καθώς και ανιχνεύθηκε στην συγκεκριμένη πόλη.
Η μόλυνση από τον ιό καθίσταται ως Terminate and Stay Resident της μνήμης του υπολογιστή χρησιμοποιώντας από αυτή 2KB. Σκοπός αυτής της ιδιότητας είναι η μόλυνση κάθε εκτελέσιμου αρχείου. Μεγάλη επιρροή είχε ιδιαίτερα σε αρχεία τύπου .COM και .ΕΧΕ. Τα μολυσμένα αρχεία κάθε φορά που εκτελούνταν μεγάλωνε και το μέγεθος που καταλάμβαναν στην μνήμη. Αυτό είχε σαν αποτέλεσμα κάποια στιγμή που το μέγεθος γινόταν τόσο μεγάλο τα αρχεία να μην τρέχουν από την στιγμή που εκτελούνταν.
Ο κώδικας του ιού αποσκοπούσε στη διακοπή επεξεργασίας και άλλες χαμηλού επιπέδου DOS υπηρεσίες. Για παράδειγμα ο συγκεκριμένος κώδικας είχε την δυνατότητα να καταστείλει την εκτύπωση των μηνυμάτων κονσόλας εάν, για παράδειγμα, ο ιός δεν μπορούσε να μολύνει σε μια διάταξη αποκλειστικής-ανάγνωσης όπως μιας δισκέτας. Τα συμπτώματα περιλαμβάνουν επίσης αυθόρμητη αποσύνδεση των θέσεων εργασίας από τα δίκτυα καθώς και τη δημιουργία μεγάλων ουρών εκτύπωσης αρχείων.
Οι Jerusalem ήταν πολύ συχνές, και βγήκε ένας μεγάλος αριθμός παραλλαγών. Ωστόσο, μετά την έλευση των Windows, αυτές οι διακοπές DOS δεν κράτησαν για πολύ, έτσι ο Jerusalem και οι παραλλαγές του έχουν καταστεί άνευ αντικειμένου.
XSS σκουλήκι
επεξεργασίαΈνα xss σκουλήκι είναι ένα κακόβουλο λογισμικό που γράφεται συνήθως σε javascript, το οποίο παραβιάζει την ασφάλεια μηχανών αναζήτησης και διαδίδεται μεταξύ των επισκεπτών αυτού του ιστοχώρου και παραμένει εκεί προσπαθώντας να μολύνει όσο περισσότερους επισκέπτες μπορεί.Το σκουλήκι αυτό έχει πρωτοεμφανισθεί στο hotmail.Τα xss σκουλήκια εκμεταλλεύονται μια αδυναμία στην ασφάλεια γνωστή ως xss μέσα σε έναν ιστόχωρο μολύνοντας τους χρήστες με ποικίλους τρόπους και ανάλογα την ευπάθεια του κάθε χρήστη.Τέτοια χαρακτηριστικά γνωρίσματα ιστοχώρων όπως ιδιωτικά προφίλ και συστήματα συνομιλίας(chat) μπορούν να επηρεαστούν από τα xss σκουλήκια όταν εφαρμόζονται εσφαλμένα η αδιαφορώντας για την ασφάλεια.Συχνά τα xss σκουλήκια εμφανίζονται στους δημοφιλής κοινωνικούς ιστοχώρους όπως myspace,facebook,twitter.Αυτά τα σκουλήκια μπορούν να χρησιμοποιηθούν για την κακόβουλη πρόθεση που έχει κάποιος για να κλέψει την προσωπική πληροφορία που παρέχει στον ιστόχωρο ο χρήστης όπως οι κωδικοί πρόσβασης η οι αριθμοί πιστωτικής κάρτας.Αυτός ο ιός είναι σημαντικός σε σχέση με εκατομμύρια άλλους γιατί έχει την ικανότητα να μεταδίδεται αυτόματα κάνοντας χρήση της ήδη υπάρχουσας δικτυακής υποδομής όπως(τοπικά δίκτυα).Σε αντίθεση με τους παραδοσιακούς ιούς που απαιτούν την ανθρώπινη συμμετοχή για τη μετάδοσή τους πχ.(email,αντιγραφή του ιού σε έναν φάκελο από το δίκτυο).
Koobface
επεξεργασίαΤο Koobface είναι ένας από τους πιο διαδεδομένους ιούς τύπου worm, που στοχεύει σε λογαριασμούς που διατηρούν οι χρήστες των ιστοτόπων κοινωνικής δικτύωσης και γίνεται ολοένα και πιο επιθετικός. Το όνομά του είναι αναγραμματισμός του Facebook και εκτός από αυτή την υπηρεσία προσβάλλει επίσης τους χρήστες των MySpace, hi5, Bedo, και Twitter.
Ο συγκεκριμένος ιός εξαπλώνεται μέσω Facebook, στέλνοντας προσωπικά μηνύματα σε χρήστες, καλώντας τους να παρακολουθήσουν ένα video με πρωταγωνιστές τους ίδιους, χρησιμοποιώντας διάφορες προτροπές όπως "Φαίνεσαι αστείος σε αυτό το νέο video". Έτσι αν ο χρήστης ακολουθήσει το σχετικό link, μεταφέρεται στη σελίδα με το υποτιθέμενο video, όπου του ζητείται να κατεβάσει την τελευταία έκδοση του Adobe Flash Player. Εννοείται πως ο σύνδεσμος δεν οδηγεί στην ιστοσελίδα της Adobe, αλλά εγκαθιστά τον ιό(malwave) στον υπολογιστή. Στην συνέχεια βέβαια το μήνυμα στέλνεται και σε όλους τους χρήστες που είναι "φίλοι" με τον μολυσμένο χρήστη. To Koobface έχει ως συγκεκριμένο στόχο την υποκλοπή των προσωπικών στοιχείων των χρηστών (αριθμοί πιστωτικών καρτών κ.λ.π.). Καταγράφει τις ενέργειες που γίνονται μέσω του πληκτρολογίου περιμένοντας την εισαγωγή των κωδικών ενώ μπορεί να ψάξει και στο σκληρό δίσκο για τα σχετικά cookies.
Αν και οι περισσότεροι χρήστες δύσκολα γίνονται θύματα μιας τέτοιας απάτης, το γεγονός ότι το Facebook έχει πάνω από 120 εκατομμύρια χρήστες, σημαίνει ότι ακόμη και από ένα μικρό ποσοστό θυμάτων γίνεται να αντλήσουν πολλές πληροφορίες.Για το λόγο αυτό, όπως πάντα άλλωστε, ένα καλά ενημερωμένο antivirus και λίγη κοινή λογική αρκούν για να προστατεύσουν το χρήστη από την απειλή του worm.
Ping Pong
επεξεργασίαΟ Ping-Pong ιός ονομάζεται επίσης και Boot, Bouncing Ball, Bouncing Dot, Italian, Ιtalian-A ή VeraCruz, ο οποίος είναι ένας boot sector ιός.Ανακαλύφθηκε τον Μάρτιο του 1998 στο πανεπιστήμιο Turin στην Ιταλία. Ήτανε ο ποιο κοινός και γνωστός boot sector ιός. μέχρι που προσπεράστηκε από τον ιό Stoned.Οι υπολογιστές μπορούσαν να μολυνθούν από μια μολυσμένη δισκέτα, η οποία έδειχνε 1 KB bad cluster στην ανάλυση των περισσότερων προγραμμάτων. Επειδή αναγνωριζόταν ως bad cluster, το MS-DOS δεν ξανάγραφε επάνω του. Ο ιός μολύνει κάθε σκληρό δίσκο του μηχανήματος, ακόμη και partitions που δεν έχουνε γίνει boot. Ο ιός. <<κατοικεί>> στην μνήμη RAM του μηχανήματος.Ο ιός γινόταν ενεργός μόνο όταν ο χρήστης άνοιγε την δισκέτα μισή ώρα αργότερα από την εισαγωγή της. Στην ενεργοποίηση του φαινότανε μία μικρή bouncing μπάλα σε text και graphical mode. Ο ιός δεν προκαλούσε σημαντική ζημιά στα μηχανήματα '286, V20, '386, '486, το μόνο που γινότανε ήτανε να συμβεί απροσδόκητος τερματισμός. Η αιτία του απροσδόκητου τερματισμού είναι η «MOV CS, AX" εντολή, που υπάρχει μόνο για '88 και '86 επεξεργαστές. Για το λόγο αυτό, οι χρήστες των υπολογιστών που ήτανε σε κίνδυνο έπρεπε να αποθηκεύσουν την εργασία τους και να κάνουνε επανεκκίνηση ώστε να απαλλαγούν προσωρινά από τον ιό.Ο αρχικός ιός Ping Pong (Ping-Pong.A) μόλυνε μόνο δισκέτες. Αργότερα παραλλαγές αυτού του ιού, όπως ο Ping-Pong.B και Ping-Pong.C μπορούνε να μολύνουν τον boot sector του σκληρού δίσκου. Αν ο ιός είναι ενεργός, δεν μπορεί ο χρήστης να αντικαταστήσει τον boot sector-είτε αυτό αποτρέπει την εγγραφή σε αυτόν ή αμέσως τον μολύνει εκ νέου.Ο Ping-Pong.A έχει εξαφανιστεί σήμερα.
Vienna
επεξεργασίαΟ ιός Vienna έκανε την εμφάνιση του το 1987. Ο ιός Vienna ήτανε ο πρώτος ιός που επηρέασε την πλατφόρμα της IBM. Όταν ένα αρχείο το οποίο έχει μολυνθεί από τον ιό, εκτελείται από τον χρήστη, τότε ψάχνει όλα τα .com αρχεία μέσα στο σύστημα και τα μολύνει. Τα δευτερόλεπτα στο timestamp του μολυσμένου αρχείου θα είναι "62".Η τιμή "62" είναι αδύνατη, όποτε καθιστά πολύ εύκολη την εύρεση του μολυσμένου αρχείου.1 στα 6 ή στα 8 αρχεία τα οποία μολύνονται από τον ιό Vienna καταστρέφονται. όταν ο ιός προσπαθεί να τα μολύνει με την αντικατάσταση των πρώτων 5 bytes με το ακόλουθο αλφαριθμητικό "EAF0FF00F0" . Όταν αρχεία που έχουν καταστραφεί από τον ιό Vienna εκτελούνται, τότε εμφανίζεται ένα μήνυμα για να γίνει επανεκκίνηση του συστήματος. Ο δημιουργός του υιού Vienna δεν βρέθηκε ποτέ, αλλά μερικές πηγές υποστηρίζουν ότι ο υιός δημιουργήθηκε από έναν μαθητή λυκείου σαν πείραμα.Ο υιός Vienna ανακαλύφθηκε από τον Franz Swoboda. Μερικές πληροφορίες που διέρρευσαν υποστηρίζουν ότι ο Franz Swoboda έλαβε τον υιό από τον Ranf Burger. Αλλά ο Ralf Burger υποστήριξε ότι δεν μόλυνε εκείνος το σύστημα του Swoboda, αλλά ότι ο Franz Swoboda μόλυνε το δικό του (Ranf Burger) σύστημα.Ο Ralf Burger τροποποίησε τον υιό έτσι ώστε να παγώνει το σύστημα αντί να το κάνει επανεκκίνηση.
Happy99
επεξεργασίαΟ happy99 (γνωστός και με τα ονόματα ska ή και I-worm) είναι ένας ιός τύπου worm ο οποίος μολύνει το λειτουργικό windows. Η πρώτη του εμφάνιση ήταν στα μέσα Ιανουαρίου του 1999, και η διάδοση του έγινε μέσω email και του UseNet. Ο ιός εγκαθιδρυόταν και έτρεχε στο παρασκήνιο του υπολογιστή του θύματος χωρίς ο ίδιος να το γνώριζε. Θεωρείτε ως ο πρώτος ιός ο οποίος μπορούσε να μεταδοθεί μέσω ηλεκτρονικού ταχυδρομείου και ήταν πρότυπο για άλλους ιούς που μετέδιδαν τον εαυτό τους. Ο happy99 διαδόθηκε σε πολλές ηπείρους, την Αμερική την Ευρώπη και την Ασία. Ποιο συγκεκριμένα ο ιός εμφανίστηκε για πρώτη φορά στις 20 Ιανουαρίου του 1999. Τα πρώτα κρούσματα του ιού άρχισαν να έρχονται από τις Ηνωμένες Πολιτείες και την Ευρώπη, κάτι που φάνηκε από τις πολυάριθμες καταγγελίες στις ομάδες συζητήσεων από τους χρήστες που είχαν μολυνθεί με τον ιό. Η Asia Pulse ανέφερε 74 περιπτώσεις όπου ο ιός είχε μολύνει υπολογιστές στην Ιαπωνία τον Φεβρουάριο του 1999 και 181 περιπτώσεις αναφέρθηκαν τον Μάρτιο οι οποίες ήταν ρεκόρ για την διάρκεια ενός μήνα για εκείνη την εποχή. Στις 3 Μαρτίου του 1999, μια εταιρεία ανεύρεσης εργασίας στο Τόκιο έστειλε κατά λάθος 4.000 αντίτυπα του ιού σε 30 πανεπιστήμια στην Ιαπωνία. Ο Dan Schrader της Trend Micro, δήλωσε ότι ο Happy99 ήταν ο πιο συχνά αναφερόμενος ιός στο σύστημά τους το μήνα Μάρτιο. Ένα δελτίο ιών που δημοσιεύθηκε τον Φεβρουάριο του 2000 ανέφερε ότι ο Happy99 κατείχε το 16% των αναφορών για κακόβουλα λογισμικά τον Απρίλιο του 1999.Η εταιρία αντικών Sophos κατέταξε τον Happy99 μεταξύ των κορυφαίων δέκα ιών που αναφέρθηκαν το έτος 1999. Μέχρι ο ερευνητής ιών Craig Schmugar να δημοσιεύσει ένα τρόπο αντιμετώπισης του ιού στην σελίδα του τον είχαν κατεβάσει 1.000.000 άνθρωποι. Ο ιός μεταδίδονταν μέσω του ηλεκτρονικού ταχυδρομείου και των συνημμένων του usenet. Όταν εκτελούνταν, εμφανίζονταν κινούμενα πυροτεχνήματα και ένα μήνυμα "Ευτυχισμένο το Νέο Έτος". Ο ιός τροποποιούσε μια βιβλιοθήκη επικοινωνίας των Windows με το όνομα Winsock ώστε να κλωνοποιήσει τον εαυτό του και να εξαπλωθεί. Ο ιός περιέκλειε τον εαυτό του σαν συνημμένο στα επόμενα μηνύματα ηλεκτρονικού ταχυδρομείου και σε όλα τα μηνύματα των ομάδων συζήτησης που αποστέλλονταν από έναν χρήστη. Ο ιός τροποποιούσε ένα κλειδί μητρώου και ξεκινούσε αυτόματα όταν ο υπολογιστής έκανε επανεκκίνηση. Σε ορισμένες περιπτώσεις, ο ιός μπορούσε να εμφανίσει πολλά μηνύματα λάθους με δυσμενή για τον χρήστη αποτελέσματα. Ο ιός γράφτηκε από έναν Γάλλο προγραμματιστή ιών γνωστό ως "Spanska". Πέρα από τον πολλαπλασιασμό τον ίδιο, ο ιός δεν έκανε καμία περαιτέρω ζημιά σε ένα μολυσμένο σύστημα. Συνήθως χρησιμοποιούσε την θύρα 25 για να εξαπλωθεί, αλλά χρησιμοποιούσε τη θύρα 119, αν η θύρα 25 δεν είναι διαθέσιμη. Το μέγεθος του εκτελέσιμου αρχείου του ιού ήταν 10000bytes. Μια λίστα με ανεπιθύμητα μηνύματα ομάδων συζήτησης και διευθύνσεις email αποθηκευόταν στο μολυσμένο σκληρό από τον ιο. Ο ιός εξαπλωνόταν μόνο αν η βιβλιοθήκη Winsock δεν είχε οριστεί μόνο σε κατάσταση ανάγνωσης.
Παραπομπές:[20]
Delf. QMF trojan
επεξεργασίαO Delf. QMF trojan είναι ένας ιός που δημιουργεί τους TrojanProxy.Agent.NIB trojan,TrojanProxy.Agent.NIL Trojan και RootKiK.FW trojan, και ο οποίος στα τελικά του στάδια παίρνει τον έλεγχο του υπολογιστή, μία από τις μορφές του οποίου δεν επιτρέπει στο χρήστη να έχει πρόσβαση στο λειτουργικό σύστημα. Εμφανίζεται μήνυμα, το οποίο ενημερώνει το χρήστη πως για την απεμπλοκή απαιτείται η πληρωμή αντιτίμου των 50 ευρώ μέσω προπληρωμένης κάρτας (Paysafe card), προκειμένου να επανέλθει ο υπολογιστής στην κανονική του λειτουργία, το οποίο πρόστιμο φαίνεται παραπλανητικά να ζητάει το Τμήμα Δίωξης Ηλεκτρονικού Εγκλήματος της Αστυνομίας. Όπως προέκυψε από την αστυνομική έρευνα, το κακόβουλο λογισμικό φιλοξενείται σε ιστοσελίδες του διαδικτύου, στις οποίες οι χρήστες έχουν τη δυνατότητα να κατεβάζουν ψηφιακά αρχεία με οπτικοακουστικό υλικό (τραγούδια, ταινίες) και προσβάλει υπολογιστές με λειτουργικό σύστημα Windows. Συγκεκριμένα, κατά τη διαδικασία «φόρτωσης» της ιστοσελίδας, εμφανίζεται αυτόματα στην οθόνη του υπολογιστή μήνυμα, το οποίο ενημερώνει το χρήστη ότι έχουν εντοπιστεί παράνομα μουσικά αρχεία και για το λόγο αυτό ο υπολογιστής του έχει πλέον μπλοκαριστεί από την Ελληνική Αστυνομία. Στην περίπτωση που ο χρήστης συμπληρώσει τον αριθμό της προπληρωμένης κάρτας, αυτός αποστέλλεται σε συγκεκριμένη ηλεκτρονική διεύθυνση και αποθηκεύεται σε βάση δεδομένων που έχει δημιουργηθεί, παρέχοντας πλέον πρόσβαση στα συγκεκριμένα στοιχεία από άλλα άτομα.
Trojan BackDoor.Flashback
επεξεργασίαΟ Trojan BackDoor.Flashback αναφερόμενος συνήθως ως Flashback Trojan, είναι ένας Δούρειος Ίππος ο οποίος μολύνει προσωπικούς υπολογιστές που έχουν ως λειτουργικό σύστημα Mac OS X.H πρώτη παραλλαγή του Flashback ανακαλύφθηκε από την εταιρεία Intego που ειδικεύεται στην αντιμετώπιση ιών ,τον Σεπτέμβριο του 2011.
Ο Δούρειος ίππος εκμεταλλεύεται μια αστοχία λογισμικού της Java πάνω σε Mac OS X λειτουργικά συστήματα.Το σύστημα μολύνεται όταν ο χρήστης ανακατευθύνετε σε ψεύτικη ιστοσελίδα όπου κώδικας JavaScript κάνει ένα applet το οποίο περιέχει “τρύπα” ασφαλείας να φορτώσει.Ένα εκτελέσιμο αρχείο αποθηκεύεται στο τοπικό μηχάνημα, όπου έτσι επιτυγχάνεται να κατέβει από το διαδίκτυο αλλά και να εκτελεστεί κακόβουλος κώδικας από μια απομακρυσμένη τοποθεσία. Ο malware επίσης αλλάζει μεταξύ διαφόρων εξυπηρετητών για βελτιστοποιημένη εξισορρόπηση του φόρτου εργασίας. Κάθε bot έχει μοναδικό ID που στέλνεται στον εξυπηρετητή διαχείρισης.Ο Δούρειος Ίππος θα μολύνει μόνο τον χρήστη που επισκέφθηκε την μολυσμένη σελίδα, έτσι οι υπόλοιποι χρήστες στον υπολογιστή δεν θα επηρεαστούν εκτός και αν έχουν μολυνθεί ξεχωριστά. Αυτό οφείλεται στην ασφάλεια συστημάτων του UNIX.
Σύμφωνα με την Ρωσική εταιρεία αντιμετώπισης ιών Dr.Web , μια τροποποιημένη έκδοση του "BackDoor.Flashback.39" παραλλαγή του Flashback Trojan κατάφερε να μολύνει πάνω από 600,000 Mac υπολογιστές, δημιουργώντας ένα Botnet το οποίο περιέχει 274 bot με τοποθεσία την πόλη Cupertino,California όπου και βρίσκονται τα κεντρικά γραφεία της Apple Inc.Τα ευρήματα επαληθεύτηκαν την επόμενα μέρα από μια άλλη εταιρία που ειδικεύεται στην ασφάλεια υπολογιστών την Kaspersky Lab. Η παραλλαγή αυτού του malware εντοπίστηκε πρώτα τον Απρίλιο του 2012 από την Φιλανδική εταιρεία F-Secure. H Dr.Web εκτίμησε οτι στις αρχές Απριλίου του 2012 , 56,6% από τους μολυσμένους υπολογιστές ήταν στις Η.Π.Α, 12,8% στον Καναδά , 12,8% στο Ηνωμένο Βασίλειο και 6,1% στην Αυστραλία.
Η Oracle, η εταιρεία που αναπτύσσει την Java , διόρθωσε το κενό ασφαλείας στις 14 Φεβρουαρίου του 2012.Η Apple διατηρεί την έκδοση Java που έχει στο Mac OS X και δεν κυκλοφορεί την ενημέρωση της Oracle μέχρι τις 3 Απριλίου όπου οι μολυσμένοι υπολογιστές Mac φτάνουν τους 600,000.Στις 12 Απριλίου η εταιρεία κυκλοφορεί και άλλη ενημέρωση για να αφαιρεθούν οι πιο κοινές παραλλαγές του Flashback.Αυτή η ενημέρωση κυκλοφόρησε μόνο για τις εκδόσεις Mac OS X Leopard και Mac OS X Snow Leopard.
Brain
επεξεργασίαΟ Brain ήταν το βιομηχανικό πρότυπο για έναν ιό υπολογιστή που κυκλοφόρησε στην πρώτη του μορφή τον Ιανουάριο του 1986 και θεωρείται ότι είναι ο πρώτος ιός υπολογιστών για MS-DOS. Μολύνει τον boot sector του δίσκου και έτσι είναι αδύνατων να ξεκινήσει το λειτουργικό. Τον Brain έγραψαν δυο αδέρφια, ο Basit και ο Amjad Aarooq Alvi. O ιός αντικαθιστούσε τον boot sector του λειτουργικού συστήματος με ένα αντίγραφο του και μετακινούσε τον πραγματικό σε ένα άλλο κομμάτι του δίσκου το οποίο μαρκάριζε ως κατεστραμμένο. Άλλαζε την ετικέτα της δισκέτα με τον όνομα του και εμφάνιζε το εξής μήνυμα κατά την εκκίνηση του συστήματος "Welcome to the Dungeon (c) 1986 Brain & Amjads (pvt) Ltd VIRUS_SHOE RECORD V9.0 Dedicated to the dynamic memories of millions of viruses who are no longer with us today - Thanks GOODNESS!! BEWARE OF THE er..VIRUS : this program is catching program follows after these messages....$#@%$@!!" Σε συνέντευξη που έδωσαν τα δύο αδέρφια στο περιοδικό TIME είπαν ότι ξεκίνησαν το project Brain και να μπορέσουν να προστατέψουν τα λογισμικά για φαρμακευτικές εταιρίες που κατασκεύαζαν από το να τα κλέψουν και είχε ως στόχο να χτυπήσει μόνο τους κλέφτες.
Midnight Massacre virus
επεξεργασίαΟ Midnight Massacre είναι ένας ιός που προέκυψε/βασίστηκε σε έκδοση του ιού "Eleet!", αλλά με επιπλέον προσθήκες για υποστήριξη αρχείων .COM (αρχεία εντολών DOS).
Αυτή η έκδοση διόρθωσε πολλά προβλήματα στον τρόπο με τον οποίο ο Eleet! μόλυνε αρχεία και εκτελέσιμα καθώς και επιπλέον κανόνες για να την ενεργοποίηση του.
Ο ιός Midnight Massacre μόλυνε τα αρχεία τύπου .COM είτε .EXE όταν κάποιο operation γινόταν σε αυτά (προσπέλαση, άνοιγμα, γράψιμο, αλλαγή attributes).
Το πιο ενδιαφέρον σημείο αυτού του ιού και το κυριότερο ίσως είναι αυτό που πρακτικά του έδωσε και το όνομα του.
Αν το ρολόι του συστήματος περάσει από τις 24:00 (μεσάνυχτα) τότε ο ιός θα σβήσει από το δίσκο κάθε αρχείο το οποίο ανοίχθηκε, προσπελάστηκε κλπ. για οποιοδήποτε λόγο.
Ο συγκεκριμένος ιός αν και πειράζει κάθε .COM/.EXE δεν πείραζε το αρχείο COMMAND.COM επίσης είχε ένα πρωτοπόρο σύστημα εγκατάστασης που του επέτρεπε μέσο ενός subroutine να φορτώσει τον εαυτό του στις θέσεις UMB της UMA του μηχανήματος αν υποστηρίζονταν UMA από το μηχάνημα και υπήρχε φορτωμένος ο οδηγός για HMA.
Αν το μηχάνημα δεν υποστήριζε ΥΜΑ το τότε ο midnigh massacre φόρτωνε τον εαυτό του 1000 θέσεις κάτω από την αρχική θέση μνήμης.
Code Red
επεξεργασίαΟ ιός Code Red,είναι ένας ιός τύπου worm που εμφανίστηκε στο διαδίκτυο στις 13 Ιουλίου του 2001 και η αρχική του επίθεση ήταν σε υπολογιστές που εκτελούν Windows IIS.Ο ιός πρωτοανακαλύφθηκε για πρώτη φορά και ερευνήθηκε από τους εργαζόμενους,Marc Maiffret και Ryan Permeh,της εταιρείας eEye Digital Security.Το ονόμασαν Code Red επειδή εκείνη τη στιγμή έπιναν το αναψυκτικό Code Red Mountain Dew και επίσης εξαιτίας της φράσης "Hacked by Chinese" με το οποίο,το σκουλήκι παραμόρφωνε τις ιστοσελίδες.Παρόλο που το σκουλήκι κυκλοφόρησε στις 13 Ιουλίου,ο μεγαλύτερος αριθμός μολυσμένων υπολογιστών σημειώθηκε στις 19 Ιουλίου 2001.Εκείνη τη μέρα,ο αριθμός των μολυσμένων ξενιστών έφτασε στους 359.000.Ο ιός αξιοποίησε την ευπάθεια ενός λογισμικού που διανεμήθηκε με Windows IIS,όπως περιγράφηκε στο Microsoft Security Bulletin MS01-033,για το οποίο ένα Patch ήταν διαθέσιμο ένα περίπου μήνα νωρίτερα.Ο ιός εξαπλώθηκε χρησιμοποιώντας έναν συνηθισμένο τύπο ευπάθειας γνωστής ως Υπερχείλιση Μνήμης.Το έκανε αυτό χρησιμοποιώντας μία μεγάλη σειρά του επαναλαμβανόμενου χαρακτήρα "Ν" ούτως ώστε να υπερχειλίσει το buffer,επιτρέποντας έτσι στον ιό να εκτελέσει έναν αυθαίρετο κώδικα και έτσι να μολύνει το μηχάνημα.Ο Kenneth D.Eichman ήταν ο πρώτος που ανακάλυψε το πώς να μπλοκάρει κανείς τον ιό,και ήταν καλεσμένος στον Λευκό Οίκο για αυτή του την ανακάλυψη.
Worm.P2P.Palevo.FP
επεξεργασίαΟ Worm.P2P.Palevo.FP ιός είναι ένα Trojan το οποίο έχει την δυνατότητα να εξαπλώνεται στέλνοντας πολλαπλά κακόβουλα μηνύματα σε επαφές μέσω social applications,όπως το Skype, Yahoo Messenger, AIM (AOL Instant Messenger).Η κακόβουλη εφαρμογή αντιγράφει τον εαυτό του στο φάκελο του λειτουργικού συστήματος με το όνομα "jusched.exe", το οποίο είναι παρόμοιο με ένα αρχείο γνωστής γλώσσας προγραμματισμού.Για να ξεκινήσει ο ιός να τρέχει,κάθε φορά που εκκινεί το σύστημα,καταχωρεί κάποια συγκεκριμένα registry values.Στη συνέχεια καταχωρεί τον εαυτό του ως εξουσιοδοτημένη εφαρμογή για τον firewall του συστήματος,προσθέτοντας μια τιμή σε ένα κλειδί του συστήματος.Επίσης, παύει τη λειτουργία της υπηρεσίας του Windows Update,αποτρέποντας το χρήστη από το να πάρει τις απαραίτητες ενημερώσεις συμπεριλαμβανομένων εκείνων που εξασφαλίζουν την ασφάλεια του συστήματος. Προσπαθεί, ακόμη, να σταματήσει το πρόγραμμα msmpsvc.exe το οποίο ανήκει στην υπηρεσία Microsoft Malware Protection.
Συμπτώματα του ιού είναι ανεπιθύμητα μηνύματα σε Instant Messaging εφαρμογές που έχουν την μορφή emoticon μαζί με ένα url, το οποίο url προσπαθεί να εξαπατήσει τον χρήστη ότι πρόκειται για μια πραγματική φωτογραφία.Εάν ο χρήστης εκτελεί το αρχείο, στη συνέχεια ένα παράθυρο εξερευνητής θα εμφανιστεί, που ακολουθείται από ένα νέο παράθυρο του προγράμματος περιήγησης που περιέχει μια λίστα επαφών από μια γνωστή ιστοσελίδα κοινωνικής δικτύωσης.Έπειτα, αυτο-καμουφλάρεται τροποποιώντας τις ιδιότητες του αρχείου σε hidden.Ο ιός αυτός είναι σημαντικός σε σχέση με άλλους ιούς γιατί μπορεί και εξαπλώνεται ραγδαία μέσω εφαρμογών κοινωνικής δικτύωσης,κάνοντας αλλαγές στο σύστημα και υποκλέπτοντας προσωπικά στοιχεία.Αυτά τον καθιστούν έναν πολύ επικίνδυνο ιό.
Sircam Worm
επεξεργασίαSirCam είναι ένας ιός τύπου computer worm [23] που διαδίδεται μέσω ηλεκτρονικού ταχυδρομείου από Microsoft Windows συστήματα. Ξεκινά με μία από τις ακόλουθες γραμμές κειμένου και έχει ένα συνημμένο που αποτελείται από το εκτελέσιμο αρχείο του σκουληκιού με κάποιο αρχείο από το μολυσμένο υπολογιστή.
I send you this file in order to have your advice
I hope you like the file that I send you
I hope you can help me with this file that I send
This is the file with the information you ask for
Te mando este archivo para que me des tu punto de vista
Espero te guste este archivo que te mando
Espero me puedas ayudar con el archivo que te mando
Este es el archivo con la informacion que me pediste
Λόγω ενός bug στο σκουλήκι, το μήνυμα είχε αποσταλεί σπάνια σε οποιαδήποτε μορφή, εκτός από "Σου στέλνω αυτό το αρχείο, προκειμένου να έχουν τις συμβουλές σας." Αυτό στη συνέχεια έγινε το αστείο-μεταξύ εκείνων οι οποίοι χρησιμοποιούν το Διαδίκτυο κατά τη χρονική στιγμή, και που είχαν δεχτεί επίθεση με e-mails που περιέχουν αυτήν την πρόταση από το σκουλήκι. Το SirCam ήταν αξιοσημείωτο κατά τη διάρκεια της επιδημίας του για τον τρόπο της διανομής του. Τα αρχεία εγγράφων (συνήθως. Doc ή. Xls) στον μολυσμένο υπολογιστή επιλέχθηκαν τυχαία, μολύνθηκαν με τον ιό και "ταχυδρομήθηκαν" μέσω ηλεκτρονικού ταχυδρομείου στις e-mail διευθύνσεις που είχε ο υπολογιστής που προσβλήθηκε. Ανοίγοντας το μολυσμένο αρχείο οδηγούσε σε μόλυνση του υπολογιστή-στόχο. Κατά τη διάρκεια της έκρηξης, πολλά προσωπικά ή ιδιωτικά αρχεία είχαν αποσταλεί σε ανθρώπους που αλλιώς δεν θα τα είχαν πάρει. Εξαπλώνεται, επίσης, μέσω ανοικτών συνδέσεων σε ένα δίκτυο. Το SirCam σαρώνει το δίκτυο για υπολογιστές με κοινές κινήσεις και αντιγράψει τον εαυτό του σε ένα μηχάνημα με ένα ανοιχτό (μη προστατευόμενη κωδικό) κατάλογο ή μονάδα. Μια απλή RPC (Remote Procedure Call) [24] στη συνέχεια εκτελείται για να ξεκινήσει η διαδικασία στο μηχάνημα-στόχο, συνήθως άγνωστη στον ιδιοκτήτη του τώρα-σε κίνδυνο τον υπολογιστή. Πάνω από ένα χρόνο μετά την αρχική επιδημία του 2001, SirCam ήταν ακόμα στα κορυφαία 10 στα διαγράμματα του ιού.
Παραπομπές
επεξεργασία- ↑ http://en.wikipedia.org/wiki/Creeper_(program)
- ↑ http://news.discovery.com/tech/first-computer-virus-creeper-was-no-bug-110316.html
- ↑ http://support.microsoft.com/kb/224506/el
- ↑ http://el.wikipedia.org/wiki/Melissa_virus
- ↑ http://ask.brothersoft.com/10-worst-computer-trojan-horses-of-all-time-85889.html
- ↑ http://www.xtimeline.com/evt/view.aspx?id=398477
- ↑ http://www.eweek.com/c/a/Security/The-Most-Famous-or-Infamous-Viruses-and-Worms-of-All-Time/3/
- ↑ http://en.wikipedia.org/wiki/ExploreZip
- ↑ http://en.wikipedia.org/wiki/Elk_Cloner
- ↑ http://en.wikipedia.org/wiki/Rich_Skrenta
- ↑ http://en.wikipedia.org/wiki/Apple_II_series
- ↑ http://en.wikipedia.org/wiki/Apple_Inc.
- ↑ http://www.itsecurity.gr/worms.html
- ↑ http://news.bbc.co.uk/2/hi/technology/4659329.stm
- ↑ http://en.wikipedia.org/wiki/Buffer_overflow
- ↑ http://www.cert.org/advisories/CA-1992-02.html
- ↑ http://www.research.ibm.com/antivirus/SciPapers/White/VB95/vb95.distrib-node7.html#SECTION00041000000000000000
- ↑ http://vmyths.com/column/1/1992/6/1/
- ↑ http://www.f-prot.com/virusinfo/descriptions/michhelangelo.html
- ↑ http://en.wikipedia.org/wiki/Happy99
- ↑ http://www.f-secure.com/en/web/labs_global/threats/descriptions
- ↑ http://www.ethraki.com/index.php/technology/item/1469-neos-ios-kakoboulo-logismiko-gia-mplokarisma-selidon