Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
01.12.2004 - Martin LEPIŠ - Novinky
Česká polícia sa začína zaujímať o tamojších tvorcov škodlivých kódov...

Byť v dnešnej dobe osobou, ktorá aktívne tvorí alebo v minulosti tvorila škodlivé kódy určite nie je žiadna zábava. Presvedčil sa o tom na vlastnej koži aj 22-ročný Benny z Brna (... bývalý tvorca škodlivých kódov, svojho času člen španielskej skupiny 29A). Dňa 25.11.2004 v ranných hodinách navštívila jeho bydlisko česká polícia so súdnym príkazom na domovú prehliadku. Ako dôvod bolo uvedené podozrenie so spoluúčasti na vytvorení internetového červa Win32/SQL.Slammer. Tento červ koncom januára 2003 infikoval tisíce nezabezpečených počítačových systémov s integrovaným Microsoft SQL Serverom, bez Service Pack 3. Česká polícia pri prehliadke Bennyho bytu zabavila všetku počítačovú techniku a dátové nosiče za účelom ich ďalšej analýzy, so snahou zistiť, či boli dané zariadenia a nosiče použité pri tvorbe vyššie spomenutého internetového červa. Podľa predbežných správ je pravdepodobné, že trestné oznámenie na základe ktorého česká polícia preveruje bývalé aktivity Bennyho a niekoľkých ďalších českých tvorcov škodlivých kódov podala priamo spoločnosť Microsoft. Tá vraj na základe článkov, ktoré v minulosti publikoval Benny usúdila, že vyššie menovaný tvorca škodlivých kódov by mohol mať niečo spoločné aj s vytvorením škodlivého kódu Win32/SQL.Slammer. Tento červ totiž obsahoval integrovaných viacero funkcií, o ktorých sa Benny zmieňoval v jednom zo svojich článkov, kde popisoval budúce možnosti moderných škodlivých kódov.

Na margo tejto udalosti, ktorá dokazuje, že policajné zložky jednotlivých krajín (... nielen v rámci Európy) začínajú čoraz užšie spolupracovať pri pátraní po tvorcov škodlivých kódov, sa oplatí spomenúť ešte niekoľko doplňujúcich informácií.

Prvou z nich sú aspoň základné fakty o internetovom červe Win32/SQL.Slammer. Tento škodlivý kód bol naprogramovaný priamo v assembleri, o čo jednoznačne svedčí aj jeho miniatúrna veľkosť – len 376 bajtov. Šíril sa výlučne prostredníctvom počítačovej siete, v ktorej vyhľadával systémy disponujúce aplikáciami MS SQL Server 2000 a MS Desktop Engine 2000, bez nainštalovaného SP3. Takýmto systémom červ zasielal "špeciálny" UDP paket na port 1434 (... ktorý používa práve MS SQL Server), ktorý po prijatí spôsobil na vzdialenom systéme vznik chyby nazývanej pretečenie zásobníka (tzv. buffer overflow). Tá mala za následok aktiváciu vykonateľného kódu samotného červa, ktorý sa však neukladal na pevný disk infikovaného systému, ale zotrvával výlučne v jeho operačnej pamäti. Následne potom, červ náhodne generoval IP adresy počítačov dostupných v sieti Internet a prostredníctvom portu 1434 na ne neustále posielal vo forme UDP paketu svoje vlastné telo. Touto operáciou si zabezpečoval permanentný proces rozširovania. Dôležitou informáciou pre všetkých používateľov v súvislosti s týmto internetovým červom svojho času bolo to, že neobsahoval vo svojom tele žiadnu deštruktívnu rutinu. Okrem svojho masového šírenia sa počítačovou sieťou Internet teda nevykonával žiadnu ďalšiu – nebezpečnú – činnosť.

Druhou určite zaujímavou informáciou je to, že bývalý český tvorca škodlivých kódov Benny počas svojej relatívne krátkej kariéry vytvoril viacero technologicky pozoruhodných exemplárov – škodlivých kódov. Ako sám tvrdil a stále aj tvrdí, všetko čo tvoril robil so snahou ukázať svetu nové možnosti v oblasti programovania, pričom ani jeden zo svojich výtvorov nemal snahu ďalej šíriť. Hneď po jeho vytvorení a internom otestovaní na vlastných systémoch ho poskytol ako ukážkový príklad softvérovým a AV-spoločnostiam. Tu je stručný – chronologicky usporiadaný prehľad jeho tvorby:

Rok 1999:
Win32/Benny, Win32/Eva, Win32/Vulcano, Win98/Milennium, Win2k/Installer

Rok 2000:
Win2k/Stream

Roky 2001-2002:
Win32/Ketamine, Win32/Winux, Win32/Donut, Win32/NeXT, Win32/Universe

Rok 2003:
Win32/Serotonin

Benny počas svojho pôsobenia v radoch tvorcov škodlivých kódov vytvoril napríklad: Win2k/Installer - prvý počítačový vírus schopný infikovať spustiteľné súbory v OS MS Windows 2000, Win32/Winux - prvý počítačový vírus schopný infikovať spustiteľné súbory súčasne v OS MS Windows i Linux, Win32/Donut - prvý počítačový vírus na svete schopný infikovať súbory/aplikácie naprogramované v jazyku C#, Win32/Stream - prvý počítačový vírus využívajúci možnosti NTFS Alternate Data Streams (ADS) alebo Win32/Serotonin - prvý počítačový vírus využívajúci pri svojom šírení prvky genetického programovania a mnohé ďalšie.

Tretou zaujímavosťou je informácia zverejnená na web stránkach španielskej skupiny 29A, ktorá sa týka priamo Bennyho. Ten sa rozhodol opustiť scénu tvorcov škodlivých kódov i samotnú skupinu 29A definitívne dňa 17.11.2004. V približne rovnakom čase opustil túto skupinu aj ďalší tvorca skrývajúci sa pod prezývkou Ratter.

Nuž a nakoniec poslednou informáciou, či skôr paradoxom je to, že Benny (... občianskym menom Marek S.) pracuje už niekoľko mesiacov pre českú spoločnosť ZONER Software, s. r. o., ako programátor. Nie však hocijaký, ale ako programátor AV-systému ZAV - Zoner AntiVirus určeného toho času najmä pre AV-ochranu emailových serverov bežiacich na OS MS Windows i Linux. Jednou z predností nového AV-systému má byť podľa jeho vlastných slov aj úplne nová heuristická analýza, schopná identifikovať veľké percento nových škodlivých kódov, bez nutnosti ich predchádzajúcej analýzy zo strany programátora. Zaujímavé je pritom aj to, že Benny dokázal približne za dva mesiace od nástupu na post programátora vytvoriť pre AV-systém ZAV komplexný emulátor pre Win32 PE EXE škodlivé kódy, ktorý ešte aj dnes chýba v mnohým komerčných AV-systémoch existujúcich na softvérovom trhu už niekoľko rokov.

Je skutočne zaujímavé ako sa môže zo dňa na deň zvrtnúť osud človeka, ktorý bol v minulosti tvorcom škodlivých kódov. Priebežne budeme sledovať priebeh celého vyšetrovania i výsledky, ktoré prinesie analýza zabaveného hardvéru z Bennyho bytu. Až čas ukáže či budú môcť vyšetrovatelia svoje doterajšie podozrenie vo vzťahu k Bennymu zmeniť pod váhou nájdených dôkazov na obvinenie. No z nášho pohľadu je len málo pravdepodobné, aby sa potvrdili predpoklady spoločnosti Microsoft o tom, že Benny bol spoluúčastníkom pri tvorbe internetového červa Win32/SQL.Slammer. Nechajme sa teda prekvapiť... . ;-)



Súvisiace články:
10.05.2004  Nemecká polícia podnikla úspešný záťah na tvorcov vírusov... - Novinky
01.12.2003  Polícia zadržala osobu podozrivú z vytvorenia internetového červa... - Novinky
05.09.2003  Rumunská polícia zadržala autora internetového červa Win32/Blaster.F... - Novinky
01.09.2003  Americká FBI zadržala autora jedného z variantov červa Win32/Blaster... - Novinky
11.11.2002  Autor vírusu VBS/VBSWG.J alias Kournikova prehral odvolanie... - Novinky
30.09.2002  Autor červa Linux/Slapper v rukách polície... - Novinky
21.06.2002  Autor vírusu Win32/Perrun prehovoril...?! - Novinky
10.05.2002  Autora makrovírusu Melissa odsúdili... - Novinky
17.12.2001  Autorský tím červa Win32/Goner v rukách polície... - Novinky


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.