Wirusy mojej młodości

Podczas porządków znalazłem kilka starych dyskietek 3,5″, z ciekawości zgrałem ich zawartość. Tak, mam jeszcze stację dysków i większość po kilkunastu latach udało się odczytać. Na jednej z nich znalazłem plik „mks_vir.exe”. Czy ktoś jeszcze pamięta ten program Marka Sella? Ludzie wymieniali się tym antywirusem nie tyle ze względu na wykrywanie szkodników, co na wersje demonstracyjne najfajniejszych wirusów. Kiedyś złośliwe oprogramowanie miało, zgodnie z nazwą, zrobić kawał i pozyskać sławę dla jego twórcy, a nie pieniądze. Wygrywały melodyjki, a w najgorszym razie czyściły dysk. Ten najgorszy z najgorszych w moim sąsiedztwie, Win95.CIH, kasował dysk a nawet pamięć Flash w BIOSie w rocznicę wybuchu w Czarnobylu. Też go miałem, na szczęście został wykryty dwa dni przed apokalipsą.

Właściwie sam zaczynałem naukę programowania od pisania wirusów – bo w najbliższej księgarni jedyną pozycją na temat asemblera była książka „Jak pisać wirusy” Andrzeja Dudka. Nadal ją posiadam i pamiętam, że świetnie wprowadzała w ten język za pomocą praktycznych, destrukcyjnych przykładów. Oczywiście zakończyło się na teorii i wirusa nigdy nikomu nie podrzuciłem. Wtedy dobry wirus musiał być mały i ukryty. Później, na początku popularności Internetu, zaczęły powstawać trojany (nawet takie uniwersalne, gdzie każdy mógł wybrać co trojan ma robić) ale i tak generowanie dużego ruchu mogło wzbudzać podejrzenia.

Teraz właściwie nie ma ograniczeń. Wirus może zajmować kilka megabajtów, i tak nikt go nie zauważy. Kod może być uruchamiany nawet za pomocą dziurawych aplikacji, których wiele osób nie aktualizuje. A co w tym dziwnego? Przecież Adobe Flash chce się aktualizować co kilka dni! Zapewne dużo osób po prostu omija kolejną wersję, bo szkoda czasu. Ruch sieciowy? Czy ktokolwiek już na to patrzy, kiedy każda aplikacja „dzwoni do domu”? Czy ktoś zauważy, że jego komputer jest częścią botnetu i ktoś za jego pomocą dokonuje przestępstw? Jestem przekonany, że większość użytkowników nie dostrzegłoby nawet, gdyby zdalnie zainstalować im koparkę bitcoin. Co najwyżej wyczyściliby wentylator sprężonym powietrzem, bo komputer się grzeje. I takiemu nieświadomemu internaucie w końcu znikną pieniądze z konta, bo magicznie podmieni się numer konta do wpłaty, albo też pokaże się komunikat z żądaniem „zapłać, to odszyfrujemy twój dysk”.

Z drugiej strony cały antywirusowy świat to olbrzymi biznes. Producenci prześcigają się w nowych funkcjach i metodach ochrony (właściwie zbędnych dla osób świadomych swoich działań w sieci).

Poprzednio wspomniałem o moim „launcherze” do gry Minecraft, który kiedyś napisałem. Dostałem wtedy wiele komentarzy, bo jakiś nikomu nieznany chiński antywirus wykrył w nim „generic trojan”. Inny antywirus dodał go na „czarną listę”, tak na wszelki wypadek, bo program nie był przez nich „zweryfikowany”.

Przed upublicznieniem programu sprawdzam go popularnych stronach, które sprawdzają przesyłany plik w wielu programach antywirusowych jednocześnie. Jest bowiem coś takiego, jak „false positive”. Kawałek niegroźnego kodu może po kompilacji okazać się podobny do kodu któregoś z tysięcy znanych wirusów. I co się okazało? Dwa z programów zostały oznaczone jako „trojan” przez kilka antywirusów. Wystarczyło zmienić kilka drobiazgów w kodzie i już „zagrożenie” nie jest wykrywane.

Takich programów powstaje dużo i wielu użytkowników pobierając taki plik sprawdza go w serwisie virustotal.com. Nawet na minecraftowych forach obowiązuje zasada przesłania wyniku skanowania programu. Inni instalują najnowszego Avasta czy Nortona i mają złudne poczucie bezpieczeństwa.

Jeden taki „false positive” i już pojawia się opinia, że autor programu chce wszystkim wcisnąć trojana, wykradać dane i hasła.Cały problem oczywiście w tym, że programy antywirusowe wykrywają kod znanych już wirusów, ewentualnie kod wyglądający na złośliwy. Gdybym chciał w moim programie umieścić szkodliwy kod, z pewnością nikt by tego nie zauważył. Oczywiście do czasu, kiedy jego złośliwe działanie zostałoby rozpoznane i przeanalizowane przez twórców oprogramowania antywirusowego. Mało tego, sprawdziłbym czy przypadkiem mój „wirus” nie otrzyma takiego wykrycia „false positive”, gdyż to byłoby zdecydowane niedopatrzenie z mojej strony i jako autor wirusa powinienem spłonąć ze wstydu.

Dlaczego więc ludzie naprawdę ufają nieznanym osobom umieszczającym programy (np. wspomniane launchery) na różnego rodzaju forach? Dlaczego ludzie uruchamiają nieznanego pochodzenia cracki i keygeny w systemie operacyjnym, w którym trzymają swoje prywatne i cenne dane? Powód jest chyba taki sam, jak przy otwieraniu załączników od nieznajomych, czy też stosowania haseł złożone z imienia i daty urodzenia. Każdy zna zasady bezpieczeństwa na drodze, ale mało kto zna elementarne podstawy zachowania bezpieczeństwa w Sieci, a grożą tam jak najbardziej niewirtualne zagrożenia.

Napisz odpowiedź

Twój adres e-mail nie zostanie opublikowany.