| Cronologia dei Virus
1970
Il Creeper, in assoluto il primo virus conosciuto, appare in questo periodo in ARPAnet. Diffondendosi faceva apparire il messaggio "I'm the Creeper, catch me if you can". Per contrastarlo fu creato un altro virus (il Reaper) che aveva il compito di stanarlo e rimuoverlo.
1980
Il 27 Ottobre l'ARPAnet Data Virus bloccò tutte le attività della rete ARPAnet per 72 ore in quanto aveva sovraccaricato il sistema di inoltro dei messaggi usato per diffondersi.
1986
Il Brain fu sviluppato da due fratelli pakistani e fu poi scritto nel 1986 da Basit Alvi per punire i turisti che acquistavano copie pirata di software. E' uno dei pochi che riporta il nome e l'indirizzo del creatore ed é il primo virus in ambiente Dos. Era un infettore del Boot di un floppy con un codice eseguibile che all'avvio da A s'installava in memoria; infettava solo floppy da 360 KB.
Nel 1987 fu trovato all'Università del Delaware.
Ralf Burger creò il Virdem, un virus dimostrativo in grado d'attaccarsi ad un Com, e lo distribuì ad una conferenza sui virus informatici del "Chaos Computer Club" di Amburgo. Il Virdem era così interessante che poi scrisse su questo tipo di virus un libro.
1987
Franz Swoboda trovò un virus, ora conosciuto come Burger Virus o 909090h, in un programma; Berdt Fix, lo de-assemblò (il primo caso di virus de-assemblato), e Burger ne incluse (con lievi modifiche) il codice Asm nel suo libro .
Fred Cohen e Ken van Wyk trovarono all'Università di Bethlehem (PA) il Lehigh, virus che infettava il Command.com con notevoli danni per il computer tanto da inibirne la diffusione ma la notevole pubblicità portò alla creazione in Usenet del Virus-L Newsgroup.
Da Tel Aviv arrivò il Suriv 1.00, un virus residente in memoria che poteva infettare ogni Com su tutto il Disco. Il secondo virus della famiglia, Suriv 2.00, poteva infettare solo Exe ma era il primo in grado di farlo. Il Suriv 3.00 infettava ma il quarto della serie (che venne isolato prima del terzo) si sparse ovunque con il nome di Jerusalem (fu trovato all'Università ebraica di Gerusalemme da Yisrael Radai) o Friday 13th ed invece d'infettare i file quando é lanciato li distrugge ogni Venerdì 13. Inoltre visto la ridondanza del codice per autodetectarsi negli Exe probabilmente era ancora in fase d'analisi quando iniziò a diffondersi.
All'Università di Wallington, Nuova Zelanda, appare un virus che ogni otto volte che effettuava un Boot faceva apparire il messaggio "Your PC is now Stoned legalize Marijuana" e da qui il nome.
All'Università di Torino vide la luce un altro virus di Boot (Italian o Bouncing Ball) che raggiunto un certo valore di clock faceva apparire una pallina sullo schermo che cancellava i caratteri ma poteva girare solo su 8088 o 8086 per via di un'istruzione che conteneva.
Un programmatore tedesco scrisse il primo virus con le palle: il Cascade. Il Cascade, un troiano di 1701 bytes, ha un bug che non gli consente d'infettare i BIOS IBM. La versione corretta di 1704 ne ha un altro che non gli consente di vedere i BIOS IBM.
Una volta che infetta un computer assistiamo alla caduta di tutti i caratteri dallo schermo ma la sua caratteristica peculiare é l'uso di un algoritmo di codifica introdotto per renderne più ardua la scoperta.
1988
Appaiono i primi AntiVirus in genere Sharware. Pochi pensarono alla prevenzione dando così modo a Stoned, Cascade e Jerusalem di diffondersi.
L'IBM (il cui sistema chiuso impedì la diffusione all'esterno) si beccarono a Dicembre un Worm detto Xmas tree e iniziarono a considerarli molto seriamente con l'High Integrity Computing Laboratory di Yorktown. Ma Peter Norton disse addirittura che riteneva i virus informatici una leggenda urbana come i coccodrilli delle fogne di New York.
A scuotere il mondo ci pensò il Jerusalem che bloccò per giorni ditte importanti sia in Spagna sia in Inghilterra.
1989
Il Fu Manchu (una modifica di Jerusalem) e il 405 (modifica di un soprascrivente di Burger) furono inviati a dei ricercatori inglesi. Inizia la moda di migliorare i virus.
Dalla comparsa del Vienna sulla scena, isolato per la prima volta a Mosca (nel computer dell'UNESCO), molti bulgari iniziarono a modificarlo. Molte versioni del Vienna furono create in Bulgaria in quelle che sono definite le fabbriche bulgare ed alcune sono lunghe anche meno di 350 bytes, quasi la metà dell'originale.
I primi Bulgari, visto che finora solo i Com erano infettati, iniziarono a provare ad infettare gli Exe con un non residente (Yankee 2). Il secondo prodotto di successo fu il Vacsina. Entrambi appartengono alla stessa famiglia, detta "serie TP", e come tutti i prodotti bulgari fino ad ora, non danneggiavano i files.
Nell'estate apparve un nuovo virus (Dark Avanger) che portava la stringa "The Dark Avenger, copyright 1988, 1989. This program was written in the city of Sofia. Eddie lives.... Somewhere in Time!"; é molto infettivo (il primo "fast infector") e causa dei danni sovrascrivendo in modo casuale settori del disco. Seguirono, dello stesso tecnopate e geniale autore, V2000, V2100, 651, Diamond, Nomenklatura, 512, 800, 1226, Proud, Evil, Phoenix, Anthrax, Leech.
Dark Avanger mandò molti virus alle BBS tra cui alcuni non circolanti in Bulgaria e spesso inseriti in programmi regolari, quali antivirus Sharware della McAfee.
A Marzo abbiamo in Olanda il Datacrime, virus non residente. Ogni giorno dopo il 12 Ottobre (fino al 31 Dicembre) tenta di formattare a basso livello il cilindro 0 della testa del disco (di solito la FAT). In America venne detto "Columbus Day". La polizia Olandese iniziò a fare prevenzione e commissionò un detectore di Datacrime per dotarne le proprie stazioni.
L'IBM aveva un software AntiVirus interno e fu costretta, da un punto di vista di politica commerciale, a distribuirne una versione. Il 13 Ottobre era anche Venerdì e i due virus più diffusi potevano colpire molti suoi clienti.
Alla fine dell'anno v'erano ormai dozzine di virus.
1990
Mark Washburn dal Vienna creò il primo virus polimorfico. Per detectare i virus di questa serie (1260, V2P1, V2P2 e il V2P6) fu necessario scrivere un algoritmo particolare che testasse il file per vedere se vi potessero essere decriptatori. Non tutte le case AntiVirus ne erano in grado, ed alcune non ne sono in grado tuttora poiché si limitano a cercare stringhe di 24 byte.
Washburn pubblicò il codice dei suoi polimorfi creando numerosi emulatori e conseguentemente visto l'aumentare della popolazione dei virus da detectare anche di falsi allarmi.
In quest'anno molti virus di Dark Avanger arrivarono dalla Bulgaria e portarono due nuove idee: i "fast infector" (se il virus é in memoria tutti i file semplicemente letti possono essere infetti) e la casualità (occasionalmente settori casuali del Disco Fisso vengono soprascritti).
Una variante dei suoi virus (V2100-B) fu usata inserendola nel VirusScan della McAfee come poi successe anche per l'Antrax del gruppo "Damage".
A Sofia Lubo e Ian lavoravano (strano ma vero) in Turbo Pascal e produssero prima il Murphy e poi il Sentinel.
D. Plovdiv scrisse per diletto alcuni virus cercando di scrivere un codice compatto e molto piccolo ma due gli scapparono: Anti-Pascal605 e Terror. Diede tutta la sua collezione ai ricercatori che l'inserirono negli scanner.
V.P. e S.K. del "Matematicheska Gimnazia" di Varna (città del Mar Nero) scrissero e diffusero Mg, Shake, Dir e Dir II (tutti residenti in memoria). The Number of the Best fu il primo Stealth ad infettare i file di sistema.
La Russia si lancia sulla scia dei Bulgari. Alla conferenza di Kiev del 1990 si riferì della presenza di ben 35 virus russi, meno creativi e più distruttivi. Da allora la quantità aumentò notevolmente in maniera costante.
A Dicembre (con un totale di ormai 200- 300 virus) i ricercatori AntiVirus partorirono l'EICAR (European Institute for Computer Antivirus Research) di Amburgo.
1991
I Bulgari crearono la la Virus eXchange, la prima BBS specializzata nello scambio di virus (con una collezione di circa 300 virus) e d'informazioni tecniche. Spopolò ed altre BBS che seguirono l'esempio di Sofia furono a Milano l'"Italian Virus Research Laboratory" (Cracker Jack), in Germania "Gonorrhea", in Svezia "Demoralised Youth", in America "Hellpit", in Gran Bretagna "Dead On Arrival" e "Semaj".
Il modo con cui operano é semplice: basta chiamare e mandare un virus ed allora viene dato accesso alla BBS ed alla sua banca dati.
Tra l'altro Dark Avanger distribuì i propri virus attraverso gli AntiVirus Sharware distribuiti dalle BBS e con impulsi didattici distribuì anche i codici e la documentazione delle sue opere che tuttora sono anche in Internet.
Il DataLock 1.00, d'origine Californiana, fu scaricato nella BBS e poi fu immesso all'Università di Sofia. Ma il problema di tale BBS non era la circolazione dei virus (paradossalmente) ma la presenza dei codici Asm con tanto di commento tecnico. In questo modo ad opera di Cracker Jack (Torino) dal codice del Murphy derivarono l'Hiv, Migram, Kamasya, Cemetery e Antichrist; dallo Yankee 2 l'Enigma.
La Symantec lancia il "Norton AntiVirus" nel Dicembre 1990 e la Central Point il "CPAV" nell'Aprile 1991.
Ma il problema oltre ai falsi allarmi é l'aggiornamento: nel Dicembre 1991 abbiamo ormai 1000- 1500 virus; uno scanner deve caricare le stringhe da cercare in memoria ma abbiamo solo 640 KB di memoria in Dos ed inoltre alcuni riducono la velocità all'aumentare del numero dei virus.
Problema serio é un'erronea identificazione, dovuta al fatto che molti sono simili tra loro, che può causare una riparazione errata.
W.T. di Sofia scrisse Darth Vader che non aumenta la lunghezza dei file cercando dei vuoti al loro interno per occuparli.
Arrivano sulla scena anche altri paesi dell'Est Europa: la Polonia (217, 311, 583, Akuku, Dot Eater, Father Christmas, Hybryd, Joker, Vcomm); Ungheria (Filler, Monxla, Polimer, Stone `909, Turbo Kukac); la Ceccoslovacchia (Aantivirus); la Iugoslavia (17Y4, Svir).
In Aprile nacque lo Svizzero Tequila, completamente Stealth e polimorfico, che per una distrazione finì sul Disco Fisso del padre di un amico dell'autore: un distributore di shareware. Una strage. Da Maggio s'iniziò a detectarlo ma solo a Settembre lo vedevano i principali Scanner .
A Settembre abbiamo da Hacker Twins di Malta il Maltese Amoeba e a fine anno qualche altra dozzina di polimorfi mettevano in difficoltà i ricercatori.
Dark Avenger annuncia l'arrivo di un suo nuovo virus con 4.000.000.000 differenti forme di mutazione che poi apparve a Gennaio 1992: il Self Mutation Engine o MtE.
1992
Il Self Mutating Engine (MtE) apparve a Gennaio sia con il virus Dedicated che direttamente come OBJ con tanto d'istruzioni per l'uso. I virus di questo tipo aumentarono rapidamente ma uno Scanner che trova un virus MtE può trovare anche tutti quelli creati con lo stesso motore.
Seguì il Commander Bomber sempre di Dark Avanger che però non si dispone più negli stessi posti ed é alquanto imprevedibile costringendo gli Scanner a scandire tutto il file.
Starship é un virus del tutto polimorfico capace di bypassare i Checksum, che servivano a scoprire i virus, infettando solo i files che erano copiati da Disco Fisso a dischetto. Si dispone sul Disco Fisso senza cambiare il codice degli eseguibili ma cambia la tavola delle partizioni creandone una nuova che poi richiama quella vecchia.
A causa del Michelangelo, un residente basato sullo Stoned, il 6 Marzo saltarono 5.000- 10.000 PC.
In Agosto apparve il primo bancone di produzione per virus: il "VCL" (Virus Creator Laboratory) di Nowhere Man seguito subito dopo dal "PS-MPC" (Phalcon/Skism Mass-Produced Code Generator) di DA. Chiunque ora può fare un virus con tali kit.
Alla fine dell'anno un gruppo detto ARCV (Association of Really Cruel Viruses) nacque in Inghilterra ma dopo pochi, quanto attivi, mesi furono arrestati dalla "Computer Crime Unit" di Scotland Yard.
In quell'anno nacque anche un nuovo mestiere: la vendita di Collezioni di Virus. In America, John Buchanan ed in Gran Bretagna la "Virus Clinic". La "Virus Clinic" in virtù della sezione 3 del "Computer Misuse Act" del 1990, la cui massima punizione è 5 anni di prigione, dovette interrompere le attività.
1993
In Olanda nacque il gruppo Trident un cui autore, Masouf Khafir (autore tra l'altro del primo virus per Windows: Win_Vir), scrive il "T.P.E." (Trident Polymorphic Engine) e rilasciò il virus polimorfo compresso autoinstallante Girafe subito seguito da un aggiornamento del TPE.
Nowhere Man, della "NuKe" rilasciò il "N.E.D." (NuKe Encryption Device) ed il virus Itshard.
Dark Angel creò il "D.A.M.E." (Dark Angel's Multiple Encyptor) e il virus Trigger. Mentre il "T.P.E." raggiunse la versione 1.4 con il rilascio del virus Bosnia.
Lucifer Messiah, Anarkick Systems e Poetcode derivano da una versione modificata del TPE (1.4b).
Dalla Germania arriva il Neuroquila: un polimorfico, stealth e retrovirus che previene Virstop o Dosdata (utilità del Qemm) e modifica Tbdriver, Tbdisk, Vsafe se in memoria ed inoltre bypassa il messaggio di errore di Windows a 32 bit.Apparentemente dallo stesso autore del Tremor.
Appaiono nuovi Motori Polimorfi: Dark Angel's Multiple Encryptor (D.A.M.E.), Darwinian Genetic Mutation Engine (D.G.M.E.) [pubblicato da Mark Ludwig in "Computer Viruses, Artificial Life and Evolution"], Dark Slayer Mutation Engine (D.S.M.E.) rilasciato a fine anno a Taiwan da Dark Slayer.
1994
Motori Polimorfi: MutaGen edito ad inizio 1994 dall' americano MnemoniX, Guns'n'Roses Polymorphic Engine (G.P.E.) scritto da Slash Wu a Taiwan e il Dark Slayer Confusion Engine (D.S.C.E.), una nuova versione del DSME.
Viene pubblicata a meta' anno la versione francese del libro di Mark Ludwig "The Little Black Book of Computer Viruses".
Altra opera di Ludwig che gira in questo periodo e' addirittura un CD di virus ed altre amenita' simili.
A Maggio circola per le BBS europee il Junkie del Dr. White e si diffonde cosi' capillarmente anche perché dichiara di essere una utilità per pirati informatici.
In Inghilterra appaiono con il S.M.E.G. (Simulated Metamorphic Encryption Generator)(Black Baron), Pathogen e Queeg di Black Baron.
WordMacro.DMV e' il primo virus Macro per documenti di Word, scritto da Joel McNamara come prova per studiarne la possibilità.
In Luglio un gioco dal nome SEXXY viene postato in alt.binaries.pictures.erotica: pochi resistono alla tentazione di eseguirlo e si ritrovano in molti infetti dal Kaos4.
Estate : appare il Goldbug che si posiziona in memoria video e quando diventa utilizzabile le HMA infetta il Disco Fisso. Bypassa il problema dell'accesso a 32 bit disinfestandosi temporaneamente durante l'utilizzo di Windows. Elimina i Chk ed evita che programmi contenenti "AV" nel nome siano eseguiti (Scan, Clean, Nav, Cpav, Msav, Tbav, Tbscan).
1995
Ad inizio anno Mange-Tout.1099 appare in alcuni dischetti preformattati in un file e molti non resistono alla tentazione di vedere cosa c'è dentro.
A meta' aprile 2800 virus noti sono stati messi in Internet in un newsgroup sull' argomento da un Canadese in un file zippato.
Nello stesso periodo il gruppo Vlad, dopo tanto rumore su Good Times crea il GT-Spoof, un normale virus che pero' contiene il messaggio fatidico.
Il ricercatore antivirus bulgaro Vesselin Bontchev del "Virus Test Center" di Amburgo, inizia a Settembre a lavorare per la Frisk.
A fine anno il 26 enne Christopher Pile (Black Baron), autore di Pathogen, Queeg e Smeg, viene condannato a 18 mesi di prigione.
1996
A Gennaio appare il Burglar che attacca gli Exe specie quando cambiano di attributo e usa tecniche anti-euristiche; evita inoltre di attaccare programmi Windows e quelli con le lettere V ed S (Virstop, Scan, Vshield, Msav, Nav, Cpav).
Appare il primo Virus per Windows 95 da Quantum/VLAD: il Boza.
Macro per Lotus Ami Pro: appare la GreenStripe.
Uno nuovo per Word (WordMacro/Hot), il primo Macro Russo: interessante perche' usa funzioni esterne (effettua una chiamata API) ma per questo motivo e' specifico per Windows 3.x e sotto 95 produce un messaggio di errore.
Tra gennaio e febbraio l'IBM tedesca distribuisce a gennaio per errore dischetti infettati con il Quandry mentre la Microsoft slovacca omaggia la stampa con il WordMacro/Concept. Due mesi dopo la Microsoft bissa e distribuisce 1500 dischetti con il Boot infetto dal Sampo.
Durante questi ultimi mesi vi sono state molte infezioni via Internet anche presso siti ufficiali e non solo da parte di programmi pirati postati illegalmente nelle News. Uno in particolare (Pkzip300) e' un troiano interessante che si spaccia per nuova versione del famoso compressore (l'ultima versione era la 2.04g) e si diffonde a partire dall'estate 1995 in tutto il mondo.
In Estate arriva il WordMacro/Wazzu che si basa solo su una singola macro AutoOpen che e' quindi indipendente dal linguaggio Vx
|
