De ce stau departe de Windows?

Deși am licențe cumpărate chiar de MS-DOS 6.22, Windows 98, Windows XP (da, d-alea pe bani) am renunțat să mai folosesc produsele celor de la micășimoale.

Printre multele motive din care am ales să renunț la sistemele de operare micișimoi numite si windows vreau să povestesc despre securitate. În afară de NT4 și parțial 2003 (doar parțial) bajeții ăștia nu au noțiunea de securitate a unui sistem de operare… cel puțin nu pentru umanoizii de rând, nu aceia care folosesc produse dedicate serverelor. Nu are rost aici să intru în detalii, dar, ridic fanilor o singură întrebare: “Merită să investești într-un sistem mai mult în antiviruși și firewall decât a costat tot sistemul de operare și cu toate astea să nu dormi prea bine știind că oricâți antiviruși și firewalluri ai pune, sistemul de operare e oricum șvaițer?”

Așadar, ce vreau să povestesc aici se rezumă la un lucru simplu – sistemele de operare de la micișimoi, numite generic Windows, sunt cele mai vulnerabile la viruși, gândaci, viermi, șopârle și ce s-o mai inventa de acum încolo, pentru mulți ani, asta în comparație cu orice alte sisteme de operare fie ele Mac OS X sau distribuții Linux. Nu vreau să pornesc o discuție pro sau contra aici, nu ăsta este scopul acestui articol. Sunt multe bloguri și bloage care au ajuns teren de luptă pentru susținătorii unuia sau altuia din aceste sisteme de operare.

Deși în aceste zile am avut ocazia să vedem o campanie prin care micșimoale iese la cerșit de la utilizatorii casnici de computere – încercând să lovească în Gigi ăla care rezolva problemele IT ale blocului 🙂 pentru că Gigi care până la urmă este ăla care este cel mai înaintat vârf de marketing (tocmai pentru că în prostia lui instalează Windows tuturor) – încercând să combată ce? Păi dacă lăsam la o parte orice glumă, vedem de fapt că problema celor de la Microsoft este că producătorii de PC-uri încep să refuze furnizarea de sisteme cu sisteme de operare preinstalate, după ce datorită calității dubioase a Vista, au fost trase în jos vânzările de computere noi, și aici, vorbim de companii ca HP sau Dell. Așa că marketingii au început să caute apropierea de utilizatorul final, pentru a-l convinge să își cumpere sistemele lor de operare, acțiune care are un target peste 2-3 ani când e posibil ca numărul computerelor aflate la vânzare cu Windows preinstalat. Dar asta e altă discuție…

Scopul articolului este de a reaminti cei mai devastatori viruși și viermi ai ultimilor ani.

De departe, primul despre care trebuie să vorbesc este ILOVEYOU

Viermele ILOVEYOU (cunoscut și ca VBS/Loveletter sau Love Bug) este un virus informatic scris în VBScript, și este considerat de multă lume ca fiind virusul care a produs cele mai multe stricăciuni utilizatorilor. A pornit din Filipine, pe 4 Mai 2000 și s-a împrăștiat în toată lumea într-o singură zi, numărul total al computerelor infectate nu este știut, dar se estimează un procent de 10% din totalul computerelor cu sisteme de operare Windows conectate la internet. Pagubele produse de ILOVEYOU au fost estimate la 5,5 miliarte de dolari americani. Cel mai greu a fost să fie localizat și distrus. Cheltuielile cu curățirea, la nivelul întregii lumi au fost enorme.

Metoda de împrăștiere a lui, a fost prin mesajele de poștă electronică, mesaje trimise de computerele infectate tuturor adreselor de email din baza de date a clientului folosit. Mesajele au avut subiectul “ILOVEYOU” și un atașament, aparent un inofensiv fișier text cu numele “LOVE-LETTER-FOR-YOU.TXT.vbs”. Pentru o imagine despre cât de urâtă a fost epidemia, CIA, Pentagonul și Parlamentul Britanic au fost nevoite să își oprească sistemele de trimitere a emailurilor pentru a scăpa de el, la fel cum au făcut mai toate companiile mari.
Ce face efectiv? Suprascrie toate fișierele importante dintr-un computer, inclusiv fișierele media, muzică etc. cu copii ale sale. După asta, se trimite după cum ziceam prin email la toate adresele de email pe care le găsește în agenda nefericitului utilizator.

Doar utilizatorii de sisteme de operare Windows au fost afectați de acest vierme, care s-a plimbat practic prin toata lumea.

O altă componentă a viermelui a fost una care descărca și executa un program infectat anterior, sub mai multe nume, cele mai cunoscute fiind “WIN-BUGSFIX.EXE” sau “Microsoftv25.exe”. Acesta este un program care fură parolele de email salvate în clientul de email folosit.

Se presupune ca ILOVEYOU a fost scris de Burningice & Moon, iar troianul pe care îl folosește, numit The Barok, se presupune ca a fost scris de dark_teck, un student filipinez.

iloveyou

Al doilea virus este Mydoom

Mydoom, cunoscut și sub numele W32.MyDoom@mm, Novarg, Mimail.R sau Shimgapi, este un virus informatic care afecteaza computerele care au ca sistem de operare Windwos (nimic nou nu-i așă). Apariția și-a făcut-o pe 26 Ianuarie 2004 si a devenit viermele cu cea mai rapidă rată de infecție cunoscută vreodată, depășind recordul stabilit de viermele Sobig.

În principal, Mydoom s-a transmis prin emailuri, care semănau cu rezultatul unei erori de trimitere, cu linii în subiect ca: “Error”, “Mail Delivery System”, “Test” sau “Mail Transaction Failed”, scrise în diferite limbi. Emailul trimis, conține un atașament, care odată executat, retrimite viermele la toate adresele de email din fișierele aflate în computerul infectat și de asemenea la întreaga agendă a clientului de email. Apoi, se copiază singurel în toate directoarele partajate în KaZaA, împrăștiindu-se apoi și de aici.

Se pare că a fost făcut în interes de spam, așa că a fost responsabil cu trimiterea de emailuri care mai de care mai multe și frumoase din computerele infectate. Prin codul său, a fost găsit textul “andy; I’m just doing my job, nothing personal, sorry,” în urma căruia, s-a presupus că este un vierme scris la comandă, cu dedicație cum s-ar zice. Prin asemănarea codului, și maniera de scriere, s-a presupus că provine din Rusia, dar acest lucru nu a putut fi dovedit niciodată. Autorul lui este în continuare necunoscut.

mydoom

imagine de la F-Secure Corp.

Al treilea virus de care vreau sa povestesc și a cărui amintire încă îmi ridică puțin așa părul pe la ceafă este: Blaster

Viermele Blaster (zis și Lovsan sau Lovesan) este un virus informatic, care ataca computerele care au ca sistem de operare Windows XP și Windows 2000.
Acțiunea lui s-a făcut simțită pe 11 August 2003, când a început să lovească. Rata sa de răspândire, a crescut foarte tare, ziua cea mai “neagră” fiind 13 August 2003. Datorită faptului că ISP-știi s-au mișcat destul de repede și bine, virusul a fost filtrat iar publicitatea făcută pe marginea lui au făcut ca răspândirea sa să se reducă simțitor.
Scopul virusului a fost să pornească un flood SYN pe 15 Auggust 2003 împotriva portului 80 de al domeniului windowsupdate.com și să “scoată din priză” serverul printr-un atac DDoS. Din puntul de vedere al stricăciunilor, acestea au fost reduse, petru că ținta a fost windowsupdate.com ci nu windowsupdate.microsoft.com spre care s-ar fi dorit apoi a fi redirectat. Microsoft a oprit temporar site-ul cu pricina, pentru a minimiza efectul atacurilor. După cum ziceam, viermele infectează doar sistemele Windows 2000 sau Windows XP (32 bit) dar poate produce instabilitatea serviciilor RPC pe computerele care rulează Windows NT, Windows XP (64 bit), și Windows Server 2003. De asemenea, dacă găsește o conexiune la Internet, fie ea dial-up sau cablu, produce instabilitatea intregului sistem, astfel încât acesta se va afișa următorul mesaj pentru 60 de secunde, apoi se va restarta.

blastersov0

imagine de la F-Secure Corp.

Viermele are în codul său două mesaje ascunse. Primul este :

I just want to say LOVE YOU SAN!!

De asta a fost uneori numit Lovesan. Al doilea mesaj:

billy gates why do you make this possible ? Stop making money and fix your software!!

Mesaj direct către Bill Gates.

Al patrulea este viermele Sobig

Viermele  Sobig a reușit să infecteze milioane de computere conectate la Internet și având sisteme de operare WIndows în luna August 2003. A fost compilat în Microsoft Visual C++, și comprimat folosind tElock. Au existat foarte multe variante ale Sobig, varianta cea mai distrugătoare fiind Sobig.F

sobig

Este denumit vierme, pentru că se reproduce singur, dar este de asemenea și ceea ce se numește un cal troian, pentru că în el se ascunde alt malware. Sobig se vine într-un email care conține textul “See the attached file for details” sau “Please see the attached file for details.” Varianta .F, s-a dezactivat singură pe 10 Septambrie 2003, iar pe 5 Noiembrie, în același an, Microsoft a anunțat că va plăti 250000dolari americani pentru informații care să ducă la asrestarea creaturului/creatorilor Sobig. Se pare că degeaba, până azi nu există informații ca cineva ar fi fost pus sub acuzare pentru asta.

Un alt virus interesant, a fost Code Red

codered

Viermele Code Red, a fost observat in 2001 pe 13 Iulie. Ținta lui sunt computerele care ruleaza serverul de web Microsoft’s IIS. Deși a fost lansat pe 13 Iulia, cel mai mare număr de computere infectate a fost pe 19 Iulia în 2001. În această zi numărul de computere infectate a ajuns la 359000.

Code Red a avut ca efect blocarea serverelor IIS și afișarea mesajului: HELLO! Welcome to http://www.worm.com! Hacked By Chinese! (Acest mesaj a ajuns să fie folosit ca denumire generică a atacurilor online). După ce se instala, încerca să se împrăștie spre alte servere cu IIS, apoi după 20-27 de zile, lansa de pe serverul virusat atacuri asupra unei liste fixe de adrese IP. Printre IP-urile atacate s-au aflat si serverul de web al Casei Albe 🙂

Nu pot să nu amintesc și de CIH

CIH, cunoscut și ca Chernobyl sau Spacefiller, este un virus informatic scris in Taiwan, de Chen Ing Hau. Este considerat unul din cei mai periculoși viruși, pentru că are posibilitatea de a rescrie informația pe discurile computerelor infectate și mai ales, uneori reușește să strice si BIOS-ul computerului.

Numele “Chernobyl Virus” a fost atribuit după ce virusul devenise cunoscut deja ca CIH, și face referire la coincidența dintre data de acțiune a unor variante ale lui și data accidentului de la Cernobîl (26 Aprilie 1986). În zilele noastre, e destul de puțin răspândit pentru că deja toată piața antivirus îl cunoaște, dar și datorită faptului că afectează doar computerele cu sisteme de operare mai vechi Windows 9x. În 2001 a mai avut o apariție, în combinație cu o variantă a viermelui Loveletter, într-o rutină VBS care se ascundea în spatele unei poze nud cu Jenifer Lopez.

cih

Din aceeași perioadă cu Code Red, nu pot să nu amintesc de Klez.

virus_klez_pcc

Klez e tot un vierme care se propagă prin emailuri. A apărut pe la sfârșitul lui 2001. Acum sunt nenumărate versiuni ale sale, toate cu același efect – infectarea computerelor care rulează Windows, exploatând o vulnerabilitate a “minunatului” Internet Explorer, dar și a Microsoft Outlook și Outlook Express.

Mesajul prin care viermele se propagă, include o porțiune text și unul sau mai multe atașamente. Porțiunea de text, este o secvența de cod HTML, care printr-un frame forțează clientul de email să execute viermele, sau mai pot fi găsite câteva linii de text care indică celui care primește emailul să execute viermele prin deschiderea atașamentului. Primul atașament este întotdeauna corpul virusului, restul pot varia, funcție de ce găsește pe discul calculatorului de la care s-a transmis. variantele mai noi, folosesc o adresă falsă la “From” și aleg la afișare o adresă din agenda Outlook sau Outlook Epress, astfel devine destul de greu pentru utilizator să identifice care este mașina infectată care retransmite virusul.

Un alt virus interesant este Melissa

melissa

Cunoscut și ca “Mailissa”, “Simpsons”, “Kwyjibo”, sau “Kwejeebo”, Mellisa este un vierme care folosește macrourile Word (97 și 2000) pentru a trimite emailuri. Prima dată a fost sesizat pe 26 Martie 1999. Deși nu a fost inițial conceput să fie un virus distructiv, Melissa a blocat ceva servere de email, din cauza supraîncărcării cu emailuri. Se împrăștie prin documente Word (97 și 2000) și se transmite prin Outlook 97 sau Outlook 98. Nu s-au găsit variante care să funcționeze cu alte versiuni Word, nici mai vechi, nici mai noi. Melissa a fost distribuit prima dată în grupul de discuții alt.sex de pe Usenet. Virusul venea într-un fișier numit “List.DOC” care susținea că ar conține parole de acces pentru 80 de siteuri porno.

Un alt virus care a făcut un număr mare de victime este Sasser

Sasser (cunoscut și ca Big One) este un vierme care afectează computerele care rulează Windows XP și 2000. Ca toți viermii, Saser se împrăștie exploatând o vulnerabilitate a porturilor de rețea. Fiind un virus destul de bine scris, poate să se răspândească chiar fără a avea nevoie de ajutorul utilizatorului. Dar de asemenea, poate fi ușor identificat dacă pe computer este un firewall instalat și configurat corespunzător, dar și dacă computerul este la zi cu actualizările sistemului de operare. Sasser a fost prima dată văzut în acțiune pe 30 Aprilie 2004. Numele de Saser vine de la componenta pe care o exploateaza pentru a se răspândi, el cauzând un supraîncărcare a componentei LSASS pe sistemele pe care le infectează. Dintre cei care au transpirat din cauza lui, nu pot să nu amintesc France-Presse care au avut câteva ore toate comunicațiile clocate, sau Delta Air Lines, care a ajuns din cauza Saser să anuleze câteva zboruri trans-atlantice.

sasser

Inițial s-a crezut ca vine din Rusia, și că ar fi făcut de aceleași persoane care au făcut Lovsan, MSBlast sau Blaster datorită asemănărilor de cod, dar pe 7 Mai în 2004, un student german din Rotenburg a fost arestat, fiind acuzat de scrierea virusului.

Am ajuns să povestesc de al zecelea virus… Ăsta este Bagle

bagle-az

Bagle sau Beagle alt vierme responsabil cu trimiterea de emailuri aiurea. Acesta afectează toate variantele Windows, și de câte ori cei de la Microsoft au zis că au înlăturat vulnerabilitatea sistemelor, acest virus a dovedit contrariul. Prima sa variantă nu s-a împrăștiat prea tare, însă, De la Bagle.B, acțiunea sa a devenit mult mai virulentă. El folosește un motor SMTP intern și se transmite ca atașament al emailurilor trimise la toate adresele de email din agenda computerului infectat. Din 2004 toate variantele care au mai apărut nu au mai avut raza de împărțire foarte ridicată, astăzi el este considerat un virus cu răspândire scăzută.

Penultimul virus pe care îl amintesc este Win32/Simile

simile

Win32/Simile sau Etap este un virus metamorfic, scris în limbajul de ansamblare al Microsoft Windows. Versiunea cea mai recentă, datează din Martie 2002.

După ce a infectat computerul, Win32/Simile verifică data sistemului. În computerul gazdă suprascrie fișierul User32.dll, apoi pe 17 Martie, Iunie, Septembrie sau Decembrie, afișează un mesaj. În funcție de variantă, literele de pe tastatură vor fi interpretate greșit, și nu vor mai corespunde tastelor normale. Pe 14 May mesajul “Free Palestine” va fi afișat dacă sitemul are setate ca zonă locală Israel. După asta, virusul se reconstruiește. Procesul este unul foarte complex, la final aproape 90% din codul său fiind rescris. După ce s-a reconstruit, cauta in tot discul dar și în rețea fișierele executabile.

Virusul va avea grijă să nu “deranjeze” fișierele capcană generate de programele antivirus. Procesul de infecție este specific fiecărui computer gazdă și depinde de foarte mulți factori.

Și ultimul pe ziua de azi Nimda

Nimda a fost izolat în Septembrie 2001. Este de asemenea un virus de fișiere. Se împrăștie extrem de repede, depășind la capitolul pierderi economice viruși precum Code Red sau CIH. Multiplele metode de propagare au făcut din Nimda virusul cel mai răspândit în Internet în doar 22 de minute. La momentul apariției, au fost speculații cum că ar fi fost comandat de  Al Qaeda. Virusul afectează sistemele Windows atât stații de lucru cât și servere. Numele Nimbda este citit în sens invers “admin”.

Căile de propagare au fost:
-prin email
– prin directoarele partajate în rețea
– vizitând siteurile infectate
– exploatând diverse vulnerabilități ale Ms IIS 4.0 / 5.0.
– prin găuri de securitate făcute de alți viermi cum au fost “Code Red II” și “sadmind/IIS”

Această listă de viruși ar trebui să dea de gândit celor care se hotărăsc să folosească Microsoft Windows, legal sau nu, fără a se asigura cu licențele unui firewall bun și de asemenea, un antivirus care să ofere protecție și să se actualizeze zilnic.

Așadar, e mai puțin important cât investești în sistemul de operare, când folosești Windows, licența nu îți asigură datele.

Și așa ca de încheiere vă spun să “Fiți întelepți” atunci când vă alegeți un computer. Deștepții sunt destui pe planeta asta… Înțelepții par să lipsească uneori însă. Alegeți-vă cu grijă computerul, sistemul de operare și aplicațiile. Nu vă chinuiți să fiți parte din masa de test, carne de tun pentru vânzători care nu văd decât cifrele în fața ocghilor și nu le pasă câtuși de puțin de datele voastre. Folosiți acele programe, sisteme de operare care vi se potrivesc, care vă sunt necesare și nu cumpărați ca nemâncații doar de dragul de a aduna facuri. În unele cazuri există variante gratuite sau libere care fac la fel de bine treaba atunci când ești pe Windows, la fel d ebine cum puteți găsi programe comerciale foarte bune pe platforme Linux. Citiți cu atenție instrucțiunile de licențiere și apelați întotdeauna la prietenul Google. El știe de cele mai multe ori să vă arate ce au făcut alții care au ajuns în aceeași situație ca și voi.

Un weekend plăcut tuturor.

3 comments

  • interesant… foarte interesant.
    citesc cu placere articole muncite. chiar iti apreciez efortul

    eu o intrebare am,s-ar putea sa iasa doua :)))
    1. se propaga daca folosesti outlook sau cand te loghezi pe mail? prbabil ambele, cu accent pe varinta a foua
    2. ca sa fii virusat pe mail, nu trebuie sa dai click ca prostu’? 🙂

    week-end placut si tie
    .-= Andrei Pavel – De la mine poti citi blog ..Poezii in week-end: Sonetele tacerii [I, II, III] =-.

    • Se propagă în principal atunci când folosești clienții de email ai lor (Outlook și Outlook Express), marea majoritate explateză vulnerabilitățile la afișarea corpului HTML al mesajului. La începuturi, găseai virușii doar în atașamente, acum practic primești un email aparent inofensiv dar care are în el un i-frame ascus care descarcă și execută local codul de lansare, executare a virusului.

Leave a Reply

Your email address will not be published. Required fields are marked *

CommentLuv badge