Minden idők 10 leghíresebb vírusa

2012. május 31. 15:11 - Csizmazia Darab István [Rambo]

Az összegyűjtött All Time tízes listán olyan emlékezetes kártevők szerepelnek, mint a Word dokumentumokkal terjedő Melissa, a 2000-ben legalább félmillió gépet megfertőző I Love You, vagy a rendszereket 2001-ben drasztikusan lelassító Nimda.

MyDoom
Joggal érdemelte ki a leggyorsabban terjedő e-mail féreg megtisztelő címet még 2004-ben. A féreg kódjában a következő szöveg található: "andy; I'm just doing my job, nothing personal, sorry," ami nagyjából annyit tesz, bocsi, én csak a munkámat végzem, nincs ebben semmi személyes. Károkozását nagyjából 38 milliárd USD összegre becsülték.

Sobig
Ugyancsak kártékony és sok borsot tört az üzemeltetők orra alá a Sobig még 2003-ban. Szintén e-mail útján terjedt több különböző változatban is, és képes volt fájlokat másolni, továbbküldeni, sőt F jelű változata adott URL-ről további kártékony kódokat is letöltött a számítógépre.

ILOVEYOU
Ha valaki 2000-ben egy I LOVE YOU tárgyú levelet kapott, amelyhez egy LOVE-LETTER-FOR-YOU.TXT.vbs melléklet is tartozott, az biztosan emlékszik. A VBScriptben írt féreg futótűzszerűen terjedt, a megfertőzött gépeken megkereste az Outlook címjegyzékét, és az itt talált címekre azonnal továbbküldte magát. Komoly károkozás is történt: a zenei és képállományokat sok esetben jóvátehetetlenül bináris szeméttel írta felül. A Loveletter kivételes eset volt abból a szempontból, hogy szerzőjét, Onel Guzmant sikerült beazonosítani és elfogni, mégis megúszta a büntetést, mert akkoriban a Fülöp-szigeteken még nem létezett ilyen helyzetekre jogszabály.

Conficker
A 2007-ben jelentkező Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos vírusvédelmi webcím is elérhetetlenné válik a megfertőzött számítógépen. Érdekessége, hogy azóta is mind a mai napig még a havi toplisták rendszeres helyezettje.

Code Red
A Code Red (Bady) Microsoft IIS-szervereket támadott 2001-ben, és túlcsordulásos támadással még egy hátsó ajtót is tudott a gépekre telepíteni. Szerverek ezrei estek igen rövid idő alatt áldozatául, fertőzés esetén pedig azonnal további hálózatos gépeket kezdett keresni. Károkozását hozzávetőlegesen 2 milliárd USD összegre taksálják.

Melissa
Ugyancsak fertőzött email mellékletekben közlekedett a Melissa még 1999-ben. MS Word dokumentumok Document_open makróiban tanyázott, és fertőzéskor a felhasználók Outlook címjegyzékében talált címekre automatikusan tovább is küldte magát. Később sikerült kideríteni, hogy a Melissa férget David L. Smith készítette, a károkozását pedig 1.2 milliárd dollárra becsülték.

SirCam
Mindössze hat nappal a 2001. július 18-i felfedezése után a SirCam internetes féreg már az egész világon elterjedt és bizonyítottan az egyik leggyakoribb károkozó programmá vált. A SirCam a fertőzött gép merevlemezén található dokumentumokból véletlenszerűen egyet továbbküldött a vírussal együtt különböző címekre. A féreg által elfoglalt lemezterület okozta károkon kívül figyelmet érdemel a SirCam pusztító rutinja is: 5% esély volt rá, hogy a féreg a Windows mappa minden alkönyvtárát és fájlját kitörölje, így ebben az esetben a gép már nem is indult el.

SQL Slammer
Az SQL Slammer egy olyan számítógépes féreg volt, amely a Microsoft SQL Server 2000 egy befoltozatlan hibáját kihasználva puffertúlcsordulást okozott az adatbázisokban. Sokakban akkor még nem tudatosult, hogy a biztonsági frissítések futtatása mennyire fontos, itt is a Microsoft még 2002-ben kiadott egy javítócsomagot, amit azonban sokan mégsem telepítettek. A Slammernek már az első félórában 75 ezer számítógépet sikerült megfertőznie, becslések szerint pedig 750 millió USD kárt okozhatott.

Nimda
Nimda vírus - amelynek érdekessége, hogy egyszerre négy különböző fertőzési mechanizmust is képes volt alkalmazni (Exe-fertőzés, helyi hálózaton, weben és levelezésen keresztüli terjedés) - megjelenésekor 24 óra leforgása alatt 2.2 millió gépet fertőzött meg. A hosszú távú, hatékony védekezéshez nem volt elég a vírusmentesítés, hanem mindenképpen szükséges volt a megfelelő Microsoft javító állományok lefuttatása is. Mivel a vírus a hálózati kapcsolatokon keresztül is fertőzött, ezért a környezet mentesítésekor szét kellett húzni azt, és minden gépet külön-külön kellett kitakarítani. Csak ezután volt szabad újra hálózatba kapcsolni őket. Érdemes a vírus nevét visszafelé is elolvasni: ADMIN.

Sasser
A 2004-es Sasser a Windows LSASS nevű sebezhetőséget használta ki, szerzője pedig egy német tinédzser volt. A Sasser károkozását körülbelül 500 millió dollárra becsülték. Mivel a Microsoft akkoriban 250 ezer dollár fejpénzt tűzött ki a kártevő szerzőjére, viszonylag gyorsan el is kapták, köszönhetően egy meg nevezett "barátjának", aki a pénzért feldobta. 

41 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

The Great Destroyer 2012.05.31. 22:53:10

Mókásak ezek a vírusizék, windózos rendszergazdaként már elég sokfélével találkoztam, azthiszem egyedül az albán-vírus nem volt még terítéken. Itthon baromira nem érdekelnek ezek a dolgok, almás PowerPc G5 quad/moddolt freebsd kombóra nem igazán van vírus :).

Pobjeda elvtárs 2012.05.31. 22:57:55

Az Elk Clonert, vagy a Creepert is meg lehetett volna említeni :D

tocibacsi 2012.05.31. 23:31:15

Your PC is now Stoned!

tocibacsi 2012.05.31. 23:31:50

avagy hány éves a szerző?

tocibacsi 2012.05.31. 23:51:00

@And37: bezony... ezek a felsorolt szarságok valóban hatékonyan terjedtek, de ugye ma már van min...

WinG 2012.05.31. 23:58:15

ah, és hol a michelangelo virus? nem is volt igazan meno az a 90-es evekben, akinek nem volt megfertozve ezzel a gepe

Chessterfield 2012.06.01. 00:04:24

Michelangelo, Stoned, Andromeda.

scan c:
clean c:

aFx 2012.06.01. 00:18:03

és a chernobyl? nomeg a zseniális újraindítgatós vírus? mindkettő tömegesen fertőzött.

Fül~orr~régész 2012.06.01. 00:20:18

@And37: Hu az milyen szemet volt, de utaltam...

gabest1 2012.06.01. 07:10:16

aFx +1, nincs CIH, komolytalan :D

twollah / bRoKEn hOPe, sUppLeX · http://freewaresoftwarenews.blogspot.com/ 2012.06.01. 07:21:37

Az XP ujraindito virust en is osszeszedtem.
Kb. 10 perccel miutan felraktam az XP-t es beizzitottam a halokartyat, ADSL-t.
Volt orom.

NextGeneration 2012.06.01. 07:28:26

...és a jó kis OneHalf a régi szép időkből???

liksoft 2012.06.01. 08:07:55

Á..... ezek gyerekek. Bezzeg a jó öreg potyogós.....

Sadist 2012.06.01. 08:21:05

Ahogy az várható volt, a legnagyobb károkat okozó vírusok mind az emberi ostobasággal terjedtek.

Torzonborz Torkosborz (törölt) 2012.06.01. 08:21:22

Bár 1996 óta van számítógépem, de ezen vírusok egyikével sem találkoztam. Szerencse, vagy az informatika ismerete?
Mindenki döntse el maga...

Papírzsepi · http://lemil.blog.hu 2012.06.01. 08:28:46

Na igen. A "Minden idők" nem 2000-ben kezdődik. Márpedig a netes korszak előtti vírusoknak gyakran kifinomultabb módszereket kellett választaniuk a terjedéshez. Megérdemeltek volta pár pontot a listán.

Meg ugye ne is beszéljünk a C64-en (!) terjedő vírusról, mely a program betöltődése alatt (!) írta ki magát floppyra, hozzácsapva magát az ott talált programokhoz. Az egyik legelső vírus volt, amivel átlagember találkozhatott.

Az ilyen listázáskor sosem az abszolút számokat kell figyelembe venni, hanem hogy a saját korában mennyire volt korszakalkotó. Ez a poszt-tolónak nem sikerült, talán legközelebb.

Még valami: Hol van pl. Stuxnet, mint a cyber-hadviselés első komolyabb eszköze?

Nomante 2.0 2012.06.01. 09:18:15

One-Half... az volt a legköcsögebb virus amit valaha láttam...

Macropus Rufus 2012.06.01. 09:23:53

nekem az első vírusom az a Tai-Pan nevű okosság volt. Exe állományokat fertőzőtt. Ha jól emléxem akkor 438byte-al növelve a méretét a file-nak. Ha az ember belenézet a Norton alatt egy F3-al akkor a fertőzött file vége felé azt találtha bele írva a file-ba, hogy "[Whisper presenterar Tai-Pan]"
ha jól emléxem azon kívűl, hogy 438byte-al növelte minden exe file méretét semmit nem csinált.

A feljebb már említett OneHalf is meg volt, a fene essen belé, addíg szaroztam a leszedésével, hogy a végén a tényleg nem fértem hozzá a vinyóm feléhez :D

Mindfield 2012.06.01. 09:30:23

@Macropus Rufus: Valami ilyesmi volt a Doom II Death is.

Macropus Rufus 2012.06.01. 10:06:28

az a Tai-Pan.666 volt engem szerencsére a Tai-Pan.438 fertőzött meg. Ahhány ház annyi név. :)
Pl. az F-Secure Virus.DOS.TaiPan.Doom2.666-nak hívta.

Grabbe · http://www.hirstart.hu/ 2012.06.01. 10:11:26

Nekem egyedül az ILOVEYOU & az a gépet automatikusan újraindító vírus volt meg - tegyük hozzá: szerencsére; de azért érdekes volt elolvasni, hogy miket sikerült megúsznom...

Gza 2012.06.01. 10:14:51

no és a Potyogós Vírus?

SemBoga 2012.06.01. 10:51:58

michelangelo!

egyébként ha valaki azt magarázza, hogy neki ugyan sose volt vírusos a gépe, az honnét tudja? :) a legtöbb mai vírus csak használja a gépet a maga céljára, a user elvileg nem is nagyon érzékeli a vírust

Macropus Rufus 2012.06.01. 11:38:58

@SemBoga: jó a kérdés :)

elvileg senki nem lehet benne biztos, hogy nincs valami a gépén. Hiszen ha jó a kód, akkor senki nem fogja észrevenni, pláne akkor ha egy még ismeretlen program végzi a támadást.

Macskond 2012.06.01. 13:09:47

Ahogy már többen írták : Stoned, és a OneHalf érdemtelenül maradt ki.
A stoned-ot egy csak floppys XT-vel sikerült úgy elkapni hogy a bitbuzerátor évfolyamtársam vissza is fejtette.
"Water detected in coprocessor" ! :-)

gothmog 2012.06.01. 18:23:37

A Yankee Doodle? Hogy az mekkora egy humorherold volt! Ráadásul egy játék nem futtatható állományában bújkált, úgyhogy a „Scan/Clean”(meg nem mondom, melyik céghez tartozott) -vírusírtó eszköz meg se találta, mert csak az exe-kben, com-okban keresett. Aztán egyszer csak lett egy chkvir nevű progi, ami megtalálta abban az egy állományban, és végre teljesen leírtotta.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2012.06.01. 20:45:47

Hűű, erre értem haza, mennyi komment! Először is maximális riszpekt mindenkinek, aki hozzászólt, nosztalgiázott. Neki is látok a válaszoknak...

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2012.06.01. 20:56:04

Valóban sok "nagyágyú" kimaradt ebből a felsorolásból, de akkor nem is top10 lenne a címe ;-)

Volt olyan szerencsém már a kezdet kezdetétől benne lennia témában, a C64-es drive fejpozíciót elrontó cucctó kezdve a CIH-en át a potyógós vírusig:
antivirus.blog.hu/media/image/pdf/199881214_cwi.pdf

A potyogós kódját például akkori C tanárommal, Pethő Ádámmal nézegettük, elemezgettük, jó kis muri volt.

Nagyvállalati munkahelyemen a Stoned és a Dir2Fat soha nem múló emlékeket, és ősz hajszálakat okozott, ja és a Blaster volt még egy orbitális nagy szemétláda, mikor számolt vissza a rebootig például a határidős munka közepén ;-)

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2012.06.01. 21:02:11

@Tocibacsi: Hat régi motoros, még bejárta a fát a lyukkártya, lyukszalag, kalapácsos nyomtató, zx81, spectrum, c64, xt, at, 286, 386, 486, pentium útvonal mentén.
plus.google.com/101748239197085858341/about?hl=hu

Annak idején Kis Jancsi írt sok érdekes cikket a vírusokról, mindent elolvastam, CWI Számítastechnika, Chip, Computer Panora, Alaplap, sőt még heti Chip is volt vírusőrjárat sorozattal, meg könyveket is írt. Például a Whale vagy a Mutation Engine még mai szemmel is egy elképesztően profi elmeszülemény.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2012.06.01. 21:06:16

Na felrúgom a sorrendet, a Volán Tefunál is húztam egy darabig az igát, és igen, a Yankee Doodle is felejthetlen volt, akár egy Frédi-Bénis kőfejtős dinókürt: 17 óra, lehet szépen hazamenni... Boldog béke idők, amikor havonta floppyn jelent meg (vagy BBS-ről letöltve) az új antivirus, és száz, ezer volt a nagyságrend, nem >70 millió, mint most.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2012.06.01. 21:10:07

@And37: Igen, az is megvolt, One Half. Nem nekem, egy munkatársnak, és igazán büszkék lehetünk arra, hogy a magyar Leitold Feri írta meg a visszakododó cuccost hozzá, mi is azt használtuk.

Az meg van valakinek, mikor ők még CS & Egér néven CHKVIR nevű programot csináltak Tábor Csabával, és a BME V2 laborba lehetett menni floppyval az új verziókért?

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2012.06.01. 21:14:34

@Papírzsepi: Jogos a zsörtölődés, egyszer majd tényleg csinálunk egy ennél bővebb saját válogatást, könnyes hazai emlékezésekkel, tényleg van miből meríteni.

A Stuxnet is kiemelkedik persze a mezőnyből, de az szerintem még annyira friss, hogy most inkább korábbi történelmi darabok szerepeltek abban az eredeti cikkben, amit lefordíttam.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2012.06.01. 21:19:37

Na ha már nosztalgia, arra emlékszik valaki, mikor a Chip CD mellékletére HDDKiller fertőzés került, és még a Déli Krónikában is bemondták, senki ne használja a lemezt? Később pedig aztán volt a PC Guru esete a CIH-hel.
www.antivirus.hu/virved/displayer.php?site=antivirus&page=60.15.3.5.1

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2012.06.01. 21:22:18

@gothmog: A Scan és Clean anno McAfee stuff volt, külön EXE fájlokban az egyik csak detektált, a másik csak irtott.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2012.06.01. 21:40:21

A Péntek 13 (Jerusalem) mellett azért ez az Ambulance is egy nagy királyság volt Anno Decibel :-)

Színes, szagos, szélesvásznú videós kártevő leírás.
www.eset.hu/virus/ambulance-796-b

Fantomász 2012.06.06. 20:32:27

@Csizmazia István [Rambo]: Én vettem is anno az ominózus chip-ből, de a vírusos lemezt a kifejezett kérésem ellenére sem adták oda :( :)

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2012.06.06. 21:32:16

Hello Fantomász!

A Chip-es már nekem sincs sajnos meg, úgy nagyjából a sokadik költözködés után az ilyesmik már simán áldozatul estek.

Próbáltam még ezt, meg a CIH-es Gurut vadászni a Vaterán, de sajna pont ezek az ereklyének számító példányok már nem voltak meg senkinek.

gothmog 2012.06.09. 20:42:47

@Csizmazia István [Rambo]: hű, hát én kb két éve beleszórtam az összes régi újságmelléklet cd-t egy dobozba, és felvittem a padlásra. Hogy ez a 98 augusztusi darab közte volt-e, azt nem tudom, meg azt se, hogy milyen állapotban lehet most, de ha érdekel, megpróbálhatom előkotorni.
süti beállítások módosítása