Artikel top billede

20 års angreb på Windows: Meddelelserne angriber

Del 3: Microsofts Windows har været mål for hundredetusindvis af angreb gennem 20 år. Udviklingen tog en skarp drejning med lanceringen af den berygtede Chernobyl-virus.

Læs også:

Del 1: De første tumlende angrebsbølger.

Del 2: De frygtede macro-vira.

Den Windows-specifikke malware skiftede endnu engang gear, da den taiwanske programmør Chen Ing Ha skabte virussen CIH (også kaldet Chernobyl), som tog stealth-inficering til helt nye højder.

Ved hjælp af spidsfindigheder ved filformatet Portable Executable kunne CIH gemme sig selv i de dele af en .exe-fil, der ligger mellem hovedsektionerne og derved inficere filer uden at ændre deres størrelser.

De pc-brugere, der var uheldige nok at have pådraget sig en sådan interstitiel inficering på Windows 95, 98 eller ME, fandt 26. april 1999 deres pc'er i en katatonisk tilstand, de ikke kunne vækkes fra igen.

CIH var en katastrofal virus, men den spredte sig heldigvis ikke uden videre.

Nu fremkom e-mails som en stærk leverings-mekanisme, hvilket da heller ikke blev overset af de banditter, der skræmte millioner af mennesker med den løgnagtige Good Times-spøg, der forsøgte at bilde folk ind, at hvis de læste en e-mail med emnet "Good Times," ville deres harddisk blive ødelagt.

Happy New Year

Det næste store "fremskridt" i malware-teknologi ankom som fyrværkeri i et vindue med titlen "Happy New Year 1999!"

Virussen Happy99, der også blev kaldt SKA, inficerede ved at kapre kommunikations-biblioteket Wsock32.dll.

Sendte man en e-mail fra en inficeret maskine, ville den falske Wsock32.dll levere meddelelsen og derefter sende en ekstra, tom e-mail til samme modtager med en vedhæftet fil, der som regel hed Happy.exe.

Hvis modtagerne kører denne fil, får de til gengæld noget fyrværkeri - og en slem inficering.

Før Happy99 fandtes der anden malware, der udnyttede Windows med den samme slags teknik, men Happy99 havde den fremsynethed at overtage kommunikations-rutinen og kunne derved sprede sig meget hurtigt.

Hvad der forværrede sagen var, at Microsoft fra og med Windows 95 holdte op med som standard at vise filendelserne, så de fleste brugere, der modtog filen Happy99.exe, så kun filnavnet "Happy99" - og klikkede derfor alt for ofte på den.

Skannede adressebog

David L. Smith fra New Jersey skrev Word-macro-virussen Melissa, der skannede den inficerede pc's adressebog fra Outlook og sendte kopier af sig selv til de første 50 kontakter.
Det var den første succesfulde inkarnation af mange efterfølgende spam-genererende virusser på Windows.

Melissa var så produktiv, at den bragte Exchange-servere over hele verden i knæ 26. marts 1999.

En enkelt server modtog ifølge CERT 32.000 kopier af Melissa på blot 45 minutter.

Smith afsonede en fængselsstraf på 20 måneder for sine 'bedrifter.'

Læs mere om Anna Kournikova, ExploreZip, Sircam og ILOVEYOU på næste side.

Læs også:

Del 1: De første tumlende angrebsbølger.

Del 2: De frygtede macro-vira.

Anna Kournikova, ExploreZip, Sircam og ILOVEYOU

Læs også:

Del 1: De første tumlende angrebsbølger.

Del 2: De frygtede macro-vira.

Flere måneder senere brugte en anden destruktiv virus, ExploreZip, også adressebogen i Outlook til at føre sig selv videre.

Den havde ydermere den modbydelige vane at slette Office-dokumenter ved at overskrive dem.

I slutningen af det 20. århundrede begyndte malware-udviklerne at udnytte Visual Basic Script, der fortolkes via Microsofts Windows Script Host.

Denne tilgang ville blive voldsomt populær i de efterfølgende år.
BubbleBoy-virussen gennemførte det første succesfulde drive-by-angreb.

Hvis nogen sendte dig en inficeret e-mail - der var ikke behov for nogen vedhæftet fil - og du åbnede den i Outlook eller så en forhåndsvisning af den i Outlook Express, så var du i problemer.

BubbleBoy benyttede sig af HTML og Outlooks tilbøjelighed til at køre indlejrede Visual Basic-scripts uden advarsel.

Roden til problemet

Dengang brugte Outlook Internet Explorer til at vise HTML-baserede e-mails. Selvom man aldrig så noget specifikt til IE, så lå den og lurede i baggrunden og kørte VBS-programmer uden at spørge om lov.

Flere år senere brugte ormen Klez samme tilgang dog med et andet sikkerhedshul.

5. maj 2000 ramte ILOVEYOU-ormen og pc'erne blev aldrig de samme igen.

Den inficerede fil ankom vedhæftet til en e-mail og ormen udgjorde en bemærkelsesværdigt effektiv demonstration af teknikker til social engineering, som stadig bruges den dag i dag.

I love you

I e-mailens emnefelt stod der ILOVEYOU og den vedhæftede fil hed LOVE-LETTER-FOR-YOU.TXT.vbs.

Da Windows automatisk gemte filendelsen .vbs, skød mange mennesker (heriblandt en senior chef fra Microsoft, siges det) sig selv i foden ved at dobbeltklikke på, hvad der tilsyneladende var en harmløs tekstfil i .txt-formatet - den samme fatale fejltagelse, som Happy99-ormen udnyttede.

ILOVEYOU overskriver mange forskellige slags filer og gennemgår derefter adressebogen i Outlook, hvorefter den sender kopier af sig selv til hver eneste kontaktperson i stil med virussen Melissa.

Den begyndte at sprede sig 4. maj 2000. 13. maj var 50 millioner pc'er inficerede.

Der fulgte mange voldsomt succesfulde malware-angreb i ILOVEYOU's tekniske fodspor.

I 2001 ankom ormen Anna Kournikova i en fil ved navn AnnaKournikova.jpg.vbs vedhæftet en e-mail. Sircam snuppede et Word- eller Excel-dokument fra den inficerede pc og sendte en inficeret version af filen af sted ved hjælp af samme teknik.
På den måde blev der sendt mange fortrolige eller følsomme oplysninger rundt til uventede modtagere. Sircam spredte sig også ved at kopiere sig selv ud på netværksdrev.

Oversat af Thomas Bøndergaard

Læs også:

Del 1: De første tumlende angrebsbølger.

Del 2: De frygtede macro-vira.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Konica Minolta Business Solutions Denmark A/S
Salg af kopimaskiner, digitale produktionssystemer og it-services.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

21. november 2024 | Læs mere


Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere