Artikel top billede

20 års angreb på Windows: Meddelelserne angriber

Del 3: Microsofts Windows har været mål for hundredetusindvis af angreb gennem 20 år. Udviklingen tog en skarp drejning med lanceringen af den berygtede Chernobyl-virus.

Læs også:

Del 1: De første tumlende angrebsbølger.

Del 2: De frygtede macro-vira.

Den Windows-specifikke malware skiftede endnu engang gear, da den taiwanske programmør Chen Ing Ha skabte virussen CIH (også kaldet Chernobyl), som tog stealth-inficering til helt nye højder.

Ved hjælp af spidsfindigheder ved filformatet Portable Executable kunne CIH gemme sig selv i de dele af en .exe-fil, der ligger mellem hovedsektionerne og derved inficere filer uden at ændre deres størrelser.

De pc-brugere, der var uheldige nok at have pådraget sig en sådan interstitiel inficering på Windows 95, 98 eller ME, fandt 26. april 1999 deres pc'er i en katatonisk tilstand, de ikke kunne vækkes fra igen.

CIH var en katastrofal virus, men den spredte sig heldigvis ikke uden videre.

Nu fremkom e-mails som en stærk leverings-mekanisme, hvilket da heller ikke blev overset af de banditter, der skræmte millioner af mennesker med den løgnagtige Good Times-spøg, der forsøgte at bilde folk ind, at hvis de læste en e-mail med emnet "Good Times," ville deres harddisk blive ødelagt.

Happy New Year

Det næste store "fremskridt" i malware-teknologi ankom som fyrværkeri i et vindue med titlen "Happy New Year 1999!"

Virussen Happy99, der også blev kaldt SKA, inficerede ved at kapre kommunikations-biblioteket Wsock32.dll.

Sendte man en e-mail fra en inficeret maskine, ville den falske Wsock32.dll levere meddelelsen og derefter sende en ekstra, tom e-mail til samme modtager med en vedhæftet fil, der som regel hed Happy.exe.

Hvis modtagerne kører denne fil, får de til gengæld noget fyrværkeri - og en slem inficering.

Før Happy99 fandtes der anden malware, der udnyttede Windows med den samme slags teknik, men Happy99 havde den fremsynethed at overtage kommunikations-rutinen og kunne derved sprede sig meget hurtigt.

Hvad der forværrede sagen var, at Microsoft fra og med Windows 95 holdte op med som standard at vise filendelserne, så de fleste brugere, der modtog filen Happy99.exe, så kun filnavnet "Happy99" - og klikkede derfor alt for ofte på den.

Skannede adressebog

David L. Smith fra New Jersey skrev Word-macro-virussen Melissa, der skannede den inficerede pc's adressebog fra Outlook og sendte kopier af sig selv til de første 50 kontakter.
Det var den første succesfulde inkarnation af mange efterfølgende spam-genererende virusser på Windows.

Melissa var så produktiv, at den bragte Exchange-servere over hele verden i knæ 26. marts 1999.

En enkelt server modtog ifølge CERT 32.000 kopier af Melissa på blot 45 minutter.

Smith afsonede en fængselsstraf på 20 måneder for sine 'bedrifter.'

Læs mere om Anna Kournikova, ExploreZip, Sircam og ILOVEYOU på næste side.

Læs også:

Del 1: De første tumlende angrebsbølger.

Del 2: De frygtede macro-vira.

Anna Kournikova, ExploreZip, Sircam og ILOVEYOU

Læs også:

Del 1: De første tumlende angrebsbølger.

Del 2: De frygtede macro-vira.

Flere måneder senere brugte en anden destruktiv virus, ExploreZip, også adressebogen i Outlook til at føre sig selv videre.

Den havde ydermere den modbydelige vane at slette Office-dokumenter ved at overskrive dem.

I slutningen af det 20. århundrede begyndte malware-udviklerne at udnytte Visual Basic Script, der fortolkes via Microsofts Windows Script Host.

Denne tilgang ville blive voldsomt populær i de efterfølgende år.
BubbleBoy-virussen gennemførte det første succesfulde drive-by-angreb.

Hvis nogen sendte dig en inficeret e-mail - der var ikke behov for nogen vedhæftet fil - og du åbnede den i Outlook eller så en forhåndsvisning af den i Outlook Express, så var du i problemer.

BubbleBoy benyttede sig af HTML og Outlooks tilbøjelighed til at køre indlejrede Visual Basic-scripts uden advarsel.

Roden til problemet

Dengang brugte Outlook Internet Explorer til at vise HTML-baserede e-mails. Selvom man aldrig så noget specifikt til IE, så lå den og lurede i baggrunden og kørte VBS-programmer uden at spørge om lov.

Flere år senere brugte ormen Klez samme tilgang dog med et andet sikkerhedshul.

5. maj 2000 ramte ILOVEYOU-ormen og pc'erne blev aldrig de samme igen.

Den inficerede fil ankom vedhæftet til en e-mail og ormen udgjorde en bemærkelsesværdigt effektiv demonstration af teknikker til social engineering, som stadig bruges den dag i dag.

I love you

I e-mailens emnefelt stod der ILOVEYOU og den vedhæftede fil hed LOVE-LETTER-FOR-YOU.TXT.vbs.

Da Windows automatisk gemte filendelsen .vbs, skød mange mennesker (heriblandt en senior chef fra Microsoft, siges det) sig selv i foden ved at dobbeltklikke på, hvad der tilsyneladende var en harmløs tekstfil i .txt-formatet - den samme fatale fejltagelse, som Happy99-ormen udnyttede.

ILOVEYOU overskriver mange forskellige slags filer og gennemgår derefter adressebogen i Outlook, hvorefter den sender kopier af sig selv til hver eneste kontaktperson i stil med virussen Melissa.

Den begyndte at sprede sig 4. maj 2000. 13. maj var 50 millioner pc'er inficerede.

Der fulgte mange voldsomt succesfulde malware-angreb i ILOVEYOU's tekniske fodspor.

I 2001 ankom ormen Anna Kournikova i en fil ved navn AnnaKournikova.jpg.vbs vedhæftet en e-mail. Sircam snuppede et Word- eller Excel-dokument fra den inficerede pc og sendte en inficeret version af filen af sted ved hjælp af samme teknik.
På den måde blev der sendt mange fortrolige eller følsomme oplysninger rundt til uventede modtagere. Sircam spredte sig også ved at kopiere sig selv ud på netværksdrev.

Oversat af Thomas Bøndergaard

Læs også:

Del 1: De første tumlende angrebsbølger.

Del 2: De frygtede macro-vira.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Despec Denmark A/S
Distributør af forbrugsstoffer, printere, it-tilbehør, mobility-tilbehør, ergonomiske produkter, kontor-maskiner og -tilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere