Em 1990 o mundo começou a ser invadido por inúmeros vírus provenientes da Bulgária (exemplo seguido rapidamente pela Rússia), onde um personagem, que se auto-intitulava "Dark Avenger", se destacou com vírus que introduziam novas idéias:
A primeira foi o método do "fast infector", otimizando a virulência dos seus vírus. Quando um vírus "fast infector" está residente em memória a simples leitura do arquivo aciona o processo de contaminação.
A segunda inovação dos vírus de Dark Avenger é a forma sutil provocar danos. O Dark Avenger-1800 ataca ocasionalmente algum setor do disco rígido, de forma a permanecer quase que imperceptível.
Além da série de vírus denominados "Dark Avenger", outros como o Number-of-the-Beast e o Nomeklatura provêm da mesma fonte. O personagem "Dark Avenger" também se notabilizou pela maneira de distribuir seus vírus: ele os uplodeava em BBSs em sharewares de anti-vírus contaminados, além de distribuir pelo mesmo meio os códigos-fonte de seus vírus, para que todos os interessados pudessem aprender como construir vírus.
Na Bulgária também foi criado naquele ano a primeira BBS especializada em intercâmbio de vírus e códigos viróticos, conhecidas como "Virus Exchange BBS" (VX BBS). A idéia era que se você uplodeasse um vírus, podia downlodear um vírus e, se você uplodeasse um vírus inédito, teria acesso total à coleção. Isso incentivava a competitividade e motivava a criação de novos vírus e variantes, assim como a sua circulação.
A idéia da VX BBS foi rapidamente difundida pelo mundo. Na itália surgiu o "Italian Virus Research Laboratory"; na Alemanha, o "Gonorrhea"; na Suécia, o "Demoralised Youth"; nos EUA, o "Hellpit" e na Grã Bretanha, o "Dead On Arrival and Semaj". As VX BBS de muitos lugares eram perseguidas e fechadas, mas novas rapidamente surgiam e muitas das antigas se tornavam "undergrounds". As VX BBS certamente contribuíram para o crescimento assustador da quantidade de novos vírus e variantes, bem como a sua distribuição pelo mundo.
O período também testemunhou o aparecimento dos vírus polimórficos. Mark Washburn criou uma série de vírus baseados no Vienna (1260, V2P1, V2P2 e V2P6), cujos códigos haviam sido publicados no livro de Ralf Burger. Os vírus de Washburn tinham um mecanismo que permitia uma série de variações morfológicas de um mesmo vírus. Ele pode ser considerado o criador do primeiro vírus polimórfico, apesar dele não ter utilizado essa palavra. Washburn publicou o código-fonte, mas ao contrário do que ocorreu com o livro de Burger, não se conhecem vírus de outras pessoas que tenham usado diretamente os códigos de Washburn. Contudo, muitos autores de vírus posteriormente utilizaram sua idéia.
A forma de detecção típica da época era o scan por strings de códigos viróticos. E muitos antivírus simplesmente utilizavam strings de detecção extraídos de outros. O string busca uma impressão digital do vírus. As maiores fontes de tais strings eram, na época, o Vírus Bulletin, o IBM Scanner e a engenharia reversa de produtos concorrentes. O aparecimento dos vírus polimórficos mudou esse cenário.
Para detectar os vírus de Washburn era necessário escrever um algoritmo que aplicasse testes lógicos sobre o arquivo suspeito para decidir se tais bytes eram uma das formas do vírus em questão. A
conseqüência disso para os produtores de antivírus da época, é que o método de detecção utilizado na época simplesmente não funcionava em vírus polimórficos.
Tais vírus acabaram com a possibilidade de se criar antivírus e detetores de forma fácil, tornando proibitiva a atuação na área de muitos produtores de antivírus, que não tinham condições para desenvolver algoritmos para detecção de vírus polimórficos.
Ao fim de 1990, contabilizavam-se cerca de 200 a 300 vírus, em um ano (Dezembro de 1991) o número atingiria a casa dos 1000. O crescimento rápido na quantidade de vírus catalogados e problemas ligados ao tamanho que os antivírus começavam a tomar (ocupando demasiado espaço nos então restritos 640K do DOS), além da enorme variedade de vírus similares (que confundiam o antivírus, muitas vezes levando-o a reparar de forma errada um arquivo contaminado), exigiam das empresas uma estrutura à altura dos problemas e das soluções que o mercado necessitava. O problema dos vírus já se tornara suficientemente complexo para a definitiva profissionalização da área. A EICAR (European Institute for Computer Antivirus Research) nasceu em Hamburgo em Dezembro de 1990. Funcionaria como um fórum para o intercâmbio de idéias e espécimes de vírus entre pesquisadores e produtores de antivírus.
O mercado potencial já se tornara promissor. Seguia o crescimento da quantidade dos PCs pelo mundo e o aumento do risco potencial de se contrair um vírus. Além disso, os vírus e a informática cada vez mais ganhavam espaço na mídia. A Symantec lançou o Norton Antivírus e outras companhias de grande porte começavam a se interessar pelo mercado de antivírus.
Em Abril de 1991, o Tequila surgiu, conseguindo se espalhar rapidamente pelo mundo. Acredita-se que o vírus tenha se disseminado a partir do computador de um distribuidor de produtos shareware, infectado por uma cópia do vírus roubada pelo seu filho, amigo do autor do vírus.
O Tequila é totalmente polimórfico, totalmente furtivo (stealth) e foi o primeiro vírus polimórfico realmente a se espalhar pelo mundo. Seu sucesso se deve ao fato de que, como algumas de suas cópias escapavam da detecção, elas permaneciam no disco rígido da vítima, voltando a contaminar os demais arquivos. Após uma nova etapa de detecção, mais cópias morfologicamente não detectáveis escapavam e assim sucessivamente. Isso fazia com que, gradualmente, mais e mais arquivos indetectáveis permanecessem contaminados garantindo a sobrevivência e disseminação do vírus.
Em setembro de 1991, outro vírus polimórfico se disseminou pela Europa, o Maltese Amoeba. Ao fim do ano, algumas dúzias de vírus polimórficos já haviam surgido.
|
Meus
comentários
Não se trata de criar novas
famílias de vírus, mas o desenvolvimento de novos sistemas de
autocriação, isto é, programas capazes de produzir outros
programas.
Para aqueles que ainda não
conhecem, ou nunca ouviram falar, um vírus polimórfico, como o
próprio nome sugere, é um vírus (um microprograma) que tem
capacidade de assumir formas diferentes durante o processo de
multiplicação, isto é, um vírus tipo A cria um vírus tipo B,
diferente em alguns aspectos da "mãe". São também
conhecidos mais familiarmente como "mutantes".
Como já vimos em artigos
anteriores, isto é um grande problema, visto que programas viróticos
possuem cadeias conhecidas de bytes que identificam-no ao
antivírus. Ora, se a cadeia nova é diferente da anterior,
torna-se mais difícil a detecção do mutante pelo sistema de
proteção.
Vejam a engenhosidade humana a
serviço da desgraça de muitos.
Apesar dos pesares, é válido
considerar, ainda que não ético, que vírus tem um lado bom.
Basta você olhar alguns sistemas modernos de criação e
gerenciamento de bancos de dados, os SGBDs. Muitos tem métodos
extremamente semelhante ao dos mutantes, pois a partir de uma tela
desenhada, cria-se um SGBD. Isto também se refere à um
processo de automação de sistemas.
Nos meados de 90, iniciamos uma
reforma profunda em sistemas de programação, tentando fugir do
profissionalismo excessivo de altos especialistas, criando
"geradores de sistemas de bancos de dados", cuja proposta
era trabalhar com equipes "menos"especializadas e
conseqüentemente mais baratas. Quem já viu um sistema criado
com essas ferramentas e já analisou um vírus mutante percebe uma
nítida semelhança.
Talvez o grande furo esteja no
fato de que os sistemas geradores de vírus, por estarem automatizados
são, obrigatoriamente, sistematizados, e sua
"assinatura"passa a ser significativa, ainda que
indetectável.
Isso levou, na época à
organização de entidades não governamentais, como as descritas ao
lado, que são as fábricas de vírus.
De qualquer forma, não é o caso
de subestimar o raciocínio Hacker, que conforme já disse, pode ser o primeiro passo
para um massacre sem precedentes em nossas vidas.
Boa Leitura
|