Reload D-I-N-A home___ 
 

1986

Basit e Amjad si accorgono che il settore d’avvio di un floppy disk contiene un codice eseguibile dai calcolatori, che si attiva quando si avvia il computer con un disco nel drive A:. Quindi si rendono conto che questo codice può essere cambiato con un loro programma, che può, per esempio, essere residente in memoria (TSR) e quindi copiarsi in ogni floppy che si inserisce nel computer. Il programma copiato sugli altri dischi venne chiamato virus, ma funzionava solo su floppy da 360kb.

Ralf Burger realizza Verde, una dimostrazione "innocua" della possibilità di replicare un file facendolo attaccare in copia ad altri file. Il programma venne presentato con successo alla conferenza del Chaos Computer Club nel dicembre dello stesso anno. Verde (conosciuto anche come Virdem) era capace di infettare qualsiasi file COM senza però causare danni.

1987

Si assiste al lancio di numerosi virus, tra cui Leigh, che ebbe però poco successo, perché infettava solo il command.com (l’interprete dei comandi DOS) e rivelava la sua presenza dopo quattro replicazioni. Nasce in quell’anno anche il primo virus di origine israeliana, Suriv-01, il primo in grado di infettare file di tipo COM, con la differenza, rispetto ai suoi predecessori, di infettare tutti i file COM del sistema. Questo virus viene subito seguito da una sua variante, Suriv-02, conosciuto come il primo virus capace di infettare i file EXE. Infine Suriv-03 infettava sia i file COM che i file EXE, raggiungendo un’"eleganza" ed un’infettività mai viste prima. Sempre nello stesso anno viene scritto Jerusalem, un virus che si attiva ogni venerdì 13 dell’anno, e che non infetta ma cancella i file che vengono creati in quello stesso giorno.

Nel frattempo in Nuova Zelanda nasceva il virus Stone, virus curioso che ogni otto avvii da dischetto infetto lanciava la scritta "Your Pc is Stoned" (il tuo pc è "fatto", nel senso psicotropico del termine. ndr). In Italia intanto veniva scritto un nuovo virus da boot sector; il suo effetto consisteva nel far rimbalzare una palla per tutto lo schermo. Questo virus è conosciuto come Italian, Pingpong o Bouncing ball.

Uno sconosciuto programmatore tedesco produce Cascade, così chiamato perché faceva cadere le lettere dallo schermo durante una normale sessione di lavoro. Questo virus, oltre che conosciutissimo e diffusissimo, viene qui ricordato perché è il primo a contenere il codice crittografato, con una piccola porzione di codice per eseguire la decrittografia. Il risultato è un virus difficilissimo da scovare perché lascia solo un paio di dozzine di byte come impronta, validi come pattern per il riconoscimento da un antivirus. L’idea è poi stata ripresa da Mark Washburn quando scrisse il primo virus polimorfico: il 1260 o Chamaleon virus, il cui comportamento riprende il Vienna di Burger.

Di questi primi virus solo Cascade e Jerusalem sono oggi ancora attivi.

1988

Compaiono i primi antivirus commerciali e le prime aziende focalizzate nella lotta ai virus. In questi primi anni non hanno tuttavia grande successo, nessuno è infatti disposto a pagare per un antivirus, e di conseguenza non solo i virus possono continuare a infettare, ma alcune aziende produttrici di antivirus falliscono.

Fa la sua comparsa un virus chiamato Virus-B, che non si installava nella memoria (come tutti gli altri) e che al momento dell’infezione si rivelava con una scritta che notificava all’operatore del computer che il suo PC era stato appena infettato. Si presume essere il primo esempio di virus dimostrativo.

1989

Il primo venerdì 13 cade di gennaio (vedi Jerusalem), ma viene ricordato come l’anno dei virus: in Inghilterra vengono rilasciati il Fu-Manciu e il 405, quindi viene scoperto il virus Datacrime, scritto dall’olandese Fed Vogel, che distruggeva l’intero hard disk (con i dati all’interno) in un qualsiasi giorno successivo al 12 ottobre. Il Datacrime è fino a quel momento il virus di gran lunga più distruttivo.

Questo virus ha avuto grande notorietà ed è stato commentato in tutte le riviste ed i giornali del settore. La polizia olandese commissionò per questo virus un piccolo antivirus. Lo stesso anno l’IBM lancia il suo primo antivirus commerciale.

L’anno si conclude con l’uscita dell’AIDS Informaton Disk, che viene distribuito elettronicamente tramite mailing list, tra cui quella di PC Business World. In questi file è contenuto il primo virus trojan conosciuto.

1990

Le tecnologie di crittografia e polimorfismo del codice sono ormai ben conosciute.

Il virus bulgaro Dark Avenger introduce un nuovo meccanismo: quando viene introdotto il virus, questi infetta non solo i nuovi file, ma anche tutti i file aperti in lettura, producendo una più veloce infezione dell’hard disk. Questa teconologia viene chiamata "Fast Infector".

Il Dark Avenger viene modificato in Dark Avenger 1800, che cancella ogni tanto un settore dell’hard disk. Tali "buchi" passano di norma inosservati per un periodo di tempo, rendendo impossibile il restore da una cassetta di backup, probabilmente anch’essa infettata.

Altri virus simili sono il Number of the beast e il Nomenklatura.

In Bulgaria nasce la prima banca di virus, la VXBBS, che permette il download di un virus solo dopo l’upload di un altro virus. Questa struttura favorisce lo scambio e la diffusione di virus e sorgenti.

Alla fine dell’anno ad Amburgo si costituisce l’"European Anti-Virus Research" (EICAR), l’istituto di riferimento tecnologico per la lotta ai virus.

1991

Si inaspriscono i termini della "lotta", i 300 virus conosciuti nel 1989 diventano più di 1000.

Imperano i virus polimorfici, basati sul prototipo di Vienna, anche se il Tequila, un virus svizzero, risulta di gran lunga il più diffuso insieme al Maltese Amoebae.

La lotta ai virus costringe gli scrittori a essere ancora più raffinati, la tecnica del checksum sui file rivela infatti il cambiamento di dimensione del file quando viene infettato, ma Starship lo elude infettando i file solo quando vengono copiati da un disco a un altro.

1992

È l’anno di Michelangelo, attivatosi il 6 marzo, che si diffonde immediatamente in tutto il mondo, causando la più grande infezione fino ad allora conosciuta. Solo un’informazione a tappeto dei media, che consigliarono di spegnere tutti i PCin quella giornata, limitò i danni.

Si diffondono i primi package di creazione "fai-da-te" di virus. In agosto viene rilasciato da Nowhere Man il VCL (Virus Creation Laboratory), mentre Dark Angel's Falcon/Seism Mass rilasciano Code Generators.

Nascono anche i primi fenomeni di collezionismo e valutazione dei virus. John Buchanan, per esempio, offre la sua collezione di qualche migliaia di file per 100 dollari, mentre in Europa la Virus Clinic Unit vende "prodotti" che costano dai 25 dollari in su.

1993

Xtree, una tra le più grosse case di antivirus, fallisce e contemporaneamente in Olanda nasce il gruppo Trident, il cui esponente più creativo, Masud Khafir, scrive un sistema innovativo di polimorfismo dei virus su Trident Polimorphic Engine (TPE), da cui si genera il virus Girafe, virus di difficilissima tracciatura da parte dei comuni antivirus.

Khafir è anche autore del virus Cruncher, ad altissimo potere infettivo e compresso; e contemporaneamente Nowhere Man rilascia il Nuke Encryption Device con il quale scrive Itshard.

Altri meccanismi di crittografia vengono scritti nello stesso periodo, uno di questi è il DAME di Phalcon e Skism (DAME sta per Dark Angelís Multiple Encryptor), il cui meccanismo è alla base della scrittura di Trigger ed Bosnia e di Poetcode, scritto da Lucifer Messiah del gruppo di scrittori di virus chiamato Anarkik Systems.

Un esperimento tedesco di diffusione di software tramite canale televisivo diventa il vettore di Tremor, allegato a un noto programma di compattamento di file zip: la diffusione del virus è istantanea.

Purtroppo anche sul fronte degli antivirus si comincia a fare sul serio. Viene rilasciato il GDE, ovvero il Generic Decryption Device, che esegue la decrittografia di file sospetti, rendendo più facile la scoperta di virus polimorfici e mutanti crittografati.

1994

Si stimano che siano stati rilasciati almeno 2000 nuovi virus, che portano alla fine di questo stesso anno il numero totale di virus a circa 6000. In ogni parte del mondo gruppi o singoli si cimentano nella scrittura di codici cercando di superarsi a vicenda per abilità, stile e infettività.

Alcuni di questi meritano di essere menzionati. Natas, che risulta essere uno dei virus più riusciti fino a quel momento, infetta i file e i settori di avvio di floppy e hard disk ed è inoltre un esemplare di scrittura polimorfica; il cecoslovacco One-Half, che ha tenuto in scacco gli scrittori di antivirus per almeno tre mesi prima di trovare un valido sistema per riconoscerlo; l’inglese SMEG.Pathgen, scritto da Christopher Pile (il "barone nero"), il quale infettò un antivirus non ancora in grado di riconoscere il proprio prodotto e lo mise in una BBS a disposizione per il pubblico ignaro. Questa azione gli valse una condanna a 18 mesi di reclusione.

1995

In febbraio Microsoft distribuisce il virus Form nei floppy della beta release del sistema operativo Windows 95, il fatto non è particolarmente dannoso in sé, ma rispecchia la sottovalutazione del fenomeno da parte dell’azienda che produce il sistema operativo da quel momento in poi preferito dagli scrittori.

I crescenti investimenti e sovvenzioni per la lotta ai virus portano allo sviluppo e alla commercializzazione delle prime forme di rilevamento di virus dette "euristiche". Inizia una trasformazione radicale del fronte della scrittura dei virus.

Mentre il focus degli antivirus è ancora il codice Assembly e il vettore sotto stretta osservazione è ancora il floppy disk VM.Concept, in agosto fa il proprio debutto il primo Macrovirus della storia.

Le novità di VM.Concept sono varie: prima di tutto non si basa più sulle specificità della piattaforma DOS, ma sposta il proprio campo d’azione sul linguaggio VBA (Visual Basic for Application) più semplice dell’assembly e soprattutto multipiattaforma, ovvero il codice dei virus è insito nell’ormai diffuso linguaggio di programmazione di prodotti di videoscrittura e calcolo di Microsoft e il suo funzionamento è quindi allargato a tutti i sistemi che ne fanno uso. Inoltre il vettore preferito risulta essere un "innocuo" file trasferito via internet. Nello stesso anno XM.Laroux viene ritrovato in file Excel e viene anche battuta la pista di prodotti alternativi a MS con Green Stripe, che attacca i sistemi muniti di Ami Pro.

1996

Fanno la loro comparsa i primi virus per Windows 3 e Windows 95, il Win95.Boza contiene il manifesto di questo cambiamento:

The taste of fame just got tastier! VLAD Australia does it again with the world's first Win95 Virus From the old school to the new Metabolis Qark Darkman Automag Antigen RhinceWind Quantum Absolute Overlord CoKe

La prima infezione di sistemi Windows è tuttavia ascrivibile al virus Win.Tentacle nel marzo di quest’anno in Francia. Compare anche il primo virus specifico per OS2, il OS2.AEP, ma vista la rarità di questo sistema il virus non solleva molto clamore.

1997

Linux.Bliss compare in febbraio. Anche Linux, il clone Unix più diffuso del mondo, vede quindi la sua prima diffusione di virus, anche se al suo interno vi è scritto che è stato compilato il 28 settembre 1996.

Sharefun è il nome di un virus veramente innovativo: si diffonde nel mese di marzo ed è il primo macrovirus per Word che si autoinvia per posta (MSMail). Da questa idea nasceranno i virus attualmente più noti. Alla fine dell’anno il numero dei virus prodotti e riconosciuti supera ampiamente le 16.000 unità.

Chen Ing-Hau è lo scrittore di CIH, conosciuto anche come Chernobyl, uno dei virus più deflagranti della storia. La sua scrittura prevede l’infezione dei file e la distruzione del codice BIOS delle schede madri riprogrammabili; distribuito (inconsapevolmente) insieme a diversi CD di shareware e da web sites, il giorno della sua attivazione, che è stata (intelligentemente) programmata per l’anno successivo, il 26 aprile 1998, causa in tutto il mondo più di mezzo milione di distruzioni di sistemi. L’olocausto di macchine è rimasto non solo nella storia dei virus. Il suo autore è stato assunto da una famosa multinazionale di TaiPei.

1998

Il marzo escono nel "wild" Win95.HPS e Win95.Marburg. Sono i primi virus polimorfici per Windows che seguono la medesima evoluzione stilistica adottata per i virus DOS. Anche in questo caso l’arrivo tecnologico è firmato con orgoglio dal produttore: "Hantavirus Pulmonary Syndrome (HPS) Virus BioCoded by GriYo / 29A" e "[ Marburg ViRuS BioCoded by GriYo/29A ]".

In novembre nascono anche gli script virus: Rabbit è il loro capostipite e contiene questa firma: "VBSv Version 1.0 by Lord Natas/CodeBreakers First Windows Scripting Virus". Benché Rabbit non sia molto diffuso ha dato il via alla generazione di virus oggi più diffusi. Il virus prende un sapore di rete, si diffonde in rete, via e-mail o nelle pagine html come, per esempio, HTML.internal.

David L. Smith è l’autore del celeberrimo Melissa un macrovirus di Word97 che si diffonde via e-mail e ha avuto un tale successo che colossi tecnologici come Microsoft, Lucend, Lockeed e migliaia di altre aziende hanno dovuto fermare i loro sistemi di posta per molto tempo a causa dell’incredibile numero di mail generate dall’infezione.

1999

L’affrancamento degli internet virus inizia in novembre con il virus/worm BubbleBoy. Questo virus si diffonde attraverso la lettura di una e-mail da un utente Microsoft Outlook, per cui è sufficiente aprire la mail (che non ha contenuti allegati come il futuro LoveLetter), per eseguire il codice, la conseguente infezione e la sua diffusione a tutti gli amici, parenti ed altri nomi registrati nel programma. Questo virus era solo a scopo dimostrativo (come Virdem e WM.Concept del resto).

2000

In febbraio Onel de Guzman rilascia per primo LoveLetter, il virus che si stima abbia colpito 3,7 milioni di computer nel mondo. Fortunatamente il governo delle Filippine al momento non aveva nessuna legislazione sui crimini informatici (introdotta solo nel giugno dello stesso anno) per cui Guzman ora è solo un libero uomo d’affari. Tutto il resto è cronaca.

Nicola Del Vacchio [epidemiC]





___close this window