Inauguro questa nuova sezione con una sorta di revival dei 10 virus che negli ultimi anni hanno dato filo da torcere infettando un numero di computer direttamente proporzionale alla diffusione di InterNet.
Ne vedremo il background e la diffusione.
Brain, 1986
Il virus Brain nacque nel 1986 ad opera di Basit and Amjad Farooq Alvi, due programmatori pakistani stanchi di vedere copiato il proprio software. Per arginare quel che forse è stato il primo episodio di pirateria, nacque il primo virus il cui scopo era quello di impedire la duplicazione dei floppy.
Il problema nacque nel momento in cui Brain fu messo in grado di auto-replicarsi. Infettò ogni floppy che venisse inserito dopo il disco contenente il programma originale dei due pakistani.
Il processo entrava in atto grazie al boot-sector infetto dal quale si inoculava il worm all’interno della memoria del computer; da qui poi si trasferiva su di un nuovo floppy qualora il pc non venisse spento nel frattempo.
Come funzionava il virus Brain
Brain colpisce il PC sostituendo il boot sector di un floppy disk con una copia del virus. Il boot sector vero viene spostato in un altro settore e contrassegnato come danneggiato. I dischi infetti solitamente contengono cinque kilobyte di settori danneggiati. L’etichetta del disco viene solitamente modificata in ©Brain e nei settori di avvio infetti è possibile visualizzare il seguente testo: “Welcome to the Dungeon (c) 1986 Amjads (pvt) Ltd VIRUS_SHOE RECORD V9.0 Dedicated to the dynamic memories of millions of viruses who are no longer with us today – Thanks GOODNESS!!! BEWARE OF THE er..VIRUS : this program is catching program follows after these ….$#@%$@!!”
Ci sono molte variazioni minori e maggiori a quella versione del testo. Il virus rallenta l’unità floppy e rende non disponibili al DOS sette kilobyte di memoria. Brain è stato scritto da Amjad Farooq Alvi, che all’epoca viveva a Chah Miran, vicino a Lahore, in Pakistan. I fratelli Alvi hanno detto alla rivista Time di averlo scritto per proteggere il loro software medico dalle copie illegali e che avrebbe dovuto mirare solo alla violazione del copyright.
Il messaggio criptico “Welcome to the Dungeon”, una salvaguardia e un riferimento a uno dei primi forum di programmazione su Dungeon BBS, è apparso dopo un anno perché i fratelli avevano concesso in licenza una versione beta del codice.
Brain non dispone del codice per gestire il partizionamento del disco rigido e non distruggeva i dati memorizzati sui dischi rigidi. Spesso Brain passava inosservato, in parte a causa di questa deliberata non distruttività, soprattutto quando l’utente prestava poca o nessuna attenzione alla bassa velocità di accesso al floppy disk.
Amjad Farooq Alvi e Basit Farooq Alvi “firmarono” il virus
I due furono individuati facilmente grazie all’inserimento, all’interno del virus, dei loro recapiti: speravano così di essere contattati per la pulizia di Brain stesso: “Welcome to the Dungeon © 1986 Amjads (pvt). BRAIN COMPUTER SERVICES 730 NIZAM
BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE: 430791,443248,280530. Beware of this VIRUS…. Contact us for vaccination…”
Questo programma era originariamente utilizzato per tenere traccia di un programma di monitoraggio cardiaco per il PC IBM. Ma le persone distribuivano copie illecite dei dischi. Questo programma di tracciamento avrebbe dovuto fermare e tenere traccia delle copie illegali del disco. Tuttavia a volte il programma utilizzava anche gli ultimi cinque kilobyte su un floppy Apple, rendendo impossibili ulteriori salvataggi sul disco da parte di altri programmi.
Denzuko
Denzuko è un virus indonesiano del boot sector del 1988. Nasce per cercare e distruggere il virus Brain.
Denzuko viene introdotto in un sistema tramite dischi infetti. Il virus si carica in memoria quando viene avviato il disco infetto. Qualsiasi disco a cui si accede mentre il virus è in memoria verrà infettato. Anche i dischi dati non avviabili verranno infettati e i virus contenuti in tali dischi saranno in grado di infettare se si tenta di avviarli.
Il virus infetta il boot sector e 9 settori sulla traccia 40. I tipici dischi da 360 kilobyte utilizzano solo le tracce da 0 a 39, quindi nessun dato verrà cancellato su questi dischi. I dischi da 3,5 pollici, 1,2 megabyte e altri dischi perderanno dati poiché utilizzano questi settori. Non infetta i dischi rigidi. Infatti, smette di funzionare se il computer viene riavviato dal disco rigido. Se l’utente tenta di riavviare il computer con CTRL-ALT-DEL, sullo schermo appariranno le parole “DEN ZUKO” con una “O” stilizzata, simile al logo AT&T. Il virus rimarrà in memoria al riavvio del computer.
Il virus è stato creato nel marzo del 1988 a Bandung, in Indonesia. Il suo creatore si chiama Denny Zuko, che ha preso dal personaggio “Danny Zuko” del musical Grease. “YC1ERP”, utilizzato come etichetta del volume, era il suo nickname da radioamatore. All’epoca era un programmatore di sistemi freelance di 24 anni e studente presso il Bandung Institute of Computer Technology. Il virus è stato probabilmente diffuso da Bandung verso il Venezuela, dove secondo il New York Times il virus ha avuto origine. Dal Venezuela è arrivato negli Stati Uniti.
Brain: l’intervista di Mikko Hypponen
Nel 2011, Mikko Hypponen (analista di F-Secure) realizzò un video reportage di 10 minuti su un viaggio a Lahore, in Pakistan. Era alla ricerca degli autori del primo virus per PC “Brain”. Questa intervista è la prima che Amjad Farooq Alvi e Basit Farooq Alvi rilasciano sul virus Brain.
