Raadioga.1000

Allikas: Vikipeedia
Mine navigeerimisribale Mine otsikasti
Viirus 10. märtsil 2020 avaldamas oma Ülo Kiplest inspireeritud grafiti-sõnumit

Raadioga.1000 või Nilz.1000[1] on Ülo Kiple "haiguste ravile" pühendatud[2] polümorfne krüptiv mitte-destruktiivne residentne EXE-faile nakatav MS-DOSi arvutiviirus.

Viirus on autori tunnistuse põhjal valminud 24. märtsil 1997 ning avalikus levis tõendamist leidnud sama aasta augustis.[3]

Nakatamine[muuda | muuda lähteteksti]

Viirus teeb end käivitamisel residentseks, haarab enda kätte MS-DOSi katkestuse INT 21H ja nakatab seejärel kõik EXE-failid viiruselise koodi kirjutamisega faili lõppu, kui kutsutakse välja standardse DOSi API kataloogist failide nimekirja pärimisega seotud funktsioone SetDTA, SetDrive, FindFirst või MS-DOS 7.x/Windows 95 ChangeDir funktsiooni. Viirus väldib toona tuntud viirusetõrjetarkvara nakatamist failinime kahe esitähe kontrollimise teel.[4]

Failide mitmekordse nakatamise vältimiseks määrab Raadioga.1000 nakatamisel faili muutmise aja sekundite väärtuseks 34, sest DOSi failihaldurid tüüpiliselt ei näita kasutajale sekundite väärtusi. Selle väärtuse kontrollimisega eristab viirus nakatatud faile nakatamata failidest. Siiski märgitakse nakatamisel 12 juhul 256-st sekundite väärtuseks 35, et võimaldada tõenäosusega 3/64 mitmekordset nakatamist.

Viirus kontrollib EXE-faili päisest pinusegmendi asukohta ning väldib sellega Windowsi failide nakatamist.

Sümptomid[muuda | muuda lähteteksti]

Viirus avaldab end 10. märtsil, aktiveerib CMOS-mällu talletatud parooli küsimise BIOSis ning lõpetab arvuti töö, näidates kasutajale kirja:

HAIGUSTE RAVI KONTROLLITUD VAIKUSE PIMEDUSE JA RAADIOGA

Kui CMOSi parooli pole määratud, siis peab kasutaja opsüsteemi või BIOSi seadistusrakenduse käivitamiseks sisestama tootja poolt määratud vaikimisi parooli. Kui parool oli määratud, aga hiljem tühistatud, siis on endine parool taas aktiveeritud ning kasutajalt oodatakse selle sisestamist.

Eripära[muuda | muuda lähteteksti]

Viiruse eripäraks on selle aeglane polümorfsus[3], mistõttu viirusetõrjetarkvara kirjeldusbaasides jäeti koodi muutumine arvestamata, viiruse eri kujusid ei avastatud[4] ning registreeriti baasides mõnda aega viiruse uute versioonidena.

Viiruse autor avaldas viiruse kommenteeritud lähtekoodi 1999. aastal avaliku omandina, kuid palus tuua koodi levitamisel seal ära tähekombinatsiooni "NiL". Autori kommentaaride järgi on viirus kirjutatud 4,77 MHz IBM XT peal Borlandi Turbo Assembleris, korralikult optimeeritud ja koodimisvigadeta ning sihipäraselt koostatud 1000 baidi pikkusena, et luua "vaese mehe" varjatuse-efekt (ingl k stealth), muutes nakatatud failide kasvamise hooletule inimsilmale märkamatuks.

Viirus on ilmselt ainus tehnilises mõttes ainulaadne teadaolevalt Eestis kirjutatud ja avalikku levisse jõudnud viirus. Raadioga.1000 oli detsembris 2000 viirusetõrjetarkvara tootva ettevõtte F-Secure avalikus viiruste nimekirjas dokumenteeritud kui üks viiest Eestist pärit viirusest[5] ning kirjelduses kinnitatakse, et kuigi tegu on lihtsa EXE-faili viirusega, siiski on seda raske tuvastada, sest see "muudab oma koodi väga aeglaselt".[3] AntiViral Toolkit Pro kokkuvõttes aga kirjeldatakse Raadioga.1000 kui "ohtlikku mäluresidentset krüptitud parasiteerivat viirust",[4] kuigi viirus on mitte-destruktiivne ega parasiteeri süsteemi märgatavalt rohkem kui mõni teine.

Toonaste kriteeriumide järgi[6] oli Raadioga.1000 leidlikult minimalistlik kombinatsioon polümorfsusest, krüptimisest ja stealth-funktsioonist.

Motivatsioon[muuda | muuda lähteteksti]

Autor on avaldanud viiruse kommenteeritud lähtekoodi CodeBreakersi e-zine'i 1999. aasta juunikuu numbris[7] kaks aastat pärast viiruse käiku laskmist. Lähtekoodi kommentaarides vaatab ta hüvastijätukirja vormis tagasi oma tegevusele viiruste loojana, teatab, et loobub ilmselt peagi skeenes osalemisest, ning markeerib lühidalt oma vaateid viiruste kirjutamisele ning selle kultuurilise tähendusele.

Ta märgib, et ei pea end pseudonüümi taha varjuvaks autoriks, vaid viiruse masinformaadis käituskoodis esinev signatuur "NiL" on tema jaoks pigem koodnimi või märgistus "pisikeste iseend replitseerivate koodijuppide loomise harrastusele", tervitab teisi viirusekirjanikke ning kutsub neid jätkama head tööd, kuid hoiduma kahju tekitavate viiruste kirjutamisest. Ta kinnitab, et kollanoklik huvitumine asjadest, mille vastu pole enamikul inimestest huvi, on seotud teadmisega. Ka tunnustab ta viirusetõrjetarkvara väljatöötajaid, et need viirusekirjanike loominguga võideldes endale elatist teenivad. Lõpetuseks rõhutab ta, et pole oma väidetes teadmiste poole pürgimise ega viirusetõrjujate tegevuse kohta irooniline.

Codebreakersi e-zine'i samas numbris on avaldatud ka autori esimese, veebruaris 1997 avalikku levisse jõudnud[8] viiruse "Tere.370" lähtekood[9], mille kommentaarides on toodud ära sama hüvastijätusõnum.

Viited[muuda | muuda lähteteksti]

  1. NOD32 antivírus. "Nilz.1000". ESET Ungari veebisait, 9. november 2009. Vaadatud 11. aprill 2020.
  2. "Ülo "Haiguste ravi" Kiple sõnumit levitatakse viirusega". Eesti Päevaleht, 21. juuni 2001. Vaadatud 10. aprill 2020.
  3. 3,0 3,1 3,2 Peter Szor, Mikko Hypponen. "F-Secure Computer Virus Information Pages: Raadioga". F-Secure veebileht, 1997. Vaadatud 10. aprill 2020.
  4. 4,0 4,1 4,2 Jevgeni Kasperski. "Raadioga.1000". AntiViral Toolkit Pro Virus Encyclopedia, 1998. Vaadatud 10. aprill 2020.
  5. "Viruses whose origin is estonia". F-Secure veebileht. Vaadatud 6. detsember 2000.
  6. Märt Põder. "Kuri müstiline viirus". Arvutimaailm, aprill 1997. Vaadatud 10. aprill 2020.
  7. Opic. "Codebreakers #5". Codebreakers, juuni 1999. Vaadatud 20. aprill 2020.
  8. Peter Szor. "F-Secure Computer Virus Information Pages: Tere". F-Secure veebileht, 1997. Vaadatud 20. aprill 2020.
  9. NiL. "Tere.370 v1.0 NiL". Codebreakers, juuni 1999. Vaadatud 20. aprill 2020.

Välislingid[muuda | muuda lähteteksti]