Вирусы 1986-1989 гг

Зарегистрирована первая глобальная эпидемия вируса для IBM-совместимых компьютеров. Вирус Brain, заражающий загрузочные сектора дискет, в течение нескольких месяцев распространился практически по всему миру.

Причина такого "успеха" заключалась в полной неподготовленности компьютерного общества к встрече с таким явлением, как компьютерный вирус: антивирусные программы еще не получили такого широкого распространения как сейчас, а пользователи, в свою очередь, не соблюдали основных правил антивирусной безопасности.

Эффект от произошедшей эпидемии усиливался плохим знакомством общества и не изученностью феномена "компьютерный вирус". Вслед за обнаружением Brain один за другим стали появляться научно-фантастические романы, посвященные вирусам.

Вирус Brain был написан в Пакистане 19-летним программистом Баситом Фарук Алви (Basit Farooq Alvi) и его братом Амжадом (Amjad), оставившими в вирусе текстовое сообщение, содержащее их имена, адрес и телефонный номер. Как утверждали авторы вируса, работавшие в компании по продаже программных продуктов, они решили выяснить уровень компьютерного пиратства у себя в стране.

Помимо заражения загрузочных секторов и изменения меток (label) дискет на фразу '(c)Brain' вирус ничего не делал: он не оказывал никакого побочного воздействия и не портил информацию.

К сожалению, эксперимент быстро вышел из-под контроля и выплеснулся за границы Пакистана. Интересно, что вирус Brain являлся также и первым вирусом-невидимкой. При обнаружении попытки чтения зараженного сектора диска вирус незаметно "подставлял" его незараженный оригинал.

В том же году немецкий программист Ральф Бюргер (Ralf Burger) открыл возможность создания программой своих копий путем добавления своего кода к выполняемым DOS-файлам формата COM. Опытный образец программы, получившей название Virdem и имевшей такую способность, был представлен Бюргером в декабре 1986 г., в Гамбурге, на форуме компьютерного "андерграунда" - Chaos Computer Club.

В то время форум собирал хакеров, специализировавшихся на взломе VAX/VMS-систем. Несмотря на это, вряд ли они были разочарованы пристрастием одного из членов форума к IBM-совместимым компьютерам. Появление вируса Vienna. Его происхождение и распространение практически по всему миру имело большой резонанс и вызвало горячие споры о настоящем авторе.

Первым, кто поднял шум по поводу этого вируса, был Франц Свобода (Franz Swoboda). Его предупреждение об обнаружении саморазмножающейся программы по имени Charlie (именно такое имя вирус получил от самого Свободы) было ретранслировано многими мировыми информационными агентствами и привлекло пристальное внимание общественности.

Разумеется, общественность попыталась выяснить эпицентр эпидемии. В процессе расследования оказалось, что Свобода получил вирус от известного Ральфа Бюргера. Последний, в свою очередь, полностью отрицал этот факт и, более того, утверждал обратное, будто он получил вирус от Свободы. Кто же из них был настоящим родителем незаконнорожденного - так и не удалось выяснить, поэтому до сих пор Vienna официально считается сиротой.

Несмотря на неясность ситуации с автором Vienna, его появление было примечательно с еще одной точки зрения. Один из претендентов на отцовство, Ральф Бюргер, передал копию вируса Бернту Фиксу (Bernt Fix), который его дизассемблировал. Важно заметить, что это был первый случай, когда человек дизассемблировал вирус.

Несмотря на это, считать Фикса первым компьютерным вирусологом-практиком все же нельзя: не стоит забывать, что работа антивирусного эксперта заключается не только в разборе внутреннего строения вируса, но и в производстве соответствующего противоядия.

Тем не менее, Бюргер воспользовался результатами работы Фикса и опубликовал дизассемблированный код Vienna в своей книге под названием "Компьютерные вирусы: болезнь высоких технологий", ("Computer Viruses: A High Tech Desease"), явившейся аналогом вышедшей позднее книги Б. Хижняка "Пишем вирус и антивирус".

В своей книге Бюргер слегка модифицировал код вируса, уменьшив его способности к размножению и изменив внешние проявления. Несмотря на это, на наш взгляд, книга все равно популяризировала идею написания вирусов, объясняла, как это делается, и таким образом служила толчком к написанию тысяч компьютерных вирусов, частично или полностью использовавших идеи этой книги.

В этом же году независимо друг от друга появляется еще несколько вирусов для IBM-совместимых компьютеров: знаменитый Лехайский вирус (Lehigh), названный в честь университета г. Бетлехэм, штат Пенсильвания, США; семейство вирусов Suriv; ряд загрузочных вирусов (Yale в США, Stoned в Новой Зеландии, Ping-pong в Италии) и первый в истории компьютеров самошифрующийся файловый вирус Cascade.

По иронии судьбы Лехайский вирус появился в альма-матер современной компьютерной вирусологии - Лехайском университете, где в то время работал Фред Коэн. Не менее судьбоносным можно считать тот факт, что Lehigh был первым вирусом, наносившим существенный вред, уничтожая информацию на дисках. Пожалуй, этот инцидент еще раз подтвердил расхожее мнение, что настоящий врач должен переболеть всеми болезнями.

Как бы то ни было, но факт присутствия в университете высококвалифицированных специалистов (в том числе в области вирусов) сыграл важную роль в локализации вспышки вируса: в последующие годы так и не было зарегистрировано ни одного случая появления Lehigh"в диком виде" за пределами этого учебного заведения. С другой стороны, погашению эпидемии способствовал и сам механизм действия вируса. Во-первых, он заражал только системные файлы COMMAND.COM, оставляя все остальные исполняемые файлы, в том числе этого типа, нетронутыми.

Это обстоятельство резко снижало скорость распространения Lehigh. Во-вторых, после заражения четырех файлов вирус был запрограммирован на уничтожение информации на текущем диске. Логично заключить, что вместе с данными он уничтожал и самого себя.

Наконец, важно отметить, что в те времена пользователи начинали задумываться над проблемой защиты от вирусов, и многие из них усвоили актуальное на то время правило: первый признак заражения компьютера - увеличение размера COMMAND.COM. Таким образом, чтобы обнаружить Lehigh, достаточно было наблюдать за этим файлом.

Не меньший интерес представляет творение неизвестного программиста из Израиля - семейство резидентных файловых вирусов Suriv (попробуйте прочитать это слово задом наперед). Как и в случае с вирусом Brain трудно однозначно ответить на вопрос: было ли это вышедшим из-под контроля экспериментом или же это пример умышленного создания вредоносных программ.

Многие антивирусные специалисты склоняются к мнению, что все же это был эксперимент . На это указывают фрагменты кода, обнаруженные позднее в Иерусалимском университете Израэлем Радаи (Yisrael Radai). Их изучение показало, что автор пытался изменить процедуру внедрения в EXE-файлы, и последняя модификация вируса являлась только отладочной версией.

Первый представитель этого семейства, логично получивший от автора название Suriv-1, имел способность заражать используемые COM-файлы в масштабе реального времени. Для этого вирус загружался в память компьютера и оставался там до его выключения. Это позволяло вирусу перехватывать файловые операции и заражать COM-файлы в случае их запуска пользователем.

Это обстоятельство обеспечивало практически мгновенное распространение вируса по мобильным носителям. Suriv-2, в отличие от своего предшественника, питал интерес исключительно к EXE-файлам. По сути дела это был первый вирус, который имел способность внедряться в этот тип файлов. Третья инкарнация вируса, Suriv-3, сочетала в себе особенности первых двух и умела одинаково эффективно заражать как COM, так и EXE-файлы.

Вскоре появилась четвертая модификация вируса, больше известная под названием Jerusalem, которая быстро распространилась по всему миру и стала причиной глобальной вирусной эпидемии 1988 г. Но об этом несколько позже. Нельзя обойти вниманием и зашифрованный вирус Cascade, получивший такое название из-за вызываемого эффекта "осыпающихся букв": после активизации вируса все символы текущего экрана "ссыпались" на нижнюю строку.

Вирус состоит из двух частей - расшифровщика и тела вируса. Первый кодирует тело вируса таким образом, что в каждом зараженном файле оно выглядит по-разному. После запуска файла управление передается расшифровщику, который расшифровывает тело вируса и передает ему управление.

Этот вирус можно считать предвестником полиморфных вирусов, которые не имеют постоянного программного кода, но сохраняют свою функциональность. Однако, в отличие от появившихся позднее "полиморфиков" Cascade шифровал только тело вируса, принимая в качестве ключа шифра текущий размер заражаемого файла. Сам расшифровщик оставался неизменным, что позволяло современным антивирусным сканерам без труда обнаруживать вирус.