Кто бы мог представить, кто бы мог подумать, что все так получится!
15 марта 2017
Если мы ещё не дожили до описанного ими будущего,
то этим мы обязаны им.
А если мы всё-таки придём к нему,
мы должны будем признать, что знали, куда идём.
В. Чаликова об антиутопиях
Всего три года назад не было никаких компьютерных вирусов в Болгарии. В конце концов, это были вещи, которые могут произойти только в капиталистических странах.
Кто из нынешнего поколения помнит, что Болгария в советское время была достаточно серьезной компьютерной державой! Винчестеры «Изот», принтеры... Болгария была ориентирована на выпуск компьютеров и компонентов к ним, более открыта – и в результате вредоносные программы, созданные в этой стране, стали легендарными. Ни одна другая страна не дала названия целой группе вирусов.
В 1990 г. поток вирусов, поступающих в нашу страну из-за рубежа, несколько возрос по сравнению с 1989 г. Скорость поступления можно оценить как примерно два вируса в месяц. Из них менее половины получают существенное распространение. Основной вклад в этот поток продолжают вносить файловые вирусы из Болгарии (RCE-2000, RCE-1277 и др.). ... «расползание» вирусов идет от центра к периферии, как это происходит и с естественными вирусами, скажем, вирусом гриппа. Опыт показал, что скорость распространения вирусов из одного города в другой не так уж велика, и запаздывание достигает нескольких месяцев. Это создает возможность подготовиться к появлению очередного вируса за счет оперативного распространения соответствующей информации и антивирусных средств.
Первые два месяца 1990 г. оказались довольно спокойными. В марте появился вирус Sunday, или RСЕ-1636 по используемой автором классификации. Изучение кода показало, что его можно рассматривать в качестве штамма вируса RCE-1813 (Ierusalem, Black Friday). В воскресенье RСЕ-1636 удаляет все запускаемые программы. В этом же месяце был обнаружен бутовый вирус DiskKiller тайваньского происхождения. Это первый из попавших в наших страну вирусов, уничтожающих информацию на всем винчестере так, что ее потом крайне трудно, а для специалиста, не владеющего ассемблером, – невозможно восстановить. В частности, от этого вируса пострадал ряд ВЦ в западных областях Украины.
В апреле в Москве был обнаружен вирус RCE-2000 болгарской разработки. В мае в Днепропетровске был обнаружен вирус RC-600 – первый вирус, относительно которого достоверно известно, что он был разработан в СССР. В июне в Киеве был обнаружен вирус MERPHY, разработанный в Болгарии. В этом же месяце в Москве был обнаружен вирус RCE-1600. Приблизительно в это же время в Москве был обнаружен бутовый вирус DEN ZUK и бутовый вирус индийского производства – Joshy. В июле в нескольких точках Москвы был обнаружен вирус RC-492. В частности, автор обнаружил его, находясь в командировке в ВЦ АН СССР.
К сентябрьскому семинару 1990 г. было обнаружено еще шесть новых вирусов: С-1004 (Bebe), Flu-2 (LoveChild), Attention, Print Screen, Kemerovo-Reboot и 4096. Последний является представителем нового поколения вирусов – так называемых стелс-вирусов и представляет большую опасность из-за довольно скрытого характера распространения и проявлениям, похожим на сбои оборудования. Сразу после сентябрьского семинара был выявлен еще один представитель стелс-вирусов – RC-512, разработанный в Болгарии.
Два вируса в месяц… Времена, когда обновление антивируса опережало скорость распространения эпидемии... Вы можете себе это представить? Но вернемся к болгарским вирусам.
Деятельность болгарских техно-крыс нанесла определенный ущерб нашей стране, поскольку из Болгарии вирусы быстро попадают в СССР. Всего к нам попало более 20 болгарских вирусов, ряд из которых распространился достаточно широко. Среди последних отметим группу Dark Avenger (RCE-1800 – Еddie, RCE-02000 – AntiBontchev, RC-512 и др.) и группу TP-вирусов (RСE-1206, RCE-1805, RCE-2885 и др.).
Многие сотни, если не тысячи, часов были потрачены на анализ и дезинфекцию зараженных ими программ. Факты свидетельствуют о том, что начиная с 1988 г., в Софии сложилась группа лиц, активно разрабатывавшая и распространявшая компьютерные вирусы. Общее количество разработанных ими вирусов приближается к сотне. Среди них отметим техно-крысу, разработавшую серию TP. Эта техно-крыса, по данным В.Бончева, закончившая свою деятельность по созданию новых вирусов летом 1989 г., ранее была сотрудником Высшего машинно-электротехнического института (теперь Инженерная академия), расположенного в Софии. Фамилия автора вируса RE-1961 (В.Бочев) стала известна по попавшему в СССР на вирусной дискете Бончева исходному тексту вируса RЕ-1961 (Yankee Doodle-2). Этот нерезидентный файловый вирус был исторически первым болгарским вирусом, заражавшим EXE-файлы стандартным способом и первым вирусом, использовавшим мелодию играющего мелодию «Янки Дудль Денди» при запуске зараженного файла. Кстати, В. Бочев является автором некоторых статей, опубликованных в «Компютър за вас».
Наиболее известной болгарской техно-крысой на данный момент является программист, скрывающийся под кличкой Dark Avenger. Первым из вирусов, разработанных этой техно-крысой, в СССР попал вирус RCE-1800. Этот вирус, часто называемый Eddie, по содержащейся в нем текстовой строке был и остается одним из наиболее опасных файловых вирусов. В нем предусмотрено разрушение секторов на диске.
Интересен и стиль статей того времени. Ущерб наносится стране в целом, а не компаниям или организациям. Но стремление к славе осталось неизменным – автор вирусов также является автором публикаций.
Сейчас нас уже не удивляет, когда страны голословно обвиняются в создании тех или иных вирусов (мы затрагивали уже эту тему в выпуске «Перевод стрелок»). Но все было когда-то впервые. Исторически болгарские вирусы стали известны вирусологам в результате деятельности В. Бончева – и реакция вирусописателей оказалась мгновенной.
Весной 1990 г. в нашей стране был обнаружен очередной вирус этого технопата – RCE-02000, который на зараженной машине маскирует увеличение длины зараженных файлов. Это один из наиболее скрытно размножающихся и опасных вирусов-вандалов. В тексте вируса RCE-02000 имеется строка «(c) 1989 by Vesselin Bontchev», расположенная в конце тела вируса, т. е. в последнем блоке зараженной программы. Подобного рода клеветнические приемы типичны для техно-крыс и В.Бончев не является первым и последним разработчиком антивирусных программ, которому приходится защищаться от «пиратства наоборот» ... В случае RCE-02000 вирус, являясь резидентным, еще и блокирует запуск антивирусных программ В.Бончева, проверяя загружаемые программы на наличие части приведенной выше строки и вызывая зависание, если строка найдена.
Почему «вандал»? Дело в том, что при каждом шестнадцатом запуске программы вирус уничтожал данные путем перезаписи случайных секторов диска файлами, содержащими строку «Eddie lives… somewhere in time».
Если сейчас вредоносные программы попадают вирусным аналитикам через ловушки, то в те времена вирусы восстанавливались с бумаги.
Тема самовоспроизводящихся программ (например, вирусов) очаровала меня. После некоторого размышления я пришел к выводу, что они никогда не могут представлять любую существенную угрозу потому, что любой пользователь с мозгом мог бы сразу заметить, что что-то неладно. Я даже написал статью, объясняя этот вывод.
Когда моя статья вышла из печати несколько месяцев спустя, двое парней пришли к редакторам в офис и сказали нам, что они нашли компьютерный вирус в их компании. Они даже написали программу, которая может восстановить зараженные файлы путем удаления вируса из них, который они быстро продемонстрировали нам, используя ноутбук, который они привезли с собой. (Все это было действительно очень романтично для нас в то время. Болгария по-прежнему является социалистической страной. Но эти ребята были из частной компании! Ноутбук! Вирус! Мы чувствовали, как жить в будущем).
К сожалению, оказалось, что когда они продемонстрировали свою программу очистки, они также удалили все копии вируса. Но я хотел изучить его! Я пошел с ними в их компанию и нашел кусок бумаги в мусорном ведре, содержащий печатный дамп из небольшой зараженной программы. Я взял этот кусок бумаги домой и тщательно вбил данные побайтно в мой компьютер. Я сделал это дважды, чтобы я мог сравнить две копии и найти любые ошибки, которые я мог делать при вводе байтов. Наконец, у меня был рабочий вирус для изучения!
«Любой пользователь с мозгом мог бы сразу заметить, что что-то неладно»… Так вот кто запустил этот миф!
А вот вирусы T.P. были исследовательским проектом и «вышли в свет» из-за халатности, а также неграмотности пользователей.
Когда болгарский вирусописатель T.P. впервые услышал идею о саморазмножающейся программе, то он решил написать собственный вирус, и ему это удалось. Затем он попытался реализовать схему защиты от вирусов. Следующим шагом должно было стать улучшение его вируса так, чтобы обойти его собственный антивирус. В итоге было создано около 50 различных версий вирусов.
Вирусы T.P. не были распространены преднамеренно. Компьютер, использовавшийся для написания вирусов, также использовался несколькими другими людьми. T.P. предупредил других пользователей, что он пишет вирусы, но так как тогда компьютерные вирусы были совершенно новым понятием, то никто не принял всерьез предупреждение. Так как T.P. не убирал за собой, эти пользователи заразились и начали распространение инфекции дальше.
Ранние версии вирусов T.P. известны под названием Vacsina, так как они содержат такую строку. На самом деле, это наименование программы защиты от вирусов.
Благими намерениями вымощена дорога в ад. Попытка создания тестовых вирусов (это сейчас найти вирус для экспериментов легко, а тогда...) привела к утечке. Именно поэтому в наши дни имеется только один тестовый вирус – eicar, и его никак нельзя запустить с вредоносными целями.
В отличие от Т.Р., вирусы от Dark Avenger'а создавались именно для уничтожения ради удовольствия.
Когда его спросили, почему его вирусы являются разрушительными, он ответил, что «уничтожение данных – это удовольствие» и что он «просто любит уничтожать работу других людей».
Знакомо?
Интересный факт. Для распространения в Москве был выпущен локализованный клон, где вышеприведенная строка была заменена на «B O R O D A мстит во времени», то есть была предусмотрена локализация вирусов для конкретных стран. Да, были времена…
Как скрывался RCE-1800 (он же The Dark Avenger)? Каждая программа записывается на носитель блоками данных. Вирус отслеживал запуск программ и при старте менял размер файла, помечая определенные части зараженного файла как не используемые, а также меняя отметку после завершения работы программы. Скорость заражения файлов этим вирусом впервые, наверное, превысила скорость работы антивирусных сканеров. Именно тогда стало ясно, что использование для защиты одного антивирусного файла – это путь к заражению, так как вирус успевал заразить уже проверенные файлы.
А чем их лечили?
В классе фагов первое место заняла программа AIDSTEST Д. Н. Лозинского, второе место – программа DOCTOR А. А. Чижова. В классе детекторов и ревизоров первое место занял ревизор DLI В. Герасимова, второе место – контекстный детектор VL А. Л. Шеховцова. И наконец, в классе резидентных фильтров два первых места поделили программы SBM В. Еременко и Б. Мостового и программа CHECK21 В. Двоеглазова.
Живы ли легендарные вирусы сейчас?
Вирус RCE-1800, по сообщениям исследователей, работоспособен только на версиях 3.х и 4.х MS DOS. На компьютерах с процессором 80386 вирус не работает.
И завершим выпуск прогнозом, озвученным в 1990 году.
Уже сейчас можно назвать более десятка вирусов, разработанных в СССР. К ним относятся RC-529, RC-600, RCE-1600, RCE-2458 (Victor), С1004 (Bebe), и вероятно, С257. Первые три вируса разработаны в Воронеже, и соответствующий член колхоза имени Герострата известен в кругах вирусологов как «Воронежский пакостник». Интересно отметить, что эта техно-крыса работает в паре со своим отцом, специализирующимся на распространении «выращенных» вирусов.
Поэтому «грядет советский вирусный взрыв», тем более, что если по качеству мы всегда отстаем, то по количеству какой-то вредной продукции являемся мировым лидером. И я боюсь, что по количеству разрабатываемых компьютерных вирусов мы скоро будем серьезно конкурировать с Болгарией.
Воронеж как столица вирусов – неожиданно! И если насчет количества автор не прогадал, то по качеству наши вирусописатели явно не отстают от Запада и Востока. Их бы умения – да на мирное дело…
#вирус #вирусописатель #историяАнтивирусная правДА! рекомендует
Темпы развития вирусной индустрии превзошли все самые смелые прогнозы.
Автор выпуска впервые столкнулся в вирусами году в 1989 или 1990 – когда ему показали дискету и сказали, что болгарские вирусы настолько круты, что могут заражать компьютер, даже если просто помахать дискетой у дисковода.
А когда и как узнали о существовании вирусов вы?
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Sergey
19:37:27 2020-03-19
Денисенко Павел Андреевич
21:57:49 2018-07-30
vasvet
12:24:24 2018-04-15
alex-diesel
10:00:25 2018-04-04
Toma
18:35:25 2017-11-27
Anton_S
17:08:40 2017-07-01
ka_s
09:04:52 2017-07-01
Littlefish
20:31:44 2017-06-18
О существовании вирусов узнал учась в школе.
duduka
20:29:28 2017-06-07
Natalya_2017
15:10:56 2017-03-30
Вячeслaв
12:42:31 2017-03-22
Неуёмный Обыватель
12:17:48 2017-03-22
Вячeслaв
12:00:09 2017-03-22
Неуёмный Обыватель
12:16:26 2017-03-17
Людмила
08:45:45 2017-03-17
"есть предложение по развитию рубрики "Хранилище"."
Ваша задача мне видится невыполнимой....
inetsar
03:56:03 2017-03-17
Людмила
13:08:32 2017-03-16
мы знали куда идем...
Неуёмный Обыватель
13:06:08 2017-03-16
forrus
11:14:42 2017-03-16
Людмила
11:06:48 2017-03-16
Уважаемые Читатели! Администрация проекта призывает вас остановить этот не красящий вас поединок амбиций. Вам самим же потом будет стыдно за написанное. Напоминаю, что недостойные комментарии вы можете удалить самостоятельно. Это перво-последнее предупреждение.
Неуёмный Обыватель
02:59:40 2017-03-16
"Я - Албанский вирус, но в связи с очень плохим развитием технологии в моей стране к сожалению я не могу причинить вред вашему компьютеру. Пожалуйста будьте так любезны стереть один из важных файлов с вашего компьютера самостоятельно и перешлите меня другим.
Заранее благодарен за понимание и сотрудничество."
Вариант был про других соседей - молдавский вирус :)
Неуёмный Обыватель
00:36:40 2017-03-16
Не раз уже упоминалось об угрозах создателей вирусов разработчикам антивирусов.
По сообщениям компании "Доктор Веб", после внесения в вирусные базы записи о Trojan.Skimer.18 некий "Синдикат" не только требовал убрать упоминание о своём детище и угрожал расправой, но и произвел попытки поджога офисов "Доктор Веб". Т.е. противостоять приходится не только в неком киберпрострастве, но и физически. Преступный мир не хочет терять свои доходы.
https://news.drweb.ru/show/?i=4323
https://antifraud.drweb.ru/atm_trojs/drweb/?lng=ru
solec
00:34:34 2017-03-16
razgen
00:15:37 2017-03-16
Б...а
00:11:55 2017-03-16
Luger
00:03:09 2017-03-16
razgen
23:48:54 2017-03-15
----------
Создателями ежедневно поступающих сотен тысяч образцов вредоносных программ думаю, являются тысячи источников, а вот как обрабатывает за день весь этот вредоносный материал одна компания "Доктор Веб" это даже трудно представить. Это получается в данном случае "Доктор Веб" один против тысяч соперников, тем самым как бы опровергает пословицу «Один в поле не воин».
razgen
23:12:14 2017-03-15
Неуёмный Обыватель
23:08:52 2017-03-15
Своё мнение Александр высказывал совсем не на этой странице, а вот здесь: https://www.drweb.ru/pravda/issue/?number=270&lng=ru&page=2
Так зачем же вы ему поддержку оказываете на этой странице, а не там, где он написал? Он же не узнает о вашей поддержке так ;) Это же то же самое, что приговаривать: "какие вкусные помидоры у Александра в его лавке в Хабаровске, советую всем брать", заявившись в обувной магазин в Курчатове ))) Эх, совесть такая дорогая вещь нынче, что не каждому она досталась...
chicer
23:00:55 2017-03-15
Б...м
22:58:02 2017-03-15
Andromeda
22:54:01 2017-03-15
iAFC
22:51:46 2017-03-15
Любитель пляжного футбола
22:51:29 2017-03-15
razgen
22:47:04 2017-03-15
__________
Я никого не пытаюсь убеждать, я изучаю материалы для себя.
Как сказал в нижепривёденном комментарии Александр:
".......Компания Dr.Web в теме этих проблем и качественно делает свою работу. А нам, рядовым пользователям, было бы неплохо хотя бы просто прислушаться к тому "эхо", которое порождает чтение раздела "Антивирусная правДА". Может быть и "избитая истина", но сделай же что-нибудь."
Voin sveta
22:44:28 2017-03-15
razgen
22:36:08 2017-03-15
"Alexander
11:23:31 2017-03-13
Спасибо. Любая информация от Dr.Web всегда своевременна и интересна. Для кого-то она может стать прямым указанием к действию, для кого-то породит "эхо" и ассоциации, которые дадут "толчок" для принятия дополнительных мер по усилению защиты и усилению личной осторожности на просторах интернета. И эта статья - не исключение. Заглянуть вовнутрь "кухни" сетевого мира - это и любопытно, и полезно, - но все зависит от наблюдателя. Не существует "избитых истин", а вот высокомерное пренебрежение смыслом знакомых словосочетаний встречается постоянно. "Данные превращаются ...", изымаются, распространяются, - от нас может прийти к получателю не то, что мы хотели послать, а нам иногда с искомой информацией всучат вредный "довесок". Компания Dr.Web в теме этих проблем и качественно делает свою работу. А нам, рядовым пользователям, было бы неплохо хотя бы просто прислушаться к тому "эхо", которое порождает чтение раздела "Антивирусная правДА". Может быть и "избитая истина", но сделай же что-нибудь."
Б...а
22:29:03 2017-03-15
Неуёмный Обыватель
22:27:28 2017-03-15
Периодически выпускать некий выпуск-обзор вирусов и прочих опасностей с присуждением каких-то номинаций. Номинации могут быть самые разные:
- "самый многочисленный" - поразивший наибольшее число машин за анализируемый период или достигший какого-то количество зараженных устройств;
- "самый быстрораспространяющийся";
- "самый злобный" - имеющий самые разрушительные последствия для пораженных машин;
- "самый нахальный";
- "самый жадный";
- "вор месяца";
- "универсал месяца" - способный поражать различные платформы;
- "самый безобидный";
- "самый неуклюжий";
- "содержащий самое большое количество ошибок и ляпов"
ну и так далее. Номинации можете определить сами или произвести некий опрос среди специалистов и пользователей. Состав номинаций необязательно делать постоянным.
Являть в свет такие выпуски можно раз в месяц или может квартал или даже год, если считаете, что материала не набирается более быстро. Мне кажется, что такие выпуски могли бы стать дополнительным фактором привлечения читателей к проекту. В том числе через поисковые системы используя ключевые слова номинаций.
krasserr
22:23:32 2017-03-15
Lia00
22:23:19 2017-03-15
aleks_ku
22:14:57 2017-03-15
vla_va
21:58:42 2017-03-15
В...а
21:36:15 2017-03-15
Любитель пляжного футбола
21:28:39 2017-03-15
Marsn77
21:15:48 2017-03-15
Любитель пляжного футбола
21:11:09 2017-03-15
Р...й
21:09:00 2017-03-15
НинаК
20:49:24 2017-03-15
ek
20:41:38 2017-03-15