Противоядие на дискете
19 ноября 2018
Тридцатилетию первого отечественного антивируса посвящается.
Компьютерный вирус – штука достаточно мистическая. Мало что в IT-отрасли овеяно таким количеством легенд и домыслов. Громкие компьютерные эпидемии привлекают внимание СМИ еще со времен червя Морриса, при этом нередко информация о них обрастает совершенно удивительными подробностями.
У читателей подобных новостей может сложиться впечатление, что противопоставить вирусной угрозе нечего, ведь описание каждого второго вируса сопровождается эпитетами «неудаляемый» или «убийца антивирусов». Но, конечно же, это не так. Средства антивирусной защиты развиваются не менее динамично, чем компьютерные вирусы, и вчерашний «убийца» сегодня будет остановлен еще на ранних подступах.
Противостояние вирусов и антивирусов началось в середине 1980-х годов, когда стали появляться самые первые массовые компьютерные вирусы и первые утилиты, предназначенные для поиска подозрительного программного кода. Стоит отметить, что в те годы аудитория пользователей компьютеров существенно отличалась от нынешней, и покопаться, например, в содержимом загрузочного сектора или оперативной памяти не считалось чем-то из ряда вон выходящим, поэтому подобные утилиты в первую очередь облегчали и ускоряли поиск вирусов или блокировали возможность совершения потенциально опасных операций, а все дальнейшие действия по «лечению» зараженного компьютера, как правило, осуществлялись вручную.
Однако время шло, компьютеры становились все более персональными, перемещаясь из вычислительных центров в квартиры и офисы, и пользователям потребовались более простые и интуитивно понятные инструменты для борьбы с вирусами, тем более что и вредоносных программ становилось все больше.
И вот однажды произошло на первый взгляд непримечательное событие, которое, тем не менее, не только послужило причиной появления одной из самых популярных отечественных компьютерных программ 90-х годов, но и положило начало всей российской антивирусной отрасли.
В один из ноябрьских дней 1988 года компьютер, находившийся в здании Госплана СССР, том самом здании, в котором в наше время расположена Государственная Дума, стал без причины перезагружаться. Компьютер собирались уже было отдать в ремонт, решив, что корень проблемы нужно искать в «железе», но перед этим взглянуть на машину попросили начальника отдела программирования Вычислительного центра Госплана Дмитрия Николаевича Лозинского.
Изучив файловую систему проблемной машины, Дмитрий Николаевич пришел к выводу, что виновником нештатной работы является маленькая вредоносная программа, внедрившая свой код в исполняемые файлы.
Надо отметить, что несмотря на то, что в те годы в СССР компьютерные специалисты уже знали о возможности существования компьютерных вирусов, на практике с ними еще никто не сталкивался, ну а раз в стране не было вирусов, не существовало и средств защиты от них.
Проведя вечер за компьютером, Дмитрий Николаевич написал первую отечественную антивирусную программу – AIDStest, автоматизировавшую процесс поиска и лечения инфицированных файлов.
Vienna.648, а именно так назывался вирус, преодолевший железный занавес и проникнувший в Госплан, был классическим файловым вирусом, заражавшим исполняемые COM-файлы. Как и большинство вирусов того времени, он был написан на ассемблере. Название Vienna (Вена) было дано ему благодаря месту его первого обнаружения, а число 648 обозначало длину – 648 байт. Несмотря на свою простоту, вирус неплохо размножался, что делало ручной поиск зараженных файлов весьма трудозатратным.
При запуске вирус искал доступные для заражения файлы не только в том каталоге, в котором он находился непосредственно, но и в каталогах, перечисленных в переменной окружения PATH, что позволяло ему, не тратя значительного времени, заражать системные файлы (путь к которым был, как правило, прописан в переменной).
@ECHO OFF
PROMPT $p$g
PATH C:\DOS;c:\nc;c:\drv
SET TEMP=C:\DOS
Пример типичного файла AUTOEXEC.BAT. Можно увидеть, что в данной конфигурации системы вирус получил бы доступ к файлам из каталогов DOS, NC (Norton Commander), DRV.
Для того чтобы предотвратить многократное заражение программ, использовался любопытный механизм – зараженным файлам присваивалось невозможное время последней модификации – 62 секунды. При сканировании файловой системы вирус проверял время изменения файла и игнорировал программы с таким его значением.
Каждый шестой или восьмой файл, заражаемый вирусом, намеренно портился. В начало файла записывалась строка “EAF0FF00F0”, что приводило к перезагрузке компьютера.
Самая первая версия антивируса AIDStest
Но вернемся к нашему антивирусу. AIDStest быстро обрел популярность. Вслед за первой версией в том же 1988 году вышла вторая, получившая возможность обнаруживать вирус Cascade, вызывавший осыпание букв на экране монитора. По мере увеличения числа исследуемых Лозинским вирусов новые версии стали выходить все чаще и чаще.
Выпущенная в начале 1990 года версия была способна обнаруживать уже 18 вирусов.
Популярность антивируса отметили и вирусописатели. Так, одна из поздних модификаций уже известного нам вируса Vienna - "Vienna.776" выводила на экран компьютера вот такой текст: «Я, кажется, подхватила какую-то заразу... Срочно звоните Дмитрию Николаевичу Лозинскому по телефону 292-40-76 (Москва) и приобретите ПРОГРАММУ AIDSTEST !!!»
Сейчас трудно представить себе существование антивируса в эпоху до Интернета. Мы привыкли к тому, что антивирусная программа сама обновляет себя и свои антивирусные базы, да и вирусы сейчас распространяются в основном во всемирной сети. Но на рубеже восьмидесятых и девяностых годов прошлого века все было иначе.
Основным способом обмена информацией между пользователями были дискеты, люди делились нужными файлами, передавая их от одного человека к другому, а обладатели коллекций полезного софта пользовались в компьютерной среде заслуженным авторитетом. Более продвинутые пользователи, имевшие в те годы модем, могли позволить себе обмениваться файлами через фидо и многочисленные BBS-ки, но этот обмен не был централизован, и большинство людей в итоге получали заветную программу именно на дискете. К тому же в те годы еще не существовало понятия «вирусных баз», для обновления антивируса нужно было скачивать новую версию программы целиком, так что вопрос о том, «у кого AIDSTest свежее», был вполне актуальным. Что удивительно, такая схема распространения по тем временам была достаточно эффективной. Люди охотились за новым софтом, и бывало, что новые версии антивируса разлетались по стране быстрее вирусных эпидемий.
К 1990 году распространявшийся бесплатно AIDSTest стал одной из самых популярных компьютерных программ на территории СССР. Работа над новыми версиями и анализ многочисленных вирусов стали требовать все больше времени, поэтому Дмитрием Николаевичем Лозинским было принято решение о выпуске своего антивируса на рынок коммерческого программного обеспечения. Несмотря на это, AIDSTest не получил никаких средств защиты от копирования и тысячи пользователей продолжили передавать его друг другу. К середине 90-х годов в России было сложно найти компьютер, на жестком диске которого не было бы заветного файла aidstest.exe.
Сегодня AIDSTest выглядит аскетично и даже архаично: никакого графического интерфейса, работа исключительно из командной строки DOS. Но в начале 90-х годов такой подход был вполне традиционным. Несмотря на существование оболочек типа Norton Commander, облегчающих работу с файловой системой, и прочих программ, имеющих дружественный интерфейс, значительное количество популярных утилит, например архиваторы, работали из командной строки. Необходимость ввода ключей и прописывания путей к файлам ничуть не пугала пользователей ПК. К тому же одним из достоинств антивируса AIDSTest всегда был его малый размер, позволявший записать антивирус на системную дискету и проверить с его помощью не желающий штатно загружаться или просто зараженный компьютер.
Пользователи ПК из 90-х годов, возможно, вспомнят, что вместе с антивирусом распространялся текстовый файл, содержащий описания вирусов, которые умел находить и обезвреживать AIDSTest. Почитав его, становилось понятно, что с фантазией у авторов вредоносных программ того времени все было отлично. Вирусописатели нередко включали в код фрагменты, позволяющие идентифицировать автора, своеобразный копирайт, передавали приветы друг другу и авторам антивирусов, писали стихи и рисовали картинки. Многие сегодняшние айтишники познакомились с миром компьютерных вирусов именно благодаря этим описаниям.
AIDSTest просуществовал целое десятилетие. Десятилетие, которое многие считают «золотым веком» компьютерных вирусов. Но используя традиционные методы анализа содержимого файлов на предмет вирусных сигнатур, он не мог противостоять все более популярным полиморфным вирусам, постоянно изменяющим свой программный код.
В 1997 году Дмитрием Николаевичем Лозинским было принято решение прекратить выпуск AIDSTest и присоединиться к разработке более современного и технически совершенного антивируса Dr.Web, отвечавшего всем веяниям времени.
Как это ни парадоксально, AIDSTest может быть полезен и сейчас, спустя 20 лет после прекращения его разработки. Если вы любите играть в старые игры, запуская их через DOSBox, вы вполне имеете шансы столкнуться с вирусными динозаврами, живущими в архивах старого софта. Современные антивирусы далеко не всегда смогут помочь вам избавить вашу виртуальную машину или, тем более, купленную специально для этих целей «XT-шку» от какого-нибудь «Datacrime». Тут-то на помощь и придет AIDSTest. Ну а если вы научились настраивать DOSBox, то командная строка вас точно не напугает!
Эпилог
А вот так выглядела одна из первых версий антивируса Dr.Web. Как видите, у нее тоже еще нет графического интерфейса, но она отлично понимает, что из 1994 года она перенеслась в 2018, а значит, ее вирусные базы безнадежно устарели.
Заметьте, что уже эта версия имела эвристический анализатор, позволявший выявлять неизвестные вирусы.
Антивирусная правДА! рекомендует
Дмитрий Николаевич до сих пор вместе с «Доктор Веб».
Эвристик, чья разработка была начата в 2004 году, в 2017 спас наших пользователей от WannaCry.
Dr.Web более 26 лет существует на высококонкурентном антивирусном рынке и известен далеко за пределами России.
Мы желаем здоровья каждому компьютеру!
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
nahimovec
12:34:33 2018-11-22
МЕДВЕДЬ
22:28:03 2018-11-20
Lia00
20:48:56 2018-11-20
Анатолий
05:58:48 2018-11-20
razgen
01:22:00 2018-11-20
Littlefish
23:41:47 2018-11-19
stavkafon
23:21:15 2018-11-19
Littlefish
23:19:33 2018-11-19
Littlefish
23:13:17 2018-11-19
В...а
22:28:43 2018-11-19
Александр
22:19:44 2018-11-19
Геральт
22:07:37 2018-11-19
orw_mikle
21:44:39 2018-11-19
znamy
21:41:57 2018-11-19
vla_va
21:20:21 2018-11-19
matt1954
21:11:06 2018-11-19
Marsn77
20:51:26 2018-11-19
kva-kva
20:50:14 2018-11-19
anatol
20:44:17 2018-11-19
mk.insta
20:07:23 2018-11-19
Сергей
20:06:15 2018-11-19
Lenba
19:41:52 2018-11-19
Шалтай Александр Болтай
19:10:02 2018-11-19
Шалтай Александр Болтай
19:00:23 2018-11-19
— Ух ты! Hебось, еще на 5—ти дюймовых дискетаХ!
Дмитрий
18:59:25 2018-11-19
tigra
18:46:19 2018-11-19
tigra
18:42:31 2018-11-19
Dvakota
18:42:01 2018-11-19
tigra
18:29:17 2018-11-19
Денисенко Павел Андреевич
18:24:00 2018-11-19
Rider
17:56:43 2018-11-19
La folle
17:23:15 2018-11-19
tigra
16:53:43 2018-11-19
Biggurza
16:52:23 2018-11-19
Листаю года в черно-белом.
Ах, детство мое… Всё далекое в нём,
Хоть близко, но всё ж за пределом.
Вот на коне я скачу, просто жуть,
Вот мама мне нос вытирает,
Я с дедом – его орденами вся грудь,
Вот гусь меня в поле гоняет…
Ах, прошибает мне память слезу…
Со вздохом «Искру́»* вспоминаю.
И старые строчки всплывают в ОЗУ,
Читаю, смотрю и вздыхаю!
Вот так это было: чрез AUTOEXEC.
А в нем может вирус гуляет?
И жили мы вроде без бед…
Но строчки тоску нагоняют.
Сегодня уж равных быть может и нет –
Антивирус всех «рвет на татами».
Браво, Лозинский, Вы дали ответ!..
Клянусь, что гордимся мы Вами.
Спасибо, что гадость нашли в коде том
И крепко связали заразу.
Пошло и поехало дело потом –
Свершенье подобно алмазу.
Спасибо и Доку – душевно порой
По-доброму глянуть в сусеки,
Вспомнить, вздохнуть и ринуться в бой
Для новых свершений во веки.
_______
* «Искра» 1030 – советский IBM PC/XT-совместимый персональный компьютер на основе процессора КР1810ВМ86.
(Мой первый ПЭВМ)
tigra
16:51:02 2018-11-19
tigra
16:48:05 2018-11-19
Andromeda
16:31:36 2018-11-19
Ruslan
16:24:37 2018-11-19
Татьяна
15:53:46 2018-11-19
Альфа
15:41:01 2018-11-19
rozhkov-aleksei
14:54:19 2018-11-19
robot
14:13:20 2018-11-19
Самые лучшие звуки (имхо) были у ластика.
Неуёмный Обыватель
14:07:47 2018-11-19
Toma
13:52:39 2018-11-19
robot
13:46:35 2018-11-19
kozinka.ru
13:17:43 2018-11-19
Всё было: DOS, командная строка, NC и aidstest.exe. Мир изменился до неузнаваемости.
vinnetou
13:09:26 2018-11-19
Damir
13:00:22 2018-11-19
Masha
12:17:17 2018-11-19
Дмитрию Николаевичу всего наилучшего!
Alexey
11:40:48 2018-11-19
Юбилей близко.