Вы используете устаревший браузер!

Страница может отображаться некорректно.

Они были первыми

Они были первыми

Другие выпуски этой рубрики (10)
  • добавить в избранное
    Добавить в закладки

Противоядие на дискете

Прочитали: 11334 Комментариев: 84 Рейтинг: 109

19 ноября 2018

Тридцатилетию первого отечественного антивируса посвящается.

Компьютерный вирус – штука достаточно мистическая. Мало что в IT-отрасли овеяно таким количеством легенд и домыслов. Громкие компьютерные эпидемии привлекают внимание СМИ еще со времен червя Морриса, при этом нередко информация о них обрастает совершенно удивительными подробностями.

У читателей подобных новостей может сложиться впечатление, что противопоставить вирусной угрозе нечего, ведь описание каждого второго вируса сопровождается эпитетами «неудаляемый» или «убийца антивирусов». Но, конечно же, это не так. Средства антивирусной защиты развиваются не менее динамично, чем компьютерные вирусы, и вчерашний «убийца» сегодня будет остановлен еще на ранних подступах.

Противостояние вирусов и антивирусов началось в середине 1980-х годов, когда стали появляться самые первые массовые компьютерные вирусы и первые утилиты, предназначенные для поиска подозрительного программного кода. Стоит отметить, что в те годы аудитория пользователей компьютеров существенно отличалась от нынешней, и покопаться, например, в содержимом загрузочного сектора или оперативной памяти не считалось чем-то из ряда вон выходящим, поэтому подобные утилиты в первую очередь облегчали и ускоряли поиск вирусов или блокировали возможность совершения потенциально опасных операций, а все дальнейшие действия по «лечению» зараженного компьютера, как правило, осуществлялись вручную.

Однако время шло, компьютеры становились все более персональными, перемещаясь из вычислительных центров в квартиры и офисы, и пользователям потребовались более простые и интуитивно понятные инструменты для борьбы с вирусами, тем более что и вредоносных программ становилось все больше.

И вот однажды произошло на первый взгляд непримечательное событие, которое, тем не менее, не только послужило причиной появления одной из самых популярных отечественных компьютерных программ 90-х годов, но и положило начало всей российской антивирусной отрасли.

В один из ноябрьских дней 1988 года компьютер, находившийся в здании Госплана СССР, том самом здании, в котором в наше время расположена Государственная Дума, стал без причины перезагружаться. Компьютер собирались уже было отдать в ремонт, решив, что корень проблемы нужно искать в «железе», но перед этим взглянуть на машину попросили начальника отдела программирования Вычислительного центра Госплана Дмитрия Николаевича Лозинского.

Изучив файловую систему проблемной машины, Дмитрий Николаевич пришел к выводу, что виновником нештатной работы является маленькая вредоносная программа, внедрившая свой код в исполняемые файлы.

Надо отметить, что несмотря на то, что в те годы в СССР компьютерные специалисты уже знали о возможности существования компьютерных вирусов, на практике с ними еще никто не сталкивался, ну а раз в стране не было вирусов, не существовало и средств защиты от них.

Проведя вечер за компьютером, Дмитрий Николаевич написал первую отечественную антивирусную программу – AIDStest, автоматизировавшую процесс поиска и лечения инфицированных файлов.

Vienna.648, а именно так назывался вирус, преодолевший железный занавес и проникнувший в Госплан, был классическим файловым вирусом, заражавшим исполняемые COM-файлы. Как и большинство вирусов того времени, он был написан на ассемблере. Название Vienna (Вена) было дано ему благодаря месту его первого обнаружения, а число 648 обозначало длину – 648 байт. Несмотря на свою простоту, вирус неплохо размножался, что делало ручной поиск зараженных файлов весьма трудозатратным.

При запуске вирус искал доступные для заражения файлы не только в том каталоге, в котором он находился непосредственно, но и в каталогах, перечисленных в переменной окружения PATH, что позволяло ему, не тратя значительного времени, заражать системные файлы (путь к которым был, как правило, прописан в переменной).

@ECHO OFF
PROMPT $p$g
PATH C:\DOS;c:\nc;c:\drv
SET TEMP=C:\DOS

Пример типичного файла AUTOEXEC.BAT. Можно увидеть, что в данной конфигурации системы вирус получил бы доступ к файлам из каталогов DOS, NC (Norton Commander), DRV.

Для того чтобы предотвратить многократное заражение программ, использовался любопытный механизм – зараженным файлам присваивалось невозможное время последней модификации – 62 секунды. При сканировании файловой системы вирус проверял время изменения файла и игнорировал программы с таким его значением.

Каждый шестой или восьмой файл, заражаемый вирусом, намеренно портился. В начало файла записывалась строка “EAF0FF00F0”, что приводило к перезагрузке компьютера.

#drweb

Самая первая версия антивируса AIDStest

Но вернемся к нашему антивирусу. AIDStest быстро обрел популярность. Вслед за первой версией в том же 1988 году вышла вторая, получившая возможность обнаруживать вирус Cascade, вызывавший осыпание букв на экране монитора. По мере увеличения числа исследуемых Лозинским вирусов новые версии стали выходить все чаще и чаще.

#drweb

Выпущенная в начале 1990 года версия была способна обнаруживать уже 18 вирусов.

Популярность антивируса отметили и вирусописатели. Так, одна из поздних модификаций уже известного нам вируса Vienna - "Vienna.776" выводила на экран компьютера вот такой текст: «Я, кажется, подхватила какую-то заразу... Срочно звоните Дмитрию Николаевичу Лозинскому по телефону 292-40-76 (Москва) и приобретите ПРОГРАММУ AIDSTEST !!!»

Сейчас трудно представить себе существование антивируса в эпоху до Интернета. Мы привыкли к тому, что антивирусная программа сама обновляет себя и свои антивирусные базы, да и вирусы сейчас распространяются в основном во всемирной сети. Но на рубеже восьмидесятых и девяностых годов прошлого века все было иначе.

Основным способом обмена информацией между пользователями были дискеты, люди делились нужными файлами, передавая их от одного человека к другому, а обладатели коллекций полезного софта пользовались в компьютерной среде заслуженным авторитетом. Более продвинутые пользователи, имевшие в те годы модем, могли позволить себе обмениваться файлами через фидо и многочисленные BBS-ки, но этот обмен не был централизован, и большинство людей в итоге получали заветную программу именно на дискете. К тому же в те годы еще не существовало понятия «вирусных баз», для обновления антивируса нужно было скачивать новую версию программы целиком, так что вопрос о том, «у кого AIDSTest свежее», был вполне актуальным. Что удивительно, такая схема распространения по тем временам была достаточно эффективной. Люди охотились за новым софтом, и бывало, что новые версии антивируса разлетались по стране быстрее вирусных эпидемий.

К 1990 году распространявшийся бесплатно AIDSTest стал одной из самых популярных компьютерных программ на территории СССР. Работа над новыми версиями и анализ многочисленных вирусов стали требовать все больше времени, поэтому Дмитрием Николаевичем Лозинским было принято решение о выпуске своего антивируса на рынок коммерческого программного обеспечения. Несмотря на это, AIDSTest не получил никаких средств защиты от копирования и тысячи пользователей продолжили передавать его друг другу. К середине 90-х годов в России было сложно найти компьютер, на жестком диске которого не было бы заветного файла aidstest.exe.

Сегодня AIDSTest выглядит аскетично и даже архаично: никакого графического интерфейса, работа исключительно из командной строки DOS. Но в начале 90-х годов такой подход был вполне традиционным. Несмотря на существование оболочек типа Norton Commander, облегчающих работу с файловой системой, и прочих программ, имеющих дружественный интерфейс, значительное количество популярных утилит, например архиваторы, работали из командной строки. Необходимость ввода ключей и прописывания путей к файлам ничуть не пугала пользователей ПК. К тому же одним из достоинств антивируса AIDSTest всегда был его малый размер, позволявший записать антивирус на системную дискету и проверить с его помощью не желающий штатно загружаться или просто зараженный компьютер.

Пользователи ПК из 90-х годов, возможно, вспомнят, что вместе с антивирусом распространялся текстовый файл, содержащий описания вирусов, которые умел находить и обезвреживать AIDSTest. Почитав его, становилось понятно, что с фантазией у авторов вредоносных программ того времени все было отлично. Вирусописатели нередко включали в код фрагменты, позволяющие идентифицировать автора, своеобразный копирайт, передавали приветы друг другу и авторам антивирусов, писали стихи и рисовали картинки. Многие сегодняшние айтишники познакомились с миром компьютерных вирусов именно благодаря этим описаниям.

AIDSTest просуществовал целое десятилетие. Десятилетие, которое многие считают «золотым веком» компьютерных вирусов. Но используя традиционные методы анализа содержимого файлов на предмет вирусных сигнатур, он не мог противостоять все более популярным полиморфным вирусам, постоянно изменяющим свой программный код.

В 1997 году Дмитрием Николаевичем Лозинским было принято решение прекратить выпуск AIDSTest и присоединиться к разработке более современного и технически совершенного антивируса Dr.Web, отвечавшего всем веяниям времени.

Как это ни парадоксально, AIDSTest может быть полезен и сейчас, спустя 20 лет после прекращения его разработки. Если вы любите играть в старые игры, запуская их через DOSBox, вы вполне имеете шансы столкнуться с вирусными динозаврами, живущими в архивах старого софта. Современные антивирусы далеко не всегда смогут помочь вам избавить вашу виртуальную машину или, тем более, купленную специально для этих целей «XT-шку» от какого-нибудь «Datacrime». Тут-то на помощь и придет AIDSTest. Ну а если вы научились настраивать DOSBox, то командная строка вас точно не напугает!

Эпилог

#drweb

А вот так выглядела одна из первых версий антивируса Dr.Web. Как видите, у нее тоже еще нет графического интерфейса, но она отлично понимает, что из 1994 года она перенеслась в 2018, а значит, ее вирусные базы безнадежно устарели.

#drweb

Заметьте, что уже эта версия имела эвристический анализатор, позволявший выявлять неизвестные вирусы.

#антивирус #Dr.Web #история

Антивирусная правДА! рекомендует

Дмитрий Николаевич до сих пор вместе с «Доктор Веб».

Эвристик, чья разработка была начата в 2004 году, в 2017 спас наших пользователей от WannaCry.

Dr.Web более 26 лет существует на высококонкурентном антивирусном рынке и известен далеко за пределами России.

Мы желаем здоровья каждому компьютеру!

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: