Вы используете устаревший браузер!

Страница может отображаться некорректно.

Хранилище

Хранилище

Другие выпуски этой рубрики (5)
  • добавить в избранное
    Добавить в закладки

Первая «жертва» антивируса

Прочитали: 12388 Комментариев: 84 Рейтинг: 113

30 ноября 2018

Не ставят нехристям кресты!
Покрылись мо́хом и травою
Погосты вирусов пласты
Под вечной скорбью цифровою.

Былых могил простыл и след,
И, без почета, без награды,
Лежат едва увидев свет,
В пыли античные трояны.

Зачем вы рождены на Свет?
Ответ не дан, молчит былое –
Уже шагает по Земле
Зловредов стадо молодое.

А там, где байты так тесны
И вечный мрак не освещаем,
Первотроянам снятся сны —
Как будто мы их навещаем.

Читатель проекта Biggurza

В свое время попасть в список Лозинского для вирусописателя было как получить признание, а если удавалось получить его едкий комментарий, так счастье было просто безмерным.

Источник

В выпуске «Противоядие на дискете» мы рассказали о том, как началась эпоха антивирусов Dr.Web. Речь шла об истории создания антивируса, в то время как вирус Vienna.648, «виновник торжества», сам по себе заслуживает отдельного внимания.

Сейчас вредоносных программ так много, что для каждой из них название не придумаешь, – их просто нумеруют в порядке попадания в вирусную базу в рамках того или иного семейства. Поэтому создается впечатление, что Vienna.648 – это 648-й по порядку вирус из семейства Vienna. Но это не так. 648 – это если и не имя, то, несомненно, отчество. Этим числом обозначена длина файла вируса (вот времена были: вирусы длиной менее килобайта!). Кстати, сам Д.Н. Лозинский назвал этот вирус Vienna-648, через дефис.

Интересна (и фантастична!) уже сама история появления этого вируса:

Первыми примерно в одно и то же время обнаружили вирус Франц Свобода и Ральф Бергер, хотя доподлинно неизвестно, кто из них это сделал первым, поскольку каждый из них говорил о том, что получил вирус от другого.

Источник

Попахивает мистикой: два человека утверждают, что получили вирус от другого. В нынешние времена это вполне возможно: банальный перехват почтового трафика. Но тогда...

Автор Vienna.648 так и остался неизвестным (по слухам, он был создан учеником из Вены в качестве эксперимента, и, возможно, как и один из болгарских вирусов, о которых мы писали, «утек» непреднамеренно), но сам вирус и его распространение стали примером первой «опенсорс-эпидемии».

Ральф Бергер (Ralf Burger), опубликовав исходный код в своей книге (ISBN 1557550433), открыл ларец Пандоры. Любой программист мог изменить исходный код для создания на его базе подобной программы. Лавина «форков» обрушилась на мир машин. Порой среди них встречались отпетые «мерзавцы» типа Ghostballs и Chameleon (за многие годы начинающие программисты и школяры наделали более 60 вариантов этой заразы, скорей всего, это число можно смело умножить на 10, и то я не уверен, что это все).

Так что эпидемии вследствие утечки или публикации исходных кодов появились не сегодня.

Слово Д.Н. Лозинскому:

Самым опасным свойством этого вируса оказалась его простота. Из-за этого в малопочтенное общество авторов вирусов смогла вступить группа личностей, способных разобраться в несложной чужой программе и слегка ее модифицировать.

Источник

А некоторые названия появившегося семейства можно найти в Вирусной энциклопедии Dr.Web:

Vienna #4, Virus:DOS/Lisbon_648.B, VIENNA.LISBN.C, Vienna, Vienna.648.SDI, Vienna.648.a, Virus:DOS/Lisbon_648.C, Virus.DOS.Vienna.648.l, Virus.DOS.Vienna.648.b, Virus:DOS/Lisbon_648.D, DOS/Lisbon_648.D, Vienna.648.Reboot.E, VIENNA.623.A, Virus.DOS.Vienna.623, VIENNA.648.A, Vienna.1881.B, Vien.623 (1), Vienna.VHP.620, Vien.Windjoy, VIENNA.648.SDI, Vienna.648.Reboot.H, Vienna.623.A, Vienna.648.Lisbon.B, VIENNA.CHOINKA.F, DOS/Vienna_Choinka.B

Что же представлял собой Vienna.648?

Vienna.648“ — типичный файловый нерезидентный вирус, после получения управления заражающий файлы, чаще всего в момент запуска зараженного носителя.

Как многие другие старинные вирусы, был написан на ассемблере и поражал исполняемые COM-файлы (COM-программы обычно являются небольшими приложениями, системными утилитами или небольшими резидентными программами).

Нерезидентная программа – значит, не оставляющая свои копии в системной памяти. То есть Vienna.648 запускался (например, при старте системы), искал и заражал исполняемые файлы и завершал свою работу.

На заре компьютерного мира существовало два типа исполняемых файлов – exe и сом. Cом-файлы (от англ. command) действительно, как правило, были системными утилитами и имели малый размер. Собственно, для уменьшения размера этот формат файлов и был создан – ресурсы в те времена были ограниченными, да и дискеты были, что называется, не резиновыми.

Сейчас о наличии com-файлов знают разве что историки – и мошенники этим пользуются.

Некоторые авторы компьютерных вирусов надеялись воспользоваться неграмотностью современных пользователей – отсутствием знаний о .COM расширении файла и связанного с ним двоичного формата, а также их более вероятного знакомства с .COM доменом Интернета. По электронной почте отправляли вложение с именем, похожим на «www.example.com». Неосторожные пользователи Microsoft Windows, нажав на такое вложение, ожидали, что они будут просматривать сайт с адресом http://www.example.com/, но вместо этого запускали вложенный файл .COM c именем www.example, давая ему полные права на выполнение операций. Обратите внимание, что нет ничего вредоносного в самом формате COM файла, но в данном случае было вредоносное использование похожих наименований.

Источник

Вирус приписывался к концу файла COM-программы, а в начало вписывал ассемблерную команду перехода на свое тело, при этом приписка вирусного кода в конец программы приводила к невозможности использования прямой адресации к ячейкам памяти, так как прямые ссылки изменялись, в связи с чем приходилось усложнять алгоритмы, используя косвенную адресацию со смещением. Такое усложнение требовало внесения дополнительного кода, вычисляющего адресацию.

Источник

Прямая адресация подразумевает указание в команде точного адреса другой команды или переменной. В случае косвенной адресации указывается местоположение, по которому хранится точный адрес.

Вирус не просто заражал файлы – он их преднамеренно портил.

Снова слово Д.Н. Лозинскому:

Vienna-648, -534, -574, -623, -625, -627, -23693

Наиболее примитивный из широко распространенных вирусов. При загрузке в память просматривает все COM-программы в текущем каталоге и в доступных через PATH. Первую найденную еще не зараженную программу либо заражает, либо, с вероятностью 1/8, портит таким образом, что она при запуске вызывает перезагрузку системы. Если испорченной таким образом оказывается одна из программ, вызываемых из AUTOEXEC.BAT, процедура начальной загрузки зацикливается.

Источник

Но, как бы то ни было, Vienna.648 стал первым вирусом, который был обнаружен и уничтожен антивирусной программой.

#Dr.Web #история #вирус

Антивирусная правДА! рекомендует

Не поленитесь ознакомиться с описанием первых вирусов, благо найти в Интернете файл aidsvir.txt труда не составит.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Комментарии к другим выпускам | Мои комментарии

 
На страницу: