Первая «жертва» антивируса
30 ноября 2018
Не ставят нехристям кресты!
Покрылись мо́хом и травою
Погосты вирусов пласты
Под вечной скорбью цифровою.
Былых могил простыл и след,
И, без почета, без награды,
Лежат едва увидев свет,
В пыли античные трояны.
Зачем вы рождены на Свет?
Ответ не дан, молчит былое –
Уже шагает по Земле
Зловредов стадо молодое.
А там, где байты так тесны
И вечный мрак не освещаем,
Первотроянам снятся сны —
Как будто мы их навещаем.
Читатель проекта Biggurza
В свое время попасть в список Лозинского для вирусописателя было как получить признание, а если удавалось получить его едкий комментарий, так счастье было просто безмерным.
В выпуске «Противоядие на дискете» мы рассказали о том, как началась эпоха антивирусов Dr.Web. Речь шла об истории создания антивируса, в то время как вирус Vienna.648, «виновник торжества», сам по себе заслуживает отдельного внимания.
Сейчас вредоносных программ так много, что для каждой из них название не придумаешь, – их просто нумеруют в порядке попадания в вирусную базу в рамках того или иного семейства. Поэтому создается впечатление, что Vienna.648 – это 648-й по порядку вирус из семейства Vienna. Но это не так. 648 – это если и не имя, то, несомненно, отчество. Этим числом обозначена длина файла вируса (вот времена были: вирусы длиной менее килобайта!). Кстати, сам Д.Н. Лозинский назвал этот вирус Vienna-648, через дефис.
Интересна (и фантастична!) уже сама история появления этого вируса:
Первыми примерно в одно и то же время обнаружили вирус Франц Свобода и Ральф Бергер, хотя доподлинно неизвестно, кто из них это сделал первым, поскольку каждый из них говорил о том, что получил вирус от другого.
Попахивает мистикой: два человека утверждают, что получили вирус от другого. В нынешние времена это вполне возможно: банальный перехват почтового трафика. Но тогда...
Автор Vienna.648 так и остался неизвестным (по слухам, он был создан учеником из Вены в качестве эксперимента, и, возможно, как и один из болгарских вирусов, о которых мы писали, «утек» непреднамеренно), но сам вирус и его распространение стали примером первой «опенсорс-эпидемии».
Ральф Бергер (Ralf Burger), опубликовав исходный код в своей книге (ISBN 1557550433), открыл ларец Пандоры. Любой программист мог изменить исходный код для создания на его базе подобной программы. Лавина «форков» обрушилась на мир машин. Порой среди них встречались отпетые «мерзавцы» типа Ghostballs и Chameleon (за многие годы начинающие программисты и школяры наделали более 60 вариантов этой заразы, скорей всего, это число можно смело умножить на 10, и то я не уверен, что это все).
Так что эпидемии вследствие утечки или публикации исходных кодов появились не сегодня.
Слово Д.Н. Лозинскому:
Самым опасным свойством этого вируса оказалась его простота. Из-за этого в малопочтенное общество авторов вирусов смогла вступить группа личностей, способных разобраться в несложной чужой программе и слегка ее модифицировать.
А некоторые названия появившегося семейства можно найти в Вирусной энциклопедии Dr.Web:
Vienna #4, Virus:DOS/Lisbon_648.B, VIENNA.LISBN.C, Vienna, Vienna.648.SDI, Vienna.648.a, Virus:DOS/Lisbon_648.C, Virus.DOS.Vienna.648.l, Virus.DOS.Vienna.648.b, Virus:DOS/Lisbon_648.D, DOS/Lisbon_648.D, Vienna.648.Reboot.E, VIENNA.623.A, Virus.DOS.Vienna.623, VIENNA.648.A, Vienna.1881.B, Vien.623 (1), Vienna.VHP.620, Vien.Windjoy, VIENNA.648.SDI, Vienna.648.Reboot.H, Vienna.623.A, Vienna.648.Lisbon.B, VIENNA.CHOINKA.F, DOS/Vienna_Choinka.B
Что же представлял собой Vienna.648?
„Vienna.648“ — типичный файловый нерезидентный вирус, после получения управления заражающий файлы, чаще всего в момент запуска зараженного носителя.
Как многие другие старинные вирусы, был написан на ассемблере и поражал исполняемые COM-файлы (COM-программы обычно являются небольшими приложениями, системными утилитами или небольшими резидентными программами).
Нерезидентная программа – значит, не оставляющая свои копии в системной памяти. То есть Vienna.648 запускался (например, при старте системы), искал и заражал исполняемые файлы и завершал свою работу.
На заре компьютерного мира существовало два типа исполняемых файлов – exe и сом. Cом-файлы (от англ. command) действительно, как правило, были системными утилитами и имели малый размер. Собственно, для уменьшения размера этот формат файлов и был создан – ресурсы в те времена были ограниченными, да и дискеты были, что называется, не резиновыми.
Сейчас о наличии com-файлов знают разве что историки – и мошенники этим пользуются.
Некоторые авторы компьютерных вирусов надеялись воспользоваться неграмотностью современных пользователей – отсутствием знаний о .COM расширении файла и связанного с ним двоичного формата, а также их более вероятного знакомства с .COM доменом Интернета. По электронной почте отправляли вложение с именем, похожим на «www.example.com». Неосторожные пользователи Microsoft Windows, нажав на такое вложение, ожидали, что они будут просматривать сайт с адресом http://www.example.com/, но вместо этого запускали вложенный файл .COM c именем www.example, давая ему полные права на выполнение операций. Обратите внимание, что нет ничего вредоносного в самом формате COM файла, но в данном случае было вредоносное использование похожих наименований.
Вирус приписывался к концу файла COM-программы, а в начало вписывал ассемблерную команду перехода на свое тело, при этом приписка вирусного кода в конец программы приводила к невозможности использования прямой адресации к ячейкам памяти, так как прямые ссылки изменялись, в связи с чем приходилось усложнять алгоритмы, используя косвенную адресацию со смещением. Такое усложнение требовало внесения дополнительного кода, вычисляющего адресацию.
Прямая адресация подразумевает указание в команде точного адреса другой команды или переменной. В случае косвенной адресации указывается местоположение, по которому хранится точный адрес.
Вирус не просто заражал файлы – он их преднамеренно портил.
Снова слово Д.Н. Лозинскому:
Vienna-648, -534, -574, -623, -625, -627, -23693
Наиболее примитивный из широко распространенных вирусов. При загрузке в память просматривает все COM-программы в текущем каталоге и в доступных через PATH. Первую найденную еще не зараженную программу либо заражает, либо, с вероятностью 1/8, портит таким образом, что она при запуске вызывает перезагрузку системы. Если испорченной таким образом оказывается одна из программ, вызываемых из AUTOEXEC.BAT, процедура начальной загрузки зацикливается.
Но, как бы то ни было, Vienna.648 стал первым вирусом, который был обнаружен и уничтожен антивирусной программой.
Антивирусная правДА! рекомендует
Не поленитесь ознакомиться с описанием первых вирусов, благо найти в Интернете файл aidsvir.txt труда не составит.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Любитель пляжного футбола
21:01:53 2018-12-04
Ruslan
16:30:55 2018-12-03
razgen
00:23:02 2018-12-03
"Взломать классический компьютер сейчас может и школьник,
для проникновения в квантовую систему требуется оптическая лаборатория стоимостью под миллион долларов."
РИА Новости https://ria.ru/science/20181122/1533223834.html
domenix
17:48:06 2018-12-02
domenix
17:26:10 2018-12-02
Да и потом у многих хакеров того времени были свои убеждения и очень своеобразное чувство юмора
взять тот-же вирус crеcker "Хочу крекер" :) :)
ну или знаменитая Friday the 13th "Dear barefoot today, Friday the 13th and I'm too lazy to work so I turn off the computer and go home :) :)
В последствии многие из хакеров с успехом нашли себя в аналитике безопасности .
DrKV
11:08:38 2018-12-01
@Natalya_2017, поздравляю с Днем рождения! Всех благ, удачи, здоровья и успехов во всём!
Natalya_2017
10:38:38 2018-12-01
razgen
01:13:19 2018-12-01
Такие уж они люди эти хакеры, им интереснее взламывать, чем что-то создавать.
Как сказал один из самых известных в мире квантовых хакеров Вадим Макаров:
"Квантовой криптографией я начал заниматься лет двадцать назад в аспирантуре Норвежского института науки и технологий. Мы с коллегами быстро поняли, что строить такие системы не столь интересно, как их взламывать, и одними из первых в мире занялись квантовым хакингом."
Но всё же деятельность В.Макарова полезна. Взламывая, он определяет уязвимости и сообщает об этом разработчикам:
"Разработчики нам доверяют и предоставляют полную документацию, а мы им — список всех найденных уязвимостей и рекомендаций по их устранению. У производителей есть понимание, что такой аудит нужен"
Подробнее, РИА Новости https://ria.ru/science/20181122/1533223834.html
robot
23:29:53 2018-11-30
Александр
22:50:29 2018-11-30
В...а
22:29:23 2018-11-30
vla_va
21:58:36 2018-11-30
Геральт
21:51:45 2018-11-30
МЕДВЕДЬ
21:46:54 2018-11-30
Дмитрий
21:46:19 2018-11-30
kva-kva
21:05:33 2018-11-30
Dvakota
20:59:56 2018-11-30
Old Fellow
20:36:27 2018-11-30
mk.insta
20:36:02 2018-11-30
stavkafon
20:18:29 2018-11-30
dyadya_Sasha
19:45:03 2018-11-30
anatol
19:43:59 2018-11-30
dyadya_Sasha
19:40:32 2018-11-30
dyadya_Sasha
19:37:05 2018-11-30
Шалтай Александр Болтай
18:52:42 2018-11-30
— Алло, привет, ты где? — Я сейчас на дне рождения. — Опа, а где это, дно рождения?
Шалтай Александр Болтай
18:46:45 2018-11-30
Сергей
17:49:47 2018-11-30
Денисенко Павел Андреевич
17:08:52 2018-11-30
Любитель пляжного футбола
16:38:43 2018-11-30
Эх, в те времена, когда на вирусах ещё никак нельзя было заработать, эти вирусописатели, умные же люди, вместо того чтобы придумать что-то полезное, придумывали какую-то гадость, чтобы навредить другим...
Toma
16:18:16 2018-11-30
Toma
16:17:31 2018-11-30
La folle
15:59:48 2018-11-30
vkor
15:45:54 2018-11-30
Татьяна
15:12:49 2018-11-30
Татьяна
15:11:33 2018-11-30
SGES
15:04:55 2018-11-30
Damir
14:44:38 2018-11-30
Пaвeл
14:37:19 2018-11-30
Lenba
14:25:38 2018-11-30
Денисенко Павел Андреевич
14:04:23 2018-11-30
Masha
14:02:00 2018-11-30
razgen
13:06:26 2018-11-30
@Biggurza, ваш сегодняшний комментарий является отличным дополнением выпуска, что было оценено и на практике применено автором выпуска.
Неуёмный Обыватель
13:03:52 2018-11-30
vinnetou
12:33:45 2018-11-30
vinnetou
12:32:01 2018-11-30
Rider
11:40:12 2018-11-30
Dmur
11:27:58 2018-11-30
Natalya_2017
11:27:20 2018-11-30
Andromeda
11:22:41 2018-11-30
I46
11:17:16 2018-11-30