Самые известные и странные олдовые компьютерные вирусы (часть 2) +43



В первой части мы рассказали о нескольких самых ранних из известных компьютерных вирусов на заре их зарождения. Теперь мы расскажем о вирусах на рубеже 80-х и 90-х годов. Это время стало эпохой не только колоссальных политических перемен, но и превращения вирусов из творений отдельных энтузиастов в предмет массового увлечения для одних и огромную проблему для других.

▍ Cascade (1988 год)



Первый известный зашифрованный вирус, оставивший след в истории как меметичностью, так и тем, что сподвиг Касперского заняться созданием антивирусов. Судя по всему, он стал творением некоего немецкого программиста, возможно, даже студента: впервые вирус обнаружили на компьютерах Констанцского университета на границе со Швейцарией. По-немецки он называется поэтичным словом Herbstlaub, «осенняя листва».

Написанный на ассемблере резидентный вирус поражал .com файлы и отличался от предшественников тем, что помимо собственно тела содержал функцию дешифрования. Код вируса при запуске сначала подвергался расшифровке, и только потом запускался. Разные «экземпляры» вируса имели разный шифр, ключом к которому был размер заражённого им файла — но дешифратор был одним и тем же, что существенно упростило борьбу с ним по сравнению с будущими «полиморфами».


Судя по действию «Каскада», он мог быть своего рода студенческой шуткой. Вирус не ломал файлы, а просто вызывал характерное «осыпание» текста на экране под мелодию. Это мешало работе и вынуждало перезагружаться, что приводило к потере информации.

«Каскад» поразил множество компьютеров в странах Центральной Европы, но его исходная версия имела встроенный ограничитель по времени работы: вирус планово работал только с 1 октября по 31 декабря 1988 года. Увы, много «энтузиастов» стали выпускать свои адаптации с отключением таймера, и в результате «Каскад» мешал работе вплоть по начало 90-х годов. Последний случай заражения задокументирован в 1997 году.

По неясной до сих пор причине вирус имел ещё один встроенный ограничитель: он не должен был поражать компьютеры IBM PC. Но из-за ошибок программиста оно срабатывало далеко не всегда, и вирус добрался до бельгийского офиса IBM. Это сподвигло компанию заняться разработкой собственных антивирусных программ.


И не только их: в октябре 1989 года «Каскад» поймал Евгений Касперский. Это и зародило у него мысль заняться разработкой антивирусов. Первым вирусом, внесённым в базу данных первого антивируса от Касперского стал именно «Cascade».

А ещё «Каскад» вдохновил на работу Dark Avenger и других болгарских хакеров. Впрочем, феномен болгарских хакеров и вирусов 90-х (даже первую VX BBS для обмена вирусами и информацией по их написанию сделали именно болгары), в идеале, заслуживает отдельной статьи. И вообще, «Каскад» с его характерным эффектом стал настолько меметичным, что «засветился» даже в одном из сезонов Star Trek.

▍ Datacrime (1989 год)



Этот вирус вызвал больше шума в прессе, чем реального вреда. По популярной в 1989 году у журналистов версии, его создал некий норвежский патриот, обиженный, что честь открытия Америки отдана Колумбу вместо викинга Лейфа Эрикссона. Возникло это предположение оттого, что вирус особенно злодействовал 13 октября, сразу после празднуемого в США каждое 12 октября Дня Колумба. Версия кривая, но публике понравилась, и в истории Datacrime остался под альтернативным названием «День Колумба».

Вирус проникал на компьютер пользователя через заражённые файлы. При их запуске в первой версии он заражал файлы .com по одному в каталоге, кроме тех, в которых D была седьмой по счёту: таким образом автор избегал повреждения COMMAND.COM. Вторая версия Datacrime умела заражать заодно и .exe файлы, а её код был полностью зашифрован.


Заражённые файлы мирно лежали в своих директориях или разносили вирус на другие машины до 13 октября. При запуске в обозначенный день и любой день до 31 декабря текущего года (почему авторы вирусов конца 80-х так любили привязывать работу вирусов к четвёртому кварталу?) «преступление данных» выводил на экран гордое сообщение: DATACRIME VIRUS. RELEASED: 1 MARCH 1989 («Вирус Datacrime, выпущен 1 марта 1989 года»). И жесточайше форматировал нулевой цилиндр жёсткого диска (причём в первой версии делал это криво из-за ошибок автора), в силу чего погибала таблица размещения файлов FAT и данные безвозвратно терялись.

Распространение вируса было не слишком значительным, но в напуганной предыдущими инцидентами вроде прошлогоднего червя Морриса (см. первую часть) прессе случилась форменная истерика. Стоит заметить, что конец 80-х вообще был временем «вирусной паники» в западных обществах и прессе: доходило до волн устрашающих публикаций о новых крайне опасных вирусах… которых попросту не существовало в природе.


Сильнее всего Datacrime ударили по Нидерландам, где, по некоторым оценкам, оказались поражены до 10% всех компьютеров. Полиции этой страны пришлось даже срочно выпустить собственный антивирус для борьбы конкретно с Datacrime: голландские копы продавали его по 1 доллару за копию. Правда, работал полицейский антивирус сильно так себе и давал множество ложных срабатываний. Лучше работал антивирус VIRSCAN от IBM, который в том числе из-за шумихи вокруг Datacrime попытался зайти на новый перспективный рынок.

Возможно, и сам вирус пришёл именно из Нидерландов: первым о нём сообщил некто Фред Фогель ещё в марте 1989 года, и такое сочетание имени и фамилии характерно как раз для голландцев.

▍ AIDS (1989 год)



Создатель следующего вируса подошёл к делу серьёзно и с изрядным цинизмом. Мир конца 80-х был страшно озабочен разгоравшейся эпидемией СПИДа. Меры по профилактике распространения ВИЧ только разрабатывались, поддерживающая антиретровирусная терапия тоже. Заражение обычно уводило людей в могилу с гарантией за считанные годы, в обществах и прессе бродили слухи, городские легенды и апокалиптические прогнозы один страшнее другого, заражённых сторонились как прокажённых.

На волне этой паники биолог-эволюционист Джозеф Попп из Гарварда в декабре 1989 года разослал по всему миру участникам конференции Всемирной организации здравоохранения по СПИДу в Стокгольме 20 000 (!) дискет, подписанных как «AIDS Introductory Information Diskette Version 2.0» («Диск с вводной информацией по СПИДу, версия 2.0»). Да-да, «СПИД» был едва ли не единственным в истории компьютерным вирусом, который массово распространялся по «обычной», а не электронной почте.

Множество занимавшихся борьбой с ВИЧ учёных и медиков, не слишком разбиравшихся в ещё только оформлявшихся вопросах компьютерной безопасности, попытались открыть содержимое. Последствиями стали массовые заражения их машин и потеря серьёзных объёмов наработанной информации по противодействию пандемии СПИДа.


На дискете находился первый в истории троян — впрочем, написанный на Turbo Pascal 3.01a «весьма неаккуратно». Зато самая концепция была оценена как «гениальная и чрезвычайно изощрённая». Вирус использовал уязвимость MS-DOS, внедрялся в систему, где прописывал свои скрытые файлы и переписывал системные файлы. Начинался отсчёт загрузок.

На девяностом запуске компьютера AIDS переименовывал и скрывал все файлы, выводил на экран обидное и сумбурное сообщение «ATTENTION I have been elected to inform you that throughout your process of collecting and executing files, you have accdientally ¶HÜ¢KΣ► yourself over: again, that's PHUCKED yourself over. No, it cannot be; YES, it CAN be, a √ìτûs has infected your system. Now what do you have to say about that? HAHAHAHAHA. Have ¶HÜÑ with this one and remember, there is NO cure for AIDS».

Сиречь «Внимание! Я был избран чтобы сообщить вам, что на протяжении всего вашего процесса сбора и выполнения файлов вы случайно на***ли себя: опять же, это на**ло вас. Нет, этого не может быть? ДА, это МОЖЕТ быть, вирус заразил вашу систему! Теперь, что вы можете сказать по этому поводу? ХАХАХАХАХА. Развлекись с этим и помни, что от СПИДа НЕТ лекарства!».


На диске видимым оставался единственный файл: счёт на 189 долларов США в панамском банке, который предлагалось оплатить для лечения от вируса. Правда, конспиратор из коварного биолога оказался гораздо худший, чем программист: Джозефа Поппа довольно быстро вычислили по адресу отправки дискет, задержали в аэропорту Амстердама и вернули в наручниках в США. Вычислять, в общем, пришлось недолго: хакер умудрился разослать вирус с собственного почтового ящика.

Впрочем, на суде Поппа признали невменяемым: он дичайше чудил, носил на носу презервативы и заворачивал бороду в бигуди. Причины его экстравагантного поступка остались неясны до сих пор: вероятно, его то ли не приняли на работу в ВОЗ, то ли коллеги отказались признавать его некие «гениальные» идеи по ВИЧ. После этой истории Попп улетел кукухой в другую сторону занялся пропагандой снижения брачного возраста для женщин, смыслом существования которых полагал рождение как можно большего количества детей.

Впрочем, его главное начинание было продолжено: трояны стали одной из наиболее популярных форм вирусов, а вымогательство посредством компьютерных вирусов — стремительно растущим криминальным бизнесом.

▍ Chameleon (1990 год)



«Хамелеон» во многом стал развитием идей, заложенных создателем «Каскада». Собственно, его автор Марк Уошбёрн прочитал книгу Ральфа Бюргера «Computer Viruses. The Disease of High Technologies», заинтересовался идеей, взял за основу вирус «Vienna», и дополнил её продвинутой, самостоятельно меняющейся системой шифрования на основе «Cascade».

Если у «Каскада» при разнообразно зашифрованном теле вируса сам дешифровщик был одинаковым, что позволяло вычислять код вируса по сигнатуре, то у «Хамелеона» никакой постоянной сигнатуры попросту не существовало. Она менялась при каждом новом заражении без вмешательства создателя посредством «вшитого» рандомайзера, ключом служило системное время. Уошбёрн пояснял, что хотел продемонстрировать несовершенство существующих систем борьбы с вирусами на основе сигнатур, простым поиском заранее известных фрагментов кода.

Марк Уошбёрн, «отец» полиморфных вирусов

Ну… показал. Создатели антивирусов по всему миру схватились за головы и занялись поисками более продвинутых систем обнаружения вирусов с помощью дешифраторов и алгоритмических языков.

Вреда вирус не наносил, будучи по сути демонстратором технических возможностей. После запуска он искал файлы в текущем каталоге, используя маску *.com. При обнаружении он проверял, не равен ли размер файла 10 или 63 488 байтам. Если нет, то он записывал три байта в начало и 1260 байт в конец (откуда и второе название, «1260»).

Естественно, наработку тут же взяли на вооружение и авторы действительно злокозненных вирусов. В том числе следующего.

▍ Whale (1990 год)



«Кит» вышел в немецком Гамбурге спустя полгода после «Хамелеона», летом 1990 года. На момент обнаружения был крупнейшим из компьютерных вирусов: первый обнаруженный экземпляр «весил» целых 9216 байт. Неспроста: вирус имел сложнейшую многоуровневую полиморфную систему шифрования, систему сокрытия присутствия в системе, а также антиотладочный функционал. Даже размер вируса менялся.

На расшифровку его кода у исследователей ушли недели. Ничего удивительно: автор с немецкой основательностью и солидностью подошёл к тому, чтобы максимально затруднить расшифровку своего творения, его трассировку, дизассемблирование и анализ.


Вредоносность вируса состояла в том, что он сильно замедлял работу поражённой системы и заставлял экран неприятно мерцать. По некоторым данным, он мог и «уронить» систему. Кроме того, «Кит» создавал файл C:FISH-#9.TBL, в который вписывал MBR винчестера и наглухо упоротый текст: FISH VIRUS #9 A Whale is no Fish! Mind her Mutant Fish and the hidden Fish Eggs for they are damaging. The sixth Fish mutates only if Whale is in her Cave (РЫБНЫЙ ВИРУС №9 Кит — это не Рыба! Обратите внимание на Рыбу-мутанта и Яйца скрытой Рыбы, ибо они вредны. Шестая Рыба мутирует только в том случае, если Кит находится в ее Пещере).

С 19 февраля по 20 марта вирус «завешивал» систему и выводил на экран строку THE WHALE IN SEARCH OF THE 8 FISH I AM '~knzyvo}' IN HAMBURG («Кит в поиске восьми рыб я (криво зашифрованное «головастик») в Гамбурге»).

Что всё это значило и что употреблял автор, так и осталось загадкой.
Telegram-канал и уютный чат для клиентов




Комментарии (9):

  1. man_of_letters
    /#24763650 / +12

    Спасибо, вот она разгадка названия древнего антивируса! Вообще, это было мозговыносяще, ещё не привык к новой вселенной ЭВМ, как вдруг наблюдаешь, что чей-то злой умысел портит дискеты прямо на глазах, это ощущение потери контроля над мирком, которым ты только начал управлять. А потом старшие сообщают, что есть магические программы, которые могут «подлечить» компьютер, ух.
    image

    • Dolios
      /#24764686 / +6

      Лозинский — дуб, AIDSTest — горбуха (с)

      • JTG
        /#24766952

        Жили у бабуси

        Три весёлых гуся

        Лоз, Данилов и Касперский

        Я от них тащуся

  2. Exchan-ge
    /#24763694

    О, во второй части описаны вирусы, с которыми уже приходилось встречаться лично :)

    И если о Cascade и Datacrime я только слышал от очевидцев, то все остальное еще можно было поймать даже в 1993 году.

  3. YMA
    /#24764038

    Что-то ни разу не попадались, у нас в школе в основном AntiExe ходил, вроде безопасный, но трудновыводимый ;)

  4. screwer
    /#24764580

    Про метаморфы и zombie будет рассказ ?

  5. Moving_Point
    /#24766442

    Очень хотелось бы пост (текст, статью) о болгарских хакерах;)
    С двумя из них был знаком лично;)

  6. avhelp
    /#24767714

    Да, заставили вы вспомнить те времена. Помню Аидстест писал при лечении загрузочного вируса что-то там чуть-чуть испортить (реально в диалоге). Еще этот антивирус так и не научился искать полиморы, видимо автор действительно дуб.

    Еще у меня на дискете был антивирус SOS (вроде СОМ файл), вот помню по причине ностальгии искал в гугле про него - никакой информации. Может быть разработка была "местная", потом просто исчезла из мира.

    Насколько я помню, вирусы в 90е были частью панковской культуры - они была абсолютно некоммерческие. Кстати, тогда в СНГ-вском сегменте были всякие электронные журналы. Вроде, Ловингод был лидером одного из них. Интересно чем сейчас эти люди занимаются...

  7. Hamlet_dat
    /#24767716 / +1

    Работал в нулевых в конторе в Красноярске администратором БД. Замечаю вдруг подозрительно большой .exe файл (сейчас уже не вспомню, какой, но что-то из очевидного.

    Заглядываю внутрь редактором и помимо стандартных кракозябров нахожу человекочитаемую фразу "Harmless from Lesosibirsk".

    Стал искать эту фразу по файлам. Оказалось, что на моём компе таких экзешников несколько сотен. Более того, очень часто фраза встречалась по несколько раз. На других компах тоже самое.

    Антивирус игнорирует.

    Вычислил размер паттерна от начала файла до первого встреченного стандартного начала ехе-файла. Паттерн оказался одинаковым и при удалении работоспособность сохранялась.

    Написал утилиту, удаляющую этот паттерн рекурсивно и обходящий всё дерево файлов.

    Один из заражённых exe направил касперскому, а сам стал руками лечить все компы.

    В итоге через два дня после устранения эпидемии появилось решение в обновлении антивируса. Но больше нам не пригодилось.