В первой и второй частях мы рассказали о ранних компьютерных вирусах 80-х, «эпохи классического киберпанка». К рубежу 90-х годов вирусы были у всех на слуху. Их боялись, о них писали панические статьи в прессе и рассказывали в сюжетах крупнейших телеканалов.
С конца 1990 года после выхода Norton Antivirus формируется всё более массовый рынок антивирусных программ, которые призваны устранить растущую угрозу мировой цифровизации.
Естественно, авторы вирусов ответили на это созданием ещё более хитрых и совершенных вредоносных программ.
▍ Tequila (1991 год)
Этот вирус отнюдь не мексиканского, а совсем даже швейцарского происхождения устроил настоящую эпидемию заражений в апреле 1991 года. Данные об авторах разнятся. По одной версии, его в качестве эксперимента написал некий учёный — но его код украли и выпустили на волю «в пампасы» в одной из швейцарских IT-компаний. По другой, его написали некие братья 18 и 21 лет. Были подозрения, что создатели «Текилы» имели отношения к появившемуся годом ранее сложному полиморфному вирусу «Flip».
Как и «Флип», «Текила» была полиморфной и резидентной, она хорошо пряталась от попыток её найти и удалить, и была почти как упомянутый в прошлой статье «Кит» буквально набита защитными механизмами. Над некоторыми антивирусами «Текила» просто глумилась: к примеру, она удаляла контрольные суммы, добавленных к файлам McAfee VirusScan. В результате антивирус не мог продолжать поиск и бесконечно проверял одни и те же файлы снова и снова.
При попадании на компьютер вирус заражал загрузочный сектор диска и поражал .exe и .com файлы, увеличивая их размер на 2468 байт. При этом, по загадочной причине, он не трогал файлы с буквами «v» и «sc» в именах.
Видимо, это и послужило источником вдохновения при написании вируса
Когда удавалось заразить четверть всех программ, вирус выводил на экран довольно грубую картинку, в которой угадывались очертания фрактала Мандельброта. Поверх появлялись надписи, прославлявшие пиво с текилой, некую Л.и.н.д.у., и рекомендовавших писать на почтовый ящик в швейцарском городе Штайнхаузен от имени T. Tequila.
Ну а больше «Текила» почти ничего не делала, будучи по сути вирусом-шуткой. Наибольший вред она могла нанести из-за того, что сообщала об ошибках ассоциации файлов из CHKDSK. Попытка исправить это через CHKDSK /F могла привести к повреждению данных.
Дополнительные опасности представляли собой случайные повреждения при переписывании .exe и .com файлов, которые могли вести к сбоям, потерям данных и прочим неприятностям.
Особенно сильно «Tequila» распространился в Германии, поразив часть школ и крупный банк во Франкфурте. Часть источников называют его первым, по-настоящему распространившимся, полиморфным вирусом. А в 1993 году он почему-то мощно ударил по Южной Африке.
▍ Микеланджело (1991 год)
6 марта 1992 года удар нанёс вирус Michelangelo, также известный как Stoned.March6.a и Stoned.Michelangelo. В качестве даты активации неведомый по сей день автор выбрал день рождения великого ренессансного скульптора Микеланджело Буонарроти. Правда, об этом он ничего не сообщил даже в коде программы, и наименование вредоносной программе по мере нарастания паники в прессе придумал кто-то другой. «Накуренность» в названии также не случайна: нанёсший огромный ущерб вирус представлял собой глубоко модернизированную вариацию на тему уже старого к тому моменту вируса Stoned / Marijuana, предположительно появившегося из Новой Зеландии.
Возможно, оба вируса создал один и тот же человек: первый случай заражения был выявлен в австралийском Мельбурне, что довольно-таки недалеко от Новой Зеландии. По другой версии, «Микеланджело» пришёл с Тайваня, где бурно развивались полупроводниковая промышленность и производство компьютеров, и откуда через диски с драйверами для компьютерной техники стали приходить многие заражения.
Первое выявленное заражение в феврале-марте 1991 года позволило своевременно осознать опасность вируса. Опасность была большой: Michelangelo заражал загрузочные сектора гибких и жёстких дисков под DOS и работал через BIOS. При активации на включённом 6 марта заражённом компьютере он полностью заполнял сектора харда нулями или рандомными символами, после чего данные безвозвратно гибли.
В конце 1991 и начале 1992 года начала разгораться паника. То тут, то там сообщалось об обнаружении целых партий 5-дюймовых дисков с драйверами, заражённых «Микеланджело». Заголовки почтенных информационных агентств соревновались в масштабах описания грядущего апокалипсиса. Говорилось о неизбежной гибели сотен тысяч или даже миллионов компьютеров по всей планете, потере колоссальных объёмов данных. Особенно много о будущей катастрофе говорил известный специалист в области борьбы с вирусами Джон Макафи. В магазины, где продавались антивирусы, в начале 1992 года выстраивались круглосуточные очереди.
6 марта 1992 года компьютерный мир замер в ожидании катастрофы… которой не случилось. По всему миру оказалось повреждено, судя по всему, немногим более 10000 устройств.
До сих пор существуют конспирологические идеи о том, что к появлению и медийной истерии вокруг «Микеланджело» были причастны разработчики антивирусного софта. Которые отлично заработали на всей этой истории благодаря резко усилившемуся спросу на антивирусы по всему миру. Особенно хорошо заработала компания всё того же Джона Макафи. Впрочем, теперь уже трудно определить: был ли лёгкий исход следствием слабости вируса, или же массовая установка антивирусного софта действительно предотвратила большой цифровой кризис.
В последующие годы случаи поражения компьютеров «Микеланджело» ограничивались всего лишь десятками зафиксированных эпизодов по всему миру.
▍ MtE (1991 год)
Творение великого и ужасного болгарского хакера Dark Avenger, прославившегося как один из самых грамотных и изобретательных создателей вирусов во всём мире ещё в конце 80- годов.
В стране его появления ничего удивительного не было: в Восточном блоке Болгария занималась компьютерными технологиями особенно серьёзно. В стране было налажено массовое производство компьютеров линейки «Правец 8», бывших клонами Apple II, и «Правец 16», копировавшие IBM PC с процессорами Intel 8088 и 8086.
Число компьютерщиков на душу населения в Болгарии к концу 80-х было как бы не самым большим из всех стран соцлагеря, включая СССР. На рубеже 80-х и 90-х это породило гремевший на всю Европу и мир феномен болгарских вирусов… впрочем, это тема для отдельной статьи.
Компьютер «Правец 8М» болгарского производства
Строго говоря, полноценным вирусом MtE не было. Зато это был первый в истории полиморфный генератор под MS-DOS для использования в вирусах всеми желающими. Знаменитый хакер из Софии опубликовал его в виде объектного модуля с подробнейшей инструкцией по применению и генератором случайных чисел.
Его коллеги по увлечению, болгарские и зарубежные, не слишком медлили с применением новинки: писать полиморфные вирусы с использованием MtE стало гораздо проще. Сети и компьютеры наводнились бесчисленным множеством полиморфной живности, написанными с «подарком» от Dark Avenger.
Нередко MtE ошибочно называется DAME и расшифровывается как Dark Avenger Mutation Engine («полиморфный генератор от Dark Avenger») — так его могли называть «неофициально», однако в строгом смысле DAME именовался полиморфный движок 1993 года Dark Angel’s Mutation Encryptor от канадской команды хакеров Phalcon/Skism.
▍ Dir_II (1991 год)
Летом 1991 года в России началась эпидемия вируса Dir_II. Текст, который содержался в коде одной из версий вируса, тоже указывал на происхождение с просторов бывшего СССР. Там цитировался слегка изменённый текст неформальской песни «Аллигатор»: «по Интегралу плывёт пирога, в ней едут хиппи, их очень много». Насколько известно, это был первый массово распространившийся вирус предположительно российского происхождения.
Dir_II использовал принципиально новую link-технологию заражения файлов. Прежние вирусы старались заразить побольше исполняемых файлов, увеличивая их размер и делая уязвимыми к обнаружению. Dir_II хранил своё тело в последнем кластере заражённого логического диска, который он маскировал под сбойный.
К поражаемым файлам он не дописывал свой код, а лишь менял номер первого кластера файла, расположенный в соответствующем секторе каталога — так, чтобы обновлённый кластер файла указывал на кластер, содержащий тело вируса. Размеры файлов и кластеров при этом почти не менялись, а единственный файл с вирусом в последнем кластере найти было непросто.
Хуже того, при инициализации вирус проникал в ядро DOS, менял адрес системного драйвера дисков и перехватывал все обращения DOS к нему. Это делало заражение ещё более незаметным для практически всех тогдашних антивирусов, а ранние блокировщики заражения пропускали его как через раскрытое окно. Распространение и заражение файлов происходили стремительно: вирус перехватывал обращения DOS к каталогам и заражал файлы во всех каталогах, указанных в PATH.
Всё больше секторов помечались как сбойные, подвергаясь шифрованию. Когда процесс охватывал половину диска, пользователь получал об этом печальное для себя уведомление. При попытке копирования поражённых исполняемых файлов вирус позволял скопировать только 512 или 1024 байта. Хуже того, если поражённую машину пытались лечить от повреждения файловой структуры утилитами вроде ScanDisc, вместо очищения от вируса могла произойти безвозвратная потеря данных.
1991-92 года стали временем, когда с одной стороны производство вирусов стало массовым хобби, а с другой — установка антивирусного программного обеспечения стала массовой практикой. Изготовители вирусов и антивирусов начали своего рода войну. Символичным стало появление именно в 1992 году вируса Peach, по некоторым версиям, от всё того же таинственного болгарского программиста Dark Avenger. Это был первый известный анти-антивирус: он не только отправлял компьютер в принудительную перезагрузку после определённого количества запусков, но и целенаправленно атаковал и удалял базу данных ревизора изменений Central Point Antivirus.
Летом 1992 года появилась Virus Creation Laboratory (VCL) — программа для генерирования компьютерных вирусов с удобным графическим интерфейсом. Теперь каждый желающий при некотором старании мог без глубоких навыков программирования собрать свой вирус как «конструктор» и отправить его в свободное плавание на страх «юзверям». Собрать можно было, впрочем, только довольно-таки примитивные вирусы — но желающих это останавливало не всегда, как и появление в полициях и других ведомствах многих стран специальных подразделений по противодействию хакерам и создателям вирусов.
▍ Другие части
- Самые известные и странные олдовые компьютерные вирусы: Creeper, Elk Cloner и другие
- Самые известные и странные олдовые компьютерные вирусы (часть 2)
- Самые известные и странные олдовые компьютерные вирусы (часть 3) < — Вы тут
Автор: Алексей Костенков