company_banner

Детство компьютерных вирусов

    Компьютерные вирусы уже без малого полвека терроризируют всех пользователей ПК — от офисных работников до чиновников и директоров международных компаний. Среди вирусов попадаются как страшные шифровальщики, так и безобидные «овечки» вроде USBToy, демонстрирующего цитаты из Библии при запуске Windows. Что уж говорить о рекламном, майнинговом и прочем нежелательном ПО, которое может быть прицеплено ушлым распространителем к полезному приложению.

    Тем не менее, даже компьютерные вирусы когда-то были совсем маленькими, простыми и беззлобными, а их создатели преследовали немного иные цели. В этой статье мы расскажем о «нежелательных» программах для персональных компьютеров конца прошлого века — Commodore Amiga, ZX Spectrum и Atari ST. Полноценными вирусами назвать их рука не поднимается: и способы распространения были достаточно примитивны, и «размножались» они очень неэффективно. Какие-то из них и вовсе канули в лету: ни названий, ни имен разработчиков, только воспоминания «пострадавших». Тем не менее, кое-какую интересную информацию нам раздобыть удалось!



    Всякому, кто мало-мальски знаком с этими творениями рук человеческих, трудно отделаться от мысли, что компьютерные вирусы — это не просто небольшие программы, а самые настоящие живые существа, которые ничем не отличаются от своих более материальных собратьев, ведущих непрерывную войну с человечеством. Да и как можно думать иначе, если эти программы способны самостоятельно перемещаться, маскироваться, размножаться и, наконец, наносить сокрушительные удары, невзирая на государственные границы и географические расстояния, оставаясь при этом невидимыми для человека.

    Евгений Голомолзин, вступление к статье «Вирусы на IBM PC & ZX-SPECTRUM-е», 1997

    SCA: первый вирус для Commodore Amiga


    Как известно, большая часть «народных» компьютеров Amiga (модели 500 и 500+ в частности) не имела жесткого диска. Единственным ПЗУ являлась микросхема, содержащая в себе часть операционной системы компьютера, Kickstart. Предполагалось, что вторая «половина» AmigaOS, Workbench, будет загружена пользователем с дискеты. А игры и некоторый наиболее тяжеловесный софт и вовсе миновали запуск операционной системы и загружались с носителя напрямую. Соответственно, и «выходить» после игры было некуда: чтобы запустить другое приложение, требовалось перезагрузить компьютер кнопкой на блоке питания и вставить новую дискету. Таким образом, вирус мог храниться либо на дискете, либо в RAM включенного компьютера.

    В ноябре 1987 года команда Swiss Cracking Association, «специализировавшаяся» на снятии защиты с лицензионного ПО, выпустила первый в мире вирус для Amiga. Вредоносный код, изначально находящийся в загрузочном секторе дискеты, загружался в оперативную память и прописывал свое тело в boot-сектора всех незащищенных от записи дисков, которые пользователь вводил в компьютер.

    Проявлялся вирус в виде следующей надписи на экране:
    Something wonderful has happened
    Your AMIGA is alive!!!
    and, even better…
    Some of your disks are infected by a VIRUS!!!
    Another masterpiece of The Mega-Mighty SCA !!

    Демонстрация работы вируса

    При этом «вирусный текст» выводился не при каждой загрузке с пораженной дискеты, а только 1 раз в 15 «теплых» перезапусков компьютера. Благодаря этому «инкубационному периоду» вероятность заражения нового устройства многократно возрастала.

    Несмотря на свою кажущуюся безобидность, вирус мог нанести реальный вред программам, дискеты с которыми имели собственные загрузчики. Переписывая себя на новый диск, вирус нарушал код boot-loader’а, вследствие чего программа переставала запускаться.

    Удалить вирус было достаточно просто: в случае с дисками, содержащими только файлы, требовалось дать команду «install», после чего boot-сектор полностью перезаписывался. Игру или программу «вылечить» было уже несколько сложнее: требовалось найти точно такой же, но «здоровый» диск и переписать содержимое его загрузочного сектора на зараженный.

    Крайне примечателен еще один факт: ASC был не просто вирусом, а вирусом-самоубийцей: разработчики «позаботились» о своих жертвах и вшили в программу функцию деактивации. Чтобы удалить вирус из памяти, нужно было удерживать кнопку fire 1 устройства, подключенного в первый порт, во время перезагрузки. То есть, либо «огонь» на джойстике, либо левую кнопку мыши.

    Для борьбы с вирусом SCA существовала и специальная программа, созданная программистом под ником Saturnus The Invincible. Ниже вы можете ознакомиться с демонстрацией её интерфейса.



    А по этой ссылке находится небольшая статья из журнала «Déjà vu» 1997 года. Обеспокоенный вирусной угрозой автор рассказывает читателям о работе с популярными антивирусными программами.

    Самые пытливые читатели могут даже ознакомиться на сайте SCA с исходным кодом вируса и некоторыми документами, касающимися его авторов.


    Видео не для слабонервных: Master Virus Killer расправляется с SCA

    ZX Spectrum



    Шуточное изображение вируса на ZX Spectrum

    Словосочетание «вирус для Спектрума» звучит достаточно забавно. Если вдуматься, так оно и есть: кому могло понадобиться писать вредоносные программы для этого малыша с 16-128 Кб оперативной памяти и магнитофоном подмышкой? Тем не менее, умельцы находились.
    Справедливости ради, отметим: особого распространения вирусное ПО для Спектрума не получило ввиду особенностей работы компьютера с файлами и отсутствия полноценной операционной системы (TR-DOS таковой считать нельзя).

    Итак, как именно можно напакостить владельцу Спектрума или его клона? Например, можно испортить ценный диск. С этой задачей прекрасно справлялись программы класса DZU, так называемые «Диско-Запарывательные утилиты». Изобретение этого термина (а заодно и первой программы такого рода) по некоторым данным принадлежит Станиславу Новикову.

    Суть DZU сводилась к следующему: вирус маскировался под демо, во время просмотра которого «побочный» код портил дискету, находящуюся в приводе: затирал нулевую дорожку, удалял файлы или физически повреждал диск и приводил его в неработоспособное состояние.

    Примечателен тот факт, что негативные последствия работы некоторых DZU могли быть «вылечены» анти-DZU программой от того же автора. Все-таки, несмотря на токсичность отдельных индивидов, программисты Спектрума в СССР и СНГ были людьми адекватными, а «вирусное» ПО чаще всего создавали не во вред пользователям, а в качестве эксперимента или в шутку.

    Посмотреть на пример DZU можно здесь (генератор демок с крестом, жестокий к диску). Рекомендуем не использовать для просмотра демо реальные дискеты и машины, если у вас таковые все еще имеются, а ограничиться эмуляцией в Unreal Speccy.

    Еще один класс вирусов, куда более безобидный, деструктивных действий не производил, но «прописывался» к найденным на дискете загрузчикам на basic’е, увеличивая их объем. Достоверно известно о двух подобных вирусах: Red October и Berezka. В условиях постоянной экономии памяти даже незначительное увеличение объема программ существенно раздражало спектрумистов.

    В завершение приведем скриншот-цитату пользователя Evgeny Muchkin с сайта zx-pk.ru. Он описывает работу еще одного примечательного вируса-трояна на Спектруме:



    Чтобы не раздувать статью излишним количеством информации, дадим пару интересных ссылок для самых заинтересованных:


    Первые вирусы для Atari ST




    Самый первый вирус-червь Signum, в 1987 году написанный для Atari ST, в свои «лучшие дни» насчитывал до 1-1,5 млн зараженных компьютеров. Тем не менее, в 2020 году ни его копию для живого тестирования, ни подробное описание механизма работы найти не удалось. Известно только, что он, подобно множеству других вирусов, загружался в оперативную память компьютера и методично копировался на вводимые дискеты без защиты от записи.

    В отличие от Signum, его более поздний собрат, Evilnick, или просто Evil оказался чуть более живуч. Сейчас уже нельзя точно сказать, кто был его автором, но все следы ведут в Великобританию, где его обнаружил некто Jeremy Hughes. Наибольшее распространение вирус получил в Скандинавии. Примечательной особенностью вируса был его способ маскировки: Evil мимикрировал под системный диск и оставался незамеченным даже для популярного Ultimate Virus Killer. Инкубационный период Evilnick длился достаточно долго: вирус никак не выдавал себя вплоть до заражения 100 дискет.

    После создания 100-й копии себя запускалась включенная в вирус «полезная нагрузка», цвета на мониторе инвертировались. В тексте самого вируса можно было найти послание от разработчика: «EVIL! — A Gift from Old Nick».

    Подводя итог, хочется отметить одну общую тенденцию, сохранявшуюся в разрозненном сообществе первых вирус-мейкеров. Многие из них склонны были полагать, что их программы подобны живым существам. Они способны размножаться, питаться мощностями компьютера, взаимодействовать с пользователем, хитрить, прятаться и погибать. Спустя десятки лет после написания этих вирусов трудно судить о настоящих мотивах их создателей. Кто-то хотел насолить коллегам, кто-то — остроумно пошутить. Для кого-то сам факт написания вируса был сродни интеллектуальному спорту.

    Технологии не стоят на месте: совершенствуются методы защиты, усложняются операционные системы, увеличивается мощность железа, смещаются направления атак. На правах облачного провайдера сделаем небольшую ремарку на этот счет.

    Как известно, порядка 80% угроз прекрасно чувствуют себя в виртуальных средах, ведь такая среда практически не создает помех для распространения вредоносного кода, появления вирусных эпидемий и любых других атак. Но антивирусное ПО умнеет вслед за вирусами, а иногда опережает их на пару шагов.

    Сейчас есть два основных способа обеспечить безопасность в облаке с помощью специализированного антивирусного ПО: безагентская защита и защита с лёгким агентом. Безагентская защита на сегодняшний день возможна только на решениях VMware: на физическом сервере с ВМ разворачиваются две дополнительные: SVM (выделенное устройство безопасности) и NAB (сервер сетевой защиты). При реализации защиты с легким агентом на каждую виртуальную машину устанавливается легкий агент, который мониторит все происходящее внутри своей ВМ.

    Это закономерно приводит нас к тому, каждый новый вирус, чтобы выжить, должен быть умнее, хитрее и приспособленнее, чем предыдущий. Так что — возможно, первые авторы вирусов не ошиблись. Им удалось выпустить в мир концепцию «живого» организма, способного к эволюции. Жаль только, что вместе с мозгами эти «страшилы» получили еще и зубы. В детстве они были такими милыми…
    ИТ-ГРАД
    vmware iaas provider

    Комментарии 10

      +2
      «Чертёнок №13», надо пересмотреть.
      Офигенный мульт, спасибо за напоминание!
        0
        На мой взгляд, это сейчас вирусы «впали в детство». Разве что шифровальщики могут представлять опасность при отсутствии резервных копий критических данных. А на заре развития персоналок вполне можно было лишиться компьютера, вставив дискету зараженную, например, WinCIH-ом
          0

          Жизнь стала быстрее. Раньше можно было ориентироваться на опубликованные уязвимости, а теперь уже нужен 0-day. Зато интернет везде дотянулся, тут стало проще.

            0

            Сейчас WinCIH тоже можно создать, правда, он сработает не на всех машинах. Например, 4 года назад можно было сломать UEFI, удалив определённые виртуальные файлы в линуксе.

            0
            Тогда еще не пытались это монетизировать:)
              +1
              Одно время в сети организации бесчинствовал W32.Printlove, печатавший кракозябры (своё тело) на сетевых принтерах. Печатал до наступления события, прекращающего печать, то есть пока не закончилась или не замялась бумага. Борьба с заразой в сети из ~1k машин была долгой и упорной, однажды ушёл десяток метров гармошки — вирусня дорвалась до расшаренного матричника и ещё неизвестно сколько после замятия и срыва перфорации печатала по бумагоопорному валу, пока утром «бешеный» принтер не отключили.
                0
                Интересно, были ли вирусы, сжигавшие железо? Ходили слухи про вирусы, разгонявшие процессор, который при отсутствии должного охлаждения и современных защит типа троттлинга по термодатчикам, просто сгорал. Либо повышением напряжений.
                  0

                  Тоже слышал о таких вещах, но по всей видимости, это именно слухи. Из реально выводящих из строя матчасть, пусть и обратимо, видимо только пресловутый Win9x.CIH ("Чернобыль"), затиравший содержимое Flash BIOS.

                    0
                    После него в материнках появился дуалбиос )
                    +1
                    Так называемый Killer Poke, не вирус в строгом смысле, а аппаратная уязвимость en.wikipedia.org/wiki/Killer_poke

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое