«Рождение» вирусов

«Рождение» вирусов

История компьютерного вируса, как правило, это сведения о месте и времени создания (первого обнаружения) вируса; информация о личности создателя (если это достоверно известно); предполагаемые «родственные» связи вируса; сведения, полученные из литературы и фольклора; а также общие впечатления, размышления и т. п.

Для чего еще нужна история? В ней также могут приводиться сведения об известных вирусологу версиях и их отличия от описываемого варианта. Строгая классификация компьютерных вирусов по группам (отрядам, семействам, родам, видам), видимо, не представляется возможной, поскольку вирус может содержать приемы, заимствованные из многих других, не родственных между собой групп. И, вообще, генеалогическое дерево компьютерных вирусов вовсе не является деревом (в смысле теории графов), так что группы будут сильно пересекаться. Поэтому в истории для каждого вируса указываются все источники заимствования (в т. ч. концептуального), которые удалось установить.

Да и описания вирусов в популярных компьютерных изданиях будут неполными, если не упоминать историю создания и появления вирусов. Это особенно характерно для самого консервативного класса компьютерных вирусов — загрузочных.

ЛИЧНОСТЬ СОЗДАТЕЛЯ ВИРУСА

В те далекие времена (9—10 лет тому назад…), когда появлялись первые компьютерные вирусы, удавалось устанавливать личности вирусописателей (хотя бы некоторых). Например, история донесла до нас имена авторов вируса «Душманские мозги» — это Basit Farood Alvi (19 лет, в те времена, конечно) и Bruder Amgad (23 года) из Лахора (Пакистан).

Через пару-тройку лет, когда каждый уважающий себя студент начал создавать вирусы, наступил период анонимности. Вирусы появлялись сотнями, но они были безликими и похожими друг на друга. Многие вирусы отличались несколькими командами либо их простой перестановкой. Создание вирусов было поставлено на поток, и, к сожалению, борьба с вирусами также была поставлена на поток. Сейчас ведущие вирусологи при описании вирусов отделываются двумя-тремя общими фразами.

Наступление эры глобальных компьютерных сетей позволило ведущим вирусописателям заявить о себе громкими кличками. В глубинах электронной виртуальной реальности издаются вирусные газеты и журналы, проводятся конференции по созданию вирусов.

МЕСТО СОЗДАНИЯ ВИРУСА

Несколько географических мыслей.

Конечно, если точно известно место (город, страна) создания вируса, это и указывается в истории вируса. Эта информация может в некоторых случаях носить даже энциклопедический характер. Например, сильно ли вас заинтересуют особенности инфицирования флоппи-дисков вирусом Loa Duong? А вот из истории вируса вы сможете узнать, что Loa Duong (Ляо-Дун) — залив и образующий его полуостров на северо-востоке Китая. На его берегу расположен г. Люй-Шунь (Порт-Артур).

Но наиболее интересным является общий географический анализ. Исследуя тенденции происхождения всех классов компьютерных вирусов, интересно отметить следующую закономерность. Файловые вирусы имеют, в основном, западное происхождение, а загрузочные в основном восточное (Индия, Индонезия, Новая Зеландия, Пакистан, Сингапур, Тайвань, Южная Корея). Как и в религиях мирового масштаба, в компьютерной вирусологии нашлось место для менталитета человеческого социума.

В настоящее время загрузочные вирусы принято делить на четыре группы: итальянскую, пакистанскую, новозеландскую и индийскую. Конечно, надо понимать, что в данном случае название географического места вовсе не означает, что все вирусы группы написаны именно там. В этих регионах созданы первые загрузочные вирусы, алгоритмы которых носили свои особенности и используются сейчас в качестве основных. Понятно, что вирус может быть создан в деревне Гадюкино, но отнесен в новозеландскую группу.

Итальянская группа представлена загрузочными вирусами, (в основном) демонстрирующими интересные визуальные эффекты. Например, во время работы на экране компьютера пользователя в текстовом режиме появляется хаотически движущееся светлое пятно (мячик). Первым и наиболее распространенным представителем этой группы является вирус Ping-Pong. Он появился на Западе примерно в конце 1987 г. Пик эпидемии в бывшем СССР наблюдался в сентябре 1989 г.

Представители пакистанской группы вирусов отличаются тем, что они не инфицируют жесткий диск компьютера, заражая только дискеты. Типичным вирусом этой группы является вирус Brain (Душманские мозги). Оригинальная версия этого вируса является первым загрузочным вирусом для MS-DOS, получившим массовое распространение. Вирус был выявлен в США в октябре 1987 г., где он вызвал настоящую эпидемию. В эту группу также можно отнести вирусы «Hard Disk Brain», «Houston Virus», «Brain-86», «Ashar», «Den Zuk».

Для новозеландской группы характерно заражение Master Boot Record жесткого диска и минимальный хвост, размером в один сектор. Хвост содержит только оригинальный загрузчик, который размещается не в псевдосбойном кластере, а по определенному абсолютному адресу. Также особенностью вирусов данной группы является заражение жесткого диска сразу после инсталляции в оперативную память — до передачи управления стандартному загрузчику, а не после, как это делает большинство вирусов других групп. Родоначальником группы признан вирус Stoned (Забалдевший). Впервые был обнаружен в Веллингтоне (Новая Зеландия) в начале 1988 г. и быстро распространился в Азии, а затем в США и Европе. Исторически считается, что это первый загрузочный вирус, поражавший MBR. В СССР появился в конце 1989 г. практически одновременно в нескольких городах.

Индийская группа зародилась благодаря «деятельности» вирусописателя, жившего в свое время (живущего?) в Бомбее (Индия). Типичный представитель группы — вирус Joshi (Джоши). Впервые был обнаружен в Индии в июне 1990 г. У нас появился уже в июле того же года. Однако первым известным индийским вирусом был вирус PrintScreen (Печать экрана), обнаруженный в Бомбее в ноябре 1989 г. Невилем Булсара (Neville Bulsara).

ДАТА СОЗДАНИЯ ВИРУСА

Обычно самые «дисциплинированные» вирусописатели обязательно оставляют в коде вируса дату его создания (либо неявное указание на эту дату). Но чаще, конечно, в описаниях к данному вирусу фиксируется дата (период) его первого появления. Эта дата позволяет в дальнейшем определить и проанализировать основные этапы миграции вируса по планете, а затем попытаться спрогнозировать его следующее появление.

ИСКОПАЕМЫЕ И МИФИЧЕСКИЕ ЗАГРУЗОЧНЫЕ ВИРУСЫ

Вот такие интересные определения уже существуют в компьютерной вирусологии.

ИСКОПАЕМЫЕ загрузочные вирусы практически полностью уничтожены и представляют, в основном, исторический интерес. Как правило, это вирусы «первой волны», которые были полностью уничтожены первыми антивирусными программами, в живом виде сейчас не существуют и присутствуют, может быть, в коллекциях некоторых вирусологов. Здесь можно упомянуть о некоторых из них.

Alameda (неформальные названия — Merritt, Peking, Seoul, Yale) — один из первых загрузочных вирусов и первый вирус, способный «выживать» при «теплой» перезагрузке. Впервые обнаружен в США в 1988 г. в Merritt College, Oakland, California. По мнению сотрудников университета, вирус написан студентом из колледжа Peralta community college, входящим в данный округ.

Ohio (Огайо) — вирус можно рассматривать как раннюю версию вируса Den Zuk. Дискета, зараженная вирусом Ohio, иммунизирована к заражению вирусом Brain. Вирус обнаружен в июне 1988 г. в Индонезии и, по-видимому, разработан там же.

Chaos (Хаос). Неформальное название данного вируса связано с тем, что в теле вируса имеются текстовые строки «Welcome to the New Dungeon», «Chaos» и «Letz be cool guys». Стадия проявления заключается в пометке всех свободных кластеров как сбойные. Обнаружен в декабре 1989 г. в Англии Джеймсом Берри (James Berry).

МИФИЧЕСКИЕ загрузочные вирусы скорее всего существуют только на страницах литературы и в фольклоре. Их описания есть в некоторых источниках (иногда компетентных), но никто не может с уверенностью сказать, что встречался с этими вирусами. Для примера — вирус Вххх (Boot Killer), который был описан в одной из статей в 1988 году.