...

пятница, 21 февраля 2020 г.

Детство компьютерных вирусов

Компьютерные вирусы уже без малого полвека терроризируют всех пользователей ПК — от офисных работников до чиновников и директоров международных компаний. Среди вирусов попадаются как страшные шифровальщики, так и безобидные «овечки» вроде USBToy, демонстрирующего цитаты из Библии при запуске Windows. Что уж говорить о рекламном, майнинговом и прочем нежелательном ПО, которое может быть прицеплено ушлым распространителем к полезному приложению.

Тем не менее, даже компьютерные вирусы когда-то были совсем маленькими, простыми и беззлобными, а их создатели преследовали немного иные цели. В этой статье мы расскажем о «нежелательных» программах для персональных компьютеров конца прошлого века — Commodore Amiga, ZX Spectrum и Atari ST. Полноценными вирусами назвать их рука не поднимается: и способы распространения были достаточно примитивны, и «размножались» они очень неэффективно. Какие-то из них и вовсе канули в лету: ни названий, ни имен разработчиков, только воспоминания «пострадавших». Тем не менее, кое-какую интересную информацию нам раздобыть удалось!


Всякому, кто мало-мальски знаком с этими творениями рук человеческих, трудно отделаться от мысли, что компьютерные вирусы — это не просто небольшие программы, а самые настоящие живые существа, которые ничем не отличаются от своих более материальных собратьев, ведущих непрерывную войну с человечеством. Да и как можно думать иначе, если эти программы способны самостоятельно перемещаться, маскироваться, размножаться и, наконец, наносить сокрушительные удары, невзирая на государственные границы и географические расстояния, оставаясь при этом невидимыми для человека.

Евгений Голомолзин, вступление к статье «Вирусы на IBM PC & ZX-SPECTRUM-е», 1997


SCA: первый вирус для Commodore Amiga


Как известно, большая часть «народных» компьютеров Amiga (модели 500 и 500+ в частности) не имела жесткого диска. Единственным ПЗУ являлась микросхема, содержащая в себе часть операционной системы компьютера, Kickstart. Предполагалось, что вторая «половина» AmigaOS, Workbench, будет загружена пользователем с дискеты. А игры и некоторый наиболее тяжеловесный софт и вовсе миновали запуск операционной системы и загружались с носителя напрямую. Соответственно, и «выходить» после игры было некуда: чтобы запустить другое приложение, требовалось перезагрузить компьютер кнопкой на блоке питания и вставить новую дискету. Таким образом, вирус мог храниться либо на дискете, либо в RAM включенного компьютера.

В ноябре 1987 года команда Swiss Cracking Association, «специализировавшаяся» на снятии защиты с лицензионного ПО, выпустила первый в мире вирус для Amiga. Вредоносный код, изначально находящийся в загрузочном секторе дискеты, загружался в оперативную память и прописывал свое тело в boot-сектора всех незащищенных от записи дисков, которые пользователь вводил в компьютер.

Проявлялся вирус в виде следующей надписи на экране:

Something wonderful has happened
Your AMIGA is alive!!!
and, even better…
Some of your disks are infected by a VIRUS!!!
Another masterpiece of The Mega-Mighty SCA !!

Демонстрация работы вируса

При этом «вирусный текст» выводился не при каждой загрузке с пораженной дискеты, а только 1 раз в 15 «теплых» перезапусков компьютера. Благодаря этому «инкубационному периоду» вероятность заражения нового устройства многократно возрастала.

Несмотря на свою кажущуюся безобидность, вирус мог нанести реальный вред программам, дискеты с которыми имели собственные загрузчики. Переписывая себя на новый диск, вирус нарушал код boot-loader’а, вследствие чего программа переставала запускаться.

Удалить вирус было достаточно просто: в случае с дисками, содержащими только файлы, требовалось дать команду «install», после чего boot-сектор полностью перезаписывался. Игру или программу «вылечить» было уже несколько сложнее: требовалось найти точно такой же, но «здоровый» диск и переписать содержимое его загрузочного сектора на зараженный.

Крайне примечателен еще один факт: ASC был не просто вирусом, а вирусом-самоубийцей: разработчики «позаботились» о своих жертвах и вшили в программу функцию деактивации. Чтобы удалить вирус из памяти, нужно было удерживать кнопку fire 1 устройства, подключенного в первый порт, во время перезагрузки. То есть, либо «огонь» на джойстике, либо левую кнопку мыши.

Для борьбы с вирусом SCA существовала и специальная программа, созданная программистом под ником Saturnus The Invincible. Ниже вы можете ознакомиться с демонстрацией её интерфейса.

А по этой ссылке находится небольшая статья из журнала «Déjà vu» 1997 года. Обеспокоенный вирусной угрозой автор рассказывает читателям о работе с популярными антивирусными программами.

Самые пытливые читатели могут даже ознакомиться на сайте SCA с исходным кодом вируса и некоторыми документами, касающимися его авторов.


Видео не для слабонервных: Master Virus Killer расправляется с SCA

ZX Spectrum



Шуточное изображение вируса на ZX Spectrum

Словосочетание «вирус для Спектрума» звучит достаточно забавно. Если вдуматься, так оно и есть: кому могло понадобиться писать вредоносные программы для этого малыша с 16-128 Кб оперативной памяти и магнитофоном подмышкой? Тем не менее, умельцы находились.
Справедливости ради, отметим: особого распространения вирусное ПО для Спектрума не получило ввиду особенностей работы компьютера с файлами и отсутствия полноценной операционной системы (TR-DOS таковой считать нельзя).

Итак, как именно можно напакостить владельцу Спектрума или его клона? Например, можно испортить ценный диск. С этой задачей прекрасно справлялись программы класса DZU, так называемые «Диско-Запарывательные утилиты». Изобретение этого термина (а заодно и первой программы такого рода) по некоторым данным принадлежит Станиславу Новикову.

Суть DZU сводилась к следующему: вирус маскировался под демо, во время просмотра которого «побочный» код портил дискету, находящуюся в приводе: затирал нулевую дорожку, удалял файлы или физически повреждал диск и приводил его в неработоспособное состояние.

Примечателен тот факт, что негативные последствия работы некоторых DZU могли быть «вылечены» анти-DZU программой от того же автора. Все-таки, несмотря на токсичность отдельных индивидов, программисты Спектрума в СССР и СНГ были людьми адекватными, а «вирусное» ПО чаще всего создавали не во вред пользователям, а в качестве эксперимента или в шутку.

Посмотреть на пример DZU можно здесь (генератор демок с крестом, жестокий к диску). Рекомендуем не использовать для просмотра демо реальные дискеты и машины, если у вас таковые все еще имеются, а ограничиться эмуляцией в Unreal Speccy.

Еще один класс вирусов, куда более безобидный, деструктивных действий не производил, но «прописывался» к найденным на дискете загрузчикам на basic’е, увеличивая их объем. Достоверно известно о двух подобных вирусах: Red October и Berezka. В условиях постоянной экономии памяти даже незначительное увеличение объема программ существенно раздражало спектрумистов.

В завершение приведем скриншот-цитату пользователя Evgeny Muchkin с сайта zx-pk.ru. Он описывает работу еще одного примечательного вируса-трояна на Спектруме:

Чтобы не раздувать статью излишним количеством информации, дадим пару интересных ссылок для самых заинтересованных:


Первые вирусы для Atari ST


Самый первый вирус-червь Signum, в 1987 году написанный для Atari ST, в свои «лучшие дни» насчитывал до 1-1,5 млн зараженных компьютеров. Тем не менее, в 2020 году ни его копию для живого тестирования, ни подробное описание механизма работы найти не удалось. Известно только, что он, подобно множеству других вирусов, загружался в оперативную память компьютера и методично копировался на вводимые дискеты без защиты от записи.

В отличие от Signum, его более поздний собрат, Evilnick, или просто Evil оказался чуть более живуч. Сейчас уже нельзя точно сказать, кто был его автором, но все следы ведут в Великобританию, где его обнаружил некто Jeremy Hughes. Наибольшее распространение вирус получил в Скандинавии. Примечательной особенностью вируса был его способ маскировки: Evil мимикрировал под системный диск и оставался незамеченным даже для популярного Ultimate Virus Killer. Инкубационный период Evilnick длился достаточно долго: вирус никак не выдавал себя вплоть до заражения 100 дискет.

После создания 100-й копии себя запускалась включенная в вирус «полезная нагрузка», цвета на мониторе инвертировались. В тексте самого вируса можно было найти послание от разработчика: «EVIL! — A Gift from Old Nick».

Подводя итог, хочется отметить одну общую тенденцию, сохранявшуюся в разрозненном сообществе первых вирус-мейкеров. Многие из них склонны были полагать, что их программы подобны живым существам. Они способны размножаться, питаться мощностями компьютера, взаимодействовать с пользователем, хитрить, прятаться и погибать. Спустя десятки лет после написания этих вирусов трудно судить о настоящих мотивах их создателей. Кто-то хотел насолить коллегам, кто-то — остроумно пошутить. Для кого-то сам факт написания вируса был сродни интеллектуальному спорту.

Технологии не стоят на месте: совершенствуются методы защиты, усложняются операционные системы, увеличивается мощность железа, смещаются направления атак. На правах облачного провайдера сделаем небольшую ремарку на этот счет.

Как известно, порядка 80% угроз прекрасно чувствуют себя в виртуальных средах, ведь такая среда практически не создает помех для распространения вредоносного кода, появления вирусных эпидемий и любых других атак. Но антивирусное ПО умнеет вслед за вирусами, а иногда опережает их на пару шагов.

Сейчас есть два основных способа обеспечить безопасность в облаке с помощью специализированного антивирусного ПО: безагентская защита и защита с лёгким агентом. Безагентская защита на сегодняшний день возможна только на решениях VMware: на физическом сервере с ВМ разворачиваются две дополнительные: SVM (выделенное устройство безопасности) и NAB (сервер сетевой защиты). При реализации защиты с легким агентом на каждую виртуальную машину устанавливается легкий агент, который мониторит все происходящее внутри своей ВМ.

Это закономерно приводит нас к тому, каждый новый вирус, чтобы выжить, должен быть умнее, хитрее и приспособленнее, чем предыдущий. Так что — возможно, первые авторы вирусов не ошиблись. Им удалось выпустить в мир концепцию «живого» организма, способного к эволюции. Жаль только, что вместе с мозгами эти «страшилы» получили еще и зубы. В детстве они были такими милыми…

Let's block ads! (Why?)

Комментариев нет:

Отправить комментарий