Мережевий світ завжди був місцем, де з’являлися різні загрози. Однією з них є комп’ютерні віруси, які з часом стали справжніми «зірками» кіберпростору. Ці шкідливі програми можуть нанести величезну шкоду вашому комп’ютеру, викрадти особисті дані чи перетворити вашу систему на частину ботнету. У цій статті ви дізнаєтеся про найбільш відомі та дивовижні віруси, що з’являлися протягом комп’ютерної ери. Ми розглянемо їх особливості, способи дії та наслідки, які вони призвели. Комп’ютерні віруси завжди були предметом глибокого інтересу для користувачів, фахівців з безпеки та, безумовно, хакерів. Ці маленькі, але потужні програми, створені для незаконного втручання у системи, нерідко здатні завдавати величезної шкоди. Віруси поширюються через різні канали, зокрема через інтернет, електронну пошту, дискети або USB-накопичувачі. Вони можуть красти особисту інформацію, використовувати ресурси вашого комп’ютера для розповсюдження або навіть видалити дані.
Сучасні технології дозволили вірусам стати дедалі складнішими, маскуючи їх присутність від антивірусних програм та використовуючи новітні методи інфекції. Однак завдяки постійним дослідженням у галузі кібербезпеки, інструменти для виявлення та знищення вірусів також розвиваються. Важливо розуміти, що захист від вірусів – це неодноразовий процес. Регулярне оновлення програмного забезпечення, включаючи антивірус, та обережне ставлення до завантаження файлів з Інтернету – ключ до безпечного користування комп’ютером. Освіта та обізнаність у сфері кібербезпеки також відіграють важливу роль. Чим більше користувачі розуміють про віруси та методи їх атаки, тим важче цим вірусам виконувати свої зловмисні завдання. У світі, де кіберзлочинність стає все більш розповсюдженою, знання про комп’ютерні віруси та методи їх протидії є абсолютно необхідними. Незалежно від вашого рівня знань чи досвіду, завжди є можливість навчитися більше та стати готовим до будь-яких кіберзагроз. Але не лише здатність завдавати шкоди робить віруси знаменитими. Деякі з них вражали своєю унікальною структурою, складністю або способами поширення. Креативність та хитромудрість розробників цих шкідливих програм завжди викликали захоплення серед спеціалістів з кібербезпеки. Вивчення історії найбільш знаменитих вірусів не лише цікаве, але й корисне. Воно допомагає зрозуміти мотиви їх створення, основні методи атаки та, що найважливіше, як їх уникнути та впоратися з ними.
В епоху повсюдної комп’ютеризації віруси стали такими ж поширеними, як і укуси комах. Незважаючи на неприємність і неприємність, деякі з них можуть бути дуже небезпечними – так само, як комарі можуть переносити малярію. Загалом, це поширена і звична атака, якої можна уникнути за допомогою певних здібностей і з мінімальними зусиллями. Звичайно, якщо не робити особливо серйозних розробок, таких як боротьба з вірусами, але звичайні користувачі рідко з ними стикаються. Але в минулому, на зорі комп’ютеризації та інтернетизації в цілому, віруси були дуже поширені. Вони боялися, їх знали по імені, вони спричиняли хаос і лихоліття, дорогою знущаючись над бідними.
Легендарний вже перший комп’ютерний черв’як, що розповсюджувався в мережі ARPAnet у перші роки її існування. Загалом, «Кріпер» був скоріше жартом. Його написав для ОС Tenex Боб Томас, використавши лайфхак: Creeper поширювався за допомогою системи віддаленої роботи з програмами RSEXEC його власної розробки для DARPA.
Creeper, як і належить черв’яку, «повзав» по мережі між мейнфреймами PDP-10. Він був до зворушливості ввічливий, і при копіюванні на наступну машину акуратно стирав себе на попередній. Втім, трохи пізніше Рей Томлінсон (винахідник електронної пошти та синтезатора мови, а також творець тієї самої ОС Tenex) відкрутив від Creeper’а зайву чемність, щоб він міг весело розмножуватися в мережі, а не просто переповзати з комп’ютера на комп’ютер.
Все, що робить Creeper, це відображає повідомлення I AM CREEPER на телетайпі або екрані. СПІЙМАЙ МЕНЕ, ЯКЩО ЗМОЖЕШ! («Я опудало! Спіймай мене, якщо зможеш!»). По суті, «Кріпер» є демонстраційною версією майбутнього «справжнього» комп’ютерного хробака. Однак, можливо, він справді зможе трохи послабитися. Припустимо, ви одні вночі в ВК і раптом з машинки виходить ось таке повідомлення. Непоганий початок для фільму жахів.
І оскільки деяких користувачів дратувала його непередбачувана поведінка, незабаром з’явилося перше антивірусне програмне забезпечення під назвою «Жнець». Він також «повзає» по мережі і безжально знищує виявлені копії «Кріпер». «Жнець» був написаний… самим Реєм Томлінсоном. До самого Кріпера прийшов фільм жахів.
Elk Cloner, який вважається першим «справжнім» комп’ютерним вірусом, був уже зовсім не настільки благодушний, як дідусь Creeper. Його написав 15-річний Річард Скрента, один із майбутніх засновників Open Directory Project. Тоді він навчався в 9-му класі школи в рідній Пенсільванії і любив робити гидоти одноліткам, ламаючи їхні піратські комп’ютерні ігри через переписування коду і змушуючи замість продовження показувати «смішну» картинку.
Незабаром Річарда почали бити ногами, перестали підпускати до комп’ютерів на гарматний постріл. Тоді він вирішив пробратися на чужі машини через мережі, і всього за два тижні накатався на асемблері цей самий Elk Cloner.
Elk Cloner вражав комп’ютери Apple II і поширювався через дискети з DOS. При виявленні незараженої дискети «Клонувальник лосів», що оселився на комп’ютері, копіювався на неї, записуючись у завантажувальний сектор.
Кожне п’ятдесяте завантаження вірус виводив на екран загрозливе повідомлення:
Elk Cloner: програма з індивідуальністю
Він проникне у всі ваші диски
Він проникне у ваші чіпи
Так, це — Cloner!
Він прилипне до вас як клей
І оперативну пам’ять він теж підправить
Перейшли Cloner
«Клонолось» міг поламати диск із DOS за допомогою затирання доріжок, якщо ОС була записана позаштатно. Але то була не фіча, а баг. Фічами ж були аж ніяк не тільки віршики: всупереч більшості публікацій, Elk Cloner робив різні прикрі капості, які заважали нормальній роботі на комп’ютері. Причому капості були прив’язані до запусків комп’ютера.
Кожні 15 і 25 завантажень екран починає мерехтіти або текст перевертається. Кожне сорокове і сімдесят п’яте завантаження комп’ютер зависав. Після кожного десятого і шістдесят п’ятого завантаження вірус викликає більше помилок.
Спочатку вірус заразив деякі шкільні машини, і вчителі намагалися звинуватити Скренту у зломі кабінетів. А як ще цей бандит міг пошкодити комп’ютер? А потім поступово він вийшов за межі Пенсільванії. Це не привернуло серйозної уваги до 1985 року, коли стаття про Elk Cloner з’явилася в Scientific American. Справжньої епідемії не було: для поширення вірусу знадобилася незвичайна подія — одночасне вставлення двох дискет DOS у дисковод Apple II.
Сам Скрента до цього дня пишається своєю програмою: «Можу виправдатися лише тим, що джин у будь-якому випадку був би випущений. Але було цікаво стати першим, хто це зробив 🙂
Програма, що викликала першу «справжню» вірусну епідемію, створювалася аж ніяк не як вірус. І прийшла, як не дивно для середини 80-х років, не зі США, а з Пакистану.
Все почалося з того, що два брати-айтішники, 17-річний Базит і 24-річний Амджат Фарук Алві дуже обурювалися тим, що медичний софт під IBM PC від їхньої компанії Brain, призначений для відстеження серцевого ритму, піратять усі кому не ліньки. Вони написали програму, яка розповсюджувалась через завантажувальні сектори дисків та шукала на комп’ютері неліцензійні копії продукції Brain.
У разі виявлення такий вірус від братів Алві переписував її фрагменти, а також уповільнював швидкість доступу до дискет і частково заважав нормальному збереженню інформації.
На екрані з’являвся напис:
Welcome to the Dungeon © 1986 Basit & Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES 730 NIZAB BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE :430791,443248,280530. Beware of this VIRUS… Contact us for vaccination… $#@%$@!!”(Ласкаво просимо до в’язниці! Базит і Амжад (приватна компанія) ТОВ BRAIN COMPUTER SERVICES: 730 Nizab Block, Аллама Ікбал, Лахор, Пакситан. Телефони: 430791,443248,280530. Стережіться вірусу, для вакцинації !»).
Напис у різних версіях вірусу (брати вдосконалювали свій витвір) міг бути різним, у тому числі з іронічною посвятою. з нами”). Що цікаво, Brain умів «ховатись» від спроб виявлення: при спробі читання зараженого сектора він «підставляв» замість себе незаражений вихідний код.
Через рік лише у США було заражено понад 18 тисяч пристроїв. На жаль, програма братів працювала не зовсім коректно, і уповільнювала роботу навіть тих пристроїв, де не було їхніх ламаних програм. А при попаданні на комп’ютери Apple міг навіть блокувати запис на диск будь-якої нової інформації.
Гірше того, поповзли чутки, що вірус видаляє файли (чого він не вмів і взагалі мав «заглушку» на роботу з секторами жорстких дисків), і на Brain стали «звалювати» зникнення даних та файлів з різних причин. Чесно зазначені телефони братів обірвали розлючені жертви вірусу, і їх довелося міняти. А потім і відмовитись від роботи з медичним софтом взагалі.
Втім, брати Алві з того часу все одно досягли успіху в IT-сфері і нині очолюють великий пакистанський інтернет-провайдер Brain Telecommunications.
Перший дійсно вірулентний і вірулентний вірус виник в Ізраїлі. Його автор досі невідомий, і це не дивно: якщо брати Альві дивом уникли судового переслідування обурених користувачів, то творця «вірусу п’ятниці 13-го» засудять на багато років і «гроші, якщо спіймають».
Це лихо було вперше виявлено на комп’ютері в Єврейському університеті в Єрусалимі в жовтні 1987 року. Автор, можливо, був натхненний відомим американським серіалом жахів «П’ятниця, 13-е» 1980 року. Це поєднання дня тижня та кількість місяців, протягом яких вірус активував свою «основну величину» і, згідно з різними джерелами, видалив усі або частину програм, запущених на цю дату. Мабуть, для ширшого і надійнішого розповсюдження в «таймері» було написано не активувати цю функцію протягом 1987 року. Однак вона не тільки пропускала п’ятницю 13-го щотижня.
Відео про роботу Jerusalem:
“Єрусалим” поширювався через дискети або вкладені файли в електронній пошті. Вірус працював за принципом логічної бомби. Він (незалежно від дня тижня та дати) вражав виконувані файли, крім command.com, і «роздмухував» exe-файли при кожному запуску на 1808-1823 байтів, поки вони не збільшувалися до необробленого розміру.
Після тридцяти хвилин роботи зараженого комп’ютера відбувалося значне уповільнення роботи системи загалом за допомогою коду, що входить у цикл обробки щоразу, коли активується таймер процесора. А ще на екрані виникав характерний чорний прямокутник, що «затуляв» досівський текст.
Свій головний удар Jerusalem завдав у п’ятницю 13 травня 1988 року, вразивши близько шести тисяч комп’ютерів по всьому світу, видаливши безліч файлів і став одним з перших знаменитих комп’ютерних вірусів.
Загалом «Єрусалим» експлуатував переривання та інші низькорівневі функції операційної системи MS-DOS, які перестали бути актуальними після все більшого масового переходу на Windows. Jerusalem та його варіанти від наслідувачів зникли до середини 1990-х років. Автор вірусу так і залишився невідомим.
Натомість, ім’я автора першої глобальної вірусної атаки, яка ледь не обрушила всю ранню мережу, відомо точно. І увійшло історію. Втім, він взагалі не спеціально, так вийшло.
Недавній випускник Гарварда та Роберт Теппен Морріс у 1988 році був аспірантом у Корнеллському університеті, Нью-Йорк. Син професійного криптографа АНБ США, куди менш відомої і куди більш серйозної та ефективної американської розвідки, ніж галасливе і скандальне ЦРУ, вирішив написати хробака, що самопоширюється по ARPAnet. Ну ось такі ось забави у талановитих випускників Гарварда були на той час.
Морріс заздалегідь продумав, як черв’як повинен поводитись при появі встановлених адміністраторами хибних копій: у 14% випадків він при виявленні себе на пристрої повинен був прописувати себе все одно. Ось тільки юний програміст поставив занадто короткі проміжки для перевірки. Замість періодичного дублювання програма почала займатися дуже швидким самокопіюванням у пам’яті пристроїв, наглухо забиваючи своїми командами оперативну пам’ять.
2 листопада 1988 року стало днем страху. Підключені до ARPAnet комп’ютери один за одним почали виходити з ладу. Протягом п’ятнадцяти годин було заражено понад дві тисячі пристроїв, а на виправлення наслідків на кожній машині потрібно 2-3 дні. Могло бути й більше, але черв’як вражав лише системи під керуванням Berkeley Unix.
Частину вузлів вдалося врятувати простим фізичним вимкненням. Норвегія була врятована від зараження хробаком Морріса завдяки тому, що Пол Спіллінг, дізнався про шухера по телефону від американських колег і просто висмикнув кабель. Після чого стала відома в історії IT як людина, яка спочатку підключила Норвегію до інтернету, а потім відключила.
Усього за одну добу було вражено від двох до шести тисяч машин (ієрусалимському вірусу на таке знадобилося понад півроку) і поставлена під загрозу майже вся тодішня всесвітня мережа. Перевіряти довелося понад 42 тисячі вузлів. Збитки становили майже 100 мільйонів доларів США, з яких приблизно 2/3 були непрямими збитками через простої обладнання. Творіння Морріса заслужено назвали «Великим Червем» — таким собі Шай-Хулудом раннього інтернету.
Морріс жахнувся тому, що влаштував, але ніякого способу відкликати збожеволілого хробака не було. До вирішення проблеми були екстрено підключені кращі IT-фахівці США з MIT і Берклі, а також всі непрості відомства на кшталт АНБ, DARPA і купи військових лабораторій, що спеціалізуються на комп’ютерних технологіях, які всі разом лише через кілька діб змогли розробити і реалізувати заходи протидії та ліквідації. .
Тим часом ЦРУ і ФБР, збившись з ніг, шукали зловмисника — і, мабуть, лише стрімке згортання холодної війни завадило появі версії про підступну атаку радянських хакерів (що не існували в природі, але нічого неможливого для параноїдальної уяви спецслужб). Тільки Морріс був дуже обережний і слідів не залишив — хоч у якийсь момент, на піку кризи та заснування глобальних масштабів свого косяка, зателефонував другу і попросив передати анонімно ідеї щодо боротьби з черв’яком.
І так, можливо, творець «Великого Черв’яка» залишився б невідомим. Але Морріс не витримав і розповів батькові. Батько Морріса, який в АНБ займався не чим-небудь, а IT-безпекою комп’ютерних систем федерального уряду США, і дуже добре розумів грандіозність шухера для всіх відомств і для всієї національної безпеки США, коли розоху … пробачте, прийшов до тями від епічності синового факапа і фубара, виявив суворість та безкомпромісність. Роберт був змушений зізнатися у скоєному, і постав перед американським судом.
Спочатку йому загрожувало п’ять років і 250 000 доларів штрафу – але суд виявив поблажливість і врахував відсутність зловмисного задуму. Морріс отримав за глобальний дурдом три роки умовно, десять тисяч доларів штрафу і чотириста годин громадських робіт на додачу. Ну а потім зробив цілком солідну кар’єру в ІТ-сфері. Було б дивно інше.
А комп’ютерне співтовариство лише після цієї історії усвідомило масштаби можливого триндеца, і терміново кинулося займатись антивірусами. Що допомогло аж ніяк не відразу.
Перший відомий зашифрований вірус, що залишив слід в історії як меметичністю, так і тим, що спонукання Касперського зайнятися створенням антивірусів. Очевидно, він став творінням якогось німецького програміста, можливо, навіть студента: вперше вірус виявили на комп’ютерах Констанцського університету на кордоні зі Швейцарією. По-німецьки він називається поетичним словом Herbstlaub, «осіння листя».
Написаний на асемблері резидентний вірус вражав .com файли і відрізнявся від попередників тим, що, крім власне, тіла містив функцію дешифрування. Код вірусу при запуску спочатку розшифровувався, і тільки потім запускався. Різні “екземпляри” вірусу мали різний шифр, ключем до якого був розмір зараженого ним файлу – але дешифратор був одним і тим же, що спростило боротьбу з ним в порівнянні з майбутніми “поліморфами”.
Судячи з дії «Каскаду», він міг бути свого роду студентським жартом. Вірус не ламав файли, а просто викликав характерне “обсипання” тексту на екрані під мелодію. Це заважало роботі та змушувало перезавантажуватися, що призводило до втрати інформації.
Каскад вразив безліч комп’ютерів у країнах Центральної Європи, але його вихідна версія мала вбудований обмежувач за часом роботи: вірус планово працював тільки з 1 жовтня по 31 грудня 1988 року. На жаль, багато ентузіастів стали випускати свої адаптації з відключенням таймера, і в результаті Каскад заважав роботі аж до початку 90-х років. Останній випадок зараження задокументовано 1997 року.
З незрозумілої досі причини вірус мав ще один вбудований обмежувач: він не повинен був вражати комп’ютери IBM PC. Але через помилки програміста воно спрацьовувало далеко не завжди, і вірус дістався бельгійського офісу IBM. Це спонукало компанію зайнятися розробкою власних антивірусних програм.
І не лише їх: у жовтні 1989 року «Каскад» упіймав Євген Касперський. Це й зародило в нього ідею зайнятися розробкою антивірусів. Першим вірусом, внесеним до бази даних першого антивірусу від Касперського, став саме «Cascade».
А ще Каскад надихнув на роботу Dark Avenger та інших болгарських хакерів. Втім, феномен болгарських хакерів і вірусів 90-х (навіть першу VX BBS для обміну вірусами та інформацією щодо їх написання зробили саме болгари), в ідеалі, заслуговує на окрему статтю. І взагалі, Каскад з його характерним ефектом став настільки меметичним, що засвітився навіть в одному з сезонів Star Trek.
Цей вірус викликав більше шуму у пресі, ніж реальної шкоди. За популярною у 1989 році у журналістів версією, його створив якийсь норвезький патріот, скривджений, що честь відкриття Америки віддана Колумбу замість вікінга Лейфа Ерікссона. Виникло це припущення тому, що вірус особливо чинив чинність 13 жовтня, відразу після святкуваного в США кожне 12 жовтня Дня Колумба. Версія крива, але сподобалася публіці, і в історії Datacrime залишився під альтернативною назвою «День Колумба».
Вірус проникав на комп’ютер користувача через заражені файли. При їх запуску в першій версії він заражав файли .com по одному в каталозі, крім тих, у яких D була сьомою за рахунком: таким чином автор уникав пошкодження COMMAND.COM. Друга версія Datacrime вміла заражати заразом і .exe файли, а її код був повністю зашифрований.
Заражені файли мирно лежали у своїх директоріях чи розносили вірус інші машини до 13 жовтня. При запуску в означений день і будь-який день до 31 грудня поточного року (чому автори вірусів кінця 80-х так любили прив’язувати роботу вірусів до четвертого кварталу?) «Злочин даних» виводив на екран горде повідомлення: («Вірус Datacrime, випущений 1 березня DATACRIME VIRUS. RELEASED: 1 MARCH 19891989 року»). І найжорстокіше форматував нульовий циліндр жорсткого диска (причому в першій версії робив це криво через помилки автора), внаслідок чого гинула таблиця розміщення файлів FAT і дані безповоротно губилися.
Поширення вірусу було не надто значним, але в наляканій попередніми інцидентами на кшталт минулорічного хробака Морріса пресі трапилася формена істерика. Варто зауважити, що кінець 80-х взагалі був часом «вірусної паніки» в західних суспільствах та пресі: доходило до хвиль страхітливих публікацій про нові вкрай небезпечні віруси… яких просто не існувало в природі.
Найсильніше Datacrime вдарили по Нідерландах, де, за деякими оцінками, виявилися враженими до 10% усіх комп’ютерів. Поліції цієї країни довелося навіть терміново випустити свій антивірус для боротьби безпосередньо з Datacrime: голландські копи продавали його по 1 долару за копію. Щоправда, працював поліцейський антивірус дуже собі і давав безліч помилкових спрацьовувань. Найкраще працював антивірус VIRSCAN від IBM, який у тому числі через галас навколо Datacrime спробував зайти на новий перспективний ринок.
Можливо, і сам вірус прийшов саме з Нідерландів: першим про нього повідомив Фред Фогель ще в березні 1989 року, і таке поєднання імені та прізвища характерне саме для голландців.
Автор наступного вірусу підійшов до справи серйозно і з неабияким цинізмом. Світ кінця 80-х був страшенно стурбований епідемією СНІДу, що розгорялася. Заходи щодо профілактики поширення ВІЛ тільки розроблялися, підтримуюча антиретровірусна терапія також. Зараження зазвичай відводило людей у могилу з гарантією за лічені роки, в суспільствах і пресі тинялися чутки, міські легенди та апокаліптичні прогнози один страшніший за інший, заражених цуралися як прокажених.
На хвилі цієї паніки біолог-еволюціоніст Джозеф Попп з Гарварда в грудні 1989 року розіслав по всьому світу учасникам конференції Всесвітньої організації охорони здоров’я зі СНІДу в Стокгольмі 20 000 (!) дискет, підписаних як «AIDS Introductory Information Diskette». інформацією зі СНІДу, версія 2.0»). Так-так, «СНІД» був чи не єдиним в історії комп’ютерним вірусом, який масово розповсюджувався «звичайною», а не електронною поштою.
Безліч вчених і медиків, які займалися боротьбою з ВІЛ, не надто зналися на питаннях комп’ютерної безпеки, які ще тільки оформлялися, спробували відкрити вміст. Наслідками стали масові зараження їх машин та втрата серйозних обсягів напрацьованої інформації щодо протидії пандемії СНІДу.
На дискеті був перший в історії троян — втім, написаний на Turbo Pascal 3.01a «дуже неакуратно». Проте сама концепція була оцінена як «геніальна та надзвичайно витончена». Вірус використовував уразливість MS-DOS, впроваджувався в систему, де прописував свої приховані файли та переписував системні файли. Починався відлік завантажень.
На дев’янистому запуску комп’ютера AIDS перейменовував та приховував усі файли, виводив на екран образливе та сумбурне повідомлення:
«ATTENTION I have been elected to inform you that throughout your process of collecting and executing files, you have accdientally ¶HÜ¢KΣ► yourself over: again, that's PHUCKED yourself over. No, it cannot be; YES, it CAN be, a √ìτûs has infected your system. Now what do you have to say about that? HAHAHAHAHA. Have ¶HÜÑ with this one and remember, there is NO cure for AIDS».
Сиречь «Увага! Я був обраний щоб повідомити вам, що протягом всього вашого процесу збору та виконання файлів ви випадково на***ли себе: знову ж таки, це на**ло вас. Ні, цього не може бути? ТАК, це може бути, вірус заразив вашу систему! Тепер, що ви можете сказати з цього приводу? ХАХАХАХАХА. Розважися з цим і пам’ятай, що від СНІДу НІ ліки!».
На видимому диску залишався єдиний файл: рахунок на 189 доларів США в панамському банку, який пропонувалося сплатити для лікування від вірусу. Щоправда, конспіратор із підступного біолога виявився набагато гіршим за програміста: Джозефа Поппа досить швидко вирахували за адресою відправки дискет, затримали в аеропорту Амстердама і повернули в наручниках у США. Обчислювати загалом довелося недовго: хакер примудрився розіслати вірус із власної поштової скриньки.
Втім, на суді Поппа визнали неосудним: він дико чудив, носив на носі презервативи і загортав бороду в бігуді. Причини його екстравагантного вчинку залишилися незрозумілими досі: ймовірно, чи то його не прийняли на роботу у ВООЗ, чи то колеги відмовилися визнавати його якісь «геніальні» ідеї щодо ВІЛ. Після цієї історії Попп полетів кукухою в інший бік зайнявся пропагандою зниження шлюбного віку для жінок, сенсом існування яких вважав народження якомога більшої кількості дітей.
Втім, його головне починання було продовжено: трояни стали однією з найпопулярніших форм вірусів, а здирство за допомогою комп’ютерних вірусів — кримінальним бізнесом, що стрімко зростає.
“Хамелеон” багато в чому став розвитком ідей, закладених творцем “Каскаду”. Власне його автор Марк Уошберн прочитав книгу Ральфа Бюргера «Computer Viruses. The Disease of High Technologies», зацікавився ідеєю, взяв за основу вірус «Vienna», і доповнив її просунутою системою шифрування, що самостійно змінюється, на основі «Cascade».
Якщо у «Каскаду» при різноманітно зашифрованому тілі вірусу сам дешифрувальник був однаковим, що дозволяло обчислювати код вірусу за сигнатурою, то «Хамелеон» ніякої постійної сигнатури просто не мав. Вона змінювалася при кожному новому зараженні без втручання творця у вигляді «вшитого» рандомайзера, ключем служив системний час. Уошберн пояснював, що хотів продемонструвати недосконалість існуючих систем боротьби з вірусами на основі сигнатур, простим пошуком відомих фрагментів коду.
Ну… показав. Творці антивірусів по всьому світу схопилися за голови та зайнялися пошуками більш просунутих систем виявлення вірусів за допомогою дешифраторів та алгоритмічних мов.
Шкоди вірус не завдавав, будучи, по суті, демонстратором технічних можливостей. Після запуску він шукав файли у поточному каталозі, використовуючи маску *.com. При виявленні він перевіряв, чи не дорівнює розмір файлу 10 або 63488 байтам. Якщо ні, він записував три байти на початок і 1260 байт наприкінці (звідки й друга назва, «1260»). Природно, напрацювання відразу взяли на озброєння і автори справді злокозненных вірусів. У тому числі наступного.
“Кіт” вийшов у німецькому Гамбурзі через півроку після “Хамелеона”, влітку 1990 року. На момент виявлення був найбільшим із комп’ютерних вірусів: перший виявлений екземпляр «важив» цілих 9216 байт. Недарма: вірус мав найскладнішу багаторівневу поліморфну систему шифрування, систему приховання присутності в системі, а також антиналагоджувальний функціонал. Навіть розмір вірусу змінювався.
На розшифрування його коду у дослідників пішли тижні. Нічого дивного: автор з німецькою ґрунтовністю та солідністю підійшов до того, щоб максимально утруднити розшифровку свого творіння, його трасування, дизасемблювання та аналіз.
Шкідливість вірусу полягала в тому, що він сильно уповільнював роботу враженої системи та змушував екран неприємно мерехтіти. За деякими даними, він міг і «упустити» систему. Крім того, «Кіт» створював файл C:FISH-#9.TBL, в який вписував MBR вінчестера і наглухо упораний текст: ( FISH VIRUS #9 A Whale is no Fish! Mind her Mutant Fish and the hidden Fish Eggs for they are damaging. The sixth Fish mutates only if Whale is in her CaveРИБНИЙ ВІРУС №9 Кит — це не Риба! Зверніть увагу на Рибу-мутанта та Яйця прихованої Риби, бо вони шкідливі.Шоста Риба мутує тільки в тому випадку, якщо Кіт знаходиться в її Печері).
З 19 лютого по 20 березня вірус «завішував» систему і виводив на екран рядок THE WHALE IN SEARCH OF THE 8 FISH I AM '~knzyvo}' IN HAMBURG(«Кіт у пошуку восьми риб я (криво зашифроване «пуголовок») у Гамбурзі»). Що це означало і що вживав автор, і залишилося загадкою.
Цей вірус аж ніяк не мексиканського, а навіть швейцарського походження влаштував справжню епідемію заражень у квітні 1991 року. Дані про авторів різняться. За однією версією, його як експеримент написав якийсь вчений — але його код вкрали і випустили на волю «у пампаси» в одній із швейцарських IT-компаній. Іншою, його написали деякі брати 18 і 21 років. Були підозри, що творці «Текіли» мали відношення до раніше складного поліморфного вірусу «Flip», що з’явився роком.
Як і «Фліп», «Текіла» була поліморфною та резидентною, вона добре ховалася від спроб її знайти та видалити, і була майже як згаданий у минулій статті «Кіт» буквально набита захисними механізмами. Над деякими антивірусами “Текіла” просто знущалася: наприклад, вона видаляла контрольні суми, доданих до файлів McAfee VirusScan. В результаті антивірус не міг продовжувати пошук і нескінченно перевіряв ті самі файли знову і знову.
При попаданні на комп’ютер вірус заражав завантажувальний сектор диска і вражав файли .exe і .com, збільшуючи їх розмір на 2468 байт. При цьому, з загадкової причини, він не чіпав файли з літерами “v” та “sc” в іменах.
Коли вдавалося заразити чверть усіх програм, вірус виводив на екран досить грубу картинку, в якій вгадувалися контури Мандельброта. Поверх з’являлися написи, що прославляли пиво з текілою, якусь Л.і.н.д.у., і рекомендували писати на поштову скриньку в швейцарському місті Штайнхаузен від імені T. Tequila.
Ну а більше “Текіла” майже нічого не робила, будучи по суті вірусом-жартом. Найбільшої шкоди вона могла завдати через те, що повідомляла про помилки асоціації файлів із CHKDSK. Спроба виправити це через CHKDSK /F могла призвести до пошкодження даних.
Додаткові небезпеки були випадковими пошкодженнями при переписуванні .exe і .com файлів, які могли вести до збоїв, втрат даних та інших неприємностей. Особливо сильно Tequila поширився в Німеччині, вразивши частину шкіл і великий банк у Франкфурті. Частина джерел називають його першим поліморфним вірусом, що по-справжньому поширився. А 1993 року він чомусь потужно вдарив Південною Африкою.
6 березня 1992 року удар завдав вірус Michelangelo, також відомий як Stoned.March6.a та Stoned.Michelangelo. Як дати активації невідомий досі автор обрав день народження великого ренесансного скульптора Мікеланджело Буонарроті. Щоправда, про це він нічого не повідомив навіть у коді програми, і найменування шкідливої програми у міру наростання паніки в пресі вигадав хтось інший. «Накуреність» у назві також не випадкова: вірус, що завдав величезної шкоди, був глибоко модернізованою варіацією на тему вже старого на той момент вірусу Stoned / Marijuana, що імовірно з’явився з Нової Зеландії.
Можливо, обидва віруси створила та сама людина: перший випадок зараження був виявлений в австралійському Мельбурні, що досить-таки недалеко від Нової Зеландії. За іншою версією, Мікеланджело прийшов з Тайваню, де бурхливо розвивалися напівпровідникова промисловість і виробництво комп’ютерів, і звідки через диски з драйверами для комп’ютерної техніки почали приходити багато заражень.
Перше виявлене зараження у лютому-березні 1991 дозволило своєчасно усвідомити небезпеку вірусу. Небезпека була великою: Michelangelo заражав завантажувальні сектори гнучких та жорстких дисків під DOS і працював через BIOS. При активації на включеному 6 березня зараженому комп’ютері він повністю заповнював сектори харда нулями або рандомними символами, після чого дані гинули безповоротно.
Наприкінці 1991 і на початку 1992 року почала розгорятися паніка. То тут, то там повідомлялося про виявлення цілих партій 5-дюймових дисків із драйверами, заражених «Мікеланджело». Заголовки поважних інформаційних агентств змагалися в масштабах опису майбутнього апокаліпсису. Йшлося про неминучу загибель сотень тисяч або навіть мільйонів комп’ютерів по всій планеті, втрату колосальних обсягів даних. Особливо багато про майбутню катастрофу говорив відомий фахівець у галузі боротьби з вірусами Джон Макафі. У магазини, де продавалися антивіруси, на початку 1992 року вишиковувалися цілодобові черги.
6 березня 1992 року комп’ютерний світ завмер в очікуванні катастрофи… якої не сталося. По всьому світу було пошкоджено, зважаючи на все, трохи більше 10000 пристроїв.
Досі існують конспірологічні ідеї про те, що до появи та медійної істерії навколо «Мікеланджело» причетні були розробники антивірусного софту. Які відмінно заробили на всій цій історії завдяки попиту, що різко посилився, на антивіруси по всьому світу. Особливо добре запрацювала компанія того ж Джона Макафі. Втім, тепер уже важко визначити: чи був легкий результат наслідком слабкості вірусу, чи масова установка антивірусного софту справді запобігла великій цифровій кризі.
У наступні роки випадки поразки комп’ютерів «Мікеланджело» обмежувалися лише десятками зафіксованих епізодів у всьому світі.
Творіння великого і жахливого болгарського хакера Dark Avenger, який прославився як один із найписьменніших і найвинахідливіших творців вірусів у всьому світі ще наприкінці 80-х років. У його появи нічого дивного був: у Східному блоці Болгарія займалася комп’ютерними технологіями особливо серйозно.
У країні було налагоджено масове виробництво комп’ютерів лінійки «Справник 8», що були клонами Apple II, і «Справник 16», що копіювали IBM PC з процесорами Intel 8088 і 8086. Число комп’ютерників на душу населення в Болгарії до кінця 80-х було як би не найбільшим із усіх країн соцтабору, включаючи СРСР. На рубежі 80-х і 90-х це породило феномен болгарських вірусів, що гримів на всю Європу і світ… втім, це тема для окремої статті.
Строго кажучи, повноцінним вірусом MtE не було. Проте це був перший в історії поліморфний генератор під MS-DOS для використання у вірусах усіма бажаючими. Знаменитий хакер із Софії опублікував його у вигляді об’єктного модуля з докладною інструкцією із застосування та генератором випадкових чисел.
Його колеги із захоплення, болгарські та зарубіжні, не надто зволікали із застосуванням новинки: писати поліморфні віруси з використанням MtE стало набагато простіше. Мережі та комп’ютери затопили безліч поліморфної живності, написані з «подарунком» від Dark Avenger.
Нерідко MtE помилково називається DAME і розшифровується як Dark Avenger Mutation Engine (“поліморфний генератор від Dark Avenger”) – так його могли називати “неофіційно”, проте в строгому сенсі DAME іменувався поліморфний движок 1993 Dark Angel’s Mutation Encryptor від канад Skism.
Влітку 1991 року у почалася епідемія вірусу Dir_II. Текст, який містився в коді однієї з версій вірусу, також вказував на походження з теренів колишнього СРСР. Там цитувався трохи змінений текст неформальської пісні «Алігатор»: «Інтегралом пливе пирога, в ній їдуть хіпі, їх дуже багато». Наскільки відомо, це був перший вірус, що масово розповсюдився, імовірно російського походження.
Dir_II використовував принципово нову link-технологію зараження файлів. Колишні віруси намагалися заразити більше файлів, що виконуються, збільшуючи їх розмір і роблячи вразливими до виявлення. Dir_II зберігав своє тіло в останньому кластері зараженого логічного диска, який маскував під збійний.
До файлів, що вражаються, він не дописував свій код, а лише змінював номер першого кластера файлу, розташований у відповідному секторі каталогу — так, щоб оновлений кластер файлу вказував на кластер, що містить тіло вірусу. Розміри файлів та кластерів при цьому майже не змінювалися, а єдиний файл із вірусом в останньому кластері знайти було непросто.
Найгірше, при ініціалізації вірус проникав у ядро DOS, змінював адресу системного драйвера дисків і перехоплював усі звернення DOS до нього. Це робило зараження ще більш непомітним для всіх тодішніх антивірусів, а ранні блокувальники зараження пропускали його як через відкрите вікно. Поширення та зараження файлів відбувалися стрімко: вірус перехоплював звернення DOS до каталогів та заражав файли у всіх каталогах, зазначених у PATH.
Дедалі більше секторів позначалися як збійні, шифруючись. Коли процес охоплював половину диска, користувач отримував сумне для себе повідомлення. При спробі копіювання уражених файлів вірус дозволяв скопіювати тільки 512 або 1024 байти. Найгірше, якщо вражену машину намагалися лікувати від пошкодження файлової структури утилітами на кшталт ScanDisc, замість очищення від вірусу могла статися безповоротна втрата даних.
1991-92 роки стали часом, коли, з одного боку, виробництво вірусів стало масовим хобі, а з іншого — встановлення антивірусного програмного забезпечення стало масовою практикою. Виробники вірусів та антивірусів розпочали свого роду війну. Символічною стала поява саме в 1992 році вірусу Peach, за деякими версіями, від того ж таємничого болгарського програміста Dark Avenger. Це був перший відомий анти-антивірус: він не лише відправляв комп’ютер у примусове перезавантаження після певної кількості запусків, але й цілеспрямовано атакував та видаляв базу даних ревізора змін Central Point Antivirus.
Влітку 1992 року з’явилася Virus Creation Laboratory (VCL) – програма для генерування комп’ютерних вірусів із зручним графічним інтерфейсом. Тепер кожен бажаючий при певному старанні міг без глибоких навичок програмування зібрати свій вірус як «конструктор» та відправити його у вільне плавання на страх «юзверям». Зібрати можна було, втім, лише досить-таки примітивні віруси — але охочих це зупиняло не завжди, як і поява в поліціях та інших відомствах багатьох країн спеціальних підрозділів із протидії хакерам та творцям вірусів.
287 
325 
456 