В наши дни всеобщей компьютеризации вирусы стали банальностью наподобие кусачих насекомых. Неприятная и назойливая штука, некоторые могут быть опасными всерьёз — как комар может переносить малярию. В целом же — привычная и обыденная напасть, которой можно с некоторой вероятностью избежать при минимальных усилиях. Если, конечно, не брать отдельные особо серьёзные разработки — к примеру, боевые вирусы, но с ними обычный пользователь сталкивается редко.
А вот в старые времена, на заре всеобщей компьютеризации и интернетизации, вирусы были на слуху. Их боялись, их знали по именам, они учиняли бардак и дестрой, попутно глумясь над попавшими под удар бедолагами.
Начнём с олдов и опишем их и их историю чуть подробнее, чем большинство обзоров.
▍ Creeper (1971 год)
Легендарный уже первый компьютерный червь, распространявшийся в сети ARPAnet в первые годы её существования. В общем-то, «Крипер» был скорее шуткой. Его написал для ОС Tenex Боб Томас, использовав лайфхак: Creeper распространялся посредством системы удалённой работы с программами RSEXEC его же собственной разработки для DARPA.
Creeper, как и полагается червю, «ползал» по сети между мейнфреймами PDP-10. Он был до трогательности учтив, и при копировании на следующую машину аккуратно стирал себя на предыдущей. Впрочем, чуть позже Рэй Томлинсон (изобретатель электронной почты и синтезатора речи, а также создатель той самой ОС Tenex) открутил от Creeper’а излишнюю учтивость, чтобы он мог весело размножаться в сети, а не просто переползать с компьютера на компьютер.
Распечатанное сообщение от «Крипера» с телетайпа
Всё, что делал Creeper, сводилось к выводу на телетайп или монитор сообщения «I'M THE CREEPER. CATCH ME IF YOU CAN!» («Я Страшидла! Поймай меня, если сможешь!»). По сути «Крипер» был демо-версией будущих «настоящих» компьютерных червей. Впрочем, некоторой крипоты он, пожалуй, действительно мог нагнать. Скажем, когда ты остаёшься один ночью в ВЦ, и внезапно из телетайпа лезет вот такое вот сообщение. Неплохое начало для фильма ужосов.
Ну а поскольку часть пользователей его незапланированная активность раздражала, вскоре появился первый антивирус под названием «Reaper» («Жнец»). Он точно так же «ползал» по сети и беспощадно уничтожал обнаруженные копии «Крипера». Написал «Жнеца»… всё тот же Рэй Томлинсон. Фильм ужасов настал для самого Creeper.
Вот такая вот трогательная пастораль раннего киберпанка. А потом про это ещё и —
▍ Elk Cloner (1981 год)
Считающийся первым «настоящим» компьютерным вирусом Elk Cloner был уже совсем не столь благодушен, как дедушка Creeper. Его написал 15-летний Ричард Скрента, один из будущих основателей Open Directory Project. Тогда он учился в 9-м классе школы в родной Пенсильвании и любил делать гадости сверстникам, ломая их пиратские компьютерные игры через переписывание кода и заставляя вместо продолжения показывать «смешную» картинку.
Вскоре Ричарда
Ричард «Rich» Скрента любил троллить окружающих до того, как это стало мейнстримом
Elk Cloner поражал компьютеры Apple II и распространялся через дискеты c DOS. При обнаружении незаражённой дискеты поселившийся на компьютере «Клонировщик лосей» копировался на неё, записываясь в загрузочный сектор.
Каждую пятидесятую загрузку вирус выводил на экран угрожающее сообщение:
Elk Cloner: программа с индивидуальностью«Клонолось» мог поломать диск с DOS посредством затирания дорожек, если ОС была записана нештатно. Но то была не фича, а баг. Фичей же были отнюдь не только стишок: вопреки большинству публикаций, Elk Cloner делал разные досадные пакости, которые мешали нормальной работе на компьютере. Причём пакости были привязаны к числу запусков компьютера.
Он проникнет во все ваши диски
Он внедрится в ваши чипы
Да, это — Cloner!
Он прилипнет к вам как клей
И оперативную память он тоже подправит
Перешли Cloner
Каждую пятнадцатую и двадцать пятую загрузки — на экране начинал мигать или переворачивался текст. Каждую сороковую и семьдесят пятую загрузку компьютер зависал. Каждую десятую и шестьдесят пятую загрузку вирус учинял прочие сбои… в общем, подробнее можно ознакомиться в этой обстоятельной статье.
Сначала вирус заразил некоторые школьные машины, и учителя пытались обвинять Скренту во взломе кабинетов. Ну а как же этот хулиган ещё мог испортить компьютеры? Ну а потом понемногу распространился за пределы Пенсильвании. Заметили его всерьёз только в 1985 году, когда об Elk Cloner вышла статья в Scientific American. Настоящей эпидемии не случилось: для распространения вируса требовалось не такое уж частое событие, одновременная вставка двух дискет с DOS в дисководы Apple II.
Сам Скрента по сей день гордится своей программой: «Могу оправдаться лишь тем, что джинн в любом случае был бы выпущен. Но было интересно стать первым, кто это сделал :-)»
▍ Brain (1986 год)
Программа, вызвавшая первую «настоящую» вирусную эпидемию, создавалась отнюдь не как вирус. И пришла, как ни странно для середины 80-х годов, не из США, а из Пакистана.
Всё началось с того, что два брата-айтишника, 17-летний Базит и 24-летний Амджат Фарук Алви очень возмущались тем, что медицинский софт под IBM PC от их компании Brain, предназначенный для отслеживания сердечного ритма, пиратят все кому не лень. Они написали программу, которая распространялась через загрузочные сектора дисков и искала на компьютере нелицензионные копии продукции Brain.
В случае обнаружения таковой вирус от братьев Алви переписывал её фрагменты, а также замедлял скорость доступа к дискетам и частично мешал нормальному сохранению информации. На экране появлялась надпись:
Welcome to the Dungeon © 1986 Basit & Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES 730 NIZAB BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE :430791,443248,280530. Beware of this VIRUS… Contact us for vaccination… $#@%$@!!”
(Добро пожаловать в темницу! Базит и Амжад (частная компания) ООО BRAIN COMPUTER SERVICES: 730 Nizab Block, Аллама Икбал, Лахор, Пакситан. Телефоны: 430791,443248,280530. Берегитесь вируса. Для вакцинации свяжитесь с нами, @#$%!»).
Надпись в разных версиях вируса (братья совершенствовали своё творение) могла быть разной, в том числе с ироничным посвящением «Dedicated to the dynamic memories of millions of viruses who are no longer with us today» («посвящается динамической памяти миллионов вирусов, которых более нет с нами»). Что интересно, Brain умел «прятаться» от попыток обнаружения: при попытке чтения заражённого сектора он «подставлял» вместо себя незаражённый исходный код.
Не воруй софт братьев Алви, попивая пиво у себя в Беркли, юзернейм!
Спустя год только в США было заражено более 18 тысяч устройств. Увы, программа братьев работала не совсем корректно, и замедляла работу даже тех устройств, где не было их ломанных программ. А при попадании на компьютеры Apple могла даже блокировать запись на диск любой новой информации.
Хуже того, поползли слухи, что вирус удаляет файлы (чего он не умел, и вообще имел «заглушку» на работу с секторами жёстких дисков), и на Brain стали «сваливать» пропажу данных и файлов по разнообразным причинам. Честно указанные телефоны братьев оборвали разъярённые жертвы вируса, и их пришлось менять. А затем и отказаться от работы с медицинским софтом вообще.
Впрочем, братья Алви с тех пор всё равно преуспели в IT-сфере и ныне возглавляют крупный пакистанский интернет-провайдер Brain Telecommunications.
▍ Jerusalem (1987 год)
Первый по-настоящему злобный и злонамеренный вирус родился в Израиле. Его автор неизвестен до сих пор, и неудивительно: если братья Алви чудом избежали судебных исков от возмущённых пользователей, то создателя «вируса пятницы 13-е» при поимке заслуженно засудили бы на очень много лет и денег.
Впервые эту напасть обнаружили на компьютерах Еврейского университета в Иерусалиме в октябре 1987 года. Вероятно, создателя вдохновила популярная в 1980-е годы серия американских фильмов ужасов «Пятница, 13-е». Именно при таком сочетании дня недели и числа месяца вирус приводил в действие свой «главный калибр» и удалял, по разным источникам, то ли вообще всё, то ли только запускаемые в этот день программы. Видимо, для более надёжного и массового распространения в его «таймере» было прописано не активировать эту фичу в течение 1987 года. Впрочем, пакостил он далеко не только по пятницам 13-е.
Видео о работе Jerusalem:
«Иерусалим» распространялся через дискеты или вложенные файлы в электронной почте. Вирус работал по принципу логической бомбы. Он (вне зависимости от дня недели и даты) поражал исполняемые файлы, кроме command.com, и «раздувал» exe-файлы при каждом запуске на 1808-1823 байтов, пока они не увеличивались до необрабатываемого размера.
После тридцати минут работы заражённого компьютера происходило значительное замедление работы системы в целом посредством кода, который входит в цикл обработки каждый раз, когда активируется таймер процессора. А ещё на экране возникал характерный чёрный прямоугольник, «заслонявший» досовский текст.
Симуляция эффекта «чёрного ящика» от вируса Jerusalem
Свой главный удар Jerusalem нанёс в пятницу 13-го мая 1988 года, поразив около шести тысяч компьютеров по всему миру, удалив множество файлов и став одним из первых знаменитых компьютерных вирусов.
В целом «Иерусалим» эксплуатировал прерывания и другие низкоуровневые функции операционной системы MS-DOS, которые перестали быть актуальными после всё более массового перехода на Windows. Jerusalem и его варианты от подражателей исчезли к середине 1990-х годов. Автор вируса так и остался неизвестным.
▍ Червь Морриса (1988 год)
Зато имя автора первой глобальной вирусной атаки, которая едва не обрушила всю раннюю сеть, известно точно. И вошло в историю. Впрочем, он в общем-то не специально, так получилось.
Недавний выпускник Гарварда и Роберт Тэппен Моррис в 1988 году был аспирантом в Корнеллском университете, Нью-Йорк. Сын профессионального криптографа АНБ США, куда менее известной и куда более серьёзной и эффективной американской разведки, чем шумное и скандальное ЦРУ, решил написать самораспространяющегося по ARPAnet червя. Ну вот такие вот забавы у талантливых выпускников Гарварда были в то время.
О мотивах Моррис позже сообщал, что посредством червя хотел «измерить ARPAnet» и выяснить, сколько к ней на тот момент было подключено устройств. По поводу сугубой научности его замыслов до сих пор ходят споры, хотя подробнейший анализ дизассемблированного кода программы не показал никаких следов деструктивных функций. О технических подробностях устройства и функционирования червя Морриса можно почитать тут .
Запустил Моррис своё детище в путь по просторам ARPAnet тайком, из MIT, к которому не имел никакого отношения. Червь для распространения взламывал примитивные тогда почтовые пароли лихим перебором из заложенного словаря самых популярных вариантов плюс имя аккаунта прямо и в обратном порядке.
Моррис заранее продумал, как червь должен вести себя при появлении установленных администраторами ложных копий: в 14% случаев он при обнаружении себя на устройстве должен был прописывать себя всё равно. Вот только юный программист задал слишком короткие промежутки для проверки. Вместо периодического дублирования программа стала заниматься очень быстрым самокопированием в памяти устройств, наглухо забивая своими командами оперативную память.
2 ноября 1988 года стало днём ужаса. Подключённые к ARPAnet компьютеры один за другим стали выходить из строя. В течение пятнадцати часов было заражено более двух тысяч устройств, а на исправление последствий на каждой машине требовалось 2-3 дня. Могло быть и больше, но червь поражал только системы под управлением Berkeley Unix.
Часть узлов удалось спасти простым физическим отключением. Норвегия была спасена от заражения червём Морриса благодаря тому, что Пол Спиллинг, о котором мы уже писали, узнал о шухере по телефону от американских коллег и просто выдернул кабель. После чего стал известен в истории IT как человек, который сначала подключил Норвегию к интернету, а потом отключил.
Всего за одни сутки было поражено от двух до шести тысяч машин (иерусалимскому вирусу на такое потребовалось более полугода) и поставлена под угрозу почти вся тогдашняя всемирная сеть. Проверять пришлось более 42 тысяч узлов. Ущерб составил почти 100 миллионов долларов США, из которых примерно 2/3 были косвенным ущербом из-за простоя оборудования. Творение Морриса заслуженно назвали «Великим Червём» — эдаким Шай-Хулудом раннего интернета.
Моррис ужаснулся тому, что устроил, но никакого способа отозвать сошедшего с ума червя не было. К решению проблемы были экстренно подключены лучшие IT-специалисты США из MIT и Беркли, а также все специализирующиеся на компьютерных технологиях непростые ведомства вроде АНБ, DARPA и кучи военных лабораторий, которые все вместе только спустя несколько суток смогли разработать и реализовать меры противодействия и ликвидации червя.
Тем временем ЦРУ и ФБР, сбившись с ног, искали злоумышленника — и, видимо, только стремительное сворачивание холодной войны помешало появлению версии о коварной атаке советских хакеров (не существовавших в природе, но нет ничего невозможного для параноидального воображения спецслужб). Только вот Моррис был очень осторожен и следов не оставил — хотя в какой-то момент, на пике кризиса и основания глобальных масштабов своего косяка, позвонил другу и попросил передать анонимно идеи по борьбе с червём.
Моррис и журналисты
И так бы, возможно, создатель «Великого Червя» остался бы неизвестным. Но Моррис не выдержал и рассказал отцу. Отец Морриса, который в АНБ занимался не чем-нибудь, а IT-безопасностью компьютерных систем федерального правительства США, и очень хорошо понимал грандиозность шухера для всех ведомств и для всей национальной безопасности США, когда разоху… простите, пришёл в себя от эпичности сыновьего факапа и фубара, проявил суровость и бескомпромиссность. Роберт был вынужден признаться в содеянном, и предстал перед американским судом.
Поначалу ему грозило пять лет и 250 000 долларов штрафа — но суд проявил снисходительность и учёл отсутствие злонамеренного замысла. Моррис получил за глобальный дурдом три года условно, десять тысяч долларов штрафа и четыреста часов общественных работ в довесок. Ну а потом сделал вполне солидную карьеру в IT-сфере. Было бы странно иное.
А компьютерное сообщество только после этой истории осознало масштабы возможного трындеца, и срочно кинулось заниматься антивирусами. Что помогло отнюдь не сразу. Но это уже другая история и на следующий раз.
Telegram-канал и уютный чат для клиентов
Комментарии (11)
Chelidonium
17.09.2022 16:10+2вспоминаю про Dir1024 что завёлся у меня на ЕС-1841 в MS-DOS в 1992 году,
сотрудники бегали с гибкими дискетами 5,25" втыкая их куда ни попадя )
теперь они уже 30 лет вспоминают про эту историю, воспитавшую рефлекс
гигиены съёмных носителей.koresh_builder
17.09.2022 22:45+3Я бился с Onehalf 3544, на ес8321м2 болгарском.
Собака положил партишн на 20мб винте
Aggle
20.09.2022 04:21О! Dir1024! ЕС-1840, 1994. Перебор двух здоровых пластиковых контейнеров с дискетами, DJ сегодня работает на двух дисководах, громкая нецензурная брань). Вопрос бабушки:
-Что случилось, почему ругаешься?
-Да, бабуля, вирус компьютерный из института принёс.
-А я тебе сколько раз говорила - как с улицы приходишь, надо сразу руки с мылом мыть!
Alexey2005
18.09.2022 00:43А вот в старые времена, на заре всеобщей компьютеризации и интернетизации, вирусы были на слуху. Их боялись, их знали по именам, они учиняли бардак и дестрой, попутно глумясь над попавшими под удар бедолагами.
Основная проблема с вирусами в те времена была связана от тем, что у пользователя отсутствовала возможность как делать хоть сколько-то надёжные бэкапы, так и быстро «добывать» программы взамен уничтоженных. Потеря даже одного бинарника была катастрофой.
Это сейчас антивирус может спокойно позволить себе прибить заражённый файл, даже не разбираясь, что и как там накрутил вирус. А в те времена бинарники приходилось восстанавливать, «выкусывая» из них вирус, да ещё так, чтоб всё после этого работало.koresh_builder
18.09.2022 13:59+1Да, настолько, что бывало, у кореша берешь дискету с игрой, и он предупреждает, что она вирусом заражена, поиграешь - пройдись Adinfom или Aidstestom. После лечения не работает, а нормальной копии нет.
Maccimo
18.09.2022 01:14+1Для вакцинации свяжитесь с нами, @#$%!»
Так как это был DOS, то для вывода сообщения скорее всего использовалась int 21h, ah=09h. А зачит, если
#@%$
и выводилась на печать, то отдельно и без терминирующего доллара — это маркер окончания строки.
geher
18.09.2022 13:07Самый занятный вирус из древних мы называли три креста (по трем байтам подряд в коде, которым соответствовал соответствующий символ в знакогенераторе). Этот милый вирус не делал совершенно ничего, кроме одного лишь только размножения. Но зато как он размножался. В теории он должен был заражать только COM файлы, но заражал даже текстовые (так, будто это обычный COM). Причем заражал неограниченное количество раз. При запуске зараженного файла код вируса выполнялся столько раз, сколько раз этот файл был уже заражен, и каждый раз случайным образом выбирал еще один файл на любом из дисков компьютера и заражал его. В результате за достаточно короткое время, если не предпринимать никаких мер, диски могли забиться полностью, если было достаточное количество COM файлов, и они сохраняли после большого числа заражений работоспособность (по понятным причинам зараженный COM файл после достижения размера больше 64k "ломался").
galapagos
19.09.2022 08:58+2Как-то попался дисковод 5" и пачка дискет. Захотелось посмотреть что там. Полезли красавцы типа OneHalf. Вспомнился ужастик, как учённные вскрыли в антарктиде базу пришельцев с древними вирусами...
Dmitry_Dor