Что такое вирусная мистификация

1.4. Вирусные мистификации

Поскольку мы в Афганистане не так уж и продвинуты в технологиях, этот вирус следует исполнять вручную. Пожалуйста, перешлите это письмо всем, кого знаете, и уничтожьте все файлы на Вашем жестком диске собственноручно. Большое спасибо за помощь.

Абдулла, хакер из Талибана

Историю развития компьютерных систем нельзя назвать веселой. В первые годы антивирусы были несовершенны, а пользователи еще не владели достаточной информацией, но уже представляли, какую угрозу несут компьютерные вирусы. Вероятно, поэтому каждое сообщение о появлении нового вируса вызывало панику. Со временем у пользователей появился другой, не менее опасный синдром – вирусные мистификации. Хотя первые вирусные мистификации начали появляться приблизительно в 1988 году, а расцвет пришелся на конец 1990-х, рассказать об этом явлении стоит, так как мы не застрахованы от него и сегодня, когда скорость распространения любой информации на порядок выше.

Первой действительно удачной мистификацией следует считать вирус Good Times, появившийся в 1994 году в сети AOL. Все началось с того, что кто-то разослал сообщение с предупреждением: ни в коем случае нельзя было читать электронное письмо с заголовком Good Times. Это письмо якобы содержало страшный вирус, стирающий информацию на жестком диске. В послании говорилось, что о новом вирусе следует предупредить всех знакомых и сослуживцев. Затем шло подробное описание принципа действия вируса и способа избавиться от него. Стоит ли говорить о том, что такого вируса не существовало и в помине! Кстати, само письмо-предупреждение также имело заголовок Good Times.

Основные идеи Good Times используются и сегодня.

Другая мистификация, появившаяся в том же году, была запущена из меркантильных соображений. Некий Майк Рошенл отправил на несколько BBS-станций сообщения, в которых рассказал о появлении нового вируса, заражающего модемы, работающие на скорости 2400 бод. Народ поверил. В результате спрос и соответственно цены на более медленные модемы – 1200 бод – резко увеличились, а на более быстрые упали.

Следует, однако, отметить, что часто истерика возникала действительно из-за того, что кто-то находил вирус. Например, в 2001 году один из пользователей обнаружил, что файл sulfnbk.exe, лежащий в системной области, заражен вирусом – имеет подозрительное название и странный значок. Когда страсти утихли, выяснилось, что данный файл – это системная утилита, отвечающая за создание резервных копий файлов с длинными именами (название – от System Utility for Long FileName Backup – системная утилита для резервного копирования с сохранением длинных имен файлов), и у конкретного пользователя она действительно была заражена вирусом. Подобная история повторилась через год. Начавшись среди испаноговорящих пользователей Интернета в начале апреля 2002 года, мистификация быстро распространилась на англоговорящих к середине апреля. Под подозрение попал файл jdbgmgr.exe, принадлежавший пакету Visual J++ 1.1. И опять – сомнительный значок, непонятное название и действительно зараженный файл. Однако в данном случае, если пользователь не работал с пакетом Visual J++, работоспособность системы при удалении этого файла не нарушалась.

К чести вирусописателей, эта история не была забыта, и через некоторое время действительно появился вирус, имеющий именно такое имя файла.

В 2002 году появился новый вирус – Perrun (W32/Perrun-A, PE_PERRUN.A, Win32.Perrun, W32/Perrun, W32/Perrun.A), который неизвестные часто присылали на сайты антивирусных компаний, очевидно, как предупреждение: мол, мы и так можем. Этот вирус мог заражать графические файлы и текстовые файлы с расширением TXT. Новость подхватили информационные агентства, и народ, естественно, начал волноваться. При ближайшем рассмотрении оказалось, что для заражения файла и его последующего распространения необходима программа-кодировщик, которая фактически является вирусом и без которой данный вирус можно считать разве что шуткой.

Самая интересная и известная мистификация произошла в 1991 году. Ее автор Роберт Моррис сообщил, что стал жертвой нового вируса, распространяющегося по обычной электрической сети, и рассказал о мерах, которые необходимо принять для защиты от него. По словам Морриса, нельзя было делать следующие вещи:

• включать что-либо в электрические розетки;

• использовать батарейки (поскольку вирус пробрался на заводы по производству батареек и заразил все положительные клеммы готовой продукции);

• передавать друг другу файлы любыми способами;

• читать на компьютере текст, причем совершенно любой, даже сообщение самого Морриса;

• использовать последовательные порты, модемы, телефонные линии, процессоры, системную память, сетевое оборудование, принтеры, мониторы и клавиатуры;

• пользоваться электроприборами, газовыми плитами, водопроводом, огнем и колесным транспортом.

Хорошо, что многие сразу понимали, что это просто шутка.

Как видите, мистификации появляются от недостаточной компьютерной грамотности при огромном желании показать свои знания. Преклонение перед неизвестным часто порождает множество мифов. Чего стоят рассказы о том, что кактус способен защитить от компьютерного (а почему не мониторного?) излучения. Эта шутка появилась в каком-то журнале в номере за 1 апреля. Автор статьи подробно описал размер иголок кактуса, расстояние между ними, высоту и рекомендуемый вид колючего растения, а также наилучшее место для его расположения. Конечно, кактус на мониторе способен разве что улучшить настроение, но никак не остановить излучение.

Мистификации могут принести немалый вред. Перегружаются почтовые серверы, пользователи в панике удаляют системные файлы. Вера в мистификацию может нанести серьезный удар репутации человека или по крайней мере сделать его объектом насмешек: как же, мнил себя суперхакером, а оказался чайником, попавшимся на такую шутку. Кроме того, письма часто приходят с заполненными полями Копия и Кому, поэтому спамеры могут получить подарки в виде реально существующих адресов. Вирусные мистификации могут отвлечь внимание от принятия необходимых мер безопасности, так как после нескольких ложных предупреждений пользователи могут недооценить опасность реальных вирусов.

Как отличить мистификацию от реального вируса?

• Необходимо относиться с большим подозрением к письмам, полученным от неизвестных людей, с какими бы благими намерениями они ни обращались. Откуда у отправителя ваш электронный адрес? Может быть, из базы данных спама?

• Никогда не открывайте вложения к письмам от незнакомых отправителей, иначе у вас появится возможность на себе почувствовать то, о чем вы прочитали в предыдущем разделе.

• Если вы никогда не оставляли свои данные на специализированных сайтах и не регистрировали свою версию антивируса или подобной программы, то к любому письму, полученному от антивирусной лаборатории компании Microsoft или даже лично Била Гейтса, следует относиться с подозрением. С чего это они вдруг написали вам?

• Если письмо содержит подробную техническую информацию, отнеситесь к нему скептически. В описании Good Times говорилось, что процессор будет выведен из строя бесконечным циклом n-й сложности… Если вас просят удалить или запустить какой-то файл, без сомнений удаляйте письмо.

Большие компании дорожат временем, поэтому вместо описания проблемы они, скорее, ограничатся ссылкой на соответствующий сайт. Пусть вас не смущает, что в послании упоминаются известные антивирусные или правительственные организации. Если вы думаете, что вам действительно сообщают о чем-то важном, то, перед тем как начать паниковать, зайдите на сайт данной компании: среди новостей вы обязательно увидите предупреждение об опасности.

В Интернете есть несколько ресурсов, посвященных мистификациям. Самые популярные из них – сайт Роба Розенбергера (http://www.vmyths.com/hoax.cfm) и сайт охотников за мистификациями Hoaxbusters (http://hoaxbusters.ciac.org/).

И, конечно же, не забывайте о Google – на то он и поисковик, чтобы все знать!

Данный текст является ознакомительным фрагментом.

Джерри Брайан всегда знал, если что-то было не так в его церкви. Он узнавал об этом в ту же секунду, как открывал email от пастора. Как высокоуважаемый член церкви, и известный любитель техники, Джерри часто консультировался у пастора по техническим вопросам. Однако, в этом случае, пастор передавал серьезное предупреждение.

Михаил Разумов, по материалам SecurityFocus

Джерри Брайан всегда знал, если что-то было не так в его церкви. Он узнавал об этом в ту же секунду, как открывал email от пастора. Как высокоуважаемый член церкви, и известный любитель техники, Джерри часто консультировался у пастора по техническим вопросам. Однако, в этом случае, пастор передавал серьезное предупреждение.

Секретарь в его церкви получила email от друга, который испугал ее:

У меня плохие новости. Мне только что сообщили, что моя адресная книга заражена вирусом. В результате, ваша тоже заражена, так как ваш адрес есть в моей книге. Вирус называется jdbgmgr.exe. Его нельзя обнаружить с помощью антивирусных программ. Он не проявляет себя в течение примерно 14 дней перед тем, как уничтожить систему. Он посылается автоматически по всем адресам адресной книги, независимо от того, посылаете ли вы email. Хорошие новости состоят в том, что от него легко избавиться!

Просто проделайте следующие простые шаги, у вас не будет никаких проблем.

1. Нажмите Start, затем Find или Search

2. В files/folders, напишите имя jdbgmgr.exe

4. Нажмите Find или Search

5. Вирус имеет иконку медвежонка с именем jdbgmgr.exe – НЕ ОТКРЫВАЙТЕ ЕГО.

6. Нажмите на нем правой кнопкой мыши и удалите его

7. Зайдите в Recycle Bin, и удалите его там тоже

ЕСЛИ ВЫ НАШЛИ У СЕБЯ ВИРУС, ВЫ ДОЛЖНЫ ПРЕДУПРЕДИТЬ ВСЕХ В ВАШЕЙ АДРЕСНОЙ КНИГЕ.

Извините за неприятности, но это произошло безо всякого моего вмешательства. Я получил его из чьей-то адресной книги.

После получения этого email, секретарь посмотрела и убедилась, что jdbgmgr.exe находится на ее диске! У нее вирус! Она вызвала людей из технической поддержки церкви и стала проверять остальные компьютеры в здании. Все они были заражены! jdbgmgr.exe был везде! Уже практически началась массовая процедура по удалению вируса, как Джерри пришел к пастору хорошими новостями. Церковь не стала жертвой вируса. Она стала жертвой мистификации jdbgmgr.exe.

Начавшись среди испаноговорящих пользователей Сети в начале апреля 2002 г., мистификация быстро распространилась на англоговорящих в середине апреля. В настоящее время встречается и на русском языке. Никто не знает, сколько людей попалось на нее, но все это продолжается до сих пор. К сожалению, когда люди удаляют jdbgmgr.exe, они удаляют не злонамеренный вирус, а системный файл, помещенный в их систему компанией Microsoft.

Microsoft разъясняет в статье Knowledge Base, что jdbgmgr.exe – это "Microsoft Debugger Registrar for Java". К счастью, если вы удалили этот файл, вы вряд ли причинили себе вред, если только вы не используете Microsoft Visual J++ 1.1 для разработки программ, написанных на языке программирования Java. А если вы являетесь таковым разработчиком, следуйте инструкциям, данным на веб-странице Microsoft.

Вирусная мистификация jdbgmgr.exe не является единственным инцидентом. В действительности, существовало несколько вспышек вирусных мистификаций в последние годы. Например, мистификация "Budweiser Frogs screensaver" в 1997 г. Этот email предупреждал людей о screen saver Bud frogs, если вы скачаете который, вы потеряете все данные на жестком диске, и в то же время кто-то в Интернет получит ваше имя пользователя и пароль. Конечно, ничего подобного не происходило при запуске этого screen saver. Вы могли покрыться холодным потом, получив это письмо, но с вашим компьютером ничего бы не случилось. Логическая несовместимость потери всех данных на жестком диске и пересылки вашего имени с паролем кому-то в Интернет, похоже, никогда не посещала умы жертв этой мистификации.

Другая мистификация, которая напугала людей, была так называемым вирусом "Virtual Card for You" в 2000 г. Жертвы предупреждались через email, что только что был обнаружен новый вирус, который классифицирован Microsoft (www.microsoft.com) и McAfee (www.mcafee.com), как наиболее разрушительный, чем когда-либо до этого. Далее следовали подробности:

Вирус действует следующим способом: Он автоматически посылает свои копии всем получателям в вашем списке контактов с темой "A Virtual Card for You".

После того, как эта виртуальная карточка открывается, компьютер зависает, и пользователю приходится перезагрузиться. При нажатии комбинации клавиш ctrl+alt+del, или нажатии кнопки reset, вирус уничтожает нулевой сектор, разрушая таким образом жесткий диск.

Пожалуйста, разошлите это сообщение всем, кому сможете. Вчера, всего за несколько часов, этот вирус вызвал панику в Нью-Йорке, согласно сообщениям CNN (www.cnn.com).

Ничего из этого email не было правдой. Не было никакого вируса, CNN не распространяла никакого предупреждения, и не было никакой паники в Нью-Йорке (Возможно ли, чтобы небольшой компьютерный вирус вызвал панику в Нью-Йорке?! Должно случиться что-то серьезное, чтобы в Нью-Йорке возникла паника – например нехватка сыра, или гигантская горилла на вершине Empire State Building.). Тем не менее, тысячи людей верили в это, и электронное послание продолжало распространяться.

Хотя вирусные мистификации стали появляться еще с 1988 года, дедушкой из всех считается Good Times virus, первая действительно удачная вирусная мистификация. Она начала свою жизнь в 1994 г. в AOL, и проявляется до сих пор. Ее потомков – легион, так как множество других мистификаций скопировали подходы Good Times. В этом смысле, его можно считать наиболее влиятельной вирусной мистификацией. Содержание ее следующее:

Какой-то злоумышленник рассылает email с заголовком "Good Times", если вы получите что-то вроде этого, НЕ ЗАГРУЖАЙТЕ ФАЙЛ!

Он содержит вирус, который перезаписывает ваш жесткий диск, стирая с него всю информацию. Пожалуйста, будьте осторожны и перешлите это письмо всем, о ком вы беспокоитесь. FCC выпустила предупреждение в прошлую среду, касающееся вопроса особой важности для обычных пользователей Интернет. Вероятно, пользователем AMERICA ON LINE был сконструирован новый компьютерный вирус, который является беспрецедентным в своей разрушительной способности. Как говорит FCC, настолько ужасающим делает вирус тот факт, что не требуется пересылать программу на новый компьютер для его заражения. Вирус может распространяться через существующие email системы Интернет.

После заражения компьютера может случиться несколько событий. Если компьютер имеет жесткий диск, он наверняка будет уничтожен. Если программа не будет остановлена, процессор компьютера будет загружен бесконечным бинарным циклом n-й сложности – что может сильно повредить процессор, если продлится слишком долго. К сожалению, большинство компьютерных новичков не поймут, что происходит, пока не будет слишком поздно. К счастью, существует один надежный способ обнаружения того, что называется "Good Times" вирус. Он всегда распространяется на другие компьютеры одним и тем же способом в текстовом сообщении с темой "Good Times". Избежать заражения после получения сообщения легко, просто НЕ ОТКРЫВАЙТЕ ЕГО! Процесс загрузки файла в ASCII буфер почтового сервера приводит к инициализации и запуску основной программы "Good Times".

Эта программа высокоинтеллектуальна – она разошлет свои копии всем адресатам, каких найдет в receive-mail и sent-mail. Затем она начнет уничтожать компьютер, на котором будет запущена.

Итого таков: если вы получите сообщение с темой "Good Times", удалите его немедленно! Не читайте его. Проверено, что не зависимо от того, кто указан в поле "From", письмо заражено вирусом. Предупредите своих друзей и пользователей вашей системы о самой новой угрозе в Интернет! Это поможет сохранить им множество времени и денег.

********ВАЖНО******* ПОЖАЛУЙСТА, РАЗОШЛИТЕ ЭТО ПИСЬМО ВСЕМ, О КОМ ВЫ БЕСПОКОИТЕСЬ

Мистификация Good Times была довольно забавной. Зачастую системные администраторы получали письмо и немедленно рассылали его всем сотрудникам своих компаний, предупреждая сотрудников не открывать email с темой "Good Times". Конечно, email, предупреждающий людей не открывать сообщение с "Good Times" в его теме, само имело в теме "Good Times"! Это не наносило никакого вреда компьютерам, но приводило к серьезным случаям разногласий по всей Америке.

Итак, почему люди попадаются на эти мистификации? По большей части ответ состоит в благородном желании помочь другим. Кто не захочет предупредить других об опасности? И ведь это так просто послать предупреждение сотням людей одновременно: несколько нажатий, и вы спасли ваших друзей от вируса!

Итак, почему люди попадаются на эти мистификации? По большей части ответ состоит в благородном желании помочь другим. Кто не захочет предупредить других об опасности? И ведь это так просто послать предупреждение сотням людей одновременно: несколько нажатий, и вы спасли ваших друзей от вируса!

И, если предупреждение приходит не от незнакомца, а от друга или знакомого, как случилось с предупреждением о jdbgmgr.exe, пришедшим по email, тогда вероятность стать жертвой мистификации возрастает.

Вирусные мистификации не являются реальными вирусами по определению, но это не означает, что они не имеют отрицательных последствий. В действительности, вирусные мистификации могут приносить вред несколькими способами.

Во-первых, вполне возможно, что мистификация причинит реальный вред вашему компьютеру. Сам email не сможет причинить вред. Вместо этого он может убедить вас причинить вред своему компьютеру, как показывает история о jdbgmgr.exe. Люди в церкви Джерри Брайана были готовы удалить файлы со своих компьютеров, которые в действительности не нужно было удалять. К счастью, этот файл им вряд ли был нужен, но что может случиться в следующий раз? Что, если автор мистификации будет иметь более злые намерения и проинструктирует доверчивых получателей удалить ключевой системный файл или директорию?

Во-вторых, вирусные мистификации приводят к растрате ресурсов. Жертва теряет ценное время на этот мусор, а время – это деньги. Люди, посылающие письма друзьям, семье и коллегам, наносят урон пропускной способности Интернет и почтовых серверов. Поскольку эти email обычно приходят заполненные адресами в полях "To" и "CC", спамеры рассматривают эти предупреждения как бесплатные подарки, состоящие из реальных email адресов, которые они могут использовать, давая свой вклад в проблему растраты ресурсов. Так что помните: если вы пересылаете это предупреждение о вирусе, вы умножаете вышеуказанный ущерб пропорционально количеству адресатов вашей адресной книги.

Наконец, вирусные мистификации могут ослаблять систему безопасности. Как? Вирусные мистификации могут подорвать внимание, которое конечные пользователи уделяют мерам безопасности. В результате, пользователи могут запустить меры безопасности, недооценивая опасность реальных вирусов из-за частых ложных предупреждений, вызванных мистификациями.

Существуют определенные признаки, которые указывают, когда предупреждение о вирусе – обман. Имея здравый смысл и здоровую долю скептицизма, вы можете помочь сделать Интернет лучше, помогая останавливать мистификации до того, как они распространятся.

То, что письмо приходит от вашего друга, не означает, что оно верно. Даже если он работает в Microsoft. И даже если в письме упоминается FCC, ФБР, известный производитель антивируса, или какое-либо другое правительственное агенство или компания, это не делает его более правдивым. Просмотрите Web сайты упомянутых в письме организаций, прежде чем поверить тому, что вы прочитали. Далее, сходите на Google и сделайте поиск по имени вируса: вы сразу можете получить результат, показывающий, реальный это вирус, или мистификация.

Если email имеет много восклицательных знаков, либо слов или фраз, написанных ЗАГЛАВНЫМИ БУКВАМИ, это наверняка ложь. Реальные предупреждения безопасности от уважаемых организаций не используют таких методик. В то время как создатели вирусных мистификаций используют такие методики, так как знают, что люди подвержены эмоциям. Если email нажимает на эмоции, но не предлагает реальных подтверждений, это фальсификация.

Но что делать, если вы получите email, который кажется правдивым? Не паникуйте. И не рассылайте его по всей планете. Сначала проверьте его. Спросите тех. отдел вашей компании. Если нет такой возможности, существует несколько превосходных ресурсов в Интернет, которые помогут вам проверить правдивость вирусного предупреждения.

Все ведущие антивирусные компании имеют страницы про мистификации. В частности, Kaspersky Lab, производитель антивируса Касперского (http://www.viruslist.com/index.html?tnews=1005), Symantec, производитель Norton Anti-Virus (http://www.symantec.com/avcenter/index.html), и McAfee (http://vil.mcafee.com/hoax.asp) имеют своевременную информацию, которая поможет вам отделить правду ото лжи. Два известных сайта, которые всесторонне охватывают эти мистификации – Vmyths.com: Hoaxes A-Z и Snopes.com.

В заключение, у меня для вас плохие новости. Я должен предупредить своих читателей о появлении нового вируса. Серьезно! Этот реален, и я советую вам поспешить и принять соответствующие меры. Я получил сегодня по email следующее страшное предупреждение и должен передать его вам, чтобы вы смогли защититься. Перешлите его своим друзьям, и мы вместе сможем предотвратить эту угрозу до того, как она поставит мир на колени!

Если вы получите email с темой "Badtimes", немедленно УДАЛИТЕ ЕГО, НЕ ЧИТАЯ. Это самый разрушительный вирус, что когда-либо существовал.

Он не только полностью перезапишет ваш жесткий диск, но и переберется на любые диски рядом с вашим компьютером. Также он размагнитит ленты на ваших кредитных картах. Он сместит трекинг на вашем видеомагнитофоне, и используя подпространственные полевые гармоники, поцарапает все CD, которые вы попытаетесь проиграть. Он перекалибрирует настройки охлаждения вашего холодильника, так что все мороженое растает, а все молоко свернется. Он даст вашему бывшему другу/подруге ваш новый номер телефона. Этот вирус подмешает антифриз в ваш аквариум с рыбами. Он выпьет все ваше пиво. Он даже бросит свои грязные носки на кофейный столик, когда вы поджидаете друзей.

Он спрячет ключи от вашей машины, когда вы опаздываете на работу, и вмешается в работу вашего автомобильного радиоприемника, так что вы будете слышать только треск, когда застрянете в пробке. После запуска "Badtimes", вас начнут мучить ночные кошмары. Он заразит вас стригущим лишаем. Если сообщение "Badtimes" будет открыто в среде Windows95, он оставит поднятым сиденье туалета и оставит ваш фен включенным в опасной близости с полной ванной.

Теоретические основы создания компьютерных вирусов были заложены в 40-х годах прошлого столетия американским ученым Джоном фон Нейманом (John von Neumann ), который также известен как автор базовых принципов работы современного компьютера. Впервые же термин вирус в отношении компьютерных программ применил Фред Коэн (Fred Cohen). Это случилось 3 ноября 1983 года на еженедельном семинаре по компьютерной безопасности в Университете Южной Калифорнии (США), где был предложен проект по созданию самораспространяющейся программы, которую тут же окрестили вирусом. Для ее отладки потребовалось 8 часов компьютерного времени на машине VAX 11/750 под управлением операционной системы Unix и ровно через неделю, 10 ноября состоялась первая демонстрация. Фредом Коэном по результатам этих исследований была опубликована работа " Computer Viruses : theory and experiments" 1 F. Cohen. Computer Viruses : theory and experiments // DOD / NBS 7th Conference on Computer Security (1984). Также опубликована в ряде изданий, в том числе в Computers and Security, 1987 - vol. 6#1 - p. 22-35 с подробным описанием проблемы.

Поскольку рассматриваемые вирусы - это по сути компьютерные программы, то об их истории можно говорить только начиная с появления компьютеров, то есть с 1946 года, когда в США была выпущена первая электронно-вычислительная машина (ЭВМ) - ENIAC (Electronic Numerical Integrator And Computer ). Однако до появления в 1960 году коммерческих компьютеров, доступ к ЭВМ был сильно ограничен и вирусных инцидентов зафиксировано не было.

Первый известный вирус был написан для компьютера Univac 1108 (конец 1960-х - начало 1970-х годов). Он назывался Pervading Animal и фактически представлял собой игру, написанную с ошибкой - с помощью наводящих вопросов программа пыталась определить имя животного, задуманного играющим. Ошибка заключалась в том, что при добавлении новых вопросов модифицированная игра записывалась поверх старой версии плюс копировалась в другие директории. Следовательно через некоторое время диск становился переполненным. Поскольку Pervading Animal не был настоящим вирусом, он не содержал процедуры самораспространения и передавался исключительно через пользователей, желающих по собственной воле переписать программу.

В 1969 году в США была создана первая глобальная компьютерная сеть , прародитель современной Интернет , ARPANET 2 Проект ARPANET был закрыт в июне 1990 года ( Advanced Research Projects Agency Network ). Она объединяла четыре ведущих научных центра США и служила для быстрого обмена научной информацией. Не удивительно, что уже в начале 1970-х в ARPANET появился первый вирус , умеющий распространяться по сети. Он назывался Creeper и был способен самостоятельно выйти в сеть через модем и сохранить свою копию на удаленной машине. На зараженных компьютерах вирус обнаруживал себя сообщением "I'M THE CREEPER: CATCH ME IF YOU CAN ". Для удаления назойливого, но в целом безобидного вируса неизвестным была создана программа Reaper. По сути это был вирус , выполнявший некоторые функции, свойственные антивирусу: он распространялся по компьютерной сети и в случае обнаружения на машине вируса Creeper, уничтожал его.

В это время компьютеры использовались исключительно в промышленных целях - они занимали целые этажи, были очень дороги и сложны в эксплуатации, время работы на них было расписано по минутам. Выпуск персональных компьютеров, то есть таких, которые могли быть приобретены отдельными людьми и использованы в личных целях, был налажен в конце 70-х - начале 80-х годов прошлого века. Это были персональные компьютеры Apple и IBM Personal Computer . Однако с развитием компьютерной техники прогрессировали и компьютерные вирусы . В 1981 году были зафиксированы случаи заражения Elk Cloner, который распространялся через пиратские копии компьютерных игр. Поскольку жестких дисков тогда еще не было, он записывался в загрузочные сектора 3 Загрузочный сектор - это первый сектор логического диска (на дискетах совпадает с первым физическим сектором). Он содержит программу-загрузчик, отвечающую за запуск операционной системы дискет и проявлял себя переворачиванием изображения на экране и выводом текста:

В 1984 году вышли в свет первые антивирусные программы - CHK4BOMB и BOMBSQAD. Их автором был Энди Хопкинс (Andy Hopkins). Программы анализировали загрузочные модули и позволяли перехватывать запись и форматирование , выполняемые через BIOS 4 BIOS (сокр. от англ. Basic Input-Output System - базовая система ввода-вывода) - это первая программа, которая начинает выполняться после включения компьютера и служит для тестирования и подготовки к загрузке операционной системы (или другого программного обеспечения). BIOS предоставляет другим устройствам компьютера стандартный путь для общения друг с другом и хранится в энергонезависимой памяти на материнской плате в системном блоке. На то время они были очень эффективны и быстро завоевали популярность.

Первую настоящую глобальную эпидемию вызвал в 1986 году вирус Brain. Он был написан двумя братьями-программистами Баситом Фарук и Амжадом Алви (Basit Farooq Alvi и Amjad Alvi) из Пакистана с целью определения уровня компьютерного пиратства у себя в стране: вирус заражал загрузочные сектора, менял метку диска 5 Под меткой диска обычно понимается присвоенное данному ПЗУ собственное имя на "(c) Brain" и оставлял сообщение с именами, адресом и телефоном авторов. Отличительная черта Brain - умение подставлять незараженный оригинал вместо реальных данных при попытке просмотра пользователем инфицированного загрузочного сектора (так называемая стелс-технология). В течение нескольких месяцев программа вышла за пределы Пакистана и к лету 1987 года эпидемия достигла глобальных масштабов. Ничего деструктивного вирус не делал.

В этом же году произошло еще одно знаменательное событие. Немецкий программист Ральф Бюргер (Ralf Burger) открыл возможность создания программой своих копий путем добавления своего кода к выполняемым DOS -файлам формата COM . Опытный образец программы, получившей название Virdem, был продемонстрирован на форуме компьютерного андеграунда - Chaos Computer Club (декабрь 1986 года, Гамбург, ФРГ). По результатам исследований Бюргер выпустил книгу " Computer Viruses . The Disease of High Technologies", послужившую толчком к написанию тысяч компьютерных вирусов, частично или полностью использовавших описанные автором идеи.

В следующем 1987 году был написан первый по -настоящему вредоносный вирус - Lehigh. Он вызвал эпидемию в Лехайском университете (США), где в то время работал Фред Коэн. Lehigh заражал только системные файлы COMMAND . COM и был запрограммирован на удаление всей информации на инфицированном диске. В течение нескольких дней было уничтожено содержимое сотен дискет из библиотеки университета и личных дискет студентов. Всего за время эпидемии было заражено около четырех тысяч компьютеров. Однако за пределы университета Lehigh не вышел.

Mike RoChenle - псевдоним автора первой известной вирусной мистификации. В октябре 1988 года он разослал на станции BBS 6 BBS (сокр. от англ. Bulletin Board System - система досок объявлений) - это публичная электронная доска объявлений, которая обеспечивала быстрый обмен информацией между даже самыми отдаленными точками планеты большое количество сообщений о вирусе, который передается от модема к модему со скоростью 2400 бит/с. В качестве панацеи предлагалось перейти на использование модемов со скоростью 1200 бит/с. Как это ни смешно, многие пользователи действительно последовали этому совету.

В ноябре 1988 года случилась глобальная эпидемия червя Морриса 7 По способу размножения и типу вредоносной нагрузки все компьютерные вирусы делятся на вирусы, черви и трояны. Подробнее об этом будет рассказано в следующей главе . Небольшая программа , написанная 23-летним студентом Корнельского университета (США) Робертом Моррисом, использовала ошибки в системе безопасности операционной системы Unix для платформ VAX и Sun Microsystems. С целью незаметного проникновения в вычислительные системы, связанные с сетью ARPANET , использовался подбор паролей (из списка, содержащего 481 вариант). Это позволяло маскироваться под задачу легальных пользователей системы. Однако из-за ошибок в коде безвредная по замыслу программа неограниченно рассылала свои копии по другим компьютерам сети, запускала их на выполнение и таким образом забирала под себя все сетевые ресурсы. Червь Морриса заразил по разным оценкам от 6000 до 9000 компьютеров в США (включая Исследовательский центр NASA 8 National Aeronautics and Space Administration - Национальное управление США по аэронавтике и исследованию космического пространства ) и практически парализовал их работу на срок до пяти суток. Общие убытки были оценены в минимум 8 миллионов часов потери доступа и свыше миллиона часов прямых потерь на восстановление работоспособности систем. Общая стоимость этих затрат оценивается в 96 миллионов долларов. Ущерб был бы гораздо больше, если бы червь изначально создавался с разрушительными целями. Роберт Моррис также стал первым человеком, осужденным за написание и распространение компьютерных вирусов - 4 мая 1990 года состоялся суд, который приговорил его к 3 годам условно, 400 часам общественных работ и штрафу в 10 тысяч долларов США.

Примечательно, что в том же году, когда случилась эпидемия червя Морриса, известный программист Питер Нортон (Peter Norton) высказался резко против существования вирусов. Он официально объявил их несуществующим мифом и сравнил со сказками о крокодилах, живущих в канализации Нью-Йорка. Это показывает сколь низка была культура антивирусной безопасности в то время.

Тогда же, в 1988, вышла первая широко известная антивирусная программа , написанная английским программистом Аланом Соломоном (Alan Solomon) и называлась Dr. Solomon's Anti-Virus Toolkit. Она завоевала огромную популярность и просуществовала вплоть до 1998 года, когда компания Dr. Solomon была поглощена другим производителем антивирусов - американской Network Associates (NAI).

В декабре 1989 года разразилась первая эпидемия троянской программы - Aids Information Diskette . Ее автор разослал около 20000 дискет с вирусом по почтовым адресам в Европе, Африке и Австралии, похищенным из баз данных Организации всемирного здравоохранения и журнала PC Business World. После запуска вредоносная программа автоматически внедрялась в систему, создавала свои собственные скрытые файлы и директории и модифицировала системные файлы. Через 90 загрузок операционной системы все файлы на диске становились недоступными, кроме одного - с сообщением, предлагавшим прислать $189 на указанный адрес . Автор трояна, Джозеф Попп (Joseph Popp), признанный позднее невменяемым, был задержан в момент обналичивания чека и осужден за вымогательство. Фактически, Aids Information Diskette - это первый и единственный вирус , для массовой рассылки, использовавший настоящую почту.

В том же году был обнаружен вирус Cascade, вызывающий характерный видеоэффект - осыпание букв на экране. Примечателен тем, что послужил толчком для профессиональной переориентации Евгения Касперского на создание программ-антивирусов, будучи обнаруженным на его рабочем компьютере. Уже через месяц второй инцидент ( вирус Vacsina) был закрыт при помощи первой версии антивируса -V, который несколькими годами позже был переименован в AVP - AntiViral Toolkit Pro.

Вскоре после этого, в конце 1990, несмотря на громкое заявление Питера Нортона, прозвучавшее двумя годами ранее и где он авторитетно заявлял о надуманности проблемы вирусов, вышла первая версия антивирусной программы Norton AntiVirus.

Первый общедоступный конструктор вирусов VCL ( Virus Creation Laboratory), представляющий собой графическую среду для разработки вирусов для операционной системы MS DOS , появился в июле 1992 года. Начиная с этого момента, любой человек мог легко сформировать и написать вирус . Этот год также положил начало эпохи вирусов для Windows - был создан первый вирус , поражающий исполняемые файлы Microsoft Windows 3.1. Однако поскольку Win.Vir эпидемии не вызвал, его появление осталось практически незаметным.

OneHalf, очень сложный вирус , обнаруженный в июне 1994 года, вызвал глобальную эпидемию во всем мире, в том числе в России. Он заражал загрузочные сектора дисков и COM /EXE-файлы, увеличивая их размер на 3544, 3577 или 3518 байта, в зависимости от модификации. При каждой перезагрузке зараженного компьютера зашифровывались два последних незашифрованных ранее цилиндра жесткого диска. Это продолжалось до тех пор, пока весь винчестер не оказывался зашифрованным. Встроенная стелс-процедура позволяла вирусу при запросе зашифрованной информации производить расшифровку на лету - следовательно, пользователь долгое время пребывал в неведении. Единственным визуальным проявлением вируса было сообщение " This is one half . Press any key to continue . ", выводившееся в момент достижения количеством зашифрованных цилиндров диска половины от их общего числа. Однако при первой же попытке лечения, после вылечивания загрузочных секторов диска, вся информация на винчестере становилась недоступной, без возможности восстановления. Популярности этого вируса в России поспособствовала компания Доктор Веб, которая выпустила новую версию своего антивируса, анонсировав его как средство от OneHalf. Однако на практике после лечения загрузочных секторов от этого вируса, Dr. Web забывал расшифровать информацию на диске и восстановить ее было уже невозможно.

Следующий год запомнился инцидентом в корпорации Microsoft. В феврале 1995 года, в преддверии выпуска новой операционной системы Windows 95 , была разослана демонстрационная дискета, зараженная загрузочным вирусом Form . Копии этого диска получили 160 бета-тестеров, один из которых не поленился провести антивирусную проверку. Вслед за Microsoft отличились журналы PC Magazine (английская редакция) и Computer Life , которые разослали своим подписчикам дискеты, зараженные загрузочными вирусами Sampo и Parity_Boot соответственно.

В августе 1995 появился Concept - первый вирус , поражавший документы Microsoft Word .

В том же 1995 году, в бесплатном приложении полуподпольного издания известного специалиста в области компьютерных вирусов Марка Людвига ( Mark Ludwig) "Underground Technology Review ", был приведен исходный код 9 Исходный код - это текст программы, написанный на языке программирования, но еще не переведенный в машинный - исполняемый код. Такой текст можно легко править и переписывать по своему усмотрению, в отличие от уже скомпилированной программы вируса Green Stripe, который заражал документы AmiPro, популярного в то время текстового редактора.