Да и описания вирусов в популярных компьютерных изданиях будут неполными, если не упоминать историю создания и появления вирусов. Это особенно характерно для самого консервативного класса компьютерных вирусов — загрузочных.
ЛИЧНОСТЬ СОЗДАТЕЛЯ ВИРУСА
В те далекие времена (9—10 лет тому назад…), когда появлялись первые компьютерные вирусы, удавалось устанавливать личности вирусописателей (хотя бы некоторых). Например, история донесла до нас имена авторов вируса «Душманские мозги» — это Basit Farood Alvi (19 лет, в те времена, конечно) и Bruder Amgad (23 года) из Лахора (Пакистан).
Через пару-тройку лет, когда каждый уважающий себя студент начал создавать вирусы, наступил период анонимности. Вирусы появлялись сотнями, но они были безликими и похожими друг на друга. Многие вирусы отличались несколькими командами либо их простой перестановкой. Создание вирусов было поставлено на поток, и, к сожалению, борьба с вирусами также была поставлена на поток. Сейчас ведущие вирусологи при описании вирусов отделываются двумя-тремя общими фразами.
Наступление эры глобальных компьютерных сетей позволило ведущим вирусописателям заявить о себе громкими кличками. В глубинах электронной виртуальной реальности издаются вирусные газеты и журналы, проводятся конференции по созданию вирусов.
МЕСТО СОЗДАНИЯ ВИРУСА
Несколько географических мыслей.
Конечно, если точно известно место (город, страна) создания вируса, это и указывается в истории вируса. Эта информация может в некоторых случаях носить даже энциклопедический характер. Например, сильно ли вас заинтересуют особенности инфицирования флоппи-дисков вирусом Loa Duong? А вот из истории вируса вы сможете узнать, что Loa Duong (Ляо-Дун) — залив и образующий его полуостров на северо-востоке Китая. На его берегу расположен г. Люй-Шунь (Порт-Артур).
Но наиболее интересным является общий географический анализ. Исследуя тенденции происхождения всех классов компьютерных вирусов, интересно отметить следующую закономерность. Файловые вирусы имеют, в основном, западное происхождение, а загрузочные в основном восточное (Индия, Индонезия, Новая Зеландия, Пакистан, Сингапур, Тайвань, Южная Корея). Как и в религиях мирового масштаба, в компьютерной вирусологии нашлось место для менталитета человеческого социума.
В настоящее время загрузочные вирусы принято делить на четыре группы: итальянскую, пакистанскую, новозеландскую и индийскую. Конечно, надо понимать, что в данном случае название географического места вовсе не означает, что все вирусы группы написаны именно там. В этих регионах созданы первые загрузочные вирусы, алгоритмы которых носили свои особенности и используются сейчас в качестве основных. Понятно, что вирус может быть создан в деревне Гадюкино, но отнесен в новозеландскую группу.
Итальянская группа представлена загрузочными вирусами, (в основном) демонстрирующими интересные визуальные эффекты. Например, во время работы на экране компьютера пользователя в текстовом режиме появляется хаотически движущееся светлое пятно (мячик). Первым и наиболее распространенным представителем этой группы является вирус Ping-Pong. Он появился на Западе примерно в конце 1987 г. Пик эпидемии в бывшем СССР наблюдался в сентябре 1989 г.
Представители пакистанской группы вирусов отличаются тем, что они не инфицируют жесткий диск компьютера, заражая только дискеты. Типичным вирусом этой группы является вирус Brain (Душманские мозги). Оригинальная версия этого вируса является первым загрузочным вирусом для MS-DOS, получившим массовое распространение. Вирус был выявлен в США в октябре 1987 г., где он вызвал настоящую эпидемию. В эту группу также можно отнести вирусы «Hard Disk Brain», «Houston Virus», «Brain-86», «Ashar», «Den Zuk».
Для новозеландской группы характерно заражение Master Boot Record жесткого диска и минимальный хвост, размером в один сектор. Хвост содержит только оригинальный загрузчик, который размещается не в псевдосбойном кластере, а по определенному абсолютному адресу. Также особенностью вирусов данной группы является заражение жесткого диска сразу после инсталляции в оперативную память — до передачи управления стандартному загрузчику, а не после, как это делает большинство вирусов других групп. Родоначальником группы признан вирус Stoned (Забалдевший). Впервые был обнаружен в Веллингтоне (Новая Зеландия) в начале 1988 г. и быстро распространился в Азии, а затем в США и Европе. Исторически считается, что это первый загрузочный вирус, поражавший MBR. В СССР появился в конце 1989 г. практически одновременно в нескольких городах.
Индийская группа зародилась благодаря «деятельности» вирусописателя, жившего в свое время (живущего?) в Бомбее (Индия). Типичный представитель группы — вирус Joshi (Джоши). Впервые был обнаружен в Индии в июне 1990 г. У нас появился уже в июле того же года. Однако первым известным индийским вирусом был вирус PrintScreen (Печать экрана), обнаруженный в Бомбее в ноябре 1989 г. Невилем Булсара (Neville Bulsara).
ДАТА СОЗДАНИЯ ВИРУСА
Обычно самые «дисциплинированные» вирусописатели обязательно оставляют в коде вируса дату его создания (либо неявное указание на эту дату). Но чаще, конечно, в описаниях к данному вирусу фиксируется дата (период) его первого появления. Эта дата позволяет в дальнейшем определить и проанализировать основные этапы миграции вируса по планете, а затем попытаться спрогнозировать его следующее появление.
ИСКОПАЕМЫЕ И МИФИЧЕСКИЕ ЗАГРУЗОЧНЫЕ ВИРУСЫ
Вот такие интересные определения уже существуют в компьютерной вирусологии.
ИСКОПАЕМЫЕ загрузочные вирусы практически полностью уничтожены и представляют, в основном, исторический интерес. Как правило, это вирусы «первой волны», которые были полностью уничтожены первыми антивирусными программами, в живом виде сейчас не существуют и присутствуют, может быть, в коллекциях некоторых вирусологов. Здесь можно упомянуть о некоторых из них.
Alameda (неформальные названия — Merritt, Peking, Seoul, Yale) — один из первых загрузочных вирусов и первый вирус, способный «выживать» при «теплой» перезагрузке. Впервые обнаружен в США в 1988 г. в Merritt College, Oakland, California. По мнению сотрудников университета, вирус написан студентом из колледжа Peralta community college, входящим в данный округ.
Ohio (Огайо) — вирус можно рассматривать как раннюю версию вируса Den Zuk. Дискета, зараженная вирусом Ohio, иммунизирована к заражению вирусом Brain. Вирус обнаружен в июне 1988 г. в Индонезии и, по-видимому, разработан там же.
Chaos (Хаос). Неформальное название данного вируса связано с тем, что в теле вируса имеются текстовые строки «Welcome to the New Dungeon», «Chaos» и «Letz be cool guys». Стадия проявления заключается в пометке всех свободных кластеров как сбойные. Обнаружен в декабре 1989 г. в Англии Джеймсом Берри (James Berry).
МИФИЧЕСКИЕ загрузочные вирусы скорее всего существуют только на страницах литературы и в фольклоре. Их описания есть в некоторых источниках (иногда компетентных), но никто не может с уверенностью сказать, что встречался с этими вирусами. Для примера — вирус Вххх (Boot Killer), который был описан в одной из статей в 1988 году.
«Подарок к Рождеству» и другие вирусы
В середине декабря 1989 года тысячи пользователей компьютеров получили неожиданный подарок к Рождеству — посылку, содержавшую гибкий диск с пометкой «Информация о СПИДе». Многие, не подозревая подвоха, загрузили диск в компьютеры, после чего программа, записанная на этом диске, испортила всю информацию на винчестере и запросила 378 долларов за ее восстановление. Деньги предлагалось направить в абонентский ящик 87–17—44 почтового ведомства Панамы. Конкретные мотивы данного акта вандализма не объявлялись. Когда поползли слухи, что абонентского ящика с указанным номером не существует вовсе, были высказаны предположения, что отправителем посылок является лицо, действительно заразившееся СПИДом и пожелавшее утешиться таким экстравагантным способом. Согласно другой версии, это была месть служащих в ответ на какую-то несправедливость со стороны начальства.
Наконец выяснили, что указанный адрес реально существует, и сейчас, если нельзя сказать, почему было совершено преступление, то можно с достаточной степенью определенности восстановить, как это было сделано. 11 декабря тысячи конвертов с зараженными дисками были отправлены из Лондона по адресам фирм, расположенных на четырех континентах. Среди британских получателей значились Министерство здравоохранения, Фондовая биржа и такие фирмы, как Rolls Royce, Barclays Bank, ICL, Sainsburys и другие. Для рассылки был использован главным образом список адресов, приобретенный в редакции периодического издания PC Business World гражданином Кении Ф. Кетемой, который заявил, что собирается поставлять программное обеспечение из Кении в Великобританию.