Legenden des Virusbaus: Der Beginn des Krieges

    Bild

    Das Ende der achtziger Jahre war eine erstaunliche Zeit für das Land der Sowjets. Akkumulierte und wachsende Unzufriedenheit führt zu einer "Umstrukturierung". Im Fernsehen - der beschämende Abzug sowjetischer Truppen aus Afghanistan, in den Läden - leere Regale und Lebensmittelkarten. "Ein Stern mit dem Namen Sonne" und "Ich möchte mich ändern" hören Sie von jedem Eisen. In der Tiefe des MCC Gosplan der UdSSR entdeckt Dmitry Nikolaevich Lozinsky auf einem der Computer den Grund für ihr ungewöhnliches Verhalten, das sich als ungewöhnliches Programm herausstellte. Das Neutralisierungsinstrument wurde an einem Abend geschrieben und nach dem AIDS-Testsystem benannt, das ungefähr zur gleichen Zeit wie die große Errungenschaft der Medizin im Radio erwähnt wurde.

    Bei dem Virus handelte es sich um ein einfaches Programm, dessen Code keiner zusätzlichen Verarbeitung unterzogen wurde und mit Hilfe von Spezialsoftware leicht erkannt werden konnte. Zu diesem Zeitpunkt gab es noch kein einheitliches System zur Benennung von Malware. Aber in dieser Hinsicht hat sich heute fast nichts geändert, die Antivirus-Büros können sich nicht einigen, und der gleiche virale "Stamm" kann in verschiedenen Antivirus-Paketen unterschiedlich genannt werden. „Vienna.648“ erhielt seinen Namen nach dem Ort der primären Erkennung und der Größe - 648 Bytes.

    Franz Svoboda und Ralph Berger waren die ersten, die das Virus ungefähr zur gleichen Zeit entdeckten, obwohl nicht genau bekannt ist, wer es zuerst getan hat, denn jeder von ihnen sagte, er habe das Virus von dem anderen erhalten. Das Programm wäre für seinen ersten Auftritt in der UdSSR berühmt gewesen und nicht mehr. Aber Ralph Berger, der den Quellcode in seinem Buch (ISBN 1557550433) veröffentlicht hatte, öffnete die Schatulle von Pandora. Jeder Programmierer kann den Quellcode ändern, um ein ähnliches Programm darauf zu erstellen. Eine Lawine von "Gabeln" traf die Welt der Autos. Manchmal trafen sich unter ihnen die eingefleischten "Schurken" wie Ghostballs und Chameleon. Einige Nachkommen dieses Virus befinden sich immer noch im "natürlichen" Lebensraum (seit vielen Jahren haben Programmanfänger und Schulkinder mehr als 60 Varianten dieser Infektion durchgeführt. Diese Zahl kann höchstwahrscheinlich mit 10 multipliziert werden, und ich bin mir nicht sicher, ob dies alles ist).

    "Vienna.648" ist ein typischer nicht residenter Virus, der nach der Kontrolle Dateien infiziert, meistens zum Zeitpunkt des Startens des infizierten Mediums. Ein charakteristisches Merkmal von Nicht-Residenten ist ihr kurzer Lebenszyklus, einschließlich Start, Suche und Infektion ihrer Opfer. Es gibt mehrere allgemeine Suchalgorithmen für Nichtansässige möglicher Opfer. Wie viele andere alte Viren wurde es in Assembler geschrieben und traf auf ausführbare COM-Dateien (COM-Programme sind normalerweise kleine Anwendungen, Systemprogramme oder kleine residente Programme).

    Unser heutiger "Held" war der erste , der die Suchmethode auf dem "Pfad" verwendete.ein ziemlich effizienter Suchalgorithmus, eine Art "Know-how", das keine vollständige Umgehung aller Festplattenverzeichnisse erfordert. MS-DOS stellte einen Mechanismus zum Erstellen einer Liste vordefinierter Verzeichnisse zur Verfügung, die meistens in der Systemstapeldatei AUTOEXEC.BAT geschrieben werden. Diese Listen fielen in die Systemumgebung und wurden für alle Programme verfügbar. Die Verzeichnisse in der Zeile „PATH“ („path“) enthielten immer ausführbare Dateien. Nachdem der Virus eine Zeile beginnt, die mit dem „Pfad“ beginnt, trennt der Virus die Verzeichnisse mit dem Symbol „;“ und fügt die Suchmaske der COM-Dateien hinzu. Danach trat eine Infektion auf und die Kontrolle wurde übertragen.

    Der Virus wurde dem Ende der COM-Programmdatei zugeschrieben und am Anfang den Assembler-Befehl eingegeben, um zu seinem Hauptteil zu gelangen, während das Hinzufügen eines Viruscodes am Ende des Programms es unmöglich machte, die direkte Adressierung an Speicherzellen zu verwenden, da sich die direkten Verbindungen änderten und es daher kompliziert war Algorithmen mit indirekter Adressierung mit Offset. Diese Komplikation erforderte die Einführung eines zusätzlichen Codes, der die Adressierung berechnet. Das Vorhandensein eines solchen Codes war ein wichtiges Signaturzeichen für eine Infektion des Programms.

    In Anbetracht der Einfachheit des Programms und der Unklarheit seines Erstellers bis zum heutigen Tag können wir davon ausgehen, dass es durch „Anprobieren des Stiftes“ oder durch ein Experiment geschaffen wurde, das leicht außer Kontrolle geraten war. Diese scheinbare Einfachheit in Verbindung mit leicht nachweisbaren Signaturen spricht für diese Hypothese, sie beweist es jedoch nicht endgültig. Trotz der scheinbar trivialen Erscheinung sollten wir nicht vergessen, dass Vienna.648 auch das erste Virus war, das vom Antivirenprogramm entdeckt und zerstört wurde.

    Es gibt eine Version, bei der der Autor des Programms Berger ist, obwohl er jegliche Beteiligung daran verweigert hat. Wie auch immer, er war es, der das Pendel des neuen digitalen Krieges ins Leben gerufen hat . So begann der Widerstand gegen Viren und Antivirenprogramme ...

    Jetzt auch beliebt: