Вирус написать: Базовый вирус за 20 минут или почему стоит пользоваться антивирусом / Хабр

Как создать, написать компьютерный вирус?

Создание самых простых вирусов не требует наличия специальных сред для разработки программ. И особых знаний, кстати, тоже. Создать вирусы довольно просто, если использовать для этого командную строку. Для этого нужно немного знать синтаксис командной строки и уметь создавать .bat-файлы.

Что такое .bat-файл и как его создать?

Если очень поверхностно, то это файлы с расширением .bat. Такие файлы несут в себе команды, которые должны быть выполнены командным интерпретатором Windows. Все те команды, которые можно выполнить в окне командной строки, можно вписать в .bat-файл и запустить. Результат будет одинаковым.

Чтобы создать .bat-вирус, нам нужен обычный текстовый редактор. В идеале подойдет для этих целей Блокнот. Создав и открыв новый текстовый документ, Вам нужно вписать туда тот код(команды), которые он должен выполнить. После этого, Вам нужно с помощью меню Сохранить как сохранить этот файл, задав ему какое-либо имя с расширением . bat и указав тип файла Все файлы.

Создаем простейший вирус

В данной статье мы рассмотрим создание вируса, который после своего запуска будет бесконечно открывать окно командной строки. Бесконечно и очень быстро открывающиеся окна командной строки не дадут пользователю спокойно работать. Закрыть их всех не успеет никто и очень скоро они забьют оперативную память компьютера, что в свою очередь сильно затормозит работу компьютера, вплоть до полного зависания. Выглядеть это будет приблизительно так:

Вдобавок, мы закинем наш вирус в автозагрузку, что обеспечит автоматический запуск вируса вместе с операционной системой.

Код создаваемого вируса

Сколько программистов, столько разных решений можно придумать для каждой задачи. Я приведу один из своих методов решения такой задачи.

[code]md c:\papka
echo start c:\papka\virus.bat>c:\papka\virus.bat
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v virus /d c:\papka\virus. bat
attrib +r +h +s c:\papka
attrib +r +h +s c:\papka\virus.bat
start c:\papka\virus.bat
del %0[/code]

А теперь разберем сам код. Первая строчка создает папку с именем papka в корне диска C:/. Такой адрес приведен только для примера. Использование же корня папки C:/ не совсем хороший вариант для вируса. Если Вы хотите обеспечить хорошую выживаемость Вашему вирусу, лучше всего спрятать его подальше. Первую команду можно даже пропустить, если Вы закинете сам вирус в уже созданную директорию.

Вторая строчка создает файл c:\papka\virus.bat и, с помощью команды echo, вписывает в него команду start c:\papka\virus.bat. Тут нужно знать, что после знака > указывается место вывода приведенной команды. Тут Вам нужно познакомится: c:\papka\virus.bat и есть основное тело вируса. Созданный нами .bat-файл с кодом, который мы сейчас разбираем, является всего лишь установщиком нашего основного вируса. Вы можете использовать другое название и другое местоположение для вируса.

Третья строчка закидывает созданный нами во второй строчке тело вируса в автозагрузку. Для этого используется пользовательская ветка реестра, так как к ней у пользователя всегда есть доступ. А вот использовать автозагрузку компьютера не безопасно, так как пользователь может не иметь административного доступа, что вызовет ненужную ошибку.

Четвертая и пятая строка кода изменяют атрибуты вируса и папки, где хранится вирус. Данными командами, а для этого используется команда attrib, мы добавляем атрибуты Только чтение, Скрытый и Системный и для папки, и для вируса. Использование атрибута r(Только чтение) необязательно. А вот атрибуты Скрытый и Системный хорошо защитят созданный нами вирус. Если не верите, то почитайте статью про вирус, который превращает папки на флешке в ярлыки. Он использует именно эту технологию.

6-ая строчка кода запускает наш вирус. Вы можете пропустить этот пункт, если хотите, чтобы первый запуск вируса произошел только после перезагрузки компьютера.

И, наконец-то, последняя, 7-ая строчка удаляет данный .bat-вирус. Это полезно, так как по этому .bat-файлу можно спокойно выйти на созданный нами вирус и удалить его.

Смысл созданного вируса

Смысл вируса, который уместился в эти 7 строк — создать основной вирус, защитить его и обеспечить его постоянную работу. А так же подмести свои следы. А что делает основной вирус? После запуска основного вируса, он выполняет ту команду, которая вписана в нее. А это команда, в свою очередь, запускает наш вирус, который опять-таки снова запускает самого себя. И так до бесконечности.

Как бороться с такими вирусами?

Во-первых, начало борьбы с данным вирусом начнется после того, как он запуститься. Очень скоро вирус заполнит своими копиями оперативную память и Вы даже мышкой шевельнуть не сможете. Поэтому, такой спектакль нужно пресекать сразу. Для этого прекрасно подойдет кнопка Break на клавиатуре. Жмите ее столько, сколько понадобится, чтобы новые копии перестали создаваться. На клавиатурах без кнопки Break, может помочь сочетание клавиш Ctrl+C.

Как удалить такой вирус?

Вы можете найти и удалить вирус через его запись в автозагрузке(подробнее по ссылке). А так же Вы можете выйти на вирус по команде, которая будет высвечиваться в окне командного интерпретатора. Естественно, если Вы сможете добраться до скрытого и системного файла. Вот таким образом происходит создание простого вируса.

Удачи!

Тестовый «вирус» EICAR и его модификации

Тестовый «вирус» был специально разработан
организацией (The European
Institute for Computer Antivirus Research) для проверки работы
антивирусных продуктов.

Тестовый «вирус» НЕ ЯВЛЯЕТСЯ ВИРУСОМ и не
содержит программного кода, который может нанести вред вашему
компьютеру, однако при этом большинство продуктов антивирусных
компаний-производителей идентифицируют его как вирус.

Никогда не используйте в качестве проверки
работоспособности антивирусного продукта настоящие вирусы!

Загрузить тестовый «вирус» можно с официального
сайта организации EICAR:
http://www. eicar.org/anti_virus_test_file.htm.

Перед загрузкой необходимо отключить
антивирусную защиту, поскольку файл anti_virus_test_file.htm будет
идентифицирован и обработан программой как зараженный объект,
перемещаемый по HTTP-протоколу. Не забудьте включить антивирусную
защиту сразу после загрузки тестового «вируса».

Программа идентифицирует файл, загруженный с
сайта компании EICAR как
зараженный объект, содержащий не
подлежащий лечению вирус, и выполняет действие,
установленное для такого объекта.

Вы также можете использовать модификации
стандартного тестового «вируса» для проверки работы программы. Для
этого следует изменить содержание стандартного «вируса», добавив к
нему один из префиксов (см. таблицу далее). Для создания
модификаций тестового «вируса» может использоваться любой текстовый
или гипертекстовый редактор, например, Microsoft Блокнот, UltraEdit32, и т.д.

Вы можете проверять корректность работы
антивирусной программы с помощью модифицированного «вируса» EICAR
только при наличии антивирусных баз, датированных не ранее
24. 10.2003 (кумулятивное обновление – Октябрь, 2003).

В первой графе приведены префиксы, которые
следует добавить в начало строки стандартного тестового «вируса».
Во второй графе перечислены все возможные значения статуса,
присваиваемого Антивирусом объекту по результатам проверки. Третья
графа содержит информацию об обработке программой объектов с
указанным статусом. Обращаем ваше внимание, что действия над
объектами определяются значениями параметров программы.

После добавления префикса к тестовому «вирусу»
сохраните полученный файл, например, под именем: eicar_dele.com. Дайте аналогичные названия
всем модифицированным «вирусам».

Модификации тестового «вируса»

Префикс

Статус
объекта

Информация
об обработке объекта

Префикс отсутствует, стандартный тестовый
«вирус».

Зараженный.
Объект содержит код известного вируса. Лечение невозможно.

Программа идентифицирует данный объект как
вирус, не подлежащий лечению.

При попытке лечения объекта возникает
ошибка; применяется действие, установленное для неизлечимых
объектов.

CORR-

Поврежденный.

Программа получила доступ к объекту, но не
смогла проверить его, поскольку объект поврежден (например,
нарушена структура объекта, неверный формат файла). Информацию о
том, что объект был обработан, вы можете найти в отчете о работе
программы.

WARN-

Подозрительный.
Объект содержит код неизвестного вируса. Лечение невозможно.

Объект признан подозрительным с
использованием эвристического анализатора. На момент обнаружения
базы Антивируса не содержат описания процедуры лечения данного
объекта. Вы получите уведомление при обнаружении такого
объекта.

SUSP-

Подозрительный.
Объект содержит модифицированный код известного вируса. Лечение
невозможно.

Программа обнаружила частичное совпадение
участка кода объекта с участком кода известного вируса. На момент
обнаружения базы Антивируса не содержат описания процедуры лечения
данного объекта. Вы получите уведомление при обнаружении такого
объекта.

ERRO-

Ошибка
проверки.

При проверке объекта возникла ошибка.
Программа не смогла получить доступ к объекту: нарушена целостность
объекта (например, нет конца многотомного архива) либо отсутствует
связь с ним (если проверяется объект на сетевом ресурсе).
Информацию о том, что объект был обработан, вы можете найти в
отчете о работе программы.

CURE-

Зараженный.
Объект содержит код известного вируса. Излечим.

Объект содержит вирус, который может быть
вылечен. Программа выполняет лечение объекта, при этом текст тела
«вируса» изменяется на CURE. Вы получите уведомление при
обнаружении такого объекта.

DELE-

Зараженный.
Объект содержит код известного вируса. Лечение невозможно.

Программа идентифицирует данный объект как
вирус, не подлежащий лечению.

При попытке лечения объекта возникает
ошибка; применяется действие, установленное для неизлечимых
объектов.

Вы получите уведомление при обнаружении
такого объекта.

В начало

Вирусописателей в дикой природе

Мнение

Марсия Дж. Уилсон

Компьютерный мир |

Университет Калгари в наши дни привлекает много внимания. Школа предлагает курс по написанию компьютерных вирусов и вредоносных программ.

В последние дни публикуется история за историей о плюсах и минусах этики и мудрости обучения молодых людей написанию вредоносного кода. Чаты были полны откликов читателей, а в некоторых случаях разразились небольшие обзывания. «Ты глупый!» — Нет, ты дурак! «Ты глупее!»

Разработчики антивирусного программного обеспечения, по большей части, возмущены дерзостью университета, обучающего людей написанию вредоносного кода. Генеральный директор Sophos даже заявил, что его компания никогда не возьмет на работу человека, написавшего вирусный код.

Яростные дебаты, похоже, поровну разделились между теми, кто против обучения таким навыкам в школе, и теми, кто считает, что научиться писать код, содержать его и убивать — ценный навык.

Gigabyte, 19-летняя женщина из Бельгии и несколько печально известный вирусописатель, написала то, что считается первым вирусом, использующим язык программирования Microsoft C#. У меня была возможность пообщаться с Gigabyte по электронной почте, и вот что она сказала:

«Мое мнение о курсе написания вирусов в универе несколько искажено. Для меня это и плохо, и хорошо одновременно. Короче говоря, я думаю, что (смотря на это объективно), я должен сказать, что университет делает ‘ конечно, плохо. Я имею в виду, что они могут говорить, что хотят, но любой здравомыслящий человек может видеть, что курс ПРИВЛЕКЕТ некоторых потенциальных новых вирусных кодеров. … Я должен согласиться, что это действительно помогает узнать, как конкретный тип вируса заражает хост-файл… Но сказать, что им действительно нужно научиться писать вирусы? , но я не думаю, что изучение того, как их писать, сделает их хорошими экспертами по безопасности или AVers [кто-то, кто работает над написанием антивирусного кода]. вредоносный код], мое мнение полностью меняется… Я думаю, что этот курс может на самом деле привести некоторых новых успешных вирусописателей, которые пишут больше, чем просто дерьмо VBS и пакетных сценариев. Больше НАСТОЯЩИХ вирусов и поддержите сцену. Поэтому я думаю, что для мира, выступающего за вирусы, это может быть «позитивным» моментом. А может и нет, в зависимости от того, какой вирусописи они собираются преподавать… для вирусной «сцены» весь университетский курс МОЖЕТ быть просто положительным моментом».

Однако на самом деле никому не нужно ходить в школу, чтобы научиться писать вредоносный код. Все это доступно бесплатно онлайн. Помимо веб-сайта Gigabyte, вот еще несколько примеров:

  • 29A — это группа вирусописателей, на временном веб-сайте которых в разделе политики и целей говорится следующее: «Мы кодируем вирусы для удовольствия, потому что это наше хобби, а не потому, что мы хотим навредить другим людям или навлечь на себя неприятности». Сайт включает интервью с другими «кодерами», официальные документы и исходный код вируса. Одна из таких тем озаглавлена ​​«Внедрение «аддонов» TCPIP в ваши вирусные материалы». Кажется, что большей части информации на этом сайте уже несколько лет, но достаточно сказать, что такие сайты существуют.
  • VX Heavens — это сайт, который смело заявляет на своей домашней странице: «Вирусы не вредят невежеству!» Этот сайт полностью открыто заявляет о своей миссии: «Этот сайт содержит обширную, постоянно обновляемую коллекцию журналов, образцов вирусов, источников вирусов, полиморфных движков, генераторов вирусов, руководств по написанию вирусов, статей, книг, архивов новостей и т. д. Некоторые из вас могут обоснованно заявляют, что размещение такого контента в сети является незаконным или что эта информация может быть использована «злоумышленниками». Я только хочу спросить этого человека: «Является ли невежество защитой?»
  • Центр торговли вирусами — еще один сайт, посвященный очевидной темной стороне: «Этот сайт посвящен торговле вирусами. Это означает, что если вы ищете какой-либо вирус или если вы собираете вирусы, вам понравится этот сайт. вы найдете здесь все, что вам нужно для торговли со мной, но вы не найдете никаких вирусов, бинарных файлов или исходных файлов. »

Из минимального количества исследований я пришел к выводу, что размещение двоичных файлов (исполняемого кода) на общедоступном веб-сайте считается категорическим запретом. Кажется, можно предоставить письменные материалы, пояснения и исходный код, но предоставление двоичных файлов может вызвать у вас проблемы.

На всех сайтах есть заметная оговорка об ответственности конечных пользователей за использование информации. Звучит разумно. Чего я не осознавал, так это того, что написание вирусов стало настолько популярным хобби во всем мире.

Итак, возникает вопрос: почему бы не рассказать студентам о вирусах, о том, как они пишутся и как бороться с ними в контролируемой среде с либеральной дозой этики в университетской среде? Я только за. Полностью избавьтесь от тайны. Вы действительно думаете, что кто-то, кто хочет причинить вред, будет сидеть на уроке в колледже и заплатить чтобы узнать информацию? Я нашел достаточно опасной информации примерно за 15 минут с помощью поисковой системы Google.

Мое мнение не имеет значения. Важно то, что все наши объединенные мнения могут быть высказаны свободно. Похоже, что поставщики антивирусов объединяются против университета в Калгари, Альберта, и отказываются нанимать студентов, окончивших курс. Антивирусная сеть обмена информацией также опубликовала это письмо в ответ. В письме говорится: «Нет необходимости и бесполезности писать компьютерные вирусы, чтобы научиться защищаться от них».

На одном чате, который я посетил, читатель предположил, что обучение написанию вирусов похоже на преподавание курса по небезопасному сексу 101. Я подумал, что это отличная идея. Это как реверсивная психология. Уберите мистику, раскройте уродство, посмотрите правде в глаза, и вуаля, у вас есть то, с чем вы можете справиться. Один читатель сравнил создание лучшего вирусного программного обеспечения (не антивирусного программного обеспечения) с созданием большой бомбы. Я не был уверен, был ли читатель за или против, основываясь только на этом комментарии. Один человек, явно противный, сравнил написание вирусов с прогулкой по живому минному полю. Читатель спросил: «Зачем подвергать себя такому риску?» Некоторые сравнивали запись компьютерных вирусов с вирусами здоровья. Вы знаете, как ОРВИ. Другие утверждали, что написание вирусов в основном выявляет недостатки безопасности в различных операционных системах и приложениях и что авторы оказывают всему свободному миру услугу, публикуя свои результаты.

Наверное, я голосую за Университет Калгари, хотя все «официальные» антивирусные компании и организации голосуют против его курса. Я считаю, что чем больше информации, тем лучше. Не говорите мне, что университет будет нести ответственность за очередное уничтожение Интернета, когда люди со всего мира, обладающие огромным опытом, ежедневно занимаются написанием вирусов. Пусть дети получают образование. Доверьте ответственность университету.

У меня есть предложение для противников программы Калгари. Почему бы не послать инженера из вашей компании помочь профессору в написании первоклассной программы и не послать кого-то еще, чтобы убедиться, что приняты надлежащие меры безопасности? Если вы собираетесь ныть об этом, вам нужно что-то с этим делать. Сделать разницу.

Связанный:

  • Безопасность
  • ИТ-навыки
  • Киберпреступность
  • Вредоносное ПО

Copyright © 2003 IDG Communications, Inc.

Чат-бот Bing с искусственным интеллектом пришел работать на меня. Я должен был уволить его.

По следам Темного мстителя: самый опасный вирусописатель в мире | Вирусы

В 1980-х годах для любителей вирусов не было лучшего места, чем Болгария. Социалистическая страна, страдающая от гиперинфляции, разваливающейся инфраструктуры, нормирования продуктов питания и бензина, ежедневных отключений электроэнергии и стай диких собак на улицах, стала одной из самых горячих высокотехнологичных зон на планете. Легионы молодых болгарских программистов возились со своими пиратскими клонами IBM PC, выкачивая компьютерные вирусы, которым удалось добраться до сияющего и процветающего Запада.

В 1989 году в ведущем компьютерном журнале Болгарии появилась статья, в которой говорилось, что отношение средств массовой информации к компьютерным вирусам является сенсационным и неточным. Статья в январском номере журнала «Компьютер для вас» под названием «Правда о компьютерных вирусах» была написана Веселином Бончевым, 29-летним научным сотрудником Института промышленной кибернетики и робототехники Болгарской академии наук в Софии. . Боязнь компьютерных вирусов, писал Бончев, превращалась в «массовый психоз».

Любой компетентный программист, утверждал Бончев, может определить, когда файлы повреждены вирусом. Зараженные файлы больше, чем незараженные файлы. Они бегут медленнее. Они делают странные вещи, например, играют мелодии, рисуют на экране елки и перезагружают компьютеры. Было трудно пропустить вирус! Профилактика с помощью базовой кибергигиены была простой: «Не позволяйте другим людям пользоваться вашим компьютером; не использовать подозрительные программные продукты; не используйте программные продукты, приобретенные незаконным путем».

Бончев пожалел бы об этой статье. Он не понимал, что то, что для него может быть очевидным вирусом, может быть неочевидным для секретаря, использующего компьютер в качестве пишущей машинки. Более того, у большинства пользователей в Болгарии не было собственных персональных компьютеров; они разделили их.

Когда Бончев писал эту пренебрежительную статью, он еще не видел вируса. Он был очень удивлен, когда двое мужчин вошли в офис «Компьютер для тебя», где он обычно тусовался, и заявили, что у них вирус. Они прочитали в журнале статьи об этих странных новых существах и хотели показать Бончеву вирус, обнаруженный ими в их небольшой компании по разработке программного обеспечения. Мужчины не только сообщили, что у них есть вирус; они также утверждали, что написали антивирусную программу, которая его устранила. Они принесли с собой свой ноутбук. На ноутбуке был вирус, и когда они запустили антивирусную программу, вирус исчез.

Бончев был одновременно очарован и напуган: очарован, потому что никогда раньше не видел вируса (или ноутбука, если уж на то пошло), ужасен, потому что люди только что его убили. Ужас превратился в панику, когда мужчины сказали ему, что они также очистили от вируса компьютеры своей фирмы. Бончев помчался к месту их работы в поисках остатков. Он нашел распечатку кода вируса в мусоре. Он взял его домой и ввел — байт за байтом — в свой компьютер, стараясь не сделать ошибок. В конце концов Бончев понял, что он воскресил вирус, широко известный как Вена.

Анализируя Вену, Бончев был разочарован. Он вообразил себе нечто удивительное — самовоспроизводящиеся компьютерные программы должны быть элегантными, плодами какого-то эзотерического черного искусства. Однако заглянув под капот, выяснилось, что там не так уж и красиво. Вена была жестоко разрушительной, но ее кодекс был грубым и неряшливым.

Пока Бончев изучал Вену, другие болгары тоже начали заниматься вредоносными программами. Один из соотечественников Бончева вскоре станет самым опасным вирусописателем в мире и злейшим врагом Бончева.

Вена — простой вирус, поэтому с ним хорошо экспериментировать. Бончев упустил возможность, не желая запятнать свою репутацию. Но у Теодора Превальского, его друга, было меньше сомнений. Он был очарован концепцией искусственной жизни и решил изучить ее возможности. После двухдневной работы в Техническом университете, крупнейшем инженерном вузе Болгарии, Превальски создал вирус. Хотя он смоделировал его по образцу Вены, его вирус не уничтожал файлы — он только приказывал динамику издавать звуковой сигнал всякий раз, когда заражал файл. В своем дневнике за 12 ноября 19 г.В 88 году он записал свое достижение: «Версия 0 жива».

Шли недели, Превальски добавлял в вирус новые возможности. Он также экспериментировал с антивирусными программами. Все творения Превальски были «зоопарковыми» вирусами, экземплярами, созданными для исследовательских целей, а не для выпуска в дикую природу. Тем не менее, они сбежали из зоопарка. Действительно, версия Вены стала первым болгарским вирусом, иммигрировавшим в США.

Компьютерный центр в Пловдиве, Болгария, 1983 год. Фото: Brandstaetter Images/Getty Images

Вена смогла сбежать с компьютера Превальски, потому что на его компьютере работала операционная система Microsoft, известная как DOS (сокращение от «дисковая операционная система»), которая не имела функций безопасности. DOS была разработана для индивидуального использования на небольших недорогих микрокомпьютерах, которые появились на рынке в середине 1970-х под такими названиями, как Apple II, TRS-80 и Commodore. Безопасность не была приоритетом или даже необходимостью для этих персональных компьютеров или ПК. Кибербезопасность в то время была простой: чтобы люди не украли ваши данные, вы должны были запереть свою дверь.

Однако те, кто использовал персональные компьютеры, захотели поделиться своим кодом. Молодые ботаники жаждали новых видеоигр, но не хотели платить за них. DOS также не была бесплатной, и контрафактные копии свободно распространялись среди пользователей ПК. Программное пиратство было обычным явлением в Болгарии.

Превальски делил компьютер с четырьмя другими исследователями, и они свободно передавали дискеты. Хотя Превальски очень старался держать свои зоовирусы в плену, они неизбежно ускользали. Он посадил их в клетки без замков.

Но Превальски был разочарован тем, что не смог найти продуктивного применения своим творениям. Когда он был выпущен в дикую природу, даже его «хорошие» вирусы имели плохие побочные эффекты. По мере того как Превальски разочаровывался в вирусном бизнесе, карьера Бончева пошла вверх. С удивительной откровенностью он написал статью в «Компьютер для вас», в которой признал свою недавнюю ошибку. Вирусы явно становились все более серьезной проблемой, и Бончев хотел исправить свою ошибку. Он начал анализировать новые вирусы, которые распространялись по Болгарии, и опубликовал результаты.

Статьи Бончева, подробно описывающие опасность вирусов, имели непредвиденные последствия: они вдохновили новых вирусописателей. Его читатели научились писать вирусы из этих статей, а некоторые пытались улучшить существующие версии.

Вскоре казалось, что каждый программист в Болгарии почувствовал потребность написать вирус. Студент из Пловдива был зол на своего репетитора, поэтому написал вирус, чтобы заразить его файлы. Он написал еще два вируса для своей девушки в знак своей привязанности. Двое друзей, которые разозлились на своего босса за то, что тот не заплатил им, в отместку написали вирус, издававший звук шуршания бумаги при заражении файлов. Этот вирус быстро сбежал из лаборатории.

Люди заговорили о «болгарской вирусной фабрике». Основатель Центра тестирования вирусов в Гамбурге Мортон Свиммер цитировался в статье New York Times 1990 года: «Болгары не только производят больше всего компьютерных вирусов, они производят самые лучшие».

Болгарская вирусная фабрика была фабрикой в ​​понимании Энди Уорхола: разрозненный коллектив молодых болгарских мужчин (все они были мужчинами), очень умных и скучающих. Написание вирусов стало источником интеллектуальной стимуляции и формой социального отличия.

К 1991 году Бончев находил два новых болгарских вируса в неделю. Он целыми днями отвечал на звонки фирм, атакованных вирусами; он проводил ночи и выходные, изучая эти вирусы. Бончев также был одним из основателей Исследовательской организации компьютерных антивирусов (Caro). Каро выступал за определенные этические принципы антивирусных исследований. Одним из важнейших был строгий запрет на запись вирусов. Каро относилась к компьютерным вирусам как к биологическому оружию. Опасность их побега из лаборатории была сочтена слишком высокой, чтобы оправдать эксперименты.

Действительно, Каро помогла создать раскол между исследователями антивирусов и сообществом кибербезопасности в целом. Сообщество обычно ожидает, что его члены взломали, чтобы знать, как защититься от хакеров. Эта практика известна как этический или белый взлом. На любого исследователя, написавшего вирус, наложили бы вето на членство в Caro. Хотя многие представители антивирусной индустрии возились с вирусами, они не говорят об этом.

Еще до того, как Бончев опубликовал свою предупредительную статью о вирусах в «Компьютере для вас», кто-то тайно пытался усовершенствовать носитель. Его онлайн-псевдоним был Dark Avenger. «В те времена в Болгарии вирусов не писали, поэтому я решил написать первым», — заявил Dark Avenger. «В начале марта 1989 она возникла и зажила своей жизнью, терроризируя всех инженеров и прочих лохов».

Темный Мститель ошибся. Другие месяцами выкачивали вирусы, но Темный Мститель сделал свой смертельным. Его первое творение будет известно как Эдди. Когда пользователь запускал программу, зараженную Eddie, вирус не запускался с атаки на другие файлы. Он скрывался в памяти компьютера и возвращал управление исходной программе. Однако, когда пользователь загружал другую программу, затаившийся Эдди начинал действовать и заражал эту программу. Эти зараженные программы будут новыми носителями Эдди.

Эдди также упаковал полезную нагрузку, которая медленно и бесшумно уничтожала все файлы, к которым прикасалась. При 16-м запуске зараженной программы вирус перезаписал случайный участок диска в компьютере своей визитной карточкой: «Эдди живет… где-то во времени». После достаточного количества этих беспорядочных изменений программы на диске перестали загружаться.

Деструктивные вирусы не были чем-то новым. Вена, например, уничтожала каждый восьмой файл. Но Эдди был куда злее. Поскольку симптомы заражения Eddie проявляются через некоторое время, пользователи распространяют вирус и создают резервные копии зараженных файлов. Когда пользователи обнаружили, что их диск превратился в цифровые опилки, они также узнали, что их резервные копии сильно повреждены. Dark Avenger изобрел то, что сейчас называют вирусами «обманывания данных» — вирусами, которые изменяют данные в файлах.

Вирус «Эдди» Dark Avenger относится к скелетному талисману группы Iron Maiden, изображенному на обложке их альбома 1986 года Somewhere in Time. Фотография: Records/Alamy

Dark Avenger гордился своим жестоким творением и заявил о себе в коде. Во-первых, он вставил ироничное уведомление об авторских правах: «Эта программа была написана в городе София (C) 1988–89 Dark Avenger». Струна «Eddie live», приведшая к таким разрушениям, была данью уважения его любви к хэви-металу. «Эдди» относится к талисману-скелету группы Iron Maiden; Где-то во времени — это название шестого альбома Iron Maiden, в котором Эдди появляется на обложке в образе мускулистого киборга в сеттинге «Бегущего по лезвию» рядом с граффити с надписью «Эдди жив».

Темный мститель продолжал писать вирусы. И каждый вирус был сложнее предыдущего. Вирусы были настолько заразны, что проникли в компьютеры военных, банков, страховых компаний и медицинских учреждений по всему миру. По словам Джона Макафи, который в то время был главой Ассоциации производителей компьютерных вирусов, «я бы сказал, что 10% из 60 звонков, которые мы получаем каждую неделю, касаются болгарских вирусов, а 99% из них предназначены для Dark Avenger».

Одно из самых отвратительных творений Темного Мстителя впервые было замечено в библиотеке Палаты общин в Вестминстере в октябре 1990 года. Исследователи были озадачены тем, что некоторые из их обычных файлов отсутствуют, а другие повреждены. Поскольку проблема усугублялась, библиотека вызвала стороннего специалиста. Проверка на вирусы дала отрицательный результат, но специалист был уверен, что произошло заражение, потому что поврежденные файлы увеличились в размере. Когда он изучил содержимое файлов, то заметил в мешанине символов одно слово: НОМЕНКЛАТУРА.

Номенклатура является русским языком и буквально означает «список имен». Он относился к элите советского общества – бюрократам и партийным деятелям, которым были предоставлены особые привилегии в обмен на их службу партии и государству. Этой системе следовала и Болгария. Этот термин имел уничижительный оттенок, по крайней мере, для тех, кого не было в списке.

Когда к известному британскому исследователю вирусов Алану Соломону обратились за консультацией, он обнаружил самый разрушительный вирус, который он когда-либо наблюдал. В отличие от других вирусов, атакующих файлы, «Номенклатура» атаковала всю файловую систему. Его целью является важнейшая таблица размещения файлов (FAT) — карта расположения файлов на диске. Из-за повреждения FAT операционная система компьютера больше не могла находить файлы для запуска. Соломон также заметил некоторые кириллические буквы и догадался, что они болгарские. Используя FidoNet, компьютерную сеть, используемую для связи между досками объявлений в Интернете, он связался с болгарским инженером. В ответ он получил следующий ломаный перевод: «Этот толстый идиот вместо того, чтобы целовать девушку в губы, целует совсем другое».

Dark Avenger быстро приобрел известность в болгарском сообществе компьютерных вирусов. Никто не знал его личность или что-либо о нем, что добавляло его таинственности. По словам Дэвида Стэнга, директора по исследованиям Международного центра вирусных исследований, «его работа элегантна… он помогает молодым программистам. Он супергерой для многих из них».

Поэтому волнение охватило его, когда он присоединился к Virus Exchange в ноябре 1990 года. Пьер, французский автор вирусов, написал: «Привет, Темный Мститель! Где вы научились программированию? И что значит «Эдди жив»? Другой хакер по имени Free Rider похвалил Dark Avenger: «Привет, блестящий вирусописатель».

Однако не все были его поклонниками, и менее всего — ведущего болгарского антивирусного крестоносца. Действительно, Темный Мститель и Веселин Бончев станут враждебными соперниками. И их враждебность подтолкнет Dark Avenger к написанию еще большего количества вредоносных программ, вредоносных программ, представляющих реальную угрозу для антивирусной индустрии и каждого пользователя персональных компьютеров на планете.

Сара Гордон начала свою карьеру не в качестве исследователя вирусов и даже не в сфере высоких технологий. Она выросла в крайней нищете в восточном Сент-Луисе, штат Миссури, в доме, где не было ни отопления, ни водопровода. Она бросила школу, когда ей было 14 лет, и сбежала из дома. В 17 лет она получила аттестат о среднем образовании, сдав все экзамены, предлагаемые школой, несмотря на то, что не посещала ни один из классов. Она работала на многих должностях, в том числе консультантом по кризисным ситуациям для несовершеннолетних. Она выращивала себе еду. И ей нравилось играть с компьютерами. В 19В 90 году она купила свой первый персональный компьютер, подержанный IBM PC/XT.

Знакомясь со своим подержанным компьютером, Гордон заметила кое-что любопытное: всякий раз, когда она обращалась к файлам на своем диске через полчаса, маленький «шарик» (на самом деле символ пули) рикошетил по экрану. . С ее файлами все было в порядке, но мячик для пинг-понга раздражал. Гордон понятия не имел, что происходит, поэтому она поспрашивала. Но и никто другой не знал. В 1990 году мало кто из американцев сталкивался с компьютерным вирусом.

Пока Гордон пыталась выяснить, что заразило ее компьютер, она вошла в FidoNet, сеть, которая соединяла обмены вирусами. Вирусописатели много ругались и торговали вредоносным ПО, как бейсбольными карточками, но она заметила, что к одному пользователю относились с почтением — Dark Avenger.

Гордона преследовал Темный Мститель. Он чувствовал себя знакомым. Учитывая ее опыт работы в исправительных учреждениях для несовершеннолетних и подростков, переживающих кризис, она осознала бунтарские отношения, которые часто возникают у проблемных молодых людей с авторитетными фигурами. Гордон знал, как привлечь этих молодых людей. Ей удалось переписываться с другими вирусописателями, с которыми она познакомилась в FidoNet. Темный Мститель, однако, не был заинтересован в разговоре.

Она написала на доске объявлений, что хочет, чтобы ее именем назвали вирус. Через несколько недель ее желание сбылось. Dark Avenger загрузил новую вредоносную программу на доску объявлений. В исходном коде вируса он прокомментировал: «Мы посвящаем этот маленький вирус Саре [так в оригинале] Гордон, которая хотела, чтобы вирус был назван в ее честь». Этот вирус будет известен как Dedicated.

Позже Гордон пожалел, что сделал такую ​​легкомысленную просьбу. Попросить кого-нибудь назвать вирус в ее честь было приглашением для Dark Avenger создать деструктивный код, который может нанести большой ущерб. Это было безответственно.

Но это еще не все. Вирус, который написал Dark Avenger, был спрятан в другой вредоносной программе, которую он также создал. Эта программа представляла собой «полиморфный вирусный движок», инструмент для создания мутировавших вирусов, которые угрожали победить все антивирусные программы. Когда из мутационного механизма Dark Avenger появились вирусы, их измененный геном невозможно было распознать существующими детекторами. Хуже того, это была готовая программа, которую мог использовать любой, у кого есть вирус. Он был небольшим, немногим более 2000 байт, и никому не нужно было понимать, как он работает. Новичок может использовать его для создания необнаруживаемой самовоспроизводящейся вредоносной программы.

Гордон невинно попросил пневматический пистолет. У нее есть ядерное оружие.

Хотя Бончев дни и ночи боролся с вирусами, он не испытывал неприязни к тем, кто их писал. В конце концов, некоторые из этих писателей были его друзьями. И он понял, почему они это сделали. По словам Бончева, « первой и самой важной [причиной] из всех является наличие огромной армии молодых и чрезвычайно квалифицированных людей, компьютерных волшебников, которые активно не участвуют в хозяйственной жизни». Бончев понимал, что эти молодые люди обучены высокотехнологичным навыкам, но им не на чем их применить. В Болгарии было несколько компаний-разработчиков программного обеспечения, а зарплаты были мизерными. Написание симпатичных и умных вирусов было выходом для творчества.

Инженеры по компьютерному программному обеспечению в Антивирусном исследовательском центре корпорации Symantec в Санта-Монике, Калифорния, 1997 г. Фотография: John T Barr/AFP/Getty Images

Но психологическая необходимость создавать была не единственной причиной создания болгарской вирусной фабрики. Поскольку компьютерное пиратство было так широко распространено в Болгарии — по словам Бончева, это «фактически было своего рода государственной политикой», — были и инфекции. Когда все копируют программы, а не покупают их у производителя, вирусы легко перемещаются с диска на диск, с компьютера на компьютер. Производители программного обеспечения ничего не могли поделать с этим пиратством, потому что в Болгарии не было законов об авторском праве. Бончев понимал масштабный вред, причиняемый вирусами. Он считал новое национальное развлечение безответственным и юношеским. Но если эта деятельность и не была оправдана, то, по крайней мере, понятна.

Однако Бончев не мог понять Темного Мстителя. Его подвиги были настолько разрушительны, настолько злонамеренны, что их создатель должен был быть психически ненормальным. Чувство было взаимным. Темный Мститель презирал Бончева и называл его «лаской». Отчасти антипатия понятна — они были естественными врагами. Как они могли не любить друг друга? Но антипатия между вирусописателями и антивирусниками не может полностью объяснить взаимную неприязнь.

Темный Мститель, вероятно, пострадал от резкой критики Бончевым его вирусов. Анализируя творения Dark Avenger в Computer for You, Бончев терзал код, называя его неаккуратным и указывая на ошибки. В то время как остальной вирусный мир считал Темного Мстителя вирусным божеством, Бончев изображал его обычным любителем. Темный Мститель рассердился, исправив Эдди и вставив новую строку в код: «Авторское право (C) 1989 Веселина Бончева». Dark Avenger пытался не только подставить Бончева, но и помешать его антивирусному программному обеспечению. При запуске новый вариант (позже известный как Eddie.2000, поскольку его длина составляет 2000 байт) будет искать в файлах имя Бончева, что является признаком того, что на компьютере запущено его антивирусное программное обеспечение, и замораживать систему.

Темный Мститель и Бончев установили созависимые отношения. Каждый нуждался в другом для известности, настолько, что начали ходить слухи, что Темный Мститель и Веселин Бончев — одно и то же лицо. Сплетники утверждали, что Dark Avenger был «sockpuppet» Бончева, обманчивой онлайн-идентификацией. Однако многие из тех, кто не верил слухам, думали, что Бончев был излишне враждебен, публично дразнил и провоцирул Темного Мстителя на еще большую ярость.

Поскольку создание компьютерных вирусов было относительно новым явлением, социологи не изучали вирусописатели. Сенсационные сообщения СМИ породили стереотип. «Вирусописатель был охарактеризован некоторыми как плохой, злой, развратный, маньяк, террорист, технопат, гениально сошедший с ума социопат», — сообщила Сара Гордон в 1994 году. Она решила выяснить, верен ли этот стереотип.

Гордон был потрясен, когда Темный Мститель посвятил ей свой демонстрационный вирус, прикрепленный к движку мутаций. Она обратилась к нему, но получила пренебрежительный ответ, направленный через посредника: «Вам следует обратиться к врачу. Нормальные женщины не тратят время на разговоры о компьютерных вирусах».

Не испугавшись, она старательно написала сообщение на болгарском языке, спрашивая Темного Мстителя, ответит ли он на несколько вопросов. Она передала его американскому исследователю безопасности, который поддерживал с ним постоянный контакт. Он быстро ответил. Вскоре они переписывались в Интернете.

Гордон и Темный Мститель общались пять месяцев. Она никогда не публиковала эти сообщения, за исключением выдержек, которые она опубликовала в 1993 году (с разрешения Dark Avenger). Эти фрагменты показательны. Они показывают, что Темный Мститель раскаялся в своем поведении и обдумал моральные последствия своих действий. Они также показали, что он был воинственным, обиженным и склонным обвинять своих жертв. Основная область вопросов Гордона касалась мотивации. Почему Dark Avenger написал разрушительные вирусы? И почему он казался таким равнодушным к ущербу, который причинял?

Сара Гордон: Некоторое время назад в вирусном эхе FidoNet, когда вам сказали, что один из ваших вирусов несет ответственность за гибель тысяч людей, возможно, вы ответили непристойностью. Предположим на данный момент, что эта история правдива. Скажите, если бы один из ваших вирусов был использован кем-то другим, чтобы вызвать трагический инцидент, как бы вы себя чувствовали на самом деле?

Темный мститель: Мне очень жаль. Я никогда не собирался вызывать трагические инциденты. Я никогда не думал, что эти вирусы повлияют на что-то вне компьютеров. Я использовал неприятные слова, потому что люди, которые писали мне, сначала говорили мне очень неприятные вещи.

Гордон знал, что известность Темного Мстителя зависела от того, что его творения были очень заразными и разрушительными. Его заклятый враг, Бончев, был нанят для борьбы с вирусной эпидемией, которую он помог начать. Заявление о невежестве было просто неправдоподобно.

SG: Вы хотите сказать, что не знали, что вирусы могут иметь серьезные последствия? Разве компьютеры в вашей стране не влияют на жизнь и средства к существованию людей?

З.А.: Нет, по крайней мере, в то время не было. ПК были просто очень дорогими игрушками, которые никто не мог себе позволить и никто не знал, как ими пользоваться.

Недовольство классом несколько раз проявляется в разговорах между Гордоном и Темным Мстителем. Он также обвинил пользователей компьютеров в пиратстве программного обеспечения. «Невинные пользователи пострадали бы гораздо меньше, если бы покупали все программное обеспечение, которое использовали».

Темный Мститель признался, что наслаждается славой и властью. Ему нравилось, когда его вирусы проникали в западные программы. Его боялись, и его творение нельзя было игнорировать. Он также считал свои вирусы продолжением своей личности, частью себя, которая могла сбежать из унылой Болгарии и исследовать мир: «Я думаю, что идея создания программы, которая могла бы путешествовать сама по себе и попадать в места, куда ее создатель никогда не попадет, была самой удачной. самое интересное для меня. Американское правительство может помешать мне поехать в США, но они не могут остановить мой вирус».

Самая сильная реакция Темного Мстителя, однако, была зарезервирована для Бончева: «Ласка может пойти к черту». Dark Avenger даже намекнул, что Бончев виноват в болгарской вирусной фабрике: «Его статьи были простым вызовом вирусописателям, побуждая их писать больше. Кроме того, они были отличным руководством [по] тому, как их писать для тех, кто хотел, но не знал как».

Когда Темный Мститель прочитал в Интернете, что Гордон был помолвлен, их переписка стала безобразной. Их общение прекратилось вскоре после ее замужества. «Я думаю, что он, возможно, был одним из самых добрых людей, которых я встречал, — сказал мне Гордон 25 лет спустя, — и одним из самых опасных».