Pull to refresh

Легенды вирусостроения: The Dark Avenger

Reading time 3 min
Views 4.3K
image
В апреле 1988 года в одном из компьютерных журналов Болгарии была опубликована статья о компьютерных вирусах и некоторых методах их написания, вскоре после этого на компьютерных просторах этой страны появились «гастролеры»: Vienna, Ping Pong и Cascade.

   Интерес, порожденный, затронутой в журнале темой, в совокупности с действиями «гастролеров» был огромен среди энтузиастов, и вскоре болгарские программисты были захвачены идеями создания собственных зловредов.
                              
   Одним из первых болгарских вирмастеров стал Dark Avenger. Уже в начале 1989 года появился первый его вирус, который получил такое же имя, как и его создатель — The Dark Avenger (Темный мститель). Своим именем он обязан содержащейся в коде строке

«This program was written in the city of Sofia © 1988-89 Dark Avenger»

   Не пропасть в беззвестности Dark Avenger позволила его, если можно так выразиться, инновационность, многие механизмы, встроенные в тело вируса его создателем не имели на тот момент никаких аналогов в мире.

   DA первый обнаруженный на территории СССР вирус, стратегия размножения которого предусматривает заражение программ не только при их выполнении, но и при других операциях доступа к соответствующим файлам (СОМ, EXE). Он размножался гораздо быстрее его современников. Помимо заражения при запуске программ на выполнение, файлы заражаются при создании, переименовании, открытии и закрытии.

   Такая стратегия размножения делала этот вирус весьма опасным, поскольку, если в зараженной системе запустить программу, систематически просматривающую файлы во всех подкаталогах (например, антивирус, без соответствующей сигнатуры в базе :), то большая часть СOM- и EXE-файлов будет в результате заражена. Кроме того, вирус уничтожал данные, путем перезаписи случайных секторов диска, каждый шестнадцатый запуск программы, файлами содержащими строку:

«Eddie lives… somewhere in time»

В Москве получил распространение штамм вируса, в котором сообщение

«Eddie lives… somewhere in time»

заменено на

«B O R O D A мстит во времени»

   Ко всему прочему Темный Мститель был первым вирусом, способным сопротивляться противодействию со стороны антивирусных средств. Думаю не нужно говорить о том, что на тот момент об эвристике и речи не было, антивирусы пользовались банальным сигнатурным поиском, и пока программа проверяла диски, Мститель заражал все новые файлы. Вирус предпринимал ряд мер по маскировке своего наличия в оперативной памяти.

   При старте любой программы вирус помечал программный сегмент как последний и становился невидимым для этой программы, по окончании работы программы вирус помечал программный сегмент как непоследний. При завершении программы вирус восстанавливал первоначальное значение прерывания 21h, если оно было изменено программой. Вирус вставлял себя первым в цепочку программ, получающих управление по прерыванию 21h, а в дальнейшем не позволял программам встать раньше него в указанном списке.

   Этот метод «всплытия» позволяет обойти простейшие резидентные сторожа. Вирус обходил контроль программ, следящих за прерыванием 13h, определяя значение этого вектора при инсталляции и в дальнейшем напрямую обращаясь по соответствующему адресу.

   Благодаря своей «высокотоксичности» Dark Avenger распространился по всему миру, о нем часто говорили в околокомпьютерных кругах, был упомянут в таких изданиях как New York Times и Washington Post. В силу особой опасности заражения данным вирусом многие организации перешли на сплошной входной контроль поступающего программного обеспечения.

   На протяжении нескольких лет появлялись все новые и новые разновидности этого зверя все они широко известны как семейство RCE-1800, Dark Avenger (по имени создателя) или Eddie (по содержащейся в перезаписанных файлах фразе). С каждой новой итерацией вирус модернизировался и зачастую становился на порядок опасней предыдущих версий. Код вирусов этой группы свидетельствовал о глубоком знании MS DOS, причем с патологическим пристрастием к деталям.

P.S.


   Такой вот зверь водился раньше на компьютерных просторах. На данный момент, конечно, бояться его нечего, так как вирус работоспособен только на версиях 3.х и 4.х MS DOS. Проверка номера версии в теле вируса не выполнялась. На компьютерах с процессором 80386 вирус и вовсе неработоспособен. Так что Темный Мститель исчез с радаров антивирусных лабораторий уже довольно давно, хотя в свое время страху и навел.

   В тему

→  Некоторые технические детали на securelist.com
→  Статья в Wikipedia [на английском]
Tags:
Hubs:
+74
Comments 28
Comments Comments 28

Articles