Первые попытки противодействия: список грязная дюжина и первые антивирусные программы

🕛 10.02.2009, 12:37

В том же 1985 г. Том Нельф (Tom Nelf) начал распространять по различным BBS список "Грязная дюжина - список опасных загружаемых программ" ("The Dirty Dosen - An Unloaded Program Alert List"), в котором были перечислены известные на тот момент программы-вандалы. В дальнейшем этот список, включающий большинство выявленных троянских программ и "взломанные" или переименованные копии коммерческого программного обеспечения для MS DOS, стал широко известен и получил сокращенное название "грязная дюжина" (dirty dosen). В настоящее время список поддерживается Эриком Ньюхаузом (Eric Newhouse) из Лос-Анжелеса и может быть получен практически через любую сеть. В пояснениях к нему Эрик Ньюхауз отмечает, что пользователи "... могут быть уверены только в одном свойстве их винчестеров - в том, что рано или поздно они "полетят". Часто пользователь будет винить в этом программу, хотя на самом деле проблема связана с электроникой или механикой. Помните, что слухи о троянских программах легче запустить, чем остановить". Последний совет не мешало бы помнить и некоторым авторам "околовирусных" публикаций (см., например, [Основcкий90]). Один из ранних вариантов этого списка был опубликован в [Solomon88] (рис.1).

Троянские программы для ПЭВМ, совместимых с IBM PC

123JOKE - Якобы утилита для Lotus 1-2-3. Разрушает каталоги.
ALTCTRL.ARC - Портит загрузочный сектор.
ARC513.EXE - Якобы архиватор. Портит бут-сектор.
ARC514.COM - То же самое. Архиватор всегда .EXE.
BACKALLY.COM - Через несколько месяцев портит FAT.
BACKTALK - Случайное затирание секторов винчестера.
BXD.ARC - Предупреждает, потом затирает FAT.
CDIR.COM - Якобы каталоги в цвете. Портит FAT.
CHUNKER.EXE - Портит FAT, возможно - ошибка.
COMPRESS.ARC - Якобы "Shareware from Borland". Портит FAT.
DANCERS.BAS - Под красивые картинки портит FAT.
DEFENDER.ARC - Пишет в CMOS и форматирует диск.
DISKACHE.EXE - Вероятно ошибка, но может испортить FAT.
DISKSCAN.EXE - Якобы ищет плохие сектора, на деле - создает.
DMASTER - -"DOSKNOWS.EXE - -"DPROTECT - -"EGABTR - Якобы улучшает работу EGA, портит диски.
ELEVATOR.ARC - Затирает файлы, форматирует диски.
EMMCACHE - Портит файлы, затирает бут-сектор.
FILER.EXE - Затирает диски.
FUTURE.BAS - Портит FAT, затирает корневой каталог.
NOTROJ.COM - Претендует быть антитроянской программой, на деле - наоборот.
TIRED - Портит FAT.
TSRMAP - Дает карту TSR, портит бут-сектор.
PACKDIR - Якобы оптимизирует винчестер, портит FAT.
PCLOCK - Портит FAT.
PCW271xx.ARC - Троянская версия PC-Write v2.71, размером 98274 байта. Портит FAT.
PKX35B35.EXE - Портит FAT. Настоящая - PKX35A35.
RCKVIDEO - Под картинки рок-звезды портит FAT.
SCRNSAVE.COM - Затирает винчестер.
SECRET.BAS - Форматирует диски.
SEX-SHOW.ARC - Затирает все файлы в каталоге.
SIDEWAYS.COM - Настоящая программа обеспечивает фоновую печать, эта - портит бут-сектор.
SUG.ARC - Якобы снимает защиту Softguard, портит FAT.
TOPDOS - Форматирует винчестер.
VDIR.COM - Портит файлы на диске.
VISIWORD.ARC - Портит диск.
WARDIAL1.ARC - Портит FAT.

С распространением троянских программ стали создаваться программы защиты, которые можно рассматривать и как первые антивирусные программы. Зимой 1984 г. Анди Хопкинс (Andy Hopkins) написал программы Chk4Bomb и BombSqad. Первая из них позволяла проанализировать текст загрузочного модуля и выявляла все текстовые сообщения и "подозрительные" участки кода (команды прямой записи на диск и др.). Благодаря своей простоте (фактически использовался только контекстный поиск) и эффективности Chk4Bomb получила значительную популярность. Программа BombSqad перехватывает операции записи и форматирования, выполняемые через BIOS. При выявлении запрещенной операции можно разрешить ее выполнение. В начале 1985 г. Ги Вонг (Gee Wong) написал программу DProtect - резидентную программу, перехватывающую попытки записи на дискеты и винчестер. Она блокировала все операции (запись, форматирование), выполняемые через BIOS. В случае выявления такой операции программа требует рестарта системы. Несколько позднее появилась программа FluShot, написанная R.M.Greenberg (Р.М.Гринберг). Более поздняя версия этой программы - FluShot Plus (версия 1.7), используется и в настоящее время.

Из европейских программ отметим резидентный сторож VirBlk, который был написан в Вене Михелем Фитцем, и программу Anti4us2, написанную Э.Лайтингом. Название последней связано с тем, что число 4 по-немецки звучит как "фир", что позволяет прочитать название как "антифирус2".