Появление вирусов в СССР
Так или иначе, компьютерные вирусы стали частью окружающей программистов, да и не только программистов, действительности.
🕛 10.02.2009, 12:40
Одним из свидетельств этого является тот факт, что новое издание словаря Вебстера (Webster's Ninth New College Dictionary) включает термин "вирус компьютерный". И они, конечно, не миновали нашей страны, хотя массовые закупки персональных компьютеров типа IBM PC у нас в стране начались только в середине 1988 г. (как всегда, мы опоздали почти на десять лет). К этому же моменту начался выпуск советских, правда довольно неудачных, клонов - ЕС 1840, Искра 1030 и Нейрон, а также торговля "за рубли" по баснословным ценам клонами, изготовленными в странах Юго-Восточной Азии.Хотя исследования, выполненные в СССР, начались довольно поздно и их формально нельзя отнести к предыстории (автору не известны отечественные попытки создания самовоспроизводящихся программ до 1988 г.), следует отметить, что первый отечественный вирус был разработан, по-видимому, до появления у нас в стране "западных" компьютерных вирусов. Этот вирус, названный в статье [Беляева91] "чивиром", был написан в начале 1988 г. А.А.Чижовым, который в то время работал в ВЦ АН СССР (Москва), якобы с целью "попробовать свои силы" в написании такого рода программ и заодно определить "масштабы копирования" его программ. Судя по всему, это был файловый вирус, в который была встроена проверка времени с тем, чтобы через год вирус потерял способность к размножению. Автор заразил вирусом несколько компьютеров в Москве и по его данным через полгода обнаружил вирус в каждом втором из проверенных им компьютеров. Следует отметить, что в это время персональных компьютеров типа PC XT в СССР было очень мало и они, в основном, были сосредоточены в Москве.
По материалам этого "эксперимента" в 1988 г. была опубликована первая русскоязычная статья по данной проблеме [Чижов88] (журнал был подписан в печать 26.07.88, т.е. во время проведения в CCCР Международного детского компьютерного летнего лагеря - см. ниже). Хотя в ней не приводились сведения о конкретных вирусах в MS DOS (А.А.Чижов живыми экземплярами "западных" вирусов в тот момент, видимо, не располагал), статья содержала полезные сведения о механизме работы этого типа программ и предупреждала о серьезности данной угрозы. В то же время публикация имела и отрицательные последствия, поскольку ввела в оборот "фантомные" на тот момент типы вирусов, которые с тех пор кочуют по отечественным публикациям ("вирус в объектной библиотеке", "вирус в сетевом драйвере" и др.). Кроме того, неконкретность рекомендаций исключала принятие каких-то полезных профилактических мер, а призывы автора к соблюдению авторских прав носили в определенной мере морализаторский характер. Статья была замечена специалистами в Польше (которые, кстати, отметили потенциальную опасность статьи, как пособия по разработке новых типов вирусов [Kadlof89]).
Первый компьютерный вирус (С-648.VEN по приводимой ниже классификации) появился в СССР приблизительно в августе 1988 г. Этот вирус, часто называемый венским вирусом (по предполагаемому месту его разработки), вызывал перезагрузку операционной системы при запуске некоторых из пораженных им программ. Одним из первых мест, где он был обнаружен, являлась лаборатория Института программных систем (Переславль-Залесский). Возможно, он попал в лабораторию во время проведения институтом (совместно с ЮНЕСКО) Международного детского компьютерного летнего лагеря. Поскольку этот вирус к середине 1988 г. был уже довольно распространен в странах Западной Европы, он несомненно завозился в СССР неоднократно, c различного рода новыми версиями программного обеспечения и компьютерными играми. В Киеве этот вирус появился в конце 1988 г. Наибольшее распространение он получил примерно в апреле 1989 г., после чего его эпидемия пошла на убыль, что прежде всего связано с достаточной распространенностью средств защиты от этого вируса. Одним из переносчиков этого вируса в Киеве был адаптированный вариант программы SideKick (шестерка). К сожалению, по стране распространяется реконструированный одним венским программистом исходный текст данного вируса, с довольно подробными комментариями. Этот текст, в частности, был включен В.Бончевым в его так называемую "вирусную" дискету, распространявшуюся вместе с разработанным им пакетом антивирусных программ. Наличие исходного текста создает благоприятные условия для появления штаммов. И, действительно, данный вирус имеет, пожалуй, наибольшее число штаммов из нерезидентных файловых вирусов (см., например, описания вирусов С-534.W13 и С-623.VEN).
Вторым вирусом, попавшим в СССP, был вирус RC-1701.CAS. Данный вирус вызывал довольно интересный эффект "опадания" букв на экране монитора. Этот вирус также имеет западноевропейское происхождение. В СССР впервые был выделен в Институте прикладной математики имени М.В.Келдыша АН СССР. B Киеве появился в начале 1989 г. Средства защиты появились примерно одновременно с вирусом, поэтому существенного вреда вирус не нанес. Первым средством защиты от данного вируса в Киеве была немецкоязычная (австрийская) программа Serum3, которая могла работать как в режиме фага, так и в режиме детектора. Среди первых отечественных программ, применявшихся на начальной стадии эпидемии, следует отметить детектор В.С.Ладыгина (ИПМ АН СССР) Virus_D1.
Попытки программистов организоваться для борьбы с этой новой разновидностью системных программ относятся к началу 1989 г. Так, 12 апреля 1989 г. в Киеве в рамках семинара "Системное программирование" было проведено первое специализированное заседание по антивирусной тематике. В дальнейшем выступления по этой теме стали регулярными и было проведено еще несколько специальных заседаний, посвященных защите от вирусов. Они сыграли определенную роль в сокращении случаев заражения компьютеров и ликвидации эпидемий вирусов C-648.VEN, RC-1701.CAS, и в особенности RC-1813.IER, масштаб эпидемии которого в Киеве был наибольшим. Кстати, этот вирус хорошо прошелся по СССР, реально показав, насколько "невооруженные" пользователи уязвимы от этой новой для них опасности: сотни, если не тысячи часов были потеряны на переформатирование винчестеров и выгрузки архивных копий в надежде избежать повторного заражения. С сентября 1989 г. семинаром "Системное программирование" был организован выпуск электронного бюллетеня Софтпанорама, который стал важным каналом распространения информации о появлении новых компьютерных вирусов и бесплатных программах для борьбы с ними. Список программ, распространявшихся через бюллетень, приведен в прил. 3. В том же месяце начала распространяться редакция 1.0 данной работы.
Первые случаи потери важных данных от компьютерных вирусов стали известны автору в конце 1989 г., когда к нему обратился представитель оптовой базы, у которого, как оказалось, базы данных о хранимых запасах были повреждены вирусом RCE-1800 (Dark Avenger). Периодически автору поступают сообщения о полностью уничтоженном содержимом винчестера, причем характер повреждений не позволяет достоверно установить, имеем ли мы дело с вирусом или с тщательно замаскированной троянской программой (например, подозревается одна версия ColorCAM со сломанной, но как видно, не до конца, защитой), или с выходом из строя самого винчестера. При этом, однако, бросается в глаза тот факт, что примерно у половины пользователей к моменту потери содержимого винчестера не существует его более или менее "свежей" копии. Вот уж действительно прав был Бернард Шоу, сказав: "Опыт содержит самую дорогую школу, однако многие, похоже, не способны учиться ни в какой другой". В конце 1989 г. в Донецке была обнаружена троянская программа в составе "нелегальной" копии известной игры Formula. Эта программа переписывала себя в загрузочный сектор винчестера и через некоторое время стирала CMOS-память.