Болгарский вирусный взрыв
🕛 10.02.2009, 12:59
Сначала необходимо пояснить термин "вирусный взрыв", который сейчас стал модным клише. Дело в том, что всякий процесс, развитие которого происходит по экспоненциальному закону, с математической точки зрения можно назвать "взрывом". Под вирусным взрывом следует понимать экспоненциальное нарастание количества разрабатываемых в данной стране вирусов. Другими словами, это экспоненциальное нарастание количества техно-крыс. Вместе с тем, количество разработанных вирусов не следует путать с количеством зараженных ими программ. Дело в том, что многие вирусы обнаружены на одной-двух программах и существуют только в "коллекциях" вирусологов (которых в этом смысле можно считать основными вирусоносителями). Поэтому следует различать динамику разработки вирусов и динамику их распространения. Это далеко не одно и то же. Кстати, взрыв может быть не таким уж страшным. Например, если количество чего-то удваивается каждые 50 лет, то с математической точки зрения это тоже взрыв, хотя в течении жизни одного поколения он не заметен.Если говорить о динамике разработки вирусов, то здесь безусловно мы имеем дело с процессом, аппроксимирующимся экспоненциальным законом, т.е. со взрывом. А вот динамика случаев заражения или изменения количества зараженных программ подчиняется более сложным законам. Смешивание этих понятий приводит к некоторой путанице. Однако запугивать себя и других огромным количеством вирусов не стоит: достаточно посмотреть приведенные в приложении таблицы, где приведена оценка распространенности того или иного вируса - распространение большинства известных вирусов было подавлено в самом начале, до достижения ими критической массы зараженных программ. Поэтому они представляют собой лишь потенциальную угрозу, как, например, на Украине имеется потенциальная угроза заразиться холерой, малярией или другими эпидемическими инфекциями. Лишь десятка два вирусов из каждой сотни разработанных вызывали случаи массового заражения программ (т.е. распространенность 20% существующих компьютерных вирусов оценивается цифрами 4 или 5 по приведенной в прил. 1 шкале). Вообще говоря, для количества зараженных программ имеют место математические закономерности, характерные для эпидемий: динамика распространения является результатом наложения нескольких случайных процессов, каждый из которых имеет начальный восходящий участок, пик и резкий спад. Кроме того, необходимо учитывать все большую распространенность и быстрое совершенствование средств защиты, а также повышение уровня осведомленности пользователей. В общем, хотя быстрый рост количества компьютерных вирусов - это тревожный симптом, следует трезво оценивать опасность: переоценка так же опасна, как и недооценка.
Как уже отмечалось, Болгария стала одним из мировых центров разработки файловых вирусов. Начиная с середины 1989 г., в СССР наблюдается "наплыв" вирусов из Болгарии, причем ряд разработанных там вирусов оказались весьма изощренными и опасными. Этот поток вирусов, затронувший и западные страны, получил название "болгарского вирусного взрыва". Это не совсем точное название, поскольку правильнее говорить об информационном взрыве: многие из так называемых "болгарских" вирусов либо вообще не были "выпущены на свободу", либо быстро локализованы и уничтожены, не успев создать эпидемию, однако тот факт, что они были собраны В.Бончевым и переданы западным вирусологам в течении достаточно короткого промежутка времени, создал иллюзию "взрыва".
Деятельность болгарских техно-крыс нанесла определенный ущерб нашей стране, поскольку из Болгарии вирусы быстро попадают в СССР. Всего к нам попало порядка 20 болгарских вирусов, ряд из которых распространился достаточно широко. Среди последних отметим группу Dark Avenger (RCE-1800.DAV - Еddie, RCE-02000.DAV - Anti-Bontchev, RC-0-512.DAV и др.) и группу TP-вирусов (RСE-1206.TP, RCE-1805.TP, RCE-2885.TP и др.). Многие сотни, если не тысячи, часов были потрачены на анализ и дезинфекцию зараженных ими программ.
Факты свидетельствуют о том, что, начиная с 1988 г., в Софии сложилась группа лиц, активно разрабатывавшая и распространявшая компьютерные вирусы. Общее количество разработанных ими вирусов приближается к сотне. Первой болгарской техно-крысой, "вышедшей на международную арену", был небезызвестный TP, разработавший группу вирусов, известную под названием Yankee Doodle. Эта техно-крыса, по данным В.Бончева, закончившая свою деятельность по созданию новых вирусов летом 1989 г., ранее была сотрудником Высшего машинно-электротехнического института (теперь Инженерная академия), расположенного в Софии. Фамилия автора вируса E-1961.YSH (В.Бочев) стала известна по попавшему в СССР на вирусной дискете Бончева исходному тексту данного вируса. Правда, несколько странно, что болгарский программист использовал в своей программе мелодию американского марша (песни времен войны за независимость) "Янки Дудль Денди" (Yankey Doodle Dandy). Этот нерезидентный файловый вирус был исторически первым болгарским вирусом, заражавшим EXE-файлы стандартным способом. Кстати, В.Бочев является автором некоторых статей, опубликованных в "Компютър за вас".
Наиболее известной болгарской техно-крысой на данный момент является программист, скрывающийся под кличкой Dark Avenger, "продукция" которого (порядка двух десятков изощренных вирусов) уже могла бы быть оценена в западных странах солидным сроком тюремного заключения. Первым из вирусов, разработанных этой техно-крысой, в СССР попал вирус RCE-1800.DAV Этот вирус, часто называемый Eddie, по содержащейся в нем текстовой строке был и остается одним из наиболее опасных файловых вирусов. В нем предусмотрено разрушение секторов на диске, а также использован несколько отличный от предыдущих вирусов механизм размножения (RCE-1800.DAV заражает файлы не только при выполнении, но и при открытии), обеспечивавший вирусу более быстрое распространение. Весной 1990 г. в нашей стране была обнаружена новая модификация вируса RCE-1800.DAV - RCE-02000.DAV, которая на зараженной машине маскирует увеличение длины зараженных файлов. Это один из наиболее скрытно размножающихся и опасных вирусов-вандалов. В тексте вируса RCE-02000 имеется строка "(c) 1989 by Vesselin Bontchev", расположенная в конце тела вируса, т.е. в последнем блоке зараженной программы. Подобного рода клеветнические приемы типичны для техно-крыс, и В.Бончев не является первым или последним разработчиком антивирусных программ, которому приходится защищаться от "пиратства наоборот". Попытки приписать авторство вирусов разработчикам антивирусных программ или превратить очередные версии этих программ в троянские, т.е. распространяющие новый вирус, предпринимались техно-крысами неоднократно, однако в случае RCE-02000.DAV вирус, являясь резидентным, еще и блокирует запуск антивирусных программ В.Бончева, проверяя загружаемые программы на наличие части приведенной выше строки и вызывая зависание, если строка найдена. В 3-4 номере за 1990 г. журнала "Компютър за вас" В.Бончевым было опубликовано опровержение, подтвердившее, что автором данного вируса является Dark Avenger - предположение, возникшее у большинства советских вирусологов, анализировавших код данного вируса. Более того, в указанном номере опубликовано и письмо самого Dark Avenger. Повидимому, это первая публикация техно-крысы, хотя не совсем понятно, зачем предоставлять технопатам возможность печататься. Поскольку появление письма Dark Avenger по времени совпало с распространением вируса RCE-02000.DAV, это еще раз показывает, насколько техно-крысам присущ "комплекс Герострата". Интересно отметить, что в письме название журнала "Компютър за вас" изменено на достаточно едкое "Вирус за вас", что, учитывая изложенные выше факты, имеет определенные основания.