البرامج الضارة التي دخلت التاريخ. الجزء الثالث

يمكن أن يكون موضوع الفن صورة ، نحت ، قصيدة ، سيمفونية وحتى فيروس كمبيوتر ، مهما بدا الأمر غريباً. لسوء الحظ ، فإن إنشاء الفيروسات هذه الأيام محفوف بالربح من إنشائها أو إلحاق الضرر بالآخرين. ومع ذلك ، في فجر تكنولوجيا الكمبيوتر ، كان كتاب الفيروسات فنانين حقيقيين ، كانت ألوانهم عبارة عن قطع من الكود ، ومختلطة بمهارة ، وتحولوا إلى تحفة فنية. وكان هدفهم ليس الإساءة لشخص ما بقدر ما يعلن نفسه ، لإظهار ذكاءهم وذكائهم ، وأحيانًا فقط لتسلية الناس. سنواصل اليوم التعرف على العديد من إبداعات مؤلفي الفيروسات ، والتي تستحق اهتمامنا بطريقة أو بأخرى. (إذا كنت ترغب في التعرف على الأجزاء السابقة ، فإليك الروابط: الجزء الأول والجزء الثاني )

قنبلة شوكة (كل شيء عبقري بسيط) - 1969

إن قنبلة الشوكة ليست فيروسًا أو دودة منفصلة ، ولكنها عائلة من البرامج الضارة البسيطة للغاية. يمكن أن يتكون هيكل رمز قنبلة شوكة من 5 أسطر فقط. استخدام بعض اللغات لكتابة هذا النوع من البرامج الضارة يلغي الحاجة إلى استخدام النقطتين والأقواس وأحيانًا جميع الأحرف الأبجدية الرقمية.

هناك قنبلة شوكة بطريقة بسيطة للغاية: بالنسبة للمبتدئين ، يقوم البرنامج بتحميل نفسه في الذاكرة ، حيث يقوم بإنشاء عدة نسخ منه (عادة نسختان). علاوة على ذلك ، تقوم كل من هذه النسخ بإنشاء العديد من النسخ مثل النسخة الأصلية ، وهكذا حتى تمتلئ الذاكرة تمامًا ، مما يؤدي إلى تعطل النظام. اعتمادًا على الجهاز ، تستغرق هذه العملية من بضع ثوانٍ إلى عدة ساعات.

واحدة من أولى الحالات المسجلة لقنبلة فورك هي ظهورها على الكمبيوتر بوروز 5500 في جامعة واشنطن في عام 1969. تم تسمية هذا البرنامج الضار RABBITS. في عام 1972 ، قام كاتب الفيروسات Q The Misanthrope بإنشاء برنامج مماثل في BASIC. من المضحك أنه في هذه اللحظة كان المؤلف في الصف السابع. كانت هناك أيضًا حالة في شركة غير معروفة ، في عام 1973 ، عندما أصيب IBM 360 الخاص بهم ببرنامج الأرانب. ونتيجة لذلك ، تم فصل موظف شاب متهم بنشر الفيروس.

شلال (يسقط) - 1987

واحد من أطرف الفيروسات في عصره. لماذا نكتشف المزيد.

عندما دخل الفيروس إلى النظام وتم تنشيطه ، تحقق أولاً من وجود السطر "COPR. آي بي إم. " إذا كان هناك واحد ، فيجب أن يتوقف الفيروس ولا يصيب هذا الجهاز ، ولكن بسبب خطأ في رمز الفيروس ، حدثت العدوى على أي حال. بعد ذلك ، أصبح Cascade مقيمًا في الذاكرة. أصاب الفيروس أي ملف .com عند إطلاقه. استبدل Cascade أول 3 بايت من الملف برمز أدى إلى رمز الفيروس نفسه.

والآن لنتائج الفيروس. وقد أصبحت سارية المفعول إذا تم إطلاق الملف المصاب من 1 أكتوبر إلى 31 ديسمبر 1988. بدأت جميع الشخصيات على شاشة DOS ببساطة في السقوط عشوائيًا ، حرفياً ، أسفل الشاشة. لهذا السبب تم تسمية الفيروس Cascade (cascade). في بعض الأحيان في نفس الوقت تم استنساخ بعض الأصوات.

بعد الانتشار في جميع أنحاء العالم ، ظهرت العديد من متغيرات Cascade - حوالي 40. تم إنشاء بعضها من قبل المؤلف السابق على أمل إصلاح خطأ مع الاعتراف بحقوق الطبع والنشر لشركة IBM ، ومع ذلك ، استمرت هذه المتغيرات الفيروسية في إصابة أنظمة الكمبيوتر العملاقة بنجاح. أدت الخيارات الأخرى بدلاً من شلال الأحرف إلى تنسيق محركات الأقراص الثابتة أو احتوت ببساطة على نوع من الرسائل. على أي حال ، كان فيروس كاسكيد الأصلي الذي تذكره الكثيرون.

من المضحك أن المؤلف حاول تجنب إصابة أجهزة الكمبيوتر من شركة IBM ، ولكن في الوقت نفسه لم يكن هؤلاء المصابين فقط ، ولكن كان المكتب بأكمله في بلجيكا ضحية. ونتيجة لذلك ، أصدرت شركة IBM برنامج مكافحة الفيروسات للجمهور ، والذي تم استخدامه سابقًا فقط داخل الشركة.

لا يوجد شيء معروف عن أصل الفيروس ومؤلفه. هناك تكهنات بأن Cascade كتبها شخص من ألمانيا أو سويسرا.

إيدي (قدس اسمك) - 1988

واحدة من أولى الفيروسات البلغارية وأول إنشاء لـ Dark Avenger ، الذي أصبح مشهورًا للغاية ليس فقط بفضل فيروساته ، ولكن أيضًا لما يسمى محرك الطفرة المظلمة Dark Dark (حول ذلك لاحقًا). قام Dark Avenger بتسمية فيروسه تكريمًا لرمز مجموعة Iron Maiden - وهي هيكل عظمي اسمه Eddie.

بعد دخول الكمبيوتر ، أصبح الفيروس مقيمًا في الذاكرة. وكان ضحايا الإصابة ملفات. com و. exe. في الوقت نفسه ، لم تكن هناك حاجة لتنفيذ هذه البرامج للعدوى ، كان يكفي قراءتها (نسخ ، نقل ، التحقق من محتويات الملف). كانت هناك أيضًا فرصة للإصابة ببرنامج مكافحة الفيروسات ، مما قد يؤدي إلى إصابة أي ملف تم فحصه بواسطة هذا البرنامج. بعد كل إصابة 16 ، أعاد الفيروس كتابة قطاع عشوائي.


من هو مؤلف بعضها لا يزال مجهولا. خيارات Eddie القادمة من قلم Dark Avenger:

• Eddie.V2000 - يحتوي على "الرسائل" التالية: "Copy me - I want to travel"؛ "© 1989 بقلم Vesselin Bontchev." ؛ "فقط الخير يموت صغيرا ..."
• Eddie.V2100 - يحتوي على عبارة "Eddie يعيش" وإذا كان هناك فيروس الجمرة الخبيثة في آخر قطاع من القرص ، قم بنقله إلى جدول الأقسام ، وبالتالي استعادة الفيروس.

لفترة طويلة ، احتفظ إيدي بحالة فيروس Volgar الأكثر شيوعًا ، بينما تم تسجيله في ألمانيا الغربية والولايات المتحدة والاتحاد السوفيتي.

والد عيد الميلاد (Ho-ho-ho) - 1988

قبل وقت قصير من عيد الميلاد (الكاثوليكية) في عام 1988 ، بدأت دودة الأب عيد الميلاد رحلتها عبر DECnet (نسخة مبكرة من الإنترنت ، دعنا نقول ذلك). تعتبر جامعة نوشاتيل في سويسرا مكان ولادة الدودة.

كان ملف HI.COM بمثابة دودة ، والتي نسخت نفسها من عقدة DECnet إلى أخرى. ثم حاول تشغيل نفسه إما باستخدام Object Object 0 (برنامج يسمح لك بتنفيذ إجراءات بين جهازي كمبيوتر متصلين) أو من خلال تسجيل الدخول وكلمة المرور على DECnet. إذا فشل الإطلاق ، تقوم الدودة بحذف ملف HI.COM من نظام الضحية. إذا نجحت ، يتم تحميل الدودة في الذاكرة ، وبعد ذلك تستخدم عملية MAIL_178DC لحذف ملف HI.COM. ترسل الدودة بعد ذلك شعار SYN $ ANNOUNCE إلى 20597 :: PHSOLIDE ، وبعد ذلك تقوم بفحص ساعة النظام. إذا كان وقت الإصابة بين 00:00 و 00:30 في 24/12/1988 ، فإن الدودة تنشئ قائمة بجميع مستخدمي النظام وترسل نسخها إليهم. إذا حدثت العدوى بعد الساعة 00:30 من التاريخ أعلاه ، توقفت الدودة ببساطة عن النشاط.

بحثًا عن ضحية جديدة ، ولدت الدودة بشكل عشوائي رقمًا يتراوح من 0 إلى 63 * 1024. عندما تم العثور على الرقم المناسب ، قام بنسخ ملف HI.COM إلى مياه الضحية. بعد الساعة 00:00 يوم 24/12/1988 لم يتم التوزيع.

عرض الأب عيد الميلاد أيضًا رسالة (ودية للغاية ، إذا جاز لي أن أقول ذلك عن البرامج الضارة والحرف):

"من: NODE :: الأب عيد الميلاد 24-ديسمبر 1988 00:00
إلى: أنت ...
Subj: بطاقة عيد الميلاد.

مرحبًا

كيف حالك واجهت صعوبة في تحضير جميع الهدايا. إنه
ليست مهمة سهلة للغاية. أتلقى المزيد والمزيد من الرسائل
الأطفال كل عام وليس من السهل الحصول على الرهيب
Rambo-Guns ، الدبابات والسفن الفضائية هنا في
القطب الشمالي. ولكن الآن الجزء الجيد قادم. توزيع الكل
الهدايا مع مزلقة والغزال متعة حقيقية. عندما أنا
تنزلق إلى أسفل المداخن التي غالبا ما أجد هدية صغيرة تقدمها
الأطفال ، أو حتى براندي القليل من الأب. (نعم!)
على أي حال ، أصبحت المداخن أكثر إحكامًا وإحكامًا في كل مرة
عام. أعتقد أنني يجب أن أضع نظامي الغذائي مرة أخرى. وبعد ذلك

عيد الميلاد لدي عطلتي الكبيرة :-).

الآن توقف عن الحوسبة واستمتع بوقتك في المنزل !!!

عيد ميلاد سعيد
وسنة جديدة سعيدة

والدك عيد الميلاد »

لم يصبح الأب عيد الميلاد محتلاً للعالم ، فقد أصاب 6000 آلة فقط ، وقام 2 ٪ فقط منهم بتنشيط الدودة. ومع ذلك ، هناك حقيقة غريبة: وصلت دودة من سويسرا إلى مركز جودارد لرحلات الفضاء في إحدى ضواحي واشنطن في 8 دقائق فقط.

لم يتم العثور على منشئ مثل هذه الدودة غير المعتادة والمرتبطة زمنياً. من المعروف فقط أنه تم استخدام جهاز كمبيوتر من الجامعة ، والتي كان بإمكان العديد من الأشخاص الوصول إليها.

الآيسلندية (Eyjafjallajökull) - 1989

الفيروس الأول الذي أصاب ملف exe فقط على نظام DOS. مكان الميلاد - أيسلندا.

وصلت الأيسلندية إلى الكمبيوتر في شكل ملف exe. ، عند بدء التحقق من الفيروس نفسه في ذاكرة النظام. إذا لم يكن هناك نسخة منه ، أصبح الفيروس مقيمًا. كما قام بتعديل بعض كتل الذاكرة لإخفاء حضوره. قد يؤدي هذا إلى تعطل النظام إذا حاول البرنامج الكتابة إلى هذه الكتل نفسها. ثم أصاب الفيروس كل ملف قابل للتنفيذ العاشر ، مضيفًا الكود الخاص به في نهاية كل ملف. إذا كان الملف للقراءة فقط ، فستحذف اللغة الأيسلندية رمزها.

إذا كان الكمبيوتر يستخدم محركات أقراص صلبة أكبر من 10 ميغابايت ، حدد الفيروس منطقة FAT التي لم يتم استخدامها ووضع علامة عليها على أنها معطلة. تم تنفيذ هذه العملية في كل مرة يصاب فيها ملف جديد.

كانت هناك أيضًا عدة أنواع من الآيسلندية ، والتي اختلفت عن بعضها البعض في بعض الوظائف والخصائص:

• آيسلندا 632 - يصاب كل برنامج ثالث. تم وضع علامة كمجموعة واحدة مكسورة على القرص ، إذا كان حجمها أكثر من 20 ميغابايت ؛
• Icelandic.B - تم تحسينه لتعقيد الكشف عن طريق بعض مضادات الفيروسات ؛ ولم يقم بأي إجراءات بخلاف التوزيع ؛
• Icelandic.Jol هو نوع فرعي من الأيسلندية B ، التي عرضت رسالة على Jlesileg jol (Merry Christmas) الآيسلندية في 24 ديسمبر ؛
• Icelandic.Mix1 - تم اكتشافه لأول مرة في إسرائيل ، وتسبب في تشويه الشخصيات عند نقلها إلى أجهزة تسلسلية (على سبيل المثال ، الطابعات) ؛
• Icelandic.Saratoga - من المحتمل أن يصاب ملفًا قيد التشغيل بنسبة 50٪.

الماس (تألق لامع مثل الماس) - 1989

فيروس آخر من بلغاريا. من المفترض أن مؤلفه هو Dark Avenger ، نظرًا لأن هذا الفيروس له الكثير من القواسم المشتركة مع إنشائه الأول ، Eddie.

عندما تم إطلاق برنامج مصاب ، اخترق الفيروس الذاكرة ، محتلاً 1072 بايت. قام الفيروس بفحص البرامج التي تحتوي على أجهزة مقاطعة 1 أو 3. إذا كان هناك أي منها ، تسبب هذا الفحص في تجميد النظام ولم يعد بإمكان الفيروس تكرار نفسه. في حالة عدم وجود مثل هذه البرامج ، انضم Diamond إلى أي برنامج قيد التشغيل يقل وزنه عن 1024 بايت. أثناء عملية الإصابة ، تجنب الفيروس ملف COMMAND.COM. أيضا في الفيروس نفسه ، كان من الممكن اكتشاف خط يسهل التعرف عليه - "7106286813".

أصبح الماس سلفًا للعديد من متغيراته ، والتي اختلفت في نوع التأثير على الجهاز المصاب وطريقة الانتشار والعدوى:

صخرة ثابتة

فيروس 666 بايت لم يصبح مقيمًا في الذاكرة إذا حدثت الإصابة في اليوم الثالث عشر من أي شهر. بدلاً من ذلك ، قام بتنسيق أول 1 إلى 10 قطاعات على محرك الأقراص الثابتة الأول. بعد ذلك ، قمت بالكتابة فوق أول 32 قطاعًا لمحرك الأقراص C: مع بيانات غير مهمة وإعادة تشغيل النظام. تم اكتشافه لأول مرة في مونتريال (كندا).

كان من الغريب تمامًا الطريقة التي تم بها إصابة الملف. بادئ ذي بدء ، فحص Rock Steady "وزن" الملف: أقل من 666 بايت (لأي تنسيق) وأكثر من 64358 بايت (لملفات .com). بعد ذلك ، فحص الفيروس ما إذا كانت أسماء الملفات تبدأ بالحرفين "MZ" و "ZM" ، وبعد ذلك قاموا بتغييرها من "ZM" إلى "MZ" والعكس صحيح. قام الفيروس أيضًا بتغيير القيمة إلى 60 وأزال "وزنه" البالغ 666 بايت من حجم الملف المصاب.

ديفيد

ربما جاء من إيطاليا. شوهد لأول مرة في مايو 1991. لم يتمكن الإصدار الأول من هذا الفيروس من إصابة ملفات exe. لكن نسخته الفرعية ، التي تم إصدارها في أكتوبر 1992 ، كان لديها هذا الاحتمال بالفعل. أدى ذلك إلى تعطل النظام بشكل متكرر عندما تم تنفيذ ملف .com ، بينما أثناء الإصابة لم يتجنب الفيروس ملف COMMAND.COM ، كما فعل الملف الأصلي. إذا تم تشغيل ملف exe. المصاب يوم الثلاثاء ، قام الفيروس بتهيئة الأقراص. كما تظهر على الشاشة كرة بينج بونج القفز ورسالة على النحو التالي:

© David Grant Virus Research 1991 PCVRF Disribuite هذا الفيروس
بحرية !!! ... آه ... جون ... اللعنة عليك!

الضرر

هناك رأي مفاده أن هذا الفيروس تم إنشاؤه من قبل الشخص الذي كتب ديفيد ، منذ أن تم العثور على الضرر أيضًا في مايو 1991 ، أيضًا في إيطاليا. أصاب الفيروس الملف ، الذي تجاوز حجمه 1000 بايت ، بينما لم يتم تجنب الملف COMMAND.COM. إذا أظهرت ساعة النظام 14:59:53 ، ظهرت ألماسة متعددة الألوان على الشاشة ، تنقسم إلى ألماس أصغر ، مما أدى إلى إزالة الشخصيات من الشاشة. تم العثور على عبارتي "ضرر" (الذي سميت باسمه) و "القفز من أجل الفرح !!!" في رمز الفيروس.

لوسيفر

اكتشف فيروس آخر من إيطاليا في مايو 1991. أصاب الملف أكثر من 2 كيلو بايت ، بما في ذلك COMMAND.COM. إذا كان الطابع الزمني للملف 12:00 قبل الإصابة ، يختفي الفيروس بعد الإصابة.

جيرملين

أوه ، هذه إيطاليا ، أوه ، في مايو 1991. هذا الفيروس أيضا من هناك. تباطأ النظام بشكل كبير (حوالي 10٪). في 14 يوليو من أي عام ، أعدت كتابة بعض قطاعات محركات الأقراص A: و B: و C:.

كانت هناك العديد من الخيارات الأخرى ، ولكن ميزتها الرئيسية كانت أنها لم تتحقق من توفر نسخها في ملفات الضحية ، مما أدى إلى إعادة إصابة هذه الأخيرة.

ألاباما (ألاباما شيك) - 1989

فيروس تحت نظام DOS أصاب ملفات exe. عندما تم تنشيط ملف مصاب ، أصبح الفيروس مقيمًا في الذاكرة. ومع ذلك ، على عكس الفيروسات المقيمة الأخرى ، لم تصيب ألاباما الملف عند تشغيله. بحث الفيروس عن ملف للعدوى في هذا الدليل ، وإذا لم يفلح ذلك ، فقد تحول فقط إلى طريقة إصابة الملفات التي تم تنشيطها. وأيضًا ، يوم الجمعة ، بدلاً من إصابة الملفات ، فتح الفيروس بعض الملفات التعسفية بدلاً من ما أراد المستخدم فتحه. عرضت ألاباما نصًا وامضًا على الشاشة بعد ساعة من إصابة النظام:

نسخ البرامج المحظورة بموجب القانون الدولي ...
1055 توسكامبيا ألاباما الولايات المتحدة الأمريكية.

محرك طفرة الظلام المنتقم (DAME) - 1991

هذا ليس فيروسًا ، لكن هذه الوحدة صنعت بعض Dark Avenger ، الذي ذكرناه سابقًا ، مشهورًا للغاية.

عندما أصاب فيروس يستخدم DAME ملفًا ، أعطت برامج الفدية رمز الفيروس كقمامة. وعندما تم فتح الملف ، أعاد مفكك التشفير رمز الفيروس إلى نموذج عمله السابق.

كما أضاف Dark Avenger أرشيفًا يحتوي على وحدة منفصلة لتوليد أرقام عشوائية ، ساعدت ، عند استخدامها ، على انتشار الفيروس.

بفضل وحدة DAME ، أصبح من الأسهل بكثير على كتّاب الفيروسات إنشاء فيروسات متعددة الأشكال ، على الرغم من تعقيد تنفيذ الوحدة النمطية في رمز الفيروس الأصلي. علاوة على ذلك ، جعل استخدام الوحدة النمطية من الممكن إنشاء العديد من المتغيرات لنفس الفيروس. وفقا لباحثي البرمجيات الخبيثة ، بحلول نهاية عام 1992 ، كان هناك حوالي 900،000 نوع من متغيرات الفيروسات التي تستخدم DAME.

المركبة الفضائية (العودة في الاتحاد السوفياتي) - 1991

لذا وصلنا إلى أرضنا الأصلية. تم إنشاء فيروس Starship في اتحاد الجمهوريات الاشتراكية السوفياتية. لكن سماته المميزة لا تنتهي عند هذا الحد.

كانت معقدة للغاية ، في وقت واحد ، وغير عادية طريقة العدوى بفيروس Starship. أصاب هذا الفيروس ملفات مثل .com و. exe. عندما فتحت هذه الملفات ، أصابت Starship سجل التمهيد الرئيسي. في الوقت نفسه ، لم يصبح الفيروس مقيمًا في الذاكرة ولم يصيب ملفات .com و / أو exe. قامت Starship بتعديل ثلاثة بايت في جداول البيانات المقسمة وحقنت كودها في 6 قطاعات متتالية من المسار الأخير لمحرك الأقراص الصلبة.

كما تتبع Starship أيضًا عدد مرات تشغيل الكمبيوتر. عندما حدث ذلك ، قام الفيروس بتحميل نفسه في ذاكرة الفيديو ، حيث تم فك تشفيره (وبعبارة أخرى ، تم نشره). أثناء وجوده في ذاكرة الفيديو ، انتهك الفيروس المقاطعات من أجل حماية نفسه من إعادة الكتابة على القرص الصلب وانتظر إكمال البرنامج الأول الذي وصل إليه. عندما حدث ذلك ، انتقل الفيروس إلى الذاكرة الرئيسية ، حيث احتل 2688 بايت.

ثم أصابت Starship ملفات .com و. exe على محركات الأقراص A: و B:. في الوقت نفسه ، أضاف رمزه داخل الملف فقط بعد إغلاقه ، مما أدى إلى تعقيد الكشف.

كانت نتيجة الفيروس مرئية بعد 80 عملية تنزيل للكمبيوتر. إلى الأصوات اللحنية على الشاشة ، تم عرض وحدات البكسل الملونة ، كل منها يشير إلى أحد الاتصالات بالأقراص.

Groove ("عندما تحصل على أخدود مستمر ، الوقت يمر") - 1992

وهنا فقط الفيروس الذي استخدم إنشاء Dark Avenger DAME للتشفير (الفقرة 8). كان Groove أول فيروس يستخدم الوحدة المذكورة أعلاه لإصابة ملفات exe. وطن هذا البرنامج الضار هو ألمانيا ، على الرغم من أنها تمكنت من الانتشار في جميع أنحاء العالم ، حتى وصلت إلى الولايات المتحدة.

كان الفيروس ، بعد تنشيط الملف المصاب ، في ذاكرة "عالية" ، تحت الحد


Groove .com .exe, . .exe, ( , ). . COMMAND.COM .

00:30 :

Dont wory, you are not alone at this hour…
ThisVirus is NOT dedicated to Sara
its dedicated to her Groove (...Thats my name)
This Virus is only a test Virus there for
be ready for my Next Test ….

, .

Qark's Incest family («we are family, I got all my sisters with me…») — 1994

, «» Qark, «VLAD» (Virus Labs & Distribution). Qark 1994 1997 .

« » .

Daddy

MCB (Memory Control Block), , MCB . MCB (0x0008 — command.com) INT 21h.

. Daddy FCB findfirst/findnext. .

Daddy :

[Incest Daddy]
by Qark/VLAD

Mummy

MS-DOS , .COM .EXE. .com , .exe. .exe, INT 21h.

Daddy, . Mummy : - .com . ASCII FindFirst, . .

Mummy :

[Mummy Incest] by VLAD of Brisbane.
Breed baby breed!

Sister

MCB, Daddy. : , , Chmod, . «magic» MZ.

Sister:

[Incest Sister]
by VLAD — Brisbane, OZ

Brother

, , «»: MCB, INT 21h. Central Point Anti-Virus Microsoft Anti-Virus. 62.

Tentacle (I'm the Tentacle Virus!) — 1996

, , . .

Windows. — .exe. 1 , Windows — 2. .

Tentacle ( ), 00:00 00:15.

:

Virus Alert! This file is infected with Win.Tentacle

CAP (Dios y Federacion) — 1996

Word, Jacky Qwerty . .

10 15 , Word. , :

• CAP
• AutoExec
• AutoOpen
• FileOpen
• AutoClose
• FileSave
• FileSaveAs
• FileTemplates
• ToolsMacro
• FileClose

5 , . CAP NORMAL.DOT, . Macros, Customize Templates. , .

:

'CAP: Un virus social… y ahora digital…
'“j4cKy Qw3rTy» (jqw3rty@hotmail.com).
'Venezuela, Maracay, Dic 1996.
'PD Que haces gochito? Nunca seras Simon Bolivar… Bolsa !

Esperanto («I did a movie in Esperanto») — 1997

. Microsoft Windows DOS x86 , MacOS Motorola PowerPC .

Windows DOS

, , . , . .com .exe . DOS, NewEXE Portable EXE.

MacOS

MDEF . Intel Motorola. , , . MacOS PowerPC Motorola Macintosh. , . Esperanto Finder, . Windows DOS, MacOS .

Esperanto Windows MacOS . MacOS .com .exe, MDEF , . .com .exe MacOS , Windows.

26 ( 32-bit Windows):

Never mind your culture / Ne gravas via kulturo,
Esperanto will go beyond it / Esperanto preterpasos gxin;
never mind the differences / ne gravas la diferencoj,
Esperanto will overcome them / Esperanto superos ilin.

Never mind your processor / Ne gravas via procesoro,
Esperanto will work in it / Esperanto funkcios sub gxi;
never mind your platform / Ne gravas via platformo,
Esperanto will infect it / Esperanto infektos gxin.

Now not only a human language, but also a virus…
Turning impossible into possible, Esperanto.

26 , — . 26 1887 , .

Gollum («my preciousss") — 1997

GriYo, DOS/Windows .

Gollum .exe, , «v» «TB», .

GOLLUM.386. system.ini DEVICE=GOLLUM.386. .

Gollum . .exe DOS , .

Gollum GOLLUM.EXE.

:

GoLLuM ViRuS by GriYo/29A
Deep down here by the dark water lived old
Gollum, a small slimy creature. I dont know
where he came from, nor who or what he was.
He was a Gollum -as dark as darkness, except
for two big round pale eyes in his thin face.
JRR ToLkieN… The HoBBit

هذا مقتطف من كتاب The Hobbit من تأليف J.R. R. Tolkien ، الذي يصف مخلوقًا اسمه Gollum ، وهو أيضًا مألوف للكثيرين من كتب The Lord of the Rings ، وكذلك من التعديلات من بيتر جاكسون. كان هذا المخلوق هو الذي أعطى اسمه للفيروس نفسه.

بابل (صدف) - 1999

فيروس برازيلي من قلم كاتب فيروس Vecna ​​الذي أصاب ملفات exe. على أجهزة الكمبيوتر التي تعمل بنظام Windows 9x.

بعد الاستخراج ، لم يصبح الفيروس نشطًا على الفور ؛ بالنسبة للمبتدئين ، قام بتصحيح JMP أو CALL وكان في انتظار مكالمة. قام الفيروس بفحص نواة نظام التشغيل ، وتلقي عناوين وظيفة Windows API ، وتثبيت نفسه تحت ستار برنامج تشغيل نظام VxD.

خصص الفيروس مقدارًا معينًا من الذاكرة ، مؤسسًا ارتباطًا في معالج IFS. وبعد ذلك كنت أتوقع الوصول إلى التعليمات ، الملفات التنفيذية المحمولة ، وملفات WSOCK32.DL. أيضا ، قام فيروس Babylonia بفحص النظام الخاص بمكتبات مكافحة الفيروسات التي تم تنزيلها SPIDER.VXD و AVP.VXD. إذا كان هناك أي شيء ، قام الفيروس بتصحيحها ، ونتيجة لذلك لم يعد بإمكانهم فتح الملفات.

عندما يصيب فيروس Babylonia ملفًا قابلاً للتنفيذ ، فإنه يلتصق بالقطاع الأخير أو يستبدل قسم .reloc. سيتم أيضًا فحص قسم الكود بحثًا عن المساحة المتاحة لإجراء مكالمة للفيروس. يتم إصابة ملفات التعليمات عن طريق تمرير التحكم إلى رمز الفيروس عبر وظيفة رد الاتصال API32 EnumWindows API.

انتشر الفيروس عبر البريد الإلكتروني. بادئ ذي بدء ، أضاف رمزه إلى الدالة send () في WSOCK32.DLL. أدى ذلك إلى حقيقة أنه في جميع الرسائل التي أرسلها المستخدم من الجهاز المصاب ، كانت هناك ملفات مرفقة مصابة بفيروس يسمى X-MAS.exe مع رمز عيد الميلاد.

تعذر إصابة الإصدارات اللاحقة من Windows ، حيث كان لدى Babylonia مكالمات VxD محددة كانت حصرية لـ Windows 9x.

يمكن تحديث فيروس Babylonia باستخدام وحدة التحديث عبر الإنترنت. تم وضع هذه الوحدة النمطية في مجلد نظام Windows تحت اسم KERNEL32.EXE ، والذي تم تشغيله عند بدء تشغيل النظام نفسه. أيضًا ، لا يمكن رؤيته في قائمة المهام عبر CTRL + ALT + DEL.

على الرغم من أن فيروس بابل لم ينتشر على نطاق واسع ولم يصبح تهديدًا عالميًا ، إلا أن طرق انتشاره وعدوى وتحديث الوحدة سمحت لهذا الفيروس باكتساب شعبية.

لم أجد بيانات تتعلق باسم هذا الفيروس. ومع ذلك ، فإن بابل هو اسم جنس الرخويات البحرية. يمكن الافتراض أيضًا أن اسم الفيروس يأتي من كلمة "بابل" (بابل مدينة في بلاد ما بين النهرين القديمة).

اللعنة (الرتق ، الفيروس مرة أخرى) - 2000

فيروس لأنظمة سلسلة Windows 9x نشأ في روسيا.

عند تنشيطه ، قام الفيروس بتحميل نفسه في الذاكرة ، وبعد ذلك أصاب ملفات exe المنشط ، مضيفًا الكود الخاص بها إليها.


كل ذلك لنفس الغرض - لإخفاء نفسه - أزال الفيروس برامج تشغيل مكافحة الفيروسات VxD AVP و Spider. تجنب أيضًا الكشف عن طريق مصحح أخطاء Soft-Ice من Microsoft.

يخفي الفيروس كل شهر ، في اليوم الأول ، جميع الرموز من سطح المكتب عن طريق إضافة القيمة "1" إلى "HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer No Desktop".

يمكن اكتشاف ما يلي في رمز فيروس Dammit:

DAMMiT بواسطة ULTRAS [MATRiX]
© 2000

حيث ULTRAS هو مؤلف الفيروس ، و MATRiX هي مجلة كتاب الفيروسات ، حيث تم نشر رمز هذا الفيروس.

Blebla ("لأنه لم يكن أبداً قصة ويل أكثر من جولييت وروميو") - 2000

Postworm من بولندا مكتوبة في دلفي. أصبح أحد الديدان الأولى التي يمكن تنشيطها دون تدخل مستخدم جهاز مصاب. يُعرف أيضًا باسم فيرونا أو روميو وجولييت.


في هذه الرسالة كان هناك ملفان مرفقان Myjuliet.chm و Myromeo.exe. احتوى نص الرسالة نفسها على HTML ، الذي حفظ الملفات المرفقة في مجلد Windows Temp وأطلق Myjuliet.chm. هذا الأخير ، بدوره ، استخرج الجزء الرئيسي من الدودة من ملف Myromeo.exe.

يقوم Myromeo.exe بتشغيل مهمة Romeo & Juliet ، والتي يمكن رؤيتها في قائمة المهام. يبحث عن عملية تسمى HH.exe تقوم بمعالجة ملفات .chm ، ويحاول إلغاء تنشيطها لتجنب تحذير المستخدم من وجوده.

بعد ذلك ، تنتشر الدودة من خلال ستة خوادم بريد موجودة في بولندا (لا يعمل أي منها بالفعل):

• 213.25.111.2 memo.gate.pl
• 194.153.216.60 mail.getin.pl
• 195.117.152.91 dns.inter-grafix.com.pl
• 212.244.199.2 gate.paranormix.net.pl
• 195.116.62.86 madmax.quadsoft.com
• 195.117.99.98 promail.pl

تحتوي الدودة أيضًا على محرك SMTP الخاص بها ، والذي يحاول إنشاء اتصال مع أحد الخوادم أعلاه لإرسال بريد إلكتروني مع ملفات MIME المرفقة.

على الرغم من حقيقة أن الدودة لم تسبب الكثير من الأذى ، إلا أنها تلقت الكثير من الدعاية في وسائل الإعلام.

YahaSux / Sahay (أنا لا أحبك) - 2003

من بين كتّاب الفيروسات لديهم موزارت وساليري الخاصة بهم. إنهم رائعون بنفس القدر ، ولا يحبون بعضهم البعض. دودة YahaSux هي إنشاء جيجابايت ، والتي على ما يبدو لم تعجب مؤلف دودة Yaha.

تلقى الضحية رسالة بريد إلكتروني حول موضوع "Fw: اجلس وتفاجأ ..." بالمحتوى التالي:

فكر في رقم بين 1 و 52.
قلها بصوت عالٍ واستمر في التكرار أثناء القراءة.
فكر في اسم شخص تعرفه (من الجنس الآخر).
الآن عد أي مكان في الأبجدية ، الحرف الثاني من هذا الاسم له.
أضف هذا الرقم إلى الرقم الذي كنت تفكر فيه.
قل الرقم بصوت عالٍ 3 مرات.
الآن عد أي مكان في الأبجدية يحتوي الحرف الأول من اسمك الأول ، و
اطرح هذا الرقم من الرقم الذي كان لديك للتو.
قلها بصوت عالٍ 3 مرات.
الآن استرخ ، شاهد عرض الشرائح المرفق ، وتفاجأ ..

هذا الملف المرفق بالرسالة كان شاشة التوقف MathMagic.scr. بعد تنشيط ملف الدودة ، توجد نسخته والملفات القابلة للتنفيذ من برنامج whaha nav32_loader.exe في مجلد النظام. إذا لم ينتج عن البحث أي نتائج ، فإن YahaSux ينسخ نفسه إلى مجلد تحت غطاء ملف winstart.exe.

علاوة على ذلك ، أصبحت المعركة ضد Yaha المكروه أكثر متعة. حاول YahaSux إحباط عملية تسمى WinServices.exe (أو WINSER ~ 1.EXE) ، والتي كانت مرتبطة بـ Yaha.K. حذف ملفات Yaha.K القابلة للتنفيذ من تسجيل المفاتيح واستعادة قيمتها الأصلية. أيضًا ، تم إجراء تغييرات في اتصال WinServices (تم تعيين القيمة على هذا النحو: افتراضي = (دليل النظام) \ winstart.exe) ، مما سمح للدودة بالبدء تلقائيًا عند تشغيل النظام.

قام YahaSux أيضًا بإنشاء ملف yahasux.exe في مجلد النظام وفي مجلد Mirc Download. أرفق نفسه بجميع ملفات .exe في مجلد mirc \ download في Program Files ، وفي الجذر على محرك الأقراص C: أضاف ملف MathMagic.scr.

انتشرت الدودة بإرسال نفسها إلى كافة المستلمين في قائمة دفتر عناوين Outlook.

بعد 40 ثانية من النشاط ، يتوقف نظام الكمبيوتر المصاب. بعد إعادة التشغيل وحذف ملف آخر متعلق بـ Yaha.K - tcpsvs32.exe ، عرضت فيروسات YahaSux النافذة التالية مع الرسالة:



لماذا لم يعجب Gigabyte ، مؤلف YahaSux ، بذلك الدودة Yaha.K ومؤلفها؟ الحقيقة هي أن Yaha.K غيرت الصفحة الرئيسية في Internet Explorer إلى coderz.net ، التي استضافت صفحات الويب الخاصة بجيجابايت نفسها. كل هذا أدى إلى سقوط خادم coderz.net.

في نسخته الجديدة من Yaha.Q ، في الكود ، ترك المؤلف رسالة لمنافسه:

إلى الجيجابايت: CHEErS PAL ، kEp uP tHe g00d w0rK..buT W32.HLLP.YahaSux is ... lolz؛)

مثل صراع العقول.

لوفجيت (افتحني ، لست دودة. # غمزة) - 2003

دودة من الصين تمتلك ممتلكات طروادة.


بعد التنشيط ، قامت الدودة بنسخ نفسها إلى مجلد نظام Windows تحت غطاء أحد الملفات:

• Winrpcsrv.exe
• syshelp.exe
• winrpc.exe
• Wingate.exe
• rpcsrv.exe

من أجل السماح لنفسها بالبدء في نفس الوقت الذي بدأ فيه النظام ، تصرفت الدودة اعتمادًا على إصدار النظام.

Windows 95 أو 98 أو ME

تشغيل السطر = تمت إضافة rpcsrv.exe إلى ملف Win.ini. إذا كانت هناك سجلات على النظام ، فإن القيم "syshelp =٪ system٪ \ syshelp.exe" و "WinGate تهيئة =٪ system٪ \ WinGate.exe -remoteshell" و "تهيئة الوحدة النمطية للتهيئة = RUNDLL32.EXE تمت إضافتها إلى مفتاح التسجيل الخاص بالجهاز المحلي" reg.dll ondll_reg ".

تمت إضافة القيمة "winrpc.exe٪ 1" أيضًا إلى سجل المفاتيح بحيث يمكن إطلاق الدودة في كل مرة يقوم فيها المستخدم بفتح ملف نصي.

Windows 2000 أو NT أو XP

نسخت الدودة نفسها إلى مجلد النظام تحت غطاء ملف ssrv.exe وأضافت القيمة "run = rpcsrv.exe" إلى تسجيل مفاتيح الجهاز المحلي.

تمت أيضًا إضافة السجل الرئيسي للجهاز المحلي Software \ KittyXP.sql \ Install.

بعد هذه الإجراءات ، أدخلت الدودة في مجلد النظام ، ثم تم تنشيطها ، الملفات التالية ، وهي مكونات Trojan الخاصة بها: ily.dll؛ task.dll ؛ reg.dll ؛ 1.dll.

يمكن لبعض هذه الملفات نقل المعلومات إلى hello_dll@163.com أو hacker117@163.com. استمعت الدودة نفسها على المنفذ 10168 ، في انتظار أوامر من منشئها ، الذين تمكنوا من الوصول إليها من خلال كلمة مرور. عند إدخال كلمة المرور الصحيحة ، قامت الدودة بنسخ نفسها في مجلدات ذات وصول مشترك إلى الشبكة تحت غطاء هذه الملفات:


بعد ذلك ، قامت الدودة بمسح النظام بحثًا عن وجود عملية LSASS.EXE (خدمة مصادقة نظام المصادقة المحلية) ومتصلة بها. فعل الشيء نفسه مع العملية المسؤولة عن فتح بيئة القيادة على المنفذ 20168 ، والتي لم تتطلب المصادقة.

قامت الدودة Lovgate بفحص جميع أجهزة الكمبيوتر الموجودة على الشبكة المحلية ، في محاولة للوصول إليها من خلال المسؤول. أولاً ، فعل ذلك بحقل كلمة مرور فارغ ، ثم ، في حالة الفشل ، طبق كلمات المرور العادية التالية:


في حالة نجاح محاولة الوصول ، قام Lovgate بنسخ نفسه تحت غطاء ملف stg.exe إلى المجلد \ admin $ \ system32 \.

لمزيد من التوزيع ، قامت الدودة بمسح مجلد "winpath" والمجلدات الشخصية للمستخدم والمجلد الذي تم إطلاقه فيه ، بحثًا عن وجود عناوين البريد الإلكتروني في الملفات ذات الامتداد الذي يبدأ بـ .ht (على سبيل المثال ، .html).

الخاتمة

لذلك انتهت رحلتنا إلى عالم البرمجيات الخبيثة. على الرغم من أن العديد من المعروضات اليوم تستحق معرضًا منفصلاً. إن عالم الفيروسات والديدان وأحصنة طروادة ضخم ومتنوع. هناك ضرر ، يسبب ابتسامة ، هناك مدمر ، يسرق كل شيء يصادفه. لكن كلاهما ناتج عن عمل العقل المتميز ، الذي لا يتوقف عن البحث عن شيء جديد ، ولا يتوقف عن الاستكشاف. على الرغم من أن هؤلاء الأشخاص لم يوجهوا عقولهم إلى أنبل مسار ، إلا أنهم ما زالوا يعلموننا أنه لن يتم الوصول إلى الحد الأقصى إذا نظرنا إلى أبعد من ذلك. أنا لا أتحمس لكتابة الفيروسات. فقط لا تقف ساكنًا ، وتطور ، واستكشف ، ودع عقلك لا يصل إلى الحد الأقصى. أتمنى لك يوما سعيدا ونراكم قريبا.

يستمر الجمعة السوداء: خصم 30٪ على الدفعة الأولى على الرمز الترويجي BLACK30٪ عند الطلب لمدة 1-6 شهور!

هذه ليست مجرد خوادم افتراضية! هذه هي VPS (KVM) ذات محركات أقراص مخصصة ، والتي لا يمكن أن تكون أسوأ من الخوادم المخصصة ، وفي معظم الحالات - أفضل! لقد جعلنا VPS (KVM) بمحركات مخصصة في هولندا والولايات المتحدة الأمريكية (تكوينات من VPS (KVM) - E5-2650v4 (6 نوى) / 10 جيجابايت DDR4 / 240 جيجابايت SSD أو 4 تيرا بايت HDD / 1 جيجابت في الثانية 10 تيرابايت بسعر منخفض بشكل فريد - من 29 دولارًا شهريًا ، تتوفر الخيارات مع RAID1 و RAID10) ، لا تفوت فرصة تقديم طلب لنوع جديد من الخادم الظاهري ، حيث تنتمي جميع الموارد إليك ، كما هو الحال في خادم مخصص ، والسعر أقل بكثير ، مع أجهزة أكثر إنتاجية!

كيفية بناء البنية التحتية للمبنى. الطبقة باستخدام خوادم Dell R730xd E5-2650 v4 بتكلفة 9000 يورو مقابل سنت واحد؟ ديل R730xd أرخص مرتين؟ فقط لدينا 2 x Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 TV من 249 دولارًا في هولندا والولايات المتحدة!