Das Ende der achtziger Jahre war eine erstaunliche Zeit für das Land der Sowjets. Die angesammelte und wachsende Unzufriedenheit geht in eine Bastard- "Perestroika" über. Im Fernsehen der beschämende Abzug der sowjetischen Truppen aus Afghanistan in Geschäften - leere Regale und Lebensmittelkarten. "Ein Stern namens Sonne" und "Ich will eine Veränderung" ertönen von jedem Eisen. Währenddessen entdeckt
Dmitry N. Lozinsky im Darm des GVC Gosplan der UdSSR auf einem der Computer den Grund für ihr ungewöhnliches Verhalten, das sich als ungewöhnliches Programm herausstellte. Das Neutralisationstool wurde an einem Abend geschrieben und nach dem AIDS-Testsystem benannt, das sie ungefähr zur gleichen Zeit gern im Radio als große Errungenschaft in der Medizin erwähnten.
Der Virus war ein einfaches Programm, dessen Code keiner zusätzlichen Verarbeitung unterzogen wurde und mit spezieller Software leicht erkannt werden konnte. Zu diesem Zeitpunkt gab es noch kein einziges System zur Benennung von Malware. In dieser Hinsicht hat sich heute fast nichts geändert, Antiviren-Unternehmen können sich nicht einigen, und der gleiche Virusstamm kann in verschiedenen Antiviren-Paketen unterschiedlich bezeichnet werden.
"Vienna.648" wurde nach dem Ort der ersten Entdeckung und Größe benannt - 648 Bytes.
Etwa zur gleichen Zeit waren Franz Svoboda und Ralph Berger die ersten, die das Virus entdeckten, obwohl nicht sicher ist, wer von ihnen dies zuerst tat, da jeder von ihnen sagte, er habe das Virus vom anderen erhalten. Das Programm wäre berühmt geblieben für seinen ersten Auftritt in der UdSSR und mehr. Nachdem Ralph Berger den Quellcode in seinem Buch (ISBN 1557550433) veröffentlicht hatte, öffnete er den Sarg von Pandora. Jeder Programmierer kann den Quellcode ändern, um ein ähnliches Programm auf seiner Basis zu erstellen. Eine Lawine von „Gabeln“ traf die Welt der Autos. Manchmal trafen sich unter ihnen eingefleischte "Bastarde" wie Ghostballs und Chameleon. Einige Nachkommen dieses Virus befinden sich immer noch im "natürlichen" Lebensraum (im Laufe der Jahre haben unerfahrene Programmierer und Schulkinder mehr als 60 Varianten dieser Infektion durchgeführt, höchstwahrscheinlich kann diese Zahl leicht mit 10 multipliziert werden, und ich bin nicht sicher, ob dies alles ist).
"Vienna.648" ist ein typischer nicht residenter Dateivirus, der nach Erlangung der Kontrolle Dateien infiziert, meistens zum Zeitpunkt des Starts des infizierten Mediums. Eine charakteristische Eigenschaft von Nichtansässigen ist ihr kurzer Lebenszyklus, einschließlich des Starts, der Suche und der Infektion ihrer Opfer. Es gibt mehrere gängige Algorithmen für Nichtansässige, um nach möglichen Opfern zu suchen. Wie viele andere alte Viren wurde es in Assembler geschrieben und betraf ausführbare COM-Dateien (COM-Programme sind normalerweise kleine Anwendungen, Systemdienstprogramme oder kleine residente Programme).
Unser heutiger "Held" war der
erste , der
die "Pfad" -Suchmethode verwendete , einen ziemlich effektiven Suchalgorithmus, eine Art "Know-how", das nicht das vollständige Crawlen aller Festplattenverzeichnisse erfordert. MS-DOS bot einen Mechanismus zum Erstellen einer Liste vordefinierter Verzeichnisse, die am häufigsten in der Batchdatei des Systems AUTOEXEC.BAT angegeben sind. Diese Listen fielen in die Systemumgebung und wurden für alle Programme verfügbar. Die in der PATH-Zeile enthaltenen Verzeichnisse enthielten immer ausführbare Dateien. Nachdem der Virus gestartet wurde und die Zeile gefunden hat, die mit dem "Pfad" beginnt, trennte der Virus die Verzeichnisse mit dem Symbol ";" und fügte eine Suchmaske für COM-Dateien hinzu, wonach eine Infektions- und Kontrollübertragung auftrat.
Der Virus wurde dem Ende der COM-Programmdatei zugeordnet, und zu Beginn gab er den Assembler-Befehl ein, um zu seinem Körper zu wechseln, während das Hinzufügen des Virencodes am Ende des Programms die direkte Adressierung von Speicherzellen unmöglich machte, da sich die direkten Links änderten und daher kompliziert werden mussten Algorithmen mit indirekter Adressierung mit Offset. Diese Komplikation erforderte die Einführung von zusätzlichem Code, der die Adressierung berechnet. Das Vorhandensein eines solchen Codes war ein wichtiges Signaturzeichen für die Infektion des Programms.
Angesichts der Einfachheit des Programms und der Unbekanntheit seines Erstellers bis heute können wir davon ausgehen, dass es sich um einen „Zusammenbruch des Stifts“ oder um ein Experiment handelt, das leicht außer Kontrolle geraten ist. Eine solche offensichtliche Einfachheit in Kombination mit leicht erkennbaren Signaturen spricht für diese Hypothese, aber sie beweist sie nicht endgültig. Trotz der offensichtlichen Trivialität sollte man nicht vergessen, dass „Vienna.648“ auch das
erste Virus war, das von einem Antivirenprogramm entdeckt und zerstört wurde.
Es gibt eine Version, in der der Autor des Programms Berger ist, obwohl er jegliche Beteiligung daran bestritt. Wie dem auch sei, er hat das Pendel des
neuen digitalen Krieges ins Leben gerufen . So begann die Konfrontation von Viren und Antivirenprogrammen ...