El final de los años ochenta fue un momento increíble para el país de los soviéticos. El descontento acumulado y creciente se derrama en una "perestroika" bastarda. En la televisión, la vergonzosa retirada de las tropas soviéticas de Afganistán, en tiendas, estantes vacíos y tarjetas de supermercado. "Una estrella llamada el Sol" y el sonido "Quiero un cambio" de cada hierro. Mientras tanto, en las entrañas del GVC Gosplan de la URSS,
Dmitry N. Lozinsky descubre en una de las computadoras la razón de su comportamiento inusual, que resultó ser un programa inusual. La herramienta de neutralización fue escrita en una noche y lleva el nombre del sistema de prueba de SIDA, que casi al mismo tiempo les gustaba mencionar en la radio como un gran logro en la medicina.
El virus era un programa simple cuyo código no estaba sujeto a ningún procesamiento adicional y se detectaba fácilmente con un software especializado. En ese momento, todavía no había un sistema único para nombrar malware. Sin embargo, en este sentido, casi nada ha cambiado hoy, las compañías de antivirus no pueden ponerse de acuerdo entre ellas, y la misma "cepa" de virus se puede llamar de manera diferente en diferentes paquetes de antivirus.
"Viena.648" lleva el nombre del lugar de descubrimiento inicial y tamaño: 648 bytes.
Casi al mismo tiempo, los primeros en detectar el virus fueron Franz Svoboda y Ralph Berger, aunque no se sabe con certeza cuál de ellos hizo esto primero, ya que cada uno de ellos dijo que había recibido el virus del otro. El programa habría seguido siendo famoso por su primera aparición en la URSS y más. Pero Ralph Berger, después de haber publicado el código fuente en su libro (ISBN 1557550433), abrió el ataúd de Pandora. Cualquier programador podría cambiar el código fuente para crear un programa similar sobre la base. Una avalancha de "tenedores" golpeó el mundo de los automóviles. A veces, entre ellos se encontraban "bastardos" inveterados como Ghostballs y Chameleon. Algunos descendientes de este virus todavía se encuentran en el hábitat "natural" (a lo largo de los años, los programadores novatos y los escolares han realizado más de 60 variantes de esta infección, lo más probable es que este número pueda multiplicarse fácilmente por 10, y no estoy seguro de que esto sea todo).
"Vienna.648" es un virus típico no residente de archivos, después de obtener el control, infecta los archivos, con mayor frecuencia en el momento del lanzamiento del medio infectado. Una propiedad característica de los no residentes es su ciclo de vida corto, que incluye el lanzamiento, la búsqueda y la infección de sus víctimas. Existen varios algoritmos comunes para que los no residentes busquen posibles víctimas. Al igual que muchos otros virus antiguos, fue escrito en lenguaje ensamblador y archivos COM ejecutables afectados (los programas COM suelen ser pequeñas aplicaciones, utilidades del sistema o pequeños programas residentes).
Nuestro "héroe" de hoy fue el
primero en utilizar
el método de búsqueda de "ruta" , un algoritmo de búsqueda bastante efectivo, una especie de "know-how" que no requiere un rastreo completo de todos los directorios de disco. MS-DOS proporcionó un mecanismo para crear una lista de directorios predefinidos, la mayoría de las veces especificada en el archivo por lotes del sistema AUTOEXEC.BAT. Estas listas cayeron en el entorno del sistema y estuvieron disponibles para todos los programas. Los directorios contenidos en la línea PATH siempre han contenido archivos ejecutables. Después de que el virus comenzó y encontró la línea que comienza con la "ruta", el virus separó los directorios con el símbolo ";" y agregó una máscara de búsqueda para archivos COM, después de lo cual ocurrió la infección y la transferencia de control.
El virus se atribuyó al final del archivo del programa COM, y al principio ingresó el comando ensamblador para cambiar a su cuerpo, mientras que agregar el código del virus al final del programa hizo imposible usar el direccionamiento directo a las celdas de memoria, ya que los enlaces directos cambiaron, y por lo tanto fue necesario complicarlo. algoritmos que usan direccionamiento indirecto con desplazamiento. Esta complicación requirió la introducción de código adicional que computa el direccionamiento. La presencia de dicho código fue un importante signo de firma de la infección del programa.
Dada la simplicidad del programa y la incógnita de su creador hasta el día de hoy, podemos asumir su creación como un "colapso de la pluma" o como un experimento que se ha salido un poco de control. Tal simplicidad obvia en combinación con firmas fácilmente detectables hablan a favor de esta hipótesis, pero no lo prueban de manera concluyente. A pesar de la aparente trivialidad, uno no debe olvidar que "Vienna.648" también fue el
primer virus que fue detectado y destruido por un programa antivirus.
Hay una versión de que el autor del programa es Berger, aunque negó cualquier participación en esto. Sea como fuere, fue él quien lanzó el péndulo de la
nueva guerra digital . Así comenzó la confrontación de virus y programas antivirus ...