La fin des années 80 a été une période incroyable pour le pays des Soviétiques. Le mécontentement accumulé et croissant déborde dans une "perestroïka" bâtarde. À la télévision, le honteux retrait des troupes soviétiques d'Afghanistan, dans les magasins - étagères vides et cartes d'épicerie. «Une étoile nommée Soleil» et «Je veux changer» sonnent de chaque fer. Pendant ce temps, dans les entrailles du GVC Gosplan de l'URSS,
Dmitry N. Lozinsky découvre sur l'un des ordinateurs la raison de son comportement inhabituel, qui s'est avéré être un programme inhabituel. L'outil de neutralisation a été écrit en une soirée et porte le nom du système de dépistage du sida, qu'ils aimaient à peu près au même moment mentionner à la radio comme une grande réussite en médecine.
Le virus était un programme simple dont le code n'était soumis à aucun traitement supplémentaire et était facilement détecté à l'aide d'un logiciel spécialisé. À cette époque, il n'existait toujours pas de système unique pour nommer les logiciels malveillants. Cependant, à cet égard, presque rien n'a changé aujourd'hui, les sociétés d'antivirus ne peuvent s'entendre entre elles et la même «souche» virale peut être appelée différemment dans différents packages antivirus.
«Vienna.648» a été nommé d'après le lieu de la découverte initiale et sa taille - 648 octets.
À peu près à la même époque, Franz Freedom et Ralph Berger ont été les premiers à détecter le virus, bien que l'on ne sache pas avec certitude lesquels d'entre eux l'ont fait en premier, car chacun a déclaré qu'il avait reçu le virus de l'autre. Le programme serait resté célèbre pour sa première apparition en URSS et plus encore. Mais Ralph Berger, après avoir publié le code source dans son livre (ISBN 1557550433), a ouvert le coffret de Pandore. Tout programmeur peut modifier le code source pour créer un programme similaire sur sa base. Une avalanche de «fourches» a frappé le monde des voitures. Parfois, parmi eux se rencontraient des "salauds" invétérés comme Ghostballs et Chameleon. Certains descendants de ce virus se trouvent encore dans l'habitat «naturel» (au fil des ans, les programmeurs débutants et les écoliers ont fait plus de 60 variantes de cette infection, très probablement ce nombre peut être facilement multiplié par 10, et je ne suis pas sûr que ce soit tout).
"Vienna.648" est un virus de fichier non résident typique, après avoir pris le contrôle, il infecte les fichiers, le plus souvent au moment du lancement du support infecté. Une propriété caractéristique des non-résidents est leur cycle de vie court, y compris le lancement, la recherche et l'infection de leurs victimes. Il existe plusieurs algorithmes courants permettant aux non-résidents de rechercher d'éventuelles victimes. Comme de nombreux autres anciens virus, il a été écrit en langage assembleur et a affecté les fichiers COM exécutables (les programmes COM sont généralement de petites applications, des utilitaires système ou de petits programmes résidents).
Le «héros» d'aujourd'hui a été le tout
premier à utiliser
la méthode de recherche par «chemin» , un algorithme de recherche plutôt efficace, une sorte de «savoir-faire» qui ne nécessite pas une analyse complète de tous les répertoires de disques. MS-DOS a fourni un mécanisme pour créer une liste de répertoires prédéfinis, le plus souvent spécifié dans le fichier de commandes système AUTOEXEC.BAT. Ces listes sont tombées dans l'environnement système et sont devenues disponibles pour tous les programmes. Les répertoires contenus dans la ligne PATH ont toujours contenu des fichiers exécutables. Une fois que le virus a commencé et trouvé la ligne commençant par le "chemin", le virus a séparé les répertoires avec le symbole ";" et ajouté un masque de recherche pour les fichiers COM, après quoi l'infection et le transfert de contrôle se sont produits.
Le virus a été attribué à la fin du fichier de programme COM et, au début, il a entré la commande assembleur pour basculer vers son corps, tandis que l'ajout du code de virus à la fin du programme a rendu impossible l'utilisation de l'adressage direct aux cellules de mémoire, car les liens directs ont changé, et donc il fallait compliquer algorithmes utilisant l'adressage indirect avec décalage. Cette complication a nécessité l'introduction d'un code supplémentaire qui calcule l'adressage. La présence d'un tel code était un signe de signature important de l'infection du programme.
Compte tenu de la simplicité du programme et de l'inconnu de son créateur à ce jour, on peut supposer sa création comme une «panne du stylo», ou comme une expérience légèrement hors de contrôle. Une telle simplicité évidente combinée à des signatures facilement détectables plaident en faveur de cette hypothèse, mais elles ne la prouvent pas de manière concluante. Malgré l'apparente banalité, il ne faut pas oublier que «Vienna.648» a également été le
premier virus détecté et détruit par un programme antivirus.
Il existe une version selon laquelle l'auteur du programme est Berger, bien qu'il ait nié toute implication dans ce domaine. Quoi qu'il en soit, c'est lui qui a lancé le balancier de la
nouvelle guerre numérique . Ainsi commença la confrontation des virus et des programmes antivirus ...