80年代末对于苏维埃国家来说是一个了不起的时期。 不断累积的不满情绪蔓延到一个混蛋“ perestroika”。 在电视上,苏联军队从商店中无耻地撤出阿富汗-空荡荡的货架和杂货店卡。 每种铁发出的“叫太阳的星星”和“我想要改变”的声音。 同时,在苏联GVC计划的肠子中,
德米特里·洛津斯基 (
Dmitry N. Lozinsky)在其中一台计算机上发现了她异常行为的原因,事实证明这是一个异常程序。 中和工具是在一个晚上编写的,并以AIDS测试系统命名,大约在同一时间,他们喜欢在广播中提到这是医学上的一项伟大成就。
该病毒是一个简单程序,其代码未经过任何其他处理,并且可以使用专用软件轻松检测。 那时,仍然没有用于命名恶意软件的单一系统。 但是,就此而言,今天几乎没有任何改变,防病毒公司之间无法达成共识,并且可以在不同的防病毒包中对同一病毒“毒株”进行不同的称呼。
“ Vienna.648”以最初发现的位置和大小(648字节)命名。
大约在同一时间,最早检测到该病毒的是Franz Freedom和Ralph Berger,尽管尚不确定哪个是第一个检测到这种病毒的,因为每个人都说他是从另一个人那里感染了这种病毒。 该程序将因在苏联等国首次露面而闻名。 但是拉尔夫·伯杰(Ralph Berger)在其书中发布了源代码(ISBN 1557550433),然后打开了潘多拉魔盒。 任何程序员都可以更改源代码以在其基础上创建类似的程序。 大量的“叉子”袭击了汽车世界。 有时候,他们遇到了像Ghostballs和Chameleon这样的老实“混蛋”。 仍在“自然”栖息地中发现了这种病毒的某些后代(多年来,新手程序员和学童已经做了60多种这种感染的变种,很可能这个数字可以很容易地乘以10,但我不确定这就是全部)。
“ Vienna.648”是典型的文件非驻留病毒,在获得控制后,它通常在启动受感染媒体时感染文件。 非居民的一个特征是生命周期短,包括受害者的发射,搜查和感染。 有几种常见的算法可供非居民搜索可能的受害者。 像许多其他旧病毒一样,它是用汇编语言编写的,并且会影响可执行的COM文件(COM程序通常是小型应用程序,系统实用程序或小型驻留程序)。
我们今天的“英雄”是第
一个使用
“路径”搜索方法的人 ,这是一种相当有效的搜索算法,是一种“诀窍”,不需要完全爬网所有磁盘目录。 MS-DOS提供了一种用于创建预定义目录列表的机制,该目录通常在AUTOEXEC.BAT系统批处理文件中指定。 这些列表属于系统环境,可用于所有程序。 PATH行中包含的目录始终包含可执行文件。 病毒启动并找到以“ path”开头的行后,病毒用符号“;”分隔目录。 并为COM文件添加了搜索掩码,此后发生了感染和控制权转移。
该病毒归因于COM程序文件的末尾,在开始时它进入了汇编程序命令以切换到其主体,而在程序末尾添加了病毒代码,使得无法使用直接寻址存储单元的方法,因为直接链接发生了变化,因此有必要使其复杂化使用带有偏移量的间接寻址的算法。 这种复杂性要求引入额外的代码来计算寻址。 此类代码的存在是程序感染的重要标志。
考虑到该程序的简单性以及其创建者的未知性,我们可以将其创建视为“笔的损坏”,或者是一个稍微失控的实验。 这种明显的简单性与易于检测的签名相结合,证明了这一假设,但并未最终证明这一假设。 尽管看起来很琐碎,但不要忘了“ Vienna.648”也是第
一个被反病毒程序检测到并销毁的病毒。
该程序的作者是Berger,尽管他否认有任何参与。 不管怎样,是他发起了
新的数字战争的钟摆。 从而开始了病毒和防病毒程序的对抗...