Архив новостей

Сказание о первых компьютерных вирусах

13 ноября 1987 года пришлось на пятницу. В этот же день впервые активизировался вирус Jerusalem. (Если вы считаете, что сегодня в наименованиях вирусов творится неразбериха, то в старом добром 1987-м дело обстояло еще хуже — Jerusalem называли Friday the 13th 1813, Hebrew University, Israeli и Suriv-3.)

В 1988 Jerusalem стал причиной первой в истории крупной вирусной эпидемии — он поразил компании, правительственные и научные учреждения по всему миру. Мы уже привыкли к вирусным эпидемиям и не представляем себе мир без них. Я не застал времена эпидемии Jerusalem, но этот вирус наравне со Stoned и Cascade был одним из трех наиболее распространенных, когда я начинал работать в антивирусной индустрии в 1990-х.

Во времена эпидемии Jerusalem компьютеры связывались между собой в основном посредством локальных сетей, а файлы переносились между компьютерами при помощи дискет. Чтобы достигнуть большой распространенности вирусам требовалось внушительное время. Если бы автор Jerusalem выбрал иной, чаще срабатывающий механизм запуска вируса, то Jerusalem обнаружили бы раньше и, возможно, глобальной эпидемии бы не случилось.

Jerusalem был резидентным вирусом, заражавшим файлы COM и EXE, но при этом избегавшим заражать COMMAND.COM. (В дни первых вирусов всеобщим заблуждением была уверенность, что вирус на компьютере можно обнаружить, проверив размер файла COMMAND.COM.)

Jerusalem обладал несколькими вредоносными функциями. Наиболее известной стала та, которая удаляла с компьютера все запускаемые в пятницу, 13-го числа, программы. Поскольку совпадение пятницы с 13-м числом месяца случается не так уж часто, то большинство времени Jerusalem распространялся незаметно, без какого-либо вмешательства в действия пользователей. Вместе с тем, через 30 минут после загрузки в память вирус замедлял скорость работы компьютеров XT в пять раз и демонстрировал маленький черный прямоугольник в текстовом режиме экрана.

Jerusalem также известен двумя ошибкам в своем коде. Первая находилась в процедуре распознавания уже зараженных файлов — она не работала для файлов формата EXE. В результате ошибки размер EXE-файлов увеличивался после каждого их запуска, и в какой-то момент они переставали запускаться, поскольку просто не помещались в оперативную память компьютера.

Вторая ошибка заключалась в конфликте с Novell NetWare из-за использования одного и того же прерывания INT 21: Jerusalem «отключал» рабочие станции от сети и приводил к генерации огромных буферных файлов.

Впоследствии появилось множество модификаций изначального вируса Jerusalem.

Сказание о первых компьютерных вирусах

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Техники, тактики и процедуры атак на промышленные компании

В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике