Сказание о первых компьютерных вирусах

13 ноября 1987 года пришлось на пятницу. В этот же день впервые активизировался вирус Jerusalem. (Если вы считаете, что сегодня в наименованиях вирусов творится неразбериха, то в старом добром 1987-м дело обстояло еще хуже — Jerusalem называли Friday the 13th 1813, Hebrew University, Israeli и Suriv-3.)

В 1988 Jerusalem стал причиной первой в истории крупной вирусной эпидемии — он поразил компании, правительственные и научные учреждения по всему миру. Мы уже привыкли к вирусным эпидемиям и не представляем себе мир без них. Я не застал времена эпидемии Jerusalem, но этот вирус наравне со Stoned и Cascade был одним из трех наиболее распространенных, когда я начинал работать в антивирусной индустрии в 1990-х.

Во времена эпидемии Jerusalem компьютеры связывались между собой в основном посредством локальных сетей, а файлы переносились между компьютерами при помощи дискет. Чтобы достигнуть большой распространенности вирусам требовалось внушительное время. Если бы автор Jerusalem выбрал иной, чаще срабатывающий механизм запуска вируса, то Jerusalem обнаружили бы раньше и, возможно, глобальной эпидемии бы не случилось.

Jerusalem был резидентным вирусом, заражавшим файлы COM и EXE, но при этом избегавшим заражать COMMAND.COM. (В дни первых вирусов всеобщим заблуждением была уверенность, что вирус на компьютере можно обнаружить, проверив размер файла COMMAND.COM.)

Jerusalem обладал несколькими вредоносными функциями. Наиболее известной стала та, которая удаляла с компьютера все запускаемые в пятницу, 13-го числа, программы. Поскольку совпадение пятницы с 13-м числом месяца случается не так уж часто, то большинство времени Jerusalem распространялся незаметно, без какого-либо вмешательства в действия пользователей. Вместе с тем, через 30 минут после загрузки в память вирус замедлял скорость работы компьютеров XT в пять раз и демонстрировал маленький черный прямоугольник в текстовом режиме экрана.

Jerusalem также известен двумя ошибкам в своем коде. Первая находилась в процедуре распознавания уже зараженных файлов — она не работала для файлов формата EXE. В результате ошибки размер EXE-файлов увеличивался после каждого их запуска, и в какой-то момент они переставали запускаться, поскольку просто не помещались в оперативную память компьютера.

Вторая ошибка заключалась в конфликте с Novell NetWare из-за использования одного и того же прерывания INT 21: Jerusalem «отключал» рабочие станции от сети и приводил к генерации огромных буферных файлов.

Впоследствии появилось множество модификаций изначального вируса Jerusalem.