В материале упоминается COVID-19. Доверяйте проверенной информации из экспертных источников — изучите ответы на вопросы о коронавирусе и вакцинацию от врачей, учёных и научных корреспондентов.
Зимой 1994 года в цифровом мире появился призрак — вирус, невидимый для систем безопасности того времени. Пользователи персональных компьютеров, часто обменивавшиеся данными через дискеты, даже не подозревали, что одна вставленная в дисковод гибкая пластинка может привести к полной потере информации.
Этот коварный и долгое время незамеченный вирус, получивший название OneHalf.3544, бесшумно распространялся по компьютерам на базе IBM, работающим под управлением MS-DOS. Он действовал как цифровой ниндзя, перепрыгивая с устройства на устройство буквально по одному щелчку мыши или нажатию клавиши.
Всё началось в эпоху, когда компьютеры только начинали становиться быстрее и доступнее. В один не самый прекрасный день пользователь мог увидеть на экране загадочное сообщение:
Нажали — вы пропали. Источник: https://www.youtube.com/watch?v=mrVVpTrQkTA
Любое взаимодействие с этим сообщением означало одно — компьютер заражён. Хитрость OneHalf была столь высока, что теоретически он может до сих пор «спать» на некоторых уцелевших раритетных машинах.
Скрытая угроза: долгая игра вируса
Основной принцип работы OneHalf заключался в максимальной скрытности до достижения критической массы. Он получил своё название («Одна половина») неспроста — его целью был захват контроля над половиной памяти жёсткого диска.
Механизм заражения был продуман до мелочей. Вирус инфицировал исполняемые файлы (.exe и .com), искусно шифруя их содержимое и добавляя к каждому «хвост» размером 3544 байта. В этом дополнении хранился уникальный, случайно сгенерированный ключ шифрования и код дешифратора. Данные файла маскировались с помощью побитовых операций. Когда пользователь запускал заражённую программу, вирус в фоновом режиме расшифровывал её, отдавая владельцу корректные данные, и оставался совершенно незаметным.
Вирус так же легко заражал файлы, как Принц Персии побеждал стражников. Изображение из игры Prince of Persia
По мере того как «популяция» вируса в системе росла, OneHalf начинал укреплять свои позиции. Он подменял главную загрузочную запись (MBR) — критически важный код для запуска операционной системы — на свою поддельную версию. Эта фейковая MBR лгала системе, показывая, что размеры файлов не изменились. Антивирусы того времени оказывались обмануты, так как не видели аномалий. Вирус фальсифицировал даже данные о свободной оперативной памяти, создавая иллюзию полного благополучия.
Многие месяцы OneHalf тихо и методично расползался по компьютерам по всему миру. Он ждал своего часа.
Обратите внимание: Коронавирус. История болезни. Начало, больница и что было потом. (Личный опыт автора).
И когда критическая масса заражённых систем была достигнута, в мае 1994 года вирус проявил себя. Попытки антивирусов его удалить приводили к катастрофе — поскольку все файлы были зашифрованы, лечение стирало их без возможности восстановления.Мастер маскировки: адаптация к среде
Гениальность OneHalf заключалась в его изменчивости. Хотя дешифратор в основе оставался одним и тем же и активировался при запуске файла, ключи шифрования создавались случайным образом для каждой новой жертвы.
Чтобы ещё больше запутать средства защиты, вирус не хранил код дешифратора в одном месте. Вместо этого он создавал своеобразную карту, содержащую адреса разбросанных по всему файлу фрагментов кода. Собрав эти кусочки воедино, можно было восстановить функционал. Поскольку фрагменты размещались в случайных местах, «отпечаток» вируса в каждом заражённом файле был уникальным, что крайне затрудняло его сигнатурное обнаружение.
Эпидемия на гибких дисках: пути распространения
Основным каналом заражения стали дискеты — главный носитель информации эпохи MS-DOS. В момент обращения системы к дисководу вирус активировался и сканировал файлы на предмет заражения.
Он обладал своеобразным интеллектом и избегал файлов, которые могли принадлежать антивирусным программам. В чёрный список попали названия, содержащие слова вроде SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV, CHKDSK, ADINF или WEB. Также OneHalf игнорировал слишком маленькие файлы, так как для размещения его распределённого дешифратора (состоящего из 10 частей, разбросанных с шагом в 10 байт) требовался определённый объём.
Типичная дискета времён 1990-х. Источник: «Википедия»
Цифровой паразит: цели и возможности
По современным меркам OneHalf был довольно странным и, отчасти, безобидным вирусом. В 1990-е годы не было онлайн-банкинга, социальных сетей или криптовалютных кошельков. Поэтому его главной целью был не финансовый gain, а сам факт контроля над системой.
Вирус становился всевидящим надзирателем: он отслеживал процессы, наблюдал за действиями пользователя и продолжал тихую экспансию на жёстком диске. Можно только предполагать, каких масштабов достигла бы эта цифровая эпидемия, если бы вирус не был вовремя обнаружен и обезврежен программистами.
***
Чтобы не пропустить другие материалы о программировании, истории IT и искусственном интеллекте, подпишитесь в раздел. Ставьте лайки, чтобы видеть больше таких статей у себя в ленте. Если вы хотите, чтобы мы написали о каком-то факте или технологии, предложите свою тему в комментариях к этой или другим статьям.
#программирование #технологии #люди_и_код #история IT #вирусы
Еще по теме здесь: История.
Источник: OneHalf: как вирус из 90-х вызвал эпидемию цифрового коронавируса.