ного летнего лагеря -- см. ниже). Хотя в ней не приводились сведе-
ния о конкретных вирусах в MS DOS (А.А.Чижов "живыми" экземплярами
вирусов в тот момент не располагал), статья содержала полезные
сведения о механизме работы этого типа программ и предупреждала о
серьезности данной угрозы. В то же время публикация имела и отри-
цательные последствия, поскольку ввела в оборот "фантомные" на тот
момент типы вирусов, которые с тех пор кочуют по отечественным
публикациям ("вирус в объектной библиотеке", "вирус в сетевом
драйвере" и др.). Кроме того, неконкретность рекомендаций исключа-
ла принятие каких-то полезных профилактических мер, а призывы ав-
тора к соблюдению авторских прав носили в определенной мере мора-
лизаторский характер. Статья была замечена специалистами в Польше
(которые, кстати, отметили потенциальную опасность статьи, как по-
собия по разработке новых типов вирусов) и, возможно, других стра-
нах Восточной Европы.
Первый компьютерный вирус (С-648 по приводимой ниже классифика-
ции) появился в СССР приблизительно в августе 1988 г. Этот вирус,
часто называемый венским вирусом (по предполагаемому месту его
разработки), вызывал перезагрузку операционной системы при запуске
некоторых из пораженных им программ. Одним из первых мест, где он
был обнаружен, являлась лаборатория Института программных систем
(Переславль-Залесский). Возможно, он попал в лабораторию во время
проведения институтом (совместно с ЮНЕСКО) Международного детского
компьютерного летнего лагеря. Поскольку этот вирус к середине
1988 г. был уже довольно распространен в странах Западной Европы,
он несомненно завозился в СССР неоднократно, c различного рода но-
выми версиями программного обеспечения и компьютерными играми. В
Киеве этот вирус появился в конце 1988 г. Наибольшее распростране-
ние он получил примерно в апреле 1989 г., после чего его эпидемия
пошла на убыль, что прежде всего связано с достаточной распростра-
ненностью средств защиты от этого вируса. Одним из переносчиков
этого вируса в Киеве был адаптированный вариант программы SideKick
(шестерка). К сожалению, по стране распространяется реконструиро-
ванный одним венским программистом исходный текст данного вируса,
с довольно подробными комментариями. Этот текст, в частности, был
включен В.Бончевым в его так называемую "вирусную" дискету,
распространявшуюся вместе с разработанным им пакетом антивирусных
программ. Наличие исходного текста создает благоприятные условия для
появления штаммов. И, действительно, данный вирус имеет, пожалуй,
наибольшее часло штаммов из нерезидентных файловых вирусов. (см.,
например, описания вирусов С-534 и С-623).
Вторым вирусом, попавшим в СССP, был вирус RC-1701. Данный вирус
вызывал довольно интересный эффект "опадания" букв на экране мони-
тора. Этот вирус также имеет западноевропейское происхождение. В
СССР впервые был выделен в Институте прикладной математики имени
М.В.Келдыша АН СССР. B Киеве появился в начале 1989 г. Средства
защиты появились примерно одновременно с вирусом, поэтому сущест-
венного вреда вирус не нанес. Первым средством защиты от данного
вируса в Киеве была немецкоязычная (австрийская) программа SERUM3,
которая могла работать как в режиме фага, так и в режиме детекто-
ра. Среди первых отечественных программ, применявшихся на началь-
ной стадии эпидемии, следует отметить детектор В.Ладыгина (ИПМ АН
СССР) VIRUS_D1.
Попытки программистов организоваться для борьбы с этой новой
разновидностью системных программ относятся к началу 1989 г. Так,
12 апреля 1989 г. в Киеве в рамках семинара "Системное программи-
рование" было проведено первое специализированное заседание по ан-
тивирусной тематике. В дальнейшем выступления по этой теме стали
регулярными и было проведено еще несколько специальных заседаний,
посвященных защите от вирусов. Они сыграли определенную роль в со-
кращении случаев заражения компьютеров и ликвидации эпидемий виру-
сов C-648, RC-1701, и в особенности RC-1813, масштаб эпидемии ко-
торого в Киеве был наибольшим. Кстати, этот вирус хорошо прошелся
по СССР, реально показав, насколько "невооруженные" пользователи
уязвимы от этой новой для них опасности: сотни, если не тысячи ча-
сов были потеряны на переформатирование винчестеров и выгрузки ар-
хивных копий в надежде избежать повторного заражения. С сентября
1989 г. семинаром "Системное программирование" был организован вы-
пуск электронного бюллетеня СОФТПАНОРАМА, который стал важным ка-
налом распространения информации о появлении новых компьютерных
вирусов и бесплатных программах для борьбы с ними. Список про-
грамм, распространявшихся через бюллетень, приведен в прил. 5. В
том же месяце начала распространяться версия 1.0 данной работы.
Первые случаи потери важных данных от компьютерных вирусов стали
известны автору в конце 1989 г., когда к нему обратился представи-
тель оптовой базы, у которого, как оказалось, базы данных о храни-
мых запасах были повреждены вирусом RCE-1800 (Dark Avenger). Пери-
одически автору поступают сообщения о полностью уничтоженном со-
держимом винчестера, причем характер повреждений не позволяет до-
стоверно установить, имеем ли мы дело с вирусом или с тщательно
замаскированной троянской программой (например, подозревается одна
версия COLORCAM со сломанной, но как видно, не до конца, защитой),
или с выходом из строя самого винчестера. При этом, однако, броса-
ется в глаза тот факт, что примерно у половины пользователей к мо-
менту потери содержимого винчестера не существует его более или
менее "свежей" копии. Вот уж действительно прав был Бернард Шоу,
сказав: "Опыт содержит самую дорогую школу, однако многие, похоже,
не способны учиться ни в какой другой". В конце 1989 г. в Донецке
была обнаружена троянская программа в составе "нелегальной" копии
известной игры FORMULA. Эта программа переписывала себя в загру-
зочный сектор винчестера и через некоторое время стирала CMOS-па-
мять.
1.2.8. Отечественные антивирусные публикации
"-- Вот что, товарищи, -- говорил
Паламидов, поспешая вместе
с братьями по перу в столовую, --
давайте условимся -- пошлых
вещей не писать"
И.Ильф и Е.Петров.
На первой отечественной публикации, посвященной компьютерным ви-
русам, мы уже останавливались. Практически по следам событий, сра-
зу после появления вирусов С-648 и RС-1701, был написан целый ряд
статей, однако большой срок запаздывания журнальных изданий сыграл
очень негативную роль, задержав их выход в свет настолько, что к
моменту получения читателями содержащаяся в них информация в зна-
чительной степени устарела. Написанные еще в конце 1988 г., все
они вышли только в конце 1989 г. К этому моменту эпидемии вирусов
C-648 и RC-1701 практически закончились. Среди указанных публика-
ций следует отметить статью И.Ш.Карасика [Карасик89а], в которой
впервые подробно изложены сведения о механизме работы и эффектах,
вызываемых вирусами С-648 и RС-1701. Несмотря на значительное за-
паздывание (третий номер журнала "Мир ПК" был подписан в печать
11.07.89 и появился в продаже в декабре 1989 г.), уровень понима-
ния механизма работы вируса RС-1701 выделяет эту работу из осталь-
ных публикаций.
В настоящее время поток публикаций по данной тематике существен-
но возрос и статьи стали появляться практически ежемесячно. Следу-
ет отметить, что сроки публикации в отечественных журналах и се-
годня остаются крайне неудовлетворительными. Например, статья
А.С.Осипенко [Осипенко90], написанная в конце 1989 г., была опуб-
ликована только в третьем номере журнала "Мир ПК" за 1990 г., при-
чем этот номер поступил в продажу лишь в августе, т.е. опять же
когда эпидемии вирусов, описываемых в статье, практически закончи-
лись.
Как обычно, среди основной массы "нормальных" публикаций, встре-
чаются и неудачные. К ним можно отнести брошюру [Основский90], со-
держащую пересказ различных слухов (о вирусе, вводящем в резонанс
головки винчестера, вирусе типа "квадрат Малевича" длиной 3767
байт, сетевом вирусе длиной 2231 байт, самораскручивающемся в опе-
ративной памяти вирусе размером 1201 байт и др.). Приведенные в
брошюре сведения породили новые слухи, рассматриваемые в разделе
о мифических вирусах.
Обилием спорных утверждений и излишней категоричностью грешит
статья Ф.Н.Шерстюка [Шерстюк90], в которой реализация достаточно
ограниченного по своим возможностям метода защиты от вирусов, вы-
дается за панацею. Достоинством статьи является то, что в ней
впервые в отечественной литературе описана реализация нерезидент-
ной вакцины, прикрепляющейся в конец тела программы, подобно обыч-
ному файловому вирусу. Вместе с тем, в статье допушен ряд (вполне
простительных) технических ошибок, связанных с недостаточным пони-
манием механизма использования 13 прерывания версиями 3.x и 4.x MS
DOS, а некоторые по меньшей мере спорные утверждения выдаются за
непререкаемые истины. К числу последних, в частности, относятся:
"вирусы ... разрабатывают даже в кругах, близких к таким крупным
фирмам-разработчикам ПК, как IBM, в целях борьбы с фирмами, произ-
водящими компьютеры-клоны";
"практика показывает, что именно специализированные антивирусные
программы (имеются в виду полифаги -- БНН) чаще всего являются раз-
носчиками вирусов";
"все имеющиеся на сегодняшний день методы борьбы с вирусами
практически исчерпали себя, необходимо разработать принципиально
новые".
Первое утверждение, вынесенное в аннотацию статьи, автор ничем
не обосновывает. А доказательств причастности "кругов, близких к
фирме IBM" к разработке вирусов не существует, если, конечно, не
считать такими кругами всех пользователей компьютеров, совместимых
с IBM PC. Если В.Ф.Шерстюк имел в виду особенность вируса RС-1701,
состоящую в том, что этот вирус не должен был размножаться на ори-
гинальных IBM PC (кстати, в этом месте автор вируса допустил ошиб-
ку и вирус успешно размножается на таких компьютерах), то этот
факт скорее свидетельствует об обратном, т.е. о страхе автора ви-
руса перед такой могущественной фирмой как IBM.
Второе утверждение уже принципиально неверно, т.к. создает у чи-
тателей ложное впечатление об опасности полифагов. Во-первых, к
моменту написания статьи полифаги уже стали снабжаться средствами
самоконтроля на зараженность (например, Aidstest), а во-вторых,
компьютерные игры были и остаются куда более опасным источником
заражения, чем фаги.
Особенно характерно последнее утверждение, которое можно считать
своего рода лакмусовой бумажкой "детской болезни левизны в вирусо-
логии". В действительности предлагаемый автором метод имеет не ме-
нее серьезные недостатки, чем те методы защиты, которые он якобы
призван заменить. В частности, принципиальными недостатками опи-
санного метода вакцинирования является потеря дискового простран-
ства (размер всех выполняемых файлов увеличивается на размер вак-
цины, который скорее всего составит порядка 512 байтов, т.е. сек-
тора диска), а также возможная потеря работоспособности некоторых
вакцинированных резидентных программ или программ со специальной
структурой (скрытыми оверлеями и др.). Вместе с тем, в комбинации
с другими методами этот метод безусловно полезен и имеет право на
существование.
С другой стороны, некоторые авторы стремятся повысить свой авто-
ритет за счет пренебрежительных высказываний о других публикациях
и разработанных антивирусных программах. Здесь также необходимо
чувство меры. Критика уровня "... - продажная девка империализма",
