Евгений Сагаловский
Как уже отмечалось, в 1987 г. в разных местах, независимо друг
от друга были зарегистрированы три случая массового заражения кло-
нов IBM PC компьютерными вирусами.
Первым Вирусом-87 был так называемый Пакистанский вирус, разра-
ботанный братьями Амджатом и Базитом Алви (Amdjat и Basit Faroog
Alvi) в 1986 г. Он был обнаружен летом 1987 г. По непроверенным
(и, вероятно, завышенным) данным, приведенным Маккафи (McAfee)
[McAfee89b], он заразил только в США более 18 тысяч компьютеров.
Этот бутовый вирус создан в основном Амджадом -- 26-летним выпуск-
ником отделения физики Пенджабского университета, который, по его
заявлению, пытался наказать американцев, покупавших дешевые неза-
конные копии программ в Пакистане. Амджат утверждает, что по паки-
станским законам свободное копирование не является преступлением,
и хотя он не одобряет такое положение вещей, вынужден с ним ми-
риться и не может наказывать других. Поэтому он не продавал зара-
женные вирусом незаконные копии пакистанским покупателям. Другое
дело -- американцы, у которых существуют законы, запрещающие пират-
ство. Их, по его мнению, стоило проучить. К середине 1987 г.
братья признали, что уже достаточно проучили пиратов и прекратили
распространение вируса. Однако вирус уже сумел распространиться по
США, а оттуда попал в другие страны, в том числе и в СССР. Кроме
того, начали появляться штаммы с измененными текстовыми сообщения-
ми и свойствами.
Вторым Вирусом-87 стал Лехайский вирус, появившийся в ноябре
1987 г. в одноименном университете США. В течение нескольких дней
этот вирус уничтожил содержимое нескольких сот дискет из библиоте-
ки вычислительного центра университета и личных дискет студентов
[Wyk89]. По данным Маккафи, опубликованным в журнале Datamation
[McAfee89b], по состоянию на февраль 1989 г. только в США этим
вирусом было заражено порядка четырех тысяч компьютеров. Следует
отметить, что учитывая склонность Маккафи искажать данные в выгод-
ную для него сторону к приводимым им цифрам нужно относиться кри-
тически, уменьшая их примерно в пять раз.
Перед самым Новым годом, 30 декабря 1987 г., был обнаружен вирус
в Иерусалимском Университете (Израиль). Хотя существенного вреда
этот вирус не принес, он быстро распространился по всему миру (по
данным Маккафи, более 3 тысяч зараженных компьютеров только в США)
и, по-видимому, является первым вирусом, распространение которого
приобрело характер пандемии [Radai89].
В том же 1987 г. в издательстве Data-Becker вышла монография
Р.Бургера "Компьютерные вирусы". Она выдержала несколько переизда-
ний, переведена на английский язык, а в 1989 г. -- на русский язык
[Burger88]. Автор неосторожно включил в книгу ряд исходных текстов
демонстрационных программ вирусов на разных языках и листинг так
называемого венского вируса. Такой, чрезмерно расширенный, несмот-
ря на изменившуюся ситуацию, уровень "гласности" дает основания
рассматривать роль данной книги как весьма противоречивую.
Свой вклад в распространение вирусов внесли и некоторые журналы.
Так, журнал "C't" в том же году опубликовал код вируса "уголек"
для ПЭВМ Atary ST и фаг к этому вирусу [Krabel87]. Вскоре этот ви-
рус проник в компьютеры издательства Data-Becker, а затем и на ди-
стрибутивные дискеты, распространяемые этой фирмой. К счастью, он
был быстро обнаружен и уничтожен.
В 1988 г. проблема защиты программного обеспечения от заражения
компьютерными вирусами в странах США и Западной Европы приобрела
характер приоритетной. Это прежде всего связано с тем, что в усло-
виях значительной зависимости различных учреждений от компьютерных
систем, проникновение вирусов представляет потенциальную опасность
и может привести к серьезным последствиям. Например, летом 1988 г.
компьютерный вирус инфицировал три компьютера в Мичиганском госпи-
тале, которые обрабатывали информацию о пациентах. Он был обнару-
жен в процессе анализа причин неправильного функционирования сис-
темы, заключавшейся в том, что на дисплей неверно вызывались рас-
ширенные диагностические сведения. По данным администрации госпи-
таля вирус перемешал фамилии пациентов в базе данных ПЭВМ
Macintosh II. Как показало расследование, вирус был занесен при
ремонте винчестера одного из компьютеров. К счастью, никому из па-
циентов не был поставлен неправильный диагноз или назначено непра-
вильное лечение в результате перемешивания фамилий пациентов в ба-
зе данных. Однако, по мнению специалистов, это был вопрос времени
и вполне мог стоить кому-то жизни. Данный случай является вторым
случаем вторжения в медицинские компьютеры (первый был связан с
проникновением кракеров, которые просматривали базу данных, но не
нанесли никакого ущерба) и первым случаем, когда настоящие данные
пациентов и диагностирования манипулировались вирусом [Zajac89c].
Из компьютерных Вирусов-88 отметим вирус падающих букв и "италь-
янский попрыгунчик", распространение которых также приняло харак-
тер эпидемии. Особое внимание общественности привлек так называе-
мый вирус Морриса: 2.11.88 г. Роберт Моррис-младший, аспирант фа-
культета информатики Корнельского Университета инфицировал с по-
мощью написанного им вируса большое количество компьютеров (по
ориентировочным оценкам порядка 6000), подключенных к американской
национальной сети Internet (не путать c распространенной локальной
сетью Ethernet) [Highland89b]. Хотя никакой потери или изменения
данных не произошло, многие тысячи часов рабочего времени были по-
теряны пользователями Internet.
Это событие вызвало значительную реакцию американской и мировой,
прессы, включая советскую. Так ведущие американские газеты, вклю-
чая "Чикаго Трибьюн", "Нью-Йорк Таймс" и "Бостон Геральд", опубли-
ковали репортажи с места события. Ими широко освещалась динамика
распространения вируса и разработка методов борьбы с ним, а также
затрагивались общие проблемы обеспечения безопасности компьютерных
систем. Позднее в аналитических статьях по этому поводу обсужда-
лись нерешенные проблемы, относящиеся к вопросам безопасности ком-
пьютерных систем, и предлагались законодательные инициативы, на-
правленные на предотвращение подобных случаев в дальнейшем. В час-
тности, не без влияния этой серии публикаций в палате представите-
лей были внесены два проекта законов, предусматривающих уголовное
наказание за создание и распространение компьютерных вирусов.
Помимо информации типа "как это было" и "то ли еще будет", в
американской прессе широко обсуждался вопрос о том, как квалифици-
ровать поступок Морриса: является ли Моррис героем-хакером, кото-
рый без нанесения серьезного ущерба указал на слабые места в наци-
ональной компьютерной сети, или он является преступником, который
должен быть сурово наказан. При этом характер обсуждения и поляри-
зация мнений в некоторой степени напоминали дискуссии по поводу
известного всем нам случая с посадкой Руста на Красную площадь.
Вскоре Моррис был отчислен из Корнельского университета.
Министерство юстиции США довольно долго изучало вопрос о возмож-
ности привлечения Морриса к суду на основе действующего законода-
тельства, и только 18 января 1990 г. в городе Сиракьюс (штат Нью-
Йорк) начался судебный процесс по делу Морриса. Нанесенный ущерб
был оценен в 150 тыс. долларов. Процесс над Моррисом стал возмо-
жен в результате принятия в 1986 г. федерального закона об ответ-
ственности за преступления, связанные с компьютерами (1986 U.S.
Computer Fraud and Abuse Act). Моррису грозил штраф в 250 тыс.
долларов и тюремное заключение сроком до 5 лет. Адвокат Морриса
утверждал, что тот якобы создал вирус для проведения эксперимента
по проверке защиты компьютера. При этом он допустил ошибку, кото-
рая и привела к нежелательным результатам. Моррис, по словам адво-
ката, не стремился нанести какой-либо ущерб компьютерным системам
США. Интересно отметить, что в интервью репортеру одной из амери-
канских газет мать Морриса упомянула тот факт, что роман "The
Shockware Rider" Джона Бруннера был одной из наиболее зачитанных
книг в комнате юного Морриса. 4 мая 1990 г. суд присяжных признал
Морриса виновным. Он был приговорен к условному заключению сроком
на два года, 400 часам "общественных работ" (американский аналог
отечественных 15 суток) и штрафу размером 10 тыс. долларов. Осуж-
дение Р.Морриса-младшего показывает что американское общество уже
осознает опасность и предпринимает меры по борьбе с ней.
В 1989 г. панику в США и западноевропейских странах вызвали
вирусы DATACRIME, которые запрограммированы так, что начиная с 12
октября они разрушают файловую систему, а до этой даты просто раз-
множаются. Эта серия компьютерных вирусов, состоящая, как полага-
ют, из трех программ ("Датакрайм 1, 2, 3") начала распространяться
в Нидерландах, США и Японии приблизительно в начале 1989 г. и к
сентябрю поразила, по некоторым оценкам (которым, впрочем, не сто-
ит особенно доверять), около 100 тысяч ПЭВМ только в Нидерландах
(что составляет около 10% от их общего количества в стране). Даже
фирма IBM отреагировала на эту угрозу, выпустив свой детектор
VIRSCAN, позволяющий искать характерные для того или иного вируса
строки (сигнатуры) в файловой системе. Набор сигнатур может допол-
няться и изменяться пользователем. В нашей стране в 1989 и 1990
гг. случаев заражения данным вирусом не отмечалось; потенциальную
опасность представляет 12.10.91 г.
В начале августа 1989 г. в Амстердаме состоялся международный
съезд хакеров, в ходе которого были продемонстрированы "дыры" в
существующих системах обеспечения безопасности и контроля от не-
санкционированного доступа. В качестве доказательства своих спо-
собностей представители одной из групп кракеров, подключившись к
ЭВМ местного банка, получили 270 тысяч франков. Вернув на следую-
щий день эту сумму наличными, кракеры продемонстрировали уязви-
мость системы защиты банковских компьютеров.
Еще одной нашумевшей историей была так называемая AIDS
Information Trojan -- троянская программа, распространявшаяся в де-
кабре 1989 г. в составе пакета с базой данных о заболевании синд-
ромом приобретенного иммунодефицита (СПИД). Как программа, так и
база данных были записаны на дискете, которая была разослана 20
тысячам заказчиков, включая ряд медицинских и общественных органи-
заций США, Франции, Великобритании, ФРГ, Дании, Норвегии, Швеции и
многих других стран. Затраты на рассылку составили порядка 200
тыс. долларов. Все адресаты получили по почте посылку с упаковкой
данного продукта, на которой указывалось его назначение, а на об-
ратной стороне крайне мелким шрифтом были набраны условия распро-
странения. Сопроводительное письмо извещало, что на дискете содер-
жатся новые сведения по проблемам СПИДа, но в письме условия ис-
пользования дискет не указывались. После записи на винчестер, они
действительно начали выдавать информацию по обещанной тематике.
Однако затем вся информация на винчестере была перекодирована и на
экранах появилось требование перечислить сумму в 378 долларов на
счет незарегистрированной фирмы в Панаме. В этом случае пользова-
телю якобы будет выслана программа восстановления перекодированной
информации. Среди пострадавших были как индивидуальные владельцы
компьютеров, так и лаборатории, научные центры, больницы. В неко-
торых случаях заблокированным оказался итог работы целых научных
коллективов. Джозеф Попп, предполагаемый распространитель этой
троянской программы, был арестован в феврале 1990 г. в американ-
ском штате Огайо. Если эксперты подтвердят его психическую полно-
ценность, ему не миновать тюремного заключения за проведение этой
операции по "вирусному рэкету".
