Aidstest — день памяти советского антивируса

Технологии
автор: Андрей Васильков  17 ноября 2015

Сегодня исполнилось 27 лет советскому антивирусу Aidstest. Легендарная программа была написана 17 ноября 1988 года Дмитрием Николаевичем Лозинским во время его работы в Главном вычислительном центре Госплана СССР, где был обнаружен вирус Vienna.

Про компьютерные вирусы к тому времени советские программисты уже слышали, но не сталкивались с ними на практике. Сам термин «вирус» был ещё новым и обсуждали его на уровне теоретически возможных алгоритмов или единичных курьёзов. К примеру, когда в 1987 году самораспространяющаяся программа братьев Алви вышла из-под контроля, её эффект назвали эпидемией компьютерного вируса Brain. Вместо того, чтобы наказать местных софтверных пиратов в Пакистане, она заразила свыше 18 тысяч компьютеров по всему миру.

Первая версия Aidstest.

Первая версия Aidstest.

На следующий год в Австрии появились сообщения о нерезидентном вирусе, заражающем файлы с расширением .com. Он был написан на Ассемблере, поэтому весь его код умещался в 648 байт. Несмотря на изолированность компьютеров (Релком и Фидонет появились в СССР только в 1990 году), Vienna быстро распространялся через заражённые дискеты. Дмитрию Лозинскому предстояло найти и обезвредить вирус, заразивший ГВЦ.

На счастье, обнаружить его присутствие в системе удавалось даже невооружённым глазом. Внимание на себя обращала необычная метка, которую он ставил на заражённые файлы. Время их создания менялось на невозможное: xx минут, xx часов и 62 секунды.

Вирус Vienna стал хорошим стимулом и доказательством реальности угрозы нового типа. Он был удалён, но мог вернуться вновь, причём – в другом обличии. Его исходный код опубликовал в своей книге «Computer Viruses: A High Tech Desease» один из первых вирусных аналитиков Ральф Бургер, а затем это же сделал автор книги «Библия Хакера 2» Бернд Роберт Фикс и другие.

Одна из последних версий Aidstest.

Одна из последних версий Aidstest.

Модификации Vienna посыпались как из рога изобилия. Некоторые из них вполне могли стать основой самостоятельных штаммов. На конференциях появились и первые сообщения о принципиально новых вирусах. К примеру, Suriv-2 умел заражать не только .com, но и .exe файлы.

Для защиты от вирусов требовалось устранять очаги инфекции – регулярно запускать Aidstest на разных компьютерах и развивать утилиту. Со временем она научилась определять другие вирусы, из-за чего её прозвали полифагом. Под влиянием Aidstest с конца восьмидесятых – начала девяностых свои варианты полифагов пишут Олег Котик, Игорь Сысоев, Игорь Данилов и другие отечественные разработчики.

Дмитрий Лозинский (в центре) с Евгением Касперским (слева) и Дмитрием Мостовым (справа).

Дмитрий Лозинский (в центре) с Евгением Касперским (слева) и Дмитрием Мостовым (справа).

Количество вирусов быстро росло, и бороться с ними программистам-одиночкам становилось всё труднее, как и поддерживать свои творения бесплатно. Первого октября 1990 года Дмитрий Лозинский передал права на продажу Aidstest компании «ДиалогHаука». Официально версия № 44 стоила 3 рубля, но реально утилита распространялась в России и за рубежом (под названием V-Hunter) по разным каналам – в том числе и по-прежнему бесплатно.

На первой Всесоюзной конференции «Методы и средства защиты от компьютерных вирусов в MS-DOS» программа Aidstest была признана самой популярной антивирусной программой в СССР.

Через три года после выхода первой версии Aidstest был установлен рекорд скорости выпуска обновлений – два раза в неделю. Спустя ещё год появилась услуга «срочный заказ». Алгоритм для удаления нового вируса по обращению клиента добавлялся в течение суток. Это был очень серьёзный шаг, поскольку такого понятия как «вирусные базы» на тот момент ещё не было. Все процедуры поиска и лечения для каждого вируса добавлялись вручную в тело самой программы.

Самокритичное сообщение в конце проверки Aidstest.

Самокритичное сообщение в конце проверки Aidstest.

Дмитрий Лозинский отмечает, что по-настоящему интересных вирусов в то время было очень мало. Например, в начале 1994 года пользователи из Великобритании сообщили о полиморфном вирусе SMEG.Pathogen, который не могли полностью вычистить антивирусы.

В сентябре того же года началась эпидемия файлово-загрузочного вируса «3APA3A», внедрявшегося в BS активного раздела диска и создававшего заражённую копию системного файла IO.SYS. Удалить его стандартными средствами было невозможно даже с загрузочной дискеты.

Основная же масса вирусов писалась по давно известным шаблонам, но даже в них авторы умудрялись делать грубые ошибки. Добавлять их в базы для Лозинского и его коллег было рутиной, а не битвой интеллектов. «Мне в жизни чаще удавалось свалить скучную часть работы на других. Зато борьба с вирусами навалила на меня огромный объем самой нудной работы», – сетовал он.

Aidstest - обнаружение вируса Burglar-1150.

Aidstest — обнаружение вируса Burglar-1150.

Продолжая выпускать новые версии Aidstest, Дмитрий Лозинский стал председателем совета директоров «ДиалогНаука». На одной из конференций он познакомился с Игорем Анатольевичем Даниловым и помог ему ускорить развитие перспективной программы Doctor Web.

Doctor Web 1.04.

Doctor Web 1.04.

В четвёртой версии «полифага нового поколения» они совместно реализовали внешнюю базу с описанием известных вирусов, а затем разработали частично автоматизированный метод добавления новых сигнатур, который повысил скорость реагирования.

С появлением в 1992 году полиморфных вирусов актуальность Aidstest стала падать. Вскоре он стал распространяться как бесплатная утилита в составе антивирусного комплекта компании «ДиалогHаука». В нём также находился полифаг Doctor Web Игоря Данилова и дисковый ревизор ADInf Дмитрия Юрьевича Мостового, чья реклама была встроена в Aidstest.

Реклама ADInf в Aidstest.

Реклама ADInf в Aidstest.

Благодаря резидентному модулю DrWeb мог препятствовать заражению, чем принципиально отличался от сканера Aidstest, определявшего и лечившего уже инфицированные файлы. Также у него был мощный эвристический эмулятор, который как раз помогал в борьбе с полиморфными вирусами. Программы из набора от «ДиалогНаука» стали прообразом трёхкомпонентной системы защиты: сканера с эмулятором, модуля резидентного мониторинга и дискового ревизора.

Вместе они справлялись с большинством существовавших в диком виде вирусов и даже противостояли неизвестным модификациям, обнаруживая характерные изменения. Однако успешность определения вируса часто зависела от непрерывности контроля за состоянием компьютера и скорости обновления баз. При получении управления резидентный полиморфный вирус Alias.6943 блокировал запуск Aidstest и Dr.Web, а Asch.1121 устанавливал таймер на дисковое прерывание INT 13h и препятствовал работе ADInf.

Сегодня Aidstest сама определяется как вирус.

Сегодня Aidstest сама определяется как вирус.

Последняя версия программы Aidstest вышла 27 сентября 1997 года. Её номер 1723 отражает количество детектируемых вирусов. Сейчас она сама определяется как вирус пятью сканерами, и это ложноположительное срабатывание по какой-то причине остаётся без исправления уже не первый год.

C 2004 года Дмитрий Лозинский перешёл в компанию «Доктор Веб», где занял пост заместителя генерального директора. Он перестал заниматься изучением кода вирусов, оставшись в роли наставника для молодых аналитиков.

Поделиться
Поделиться
Tweet
Google
 
Читайте также
Microsoft выпустила мобильную версию MS-DOS Mobile 1.0.
Microsoft выпустила мобильную версию MS-DOS Mobile 1.0.
Dr.Web собирается блокировать пиратские сайты по запросу правообладателей
Dr.Web собирается блокировать пиратские сайты по запросу правообладателей
(DZ) Давид Ян: «Я думаю, что люди, которые толкают науку и бизнес вперёд, в определённой степени безумны»
(DZ) Давид Ян: «Я думаю, что люди, которые толкают науку и бизнес вперёд, в определённой степени безумны»
  • triod pentod

    это целая ностальгия, рабочий день в 1990 году начинался
    с обязательного запуска aidstest на компьютерах EC-1841.)

    • Андрей Васильков

      Первым домашним компьютером был как раз списанный ЕС-1841 с неисправными дисководами 5,25″ и «предустановленными» вирусами на жёстком диске. Aidstest запустить было не с чего. Другие компы успешно лечил с загрузочной дискеты, а на своём с десятой попытки иногда удавалось максимум увидеть её содержимое. Отнести винчестер на лечение было некому. Вручную же одолеть эти вирусы в голом ДОСе сложно. Один из них менял раскладку, так что после перезагрузки приходилось карандашом подписывать новые значения клавиш на большой-огромной клавиатуре. Это был отличный стимул заняться проблемой компьютерных вирусов всерьёз.

  • Злой

    FIDO, как не самостоятельный сегмент, появился в СССР несколько раньше 1990 года. В Википедии неверная информация. Мои друзья подключались к зарубежным узлам FIDO в 1987-89 годах. И в СССР они были не единственные. Про 90-й год и польскую BBS известно, потому что тогда про это в журнале написали. Про множество тех, кто подключался раньше, в журналах не писали — эти люди не были журналистами. Кто был первым и в каком году — сложно сказать, но точно не поляк, и не в 90-м.

    • Андрей Васильков

      Вы правы, просто история FIDO выходит за рамки этой статьи. Как раз в комментариях её было бы интересно вспомнить. Для поддержания атмосферы. :)

  • Влад

    кто-то написал книжку в начале 90х. «пишем вирус и антивирус». я прочем только первую часть

  • Алексей Семёнов

    эх… АДинф… сколько нервов было им съэкономленно… помогал не только от вирусов. но и от кривых рук в системе. моя первая система бэкапов.

  • kue

    Программазм как зеркало общественной жизни. Как в 90-е была разрушена единая система таможенно-пограничной службы, так и началась вся эта мышиная возня с персоналками и досовиндовсами..

    • Domo

      Как в 2007 Стив выпустил айфон, так и началась вся мышиная возня со смартфонами и андроидами.

      • Андрей Васильков

        Причём здесь яблочный пирог? Возня со смартфонами началась в девяностых, просто называли их кто как. IBM Simon, Nokia 9000 и другие. Потом была ОС Symbian и Ericsson R380s, который впервые официально назвали смартфоном. IPwn стал первым статусным смартфоном, а Android прижилась как универсальная мобильная ОС. Потому для неё и больше всех зловредов и пишут.

        • Domo

          Да это я так, пошутил!

  • IF

    в 97 последняя версия? а я в 98 последний вирус поймал. совпадение?

  • маргинлефт

    хорошая статья, от души написано, спасибо. побольше бы таких!)

    • Андрей Васильков

      Все скриншоты сделаны в день написания статьи. Почувствовал себя в машине времени. Мысленно напевал переделку Каганова про «… нормальный чистый DOS».

  • Domo

    Когда вышел полиморф OneHalf, его никто лечить не умел. А я как раз раздобыл hiew! И внезапно понял, что могу нехитрым алгоритмом отыскать зараженные файлы (а заражал он их немного) и переименовать их. Короче, остановил эпидемию!

    • Юрий В.

      Звучит как бред. «Половинник» заражал файлы только на дискетах, писался в бут на винте, висел резидентом и шифровал не файлы, а сектора (до половины диска). Наш первый рабочий хард на 20 мегов так схавался за пару недель, пришлось форматировать.

      • Domo

        Я слышал несколько версий о том, что такое настоящий OneHalf. Однако, полиморфной была именно моя версия, к тому же она периодически сама писала «this is one half», откуда, собственно, и пошло название.

      • Domo

        Сейчас в вики посмотрел — там описана именно ваша версия. Мой заражал именно ехешники, и дорожек не шифровал (либо не успел). Но меня в нем привлекла именно генерация случайного машинного кода на лету.

    • Андрей Грибков

      OneHalf 3544 лечился только Dr.Webом, AidsTest, AdInf его просто тупо не видели. Заражалось им абсолютно всё (под «абсолютно всё» я подразумеваю все .exe файлы). Все дискеты, винт-всё по нескольку раз пролечивал. Да ещё при скорости процессора ЕС 1841 4.77 МГц это было весьма сложно. Но как не крути где-то через полтора года войны, я, наконец, вышел победителем

  • Юрий В.

    Веселее всего было читать комменты Лозинского: разбор функциональности вирусов (чаще всего уничижительный) и цитаты-перлы их писателей, кому не лень — поищите, они шли текстовым файлом в комплекте с прогой. «Лозинский — лох, AIDSTest — горбуха»

  • John Carver

    Будучи мембером VT: залогинился, набрал хеш с картинки и поставил лайк.

  • Дмитрий Пучко

    «Компьютерра» #27 от 29 ноября 1993 г. страница 7:
    Номер с автографом Лозинского «Спасибо, тезка» лежит в домашнем архиве… приятно :) Скан предоставлю, обращайтесь ;)
    Номер с автографом Лозинского «Спасибо, тезка» лежит в домашнем архиве… приятно :) Скан предоставлю, обращайтесь ;)

  • Андрей Васильков

    В конце восьмидесятых – начале девяностых вирусы писали в основном ради эксперимента или забавы, а противостояли им такие же программисты-одиночки: Лозинский, Данилов, Мостовой, Касперский… Это была романтичная эпоха консоли, ассемблера и чистого кода с особым духом состязания в мастерстве. Сейчас всё кардинально изменилось. С обеих сторон свои интересы защищают влиятельные сообщества: криминальные группы и антивирусные компании. Интеллектуальное противостояние сменилось битвой за машины и жаждой наживы. Вместо элегантного кода тем и другим приходится писать актуальный. Вредоносные программы порой занимают десятки мегабайт, а дистрибутивы антивирусов – сотни.
    Совсем недавно произошло ещё одно важное изменение в характере угроз: трояны-шифровальщики стали использовать легитимные компоненты, поэтому до начала активных действий антивирусы не распознают их новые образцы. Даже с эвристикой. Приходится в комплексных средствах защиты усиливать проактивные модули и делать костыли — например, защищённый раздел с копией важных файлов на случай атаки Encoder’ами. Сейчас это необходимый этап, но в целом — бесперспективный путь. Пора искать принципиально другой, опирающийся на просвещение. До тех пор, пока с пользователями нянчатся как с глупенькими, им бесполезно (про)давать любые инструменты. Надо либо терпеливо учить, либо уж довести до логического конца — наладить через антивирусную сеть полное удалённое управление домашними компьютерами и мобильными гаджетами клиентов, чтобы они вообще клавиатуры не касались от греха подальше.

    • Дмитрий Пучко

      Евгений Касперский давно уже предлагал впускать в интернет только по предъявлению пропуска…
      Скан статьи, кстати, прислать? Серьезно, могу весь номер, у соседей есть A3. Мне спасибо, а Вам в архив лишним не будет.

      • Андрей Васильков

        Мне кажется, что фраза насчёт паспортов была метафорой или заявлением для обсуждения и привлечения внимания. Если же это прямое предложение по реформированию практики оказания услуг связи, то тогда уж проще граждан запретить — от них все беды.
        Архив есть, но если выложите где-нибудь в облаке скан той статьи — буду благодарен.

Хостинг "ИТ-ГРАД"
© ООО "Компьютерра-Онлайн", 1997-2018
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.
«Партнер Рамблера» Почта защищена сервером "СПАМОРЕЗ" Хостинг "Fornex"