"Как коллекционировать вирусы"
                               by Admin

    Прежде всего   должен   заявить,что   все  нижеизложенное  является
исключительно мнением автора по данной  теме,  сложившемся  у  него  за
более  чем  трехлетную  эпопею коллекционирования,  и никоим образом не
может служить обязательным руководством к действию. ;)))

                          ВСТУПЛЕНИЕ
                 на зыбкую почву аргументации

    Итак, вы  стали  жертвой  заболевания,  еще не нашедшего еще своего
термина и пока именуемого по старинке -  "коллекционирование  вирусов".
Справедливости ради,стоит отметить, что этим страдают все антивирусники
и "граждане с другой линии фронта". Правда, если для одних это средство
для  увеличения  мощности  своих  программ,  то для других - это способ
обучения и просто хобби. Как впрочем верно и обратное.

    Ну что же,вы решили сколотить  коллекцию,  которой  будет  можно  и
НУЖНО  гордиться.  С  чего начать и чем заняться ?  Первое,  что делает
большинство  -  это  простое  и  зачастую  бездумное  заваливание  всех
доступных  телеконференций  и  фидо-эх  мессагами с жуткими мольбами "-
Мужики, я тут начал вирусы собирать. Киньте у кого чего есть."

    Не надо. Достойных экземпляров для Ваших коллекций это не принесет,
а  вот  схлопотать  из  плюсомета  или  нарваться  на предупреждение от
провайдера можно запросто.

    Основной путь - свободный поиск в Интернете может  принести гораздо
больше,  однако для этого нужен опыт и знание того,что надо искать. Для
примера  -   имется   в   инете   сервер   ftp.ilf.net,   принадлежащий
Internatoinal  Liberation  Front  - полутайной организации,обьединюящей
различные ветви кибер-анархии.  Там имееются  очень  большие  коллекции
вирусов,отсортированных  по алфавиту или просто архивы с неразобранными
вирями.  По моим оценкам,  на этом сервере можно найти более 8000 тысяч
разных  вирусов.  НО !  Следует учесть тот факт,  что сервер существует
давно.  Знают про него многие и соответственно Ваши попытки  переписать
оттуда  все  вирусное,  для создания собственной коллекции,  по меньшей
мере просто неэтичны. Поверьте моему опыту - ничего супер-коллекционого
там   нет  и  все  эти  вирусы  уже  есть  у  каждого  уважающего  себя
коллекционера.  Что же тогда  делать  спросите  вы  ?  С  удовольствием
поделюсь знаниями.

    Во-первых, вам   необходим  "исторический  минимум".  То  есть,  те
вирусы,  которые  вписали  свое   имя   в   кибер-историю   или   стали
первооткрывателями  новых  технологий,  повлекщих за собой значительные
прорывы как в вирусной,так и антивирусной областях. Для примера привожу
небольшой список таких вирусов:

                Глава 1. Исторические вирусы.

    Первыми вирусами,  по  всей  видимости  были,  экземпляры жившие на
больших машинах Юнииак и ИБМ - "Рождественская елка" и  так  называемые
"кролики".  За давностью лет и древностью обьектов, данные вирусы стоит
считать динозаврами,  не дожившими до  эпохи  персоналок.  Реально  мне
неизвестен  ни  один  коллекционер  у  которого  бы  присутствовали эти
зверушки  и  тем  более  оправдан  поиск  этих  экземпляров.  Если  вас
настигнет  удача и на бескрайних просторах инета вы вдруг встретите эти
реликты - можете считать себя самым счастливым человеком  в виртуальном
мире.

    Далее идет  вирус  The Creeper.  Созданный в 70-х для ОС Tenex,  он
стал первым вирусом для борьбы с которым был создан  первый  антивирус.
Этот  зверь  скорее  всего  может  быть найден,  правда вероятнее всего
только в коллекциях ушедших на пенсию программеров тех времен.

    1981 год.  Первый  в  истории  бут-вирус.  "Elk   Cloner"   поражал
компьютеры Aplle II. Где найти эту пакость я не знаю. K

    1986 год  ознаменовался сразу двумя революционными событиями. Вирус
Brain (Мозги),  написанный в Пакистане вызвал первую в истории эпидемию
охватившую  практически  весь  компьютерный  мир.  Вирус  был бутовый и
причем  ПЕРВЫМ  стелсвирусом  !!  Ныне  имеется  практически  во   всех
коллекциях и представляет собой именно "исторический" интерес.

    Практически в  это  же  время  немецкий  программист  Ральф  Бюргер
обнаружил возможность заражать файлы используя MSDOS. Первый написанный
им вирус,  демонстрирующий эту возможность,  назывался VirDem.  Это был
первый файловый вирус.  Именно он,  а не созданные на основе его вирусы
семейства  Burger.based является тем с чего ВСЕ НАЧАЛОСЬ.  Вирус VirDem
достаточно распространен в коллекциях.  Более уникальным  является  его
авторский исходник!

    Затем была Вена.  Точнее Vienna. Ее исходник опубликованный в книге
все того же Бюргера вызвал массовое появление клонов и  вариантов.  Все
они  не  представляют  никакого  интереса.  Единственно достойной вещью
является та самая первая Vienna.  Кстати,убейте - не  помню  какая  она
была. K Кажется это была Vienna.648

    Далее идут вирусы 1april,Lehigh,Stoned,Pingpong и Yale.

    Стоит отметить еще и вирус Frodo.4096. Реально работающий экземпляр
этого вируса - довольно большая редкость.

    Затем настала пятница 13-го.  Вирус Jerusalem.1808 является пожалуй
самым известным вирусом в мире.

    Следующие раритеты,крайне  редкий  вирус  -  Cristmas tree.  Первая
сетевая эпидемия.

    Следующий обьект  заслуживающий  вашего  внимания   -   вирус-червь
Морриса. Об этой вирусной эпидемии в Интернет все наверное слышали. Так
вот,  можете  и  посмотреть  на  этого  легендарного  червя.  Кое   где
попадаются  его  исходные тексты на C,  правда неполные.  В имеющихся у
меня - отсутствует важный модуль.

    Затем идет  классика   вирусописания   -   Cascade,Yankee   Doodle,
Datacrime, FuManchu. Первый полиморфик вирус - Chameleon.

    Легендарный Dir_II.1024.

    Первые российские вирусы - Voronezh,Peterburg,LoveChild.

    Первый вирус для Windows.  Тогда еще 3.0. Открыл новую эру
в вирусописании - Winvir.

    PMBS - первый вирус работающий в защищенном режиме 386.

    Суперсложные полиморфик вирусы,семейства Smeeg - Quueg  и Pathogen.

    Shifter - первый вирус,заражающий обьектные модули (OBJ-файлы).

    Phantom1 - первая эпидемия полиморфик вируса в Москве.

    SrcVir - первый вирус,заражающий исходные тексты на Паскале и Си.

    Вирус "ЗАРАЗА" - использовал очень интересный  способ  внедрения  в
ОС.

    Просто до   кучи   можно   найти  вирусы  Nostradmus,Nutckracker  и
NightFall.

    Два следующих вируса можно смело причислить к редкостям  истории  -
первый  "двуполый"  вирус - RMNS,обитающий исключительно в коллекциях и
вирус OS2/AEP - первый EXE вирус для OS2.

    Стоит отметить  макро-вирусы.  WM.Concept  -  первый   макро-вирус.
WM.CAP  -  макро-вирус,вызвавший супер-эпидемию,начавшуюся в 1996 году.
Excel.Laroux - первый Excel-вирус и AmiPro.GreenStripe -  первый  вирус
под   AmiPro.  Совсем  надавно  появился  вирус  под  MS  Access  -  на
сегодняшний день это очень редкий экземпляр.

    Первый вирус под Windows95 - Win95.Boza.  В большом  количестве  по
инету разбросана версия этого вируса,  к сожалению intended. Работающий
экземпляр - довольно редок.

    Далее идут новинки и они практически все крайне редки и уникальны -
Linux.Bliss - вирус под разновидность Юникса.

    ShareFun -    макро-вирус,использующий   для   своего   размножения
электронную почту.

    PM.Wanderer - первый вирус,работающий в защищенном режиме Win95.

    Homer - сетевой вирус,размножающийся при помощи ftp-серверов.

    Win32.Cabanas - первый вирус, живущий и под 95 и под NT.

    Anarchy.6093 - вирус использующий для своего размножения  COM/EXE и
документы Word.

    Вот практически   полный   список   "исторических"   вирусов.   Для
завершения  стоит  еще   назвать   вирусы   OneHalf.3544,   Win.Zombie,
Win.RedTeam.

                Глава 2. "Эксклюзивные вирусы"

    Из более  чем 16000 известных на сегодня вирусов,  примерно 90%  из
них являются уникальными в плане  своей  распространенности.  Под  этим
следует понимать следующее - данный вирус имеется только у его автора и
у авторов антивирусных  программ.  К  таким,некоторое  время  относился
вирус   Cabanas.   Он   был   прислал   автором   только  И.Данилову  и
Е.Касперскому.  По прошествии некоторого времени он стал  доступен  для
публики,  но все еще остается редким. Единственный способ для получения
таких вирусов - это связь с самими авторами вирусов.  Иногда среди этих
вирусов  попадаются  весьма  интересные  экземпляры  - так никогда и не
дошедшие даже до авторов антивирусов.

    Есть еще  одна  группа  вирусов,представляющих  пожалуй  наибольший
интерес  для  коллекционера - вирусы написанные авторами антивирусов !!
Число  таких  вирусов  крайне  ограничено,  в  дикой  природе  они   не
встречаются,хотя антивирусами и обнаруживаются. J

    Ярчайшие примеры  - RDA.Fighter или Dinky.56 (а по некоторым данным
уже и Dinky.52) - написаны Игорем Даниловым,автором Dr.Web.

    Вирус AntiExe приписывают перу самого Лозинского,хотя прямых фактов
указывающих  на это нет.Правда,данный вирус очень распространен и давно
уже стал "пособием" для начинающих вирмеров.

    Micro.13 - фактически самый маленький вирус в мире  (версии Micro.5
и  Micro.7  были  написаны  другими  авторами  по  следам этого вируса)
принадлежит  перу  Евгения  Касперского,автора  AVP.  Данный  вирус   -
исключительная  редкость  и  имеется  у очень ограниченного круга лиц,а
обнаруживется только AVP и DOP.

    RedArc-у автору антивируса DOG, принадлежит авторство более чем 100
семейств вирусов,  причем большинство из них - сугубо коллекционные.  В
качестве примера можно привести семейства Vesna,DIW,RedArс.  О  вирусах
написанных   создателем   антивируса  MultiScan  Populizer-ом  я  здесь
подробно рассказывать не буду.  Скажу только что их  довольно  много  и
любой из них может служить украшением коллекции.  Вирус Nostradamus уже
упоминался мной в числе "исторических" вирусов.

    Факты написания зарубежными антивирусниками вирусов мне неизвестны,
однако  можно с уверенностью утверждать,что и там это имеет место.  Тем
более интересен поиск вирусов,написанных там.

                 Глава 3. Неизвестные вирусы.

    Совершенно отдельным     пунктом      стоит      коллекционирование
вирусов,неизвестных  для  современных  антивирусных программ.  Известны
очень внушительные коллекции  подобных  экземпляров.  Как  правило  это
вирусы,написанные    исключительно    в   экспериментальных   целях   и
опубликованные в специализированных вирусных журналах.  Стоит отметить,
что  вирусы из журналов весьма скоро попадают в руки антивирусников, но
весьма значительная часть из них,особенно из  зарубежных  журналов,  на
протяжении долгого времени могут оставаться неизвестными.

    Также сюда  можно  отнести  варианты  уже  известных вирусов,правда
иногда весьма значительно отличающихся  от  своих  прародителей.Где  же
найти   такие   экземляры   ?   Известна   страничка   в   Интернет   -
www.cyberstation.net/~cicatrix,  где  каждый  месяц  публикуется  архив
новых   поступлений  в  коллекцию  Cicatrix-а.  Там  встречаются  очень
интересные вещи !

    Даже если   какой-то   из   таких   вирусов   со   временем   будет
обнаруживаться  антивирусными  программами,то достаточным утешением для
вас  будет  служить  время,  в  течении  которого  вирус  был  в  числе
"неизвестных".  Кое-какие  из  имеющихся  у  меня,являлись неизвестными
более года !!  Кстати,вы можете такие вирусы время от времени сплавлять
авторам  антивирусов  и  добавлять "зарубки на свой приклад",  с чистой
совестью  считая  себя  "первооткрывателем".   Главное,чтобы   вас   не
причислили к авторам этих вирусов. J

    Ну вот,вирусы   вы   уже  собираете,  а  как  их  лучше  хранить  и
каталогизировать - об этом я расскажу вам в следующих  номерах журнала.