Обкуренный (компьютерный вирус) - Stoned (computer virus)

Побитый камнями
Камень-вирус-hexacode.png
Шестнадцатеричный дамп показывая "Ваш компьютер забит камнями!" оператор в последнем 512-байтовом секторе главной загрузочной записи
ТипКомпьютерный вирус
ПодтипЗагрузочный вирус
Начало координатНовая Зеландия
Авторы)Неизвестный
Операционные системы) затронутыйДОС

Побитый камнями это загрузочный сектор Компьютерный вирус создан в 1987 году. Это один из первых вирусов. Считается, что он был написан студентом из Веллингтона, Новая Зеландия.[1][2] К 1989 году он широко распространился в Новой Зеландии и Австралии.[3] и варианты стали очень распространены во всем мире в начале 1990-х годов.[4]

Компьютер, зараженный исходной версией, имел вероятность один к восьми.[5][6] что экран объявит: "Ваш компьютер теперь забит камнями!", фраза, обнаруженная в зараженных загрузочных секторах зараженных дискеты и основные загрузочные записи инфицированных жесткие диски вместе с фразой "Легализовать Марихуана ". Более поздние варианты вызвали ряд других сообщений.

Оригинальная версия

Считалось, что оригинал «Ваш компьютер забросан камнями. Легализовать марихуану» был написан студентом Веллингтон, Новая Зеландия.[1][7]

Эта первоначальная версия, похоже, была написана кем-то, имеющим опыт только с IBM PC Дисководы гибких дисков 360 КБ, так как они плохо себя ведут на IBM AT 1,2 МБ дискеты или в системах с более чем 96 файлами в корневом каталоге. На дисках большей емкости, таких как диски 1,2 МБ, исходный загрузочный сектор может перезаписать часть каталога.

Сообщение отображается, если время загрузки делится на 8. На многих Клоны IBM PC в то время время загрузки могло меняться, поэтому сообщение отображалось случайным образом (1 раз из 8). На некоторых Совместимость с IBM PC машины или на оригинальных IBM PC компьютеров, время загрузки было постоянным, поэтому зараженный компьютер либо никогда не отображал сообщение, либо всегда отображал его. Зараженный компьютер с диском 360 КБ и жестким диском 20 МБ или меньше, на котором никогда не отображалось сообщение, был одним из первых примеров бессимптомного вирусоносителя, который работал бы без каких-либо препятствий для своей функции, но мог бы заразить любые диски, вставленные в Это.

На жестких дисках оригинал Главная загрузочная запись перемещается в цилиндр 0, головка 0, сектор 7. Вкл. дискеты, исходный загрузочный сектор перемещается в цилиндр 0, головку 1, сектор 3, который является последним сектором каталога на дисках размером 360 КБ. Вирус «безопасно» перезапишет загрузочный сектор, если в корневом каталоге не более 96 файлов.

Компьютер обычно заражался при загрузке с зараженной дискеты. Компьютеры в то время по умолчанию загружались бы с дисковода дискет A :, если бы у него была дискета. Вирус распространялся при обращении к дискете с зараженного компьютера. Эта дискета теперь сама по себе стала источником дальнейшего распространения вируса. Это было очень похоже на рецессивный ген - трудно устранить - потому что у пользователя может быть любое количество зараженных дискет, но при этом его системы не инфицированы вирусом, если только он случайно не загрузится с зараженной дискеты. Очистка компьютера без очистки всех дискет сделала пользователя уязвимым для повторного заражения. Этот метод также способствовал распространению вируса в этой заимствованные дискеты, если они были помещены в систему, теперь могли переносить вирус на новый хост.

Варианты

Образ вируса очень легко модифицировать (патчить); в частности, человек, не разбирающийся в программировании, может изменить отображаемое сообщение. Было распространено множество вариантов Stoned, некоторые только с разными сообщениями.

Пекин, кровавый!

У вируса есть строка «Кровавый! 4 июня 1989 года». В этот день Протесты на площади Тяньаньмэнь были подавлены Китайская Народная Республика.

Шведская катастрофа

Вирус имеет строку «Шведская катастрофа».

Манитоба

Manitoba не имеет процедуры активации и не сохраняет исходный загрузочный сектор на дискетах; Манитоба просто перезаписывает исходный загрузочный сектор. Дискеты EHD размером 2,88 МБ повреждены вирусом.

Манитоба использует 2 КБ памяти во время проживания.

NoInt, Блумингтон, Stoned III

NoInt пытается остановить его обнаружение программами. Это вызывает ошибки чтения, если компьютер пытается получить доступ к таблице разделов. В системах, зараженных NoInt, базовая память уменьшилась на 2 КБ.

Пламя, Стэмфорд

Вариант Stoned получил название Flame (позже несвязанное сложное вредоносное ПО получил то же имя). Ранний Flame использует 1 КБ памяти DOS. Он хранит исходный загрузочный сектор или главную загрузочную запись в цилиндре 25, головка 1, сектор 1, независимо от носителя.

Flame сохраняет текущий месяц системы, когда она заражена. При изменении месяца Flame отображает на экране разноцветное пламя и перезаписывает основную загрузочную запись.

Анджелина

У Анджелины есть механизмы скрытности. На жестких дисках исходная главная загрузочная запись перемещается в цилиндр 0, головку 0, сектор 9.

Анджелина содержит следующий встроенный текст, не отображаемый вирусом: «Привет от АНЖЕЛИНЫ !!! / Гарфилд / Зелена Гора» (Зелена-Гура это город в Польше).

  • В октябре 1995 года Анджелина была обнаружена в новом запечатанном на заводе Seagate Technology 5850 (850 МБ) дисков IDE.[8]
  • В 2007 году партия Медион ноутбуки проданы через Aldi Сеть супермаркетов оказалась зараженной Ангелиной.[9] В пресс-релизе Medion поясняется, что вируса на самом деле не было; скорее, это было ложное предупреждение, вызванное ошибкой в ​​предустановленной антивирусное программное обеспечение, Bullguard. Был выпущен патч для исправления ошибки.[10] Неисправность Bullguard подчеркивает одну из проблем (наряду с потерей производительности и разочаровывающими всплывающими окнами с просьбой о деньгах) OEM-производителей, которые предварительно устанавливают то, что Microsoft внутренне называет "краплеты" на ПК с Windows, чтобы компенсировать затраты на лицензирование Windows. Практика, широко осуждаемая в технических СМИ, даже со стороны журналистов, обычно дружественных к Microsoft.[11]

Биткойн-блокчейн инцидент

15 мая 2014 г. сигнатура Stoned вируса была вставлена ​​в биткойн блокчейн. Это вызвало Microsoft Security Essentials для распознавания копий блокчейна как вируса, предлагая ему удалить рассматриваемый файл, а затем вынуждая узел перезагрузить цепочку блоков с этой точки, продолжая цикл.[12][13]

В блокчейн была вставлена ​​только сигнатура вируса; самого вируса там не было, и если бы он был, он не смог бы работать.[14]

Ситуация была предотвращена вскоре после этого, когда Microsoft предотвратил распознавание блокчейна как Stoned.[15] Microsoft Security Essentials не потерял способность обнаруживать реальный экземпляр Stoned.

Смотрите также

Рекомендации

  1. ^ а б «... краткая история компьютерных вирусов»., IBM Research
  2. ^ "Ранние дни", История вредоносного ПО
  3. ^ «Вирус марихуаны сеет хаос в Министерстве обороны Австралии». Дайджест рисков. 9 (9). 14 августа 1989 г.. Получено 7 августа 2007.
  4. ^ «Описание вируса F-Secure: забитый камнями». F-secure.com. Получено 7 августа 2007.
  5. ^ «Анализ обкуривания», Питер Кляйсснер
  6. ^ «Забитый камнями вирус для ПК», Прокомментировал дизассемблирование вирусного кода на computerarcheology.com
  7. ^ "Ранние дни", История вредоносного ПО
  8. ^ «Вирус: загрузочный / забитый камнями». Получено 27 августа 2010.
  9. ^ «Загрузочный вирус, поставляемый на немецкие ноутбуки». Бюллетень вирусов. Получено 8 января 2008.
  10. ^ "Wichtige Produktinformation zum Notebook MD 96290". Medion AG. 10 ноября 2007 г. Архивировано 10 ноября 2007 г.. Получено 11 января 2017.CS1 maint: BOT: статус исходного URL-адреса неизвестен (связь)
  11. ^ «Избегайте, раздувание: как очистить Superfish и прочую хрень с вашего ПК». PCWorld. 19 февраля 2015 г.. Получено 19 июля 2020.
  12. ^ «Microsoft Security Essentials сообщает о ложных срабатываниях в блокчейне Биткойн, постоянно уведомляя пользователей». answers.microsoft.com.
  13. ^ tweet_btn (), Ричард Чиргвин, 18 мая 2014 г., 21:58. "Биткойн-блокчейн предположительно заражен древним вирусом Stoned".
  14. ^ «Вирусная угроза в блокчейне: обнаружены следы DOS,« забитые камнями »• r / Bitcoin». www.reddit.com. 19 мая 2014.
  15. ^ Вэй, Ван. «В блокчейне Биткойна обнаружены сигнатуры древнего« КАМНЯ »вируса».