从古巴到巴基斯坦搜寻老式MS-DOS病毒

安全研究人员和发烧友试图了解并保存恶意软件的历史记录。

病毒标本/世界地图/二进制代码
Antiv3D / LagartoFilm / Getty Images

加勒比海国家古巴是一个老爷车博物馆,有1940年代和1950年代的雪佛兰和普利茅斯,有些处于薄荷状态,有些则生锈,并且陈列着自1960年代以来进口的沃尔加斯,拉达斯和其他苏联车辆的备件。

虽然老爷车出现在照片中,并经常被列为最受欢迎的旅游景点,但复古古巴的另一面却不可见。该国仍在使用一些最古老的计算机,很可能是不久前在野外看到最新MS-DOS病毒的地方。

一个开放时间胶囊

软件开发商Victor Manuel Alvarez, 恶意软件 研究工具YARA,是古巴人。他获得了理学学士学位。他于2001年在哈瓦那大学获得计算机科学博士学位,在学习的最后一年,他在古巴唯一的反病毒实验室Segurmática工作。

Alvarez及时对安全感兴趣,以赶上古巴乃至全世界的DOS恶意软件时代的终结。他在电子邮件中说:“甚至在2000年代初期,看到MS-DOS在某些地方运行的情况并不少见。” Segurmática的现任和前任几名员工都对CSO证实了这一点,其中一位说该实验室的产品仍在运行Windows XP的基于Pentium III CPU的计算机上运行。该公司未回复我们的置评请求。

“我们是一个小国,但我们的人民全心全意地从事自己的工作,”一位古巴研究人员用英语告诉我。 “我们努力做到最好。”

在2008年之前,只允许外国人和公司购买PC。首先 法令 劳尔·卡斯特罗(RaúlCastro)在成为古巴领导人后签署了无限制销售计算机,DVD和视频播放器的合同。即使这样,在一个只有几美元的国家,只有有限数量的当地人能够负担得起。

在过去十年中,古巴的技术水平已大大改善。他说,当阿尔瓦雷斯(Alvarez)十几岁时,通常会看到10、15甚至20岁的PC。 “我从1983年开始学习IBM XT克隆的编程,那是1993年!这些计算机在1995-96年仍在使用。”

阿尔瓦雷斯说,古巴从不介意违反美国禁运的任何人那里进口硬件。 “这类似于汽车所发生的事情。我们拥有来自不同品牌和国家(包括俄罗斯,东德,日本和美国)的各种计算机。我记得使用了一些真正的德州仪器和IBM PC。”

Alvarez作为用户而不是研究人员经历了DOS恶意软件,因为他喜欢与朋友共享软盘。他说:“其中大多数是相对无聊的病毒,没有视觉效果,但在某个时候,我记得感染了Cascade病毒,该病毒导致屏幕上的字母掉落。” “我比沮丧更有趣。”

安全引起了他的兴趣,因此他花了大量时间学习Assembly,进行反向工程和使用系统调试器。当他2001年要从哈瓦那大学毕业时,他不得不在一家公司进行论文研究,这在他的国家很普遍。因此,他接近了Segurmática。他说:“他们热烈欢迎我,我从事Windows 9x中内存驻留病毒的检测。”

Alvarez现在居住在西班牙,并且在过去的七年中,他一直是VirusTotal的一名软件开发人员,该平台使用户可以扫描文件中的恶意软件。我问他上一次DOS病毒何时上传。 “今天,”他告诉我。 “我们不断收到各种恶意软件,甚至包括MS-DOS恶意软件。这并不意味着我们收到的所有恶意软件都是在野外发现的。在许多情况下,只是人们在扫描其恶意软件集合。”

没有人能确切知道,但是一些安全研究人员认为,MS-DOS恶意软件已经度过了其在古巴隐蔽生活的最后一章。在拉合尔的一家小型计算机商店中,这是一次令人着迷的旅程的结尾,此旅程在全球范围内开始。

跟踪第一个MS-DOS病毒

2011年2月的某一天,F-Secure的研究员MikkoHyppönen离开了冰冷的芬兰,去了拉合尔。拉合尔是巴基斯坦最进步和国际化的城市之一,也是1986年写下历史上第一个MS-DOS病毒Brain的地方。

作为一名年轻的安全研究人员,Hyppönen对Brain进行了分析,并对它的工作方式和来源着迷。因此,在那个冬天,为纪念该病毒成立25周年,他决定登上飞机,最后去拉合尔与Brain的创造者见面。

Hyppönen通过电话告诉我:“感觉真的超现实。” “在整个事情上,我对自己都有某种封闭。我们记录了重要的IT历史,我认为我们也对第一个PC病毒之谜有了某种答案。”

追踪大脑非常容易。在代码内部,它的作者Amjad和Basit Farooq Alvi兄弟列出了一个实际地址和三个电话号码。 Hyppönen告诉我:“您可能会认为他们多年来已经搬了很多次,但这就是他们今天公司仍然经营的地址。”

当他到达拉合尔时,他不知道会发生什么。街道上到处都是三轮汽车,驴车和摩托车。但是兄弟们欢迎他,他有机会接受采访。 Amjad和Basit Farooq Alvi现在是巴基斯坦的成功商人,他们的公司名称是 脑电讯.

Hyppönen问他们为什么写这种病毒。他们说,他们想探索MS-DOS中的漏洞,而且还希望了解他们在巴基斯坦编写的软件可以通过软盘在世界范围内传播。他们当时建立了经常被盗版的医疗软件,并且他们相信使用Brain可以追踪非法副本。

来自世界各地的精通技术的用户在1980年代后期注意到了该病毒,甚至有人使用隐藏在代码中的电话号码打电话给作者。 “我们接到的第一个电话是来自迈阿密大学,” Amjad Farooq Alvi对Hyppönen说道,“ [来自某家当地杂志的管理人员……我很震惊,因为我没有预料到……它将继续下去。 ”

大脑会感染软盘的启动扇区。原始引导扇区已移动到磁盘上的另一个位置,并标记为坏。巴基斯坦兄弟说,这种病毒并不是破坏性的。他们说,这只是一个实验。

Hyppönen说:“他们并不真的以为自己在做令人讨厌或违法的事情。” “那在当时并不违法;他们没有违反法律。他们基本上很好奇。”

赌博文件

芬兰研究人员对那些标志着安全行业起步的早期事物有些怀旧,当时是出于娱乐目的而不是牟利目的编写计算机病毒,研究人员通常不得不解决聪明的难题或寻找隐藏的信息。在那个时候,病毒是由爱好者而不是由政府资助的团体编写的。地理和社会阶层的重要性降低了,但情报获得了胜利。

我要求Hyppönen命名他最喜欢的DOS病毒。他选 赌场,这是一种恶意软件,它使用户可以尝试将已删除的文件重新赢回数字老虎机。 “这确实有效;研究人员说:“它为您提供了玩游戏的五种机会。”

赌场会在一年中的某些日子激活自己。它将文件分配表(FAT)复制到内存,然后从磁盘擦除它,因此实际上每个文件都消失了。 “病毒使您有机会玩游戏,并通过赢得大奖来取回文件。如果不赢,您将丢失所有文件。 Hyppönen说:“如果您不玩游戏,并且重置计算机,则会自动输掉游戏。”

他希望自己能做更多的工作来帮助早期病毒作者,与巴基斯坦兄弟不同,他们变成了网络罪犯。 Hyppönen说:“这些人通常是他们成长环境的受害者。”

他记得在1990年代与他交谈的一个少年,他开始编写病毒以脱离自己的世界。研究人员说:“他当时在芬兰中部,在茫茫荒野中,那里有牛和马。”

这位少年将他的作品上传到了BBS(公告板系统)上,这是一种用于共享软件,聊天和阅读新闻的早期论坛。 “男孩向我解释说,他感到自己被困在自己身边。因此,他写了一些逃脱的东西,当他的病毒一路杀进加利福尼亚州时,他感觉很好。”海波宁说。

Hyppönen说,这些安全行业起步的故事应该被讲述,而不是被遗忘。幸运的是,他考虑过早保存这些时刻。他从1991年开始收集恶意软件样本,认为有一天可能有价值。与Brain一样,他的许多病毒都存储在5¼英寸的软盘上,并用胶带密封了写保护槽口。

几年前,他将自己的样本捐赠给了Internet Archive的 恶意软件博物馆,这样年轻人和技术历史学家就可以了解在1980年代末期或1990年代末感染病毒的计算机的感觉。旨在保存恶意软件历史记录的此类举措吸引了全世界的爱好者。

山区恶意软件

在落矶山脉的基地,科罗拉多州的博尔德,旧技术再一次闪耀。的 媒体考古实验室 (MAL)是一个博物馆,拥有一些历史上最激动人心的计算机,是一个欢迎希望了解技术历史及其对社会影响的人的博物馆。实验室的座右铭是:“必须活出过去,才能看到现在。”

诸如Apple I副本,一些Commodore 64甚至是Osborne 1(这是第一台在商业上成功的便携式计算机)之类的计算机都安装在打字机,视频游戏机,盒式磁带播放器和相机旁边的长椅上。全部都处于工作状态,复古爱好者和艺术家都可以使用。

住在Boulder的Sophos首席安全研究员Andrew Brandt去年首次访问了媒体考古实验室。 “我绝对为此而过了月亮!因为这些是我小时候使用的计算机。”

布兰特(Brandt)每周一个下午开始在博物馆做义工,希望能获得一些过时的软件,还可以帮助博物馆建立大量的恶意样本。他告诉我:“我是一名恶意软件分析师。” “ MAL有一个庞大的软件库,但是,他们没有的,也是大多数人没有的,是旧的恶意软件。我想看看是否可以让旧病毒在这些旧设备上运行。”

布兰特通过收集样本并绘制时间表来显示病毒如何演变,从而开始重建四十年的安全历史。他试图了解通过分析Windows之前的恶意软件可以学到的东西,以及“我们是否真的可以看到这些旧病毒与更现代病毒之间的遗传界线。”

他的研究仍在进行中,但他计划在下一次揭露他的第一个结论。 病毒公告 会议将于10月初在伦敦举行。

Sophos研究人员希望尽可能多地回到过去。他开始于 麋鹿克隆人是最早在野外传播的微型计算机病毒之一。这是由美国15岁的里奇·斯克伦塔(Rich Skrenta)于1982年左右编写的,他的唯一目的是对人们开玩笑。这是一种引导区病毒,通过感染Apple DOS 3.3操作系统而传播。另一种早期病毒是 必和必拓,是1986年在德国编写的,它是第一款攻击Brandt童年计算机Commodore 64的恶意软件。

让游戏开始

媒体考古实验室的样本收集不断增长,并且已经有很多MS-DOS病毒上架了。通过查看它们,可以看到病毒作者如何提高自己的技能,从而避免被安全研究人员发现。布兰特说:“这是这场猫捉老鼠游戏的开始。”

ESET的荷兰研究员Righard Zwienenberg亲眼目睹了这款游戏。他于1988年开始从事安全工作,至今他仍记得引起他兴趣的第一个MS-DOS病毒。他告诉我,这是耶路撒冷的一个变种:耶路撒冷。1808.A204.A

Zwienenberg说:“这是我在代尔夫特工业大学遇到的第一个病毒。”耶路撒冷于1987年10月首次被发现,当时它有一些古怪的想法。它感染了可执行文件,从而增加了大约1800字节的大小。每次用户运行它们时,大多数.EXE文件都会放大。这可能会降低计算机的速度,但只是暂时。

该病毒定于每年的13日(星期五)开始传播,除了1987年,注定的日子到来之后,它会删除用户尝试执行的程序。当有人想要运行可执行文件时,它会显示一条稍有更改的消息。它用大写的C代替“错误的命令或文件名”,而不是众所周知的“错误的命令或文件名”。

Zwienenberg本人是一名复古技术收藏家,喜欢向人们传授旧病毒的知识,并且经常喜欢指出,当今最常见的威胁已经存在了很长时间。他的演讲题为“糟糕!他再次与G Data的安全宣传员Eddy Willems一起发表了这本书。

赎金

他问:“您知道第一个勒索软件何时出现吗?” “那是1989年。”该病毒被称为AIDS特洛伊木马,它通过标有“ AIDS Information Introductory Diskette”的软盘感染了计算机,该软盘通过蜗牛邮件发送。

艾滋病将替代AUTOEXEC.BAT文件,并将计算计算机启动的次数。达到90后,将其隐藏在驱动器上的目录中 C: 并对文件名进行加密,使计算机无法使用。 Zwienenberg告诉我,它要求向希望访问其数据的人支付189美元的赎金给巴拿马的一个邮政信箱。 “我不知道作者是怎么想出这个数字189的。”

很快发现,艾滋病木马是由进化生物学家约瑟夫·波普博士撰写的,后来被拘留。他在审判中为自己辩护说,所有的钱都将用于艾滋病研究,这是作者感兴趣的话题。

Zwienenberg说,即便如此,大多数1980年代末和1990年代初的病毒作者并不一定要钱。他们对学习更感兴趣,并希望获得“在CNN上成名15秒”的信息。

与今天不同,当恶意软件试图隐藏时,老病毒作者更喜欢进行展示,不仅展示技术知识,还展示艺术技能。 “想想Yankee Doodle,它每天下午5点播放这个主题;沃克(Walker),一个拿着棍子的老人走过屏幕;赌场还是小瀑布,”茨维嫩贝格说。

这位荷兰研究人员说,有时,我们会忽略几十年前学到的教训。 Sophos的Brandt表示同意。他说:“公司如此专注于下一件事,以至于他们对过去的了解减少了。” “这对将来没有帮助。我们在森林里迷失了树木,我们没有看大局。”

这就是为什么像古巴的一辆生锈的普利茅斯汽车一样,需要还原MS-DOS恶意软件历史记录的原因。

有关:

版权© 2019 IDG通讯,Inc.