Dark Avenger и другие: как Болгария начала 90-х стала вирусной Тортугой
В 80-е годы социалистическая Болгария сумела сделать впечатляющий рывок в компьютеризации, о чём мы рассказали в недавней статье. В стране производились десятки тысяч компьютеров в год: под маркой «Правец» под Софией наладили производство ПК, недвусмысленно напоминавших Apple II и IBM PC с процессорами Intel 8088 и 8086. Некоторое время (дело было до массового перевода производства ПК на Тайвань и в КНР) Болгария даже вышла на третье место по производству компьютеров на душу населения.
Количество специалистов в области компьютерной техники и программирования также стремительно росло все восьмидесятые годы. При ДКМС, болгарском комсомоле, с 1984 года действовали компьютерные клубы для интересующейся компьютерами молодёжи, к концу десятилетия их число превышало пятьсот, что тоже способствовало стремительному распространению компьютерной грамотности в значительно большей степени, чем в любой другой стране соцлагеря. На пике только число официально зарегистрированных посетителей компьютерных клубов доходило до полумиллиона в девятимиллионной к концу 80-х стране. Конечно, официальная государственная статистика — дело творческое, но масштабы компьютеризации Болгарии впечатляли.
В стране и партии предметно задумывались о превращении Болгарии в локомотив компьютеризации всего социалистического блока. «Болгарские компьютерные клубы» открывались от КНДР и Вьетнама до Эфиопии и Кубы. Производство персональных компьютеров «Правец 8М» по мотивам Apple II с болгарскими доработками в порядке эксперимента наладили в Узбекской ССР, и эксперимент этот был вполне успешен. Болгария «штамповала» компьютерщиков в значительно больших количествах, чем требовала её собственная экономика, в том числе с прицелом на работу по всему «восточному блоку» и примкнувшим к ним развивающимся странам «соцориентации».
Однако на рубеже 80-х и 90-х годов в силу целого комплекса причин социалистический блок рассыпался. Страны, где у власти остались компартии, за небольшими исключениями тоже предпочли в экономике перейти на рельсы рыночного капитализма при активной торговле со странами большого Запада. Болгарское производство компьютеров не выдержало конкуренции с американскими корпорациями и тайваньскими заводами, а также вопросов о причинах загадочного сходства ПК «Правец» с Apple и IBM — и в 1994 году завод под Софией закрылся.
Болгария, как и другие постсоциалистические страны, столкнулась с тяжёлым кризисом перехода от внутриблоковой плановой экономики к рыночной, открытой глобальным ветрам. Полноценная массовая компьютеризация ещё только начиналась даже в самых богатых и развитых странах Запада. Когда вместо государственной занятости появился рынок труда — предложение специалистов в области IT многократно превысило спрос работодателей. Ну, а писать и продавать программы в стране, где свободное распространение пиратского софта почиталось за норму и естественное право, было так же сложно, как в первые годы постсоветской России.
Множество болгарских компьютерщиков остались не у дел, не говоря уже о недавних выпускниках компьютерных специальностей. Кто-то со скрипом зубовным сменил специальность — нередко чтобы потом вернуться на волне насыщения страны и её экономики компьютерами со второй половины 90-х. Кто-то эмигрировал в страны Западной Европы или за океан, где спрос на компьютерщиков уже стремительно рос.
А кто-то остался в Болгарии, сумев остаться в изрядно поредевшей IT-сфере, но нередко затаив зуб на «буржуинов» и проникшись идеями киберпанка про бунт против системы и всю эту нашу high tech low life — благо «лоу лайфа» в постсоциалистической Болгарии хватало за глаза. Во многом эта среда и породила феномен болгарских авторов вирусов, которые в начале 90-х гремели на весь мир и устрашали Европу и Америку.
Однако самый знаменитый её представитель, великий и ужасный Dark Avenger, начал писать вирусы до того, как в Болгарии в конце 1989 года произошли радикальные социальные, политические и экономические перемены. Видимо, ему это просто нравилось — до того, как вирусописание стало для болгарских программистов мейнстримом.
Всё началось с того, что в апреле 1988 года в официальном компьютерном журнале «Компютър за Вас» вышла статья про компьютерные вирусы. Авторы не столько ужасались «порочному буржуазному явлению», сколько увлекательно описывали, как работают вирусы, как они распространяются, и даже как их можно совершенствовать.
Осенью того же года болгарские компьютеры «зацепило» распространение вируса Cascade, который не делал ничего особенно свирепого —, но эффектно и внезапно для пользователя «осыпал» буквы на экране под музыку. Как считается, этот пришедший с немецко-швейцарской границы шуточный вирус почти одновременно вдохновил Dark Avenger на написание куда более опасных вирусов, а компанию IBM и Евгения Касперского — на создание антивирусов.
Именно осенью 1988 года человек, который скоро станет известен всему миру как Dark Avenger, и решил попробовать свои силы в новом деле.
Среда для экспериментов была идеальной. В Болгарии было множество тех самых общественных компьютерных клубов при ДКМС, их посещали множество людей. Болгарская версия Перестройки шла уже второй год. Строгость учёта и контроля посетителей на волне роста «перестроечного» пофигизма заметно снизилась, и найти «хвосты» было затруднительно. «Правецы» как аналоги Apple и IBM спокойно работали с массово, почти что с одобрения государства и партии, спираченным западным софтом — и писать вирусы можно было сразу с прицелом на глобальное распространение.
Спустя полгода, весной 1989 года, в Европе и США стали отмечаться случаи заражения новым вирусом. К осени того же года заражения приняли характер эпидемии, достигли Австралии, Таиланда и Монголии, и вызвали серьёзное внимание со стороны специалистов по компьютерной безопасности. Каждый 16-й запуск заражённой машины сопровождался стиранием произвольного сектора на харде и его заполнение однотипными файлами с записью «Eddie lives… somewhere in time» («Эдди жив… где-то во времени»). В коде вируса имелась всё та же надпись «Eddie lives… somewhere in time», а также гордая подпись «This program was written in the city of Sofia © 1988–89 Dark Avenger»: «эта программа написана в городе Софии, 1988–89, Dark Avenger». По подписи автора он и остался в истории вирусописания.
Вирус Dark Avenger был написан красиво и изобретательно — что делало его особенно опасным. Некоторые использованные в нём механизмы были личными изобретениями автора. В отличие от других вирусов того времени, заражение происходило не только при исполнении поражённых .com и .exe файлов, но и при любых операциях доступа к ним. То есть, любая программа, выполнявшая те или иные обращения к исполняемым файлам, включая не обученные «охотиться» на Dark Avenger антивирусы, вызывала массовое заражение всех .com и .exe файлов длиной более 1775 байт.
Уничтожение не всей информации, до которой можно дотянуться, а отдельных секторов по очереди тоже было весьма коварным ходом: пользователь мог далеко не сразу понять, что с его машиной что-то не так, что давало вирусу больше возможностей для порчи информации и распространения.
Хуже того, Dark Avenger был первым вирусом, способным целенаправленно сопротивляться первым антивирусным программам с поиском по сигнатурам. При старте любой программы вирус помечал программный сегмент как последний и становился «невидимым». По окончании работы программы вирус помечал программный сегмент уже как не последний, и восстанавливал первоначальное значение прерывания, если оно было изменено программой.
В СССР этот вирус появился одним из первых, причём известен он стал под другим названием. Похоже, кто-то из московских программистов поймал и подправил «новинку», и в Москве Dark Avenger вместо фразы про Эдди во времени забивал стёртые сектора файлами с текстом «B O R O D A мстит во времени». Посему его и прозвали «Бородой».
В целом вирус Dark Avenger развивался несколько лет усилиями разных энтузиастов, становясь всё более изощрённым и поражая машины под MS DOS в версиях 3.х и 4.х. Помимо Dark Avenger и Boroda его часто называли Eddie.
Изучавшие вирус специалисты быстро уловили отсылку про Эдди: автор был ценителем тяжёлого рока. Eddie — маскот и символ группы Iron Maiden, похожая на агрессивного неупокоенного фигура с оскаленными зубами и загадочным светом в чёрных глазницах полуобнажённого черепа. Эдди фигурировал на обложках всех альбомов Iron Maiden от художника Дерека Риггса, и был культовым образом у рокеров 80-х.
Ну, а Somewhere in Time — название вышедшего в 1986 шестого студийного альбома группы, на обложке которого Эдди красовался в виде злобного киборга на фоне киберпанкового мегаполиса с пирамидами, напоминавшего кадры культового фильма Bladerunner («Бегущий по лезвию»).
За Dark Avenger последовали другие вирусы от того же автора из Софии. Только более или менее подтверждённо ему приписывают целую библиотеку вирусов: Dark Avenger, V2000, V2100, 651, Diamond, Nomenklatura, 512, 800, 1226, Proud, Evil, Phoenix, Anthrax, Leech.
По оценкам экспертов по борьбе с вредоносными программами, его творения отличались инновационностью и необычностью всё более новых и творческих решений по нанесению вреда чужим компьютерам. К примеру, ему принадлежала идея «бинарных» вирусов: Anthrax и v2100 дополняли друг друга и позволяли распространяться и поражать машины даже при интенсивном использовании антивирусных программ. Словацкий специалист по борьбе с вирусами Мирослав Трнка, создатель антивируса ESET NOD32, характеризовал код Dark Avenger как «очень чистый и оптимизированный до последнего такта, похожий на швейцарские часы».
С другой стороны, «антипод» Dark Avenger, первый болгарский специалист по компьютерной безопасности Веселин Бончев, который зачастую одним из первых сталкивался с творениями «Мстителя», не разделяет восторга по отношению к качеству кода софийского разрушителя. По его словам, Dark Avenger при всей своей изобретательности на грани гениальности совершал при написании кода немало ошибок и применял далеко не самые рациональные и оптимальные решения. Бончев заявлял, что «Мстителя» трудно назвать профессионалом, лишь любителем, хоть он и несомненно талантлив.
Из-за этих обидных заявлений Dark Avenger стал считать Веселина Бончева своим личным врагом. В код новых вирусов он включал разные оскорбительные высказывания в адрес Бончева… либо указывал его в качестве автора вирусов V2000 и V2100 вместо своего ника. Когда Веселин — уже в 1989 году возглавивший лабораторию компьютерной вирусологии при Болгарской академии наук — выпустил собственный антивирус — Dark Avenger написал контр-антивирус, специально предназначенный для поиска программ Бончева и принудительного выключения компьютера в случае их обнаружения.
Хуже того, «Мститель» написал программу UScan, которая заявляла о себе как об «универсальном антивирусном сканере», написанном Веселином Бончевым. На самом деле программа просто заражала все проверяемые файлы вирусом Anthrax от Dark Avenger.
Веселин Бончев, борец с вирусами и личный враг Dark Avenger
Dark Avenger стал «первой ласточкой». Его примеру последовали многие болгарские программисты. Уже в 1990-м году в Болгарии появилась первая BBS (VX BBS / Virus Exchange BBS), ориентированная на обмен (!) вирусами, а также предоставлявшую разнообразную информацию по их созданию для всех желающих. Библиотека, создателем которой называют Тодора Тодорова, также известного как Commander Tosh, имела милейшее правило: чтобы скачать себе вирус, нужно было загрузить в библиотеку какой-нибудь свой, и непременно с новым исходным кодом. Естественно, это изрядно подстегнуло развитие вирусописания в стране.
В начале 90-х каждый год из маленькой Болгарии в глобальный компьютерный мир уходили сотни вирусов. Уже в декабре 1990 года The New York Times называла Болгарию источником серьёзных угроз зарождавшейся глобальной цифровой экономике. Автор статьи даже заявил, что «болгары не просто пишут компьютерные вирусы, они пишут лучшие в мире компьютерные вирусы!». Джон МакАфи, создатель линейки одноимённых антивирусов, связывал с болгарскими вирусами до 10% всех заражений в США, причём в большинстве случаев он связывал заражения именно с творениями Dark Avenger. Звучали и куда более радикальные оценки, до четверти или даже до трети всех вирусов мира. Впрочем, это, видимо, уже преувеличение.
Внимание западной прессы и корпораций только подстёгивало болгарских программистов писать ещё больше всё более хитрых и крутых вирусов. В стране сложились целые неформальные сообщества любителей вирусов, где программисты соревновались друг с другом в создании всё более крутых, опасных или забавных программ. Да, заметная часть вирусов болгарского происхождения были не столько вредоносными, сколько шуточными. В каком-то смысле они продолжали традиции «Каскада»: к примеру, на экране могла внезапно появиться гусеничка, поедающая буквы. Традицией также стало срабатывание вируса под музыку — как во всё том же «каскаде».
В 1991 году Dark Avenger выпустил ещё одно знаменитое творение: MtE. Строго говоря, полноценным вирусом MtE не был. Зато это был первый в истории полиморфный генератор под MS-DOS для использования в вирусах всеми желающими. «Мститель из Софии» опубликовал его в виде объектного модуля с подробнейшей инструкцией по применению и генератором случайных чисел. Подробнее об этом можно почитать в одноимённом разделе тут.
Спустя год появился Peach: первый контр-антивирус, ответ на всё более массовое использование антивирусов, в создании которого подозревают всё того же Dark Avenger. Он «охотился» на Central Point Antivirus и удалял его базу данных ревизора изменений. Позже подобный подход «Мститель» попытается использовать против своего личного врага и антипода, борца с вирусами Веселина Бончева.
Личность Dark Avenger, несмотря на нанесённый его программами колоссальный ущерб и всемирную известность, по сей день остаётся тайной.
Веселин Бончев допускает, что однажды мог столкнуться с Dark Avenger вживую. Ему на анализ попал новый вирус болгарского происхождения под названием «The Number of the Beast» — по названию альбома Iron Maiden 1982 года. С одной стороны, вирус был написан очень изобретательно. Вирус маскировался от антиврусных программ, изображая драйвер устройства. Множество хитрых механизмов были вписаны всего лишь в 512 байт кода, что вкупе с названием указывало на «Мстителя». С другой — стиль написания кода заметно отличался от типичных творений Dark Avenger: код был профессионально выверенным, точным и лаконичным. Более того, в отличие от всех прочих вирусов «Мстителя», «Число зверя» был шуточным и не наносил реального ущерба заражённым машинам.
Посему Бончев решил, что автором вируса был не Dark Avenger. О чём — включая «слишком красивый и качественный код» — и упомянул на очередном выступлении в Софийском университете. После выступления к Веселину подошёл крайне возмущённый мужчина невысокого роста, и, «преодолевая застенчивость», разразился гневной тирадой о том, что Бончев ничего не понимает в программировании вирусов, и не должен сметь о них рассуждать перед гораздо более умным человеком — под которым явно подразумевал себя.
Спустя пару дней Бончев получил не менее возмущённое письмо на электронную почту, где автор — уже прямо представившись как Dark Avenger — назвал лекцию Веселина «вершиной идиотизма» и заявил: я, может, и уничтожаю чужую информацию, но хотя бы не делаю на вирусах деньги, как вы, так что вам бы стоило мне приплачивать как источнику вашему заработка. Впрочем, в 1991 году Бончев уехал работать в университет немецкого Гамбурга, и больше шансов встретиться с Dark Avenger ему не представилось.
Ну, а заявить в полицию на подозрительную личность Бончев не мог, так как в то время в Болгарии попросту не было законов, запрещающих создание компьютерных вирусов. Их написание было фактически легальным. Что тоже объясняет размах увлечения этим делом среди болгарских программистов.
Ну, а в 1993 году деятельность Dark Avenger внезапно прекратилась. Никаких посланий по этому поводу он не оставил, даже в коде вирусов.
Наиболее распространённой версией сейчас является предположение, что за ником Dark Avenger стоял уже упомянутый Тодор Тодоров, создатель и администратор Virus Exchange BBS. Говорят, впрочем, что Dark Avenger был завсегдатаем VX BBS под другим ником, и с ним там даже активно общались —, но это было в настолько далёкие уже времена раннего IT, что достоверность подтвердить или опровергнуть такое крайне затруднительно.
Тодор Тодоров исчез из Болгарии и с VX BBS в 1993 году, одновременно с Dark Avenger. Знакомые утверждали, что он отправился в США то ли учиться, то ли работать. В 1996 году Тодоров вновь появился в Софии. А спустя год некий хакер, назвавший себя Dark Avenger, взломал компьютерную сеть Болгарской академии наук и Софийского университета.
Впрочем, личный враг «Мстителя» Веселин Бончев в это время работал уже в далёкой Исландии на FRISK Software International. Он вернётся в Болгарию и вновь возглавит Национальную лабораторию компьютерной вирусологии БАН только в 2005 году — в каковом качестве работает там и по сей день, уже как доктор наук. По ещё одной версии, настоящим Dark Avenger был… сам же Веселин Бончев. И это всё был хитрый план по раскрутке его личного бренда. Выглядит это весьма сомнительно.
Есть и третья версия, совсем уж экзотичная. В январе 1993 года американская исследовательница вирусов Сара Гордон опубликовала сенсационное интервью с Dark Avenger, которого по зловещести и психопатичности сравнила с Ганнибалом Лектером, и утверждала, что он её преследовал из романтических соображений. В нём «Мститель» якобы заявлял, что обожает уничтожение данных, но к этому времени начал раскаиваться в нанесённом его вирусами ущербе.
Впрочем, интервью даже на первый взгляд выглядит сомнительным, и явно написано человеком, имевшим слабое представление о реалиях Болгарии. К примеру, Dark Avenger утверждает, что якобы доступ к компьютерам в Болгарии имели только «высокопоставленные шишки» (компьютерные клубы ДКМС вышли из чата). Достоверность интервью до сих пор под вопросом —, но некоторые предположили, что «Мстителем из Софии» была сама же Сара Гордон в рамках какого-то особо сложного и коварного социального эксперимента.
Впрочем, это всё ещё более сомнительно, чем содержание интервью. Более-менее известно одно: после взлома компьютерной сети болгарских учёных следы Dark Avenger теряются окончательно. Бум увлечения вирусописанием среди болгарских программистов к концу 90-х тоже сошёл на нет: экономика пошла в рост, спрос на айтишников вырос, законы стали карать хакеров и создателей вирусов — ну и в целом «ушла эпоха».
Теперь про Dark Avenger и грозные болгарские вирусы, за которые даже в 1997 году Болгарию некоторые американские публикации всё ещё называли «Сердцем Тьмы», помнят разве что специалисты и энтузиасты. Sie transit gloria mundi!
Telegram-канал с полезностями и уютный чат
