Читаем Компьютерные террористы полностью

Но с самого начала мощные компьютерные центры начали дезассемблирование вируса. Именно дезассемблирование могло дать ответ на три главных вопроса: что это такое, чем это грозит и как с этим бороться. Впрочем, следственные органы интересовали и другие вопросы: откуда именно стал распространяться вирус, какой «шутник» его запустил и кто является автором столь «удавшейся» программы. По ряду причин получить ответ на это вопрос оказалось крайне непросто.

В частности, в калифорнийском университете в Беркли ранним утром 3 ноября специалистам удалось «выловить» копию вирусной программы и приступить к ее анализу. Уже в 5 часов утра того же дня специалистами этого университета был разработан «временный набор шагов», которые рекомендовалось предпринять, чтобы приостановить распространение вируса: например, высказывалось предложение «залатать» предложенным образом обнаруженные промахи в работе утилиты Sendmail.

Около 9 часов утра специалисты университета в Беркли разработали и разослали программные «заплаты» для ВСЕХ промахов в системном программном обеспечении, позволявших вирусу распространяться; а специалистами другого университета — в Пурду — примерно в это же время было разослано описание метода борьбы с программой-захватчиком, не требующего модификации системных утилит.

Пятница, 4 ноября 1988 года.

00:27 RISKS Сообщение из университета в Пурду, содержащее довольно полное описание вируса, хотя по-прежнему, осталось неизвестным, что именно «вирус предполагает делать окончательно».

14:22 RISKS Краткое сообщение о дезассемблировании вируса. Указано, что вирус содержит несколько ошибок, которые «могут привести к неприятностям и, несомненно, к непредсказуемому поведению программы». Отмечается, что если бы «автор тестировал программу более тщательно», он все равно не смог бы обнаружить эти ошибки вообще или, во всяком случае, достаточно долго.

Ряд пользователей Arpanet, в частности MIT, где была сформирована своя группа, приступили к срочной модификации сервисных подпрограмм, чистке файлов данных и программного обеспечения.

В Ливерморской лаборатории, несмотря на четкие действия специалистов, вирус удалось блокировать только через пять часов после обнаружения (вы думаете, этой многострадальной лаборатории удалось передохнуть от вирусов? Глубоко заблуждаетесь! Открываем газету «Правда» от 20 декабря 1988 года (№ 355) и читаем:

«Предпринята еще одна попытка — вторая за последний месяц — вывести из строя компьютерную систему Ливерморской лаборатории радиации в Калифорнии. Восемь раз в течение недели в компьютерную систему крупнейшей в США ядерной лаборатории проникал сильнодействующий вирус и забивал все каналы информации. Благодаря усилиям заведующего центром компьютерной безопасности Т. Абрахамсона, который попросту не уходил домой и сутками корпел над электронными головоломками, каждый раз удавалось нейтрализовать вирус и предотвратить опасное заражение памяти ЭВМ.

Член руководства лаборатории Р. Борчерс считает, что проникнуть в компьютерную систему мог только высококвалифицированный специалист, обладающий секретной информацией о деталях программы, о кодах, паролях и слабых местах защитного кордона ЭВМ».

Остается только посочувствовать специалистам лаборатории и позавидовать их квалификации и самоотверженности, проявляемой в борьбе за живучесть своей вычислительной системы.

Как сообщил Джей Блумбекер, директор Национального центра информации о компьютерной преступности (г. Лос-Анджелес), ликвидация последствий распространения вируса стоила Лос-Аламосской Национальной лаборатории 250 000 долларов. Исследовательскому центру NASA в г. Маунтин Вью (Калифорния) пришлось на два дня закрыть свою сеть для восстановления нормального обслуживания 52 000 пользователей.

21:52 RISKS Сообщение группы MIT о вирусе Internet.

Заявлено, что в вирусе не обнаружено кода, предполагающего порчу файлов. Рассказывается о работе вируса, подтверждено, что «вирус содержит несколько ошибок». Отмечается, что программа предполагала «скрытое распространение, что представляет определенный интерес».

Тот же день, газета «Нью-Йорк Таймс». В заметке Джона Маркоффа «Virus in Military Computers Disrupts Systems Nationwide» дан весьма аккуратный обзор происшедшего и сообщено, что не назвавший себя студент позвонил в редакцию и заявил, что инцидент является всего лишь «экспериментом, который испортился в результате небольшой программной ошибки».

В университете штата Делавэр червь был обнаружен в большом компьютере VAX, ласково именуемом в пределах университета Дэви (Dewey), 3 ноября примерно в 8:15 утра. Вот как описывает борьбу с вирусом участник событий: