3. Антивирусная программа AIDSTEST
Программа Aidstest (автор Лозинский В.И.) предназначена для обнаружения и исправления программ, зараженных определенными типами вирусов. Набор вирусов постоянно пополняется, что влечет появление новых версии этой программы.
В процессе исправления программные файлы, которые исправить невозможно, стираются.
Aidstest работает на компьютерах IBM PC/XT/AT/PS-2 и совместимых с ними под управлением DOS версии 2.0 или выше.
В момент запуска Aidstest в памяти не должно быть резидентных антивирусных программ, которые блокируют запись в программные файлы.
Поскольку Aidstest обнаруживает только уже известные вирусы, полезно иметь и программу, обнаруживающую появление на диске новых вирусов. Из известных в настоящее время дисковых ревизоров наиболее эффективным и надежным является, пожалуй, ADinf Д.Мостового, который за несколько секунд просматривает весь диск и сообщает обо всех подозрительных происшествиях. Дополнительно с ADinf может работать специальный лечащий модуль — ADinf Cure Module, который позволит в 97 % случаев заражения новыми вирусами, неизвестными для Aidstest, успешно восстанавливать файлы, приводя их в то же состояние, что и до заражения. Это позволит вам вылечить компьютер, не дожидаясь появления свежей версии Aidstest. Хотя, конечно, в наиболее сложных случаях (около 3 % вирусов) использование программы типа Aidstest необходимо.
HIV test kit — demonstration of an HIV home test for HIV 1&2
Параметры
Программа Aidstest вызывается следующей командной строкой:
Ключи команды имеют следующие значения:
path — задает подмножество файлов, которые следует проверить на зараженность. Кодируется практически по тем же правилам, что и в команде DIR. Вместо этого параметра можно поставить символ «*», который означает задание на работу со всеми дисками, начиная с «С». Для проверки текущего каталога следует задавать просто символ».». ПРИ ИСПОЛЬЗОВАНИИ В СЕТИ параметр path рекомендуется задавать в виде d:*.*» или «d:.»;
/f — переключатель, означающий задание на исправление зараженных программ и стирание испорченных безнадежно;
/g — глобальная проверка всех файлов на диске (не только СОМ, ЕХЕ и SYS). Необходимость такого режима вызвана тем, что некоторые вспомогательные подпрограммы имеют расширение имени, отличное от EXE, СОМ и SYS, однако в момент загрузки некоторые вирусы успевают их заразить. С этим параметром программу рекомендуется запускать только для чистки, когда известно о наличии в машине вируса;
/s — этот переключатель можно попробовать использовать в случае, когда вирус, объявленный удаленным, продолжает упорно появляться вновь. Дело в том, что иногда, например, при лечении некачественными антивирусными средствами, болезнь загоняется вглубь, и диагностика требует замедленного просмотра программных файлов. Кроме того, этот переключатель необходим для обнаружения заражения и лечения дисков, испорченных вирусами семейства DIR, в тех случаях, когда тело вируса отсутствует на диске, что бывает довольно часто;
АНТИВИРУСЫ ВРУТ! СТОИТ ЛИ ВЕРИТЬ РЕЗУЛЬТАТАМ VIRUS TOTAL?!
/p[NF| — задается при желании сохранить протокол. [NF] — имя файла. Если имя файла не задано, выдача происходит на первое печатающее устройство. В последнем случае необходимо не забыть заранее его включить, поскольку напоминания не будет;
/х — переключатель, означающий разрешение стирать файлы, в которых обнаружен вирус, а дополнительный контроль показывает, что успешное лечение невозможно. Такая ситуация может возникнуть при заражении недостаточно грамотно написанными вирусами;
/q — при использовании этого переключателя до стирания каждого файла, который невозможно исправить, на экран монитора выдается запрос на подтверждение стирания;
/Ь — тестировать только одну дискету и заканчивать работу без выдачи вопроса о смене дискеты. Этот переключатель может быть полезен пои использовании в пакетных (ВАТ) файлах;
/e — загрузить в адаптеры EGA или VGA русские буквы на время работы Aidstest. Имеет смысл, если у вас еще не установлен соответствующий драйвер.
/m — специально для тех, кто на своей машине никак не может расстаться с «основной» кодировкой русских букв;
/l — использовать при выводе сообщений Aidstest второй язык;
/z — необходимо задавать при наличии на машине аппаратно-программного комплекса «Sheriff», где — пять первых цифр серийного номера платы «Sheriff»;
/d — выдать информацию о ценах и условиях распространения Aidstest;
/а — заблокировать выдачу рекламного кадра, завершающего работу некоторых версий Aidstest.
При кодировании параметров не следует задавать символы квадратных и угловых скобок, поскольку в данном описании они используются просто как металингвистические ограничители. Квадратные скобки окаймляют необязательный элемент формата параметра, а угловые — обязательный.
При ошибке в задании параметров па экран выдается краткое описание ключей программы (рис. П3.1).
Экранная подсказка программы Aidstest
Следующие примеры показывают некоторые простейшие случаи кодирования командной строки для вызова Aidstest.
Программа Aidstest реализована в нескольких вариантах с интерфейсом на различных языках: русском, английском, французском, немецком и испанском. Причем каждый вариант является двухязычным, а для переключения языков предназначен специальный ключ /L.
Для чтения на экране монитора некоторых букв, отсутствующих в стандартной кодировке IBM, следует использовать подходящий драйвер монитора для соответствующего языка или же адаптер монитора должен быть аппаратно приспособлен для этого языка. Для русско-язычного интерфейса загрузка кириллицы в адаптеры EGA или VGA может быть сделана самим Aidstest с помощью задания ключа /Е.
Основной протокол Aidstest достаточно прост и понятен.
Про каждый вирус, обнаруженный в файле, сообщается его имя, номинальная длина (в скобках после имени), а в случае успешного лечения через косую черту — величина изменения длины файла (бывает и нулевой, если вирус при заражении не изменил длину файла).
Программа обнаруживает и обезвреживает все известные ей типы вирусов и в памяти машины. В этом случае в конце работы на экран выдастся предложение автоматически перезагрузить систему. Ответить на это предложение «N», запретив тем самым перезагрузку, можно только подготовленным пользователям, хорошо понимающим, зачем они это делают. Следует учитывать, что обезвреживание вирусов в памяти призвано в первую очередь обеспечить возможность успешного завершения лечения. Некоторые функции системы при этом могут восстанавливаться неполноценно. Кроме того, свойства вирусов, не связанные с размножением, не убираются, т. е. могут продолжаться осыпание букв, появление черного квадрата, исполнение мелодии и т. п.
Aidstest довольно надежно контролирует собственное здоровье относительно большинства типов вирусов. При обнаружении собственного заражения новым типом вируса Aidstest выдаст соответствующее сообщение и прекращает работу.
Кроме того, необходимо учитывать, что факт своего «заражения» Aidstest может зафиксировать и без вируса, если тело самой программы Aidstest искажено, например, из-за ее сжатия каким-то упаковщиком, вакцинирования какой-либо антивирусной программой или, наконец, просто неустойчивого считывания ее самой с диска.
После сообщения о неудачной попытке исправить вирус в Partition Table программа может предложить записать стандартную версию программной части Partition Table. Пока трудно придумать, какими неприятностями может грозить согласие на такое предложение. При лечении дискет в аналогичной ситуации вам может быть предложено «слегка испортить Boot Record, чтобы обезвредить вирус». Худшее, чем может грозить согласие на это предложение, это то, что с этой дискеты не будет проходить загрузка. Доступность информации, находящейся на этой дискете, измениться не должна.
Иногда после сообщения об исцелении может следовать приписка «(есть вопросы)». Пока она означает неудачную попытку освободить кластеры, занятые ВООТ-вирусом.
Для использования Aidstest в командных файлах предусмотрена выработка кода завершения (ERRORLEVEL):
0 — вирусы не обнаружены;
1 — нормальное завершение, вирусы обнаружены;
2 — ненормальное завершение программы;
3 — ошибка в программе Aidstest.
Официальным распространителем антивирусных программ ADinf, ADinf Cure Module u Aidstest является Акционерное общество «ДиалогНаука» (Москва), имеющее в различных регионах страны и за рубежом сеть дилеров
Адрес: 117967 Москва ГСП-1, ул. Вавилова 40, ВЦ РАН, к.103а.
Тел.(095): 35-6253, 137-0150 — антивирусный отдел АО ДналогНаука
Тел/факс: 938-2970
BBS: 938-2856 (14400/ V.32bis, 19200/ZyXEL) — общий
930-1278 (14400/V.32bis, 19200/ZyXEL) — подписчики
930-0739 (14400. V.32bis, 19200/ZyXEL) — подписчики
938-2969 (28800 V.34) — подписчики
FidoNet: 2:5020 69
E-mail: [email protected] — поставки и обслуживание
[email protected] )dials.msk.su — связь через модем
[email protected] — передача новых вирусов
Источник: arsenal-info.ru
Aidstest
«Aidstest» — антивирусная программа-сканер (полифаг). Предназначена для поиска и обезвреживания файловых, загрузочных и файлово-загрузочных вирусов. Поиск вирусов Aidstest осуществляет с помощью сигнатур. Поддерживалась и распространялась на протяжении 1988—1998 годов ЗАО «ДиалогНаука».
На зарубежных рынках распространялась под названием V-Hunter (Virus Hunter) и имела версии на английском и немецком языках. Автор программы — Дмитрий Лозинский.
| Антивирус AidsTest Антивирус AidsTest | |
| Антивирусное программное обеспечение | |
| Лозинский, Дмитрий Николаевич | |
| DOS | |
| 17 ноября 1988 | |
| 1723 от 27.09.97 | |
| freeware (бесплатное приложение к антивирусу Dr. Web) | |
| http://old.antivir.ru/dsav_toolkit/aidstest.htm | |
Первая советская программа-антивирус. Создана в 1988 году, когда один из компьютеров Главного вычислительного центра Госплана СССР оказался заражён вирусом Vienna-648 [1] . В своё время — один из известнейших [2] в СССР и России отечественных программных продуктов.
В конце 90-х Aidstest был заменён Doctor Web’ом. Основной причиной прекращения работы над Aidstest было широкое распространение в то время полиморфных вирусов, полностью изменяющих свой код при каждом заражении. Так как в подобных вирусах нельзя было выделить постоянную сигнатуру, Aidstest априори не мог с ними бороться, в то время как антивирус Doctor Web, также поддерживаемый ЗАО «ДиалогНаука», справлялся с этой задачей. Это привело к тому, что развитие Aidstest было признано бесперспективным, а его создатель подключился к разработке антивируса Doctor Web.
Примечания
- ↑Гриднева Н.Человек, который поймал вирус(рус.) // Коммерсантъ-Деньги : журнал. — М. , 10 апреля 1996. — № 13 (73) . — С. 5 . Архивировано 27 марта 2014 года.
- ↑Быковский Е.Вирус уничтожен(рус.) // Итоги : журнал. — М. , 1999. — № 46 . Архивировано 19 августа 2014 года.
Источник: xn--h1ajim.xn--p1ai
Противоядие на дискете
Тридцать лет назад советский программист впервые столкнулся с компьютерным вирусом и вынужден был прибегнуть к ответным мерам — создать первый отечественный антивирус AIDStest. Так было положено начало целой индустрии по созданию и обновлению антивирусов и антивирусных баз, без которых безопасная работа в сети сегодня немыслима. По просьбе N + 1 о первых вредоносных программах и первых средствах защиты от них вспоминает IT-аналитик компании «Dr. Web» Александр Вураско
В один из ноябрьских дней 1988 года компьютер, установленный в здании Госплана СССР (где в наши дни заседает Государственная Дума), стал вести себя необычно. Он вдруг перезагружался, причем делал это спонтанно, без видимых причин. Компьютер уже собирались отдавать в ремонт, решив, что в сбоях виновато «железо», но перед этим попросили взглянуть на машину начальника отдела программирования Вычислительного центра Госплана Дмитрия Лозинского.
Изучив файловую систему закапризничавшей машины, Лозинский пришел к выводу, что виновником ее нештатной работы является маленькая вредоносная программа, внедрившая свой код в исполняемые файлы.
Надо отметить, что в те годы в СССР компьютерные специалисты уже знали о возможном существовании компьютерных вирусов, но на практике с ними еще никто не сталкивался. Ну, а раз в стране не было вирусов, то не существовало и средств защиты от них.
Vienna.648, а именно так называлась вредоносная программа, проникнувшая в Госплан, была классическим файловым вирусом, заражавшим исполняемые COM-файлы. При запуске зараженного файла вирус искал доступные для заражения файлы не только в том каталоге, в котором он находился непосредственно, но и в каталогах, перечисленных в переменной окружения PATH, что позволяло ему, не тратя значительного времени, заражать системные файлы (путь к которым был, как правило, прописан в переменной).
Пример типичного файла AUTOEXEC.BAT. Нетрудно увидеть, что в данной конфигурации системы вирус получил бы доступ к файлам из каталогов DOS, NC (Norton Commander), DRV.
Вирус имел длину 648 байт и был написан на ассемблере, как и большинство вредоносных программ 80-90-х годов. В процессе заражения программы он дописывал свое тело в конец COM-файла, а в начале размещал команду перехода на него, причем за один раз он заражал не более одного исполняемого файла. После выполнения вредоносных функций управление передавалось непосредственно программе-носителю.
Для того чтобы предотвратить многократное заражение программ, использовался любопытный механизм — зараженным файлам присваивалось невозможное время последней модификации – 62 секунды. При сканировании файловой системы вирус проверял время изменения файла и игнорировал программы с таким значением. Каждый шестой или восьмой файл, заражаемый вирусом, намеренно портился. В начало файла записывалась строка «EAF0FF00F0», что приводило к перезагрузке компьютера.
Несмотря на свою простоту, вирус неплохо размножался, что делало ручной поиск зараженных файлов весьма трудозатратным. Поэтому, проведя вечер за компьютером, Дмитрий Лозинский написал первую отечественную антивирусную программу — AIDStest, автоматизировавшую процесс поиска и лечения файлов, зараженных этим вирусом, и с ее помощью вылечил пострадавшую госплановскую машину.
Процесс поиска оказался довольно прост: в связи с тем, что код вируса был статичен и не изменялся от файла к файлу, антивирус проверял содержимое COM-файлов на наличие соответствующей сигнатуры, после чего «лечил» зараженный файл, удаляя из него информацию, дописанную вирусом.
В тот момент Лозинский еще не знал, что это на первый взгляд непримечательное событие, по сути, положит начало целой российской антивирусной отрасли, а его антивирус AIDStest на ближайшее десятилетие станет одной из самых популярных в нашей стране компьютерных программ. Вошел в историю и сам вирус Vienna.648. Сегодня его в шутку называют первым вирусом, преодолевшим железный занавес, а его различные модификации до сих пор можно встретить в архивах со старыми программами.
AIDStest быстро обрел популярность. Вслед за первой версией в том же 1988 году вышла вторая, получившая возможность обнаруживать вирус Cascade, вызывавший осыпание букв на экране монитора. По мере увеличения числа исследуемых Лозинским вирусов новые версии стали выходить все чаще и чаще.
Популярность антивируса отметили и вирусописатели. Так, одна из поздних модификаций уже известного нам вируса Vienna — Vienna.776 выводила на экран компьютера вот такой текст: «Я, кажется, подхватила какую-то заразу. Срочно звоните Дмитрию Николаевичу Лозинскому по телефону 292-40-76 (Москва) и приобретите ПРОГРАММУ AIDSTEST . »
Вирус Vienna
В 1988 году, когда появился Vienna.648, компьютерные вирусы уже существовали, мир пережил даже несколько эпидемий, но для платформы PC их вряд ли было больше десятка.
Вирус назван в честь города Вены — места его первого обнаружения. Он, несомненно, был написан на Западе и пришел в СССР, скорее всего, на дискетах из стран соцлагеря.
Первыми вирус обнаружили Франц Свобода и Ральф Бергер, причем каждый из них говорил, что получил вирус от другого. Автор вируса до сих пор не установлен.
Чуть позже Ральф Бергер опубликовал исходный код Vienna.648, что повлекло появление десятков, а то и сотен его клонов. Многие стали модифицировать этот вирус, иногда добавляя весьма вредоносные функции, вплоть до уничтожения всех данных на жестком диске жертвы заражения.
Так, Vienna.776 — детище начала 90-х годов, причем уже российского происхождения. Многие будущие отечественные вирусописатели начинали свой путь с модификации несложного исходного кода вируса Vienna.
Сейчас трудно представить себе существование антивируса в доинтернетную эпоху. Мы привыкли к тому, что антивирусная программа сама обновляет и себя, и свои антивирусные базы, да и вирусы сейчас распространяются в основном по сети. Но на рубеже восьмидесятых и девяностых годов прошлого века все было иначе.
Основным способом обмена информацией между пользователями были дискеты: люди делились нужными файлами, передавая их от одного человека к другому, а обладатели коллекций полезного софта пользовались в компьютерной среде заслуженным авторитетом. Более продвинутые пользователи, имевшие в те годы модем, могли позволить себе обмениваться файлами через фидо и многочисленные BBS-ки, но этот обмен не был централизован, и большинство людей в итоге получали заветную программу именно на дискете.
К тому же в те годы еще не существовало понятия «вирусная база», и для обновления антивируса необходимо было скачивать новую версию программы целиком, так что вопрос о том, «у кого AIDSTest свежее», был вполне актуальным. Самое удивительное, что такая схема распространения по тем временам была достаточно эффективной. Люди охотились за новым софтом, и бывало, что новые версии антивируса разлетались по стране быстрее вирусных эпидемий.
К 1990 году распространявшийся бесплатно AIDSTest стал одной из самых популярных компьютерных программ на территории СССР. Работа над новыми версиями и анализ многочисленных вирусов стали требовать все больше времени, поэтому Дмитрий Лозинский решил выпустить свой антивирус на рынок коммерческого программного обеспечения. Несмотря на это, AIDSTest не получил никаких средств защиты от копирования, и тысячи пользователей продолжили передавать его друг другу. К середине 90-х годов в России сложно было найти компьютер, на жестком диске которого не было бы заветного файла aidstest.exe.
Кто и зачем пишет вирусы
Хотя компьютерные вирусы всегда были способны нанести существенный вред зараженной машине и хранящимся на ней данным, изначально их создавали вовсе не для целенаправленного причинения вреда незнакомым людям. В 80-е и 90-е годы вирусописателями двигало желание показать свои умения или просто похулиганить. Никакого материального интереса при этом они не преследовали.
Так, программисты соревновались в том, кто напишет самый короткий работающий вирус. Часто они оставляли в теле программ свои подписи, а в 90-е годы некоторые авторы вирусов специально присылали свои «работы» Дмитрию Лозинскому или Игорю Данилову (автору Dr.Web), чтобы их вирусы попали в базы данных антивирусов. То, что созданный тобой вирус обнаруживается антивирусами, в то время было предметом гордости и поводом похвастаться перед друзьями.
Любопытно, что одна из крупнейших вирусных эпидемий 80-х годов, связанная с распространением «червя Морриса», изначально не должна была причинять вред компьютерам, но привела к разрушительным последствиям из-за наличия в коде программы незначительных ошибок.
Конечно, и тогда уже существовали по-настоящему вредоносные программы, например, уничтожавшие информацию пользователей. Но их писали исключительно из хулиганских побуждений.
Сегодня же изготовление вредоносных программ — это бизнес и ничего более. Начиная с середины 2000-х годов все усилия создателей вирусов направлены на извлечение выгоды.
Сегодня AIDSTest выглядит аскетично, я бы даже сказал архаично: никакого графического интерфейса, работа осуществляется исключительно из командной строки DOS. Но в начале 90-х годов такой подход был вполне традиционным. Несмотря на существование оболочек типа Norton Commander, облегчавших работу с файловой системой, и прочих программ, имевших дружественный интерфейс, значительное количество популярных утилит, например архиваторы, работали из командной строки. Необходимость ввода ключей и прописывания путей к файлам ничуть не пугала пользователей ПК. К тому же одним из достоинств антивируса AIDSTest был его малый размер, позволявший хранить его на системной дискете и в случае необходимости проверять с его помощью не желающий штатно загружаться или просто зараженный компьютер.
Пользователи ПК из 90-х годов, возможно, вспомнят, что вместе с антивирусом распространялся текстовый файл, содержащий описания вирусов, которые умел находить и обезвреживать AIDSTest. Судя по этому файлу, с фантазией у авторов вредоносных программ того времени все было в порядке. Вирусописатели нередко включали в код фрагменты, позволявшие идентифицировать автора, — своеобразный копирайт, передавали привет друг другу и авторам антивирусов, писали стихи и рисовали картинки. Многие сегодняшние айтишники познакомились с миром компьютерных вирусов именно благодаря этим описаниям.
AIDSTest просуществовал целое десятилетие, которое многие считают «золотым веком» компьютерных вирусов. Но, используя традиционные методы анализа содержимого файлов на предмет вирусных сигнатур, он не мог противостоять все более популярным полиморфным вирусам, постоянно изменяющим свой программный код. Поэтому в 1997 году Дмитрий Лозинский прекратил выпуск AIDSTest и присоединился к разработке более современного и технически совершенного антивируса Dr.Web.
Как ни парадоксально, AIDSTest может быть полезен и сейчас, спустя 20 лет после прекращения его разработки. Если вы любите играть в старые игры, запуская их через DOSBox, то имеете все шансы столкнуться с вирусными динозаврами, живущими в архивах старого софта. Современные антивирусы далеко не всегда помогут избавить вашу виртуальную машину или, тем более, купленную специально для этих целей «XT-шку» от какого-нибудь «Datacrime». Тут-то на помощь придет AIDSTest. Ну а если вы научились настраивать DOSBox, то командная строка вас точно не напугает!
Источник: nplus1.ru
Aidstest — день памяти советского антивируса
Сегодня исполнилось 27 лет советскому антивирусу Aidstest. Легендарная программа была написана 17 ноября 1988 года Дмитрием Николаевичем Лозинским во время его работы в Главном вычислительном центре Госплана СССР, где был обнаружен вирус Vienna.
Про компьютерные вирусы к тому времени советские программисты уже слышали, но не сталкивались с ними на практике. Сам термин «вирус» был ещё новым и обсуждали его на уровне теоретически возможных алгоритмов или единичных курьёзов. К примеру, когда в 1987 году самораспространяющаяся программа братьев Алви вышла из-под контроля, её эффект назвали эпидемией компьютерного вируса Brain. Вместо того, чтобы наказать местных софтверных пиратов в Пакистане, она заразила свыше 18 тысяч компьютеров по всему миру.
На следующий год в Австрии появились сообщения о нерезидентном вирусе, заражающем файлы с расширением .com. Он был написан на Ассемблере, поэтому весь его код умещался в 648 байт. Несмотря на изолированность компьютеров (Релком и Фидонет появились в СССР только в 1990 году), Vienna быстро распространялся через заражённые дискеты. Дмитрию Лозинскому предстояло найти и обезвредить вирус, заразивший ГВЦ.
На счастье, обнаружить его присутствие в системе удавалось даже невооружённым глазом. Внимание на себя обращала необычная метка, которую он ставил на заражённые файлы. Время их создания менялось на невозможное: xx минут, xx часов и 62 секунды.
Вирус Vienna стал хорошим стимулом и доказательством реальности угрозы нового типа. Он был удалён, но мог вернуться вновь, причём – в другом обличии. Его исходный код опубликовал в своей книге «Computer Viruses: A High Tech Desease» один из первых вирусных аналитиков Ральф Бургер, а затем это же сделал автор книги «Библия Хакера 2» Бернд Роберт Фикс и другие.
Модификации Vienna посыпались как из рога изобилия. Некоторые из них вполне могли стать основой самостоятельных штаммов. На конференциях появились и первые сообщения о принципиально новых вирусах. К примеру, Suriv-2 умел заражать не только .com, но и .exe файлы.
Для защиты от вирусов требовалось устранять очаги инфекции – регулярно запускать Aidstest на разных компьютерах и развивать утилиту. Со временем она научилась определять другие вирусы, из-за чего её прозвали полифагом. Под влиянием Aidstest с конца восьмидесятых – начала девяностых свои варианты полифагов пишут Олег Котик, Игорь Сысоев, Игорь Данилов и другие отечественные разработчики.
Количество вирусов быстро росло, и бороться с ними программистам-одиночкам становилось всё труднее, как и поддерживать свои творения бесплатно. Первого октября 1990 года Дмитрий Лозинский передал права на продажу Aidstest компании «ДиалогHаука». Официально версия № 44 стоила 3 рубля, но реально утилита распространялась в России и за рубежом (под названием V-Hunter) по разным каналам – в том числе и по-прежнему бесплатно.
На первой Всесоюзной конференции «Методы и средства защиты от компьютерных вирусов в MS-DOS» программа Aidstest была признана самой популярной антивирусной программой в СССР.
Через три года после выхода первой версии Aidstest был установлен рекорд скорости выпуска обновлений – два раза в неделю. Спустя ещё год появилась услуга «срочный заказ». Алгоритм для удаления нового вируса по обращению клиента добавлялся в течение суток. Это был очень серьёзный шаг, поскольку такого понятия как «вирусные базы» на тот момент ещё не было. Все процедуры поиска и лечения для каждого вируса добавлялись вручную в тело самой программы.
Дмитрий Лозинский отмечает, что по-настоящему интересных вирусов в то время было очень мало. Например, в начале 1994 года пользователи из Великобритании сообщили о полиморфном вирусе SMEG.Pathogen, который не могли полностью вычистить антивирусы.
В сентябре того же года началась эпидемия файлово-загрузочного вируса «3APA3A», внедрявшегося в BS активного раздела диска и создававшего заражённую копию системного файла IO.SYS. Удалить его стандартными средствами было невозможно даже с загрузочной дискеты.
Основная же масса вирусов писалась по давно известным шаблонам, но даже в них авторы умудрялись делать грубые ошибки. Добавлять их в базы для Лозинского и его коллег было рутиной, а не битвой интеллектов. «Мне в жизни чаще удавалось свалить скучную часть работы на других. Зато борьба с вирусами навалила на меня огромный объем самой нудной работы», – сетовал он.
Продолжая выпускать новые версии Aidstest, Дмитрий Лозинский стал председателем совета директоров «ДиалогНаука». На одной из конференций он познакомился с Игорем Анатольевичем Даниловым и помог ему ускорить развитие перспективной программы Doctor Web.
В четвёртой версии «полифага нового поколения» они совместно реализовали внешнюю базу с описанием известных вирусов, а затем разработали частично автоматизированный метод добавления новых сигнатур, который повысил скорость реагирования.
С появлением в 1992 году полиморфных вирусов актуальность Aidstest стала падать. Вскоре он стал распространяться как бесплатная утилита в составе антивирусного комплекта компании «ДиалогHаука». В нём также находился полифаг Doctor Web Игоря Данилова и дисковый ревизор ADInf Дмитрия Юрьевича Мостового, чья реклама была встроена в Aidstest.
Благодаря резидентному модулю DrWeb мог препятствовать заражению, чем принципиально отличался от сканера Aidstest, определявшего и лечившего уже инфицированные файлы. Также у него был мощный эвристический эмулятор, который как раз помогал в борьбе с полиморфными вирусами. Программы из набора от «ДиалогНаука» стали прообразом трёхкомпонентной системы защиты: сканера с эмулятором, модуля резидентного мониторинга и дискового ревизора.
Вместе они справлялись с большинством существовавших в диком виде вирусов и даже противостояли неизвестным модификациям, обнаруживая характерные изменения. Однако успешность определения вируса часто зависела от непрерывности контроля за состоянием компьютера и скорости обновления баз. При получении управления резидентный полиморфный вирус Alias.6943 блокировал запуск Aidstest и Dr.Web, а Asch.1121 устанавливал таймер на дисковое прерывание INT 13h и препятствовал работе ADInf.
Последняя версия программы Aidstest вышла 27 сентября 1997 года. Её номер 1723 отражает количество детектируемых вирусов. Сейчас она сама определяется как вирус пятью сканерами, и это ложноположительное срабатывание по какой-то причине остаётся без исправления уже не первый год.
C 2004 года Дмитрий Лозинский перешёл в компанию «Доктор Веб», где занял пост заместителя генерального директора. Он перестал заниматься изучением кода вирусов, оставшись в роли наставника для молодых аналитиков.
Источник: www.computerra.ru