Dziś aktywuje się wirus Michelangelo – uważajcie na... dyskietki

Dziś aktywuje się wirus Michelangelo – uważajcie na... dyskietkiJak co roku, szóstego marca przypada dzień, w którym swój niszczycielski potencjał uruchamia wirus Michelangelo. Szkodnik ten usuwał zawartość tablicy alokacji dysku twardego. Zapisując pierwsze sto sektorów nośnika (lub inne obszary, zależnie od wariantu), uszkadzał strukturę logiczną systemu plików. Dane wciąż znajdowały się na dysku, choć były niemożliwe do odczytu konwencjonalnymi sposobami.

Mimo tak poważnych szkód, powody dla których pamiętamy owego niemal trzydziestoletniego dziś wirusa są inne. Okazuje się bowiem, że zasięg działania Michelangelo był znikomy. Gigantyczna kampania informacyjna, rozkręcona przez żądne sensacji media, wytępiła wirusa niemal w całości. Jednakże to właśnie ta kampania, będąca ordynarnym dowodem niekompetencji dziennikarzy, unieśmiertelniła wirusa na kartach współczesnej historii.

Informacje o początkach wirusów są naturalnie zawsze niedostępne (rzadko kiedy ktoś otwarcie ogłasza stworzenie szkodliwego oprogramowania), ale w przypadku tych pochodzących z wczesnych lat dziewięćdziesiątych jest szczególnie trudno. Nie ze względu na brak źródeł, choć internet był wtedy cudaczną rzadkością. Problem stanowi ich sprzeczność. Wikipedia, Encyklopedia Wirusów oraz rozliczne materiały prasowe podają wyraźnie rozbieżne daty pierwszego opisania szkodnika. Nie dowiemy się więc, kiedy powstał, ale wszystko wskazuje na to, że nie później, niż na przełomie lat 1990 i 1991. Konceptualnie jest zresztą wariantem jeszcze starszego wynalazku, czyli wirusa Stoned. O nim z kolei można przeczytać we wpisie blogowym na temat Edytora TAG.

Źródło nazwy też jest nieoczywiste. Pochodzi ona naturalnie od dnia narodzin Michała Anioła, ale w kodzie (kilkuset bajtach!) nigdzie nie pada nawiązanie do jego imienia. Wykorzystano jedynie zbieżność dat. Sophos informuje, że nazwę wybrał Robert Riordan, omawiając odkrytego wirusa z przyjacielem, którego urodziny również wypadają szóstego marca. Poinformował on Riordana, że tego dnia urodził się również właśnie Michelangelo. Nadanie wirusowi imienia było jedynie ułatwieniem w rozróżnianiu całego zestawu wirusów bazujących na Stoned. Niestety, chwytliwa etykietka to coś, co podoba się mediom.

Gdy dziennikarze otrzymali wreszcie coś, co ma nazwę i pozwala straszyć czymś innym, niż tylko zbiorem cyferek, z radością przystąpili do pracy, uderzając w alarmistyczny ton. Renomowany The Washington Post napisał artykuł na pograniczu rzetelności, usiłując wyjaśnić działanie wirusa i (niską) szansę na jego posiadanie. Mimo bycia dość racjonalnym głosem, nie uniknięto sformułowań typu „wirus może się od miesięcy czaić w komputerze bez Twojej wiedzy”. Autor artykułu, Lawrence J. Magid, mający na swoim koncie kilka książek z zakresu informatyki użytkowej, dodał również że znalazł wirusa na swoim komputerze, a cały tekst zakończył spisem telefonów do infolinii głównych producentów oprogramowania antywirusowego.

Pojawiały się jednak głosy o wiele mniej rozsądne. Los Angeles Times podgrzewał atmosferę informując o kilkusettysięcznych stratach wykazanych wskutek wirusa w firmach. Panikę wyczuła firma Symantec, która wydała specjalną mini-wersję swojego produktu Norton AV, przeznaczoną wyłącznie do wykrycia i usunięcia tego specyficznego wirusa. Ponieważ jednak Michelangelo był wirusem boot-sectora (o czym za chwilę), skaner zupełnie niepotrzebnie skanował w jego poszukiwaniu cały dysk. Uznano bowiem, że użytkownicy pomyślą że program... nie działa, jeżeli nie wyświetla żmudnego paska postępu. Dodano więc mielenie dyskiem, specjalnie dla zachowania pozorów.

Głównym beneficjentem chaosu informacyjnego w kwestii 6 marca pozostaje jednak bez cienia wątpliwości John McAfee. Można powiedzieć, że zbudował on swój biznes antywirusowy właśnie w oparciu o szerzenie strachu przed wirusem. McAfee głosił, że w dniu aktywacji wirusa w 1992 roku, światowa infrastruktura informatyczna oparta o komputery PC ulegnie paraliżowi, a liczba uszkodzonych pecetów pójdzie w miliony. Oferował oczywiście rozwiązanie, w postaci (płatnego) antywirusa swojego autorstwa.

Warto tu dodać, że biznes AV pana McAfee został założony pięć lat wcześniej i był opłacalny. Firma zarobiła co prawda kilkanaście milionów dolarów niemal w miesiąc, ale gdy świat nie skończył się w marcu '92, czarnowidztwo w mediach zaczęło wyglądać jak blamaż wizerunkowy. Nieważne, jak bardzo pomogli mu w tym niekompetentni dziennikarze, McAfee mocno nadużył zaufania posiadaczy komputerów osobistych. Przez następne lata robił to zresztą niejednokrotnie. Co ciekawe, jego antywirus jest jednym z nielicznych zgodnych z militarnymi wytycznymi STIG, co czyni go dedykowanym rozwiązaniem dla krytycznej infrastruktury. Ma po prostu fatalną prasę: zarówno techniczną (chroniczne problemy z Confickerem) jak i... pozostałą (morderstwo).

Michelangelo ułatwiał pisanie o sobie w niepokojącym tonie, ponieważ był dość nienamacalny: nie używał plików. W czasach, gdy wielu użytkowników nigdy jeszcze nie spotkało się z żadnym wirusem, konfrontacja ze szkodnikiem bezplikowym brzmiała jak scenariusz filmu fantastycznonaukowego. Takie podejście zostało zrealizowane poprzez zainfekowanie samego sektora ładowania nośnika (dyskietka, dysk twardy). Z perspektywy użytkownika, zawartość dysku była identyczna, jak przed infekcją, co dodawało zarażonym nośnikom enigmatycznej aury „skażonej” elektroniki.

Przybliżony sposób dawnych działania wirusów boot-sektora. Do swojej propagacji wykorzystywały one dyskietki. Jeżeli zarażona dyskietka pozostała w komputerze który wyłączono, przy następnym jego uruchomieniu spróbuje on wystartować nie dysku, a właśnie z dyskietki. Starsi użytkownicy pecetów doskonale wiedzą, jak kończyło się takie zapominalstwo: komputer wyświetlał komunikat "Non-Boot Disk or disk error", czyli próbował wystartować z dyskietki, na której nie było systemu, tylko jakieś prywatne pliki lub programy. Jednakże zarażone wirusem dyskietki potrafiły wystartować system z dysku twardego. W ich boot-sektorze znajdował się kilkusetbajtowy „system”, którego jedyną rolą było załadować system z dysku – ale przy okazji wstrzyknąć coś od siebie.

W ten sposób użytkownik, mimo dyskietki w napędzie, otrzymywał swój MS-DOS uruchomiony z twardego dysku. Był to jednak zmodyfikowany DOS: wzbogacony o mikroskopijny sterownik, który dodaje wirusa do każdego nowego dysku i dyskietki. Lista plików na nośnikach jest taka sama. System operacyjny nie został zmodyfikowany. W tle nie pracuje żaden proces (TSR). Zmodyfikowano jedynie sektor rozruchowy. Jedyną poszlaką, że coś jest nie tak, może być wyższe zużycie pamięci. O dwa kilobajty.

Takich wirusów było na pęczki. W większości były nieszkodliwe i jedynie roznosiły się po coraz to nowszych dyskietkach. Michelangelo rozszerzył jednak tę koncepcję o destruktywny element, w postaci niszczenia dysku raz w roku. W tym celu nie potrzebował dyskietki w napędzie, bo modyfikował boot-sektor również na dysku twardym (dodawał tam samego siebie, oryginalny sektor MS-DOS wyrzucając gdzieś głębiej). To zagwarantowało mu popularność w mediach.

Dzień po feralnej dacie w 1992, pojawiły się artykuły w tonie jednak „nie było tak źle”. Do tematu wrócił The Washington Post, informując o ograniczonym wpływie wirusa na infrastrukturę. Nie pojawiały się przeprosiny, a raczej suche, o wiele mniej emocjonalne, raportowanie faktów. Wydaje się jednak, że nieudolność w informowaniu o cyfrowych zagrożeniach jest dziś nie mniejsza, mimo upływu trzech dekad.

Rok 1999 obfitował w setki historii o „problemie roku 2000” i rzekomej nadchodzącej cyfrowej apokalipsie. W praktyce skończyło się na kilku wypożyczalniach wideo błędnie naliczających kary za nieoddanie kaset przez sto lat. Mimo bicie na alarm w sprawie roku 2000, mało kto wiedział, o co tak naprawdę chodzi. Gdy swoje triumfy święciły Blaster i Sasser, wiele mediów sugerowało zakup antywirusa. Mimo, że wektorem infekcji był niezałatany stos sieciowy Windows XP. Setki tysięcy artykułów zwiastowały już niejeden koniec świata, a jakimś cudem wiele osób wciąż wierzy w skuteczność/sensowność antywirusów i nie ma żadnych oporów przed otwarciem mołdawskiej faktury EXE od „operatora” u którego nie ma się nawet umowy na telefon.

Na takiej niewiedzy wciąż łatwo się zarabia. Albo sprzedając na wyrost oprogramowanie antywirusowe, albo żądając okupu za odszyfrowanie zainfekowanego dysku twardego. Niewiele wskazuje na jakąś rychłą zmianę w tej kwestii. Obiecujemy jednak wciąż dbać o rzetelność naszych artykułów z zakresu bezpieczeństwa.😉

Image by PublicDomainPictures on Pixabay -->