Среди общепринятых компьютерных терминов встречаются порой весьма забавные и специфические. Например, скрытые возможности некоторых программ, эдакие «сюрпризы», специально добавленные в приложение разработчиками, принято называть «пасхальными яйцами». Однако если встроенной в Microsoft Excel «леталкой» или присутствием волшебника Мерлина в «Фотошопе» уже никого не удивишь, то для многих может оказаться сюрпризом то обстоятельство, что подобными развлечениями порой не брезгуют и вирусописатели.
«Золотым веком» всевозможных программ-шуток, зачастую распространявшихся аналогично современным вредоносным приложениям, можно назвать эпоху MS-DOS: собственно, в те прекрасные времена всевозможные розыгрыши и приколы зачастую являлись основной полезной нагрузкой большинства вирусов и троянцев. Существовали программы-вредители, переворачивавшие изображение на экране вверх ногами (чтобы не беспокоить системного администратора, некоторые жертвы этого троянца просто устанавливали монитор вверх тормашками и как ни в чем не бывало продолжали работать дальше), были вирусы, исполнявшие при помощи встроенного в дисковод электродвигателя незамысловатую мелодию «чижика-пыжика». Помимо основного вредоносного функционала — неконтролируемого размножения и заражения файловых объектов, — вирусы нередко «развлекали» пользователей всевозможными «визуальными эффектами». Один троянец выводил на экран сообщение «Ошибка доступа к диску С: на диске обнаружена вода», после чего из встроенного в системный блок динамика звучала радостная весенняя капель. Несчастные жертвы вредоносных программ нередко наблюдали, как свеженабранный в текстовом редакторе доклад осыпается, подобно пожелтевшей листве, беспорядочной горкой символов, пытались поймать мышкой убегающую за границы экрана кнопку «Пуск» или заклеить скотчем поминутно открывающийся лоток оптического привода.
Таким образом, одним из главных стимулов для вирусописателей прошлого была скандальная слава. В наши дни создателями вредоносных программ движет, в основном, жажда наживы, и потому неожиданные «сюрпризы» в их творениях — это скорее редкое исключение, нежели правило. Да и сам формат вредоносных приложений подразумевает максимальную скрытность в инфицированной системе, помноженную на компактный размер файла. Тем не менее, любопытные «закладки» встречаются и в современных вирусах и троянцах, правда, их создатели адресуют свои «сюрпризы», как правило, сотрудникам антивирусных компаний.
Так, в дизассемблированном коде одной из троянских программ были перечислены имена вирусных аналитиков, которым автор решил посвятить свое творение. Растроганные до глубины души аналитики, уронив на клавиатуру скупую мужскую слезу, незамедлительно добавили эту программу в вирусные базы под названием Trojan.EmailSpy. Безответная любовь к своим идеологическим противникам, вероятно, терзает душу многих вирусописателей: например, в качестве пароля для расшифровки упакованного файла одной из модификаций троянца BackDoor.Andromeda злоумышленники использовали строку «BrianKrebs», решив увековечить таким образом имя широко известного в узких кругах американского журналиста, блогера и борца с вирусами Брайна Кребса.
Абсолютным лидером по количеству всевозможных сюрпризов на килобайт кода можно назвать семейство опаснейших руткитов BackDoor.Tdss. Начнем хотя бы с того, что в некоторых модификациях этого бэкдора применялся упаковщик, использовавший для обфуксации приложения… целые строки из Шекспировского «Гамлета», которыми был щедро разбавлен исполняемый файл. Ну, а само вредоносное приложение содержит широкий ассортимент служебных строк, которые выводятся в отладчик при наступлении определенных событий. Здесь можно встретить и любимые выражения Гомера Симпсона, и цитаты из популярных фильмов, и фразы из комиксов. Например, при успешном старте и инициализации троянец может вывести в отладчик текст песенки «Spider-Pig» из «Симпсонов», или фразу «This is your life, and it’s ending one minute at a time» из «Бойцовского клуба». Судя по всему, вышеупомянутая кинолента и мультфильм являются любимыми для создателей бэкдора — всего в разных модификациях BackDoor.Tdss насчитывается более десятка цитат из «Симпсонов» и «Бойцовского клуба». Помимо этого, в коде троянца встречаются отсылки к фильмам «Двенадцать обезьян» и «Страх и ненависть в Лас-Вегасе».
Ну, а наиболее занятным экземпляром вредоносной программы из попадавшихся в вирусную лабораторию «Доктор Веб» за последнее время, можно назвать троянца BackDoor.Gootkit «накрытого» очень хитрым вирусным упаковщиком. При расшифровке последнего слоя вредоносная программа продемонстрировала аналитикам сообщение, которое можно перевести на русский язык следующим образом: «Ты крут, если тебе удалось расшифровать это! Значит, нам нужно работать лучше».
Современные троянцы отличаются весьма разнообразным вредоносным функционалом, и аналитики всегда загружены работой, однако кое-кто из них все же слегка скучает по тем временам, когда вирусов насчитывалось гораздо меньше, а вирусописатели были немного добрее.