Компьютерные вирусы

вирусов, которые кроме своего распространения ничем больше не отличаются.

Основная же особенность компьютерных вирусов - возможность их

самопроизвольного внедрения в различные объекты операционной системы -

присуща многим программам, которые не являются вирусами. Например, самая

распространенная операционная система MS-DOS имеет в себе все необходимое,

чтобы самопроизвольно устанавливаться на не-DOS'овские диски. Для этого

достаточно на загрузочный флоппи-диск, содержащий DOS, записать файл

AUTOEXEC.BAT следующего содержания:

SYS A:

COPY *.* A:\

SYS B:

COPY *.* B:\

SYS C:

COPY *.* C:\

...

Модифицированная таким образом DOS сама станет самым настоящим вирусом с

точки зрения практически любого существующего определения компьютерного

вируса.

Таким образом, первой из причин, не позволяющих дать точное определение

вирусу, является невозможность однозначно выделить отличительные признаки,

которые соответствовали бы только вирусам.

Второй же трудностью, возникающей при формулировке определения

компьютерного вируса является то, что данное определение должно быть

привязано к конкретной операционной системе, в которой этот вирус

распространяется. Например, теоретически могут существовать операционные

системы, в которых наличие вируса просто невозможно. Таким примером может

служить система, где запрещено создавать и изменять области выполняемого

кода, т.е. запрещено изменять объекты, которые либо уже выполняются, либо

могут выполняться системой при каких-либо условиях.

Поэтому представляется возможным сформулировать только обязательное условие

для того, чтобы некоторая последовательность выполняемого кода являлась

вирусом.

ОБЯЗАТЕЛЬНЫМ (НЕОБХОДИМЫМ) СВОЙСТВОМ КОМПЬЮТЕРНОГО ВИРУСА является

возможность создавать свои дубликаты (не обязательно совпадающие с

оригиналом) и внедрять их в вычислительные сети и/или файлы, системные

области компьютера и прочие выполняемые объекты. При этом дубликаты

сохраняют способность к дальнейшему распространению.

Следует отметить, что это условие не является достаточным (т.е.

окончательным), поскольку следуя вышеприведенному примеру операционная

система MS-DOS удовлетворяет данному свойству, но вирусом, скорее всего, не

является.

Вот почему точного определения вируса нет до сих пор, и вряд ли оно

появится в обозримом будущем. Следовательно нет точно определенного закона,

по которому «хорошие» файлы можно отличить от «вирусов». Более того, иногда

даже для конкретного файла довольно сложно определить, является он вирусом

или нет.

Вот два примера: вирус KOH и программа ALREADY.COM.

Пример 1. Есть... вирус? утилита? с названием KOH. Эта программа

шифрует/расшифровывает диски только по запросу пользователя . Выполнена она

в виде загрузочной дискеты - boot-cектор содержит bootstrap loader KOH, а

где-то в других секторах лежит основной код KOH. При загрузке с дискеты KOH

задает пользователю вопрос типа: «А можно, я сам себя установлю на

винчестер?» (если он уже на винчестере, то спрашивает то же самое про

дискету). При утвердительном ответе KOH переносит себя с диска на диск.

В результате KOH переносит (копирует) сам себя с дискеты на винчестер, а с

винчестера на дискеты, но только с разрешения хозяина компьютера.

Затем KOH выводит текст о своих hot-keys («горячие» клавиши), по которым он

шифрует/расшифровывает диски - спрашивает пароль, читает сектора, шифрует

их и делает недоступными, если не знать пароля. Есть у него, кстати, ключ

деинсталляции, по коему он сам себя с диска убирает (расшифровав,

естественно, все, что было зашифровано).

Итого, KOH - это некая утилита защиты информации от несанкционированного

доступа. Добавлена к ней, правда, одна особенность: сия утилита сама себя

может копировать с диска на диск (с разрешения пользователя). Вирус ли

это?.. Да или нет? Скорее всего - нет...

И все-бы было ничего, и никто бы эту утилиту по имени KOH вирусом не

обозвал, но только bootstrap loader у этого KOH практически на 100%

совпадает с довольно «популярным» вирусом «Havoc» («StealthBoot»)... «и все

- и крышка празднику». Вирус! И официальное название есть -

«StealthBoot.KOH».

Если бы, конечно, автором KOH был бы не безызвестный программист, а,

скажем, Симантек, или Sierra, или даже Сам Microsoft, то никто бы и не

посмел назвать это вирусом...

Пример 2. Есть некая программа ALREADY.COM, которая сама себя копирует в

разные подкаталоги на диске в зависимости от системной даты. Вирус? Конечно

да - типичный вирус-червь, сам себя расползающий по дискам (включая

сетевые). Да?.. Да!

«Вы играли - но не угадали ни одной буквы!» Hе вирус это, как оказалось, а

компонента от какого-то софтвера. Однако если этот файл выдернуть из этого

софтвера, то ведет он себя как типичный вирус.

Итого были приведены два живых примера:

1. не-вирус - вирус

2. вирус - не-вирус

Внимательный читатель, который не прочь поспорить, может возразить:

Стоп. Hазвание «вирусы» по отношению к программам пришло из биологии

именно по признаку саморазмножения. КОH этому условию соответствует,

следовательно это есть вирус (или комплекс, включающий вирусный

компонент)...

В таком случае DOS является вирусом (или комплексом, включающим вирусный

компонент), поскольку в нем есть команда SYS и COPY. А если на диске

присутствует файл AUTOEXEC.BAT, приведенный несколькими абзацами выше, то

для размножения не потребуется даже вмешательства пользователя. Плюс к

этому: если принять за необходимый и достаточной признак вируса возможность

саморазмножения, то тогда любая программа, имеющая инсталлятор, является

вирусом. Итого: аргумент не проходит.

... что, если под вирусом понимать не просто «саморазмножающийся код», но

«саморазмножающийся код, не выполняющий полезных действий или даже

приносящий вред, без привлечения/информирования пользователя»...

Вирус KOH является программой, шифрующей диски по паролю, вводимому

пользователем. _Все_ свои действия KOH комментирует на экране и спрашивает

разрешения пользователя. Плюс к тому имеет деинсталлятор - расшифровывает

диски и удаляет с них свой код. Однако все равно - вирус!

Если в случае с ALREADY.COM привлечь субъективные критерии (полезна/не

полезна, входит в комплект/самостоятельна и т.п.), то, возможно, это и не

стоит называть вирусом/червяком. Hо стоит ли привлекать эти самые

субъективные критерии?

А какие могут быть объективные критерии вируса? Саморазмножение, скрытность

и деструктивные свойства? Но ведь на каждый объективный критерий можно

привести два контрпримера - a) пример вируса, не подходящего под критерий,

и b) пример не-вируса, подходящего под критерий:

Саморазмножение:

1. Intended-вирусы, не умеющие размножаться по причине большого

количества ошибок, или размножающиеся только при очень ограниченных

условиях.

2. MS-DOS и вариации на тему SYS+COPY.

Скрытность:

1. Вирусы «KOH», «VirDem», «Macro.Word.Polite» и некоторые другие

информируют пользователя о своем присутствии и размножении.

2. Сколько примерно (с точностью до десятка) драйверов сидит под

стандартной Windows95 ? Скрытно сидит, между прочим.

Деструктивные свойства:

1. Безобидные вирусы, типа «Yankee», которые прекрасно живут в DOS,

Windows 3.x, Win95, NT и ничего никуда не гадят.

2. Старые версии Norton Disk Doctor'а на диске с длинными именами файлов.

Запуск NDD в этом случае превращает Disk Doctor'а в Disk Destroyer'а.

Посему тема «нормального» определения компьютерного вируса остается

открытой. Есть только несколько точных вех: например, файл COMMAND.COM

вирусом не является, а печально известная программа с текстом «Dis is one

half» является стопроцентным вирусом (»OneHalf»). Все, что лежит между

ними, может как оказаться вирусом, так и нет.

Не горячитесь, Шура, - вы еще не отсидели за прошлое дело.

из Жванецкого

3. Кто и почему пишет вирусы?

Сам я написанием вирусов не занимался, с их авторами пересекаюсь довольно

редко, и, следовательно, мои соображения по этому поводу могут быть лишь

чисто теоретическими.

Так кто же пишет вирусы? На мой взгляд, основную их массу создают студенты

и школьники, которые только что изучили язык ассемблера, хотят попробовать

свои силы, но не могут найти для них более достойного применения. Отраден

тот факт, что значительная часть таких вирусов их авторами часто не

распространяется, и вирусы через некоторое время «умирают» вместе с

дискетами, на которых хранятся. Такие вирусы пишутся скорее всего только

для самоутверждения.

Вторую группу составляют также молодые люди (чаще - студенты), которые еще

не полностью овладели искусством программирования, но уже решили посвятить

себя написанию и распространению вирусов. Единственная причина, толкающая

подобных людей на написание вирусов, это комплекс неполноценности, который

проявляет себя в компьютерном хулиганстве.

Из-под пера подобных «умельцев» часто выходят либо многочисленные

модификации «классических» вирусов, либо вирусы крайне примитивные и с

большим числом ошибок (такие вирусы я называю «студенческими»). Значительно

облегчилась жизнь подобных вирусописателей после выхода конструкторов

вирусов, при помощи которых можно создавать новые вирусы даже при

минимальных знаниях об операционной системе и ассемблере, или даже вообще

не имея об этом никакого представления. Их жизнь стала еще легче после

появления макро-вирусов, поскольку вместо сложного языка Ассемблер для

написания макро-вирусов достаточно изучить довольно простой Бейсик.

Став старше и опытнее, но так и не повзрослев, многие из подобных

вирусописателей попадают в третью, наиболее опасную группу, которая создает

и запускает в мир «профессиональные» вирусы. Эти очень тщательно

продуманные и отлаженные программы создаются профессиональными, часто очень

талантливыми программистами. Такие вирусы нередко используют достаточно

оригинальные алгоритмы, недокументированные и мало кому известные способы

проникновения в системные области данных. «Профессиональные» вирусы часто

выполнены по технологии «стелс» и(или) являются полиморфик-вирусами,

заражают не только файлы, но и загрузочные сектора дисков, а иногда и

выполняемые файлы Windows и OS/2.

Довольно значительную часть в моей коллекции занимают «семейства» - группы

из нескольких (иногда более десятка) вирусов. Представителей каждой их

таких групп можно выделить по одной отличительной черте, которая называется

«почерком»: в нескольких различных вирусах встречаются одни и те же

алгоритмы и приемы программирования. Часто все или почти все представители

семейства принадлежат одному автору, и иногда довольно забавно следить за

«становлением пера» подобного художника - от почти «студенческих» попыток

создать хоть что-нибудь, похожее на вирус, до вполне работоспособной

реализации «профессионального» вируса.

По моему мнению, причина, заставляющая таких людей направлять свои

способности на такую бессмысленную работу все та же - комплекс

неполноценности, иногда сочетающийся с неуравновешенной психикой.

Показателен тот факт, что подобное вирусописательство часто сочетается с

другими пагубными пристрастиями. Так, весной 1997 года один из наиболее

известных в мире авторов вирусов по кличке Talon (Австралия) скончался в

возрасте 21 года от летальной дозы героина.

Несколько отдельно стоит четвертая группа авторов вирусов -

«исследователи». Эта группа состоит из довольно сообразительных

программистов, которые занимаются изобретением принципиально новых методов

заражения, скрытия, противодействия антивирусам и т.д. Они же придумывают

способы внедрения в новые операционные системы, конструкторы вирусов и

полиморфик-генераторы. Эти программисты пишут вирусы не ради собственно

вирусов, а скорее ради «исследования» потенциалов «компьютерной фауны».

Часто авторы подобных вирусов не запускают свои творения в жизнь, однако

очень активно пропагандируют свои идеи через многочисленные электронные

издания, посвященные созданию вирусов. При этом опасность от таких

«исследовательских» вирусов не падает - попав в руки «профессионалов» из

третьей группы, новые идеи очень быстро реализуются в новых вирусах.

Отношение к авторам вирусов у меня тройственное. Во-первых, все, кто пишет

вирусы или способствует их распространению, являются «кормильцами»

антивирусной индустрии, годовой оборот которой я оцениваю как минимум две

сотни миллионов долларов или даже более того (при этом не стоит забывать,

что убытки от вирусов составляют несколько сотен миллионов долларов

ежегодно и в разы превышают расходы на антивирусные программы). Если общее

количество вирусов к концу 1997 года скорее всего достигнет 20.000, то

нетрудно подсчитать, что доход антивирусных фирм от каждого вируса ежегодно

составляет минимум 10 тысяч долларов. Конечно же, авторам вирусов не

следует надеяться на материальное вознаграждение: как показывает практика,

их труд был и остается бесплатным. К тому же на сегодняшний день

предложение (новые вирусы) вполне удовлетворяет спрос (возможности

антивирусных фирм по обработке новых вирусов).

Во-вторых, мне несколько жаль авторов вирусов, особенно «профессионалов».

Ведь для того, чтобы написать подобный вирус, необходимо: a) затратить

довольно много сил и времени, причем гораздо больше, чем требуется для

того, чтобы разобраться в вирусе занести его в базу данных или даже

написать специальный антивирус; и б) не иметь другого, более

привлекательного, занятия. Следовательно, вирусописатели -»профессионалы»

довольно работоспособны и одновременно с этим маются от безделья -

ситуация, как мне кажется, весьма печальная.

И в третьих, к моему отношении к авторам вирусов довольно сильно подмешаны

чувства нелюбви и презрения как к людям, заведомо и бесцельно тратящим себя

во вред всем остальным.

Тяжела и неказиста

Жизнь простого программиста

(Народный фольклор)

Нет предела нашему интегралу.

(Народная мудрость)

4. История компьютерных вирусов — от древности до наших дней

4.1. Немного археологии

Мнений по поводу даты рождения первого компьютерного вируса очень много.

Мне доподлинно известно только одно: на машине Беббиджа его не было, а на

Univac 1108 и IBM-360/370 они уже были («Pervading Animal» и «Christmas

tree»). Таким образом, первый вирус появился где-то в самом начале 70-х или

даже в конце 60-х годов, хотя «вирусом» его никто еще не называл. На этом

разговор о вымерших ископаемых предлагаю считать завершенным.

4.2. Начало пути

Поговорим о новейшей истории: «Brain», «Vienna», «Cascade» и далее. Те, кто

начал работать на IBM-PC аж в середине 80-х, еще не забыли повальную

эпидемию этих вирусов в 1987-89 годах. Буквы сыпались на экранах, а толпы

пользователей неслись к специалистам по ремонту дисплеев (сейчас все

наоборот: винчестер сдох от старости, а валят на неизвестный передовой

науке вирус). Затем компьютер заиграл чужеземный гимн «Yankee Doodle», но

чинить динамики уже никто не бросился - очень быстро разобрались, что это -

вирус, да не один, а целый десяток.

Так вирусы начали заражать файлы. Вирус «Brain» и скачущий по экрану шарик

вируса «Ping-pong» ознаменовали победу вируса и над Boot-сектором. Все это

очень не нравилось пользователям IBM-PC, и - появились противоядия. Первым

попавшимся мне антивирусом был отечественный ANTI-KOT: это легендарный Олег

Котик выпустил в свет первые версии своей программы, которая уничтожала

целых 4 (четыре) вируса (американский SCAN появился у нас в стране

несколько позднее). Кстати, всем, кто до сих пор сохранил копию этого

антивируса, предлагаю немедленно ее стереть (да простит меня Олег Котик!)

как программу вредную и ничего, кроме траты лишних нервов и ненужных

телефонных звонков, не приносящую. К сожалению, ANTI-KOT определяет вирус

«Time» («Иерусалимский») по комбинации «MsDos» в конце файла, а некоторые

другие антивирусы эти самые буквы аккуратно прицепляют ко всем файлам с

расширением COM или EXE.

Следует обратить внимание на то, что истории завоевания вирусами России и

Запада различаются между собой. Первым вирусом, стремительно

распространившимся на Западе был загрузочный вирус «Brain», и только потом

появились файловые вирусы «Vienna» и «Cascade». В России же наоборот,

сначала появились файловые вирусы, а годом позже - загрузочные.

Время шло, вирусы плодились. Все они были чем-то похожи друг на друга,

лезли в память, цеплялись к файлам и секторам, периодически убивали файлы,

дискеты и винчестеры. Одним из первых «откровений» стал вирус «Frodo.4096»

- первый из известных мне файловых вирусов-невидимок (стелс). Этот вирус

перехватывал INT 21h и, при обращении через DOS к зараженным файлам,

изменял информацию таким образом, что файл появлялся перед пользователем в

незараженном виде. Но это была только надстройка вируса над MS-DOS. Не

прошло и года, как электронные тараканы полезли внутрь ядра DOS (вирус-

невидимка «Beast.512»). Идея невидимости продолжала приносить свой плоды и

далее: летом 1991 года пронесся, кося компьютеры как бубонная чума, вирус

«Dir_II». «Да-a-a!» сказали все, кто в нем копался.

Но бороться с невидимками было довольно просто: почистил RAM - и будь

спокоен, ищи гада и лечи его на здоровье. Побольше хлопот доставляли

самошифрующиеся вирусы, которые иногда встречались в очередных поступлениях

в коллекции. Ведь для их идентификации и удаления приходилось писать

специальные подпрограммы, отлаживать их. Но на это никто тогда не обращал

внимания, пока... Пока не появились вирусы нового поколения, те, которые

носят название полиморфик-вирусы. Эти вирусы используют другой подход к

невидимости: они шифруются (в большинстве случаев), а в расшифровщике

используют команды, которые могут не повторяться при заражении различных

файлов.

Страницы: 1, 2, 3, 4, 5