Компьютерные вирусы

McAfee объявила о том, что ее специалисты обнаружили «закладку» в

программах одного из своих основных конкурентов - в антивирусе фирмы

Dr.Solomon. Заявление от McAfee гласило, что если антивирус Dr.Solomon при

сканировании обнаруживает несколько вирусов различных типов, то дальнейшая

его работа происходит в усиленном режима. То есть если в обычных условиях

на незараженных компьютерах антивирус от Dr.Solomon работает в обычном

режиме, то при тестировании коллекций вирусов переключается в усиленный

режим (по терминологии McAfee «cheat mode» - «режим обмана»), позволяющий

детектировать вирусы, невидимые для Dr.Solomon при сканировании в обычном

режиме. В результате при тестировании на незараженных дисках антивирус от

Dr.Solomon показывает хорошие скоростные результаты, а при тестировании

вирусных коллекций показывает неплохие результаты детектирования.

Через некоторое время Dr.Solomon нанес ответный удар, пришедшийся на

некорректно построенную рекламную кампанию McAfee. Конкретно претензии

предъявлялись тексту «The Number One Choice Worldwide. No Wonder The

Doctor's Left Town». Одновременно с этим компания McAfee вела юридические

тяжбы с другой антивирусной компанией Trend Micro по поводу нарушения

патента на технологию сканирования данных, передаваемых по Интернет и

электронной почте. В этот же конфликт c Trend Micro оказалась втянута фирма

Symantec. Затем Symantec предъявил иск McAfee по обвинению в использовании

кодов Symantec в продуктах McAfee. Ну и т.д.

Закончился год еще одним заметным событием, связанным с именем McAfee:

фирмы McAfee Associates и Network General объявили об объединении в единую

компанию Network Assotiates и о позиционировании усилий не только в области

антивирусных защит, но и в разработке универсальных систем компьютерной

безопасности, шифрования и сетевого администрирования. Начиная с этого

момента вирусной и антивирусной истории McAfee следует читать как NAI.

1998

Вирусная атака на MS Windows, MS Office и сетевые приложения не ослабевает.

Появляются вирусы, использующие все более сложные приемы заражения

компьютеров и новые методы проникновения через компьютерные сети. Помимо

вирусов на арену выходят также многочисленные троянские программы, ворующие

пароли доступа в Интернет, и несколько утилит скрытого администрирования.

Зафиксированы инциденты с зараженными CD-дисками: несколько компьютерных

журналов распространяли на своей обложке диски с программами, зараженными

Windows-вирусами «CIH» и «Marburg».

Начало года: Эпидемия целого семейства вирусов «Win32.HLLP.DeTroie», не

только заражающих выполняемые файлы Windows32, но и способные передать

своему «хозяину» информацию о зараженном компьютере. По причине

использования специфических библиотек, присутствующих только во французской

версии Windows, эпидемия затронула только франко-говорящие страны.

Февраль 1998: обнаружен еще один тип вируса, заражающий таблицы Excel -

«Excel4.Paix» (или «Formula.Paix»). Данный тип макро-вируса для своего

внедрения в таблицы Excel использует не обычную для вирусов область

макросов, а формулы, которые, как оказалось, также могут содержать

саморазмножающийся код.

Февраль-март 1998: «Win95.HPS» и «Win95.Marburg» - первые полиморфные

Windows32-вирусы, обнаруженные к тому же «в живом виде». Разработчикам

антивирусных программ пришлось спешно адаптировать к новым условиям

методики детектирования полиморфных вирусов, рассчитанных до того только на

DOS-вирусы.

Март 1998: «AccessiV» - первый вирус для Microsoft Access. Причиной шумихи,

как это было с вирусами «Word.Concept» и «Excel.Laroux», он не стал,

поскольку все уже привыкли к тому, что приложения MS Office падают одно за

другим.

Март 1998: Макро-вирус «Cross» - первый вирус, заражающий два различных

приложения MS Office: Access и Word. Следом за ним появились еще несколько

макро-вирусов, переносящих свой код из одного Office-проложения в другое.

Май 1998: вирус «RedTeam». Заражает EXE-файлы Windows, рассылает зараженные

файлы при помощи электронной почты Eudora.

Июнь: эпидемия вируса «Win95.CIH», ставшая сначала массовой, затем

глобальной, а затем повальной - сообщения о заражении компьютерных сетей и

домашних персональных компьютеров исчислялись сотнями, если не тысячами.

Начало эпидемии зарегистрировано на Тайване, где неизвестный хакер заслал

зараженные файлы в местные Интернет-конференции. Оттуда вирус пробрался в

США, где по недосмотру зараженными оказались сразу несколько популярных Web-

серверов - они распространяли зараженные вирусом игровые программы. Скорее

всего, именно эти зараженные файлы на игровых серверах и послужили причиной

повальной эпидемии вируса, не ослабевавшей в течении всего года. По

результатам рейтингов «популярности» вирус «подвинул» таких вирусных

суперзвезд, как «Word.CAP» и «Excel.Laroux». Следует обратить внимание

также на опасное проявление вируса: в зависимости от текущей даты вирус

стирал Flash BIOS, что в некоторых случаях могло привести к необходимости

замены материнской платы.

Август 1998: появление нашумевшего «BackOrifice» («Backdoor.BO») - утилиты

скрытого (хакерского) администрирования удаленных компьютеров и сетей.

Следом за «BackOrifice» появились несколько других аналогичных программ:

«NetBus», «Phase» и прочие.

Также в августе появился первый вирус, заражающий выполняемые модули Java -

«Java.StangeBrew». Данный вирус не представлял какой-либо опасности для

пользователей Интернет, поскольку на удаленном компьтере невозможно

использовать необходимые для размножения функции. Однако он

проиллюстрировал тот факт, что атакованы вирусами также могут быть и

приложения, активно используемые при просмотре Web-серверов.

Ноябрь 1998: «VBScript.Rabbit» - интернет-экспансия компьютерных паразитов

продолжилась тремя вирусами, заражающими скрипты VisualBasic (VBS-файлы),

которые активно применяются при написании Web-страниц. Как логическое

следствие VBScript-вирусов стало появление полноценного HTML-вируса

(«HTML.Internal»). Становится достаточно очевидным, что усилия

вирусописателей начинают концентрироваться вокруг сетевых приложений, и

дело идет к появлению полноценного сетевого вируса-червя, использующего

возможности MS Windows, Office и заражающего удаленные компьютеры, Web-

сервера и/или активно распростряняющегося по электронной почте.

Произошли также заметные перестановки в антивирусном мире. В мае 1998

компании Symantec и IBM объявили об объединении своих усилий на

антивирусном фронте: совместный продукт при этом распространяется фирмой

Symantec под той же маркой Norton Anti-Virus, а IBM Anti-Virus (IBMAV)

прекращает свое существование. На это моментально отреагировали основные

конкуренты: Dr.Solomon и NAI (ранее - McAfee) тут же выпустили пресс-релизы

с предложениями о льготном опдейте бывших пользователей IBMAV своими

собственными антивирусами.

Не прошло и месяца, как прекратил свое существование и сам Dr.Solomon. Он

был куплен компанией NAI (McAfee) за 640 миллионов долларов путем обмена

акций. Данное событие вызвало шок в антивирусном мире: конфликт между двумя

крупнейшими игроками антивирусного бизнеса закончился куплей/продажей, в

результате которой с рынка исчез один из наиболее заметных и технологически

сильных производителей антивирусного программного обеспеечения.

1999

Все на свете должно происходть медленно и

неправильно, чтобы не сумел загордиться человек,

чтобы человек был грустен и растерян.

(Венедикт Ерофеев. «Москва - Петушки»)

5.Классификация компьютерных вирусов

Вирусы можно разделить на классы по следующим основным признакам:

среда обитания;

операционная система (OC);

особенности алгоритма работы;

деструктивные возможности.

По СРЕДЕ ОБИТАНИЯ вирусы можно разделить на:

файловые;

загрузочные;

макро;

сетевые.

Файловые вирусы либо различными способами внедряются в выполняемые файлы

(наиболее распространенный тип вирусов), либо создают файлы-двойники

(компаньон-вирусы), либо используют особенности организации файловой

системы (link-вирусы).

Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-

сектор), либо в сектор, содержащий системный загрузчик винчестера (Master

Boot Record), либо меняют указатель на активный boot-сектор.

Макро-вирусы заражают файлы-документы и электронные таблицы нескольких

популярных редакторов.

Сетевые вирусы используют для своего распространения протоколы или команды

компьютерных сетей и электронной почты.

Существует большое количество сочетаний - например, файлово-загрузочные

вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие

вирусы, как правило, имеют довольно сложный алгоритм работы, часто

применяют оригинальные методы проникновения в систему, используют стелс и

полиморфик-технологии. Другой пример такого сочетания - сетевой макро-

вирус, который не только заражает редактируемые документы, но и рассылает

свои копии по электронной почте.

Заражаемая ОПЕРАЦИОННАЯ СИСТЕМА (вернее, ОС, объекты которой подвержены

заражению) является вторым уровнем деления вирусов на классы. Каждый

файловый или сетевой вирус заражает файлы какой-либо одной или нескольких

OS - DOS, Windows, Win95/NT, OS/2 и т.д. Макро-вирусы заражают файлы

форматов Word, Excel, Office97. Загрузочные вирусы также ориентированы на

конкретные форматы расположения системных данных в загрузочных секторах

дисков.

Среди ОСОБЕННОСТЕЙ АЛГОРИТМА РАБОТЫ вирусов выделяются следующие пункты:

резидентность;

использование стелс-алгоритмов;

самошифрование и полиморфичность;

использование нестандартных приемов.

РЕЗИДЕНТНЫЙ вирус при инфицировании компьютера оставляет в оперативной

памяти свою резидентную часть, которая затем перехватывает обращения

операционной системы к объектам заражения и внедряется в них. Резидентные

вирусы находятся в памяти и являются активными вплоть до выключения

компьютера или перезагрузки операционной системы. Нерезидентные вирусы не

заражают память компьютера и сохраняют активность ограниченное время.

Некоторые вирусы оставляют в оперативной памяти небольшие резидентные

программы, которые не распространяют вирус. Такие вирусы считаются

нерезидентными.

Резидентными можно считать макро-вирусы, поскольку они постоянно

присутствуют в памяти компьютера на все время работы зараженного редактора.

При этом роль операционной системы берет на себя редактор, а понятие

«перезагрузка операционной системы» трактуется как выход из редактора.

В многозадачных операционных системах время «жизни» резидентного DOS-вируса

также может быть ограничено моментом закрытия зараженного DOS-окна, а

активность загрузочных вирусов в некоторых операционных системах

ограничивается моментом инсталляции дисковых драйверов OC.

Использование СТЕЛС-алгоритмов позволяет вирусам полностью или частично

скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является

перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при

этом либо временно лечат их, либо «подставляют» вместо себя незараженные

участки информации. В случае макро-вирусов наиболее популярный способ —

запрет вызовов меню просмотра макросов. Один из первых файловых стелс-

вирусов — вирус «Frodo», первый загрузочный стелс-вирус — «Brain».

САМОШИФРОВАНИЕ и ПОЛИМОРФИЧНОСТЬ используются практически всеми типами

вирусов для того, чтобы максимально усложнить процедуру детектирования

вируса. Полиморфик-вирусы (polymorphic) - это достаточно труднообнаружимые

вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного

участка кода. В большинстве случаев два образца одного и того же полиморфик-

вируса не будут иметь ни одного совпадения. Это достигается шифрованием

основного тела вируса и модификациями программы-расшифровщика.

Различные НЕСТАНДАРТНЫЕ ПРИЕМЫ часто используются в вирусах для того, чтобы

как можно глубже спрятать себя в ядре OC (как это делает вирус «3APA3A»),

защитить от обнаружения свою резидентную копию (вирусы «TPVO», «Trout2»),

затруднить лечение от вируса (например, поместив свою копию в Flash-BIOS) и

т.д.

По ДЕСТРУКТИВНЫМ ВОЗМОЖНОСТЯМ вирусы можно разделить на:

безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения

свободной памяти на диске в результате своего распространения);

неопасные, влияние которых ограничивается уменьшением свободной памяти на

диске и графическими, звуковыми и пр. эффектами;

опасные вирусы, которые могут привести к серьезным сбоям в работе

компьютера;

очень опасные, в алгоритм работы которых заведомо заложены процедуры,

которые могут привести к потере программ, уничтожить данные, стереть

необходимую для работы компьютера информацию, записанную в системных

областях памяти, и даже, как гласит одна из непроверенных компьютерных

легенд, способствовать быстрому износу движущихся частей механизмов -

вводить в резонанс и разрушать головки некоторых типов винчестеров.

Но даже если в алгоритме вируса не найдено ветвей, наносящих ущерб системе,

этот вирус нельзя с полной уверенностью назвать безвредным, так как

проникновение его в компьютер может вызвать непредсказуемые и порой

катастрофические последствия. Ведь вирус, как и всякая программа, имеет

ошибки, в результате которых могут быть испорчены как файлы, так и сектора

дисков (например, вполне безобидный на первый взгляд вирус «DenZuk»

довольно корректно работает с 360K дискетами, но может уничтожить

информацию на дискетах большего объема). До сих пор попадаются вирусы,

определяющие «COM или EXE» не по внутреннему формату файла, а по его

расширению. Естественно, что при несовпадении формата и расширения имени

файл после заражения оказывается неработоспособным. Возможно также

«заклинивание» резидентного вируса и системы при использовании новых версий

DOS, при работе в Windows или с другими мощными программными системами. И

так далее.

6. Перспективы: что будет завтра и послезавтра

А что же будет дальше? И как долго вирусы будут нас беспокоить? - вопросы,

который в той или иной мере беспокоит практически всех пользователей.

6.1. Что будет завтра?

Чего ожидать от компьютерного андеграунда в последующие годы? Скорее всего

основными проблемами останутся: 1) полиморфик-DOS-вирусы, к которым

добавятся проблемы полиморфизма в макро-вирусах и вирусах для Windows и

OS/2; 2) макро-вирусы, которые будут находить все новые и новые приемы

заражения и скрытия своего кода в системе; 3) сетевые вирусы, использующие

для своего распространения протоколы и команды компьютерных сетей.

Пункт 3) находится пока только на самой ранней стадии - вирусы делают

первые робкие попытки самостоятельно распространять свой код по MS Mail и

пользуясь ftp, однако все еще впереди.

Не исключено, что появятся и другие проблемы, которые принесут немало

неприятностей пользователям и достаточное количество неурочной работы

разработчикам антивирусных программ. Однако я смотрю на будущее с

оптимизмом: все проблемы, когда-либо встававшие в истории развития вирусов,

были довольно успешно решены. Скорее всего так же успешно будут решаться и

будущие проблемы, пока еще только витающие идеями в воспаленном разуме

вирусописателей.

6.2. Что будет послезавтра?

Что будет послезавтра и как долго вообще будут существовать вирусы? Для

того, чтобы ответить на этот вопрос следует определить, где и при каких

условиях водятся вирусы.

Основная питательная среда для массового распространения вируса в ЭВМ, на

мой взгляд, обязана содержать следующие необходимые компоненты:

незащищенность операционной системы (ОС);

наличие разнообразной и довольно полной документации по OC и «железу»;

широкое распространение этой ОС и этого «железа».

Следует отметить, что понятие операционной системы достаточно растяжимое.

Например, для макро-вирусов операционной системой являются редакторы Word и

Excel, поскольку именно редакторы, а не Windows предоставляют макро-вирусам

(т.е. программам на Бейсике) необходимые ресурсы и функции.

Если в операционной системе присутствуют элементы защиты информации, как

это сделано практически во всех ОС, вирусу будет крайне трудно поразить

объекты своего нападения, так как для этого потребуется (как минимум)

взломать систему паролей и привилегий. В результате работа, необходимая для

написания вируса, окажется по силам только профессионалам высокого уровня

(вирус Морриса для VAX - пример этому). А у профессионалов, на мой взгляд,

уровень порядочности все-таки намного выше, чем в среде потребителей их

продукции, и, следовательно, число созданных и запущенных в большую жизнь

вирусов еще более сократится.

Для массового производства вирусов также необходимо и достаточное

количество информации о среде их обитания. Какой процент от числа системных

программистов, работающих на мини-ЭВМ в операционках UNIX, VMS и т.д. знает

систему управления процессами в оперативной памяти, полные форматы

выполняемых файлов и загрузочных записей на диске? (т.е. информацию,

необходимую для создания вируса). И следовательно, какой процент от их

числа в состоянии вырастить настоящего полноценного зверя? Другой пример -

операционная система Novell NetWare, достаточно популярная, но крайне слабо

документированная. В результате мне пока не известно ни одного вируса,

поразившего выполняемые файлы Novell NetWare, несмотря на многочисленные

обещания вирусописателей выпустить такой вирус в ближайшее время.

Ну а по поводу широкого распространения ОС как необходимого условия для

вирусного нашествия и говорить надоело: на 1000 программистов только 100

способны написать вирус, на эту сотню приходится один, который эту идею

доведет до завершения. Теперь полученную пропорцию умножаем на число тысяч

программистов - и получаем результат: с одной стороны 15.000 или даже

20.000 полностью IBM-совместимых вирусов, с другой - несколько сот вирусов

для Apple-Macintosh. Такое же несоответствие пропорций наблюдается и в

сравнении общего количества вирусов для Windows (несколько десятков) и для

OS/2 (несколько штук).

Приведенным выше трем условиям «расцвета» компьютерных вирусов

удовлетворяют сразу несколько OS (включая редакторы), производимых фирмой

Microsoft (DOS, Windows, Win95/NT и Word, Excel, Office97), что дает

благодатную почву для существования самых разнообразных файловых и макро-

вирусов. Удовлетворяют приведенным условиям также и стандарты разбиения

жестких дисков. Результат - разнообразные варианты загрузочных вирусов,

поражающих систему в момент ее загрузки.

Для того, чтобы прикинуть продолжительность нашествия компьютерных вирусов

в какой-либо OC, надо оценить время сосуществования приведенных выше

необходимых условий.

Довольно очевидно, что в обозримом будущем фирмы IBM и Apple не собираются

уступать массовый рынок своим конкурентам (на радость Apple- и IBM-

программистам), даже если для этого этим фирмам придется объединить усилия.

Не представляется возможным и усечение потока информации по наиболее

распространенным системам, так как это ударит по числу приложений для них,

а следовательно, и по их «продаваемости». Остается только одно - защита ОС.

Однако, защищенность ОС требует исполнения некоторых правил (паролей и

т.п.), что приводит к ряду неудобств. Поэтому мне кажется маловероятным,

что такие ОС станут популярными в среде обычных пользователей - секретарш,

бухгалтеров, на домашних компьютерах, и т.д., и т.п., либо функции защиты

будут отключаться пользователем еще при установке ОС.

Исходя из вышесказанного можно сделать единственный вывод: вирусы успешно

внедрились в повседневную компьютерную жизнь и покидать ее в обозримом

будущем не собираются.

Список использованных материалов:

1. http://www.symantec.ru/region/ru/product/navbrochure/index.htm

2. http://www.symantec.ru

3. http://www.dials.ru/

4. http://www.avp.ru/

5. http://www2.dialognauka.ru/

6. http://www.apl.ru/isvwsolaris.htm

7. http://www.act.ru/av/Solomon/DrSolom_report.asp

Страницы: 1, 2, 3, 4, 5