Компьютерные науки - Учебники на русском языке - Скачать бесплатно

Николай Безруков
Компьютерная вирусология

На правах рукописи


Часть 1: Общие принципы функционирования,
классификация и каталог наиболее распространенных
вирусов в операционной системе MS DOS



Киев 1990

БЕЗРУКОВ Н.Н. КОМПЬЮТЕРНАЯ ВИРУСОЛОГИЯ. Часть 1: Общие прин-
ципы функционирования, классификация и каталог наиболее распрост-
раненных вирусов в операционной системе MS DOS / Редакция 5.5 от
10.11.90.- 1990. - 450 с. Ил. 11, список лит.: 340 назв., прил. 9.

Данная редакция заменяет предыдущие редакции (1.0-1.4, 2.0-
2.9, 3.0-3.7, 4.0-4.8, 5.0-5.4), и большинство описываемых в ней
программных продуктов уже опубликованы в вышедших в свет выпусках
электронного бюллетеня СОФТПАНОРАМА. Некоторые из упоминаемых
"свежих" версий программных средств защиты от вирусов, распростра-
няемых бесплатно (FREEWARE), а также средств, разработка которых
частично финансируется пользователями (SHAREWARE), были переданы
автору для ознакомления и тестирования и будут опубликованы в пос-
ледующих выпусках СОФТПАНОРАМЫ.

В редакции 5.5 исправлен ряд ошибок и опечаток, несколько
изменена структура главы 1 и переработана глава 10.

В редакции 5.4 уточнены сведения о некоторых вирусах, внесе-
ны изменения в приложение 6.

В редакции 5.3 переработаны глава 6 и глава 8.

В редакции 5.2 уточнены сведения по последним обнаруженным
вирусам, исправлено оглавление, доработана гл.2, исправлена и до-
полнена таблица в прил.1. Введен термин техно-крыса применительно
к разработчикам компьютерных вирусов, сознательно распространяющим
свои продукты.

В редакции 5.1 исправлены мелкие опечатки, а также неточнос-
ти в описании вируса RCE-04096.

В редакции 5.0 классификационные таблицы вынесены в приложе-
ния, внесен ряд изменений в структуру книги, в частности, перера-
ботана гл.1. Добавлены сведения про файловые вирусы С-257, С-1024,
RС-394, RС-488 и бутовые вирусы Stone Rostov, Print Screen.

В редакции 4.8 польская подгруппа выделена в отдельную груп-
пу файловых нерезидентных вирусов. Исправлен ряд ошибок и опеча-
ток.

В редакции 4.7 уточнен ряд сведений в табл.1, а также сведе-
ния про вирус Joshy.

В редакции 4.6 переработан раздел 2.4. В связи с обнаружени-
ем стелс-вирусов в СССР соответствующий раздел перенесен в гл.5, а
информация, относящаяся к вирусу RCE-04096, уточнена. Исправлен
ряд ошибок и неточностей в прил.2 и 3.

В редакции 4.5 в табл.3 для ряда вирусов внесены сигнатуры,
использованные в полидетекторе TNTVIRUS фирмы CARMEL. Исправлены
некоторые опечатки и неточности.

В редакции 4.4 полностью переработано приложение 4 и добав-
лено приложение 5. Уточнены сведения по вирусу RC-492.

В редакции 4.3 внесен ряд изменений в приложения 2 и 3, уто-
чнено изложение некоторых пунктов глав 4 и 10.

В редакции 4.2 добавлены описания вирусов RCE-1600 (Па-
кость-3) и WM-1F (Joshy). Полностью переработаны приложение 2 и
приложение 3. Дополнен список литературы. В текст внесено много
мелких изменений и уточнений. В связи с положительными отзывами на
"оживляж" в виде эпиграфов, добавлен ряд новых эпиграфов, а неко-
торые неудачные заменены.

В редакции 4.1 изменена структура книги: глава 4 (КЛАССИФИКА-
ЦИЯ МЕТОДОВ ЗАЩИТЫ) объединена с главой 8 (ТЕХНОЛОГИЯ ПРИМЕНЕНИЯ
СРЕДСТВ ЗАЩИТЫ ОТ ВИРУСОВ). Предполагается, что в дальнейшем эта
глава будет вынесена из данной части и войдет во вторую часть дан-
ной работы. В свою очередь табл.1 и табл.2 сокращены: в них остав-
лены только вирусы, найденные в CCCР. Вирусы, известные по литера-
туре, вынесены в отдельные таблицы (табл.3 и табл.4), которые су-
щественно переработаны и дополнены сведениями из файла VIRUSSUM
П.Хоффман. Глава 5 (КАТАЛОГ НАИБОЛЕЕ РАСПРОСТРАНЕННЫХ ФАЙЛОВЫХ ВИ-
РУСОВ) в связи со своим большим объемом разбита на три: нерезиден-
тные файловые вирусы, обнаруженные в СССР, резидентные файловые
вирусы, обнаруженные в СССР, и вирусы, известные только по литера-
туре. Глава 6 (КАТАЛОГ НАИБОЛЕЕ РАСПРОСТРАНЕННЫХ БУТОВЫХ ВИРУСОВ)
разбита на две: бутовые вирусы, обнаруженные в СССР, и вирусы, из-
вестные только по литературе. Несколько переработана структура де-
скриптора файлового и бутового вируса. Доработано приложение 1.

В редакции 4.0 текст глав 1-4 и 7 существенно переработан и
дополнен. Исключены табл.3-8. Некоторые изменения и уточнения сде-
ланы в главе 5, в частности, сокращен и заменен ряд дампов. Вместо
термина "фильтр" в качестве названия этого класса антивирусных
программ теперь используется термин "сторож". Это сделано во избе-
жание путаницы с соответствующим термином MS DOS и UNIX. Как обыч-
но, переработаны и дополнены табл.1-2: в них внесены сведения о
дате обнаружения вируса, его распространенности, а для файловых
вирусов дополнительно приводятся J-сигнатуры. Кроме того, несколь-
ко изменена структура дескриптора. В процессе подготовки материала
к публикации к некоторым главам с целью "оживления" изложения до-
бавлены эпиграфы.

В редакции 3.7 расширены и дополнены табл.1-2, добавлено опи-
сание вируса RC-492. Понятие J-сигнатуры обобщено и на файловые
вирусы. Восстановлено приложение 1, которое теперь содержит ката-
лог опубликованных в бюллетене СОФТПАНОРАМА антивирусных средств,
распространяемых бесплатно.

В редакции 3.6 глава 5 разбита на три главы по типам вирусов
(файловые, бутовые и сетевые), а также снято приложение 1, как ус-
таревшее. В редакции 3.5 расширены и исправлены табл.1-2, добавле-
ны описания вирусов RC-600, Den Zuk, Merphy, EXE, Muzikant, уточ-
нены сведения о RCE-2000, внесен ряд изменений и добавлений в гл.4
и 6. В редакции 3.4 исправлены табл.1-7, добавлено описание группы
Datacrime и уточнен ряд сведений о других вирусах. В редакции 3.3
добавлено описание вирусов группы IV, а также вставлен ряд недос-
тающих дампов штаммов, а некоторые, не совсем удачные, дампы заме-
нены. В редакции 3.2 переработаны табл.1-2, уточнен ряд полей дес-
криптора, добавлено описание вируса RCE-2000. В редакции 3.1 исп-
равлены неточности, допущенные при подготовке табл.1-2 редакции
3.0, и добавлен дамп штамма Brain86 (Ashar) пакистанской группы
вирусов.

В редакции 3.0 значительно переработана структура книги. Из-
менено правило для определения длины файловых вирусов (в качестве
эталонной программы теперь принимается не COMMAND.COM PC DOS вер-
сии 3.3 с длиной 25307 байтов, а программа, длина которой кратна
16; это приводит к уменьшению на 5 числовых значений в используе-
мой числовой классификационной характеристике для всех вирусов,
которые выравнивают свое тело на начало параграфа). В связи с воз-
растанием количества вирусов материал, относящийся к файловым ви-
русам, перегруппирован и разбит на группы (Венская, группа Каскад,
Иерусалимская и группа TP). Кроме того, изменены классификационные
коды: для файловых вирусов буква R вынесена в префикс, а для буто-
вых вирусов в качестве характеристики теперь используется значение
второго байта бутсектора.

(С) 1989, 1990 Безруков Н.Н.
Разрешается бесплатное копирование и распространение при
условии сохранения целостности материала и отсутствия прямой
коммерческой выгоды. Авторам антивирусных программ разрешается
бесплатное воспроизведение в документации табл.1-4 независимо
от того, является ли данная программа бесплатной или
коммерческой. Для распространения с целью получения
коммерческой выгоды, включая поставку в качестве части
документации к продаваемым программным продуктам, использование
на платных курсах и т.д., необходимо заключение
соответствующего договора с автором.



ПРЕДИСЛОВИЕ

"Читатель, вот мои "Досуги"...
Суди беспристрастно!
Издаю пока отрывок."

Козьма Прутков

По мере развития и усложнения компьютерных систем и программ-
ного обеспечения возрастает объем и повышается уязвимость хранящи-
хся в них данных. Одним из новых факторов, резко повысивших эту
уязвимость, является массовое производство программно-совместимых
мощных персональных ЭВМ, которое явилось одной из причин появления
нового класса программ-вандалов - компьютерных вирусов. Наибольшая
опасность, возникающая в связи в опасностью заражения программного
обеспечения компьютерными вирусами, состоит в возможности искаже-
ния или уничтожения жизненно-важной информации, которое может при-
вести не только к финансовым и временным потерям, но и вызвать че-
ловеческие жертвы.

В последние три года в зарубежной печати наблюдается активное
развитие исследований, посвященных проблеме защиты компьютеров от
вирусов. О размахе работ по рассматриваемой тематике свидетельст-
вует ряд фактов: библиография работ, затрагивающих или целиком по-
священных данной проблеме, исчисляется сотнями наименований, поя-
вился ряд монографий, как американских, так и европейских авторов
(см. приведенный в данной работе список источников, хотя он, есте-
ственно, является неполным и включает только публикации, доступные
в СССР). Состоялось несколько конференций по проблеме защиты от
вирусов, а на большинстве представительных конференций имеются се-
кции, так или иначе связанные с этой тематикой. Появился ряд фирм,
для которых разработка антивирусных средств стала основным направ-
лением их деятельности. Все это ставит вопрос о формировании новой
инженерной дисциплины "компьютерной вирусологии", рассматриваемой
как совокупность методов и приемов изучения компьютерных вирусов и
разработки эффективных средств защиты от них.

Можно выделить три основных направления исследований в компь-
ютерной вирусологии: теоретические исследования, разработка мето-
дов анализа и разработка средств защиты. Теоретические исследова-
ния связаны с выявлениями закономерностей, присущих эпидемиям ком-
пьютерных вирусов, анализом "точек проникновения" и созданием нес-
пецифической методики выявления вирусов в компьютерных программах.
Исследование этих проблем наталкивается на значительные трудности,
частично связанные с их новизной и необычностью, а частично с не-
четкостью самой проблемы. Например, проблема выделения вируса в
компьютерной программе может с теоретической точки зрения рассмат-
риваться как задача распознавания образов, однако такой абстракт-
ный подход непросто увязать с практическими проблемами детектиро-
вания вирусов.

Разработка методов анализа связана с проблемой дизассемблиро-
вания программного обеспечения, не имеющего исходных текстов. К
проблеме дизассемблирования в академических кругах незаслуженно
относились пренебрежительно, а те немногие статьи, которые писа-
лись по данной тематике, часто отвергались редакциями журналов как
"ненаучные" и связанные с "пиратством". На самом же деле проблема
дизассемблирования является частью проблемы реконструкции програм-
много обеспечения. Последнее время это направление усиленно разви-
вается за рубежом и есть надежда, что постепенно оно будет призна-
но и нашей "официальной" наукой.

Наибольшие результаты в настоящее время достигнуты в третьем
направлении - создании конкретных антивирусных программ и методик
их применения. Ряд разработок доведен до уровня программных проду-
ктов и широко используются пользователями. Не случайно этой теме
посвящена значительная часть "антивирусных публикаций".

Конечно, компьютерная вирусология быстро развивается и в пос-
леднее время в разных ее разделах получены новые интересные резу-
льтаты, которые еще не нашли отражения в данной работе.

Данная рукопись представляет собой исправленный и дополненный
текст лекций, прочитанных автором на Киевском семинаре "Системное
программирование", начиная с апреля 1989 г., и является первой ча-
стью запланированной автором работы, посвященной вопросам, связан-
ным с компьютерными вирусами. В ней излагаются общие принципы фун-
кционирования вирусов, предлагаемая автором классификация и кратко
описываются наиболее распространенные (на период подготовки насто-
ящей редакции) компьютерные вирусы. Содержание книги охватывает
достаточно широкий круг вопросов без излишней детализации. Необхо-
димые термины определяются неформально и могут быть восприняты на
интуитивном уровне. Для понимания основного содержания книги дос-
таточно некоторого знакомства с операционной системой MS DOS (нап-
ример, в объеме, приводимом в книге В.Э.Фигурнова [Фигурнов90]) и
не требуется знания языка ассемблера. Хотя изложение ориентировано
на MS DOS, большинство излагаемых приемов анализа и методов защиты
применимы, с соответствующими модификациями, и для других операци-
онных систем.

Предполагается, что вся работа будет состоять их трех частей.
В частности, во второй части работы будут рассмотрены проблемы
трассировки, дизассемблирования и реконструкции загрузочных моду-
лей, а в третьей - вопросы классификации, использования и констру-
ирования средств защиты от компьютерных вирусов, Они будут опубли-
кованы в последующих выпусках бюллетеня СОФТПАНОРАМА.

Относительно компьютерных вирусов существует много мифов, по-
этому очень важно наличие объективной "первичной" информации. Дело
в том, что как в публикациях, так и в "программистском фольклоре"
встречаются неточные или вообще неверные утверждения относительно
эффектов, вызываемых тем или иным вирусом, и оптимального выбора
методов защиты. Следует также отметить, что некоторые авторы бро-
шюр на эту тему, появившихся в массовых изданиях и научно-популяр-
ных журналах, не обладают достаточной квалификацией в области сис-
темного программирования и, стараясь придать материалу сенсацион-
ный характер, скатываются при описании вирусов на уровень "фильмов
ужасов".

Поскольку научные интересы автора в последнее время были сос-
редоточены на вопросах разработки эффективных методов дисассембли-
рования, обратной трансляции и реконструкции программного обеспе-
чения [Безруков88], новый тип программ - вирусы сразу привлек вни-
мание как один из возможных полигонов для отработки разрабатывае-
мых методов и средств. В рамках проводимых автором исследований
автором выполнено дизассемблирование и реконструкция исходных тек-
стов ряда компьютерных вирусов [Безруков89,90а,90б,90в]. Дополни-
тельно к дизассемблированию и статическому анализу, работа вирусов
трассировалась и их поведение изучалось в контролируемой среде.
Приводимые ниже сведения дают достаточно подробную информацию об
особенностях, механизме распространения и типах наносимого ущерба
этой новой, сравнительно мало исследованной разновидности систем-
ных программ. Автор надеется, что эта систематизация и последова-
тельное изложение имеющегося фактического материала поможет более
эффективной борьбе как с уже известными, так и с новыми типами ко-
мпьютерных вирусов.

Поскольку настоящая публикация является предварительной, в
ней пропущена часть иллюстративного материала, недостаточно подро-
бно описаны средства защиты, ряд сведений о распространяющихся в
СССР вирусах носит фрагментарный характер. Кроме того, текст, по-
видимому, нуждается в литературном редактировании. Тем не менее,
учитывая отсутствие систематических сведений по данному вопросу и
срочность публикации, я считаю возможным предложить данную работу
"как есть", сознавая недостатки стиля изложения и принятой схемы
построения работы. Появление канала обратной связи в виде реакции
участников семинара и читателей безусловно послужит стимулом уст-
ранения имеющихся недостатков, и в последующих номерах бюллетеня
СОФТПАНОРАМА будет приведена очередная "исправленная и дополнен-
ная" редакция данной работы.

С начала 1989 года в Киеве действует ежемесячный семинар "Си-
стемное программирование" (семинар проходит во второй четверг каж-
дого месяца в ауд.4-205 КИИГА; начало в 15.00), работа которого в
какой-то мере координирует усилия разработчиков антивирусных
средств. По материалам семинара под редакцией автора этих строк
ежемесячно (точнее, 10 раз в год) выходит электронный бюллетень
СОФТПАНОРАМА, в котором регулярно публикуются новые версии антиви-
русных программ, распространяемых бесплатно, документация к ним и
сообщения о новых вирусах и их штаммах.

В настоящее время десятки коллективов и отдельных программис-
тов разрабатывают эффективные антивирусные средства. В частности,
значительной популярностью пользуются программы, разработанные
участниками семинара и распространяемые через бюллетень СОФТПАНО-
РАМА (CHECK21, SBM, VL и др.). Редакция СОФТПАНОРАМы предлагает
сотрудничать с ней авторам бесплатных антивирусных программ. При
этом переданная в редакцию версия, как правило, включается в оче-
редной выпуск бюллетеня, т.е. задержка в публикации составляет ме-
нее месяца (а для приезжающих на семинар иногородних разработчиков
- несколько часов). Кроме того, помещаются демонстрационные версии
коммерческих программ, если они представляют интерес для пользова-
телей. Все это позволяет оперативно реагировать на появление новых
разновидностей компьютерных вирусов и в пределах месяца обеспечи-
вать участников семинара и читателей бюллетеня доработанными, с
учетом появившихся вирусов, версиями антивирусных программ, а их
авторов - соответствующей долей общественного уважения.

Кроме того, все опубликованные в бюллетене СОФТПАНОРАМА анти-
вирусные программы участвуют в конкурсе на лучшую антивирусную
программу, проводимом с 1990 г. (призовой фонд первого конкурса,
проведенного в январе-феврале 1990 г. составил 1500 руб.).

В ходе проведения первой Всесоюзной конференции "Методы и
средства защиты от компьютерных вирусов в операционной системе MS
DOS" планируется проведение следующего, второго конкурса бесплат-
ных антивирусных программ (конференция пройдет с 14 по 17 ноября в
Киеве, на базе КИИГА). Программы, представляемые на конкурс, долж-
ны быть переданы в оргкомитет не позднее 12 сентября.

Конкурс пройдет в трех классах программ:
- фаги (включая самообучающиеся);
- детекторы и ревизоры (включая резидентные, а также модули и
заготовки на языках высокого уровня, обеспечивающие
самотестирование на заражение);
- вакцины и сторожа (включая специализированные драйверы и
самоизлечивающиеся оболочки).

Для победителей в каждом классе программ установлены следующие
премии:

- по классу фагов:
I премия - 1500 руб.,
II премия - 900 руб.,
III премия - 600 руб.
- по классу детекторов и ревизоров:
I премия - 1200 руб.,
II премия - 750 руб.,
III премия - 450 руб.
- по классу вакцин и сторожей:
I премия - 1200 руб.,
II премия - 750 руб.,
III премия - 450 руб.

Жюри будет состоять из независимых специалистов, продолжитель-
ное время работающих в данной области, но не участвующих в конкур-
се. Помимо премий жюри будет также установлен ряд дополнительных
премий.

В рамках конференции будут организованы секции:

- классификация вирусов и методы анализа вирусоподобных прог-
рамм, инструментальные средства вирусолога: разработка и использо-
вание средств дизассемблирования, трассировки и других методов
анализа загрузочных модулей; (руководитель секции Н.Н.Безруков);

- вопросы конструирования, cравнительный анализ и перспектив-
ные методы усиления фагов (руководитель секции Д.Н.Лозинский);

- вопросы конструирования детекторов, эвристические методы
детектирования вирусов, организация входного контроля, конструиро-
вание ревизоров и алгоритмы самотестирования программ;

- конструирование резидентных программ защиты, методы контро-
ля "on the fly", нетрадиционные методы защиты от вирусов, незара-
жаемые и самоизлечивающиеся программы (руководитель секции А.Водя-
ник);

- методы и алгоритмы защиты от несанкционированного копирова-
ния коммерческого ПО (руководитель секции В.Герасимов);

- меры воздействия и возможные санкции против разработчиков и
распространителей вирусов (общая дискуссия);

Поскольку в настоящее время компьютерная вирусология пережи-
вает своего рода бум, имеется определенная потребность в унифика-
ции терминологии и оперативном обмене информацией между разработ-
чиками и пользователями с одной стороны и между самими разработчи-
ками. Например, на начальном этапе практически каждый разработчик
антивирусных средств разрабатывал собственную классификацию компь-
ютерных вирусов, которая обычно оказывалась никак не согласованной
с классификацией других разработчиков. Сейчас эта ситуация неско-
лько меняется и среди неформальных названий стандартными постепен-
но становятся названия, используемые в полидетекторе SCAN фирмы
McAfee Associates (США). Однако этим неформальным названиям присущ
тот недостаток, что они охватывают только вирусы, детектируемые
текущей версией программы SCAN, а набор вирусов, распространяющих-
ся в США, отличается о советского.

Поэтому наряду с неформальной классификацией необходима и фо-
рмальная, попытка создания которой предпринята в предлагаемой ниже
работе. Сейчас уже практически никто не сомневается в важности со-
здания формальной классификационной схемы; споры вызывает лишь вы-
бор конкретной иерархии признаков (очевидно, что система классифи-
кации компьютерных вирусов, как и любая другая классификационная
система, должна предполагать иерархию признаков, т.е. выбор в от-
ношении порядка критериев и их значимости). Предлагаемый автором
подход является предельно прагматическим и ориентирован прежде
всего на однозначную идентификацию вирусов рядовыми пользователя-
ми, что, естественно, накладывает определенные ограничения на вы-
бор классификационных признаков (свойств). Данная классификацион-
ная система находит все более широкое применение и в настоящее
время используется рядом разработчиков. Однако, к сожалению, никто
из них не реализовал диалоговую подсказку на базе разработанного
автором дескриптора, хотя это существенно повысило бы качество вы-
даваемой пользователю информации.

Следует подчеркнуть, что всем разработчикам как бесплатных,
так и коммерческих антивирусных средств разрешается включение ко-
пий прил.1-5 в текст документации или в виде приложений к послед-
ней. Хотя предложенная классификация не лишена недостатков, все же
по мнению автора важнее во-время сделать ставку на какой-то более
или менее приемлемый вариант, чем тратить собственное время и силы
на разработку более удачной альтернативы. Поскольку автор регуляр-
но обновляет предложенные классификационные таблицы вирусов, кор-
ректировка документации (и оперативной подсказки пользователям !)
разработчиками антивирусных средств, использующих эти таблицы, мо-
жет быть выполнена путем простой замены предыдущей редакции таблиц
на текущую. Это можно даже сделать автоматически с помощью специа-
льного препроцессора. Кроме того, такое решение разработчиков су-
щественно облегчает жизнь пользователям, которые могут использо-
вать данную работу как дополнение к используемой антивирусной про-
грамме.

Наряду с классификацией, важное значение имеет создание ката-
лога описаний наиболее распространенных компьютерных вирусов, из
которого можно было бы выяснить свойства, степень опасности и ос-
новные приемы борьбы с этой новой разновидностью компьютерного ва-
ндализма, а также разработать собственную методику работы в "виру-
соопасной" обстановке. Автор попытался в меру своих сил выполнить
эту задачу в предлагаемой вашему вниманию части работы. Насколько
эта попытка удалась, судить читателю.

В процессе работы автор опирался на помощь и поддержку участ-
ников киевского семинара "Системное программирование", студентов -
сотрудников ТК NEATAVIA (В.Пономаренко, И.Свиридов, О.Суворов), а
также разработчиков антивирусных программ. Обмен информацией с
Е.Н.Касперским, Д.Н.Лозинским, А.А.Сессой и А.А.Чижовым и другими
разработчиками отечественных антивирусных программ позволил опера-
тивно включать в очередные версии сведения о появлявшихся вирусах.
Кроме того, при написании работы использовалась неопубликованная
документация к антивирусным программам указанных автором (Д.Н.Ло-
зинского, О.Котика, А.Сессы, Е.Касперского и др.). В.Герасимов пе-
редал автору Virus Information Summary List, составленный Патрици-
ей М. Хоффман (Patricia M. Hoffman).

Особую благодарность автор выражает cотруднику ВЦ АН СССР
Ю.П.Лященко, который на протяжении всего времени работы над данной
книгой оказал существенную помощь в работе, в особенности в вопро-
сах, связанных с совершенствованием структуры книги, унификацией
терминологии и систематизацией изложения материала. Кроме того,
Ю.П.Лященко помог автору с копированием литературы по данной тема-
тике, высказал ряд полезных замечаний по тексту рукописи и выпол-
нил трудоемкую работу по составлению и редактированию библиографии
и приложения 5.

Ряд читателей данной работы прислали свои замечания и предло-
жения, учет которых позволил повысить качество изложения и испра-
вить ошибки и неточности. Всем им автор выражает свою искреннюю
благодарность.

В то же время именно автор несет ответственность за все ошибки
и неточности, имеющиеся в работе, и будет благодарен всем, присла-
вшим свои замечания и предложения. Их следует направлять по адре-
су: 252006, Киев-6, Красноармейская 124а, кв. 85 или сообщать по
телефону (044) 268-10-26 с 9 до 10 часов утра. Я постараюсь их
учесть при подготовке очередной редакции данной работы. Если не
оговорено обратное, то письма, адресованные автору, рассматривают-
ся как поступившие в адрес редакции бюллетеня СОФТПАНОРАМА. Наибо-
лее интересные из них публикуются в очередном номере бюллетеня.
Редакция оставляет за собой право редактирования содержания писем.

Первая версия данной работы была выпущена в сентябре 1989 года
и в дальнейшем обновлялась ежемесячно, к очередному семинару. Пос-
кольку она распространяется, в основном, стихийно, нередко получа-
ется так, что в отдельные регионы попадают версии почти годичной
давности. Поэтому, начиная с версии 3.0, принимается подписка от
иногородних организации на 10 редакций "Компьютерной вирусологии"
на дискетах. Очередная версия высылается подписчику по получению
гарантийного письма, а девять последующих (как уже говорилось,
очередная редакция готовится обычно к очередному семинару) высыла-
ются подписчикам на дискетах по мере их появления. По вопросам по-
дписки на бюллетень СОФТПАНОРАМА и указанные выше выпуски данной
работы просьба обращаться по адресам, указанным в файле READ.ME,
который поставляется вместе с данной работой. В этом же файле ука-
заны условия подписки и распространения.

10.11.90 Н.Н.Безpуков




ОГЛАВЛЕНИЕ

1. ОЧЕРК ИСТОРИИ КОМПЬЮТЕРНЫХ ВИРУСОВ
1.1. Предыстория
1.1.1. Первые эксперименты
1.1.2. Романы Бруннера, Гибсона и расцвет "околовирусного"
направления в научной фантастике
1.1.3. Apple II и BBS создают условия для распространения
троянских программ и вирусов
1.1.4. Первые эксперименты с сетевыми вирусами
1.1.5. Тьюринговская лекция Кена Томпсона
1.1.6. Игра "Бой в памяти", работы Коэна
и другие события 1984 г.
1.1.7. Первые попытки противодействия: список
"грязная дюжина" и первые антивирусные программы
1.2. Второй этап у компьютеры в осаде
1.2.1. Хакеры
1.2.2. Первые случаи массового заражения
1.2.3. Вирусы и Микрософт: MS DOS как VIR DOS
1.2.4. Появление более "вирусоустойчивых" альтернатив MS DOS
1.2.5. OS/2 и компьютерные вирусы
1.2.6. Роль компьютерных сетей
1.2.7. Появление вирусов в СССР
1.2.8. Отечественные антивирусные публикации
1.2.9. Первые отечественные антивирусные программы, начало
формирования рынка программных средств защиты от вирусов
1.2.10. Появление аппаратных средств защиты от вирусов
1.2.11. Семинар "Системное программирование" и бюллетень
СОФТПАНОРАМА
1.2.12. Болгарские и польские исследования
1.2.13. Законы, направленные против техно-крыс
1.2.14. Этические проблемы, связанные с распространением
компьютерных вирусов
1.2.15. Проблема самоизоляции
1.3. Современная ситуация
1.3.1. Хроника событий
1.3.2. Болгарский вирусный взрыв
1.3.3. Колхоз им. Герострата, или вирусы, "выращенные" в СССР

2. ОБЩИЕ ПРИНЦИПЫ ФУНКЦИОНИРОВАНИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ
2.1. Программы-вандалы
2.2. Троянские программы
2.3. Компьютерные вирусы
2.4. Анатомия компьютерного вируса
2.4.1. Структура файлового нерезидентного вируса
2.4.2. Структура файлового резидентного вируса
2.4.3. Структура бутового вируса
2.5. Панацеи не существует (общая классификация средств защиты)
2.6. Жизненный цикл компьютерных вирусов
2.7. Среда обитания вирусов
2.8. Симптомы заражения
2.9. Вызываемые вирусами эффекты
2.10. Повторное заражение
2.11. Вирусофобия и попытки ее эксплуатации
2.12. О возможности повреждения оборудования
2.13. Легенды о полезных вирусах

3. КЛАССИФИКАЦИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ
3.1. Принцип построения классификации
3.2. Классификация файловых вирусов
3.3. Классификация бутовых вирусов
3.4. Использование классификационных таблиц

4. НЕРЕЗИДЕНТНЫЕ ФАЙЛОВЫЕ ВИРУСЫ, ОБНАРУЖЕННЫЕ В СССР
4.1. Венская группа
4.1.1. Базисный вирус С-648 (Vienna у Вена)
4.1.2. Штамм С-623 (Vienna-X)
4.1.3. Штамм C-627 (Vienna-Y)
4.2. Польская группа
4.2.1. Вирус С-534 (Toothless у Беззубый, W13)
4.2.2. Вирус С-507 (13 месяц-Б, Toothless-B у Беззубый-Б, W13-B)
4.3. Группа IV (Amstrad)
4.3.1. C-345 (Pixel у Пиксель)
4.3.2. C-847 (Amstrad)
4.3.3. C-740 (Canser у Рак)
4.4. Вирус E-1961 (Yankee Doodle-2 у Янки Дудль-2)
4.5. Вирус C-1024 (Bebe у Бебе)
4.6. Вирус C-257

5. РЕЗИДЕНТНЫЕ ФАЙЛОВЫЕ ВИРУСЫ, ОБНАРУЖЕННЫЕ В СССР
5.1. Группа "Буквопад"
5.1.1. Вирус RС-1701 (Cascade у Буквопад)
5.1.2. Вирус RС-1704 (Cascade-B у Буквопад-Б)
5.2. Иерусалимская группа
5.2.1 Вирус RCE-1813 (Ierusalem у Иерусалим, Black Friday у
Черная пятница)
5.2.2. Вирус RCE-1636 (Sunday у Воскресенье)
5.2.3. Воронежская подгруппа
5.2.3.1. Вирус RC-529 (Peterburg у Петербург, Пакость-1)
5.2.3.2. Вирус RC-600 (Пакость-2)
5.2.3.3. Вирус RC-1600 (Voronezh 2.01 у Воронеж 2.01,
Пакость-3)
5.2.4. Другие представители иерусалимской группы.
5.3. Группа TP-вирусов
5.3.1. Подгруппа Vacsina
5.3.1.1. Вирус RСE-1206 (ТР-05, VACSINA-5)
5.3.1.2. Вирус RCE-1212 (ТР-04, Vacsina-04).
5.3.1.3. Вирус RCE-1339 (ТР-16, Vacsina-10)
5.3.2. Подгруппа музыкальной перезагрузки
5.3.2.1. Вирус RСE-1805 (ТP-25, Yankee Doodle-19 у
Янки дудль-19, Музыкальная перезагрузка)
5.3.2.2. Вирус RСE-1760 (ТP-24, Yankee Doodle-18 у
Янки дудль-18, Музыкальная перезагрузка)
5.3.3. Подгруппа музыкальных самоедов
5.3.3.1. Штамм RCE-2885 (TP-44, Yankee Doodle-2C у
Янки дудль-2С, Five o'clock)
5.3.3.2. Вирус RCE-2680 (ТР-33, Yankee Doodle-21 у
Янки дудль-21)
5.3.3.3. Вирус RCE-2568 (ТР-34, Yankee Doodle-22 у
Янки дудль-22)
5.3.3.4. Вирус RCE-2756 (ТР-38, Yankee Doodle-26 у
Янки дудль-26)
5.3.3.5. Вирус RCE-2901 (ТР-45, Yankee Doodle-2D у
Янки дудль-2D)
5.3.3.6. Вирус RCE-2932 (ТР-41, Yankee Doodle-29 у
Янки дудль-29)
5.4. Группа Avenger
5.4.1. Вирус RCE-1800 (Dark Avenger у Черный мститель; Eddie у
Эдди)
5.4.2. Вирус RCE-02000 (V2000, Anti-Bontchev у Анти-Бончев)
5.5. Вирус RCE-1277 (Murphy у Мерфи)
5.6. Группа "второй половины таблицы прерываний"
5.6.1. Вирус RC-492 (sI)
5.6.2. Вирус RC-488 (Flu-2 у Грипп-2, LoveChild у Внебрачный
ребенок)
5.7. Группа стелс-вирусов
5.7.1. RCE-04096 (Frodo у Фродо, 4096)
5.7.2. Вирус RC-0-512 (512, 666)
5.8. Вирус RC-394 (Attention у Внимание)

6. ФАЙЛОВЫЕ ВИРУСЫ, ИЗВЕСТНЫЕ ТОЛЬКО ПО ЛИТЕРАТУРЕ
6.1. Общие замечания
6.2. Новые стелс-вирусы
6.2.1. Вирус RCE-03584 (Fish у Рыба)
6.2.2. Вирус Mother Fish (Whale)
6.3. "Болгарская серия"
6.3.1. Новые вирусы группы Dark Avenger
6.3.1.1. Вирус RCE-0651 (Eddie-3 - Эдди-3)
6.3.1.2. Вирус RC-800 (800, Live after Death - Жизнь после
смерти)
6.3.1.3. Вирус RCE-1024
6.3.1.4. Вирус RCE-02100
6.3.2. Вирус RC-1701p (Phoenix - Феникс)
6.4. Файловые вирусы восточного происхождения
6.4.1. Вирус RCE-2064 (Wolfman)
6.4.2. Вирус C-743 (Taiwan-2)
6.4.3. Вирус RCE-2900 (Taiwan-3 - Тайвань-3)
6.4.4. Вирус RCE-4096 (Plastique)
6.5. Некоторые "ископаемые" файловые вирусы
6.5.1. Вирус RC-0-346 (Lehigh - Лехайский)
6.5.2. Вирус dBASE
6.5.3. Screen Virus - "экранный" вирус
6.5.4. Группа первоапрельских вирусов
6.5.4.1. Вирус RC-897
6.5.4.2. Вирус RE-1488 (SURIV 2 - Сурив 2,
6.5.5. Группа Datacrime (Дейтакрайм)
6.5.5.1. Вирус E-1168 (Datacrime B - Дейтакрайм B, 1168,
Columbus Day - День Колумба)
6.5.5.2. Вирус E-1280 (Datacrime B - Дейтакрайм B, 1280,
Columbus Day - День Колумба)
6.5.5.3. Вирус СE-1514
6.5.5.4. Вирус СE-1917 (Datacrime IIB - Дейтакрайм IIB, 1917,
Columbus Day - День Колумба)
6.6. Мифические файловые вирусы
6.6.1. Вирус Cookie, Cookie Monster - Печенье
6.6.2. Вирус, заражающий объектные библиотеки
6.6.3. Вирус "падающие головки винчестера"
6.6.4. Вирус в сетевом драйвере
6.6.5. Сетевой вирус RCE-2231
6.6.6. Вирусы, поражающие скрытые системные файлы

7. КАТАЛОГ БУТОВЫХ ВИРУСОВ, ОБНАРУЖЕННЫХ В СССP
7.1. Итальянская группа
7.1.1. Вирус Bx1-1C (Ping-Pong - Пинг-понг; Italian Bouncing -
Итальянский попрыгунчик)
7.1.2. Штамм Bx1-1C-b (Ping-Pong modified by Yankee Doodle - Пинг-
понг, модифицированный вирусом Янки Дудль)
7.1.3. Штамм Bx1-1C-с (Hacked Ping-Pong - Искромсанный пинг-понг)
7.1.4. Штамм Bx1-1C-d (Double Ping-pong - двойной пинг-понг)
7.2. Пакистанская группа
7.2.1. Вирус Dx3-E9 (Сингапурский вариант Душманских мозгов)
7.2.2. Вирус Dx3-E9 (Оригинальная версия BRAIN; Pakistani virus -
Пакистанский вирус; Brain-86 - Душманские Мозги-86)
7.2.3. Штамм Dx3-E9 (Ashar - Ашар)
7.3. Южнозеландская группа
7.3.1. Вирус M-05 (Stoned - "Забалдевший")
7.3.2. Штамм "Stone Rostov"
7.3.3. Вирус "PrintScreen"
7.4. Вирус Bx3-EB (Disk Killer - Диск-киллер)
7.5. Вирус D-29 (Den-Zuk - Ден-Зук)
7.6. Индийская группа
7.6.1. Вирус WM-1F (Joshi - Джоши)

8. БУТОВЫЕ ВИРУСЫ, ИЗВЕСТНЫЕ ТОЛЬКО ПО ЛИТЕРАТУРЕ
8.1. Смешанные бутово-файловые вирусы
8.1.1. Вирус C-2351 (Ghostballs - Мячик призрака)
8.1.2. Вирус RCE-2560 (Virus-101)
8.1.3. Вирус RC-1253 (AntiCad, V-1)
8.1.4. Вирус RCE-1040 (Anthrax)
8.2. Бутовые вирусы восточного происхождения
8.2.1. Вирус Microbes
8.2.2. Вирус AirCop
8.2.3. Вирус Korea
8.2.4. Вирус Ohio
8.3. Ископаемые бутовые вирусы
8.3.1. Вирус Alameda (Аламеда)
8.3.2. Вирус Chaos (Хаос)
8.4. Мифические бутовые вирусы
8.4.1. Вирус Bxxx (Boot Killer - бут-киллер)

9. НЕКОТОРЫЕ СЕТЕВЫЕ ВИРУСЫ
9.1. Вирус Christmas Tree (Рождественская елка)
9.2. Вирус Морриса
9.3. Вирусы в локальных сетях
9.3.1. Вирус 1260

10. ТЕХНОЛОГИЯ ПРИМЕНЕНИЯ СРЕДСТВ ЗАЩИТЫ ОТ ВИРУСОВ
10.1. Классификация cредств защиты от вирусов
10.2. Основная технологическая схема защиты
10.2.1. Организация входного контроля нового программного
обеспечения
10.2.1.1. Понятия достоверной дистрибутивной копии и
сертификата
10.2.1.2. Контроль текстовых строк, содержащихся в файле
10.2.1.3. Использование отладчиков и дизассемблеров
10.2.2. Карантинный режим
10.2.2.1. Троянские компоненты в незаконно распространяемых
копиях программ и программах со "сломанной" защитой
10.2.2.2. Троянские компоненты в антивирусных программах
10.2.2.3. После покупки компьютера проверяйте содержимое
винчестера
10.2.3. Сегментация информации на винчестере
10.2.4. Защита операционной системы от заражения
10.2.4.1. Стратегия защиты командного процессора
10.2.4.2. Использование каталога BAT-файлов
10.3. Архивирование
10.3.1. Используйте программы резервирования FAT и главного
каталога в AUTOEXEC.BAT
10.3.2. Используйте систему "неделя-месяц-год"
10.3.3. В защиту "бумажной технологии"
10.3.4. Запомните параметры, хранящиеся в СMOS-памяти, пока еще не
поздно
10.3.5. Переписывая программы, различайте эталонную и рабочую
копию
10.4. Методика применения средств защиты
10.4.1. Типичные ошибки
10.4.2. Методика применения детекторов
10.4.2.1. Использование Norton Utilities и PCTools как
универсальных детекторов вирусов
10.4.2.2. Поиск текстовых сигнатур
10.4.3. Методика применения фагов
10.4.4. Методика использования резидентных сторожей
10.4.5. Методика использования ревизоров
10.4.6. Вакцинирование
10.4.7. Критерии оценки качества антивирусных программ
10.4.7.1. Критерии оценки качества детекторов
10.4.7.2. Сравнительный анализ полифагов
10.4.7.3. Критерии оценки и сравнительный анализ ревизоров
10.4.7.4. Сравнительный анализ вакцин
10.4.7.5. Критерии оценки сторожей
10.4.8. О первом конкурсе антивирусных программ, распространяемых
бесплатно
10.4.8.1. Оценки и рекомендации жюри по полифагам
10.4.8.1.1. A I D S T E S T
10.4.8.1.2. D O C T O R
10.4.8.2. Оценки и рекомендации жюри по детекторам и ревизорам
10.4.8.2.1. D L I
10.4.8.2.2. V L
10.4.8.3. Оценки и рекомендации жюри по сторожам и вакцинам
10.4.8.3.1. S B M и C H E C K 2 1
10.5. Отдельные приемы защиты
10.5.1. Регулярно оптимизируйте винчестер
10.5.2. Прятать новые версии антивирусных программ просто
невыгодно
10.5.3. Нормальное состояние дискеты - защищенное от записи
10.5.4. Как работать на зараженном файловым вирусом компьютере при
отсутствии вакцины
10.5.5. При хранении антивирусных программ на винчестере
используйте архивирование
10.5.6. Использование макетов программ типа DUMYxxxx для
определения место нахождения спрятанных байтов
10.6. Методика восстановления информации
10.6.1. Создайте и отработайте план восстановления винчестера !
10.6.2. Если что-то случилось - избегайте поспешных действий
10.6.3. Советы по восстановлению информации
10.7. Некоторые организационные меры защиты
10.8. Юридические методы защиты от компьютерных вирусов
10.8.1. Некоторые судебные процессы над кракерами и разработчиками
вирусов

11. ЗАКЛЮЧЕНИЕ

ЛИТЕРАТУРА

ПРИЛОЖЕНИЕ 1. Классификационная таблица файловых вирусов, обнаруженных в
CCCР
ПРИЛОЖЕНИЕ 2. Классификационная таблица бутовых вирусов, обнаруженных в
CCCР
ПРИЛОЖЕНИЕ 3. Классификационная таблица файловых вирусов, известных
только по литературе
ПРИЛОЖЕНИЕ 4. Классификационная таблица бутовых вирусов, известных
только по литературе
ПРИЛОЖЕНИЕ 5. Перечень отечественных антивирусных средств, помещенных в
выпусках электронного бюллетеня СОФТПАНОРАМА
ПРИЛОЖЕНИЕ 6. Некоторые сведения о файловой системе MS DOS
ПРИЛОЖЕНИЕ 7. Исполняемые файлы и связанные с ними системные блоки
ПРИЛОЖЕНИЕ 8. Прерывания MS DOS
ПРИЛОЖЕНИЕ 9. Наиболее часто используемые функции MS DOS









1. ОЧЕРК ИСТОРИИ КОМПЬЮТЕРНЫХ ВИРУСОВ





1.1. Предыстория

"Vestigia semper adora"
(Всегда уважай следы)
Стаций (40-50 до н.э.)

Компьютерные вирусы являются одной из разновидностей компьютер-
ного вандализма, получившего распространение в конце 80-х гг. Ис-
торически их возникновение связано с идеей создания самовоспроиз-
водящихся программ -- концепции, уходящей своими корнями в пятиде-
сятые годы. Идея самовоспроизводящихся механизмов исследовалась
еще Джоном фон Нейманом, который в 1951 г. предложил метод созда-
ния таких механизмов. Несомненно, идея вирусоподобных программ не-
однократно открывалась и переоткрывалась различными авторами. Тем
не менее, восстановление приоритета исследователей в опубликовании
той или иной грани концепции вирусоподобных программ является в
какой-то мере актом восстановления справедливости по отношению к
тем, чьи работы были незаслуженно забыты или вообще проигнорирова-
ны. Это касается прежде всего европейских исследователей, вклад
которых в разработку различных проблем системного программирования
часто игнорируется или замалчивается в американских публикациях.
Первой публикацией, связанной с рассматриваемой концепцией, мож-
но считать статью Л.С.Пенроуза (L.S.Penrose) о самовоспроизводя-
щихся механических структурах [Penrose59], опубликованную в
1959 г. американским журналом "Scientific American". В этой
статье, наряду с примерами чисто механических конструкций, была
приведена некая двумерная модель подобных структур, способных к
активации, захвату и освобождению. Под влиянием этой статьи
Ф.Ж.Шталь (F.G.Stahl) запрограммировал на машинном языке ЭВМ IBM
650 биокибернетическую модель, в которой существа двигались, пита-
ясь ненулевыми словами [Dewdney85]. При N передвижениях без пищи
существо умирало от голода, а после съедания определенного количе-
ства слов порождало новое. При размножении была предусмотрена воз-
можность мутаций, в ходе которых существа могли приобретать спо-
собность пожирать себе подобных и терять возможность к размноже-
нию. Однако ограниченная память и быстродействие IBM 650 послужили
препятствием для получения интересных результатов: в ходе пробного
прогона один бесплодный мутант убил и съел единственного, способ-
ного к размножению.


1.1.1. Первые эксперименты

В 1962 г. В.А.Высотский (V.А.Vyssotsky), Х.Д.Макилрой
(H.D.McIlroy) и Роберт Моррис (Robert Morris) -- фирма Bell
Telephone Laboratories, США -- изобрели достаточно необычную игру
"Дарвин", в которой несколько ассемблерных программ, названных
"организмами", загружались в память компьютера. Организмы, создан-
ные одним игроком (т.е. принадлежащие к одному виду), должны были
уничтожать представителей другого вида и захватывать жизненное
пространство. Победителем считался тот игрок, чьи организмы захва-
тывали всю память или набирали наибольшее количество очков. Игра
проходит на большом участке памяти, называемом ареной и управляе-
мом специальной программой -- супервизором. Вид V состоит из N(V)
особей. Каждая особь (K=1..N(V)) имеет размер S(K) (K=1..N(V),
S(K) < MAXS) и расположена в R(K) последовательных ячейках, начи-
ная с головы G(K), причем R(V) точек со смещениями
P(K,1)..P(K,R(V)) относительно головы являются защищенными. Орга-
низм, который получает управление, может использовать три вида об-
ращения к супервизору:
PROBE(n,loc) -- запрос о содержании ячейки с адресом loc (если
эта ячейка защищена, то управление передается ее обладателю, а ес-
ли нет, то возвращаются три числа -- <эномер вида организма, занима-
ющего ячейку> (ноль, если ячейка свободна), <эначало> и <эконец>
(если ячейка свободна, то начало и конец свободного участка арены,
в который она входит; нули, если ячейка занята организмом));
KILL(loc) -- уничтожить организм по адресу loc (loc должна при-
надлежать организму другого вида и должна быть предварительно исс-
ледована PROBE любым организмом того же вида, что и нападающий);
CLAIM(n,loc) -- размножить организм на участок свободного про-
странства, включающий loc (ячейка loc должна быть предварительно
исследована с помощью PROBE и не менее S(K) ячеек должно быть сво-
бодно, возможно, в результате предыдущего KILL).
"Игра для полуночников", возникшая в фирме Bell Telephone
Laboratories, быстро приобрела популярность и в других учебных и
исследовательских центрах, например в исследовательском центре
фирмы Ксерокс в Пало Альто и в Массачусетском институте технологии
(МИТ). Отметим, что долгое время описание игры существовало только
"в устном фольклоре": статья с описанием игры была опубликована
только в 1972 г. [SP&E72], причем в ее тексте использовался термин
"вирус" применительно к одному из видов организмов.
Приблизительно в 1970 г. была создана саморазмножающаяся про-
грамма для одной из первых компьютерных сетей -- APRAnet. Программа
CREEPER, которая по некоторым данным была написана Бобом Томасом
(Bob Thomas) из BBN, путешествовала по сети, обнаруживая свое по-
явление сообщением

"I'M THE CREEPER ... CATCH ME IF YOU CAN"
("Я КРИПЕР ... ПОЙМАЙ МЕНЯ, ЕСЛИ СМОЖЕШЬ").

Для борьбы с ней была создана программа REAPER, которая также
путешествовала по сети и уничтожала встретившиеся экземпляры
CREEPER. Эта идея, представляющая собой вариацию подхода, распро-
страненного в среде знахарей, -- "подобное лечится подобным", позд-
нее неоднократно использовалась и в других программах борьбы с
ранними вирусами, однако в целом оказалась неудачной.
В 1974 г. была написана программа RABBIT (Кролик), которая раз-
множалась на трех соединенных между собой машинах IBM, причем по-
явление новых подзадач вызывало замедление реакции, а затем и пол-
ное зависание машин.
Другим примером вирусоподобных программ была игра Animal (Живо-
тное), разработанная примерно в 1975 г. для UNIVAC 1108. Суть этой
игры состояла в том, что человек задумывал некоторое животное, и
программа, задавая вопросы, пыталась определить, какое животное
загадал человек. Программист, написавший игру, предусмотрел в ней
возможность саморазмножения. Когда программа угадывала неправиль-
но, она просила пользователя предложить вопрос, который позволил
бы улучшить ее способности к отгадыванию данного животного. Запом-
нив этот вопрос, программа не только модифицировала себя, но и пы-
талась переписать свою обновленную (улучшенную) копию в другой ка-
талог. Если там уже была программа Animal, то она стиралась. В
противном случае создавалась новая копия. Оказалось, что через не-
которое время все каталоги файловой системы содержали копию
Animal. Более того, если пользователь переходил с машины на маши-
ну, то он переносил и свой каталог, и в результате во всех катало-
гах этой ЭВМ также появлялась Animal. При этом совокупность копий
Animal занимала значительное файловое пространство, что в те вре-
мена воспринималось как проблема. В соответствии с фольклорной
версией решения проблемы, опубликованной в [Dewdney85], была раз-
работана новая, более "инфицирующая" модификация игры, которая ко-
пировала себя не один раз, а дважды, тем самым быстро вытесняя со-
бой старую версию. По истечении заданного срока она предлагала
пользователю сыграть последний раз, а затем сама стирала себя с
диска. В действительности, борьба проходила на уровне операционной
системы: в версии 33 операционной системы Exec 8 для этой ЭВМ был
изменен формат таблицы файлов, и игра потеряла возможность размно-
жаться.


1.1.2. Романы Бруннера, Гибсона и расцвет
"околовирусного" направления в научной фантастике

В вышедшем в 1975 г. научно-фантастическом романе "The Shockware
Rider" Джон Бруннер (John Brunner) [Brunner75] описал "червей" --
программы, распространяющиеся по сети. Эта идея в определенной
степени предвосхитила последующие события (см. ниже сетевой вирус
Морриса), хотя ее осуществление находилось за пределами возможно-
стей компьютеров того времени. Данная книга оказалась в числе бес-
тселлеров и безусловно повлияла на ход дальнейших событий.
В 1977 г. издательством Collier Books был опубликован еще один
научно-фантастический роман -- "The Adolescence of P-1" ("Юность П-
1") [Ryan77], разрабатывавший ту же тему. Его автор, Томас Риан
(Thomas J. Ryan), создал образ достаточно жуткого "разумного" ви-
руса, занимающегося сбором информации.
Забегая вперед отметим, что в 1984 г. В.Гибсон (W.Gibson) опуб-
ликовал научно-фантастический роман "Neuromancer" [Gibson84] --
второй после Бруннера бестселлер, в котором фигурируют компьютер-
ные вирусы. Этот роман также можно рассматривать как катализатор
реальных событий. В частности, в нем впервые было введено понятие
"киберпространства". Этим словом названа глобальная компьютерная
коммуникационная сеть, в которой ввод и вывод осуществляется не с
помощью клавиатуры и дисплея, а с помощью "согласованных галлюци-
наций". Несмотря на фантастичность идеи, оказалось, что "улица на-
ходит свое применение любым вещам". В настоящее время под киберп-
ространством понимается система, в которой у пользователя создает-
ся трехмерное восприятие объектов некоего искусственного мира и
иллюзия того, что он находится внутри соответствующего искусствен-
ного пространства, а не просто наблюдает его изображение на экране
дисплея. Если видеоигры -- это фильмы с участием игрока, то киберп-
ространство -- это парк аттракционов, где можно испытать все, что
только можно вообразить. В настоящее время фирма Autodesk осущест-
вляет проект Cyberspace, в рамках которого разработан ряд уст-
ройств для создания киберпространства [Уолсер90]. К ним относятся
специальный шлем (со встроенным дисплеем и датчиками перемещения
головы), а также специальные перчатки PowerGlove фирмы Nintendo,