Компьютерные науки - Учебники на русском языке - Скачать бесплатно

пуск электронного бюллетеня СОФТПАНОРАМА, который стал важным ка-
налом распространения информации о появлении новых компьютерных
вирусов и бесплатных программах для борьбы с ними. Список про-
грамм, распространявшихся через бюллетень, приведен в прил. 5. В
том же месяце начала распространяться версия 1.0 данной работы.
Первые случаи потери важных данных от компьютерных вирусов стали
известны автору в конце 1989 г., когда к нему обратился представи-
тель оптовой базы, у которого, как оказалось, базы данных о храни-
мых запасах были повреждены вирусом RCE-1800 (Dark Avenger). Пери-
одически автору поступают сообщения о полностью уничтоженном со-
держимом винчестера, причем характер повреждений не позволяет до-
стоверно установить, имеем ли мы дело с вирусом или с тщательно
замаскированной троянской программой (например, подозревается одна
версия COLORCAM со сломанной, но как видно, не до конца, защитой),
или с выходом из строя самого винчестера. При этом, однако, броса-
ется в глаза тот факт, что примерно у половины пользователей к мо-
менту потери содержимого винчестера не существует его более или
менее "свежей" копии. Вот уж действительно прав был Бернард Шоу,
сказав: "Опыт содержит самую дорогую школу, однако многие, похоже,
не способны учиться ни в какой другой". В конце 1989 г. в Донецке
была обнаружена троянская программа в составе "нелегальной" копии
известной игры FORMULA. Эта программа переписывала себя в загру-

зочный сектор винчестера и через некоторое время стирала CMOS-па-
мять.


1.2.8. Отечественные антивирусные публикации

"-- Вот что, товарищи, -- говорил
Паламидов, поспешая вместе
с братьями по перу в столовую, --
давайте условимся -- пошлых
вещей не писать"
И.Ильф и Е.Петров.

На первой отечественной публикации, посвященной компьютерным ви-
русам, мы уже останавливались. Практически по следам событий, сра-
зу после появления вирусов С-648 и RС-1701, был написан целый ряд
статей, однако большой срок запаздывания журнальных изданий сыграл
очень негативную роль, задержав их выход в свет настолько, что к
моменту получения читателями содержащаяся в них информация в зна-
чительной степени устарела. Написанные еще в конце 1988 г., все
они вышли только в конце 1989 г. К этому моменту эпидемии вирусов
C-648 и RC-1701 практически закончились. Среди указанных публика-
ций следует отметить статью И.Ш.Карасика [Карасик89а], в которой
впервые подробно изложены сведения о механизме работы и эффектах,
вызываемых вирусами С-648 и RС-1701. Несмотря на значительное за-
паздывание (третий номер журнала "Мир ПК" был подписан в печать
11.07.89 и появился в продаже в декабре 1989 г.), уровень понима-
ния механизма работы вируса RС-1701 выделяет эту работу из осталь-
ных публикаций.
В настоящее время поток публикаций по данной тематике существен-
но возрос и статьи стали появляться практически ежемесячно. Следу-
ет отметить, что сроки публикации в отечественных журналах и се-
годня остаются крайне неудовлетворительными. Например, статья
А.С.Осипенко [Осипенко90], написанная в конце 1989 г., была опуб-
ликована только в третьем номере журнала "Мир ПК" за 1990 г., при-
чем этот номер поступил в продажу лишь в августе, т.е. опять же
когда эпидемии вирусов, описываемых в статье, практически закончи-
лись.
Как обычно, среди основной массы "нормальных" публикаций, встре-
чаются и неудачные. К ним можно отнести брошюру [Основский90], со-
держащую пересказ различных слухов (о вирусе, вводящем в резонанс
головки винчестера, вирусе типа "квадрат Малевича" длиной 3767
байт, сетевом вирусе длиной 2231 байт, самораскручивающемся в опе-
ративной памяти вирусе размером 1201 байт и др.). Приведенные в
брошюре сведения породили новые слухи, рассматриваемые в разделе
о мифических вирусах.
Обилием спорных утверждений и излишней категоричностью грешит
статья Ф.Н.Шерстюка [Шерстюк90], в которой реализация достаточно
ограниченного по своим возможностям метода защиты от вирусов, вы-
дается за панацею. Достоинством статьи является то, что в ней
впервые в отечественной литературе описана реализация нерезидент-
ной вакцины, прикрепляющейся в конец тела программы, подобно обыч-
ному файловому вирусу. Вместе с тем, в статье допушен ряд (вполне
простительных) технических ошибок, связанных с недостаточным пони-
манием механизма использования 13 прерывания версиями 3.x и 4.x MS
DOS, а некоторые по меньшей мере спорные утверждения выдаются за
непререкаемые истины. К числу последних, в частности, относятся:
"вирусы ... разрабатывают даже в кругах, близких к таким крупным
фирмам-разработчикам ПК, как IBM, в целях борьбы с фирмами, произ-
водящими компьютеры-клоны";
"практика показывает, что именно специализированные антивирусные
программы (имеются в виду полифаги -- БНН) чаще всего являются раз-
носчиками вирусов";
"все имеющиеся на сегодняшний день методы борьбы с вирусами
практически исчерпали себя, необходимо разработать принципиально
новые".
Первое утверждение, вынесенное в аннотацию статьи, автор ничем
не обосновывает. А доказательств причастности "кругов, близких к
фирме IBM" к разработке вирусов не существует, если, конечно, не
считать такими кругами всех пользователей компьютеров, совместимых
с IBM PC. Если В.Ф.Шерстюк имел в виду особенность вируса RС-1701,
состоящую в том, что этот вирус не должен был размножаться на ори-
гинальных IBM PC (кстати, в этом месте автор вируса допустил ошиб-
ку и вирус успешно размножается на таких компьютерах), то этот
факт скорее свидетельствует об обратном, т.е. о страхе автора ви-
руса перед такой могущественной фирмой как IBM.
Второе утверждение уже принципиально неверно, т.к. создает у чи-
тателей ложное впечатление об опасности полифагов. Во-первых, к
моменту написания статьи полифаги уже стали снабжаться средствами
самоконтроля на зараженность (например, Aidstest), а во-вторых,
компьютерные игры были и остаются куда более опасным источником
заражения, чем фаги.
Особенно характерно последнее утверждение, которое можно считать
своего рода лакмусовой бумажкой "детской болезни левизны в вирусо-
логии". В действительности предлагаемый автором метод имеет не ме-
нее серьезные недостатки, чем те методы защиты, которые он якобы
призван заменить. В частности, принципиальными недостатками опи-
санного метода вакцинирования является потеря дискового простран-
ства (размер всех выполняемых файлов увеличивается на размер вак-
цины, который скорее всего составит порядка 512 байтов, т.е. сек-
тора диска), а также возможная потеря работоспособности некоторых
вакцинированных резидентных программ или программ со специальной
структурой (скрытыми оверлеями и др.). Вместе с тем, в комбинации
с другими методами этот метод безусловно полезен и имеет право на
существование.
С другой стороны, некоторые авторы стремятся повысить свой авто-
ритет за счет пренебрежительных высказываний о других публикациях
и разработанных антивирусных программах. Здесь также необходимо
чувство меры. Критика уровня "... - продажная девка империализма",
начинающаяся и заканчивающаяся утверждениями о том, что оппонент
просто глуп, не утруждающая себя приведением доказательств явля-
ется таким же проявлением нашей отсталости, как и выпускаемые на-
шей промышленностью ПЭВМ.


1.2.9. Первые отечественные антивирусные программы, начало форми-
рования рынка программных средств
защиты от вирусов

"Please do not shoot the pianist.
He is doing his best"
Надпись в американском баре;
приписывается также О.Уайльду

"А борьба на всем пути
В общем равная почти"
В.Высоцкий

Разработка первых отечественных антивирусных программ -- детекто-
ров (программ, обнаруживающих вирус) и фагов (программ, "выкусы-
вающих" вирус) -- началась еще в 1988 г. Из полифагов, сыгравших
значительную роль на начальном этапе, следует отметить программу
Aidstest Д.Н.Лозинского, Doctor А.А.Чижова и ANTI-KOT О.Котика.
Причем программа ANTI-KOT быстро стала коммерческой и практически
не принимала участие в борьбе с вирусами, начиная с осени 1989 г.,
а программа Doctor по этой же причине "выпала из игры" в важный
период сентября -- декабря 1989 г. Дольше всего бесплатно распрост-
ранялась программа Aidstest, которая с осени 1989 по лето 1990 г.
была самой популярной отечественной антивирусной программой. Одна-
ко к маю 1990 г. Д.Н.Лозинский настолько устал от звонков пользо-
вателей, что решил "уйти в профессионалы", хотя, по его словам,
ему было бы достаточно секретаря, отвечавшего на непрерывные теле-
фонные звонки. Коммерческие версии до октября 1990 г. были доста-
точно дорогими и значимость Aidstest для "широких кругов" пользо-
вателей резко упала. Однако, начиная с октября незащищенная от ко-
пирования версия Aidstest стала распространяться по цене 3 руб.
для частных лиц (т.е. практически как SHAREWARE) и, возможно, быс-
тро обретет былую популярность. Cреди полифагов, распространяющих-
ся бесплатно, одним из лидеров стала программа Kхх Е.Сусликова
(после буквы "К" в имени этой программы обычно стоит количество
"выкусываемых" вирусов, например К41). Конечно, положение, когда
пользователи предпочитают антивирусные программы, распространяющи-
еся бесплатно, можно оценивать по-разному.
Подобно тому, как рост преступности порождает повышенный спрос
на замки и другие средства защиты, изготовители программного обес-
печения и компьютерного оборудования предпринимают попытки исполь-
зовать ситуацию для завоевания рынка. В настоящее время общее ко-
личество антивирусных средств наверное в несколько раз превышает
общее количество известных компьютерных вирусов. Только в нашей
стране разработаны десятки, если не сотни коммерческих программ
для этой цели. Цены на такого рода продукты колеблются примерно от
300 до нескольких тысяч рублей с типичной ценой в 1000 руб. за па-
кет. Как правило, коммерческое программное обеспечение распростра-
няется защищенным от копирования и требует для своей работы либо
инсталляции на винчестер со специальной дистрибутивной дискеты,
либо работы непосредственно с поставляемой оригинальной дискетой.
Это создает некоторые неудобства при архивировании или переразмет-
ке винчестера.
В связи с тем, что рынок как таковой еще не сложился, цены, ус-
танавливаемые разработчиками, как правило, совершенно не связаны с
качеством соответствующего программного продукта (иногда даже
встречаются случаи продажи по принципу "толкни и убегай"). Доволь-
но часто программное обеспечение для защиты от вирусов, распрост-
раняемое за меньшую цену или даже бесплатно, обладает сопоставимы-
ми или лучшими характеристиками. Эта ситуация характерна как для
отечественных, так и для зарубежных средств защиты от вирусов, что
свидетельствует о незрелости данной "отрасли". Кроме того, лишь
немногие продукты сочетают защиту от вирусов со средствами
резервирования информации или защитой от несанкционированного
доступа, а именно такие интегрированные системы представляют, по-
видимому, наибольшую ценность для пользователей.


1.2.10. Появление аппаратных средств
защиты от вирусов

Изготовители компьютерного оборудования не так активно включи-
лись в "охоту на вирусы", как изготовители программного обеспече-
ния. Тем не менее ряд продуктов доведен до уровня коммерческих и
продается потребителям. Предлагаемые аппаратные средства защиты,
как правило, представляют собой специальные платы. Однако в конце
1988 г. фирма American Computer Security Industries, Нэшвилл, шт.
Теннеси, США, представила "первый надежно защищенный противовирус-
ный компьютер", класса PC AT, названный "Immune System" ("Иммунная
система"). Cистема якобы обладает иммунитетом от вирусной атаки, а
также полным набором средств, предохраняющих MS DOS и BIOS от не-
санкционированных изменений (Computer Age, январь 1989 г., см.
также Personal Computing, 1989, щ 5, р. 92).

Из зарубежных плат, повышающих степень защищенности компьютера,
отметим плату Immunetec PC фирмы Зевс (Zeus Corp., 538 Pasadena
Dr., Akron OH 44303-1704, USA; (216) 867-8181), стоимостью 295
долларов. Эта плата тестирует бутсектор и системные файлы MS DOS
на наличие несанкционированных изменений, а также позволяет запре-
тить загрузку системы с дискеты, установить паспорта и уровни до-
ступа к винчестеру. Плата совместима с сетями Novel, 3Com и IBM
Token Ring [Personal Computing, 1989, щ 5, р. 92]. Аналогичная
плата Trispan фирмы Микроникс (Micronics Inc., 1901 N Central
Expressway, Richardson, TX 75080, USA; (214)690-0595) стоит 895
долларов.
Из советских разработок интерес представляет плата PORT WATCH
CARD донецкой фирмы БИС (см. прил.5), совместимая с популярными
сетями. Работая вместе с разработанной А.Водяником резидентной
программой IWP (Intellectual Write Protector), эта плата достаточ-
но надежно перекрывает возможные пути инфекции, позволяя, в част-
ности, аппаратно блокировать загрузку, если пользователь не указал
требуемый пароль. Следует отметить, что загрузка с собственной ди-
скеты -- стандартный прием проникновения в чужой компьютер любите-
лей компьютерных игр, да и не только их.
Принцип действия IWP основан на усилении присваиваемого файлам
атрибута READ_ONLY в сочетании с защитой системных блоков, включая
MBR и бутсектор. Защищаемые файлы отмечаются специальной утилитой
MAP.EXE, устанавливающей защищаемым файлам указанный атрибут и со-
здающей в файле _IWP_.MAP в коpневом каталоге шифрованный список
элементов каталога защищаемых файлов и цепочки его кластеpов в
FAT. При загрузке IWP считывает этот список, пеpехватывает попытки
записи чеpез дpайвеp диска и анализиpует их. При выявлении пpоти-
воpечий выдается сообщение и опасная запись блокиpуется. Запись и
фоpматиpование чеpез пpеpывание 13h запpещаются, если они выполня-
ются не из дpайвеpа диска, a из дpугих пpогpамм. Вывод в поpты
контpоллеpов дисков -- если он выполняется не из BIOS по пpеpыва-
нию 13h. Используя плату Port Watch Card, IWP контролирует запись
в CMOS-память (поpт 71h) и опасные действия с портами контpоллеpов
дисководов дискет (370h..377h, 3F0h..3F7h) и винчестера
(170h..177h, 1F0h..1F7h -- PC AT; 320h..32Fh -- PC XT).
Недостатком существующей IWP является значительный объем исполь-
зуемой оперативной памяти (порядка 30К при защите винчестера 40M).
Правда, разработчики предлагают специальный драйвер, имеющий и са-
мостоятельное значение, расширяющий ОЗУ на 80K, если на компьютере
установлена карта EGA (несколько больше для карт CGA и Hercules)
за счет неиспользуемой в текстовом режиме видеопамяти. Планируется
разработка новых версий платы с IWP, записанной в ROM платы.


1.2.11. Семинар "Системное программирование"
и бюллетень СОФТПАНОРАМА

Отсутствие сетей и изолированность отечественных программистов
друг от друга также явилось фактором, способствовавшим распростра-
нению вирусов по нашей стране. Как уже указывалось, первые попытки
организовать обмен информацией по "антивирусной" тематике и рас-
пространение антивирусных программ относятся только к апрелю
1989 г. Так, в Киеве 13.04.90 состоялся тематический семинар, пол-
ностью посвященный проблеме компьютерных вирусов. Программа этого
семинара включала сообщения по четырем типам вирусов (С-648, RC-
1701, RCE-1813 и Bx1-1C (Ping-Pong)) и большую дискуссию. Начиная
с этого семинара, среди участников стали распространяться лучшие
антивирусные программы, а с сентября 1989 г. начал выходить ежеме-
сячный бюллетень COФТПАНОРАМА. В настоящее время с формата 360К
бюллетень перешел на формат 720К, приблизительно треть из которых
выделяется под новые версии антивирусных средств и текущую инфор-
мацию о компьютерных вирусах.

1.2.12. Болгарские и польские исследования

Из исследований, проведенных в странах Восточной Европы, следует
отметить польские и болгарские публикации. Лидером среди авторов
болгарских публикаций на рассматриваемую тему является В.Бончев.
Этим, безусловно очень способным исследователем, была опубликована
одна из первых статей по вирусу С-648 [Бончев89а], а через
некоторое время большая статья [Бончев89б], перевод которой был
включен во второй выпуск бюллетеня COФТПАНОРАМА. Несмотря на ряд
допущенных ошибок и неточностей, в ней были приведены актуальные
на тот момент сведения о вирусах группы ТР (автор лично знаком с
техно-крысой, разработавшей эту группу). В статье также очень мяг-
ко трактовался вопрос об ответственности за разработку и распрост-
ранение вирусов. Возможно это связано с тем, что в это время автор
сам распространял дискету с рядом вирусов и их исходными текстами.
Хотя мотивом служило, по-видимому, желание показать, что в компью-
терных вирусах нет ничего таинственного, эта "ошибка молодости"
возможно послужила одной из причин последовавшего в 1990 г. "бол-
гарского вирусного взрыва" (см. ниже). Вместе с тем, статьи Бонче-
ва были важным источником информации о распространяющихся в СССР
вирусах и несколько облегчили борьбу с ними. Сейчас уже можно го-
ворить о серии "околовирусных" статей В.Бончева в журнале "Ком-
пютър за вас", причем уровень последних статей существенно превос-
ходит уровень первых. Последнее время В.Бончев стал активно участ-
вовать в электронной конференции FIDO, посвященной компьютерным
вирусам.
Вместе с тем, в статьях В.Бончева наблюдается определенный "пе-
рекос" в сторону раскрытия механизма работы вирусов по сравнению с
методами защиты от них, что, в общем, соответствует интересам
В.Бончева, как ведущего рубрики. Отметим, что этот перекос не-
сколько компенсируется тем, что В.Бончев является также автором
ряда бесплатно распространяемых фагов, которые помимо Болгарии,
получили определенное распространение и в СССР. Однако с точки
зрения влияния на читательскую аудиторию, указанная несбалансиро-
ванность редакционной политики вызывает сожаление. Поэтому роль
указанных статей можно оценить как несколько противоречивую. Впро-
чем автор сознает, что подобная критика может быть высказана и по
отношению к его собственной работе.
Помимо В.Бончева, ряд статей по данной тематике опубликовал бол-
гарский исследователь С.Недков [Недков89а-Недков90а, Nedkov89] и
польский исследователь А.Кадлоф [Кадлоф90, Kadlof89].


1.2.13. Законы, направленные против техно-крыс

"Много ли желающих получить
действительно по заслугам ?"
С.Крытый. ЛГ щ 33 (16.08.89)

Вирусы, как и троянские программы, создаются конкретными про-
граммистами. Хотя дальнейшее обсуждение будет в основном техниче-
ским, не следует забывать, что ключевым аспектом проблемы является
появление техно-крыс -- новой разновидности уголовников, использую-
щих для своих целей возросшую степень анонимности, достижимую с
появлением ПЭВМ и сетей. Поэтому важным аспектом борьбы с компью-
терными вирусами становится выявления личности преступника или
преступной группы, создающей или распространяющей компьютерные ви-
русы. Руководитель американской специальной группы по изучению
компьютерных преступлений, Кирк Тэбби, занимающий пост помощника
прокурора в Эн-Арборе (шт. Мичиган) заявил: "Уголовное дело можно
возбудить всегда, когда существует человек, совершивший преступле-
ние. Незаметное внедрение вируса в программу является злонамерен-
ным действием, а создание подобной программы -- преступлением" (The
Computer Law and Security Report. -- 1989. -- V.5. -- No. 1 -- H.18-
21). Уголовная ответственность может сочетаться с иском за нане-
сенный ущерб.
К концу 1989 г. в ряде стран (США, Великобритания, ФРГ) находят-
ся на рассмотрении законы, предусматривающие для разработчиков и
распространителей компьютерных вирусов значительные сроки тюремно-
го заключения (в США до 15 лет). Это позволит, помимо программных
и организационных мер, применять для борьбы с вирусами и правовые
методы. В частности, в палате представителей Конгресса США внесены
билль 55 (Virus Eradiation Act) и билль 287 (Computer Protection
Act) [Crawford89].
Выдержки из билля 287 (перевод Н.Н.Безрукова)
(А) Любой, кто сознательно или умышленно саботирует надлежащее
функционирование аппаратуры компьютерной системы или связанного с
ней программного обеспечения и тем самым вызовет потерю данных,
затруднения при работе ЭВМ, убытки или вред владельцу компьютера,
должен быть оштрафован -- или подвергнут тюремному заключению на
срок не более 15 лет или подвергнут обоим наказаниям.
(В) Пострадавшая сторона имеет право в судебном порядке требо-
вать соответствующую компенсацию понесенных убытков и судебных из-
держек.

Национальный институт стандартов США и Пентагон создали Компью-
терную группу быстрого реагирования из 12 человек для борьбы с ви-
русами и поиска преступников. Кроме того, Пентагон планирует со-
здать свой коммуникационный центр и подразделение для отражения
атак на компьютерные системы (Comm. AСM, 1989, v. 32, щ 2, p.
161).
В ФРГ законодательство позволяло, в большинстве случаев, при-
влечь к ответственности изготовителей и распространителей вирусов
еще в 1987 г. Подробнее с состоянием правовой защиты от заражения
компьютерными вирусами в ФРГ по состоянию на 1987 г. можно позна-
комиться по переводу книги Р.Бургера "Компьютерные вирусы"
[Burger88, гл.6]. Этот перевод распространяется, в частности, че-
рез Всесоюзный центр переводов (ВЦП).
Появление достаточно суровых законов создает в известной мере
трагическую ситуацию, известную под названием "поиск козла отпуще-
ния". Посадят одного, причем не самого вредного. Остальные оста-
нутся на свободе. А что такое для молодого способного человека в
17-18 лет получить даже год тюремного заключения? Да еще сознавая,
что его посадили, а остальные, принесшие не меньший вред, гуляют
на свободе.


1.2.14. Этические проблемы,
связанные с распространением компьютерных вирусов

"Копии хороши лишь тогда, когда
они открывают нам смешные
стороны дурных оригиналов"
Франсуа де Ларошфуко

Конечно, общепринятые приоритеты и этические принципы
[ParkerD81, Weiss82] исследований в программировании, использовав-
шиеся на первом этапе -- предыстории компьютерных вирусов, когда
проблема носила преимущественно научный характер (свободный обмен
информацией, программами и т.д.), не применимы на втором этапе,
когда проблема затрагивает интересы практически каждого пользова-
теля ПЭВМ. Сейчас как никогда остро стоит проблема выработки "ко-
декса" исследователя-"вирусолога". Этот кодекс должен исключать
свободную передачу как самих вирусов, в особенности их наиболее
опасных разновидностей (RCE-1800, RCE-2000 и др.). Здесь есть
смысл применить подход, принятый в медицине, где лекарства разде-
лены на "список-А", "список-Б" и т.д., причем в список-А попадают
наиболее опасные лекарства, доступ к которым наиболее регламенти-
рован, в список-Б менее опасные, но с регламентацией доступа (ре-
цепт с печатью) и т.д.
Появление "коллекционеров" вирусов, не ведущих работу по созда-
нию средств защиты, представляет особую опасность, поскольку попа-
дание такой "коллекции" в руки злонамеренного и безответственного
программиста может наделать много бед. Автор считает, что передача
вирусов может осуществляться только лицам, активно ведущим разра-
ботку средств защиты, и только на основе "соглашения о нераспрост-
ранении".
Наибольшую опасность представляют собой комментированные исход-
ные тексты вирусов. Уровень квалификации, требуемый для того, что-
бы изменить в ассемблерном тексте две-три команды, и заново ассем-
блировать текст вируса намного ниже, чем тот, который требуется
для дизассемблирования и реконструкции логики. Поэтому распростра-
нение исходного текста вируса фактически является подстрекательст-
вом к созданию новых вирусов. Если два-три года назад такой
поступок мог быть связан с отсутствием осознания опасности
компьютерных вирусов, то сейчас распространявшего исходных текстов
граничит с преступлением.

Следует подчеркнуть необходимость особой осторожности для всех,
кому так или иначе приходится анализировать зараженные программы и
реконструировать логику вируса. Относящиеся к этому материалы же-
лательно держать преимущественно как личные записи, не прибегая
без необходимости к внесению комментариев в файл, содержащий ди-
зассемблированный текст. Каталоги и архивы защищать от несанкцио-
нированного доступа паролями или, предпочтительнее, шифровкой. Не-
допустимо оставлять такого рода материалы в обычных каталогах на
"персональном компьютере коллективного пользования", поскольку
есть немало любителей рыться в чужих каталогах в поисках "чего-ни-
будь интересненького". Реконструированный текст следует рассматри-
вать как материал "для служебного пользования" и не передавать не-
знакомым лицам, даже если, по их словам, они занимаются разработ-
кой антивирусных средств: для создания большинства антивирусных
средств, в особенности фагов, необходимые сведения специалист мо-
жет получить самостоятельно за два-три часа работы.
В особенности это относится к вузам, где, несмотря на нашу бед-
ность, талантливые ребята все же имеют возможность работать на
персональных ЭВМ. Часто такие ребята предоставлены сами себе и не
имеют поддержки со стороны преподавателей программирования, многие
из которых давно отошли или вообще никогда не занимались разработ-
кой реальных программ и просто боятся студентов, "знающих слишком
много". При отсутствии более конструктивной цели, заполучив какие-
нибудь листинги, такие студенты могут заняться разработкой виру-
сов, а не антивирусов, не отдавая себе отчет в аморальности своих
действий. Поскольку обмен программами между студентами обычно
весьма интенсивен, вирус имеет определенные шансы на быстрое рас-
пространение. Поэтому необходимы определенные действия обществен-
ности, чтобы предотвратить такую возможность. Они могут включать
награду каждому, кто сообщит автора того или иного вируса, а также
разъяснительную работу относительно этического содержания действий
разработчиков вирусов. В этом плане заслуживает внимания обращение
к авторам вирусов американской общественной организации "Професси-
оналы-программисты за социальную ответственность":
"У Вас есть талант, чтобы сделать что-то полезное в жизни. То,
что Вы делаете, вредит промышленности и обществу, которое готово
принять Вас и ваш талант с распростертыми объятьями. Удовлетворе-
ние, которое Вы получите от сотрудничества с нами, намного выше
того, которое Вы получите при нанесении вреда ни в чем не повинным
людям. Остановитесь !"
Среди программистов существует два основных мнения относительно
того, следует ли публиковать сведения о конкретных вирусах и мето-
дах атаки, используемых ими. Одни считают, что публикация техниче-
ских подробностей облегчит криминальным элементам, которые, к со-
жалению, имеются и среди программистов, создание более опасных и
разрушительных вирусов. Другие придерживаются противоположного
мнения, полагая, что публикация этих данных будет способствовать
мобилизации сил на создание мощных средств борьбы с этой разновид-
ностью компьютерного вандализма и предотвратит ненужное дублирова-
ние усилий. Автор придерживается второй точки зрения и считает,
что создание мощных средств защиты позволит поднять "планку" тех-
нической сложности разработки эффективного вируса до уровня, на
порядок превышающего сегодняшний, что существенно сузит круг лиц,
представляющих потенциальную опасность.
При написании данной работы автор сознательно исключил ряд све-
дений, которые могли бы быть использованы во вред. В частности,
дампы зараженных программ приводятся в сокращенном виде. Однако
решающее значение, по-видимому, имеет создание общественной атмос-
феры нетерпимости к попыткам разработки или использования вирусов.
Если такие попытки будут вызывать не отпор, а поощрительное похло-
пывание по плечу в коллективе разработчика, то в скором времени и
пользователям и разработчикам антивирусных программ придется бо-
роться на два фронта: против вирусов, попадающих с Запада (или с
Востока) и против отечественных разновидностей. Тем более, что
первые отечественные вирусы уже появились. Ситуация с отечествен-
ными разработчиками вирусов усложняется тем, что их довольно слож-
но привлечь к уголовной ответственности по действующему законода-
тельству (хотя специфика советской действительности оставляет не-
которую надежду в случае, если от этого вируса "полетит" важная
информация где-нибудь в прокуратуре или министерстве юстиции).
В связи с этим следует отметить полную бесперспективность попы-
ток использования вирусов для защиты программного обеспечения от
незаконного копирования. Поскольку распространение вируса не явля-
ется контролируемым процессом, то в данном случае скорее всего по-
страдают не лица, использовавшие незаконную копию, а другие поль-
зователи. Хотя я ни в коей мере не оправдываю незаконное копирова-
ние программ, но лекарство не должно быть опаснее, чем болезнь. Не
стоит бросать бомбу в магазин для наказания человека, укравшего
пачку сливочного масла. Более того, установление автора вируса бу-
дет означать полную потерю репутации разработчика и, следователь-
но, коммерческий крах. Этому будет, несомненно, способствовать и
широкая огласка, включая сообщения на профессиональных семинарах,
и публикации в прессе, которые последуют за установлением авто-
ра(ов) вируса.


1.2.15. Проблема самоизоляции

"Не так страшен черт,
как его малюют"
Пословица

Основная проблема для пользователей ПЭВМ, возникающая в связи с
появлением компьютерных вирусов, состоит в том, как защитить свои
программы и данные, не прибегая к самоизоляции. Практика показыва-
ет, что эта проблема вполне разрешима. Как и против биологических
вирусов, для борьбы с компьютерными вирусами может применяться це-
лый комплекс мер: технические, организационные, юридические. Поэ-
тому наблюдаемая сейчас тенденция к самоизоляции представляется
автору совершенно неоправданной. Такое "сверхреагирование" в усло-
виях нашей страны практически равносильно добровольному отказу от
возможностей хоть как-то улучшить условия всей работы и повысить
ее производительность. Учитывая недоступность для большинства про-
граммистов "фирменных" программных продуктов, оригинальных ино-
странных журналов, доступа к национальным сетям -- всему тому, что
является повседневностью для программиста в США и Западной Европе,
обмен информацией на дискетах является, по сути, единственным спо-
собом получить информацию и хоть немного поднять собственный уро-
вень.
Потери данных в результате разрушительного действия компьютерных
вирусов в настоящее время довольно редки и по частоте не превосхо-
дят случаев потерь данных из-за неисправности оборудования. Боль-
шинство случаев заражения программного обеспечения компьютерными
вирусами, отмеченных к этому времени, не вызывали серьезных потерь
данных. В то же время сама возможность таких потерь вызывает впол-
не понятную тревогу, поскольку хотя шансы попасть под разрушитель-
ную атаку вируса пока невелики, но они, к сожалению, увеличиваются
по мере проникновения в страну новых типов и разновидностей виру-
сов. Кроме того, каждый понимает, что такой атаке можно подверг-
нуться в самый неподходящий момент. Это беспокойство имеет свои
положительные и отрицательные стороны. Отрицательной стороной яв-
ляется то, что оно толкает пользователей к самоизоляции, когда они
начинают бояться брать и пробовать интересующие их программы, хо-
тя, как уже отмечалось выше, в наших условиях такой обмен информа-
цией является основным методом повышения собственной производи-
тельности. Положительно то, что пользователи начинают уделять
адекватное внимание созданию архивных копий своих данных, а также
методам повышения надежности их хранения. Следует отметить, что,
хотя потеря содержимого дискеты, а тем более винчестера, способст-
вует быстрой выработке привычки архивировать данные, это вряд ли
можно называть приемлемым способом воспитания такой привычки и ее
лучше прибрести заблаговременно. В любом случае следует трезво
оценивать опасность: переоценка не намного лучше, чем недооценка.



1.3. Современная ситуация

"Эх, Эх ! -- ей Моська отвечает
Вот то-то мне и духу придает
Что я совсем без драки
могу попасть в большие забияки!"
И.А.Крылов

Количество персональных компьютеров в СССР уже начинает прибли-
жаться к миллиону. Конечно, до США, где количество персональных
компьютеров сопоставимо с количеством телефонных аппаратов, нам
еще очень и очень далеко, однако и такое количество уже представ-
ляет собой "закритическую" массу для создания и распространения
компьютерных вирусов собственной разработки. Поэтому неудивитель-
но, что в этом году появились файловые вирусы "местного
производства" (RC-600, RCE-1600, С-257, С-1004).
В 1990 г. поток вирусов, поступающих в нашу страну из-за рубежа,
несколько возрос по сравнению с 1989 г. Скорость поступления можно
оценить как примерно два вируса в месяц. Из них менее половины по-
лучают существенное распространение. Основной вклад в этот поток
продолжают вносить файловые вирусы из Болгарии (RCE-2000, RCE-1277
и др.). Поскольку за прошедший год уровень информированности поль-
зователей существенно возрос, выявленные вирусы были сравнительно
быстро локализованы. Вместе с тем, пользователи малых и отдаленных
городов нашей страны все еще сообщали о случаях заражения вирусами
RC-1701, Stone и других "прошлогодних" вирусах, эпидемии которых в
больших городах уже практически закончились. Таким образом, "рас-
ползание" вирусов идет от центра к периферии, как это происходит и
с естественными вирусами, скажем, вирусом гриппа. Опыт показал,
что скорость распространения вирусов из одного города в другой не
так уж велика, и запаздывание достигает нескольких месяцев. Это
создает возможность подготовиться к появлению очередного вируса за
счет оперативного распространения соответствующей информации и ан-
тивирусных средств через бюллетень СОФТПАНОРАМА.
В феврале 1990 г. семинаром "Системное программирование" был ор-
ганизован первый конкурс антивирусных программ, распространяемых
бесплатно, проводившийся в трех классах (фаги, детекторы и ревизо-
ры, резидентные фильтры). В классе фагов первое место заняла про-
грамма AIDSTEST Д.Н.Лозинского, второе место -- программа DOCTOR
А.А.Чижова. В классе детекторов и ревизоров первое место занял ре-
визор DLI В.Герасимова, второе место -- контекстный детектор VL
А.Л.Шеховцова. И наконец, в классе резидентных фильтров два первых
места поделили программы SBM В.Еременко и Б.Мостового и программа
CHECK21 В.Двоеглазова.


1.3.1. Хроника событий

Первые два месяца 1990 г. оказались довольно спокойными. В марте
появился вирус Sunday, или RСЕ-1636 по используемой автором клас-
сификации. Изучение кода показало, что его можно рассматривать в
качестве штамма вируса RCE-1813 (Ierusalem, Black Friday). В воск-
ресенье RСЕ-1636 удаляет все запускаемые программы. В этом же ме-
сяце был обнаружен бутовый вирус DiskKiller тайваньского происхож-
дения. Это первый из попавших в наших страну вирусов, уничтожающих
информацию на всем винчестере так, что ее потом крайне трудно, а
для специалиста, не владеющего ассемблером, -- невозможно восстано-
вить. В частности, от этого вируса пострадал ряд ВЦ в западных об-
ластях Украины.
В апреле в Москве был обнаружен вирус RCE-2000 болгарской
разработки. В мае в Днепропетровске был обнаружен вирус RC-600 --
первый вирус, относительно которого достоверно известно, что он
был разработан в СССР. В июне в Киеве был обнаружен вирус MERPHY,
разработанный в Болгарии. В этом же месяце в Москве был обнаружен
вирус RCE-1600. Приблизительно в это же время в Москве был обнару-
жен бутовый вирус DEN ZUK и бутовый вирус индийского производст-
ва -- Joshy. В июле в нескольких точках Москвы был обнаружен вирус
RC-492. В частности, автор обнаружил его, находясь в командировке
в ВЦ АН СССР.
К сентябрьскому семинару 1990 г. было обнаружено еще шесть новых
вирусов: С-1004 (Bebe), Flu-2 (LoveChild), Attention, Print
Screen, Kemerovo-Reboot и 4096. Последний является представителем
нового поколения вирусов -- так называемых стелс-вирусов и пред-
ставляет большую опасность из-за довольно скрытого характера рас-
пространения и проявлениям, похожим на сбои оборудования. Сразу
после сентябрьского семинара был выявлен еще один представитель
стелс-вирусов -- RC-512, разработанный в Болгарии.


1.3.2. Болгарский вирусный взрыв

Как уже отмечалось, Болгария стала одним из мировых центров раз-
работки файловых вирусов. Начиная с середины 1989 г. "наплыв" ви-
русов из Болгарии все увеличивается и увеличивается, причем ряд
разработанных там вирусов оказались весьма изощренными и опасными.
Этот поток вирусов, затронувший как СССР, так и западные страны,
получил название "болгарского вирусного взрыва". Это не совсем то-
чное название, поскольку правильнее говорить об информационном
взрыве: многие из так называемых "болгарских" вирусов либо вообще
не были "выпущены на свободу", либо быстро локализованы и уничто-
жены, не успев создать эпидемию, однако тот факт, что они были со-
браны В.Бончевым и переданы западным вирусологам в течении доста-
точно короткого промежутка времени создал иллюзию "взрыва".
Деятельность болгарских техно-крыс нанесла определенный ущерб
нашей стране, поскольку из Болгарии вирусы быстро попадают в СССР.
Всего к нам попало более 20 болгарских вирусов, ряд из которых
распространился достаточно широко. Среди последних отметим группу
Dark Avenger (RCE-1800 - Еddie, RCE-02000 - AntiBontchev, RC-512 и
др.) и группу TP-вирусов (RСE-1206, RCE-1805, RCE-2885 и др.).
Многие сотни, если не тысячи, часов были потрачены на анализ и
дезинфекцию зараженных ими программ.
Факты свидетельствуют о том, что начиная с 1988 г., в Софии сло-
жилась группа лиц, активно разрабатывавшая и распространявшая ком-
пьютерные вирусы. Общее количество разработанных ими вирусов
приближается к сотне. Среди них отметим техно-крысу, разработавшую
серию TP. Эта техно-крыса, по данным В.Бончева, закончившая свою
деятельность по созданию новых вирусов летом 1989 г., ранее была
сотрудником Высшего машинно-электротехнического института (теперь
Инженерная академия), расположенного в Софии. Фамилия автора виру-
са RE-1961 (В.Бочев) стала известна по попавшему в СССР на вирус-
ной дискете Бончева исходному тексту вируса RЕ-1961 (Yankee
Doodle-2). Этот нерезидентный файловый вирус был исторически пер-
вым болгарским вирусом, заражавшим EXE-файлы стандартным способом
и первым вирусом, использовавшим мелодию играющего мелодию "Янки
Дудль Денди" при запуске зараженного файла. Правда, несколько
странно, что болгарский программист использовал в своей программе
мелодию марша "Янки Дудль Денди" (Yankey Doodle Dandy). Кстати,
В.Бочев является автором некоторых статей, опубликованных в "Ком-
пютър за вас" [ ].
Наиболее известной болгарской техно-крысой на данный момент яв-
ляется программист, скрывающийся под кличкой Dark Avenger, "проду-
кция" которого (более десятка изощренных вирусов) уже могла бы
быть оценена в западных странах солидным сроком тюремного заключе-
ния. Первым из вирусов, разработанных этой техно-крысой, в СССР
попал вирус RCE-1800. Этот вирус, часто называемый Eddie, по соде-
ржащейся в нем текстовой строке был и остается одним из наиболее
опасных файловых вирусов. В нем предусмотрено разрушение секторов
на диске, а также использован несколько отличный от предыдущих ви-
русов механизм размножения (RCE-1800 заражает файлы не только при
выполнении, но и при открытии), обеспечивавший вирусу более быст-
рое распространение.
Весной 1990 г. в нашей стране был обнаружен очередной вирус
этого технопата -- RCE-02000, который на зараженной машине маски-
рует увеличение длины зараженных файлов. Это один из наиболее
скрытно размножающихся и опасных вирусов-вандалов. В тексте вируса
RCE-02000 имеется строка "(c) 1989 by Vesselin Bontchev", располо-
женная в конце тела вируса, т.е. в последнем блоке зараженной про-
граммы. Подобного рода клеветнические приемы типичны для техно-
крыс и В.Бончев не является первым и последним разработчиком анти-
вирусных программ, которому приходится защищаться от "пиратства
наоборот". Попытки приписать авторство вирусов разрабочикам анти-
вирусных программ или превратить очередные версии этих программ в
троянские, т.е. распространяющие новый вирус, предпринимались тех-
но-крысами неоднократно, однако в случае RCE-02000 вирус, являясь
резидентным, еще и блокирует запуск антивирусных программ В.Бонче-
ва, проверяя загружаемые программы на наличие части приведенной
выше строки и вызывая зависание, если строка найдена. В 3/4 номере
за 1990 г. журнала "Компьютер за вас" В. Бончевым было опубликова-
но опровержение, подтвердившее, что автором данного вируса являет-
ся DARK AVENGER -- предположение возникшее у большинства советсвих
вирусологов, анализировавших кода данного вируса. Более того, в
указанном номере опубликовано и письмо самого DARK AVENGER. По-ви-
димому, это первая публикация техно-крысы, хотя не совсем понятно,
зачем предоставлять технопатам возможность печататься. Поскольку
появление письма DARK AVENGER по времени совпало с распространени-
ем вируса RCE-02000, это еще раз показывает, насколько техно-кры-
сам присущ "комплекс Герострата". Интересно отметить, что в письме
название журнала "Компютър за вас" изменено на достаточно едкое
"Вирус за вас", что, учитывая факт публикации письма и статей
В.Бочева, имеет определенные основания.


1.3.3. Колхоз им. Герострата, или "небывалый вирусный урожай 1990"

"Скоро ваши рыжие кудри, Шура,
примелькаются, и вас начнут бить"
И.Ильф и Е.Петров

Дурной пример заразителен, и в настоящее время cоветским вирусо-
логам уже нельзя в своих публикациях "кивать на Болгарию" -- мол
какое у них творится безобразие. Социально-экономические условия
СССР и Болгарии достаточно близки, а существовавшее значительное
отставание в распространении персональных компьютеров сейчас нес-
колько сократилось. Поэтому "грядет советский вирусный взрыв", тем
более, что если по качеству мы всегда отстаем, то по количеству
какой-то вредной продукции являемся мировым лидером. И я боюсь,
что по количеству разрабатываемых компьютерных вирусов мы скоро
будет серьезно конкурировать с Болгарией. Уже сейчас можно назвать
более десятка вирусов, разработанных в СССР. К ним относятся RC-
529, RC-600, RCE-1600, RCE-2458 (Victor), С1004 (Bebe), и вероят-
но, С257. Первые три вируса разработаны в Воронеже, и соответству-
ющий член колхоза имени Герострата известен в кругах вирусологов
как "Воронежский пакостник". Интересно отметить, что эта технокры-
са работает в паре со своим отцом, специализирующимся на распрост-
ранении "выращенных" вирусов. Вот уж, действительно, ...яблоко от
яблони ... Вирус RCE-2458 "живьем" пока не попадался и, возможно,
разработан кем-то из иммигрантов. Происхождение вируса C-1004
(Bebe) выдают содержащиеся в нем фразы.
Из указанных вирусов наибольшее распространение получил, по ви-
димому, RC-1600, который был обнаружен в июне 1990 г. Учитывая
предупреждение Томпсона, высказанное им в его знаменитой Тьюрин-
говской лекции, автор призывает продуманно подходить к упоминанию
фамилий разработчиков вируса в антивирусных программах, документа-
ции к ним и публикациях на данную тему. Незачем создавать рекламу,
по сути идя на поводу у какого-то молодого балбеса или ущербной
личности, страдающей от чувства собственной неполноценности и не
способной найти своим ограниченным способностям какое-то конструк-
тивное применение.



























































































































2. ОБЩИЕ ПРИНЦИПЫ ФУНКЦИОНИРОВАНИЯ
КОМПЬЮТЕРНЫХ ВИРУСОВ


Не стоит слишком мучать себя
вопросом: "Как это возможно?"
Р.Фейнман

Уже в середине 60-х гг. разработчики и пользователи обнаружили,
что системы разделения времени весьма небезопасны с точки зрения
возможности доступа к чужим данным и программам посторонних лиц, и
начали принимать меры защиты против "непрошенных гостей". Поэтому
сначала кратко рассмотрим некоторые приемы, применяемые злоумыш-
ленниками для повреждения чужих программ и данных. Важно пони-
мать, что вирусы являются только одним из возможных способов ин-
фильтрации в чужую компьютерную систему.
Доверие к той или иной компьютерной системе фактически означает
доверие по отношению к тем, кто ее разработал, и тем, кто ею поль-
зуется. Эксперты по безопасности компьютерных систем часто подчер-
кивают, что эти проблемы в значительной степени являются социаль-
ными проблемами. Поэтому, как и в других сферах человеческой дея-
тельности, появилась и развивается компьютерная преступность. Ви-
русы являются только частью проблемы компьютерной преступности, и
их правильнее всего рассматривать в этом, более общем контексте.



2.1. Программы-вандалы

"Homo homini lupus est"
(Человек человеку волк)
Плавт

Класс программ, направленных на причинение вреда пользователям,
часто обозначают термином "Badware", по аналогии с тем, что для
обозначения программного обеспечения обычно используется термин
"Software". На русский язык этот термин иногда переводится "каль-
кой" софтвер, который не прижился из-за своей неблагозвучности .
Мне кажется, что в технической литературе отдельные общепринятые
иностранные слова можно использовать без перевода. Badware включа-
ет ряд подклассов, среди которых наиболее распространенными явля-
ются троянские программы и компьютерные вирусы.



2.2. Троянские программы

"O tempora, o mores !"
(О времена, о нравы !)
Цицерон

Троянскими программами (троянскими конями) обычно называют про-
граммы, содержащие скрытый модуль, осуществляющий несанкциониро-
ванные действия. Эти действия не обязательно могут быть разруши-
тельными, однако практически всегда направлены во вред пользовате-
лю. В свою очередь, троянские программы можно разделить на не-
сколько категорий.

Троянские программы-вандалы обычно выполняют или имитируют вы-
полнение какой-нибудь полезной или экзотической функции. При этом
в качестве побочного эффекта они стирают файлы, разрушают катало-
ги, форматируют диск и т.д. Иногда разрушительный код встраивается
в какую-нибудь известную программу. Чтобы привлечь пользователей,
полученная троянская программа-вандал часто маскируется под новую
версию данного программного продукта.
С появлением BBS программы-вандалы получили значительное распро-
странение. При этом техно-крыса подсовывает программу в один или
несколько BBS, пользователи которых затем "попадаются на удочку".
В качестве примера троянской программы-вандала можно привести про-
грамму SURPRISE ("Сюрприз"). Написанная на Бейсике, она исполняла
команду DEL *.*, а затем выдавала на экран строку "Surprise !". И
таких простых и злобных программ создано немало. С их распростра-
нением запуск новой программы на компьютере стал небезопасной опе-
рацией.
Иногда в качестве самостоятельной разновидности троянских про-
грамм-вандалов выделяют так называемые логические мины (logic
bomb) у скрытые модули, встроенные в ранее разработанную и широко
используемую программу. Такой модуль является безвредным до опре-
деленного события, при наступлении которого он срабатывает. Такого
рода программы иногда используются уволенными или обиженными со-
трудниками как форма мести по отношению к нанимателю. Частный слу-
чай логических мин, в которых срабатывание скрытого модуля опреде-
ляется временем, часто называют минами с часовым механизмом (time
bomb). Фактически логические мины являются средством компьютерного
саботажа и их создание должно предусматривать уголовную ответст-
венность. Хотя, как указано выше, компьютерный саботаж обычно свя-
зан с "местью" обиженных или уволенных программистов своему бывше-
му работодателю, он может использоваться и как форма конкурентной
борьбы.
В истории отечественного программирования было несколько "гром-
ких" случаев компьютерного саботажа. Так, лет семь назад отечест-
венные газеты сообщали о программисте, который перед своим уволь-
нением встроил в программу, управлявшую главным конвейером Горько-
вского автомобильного завода, "мину", которая через некоторое вре-
мя привела к остановке главного конвейера. Программист был выявлен
и осужден. На Западе, наряду с попытками хищения средств через
банковские компьютеры, распространены случаи компьютерного сабота-
жа по отношению к различного рода финансовым системам, вплоть до
шифровки базы данных с последующим требованием выкупа за ключ
(программу) расшифровки. Последним известным случаем такого рода
было описанное выше распространение дискеты с информацией по
СПИДу, в которой программа управления базой данных была троянской.
Программы, обеспечивающие вход в систему или получение привиле-
гированной функции (режима работы) в обход существующей системы
полномочий, называют люками (back door). Люки часто оставляются
разработчиками соответствующих компонент операционной системы для
того, чтобы завершить тестирование или исправить какую-то ошибку,
но нередко продолжают существовать и после того, как то, для чего
они планировались, завершено или необходимость в нем отпала. На-
пример, в операционной системе ОС ЕС широко использовалcя люк
NEWPSW, позволявший программе пользователя получить привилегиро-
ванный режим, называемый в серии 360/370 режимом супервизора, в
обход средств контроля операционной системы.
Троянские программы могут также использоваться в целях разведки.
К распространенным программам такого рода относятся программы уга-
дывания паролей. Одной из компонент сетевого вируса Морриса была
такая программа, причем, как оказалось, она сумела добиться успеха
в значительном числе случаев.