Вирусы: двадцать лет спустя

Кто создает компьютерные вирусы и с какой целью? Несколько скандалов в США (информация об одном из су­дебных процессов попала да­же в телевизионную про­грамму «ВРЕМЯ») — это по­чти все, что известно об ав­торах вирусов, назовем их «вирусисты», в отличие от ви­русологов — людей, зани­мающихся компьютерной ан­тивирусной проблемой. Кро­ме того, в печати промельк­нули сообщения об умыш­ленном распространении ви­русов через фиктивные фир­мы и при продаже по зани­женным ценам ворованного программного обеспечения. Имеются данные, говорящие об использовании вирусов для нанесения экономическо­го ущерба конкурентам: спе­циализированные на конкрет­ных программных продуктах вирусы наносят прямой эко­номический ущерб пользова­телям и уменьшают объем сбыта этих программ.

Отмечается на первый взгляд необъяснимый факт— сезонный всплеск вирусной эпидемии. Ее пик приходится на сентябрь — ноябрь. За­рубежные вирусологи связы­вают этот парадокс с возвращением студентов после летних каникул, когда они особенно активно и зачастую безответственно начинают применять свои знания от­нюдь не «в мирных целях».

Есть еще один контингент вирусистов — это квалифи­цированные программисты; к счастью, таких единицы. Но то, что среди профессиона­лов они есть, доказывает высокий уровень разработок некоторых вирусов. Видимо, такими людьми движет жаж­да «прославиться» любыми путями.

Как ни печально, но среди авторов некоторых вирусов встречаются, по-видимому, вирусологи — специалисты, объективно заинтересован­ные в борьбе с компьютер­ным недугом. Например, после публикации статьи по­следовало несколько звонков от разработчиков вирусов. Все они мотивировали цель их создания необходимостью «исследования скрытых воз­можностей операционной си­стемы» для поиска путей про­тиводействия вирусам. Одна­ко приходится усомниться в искренности таких намере­ний, так как их в первую оче­редь интересовало, сколь эффективно новая антивирусная программа будет бороться с «изобретенными» ими виру­сами.

Авторское «самолюбие» поистине неисчерпаемо. Су­ществует даже вирус с авто­графом... болгарского спе­циалиста в области ПЭВМ Ве- селину Бончеву. Конечно, ав­тографа явно недостаточно, чтобы на этом основании при­писывать авторство Бончеву, обвинять его в столь непро­стительном грехе, так как вставить в тело вируса имя Бончева мог кто угодно. И все же подозрения возникают.

Сколько же всего сущест­вует сегодня вирусов? По данным нескольких зарубеж­ных фирм и ассоциаций, спе­циализирующихся на вирус­ной проблеме, речь идет о 190—200 вирусах (данные на июль 1990 Г.). Столь боль­шое число объясняется су­ществованием нескольких версий каждого вида.

В приводимой здесь табли­це приведены 127 файловых вирусов, данные о которых имеются у автора. В первой колонке указана длина виру­са. На это значение увели­чивается пораженная виру­сом программа. Некоторые вирусы могут вызвать допол­нительное увеличение файла на 0...15 байт, они это де­лают с целью расположиться в ОЗУ ПЭВМ с адреса крат­ного 16 (выравнивание на сег­мент).

Символом «•» в таблице помечены вирусы, записы­вающие свой код непосред­ственно в исполняемые фай­лы, что приводит к потере работоспособности инфици­рованной программы. Такие вирусы не увеличивают раз­мер файлов, если собствен­ная длина вируса меньше за­ражаемой программы. Боль­шое значение для вирулентности и скрытности вируса имеет способность остаться резидентно в памяти ком­пьютера.

На июль 1990 г. в Москве зафиксированы 32 вируса. Все ли они импортированы, или есть отечественные? По крайней мере, о 23 вирусах имеются зарубежные публи­кации, датированные раньше, чем вирусы появились у нас. Происхождение еще девяти не установлено. Среди кол­лекции вирусов, собранной автором, антивирусная про­грамма TNTVIRUS фирмы «Carmel Software Engihee- ring», рассчитанная на 187 ви­русов, она не обнаружила лишь 4 вида из этих девяти. Это может служить аргумен­том в пользу их отечествен­ного происхождения.

Наблюдения специалистов показывают, что существует вероятность умышленной ви­русной «диверсии» против нашего компьютерного пар­ка. Из частных разговоров с представителями зарубеж­ных фирм выяснилось, что одна из разновидностей ви­руса Yankee Doodle появи­лась в Москве по крайней мере на 4 месяца раньше, чем в Западной Европе. Так как несоветское происхожде­ние этого вируса не подле­жит сомнению, напрашива­ется вопрос: «Не является ли это попыткой расплаты за бесплатное копирование про­граммного обеспечения, или другими словами наказанием за воровство?»

Вирусная эпидемия вызва­ла еще одну специфическую проблему: с одной стороны, необходимо довести до ши­рокого круга пользователей ПЭВМ информацию об уст­ройстве вирусов, а с дру­гой — эта информация ста­новится подспорьем начи­нающим вирусистам. Так что публикация возможно принесла больше вреда, чем пользы.

В предыдущей статье остались в тени существую­щие еще два принципа про­тиводействия вирусам. Пер­вый основан на «вакциниро­вании» исполняемых про­грамм. В соответствии с ним к каждой программе добав­ляется небольшой исполняе­мый фрагмент (вакцина), за­дачей которого является контроль изменений в основ­ном теле программы. Наряду с достоинствами ( мгновенная реакция на заражение, об­наружение неизвестных ра­нее штамов, возможность «вылечивания») такой метод имеет три существенных не­достатка. Во-первых, для процесса вакцинирования не­обходима чистая от вирусов копия программы, в чем ни­когда нельзя быть уверен­ным. Во-вторых, существуют вирусы, способные «обма­нуть» вакцину, к таковым от­носятся вирусы из серии дли­ной 3040—3168 байт и вирус длиной 4096 байт (см. табл.). В-третьих, метод позволяет выявлять только файловые вирусы, так как «вакциниро­вание» нефайловых модулей сопряжено с рядом трудно­стей и часто входит в конф­ликт с системами защиты от несанкционированного до­ступа.

Второй метод лишь услов­но можно отнести к вирусной защите. Приводим его пото­му, что существует ошибоч­ное мнение о целесообраз­ности его применения имен­но как антивирусного сред­ства. Речь идет о системах защиты от несанкциониро­ванного доступа и разделе­ния пользователей («ADM», «WatchDog», «MAVR», «PRO- ТЕК» и подобные системы). Благодаря возможности на­ходить точку входа в тринад­цатое прерывание в ПЗУ и точки входа функциональ­ной реализации некоторых других прерываний, ряд фай­ловых вирусов (1800, 2000, 2890, 2940, 4096) и все нефай­ловые вирусы способны бес­препятственно распростра­няться в «защищенном» та­ким образом компьютере. Более того, из-за возникаю­щих конфликтов с система­ми защиты, возможно нарушение работы этой системы, сопровождающейся прекращением доступа к жесткому диску.

Надо заметить, что приве­денная в качестве примера система ADM менее других подвержена подобным нару­шениям, чего нельзя сказать о других системах. Кроме того, сильно затрудняется ликвидация вирусного пора­жения.

А. ГУТНИКОВ

ЛИТЕРАТУРА

1. И. Карасик. Несколько слов о компьютерных вирусах.— Ин­теркомпьютер, 1989, № 1.
2. И. Карасик. Типология ви­русов.— Интеркомпьютер, 1989, № 2.
3. И. Карасик. К вопросу о компьютерных вирусах.— в ми­ре ПК, 1989, № 3.
4. И. Карасик. Анатомия и фи­зиология вирусов.— Интерком­пьютер, 1990, № 1.
5. А. Осипенко. Компьютер­ные вирусы.— Мир ПК, 1990, № 3.
6. Н. Безруков. Классифика­ция вирусов; Попытка стандар­тизации.— Интеркомпьютер, 1990, № 2.
7. И. Карасик. Классификация антивирусных программ.— Ин­теркомпьютер, 1990, № 2.
8 Ф. Шерстюк. Вирусы и ан­тивирусы на IBM совместимых ПК.— Интеркомпьютер, 1990, № 2.
9. А. Гутников. Компьютер­ный вирус.— Радио, 1990, № 7.

РАДИО № 2, 1991 г.