Жанр: Учеба
Компьютерная вирусология ч. 1
...заключению на
срок не более 15 лет или подвергнут обоим наказаниям.
(В) Пострадавшая сторона имеет право в судебном порядке требовать
соответствующую компенсацию понесенных убытков и судебных издержек.
Национальный институт стандартов США и Пентагон создали Компьютерную
группу быстрого реагирования из 12 человек для борьбы с вирусами
и поиска преступников. Кроме того, Пентагон планирует создать
свой коммуникационный центр и подразделение для отражения
атак на компьютерные системы (Comm. АСМ, 1989, v. 32, • 2, p.
161).
В ФРГ законодательство позволяло, в большинстве случаев, привлечь
к ответственности изготовителей и распространителей вирусов
еще в 1987 г. Подробнее с состоянием правовой защиты от заражения
компьютерными вирусами в ФРГ по состоянию на 1987 г. можно познакомиться
по переводу книги Р.Бургера "Компьютерные вирусы"
[Burger88, гл.6]. Этот перевод распространяется, в частности, через
Всесоюзный центр переводов (ВЦП).
Появление достаточно суровых законов создает в известной мере
трагическую ситуацию, известную под названием "поиск козла отпущения".
Посадят одного, причем не самого вредного. Остальные останутся
на свободе. А что такое для молодого способного человека в
17-18 лет получить даже год тюремного заключения? Да еще сознавая,
что его посадили, а остальные, принесшие не меньший вред, гуляют
на свободе.
1.2.14. Этические проблемы,
связанные с распространением компьютерных вирусов
"Копии хороши лишь тогда, когда
они открывают нам смешные
стороны дурных оригиналов"
Франсуа де Ларошфуко
Конечно, общепринятые приоритеты и этические принципы
[ParkerD81, Weiss82] исследований в программировании, использовавшиеся
на первом этапе — предыстории компьютерных вирусов, когда
проблема носила преимущественно научный характер (свободный обмен
информацией, программами и т.д.), не применимы на втором этапе,
когда проблема затрагивает интересы практически каждого пользователя
ПЭВМ. Сейчас как никогда остро стоит проблема выработки "кодекса"
исследователя-"вирусолога". Этот кодекс должен исключать
свободную передачу как самих вирусов, в особенности их наиболее
опасных разновидностей (RCE-1800, RCE-2000 и др.). Здесь есть
смысл применить подход, принятый в медицине, где лекарства разделены
на "список-А", "список-Б" и т.д., причем в список-А попадают
наиболее опасные лекарства, доступ к которым наиболее регламентирован,
в список-Б менее опасные, но с регламентацией доступа (рецепт
с печатью) и т.д.
Появление "коллекционеров" вирусов, не ведущих работу по созданию
средств защиты, представляет особую опасность, поскольку попадание
такой "коллекции" в руки злонамеренного и безответственного
программиста может наделать много бед. Автор считает, что передача
вирусов может осуществляться только лицам, активно ведущим разработку
средств защиты, и только на основе "соглашения о нераспространении".
Наибольшую опасность представляют собой комментированные исходные
тексты вирусов. Уровень квалификации, требуемый для того, чтобы
изменить в ассемблерном тексте две-три команды, и заново ассемблировать
текст вируса намного ниже, чем тот, который требуется
для дизассемблирования и реконструкции логики. Поэтому распространение
исходного текста вируса фактически является подстрекательством
к созданию новых вирусов. Если два-три года назад такой
поступок мог быть связан с отсутствием осознания опасности
компьютерных вирусов, то сейчас распространявшего исходных текстов
граничит с преступлением.
Следует подчеркнуть необходимость особой осторожности для всех,
кому так или иначе приходится анализировать зараженные программы и
реконструировать логику вируса. Относящиеся к этому материалы желательно
держать преимущественно как личные записи, не прибегая
без необходимости к внесению комментариев в файл, содержащий дизассемблированный
текст. Каталоги и архивы защищать от несанкционированного
доступа паролями или, предпочтительнее, шифровкой. Недопустимо
оставлять такого рода материалы в обычных каталогах на
"персональном компьютере коллективного пользования", поскольку
есть немало любителей рыться в чужих каталогах в поисках "чего-нибудь
интересненького". Реконструированный текст следует рассматривать
как материал "для служебного пользования" и не передавать незнакомым
лицам, даже если, по их словам, они занимаются разработкой
антивирусных средств: для создания большинства антивирусных
средств, в особенности фагов, необходимые сведения специалист может
получить самостоятельно за два-три часа работы.
В особенности это относится к вузам, где, несмотря на нашу бедность,
талантливые ребята все же имеют возможность работать на
персональных ЭВМ. Часто такие ребята предоставлены сами себе и не
имеют поддержки со стороны преподавателей программирования, многие
из которых давно отошли или вообще никогда не занимались разработкой
реальных программ и просто боятся студентов, "знающих слишком
много". При отсутствии более конструктивной цели, заполучив какиенибудь
листинги, такие студенты могут заняться разработкой вирусов,
а не антивирусов, не отдавая себе отчет в аморальности своих
действий. Поскольку обмен программами между студентами обычно
весьма интенсивен, вирус имеет определенные шансы на быстрое распространение.
Поэтому необходимы определенные действия общественности,
чтобы предотвратить такую возможность. Они могут включать
награду каждому, кто сообщит автора того или иного вируса, а также
разъяснительную работу относительно этического содержания действий
разработчиков вирусов. В этом плане заслуживает внимания обращение
к авторам вирусов американской общественной организации "Профессионалы-программисты
за социальную ответственность":
"У Вас есть талант, чтобы сделать что-то полезное в жизни. То,
что Вы делаете, вредит промышленности и обществу, которое готово
принять Вас и ваш талант с распростертыми объятьями. Удовлетворение,
которое Вы получите от сотрудничества с нами, намного выше
того, которое Вы получите при нанесении вреда ни в чем не повинным
людям. Остановитесь !"
Среди программистов существует два основных мнения относительно
того, следует ли публиковать сведения о конкретных вирусах и методах
атаки, используемых ими. Одни считают, что публикация технических
подробностей облегчит криминальным элементам, которые, к сожалению,
имеются и среди программистов, создание более опасных и
разрушительных вирусов. Другие придерживаются противоположного
мнения, полагая, что публикация этих данных будет способствовать
мобилизации сил на создание мощных средств борьбы с этой разновидностью
компьютерного вандализма и предотвратит ненужное дублирование
усилий. Автор придерживается второй точки зрения и считает,
что создание мощных средств защиты позволит поднять "планку" технической
сложности разработки эффективного вируса до уровня, на
порядок превышающего сегодняшний, что существенно сузит круг лиц,
представляющих потенциальную опасность.
При написании данной работы автор сознательно исключил ряд сведений,
которые могли бы быть использованы во вред. В частности,
дампы зараженных программ приводятся в сокращенном виде. Однако
решающее значение, по-видимому, имеет создание общественной атмосферы
нетерпимости к попыткам разработки или использования вирусов.
Если такие попытки будут вызывать не отпор, а поощрительное похлопывание
по плечу в коллективе разработчика, то в скором времени и
пользователям и разработчикам антивирусных программ придется бороться
на два фронта: против вирусов, попадающих с Запада (или с
Востока) и против отечественных разновидностей. Тем более, что
первые отечественные вирусы уже появились. Ситуация с отечественными
разработчиками вирусов усложняется тем, что их довольно сложно
привлечь к уголовной ответственности по действующему законодательству
(хотя специфика советской действительности оставляет некоторую
надежду в случае, если от этого вируса "полетит" важная
информация где-нибудь в прокуратуре или министерстве юстиции).
В связи с этим следует отметить полную бесперспективность попыток
использования вирусов для защиты программного обеспечения от
незаконного копирования. Поскольку распространение вируса не является
контролируемым процессом, то в данном случае скорее всего пострадают
не лица, использовавшие незаконную копию, а другие пользователи.
Хотя я ни в коей мере не оправдываю незаконное копирование
программ, но лекарство не должно быть опаснее, чем болезнь. Не
стоит бросать бомбу в магазин для наказания человека, укравшего
пачку сливочного масла. Более того, установление автора вируса будет
означать полную потерю репутации разработчика и, следовательно,
коммерческий крах. Этому будет, несомненно, способствовать и
широкая огласка, включая сообщения на профессиональных семинарах,
и публикации в прессе, которые последуют за установлением автора(ов)
вируса.
1.2.15. Проблема самоизоляции
"Не так страшен черт,
как его малюют"
Пословица
Основная проблема для пользователей ПЭВМ, возникающая в связи с
появлением компьютерных вирусов, состоит в том, как защитить свои
программы и данные, не прибегая к самоизоляции. Практика показывает,
что эта проблема вполне разрешима. Как и против биологических
вирусов, для борьбы с компьютерными вирусами может применяться целый
комплекс мер: технические, организационные, юридические. Поэтому
наблюдаемая сейчас тенденция к самоизоляции представляется
автору совершенно неоправданной. Такое "сверхреагирование" в условиях
нашей страны практически равносильно добровольному отказу от
возможностей хоть как-то улучшить условия всей работы и повысить
ее производительность. Учитывая недоступность для большинства программистов
"фирменных" программных продуктов, оригинальных иностранных
журналов, доступа к национальным сетям — всему тому, что
является повседневностью для программиста в США и Западной Европе,
обмен информацией на дискетах является, по сути, единственным способом
получить информацию и хоть немного поднять собственный уровень.
Потери данных в результате разрушительного действия компьютерных
вирусов в настоящее время довольно редки и по частоте не превосходят
случаев потерь данных из-за неисправности оборудования. Большинство
случаев заражения программного обеспечения компьютерными
вирусами, отмеченных к этому времени, не вызывали серьезных потерь
данных. В то же время сама возможность таких потерь вызывает вполне
понятную тревогу, поскольку хотя шансы попасть под разрушительную
атаку вируса пока невелики, но они, к сожалению, увеличиваются
по мере проникновения в страну новых типов и разновидностей вирусов.
Кроме того, каждый понимает, что такой атаке можно подвергнуться
в самый неподходящий момент. Это беспокойство имеет свои
положительные и отрицательные стороны. Отрицательной стороной является
то, что оно толкает пользователей к самоизоляции, когда они
начинают бояться брать и пробовать интересующие их программы, хотя,
как уже отмечалось выше, в наших условиях такой обмен информацией
является основным методом повышения собственной производительности.
Положительно то, что пользователи начинают уделять
адекватное внимание созданию архивных копий своих данных, а также
методам повышения надежности их хранения. Следует отметить, что,
хотя потеря содержимого дискеты, а тем более винчестера, способствует
быстрой выработке привычки архивировать данные, это вряд ли
можно называть приемлемым способом воспитания такой привычки и ее
лучше прибрести заблаговременно. В любом случае следует трезво
оценивать опасность: переоценка не намного лучше, чем недооценка.
1.3. Современная ситуация
"Эх, Эх ! — ей Моська отвечает
Вот то-то мне и духу придает
Что я совсем без драки
могу попасть в большие забияки!"
И.А.Крылов
Количество персональных компьютеров в СССР уже начинает приближаться
к миллиону. Конечно, до США, где количество персональных
компьютеров сопоставимо с количеством телефонных аппаратов, нам
еще очень и очень далеко, однако и такое количество уже представляет
собой "закритическую" массу для создания и распространения
компьютерных вирусов собственной разработки. Поэтому неудивительно,
что в этом году появились файловые вирусы "местного
производства" (RC-600, RCE-1600, С-257, С-1004).
В 1990 г. поток вирусов, поступающих в нашу страну из-за рубежа,
несколько возрос по сравнению с 1989 г. Скорость поступления можно
оценить как примерно два вируса в месяц. Из них менее половины получают
существенное распространение. Основной вклад в этот поток
продолжают вносить файловые вирусы из Болгарии (RCE-2000, RCE-1277
и др.). Поскольку за прошедший год уровень информированности пользователей
существенно возрос, выявленные вирусы были сравнительно
быстро локализованы. Вместе с тем, пользователи малых и отдаленных
городов нашей страны все еще сообщали о случаях заражения вирусами
RC-1701, Stone и других "прошлогодних" вирусах, эпидемии которых в
больших городах уже практически закончились. Таким образом, "расползание"
вирусов идет от центра к периферии, как это происходит и
с естественными вирусами, скажем, вирусом гриппа. Опыт показал,
что скорость распространения вирусов из одного города в другой не
так уж велика, и запаздывание достигает нескольких месяцев. Это
создает возможность подготовиться к появлению очередного вируса за
счет оперативного распространения соответствующей информации и антивирусных
средств через бюллетень СОФТПАНОРАМА.
В феврале 1990 г. семинаром "Системное программирование" был организован
первый конкурс антивирусных программ, распространяемых
бесплатно, проводившийся в трех классах (фаги, детекторы и ревизоры,
резидентные фильтры). В классе фагов первое место заняла программа
AIDSTEST Д.Н.Лозинского, второе место — программа DOCTOR
А.А.Чижова. В классе детекторов и ревизоров первое место занял ревизор
DLI В.Герасимова, второе место — контекстный детектор VL
А.Л.Шеховцова. И наконец, в классе резидентных фильтров два первых
места поделили программы SBM В.Еременко и Б.Мостового и программа
CHECK21 В.Двоеглазова.
1.3.1. Хроника событий
Первые два месяца 1990 г. оказались довольно спокойными. В марте
появился вирус Sunday, или RСЕ-1636 по используемой автором классификации.
Изучение кода показало, что его можно рассматривать в
качестве штамма вируса RCE-1813 (Ierusalem, Black Friday). В воскресенье
RСЕ-1636 удаляет все запускаемые программы. В этом же месяце
был обнаружен бутовый вирус DiskKiller тайваньского происхождения.
Это первый из попавших в наших страну вирусов, уничтожающих
информацию на всем винчестере так, что ее потом крайне трудно, а
для специалиста, не владеющего ассемблером, — невозможно восстановить.
В частности, от этого вируса пострадал ряд ВЦ в западных областях
Украины.
В апреле в Москве был обнаружен вирус RCE-2000 болгарской
разработки. В мае в Днепропетровске был обнаружен вирус RC-600 --
первый вирус, относительно которого достоверно известно, что он
был разработан в СССР. В июне в Киеве был обнаружен вирус MERPHY,
разработанный в Болгарии. В этом же месяце в Москве был обнаружен
вирус RCE-1600. Приблизительно в это же время в Москве был обнаружен
бутовый вирус DEN ZUK и бутовый вирус индийского производства
— Joshy. В июле в нескольких точках Москвы был обнаружен вирус
RC-492. В частности, автор обнаружил его, находясь в командировке
в ВЦ АН СССР.
К сентябрьскому семинару 1990 г. было обнаружено еще шесть новых
вирусов: С-1004 (Bebe), Flu-2 (LoveChild), Attention, Print
Screen, Kemerovo-Reboot и 4096. Последний является представителем
нового поколения вирусов — так называемых стелс-вирусов и представляет
большую опасность из-за довольно скрытого характера распространения
и проявлениям, похожим на сбои оборудования. Сразу
после сентябрьского семинара был выявлен еще один представитель
стелс-вирусов — RC-512, разработанный в Болгарии.
1.3.2. Болгарский вирусный взрыв
Как уже отмечалось, Болгария стала одним из мировых центров разработки
файловых вирусов. Начиная с середины 1989 г. "наплыв" вирусов
из Болгарии все увеличивается и увеличивается, причем ряд
разработанных там вирусов оказались весьма изощренными и опасными.
Этот поток вирусов, затронувший как СССР, так и западные страны,
получил название "болгарского вирусного взрыва". Это не совсем точное
название, поскольку правильнее говорить об информационном
взрыве: многие из так называемых "болгарских" вирусов либо вообще
не были "выпущены на свободу", либо быстро локализованы и уничтожены,
не успев создать эпидемию, однако тот факт, что они были собраны
В.Бончевым и переданы западным вирусологам в течении достаточно
короткого промежутка времени создал иллюзию "взрыва".
Деятельность болгарских техно-крыс нанесла определенный ущерб
нашей стране, поскольку из Болгарии вирусы быстро попадают в СССР.
Всего к нам попало более 20 болгарских вирусов, ряд из которых
распространился достаточно широко. Среди последних отметим группу
Dark Avenger (RCE-1800 - Еddie, RCE-02000 - AntiBontchev, RC-512 и
др.) и группу TP-вирусов (RСЕ-1206, RCE-1805, RCE-2885 и др.).
Многие сотни, если не тысячи, часов были потрачены на анализ и
дезинфекцию зараженных ими программ.
Факты свидетельствуют о том, что начиная с 1988 г., в Софии сложилась
группа лиц, активно разрабатывавшая и распространявшая компьютерные
вирусы. Общее количество разработанных ими вирусов
приближается к сотне. Среди них отметим техно-крысу, разработавшую
серию TP. Эта техно-крыса, по данным В.Бончева, закончившая свою
деятельность по созданию новых вирусов летом 1989 г., ранее была
сотрудником Высшего машинно-электротехнического института (теперь
Инженерная академия), расположенного в Софии. Фамилия автора вируса
RE-1961 (В.Бочев) стала известна по попавшему в СССР на вирусной
дискете Бончева исходному тексту вируса RЕ-1961 (Yankee
Doodle-2). Этот нерезидентный файловый вирус был исторически первым
болгарским вирусом, заражавшим EXE-файлы стандартным способом
и первым вирусом, использовавшим мелодию играющего мелодию "Янки
Дудль Денди" при запуске зараженного файла. Правда, несколько
странно, что болгарский программист использовал в своей программе
мелодию марша "Янки Дудль Денди" (Yankey Doodle Dandy). Кстати,
В.Бочев является автором некоторых статей, опубликованных в "Компютър
за вас" [ ].
Наиболее известной болгарской техно-крысой на данный момент является
программист, скрывающийся под кличкой Dark Avenger, "продукция"
которого (более десятка изощренных вирусов) уже могла бы
быть оценена в западных странах солидным сроком тюремного заключения.
Первым из вирусов, разработанных этой техно-крысой, в СССР
попал вирус RCE-1800. Этот вирус, часто называемый Eddie, по содержащейся
в нем текстовой строке был и остается одним из наиболее
опасных файловых вирусов. В нем предусмотрено разрушение секторов
на диске, а также использован несколько отличный от предыдущих вирусов
механизм размножения (RCE-1800 заражает файлы не только при
выполнении, но и при открытии), обеспечивавший вирусу более быстрое
распространение.
Весной 1990 г. в нашей стране был обнаружен очередной вирус
этого технопата — RCE-02000, который на зараженной машине маскирует
увеличение длины зараженных файлов. Это один из наиболее
скрытно размножающихся и опасных вирусов-вандалов. В тексте вируса
RCE-02000 имеется строка "© 1989 by Vesselin Bontchev", расположенная
в конце тела вируса, т.е. в последнем блоке зараженной программы.
Подобного рода клеветнические приемы типичны для технокрыс
и В.Бончев не является первым и последним разработчиком антивирусных
программ, которому приходится защищаться от "пиратства
наоборот". Попытки приписать авторство вирусов разрабочикам антивирусных
программ или превратить очередные версии этих программ в
троянские, т.е. распространяющие новый вирус, предпринимались техно-крысами
неоднократно, однако в случае RCE-02000 вирус, являясь
резидентным, еще и блокирует запуск антивирусных программ В.Бончева,
проверяя загружаемые программы на наличие части приведенной
выше строки и вызывая зависание, если строка найдена. В 3/4 номере
за 1990 г. журнала "Компьютер за вас" В. Бончевым было опубликовано
опровержение, подтвердившее, что автором данного вируса является
DARK AVENGER — предположение возникшее у большинства советсвих
вирусологов, анализировавших кода данного вируса. Более того, в
указанном номере опубликовано и письмо самого DARK AVENGER. По-видимому,
это первая публикация техно-крысы, хотя не совсем понятно,
зачем предоставлять технопатам возможность печататься. Поскольку
появление письма DARK AVENGER по времени совпало с распространением
вируса RCE-02000, это еще раз показывает, насколько техно-крысам
присущ "комплекс Герострата". Интересно отметить, что в письме
название журнала "Компютър за вас" изменено на достаточно едкое
"Вирус за вас", что, учитывая факт публикации письма и статей
В.Бочева, имеет определенные основания.
1.3.3. Колхоз им. Герострата, или "небывалый вирусный урожай 1990"
"Скоро ваши рыжие кудри, Шура,
примелькаются, и вас начнут бить"
И.Ильф и Е.Петров
Дурной пример заразителен, и в настоящее время советским вирусологам
уже нельзя в своих публикациях "кивать на Болгарию" — мол
какое у них творится безобразие. Социально-экономические условия
СССР и Болгарии достаточно близки, а существовавшее значительное
отставание в распространении персональных компьютеров сейчас несколько
сократилось. Поэтому "грядет советский вирусный взрыв", тем
более, что если по качеству мы всегда отстаем, то по количеству
какой-то вредной продукции являемся мировым лидером. И я боюсь,
что по количеству разрабатываемых компьютерных вирусов мы скоро
будет серьезно конкурировать с Болгарией. Уже сейчас можно назвать
более десятка вирусов, разработанных в СССР. К ним относятся RC529,
RC-600, RCE-1600, RCE-2458 (Victor), С1004 (Bebe), и вероятно,
С257. Первые три вируса разработаны в Воронеже, и соответствующий
член колхоза имени Герострата известен в кругах вирусологов
как "Воронежский пакостник". Интересно отметить, что эта технокрыса
работает в паре со своим отцом, специализирующимся на распространении
"выращенных" вирусов. Вот уж, действительно, ...яблоко от
яблони ... Вирус RCE-2458 "живьем" пока не попадался и, возможно,
разработан кем-то из иммигрантов. Происхождение вируса C-1004
(Bebe) выдают содержащиеся в нем фразы.
Из указанных вирусов наибольшее распространение получил, по видимому,
RC-1600, который был обнаружен в июне 1990 г. Учитывая
предупреждение Томпсона, высказанное им в его знаменитой Тьюринговской
лекции, автор призывает продуманно подходить к упоминанию
фамилий разработчиков вируса в антивирусных программах, документации
к ним и публикациях на данную тему. Незачем создавать рекламу,
по сути идя на поводу у какого-то молодого балбеса или ущербной
личности, страдающей от чувства собственной неполноценности и не
способной найти своим ограниченным способностям какое-то конструктивное
применение.
2. ОБЩИЕ ПРИНЦИПЫ ФУНКЦИОНИРОВАНИЯ
КОМПЬЮТЕРНЫХ ВИРУСОВ
Не стоит слишком мучать себя
вопросом: "Как это возможно?"
Р.Фейнман
Уже в середине 60-х гг. разработчики и пользователи обнаружили,
что системы разделения времени весьма небезопасны с точки зрения
возможности доступа к чужим данным и программам посторонних лиц, и
начали принимать меры защиты против "непрошенных гостей". Поэтому
сначала кратко рассмотрим некоторые приемы, применяемые злоумышленниками
для повреждения чужих программ и данных. Важно понимать,
что вирусы являются только одним из возможных способов инфильтрации
в чужую компьютерную систему.
Доверие к той или иной компьютерной системе фактически означает
доверие по отношению к тем, кто ее разработал, и тем, кто ею пользуется.
Эксперты по безопасности компьютерных систем часто подчеркивают,
что эти проблемы в значительной степени являются социальными
проблемами. Поэтому, как и в других сферах человеческой деятельности,
появилась и развивается компьютерная преступность. Вирусы
являются только частью проблемы компьютерной преступности, и
их правильнее всего рассматривать в этом, более общем контексте.
2.1. Программы-вандалы
"Homo homini lupus est"
(Человек человеку волк)
Плавт
Класс программ, направленных на причинение вреда пользователям,
часто обозначают термином "Badware", по аналогии с тем, что для
обозначения программного обеспечения обычно используется термин
"Software". На русский язык этот термин иногда переводится "калькой"
софтвер, который не прижился из-за своей неблагозвучности .
Мне кажется, что в технической литературе отдельные общепринятые
...Закладка в соц.сетях
