 | |
МЕНЮ
- Главная
- Астрономия и космонавтика
- Банковское биржевое дело и страхование
- Биология и естествознание
- Бухгалтерский учет и аудит
- Авиация и космонавтика
- Административное право
- Арбитражный процесс
- Архитектура
- Астрология
- Астрономия
- Банковское дело
- Безопасность жизнедеятельности
- Журналистика
- Зоология
- Инвестиции
- История
- Кибернетика
- Коммуникации и связь
- Кулинария
- Культурология
- Логика
- Логистика
- Маркетинг
- Фотография
- Химия
- Хозяйственное право
- Цифровые устройства
- Экологическое право
- Экология
- Экономика
- Карта сайта
Вирусы
является.
Вот почему точного определения вируса нет до сих пор, и вряд ли оно
появится в обозримом будущем. Следовательно, нет точно определенного
закона, по которому «хорошие» файлы можно отличить от «вирусов». Более
того, иногда даже для конкретного файла довольно сложно определить,
является он вирусом или нет.
Вот два примера: вирус KOH и программа ALREADY.COM.
Пример 1. Есть... вирус? утилита? с названием KOH. Эта программа
шифрует/расшифровывает диски только по запросу пользователя . Выполнена она
в виде загрузочной дискеты - boot-cектор содержит bootstrap loader KOH, а
где-то в других секторах лежит основной код KOH. При загрузке с дискеты KOH
задает пользователю вопрос типа: «А можно, я сам себя установлю на
винчестер?» (если он уже на винчестере, то спрашивает то же самое про
дискету). При утвердительном ответе KOH переносит себя с диска на диск.
В результате KOH переносит (копирует) сам себя с дискеты на винчестер, а с
винчестера на дискеты, но только с разрешения хозяина компьютера.
Затем KOH выводит текст о своих hot-keys («горячие» клавиши), по которым он
шифрует/расшифровывает диски - спрашивает пароль, читает сектора, шифрует
их и делает недоступными, если не знать пароля. Есть у него, кстати, ключ
деинсталляции, по коему он сам себя с диска убирает (расшифровав,
естественно, все, что было зашифровано).
Итого, KOH - это некая утилита защиты информации от несанкционированного
доступа. Добавлена к ней, правда, одна особенность: сия утилита сама себя
может копировать с диска на диск (с разрешения пользователя). Вирус ли
это?.. Да или нет? Скорее всего - нет...
И все-бы было ничего, и никто бы эту утилиту по имени KOH вирусом не
обозвал, но только bootstrap loader у этого KOH практически на 100%
совпадает с довольно «популярным» вирусом «Havoc» («StealthBoot»)... «и все
- и крышка празднику». Вирус! И официальное название есть -
«StealthBoot.KOH».
Если бы, конечно, автором KOH был бы не безызвестный программист, а,
скажем, Симантек, или Sierra, или даже Сам Microsoft, то никто бы и не
посмел назвать это вирусом...
Пример 2. Есть некая программа ALREADY.COM, которая сама себя копирует в
разные подкаталоги на диске в зависимости от системной даты. Вирус? Конечно
да - типичный вирус-червь, сам себя расползающий по дискам (включая
сетевые). Да?.. Да!
«Вы играли - но не угадали ни одной буквы!» Hе вирус это, как оказалось, а
компонента от какого-то софтвера. Однако если этот файл выдернуть из этого
софтвера, то ведет он себя как типичный вирус.
Итого были приведены два живых примера:
1. не-вирус - вирус
2. вирус - не-вирус
Внимательный читатель, который не прочь поспорить, может возразить:
Стоп. Hазвание «вирусы» по отношению к программам пришло из биологии
именно по признаку саморазмножения. КОH этому условию соответствует,
следовательно это есть вирус (или комплекс, включающий вирусный
компонент)...
В таком случае DOS является вирусом (или комплексом, включающим вирусный
компонент), поскольку в нем есть команда SYS и COPY. А если на диске
присутствует файл AUTOEXEC.BAT, приведенный несколькими абзацами выше, то
для размножения не потребуется даже вмешательства пользователя. Плюс к
этому: если принять за необходимый и достаточной признак вируса возможность
саморазмножения, то тогда любая программа, имеющая инсталлятор, является
вирусом. Итого: аргумент не проходит.
... что, если под вирусом понимать не просто «саморазмножающийся код», но
«саморазмножающийся код, не выполняющий полезных действий или даже
приносящий вред, без привлечения/информирования пользователя»...
Вирус KOH является программой, шифрующей диски по паролю, вводимому
пользователем. _Все_ свои действия KOH комментирует на экране и спрашивает
разрешения пользователя. Плюс к тому имеет деинсталлятор - расшифровывает
диски и удаляет с них свой код. Однако все равно - вирус!
Если в случае с ALREADY.COM привлечь субъективные критерии (полезна/не
полезна, входит в комплект/самостоятельна и т.п.), то, возможно, это и не
стоит называть вирусом/червяком. Hо стоит ли привлекать эти самые
субъективные критерии?
А какие могут быть объективные критерии вируса? Саморазмножение, скрытность
и деструктивные свойства? Но ведь на каждый объективный критерий можно
привести два контрпримера - a) пример вируса, не подходящего под критерий,
и b) пример не-вируса, подходящего под критерий:
Саморазмножение:
1. Intended-вирусы, не умеющие размножаться по причине большого
количества ошибок, или размножающиеся только при очень ограниченных
условиях.
2. MS-DOS и вариации на тему SYS+COPY.
Скрытность:
1. Вирусы «KOH», «VirDem», «Macro.Word.Polite» и некоторые другие
информируют пользователя о своем присутствии и размножении.
2. Сколько примерно (с точностью до десятка) драйверов сидит под
стандартной Windows95 ? Скрытно сидит, между прочим.
Деструктивные свойства:
1. Безобидные вирусы, типа «Yankee», которые прекрасно живут в DOS,
Windows 3.x, Win95, NT и ничего никуда не гадят.
2. Старые версии Norton Disk Doctor'а на диске с длинными именами файлов.
Запуск NDD в этом случае превращает Disk Doctor'а в Disk Destroyer'а.
Посему тема «нормального» определения компьютерного вируса остается
открытой. Есть только несколько точных вех: например, файл COMMAND.COM
вирусом не является, а печально известная программа с текстом «Dis is one
half» является стопроцентным вирусом (»OneHalf»). Все, что лежит между
ними, может, как оказаться вирусом, так и нет.
3. Кто и почему пишет вирусы?
Сам я написанием вирусов не занимался, с их авторами пересекаюсь довольно
редко, и, следовательно, мои соображения по этому поводу могут быть лишь
чисто теоретическими.
Так кто же пишет вирусы? На мой взгляд, основную их массу создают студенты
и школьники, которые только что изучили язык ассемблера, хотят попробовать
свои силы, но не могут найти для них более достойного применения. Отраден
тот факт, что значительная часть таких вирусов их авторами часто не
распространяется, и вирусы через некоторое время «умирают» вместе с
дискетами, на которых хранятся. Такие вирусы пишутся скорее всего только
для самоутверждения.
Вторую группу составляют также молодые люди (чаще - студенты), которые еще
не полностью овладели искусством программирования, но уже решили посвятить
себя написанию и распространению вирусов. Единственная причина, толкающая
подобных людей на написание вирусов, это комплекс неполноценности, который
проявляет себя в компьютерном хулиганстве.
Из-под пера подобных «умельцев» часто выходят либо многочисленные
модификации «классических» вирусов, либо вирусы крайне примитивные и с
большим числом ошибок (такие вирусы я называю «студенческими»). Значительно
облегчилась жизнь подобных вирусописателей после выхода конструкторов
вирусов, при помощи которых можно создавать новые вирусы даже при
минимальных знаниях об операционной системе и ассемблере, или даже вообще
не имея об этом никакого представления. Их жизнь стала еще легче после
появления макро-вирусов, поскольку вместо сложного языка Ассемблер для
написания макро-вирусов достаточно изучить довольно простой Бейсик.
Став старше и опытнее, но так и не повзрослев, многие из подобных
вирусописателей попадают в третью, наиболее опасную группу, которая создает
и запускает в мир «профессиональные» вирусы. Эти очень тщательно
продуманные и отлаженные программы создаются профессиональными, часто очень
талантливыми программистами. Такие вирусы нередко используют достаточно
оригинальные алгоритмы, недокументированные и мало кому известные способы
проникновения в системные области данных. «Профессиональные» вирусы часто
выполнены по технологии «стелс» и(или) являются полиморфик-вирусами,
заражают не только файлы, но и загрузочные сектора дисков, а иногда и
выполняемые файлы Windows и OS/2.
Довольно значительную часть в моей коллекции занимают «семейства» - группы
из нескольких (иногда более десятка) вирусов. Представителей каждой их
таких групп можно выделить по одной отличительной черте, которая называется
«почерком»: в нескольких различных вирусах встречаются одни и те же
алгоритмы и приемы программирования. Часто все или почти все представители
семейства принадлежат одному автору, и иногда довольно забавно следить за
«становлением пера» подобного художника - от почти «студенческих» попыток
создать хоть что-нибудь, похожее на вирус, до вполне работоспособной
реализации «профессионального» вируса.
По моему мнению, причина, заставляющая таких людей направлять свои
способности на такую бессмысленную работу все та же - комплекс
неполноценности, иногда сочетающийся с неуравновешенной психикой.
Показателен тот факт, что подобное вирусописательство часто сочетается с
другими пагубными пристрастиями. Так, весной 1997 года один из наиболее
известных в мире авторов вирусов по кличке Talon (Австралия) скончался в
возрасте 21 года от летальной дозы героина.
Несколько отдельно стоит четвертая группа авторов вирусов -
«исследователи». Эта группа состоит из довольно сообразительных
программистов, которые занимаются изобретением принципиально новых методов
заражения, скрытия, противодействия антивирусам и т.д. Они же придумывают
способы внедрения в новые операционные системы, конструкторы вирусов и
полиморфик-генераторы. Эти программисты пишут вирусы не ради собственно
вирусов, а скорее ради «исследования» потенциалов «компьютерной фауны».
Часто авторы подобных вирусов не запускают свои творения в жизнь, однако
очень активно пропагандируют свои идеи через многочисленные электронные
издания, посвященные созданию вирусов. При этом опасность от таких
«исследовательских» вирусов не падает - попав в руки «профессионалов» из
третьей группы, новые идеи очень быстро реализуются в новых вирусах.
Отношение к авторам вирусов у меня тройственное. Во-первых, все, кто пишет
вирусы или способствует их распространению, являются «кормильцами»
антивирусной индустрии, годовой оборот которой я оцениваю как минимум две
сотни миллионов долларов или даже более того (при этом не стоит забывать,
что убытки от вирусов составляют несколько сотен миллионов долларов
ежегодно и в разы превышают расходы на антивирусные программы). Если общее
количество вирусов к концу 1997 года скорее всего достигнет 20.000, то
нетрудно подсчитать, что доход антивирусных фирм от каждого вируса ежегодно
составляет минимум 10 тысяч долларов. Конечно же, авторам вирусов не
следует надеяться на материальное вознаграждение: как показывает практика,
их труд был и остается бесплатным. К тому же на сегодняшний день
предложение (новые вирусы) вполне удовлетворяет спрос (возможности
антивирусных фирм по обработке новых вирусов).
Во-вторых, мне несколько жаль авторов вирусов, особенно «профессионалов».
Ведь для того, чтобы написать подобный вирус, необходимо: a) затратить
довольно много сил и времени, причем гораздо больше, чем требуется для
того, чтобы разобраться в вирусе занести его в базу данных или даже
написать специальный антивирус; и б) не иметь другого, более
привлекательного, занятия. Следовательно, вирусописатели -»профессионалы»
довольно работоспособны и одновременно с этим маются от безделья -
ситуация, как мне кажется, весьма печальная.
И в третьих, к моему отношении к авторам вирусов довольно сильно подмешаны
чувства нелюбви и презрения как к людям, заведомо и бесцельно тратящим себя
во вред всем остальным.
5.Классификация компьютерных вирусов
Вирусы можно разделить на классы по следующим основным признакам:
среда обитания;
операционная система (OC);
особенности алгоритма работы;
деструктивные возможности.
По СРЕДЕ ОБИТАНИЯ вирусы можно разделить на:
файловые;
загрузочные;
макро;
сетевые.
Файловые вирусы либо различными способами внедряются в выполняемые файлы
(наиболее распространенный тип вирусов), либо создают файлы-двойники
(компаньон-вирусы), либо используют особенности организации файловой
системы (link-вирусы).
Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-
сектор), либо в сектор, содержащий системный загрузчик винчестера (Master
Boot Record), либо меняют указатель на активный boot-сектор.
Макро-вирусы заражают файлы-документы и электронные таблицы нескольких
популярных редакторов.
Сетевые вирусы используют для своего распространения протоколы или команды
компьютерных сетей и электронной почты.
Существует большое количество сочетаний - например, файлово-загрузочные
вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие
вирусы, как правило, имеют довольно сложный алгоритм работы, часто
применяют оригинальные методы проникновения в систему, используют стелс и
полиморфик-технологии. Другой пример такого сочетания - сетевой макро-
вирус, который не только заражает редактируемые документы, но и рассылает
свои копии по электронной почте.
Заражаемая ОПЕРАЦИОННАЯ СИСТЕМА (вернее, ОС, объекты которой подвержены
заражению) является вторым уровнем деления вирусов на классы. Каждый
файловый или сетевой вирус заражает файлы какой-либо одной или нескольких
OS - DOS, Windows, Win95/NT, OS/2 и т.д. Макро-вирусы заражают файлы
форматов Word, Excel, Office97. Загрузочные вирусы также ориентированы на
конкретные форматы расположения системных данных в загрузочных секторах
дисков.
Среди ОСОБЕННОСТЕЙ АЛГОРИТМА РАБОТЫ вирусов выделяются следующие пункты:
резидентность;
использование стелс-алгоритмов;
самошифрование и полиморфичность;
использование нестандартных приемов.
РЕЗИДЕНТНЫЙ вирус при инфицировании компьютера оставляет в оперативной
памяти свою резидентную часть, которая затем перехватывает обращения
операционной системы к объектам заражения и внедряется в них. Резидентные
вирусы находятся в памяти и являются активными вплоть до выключения
компьютера или перезагрузки операционной системы. Нерезидентные вирусы не
заражают память компьютера и сохраняют активность ограниченное время.
Некоторые вирусы оставляют в оперативной памяти небольшие резидентные
программы, которые не распространяют вирус. Такие вирусы считаются
нерезидентными.
Резидентными можно считать макро-вирусы, поскольку они постоянно
присутствуют в памяти компьютера на все время работы зараженного редактора.
При этом роль операционной системы берет на себя редактор, а понятие
«перезагрузка операционной системы» трактуется как выход из редактора.
В многозадачных операционных системах время «жизни» резидентного DOS-вируса
также может быть ограничено моментом закрытия зараженного DOS-окна, а
активность загрузочных вирусов в некоторых операционных системах
ограничивается моментом инсталляции дисковых драйверов OC.
Использование СТЕЛС-алгоритмов позволяет вирусам полностью или частично
скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является
перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при
этом либо временно лечат их, либо «подставляют» вместо себя незараженные
участки информации. В случае макро-вирусов наиболее популярный способ —
запрет вызовов меню просмотра макросов. Один из первых файловых стелс-
вирусов — вирус «Frodo», первый загрузочный стелс-вирус — «Brain».
САМОШИФРОВАНИЕ и ПОЛИМОРФИЧНОСТЬ используются практически всеми типами
вирусов для того, чтобы максимально усложнить процедуру детектирования
вируса. Полиморфик-вирусы (polymorphic) - это достаточно труднообнаружимые
вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного
участка кода. В большинстве случаев два образца одного и того же полиморфик-
вируса не будут иметь ни одного совпадения. Это достигается шифрованием
основного тела вируса и модификациями программы-расшифровщика.
Различные НЕСТАНДАРТНЫЕ ПРИЕМЫ часто используются в вирусах для того, чтобы
как можно глубже спрятать себя в ядре OC (как это делает вирус «3APA3A»),
защитить от обнаружения свою резидентную копию (вирусы «TPVO», «Trout2»),
затруднить лечение от вируса (например, поместив свою копию в Flash-BIOS) и
т.д.
По ДЕСТРУКТИВНЫМ ВОЗМОЖНОСТЯМ вирусы можно разделить на:
безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения
свободной памяти на диске в результате своего распространения);
неопасные, влияние которых ограничивается уменьшением свободной памяти на
диске и графическими, звуковыми и пр. эффектами;
опасные вирусы, которые могут привести к серьезным сбоям в работе
компьютера;
очень опасные, в алгоритм работы которых заведомо заложены процедуры,
которые могут привести к потере программ, уничтожить данные, стереть
необходимую для работы компьютера информацию, записанную в системных
областях памяти, и даже, как гласит одна из непроверенных компьютерных
легенд, способствовать быстрому износу движущихся частей механизмов -
вводить в резонанс и разрушать головки некоторых типов винчестеров.
Но даже если в алгоритме вируса не найдено ветвей, наносящих ущерб системе,
этот вирус нельзя с полной уверенностью назвать безвредным, так как
проникновение его в компьютер может вызвать непредсказуемые и порой
катастрофические последствия. Ведь вирус, как и всякая программа, имеет
ошибки, в результате которых могут быть испорчены как файлы, так и сектора
дисков (например, вполне безобидный на первый взгляд вирус «DenZuk»
довольно корректно работает с 360K дискетами, но может уничтожить
информацию на дискетах большего объема). До сих пор попадаются вирусы,
определяющие «COM или EXE» не по внутреннему формату файла, а по его
расширению. Естественно, что при несовпадении формата и расширения имени
файл после заражения оказывается неработоспособным. Возможно также
«заклинивание» резидентного вируса и системы при использовании новых версий
DOS, при работе в Windows или с другими мощными программными системами. И
так далее.
6. Перспективы: что будет завтра и послезавтра
А что же будет дальше? И как долго вирусы будут нас беспокоить? - вопросы,
который в той или иной мере беспокоит практически всех пользователей.
6.1. Что будет завтра?
Чего ожидать от компьютерного андеграунда в последующие годы? Скорее всего
основными проблемами останутся: 1) полиморфик-DOS-вирусы, к которым
добавятся проблемы полиморфизма в макро-вирусах и вирусах для Windows и
OS/2; 2) макро-вирусы, которые будут находить все новые и новые приемы
заражения и скрытия своего кода в системе; 3) сетевые вирусы, использующие
для своего распространения протоколы и команды компьютерных сетей.
Пункт 3) находится пока только на самой ранней стадии - вирусы делают
первые робкие попытки самостоятельно распространять свой код по MS Mail и
пользуясь ftp, однако все еще впереди.
Не исключено, что появятся и другие проблемы, которые принесут немало
неприятностей пользователям и достаточное количество неурочной работы
разработчикам антивирусных программ. Однако я смотрю на будущее с
оптимизмом: все проблемы, когда-либо встававшие в истории развития вирусов,
были довольно успешно решены. Скорее всего так же успешно будут решаться и
будущие проблемы, пока еще только витающие идеями в воспаленном разуме
вирусописателей.
6.2. Что будет послезавтра?
Что будет послезавтра и как долго вообще будут существовать вирусы? Для
того, чтобы ответить на этот вопрос следует определить, где и при каких
условиях водятся вирусы.
Основная питательная среда для массового распространения вируса в ЭВМ, на
мой взгляд, обязана содержать следующие необходимые компоненты:
незащищенность операционной системы (ОС);
наличие разнообразной и довольно полной документации по OC и «железу»;
широкое распространение этой ОС и этого «железа».
Следует отметить, что понятие операционной системы достаточно растяжимое.
Например, для макро-вирусов операционной системой являются редакторы Word и
Excel, поскольку именно редакторы, а не Windows предоставляют макро-вирусам
(т.е. программам на Бейсике) необходимые ресурсы и функции.
Если в операционной системе присутствуют элементы защиты информации, как
это сделано практически во всех ОС, вирусу будет крайне трудно поразить
объекты своего нападения, так как для этого потребуется (как минимум)
взломать систему паролей и привилегий. В результате работа, необходимая для
написания вируса, окажется по силам только профессионалам высокого уровня
(вирус Морриса для VAX - пример этому). А у профессионалов, на мой взгляд,
уровень порядочности все-таки намного выше, чем в среде потребителей их
продукции, и, следовательно, число созданных и запущенных в большую жизнь
вирусов еще более сократится.
Для массового производства вирусов также необходимо и достаточное
количество информации о среде их обитания. Какой процент от числа системных
программистов, работающих на мини-ЭВМ в операционках UNIX, VMS и т.д. знает
систему управления процессами в оперативной памяти, полные форматы
выполняемых файлов и загрузочных записей на диске? (т.е. информацию,
необходимую для создания вируса). И следовательно, какой процент от их
числа в состоянии вырастить настоящего полноценного зверя? Другой пример -
операционная система Novell NetWare, достаточно популярная, но крайне слабо
документированная. В результате мне пока не известно ни одного вируса,
поразившего выполняемые файлы Novell NetWare, несмотря на многочисленные
обещания вирусописателей выпустить такой вирус в ближайшее время.
Ну а по поводу широкого распространения ОС как необходимого условия для
вирусного нашествия и говорить надоело: на 1000 программистов только 100
способны написать вирус, на эту сотню приходится один, который эту идею
доведет до завершения. Теперь полученную пропорцию умножаем на число тысяч
программистов - и получаем результат: с одной стороны 15.000 или даже
20.000 полностью IBM-совместимых вирусов, с другой - несколько сот вирусов
для Apple-Macintosh. Такое же несоответствие пропорций наблюдается и в
сравнении общего количества вирусов для Windows (несколько десятков) и для
OS/2 (несколько штук).
Приведенным выше трем условиям «расцвета» компьютерных вирусов
удовлетворяют сразу несколько OS (включая редакторы), производимых фирмой
Microsoft (DOS, Windows, Win95/NT и Word, Excel, Office97), что дает
благодатную почву для существования самых разнообразных файловых и макро-
вирусов. Удовлетворяют приведенным условиям также и стандарты разбиения
жестких дисков. Результат - разнообразные варианты загрузочных вирусов,
поражающих систему в момент ее загрузки.
Для того, чтобы прикинуть продолжительность нашествия компьютерных вирусов
в какой-либо OC, надо оценить время сосуществования приведенных выше
необходимых условий.
Довольно очевидно, что в обозримом будущем фирмы IBM и Apple не собираются
уступать массовый рынок своим конкурентам (на радость Apple- и IBM-
программистам), даже если для этого этим фирмам придется объединить усилия.
Не представляется возможным и усечение потока информации по наиболее
распространенным системам, так как это ударит по числу приложений для них,
а следовательно, и по их «продаваемости». Остается только одно - защита ОС.
Однако, защищенность ОС требует исполнения некоторых правил (паролей и
т.п.), что приводит к ряду неудобств. Поэтому мне кажется маловероятным,
что такие ОС станут популярными в среде обычных пользователей - секретарш,
бухгалтеров, на домашних компьютерах, и т.д., и т.п., либо функции защиты
будут отключаться пользователем еще при установке ОС.
Исходя из вышесказанного можно сделать единственный вывод: вирусы успешно
внедрились в повседневную компьютерную жизнь и покидать ее в обозримом
будущем не собираются.
Список использованных материалов:
1. http://www.symantec.ru/region/ru/product/navbrochure/index.htm
2. http://www.symantec.ru
3. http://www.dials.ru/
4. http://www.avp.ru/
5. http://www2.dialognauka.ru/
6. http://www.apl.ru/isvwsolaris.htm
7. http://www.act.ru/av/Solomon/DrSolom_report.asp
Страницы: 1, 2
ИНТЕРЕСНОЕ
© 2009 Все права защищены. |