Московська Державна Юридична Академія p>
Інститут Прокуратури p>
залікова робота на тему: «ВІРУСИ». p>
Кафедра правової інформатики та математики p>
Роботу підготувала p>
Студентка I-го курсу p>
Групи № 2 p>
Мережко А. К. p>
Москва, 2001 p >
Зміст. p>
Вступ 3 p>
1. Феномен комп'ютерних вірусів 4 p>
2. Що таке комп'ютерний вірус 6 p>
2.1. Пояснення для домогосподарки 6 p>
2.2. Спроба дати «нормальне» визначення 7 p>
3. Хто і чому пише віруси? 11 p>
5.Классіфікація комп'ютерних вірусів 14 p>
6. Перспективи: що буде завтра і післязавтра 16 p>
6.1. Що буде завтра? 16 p>
6.2. Що буде післязавтра? 17 p>
Список використаних матеріалів: 19 p>
Введення
Комп'ютерні віруси. Що це таке і як з цим боротися? На цю темунаписано десятки книг і сотні статей, боротьбою з комп'ютерними вірусамипрофесійно займаються сотні (або тисячі) фахівців в десятках (аможе бути, сотнях) компаній. Здавалося б, ця тема не настільки складна іактуальна, щоб бути об'єктом такої пильної уваги. Однак це нетак. Комп'ютерні віруси були і залишаються однією з найбільш поширенихпричин втрати інформації. Відомі випадки, коли віруси блокували роботуорганізацій і підприємств. Більше того, кілька років тому був зафіксованийвипадок, коли комп'ютерний вірус став причиною загибелі людини - в одному згоспіталів Нідерландів пацієнт отримав летальну дозу морфію з тієїпричини, що комп'ютер був заражений вірусом і видавав невірну інформацію.
Незважаючи на величезні зусилля конкуруючих між собою антивірусних фірм,збитки, принесені комп'ютерними вірусами, не падають і досягаютьастрономічних величин в сотні мільйонів доларів щорічно. Ці оцінкиявно занижені, оскільки відомо стає лише про частину подібнихінцидентів.
При цьому слід мати на увазі, що антивірусні програми і «залізо» недають повної гарантії захисту від вірусів. Приблизно так само погано йдуть справина іншій стороні тандему «людина-комп'ютер». Як користувачі, так іпрофесіонали-програмісти часто не мають навіть навиків «самооборони», а їхуявлення про вірус інколи є настільки поверхневими, що кращеб їх (подань) і не було.
Трохи краще йдуть справи на Заході, де і літератури побільше (видаєтьсяаж три щомісячних журналу, присвячених вірусам і захисту від них), і вірусівтрохи менше (оскільки «ліві» китайські компакт-диски особливо на ринок ненадходять), і антивірусні компанії ведуть себе активніше (проводячи, наприклад,спеціальні конференції і семінари для фахівців і користувачів).
У нас же, на жаль, все це не зовсім так. І одним з найменш
»Опрацьованих» пунктів є література, присвячена проблемам боротьби звірусами. На сьогоднішній день наявна на прилавках магазинів друкованапродукція антивірусного толку або давно застаріла, або написананепрофесіоналами, або авторами типу Хижняка, що набагато гірше.
Досить неприємним моментом є також випереджає робота Російськогокомп'ютерного «андеграунду»: лише за два роки було випущено більше десяткаелектронних номерів журналу вірусописьменників «Infected Voice», з'явилосякілька станцій BBS і WWW-сторінок, орієнтовані на поширеннявірусів та супутньої інформації.
Все це і послужило поштовхом до того, щоб зібрати воєдино весь матеріал,який накопичився у мене за вісім років професійної роботи зкомп'ютерними вірусами, їх аналізу та розробки методів виявлення ілікування. p>
1. Феномен комп'ютерних вірусів
20-е сторіччя, безсумнівно, є одним з поворотних етапів у життілюдства. Як сказав один з письменників-фантастів, «людствопонеслося вперед, як стимульована кінь ", і, визначивши себе яктехнократичну цивілізацію, всі свої сили наші діди, батьки і ми самікинули на розвиток техніки у найрізноманітніших її обличчях - від медичнихприладів до космічних апаратів, від сільськогосподарських комбайнів доатомних електростанцій, від транспорту до систем зв'язку, - список нескінченний,оскільки вкрай складно привести область діяльності людства, непорушену розвитком техніки.// Що було причиною настількиширокомасштабного і стрімкого розвитку - військове протистоянняполітичних систем, еволюційне «поумненіе» людини або йогопатологічна лінь (винайти колесо, щоб не тягати мамонта на плечах) --поки неясно. Залишимо цю загадку для істориків наступних століть.
Людство захоплено технікою і вже навряд чи відмовиться від зручностей,наданих нею (мало хто захоче поміняти сучасний автомобіль нагужову тягу). Вже дуже багатьма геть забута звичайна пошта з їїконвертами і листоношами - замість неї прийшла електронна пошта з їїприголомшливою швидкістю доставки (до декількох хвилин незалежно відвідстані) і дуже високою надійністю. Не уявляю собі існуваннясучасного суспільства без комп'ютера, здатного багаторазово підвищитипродуктивність праці та доставити будь-яку мислиму інформацію (щосьна кшталт принципу «піди туди, не знаю куди, знайди те, не знаю що»). Вже недивуємося мобільному телефону на вулиці - я й сам до нього звик всього заодин день.
20-е сторіччя також є одним з найбільш суперечливих, що принеслиісторії людства чимало парадоксів, основною з яких, як меніздається, є ставлення людини до природи. Переставши жити в дружбі зприродою, перемігши її і довівши собі, що легко може її знищити, людинараптом зрозумів, що загине й сам, - і помінялися ролі в драмі "Людина-
Природа ». Раніше людина захищав себе від природи, тепер же він все більше ібільше захищає природу від самого себе. Іншим феноменом 20-го століттяє ставлення людини до релігії. Ставши технократів, людина неперестав вірити в Бога (або його аналогів). Більше того, з'явилися й зміцнілиінші релігії.
До основних технічних феноменів 20-го століття відносяться, на мій погляд,поява людини в космосі, утилізація атомної енергії речовини,грандіозний прогрес систем зв'язку і передачі інформації і, звичайно ж,приголомшливе розвиток мікро-і макро-комп'ютерів. І як тільки з'являєтьсязгадка про феномен комп'ютерів, так тут же виникає ще один феноменкінця нашого століття - феномен комп'ютерних вірусів.
Бути може, багатьом видасться смішним чи легковажним те, що фактвиникнення комп'ютерних вірусів поставлений в один ряд з дослідженнямикосмосу, атомного ядра і розвитком електроніки. Можливо, що я неправий усвоїх міркуваннях, але дайте можливість порозумітися.
По-перше, комп'ютерні віруси - це серйозна і досить помітнапроблема, виникнення якої ніхто не чекав. Навіть всевидющі фантасти -футурологи минулого не говорять про це нічого (наскільки це мені відомо).
У їхніх численних творах з тією або іншою точністю передбаченіпрактично всі технічні досягнення сьогодення (згадаємо, наприклад,
Уеллса з його ідеєю польоту з гармати на Місяць і марсіан, озброєних якимсьподобою лазера). Якщо ж говорити про обчислювальних машинах, то тема цявилизане до краю - однак немає жодного пророцтва, присвяченогокомп'ютерним вірусам. Тема вірусу в творах письменників з'явилася вжепісля того, як перший реальний вірус уразив свій перший комп'ютер.
По-друге, комп'ютерні віруси - це перша цілком вдала спроба створитижиття. Спроба вдала, але не можна сказати, що корисна - сучаснікомп'ютерні «мікроорганізми» найбільше нагадують комах-шкідників,приносять тільки проблеми та неприємності.
Але все-таки - життя, оскільки комп'ютерним вірусам властиві всі атрибутиживого - здатність до розмноження, пристосування до середовища, руху іт.д. (природно, тільки в межах комп'ютерів - так же как всевищесказане вірно для біологічних вірусів в межах клітин організму).
Більше того, існують «двостатеві» віруси (див. вірус RMNS), а прикладом
«Багатоклітинного» можуть служити, наприклад, макро-віруси, що складаються здекількох незалежних макросів.
І, по-третє, тема вірусів стоїть дещо окремо від усіх іншихзавдань, що вирішуються за допомогою комп'ютера (забудемо про таких специфічних завданнях,як злом захисту від копіювання і криптографію). Практично всі проблеми,вирішуються за допомогою обчислювальної техніки, є продовженнямцілеспрямованої боротьби людини з навколишнім його природою. Природа ставитьлюдині довге нелінійне диференціальне рівняння у тривимірномупросторі - людина набиває комп'ютер процесорами, пам'яттю, обважуєкурними проводами, багато палить і в підсумку вирішує це рівняння (абоперебуває в стані упевненості, що вирішив). Природа дає людині шматокдроти з цілком певними характеристиками - людина придумуєалгоритми передачі якомога більшого обсягу інформації з цього проводу,мучить його модуляціями, стискає байти в біти і терпляче чекаєнадпровідності при кімнатній температурі. Природа (в особі фірми IBM)дає людині чергове обмеження у вигляді чергової версії IBM PC - ілюдина не спить ночами, знову багато палить, оптимізуючи коди черговий базиданих, щоб умістити її в надані йому ресурси оперативної тадискової пам'яті. І так далі.
А от боротьба з комп'ютерними вірусами є боротьбою людини злюдським розумом ж (в певному сенсі теж проявом природних сил,хоча на цей рахунок є більше однієї думки). Ця боротьба є боротьбоюумов, оскільки завдання, що стоять перед вірусологами, ставлять такі ж люди.
Вони придумують новий вірус - а нам з ним розбиратися. Потім вонипридумують вірус, на якому розібратися дуже важко - але ми з нимрозбираємося. І зараз напевно десь сидить за комп'ютером хлопець, якийне дурніші за мене, що страждає над черговим монстром, в якому мені доведетьсярозбиратися цілий тиждень, а потім ще один тиждень налагоджувати алгоритмантивіруса. До речі, чим не еволюція живих організмів?
Отже, поява комп'ютерних вірусів - одна з найбільш цікавих моментівв історії технічного прогресу 20-го століття, і настав момент закінчити зоколофілософскімі міркуваннями і перейти до конкретних питань. І питанняпро визначення поняття «комп'ютерний вірус» буде стояти на першому місці.
Так що ж таке комп'ютерний вірус? P>
2. Що таке комп'ютерний вірус
Пояснень, що таке комп'ютерний вірус, можна навести кілька. Самоепросте - побутове пояснення для домогосподарки, яка жодного разу в життікомп'ютера не бачила, але знає, що Він є, і що в Ньому водяться Віруси.
Таке пояснення дається досить легко, чого не можна сказати про другийпоясненні, розрахованому на фахівця в області програм. Мені поки непредставляється можливим дати точне визначення комп'ютерного вірусу іпровести чітку межу між програмами за принципом «вірус - невірус».
2.1. Пояснення для домогосподарки
Пояснення буде дано на прикладі клерка, що працює виключно зпаперами. Ідея такого пояснення належить Д. Н. Лозинському, одному знайвідоміших «докторів».
Уявімо собі акуратного клерка, який приходить на роботу до себе вконтору і щодня виявляє у себе на столі стопку аркушів паперу зсписком завдань, які він повинен виконати за робочий день. Клерк береверхній лист, читає вказівки начальства, пунктуально їх виконує,викидає «відпрацьований» лист у відро для сміття і переходить до наступноголисту. Припустимо, що якийсь зловмисник потайки прокрадається в конторуі підкладає в стос паперів лист, на якому написано наступне:
«Переписати цей лист два рази і покласти копії в стопку завдань сусідів»
Що зробить клерк? Двічі перепише лист, покладе його сусідам на стіл,знищить оригінал і перейде до виконання другого листа з стопки, тобтопродовжить виконувати свою справжню роботу. Що зроблять сусіди, будучитакими ж акуратними клерками, виявивши нове завдання? Те ж, що йперший: перепишуть його по два рази і роздадуть іншим клеркам. Разом, вконторі бродять вже чотири копії первинного документа, які й далібудуть копіюватися і лунати на інші столи.
Приблизно так само працює і комп'ютерний вірус, тільки стопками паперів -вказівок є програми, а клерком - комп'ютер. Так само як і клерк,комп'ютер акуратно виконує всі команди програми (листи завдань),починаючи з першого. Якщо ж перша команда звучить як «скопируй мене в дваінші програми », то комп'ютер так і зробить, - і команда-вірус потрапляє вдві інші програми. Коли комп'ютер перейде до виконання інших
»Заражених» програм, вірус тим же способом буде розходитись все далі йдалі по всьому комп'ютеру.
У наведеному вище прикладі про клерка і його контору лист-вірус неперевіряє, чи заражена чергова папка завдань чи ні. У цьому випадку до кінцяробочого дня контора буде завалена такими копіями, а клерки тільки й будутьщо переписувати один і той же текст і роздавати його сусідів - адже першіклерк зробить дві копії, чергові жертви вірусу - уже чотири, потім 8, 16,
32, 64 і т.д., тобто кількість копій кожного разу буде збільшуватися в дварази.
Якщо клерк на переписування одного листа витрачає 30 секунд і ще 30 секундна роздачу копій, то через годину по конторі буде «бродити» більш
1.000.000.000.000.000.000 копій вірусу! Швидше за все, звичайно ж, не вистачитьпаперу, і поширення вірусу буде зупинено по настільки банальноюпричини.
Як це не смішно (хоча учасникам цього інциденту було зовсім не смішно),саме такий випадок стався в 1988 році в Америці - кілька глобальнихмереж передачі інформації виявилися переповненими копіями мережевого вірусу
(вірус Морріса), який розсилав себе від комп'ютера до комп'ютера. Тому
«Правильні» віруси роблять так:
«Переписати цей лист два рази і покласти копії в стопку завдань сусідів,якщо у них ще немає цього листа ».
Проблема вирішена - «перенаселення» немає, але кожна стопка містить по копіївірусу, при цьому клерки ще встигають справлятися і з звичайною роботою.
«А як же знищення даних?» - Запитає добре ерудована домогосподарка.
Все дуже просто - достатньо дописати на лист приблизно наступне:
«1. Переписати цей лист два рази і покласти копії в стопку завданьсусідів, якщо у них ще немає цього листа. p>
2. Подивитись на календар - якщо сьогодні п'ятниця, яка потрапила на 13-те число,викинути всі документи в кошик для сміття »
Приблизно це і виконує добре відомий вірус «Jerusalem» (іншаназва - «Time»).
До речі, на прикладі клерка дуже добре видно, чому в більшості випадківне можна точно визначити, звідки в комп'ютері з'явився вірус. Всі клеркимають однакові (з точністю до почерку) КОПІЇ, але оригінал-то з почеркомзловмисника вже давно у кошику!
Ось таке просте пояснення роботи вірусу. Плюс до нього хотілося бпривести дві аксіоми, які, як це не дивно, не для всіх єочевидними:
По-перше, віруси не виникають самі собою - їх створюють дуже злі інехороші програмісти-хакери і розсилають, потім по мережі передачі данихабо підкидають на комп'ютери знайомих. Вірус не може сам собою з'явитисяна Вашому комп'ютері - або його підсунули на дискетах або навіть на компакт -диску, або Ви його випадково скачали з комп'ютерної мережі передачі даних,або вірус жив у Вас в комп'ютері з самого початку, або (що найжахливіше)програміст-хакер живе у Вас в будинку.
По-друге: комп'ютерні віруси заражають тільки комп'ютер і нічого більше,тому не треба боятися - через клавіатуру і мишу вони не передаються.
2.2. Спроба дати «нормальне» визначення
Перші дослідження саморозмножуються штучних конструкційпроводилися в середині нинішнього сторіччя. У роботах фон Неймана, Вінера іінших авторів дано визначення і проведене математичний аналіз кінцевихавтоматів, у тому числі і самовідтворюються. Термін «комп'ютерний вірус»з'явився пізніше - офіційно вважається, що його вперше вживспівробітник Лехайского університету (США) Ф. Коен у 1984 р. на 7-й конференціїз безпеки інформації, яка проводилася в США. З тих пір минуло чималочасу, гострота проблеми вірусів багаторазово зросла, однак строгоговизначення, що ж таке комп'ютерний вірус, так і не дано, не дивлячись нате, що спроби дати таке визначення починалися неодноразово.
Основні труднощі, що виникає при спробах дати строге визначеннявірусу, полягає в тому, що практично усі відмітні риси вірусу
(впровадження в інші об'єкти, скритність, потенційна небезпека і ін.)або властиві іншим програмам, які жодним чином вірусами неє, або існують віруси, які не містять?? здаватися вищевідмінних рис (за винятком можливості поширення).
Наприклад, якщо як відмінною характеристики вірусу приймаєтьсяскритність, то легко привести приклад вірусу, що не приховує свогорозповсюдження. Такий вірус перед зараженням будь-якого файлу виводитьповідомлення, з якого випливає, що в комп'ютері знаходиться вірус і цей вірус готовийвразити черговий файл, потім виводить ім'я цього файлу і запитуєдозвіл користувача на упровадження вірусу у файл.
Якщо як відмінною риси вірусу приводиться можливістьзнищення їм програм і даних на дисках, то як контрприклади доданої відмінною межі можна привести десятки зовсім необразливихвірусів, що крім свого поширення нічим більше не відрізняються.
Основна ж особливість комп'ютерних вірусів - можливість їхмимовільного впровадження в різні об'єкти операційної системи --властива багатьом програмам, які не є вірусами. Наприклад, самапоширена операційна система MS-DOS має в собі все необхідне,щоб мимовільно встановлюватися на не-DOS'овскіе диски. Для цьогодосить на завантажувальний флоппі-диск, що містить DOS, записати файл
AUTOEXEC.BAT такого змісту:
SYS A:
COPY *.* A:
SYS B:
COPY *.* B:
SYS C:
COPY *.* C:
... p>
Модифікована в такий спосіб DOS сама стане самим дійсним вірусом зточки зору практично будь-якого існуючого визначення комп'ютерноговірусу.
Таким чином, перша з причин, що не дозволяють дати точне визначеннявірусу, є неможливість однозначно виділити відмітні ознаки,які відповідали б тільки вірусам.
Другий ж труднощами, що виникає при формулюванні визначеннякомп'ютерного вірусу є те, що дане визначення повинне бутиприв'язане до конкретної операційної системи, у якій цей віруспоширюється. Наприклад, теоретично можуть існувати операційнісистеми, у яких наявність вірусу просто неможливо. Таким прикладом можеслужити система, де заборонено створювати і змінювати області виконуваногокоду, тобто заборонено змінювати об'єкти, які або вже виконуються, абоможуть виконуватися системою при яких-небудь умовах.
Тому представляється можливим сформулювати тільки обов'язкова умовадля того, щоб деяка послідовність виконуваного коду булавірусом. p>
ОБОВ'ЯЗКОВОЮ (необхідно) ВЛАСТИВОСТІ КОМП'ЮТЕРНОГО ВІРУСУ єможливість створювати свої дублікати (не обов'язково збігаються зоригіналом) і впроваджувати їх в обчислювальні мережі і/або файли, системніобласті комп'ютера та інші виконувані об'єкти. При цьому дублікатизберігають здатність до подальшого поширення. p>
Слід зазначити, що ця умова не є достатньою (тобтоостаточним), оскільки, дотримуючись вищенаведеного прикладу, операційнасистема MS-DOS задовольняє даній властивості, але вірусом, швидше за все, неє.
От чому точного визначення вірусу немає дотепер, і навряд чи воноз'явиться в доступному для огляду майбутньому. Отже, немає точно визначеногозакону, по якому «гарні» файли можна відрізнити від «вірусів». Більшетого, іноді навіть для конкретного файлу досить складно визначити,є він вірусом чи ні.
Ось два приклади: вірус KOH і програма ALREADY.COM.
Приклад 1. Є ... вірус? утиліта? з назвою KOH. Ця програмашифрує/розшифровує диски тільки на запит користувача. Виконана вонау вигляді завантажувального диска - boot-Cектор містить bootstrap loader KOH, адесь в інших секторах лежить основний код KOH. При завантаженні з дискети KOHзадає користувачеві питання типу: «А можна, я сам себе встановлю навінчестер? »(якщо він вже на вінчестері, то запитує те ж саме продискету). При позитивному відповіді KOH переносить себе з диска на диск.
У результаті KOH переносить (копіює) сам себе з дискети на вінчестер, а звінчестера на дискети, але тільки з дозволу власника комп'ютера.
Потім KOH виводить текст про свої hot-keys ( «гарячі» клавіші), за якими віншифрує/розшифровує диски - запитує пароль, читає сектора, шифруєїх і робить недоступними, якщо не знати пароль. Є в нього, до речі, ключдеінсталяції, по Якому він сам себе з диска прибирає (розшифрувавши,природно, все, що було зашифровано).
Разом, KOH - це якась утиліта захисту інформації від несанкціонованогодоступу. Додана до неї, правда, одна особливість: Ця утиліта сама себеможе копіювати з диска на диск (з дозволу користувача). Вірус чице? .. Так чи ні? Швидше за все - ні ...
І все б було нічого, і ніхто б цю утиліту на ім'я KOH вірусом необізвав, але тільки bootstrap loader у цього KOH практично на 100%збігається з досить «популярним» вірусом «Havoc» ( «StealthBoot »)... «І все
- І кришка свята ». Вірус! І офіційна назва є -
«StealthBoot.KOH».
Якщо б, звичайно, автором KOH був би добре відомий програміст, а,скажімо, Сімантек, або Sierra, або навіть Сам Microsoft, то ніхто б і непосмів назвати це вірусом ...
Приклад 2. Є якась програма ALREADY.COM, яка сама себе копіює врізні підкаталоги на диску в залежності від системної дати. Вірус? Звичайнотак - типовий вірус-хробак, сам себе розповзаються по дисках (включаючимережеві). Так? .. Так!
«Ви грали - але не вгадали жодної літери!» Hе вірус це, як виявилося, акомпонента від якогось софтвера. Однак якщо це фото висмикнути з цьогософтвера, то він веде себе як типовий вірус.
Разом було наведено дві живих прикладу:
1. не-вірус - вірус
2. вірус - не-вірус p>
Уважний читач, який не проти посперечатися, може заперечити: p>
Стоп. Назву «віруси» стосовно програм прийшло з біології саме за ознакою саморозмноження. КОH цій умові відповідає, отже це є вірус (чи комплекс, що включає вірусний компонент )...< br>У такому випадку DOS є вірусом (чи комплексом, що включає віруснийкомпонент), оскільки в ньому є команда SYS і COPY. А якщо на дискуприсутній файл AUTOEXEC.BAT, приведений декількома абзацами вище, тодля розмноження не буде потрібно навіть втручання користувача. Плюс доцього: якщо прийняти за необхідний і достатній ознаку вірусу можливістьсаморозмноження, то тоді будь-яка програма, що має інсталятор, євірусом. Разом: аргумент не проходить. P>
... що, якщо під вірусом розуміти не просто «саморозмножуються код», але p>
«саморозмножуються код, який не виконує корисних дій або навіть приносить шкоду, без залучення/інформування користувача »...< br>Вірус KOH є програмою, шифрувальної диски по паролю, що вводитьсякористувачем. _Все_ Свої дії KOH коментує на екрані і запитуєдозволу користувача. Плюс до того має Деінсталятор - розшифровуєдиски і видаляє з них свій код. Проте все одно - вірус! P>
Якщо у випадку з ALREADY.COM залучити суб'єктивні критерії (корисна/не корисна, входить у комплект/самостійна і т.п.), то, можливо, це і не варто називати вірусом/черв'яком. Але чи варто залучати ці самі суб'єктивні критерії?
А які можуть бути об'єктивні критерії вірусу? Саморозмноження, скритністьі деструктивні властивості? Але адже на кожен об'єктивний критерій можнанавести два контрприклади - a) приклад вірусу, не відповідного під критерій,і b) приклад не-вірусу, що підходить під критерій:
Саморозмноження: p>
1. Intended-віруси, що не вміють розмножуватися через велику кількість помилок, або що розмножуються тільки при дуже обмежених умовах. P>
2. MS-DOS і варіації на тему SYS + COPY.
Скритність: p>
1. Віруси «KOH», «VirDem», «Macro.Word.Polite» і деякі інші інформують користувача про свою присутність і розмноження. P>
2. Скільки приблизно (з точністю до десятка) драйверів сидить під стандартної Windows95? Приховано сидить, між іншим.
Деструктивні властивості: p>
1. Звичайні віруси, типу «Yankee», які чудово живуть в DOS, p>
Windows 3.x, Win95, NT і нічого нікуди не гадять. P>
2. Старі версії Norton Disk Doctor'а на диску з довгими іменами файлів. P>
Запуск NDD в цьому випадку перетворює Disk Doctor'а в Disk Destroyer'а.
Тому тема «нормального» визначення комп'ютерного вірусу залишаєтьсявідкритою. Є тільки кілька точних віх: наприклад, файл COMMAND.COMвірусом не є, а сумно відома програма з текстом «Dis is onehalf »є стовідсотковим вірусом (» OneHalf »). Все, що лежить міжними, може, як виявитися вірусом, так і немає. p>
3. Хто і чому пише віруси?
Сам я написанням вірусів не займався, з їх авторами перетинаюся доситьрідко, і, отже, мої міркування з цього приводу можуть бути лишесуто теоретичними.
Так хто ж пише віруси? На мій погляд, основну масу їх створюють студентиі школярі, які тільки що вивчили мову асемблера, хочуть спробуватисвої сили, але не можуть знайти для них більш гідного застосування. Отрадітой факт, що значна частина таких вірусів їх авторами часто непоширюється, і віруси через деякий час «вмирають» разом здискетами, на яких зберігаються. Такі віруси пишуться швидше за все тількидля самоствердження.
Другу групу складають також молоді люди (частіше - студенти), які щене повністю оволоділи мистецтвом програмування, але вже вирішили присвятитисебе написання та розповсюдження вірусів. Единственная причина, що штовхаєподібних людей на написання вірусів, це комплекс неповноцінності, якийпроявляє себе в комп'ютерному хуліганстві.
З-під пера таких «умільців» часто виходять або численнімодифікації «класичних» вірусів, або віруси вкрай примітивні і звеликою кількістю помилок (такі віруси я називаю «студентськими»). Значнополегшилася життя подібних вірусів після виходу конструкторіввірусів, за допомогою яких можна створювати нові віруси навіть примінімальних знаннях про операційну систему та асемблері, або навіть взагаліне маючи про це ніякого уявлення. Їх життя стало ще легше післяпояви макро-вірусів, оскільки замість складного мови Асемблер длянаписання макро-вірусів досить вивчити досить простий Бейсік.
Ставши старшим і більш досвідчений, але так і не подорослішав, багато хто з подібнихвірусописьменників потрапляють у третьому, найбільш небезпечну групу, яка створюєі запускає у світ «професійні» віруси. Ці дуже ретельнопродумані і налагоджені програми створюються професійними, часто дужеталановитими програмістами. Такі віруси нерідко використовують доситьоригінальні алгоритми, недокументовані і мало кому відомі способипроникнення в системні області даних. «Професійні» віруси частовиконані за технологією «стелс» і (або) є поліморфік-вірусами,заражають не тільки файли, але і завантажувальні сектори дисків, а іноді йвиконувані файли Windows і OS/2.
Досить значну частку у моїй колекції займають «сімейства» - групиз декількох (іноді більше десятка) вірусів. Представників кожної їхтаких груп можна виділити з однією відмінною межі, яка називається
«Почерком»: за кілька різних віруси зустрічаються одні й ті жалгоритми і прийоми програмування. Часто всі або майже всі представникисімейства належать одному авторові, і іноді досить забавно стежити за
«Становленням пера» подібного художника - від майже «студентських» спробстворити бодай щось, схоже на вірус, до цілком працездатноюреалізації «професійного» вірусу.
На мою думку, причина, що змушує таких людей направляти своїздатності на таку безглузду роботу все та ж - комплекснеповноцінності, іноді поєднується з неврівноваженою психікою.
Показовим є той факт, що подібне вірусопісательство часто поєднується зіншими згубними пристрастями. Так, навесні 1997 року один з найбільшвідомих у світі авторів вірусів на прізвисько Talon (Австралія) помер ввіці 21 року від летальної дози героїну.
Кілька окремо варто четверта група авторів вірусів -
«Дослідники». Ця група складається з досить кмітливихпрограмістів, які займаються винаходом принципово нових методівзараження, приховування, протидії антивірусам і т.д. Вони ж придумуютьспособи впровадження в нові операційні системи, конструктори вірусів іполіморфік-генератори. Ці програмісти пишуть віруси не заради власневірусів, а швидше ради «дослідження» потенціалів «комп'ютерної фауни».
Часто автори подібних вірусів не запускають свої творіння у життя, протедуже активно пропагують свої ідеї через численні електроннівидання, присвячені створенню вірусів. При цьому небезпека від таких
«Дослідних» вірусів не падає - потрапивши до рук «професіоналів» зтретьої групи, нові ідеї дуже швидко реалізуються в нових віруси.
Ставлення до авторів вірусів у мене Троїста. По-перше, всі, хто пишевіруси або сприяє їх розповсюдженню, є «годувальниками»антивірусної індустрії, річний оборот якої я оцінюю як мінімум двісотні мільйонів доларів або навіть більше того (при цьому не варто забувати,що збитки від вірусів становлять кілька сотень мільйонів доларівщорічно і в рази перевищують витрати на антивірусні програми). Якщо загальнакількість вірусів до кінця 1997 року швидше за все досягне 20.000, тоневажко підрахувати, що дохід антивірусних фірм від кожного вірусу щорічноскладає мінімум 10 тисяч доларів. Звичайно ж, авторам вірусів неслід сподіватися на матеріальну винагороду: як показує практика,їх праця була і залишається безкоштовним. До того ж на сьогоднішній деньпропозиція (нові віруси) цілком задовольняє попит (можливостіантивірусних фірм з обробки нових вірусів).
По-друге, мені трохи шкода авторів вірусів, особливо «професіоналів».
Адже для того, щоб написати подібний вірус, необхідно: a) затратитидосить багато сил і часу, причому набагато більше, ніж потрібно длятого, щоб розібратися у вірусу занести його до бази даних або навітьнаписати спеціальний антивірус, і б) не мати іншого, більшпривабливого, заняття. Отже, Вірусописьменники - »професіонали»досить працездатні і одночасно з цим маються від неробства --ситуація, як мені здається, дуже сумна.
І по-третє, на моє ставлення до авторів вірусів досить сильно підмішанапочуття нелюбові і презирства як до людей, свідомо і безцільно що витрачають себена шкоду всім іншим. p>
5.Классіфікація комп'ютерних вірусів
Віруси можна розділити на класи за такими основними ознаками:середовище перебування;операційна система (OC);особливості алгоритму роботи;деструктивні можливості.
За Навколишнє середовище віруси можна розділити на:файлові;завантажувальні;макро;мережеві.
Файлові віруси або різноманітними засобами впроваджуються у виконувані файли
(найбільш поширений тип вірусів), або створюють файли-двійники
(компаньйон-віруси), або використовують особливості організації файловоїсистеми (link-віруси).
Завантажувальні віруси записують себе або в завантажувальний сектор диску (boot -сектор), або в сектор, що містить системний завантажувач вінчестера (Master
Boot Record), або змінюють покажчик на активний boot-сектор.
Макро-віруси заражають файли-документи й електронні таблиці декількохпопулярних редакторів.
Мережеві віруси використовують для свого поширення протоколи або командикомп'ютерних мереж і електронної пошти.
Існує велика кількість сполучень - наприклад, файлово-завантажувальнівіруси, що заражають як файли, так і завантажувальні сектори дисків. Таківіруси, як правило, мають досить складний алгоритм роботи, частозастосовують оригінальні методи проникнення в систему, використовують стелс іполіморфік-технології. Інший приклад такого сполучення - мережний макро -вірус, який не тільки заражає редаговані документи, а й розсилаєсвої копії по електронній пошті.
Заражається ОПЕРАЦІЙНА СИСТЕМА (вірніше, ОС, об'єкти якої підданізараженню) є другим рівнем розподілу вірусів на класи. Коженфайловий чи мережний вірус заражає файли який-небудь однієї або декількох
OS - DOS, Windows, Win95/NT, OS/2 і т.д. Макро-віруси заражають файлиформатів Word, Excel, Office97. Завантажувальні віруси також орієнтовані наконкретні формати розташування системних даних у завантажувальних секторахдисків.
Серед ОСОБЛИВОСТЕЙ Алгоритм роботи вірусів виділяються наступні пункти:резидентність;використання стелс-алгоритмів;САМОШИФРУВАННЯ і ПОЛіМОРФіЧНіСТЬ;використання нестандартних прийомів.
Резидентний вірус при інфікуванні комп'ютера залишає в оперативнійпам'яті свою резидентну частина, яка потім перехоплює зверненняопераційної системи до об'єктів зараження і впроваджується в них. Резидентнівіруси знаходяться в пам'яті і є активними аж до вимиканнякомп'ютера або перезавантаження оп?? ротаційний системи. Нерезидентні віруси незаражають пам'ять комп'ютера і зберігають активність обмежений час.
Деякі віруси залишають в оперативній пам'яті невеликі резидентніпрограми, які не поширюють вірус. Такі віруси вважаютьсянерезидентними.
Резидентними можна вважати макро-віруси, оскільки вони постійноприсутні в пам'яті комп'ютера на увесь час роботи зараженого редактора.
При цьому роль операційної системи бере на себе редактор, а поняття
«Перезавантаження операційної системи» трактується як вихід з редактора.
У багатозадачних операційних системах час «життя» резидентного DOS-вірусутакож може бути обмежено моментом закриття зараженого DOS-вікна, аактивність завантажувальних вірусів у деяких операційних системахобмежується моментом інсталяції дискових драйверів OC.
Використання Стелс-алгоритмів дозволяє вірусам цілком або частковосховати себе в системі. Найбільш розповсюдженим стелс-алгоритмом єперехоплення запитів OC на читання/запис заражених об'єктів. Стелс-віруси прицьому або тимчасово лікують їх, або «підставляють» замість себе незараженіділянки інформації. У випадку макро-вірусів найбільш популярний спосіб --заборона викликів меню перегляду макросів. Один з перших файлових стелс -вірусів - вірус «Frodo», перший завантажувальний стелс-вірус - «Brain».
САМОШИФРУВАННЯ і ПОЛіМОРФіЧНіСТЬ використовуються практично всіма типамивірусів для того, щоб максимально ускладнити процедуру виявленнявірусу. Полиморфик-віруси (polymorphic) - це досить важковиявленівіруси, що не мають сигнатур, тобто що не містять жодного постійногоділянки коду. У більшості випадків два зразки того самого поліморфік -вірусу не будуть мати жодного збігу. Це досягається шифруваннямосновного тіла вірусу і модифікаціями програми-розшифровувача.
Різні НЕСТАНДАРТНІ ПРИЙОМИ часто використовуються у вірусах для того, щобякнайглибше сховати себе в ядрі OC (як це робить вірус «3APA3A»),захистити від виявлення свою резидентну копію (віруси «TPVO», «Trout2»),утруднити лікування від вірусу (наприклад, помістивши свою копію в Flash-BIOS) іт.д.
За ДЕСТРУКТИВНИЙ МОЖЛИВОСТЯХ віруси можна розділити на:нешкідливі, тобто ніяк не впливають на роботу комп'ютера (крім зменшеннявільної пам'яті на диску в результаті свого поширення);безпечні, вплив яких обмежується зменшенням вільної пам'яті надиску і графічними, звуковими ефектами та ін;небезпечні віруси, які можуть призвести до серйозних збоїв в роботікомп'ютера;дуже небезпечні, в алгоритм роботи яких свідомо закладені процедури,які можуть призвести до втрати програм, знищити дані, стертинеобхідну для роботи комп'ютера інформацію, записану в системнихобластях пам'яті, і навіть, як говорить одна з неперевірених комп'ютернихлегенд, сприяти швидкому зносу рухомих частин механізмів --вводити в резонанс і руйнувати голівки деяких типів вінчестерів.
Але навіть якщо в алгоритмі вірусу не знайдено гілок, що завдають УЩ