Техника - молодёжи 1993-01, страница 14

В «ТМ» № 12 за 1991 г. было упомянуто, что Оля ДВК пока не существует компьютерных вирусов. А спустя месяц редакция получила из Брянска анонимное письмо-опровержение с текстом (на ассемблере, кстати, с ошибками) вируса KWC версии 1.0 для этого типа профессиональных компьютеров. Но если в ДВК вирусы еще редки, как музейные экспонаты, то на IBM они стали чуть ли не ширпотребом.

Андрей БОРИСОВ,

программист

ОТ ВИРУСОВ

ЩЬ

Для отечественных компьютерных вирусов наступил период интенсивного размножения. Речь идет о программах, способных к самовоспроизводству без согласия пользователя («ТМ» JSfe 2 за 1989 г. и № 11 за 1990 г.). Их создают хакеры — компьютерные хулиганы. Среди таковых немало толковых студентов и свежеиспеченных выпускников вузов, чьи способности явно превышают потребности нынешнего производства. Размножению же вирусов благоприятствует повальная компьютеризация (самых элементарных процессов) вкупе с вопиющей компьютерной же безграмотностью. А также нежелание тратиться на программный продукт, который куда легче просто украсть. Вот и... обмениваются, разнося по сохранявшей девственность стране машинную инфекцию.

Например, созданный предположительно студентом Белорусского государственного университета в отместку профессорам и преподавателям, вирус ДИР моментально заразил все компьютеры в Минске. А после проведенного там межреспубликанского семинара «Ранница» (по программному обеспечению в инженерной геологии) начал расползаться и по другим городам. Не испугало его даже грозное имя КГБ — большинство московских машин этого ведомства осенью 1991 года переболело ДИРом, программой-паразитом, меняющей файловую структуру магнитных носителей. (Кстати, в № 11 за 1990 г. мы сообщали, в частности, что в Китае борьбой с заражением компьютеров занимается госбезопасность. Обещали направить запрос и в наши соответствующие органы, а потом познакомить читателей с письмом оттуда. Видимо, напрасно бывший КГБ проигнорировал нашу просьбу — впрочем, проникновение вируса в «святая святых» само по себе служит ответом.)

Или другой отечественный вирус «Послание Лозинскому», с выходными данными: «Новосибирск, ноябрь 1990 г.», который через каждые полчаса выводит на экран быстроисчезающие наглые угрозы известному вирусологу (не медику, а «ле

карю» компьютеров) Дмитрию Лозинскому, хотя и не получил широкого распространения, но все же наделал много шуму в московских околокомпьютерных кругах.

Среди пользователей ходят кошмарные слухи о программах-убийцах, насквозь прожигающих монитор или разрывающих на куски винчестер (якобы подбором резонансных частот). В первый из этих вирусов, честно говоря, не верится, а второй — правда, не столь агрессивный — и впрямь существует. Предположительно, он тоже новосибирского происхождения и, помимо саморазмножения, занимается тем, что переключает типы винчестера на манер установочной программы SETUP. А это действительно опасно — ведь система, пытаясь управлять несуществующими головками и мнимыми магнитными дорожками, теряет контроль за реальными и может напрочь их испортить.

Вирусы бывают файловые (прицепляющиеся к файлам), бутовые (залезающие в ВООТ-сектор диска, где расположена системная область) и сетевые. Впрочем, последние известны лишь за рубежом, поскольку глобальных компьютерных сетей у нас пока не существует. Любой вирус состоит из двух блоков: первый обеспечивает «размножение» и «мимикрию» (на инкубационный период), второй — «блок активного проявления» — выполняет то, ради чего он, вирус, собственно, и создавался (приносить неприятности, и, как правило, крупные). В отличие от первого «активное проявление» начинает работать только при определенных условиях (несколько циклов заражений или заданное хакером время) —и тут ждите сюрпризов...

Большинство файловых вирусов, независимо от специализации и зловредности, работают по одной из четырех схем.

Первая. Вирус-«родитель», запущенный с зараженной программы, пристраивает собственную копию в конец первой попавшейся (в «джунглях» оперативной памяти или на винчестере) полезной и пока «чистой» программы (например, игры), а на ее начало накладывает команду перехода на только что родившееся «дитя», стертые стартовые байты заражаемой жертвы сохраняет в специально отведенном у новой копии месте (чтобы не потерять их и тем самым заранее не обнаружиться) — вот и весь цикл. Стоит теперь

запустить больную игру — и первым получит управление прицепившийся сзади паразит (с помощью команды перехода), который повторит процесс размножения, найдя свеженькую жертву, выполнит предписываемые перемещенными командами действия и затем (в инкубационный период) передаст управление своей жертве — программе-вирусоносителю. Пользователь ничего и не заметит — запустил игру, игра и пошла, а на ничтожную заминку при старте внимания никто не обратит.

Так работают болгарские вирусы «Янки Дудль» - CE-2890R, играющий в 17.00 (по часам компьютера) известную одноименную мелодию, «Черный мститель» — СЕ-1813R, уничтожающий через 16 копирований содержимое одного сектора винчестера, и многие другие (здесь и далее применяется классификация Н.Н.Безрукова: С —заражение СОМ-файлов; Е —заражение ЕХЕ-файлов; число — размер вируса в байтах; R — резидентность, то есть способность управлять компьютером даже после того, как запустившая его программа, отработав, покинула оперативную память). Исправить положение несложно. Для этого нужно найти и переместить обратно затертые команды начала, а затем отрезать от программы инородную часть.

По второй схеме самокопирование происходит на свободный участок, а в служебные таблицы вводится информация о том, что файл начинается именно там. (Система MS DOS позволяет хранить на дисках программы в «разрезанном» состоянии, «склеивая» их в оперативной памяти по записям в каталоге.) Так дей

12