Вирус жил. Вирус жив. Вирус будет жить?

Вирус жил. Вирус жив. Вирус будет жить?

Речь, как вы догадались, пойдет о компьютерных вирусах, которые, хотя и существуют в компьютерах, в чем-то очень похожи на своих биологических собратьев.

"Компьютерным вирусом называется программа, которая может создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, вычислительные сети и т. п." Такое определение было дано Евгением Касперским в книге "Компьютерные вирусы в MS-DOS" еще в 1992 году. А сам термин "компьютерный вирус" появился еще раньше - приблизительно за 8 лет до этого.

С тех пор вирусы совершенствовались как с точки зрения укрывания себя от антивирусных программ, так и с точки зрения изощренности наносимого вреда.

Про вирусы в DOS написано, наверное, тонны статей, и повторяться не хочется. Из появившихся недавно интерес представляет новое семейство Anti-AVP, каждый из вирусов которого подделывается под антивирусный сканер AVP и заражает систему, вместо того чтобы лечить ее. Или семейство опасных полиморфных (то есть самошифрующихся) вирусов Nutcraker, которые чрезвычайно сложно детектируются и обладают целым спектром разрушительных последствий (в зависимости от версии вируса). Они, кстати, довольно широко распространились 2-3 месяца назад.

Чтобы не углубляться в дебри вирусологии, я лишь вкратце упомяну, что если вирус не размножается, то он называется "троянским конем" или "логической бомбой". Наличие троянца в компьютере сложнее распознать, и поэтому они могут затаиваться в течение нескольких месяцев и даже лет, никак не выказывая своего присутствия! Кроме того, антивирусные средства не очень хорошо ловят троянцев, а последствия их деятельности могут быть прямо-таки разрушительными.

В качестве примера мне хочется привести довольно оригинальное "создание". Это программа, названная PKZ300B.EXE, которая является подделкой под известный упаковщик PKZIP. При запуске троянец выводит тот же текст, что и настоящая программа, после чего выполняет форматирование диска С:. К счастью, автору троянца не хватило ума (или жестокости?) сделать свою бомбу без ошибок, и DOS ожидает подтверждения, прежде чем начать действовать.

Вирусы и троянцы могут объединяться. Так, например, вирусы из уже упомянутого семейства Nutcracer.AB1.Antarex несут в себе троянскую компоненту, которая не распространяет вирусы, но уничтожает CMOS и завешивает компьютер.

Полтора-два года назад начался постепенный спад интереса к вирусной проблематике. Все больше раздавалось голосов о том, что с постепенным переходом на новые, более защищенные операционные системы опасность заражения компьютерным вирусом будет уменьшаться. Разработчики антивирусных средств стали беспокоиться за свои доходы и резко увеличили вложения в рекламу, пытаясь искусственно раздуть проблему. Но чувствовалось, что эти усилия все более меркнут в лучезарной славе вновь появившейся "сверхнадежной", "принципиально новой" и "гораздо более защищенной" Windows 95.

Но, видимо, вирусописатели почувствовали себя обиженными. А кроме того известно, что человеческая смекалка и желание напакостить ближнему неистребимы в своей сущности. И к моменту выхода новой ОС, точнее, к августу 1995 года, появился первый вирус, заражающий документы редактора Microsoft Word 6.0. Вирус получил название Concept и распространился в считанные дни в более чем 40 странах. Помимо принципиально нового алгоритма, вирус "открыл" новую среду обитания для компьютерных вредителей. Автор был настолько горд своим "детищем", что включил в тело вируса строку "This is enough to prove my point" и постарался распространить его как можно шире. Очевидно, чтобы остальные смогли испытать на себе подобный "provement".

Лиха беда начало. Стоило одному показать путь, как по нему ринулись остальные. Сегодня вирусов, заражающих документы формата Word 6.0, десятки. Так, в антивирусной базе отечественной программы AVP насчитывается 72 подобных "творения". Буквально в конце февраля появился шифрованный макровирус ShareFun, который проявляется крайне необычным способом - рассылает зараженные документы по электронной почте Microsoft Mail. Причем заражение происходит при открытии файлов с вероятностью 1/4. При вызове MS Mail вирус сохраняет текущий документ (уже зараженный) под именем C:\DOC1.DOC, далее выбирает из списка адресов три случайных адреса и посылает по ним зараженный файл. Послания уходят с заголовком: "You have GOT to read this!" ("Вы должны прочитать это!").

К счастью, отечественные разработчики быстро отреагировали на сие "творение". Евгений Касперский, например, выпустил update по поводу нового вируса к своей программе уже 22 февраля.

Макровирусы вызвали новый виток в антивирусной борьбе, поскольку текстовые редакторы используют как организации, так и рядовые пользователи компьютеров, а действуют эти вирусы вне зависимости от операционной системы. Стандартные методы антивирусной защиты против подобных вирусов уже не работали. Разработчикам пришлось искать новые методы и алгоритмы. Не успели справиться с этой напастью, как грянула новая. В начале 1996 года появились сообщения о первом вирусе для Windows 95.

"Недавно весь компьютерный мир был ошарашен очередным известием о новом и якобы неизлечимом вирусе, поражающем операционную систему Windows 95. Некоторые средства массовой информации передали сообщения, что уже более 10 млн. компьютеров поражено данным вирусом, который к тому же не может быть обезврежен. Планета в панике...", - такими заметками буквально пестрели компьютерные (да и не только) издания в феврале-марте прошлого года.

К счастью, с вирусом удалось тогда достаточно быстро справиться, уже через несколько дней ведущие фирмы-разработчики антивирусного софта предложили специальные версии программ для обезвреживания нового вируса.

В начале июля 1996 года вирус Hare_Krishna (сложный полиморфик) поразил десятки тысяч компьютеров пользователей сети Интернет, поскольку он был банально запущен в популярные международные конференции, такие как alt.sex, alt.comp.shareware, alt.cracks, etc.

В августе того же года семейство макровирусов пополнилось первым вирусом для компьютерных таблиц Excel. Он получил красивое название Laroux, но, к счастью, не получил широкого распространения. Появление этого вируса было практически не замечено широкой общественностью, поскольку после вируса для Word это уже не было сенсацией, с точки зрения обычного пользователя.

Тут требуется сделать небольшое отступление. Дело в том, что для того, чтобы написать вирус для DOS, особой программистской квалификации не требуется. Простенький вирус может создать даже школьник, едва знакомый с программированием. Кстати, до 80% DOS'овских вирусов по уровню относятся к так называемым студенческим. Видимо, эта категория граждан обладает временем для их написания. Вирусы для Word'а на порядок сложнее. Чтобы написать такой вирус, уже требуется достаточно хорошо изучить Word Macro Basic, на котором пишутся макросы в этом редакторе, и понять, как это все работает.

Что касается Excel, то формат этой табличной программы в несколько раз сложнее формата Word'a. Именно поэтому попытки создать такой вирус предпринимались сразу после появления Concept, но не увенчались успехом. В течение 2-3 месяцев наша антивирусная лаборатория получала звонки от испуганных пользователей о якобы найденном подобном вирусе. Во всех случаях найденный экземпляр не работал. И мы уже стали тешить себя надеждой, что этого никогда не произойдет.

Что мы имеем? Вирусы для Word, Excel, попытки создания вируса для Access (пока, к счастью, экземпляры не работающие), в Windows 3.11 и 95, OS/2, Macintosh, Unix... А ведь еще действуют вирусы для доброй старой DOS, разнообразие которых вызывает удивление.

Итак, пророчества, предвещавшие вирусам скорую смерть, к сожалению, не оправдались. Компьютерные вирусы приспособились к новым условиям (как, кстати, часто происходит и с биологическими тезками). Возникает естественный вопрос: "Что делать?" А об этом мы поговорим как-нибудь в другой раз.

Наталья Касперская


Компьютерная газета. Статья была опубликована в номере 16 за 1997 год в рубрике безопасность :: вирусология

©1997-2024 Компьютерная газета