"научная" мотивировка публикации, повидимому, не достаточны,
чтобы исключить подозрение в преступлении по N Ш УК.
Примеры:
В журнале или в почтовом ящике опубликован вирус, в качестве
комментария сказано: "Опробуйте этот вирус на одном из "хороших
друзей". Здесь применим N Ш УК. Но комментарий типа : "Осторожно,
вирус опасен! Смотрите, чтобы он не попал в компьютер, предназна-
ченный для переписи населения...!" уже является проблематичным.
- 107 -
Это может быть безобидная, ненаказуемая проделка, но может быть и
открытый призыв, который влечет наказание по N Ш УК. Все зависит
от смысла сомнительного комментария и от того, как он был понят
адресатом. Нельзя однозначно ответить на вопрос, есть ли состав
преступления по N Ш УК в этом абстрактном примере. Но автор ком-
ментария в любом случае удивится, если ему придется обстоятельно
беседовать с прокурором относительно как будто безобидных слов...
в) Передача и публикация исполняемой программы-вируса
Передача исполняемой программы-вируса намного опаснее, пере-
дачи исходного текста. Тем не менее возможная виновность оценива-
ется так же , как сказано выше.
Но в отношении гражданско-правовоой ответственности следует
особо учитывать, что - в еще большей степени, чем при передаче
исходного кода - безусловно, необходимо ясное указание на опас-
ность программы, а также способа обращения с ней. В противном
случае при нанесении пользователю ущерба за счет действия вируса
лицо, передавшее или опубликовавшее программу, несет ответствен-
ность за позитивное нарушение договора и обязано возместить причи-
ненный ущерб, если между партнерами существуют договорные обяза-
тельства (например, между владельцем и пользователем коммерческо-
го почтового ящика).
Таково мнение Штефана Аккермана о правовом положении. Но
даже с помощью таких подробных суждений невозможно ответить на
все вопросы. В заключение обозначим возможные проблемы, сформули-
ровав три простые вопроса:
а) нарушает ли авторское право владелец ЭВМ, обнаруживший у
себя чужой вирус?
б) может ли автор вируса требовать выдачи или уничтожения
инфицированного программного обеспечения, содержащего
программу-вирус?
в) может ли изготовитель программного обеспечения, подверг-
шегося заражению вирусом, обвинить владельца ЭВМ в предна-
меренном изменении программного обеспечения?
До момента сдачи данной книги в печать не нашлось никого,
кто смог бы или захотел бы внятно ответить на эти вопросы, так
как к каждому вопросу пришлось бы составлять заключение объемом в
- 108 -
целую страницу. В случае правового конфликта, несомненно, вначале
начнется спор экспертов по техническим вопросам, в котором судьи,
прокурор и прочие участники процесса будут чувствовать себя дово-
льно неуютно.
7. Примеры манипуляции
Разумеется, в этой главе невозможно рассмотреть как все виды
игровой компьютерной обработки данных, так и ее мыслимые послед-
ствия. Будут представлены несколько характерных случаев, но ска-
занное ни в коей мере нельзя рассматривать как введение в исполь-
зование компьютерных вирусов.
7.1 Диагноз: поражение вирусом?
С тех пор, как Фред Коэн вынес на обсуждение тему о виру-
сах, в широкой прессе постоянно сообщалось о нарушениях в работе
вычислительных устройств, вызванных компьютерными вирусами. К
числу наиболее известных "жертв" относятся ЭВМ высших учебных
заведений Гамбурга и Берлина и ЭВМ Федерального министерства по
охране окружающей среды. Однако получить подробную информацию об
этих событиях чрезвычайно трудно, и поэтому можно предположить,
что недостаточно компетентные журналисты превратно истолковали
некоторые высказывания ответственных лиц за эти системы, что и
привело к появлению подобных сообщений. Верно установлено, что во
всех расследованных автором случаях ссылка на компьютерные вирусы
становилась сомнительной, как только выяснили, что случилось с
зараженными программами. А именно, по утверждению занятых этими
вопросами сотрудников, такие программы всегда уничтожались. Поэ-
тому до сих пор не удалось получить определенных доказательств
наличия вирусной атаки. Некоторые случаи, которые тем не менее
удалось задокументировать, рассмотрены ниже.
1. Рождественский вирус
Эта программа (VM/CMS), вероятно, известна большинству чита-
телей, хотя бы по названию. Она достаточно быстро распространилась
(по-видимому из Клаусталя) через сеть FARN/Bitnet (научная сеть)
и вскоре обнаружилась даже в Токио. Распечатка программы приведе-
- 109 -
на в разделе 11,.3.
2. Венский вирус
Чрезвычайно искусно запрограммирован компьютерный вирус(VS-
DOS), действие которого более подробно описано в 11.3. Эффект
манипуляции с данными здесь едва ли можно просчитать. В самом
безобидном случае происходит крах системы. Распространенность
вируса очень трудно оценить, так как задание на выполнение мани-
пуляций вирусом активируется только при определенных условиях
(деление без остатка системного времени в секундах на восемь).
3. Израильские вирусы для ПВМ
Конечно, все было не так плохо, как описано в одной из буль-
варных газет в начале 1988 г. : "программа-убийца: первый компью-
тер при смерти". Вирус в центральной ЭВМ Иерусалимского универ-
ситета оказался "уткой". То что в этой статье понятие "хакер"
стало синонимом "саботажник" вполне соответствует стилю и уровню
данной газеты, но одновременно служит подтверждением того, что
посредники в передаче данных все чаще получают ярлык уголовных
преступников.
Расследование по данному газетному сообщению показало, что в
этом университете действительно появились вирусы, но не на боль-
шой ЭВМ, а в ПЭВМ, работающей под VS-DOS.
За очень короткий срок был разработан антивирус. Но так как
слабые места этой программы были известны (небольшая модификация
вируса делала ее бесполезной), программа не была опубликована.
4. Программный вандализм
В разных университетах США был обнаружен вирус, поражающий
процессор команд. При каждом обращении к дискете или диску с
помощью команд TYPE , COPY, DIR и т.д. происходило заражение
файла COMMANDS.COM на соответствующем дисководе, причем файл
перезаписывался собственными методами. При четвертом поражении
все имевшиеся носители данных были стерты полностью, т.к. были
перезаписаны дорожки начальной загрузки и FAT (таблица размеще-
ния файлов).
- 110 -
Четыре сгенерированные дочерние программы обладали теми же
свойствами...
Этот вирус можно обнаружить по измененной записи даты и
времени создания файла.
5. Набор для конструирования
Между тем появилась разработанная в ФРГ для ПЭВМ "Атари"
программа конструирования вирусов VCS ("набор для конструирования
вирусов"). Программа предоставляет пользователю широкие
возможности создания вирусов по собственному вкусу. Например, с
помощью меню можно выбирать расширение поражаемых файлов, пора-
жаемый вирусом дисковод и задание на выполнение манипуляций.
Кроме поставляемых вместе с программой заданий на выполнение
манипуляций над данными (стирание диска, сброс системы и т.д.)
можно включать в конструируемые вирусы и разработанные самим
пользователем задания на выполнение манипуляций.
Поскольку изготовитель вполне понимает опасность такого
"конструктора", одновременно поставляется антивирус, который
находит разбежавшиеся" вирусы и стирает соответствующие програм-
мы. Подчеркивается, что эта программа сможет быть дана напрокат
другим пользователям.
Один из текстов показал, что созданные вирусы могут быть
заблокированы как с помощью защиты записи, так и путем
установки атрибута файла "только чтение". Совместно поставляемый
антивирус обнаруживает только зараженные программы, а не
собственно вирусы. Цена программы, по данным изготовителя, около
100 марок ФРГ.
6. Вирусы для системы "Амига"
Концепция системы "Амига" является идеальной для применения
вирусов. Здесь кратко рассматриваются два ранее обнаруженные
вируса.
Вирус
Эта резидентная программа-вирус распространяется только при
сбросе системы и при каждой смене дискеты копируется в блок
начальной загрузки дискеты. Она сообщает о себе после успешного
размножения (после 16-го сброса) текстом:
Something wonderfull has happend, Your Amiga is alive
- 111 -
(""Произошло чудо, Ваша "Амига" ожила...)
По-видимому, работоспособность системы существенно не
нарушается.
"Разбойничий " вирус
Этот вирус кропирует себя при каждой смене дискеты в блок
загрузки и заносить свой номер поколения в "дочернюю" программу.
Вирус содержит еще один внутренний счетчик с шестнадцатеричным
смещением 3D4, который примерно через 5 минут вызывает фатальный
сбой системы и после каждого 20-го сбороса перезаписывает
дорожку 880. Этот вирус нельзя удалить с помощью команды
установки, а только путем перезаписи блоков 0 и 1 нулевыми
байтами.
Обе эти программы-вирусы несовместимы друг с другом; их
комбинации вызывают "медитации гуру" ПЭВМ "Амига" (фатальный сбой
системы). Обе программы устойчивы к сбросу (они удаляются из
памяти только после выключения питания не менее чем на 5 с) и
содержат текстовый вирус, благодаря чему их относительно легко
локализовать.
Вполне уместен вопрос пользователя: "Как можно обнаружить
заражение вирусами?"
Ответить на этот вопрос практически невозможно.
Разумеется, существуют определенные признаки вирусного заражения,
но окончательное доказательство может дать только системный
программист, если ему удается расшифровать структуру вируса. Не
нужно много фантазии, чтобы прийти к заключению, что проверка
составных частей программы, которая даже требует для ПЭВМ
значительных затрат, едва ли реализуема на мини- или больших ЭВМ.
Поэтому в сложных системах отказываются от такой сплошной
проверки и целиком генерируют систему заново.
Поскольку в центре внимания данной главы оказалась
операционная система VS-DOS, приведено несколько рекомендаций по
распознаванию вирусов. "Байрише хакерпост" опубликовала в декабре
1986 г. список программ, которые, очевидно, следует признать
вредными. Хотя тот список, взятый из английского оригинала,
авторы воспринимают не вполне серьезно,- назовем здесь еще раз
наиболее опасных "вредителей". Все перечисленные ниже программы
относятся к числу "троянских коней", т.е. наряду с нормальными
функциями они выполняют и другие задания.
- 112 -
ARC513.EXE При запуске разрушает дорожку дискеты или
диска.
BALKTALK Все версии этого манипулирующего вируса
разрушают сектора диска.
DISKCAN Существует под разными именами. Первоначаль-
ное назначение - отыскание дефектных
секторов. Создает дефектные сектора.
DOSKNOWS Разрушает таблицу размещения файлов, т.е.
делает диск или дискету непригодными для
применения. Длина оригинальной версии точно
5376 байт. Другая длина программы свидетель-
ствует об ее изменении.
