Опросы заказчиков демонстрационной программы-вируса показыва-
ют, что заказчики опасаются использовать дискету многократно из
боязни неконтролируемого распространения вирусов. Для того, чтобы
развеять эти опасения, приведем оригинальную документацию на
программу VIRDEM.COM. Здесь нет специальных, принятых в немецком
языке знаков, чтобы можно было получить распечатку на любом прин-
тере:
"Записанная на этой дискете программа VIRDEM.COM является
программой для демонстрации так называемых "компьютерных
вирусов"". Пожалуйста, перед запуском программы непременно обра-
тите внимание на рекомендации по обращению с ", данными в этом
пояснительно тексте. В противном случае может произойти нежелате-
льное распространение "компьютерного вируса".
Программа VIRDEM.COM разработана для того, чтобы дать возмо-
жность пользователям MS-DOS ознакомиться с компьютерными вируса-
ми, не подвергая их опасности неконтролируемого "размножения"
вирусов. Показывается насколько беспомощным может оказаться поль-
зователь ЭВМ перед лицом "компьютерных вирусов", если он не соб-
людает соответствующие меры предосторожности.
- 166 -
Программа VIRDEM.COM внедряет свой "компьютерный вирус"
только в программы, записанные на дисководе А. В результате уда-
ется демонстрировать "заразные" свойства вирусных программ, не
подвергаясь опасности распространения "злокачественных" компьюте-
рных вирусов.
Программа VIRDEM.COM демонстрирует относительно безобидный
"вирус", который не разрушает программу-носитель вируса, а лишь
дописывает программой-вирусом исходные программные коды "носи-
теля". Потому соответстующей программе требуется больше места в
памяти. Вполне сознательно отказались от записи на демонстрационную
дискету "программы-вируса", разрешающей исходные программные
коды. Но безобидность программы VIRDEM.COM не мешает понять опас-
ность, которую несут в себе другие типы вирусов.
Задание на выполнение манипуляций, распространяемое "компью-
терным вирусом" VIRDEM.COM, является некоторой нормированной
игрой. Степень сложности такой игры зависит от "поколения виру-
са". Легко увидеть, что вместо нормированной игры речь может идти
также об удалении из памяти или о выполнении определенной опера-
ции с файлами.
Свойства программы VIRDEM.COM
1. Заражению вирусом подвергаются все СОМ-файлы вплоть до 2-го
подкаталога.
2. Первый СОМ-файл в корневом каталоге не подвергается зараже-
нию (чаще всего это файл COMMAND.COM).
3. СОМ-файл, имеющие длину более 1,5 Кбайт, расширяются пример-
но на 1,5 Кбайт, более короткие файлы - примерно на 3
Кбайта.
4. Зараженная программа остается работоспособной.
5. Зараженная программа помечается, а потому не может быть
заражена дважды.
6. Программа VIRDEM.COM включает в зараженную программу некото-
рую дополнительную функцию. Эта дополнительная функция явля-
ется нормированной игрой, степень сложности которой зависит
от поколения вируса.
7. Вирус VIRDEM.COM мутирует вплоть до 9-го поколения.После
того вирус продолжает размножаться, но мутаций более не
происходит.
- 167 -
О чем нужно помнить, экспериментируя с программой VIRDEM.COM
1. Обратите внимание, из чьих рук Вы получили программу
VIRDEM.COM. Ведь вполне возможно, что имеется одноименная
программа, дополненная весьма "заразным" и опасным заданием
на проведение каких-нибудь манипуляций. Потому изготовитель
высылает программу запечатанной. Форма опечатывания описана
в сопроводительном листе.
2. Работайте только с копией! Ни в коем случае не копируйте
"вирусы" или зараженные вирусом программы на винчестер,
поскольку в этом случае возникает опасность "непредусмотрен-
ного" заражения дискет, установленных на дисковод А. Получе-
нные для демонстрации дискеты пометьте и после демонстрации
сотрите или просто храните их отдельно.
3. Установите в дисковод А дискету с различными СОМ-файлами
(например, копию системной дискеты MS-DOS). Удалите защиту
записи.
4. Скопируйте программу VIRDEM.COM и вызовите программу или
запустите ее со второго дисковода. На экране появится следу-
ющее сообщение:
(Демонстрационная программа-вирус :1.01 (поколение
1) активна.
Автор Р.Бургер 1986,1987
Тел.:05932/5451)
Virdem Ver.1.01 (Generation 1) aktiv.
Copyrigth by R.Burger 1986, 1987
Tel.:05932/5451)
Теперь вторая программа, записанная в СОМ-файле главного
каталога, заражена вирусом.
5. Распечатайте каталог. Распечатка может выглядеть , например
так:
COMMAND COM 16597 5.12.86 17.59
ASSIGN COM 2616 7.03.85 10.36
CHKDSK COM 7058 7.03.85 10.54
COMP COM 2710 5.12.86 18.00
- 168 -
DEBUG COM 12361 19.09.86 11.16
DISKCOMP COM 2951 7.03.85 10.24
VIRDEM COM 1278 24.12.86 12.03
В этом случае инфицирована программа ASSIGN.COM (второй СОМ-
файл на А).
6. Запустите программу ASSIGN.COM. На экране появится следующее
сообщение:
Virdem Ver.1.01 (Generation 2) aktiv.
Copyrigth by R.Burger 1986, 1987
Tel.:05932/5451)
Dies ist ein Demoprogramm fuer (Это демонстрационная программа
Computerviren. Geben Sie nun компьютерных вирусов. Введите,
bitte eine Zahl ein. пожалуйста одно число. Если Вы
Wenn Sie richtig raten, ответите правильно, можно продо-
duerfen Sie weiterarbeiten. лжать работу.
Due Zahl legt Zwischen Число лежит в интервале от 0
0 und 2 до 2)
Теперь нужно ввести число. Это число определяется поколением
вируса: т.е. для второго поколения лежит в интервале от 0 до 2.
Если число задано правильно, исходная прикладная программа обра-
батывается, если число задано неверно, на экране появится прави-
льный ответ, заключенный в угловые скобки (например, ) и выпо-
лнение программы прерывается. Но при запуске инфицированной прог-
рамма ASSIGN.COM вирус попадает уже в другую программу. В данном
случае инфицирована программа CHKDSK.COM.
Эта программа содержит теперь третье поколение вируса. В
результате степень сложности нормированной игры повышается. Каж-
дая инфицированная программа распространяет при запуске новый
вирус нового поколения. И так до тех пор, пока не будет достигну-
то поколение 9. Поколение 3 вируса генерирует новый вирус поколе-
ния 4, поколение 4 - поколение 5 и т.д.
7. Запускайте все программы до полного просмотра" всей демонст-
рационной дискеты. Затем на экране появится следующее сооб-
щение:
Alle Ihre Programme sind (Теперь все программы
nun durchseucht. заражены.)
Virdem Ver.1.01 (Generation x) aktiv.
- 169 -
Copyrigth by R.Burger 1986, 1987
Tel.:05932/5451)
Dies ist ein Programm fuer (Это программа
Computerviren. Geben Sie nun компьютерных вирусов. Введите,
bitte eine Zahl ein. пожалуйста некоторое число. Если Вы
Wenn Sie richtig raten, ответите правильно, Вы сможете
duerfen Sie weiterarbeiten. продолжить работу.
Due Zahl liegt Zwischen Число лежит в интервале от 0 до х)
0 und x
8. Уничтожьте после демонстрации демонстрационную дискету или
пометьте ее и храните отдельно, чтобы исключить случайный
доступ к ней. Лишь при тщательном соблюдении мер предосторо-
жности можно избежать неконтролируемого распространения виру-
са.
Прочие рекомендации
Для более быстрой демонстрации Вы можете в качестве псевдоди-
ска задать дисковод А. В этом случае после демонстрации Вам сле-
дует стереть псевдодиск.
Еще раз напомним важнейшие правила работы с программой
VIRDEM.COM:
!!! Р а б о т а т ь т о л ь к о с к о п и е й !!!
!!! "Вирусы" или зараженные "вирусом" программы никогда !!!
!!! не копировать на жесткий диск (винчестер), поскольку !!!
!!! в этом случае возникает опасность неконтролируемого !!!
!!! заражения дисковода А. !!!
Если вы будете соблюдать эти основные правила , VIRDEM.COM
не может распространяться в Вашей ПЭВМ бесконтрольно.
Мы желаем Вам получить удовольствие от работы с VIRDEM.COM.
Если же у Вас и возникнут какие-либо проблемы, обратитесь к нам.
Более подробную информацию о "вирусах" и средствах защиты от
них Вы получите, обратившись по адресу:
Ralf Burger Раульф Бургер
Systemingenieur инженер-системотехник
- 170 -
Postfact 1105
D-4472 Haren
Tel.: 0 59 32/54 51
Создатели настоящей программы не несут ответственности за
тот ущерб, который может возникнуть при неаккуратной работе с
программой VIRDEM.COM.
10. Различные языки программирования, применяемые при
cоставлении программ-вирусов
Какие языки программирования целесообразно использовать при
написании программ-вирусов?..
На этот вопрос даже неопытный пользователь ответит однозна-
чно: "ассемблер". Этот ответ, несомненно, правилен, поскольку
благодаря машинному языку программа в состоянии обойти все меры
безопасности, обусловленные внутренними соглашениями операционной
системы и соответствующим программным обеспечением. Кроме того,
время, выполнения составленной на ассемблере программы-вируса
очень мало, поскольку время доступа к массовой памяти резко сок-
ращается. И все же программы-вирусы могут быть написаны и на
языках высокого уровня, что и будет продемонстрировано на следую-
щих страницах данной книги.
Приведенные ниже распечатки отлажены в среде VS-DOS 3.10 и
представляют собой работоспособные программы-вирусы, однако в
этой форме они не могут использоваться для выполнения каких-либо
манипуляций. Совершенно сознательно эти программы не стали снаб-
жать подпрограммами обработки ошибок, например, на случай полного
"заражения" системы, поскольку в противном случае недобросовест-
ный программист получил бы в свои руки средство для выполнения
весьма опасных манипуляций. Таким образом, с помощью программ,
распечатки которых приводятся, можно "привить" вирус системе, но
такая "инфекция" устраняется довольно быстро.
Для того, чтобы свести к минимуму риск нанесения ущерба
системе, повторим еще раз важнейшие правила безопасности при
работе с программами-вирусами:
РАБОТАТЬ ТОЛЬКО С КОПИЯМИ!
Исключить возможность доступа к "вирусам" или зараженным
вирусом программам случайных людей. После завершения работы все
записанные в ПЭВМ программы стереть.
Если при работе с "зараженными" программами следовать этим
правилам безопасности, опасность неконтролируемого распростране-
ния вирусов исключается.
10.1 Вирусы на ассемблере
- 172 -
Поскольку машинный язык, как уже говорилось, наиболее удобен
для написания программ-вирусов, приведем вначале перезаписывающий
вирус, полностью написанный на ассемблере. Программа разрабатыва-
лась под управлением MS-DOS, версия 2.11, но может работать и с
другими версиями MS-DOS. Проблемы могут возникнуть лишь при зада-
нии дисковода, но эти сложности легко устранить. Опытный читатель
сразу же заметит, что эта довольно короткая (около 500 байт)
программа-вирус может быть сделана еще более короткой, например,
за счет исключения ненужных вызовов сегмента. Может быть, такая
задача позабавит Вас в длинные зимние вечера.
page 70,1209
Name VIRUS
