На правах рукописи
БЕЗРУКОВ НИКОЛАЙ НИКОЛАЕВИЧ
КОМПЬЮТЕРНАЯ ВИРУСОЛОГИЯ
Часть 1: Общие принципы функционирования,
классификация и каталог наиболее распространенных
вирусов в операционной системе MS DOS
Киев 1990
БЕЗРУКОВ Н.Н. КОМПЬЮТЕРНАЯ ВИРУСОЛОГИЯ. Часть 1: Общие прин-
ципы функционирования, классификация и каталог наиболее распрост-
раненных вирусов в операционной системе MS DOS / Редакция 5.5 от
10.11.90.- 1990. - 450 с. Ил. 11, список лит.: 340 назв., прил. 9.
Данная редакция заменяет предыдущие редакции (1.0-1.4, 2.0-
2.9, 3.0-3.7, 4.0-4.8, 5.0-5.4), и большинство описываемых в ней
программных продуктов уже опубликованы в вышедших в свет выпусках
электронного бюллетеня СОФТПАНОРАМА. Некоторые из упоминаемых
"свежих" версий программных средств защиты от вирусов, распростра-
няемых бесплатно (FREEWARE), а также средств, разработка которых
частично финансируется пользователями (SHAREWARE), были переданы
автору для ознакомления и тестирования и будут опубликованы в пос-
ледующих выпусках СОФТПАНОРАМЫ.
В редакции 5.5 исправлен ряд ошибок и опечаток, несколько
изменена структура главы 1 и переработана глава 10.
В редакции 5.4 уточнены сведения о некоторых вирусах, внесе-
ны изменения в приложение 6.
В редакции 5.3 переработаны глава 6 и глава 8.
В редакции 5.2 уточнены сведения по последним обнаруженным
вирусам, исправлено оглавление, доработана гл.2, исправлена и до-
полнена таблица в прил.1. Введен термин техно-крыса применительно
к разработчикам компьютерных вирусов, сознательно распространяющим
свои продукты.
В редакции 5.1 исправлены мелкие опечатки, а также неточнос-
ти в описании вируса RCE-04096.
В редакции 5.0 классификационные таблицы вынесены в приложе-
ния, внесен ряд изменений в структуру книги, в частности, перера-
ботана гл.1. Добавлены сведения про файловые вирусы С-257, С-1024,
RС-394, RС-488 и бутовые вирусы Stone Rostov, Print Screen.
В редакции 4.8 польская подгруппа выделена в отдельную груп-
пу файловых нерезидентных вирусов. Исправлен ряд ошибок и опеча-
ток.
В редакции 4.7 уточнен ряд сведений в табл.1, а также сведе-
ния про вирус Joshy.
В редакции 4.6 переработан раздел 2.4. В связи с обнаружени-
ем стелс-вирусов в СССР соответствующий раздел перенесен в гл.5, а
информация, относящаяся к вирусу RCE-04096, уточнена. Исправлен
ряд ошибок и неточностей в прил.2 и 3.
В редакции 4.5 в табл.3 для ряда вирусов внесены сигнатуры,
использованные в полидетекторе TNTVIRUS фирмы CARMEL. Исправлены
некоторые опечатки и неточности.
В редакции 4.4 полностью переработано приложение 4 и добав-
лено приложение 5. Уточнены сведения по вирусу RC-492.
В редакции 4.3 внесен ряд изменений в приложения 2 и 3, уто-
чнено изложение некоторых пунктов глав 4 и 10.
В редакции 4.2 добавлены описания вирусов RCE-1600 (Па-
кость-3) и WM-1F (Joshy). Полностью переработаны приложение 2 и
приложение 3. Дополнен список литературы. В текст внесено много
мелких изменений и уточнений. В связи с положительными отзывами на
"оживляж" в виде эпиграфов, добавлен ряд новых эпиграфов, а неко-
торые неудачные заменены.
В редакции 4.1 изменена структура книги: глава 4 (КЛАССИФИКА-
ЦИЯ МЕТОДОВ ЗАЩИТЫ) объединена с главой 8 (ТЕХНОЛОГИЯ ПРИМЕНЕНИЯ
СРЕДСТВ ЗАЩИТЫ ОТ ВИРУСОВ). Предполагается, что в дальнейшем эта
глава будет вынесена из данной части и войдет во вторую часть дан-
ной работы. В свою очередь табл.1 и табл.2 сокращены: в них остав-
лены только вирусы, найденные в CCCР. Вирусы, известные по литера-
туре, вынесены в отдельные таблицы (табл.3 и табл.4), которые су-
щественно переработаны и дополнены сведениями из файла VIRUSSUM
П.Хоффман. Глава 5 (КАТАЛОГ НАИБОЛЕЕ РАСПРОСТРАНЕННЫХ ФАЙЛОВЫХ ВИ-
РУСОВ) в связи со своим большим объемом разбита на три: нерезиден-
тные файловые вирусы, обнаруженные в СССР, резидентные файловые
вирусы, обнаруженные в СССР, и вирусы, известные только по литера-
туре. Глава 6 (КАТАЛОГ НАИБОЛЕЕ РАСПРОСТРАНЕННЫХ БУТОВЫХ ВИРУСОВ)
разбита на две: бутовые вирусы, обнаруженные в СССР, и вирусы, из-
вестные только по литературе. Несколько переработана структура де-
скриптора файлового и бутового вируса. Доработано приложение 1.
В редакции 4.0 текст глав 1-4 и 7 существенно переработан и
дополнен. Исключены табл.3-8. Некоторые изменения и уточнения сде-
ланы в главе 5, в частности, сокращен и заменен ряд дампов. Вместо
термина "фильтр" в качестве названия этого класса антивирусных
программ теперь используется термин "сторож". Это сделано во избе-
жание путаницы с соответствующим термином MS DOS и UNIX. Как обыч-
но, переработаны и дополнены табл.1-2: в них внесены сведения о
дате обнаружения вируса, его распространенности, а для файловых
вирусов дополнительно приводятся J-сигнатуры. Кроме того, несколь-
ко изменена структура дескриптора. В процессе подготовки материала
к публикации к некоторым главам с целью "оживления" изложения до-
бавлены эпиграфы.
В редакции 3.7 расширены и дополнены табл.1-2, добавлено опи-
сание вируса RC-492. Понятие J-сигнатуры обобщено и на файловые
вирусы. Восстановлено приложение 1, которое теперь содержит ката-
лог опубликованных в бюллетене СОФТПАНОРАМА антивирусных средств,
распространяемых бесплатно.
В редакции 3.6 глава 5 разбита на три главы по типам вирусов
(файловые, бутовые и сетевые), а также снято приложение 1, как ус-
таревшее. В редакции 3.5 расширены и исправлены табл.1-2, добавле-
ны описания вирусов RC-600, Den Zuk, Merphy, EXE, Muzikant, уточ-
нены сведения о RCE-2000, внесен ряд изменений и добавлений в гл.4
и 6. В редакции 3.4 исправлены табл.1-7, добавлено описание группы
Datacrime и уточнен ряд сведений о других вирусах. В редакции 3.3
добавлено описание вирусов группы IV, а также вставлен ряд недос-
тающих дампов штаммов, а некоторые, не совсем удачные, дампы заме-
нены. В редакции 3.2 переработаны табл.1-2, уточнен ряд полей дес-
криптора, добавлено описание вируса RCE-2000. В редакции 3.1 исп-
равлены неточности, допущенные при подготовке табл.1-2 редакции
3.0, и добавлен дамп штамма Brain86 (Ashar) пакистанской группы
вирусов.
В редакции 3.0 значительно переработана структура книги. Из-
менено правило для определения длины файловых вирусов (в качестве
эталонной программы теперь принимается не COMMAND.COM PC DOS вер-
сии 3.3 с длиной 25307 байтов, а программа, длина которой кратна
16; это приводит к уменьшению на 5 числовых значений в используе-
мой числовой классификационной характеристике для всех вирусов,
которые выравнивают свое тело на начало параграфа). В связи с воз-
растанием количества вирусов материал, относящийся к файловым ви-
русам, перегруппирован и разбит на группы (Венская, группа Каскад,
Иерусалимская и группа TP). Кроме того, изменены классификационные
коды: для файловых вирусов буква R вынесена в префикс, а для буто-
вых вирусов в качестве характеристики теперь используется значение
второго байта бутсектора.
(С) 1989, 1990 Безруков Н.Н.
Разрешается бесплатное копирование и распространение при
условии сохранения целостности материала и отсутствия прямой
коммерческой выгоды. Авторам антивирусных программ разрешается
бесплатное воспроизведение в документации табл.1-4 независимо
от того, является ли данная программа бесплатной или
коммерческой. Для распространения с целью получения
коммерческой выгоды, включая поставку в качестве части
документации к продаваемым программным продуктам, использование
на платных курсах и т.д., необходимо заключение
соответствующего договора с автором.
ПРЕДИСЛОВИЕ
"Читатель, вот мои "Досуги"...
Суди беспристрастно!
Издаю пока отрывок."
Козьма Прутков
По мере развития и усложнения компьютерных систем и программ-
ного обеспечения возрастает объем и повышается уязвимость хранящи-
хся в них данных. Одним из новых факторов, резко повысивших эту
уязвимость, является массовое производство программно-совместимых
мощных персональных ЭВМ, которое явилось одной из причин появления
нового класса программ-вандалов - компьютерных вирусов. Наибольшая
опасность, возникающая в связи в опасностью заражения программного
обеспечения компьютерными вирусами, состоит в возможности искаже-
ния или уничтожения жизненно-важной информации, которое может при-
вести не только к финансовым и временным потерям, но и вызвать че-
ловеческие жертвы.
В последние три года в зарубежной печати наблюдается активное
развитие исследований, посвященных проблеме защиты компьютеров от
вирусов. О размахе работ по рассматриваемой тематике свидетельст-
вует ряд фактов: библиография работ, затрагивающих или целиком по-
священных данной проблеме, исчисляется сотнями наименований, поя-
вился ряд монографий, как американских, так и европейских авторов
(см. приведенный в данной работе список источников, хотя он, есте-
ственно, является неполным и включает только публикации, доступные
в СССР). Состоялось несколько конференций по проблеме защиты от
вирусов, а на большинстве представительных конференций имеются се-
кции, так или иначе связанные с этой тематикой. Появился ряд фирм,
для которых разработка антивирусных средств стала основным направ-
лением их деятельности. Все это ставит вопрос о формировании новой
инженерной дисциплины "компьютерной вирусологии", рассматриваемой
как совокупность методов и приемов изучения компьютерных вирусов и
разработки эффективных средств защиты от них.
Можно выделить три основных направления исследований в компь-
ютерной вирусологии: теоретические исследования, разработка мето-
дов анализа и разработка средств защиты. Теоретические исследова-
ния связаны с выявлениями закономерностей, присущих эпидемиям ком-
пьютерных вирусов, анализом "точек проникновения" и созданием нес-
пецифической методики выявления вирусов в компьютерных программах.
Исследование этих проблем наталкивается на значительные трудности,
частично связанные с их новизной и необычностью, а частично с не-
четкостью самой проблемы. Например, проблема выделения вируса в
компьютерной программе может с теоретической точки зрения рассмат-
риваться как задача распознавания образов, однако такой абстракт-
ный подход непросто увязать с практическими проблемами детектиро-
вания вирусов.
Разработка методов анализа связана с проблемой дизассемблиро-
вания программного обеспечения, не имеющего исходных текстов. К
проблеме дизассемблирования в академических кругах незаслуженно
относились пренебрежительно, а те немногие статьи, которые писа-
лись по данной тематике, часто отвергались редакциями журналов как
"ненаучные" и связанные с "пиратством". На самом же деле проблема
дизассемблирования является частью проблемы реконструкции програм-
много обеспечения. Последнее время это направление усиленно разви-
вается за рубежом и есть надежда, что постепенно оно будет призна-
но и нашей "официальной" наукой.
Наибольшие результаты в настоящее время достигнуты в третьем
направлении - создании конкретных антивирусных программ и методик
их применения. Ряд разработок доведен до уровня программных проду-
ктов и широко используются пользователями. Не случайно этой теме
посвящена значительная часть "антивирусных публикаций".
