начинающаяся и заканчивающаяся утверждениями о том, что оппонент
просто глуп, не утруждающая себя приведением доказательств явля-
ется таким же проявлением нашей отсталости, как и выпускаемые на-
шей промышленностью ПЭВМ.
1.2.9. Первые отечественные антивирусные программы, начало форми-
рования рынка программных средств
защиты от вирусов
"Please do not shoot the pianist.
He is doing his best"
Надпись в американском баре;
приписывается также О.Уайльду
"А борьба на всем пути
В общем равная почти"
В.Высоцкий
Разработка первых отечественных антивирусных программ -- детекто-
ров (программ, обнаруживающих вирус) и фагов (программ, "выкусы-
вающих" вирус) -- началась еще в 1988 г. Из полифагов, сыгравших
значительную роль на начальном этапе, следует отметить программу
Aidstest Д.Н.Лозинского, Doctor А.А.Чижова и ANTI-KOT О.Котика.
Причем программа ANTI-KOT быстро стала коммерческой и практически
не принимала участие в борьбе с вирусами, начиная с осени 1989 г.,
а программа Doctor по этой же причине "выпала из игры" в важный
период сентября -- декабря 1989 г. Дольше всего бесплатно распрост-
ранялась программа Aidstest, которая с осени 1989 по лето 1990 г.
была самой популярной отечественной антивирусной программой. Одна-
ко к маю 1990 г. Д.Н.Лозинский настолько устал от звонков пользо-
вателей, что решил "уйти в профессионалы", хотя, по его словам,
ему было бы достаточно секретаря, отвечавшего на непрерывные теле-
фонные звонки. Коммерческие версии до октября 1990 г. были доста-
точно дорогими и значимость Aidstest для "широких кругов" пользо-
вателей резко упала. Однако, начиная с октября незащищенная от ко-
пирования версия Aidstest стала распространяться по цене 3 руб.
для частных лиц (т.е. практически как SHAREWARE) и, возможно, быс-
тро обретет былую популярность. Cреди полифагов, распространяющих-
ся бесплатно, одним из лидеров стала программа Kхх Е.Сусликова
(после буквы "К" в имени этой программы обычно стоит количество
"выкусываемых" вирусов, например К41). Конечно, положение, когда
пользователи предпочитают антивирусные программы, распространяющи-
еся бесплатно, можно оценивать по-разному.
Подобно тому, как рост преступности порождает повышенный спрос
на замки и другие средства защиты, изготовители программного обес-
печения и компьютерного оборудования предпринимают попытки исполь-
зовать ситуацию для завоевания рынка. В настоящее время общее ко-
личество антивирусных средств наверное в несколько раз превышает
общее количество известных компьютерных вирусов. Только в нашей
стране разработаны десятки, если не сотни коммерческих программ
для этой цели. Цены на такого рода продукты колеблются примерно от
300 до нескольких тысяч рублей с типичной ценой в 1000 руб. за па-
кет. Как правило, коммерческое программное обеспечение распростра-
няется защищенным от копирования и требует для своей работы либо
инсталляции на винчестер со специальной дистрибутивной дискеты,
либо работы непосредственно с поставляемой оригинальной дискетой.
Это создает некоторые неудобства при архивировании или переразмет-
ке винчестера.
В связи с тем, что рынок как таковой еще не сложился, цены, ус-
танавливаемые разработчиками, как правило, совершенно не связаны с
качеством соответствующего программного продукта (иногда даже
встречаются случаи продажи по принципу "толкни и убегай"). Доволь-
но часто программное обеспечение для защиты от вирусов, распрост-
раняемое за меньшую цену или даже бесплатно, обладает сопоставимы-
ми или лучшими характеристиками. Эта ситуация характерна как для
отечественных, так и для зарубежных средств защиты от вирусов, что
свидетельствует о незрелости данной "отрасли". Кроме того, лишь
немногие продукты сочетают защиту от вирусов со средствами
резервирования информации или защитой от несанкционированного
доступа, а именно такие интегрированные системы представляют, по-
видимому, наибольшую ценность для пользователей.
1.2.10. Появление аппаратных средств
защиты от вирусов
Изготовители компьютерного оборудования не так активно включи-
лись в "охоту на вирусы", как изготовители программного обеспече-
ния. Тем не менее ряд продуктов доведен до уровня коммерческих и
продается потребителям. Предлагаемые аппаратные средства защиты,
как правило, представляют собой специальные платы. Однако в конце
1988 г. фирма American Computer Security Industries, Нэшвилл, шт.
Теннеси, США, представила "первый надежно защищенный противовирус-
ный компьютер", класса PC AT, названный "Immune System" ("Иммунная
система"). Cистема якобы обладает иммунитетом от вирусной атаки, а
также полным набором средств, предохраняющих MS DOS и BIOS от не-
санкционированных изменений (Computer Age, январь 1989 г., см.
также Personal Computing, 1989, щ 5, р. 92).
Из зарубежных плат, повышающих степень защищенности компьютера,
отметим плату Immunetec PC фирмы Зевс (Zeus Corp., 538 Pasadena
Dr., Akron OH 44303-1704, USA; (216) 867-8181), стоимостью 295
долларов. Эта плата тестирует бутсектор и системные файлы MS DOS
на наличие несанкционированных изменений, а также позволяет запре-
тить загрузку системы с дискеты, установить паспорта и уровни до-
ступа к винчестеру. Плата совместима с сетями Novel, 3Com и IBM
Token Ring [Personal Computing, 1989, щ 5, р. 92]. Аналогичная
плата Trispan фирмы Микроникс (Micronics Inc., 1901 N Central
Expressway, Richardson, TX 75080, USA; (214)690-0595) стоит 895
долларов.
Из советских разработок интерес представляет плата PORT WATCH
CARD донецкой фирмы БИС (см. прил.5), совместимая с популярными
сетями. Работая вместе с разработанной А.Водяником резидентной
программой IWP (Intellectual Write Protector), эта плата достаточ-
но надежно перекрывает возможные пути инфекции, позволяя, в част-
ности, аппаратно блокировать загрузку, если пользователь не указал
требуемый пароль. Следует отметить, что загрузка с собственной ди-
скеты -- стандартный прием проникновения в чужой компьютер любите-
лей компьютерных игр, да и не только их.
Принцип действия IWP основан на усилении присваиваемого файлам
атрибута READ_ONLY в сочетании с защитой системных блоков, включая
MBR и бутсектор. Защищаемые файлы отмечаются специальной утилитой
MAP.EXE, устанавливающей защищаемым файлам указанный атрибут и со-
здающей в файле _IWP_.MAP в коpневом каталоге шифрованный список
элементов каталога защищаемых файлов и цепочки его кластеpов в
FAT. При загрузке IWP считывает этот список, пеpехватывает попытки
записи чеpез дpайвеp диска и анализиpует их. При выявлении пpоти-
воpечий выдается сообщение и опасная запись блокиpуется. Запись и
фоpматиpование чеpез пpеpывание 13h запpещаются, если они выполня-
ются не из дpайвеpа диска, a из дpугих пpогpамм. Вывод в поpты
контpоллеpов дисков -- если он выполняется не из BIOS по пpеpыва-
нию 13h. Используя плату Port Watch Card, IWP контролирует запись
в CMOS-память (поpт 71h) и опасные действия с портами контpоллеpов
дисководов дискет (370h..377h, 3F0h..3F7h) и винчестера
(170h..177h, 1F0h..1F7h -- PC AT; 320h..32Fh -- PC XT).
Недостатком существующей IWP является значительный объем исполь-
зуемой оперативной памяти (порядка 30К при защите винчестера 40M).
Правда, разработчики предлагают специальный драйвер, имеющий и са-
мостоятельное значение, расширяющий ОЗУ на 80K, если на компьютере
установлена карта EGA (несколько больше для карт CGA и Hercules)
за счет неиспользуемой в текстовом режиме видеопамяти. Планируется
разработка новых версий платы с IWP, записанной в ROM платы.
1.2.11. Семинар "Системное программирование"
и бюллетень СОФТПАНОРАМА
Отсутствие сетей и изолированность отечественных программистов
друг от друга также явилось фактором, способствовавшим распростра-
нению вирусов по нашей стране. Как уже указывалось, первые попытки
организовать обмен информацией по "антивирусной" тематике и рас-
пространение антивирусных программ относятся только к апрелю
1989 г. Так, в Киеве 13.04.90 состоялся тематический семинар, пол-
ностью посвященный проблеме компьютерных вирусов. Программа этого
семинара включала сообщения по четырем типам вирусов (С-648, RC-
1701, RCE-1813 и Bx1-1C (Ping-Pong)) и большую дискуссию. Начиная
с этого семинара, среди участников стали распространяться лучшие
антивирусные программы, а с сентября 1989 г. начал выходить ежеме-
сячный бюллетень COФТПАНОРАМА. В настоящее время с формата 360К
бюллетень перешел на формат 720К, приблизительно треть из которых
выделяется под новые версии антивирусных средств и текущую инфор-
мацию о компьютерных вирусах.
1.2.12. Болгарские и польские исследования
Из исследований, проведенных в странах Восточной Европы, следует
отметить польские и болгарские публикации. Лидером среди авторов
болгарских публикаций на рассматриваемую тему является В.Бончев.
Этим, безусловно очень способным исследователем, была опубликована
одна из первых статей по вирусу С-648 [Бончев89а], а через
некоторое время большая статья [Бончев89б], перевод которой был
включен во второй выпуск бюллетеня COФТПАНОРАМА. Несмотря на ряд
допущенных ошибок и неточностей, в ней были приведены актуальные
на тот момент сведения о вирусах группы ТР (автор лично знаком с
техно-крысой, разработавшей эту группу). В статье также очень мяг-
ко трактовался вопрос об ответственности за разработку и распрост-
ранение вирусов. Возможно это связано с тем, что в это время автор
сам распространял дискету с рядом вирусов и их исходными текстами.
Хотя мотивом служило, по-видимому, желание показать, что в компью-
терных вирусах нет ничего таинственного, эта "ошибка молодости"
возможно послужила одной из причин последовавшего в 1990 г. "бол-
гарского вирусного взрыва" (см. ниже). Вместе с тем, статьи Бонче-
ва были важным источником информации о распространяющихся в СССР
вирусах и несколько облегчили борьбу с ними. Сейчас уже можно го-
ворить о серии "околовирусных" статей В.Бончева в журнале "Ком-
пютър за вас", причем уровень последних статей существенно превос-
ходит уровень первых. Последнее время В.Бончев стал активно участ-
вовать в электронной конференции FIDO, посвященной компьютерным
вирусам.
Вместе с тем, в статьях В.Бончева наблюдается определенный "пе-
рекос" в сторону раскрытия механизма работы вирусов по сравнению с
методами защиты от них, что, в общем, соответствует интересам
В.Бончева, как ведущего рубрики. Отметим, что этот перекос не-
сколько компенсируется тем, что В.Бончев является также автором
ряда бесплатно распространяемых фагов, которые помимо Болгарии,
получили определенное распространение и в СССР. Однако с точки
зрения влияния на читательскую аудиторию, указанная несбалансиро-
ванность редакционной политики вызывает сожаление. Поэтому роль
указанных статей можно оценить как несколько противоречивую. Впро-
чем автор сознает, что подобная критика может быть высказана и по
отношению к его собственной работе.
Помимо В.Бончева, ряд статей по данной тематике опубликовал бол-
гарский исследователь С.Недков [Недков89а-Недков90а, Nedkov89] и
польский исследователь А.Кадлоф [Кадлоф90, Kadlof89].
1.2.13. Законы, направленные против техно-крыс
"Много ли желающих получить
действительно по заслугам ?"
