Главная · Поиск книг · Поступления книг · Top 40 · Форумы · Ссылки · Читатели

Настройка текста
Перенос строк


    Реклама    

liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня
Rambler's Top100
Образование - Безруков Н.Н. Весь текст 1232.53 Kb

Компьютерная вирусология ч. 1

Предыдущая страница Следующая страница
1 ... 6 7 8 9 10 11 12  13 14 15 16 17 18 19 ... 106
лый комплекс  мер: технические, организационные, юридические. Поэ-
тому наблюдаемая  сейчас тенденция  к самоизоляции  представляется
автору совершенно неоправданной. Такое "сверхреагирование" в усло-
виях нашей  страны практически равносильно добровольному отказу от
возможностей хоть  как-то улучшить  условия всей работы и повысить
ее производительность. Учитывая недоступность для большинства про-
граммистов "фирменных"  программных продуктов,  оригинальных  ино-
странных журналов,  доступа к национальным сетям -- всему тому, что
является повседневностью для программиста в США и Западной Европе,
обмен информацией на дискетах является, по сути, единственным спо-
собом получить  информацию и хоть немного поднять собственный уро-
вень.
  Потери данных в результате разрушительного действия компьютерных
вирусов в настоящее время довольно редки и по частоте не превосхо-
дят случаев  потерь данных из-за неисправности оборудования. Боль-
шинство случаев  заражения программного  обеспечения компьютерными
вирусами, отмеченных к этому времени, не вызывали серьезных потерь
данных. В то же время сама возможность таких потерь вызывает впол-
не понятную тревогу, поскольку хотя шансы попасть под разрушитель-
ную атаку вируса пока невелики, но они, к сожалению, увеличиваются
по мере  проникновения в страну новых типов и разновидностей виру-
сов. Кроме  того, каждый  понимает, что такой атаке можно подверг-
нуться в  самый неподходящий  момент. Это  беспокойство имеет свои
положительные и  отрицательные стороны. Отрицательной стороной яв-
ляется то, что оно толкает пользователей к самоизоляции, когда они
начинают бояться  брать и пробовать интересующие их программы, хо-
тя, как уже отмечалось выше, в наших условиях такой обмен информа-
цией является  основным методом  повышения собственной  производи-
тельности. Положительно  то,  что  пользователи  начинают  уделять
адекватное внимание  созданию архивных копий своих данных, а также
методам повышения  надежности их  хранения. Следует отметить, что,
хотя потеря содержимого дискеты, а тем более винчестера, способст-
вует быстрой  выработке привычки  архивировать данные, это вряд ли
можно называть  приемлемым способом воспитания такой привычки и ее
лучше прибрести  заблаговременно. В  любом случае  следует  трезво
оценивать опасность: переоценка не намного лучше, чем недооценка.



                    1.3. Современная ситуация

                                 "Эх, Эх ! -- ей Моська отвечает
                                  Вот то-то мне и духу придает
                                  Что я совсем без драки
                                  могу попасть в большие забияки!"
                                                        И.А.Крылов

  Количество персональных  компьютеров в СССР уже начинает прибли-
жаться к  миллиону. Конечно,  до США,  где количество персональных
компьютеров сопоставимо  с количеством  телефонных аппаратов,  нам
еще очень  и очень далеко, однако и такое количество уже представ-
ляет собой  "закритическую" массу  для создания  и распространения
компьютерных вирусов  собственной разработки. Поэтому неудивитель-
но,  что   в  этом   году  появились   файловые  вирусы  "местного
производства" (RC-600, RCE-1600, С-257, С-1004).
  В 1990 г. поток вирусов, поступающих в нашу страну из-за рубежа,
несколько возрос по сравнению с 1989 г. Скорость поступления можно
оценить как примерно два вируса в месяц. Из них менее половины по-
лучают существенное  распространение. Основной  вклад в этот поток
продолжают вносить файловые вирусы из Болгарии (RCE-2000, RCE-1277
и др.). Поскольку за прошедший год уровень информированности поль-
зователей существенно  возрос, выявленные вирусы были сравнительно
быстро локализованы. Вместе с тем, пользователи малых и отдаленных
городов нашей страны все еще сообщали о случаях заражения вирусами
RC-1701, Stone и других "прошлогодних" вирусах, эпидемии которых в
больших городах  уже практически закончились. Таким образом, "рас-
ползание" вирусов идет от центра к периферии, как это происходит и
с естественными  вирусами, скажем,  вирусом гриппа.  Опыт показал,
что скорость  распространения вирусов из одного города в другой не
так уж  велика, и  запаздывание достигает  нескольких месяцев. Это
создает возможность подготовиться к появлению очередного вируса за
счет оперативного распространения соответствующей информации и ан-
тивирусных средств через бюллетень СОФТПАНОРАМА.
  В феврале 1990 г. семинаром "Системное программирование" был ор-
ганизован первый  конкурс антивирусных  программ, распространяемых
бесплатно, проводившийся в трех классах (фаги, детекторы и ревизо-
ры, резидентные  фильтры). В классе фагов первое место заняла про-
грамма AIDSTEST  Д.Н.Лозинского, второе  место -- программа  DOCTOR
А.А.Чижова. В классе детекторов и ревизоров первое место занял ре-
визор DLI  В.Герасимова, второе  место -- контекстный  детектор  VL
А.Л.Шеховцова. И наконец, в классе резидентных фильтров два первых
места поделили  программы SBM В.Еременко и Б.Мостового и программа
CHECK21 В.Двоеглазова.


                      1.3.1. Хроника событий

  Первые два месяца 1990 г. оказались довольно спокойными. В марте
появился вирус  Sunday, или RСЕ-1636 по используемой автором клас-
сификации. Изучение  кода показало,  что его можно рассматривать в
качестве штамма вируса RCE-1813 (Ierusalem, Black Friday). В воск-
ресенье RСЕ-1636  удаляет все запускаемые программы. В этом же ме-
сяце был обнаружен бутовый вирус DiskKiller тайваньского происхож-
дения. Это первый из попавших в наших страну вирусов, уничтожающих
информацию на  всем винчестере  так, что ее потом крайне трудно, а
для специалиста, не владеющего ассемблером, -- невозможно восстано-
вить. В частности, от этого вируса пострадал ряд ВЦ в западных об-
ластях Украины.
  В апреле  в  Москве  был  обнаружен  вирус  RCE-2000  болгарской
разработки. В  мае в  Днепропетровске был обнаружен вирус RC-600 --
первый вирус,  относительно которого  достоверно известно,  что он
был разработан  в СССР. В июне в Киеве был обнаружен вирус MERPHY,
разработанный в  Болгарии. В этом же месяце в Москве был обнаружен
вирус RCE-1600. Приблизительно в это же время в Москве был обнару-
жен бутовый  вирус DEN  ZUK и бутовый вирус индийского производст-
ва -- Joshy.  В июле в нескольких точках Москвы был обнаружен вирус
RC-492. В  частности, автор обнаружил его, находясь в командировке
в ВЦ АН СССР.
  К сентябрьскому семинару 1990 г. было обнаружено еще шесть новых
вирусов:  С-1004   (Bebe),  Flu-2  (LoveChild),  Attention,  Print
Screen, Kemerovo-Reboot  и 4096. Последний является представителем
нового поколения  вирусов -- так  называемых стелс-вирусов  и пред-
ставляет большую  опасность из-за довольно скрытого характера рас-
пространения и  проявлениям, похожим  на сбои  оборудования. Сразу
после сентябрьского  семинара был  выявлен еще  один представитель
стелс-вирусов -- RC-512, разработанный в Болгарии.


                 1.3.2. Болгарский вирусный взрыв

  Как уже отмечалось, Болгария стала одним из мировых центров раз-
работки файловых  вирусов. Начиная с середины 1989 г. "наплыв" ви-
русов из  Болгарии все  увеличивается и  увеличивается, причем ряд
разработанных там вирусов оказались весьма изощренными и опасными.
Этот поток вирусов, затронувший  как СССР, так и  западные страны,
получил название "болгарского вирусного взрыва". Это не совсем то-
чное  название,  поскольку  правильнее  говорить об информационном
взрыве: многие из так называемых "болгарских" вирусов либо  вообще
не были "выпущены на свободу", либо быстро локализованы и  уничто-
жены, не успев создать эпидемию, однако тот факт, что они были со-
браны В.Бончевым и переданы западным вирусологам в течении  доста-
точно короткого промежутка времени создал иллюзию "взрыва".
  Деятельность болгарских  техно-крыс нанесла  определенный  ущерб
нашей стране, поскольку из Болгарии вирусы быстро попадают в СССР.
Всего к  нам попало  более 20 болгарских вирусов, ряд из которых
распространился достаточно  широко. Среди последних отметим группу
Dark Avenger (RCE-1800 - Еddie, RCE-02000 - AntiBontchev, RC-512 и
др.) и  группу TP-вирусов  (RСE-1206, RCE-1805,  RCE-2885 и  др.).
Многие сотни,  если не  тысячи, часов  были потрачены  на анализ и
дезинфекцию зараженных ими программ.
  Факты свидетельствуют о том, что начиная с 1988 г., в Софии сло-
жилась группа лиц, активно разрабатывавшая и распространявшая ком-
пьютерные  вирусы.  Общее  количество  разработанных  ими  вирусов
приближается к сотне. Среди них отметим техно-крысу, разработавшую
серию TP. Эта техно-крыса,  по данным В.Бончева, закончившая  свою
деятельность по созданию новых  вирусов летом 1989 г.,  ранее была
сотрудником Высшего машинно-электротехнического института  (теперь
Инженерная академия), расположенного в Софии. Фамилия автора виру-
са RE-1961 (В.Бочев) стала известна по попавшему в СССР на  вирус-
ной  дискете  Бончева  исходному  тексту  вируса  RЕ-1961  (Yankee
Doodle-2). Этот нерезидентный файловый вирус был исторически  пер-
вым болгарским вирусом, заражавшим EXE-файлы стандартным  способом
и первым вирусом,  использовавшим мелодию играющего  мелодию "Янки
Дудль  Денди"  при  запуске  зараженного  файла. Правда, несколько
странно, что болгарский программист использовал в своей  программе
мелодию марша  "Янки Дудль  Денди" (Yankey  Doodle Dandy). Кстати,
В.Бочев является автором некоторых статей, опубликованных в  "Ком-
пютър за вас" [ ].
  Наиболее известной болгарской техно-крысой на данный момент  яв-
ляется программист, скрывающийся под кличкой Dark Avenger, "проду-
кция" которого  (более десятка  изощренных вирусов)  уже могла  бы
быть оценена в западных странах солидным сроком тюремного заключе-
ния. Первым  из вирусов,  разработанных этой  техно-крысой, в СССР
попал вирус RCE-1800. Этот вирус, часто называемый Eddie, по соде-
ржащейся в нем текстовой строке  был и остается одним из  наиболее
опасных файловых вирусов. В нем предусмотрено разрушение  секторов
на диске, а также использован несколько отличный от предыдущих ви-
русов механизм размножения (RCE-1800 заражает файлы не только  при
выполнении, но и при открытии), обеспечивавший вирусу более  быст-
рое распространение.
    Весной 1990 г.  в нашей стране  был обнаружен очередной  вирус
этого технопата -- RCE-02000, который на зараженной машине  маски-
рует  увеличение  длины  зараженных  файлов.  Это один из наиболее
скрытно размножающихся и опасных вирусов-вандалов. В тексте вируса
RCE-02000 имеется строка "(c) 1989 by Vesselin Bontchev", располо-
женная в конце тела вируса, т.е. в последнем блоке зараженной про-
граммы. Подобного  рода клеветнические  приемы типичны  для техно-
крыс и В.Бончев не является первым и последним разработчиком анти-
вирусных программ,  которому приходится  защищаться от  "пиратства
наоборот". Попытки приписать авторство вирусов разрабочикам  анти-
вирусных программ или превратить очередные версии этих программ  в
троянские, т.е. распространяющие новый вирус, предпринимались тех-
но-крысами неоднократно, однако в случае RCE-02000 вирус,  являясь
резидентным, еще и блокирует запуск антивирусных программ В.Бонче-
ва, проверяя  загружаемые программы  на наличие  части приведенной
выше строки и вызывая зависание, если строка найдена. В 3/4 номере
за 1990 г. журнала "Компьютер за вас" В. Бончевым было опубликова-
но опровержение, подтвердившее, что автором данного вируса являет-
ся DARK AVENGER -- предположение возникшее у большинства советсвих
вирусологов, анализировавших  кода данного  вируса. Более  того, в
указанном номере опубликовано и письмо самого DARK AVENGER. По-ви-
димому, это первая публикация техно-крысы, хотя не совсем понятно,
зачем предоставлять  технопатам возможность  печататься. Поскольку
появление письма DARK AVENGER по времени совпало с распространени-
Предыдущая страница Следующая страница
1 ... 6 7 8 9 10 11 12  13 14 15 16 17 18 19 ... 106
Ваша оценка:
Комментарий:
  Подпись:
(Чтобы комментарии всегда подписывались Вашим именем, можете зарегистрироваться в Клубе читателей)
  Сайт:
 
Комментарии (3)

Реклама