ем вируса RCE-02000, это еще раз показывает, насколько техно-кры-
сам присущ "комплекс Герострата". Интересно отметить, что в письме
название журнала "Компютър за вас" изменено на достаточно едкое
"Вирус за вас", что, учитывая факт публикации письма и статей
В.Бочева, имеет определенные основания.
1.3.3. Колхоз им. Герострата, или "небывалый вирусный урожай 1990"
"Скоро ваши рыжие кудри, Шура,
примелькаются, и вас начнут бить"
И.Ильф и Е.Петров
Дурной пример заразителен, и в настоящее время cоветским вирусо-
логам уже нельзя в своих публикациях "кивать на Болгарию" -- мол
какое у них творится безобразие. Социально-экономические условия
СССР и Болгарии достаточно близки, а существовавшее значительное
отставание в распространении персональных компьютеров сейчас нес-
колько сократилось. Поэтому "грядет советский вирусный взрыв", тем
более, что если по качеству мы всегда отстаем, то по количеству
какой-то вредной продукции являемся мировым лидером. И я боюсь,
что по количеству разрабатываемых компьютерных вирусов мы скоро
будет серьезно конкурировать с Болгарией. Уже сейчас можно назвать
более десятка вирусов, разработанных в СССР. К ним относятся RC-
529, RC-600, RCE-1600, RCE-2458 (Victor), С1004 (Bebe), и вероят-
но, С257. Первые три вируса разработаны в Воронеже, и соответству-
ющий член колхоза имени Герострата известен в кругах вирусологов
как "Воронежский пакостник". Интересно отметить, что эта технокры-
са работает в паре со своим отцом, специализирующимся на распрост-
ранении "выращенных" вирусов. Вот уж, действительно, ...яблоко от
яблони ... Вирус RCE-2458 "живьем" пока не попадался и, возможно,
разработан кем-то из иммигрантов. Происхождение вируса C-1004
(Bebe) выдают содержащиеся в нем фразы.
Из указанных вирусов наибольшее распространение получил, по ви-
димому, RC-1600, который был обнаружен в июне 1990 г. Учитывая
предупреждение Томпсона, высказанное им в его знаменитой Тьюрин-
говской лекции, автор призывает продуманно подходить к упоминанию
фамилий разработчиков вируса в антивирусных программах, документа-
ции к ним и публикациях на данную тему. Незачем создавать рекламу,
по сути идя на поводу у какого-то молодого балбеса или ущербной
личности, страдающей от чувства собственной неполноценности и не
способной найти своим ограниченным способностям какое-то конструк-
тивное применение.
2. ОБЩИЕ ПРИНЦИПЫ ФУНКЦИОНИРОВАНИЯ
КОМПЬЮТЕРНЫХ ВИРУСОВ
Не стоит слишком мучать себя
вопросом: "Как это возможно?"
Р.Фейнман
Уже в середине 60-х гг. разработчики и пользователи обнаружили,
что системы разделения времени весьма небезопасны с точки зрения
возможности доступа к чужим данным и программам посторонних лиц, и
начали принимать меры защиты против "непрошенных гостей". Поэтому
сначала кратко рассмотрим некоторые приемы, применяемые злоумыш-
ленниками для повреждения чужих программ и данных. Важно пони-
мать, что вирусы являются только одним из возможных способов ин-
фильтрации в чужую компьютерную систему.
Доверие к той или иной компьютерной системе фактически означает
доверие по отношению к тем, кто ее разработал, и тем, кто ею поль-
зуется. Эксперты по безопасности компьютерных систем часто подчер-
кивают, что эти проблемы в значительной степени являются социаль-
ными проблемами. Поэтому, как и в других сферах человеческой дея-
тельности, появилась и развивается компьютерная преступность. Ви-
русы являются только частью проблемы компьютерной преступности, и
их правильнее всего рассматривать в этом, более общем контексте.
2.1. Программы-вандалы
"Homo homini lupus est"
(Человек человеку волк)
Плавт
Класс программ, направленных на причинение вреда пользователям,
часто обозначают термином "Badware", по аналогии с тем, что для
обозначения программного обеспечения обычно используется термин
"Software". На русский язык этот термин иногда переводится "каль-
кой" софтвер, который не прижился из-за своей неблагозвучности .
Мне кажется, что в технической литературе отдельные общепринятые
иностранные слова можно использовать без перевода. Badware включа-
ет ряд подклассов, среди которых наиболее распространенными явля-
ются троянские программы и компьютерные вирусы.
2.2. Троянские программы
"O tempora, o mores !"
(О времена, о нравы !)
Цицерон
Троянскими программами (троянскими конями) обычно называют про-
граммы, содержащие скрытый модуль, осуществляющий несанкциониро-
ванные действия. Эти действия не обязательно могут быть разруши-
тельными, однако практически всегда направлены во вред пользовате-
лю. В свою очередь, троянские программы можно разделить на не-
сколько категорий.
Троянские программы-вандалы обычно выполняют или имитируют вы-
полнение какой-нибудь полезной или экзотической функции. При этом
в качестве побочного эффекта они стирают файлы, разрушают катало-
ги, форматируют диск и т.д. Иногда разрушительный код встраивается
в какую-нибудь известную программу. Чтобы привлечь пользователей,
полученная троянская программа-вандал часто маскируется под новую
версию данного программного продукта.
С появлением BBS программы-вандалы получили значительное распро-
странение. При этом техно-крыса подсовывает программу в один или
несколько BBS, пользователи которых затем "попадаются на удочку".
В качестве примера троянской программы-вандала можно привести про-
грамму SURPRISE ("Сюрприз"). Написанная на Бейсике, она исполняла
команду DEL *.*, а затем выдавала на экран строку "Surprise !". И
таких простых и злобных программ создано немало. С их распростра-
нением запуск новой программы на компьютере стал небезопасной опе-
рацией.
Иногда в качестве самостоятельной разновидности троянских про-
грамм-вандалов выделяют так называемые логические мины (logic
bomb) є скрытые модули, встроенные в ранее разработанную и широко
используемую программу. Такой модуль является безвредным до опре-
деленного события, при наступлении которого он срабатывает. Такого
рода программы иногда используются уволенными или обиженными со-
трудниками как форма мести по отношению к нанимателю. Частный слу-
чай логических мин, в которых срабатывание скрытого модуля опреде-
ляется временем, часто называют минами с часовым механизмом (time
bomb). Фактически логические мины являются средством компьютерного
саботажа и их создание должно предусматривать уголовную ответст-
венность. Хотя, как указано выше, компьютерный саботаж обычно свя-
зан с "местью" обиженных или уволенных программистов своему бывше-
му работодателю, он может использоваться и как форма конкурентной
борьбы.
В истории отечественного программирования было несколько "гром-
ких" случаев компьютерного саботажа. Так, лет семь назад отечест-
венные газеты сообщали о программисте, который перед своим уволь-
нением встроил в программу, управлявшую главным конвейером Горько-
вского автомобильного завода, "мину", которая через некоторое вре-
мя привела к остановке главного конвейера. Программист был выявлен
и осужден. На Западе, наряду с попытками хищения средств через
банковские компьютеры, распространены случаи компьютерного сабота-
жа по отношению к различного рода финансовым системам, вплоть до
шифровки базы данных с последующим требованием выкупа за ключ
(программу) расшифровки. Последним известным случаем такого рода
было описанное выше распространение дискеты с информацией по
СПИДу, в которой программа управления базой данных была троянской.
Программы, обеспечивающие вход в систему или получение привиле-
гированной функции (режима работы) в обход существующей системы
полномочий, называют люками (back door). Люки часто оставляются
разработчиками соответствующих компонент операционной системы для
того, чтобы завершить тестирование или исправить какую-то ошибку,
но нередко продолжают существовать и после того, как то, для чего
они планировались, завершено или необходимость в нем отпала. На-
пример, в операционной системе ОС ЕС широко использовалcя люк
NEWPSW, позволявший программе пользователя получить привилегиро-
ванный режим, называемый в серии 360/370 режимом супервизора, в
обход средств контроля операционной системы.
Троянские программы могут также использоваться в целях разведки.
К распространенным программам такого рода относятся программы уга-
дывания паролей. Одной из компонент сетевого вируса Морриса была
такая программа, причем, как оказалось, она сумела добиться успеха
в значительном числе случаев.
2.3. Компьютерные вирусы
"Да он-то как вперед пробрался ?"є
"За хвостик тетеньки держался !"
И.Франко
Формально компьютерным вирусом называется программа, которая мо-
жет заражать другие программы путем включения в них своей, возмож-
но модифицированной, копии, причем последняя сохраняет способность
к дальнейшему размножению [Cohen88a]. Программа, зараженная виру-
сом, может рассматриваться как автоматически созданная троянская
программа. В данном случае скрытым модулем является тело вируса, а
одним из несанкционированных действий є заражение других программ.
Помимо заражения, вирус, подобно любой другой троянской программе,
может выполнять и другие несанкционированные действия, от вполне
безобидных до крайне разрушительных. Последние, в частности, могут
включать уничтожение данных на зараженном диске. В этом случае ви-
рус может рассматриваться как логическая мина. Выполняемые вирусом
несанкционированные действия могут быть обусловлены наступлением
определенной даты (такие троянские программы в какой-то степени
аналогичны минам с часовым механизмом) или определенного количест-
ва размножений, или сочетанием определенных условий, например за-
писи зараженной программы на винчестер (последние аналогичны раз-
личного рода бесконтактным минам). При этом комбинация этих усло-
вий может быть достаточно сложной, чтобы затруднить ее определение
(как например, в вирусе Пинг-понг).
Инфицируя программы, вирусы могут распространяться от одной про-
граммы к другой (транзитивно), что делает их более опасными по
сравнению с другими методами компьютерного вандализма. Зараженные
программы (или их копии) могут передаваться через дискеты или по
сети на другие ЭВМ. Учитывая широко распространенную практику об-
мена и передачи программ на дискетах среди пользователей персо-
нальных ЭВМ, количество зараженных программ может быть значитель-
ным, приводя к своего рода эпидемиям. Этому также способствует
распространенная в нашей стране практика использования одной ПЭВМ
несколькими пользователями. Опасность существенно возрастает при
наличии винчестера, программы на котором используются всеми поль-
зователями. В этом случае один неквалифицированный или злонамерен-
ный пользователь может нанести значительный ущерб другим пользова-
