возможность передать зараженной программе параметры, замедление
работы компьютера путем выполнения холостого цикла из нескольких
команд при каждом прерывании таймера);
7) имитация сбоев аппаратуры (перевод части кластеров в "псевдо-
сбойные" на дискете или винчестере, зависание ЭВМ через некоторое
время после перезагрузки операционной системы и т.д.);
8) ускорение износа оборудования или попытки его порчи.
Наносимый вирусами ущерб может иметь катастрофический характер
(например, уничтожение винчестера) в сочетании с длительным "инку-
бационным периодом" или, наоборот, вирус может наносить мелкие,
трудно обнаруживаемые повреждения данных, выполняемые достаточно
часто. Последние гораздо труднее обнаружить и поэтому, в отличие
от распространенного мнения, они намного опаснее массированного
разрушения данных.
Наиболее уязвимой частью файловой системы DOS является FAT (таб-
лица размещения файлов). Если FAT разрушен, то DOS не в состоянии
определить местонахождение того или иного файла, хотя сами файлы
не повреждены. Вирус может также выполнять форматизацию некоторых
участков диска, содержащих системные данные. Поэтому необходимо
достаточно часто дублировать управляющие данные файловой системы
на другой, заранее известный участок диска или дискету. Для этой
цели, в частности, можно использовать Norton Utilities, а также
Mirror из пакета PC Shell.
На компьютерах типа АТ данные о конфигурации системы (тип уста-
новленного винчестера и др.) хранятся в небольшой энергонезависи-
мой памяти (CMOS). Уничтожение содержимого CMOS-памяти приводит к
невозможности загрузиться с винчестера. Восстановление CMOS требу-
ет знания подробных технических данных о винчестере. Поэтому этот
тип памяти также является потенциальным объектом атаки вируса.
Как уже отмечалось, наиболее опасны как раз не катастрофические
повреждения винчестера или дискет (при адекватном архивировании
это означает максимум потерю одного дня работы), а мелкие, неза-
метные изменения файлов данных. В частности, известен вирус, кото-
рый ищет файлы типа DBF, и найдя внутри файла числовое поле, меня-
ет местами две рядом стоящие цифры.
По степени разрушительности вирусы можно условно разделить на
два типа: "иллюзионисты" (RC-1701, RCE-1805, RСE-2885, Bx1-1C) и
"вандалы" (C-648, RСE-1800, Dx3-E9, RC-496). Основным приоритетом
при конструировании "иллюзионистов" является демонстрация какого-
нибудь экзотического звукового (например, вирусы RCE-1805, RCE-
2885) или визуального эффекта типа бегающего шарика (например, ви-
рус Bx1-1C), осыпающихся букв (вирус RC-1701) и т.д. В качестве
основного приоритета пpи констpуиpовании "вандалов" является обес-
печение как можно более скрытого размножения, с тем чтобы фазе
разрушения (детонации), уничтожающей и зараженный файл (дискету) с
данным экземпляром вируса (при разрушении таблицы FAT, форматиза-
ции и других подобных действиях), предшествовало определенное чис-
ло незамеченных размножений.
При этом наблюдается интересная взаимосвязь, на которую обратил
внимание автора Л.И.Обухов: если вирус демонстрирует нетривиальный
визуальный или звуковой эффект, то скорее всего он не выполняет
массированного разрушения данных. Поэтому, если неизвестный вирус
демонстрирует какой-то изощренный эффект, то повышаются шансы на
то, что он не выполняет массированных разрушений файловой системы.
Психологически, примитивный вандализм типа разрушения файлов или
форматирования диска, наверное, в большей степени присущ примитив-
ным личностям, страдающим комплексом неполноценности, но неспособ-
ным на конструктивную деятельность. Ведь давно замечено, что "ло-
мать є не строить": хотя написание вируса в современных условия
нельзя называть конструктивной деятельностью, все же встроить в
вирус программу разрушения FAT значительно проще, чем программу
падения букв на экране дисплея.
2.10. Повторное заражение
"Сожрали с аппетитом ядовитый порошок
Четыре неразлучных таракана и сверчок"
Из популярной песни 60-х годов
Компьютерные вирусы "бессмертны" и могут неограниченное время
храниться в различного рода архивах. Даже "полностью уничтоженные"
вирусы могут сохраниться в каком-нибудь архивном файле и случайно
или умышленно "реанимироваться" через много месяцев или даже лет
после их первоначального обнаружения и уничтожения. Из этого сле-
дует важный вывод, что после первого обнаружения и уничтожения ви-
руса следует ожидать повторных заражений. Таким образом, после по-
явления определенного вируса необходимы специальные меры по пред-
отвращению повторных заражений. Здесь можно двигаться в двух на-
правлениях: во-первых, постараться найти первоисточник заражения,
и во-вторых, разработать или установить программы, затрудняющие
(сторожа) или делающие невозможным (вакцины) размножение вируса.
Опасность повторного заражения особенно велика, если дезинфекция
проведена наспех, без тщательной проверки всего объема используе-
мых программ и имеющихся архивов, а также если доступ к компьютеру
имеют случайные или неквалифицированные пользователи. Как уже от-
мечалось выше, особую опасность в этом смысле представляют собой
любители компьютерных игр.
2.11. Вирусофобия и попытки ее эксплуатации
"Трусоват был Ваня бедный"
А.С.Пушкин
Следует отметить, что в ряде организаций само появление нового
вируса вызывает панику, парализуя работу на несколько дней. При
отсутствии специалистов в процессе борьбы с попавшим вирусом за-
частую выполняется огромный объем ненужной работы, например, пере-
форматирование винчестера. В процессе выгрузки и загрузки информа-
ции пользователи сами могут в спешке уничтожить важную информацию.
Поскольку в таких организациях руководство обычно слабо пред-
ставляет себе принципы действия и эффекты, вызываемые этим классом
программ, у программистов появляется возможность использовать ви-
русы как "отходной вариант" для объяснения каких-то трудностей или
причин срыва сроков. Варианты объяснений могут варьироваться от
самых примитивных ("Я все сделал(а), а потом пришел вирус и все
уничтожил"), до вполне квалифицированных.
Далеко не все повреждения файловой системы, отказы винчестера
или оборудования вызываются вирусами. Например, некоторые типы
винчестеров имеют довольно низкую надежность и "сыпятся" без вся-
кого вмешательства вирусов. Имеются компьютеры, которые можно
загрузить, только дав им прогреться в течении получаса. Автору
приходилось работать на дефектном венгерском дисководе ПЭВМ ЕС
1840, который не только фрезеровал дискеты, но и при записи иногда
стирал FAT. Причем восстановить поврежденный FAT при помощи изве-
стной утилиты Norton Disk Doctor не удавалось. Общеизвестно, что
многие отечественные компьютеры и без всяких вирусов регулярно за-
висают.
В то же время имеется тенденция атрибутировать любое повреждение
данных присутствием вируса. Это по сути один из вариантов мании
("вирусомания"), которая подобно печально известной шпиономании
("шпионы под каждой кроватью") имеет социально-психологическую
этиологию. Первыми пользу из "вирусомании" научились извлекать
электронщики: если компьютер барахлит, а им лень разбираться, то в
ход пускается неотразимый аргумент: "Это у вас какой-то вирус".
2.12. О возможности повреждения оборудования
компьютерными вирусами
"То тарелками пугают..."
В.Высоцкий
Одним из проявлений вирусофобии следует считать слухи о вирусах,
повреждающих оборудование. Вопрос о возможности повреждения обору-
дования автору задавали практически на каждой прочитанной им лек-
ции. Дейcтвительно, хотя большинство повреждений, наносимых виру-
сом, относятся к данным, возможны также повреждения оборудования.
Например, можно повредить участок люминофора ("выжечь пятно") на
монохроматическом мониторе, используя особенности схемы управле-
ния. Однако для цветного монитора это сделать невозможно. Ходят
упорные слухи о каких-то коварных вирусах, якобы вводящих в резо-
нанс головки винчестера. К сожалению эти слухи проникают и в
"околовирусные" публикации [Основский90].
Такая мифотворческая тенденция наверно возникает в связи с лю-
бым малоизученным и потенциально опасным явлением. Следует учиты-
вать также благоприятный для такого рода слухов социальный фон:
сейчас в обществе оживился интерес ко всякого рода магии и "чудо-
творцам". Некоторые из них ухитряются даже заговаривать воду по
телевизору. По сравнению с водой, заговоренной по телевизору, ви-
рус, прожигающий дыру в экране или даже в клавиатуре, выглядит
предельно правдоподобно. Более того, автор не видит причин, почему
многие из классических русских сказок нельзя было бы "модернизиро-
вать", сделав одним из персонажей злой компьютерный вирус и соот-
ветствующим образом приспособив сюжетную канву. Со временем, когда
компьютеры появятся во многих семьях, такие сказки, возможно, бу-
дут интереснее ребенку, чем традиционные варианты с Бабой Ягой,
Кощеем Бессмертным и добрым молодцем.
2.13. Легенды о полезных вирусах
"Как часто мы промахиваемся
еще при выборе цели!"
Виктор Власов
Идея о том, что "подобное излечивается подобным", распространен-
ная среди средневековых знахарей, периодически реанимируется при-
менительно к компьютерным вирусам. Она принимает несколько основ-
ных форм, которые мы разберем последовательно.
Первой по распространенности является идея создания "вируса-за-
щитника" є вирусоподобной программы защиты. Следует отметить, что
эта идея использования для борьбы c вирусом другого вируса носится
в воздухе с момента появления первых вирусов, т.е. примерно с 1984
года (см. главу 1). Исторически, первые фаги создавались именно
как вирусы, охотящиеся на тот или иной вирус. Ничего хорошего из
этого не получилось. Опыт показал, что распространение вируса-
охотника существенно медленнее, чем вируса, за которым охотятся, и
эффективность такой погони невелика.
Эта идея весьма неудачна и в других своих модификациях. Напри-
мер, часто предлагается вариант "вируса-контролера", который при
заражении программы подсчитывает и запоминает ее контрольную сум-
му. Тогда при запуске зараженной программы вирус подсчитывал бы
контрольную сумму файла, из которого она была считана, и при
несовпадении сигнализировал бы о заражении. Вообще говоря, отсут-
ствие подобной проверки є это серьезный дефект MS DOS, и исправ-
лять его стоит именно на уровне операционной системы. Однако то-
тальное заражение "вирусом-контролером" неизбежно ведет к потере
работоспособности части программ. Кроме того, заражение всех про-
грамм таким "контролирующим" вирусом неизбежно приведет к увеличе-
нию размеров программ, причем заметному, поскольку каждой исполня-
емой программе придется сделать прививку. Если на диске 20M хра-
нится, скажем, 1000 программ и размер прививки составляет 1024
байта, то получается, что в среднем теряется мегабайт дискового
пространства. Реально, учитывая квантование дискового пространства
по кластерам, эти потери могут оказаться и больше, в особенности,
если на диске записано много программ, близких к размеру кластера.
Кроме того, процесс поиска очередной "жертвы" не так прост, и бу-
дет занимать некоторое время, замедляя загрузку программы. Поэтому