группы ТР-вирусов) или попадали в две группы сразу (например,
Vacsine и Yankee Doodle). В последнем случае создавалось ложное
впечатление о том, что файл заражен двумя вирусами сразу. Кроме
того, недавно появился другой достаточно мощный полидетектор
TNTVIRUS (фирма CARMEL Software Engineering), в котором в ряде
случаев используются другие названия. Не исключено, что будет тре-
тий, четвертый и т.д. Поэтому необходим какой-то менее субъектив-
ный и учитывающий нашу информационную изолированность (отсутствие
сетей, слабое развитие и низкое качество телефонной связи) подход.
3.1. Принцип построения классификации
По мнению автора, основным требованием к приемлемой для всех
классификации является ее объективность, т.е. классификация должна
основываться на фиксированном наборе непротиворечиво измеряемых
или наблюдаемых признаков. В идеальном случае эти признаки должны
быть выбраны так, чтобы, скажем, два разработчика антивирусных
средств, независимо работающих в Киеве и Москве, использовали одно
и то же название для одинаковых вирусов и разные названия для раз-
ных вирусов. Это обеспечивало бы быстрое выявление новых штаммов
вирусов и новых, еще не исследованных, разновидностей. Очевидно,
что объективная классификация существенно облегчает систематиза-
цию, распространение и накопление знаний, а также выбор программ-
ных средств для борьбы с тем или иным вирусом.
Однако важно не только наличие классификации как таковой, а и
принятие ее в качестве стандартной. Уже сейчас отсутствие стандар-
тной классификации приводит к ряду нежелательных эффектов. Во-пер-
вых, у разработчиков наблюдается тенденция по-своему называть об-
наруженный или сравнительно малораспространенный вирус, а в даль-
нейшем продолжать использовать собственное название (см., напри-
мер, документацию к полифагу Aidstest Д.Н.Лозинского). В результа-
те получается, что каждый разработчик антивирусных средств исполь-
зует в определенной степени свою уникальную классификацию. Поэтому
для пользователей, столкнувшихся с вирусом, необнаруживаемым тем
или иным детектором или полифагом, часто неясно, относится ли он к
какой-то разновидности (один основной тип вируса обычно представ-
лен рядом штаммов со сходными, но не идентичными свойствами) уже
известного вируса, что дает возможность в значительной степени
предсказать его свойства, или это совершенно новый, еще не иссле-
дованный, вирус. Во-вторых, у самих пользователей наблюдается тен-
денция аппроксимировать общее количество вирусов общим количеством
названий, используемых в имеющемся у них наборе средств защиты и
прежде всего программ-фагов (т.е. программ, "выкусывающих" тело
вируса из зараженной программы, там самым восстанавливая ее в ра-
ботоспособном и близком к первоначальному состоянии). Такая апп-
роксимация приводит к существенной переоценке общего количества
имеющихся компьютерных вирусов, однако человек быстро "рационали-
зирует" этот факт путем разбиения одного реального вируса на не-
сколько "виртуальных", приписывая каждому свой набор признаков.
Так, автору приходилось сталкиваться с "самодельной" классифика-
цией, в которую вирусы С-648 и RСE-1813 входили в двух "ипостасях"
каждый, причем второй ипостаси вируса С-648 приписывались черты
вируса RСE-1813 (замедление работы компьютера).
В процессе чтения лекций и проведения семинаров по данной про-
блеме автором была выработана схема классификации, включающая три
основных элемента: код вируса (несколько напоминающий схему клас-
сификации транзисторов); дескриптор вируса (формализованный список
основных свойств); сигнатуру вируса (строка для контекстного по-
иска данного вируса в зараженной программе).
Классификационный код вируса. В предлагаемой схеме каждому виру-
су присваивается код, состоящий из буквенного префикса,
количественной характеристики и факультативного буквенного суффик-
са. Например, в коде RCE-1813c RСE є префикс, 1813 є корень (ха-
рактеристика), а c є суффикс.
Главным требованием к классификационному коду вируса является
возможность определения большинства входящих в него свойств на не-
зараженном компьютере. Выполнение каких-либо действий по исследо-
ванию вируса на зараженном компьютере является наиболее распрост-
раненной и одновременно наиболее грубой ошибкой, которую допускают
неопытные пользователи. Следует подчеркнуть, что любые действия на
компьютере, зараженном неизвестным вирусом, сопряжены с определен-
ным риском вызвать срабатывание троянской компоненты вируса. Кроме
того, резидентный вирус с целью маскировки может перехватывать за-
просы и искажать выдаваемую информацию. В настоящий момент изве-
стен ряд вирусов, обладающих указанным свойством. Например, группа
файловых вирусов, известная под названием TP-вирусов, начиная с
вируса TP-34 (члены этой группы имеют номера, хранящиеся в пред-
последнем байте вируса в 16-ричном виде) обладает интересным свой-
ством: при попытке трассировать зараженную программу резидентный
вирус выполняет "выкусывание" вируса из программы, "подсовывая"
отладчику уже излеченную программу. Аналогично бутовые вирусы,
входящие в группу пакистанских (Brain, Ashar), при попытке про-
смотреть бутсектор на зараженном компьютере "подсовывают" пользо-
вателю оригинальный бутсектор, сохраненный вирусом в одном из сек-
торов, помеченных как дефектный (и, тем самым, исключенным из рас-
пределения под файлы).
Префикс характеризует место расположения головы вируса и состоит
из букв и цифр, начинаясь с прописной буквы. В соответствии с этим
будем различать следующие типы вирусов (будем рассматривать только
реально существующие типы, а не все принципиально возможные):
1) файловые (голова вируса располагается в COM-, EXE-файлах и
оверлеях є символы С, Е в префиксе. При этом дополнительную букву,
отражающую заражение оверлеев в префикс вводить не будем, чтобы
избежать его переусложнения, а вынесем в дескриптор);
2) бутовые (голова вируса располагается в бутсекторе или блоке
MBR є символы B,D или M в префиксе);
3) пакетные (голова вируса расположена в пакетном файле, т.е.
представляет собой строку или программу на языке управления зада-
ниями операционной системы є префикс J). Отметим, что наряду с чи-
стыми вирусами, использующими одну среду, в настоящее время появи-
лись гибридные є сочетающие свойства файловых и бутовых вирусов.
Характеристика вируса представляет собой количественно измеряе-
мое свойство вируса, допускающее простое определение и отличающее-
ся для большинства типов вирусов. Например, для файловых вирусов в
качестве характеристики может использоваться величина приращения
длины файлов при заражении, хотя здесь имеются определенные труд-
ности.
Суффикс используется, когда два разных вируса или два штамма од-
ного и того же вируса имеют одинаковый префикс и характеристику. В
этом случае для того, чтобы получить уникальные коды, будем ис-
пользовать в качестве суффикса латинскую букву. Например, в коде
RС-1704f буква f означает "штамм-f".
Дескриптор вируса. Конечно, предложенный код вируса не охватыва-
ет, да и не может охватывать основные свойства вируса. В то же
время систематизация свойств вирусов представляет значительный ин-
терес как для разработчиков антивирусных программ, так и их поль-
зователей, поскольку позволяет интегрировать разнородные факты,
относящиеся к поведению того или иного вируса в систему, тем самым
облегчая их запоминание и сопоставление. Поэтому автором в каче-
стве второго элемента классификации предлагается так называемый
дескриптор.
Дескриптор представляет собой систематизацию основных характери-
стик вируса в закодированном виде. Кодировка состоит из групп сим-
волов, начинающихся с заглавной латинской буквы, за которой следу-
ют строчные латинские буквы или цифры. При этом заглавная латин-
ская буква определяет вид характеристики, а следующие за ней ма-
ленькие буквы или цифры є значение характеристики для конкретного
вируса. Например, в дескрипторе "Хab Yc Zdmt" имеются три свойст-
ва: Х є со значением "аb", Y є со значением "c", и Z є со значе-
нием "dmt".
Сигнатура вируса. Поскольку подавляющее большинство известных в
настоящее время вирусов допускают детектирование с помощью контек-
стного поиска, одной из важных задач классификации является со-
ставление списка строк для контекстного поиска (сигнатур). Знание
сигнатур позволяет проверять поступающее программное обеспечение
на их наличие, тем самым существенно повышая степень защищенности
ЭВМ. Стандартизация сигнатур особенно важна, когда вирус имеет
много штаммов, поскольку формальные схемы, подобные описанным выше
классификационному коду и дескриптору, обладают тем недостатком,
что некоторые штаммы будут неразличимы в заданном пространстве
признаков. В то же время сравнительно легко обеспечить уникаль-
ность сигнатуры, по крайней мере вирусов, известных в СССР, хотя
возможно создание вируса не имеющего ни одной сигнатуры, т.е. ко-
торый нельзя найти с помощью контекстного поиска.
Хотя в дальнейшем в качестве сигнатур используются только тек-
стовые строки, для них применимы и регулярные выражения. Последние
существенно устойчивее к некоторым мутациям и, кроме того, при
меньшей длине обеспечивают лучшее качество распознавания (меньшее
количество ложных срабатываний). Все это делает их предпочтитель-
нее простых текстовых строк. Версию приводимых ниже таблиц с сиг-
натурами из регулярных выражений автор надеется опубликовать не-
сколько позднее.
Очевидно, что сигнатура, соответствующая участку, содержащему
команды, надежнее сигнатуры участка, содержащего данные, например,
текстовые строки (последние могут быть модифицированы). Поэтому
выбор сигнатуры целесообразно выполнять на основе анализа дизас-
семблированного кода вируса. Длина сигнатуры не должна быть слиш-
ком большой, поскольку длинную сигнатуру труднее правильно набить
вручную. В то же время при недостаточной длине или выборе нехарак-
терных участков кода сигнатура будет вызывать много ложных сраба-
тываний, что весьма нежелательно. Правильная сигнатура не должна
содержаться ни в одной из наиболее распространенных в MS DOS сис-
темных программ, включая, конечно, сами компоненты MS DOS. Таким
образом, для выбора отвечающей указанным требованиям сигнатуры не-
обходим ряд экспериментов, а сами сигнатуры могут являться предме-
том сравнения и анализа.
В настоящее время имеется ряд программ, обеспечивающих детекти-
рование вирусов путем поиска в файлах соответствующих строк и ис-
пользуемые в них сигнатуры естественно "принять за основу". Наи-
большую ценность представляют строки, используемые в известном за-
рубежном детекторе SCAN фирмы McAfee Associates (США), поскольку
новые версии этого детектора появляются регулярно и охватывают
практически все вирусы, появляющиеся за рубежом. Из других зару-
бежных детекторов следует отметить VIRSCAN фирмы IBM и TNTVIRUS
фирмы CARMEL (Израиль). Для определенности назовем строку, исполь-
зуемую SCAN, М-сигнатурой, строку, используемую VIRSCAN, є I-сиг-
натурой, а строку, используемую TNTVIRUS, є С-сигнатурой. В то же
время необходимо отметить, что сигнатуры для ряда вирусов, распро-
страняющихся в нашей стране, таких как RCE-1600 (Voronez є Воро-
неж), C-1024 (Bebe є Бебе) и др. в существующих версиях этих про-
грамм отсутствуют, а сигнатуры для болгарских вирусов часто неу-
дачны. В таких случаях в статье используются выбранные автором
сигнатуры, которые обозначены буквой B (B-сигнатуры) или так назы-
ваемые J-сигнатуры. Последние представляют собой начальные байты
кода вируса (т.е. первые исполняемые команды тела вируса). Опыт
показывает, что они достаточно специфичны и в большинстве случаев
