лога описаний наиболее распространенных компьютерных вирусов, из
которого можно было бы выяснить свойства, степень опасности и ос-
новные приемы борьбы с этой новой разновидностью компьютерного ва-
ндализма, а также разработать собственную методику работы в "виру-
соопасной" обстановке. Автор попытался в меру своих сил выполнить
эту задачу в предлагаемой вашему вниманию части работы. Насколько
эта попытка удалась, судить читателю.
В процессе работы автор опирался на помощь и поддержку участ-
ников киевского семинара "Системное программирование", студентов -
сотрудников ТК NEATAVIA (В.Пономаренко, И.Свиридов, О.Суворов), а
также разработчиков антивирусных программ. Обмен информацией с
Е.Н.Касперским, Д.Н.Лозинским, А.А.Сессой и А.А.Чижовым и другими
разработчиками отечественных антивирусных программ позволил опера-
тивно включать в очередные версии сведения о появлявшихся вирусах.
Кроме того, при написании работы использовалась неопубликованная
документация к антивирусным программам указанных автором (Д.Н.Ло-
зинского, О.Котика, А.Сессы, Е.Касперского и др.). В.Герасимов пе-
редал автору Virus Information Summary List, составленный Патрици-
ей М. Хоффман (Patricia M. Hoffman).
Особую благодарность автор выражает cотруднику ВЦ АН СССР
Ю.П.Лященко, который на протяжении всего времени работы над данной
книгой оказал существенную помощь в работе, в особенности в вопро-
сах, связанных с совершенствованием структуры книги, унификацией
терминологии и систематизацией изложения материала. Кроме того,
Ю.П.Лященко помог автору с копированием литературы по данной тема-
тике, высказал ряд полезных замечаний по тексту рукописи и выпол-
нил трудоемкую работу по составлению и редактированию библиографии
и приложения 5.
Ряд читателей данной работы прислали свои замечания и предло-
жения, учет которых позволил повысить качество изложения и испра-
вить ошибки и неточности. Всем им автор выражает свою искреннюю
благодарность.
В то же время именно автор несет ответственность за все ошибки
и неточности, имеющиеся в работе, и будет благодарен всем, присла-
вшим свои замечания и предложения. Их следует направлять по адре-
су: 252006, Киев-6, Красноармейская 124а, кв. 85 или сообщать по
телефону (044) 268-10-26 с 9 до 10 часов утра. Я постараюсь их
учесть при подготовке очередной редакции данной работы. Если не
оговорено обратное, то письма, адресованные автору, рассматривают-
ся как поступившие в адрес редакции бюллетеня СОФТПАНОРАМА. Наибо-
лее интересные из них публикуются в очередном номере бюллетеня.
Редакция оставляет за собой право редактирования содержания писем.
Первая версия данной работы была выпущена в сентябре 1989 года
и в дальнейшем обновлялась ежемесячно, к очередному семинару. Пос-
кольку она распространяется, в основном, стихийно, нередко получа-
ется так, что в отдельные регионы попадают версии почти годичной
давности. Поэтому, начиная с версии 3.0, принимается подписка от
иногородних организации на 10 редакций "Компьютерной вирусологии"
на дискетах. Очередная версия высылается подписчику по получению
гарантийного письма, а девять последующих (как уже говорилось,
очередная редакция готовится обычно к очередному семинару) высыла-
ются подписчикам на дискетах по мере их появления. По вопросам по-
дписки на бюллетень СОФТПАНОРАМА и указанные выше выпуски данной
работы просьба обращаться по адресам, указанным в файле READ.ME,
который поставляется вместе с данной работой. В этом же файле ука-
заны условия подписки и распространения.
10.11.90 Н.Н.Безpуков
ОГЛАВЛЕНИЕ
1. ОЧЕРК ИСТОРИИ КОМПЬЮТЕРНЫХ ВИРУСОВ
1.1. Предыстория
1.1.1. Первые эксперименты
1.1.2. Романы Бруннера, Гибсона и расцвет "околовирусного"
направления в научной фантастике
1.1.3. Apple II и BBS создают условия для распространения
троянских программ и вирусов
1.1.4. Первые эксперименты с сетевыми вирусами
1.1.5. Тьюринговская лекция Кена Томпсона
1.1.6. Игра "Бой в памяти", работы Коэна
и другие события 1984 г.
1.1.7. Первые попытки противодействия: список
"грязная дюжина" и первые антивирусные программы
1.2. Второй этап є компьютеры в осаде
1.2.1. Хакеры
1.2.2. Первые случаи массового заражения
1.2.3. Вирусы и Микрософт: MS DOS как VIR DOS
1.2.4. Появление более "вирусоустойчивых" альтернатив MS DOS
1.2.5. OS/2 и компьютерные вирусы
1.2.6. Роль компьютерных сетей
1.2.7. Появление вирусов в СССР
1.2.8. Отечественные антивирусные публикации
1.2.9. Первые отечественные антивирусные программы, начало
формирования рынка программных средств защиты от вирусов
1.2.10. Появление аппаратных средств защиты от вирусов
1.2.11. Семинар "Системное программирование" и бюллетень
СОФТПАНОРАМА
1.2.12. Болгарские и польские исследования
1.2.13. Законы, направленные против техно-крыс
1.2.14. Этические проблемы, связанные с распространением
компьютерных вирусов
1.2.15. Проблема самоизоляции
1.3. Современная ситуация
1.3.1. Хроника событий
1.3.2. Болгарский вирусный взрыв
1.3.3. Колхоз им. Герострата, или вирусы, "выращенные" в СССР
2. ОБЩИЕ ПРИНЦИПЫ ФУНКЦИОНИРОВАНИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ
2.1. Программы-вандалы
2.2. Троянские программы
2.3. Компьютерные вирусы
2.4. Анатомия компьютерного вируса
2.4.1. Структура файлового нерезидентного вируса
2.4.2. Структура файлового резидентного вируса
2.4.3. Структура бутового вируса
2.5. Панацеи не существует (общая классификация средств защиты)
2.6. Жизненный цикл компьютерных вирусов
2.7. Среда обитания вирусов
2.8. Симптомы заражения
2.9. Вызываемые вирусами эффекты
2.10. Повторное заражение
2.11. Вирусофобия и попытки ее эксплуатации
2.12. О возможности повреждения оборудования
2.13. Легенды о полезных вирусах
3. КЛАССИФИКАЦИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ
3.1. Принцип построения классификации
3.2. Классификация файловых вирусов
3.3. Классификация бутовых вирусов
3.4. Использование классификационных таблиц
4. НЕРЕЗИДЕНТНЫЕ ФАЙЛОВЫЕ ВИРУСЫ, ОБНАРУЖЕННЫЕ В СССР
4.1. Венская группа
4.1.1. Базисный вирус С-648 (Vienna є Вена)
4.1.2. Штамм С-623 (Vienna-X)
4.1.3. Штамм C-627 (Vienna-Y)
4.2. Польская группа
4.2.1. Вирус С-534 (Toothless є Беззубый, W13)
4.2.2. Вирус С-507 (13 месяц-Б, Toothless-B є Беззубый-Б, W13-B)
4.3. Группа IV (Amstrad)
4.3.1. C-345 (Pixel є Пиксель)
4.3.2. C-847 (Amstrad)
4.3.3. C-740 (Canser є Рак)
4.4. Вирус E-1961 (Yankee Doodle-2 є Янки Дудль-2)
4.5. Вирус C-1024 (Bebe є Бебе)
4.6. Вирус C-257
5. РЕЗИДЕНТНЫЕ ФАЙЛОВЫЕ ВИРУСЫ, ОБНАРУЖЕННЫЕ В СССР
5.1. Группа "Буквопад"
5.1.1. Вирус RС-1701 (Cascade є Буквопад)
5.1.2. Вирус RС-1704 (Cascade-B є Буквопад-Б)
5.2. Иерусалимская группа
5.2.1 Вирус RCE-1813 (Ierusalem є Иерусалим, Black Friday є
Черная пятница)
5.2.2. Вирус RCE-1636 (Sunday є Воскресенье)
5.2.3. Воронежская подгруппа
5.2.3.1. Вирус RC-529 (Peterburg є Петербург, Пакость-1)
5.2.3.2. Вирус RC-600 (Пакость-2)
5.2.3.3. Вирус RC-1600 (Voronezh 2.01 є Воронеж 2.01,
Пакость-3)
5.2.4. Другие представители иерусалимской группы.
5.3. Группа TP-вирусов
5.3.1. Подгруппа Vacsina
5.3.1.1. Вирус RСE-1206 (ТР-05, VACSINA-5)
5.3.1.2. Вирус RCE-1212 (ТР-04, Vacsina-04).
5.3.1.3. Вирус RCE-1339 (ТР-16, Vacsina-10)
5.3.2. Подгруппа музыкальной перезагрузки
5.3.2.1. Вирус RСE-1805 (ТP-25, Yankee Doodle-19 є
Янки дудль-19, Музыкальная перезагрузка)
5.3.2.2. Вирус RСE-1760 (ТP-24, Yankee Doodle-18 є
Янки дудль-18, Музыкальная перезагрузка)
5.3.3. Подгруппа музыкальных самоедов
5.3.3.1. Штамм RCE-2885 (TP-44, Yankee Doodle-2C є
Янки дудль-2С, Five o'clock)
5.3.3.2. Вирус RCE-2680 (ТР-33, Yankee Doodle-21 є
Янки дудль-21)
5.3.3.3. Вирус RCE-2568 (ТР-34, Yankee Doodle-22 є
Янки дудль-22)
5.3.3.4. Вирус RCE-2756 (ТР-38, Yankee Doodle-26 є
Янки дудль-26)
5.3.3.5. Вирус RCE-2901 (ТР-45, Yankee Doodle-2D є
Янки дудль-2D)
5.3.3.6. Вирус RCE-2932 (ТР-41, Yankee Doodle-29 є
Янки дудль-29)
5.4. Группа Avenger
5.4.1. Вирус RCE-1800 (Dark Avenger є Черный мститель; Eddie є
Эдди)
5.4.2. Вирус RCE-02000 (V2000, Anti-Bontchev є Анти-Бончев)
5.5. Вирус RCE-1277 (Murphy є Мерфи)
5.6. Группа "второй половины таблицы прерываний"
5.6.1. Вирус RC-492 (sI)
5.6.2. Вирус RC-488 (Flu-2 є Грипп-2, LoveChild є Внебрачный
ребенок)
5.7. Группа стелс-вирусов
5.7.1. RCE-04096 (Frodo є Фродо, 4096)
5.7.2. Вирус RC-0-512 (512, 666)
5.8. Вирус RC-394 (Attention є Внимание)
6. ФАЙЛОВЫЕ ВИРУСЫ, ИЗВЕСТНЫЕ ТОЛЬКО ПО ЛИТЕРАТУРЕ
6.1. Общие замечания
6.2. Новые стелс-вирусы
6.2.1. Вирус RCE-03584 (Fish є Рыба)
6.2.2. Вирус Mother Fish (Whale)
6.3. "Болгарская серия"
6.3.1. Новые вирусы группы Dark Avenger
6.3.1.1. Вирус RCE-0651 (Eddie-3 - Эдди-3)
6.3.1.2. Вирус RC-800 (800, Live after Death - Жизнь после
смерти)
6.3.1.3. Вирус RCE-1024
6.3.1.4. Вирус RCE-02100
6.3.2. Вирус RC-1701p (Phoenix - Феникс)
6.4. Файловые вирусы восточного происхождения
6.4.1. Вирус RCE-2064 (Wolfman)
6.4.2. Вирус C-743 (Taiwan-2)
6.4.3. Вирус RCE-2900 (Taiwan-3 - Тайвань-3)
6.4.4. Вирус RCE-4096 (Plastique)
6.5. Некоторые "ископаемые" файловые вирусы
6.5.1. Вирус RC-0-346 (Lehigh - Лехайский)
6.5.2. Вирус dBASE
6.5.3. Screen Virus - "экранный" вирус
6.5.4. Группа первоапрельских вирусов
6.5.4.1. Вирус RC-897
6.5.4.2. Вирус RE-1488 (SURIV 2 - Сурив 2,
6.5.5. Группа Datacrime (Дейтакрайм)
6.5.5.1. Вирус E-1168 (Datacrime B - Дейтакрайм B, 1168,
Columbus Day - День Колумба)
6.5.5.2. Вирус E-1280 (Datacrime B - Дейтакрайм B, 1280,
Columbus Day - День Колумба)
6.5.5.3. Вирус СE-1514
6.5.5.4. Вирус СE-1917 (Datacrime IIB - Дейтакрайм IIB, 1917,
Columbus Day - День Колумба)
6.6. Мифические файловые вирусы
6.6.1. Вирус Cookie, Cookie Monster - Печенье
6.6.2. Вирус, заражающий объектные библиотеки
6.6.3. Вирус "падающие головки винчестера"
6.6.4. Вирус в сетевом драйвере
6.6.5. Сетевой вирус RCE-2231
6.6.6. Вирусы, поражающие скрытые системные файлы
7. КАТАЛОГ БУТОВЫХ ВИРУСОВ, ОБНАРУЖЕННЫХ В СССP
7.1. Итальянская группа
7.1.1. Вирус Bx1-1C (Ping-Pong - Пинг-понг; Italian Bouncing -
Итальянский попрыгунчик)
7.1.2. Штамм Bx1-1C-b (Ping-Pong modified by Yankee Doodle - Пинг-
понг, модифицированный вирусом Янки Дудль)
7.1.3. Штамм Bx1-1C-с (Hacked Ping-Pong - Искромсанный пинг-понг)
7.1.4. Штамм Bx1-1C-d (Double Ping-pong - двойной пинг-понг)
7.2. Пакистанская группа
7.2.1. Вирус Dx3-E9 (Сингапурский вариант Душманских мозгов)
7.2.2. Вирус Dx3-E9 (Оригинальная версия BRAIN; Pakistani virus -
Пакистанский вирус; Brain-86 - Душманские Мозги-86)
7.2.3. Штамм Dx3-E9 (Ashar - Ашар)
7.3. Южнозеландская группа
7.3.1. Вирус M-05 (Stoned - "Забалдевший")
7.3.2. Штамм "Stone Rostov"
