7.3.3. Вирус "PrintScreen"
7.4. Вирус Bx3-EB (Disk Killer - Диск-киллер)
7.5. Вирус D-29 (Den-Zuk - Ден-Зук)
7.6. Индийская группа
7.6.1. Вирус WM-1F (Joshi - Джоши)
8. БУТОВЫЕ ВИРУСЫ, ИЗВЕСТНЫЕ ТОЛЬКО ПО ЛИТЕРАТУРЕ
8.1. Смешанные бутово-файловые вирусы
8.1.1. Вирус C-2351 (Ghostballs - Мячик призрака)
8.1.2. Вирус RCE-2560 (Virus-101)
8.1.3. Вирус RC-1253 (AntiCad, V-1)
8.1.4. Вирус RCE-1040 (Anthrax)
8.2. Бутовые вирусы восточного происхождения
8.2.1. Вирус Microbes
8.2.2. Вирус AirCop
8.2.3. Вирус Korea
8.2.4. Вирус Ohio
8.3. Ископаемые бутовые вирусы
8.3.1. Вирус Alameda (Аламеда)
8.3.2. Вирус Chaos (Хаос)
8.4. Мифические бутовые вирусы
8.4.1. Вирус Bxxx (Boot Killer - бут-киллер)
9. НЕКОТОРЫЕ СЕТЕВЫЕ ВИРУСЫ
9.1. Вирус Christmas Tree (Рождественская елка)
9.2. Вирус Морриса
9.3. Вирусы в локальных сетях
9.3.1. Вирус 1260
10. ТЕХНОЛОГИЯ ПРИМЕНЕНИЯ СРЕДСТВ ЗАЩИТЫ ОТ ВИРУСОВ
10.1. Классификация cредств защиты от вирусов
10.2. Основная технологическая схема защиты
10.2.1. Организация входного контроля нового программного
обеспечения
10.2.1.1. Понятия достоверной дистрибутивной копии и
сертификата
10.2.1.2. Контроль текстовых строк, содержащихся в файле
10.2.1.3. Использование отладчиков и дизассемблеров
10.2.2. Карантинный режим
10.2.2.1. Троянские компоненты в незаконно распространяемых
копиях программ и программах со "сломанной" защитой
10.2.2.2. Троянские компоненты в антивирусных программах
10.2.2.3. После покупки компьютера проверяйте содержимое
винчестера
10.2.3. Сегментация информации на винчестере
10.2.4. Защита операционной системы от заражения
10.2.4.1. Стратегия защиты командного процессора
10.2.4.2. Использование каталога BAT-файлов
10.3. Архивирование
10.3.1. Используйте программы резервирования FAT и главного
каталога в AUTOEXEC.BAT
10.3.2. Используйте систему "неделя-месяц-год"
10.3.3. В защиту "бумажной технологии"
10.3.4. Запомните параметры, хранящиеся в СMOS-памяти, пока еще не
поздно
10.3.5. Переписывая программы, различайте эталонную и рабочую
копию
10.4. Методика применения средств защиты
10.4.1. Типичные ошибки
10.4.2. Методика применения детекторов
10.4.2.1. Использование Norton Utilities и PCTools как
универсальных детекторов вирусов
10.4.2.2. Поиск текстовых сигнатур
10.4.3. Методика применения фагов
10.4.4. Методика использования резидентных сторожей
10.4.5. Методика использования ревизоров
10.4.6. Вакцинирование
10.4.7. Критерии оценки качества антивирусных программ
10.4.7.1. Критерии оценки качества детекторов
10.4.7.2. Сравнительный анализ полифагов
10.4.7.3. Критерии оценки и сравнительный анализ ревизоров
10.4.7.4. Сравнительный анализ вакцин
10.4.7.5. Критерии оценки сторожей
10.4.8. О первом конкурсе антивирусных программ, распространяемых
бесплатно
10.4.8.1. Оценки и рекомендации жюри по полифагам
10.4.8.1.1. A I D S T E S T
10.4.8.1.2. D O C T O R
10.4.8.2. Оценки и рекомендации жюри по детекторам и ревизорам
10.4.8.2.1. D L I
10.4.8.2.2. V L
10.4.8.3. Оценки и рекомендации жюри по сторожам и вакцинам
10.4.8.3.1. S B M и C H E C K 2 1
10.5. Отдельные приемы защиты
10.5.1. Регулярно оптимизируйте винчестер
10.5.2. Прятать новые версии антивирусных программ просто
невыгодно
10.5.3. Нормальное состояние дискеты - защищенное от записи
10.5.4. Как работать на зараженном файловым вирусом компьютере при
отсутствии вакцины
10.5.5. При хранении антивирусных программ на винчестере
используйте архивирование
10.5.6. Использование макетов программ типа DUMYxxxx для
определения место нахождения спрятанных байтов
10.6. Методика восстановления информации
10.6.1. Создайте и отработайте план восстановления винчестера !
10.6.2. Если что-то случилось - избегайте поспешных действий
10.6.3. Советы по восстановлению информации
10.7. Некоторые организационные меры защиты
10.8. Юридические методы защиты от компьютерных вирусов
10.8.1. Некоторые судебные процессы над кракерами и разработчиками
вирусов
11. ЗАКЛЮЧЕНИЕ
ЛИТЕРАТУРА
ПРИЛОЖЕНИЕ 1. Классификационная таблица файловых вирусов, обнаруженных в
CCCР
ПРИЛОЖЕНИЕ 2. Классификационная таблица бутовых вирусов, обнаруженных в
CCCР
ПРИЛОЖЕНИЕ 3. Классификационная таблица файловых вирусов, известных
только по литературе
ПРИЛОЖЕНИЕ 4. Классификационная таблица бутовых вирусов, известных
только по литературе
ПРИЛОЖЕНИЕ 5. Перечень отечественных антивирусных средств, помещенных в
выпусках электронного бюллетеня СОФТПАНОРАМА
ПРИЛОЖЕНИЕ 6. Некоторые сведения о файловой системе MS DOS
ПРИЛОЖЕНИЕ 7. Исполняемые файлы и связанные с ними системные блоки
ПРИЛОЖЕНИЕ 8. Прерывания MS DOS
ПРИЛОЖЕНИЕ 9. Наиболее часто используемые функции MS DOS
1. ОЧЕРК ИСТОРИИ КОМПЬЮТЕРНЫХ ВИРУСОВ
1.1. Предыстория
"Vestigia semper adora"
(Всегда уважай следы)
Стаций (40-50 до н.э.)
Компьютерные вирусы являются одной из разновидностей компьютер-
ного вандализма, получившего распространение в конце 80-х гг. Ис-
торически их возникновение связано с идеей создания самовоспроиз-
водящихся программ -- концепции, уходящей своими корнями в пятиде-
сятые годы. Идея самовоспроизводящихся механизмов исследовалась
еще Джоном фон Нейманом, который в 1951 г. предложил метод созда-
ния таких механизмов. Несомненно, идея вирусоподобных программ не-
однократно открывалась и переоткрывалась различными авторами. Тем
не менее, восстановление приоритета исследователей в опубликовании
той или иной грани концепции вирусоподобных программ является в
какой-то мере актом восстановления справедливости по отношению к
тем, чьи работы были незаслуженно забыты или вообще проигнорирова-
ны. Это касается прежде всего европейских исследователей, вклад
которых в разработку различных проблем системного программирования
часто игнорируется или замалчивается в американских публикациях.
Первой публикацией, связанной с рассматриваемой концепцией, мож-
но считать статью Л.С.Пенроуза (L.S.Penrose) о самовоспроизводя-
щихся механических структурах [Penrose59], опубликованную в
1959 г. американским журналом "Scientific American". В этой
статье, наряду с примерами чисто механических конструкций, была
приведена некая двумерная модель подобных структур, способных к
активации, захвату и освобождению. Под влиянием этой статьи
Ф.Ж.Шталь (F.G.Stahl) запрограммировал на машинном языке ЭВМ IBM
650 биокибернетическую модель, в которой существа двигались, пита-
ясь ненулевыми словами [Dewdney85]. При N передвижениях без пищи
существо умирало от голода, а после съедания определенного количе-
ства слов порождало новое. При размножении была предусмотрена воз-
можность мутаций, в ходе которых существа могли приобретать спо-
собность пожирать себе подобных и терять возможность к размноже-
нию. Однако ограниченная память и быстродействие IBM 650 послужили
препятствием для получения интересных результатов: в ходе пробного
прогона один бесплодный мутант убил и съел единственного, способ-
ного к размножению.
1.1.1. Первые эксперименты
В 1962 г. В.А.Высотский (V.А.Vyssotsky), Х.Д.Макилрой
(H.D.McIlroy) и Роберт Моррис (Robert Morris) -- фирма Bell
Telephone Laboratories, США -- изобрели достаточно необычную игру
"Дарвин", в которой несколько ассемблерных программ, названных
"организмами", загружались в память компьютера. Организмы, создан-
ные одним игроком (т.е. принадлежащие к одному виду), должны были
уничтожать представителей другого вида и захватывать жизненное
пространство. Победителем считался тот игрок, чьи организмы захва-
тывали всю память или набирали наибольшее количество очков. Игра
проходит на большом участке памяти, называемом ареной и управляе-
мом специальной программой -- супервизором. Вид V состоит из N(V)
особей. Каждая особь (K=1..N(V)) имеет размер S(K) (K=1..N(V),
S(K) < MAXS) и расположена в R(K) последовательных ячейках, начи-
ная с головы G(K), причем R(V) точек со смещениями
P(K,1)..P(K,R(V)) относительно головы являются защищенными. Орга-
низм, который получает управление, может использовать три вида об-
ращения к супервизору:
PROBE(n,loc) -- запрос о содержании ячейки с адресом loc (если
эта ячейка защищена, то управление передается ее обладателю, а ес-
ли нет, то возвращаются три числа -- <номер вида организма, занима-
ющего ячейку> (ноль, если ячейка свободна), <начало> и <конец>
(если ячейка свободна, то начало и конец свободного участка арены,
в который она входит; нули, если ячейка занята организмом));
KILL(loc) -- уничтожить организм по адресу loc (loc должна при-
надлежать организму другого вида и должна быть предварительно исс-
ледована PROBE любым организмом того же вида, что и нападающий);
CLAIM(n,loc) -- размножить организм на участок свободного про-
странства, включающий loc (ячейка loc должна быть предварительно
исследована с помощью PROBE и не менее S(K) ячеек должно быть сво-
бодно, возможно, в результате предыдущего KILL).
"Игра для полуночников", возникшая в фирме Bell Telephone
Laboratories, быстро приобрела популярность и в других учебных и
исследовательских центрах, например в исследовательском центре
фирмы Ксерокс в Пало Альто и в Массачусетском институте технологии
(МИТ). Отметим, что долгое время описание игры существовало только
"в устном фольклоре": статья с описанием игры была опубликована
только в 1972 г. [SP&E72], причем в ее тексте использовался термин
"вирус" применительно к одному из видов организмов.
Приблизительно в 1970 г. была создана саморазмножающаяся про-
грамма для одной из первых компьютерных сетей -- APRAnet. Программа
CREEPER, которая по некоторым данным была написана Бобом Томасом
(Bob Thomas) из BBN, путешествовала по сети, обнаруживая свое по-
явление сообщением
"I'M THE CREEPER ... CATCH ME IF YOU CAN"
("Я КРИПЕР ... ПОЙМАЙ МЕНЯ, ЕСЛИ СМОЖЕШЬ").
Для борьбы с ней была создана программа REAPER, которая также
путешествовала по сети и уничтожала встретившиеся экземпляры
CREEPER. Эта идея, представляющая собой вариацию подхода, распро-
страненного в среде знахарей, -- "подобное лечится подобным", позд-
нее неоднократно использовалась и в других программах борьбы с
ранними вирусами, однако в целом оказалась неудачной.
В 1974 г. была написана программа RABBIT (Кролик), которая раз-
множалась на трех соединенных между собой машинах IBM, причем по-
явление новых подзадач вызывало замедление реакции, а затем и пол-
ное зависание машин.
Другим примером вирусоподобных программ была игра Animal (Живо-
тное), разработанная примерно в 1975 г. для UNIVAC 1108. Суть этой
игры состояла в том, что человек задумывал некоторое животное, и
программа, задавая вопросы, пыталась определить, какое животное
загадал человек. Программист, написавший игру, предусмотрел в ней
возможность саморазмножения. Когда программа угадывала неправиль-
но, она просила пользователя предложить вопрос, который позволил
