распрострялась дискета с текстами вирусов (хотя хочется надеяться,
что это была "ошибка молодости"), нет никакой гарантии, что в оче-
редной версии один или несколько фагов данного пакета не окажутся
троянскими, например будут лечить от одного вируса и заражать дру-
гим. В частности, один из вирусов, разработанных в институте ВМЕИ
"В.И.Ленин" (В. Бончев называет эту серию вирусов TP-вирусами),
модифицирует вирус "Итальянский попрыгунчик" и его несложно выдать
за резидентный фаг. Поэтому относиться к программам Бончева, учи-
тывая нездоровый интерес, проявляемый к его имени со стороны техно
-крысы Dark Avenger, нужно с осторожностью. Это, впрочем, относит-
ся к любой антивирусной программе, полученной из неизвестного или
сомнительного источника. Например, на Западе в одной из сетей
распространялась троянская программа, которая имитировала заставку
FluShot3, представляясь ее новой версией - FluShot4. При запуске
этой программы на экране появлялась заставка с запросом "Желаете
ли вы инсталлировать программу в систему?". Независимо от сделан-
ного пользователем ответа программа уничтожала системные блоки
винчестера и разрушала нулевой сектор на всех доступных дискетах.
10.4.7.3. Критерии оценки и сравнительный анализ ревизоров
возможность записи результатов ревизии в отдельный файл, или
распределения по отдельным подкаталогам;
возможность сохранять первые байты программы;
качество алгоритма подсчета контрольной суммы;
наличие режима сокращенного подсчета контрольной суммы;
диагностика аномалий в дате создания файла (например 62 секунд,
13 месяц, год из следующего столетия и т.д.)
возможность выдачи данных ревизии в виде отчета, с указанием
размера и даты создания, первых байтов;
возможность маркировки файлов перед передачей и снятия маркера;
10.4.7.4. Сравнительный анализ вакцин
количество обрабатываемых вирусов
самотестирование на заражение
нейтрализация резидентных вирусов или блокирование запуска на
зараженной машине
диагностирование зараженной программы
степень наводимых помех при работе
10.4.7.5. Критерии оценки сторожей
степень помех при работе
блокирование записи или форматирования по 13 прерыванию
блокирование изменений в ВООТ и MBR
блокирование несанкционарованной постановки программы в резидент
наличие звукового сигнала и управление им
10.4.8. О первом конкурсе антивирусных программ,
распространяемых бесплатно
В феврале 1990 года под руководством автора был проведен первый
конкурс антивирусных программ, распространяемых бесплатно. Конкурс
проводился в трех классах: фаги, детекторы и ревизоры, резидентные
фильтры и вакцины.
В классе фагов первое место заняла программа AIDSTEST Д.Н.Ло-
зинского, а второе место - программа DOCTOR А.А.Чижова. В классе
детекторов и ревизоров первое место занял ревизор DLI В.Герасимо-
ва, а второе место - контекстный детектор VL А.Л.Шеховцова. И, на-
конец, в классе резидентных фильтров два первых места поделили
программы SBM В.Еременко и Б.Мостового и программа CHECK21 В.Дво-
еглазова.
Результаты конкурса могут служить в определенной степени реко-
мендацией для указанных программ. Вместе с тем указанные жюри дос-
тоинства и недостатки этих программ относятся только к версиям,
существовавшим на январь 1990 г., и могут быть неверными по отно-
шению к последующим версиям.
10.4.8.1. Оценки и рекомендации жюри по полифагам
10.4.8.1.1. A I D S T E S T
Достоинства. Наличие документации удовлетворительного качества.
Правильный выбор режима работы по умолчанию (вызов вида AIDSTEST
<имя диска> выполняет нейтрализацию резидентных частей вирусов и
детектирование). Аккуратное "выкусывание" ТР-вирусов (оставляет
всего один-два байта"мусора"). Аккуратное "выкусывание" вируса Bx1
-1C (не оставляет на диске сбойный кластер). Самотестирование на
заражение (лечит себя тем же методом, что и остальные программы,
что, впрочем, нельзя считать правильным подходом). Пытается обна-
ружить и нейтрализовать в оперативной памяти резидентные вирусы
(хотя предусмотренную возможность работы после нейтрализации нель-
зя приветствовать - см. ниже. В таких случаях полифаг должен "нас-
таивать" на перезагрузке с защищенной дискеты). С момента появле-
ния был и остается бесплатно распространяемой программой. Ранние
версии были первым средством по борьбе с C-534 и RCE-1206, исполь-
зовавшимся в Киеве и применялись на второй стадии борьбы с
RСЕ-2885 и RСE-1800.
Недостатки. Отсутствует ключ запроса на лечение (аналог ключа /q
программы DOCTOR). Неудовлетворительное качество протокола (от-
сутствует длина зараженной и "вылеченной" программы, слишком кате-
горичная форма диагностических сообщений, хотя вместо "исцелен"
иногда получается "испорчен"). Зацикливается на ЕС1840. Тестируе-
мая версия не диагностировала вирус TP45, причем не выдавалось со-
общение о "подозрительном" хвосте файла. Оошибка в ключах (вместо
/G /C). Некорректно работает на файлах, зараженных несколькими ви-
русами(зацикливается). Алгоритм поиска вирусов в оперативной памя-
ти нуждается в доработке (не распознает RELEASE как специальный
случай; при наличии RELEASE в памяти, не детектируется наличие ря-
да резидентных вирусов, например RCE1800). Не проводит дополни-
тельного анализа структуры обрабатываемой программы с целью обна-
ружения аномалий, затрудняющих или делающих невозможным
стандартный подход к лечению, в частности неверно обрабатывает
случай типа "зараженный RСE-1813 FOXBASE". До сентября 1989 г. был
практически неизвестен в Киеве.
10.4.8.1.2. D O C T O R
Достоинства. Корректно обрабатывает "тонкие и сложные" случаи
заражения, выдавая при этом информативную диагностику, в частнос-
ти, выдает предупреждение при лечении FOXBASE, зараженного
RCE-1813. Корректно обрабатывает многократно зараженные файлы, за
исключением случая, когда одним из вирусов является вирус RСE1206.
Имеется ключ, позволяющий принимать решение о лечении в зависимос-
ти от имени зараженного файла (при этом было бы полезно выдавать
дополнительную информацию, относящуюся к данному файлу, в частнос-
ти, его длину). Устойчивая работа на самых разных типах ЭВМ, вклю-
чая EC1840. Самотестирование на заражение (хотя данная версия ле-
чит себя тем же методом, что и остальные программы, что нельзя
считать правильным подходом). Пытается обнаружить и нейтрализовать
в памяти вирусы (хотя как и в случае AIDSTEST, предусмотренную
возможность работы после нейтрализации нельзя приветствовать - см.
ниже; в таких случаях полифаг должен "настаивать" на перезагрузке
с защищенной дискеты). Ранние версии использовались в Киеве для
борьбы с эпидемией вируса RСЕ-1813 наряду с фагом FAG1813 Л.И.Обу-
хова.
Недостатки. Отсутствует документация. Неверно выбран режим рабо-
ты по умолчанию (запуск вида DOCTOR <имя диска> вызывает попытку
нейтрализации имеющихся резидентных вирусов и лечение вместо де-
тектирования зараженных программ). В тестированной версии неверно
выдается диагностическое сообщение о типе найденного вируса при
правильных действиях по его "выкусыванию". Некорректно обрабатыва-
ет вирус RСЕ-1206 в случае многократного заражения. Не удаляет с
диска псевдосбойный кластер после чистки вируса Bx1-1C. С сентября
по ноябрь очередные версии не были доступны.
10.4.8.2. Оценки и рекомендации жюри по детекторам и ревизорам
10.4.8.2.1. D L I
Достоинства DLI. Простота установки и использования. Возможность
ускоренного просмотра с проверкой только даты и длины файлов. Об-
работка деревьев произвольной структуры. Специальный формат и имя
файлов с контрольной информации. Полезность в качестве инструмента
общего назначения, облегчающего анализ изменений в каталогах, а не
только для борьбы с вирусами. Своевременность появления - первая
версия была создана еще до начала эпидемии вирусом и могла исполь-
зоваться с самого начала борьбы с вирусами.
Недостатки DLI. Нет режима сокращенной обработки контрольных
сумм COM- и EXE-файлов (аналогично тому, как это реализовано в
программе SPEEDCHK Л.Шнайдера). Нет режима группировки всей конт-
рольной информации в главном каталоге или специальном подкаталоге.
Невозможность использования на защищенных от записи дисках. Нельзя
остановить по Ctrl-Break. Нет возможности задать периодическую
проверку. Нет возможности изменить имена файлов с результатами ре-
визии, а также распечатать содержащуюся в них информацию. Нельзя
исключить некоторые ветви из проверки и задать проверяемые типы
файлов.
10.4.8.2.2. V L
Достоинства VL. Простота, возможность настройки, оптимизация
поиска, оконный интерфейс.
Недостатки VL. нестандартный интерфейс (например, неудобен пере-
ход к окну более высокого уровня - принято использовать клавишу
). Невозможна комбинация нескольких масок для одного вируса.
Слишком жесткое ограничение длины строк для поиска (15 символов -
это мало, необходимо около 72 символов). Невозможен визуальный
просмотр файла с найденной маской. Неудачный набор поставляемых
масок (они слишком коротки для автоматического поиска и некоторые
из них дают много ложных срабатываний). Реклама Rтехнологии в кон-
тексте столь простой программы представляется несколько неумест-
ной.
10.4.8.3. Оценки и рекомендации жюри по сторожам и вакцинам
10.4.8.3.1. S B M и C H E C K 2 1
Достоинства SBM и CHECK21. Элегантная и оригинальная идея, лежа-
щая в основе программы. Эффективное блокирование всех известных
файловых вирусов. Отсутствие помех пользователю при работе.
Недостатки SBM. Не выдает никаких сообщений, что не позволяет
обнаружить наличие зараженных програм проходившая испытания версия
SBM неправильно обрабатывает случай снятия программы по CtrlBreak.
Имеет совершенно неудовлетворительную документацию. Отсутствует
файл со списком исключений (он необходим, чтобы не выдавать "лиш-
ние" сообщения для "нормальных" программ, перехватывающих прерыва-
ние 21h, например LEXICON или Turbo C).
Недостатки CHECK21. Хотя СHECK21 выдает достаточно информативные
сообщения, он не имеет режима их отключения. Не поддерживается
файл исключений.
Следует отметить, что с момента окончания конкурса авторы уже
выпустили ряд новых версий, в которых безусловно улучшили надеж-
ность, спектр распознаваемых вирусов и функциональные возможности
своих программ (последние версии, в частности, проводят самотести-
рование и проверяют наличие в памяти резидентных вирусов после
своего запуска).
Среди полифагов, разработанных после окончания конкурса, следует
отметить AV И.В.Сысоева и Kxx Е.Н.Сусликова. В отличие от AIDSTEST
и DOCTOR, они написаны на ассемблере. Особый интерес представляет
полифаг Kxx, который является первой реализацией незаражаемого по-
лифага и использует ряд оригинальных алгоритмов. При сравнимых
функциональных возможностях обе эти программы очень компактны и
имеют достаточно удачный набор режимов работы.
Применяя антивирусные программы на разных ЭВМ в реальных услови-
ях, пользователи часто сталкиваются с ошибками и неточностями ра-
боты, воспроизвести которые в ходе тестирования не всегда удается
(например, интерференция между резидентными фильтрами и другими
резидентными программами), ошибками при выполнении тех или иных
действий (например, для фага - уничтожение программ при "выкусыва-
нии"), побочными эффектами и другими особенностями той или иной
антивирусной программы. Эта информация имеет огромную ценность как
для авторов, которые заинтересованы в совершенствовании своих
программ, так и для объективной оценки программы. Значительная
