Реферат: Компьютерные вирусы

 TOC o «1-3» Введение___________________________________________________________________ PAGEREF_Toc448983290 h 3

1. Феномен компьютерных вирусов____________________________________________ PAGEREF_Toc448983291 h 4

2. Что такое компьютерный вирус_____________________________________________ PAGEREF_Toc448983292 h 6

2.1. Объяснение для домохозяйки________________________________________________________ PAGEREF_Toc448983293 h 6

2.2. Попытка дать «нормальное» определение______________________________________________ PAGEREF_Toc448983294 h 8

3. Кто и почему пишет вирусы?______________________________________________ PAGEREF_Toc448983295 h 11

4. История компьютерных вирусов — от древности до наших дней_______________ PAGEREF_Toc448983296 h 13

4.1. Немного археологии______________________________________________________________ PAGEREF_Toc448983297 h 13

4.2. Начало пути_____________________________________________________________________ PAGEREF_Toc448983298 h 13

4.3. Полиморфизм — мутация вирусов_____________________________________________________ PAGEREF_Toc448983299 h 14

4.4. Автоматизация производства и конструкторы вирусов___________________________________ PAGEREF_Toc448983300 h 16

4.5. За пределы DOS__________________________________________________________________ PAGEREF_Toc448983301 h 17

4.6. Эпидемия макро-вируса____________________________________________________________ PAGEREF_Toc448983302 h 17

4.7. Хронология событий______________________________________________________________ PAGEREF_Toc448983303 h 18

5.Классификация компьютерных вирусов_____________________________________ PAGEREF_Toc448983304 h 29

6. Перспективы: что будет завтра и послезавтра________________________________ PAGEREF_Toc448983305 h 31

6.1. Что будет завтра?_________________________________________________________________ PAGEREF_Toc448983306 h 31

6.2. Что будет послезавтра?____________________________________________________________ PAGEREF_Toc448983307 h 32

Список использованных материалов:_________________________________________ PAGEREF_Toc448983308 h 34

<span Times New Roman",«serif»; mso-fareast-font-family:«Times New Roman»;mso-ansi-language:RU;mso-fareast-language: RU;mso-bidi-language:AR-SA;layout-grid-mode:line">

Введение

Компьютерные вирусы. Что это такое и как с этим бороться? Наэту тему написаны десятки книг и сотни статей, борьбой с компьютерными вирусамипрофессионально занимаются сотни (или тысячи) специалистов в десятках (а можетбыть, сотнях) компаний. Казалось бы, тема эта не настолько сложна и актуальна,чтобы быть объектом такого пристального внимания. Однако это не так.Компьютерные вирусы были и остаются одной из наиболее распространенных причинпотери информации. Известны случаи, когда вирусы блокировали работу организацийи предприятий. Более того, несколько лет назад был зафиксирован случай, когдакомпьютерный вирус стал причиной гибели человека — в одном из госпиталейНидерландов пациент получил летальную дозу морфия по той причине, что компьютербыл заражен вирусом и выдавал неверную информацию.

Несмотря на огромные усилия конкурирующих между собойантивирусных фирм, убытки, приносимые компьютерными вирусами, не падают идостигают астрономических величин в сотни миллионов долларов ежегодно. Этиоценки явно занижены, поскольку известно становится лишь о части подобныхинцидентов.

При этом следует иметь в виду, что антивирусные программы и«железо» не дают полной гарантии защиты от вирусов. Примерно так же плохообстоят дела на другой стороне тандема «человек-компьютер». Как пользователи,так и профессионалы-программисты часто не имеют даже навыков «самообороны», аих представления о вирусе порой являются настолько поверхностными, что лучше быих (представлений) и не было.

Немногим лучше обстоят дела на Западе, где и литературы побольше(издается аж три ежемесячных журнала, посвященных вирусам и защите от них), ивирусов поменьше (поскольку «левые» китайские компакт-диски особо на рынок непоступают), и антивирусные компании ведут себя активнее (проводя, например,специальные конференции и семинары для специалистов и пользователей).

У нас же, к сожалению, все это не совсем так. И одним изнаименее »проработанных» пунктов является литература, посвященная проблемамборьбы с вирусами. На сегодняшний день имеющаяся на прилавках магазиновпечатная продукция антивирусного толка либо давно устарела, либо написананепрофессионалами, либо авторами типа Хижняка, что гораздо хуже.

Довольно неприятным моментом является также опережающая работаРоссийского компьютерного «андеграунда»: только за два года было выпущено болеедесятка электронных номеров журнала вирусописателей «Infected Voice», появилосьнесколько станций BBS и WWW-страниц, ориентированные на распространение вирусови сопутствующей информации.

Все это и послужило толчком к тому, чтобы собрать воедино весьматериал, который скопился у меня за восемь лет профессиональной работы скомпьютерными вирусами, их анализа и разработке методов обнаружения и лечения.

<span Times New Roman",«serif»; mso-fareast-font-family:«Times New Roman»;mso-ansi-language:RU;mso-fareast-language: RU;mso-bidi-language:AR-SA;layout-grid-mode:line">

<img src="/cache/referats/1442/image001.gif" v:shapes="_x0000_s1026">

Стоит мне что-нибудьпроглотить, как тут же
происходит что-нибудь интересное. Посмотрим, что
будет на этот раз!

Льюис Керрол. «Алиса в стране чудес»

1. Феномен компьютерных вирусов

20-е столетие несомненно является одним из поворотных этапов вжизни человечества. Как сказал один из писателей-фантастов, «человечествопонеслось вперед, как подстегнутая лошадь», и, определив себя кактехнократическую цивилизацию, все свои силы наши деды, отцы и мы сами бросилина развитие техники в самых разных ее обличиях — от медицинских приборов докосмических аппаратов, от сельскохозяйственных комбайнов до атомныхэлектростанций, от транспорта до систем связи, — список бесконечен, посколькукрайне сложно привести область деятельности человечества, не затронутуюразвитием техники. // Что являлось причиной столь широкомасштабного истремительного развития — военное противостояние политических систем,эволюционное «поумнение» человека или его патологическая лень (изобрестиколесо, дабы не таскать мамонта на плечах) — пока неясно. Оставим эту загадкудля историков последующих столетий.

Человечество захвачено техникой и уже вряд ли откажется отудобств, предоставляемых ею (мало кто пожелает поменять современный автомобильна гужевую тягу). Уже очень многими напрочь забыта обычная почта с ееконвертами и почтальонами — вместо нее пришла электронная почта с ееошеломляющей скоростью доставки (до нескольких минут вне зависимости отрасстояния) и очень высокой надежностью. Не представляю себе существованиясовременного общества без компьютера, способного многократно повыситьпроизводительность труда и доставить любую мыслимую информацию (что-то вродепринципа «пойди туда, не знаю куда, найди то, не знаю что»). Уже не удивляемсямобильному телефону на улице — я и сам к нему привык всего за один день.

20-е столетие также является одним из самых противоречивых, принесшихистории человечества немало парадоксов, основной из которых, как мне кажется,является отношение человека к природе. Перестав жить в дружбе с природой,победив ее и доказав себе, что легко может ее уничтожить, человек вдруг понял,что погибнет и сам, — и поменялись роли в драме »Человек-Природа». Раньшечеловек защищал себя от природы, теперь же он все больше и больше защищаетприроду от самого себя. Другим феноменом 20-го века является отношение человекак религии. Став технократом, человек не перестал верить в Бога (или егоаналогов). Более того, появились и окрепли другие религии.

К основным техническим феноменам 20-го века относятся, на мойвзгляд, появление человека в космосе, утилизация атомной энергии вещества,грандиозный прогресс систем связи и передачи информации и, конечно же,ошеломляющее развитие микро- и макро-компьютеров. И как скоро появляетсяупоминание о феномене компьютеров, так тут же возникает еще один феномен концанашего столетия — феномен компьютерных вирусов.

Быть может, многим покажется смешным или легкомысленным то, чтофакт возникновения компьютерных вирусов поставлен в один ряд с исследованиямикосмоса, атомного ядра и развитием электроники. Возможно, что я неправ в своихрассуждениях, однако дайте возможность объясниться.

Во-первых, компьютерные вирусы — это серьезная и довольнозаметная проблема, возникновения которой никто не ожидал. Даже всевидящиефантасты-футурологи прошлого не говорят об этом ничего (насколько это мнеизвестно). В их многочисленных произведениях с той или иной точностьюпредсказаны практически все технические достижения настоящего (вспомним,например, Уэллса с его идеей полета из пушки на Луну и марсиан, вооруженныхнеким подобием лазера). Если же говорить о вычислительных машинах, то тема этавылизана донельзя — однако нет ни одного пророчества, посвященного компьютернымвирусам. Тема вируса в произведениях писателей появилась уже после того, какпервый реальный вирус поразил свой первый компьютер.

Во-вторых, компьютерные вирусы — это первая вполне удачнаяпопытка создать жизнь. Попытка удачная, но нельзя сказать, что полезная — современные компьютерные «микроорганизмы» более всего напоминаютнасекомых-вредителей, приносящих только проблемы и неприятности.

Но все таки — жизнь, поскольку компьютерным вирусам присущи всеатрибуты живого — способность к размножению, приспособляемости к среде,движению и т.д. (естественно, только в пределах компьютеров — так же как всевышесказанное верно для биологических вирусов в пределах клеток организма).Более того, существуют «двуполые» вирусы (см. вирус RMNS), а примером«многоклеточности» могут служить, например, макро-вирусы, состоящие изнескольких независимых макросов.

И в-третьих, тема вирусов стоит несколько особняком от всехостальных задач, решаемых при помощи компьютера (забудем о таких специфичныхзадачах, как взлом защиты от копирования и криптографию). Практически всепроблемы, решаемые при помощи вычислительной техники, являются продолжениемцеленаправленной борьбы человека с окружающей его природой. Природа ставитчеловеку длинное нелинейное дифференциальное уравнение в трехмерномпространстве — человек набивает компьютер процессорами, памятью, обвешиваетпыльными проводами, много курит и в итоге решает это уравнение (или пребывает всостоянии уверенности, что решил). Природа дает человеку кусок провода с вполнеопределенными характеристиками — человек придумывает алгоритмы передачи какможно большего объема информации по этому проводу, терзает его модуляциями,сжимает байты в биты и терпеливо ждет сверхпроводимости при комнатнойтемпературе. Природа (в лице фирмы IBM) дает человеку очередное ограничение ввиде очередной версии IBM PC — и человек не спит ночами, опять много курит,оптимизируя коды очередной базы данных, дабы уместить ее в предоставленные емуресурсы оперативной и дисковой памяти. И так далее.

А вот борьба с компьютерными вирусами является борьбой человекас человеческим же разумом (в некотором смысле тоже проявлением природных сил,хотя на этот счет имеется более одного мнения). Эта борьба является борьбойумов, поскольку задачи, стоящие перед вирусологами, ставят такие же люди. Онипридумывают новый вирус — а нам с ним разбираться. Затем они придумывают вирус,в котором разобраться очень тяжело — но мы с ним разбираемся. И сейчаснаверняка где-то сидит за компьютером парень, который не глупее меня,страдающий над очередным монстром, в котором мне придется разбираться целуюнеделю, а потом еще одну неделю отлаживать алгоритм антивируса. Кстати, чем неэволюция живых организмов?

Итак, появление компьютерных вирусов — один из наиболееинтересных моментов в истории технического прогресса 20-го века, и насталмомент закончить с околофилософскими рассуждениями и перейти к конкретнымвопросам. И вопрос об определении понятия «компьютерный вирус» будет стоять напервом месте.

Так что же такое компьютерный вирус?

<img src="/cache/referats/1442/image001.gif" v:shapes="_x0000_s1027">

На горе лежит дискета
У неё запорчен бут
Через дырочку в конверте
Её вирусы грызут

(Народный фольклор)

2. Что такое компьютерный вирус

Объяснений, что такое компьютерный вирус, можно привестинесколько. Самое простое — бытовое объяснение для домохозяйки, которая ни разув жизни компьютера не видела, но знает, что Он есть, и что в Нем водятсяВирусы. Такое объяснение дается довольно легко, чего нельзя сказать о второмобъяснении, рассчитанном на специалиста в области программ. Мне пока непредставляется возможным дать точное определение компьютерного вируса ипровести четкую грань между программами по принципу «вирус — невирус».

2.1. Объяснение для домохозяйки

Объяснение будет дано на примере клерка, работающегоисключительно с бумагами. Идея такого объяснения принадлежит Д.Н.Лозинскому,одному из известнейших «докторов».

Представим себе аккуратного клерка, который приходит на работук себе в контору и каждый день обнаруживает у себя на столе стопку листовбумаги со списком заданий, которые он должен выполнить за рабочий день. Клеркберет верхний лист, читает указания начальства, пунктуально их выполняет,выбрасывает «отработанный» лист в мусорное ведро и переходит к следующемулисту. Предположим, что некий злоумышленник тайком прокрадывается в контору иподкладывает в стопку бумаг лист, на котором написано следующее:

«Переписать этот лист два раза и положить копии в стопкузаданий соседей»

Что сделает клерк? Дважды перепишет лист, положит его соседямна стол, уничтожит оригинал и перейдет к выполнению второго листа из стопки,т.е. продолжит выполнять свою настоящую работу. Что сделают соседи, являясьтакими же аккуратными клерками, обнаружив новое задание? То же, что и первый:перепишут его по два раза и раздадут другим клеркам. Итого, в конторе бродятуже четыре копии первоначального документа, которые и дальше будут копироватьсяи раздаваться на другие столы.

Примерно так же работает и компьютерный вирус, только стопкамибумаг-указаний являются программы, а клерком — компьютер. Так же как и клерк,компьютер аккуратно выполняет все команды программы (листы заданий), начиная спервой. Если же первая команда звучит как «скопируй меня в две другиепрограммы», то компьютер так и сделает, — и команда-вирус попадает в две другиепрограммы. Когда компьютер перейдет к выполнению других »зараженных» программ,вирус тем же способом будет расходиться все дальше и дальше по всемукомпьютеру.

В приведенном выше примере про клерка и его контору лист-вирусне проверяет, заражена очередная папка заданий или нет. В этом случае к концурабочего дня контора будет завалена такими копиями, а клерки только и будут чтопереписывать один и тот же текст и раздавать его соседям — ведь первый клерксделает две копии, очередные жертвы вируса — уже четыре, затем 8, 16, 32, 64 ит.д., т.е. количество копий каждый раз будет увеличиваться в два раза.

Если клерк на переписывание одного листа тратит 30 секунд и еще30 секунд на раздачу копий, то через час по конторе будет «бродить» более1.000.000.000.000.000.000 копий вируса! Скорее всего, конечно же, не хватитбумаги, и распространение вируса будет остановлено по столь банальной причине.

Как это ни смешно (хотя участникам этого инцидента было совсемне смешно), именно такой случай произошел в 1988 году в Америке — несколькоглобальных сетей передачи информации оказались переполненными копиями сетевоговируса (вирус Морриса), который рассылал себя от компьютера к компьютеру.Поэтому «правильные» вирусы делают так:

«Переписать этот лист два раза и положить копии в стопкузаданий соседей, если у них еще нет этого листа».

Проблема решена — «перенаселения» нет, но каждая стопкасодержит по копии вируса, при этом клерки еще успевают справляться и с обычнойработой.

«А как же уничтожение данных?» — спросит хорошо эрудированнаядомохозяйка. Все очень просто — достаточно дописать на лист примерно следующее:

«1. Переписать этот лист два раза и положить копии в стопкузаданий соседей, если у них еще нет этого листа.
2. Посмотреть на календарь — если сегодня пятница, попавшая на 13-е число,выкинуть все документы в мусорную корзину»

Примерно это и выполняет хорошо известный вирус «Jerusalem» (другое название — «Time»).

Кстати, на примере клерка очень хорошо видно, почему вбольшинстве случаев нельзя точно определить, откуда в компьютере появилсявирус. Все клерки имеют одинаковые (с точностью до почерка) КОПИИ, нооригинал-то с почерком злоумышленника уже давно в корзине!

Вот такое простое объяснение работы вируса. Плюс к немухотелось бы привести две аксиомы, которые, как это ни странно, не для всехявляются очевидными:

Во-первых, вирусы не возникают сами собой — их создают оченьзлые и нехорошие программисты-хакеры и рассылают затем по сети передачи данныхили подкидывают на компьютеры знакомых. Вирус не может сам собой появиться наВашем компьютере — либо его подсунули на дискетах или даже на компакт-диске,либо Вы его случайно скачали из компьютерной сети передачи данных, либо вирусжил у Вас в компьютере с самого начала, либо (что самое ужасное) программист-хакерживет у Вас в доме.

Во-вторых: компьютерные вирусы заражают только компьютер иничего больше, поэтому не надо бояться — через клавиатуру и мышь они непередаются.

2.2. Попытка дать «нормальное» определение

Первые исследования саморазмножающихся искусственныхконструкций проводились в середине нынешнего столетия. В работах фон Неймана,Винера и других авторов дано определение и проведен математический анализконечных автоматов, в том числе и самовоспроизводящихся. Термин «компьютерныйвирус» появился позднее — официально считается, что его впервые употребилсотрудник Лехайского университета (США) Ф.Коэн в 1984 г. на 7-й конференции побезопасности информации, проходившей в США. С тех пор прошло немало времени,острота проблемы вирусов многократно возросла, однако строгого определения, чтоже такое компьютерный вирус, так и не дано, несмотря на то, что попытки датьтакое определение предпринимались неоднократно.

Основная трудность, возникающая при попытках дать строгоеопределение вируса, заключается в том, что практически все отличительные чертывируса (внедрение в другие объекты, скрытность, потенциальная опасность ипроч.) либо присущи другим программам, которые никоим образом вирусами неявляются, либо существуют вирусы, которые не содержат указанных вышеотличительных черт (за исключением возможности распространения).

Например, если в качестве отличительной характеристики вирусапринимается скрытность, то лекго привести пример вируса, не скрывающего своегораспространения. Такой вирус перед заражением любого файла выводит сообщение,гласящее, что в компьютере находится вирус и этот вирус готов поразитьочередной файл, затем выводит имя этого файла и запрашивает разрешениепользователя на внедрение вируса в файл.

Если в качестве отличительной черты вируса приводитсявозможность уничтожения им программ и данных на дисках, то в качествеконтрпримера к данной отличительной черте можно привести десятки совершеннобезобидных вирусов, которые кроме своего распространения ничем больше неотличаются.

Основная же особенность компьютерных вирусов — возможность ихсамопроизвольного внедрения в различные объекты операционной системы — присущамногим программам, которые не являются вирусами. Например, самаяраспространенная операционная система MS-DOS имеет в себе все необходимое,чтобы самопроизвольно устанавливаться на не-DOS'овские диски. Для этогодостаточно на загрузочный флоппи-диск, содержащий DOS, записать файлAUTOEXEC.BAT следующего содержания:

SYS A:

COPY *.* A:

SYS B:

COPY *.* B:

SYS C:

COPY *.* C:

...

Модифицированная таким образом DOS сама станет самым настоящимвирусом с точки зрения практически любого существующего определениякомпьютерного вируса.

Таким образом, первой из причин, не позволяющих дать точноеопределение вирусу, является невозможность однозначно выделить отличительныепризнаки, которые соответствовали бы только вирусам.

Второй же трудностью, возникающей при формулировке определениякомпьютерного вируса является то, что данное определение должно быть привязанок конкретной операционной системе, в которой этот вирус распространяется.Например, теоретически могут существовать операционные системы, в которыхналичие вируса просто невозможно. Таким примером может служить система, гдезапрещено создавать и изменять области выполняемого кода, т.е. запрещеноизменять объекты, которые либо уже выполняются, либо могут выполняться системойпри каких-либо условиях.

Поэтому представляется возможным сформулировать толькообязательное условие для того, чтобы некоторая последовательность выполняемогокода являлась вирусом.

<img src="/cache/referats/1442/image001.gif" v:shapes="_x0000_s1028">

ОБЯЗАТЕЛЬНЫМ (НЕОБХОДИМЫМ) СВОЙСТВОМ КОМПЬЮТЕРНОГО ВИРУСАявляется возможность создавать свои дубликаты (не обязательно совпадающие соригиналом) и внедрять их в вычислительные сети и/или файлы, системные областикомпьютера и прочие выполняемые объекты. При этом дубликаты сохраняютспособность к дальнейшему распространению.

<img src="/cache/referats/1442/image001.gif" v:shapes="_x0000_s1029">

Следует отметить, что это условие не является достаточным (т.е.окончательным), поскольку следуя вышеприведенному примеру операционная системаMS-DOS удовлетворяет данному свойству, но вирусом, скорее всего, не является.

Вот почему точного определения вируса нет до сих пор, и вряд лионо появится в обозримом будущем. Следовательно нет точно определенного закона,по которому «хорошие» файлы можно отличить от «вирусов». Более того, иногдадаже для конкретного файла довольно сложно определить, является он вирусом илинет.

Вот два примера: вирус KOH и программа ALREADY.COM.

Пример 1. Есть… вирус? утилита? с названием KOH. Этапрограмма шифрует/расшифровывает диски только по запросу пользователя.Выполнена она в виде загрузочной дискеты — boot-cектор содержит bootstraploader KOH, а где-то в других секторах лежит основной код KOH. При загрузке сдискеты KOH задает пользователю вопрос типа: «А можно, я сам себя установлю навинчестер?» (если он уже на винчестере, то спрашивает то же самое про дискету).При утвердительном ответе KOH переносит себя с диска на диск.

В результате KOH переносит (копирует) сам себя с дискеты навинчестер, а с винчестера на дискеты, но только с разрешения хозяинакомпьютера.

Затем KOH выводит текст о своих hot-keys («горячие» клавиши),по которым он шифрует/расшифровывает диски — спрашивает пароль, читает сектора,шифрует их и делает недоступными, если не знать пароля. Есть у него, кстати,ключ деинсталляции, по коему он сам себя с диска убирает (расшифровав,естественно, все, что было зашифровано).

Итого, KOH — это некая утилита защиты информации отнесанкционированного доступа. Добавлена к ней, правда, одна особенность: сияутилита сама себя может копировать с диска на диск (с разрешения пользователя).Вирус ли это?.. Да или нет? Скорее всего — нет...

И все-бы было ничего, и никто бы эту утилиту по имени KOHвирусом не обозвал, но только bootstrap loader у этого KOH практически на 100%совпадает с довольно «популярным» вирусом «Havoc»(«StealthBoot»)… «и все — и крышка празднику». Вирус! И официальное названиеесть — «StealthBoot.KOH».

Если бы, конечно, автором KOH был бы не безызвестныйпрограммист, а, скажем, Симантек, или Sierra, или даже Сам Microsoft, то никтобы и не посмел назвать это вирусом...

Пример 2. Есть некая программа ALREADY.COM, которая сама себякопирует в разные подкаталоги на диске в зависимости от системной даты. Вирус?Конечно да — типичный вирус-червь, сам себя расползающий по дискам (включаясетевые). Да?.. Да!

«Вы играли — но не угадали ни одной буквы!» Hе вирус это, какоказалось, а компонента от какого-то софтвера. Однако если этот файл выдернутьиз этого софтвера, то ведет он себя как типичный вирус.

Итого были приведены два живых примера:

1.не-вирус — вирус

2.вирус — не-вирус

Внимательный читатель, который не прочь поспорить, можетвозразить:

Стоп. Hазвание «вирусы» по отношениюк программам пришло из биологии именно по признаку саморазмножения. КОH этомуусловию соответствует, следовательно это есть вирус (или комплекс, включающийвирусный компонент)...

В таком случае DOS является вирусом (или комплексом, включающимвирусный компонент), поскольку в нем есть команда SYS и COPY. А если на дискеприсутствует файл AUTOEXEC.BAT, приведенный несколькими абзацами выше, то дляразмножения не потребуется даже вмешательства пользователя. Плюс к этому: еслипринять за необходимый и достаточной признак вируса возможностьсаморазмножения, то тогда любая программа, имеющая инсталлятор, являетсявирусом. Итого: аргумент не проходит.

… что, если под вирусом пониматьне просто «саморазмножающийся код», но «саморазмножающийся код, не выполняющийполезных действий или даже приносящий вред, без привлечения/информированияпользователя»...

Вирус KOH является программой, шифрующей диски по паролю,вводимому пользователем. _Все_ свои действия KOH комментирует на экране испрашивает разрешения пользователя. Плюс к тому имеет деинсталлятор — расшифровывает диски и удаляет с них свой код. Однако все равно — вирус!

Если в случае с ALREADY.COM привлечьсубъективные критерии (полезна/не полезна, входит в комплект/самостоятельна ит.п.), то, возможно, это и не стоит называть вирусом/червяком. Hо стоит липривлекать эти самые субъективные критерии?

А какие могут быть объективные критерии вируса?Саморазмножение, скрытность и деструктивные свойства? Но ведь на каждыйобъективный критерий можно привести два контрпримера — a) пример вируса, неподходящего под критерий, и b) пример не-вируса, подходящего под критерий:

Саморазмножение:

1.<span Times New Roman"">     

2.<span Times New Roman"">     

Скрытность:

1.<span Times New Roman"">     

2.<span Times New Roman"">     

Деструктивные свойства:

1.<span Times New Roman"">     

2.<span Times New Roman"">     

Посему тема «нормального» определения компьютерного вирусаостается открытой. Есть только несколько точных вех: например, файл COMMAND.COMвирусом не является, а печально известная программа с текстом «Dis is one half»является стопроцентным вирусом (»OneHalf»). Все, что лежит между ними, можеткак оказаться вирусом, так и нет.

<img src="/cache/referats/1442/image001.gif" v:shapes="_x0000_s1030">

Не горячитесь, Шура, — выеще не отсидели за прошлое дело.
из Жванецкого

3. Кто и почему пишет вирусы?

Сам я написанием вирусов не занимался, с их авторамипересекаюсь довольно редко, и, следовательно, мои соображения по этому поводумогут быть лишь чисто теоретическими.

Так кто же пишет вирусы? На мой взгляд, основную их массусоздают студенты и школьники, которые только что изучили язык ассемблера, хотятпопробовать свои силы, но не могут найти для них более достойного применения.Отраден тот факт, что значительная часть таких вирусов их авторами часто нераспространяется, и вирусы через некоторое время «умирают» вместе с дискетами,на которых хранятся. Такие вирусы пишутся скорее всего только длясамоутверждения.

Вторую группу составляют также молодые люди (чаще — студенты),которые еще не полностью овладели искусством программирования, но уже решилипосвятить себя написанию и распространению вирусов. Единственная причина,толкающая подобных людей на написание вирусов, это комплекс неполноценности,который проявляет себя в компьютерном хулиганстве.

Из-под пера подобных «умельцев» часто выходят либомногочисленные модификации «классических» вирусов, либо вирусы крайнепримитивные и с большим числом ошибок (такие вирусы я называю «студенческими»).Значительно облегчилась жизнь подобных вирусописателей после выходаконструкторов вирусов, при помощи которых можно создавать новые вирусы даже приминимальных знаниях об операционной системе и ассемблере, или даже вообще неимея об этом никакого представления. Их жизнь стала еще легче после появлениямакро-вирусов, поскольку вместо сложного языка Ассемблер для написаниямакро-вирусов достаточно изучить довольно простой Бейсик.

Став старше и опытнее, но так и не повзрослев, многие изподобных вирусописателей попадают в третью, наиболее опасную группу, котораясоздает и запускает в мир «профессиональные» вирусы. Эти очень тщательнопродуманные и отлаженные программы создаются профессиональными, часто оченьталантливыми программистами. Такие вирусы нередко используют достаточнооригинальные алгоритмы, недокументированные и мало кому известные способыпроникновения в системные области данных. «Профессиональные» вирусы частовыполнены по технологии «стелс» и(или) являются полиморфик-вирусами, заражаютне только файлы, но и загрузочные сектора дисков, а иногда и выполняемые файлыWindows и OS/2.

Довольно значительную часть в моей коллекции занимают«семейства» — группы из нескольких (иногда более десятка) вирусов.Представителей каждой их таких групп можно выделить по одной отличительнойчерте, которая называется «почерком»: в нескольких различных вирусахвстречаются одни и те же алгоритмы и приемы программирования. Часто все илипочти все представители семейства принадлежат одному автору, и иногда довольнозабавно следить за «становлением пера» подобного художника — от почти«студенческих» попыток создать хоть что-нибудь, похожее на вирус, до вполнеработоспособной реализации «профессионального» вируса.

По моему мнению, причина, заставляющая таких людей направлятьсвои способности на такую бессмысленную работу все та же — комплекснеполноценности, иногда сочетающийся с неуравновешенной психикой. Показателентот факт, что подобное вирусописательство часто сочетается с другими пагубнымипристрастиями. Так, весной 1997 года один из наиболее известных в мире автороввирусов по кличке Talon (Австралия) скончался в возрасте 21 года от летальнойдозы героина.

Несколько отдельно стоит четвертая группа авторов вирусов — «исследователи». Эта группа состоит из довольно сообразительных программистов,которые занимаются изобретением принципиально новых методов заражения, скрытия,противодействия антивирусам и т.д. Они же придумывают способы внедрения в новыеоперационные системы, конструкторы вирусов и полиморфик-генераторы. Этипрограммисты пишут вирусы не ради собственно вирусов, а скорее ради«исследования» потенциалов «компьютерной фауны».

Часто авторы подобных вирусов не запускают свои творения вжизнь, однако очень активно пропагандируют свои идеи через многочисленныеэлектронные издания, посвященные созданию вирусов. При этом опасность от таких«исследовательских» вирусов не падает — попав в руки «профессионалов» из третьейгруппы, новые идеи очень быстро реализуются в новых вирусах.

Отношение к авторам вирусов у меня тройственное. Во-первых,все, кто пишет вирусы или способствует их распространению, являются«кормильцами» антивирусной индустрии, годовой оборот которой я оцениваю какминимум две сотни миллионов долларов или даже более того (при этом не стоитзабывать, что убытки от вирусов составляют несколько сотен миллионов долларовежегодно и в разы превышают расходы на антивирусные программы). Если общееколичество вирусов к концу 1997 года скорее всего достигнет 20.000, то нетрудноподсчитать, что доход антивирусных фирм от каждого вируса ежегодно составляетминимум 10 тысяч долларов. Конечно же, авторам вирусов не следует надеяться наматериальное вознаграждение: как показывает практика, их труд был и остаетсябесплатным. К тому же на сегодняшний день предложение (новые вирусы) вполнеудовлетворяет спрос (возможности антивирусных фирм по обработке новых вирусов).

Во-вторых, мне несколько жаль авторов вирусов, особенно «профессионалов».Ведь для того, чтобы написать подобный вирус, необходимо: a) затратить довольномного сил и времени, причем гораздо больше, чем требуется для того, чтобыразобраться в вирусе занести его в базу данных или даже написать специальныйантивирус; и б) не иметь другого, более привлекательного, занятия.Следовательно, вирусописатели -»профессионалы» довольно работоспособны иодновременно с этим маются от безделья — ситуация, как мне кажется, весьмапечальная.

И в третьих, к моему отношении к авторам вирусов довольносильно подмешаны чувства нелюбви и презрения как к людям, заведомо и бесцельнотратящим себя во вред всем остальным.

<img src="/cache/referats/1442/image001.gif" v:shapes="_x0000_s1031">

Тяжела и неказиста
Жизнь простого программиста
(Народный фольклор)

Нет предела нашемуинтегралу.
(Народная мудрость)

4. История компьютерных вирусов — отдревности до наших дней

4.1. Немного археологии

Мнений по поводу даты рождения первого компьютерного вирусаочень много. Мне доподлинно известно только одно: на машине Беббиджа его небыло, а на Univac 1108 и IBM-360/370 они уже были («Pervading Animal» и«Christmas tree»). Таким образом, первый вирус появился где-то в самом начале70-х или даже в конце 60-х годов, хотя «вирусом» его никто еще не называл. Наэтом разговор о вымерших ископаемых предлагаю считать завершенным.

4.2. Начало пути

Поговорим о новейшей истории: «Brain», «Vienna», «Cascade» идалее. Те, кто начал работать на IBM-PC аж в середине 80-х, еще не забылиповальную эпидемию этих вирусов в 1987-89 годах. Буквы сыпались на экранах, атолпы пользователей неслись к специалистам по ремонту дисплеев (сейчас всенаоборот: винчестер сдох от старости, а валят на неизвестный передовой наукевирус). Затем компьютер заиграл чужеземный гимн «Yankee Doodle», но чинитьдинамики уже никто не бросился — очень быстро разобрались, что это — вирус, дане один, а целый десяток.

Так вирусы начали заражать файлы. Вирус «Brain» и скачущий поэкрану шарик вируса «Ping-pong» ознаменовали победу вируса и надBoot-сектором. Все это очень не нравилось пользователям IBM-PC, и — появилисьпротивоядия. Первым попавшимся мне антивирусом был отечественный ANTI-KOT: этолегендарный Олег Котик выпустил в свет первые версии своей программы, котораяуничтожала целых 4 (четыре) вируса (американский SCAN появился у нас в страненесколько позднее). Кстати, всем, кто до сих пор сохранил копию этогоантивируса, предлагаю немедленно ее стереть (да простит меня Олег Котик!) какпрограмму вредную и ничего, кроме траты лишних нервов и ненужных телефонныхзвонков, не приносящую. К сожалению, ANTI-KOT определяет вирус «Time»(«Иерусалимский») по комбинации «MsDos» в конце файла, а некоторые другиеантивирусы эти самые буквы аккуратно прицепляют ко всем файлам с расширениемCOM или EXE.

Следует обратить внимание на то