Текст книги "Компьютерные террористы"

Автор книги: Татьяна Ревяко

сообщить о нарушении

Текущая страница: 15 (всего у книги 34 страниц)

«Рождение» вирусов

История компьютерного вируса, как правило, это сведения о месте и времени создания (первого обнаружения) вируса; информация о личности создателя (если это достоверно известно); предполагаемые «родственные» связи вируса; сведения, полученные из литературы и фольклора; а также общие впечатления, размышления и т. п.

Для чего еще нужна история? В ней также могут приводиться сведения об известных вирусологу версиях и их отличия от описываемого варианта. Строгая классификация компьютерных вирусов по группам (отрядам, семействам, родам, видам), видимо, не представляется возможной, поскольку вирус может содержать приемы, заимствованные из многих других, не родственных между собой групп. И, вообще, генеалогическое дерево компьютерных вирусов вовсе не является деревом (в смысле теории графов), так что группы будут сильно пересекаться. Поэтому в истории для каждого вируса указываются все источники заимствования (в т. ч. концептуального), которые удалось установить.

Да и описания вирусов в популярных компьютерных изданиях будут неполными, если не упоминать историю создания и появления вирусов. Это особенно характерно для самого консервативного класса компьютерных вирусов – загрузочных.

ЛИЧНОСТЬ СОЗДАТЕЛЯ ВИРУСА

В те далекие времена (9—10 лет тому назад…), когда появлялись первые компьютерные вирусы, удавалось устанавливать личности вирусописателей (хотя бы некоторых). Например, история донесла до нас имена авторов вируса «Душманские мозги» – это Basit Farood Alvi (19 лет, в те времена, конечно) и Bruder Amgad (23 года) из Лахора (Пакистан).

Через пару-тройку лет, когда каждый уважающий себя студент начал создавать вирусы, наступил период анонимности. Вирусы появлялись сотнями, но они были безликими и похожими друг на друга. Многие вирусы отличались несколькими командами либо их простой перестановкой. Создание вирусов было поставлено на поток, и, к сожалению, борьба с вирусами также была поставлена на поток. Сейчас ведущие вирусологи при описании вирусов отделываются двумя-тремя общими фразами.

Наступление эры глобальных компьютерных сетей позволило ведущим вирусописателям заявить о себе громкими кличками. В глубинах электронной виртуальной реальности издаются вирусные газеты и журналы, проводятся конференции по созданию вирусов.

МЕСТО СОЗДАНИЯ ВИРУСА

Несколько географических мыслей.

Конечно, если точно известно место (город, страна) создания вируса, это и указывается в истории вируса. Эта информация может в некоторых случаях носить даже энциклопедический характер. Например, сильно ли вас заинтересуют особенности инфицирования флоппи-дисков вирусом Loa Duong? А вот из истории вируса вы сможете узнать, что Loa Duong (Ляо-Дун) – залив и образующий его полуостров на северо-востоке Китая. На его берегу расположен г. Люй-Шунь (Порт-Артур).

Но наиболее интересным является общий географический анализ. Исследуя тенденции происхождения всех классов компьютерных вирусов, интересно отметить следующую закономерность. Файловые вирусы имеют, в основном, западное происхождение, а загрузочные в основном восточное (Индия, Индонезия, Новая Зеландия, Пакистан, Сингапур, Тайвань, Южная Корея). Как и в религиях мирового масштаба, в компьютерной вирусологии нашлось место для менталитета человеческого социума.

В настоящее время загрузочные вирусы принято делить на четыре группы: итальянскую, пакистанскую, новозеландскую и индийскую. Конечно, надо понимать, что в данном случае название географического места вовсе не означает, что все вирусы группы написаны именно там. В этих регионах созданы первые загрузочные вирусы, алгоритмы которых носили свои особенности и используются сейчас в качестве основных. Понятно, что вирус может быть создан в деревне Гадюкино, но отнесен в новозеландскую группу.

Итальянская группа представлена загрузочными вирусами, (в основном) демонстрирующими интересные визуальные эффекты. Например, во время работы на экране компьютера пользователя в текстовом режиме появляется хаотически движущееся светлое пятно (мячик). Первым и наиболее распространенным представителем этой группы является вирус Ping-Pong. Он появился на Западе примерно в конце 1987 г. Пик эпидемии в бывшем СССР наблюдался в сентябре 1989 г.

Представители пакистанской группы вирусов отличаются тем, что они не инфицируют жесткий диск компьютера, заражая только дискеты. Типичным вирусом этой группы является вирус Brain (Душманские мозги). Оригинальная версия этого вируса является первым загрузочным вирусом для MS-DOS, получившим массовое распространение. Вирус был выявлен в США в октябре 1987 г., где он вызвал настоящую эпидемию. В эту группу также можно отнести вирусы «Hard Disk Brain», «Houston Virus», «Brain-86», «Ashar», «Den Zuk».

Для новозеландской группы характерно заражение Master Boot Record жесткого диска и минимальный хвост, размером в один сектор. Хвост содержит только оригинальный загрузчик, который размещается не в псевдосбойном кластере, а по определенному абсолютному адресу. Также особенностью вирусов данной группы является заражение жесткого диска сразу после инсталляции в оперативную память – до передачи управления стандартному загрузчику, а не после, как это делает большинство вирусов других групп. Родоначальником группы признан вирус Stoned (Забалдевший). Впервые был обнаружен в Веллингтоне (Новая Зеландия) в начале 1988 г. и быстро распространился в Азии, а затем в США и Европе. Исторически считается, что это первый загрузочный вирус, поражавший MBR. В СССР появился в конце 1989 г. практически одновременно в нескольких городах.

Индийская группа зародилась благодаря «деятельности» вирусописателя, жившего в свое время (живущего?) в Бомбее (Индия). Типичный представитель группы – вирус Joshi (Джоши). Впервые был обнаружен в Индии в июне 1990 г. У нас появился уже в июле того же года. Однако первым известным индийским вирусом был вирус PrintScreen (Печать экрана), обнаруженный в Бомбее в ноябре 1989 г. Невилем Булсара (Neville Bulsara).

ДАТА СОЗДАНИЯ ВИРУСА

Обычно самые «дисциплинированные» вирусописатели обязательно оставляют в коде вируса дату его создания (либо неявное указание на эту дату). Но чаще, конечно, в описаниях к данному вирусу фиксируется дата (период) его первого появления. Эта дата позволяет в дальнейшем определить и проанализировать основные этапы миграции вируса по планете, а затем попытаться спрогнозировать его следующее появление.

ИСКОПАЕМЫЕ И МИФИЧЕСКИЕ ЗАГРУЗОЧНЫЕ ВИРУСЫ

Вот такие интересные определения уже существуют в компьютерной вирусологии.

ИСКОПАЕМЫЕ загрузочные вирусы практически полностью уничтожены и представляют, в основном, исторический интерес. Как правило, это вирусы «первой волны», которые были полностью уничтожены первыми антивирусными программами, в живом виде сейчас не существуют и присутствуют, может быть, в коллекциях некоторых вирусологов. Здесь можно упомянуть о некоторых из них.

Alameda (неформальные названия – Merritt, Peking, Seoul, Yale) – один из первых загрузочных вирусов и первый вирус, способный «выживать» при «теплой» перезагрузке. Впервые обнаружен в США в 1988 г. в Merritt College, Oakland, California. По мнению сотрудников университета, вирус написан студентом из колледжа Peralta community college, входящим в данный округ.

Ohio (Огайо) – вирус можно рассматривать как раннюю версию вируса Den Zuk. Дискета, зараженная вирусом Ohio, иммунизирована к заражению вирусом Brain. Вирус обнаружен в июне 1988 г. в Индонезии и, по-видимому, разработан там же.

Chaos (Хаос). Неформальное название данного вируса связано с тем, что в теле вируса имеются текстовые строки «Welcome to the New Dungeon», «Chaos» и «Letz be cool guys». Стадия проявления заключается в пометке всех свободных кластеров как сбойные. Обнаружен в декабре 1989 г. в Англии Джеймсом Берри (James Berry).

МИФИЧЕСКИЕ загрузочные вирусы скорее всего существуют только на страницах литературы и в фольклоре. Их описания есть в некоторых источниках (иногда компетентных), но никто не может с уверенностью сказать, что встречался с этими вирусами. Для примера – вирус Вххх (Boot Killer), который был описан в одной из статей в 1988 году.

«Подарок к Рождеству» и другие вирусы

В середине декабря 1989 года тысячи пользователей компьютеров получили неожиданный подарок к Рождеству – посылку, содержавшую гибкий диск с пометкой «Информация о СПИДе». Многие, не подозревая подвоха, загрузили диск в компьютеры, после чего программа, записанная на этом диске, испортила всю информацию на винчестере и запросила 378 долларов за ее восстановление. Деньги предлагалось направить в абонентский ящик 87–17—44 почтового ведомства Панамы. Конкретные мотивы данного акта вандализма не объявлялись. Когда поползли слухи, что абонентского ящика с указанным номером не существует вовсе, были высказаны предположения, что отправителем посылок является лицо, действительно заразившееся СПИДом и пожелавшее утешиться таким экстравагантным способом. Согласно другой версии, это была месть служащих в ответ на какую-то несправедливость со стороны начальства.

Наконец выяснили, что указанный адрес реально существует, и сейчас, если нельзя сказать, почему было совершено преступление, то можно с достаточной степенью определенности восстановить, как это было сделано. 11 декабря тысячи конвертов с зараженными дисками были отправлены из Лондона по адресам фирм, расположенных на четырех континентах. Среди британских получателей значились Министерство здравоохранения, Фондовая биржа и такие фирмы, как Rolls Royce, Barclays Bank, ICL, Sainsburys и другие. Для рассылки был использован главным образом список адресов, приобретенный в редакции периодического издания PC Business World гражданином Кении Ф. Кетемой, который заявил, что собирается поставлять программное обеспечение из Кении в Великобританию.

В ряде случаев программа срабатывала не сразу, а лишь после неоднократного выключения и повторной загрузки зараженного компьютера (как правило, это нужно было сделать 90 раз). Обычный способ распространения вируса – обмен дискетами между пользователями. Дискета с вирусом AIDC сама активно способствовала дальнейшему заражению, коварно предлагая пользователям, обнаружившим потерю данных, «выход» из создавшегося положения: советовала установить дискету на другой компьютер и переписать ее на жесткий диск. Доверчивый пользователь следовал совету и обнаруживал, что вторично попался на удочку – и себя не исцелил, и ближнего заразил.

Дэвид Фрост, один из авторов книги «Учебное пособие по компьютерным вирусам», изданной фирмой Price Waterhouse, считает, что, несмотря на все предосторожности, всегда будет оставаться вероятность заражения. Книга содержит подробные советы по борьбе с вирусными атаками как с точки зрения организации производства, так и с точки зрения программирования. Среди предлагаемых основных мер безопасности – регулярное резервное копирование программ и данных, проверка нового программного обеспечения на содержание вирусов, осторожное обращение с программным обеспечением, полученным из неофициальных источников, таких, как электронные бюллетени, либо полное запрещение использования таких программ. Но главное – это достижение информированности всех пользователей о мерах безопасности и о потенциальных угрозах, учитывая тот факт, что в большинстве случаев вирусы внедрялись и распространялись по вине неграмотных, ни о чем не подозревавших пользователей. Особенно необходимо помнить о том, что авторы вирусов, побуждая пользователей заражать себя и других, проявляют крайнюю изобретательность, пытаются порой даже пробудить в человеке низменные чувства (в случае с дискетой «Информация о СПИДе» использовался шантаж: зарази другого и сам будешь исцелен).

В качестве поучительного примера в книге рассказывается о вирусе SEX.EXE, который развлекает пользователя, выводя на экран порнографические картинки, а заодно и разрушает таблицу размещения файлов его компьютера. Некоторым людям бывает чрезвычайно сложно устоять перед искушением запустить неизвестную программу с таким интригующим именем, как SEX.EXE. Так что в будущем не исключено появление новых вирусов, использующих знание о человеческих слабостях для достижения неблаговидных целей.

К несчастью, мы, возможно, являемся свидетелями эволюции вирусов-шалостей в злонамеренные вирусы. Программы типа вируса «Пятница 13-го», который разрушил данные многих персональных компьютеров, могут получить более широкое распространение. Стивен Росс, старший администратор фирмы бухгалтерских услуг и консультаций Delloitte, Haskins & Sells, считает, что до сих пор мы увидели лишь вершину айсберга. «Эпоха вирусов-шутих, не имеющих каких-либо определенных задач или целей, кончается, перед нами – эпоха ориентированных вирусов, – говорит он, – проблема вирусов в перспективе неисчерпаема».

При создании ориентированных вирусов имеются в виду совершенно конкретные мишени. Такие вирусы встречаются все чаще. Один изготовитель антивирусных программ сообщает о двух недавних угрозах «взрыва» вирусных «мин», которым подверглись крупные фирмы. В обоих случаях звонивший шантажист утверждал, что имеется вирус, который полностью разрушит сеть фирмы. В одном случае угроза была ложной, в другом вирус был обнаружен. В обоих случаях, пока персонал искал эти вирусы, фирмы потеряли много часов работы.

В начале 1989 года дело по ориентированному вирусу дошло до суда, и суд признал Дональда Гина Бурлесона виновным во внедрении компьютерного вируса, который уничтожил примерно на 200 тысяч долларов комиссионных записей, принадлежавших его бывшему работодателю, фирме USPA & IRA. Эта фирма специализируется на торговле средствами безопасности. Он был осужден по законодательству штата Техас (оно вступило в силу за два дня до внедрения вируса), которое говорит о незаконности вмешательства в пользование компьютером, незаконности уничтожения и разрушения компьютерных программ. Прокурор по этому делу сообщил, что общий характер законодательства критическим образом сказался на аргументации обвинения против Бурлесона. Бурлесон, которому угрожало до 10 лет тюрьмы, был приговорен к семи годам условно и штрафу 11 800 долларов – в такую сумму был оценен причиненный ущерб.

Программа Бурлесона относилась к типу вирусов, которые называют «минами замедленного действия» (вирус «Пятница 13-го» еще один пример такой программы). Некоторые эксперты считают, что «мина замедленного действия» и «троянский конь», который внедряется в систему, будучи спрятанным в другой программе, – не настоящие вирусы. Эти пуристы считают, что вирус это несанкционированная саморепродуцирующаяся программа. Другие предпочитают более широкое определение, по которому вирус – это любая программа, созданная для проникновения в систему пользователя вопреки последнему и незаметно для него с целью помешать нормальной работе системы, вызвать потерю данных или просто вывести на экран сообщение.

Вирус – только последний в серии разрушающих программ, начало которым положили программы типа «троянский конь» и «часовая мина».

В конце 1987 года из Лехайского университета в штате Пенсильвания пришло сообщение о нападении на местные компьютеры программы-вируса. Лехайский вирус распространялся от компьютера к компьютеру, используя в качестве средства передачи зараженную дискету. Заражение вирусом происходило при загрузке компьютера с инфицированного гибкого диска. За короткое время заразились сотни компьютеров. Сначала размножившись, вирус затем проявил свою «троянскую» сущность – уничтожил данные с винчестеров зараженных машин. Программа «троянский конь», названная так по аналогии с древнегреческой легендой, производит одноразовое действие, повреждающее или уничтожающее информацию либо диски при каждом запуске.

Программа «троянский конь» выглядит так, как будто она просто выполняет какую-то одну полезную функцию, но на самом деле программа делает кое-что еще, например, разрушает директорию на диске или портит таблицы размещения файлов. Существенным свойством программы «троянский конь» является то, что она производит разрушения при каждом очередном запуске. Подобно Троянскому коню из древнегреческой мифологии, она маскируется под вполне безобидную программу и может выглядеть как файл с расширением. СОМ или EXE, предназначенный для графического вывода на экран дисплея, распечатки директории или чего-либо подобного. Такая маскировка обычно продолжается недолго.

Промышленная ассоциация по компьютерным вирусам только за 1988 год зафиксировала почти 90 тысяч вирусных атак на персональные компьютеры. На самом деле количество инцидентов, связанных с вирусами, вероятно, превосходит опубликованные цифры, поскольку большинство фирм умалчивает о вирусных атаках, опасаясь, что подобная реклама повредит их репутации. Другие фирмы молчат, чтобы не привлекать внимания хакеров. Как заметил администратор фирмы Amway, «лучший способ избежать проблем с вирусами – не болтать о том, что вы предпринимаете во избежание этих проблем».

Это хороший совет, ибо вирусные хакеры уже зашли так далеко, что обмениваются информацией и даже создают подпольные бюллетени, которые позволяют программистам вирусов обмениваться информацией и приемами программирования. По словам Джона Максфилда, специалиста по компьютерной безопасности из Кливленда, некоторые из этих бюллетеней содержат исходные коды вирусов, и программисту-любителю ничего не стоит создать свои собственные мощные токсичные средства.

Пиратские, а также имеющие широкое хождение программы – еще одна благодатная почва для вирусов. Эти программы свободно передаются из рук в руки, как правило, без каких-либо мер предосторожности. Один из наиболее распространенных современных вирусов был запущен через пиратское программное обеспечение из компьютерного магазина в Лахоре (Пакистан), где два брата-пакистанца внедряли вирус в пиратские копии пакетов Lotus 1–2—3, WordStar и других популярных прикладных пакетов. Это делалось для того, чтобы наказать покупателей за приобретение пиратского программного обеспечения. Прежде чем стало известно об этом вирусе, через этот магазин прошли тысячи туристов и бизнесменов, посещавших Лахор.

Джон Максфилд, консультант по вопросам компьютерной безопасности из Кливленда, рассказывает еще более жуткие вещи об опасностях, связанных с пиратским программным обеспечением. По словам Максфилда, пираты-программисты внедряют вирусные программы в бюллетени пиратов-конкурентов, рассчитывая на то, что вирус будет подхвачен и так или иначе попадет в коллекцию программ конкурента, а это в результате подорвет репутацию последнего.

Вероятность получить вирусную программу гораздо меньше, если вы – изолированный пользователь, если вы имеете дело с надежным набором коммерческих прикладных пакетов. Случаи заражения коммерческого программного обеспечения очень редки. Один из первых известных коммерческих пакетов с вирусом – пакет Freehand фирмы Aldus, программа для компьютеров Macintosh. Вирус просто выводил на экран сообщение с пожеланием мира всем пользователям компьютеров Macintosh, после чего сообщение исчезало. Компьютерный вирус был также обнаружен в пакете MegaROM для CD-ROM-дисков компьютеров Macintosh. Оба вируса были быстро обнаружены и не успели повредить систем пользователей. Вирус, заразивший пакет MegaROM, мог бы уничтожить данные, если бы не был пойман. Вирус из пакета Freehand, известный как вирус Мира, – классический пример того, как легко может вирус распространяться. Это началось с того, что Дрю Дэвидсон, программист из Таксона, написал вирус и передал его Ричарду Брэндоу, который поместил вирус на игровые диски, распространявшиеся на собраниях группы пользователей компьютеров Macintosh в Монреале. Марк Кантер взял один из этих инфицированных дисков на собрании и вернулся с ним в свой офис в Чикаго, где он занимался анализом предварительной версии пакета Freehand для фирмы Aldus. Вирус перешел с игрового диска на диск с пакетом Freehand. Кантер отправил диск в фирму Aldus, где он попал на несколько тысяч копий пакета Freehand, предназначенных к поставке.

Резервные копии – это одна из мер защиты против вируса, но она тоже не дает стопроцентную гарантию. Некоторые из данных могут быть поражены вирусом и резервная копия этих данных также может оказаться зараженной. Необходимо проводить проверки на наличие вирусов после восстановления данных с резервной копии.

По сообщениям прессы, недавно австралийские фирмы подверглись нападению вируса «Пинг-понг» («итальянский» или «туринский» вирус) и новозеландского вируса, который также известен как вирус «marijuana» или «Stoned». Согласно газете «Курьер мэйл», одна коммерческая фирма в г. Таунсвиль в результате вирусной атаки понесла убытки в миллион долларов. Фирме пришлось закрыться на шесть недель, необходимых сотрудникам для того, чтобы вручную заново ввести в компьютеры всю информацию. Первое, что приходит в голову при прочтении такого сообщения: это очередная «утка». Разве не могла фирма использовать для восстановления информации резервные копии? Однако существует надежное подтверждение того, что данный случай действительно имел место. Здесь мы видим яркий пример, во-первых, неподготовленности персонала к вирусной атаке, во-вторых, плохой организации резервного копирования информации. В один прекрасный день сотрудница агентства по недвижимости, специализирующегося на сдаче в аренду, выполняла резервное копирование информации фирмы на дискеты. Когда она вставила в компьютер первую дискету резервной копии, на экране появилось сообщение «Your PC is now stoned» («Ваш компьютер тащится»). Не зная, как реагировать на это сообщение, она вынула первую дискету и вставила следующую. Увидев, что сообщение с экрана не исчезло, она по очереди вставила все остальные дискеты резервной копии. В результате все дискеты оказались зараженными.