Вычислительная техника и её применение 1991-3 1970 г.

А.Гребенщиков - компьютерные вирусы и борьба с ними.


Начиная с 1984 г. термин "компьютерный вирус" на устах всех
пользователей ЭВМ. Электронная эпидемия не оставила белых
пятен на Земле — всюду, где есть компьютер, есть эта бо-
лезнь» Каждый пользователь имеет теперь в своей библиотеке
набор программ, распознающих и уничтожающих пораженные
файлы.

А.Гребенщиков

Компьютерные вирусы
и борьба с ними

В настоящее время перед многи-
ми пользователями персональных
ЭВМ стоит достаточно серьезная про-
блема борьбы с компьютерными ви-
русами. Особенно остро она может
встать перед неопытными пользова-
телями ПЭВМ. Это кажется мистикой
до тех пор, пока действительно не
столкнешься с самим явлением.

Известно большое количество раз-
личных программ для обнаружения и
удаления вирусов, вероятно, не-
сколько сотен, а программ-вирусов
на сегодня в пределах ста. В процес-
се работы мне довелось иметь дело
более чем с десятком различных ви-
русов. Исследовано более ста про-
грамм для обнаружения и удаления
вирусов, а также их комплексов.
Изучено большое количество как
отечественных, так и зарубежных
публикаций по проблемам компью-
терных вирусов.

Многие из антивирусных програм-
мных комплексов, распространяемых
различными организациями, состав-
лены не лучшим образом. В их со-
став входит иногда более десятка
программ, и часто они дублируют
друг друга, одновременно оставляя
"дыры" в списке вирусов. Поэтому
они не всегда достигают желаемой
цели.

В большинстве публикаций о ком-
пьютерных вирусах описываются от-
дельные экземпляры вирусов и не-
которые программы для их обнару-
жения и/или удаления. Причем неко-
торые авторы, по-видимому, считают
себя "первооткрывателями" того или
иного вируса и присваивают уже из-
вестным вирусам новые имена.

Сознавая серьезность проблемы,
решил обобщить информацию об из-
вестных вирусах и наиболее эффек-
тивных, с моей точки зрения, про-
граммам борьбы с ними. Основу
данной работы и составляет список
компьютерных вирусов и программ
для борьбы с ними. Следует отме-
тить, что приведенный список компь-
ютерных вирусов, вероятно, близок к
полному, но не является исчерпыва-
ющим и, по-видимому, будет посто-
янно пополняться.

В силу того, что общепринятая
классификация компьютерных виру-
сов отсутствует, многие из них могут
встречаться под разными именами.
Подозреваю, что в список попали 1-2
таких вируса.

В составленной таблице использу-
ются наиболее часто встречающиеся
имена-клички вирусов.

Признаки наличия вирусов

Ниже приведены признаки присут-
ствия вирусных программ на компь-
ютерах:

- изменение размеров файлов.
Признак присущ большому количест-
ву вирусов, причем по этому призна-
ку с использованием приведенной
таблицы можно достаточно точно
идентифицировать присутствие того
или иного вируса. Но необходимо
иметь ввиду, что некоторые вирусы
имеют переменную длину. Напри-
мер, Jerusalem СОМ-файлы увеличи-
вает на 1813 байт, а ЕХЕ-файлы, ин-
фицированные этим вирусом, увели-
чиваются на 1808-1820 байт. Вирус
Yacsina имеет также переменную
длину, причем ЕХЕ-файлы заражают-
ся в два этапа. На первом этапе они
увеличиваются на 132 байта, а на вто-
ром еще на 1132-1214 байт;

- заметное снижение быстродейст-
вия (Jerusalem);

- изменение расширения файла
(Yacsina);

- звучание музыки (Yankey Doodl);

- уничтожение сектора на диске
(признак присущ многим ВООТовым
вирусам);

- порча файлов или даже их унич-
тожение (подумайте, а не могли это
вы сделать сами?);

зацикливание на загрузке
(Vienna);

опадание букв на экране
(Cascad, Ping Pond-B);

- появление на экране непредус-
мотренного сообщения. Например,
"Your PC is now Stoned" — харак-
терного для вируса Marijuana (для
других вирусов могут быть и иные
сообщения);

- неожиданное "зависание" маши-
ны, правда, в данном случае не сле-
дует делать скоропалительных выво-
дов о наличии вируса;

- появление на экране "вырванно-
го" куска в виде темного прямо-
угольника (Jerusalem);

- появление на экране очень яр-
кой точки, не перемещающейся по
нему (при этом необходимо быстро
выключить компьютер, перезагру-
зиться со "стерильной" дискеты и
приступить к поиску вируса, в против-
ном случае может произойти "про-
жигание" экрана);

- перезагрузка DOS при загрузке
на выполнение некоторых программ
(Yienna);

- непредусмотренное требование
снять защиту записи на дискете.

Данный перечень признаков не
может быть полным, поэтому всегда

"Черный мститель"
неуловим

Компьютерные вирусы
распространяются с такой
быстротой, что по всему ми-
ру начинают возникать свое-
образные "охотничьи обще-
ства", организующие "отлов"
опасных вредителей. В по-
следнее время им все чаще
приходится иметь дело с во-
сточными мутациями, т.е. с
вирусами, попадающими на
Запад из стран Восточной
Европы. Вот что передают
наши корреспонденты.

Вашингтон

Специалисты, обслужива-
ющие около 400 тысяч пер-
сональных компьютеров в
министерстве обороны США,
вздрагивают при слове "Бол-
гария" и бледнеют при упо-
минании слов "болгарские
подростки". Эта страна про-
славилась в компьютерном
мире ничуть не меньше, чем
Япония, хотя ее продукция
отсутствует на полках мага-
зинов бытовой электроники и
в лабораториях вычислитель-
ных институтов. Именно в
Болгарии примерно два года
назад был создан знамени-
тый компьютерный вирус
"'черный мститель' против
которого не могут найти дей-
ственного противоядия ни в
одной из развитых стран. Он
атакует компьютерные про-
граммы в момент копирова-
ния, печатания, т.е. в момент
активизации системы. При
этом он уничтожает заложен-
ные данные не подряд, а
только один раз из 16...

Как считают американ-
ские специалисты, "черный
мститель" и другие опасные
вирусы не были созданы как
оружие, поскольку им нельзя
пользоваться направленно и
от него нельзя уберечься ни-
кому, включая и самих со-
здателей.

Попытки американских
ученых войти в контакт с со-
здателями "черного мстите-
ля" для того, чтобы совмест-
ными усилиями выработать
меры противоядия, пока не
привели к успеху. Любомир
Матеев, которому сейчас 23
года, сказал, что он минув-
шей весной принимал уча-
стие в изобретении этого ви-
руса, однако ничем сейчас
помочь не может, поскольку
тот "вырвался из-под влия-
ния" своих творцов.

В.Надеин

София

Создать вирус вполне
может программист средней
руки.

Как считает Август Сто-
янов, который посвятил этой
проблеме целое философ-
ское эссе, основные винов-
ники распространения виру-
сов — неразборчивые по-
требители, которые исполь-
зуют нефирменные програм-
мные продукты. Вирус, счи-
тает А.Стоянов, заслуженное
наказание для тех, кто при-
сваивает чужую интеллекту-
альную собственность. Он
полагает, что вирусы созда-
ют в основном люди, страда-
ющие манией величия, ведь
некоторые болезни компью-
теров получают междуна-
родную известность. Однако
случается и так, что иной
программист специально пы-
тается насолить работодате-
лю за низкую оплату своего
труда. Отсюда вывод: про-
граммисты должны быть хо-
рошо оплачиваемы.

Чистоплотность и дисцип-
лина для человека, работаю-
щего с компьютером, так же
важна, как и для хирурга.
Шалости на рабочем месте
могут дорого стоить,

А.Капралов

Бонн

Как распространяются
подобные эпидемии? Ваш
корреспондент в ФРГ попро-
сил рассказать об этом руко-
водителя компьютер-вирусо-
логического испытательного
центра при Гамбургском уни-
верситете профессора Клау-
са Бруннштайна.

- Не так давно я участво-
вал в заседании европейских
"охотников за вируса-
ми", — сказал профес-
сор. — Коллега из Софии,
член Болгарской академии
наук, продемонстрировал

обращайте внимание на "странное"
поведение вашего компьютера.

Некоторые рекомендации
по борьбе с компьютерными
вирусами

Приведу некоторые простейшие
способы защиты от компьютерных
вирусов, которые позволят вам в оп-
ределенной степени избежать зара-
жения вашей ПЭВМ:

- во-первых, не копируйте на свой
винчестер все, что вам попало в ру-
ки, в особенности игровые програм-
мы;

- программы, попавшие в ваши
руки из источников, ненадежных в от-
ношении "стерильности" на вирус,
предварительно тестируйте на нали-
чие вируса;

- за вновь используемой програм-
мой ведите особенно тщательное на-
блюдение, а лучше всего, если име-
ется такая возможность, в течение
некоторого времени эксплуатируйте
ее на специально отведенном компь-
ютере, на запуская ее и даже не чи-
тая каталог исходной дискеты на дру-
гих ППЭВМ. (Это правило может не
относиться к программам, которые
вы приобрели официально, напри-

нам 35 новых вирусов, выве-
денных в... СССР.

- Но эпидемия началась
все-таки в Болгарии. Что ее
вызвало?

- Объяснение самое про-
стое. Не так давно в Дюс-
сельдорфе была издана кни-
га о компьютерных вирусах,
переведенная затем на анг-
лийский язык. Там описан
один из вариантов 'венского
вируса". Именно он и был
использован болгарскими
школьниками в качестве
матрицы для изготовления
примитивного аналога. По-
том его здорово усовершен-
ствовали и стали произво-
дить, так сказать, "серийно".

- С чем связано распро-
странение компьютерных
эпидемий в странах Восточ-
ной Европы?

Я, к сожалению, не рас-
полагаю подробной инфор-
мацией о ситуации в вашей
стране. Мы видели, напри-
мер, "троянца"...

- "Троянского коня"?

- Совершенно верно. Это
специальная программа с
красивой цветной картинкой
на экране и надписью "пере-
стройка". Я знаю и некото-
рые другие виды разруши-
тельных программ. Мне ка-
жется, что в Советском Сою-
зе это чаще всего результат
игры, а не злого умысла.

- Чем отличаются друг от
друга отдельные поколения
вирусов?

- В компьютерах, совме-
стимых с системой Ай-Би-
Эм, сегодня еще встречают-
ся вирусы первой и второй
генерации. Их может созда-
вать практически каждый,
кто научился составлять про-
граммы. С ними легче бо-
роться. В третьем поколении
используется механизм ко-
дирования вирусов. Как пра-
вило, их выводят квалифици-
рованные специалисты в об-
ласти информатики, что, ес-
тественно, значительно за-
трудняет распознавание бо-
лезни.

- Какие средства борьбы
с вирусами наиболее эффек-
тивны?

- Прежде всего широкая
международная кооперация
охотников за вирусами, по-
стоянный обмен информа-
цией. Местные усилия по ло-
кализации очагов эпидемии,
конечно, тоже необходимы.
Ваша Академия наук года
два назад, например, успеш-
но ликвидировала "израиль-
ский вирус', первоначально
открытый в Иерусалиме и
распространившийся затем
по всему миру. Советские
специалисты сообщили нам,
что открыли антивирус, кото-
рый в состоянии распозна-
вать любые вирусные про-
граммы. К сожалению, я его
еще не видел и, по правде
сказать, сомневаюсь, что та-
кое вообще возможно.

Почему я говорю о коо-
перации? Сейчас в системах,
совместимых с Ай-Би-Эм,
около 300 различных видов
вирусов, а через два года их
будет более тысячи. Причем
мы опасаемся возникнове-
ния больших очагов в пер-
вую очередь там, где компь-
ютеризация только началась.

- Насколько я понял, ва-
ши контакты с советскими
коллегами не столь часты и
плодотворны?

- К моему глубочайшему
сожалению, у нас с ними во-
обще нет никаких рабочих
контактов, хотя я знаю, что в
Москве и Ленинграде "со-
фтвер-аномалиями" занима-
ются ведущие специалисты в
области информатики. Не
сотрудничают советские уче-
ные и с КАО, основанной не-
давно европейской службой
раннего распознавания ком-
пьютерных вирусов, объеди-
няющей усилия семи науч-
ных учреждений разных
стран. Я готов посредничать
в установлении контактов.

Надеюсь, что предложе-
ние профессора К.Бруннш-
тайна встретит отклик у на-
ших специалистов. Сообщаю
его координаты: Гамбургский
университет, секция "Инфор-
матика". Вирус — Тест-
Центр Шлютерштрассе, 70.
2000 Гамбург-13. Телефон:
040-41234158. Телефакс: 040-
41236122.

Е.Бовкун
(Известия, 1991, 4 января)

пример, у фирмы Microsoft);

- если вы получили программы на
незащищенных от записи дискетах,
немедленно их заклейте еще до того,
как вы их вставите в карман дисково-
да в первый раз, ибо дать полную га-
рантию того, что на вашем компьюте-
ре отсутствует какой-либо вирус, не-
возможно;

- постоянно следите за команд-
ным процессором COMMAND.COM,
его размером и датой создания. Из-
менение его размера или даты со-
здания может свидетельствовать о
наличии "инфекции" на ПЭВМ;

- имейте копии всех системных и
используемых программ и непре-
менно на защищенных от записи дис-
кетах;

- периодически выполняйте копи-
рование активных директориев "вин-
честера" (Не ленитесь делать это
ежедневно, вероятнее всего, когда-
нибудь вы этот труд оцените. Для
периодического копирования напиши-
те ВАТ-файл и запускайте его в конце
Дня);

- для защиты от некоторых виру-
сов можно системным файлам уста-
новить атрибут READ-ONLY (сделать
это можно командой ATTRIB опера-
ционной системы);

- может оказаться полезной любая
программа-ревизор, включенная в
AUTOEXEC.BAT, которая при каждом
включении ПЭВМ будет проверять
контрольные суммы и/или даты со-
здания файлов или их размеры, срав-
нивая с сохраненными в файле при
инициализации программы-ревизора
(предложенный способ поможет сво-
евременно обнаружить присутствие
на винчестере подавляющее боль-
шинство файловых вирусов);

- изготовьте системную дискету с
антивирусными программами;

- откажитесь, если это допустимо
для ваших прикладных программ, от
использования системных дат, падаю-
щих на 13 число в пятницу, воскрес-
ных дат и 1 апреля;

- от некоторых вирусов ваш ком-
пьютер может уберечь ложная ко-
манда в файле autoexec.bat:

SET ZPATH = Z:ZZZ

перед действительной командой:

SET PATH =
(можно точно сказать, что эта ма-
ленькая хитрость убережет вас от ви-
руса Vienna, который будет пытаться
искать путь к несуществующим уст-
ройству Z: и подкаталогу ZZZ);

- прежде чем снять наклейку с
прорези флоппи-диска на требования
машины, подумайте, а надо ли это
делать (многие вирусы пытаются за-
разить дискету, не определяя нали-
чие на ней защиты от записи);

- и наконец, в любой момент вы
должны быть готовы к восстановле-
нию информации на винчестере.

Выше упоминалось о необходимо-
сти постоянного отслеживания разме-
ра COMMAND.COM. Но далеко не
все вирусы поражают командный
процессор. Для диагностики присут-
ствия файловых вирусов на винчесте-
ре можно воспользоваться идеей Ан-
нет Б. Гейтс, Ричмонд, шт. Вирджи-
ния. Если добавить несколько ко-
манд, приведенных ниже, в файл
AUTOEXEC, то они помогут вовремя
обнаружить наличие большинства
файловых вирусов на винчестере.
DIR Dosedit.com ; FIND "1706" >
chkcom

COPY chkcom chkcmd2 > NUL
DEL chkcom

IF EXIST chkcom2 GOTO okl
ECHO WARNING!!! Size of
Dosedit.com was changed. Viruses?
PAUSE

GOTO continl
:ok1

DEL chkcom2
: continl

DIR C:nortncmain.exe J FIND
"139274" > chkexe
COPY chkexe chkexe2 > NUL
DEL chkexe

IF EXIST chkexe2 GOTO ok

ECHO WARNING!!! Size of ncmain.exe

was changed. Viruses?

PAUSE

GOTO continue
:ok

DEL chkexe2
continue

В данном примере сравниваются
предполагаемые и действительные
размеры часто используемых фай-
лов. Предложенный способ является
альтернативой для программы-реви-
зора. Не жалейте потерять несколько
секунд на загрузке компьютера. Если
при загрузке у вас появилось сооб-
щение:

"WARNING!!! Size of <имя фай-
ла > was changed. Viruses?". Пере-
загрузите систему с резервной копии
DOS и примите меры по уничтоже-
нию вирусов. Совсем не обяза-
тельно проверять длину файлов
Dosedit.com и ncmain.exe. Вы можете
вместо них указать и другие часто ис-
пользуемые файлы, при этом не за-
будьте поменять и ожидаемую их
длину.

Если у вас возникло подозрение о
наличии вируса на ПЭВМ, не спешите
запускать первую попавшуюся про-
грамму-фаг ("пожиратель" вирусов).
Дело в том, что не исключено при-
сутствие вируса-"мутанта", и про-
грамма-фаг может повредить зави-
русованные файлы. Вообще, к фагам
относитесь с некоторой осторожно-
стью. В любом случае необходимо
первоначально постараться иденти-
фицировать вирус и только после
этого вы можете запустить на выпол-
нение проверенный фаг в режиме
удаления вирусов. Мне встречалась
программа-фаг ANTI.COM, имеющая
длину 658 байт и являющаяся будто
бы антивирусом для Vienna. Советую
удалить с ваших дискет упомянутый
"антивирус", так как он может разру-
шить зараженные файлы вместо их
вылечивания. Здесь необходимо до-
бавить, что испорченные файлы про-
граммой ANTI восстанавливает поли-
фаг О.Котика ANTI-KOT.

Для поиска и удаления вирусов на
дисках целесообразно изготовить сис-
темную дискету, используя команду
FORMAT <d:> /s

Скопируйте в корневой каталог
этой дискеты антивирусные програм-
мы, максимально перекрывающие
список вирусов, например, Scan, Av и
Vr. Кроме того целесообразно на
этом диске иметь файл SYS.EXE. Для

атоматизации процесса диагностиро-
вания и удаления вирусов можно со-
здать пакетный файл test.bat:
ECHO OFF
CLS

IF %K . = = . GOTO exit
IF %2 = = r GOTO remove
Scan %1
Av /a %1

Vr /е/t/s/i/w/q %1

GOTO exit

:remove

Av /a /q %1

Vr /с/e/t/s/i/w/q %1

Scan %1 /d

:exit

ECHO ON

, формат запуска которого:
TEST <d:> [r]

Параметр d: — устройство, под-
лежащее тестированию на вирус. Не-
обязательный параметр г указывает
на удаление вирусов или пораженных
файлов.

Приведенный пакетный файл яв-
ляется примером и может получить
дальнейшее развитие. В него также
могут быть включены и другие анти-
вирусные программы.

Для диагностики и удаления виру-
сов можно воспользоваться антиви-
рус-интегратором, который представ-
ляет собой программный комплекс,
состоящий из следующих файлов:
AVTR.EXE
AVTR.DAT
AVTR.HLP
RUNTREE.EXE

Это интегрирующая среда для вы-
полнения антивирусных программ.
Краткую, но достаточную инструкцию
по использованию интегратора можно
найти в файле readme.avt.

Часто встречаются программы-де-
текторы и программы-фаги, просмат-
ривающие только текущий директо-
рий. Но если вы желаете, чтобы та-
кие программы сканировали весь
диск, рекомендуем использовать со-
вместно с ними программу
RUNTREE.EXE, входящую в состав ан-
тивирус-интегратора.

В большинстве случаев ВООТовые
вирусы можно удалить командой
SYS.

При выборе программ для составления комп-
лекса по диагностированию и "лечению" завиру-
сованной ЭВМ отдавайте предпочтение тем, кото-
рые могут работать раздельно в режиме детек-
тора и фага. В идеальном случае антивирусная
программа должна обеспечивать гибкий выбор
режимов и их различную комбинацию: диагно-
стирование, лечение, вывод отчета на принтер,
вывод отчета на экран. При "лечении" желателен
запрос на удаление вируса или файла. В режиме
диагностирования в отчете полезно иметь не
только наименование вируса, но и его размер в
байтах.

Несколько слов о классификации.

Н.Н.Безруковым в рукописи "Компьютерная
вирусология" 4.1 предлагается классификация,
которая в основе своей может быть принята.

Автор настоящей статьи предлагает на суд
разработчиков антивирусных программ класси-
фикацию имен вирусов, за основу которой при-
нята классификация Н Безрукова. Имя вируса

PrefRootSuffix, где

Pref — префикс имени;

Root — корень имени;

Suffix — суффикс имени.

Буквенный префикс характеризует среду оби-
тания и размножения вируса и состоит из одной
или нескольких букв. В зависимости от среды
обитания и размножения в префиксе имени ви-
руса в алфавитном порядке используются буквы.

С — .СОМ файлы;

Е — .ЕХЕ файлы;

О — оверлейные файлы;

R — вирус становится резидентным;

S — драйверы устройств.

Корень Roof характеризует длину приращения
в байтах зараженных файлов. Для вирусов типа С
и СЕ числовой корень принимается равным при-
ращению COMMAND СОМ при однократном за-
ражении. Для вирусов, которым характерно не-
стабильное приращение, числовой корень может
содержать два числа — минимальное и макси-
мальное приращение, указанные через (/).

Суффикс может характеризовать внешние
признаки проявления вируса и формируется ана-
логично префиксу. Для кодирования внешних
проявлений вируса можно использовать латин-
ские буквы:

А — вызывает аварию аппаратной части;

В — разрушает ВООТ-сектор;

D — разрушает файлы данных;

F — разрушает файловую структуру диска;

О — воздействует на работу ОС;

Р — разрушает исполняемые файлы;

S — звуковые эффекты;

V — видеоэффекты.

Суффикс является не обязательной составной
частью имени вируса, а его расширением.




СОДЕРЖАНИЕ:


  Оставте Ваш отзыв:

  НИК/ИМЯ
  ПОЧТА (шифруется)
  КОД



Темы: Игры, Программное обеспечение, Пресса, Аппаратное обеспечение, Сеть, Демосцена, Люди, Программирование

Похожие статьи:
Chaos Construction 2001 - интервью с EYE-Q: Organism, Time Keeper, Mr. Wizard.
PartyZone3 - Forever 2e3 SE results.
Review - NedoLang programming language
Разное - "О компьютерах", доработка ZS-Scorpion 256 и дисковода.
Семь и 1/2 - VIRTUAL-но AMIG-ный синдром VI или сибирские самородки: приключения Кемеровских спектрумистов.

В этот день...   23 ноября