Начиная с 1984 г. термин "компьютерный вирус" на устах всех
пользователей ЭВМ. Электронная эпидемия не оставила белых
пятен на Земле — всюду, где есть компьютер, есть эта бо-
лезнь» Каждый пользователь имеет теперь в своей библиотеке
набор программ, распознающих и уничтожающих пораженные
файлы.
А.Гребенщиков
Компьютерные вирусы
и борьба с ними
В настоящее время перед многи-
ми пользователями персональных
ЭВМ стоит достаточно серьезная про-
блема борьбы с компьютерными ви-
русами. Особенно остро она может
встать перед неопытными пользова-
телями ПЭВМ. Это кажется мистикой
до тех пор, пока действительно не
столкнешься с самим явлением.
Известно большое количество раз-
личных программ для обнаружения и
удаления вирусов, вероятно, не-
сколько сотен, а программ-вирусов
на сегодня в пределах ста. В процес-
се работы мне довелось иметь дело
более чем с десятком различных ви-
русов. Исследовано более ста про-
грамм для обнаружения и удаления
вирусов, а также их комплексов.
Изучено большое количество как
отечественных, так и зарубежных
публикаций по проблемам компью-
терных вирусов.
Многие из антивирусных програм-
мных комплексов, распространяемых
различными организациями, состав-
лены не лучшим образом. В их со-
став входит иногда более десятка
программ, и часто они дублируют
друг друга, одновременно оставляя
"дыры" в списке вирусов. Поэтому
они не всегда достигают желаемой
цели.
В большинстве публикаций о ком-
пьютерных вирусах описываются от-
дельные экземпляры вирусов и не-
которые программы для их обнару-
жения и/или удаления. Причем неко-
торые авторы, по-видимому, считают
себя "первооткрывателями" того или
иного вируса и присваивают уже из-
вестным вирусам новые имена.
Сознавая серьезность проблемы,
решил обобщить информацию об из-
вестных вирусах и наиболее эффек-
тивных, с моей точки зрения, про-
граммам борьбы с ними. Основу
данной работы и составляет список
компьютерных вирусов и программ
для борьбы с ними. Следует отме-
тить, что приведенный список компь-
ютерных вирусов, вероятно, близок к
полному, но не является исчерпыва-
ющим и, по-видимому, будет посто-
янно пополняться.
В силу того, что общепринятая
классификация компьютерных виру-
сов отсутствует, многие из них могут
встречаться под разными именами.
Подозреваю, что в список попали 1-2
таких вируса.
В составленной таблице использу-
ются наиболее часто встречающиеся
имена-клички вирусов.
Признаки наличия вирусов
Ниже приведены признаки присут-
ствия вирусных программ на компь-
ютерах:
- изменение размеров файлов.
Признак присущ большому количест-
ву вирусов, причем по этому призна-
ку с использованием приведенной
таблицы можно достаточно точно
идентифицировать присутствие того
или иного вируса. Но необходимо
иметь ввиду, что некоторые вирусы
имеют переменную длину. Напри-
мер, Jerusalem СОМ-файлы увеличи-
вает на 1813 байт, а ЕХЕ-файлы, ин-
фицированные этим вирусом, увели-
чиваются на 1808-1820 байт. Вирус
Yacsina имеет также переменную
длину, причем ЕХЕ-файлы заражают-
ся в два этапа. На первом этапе они
увеличиваются на 132 байта, а на вто-
ром еще на 1132-1214 байт;
- заметное снижение быстродейст-
вия (Jerusalem);
- изменение расширения файла
(Yacsina);
- звучание музыки (Yankey Doodl);
- уничтожение сектора на диске
(признак присущ многим ВООТовым
вирусам);
- порча файлов или даже их унич-
тожение (подумайте, а не могли это
вы сделать сами?);
зацикливание на загрузке
(Vienna);
опадание букв на экране
(Cascad, Ping Pond-B);
- появление на экране непредус-
мотренного сообщения. Например,
"Your PC is now Stoned" — харак-
терного для вируса Marijuana (для
других вирусов могут быть и иные
сообщения);
- неожиданное "зависание" маши-
ны, правда, в данном случае не сле-
дует делать скоропалительных выво-
дов о наличии вируса;
- появление на экране "вырванно-
го" куска в виде темного прямо-
угольника (Jerusalem);
- появление на экране очень яр-
кой точки, не перемещающейся по
нему (при этом необходимо быстро
выключить компьютер, перезагру-
зиться со "стерильной" дискеты и
приступить к поиску вируса, в против-
ном случае может произойти "про-
жигание" экрана);
- перезагрузка DOS при загрузке
на выполнение некоторых программ
(Yienna);
- непредусмотренное требование
снять защиту записи на дискете.
Данный перечень признаков не
может быть полным, поэтому всегда
"Черный мститель"
неуловим
Компьютерные вирусы
распространяются с такой
быстротой, что по всему ми-
ру начинают возникать свое-
образные "охотничьи обще-
ства", организующие "отлов"
опасных вредителей. В по-
следнее время им все чаще
приходится иметь дело с во-
сточными мутациями, т.е. с
вирусами, попадающими на
Запад из стран Восточной
Европы. Вот что передают
наши корреспонденты.
Вашингтон
Специалисты, обслужива-
ющие около 400 тысяч пер-
сональных компьютеров в
министерстве обороны США,
вздрагивают при слове "Бол-
гария" и бледнеют при упо-
минании слов "болгарские
подростки". Эта страна про-
славилась в компьютерном
мире ничуть не меньше, чем
Япония, хотя ее продукция
отсутствует на полках мага-
зинов бытовой электроники и
в лабораториях вычислитель-
ных институтов. Именно в
Болгарии примерно два года
назад был создан знамени-
тый компьютерный вирус
"'черный мститель' против
которого не могут найти дей-
ственного противоядия ни в
одной из развитых стран. Он
атакует компьютерные про-
граммы в момент копирова-
ния, печатания, т.е. в момент
активизации системы. При
этом он уничтожает заложен-
ные данные не подряд, а
только один раз из 16...
Как считают американ-
ские специалисты, "черный
мститель" и другие опасные
вирусы не были созданы как
оружие, поскольку им нельзя
пользоваться направленно и
от него нельзя уберечься ни-
кому, включая и самих со-
здателей.
Попытки американских
ученых войти в контакт с со-
здателями "черного мстите-
ля" для того, чтобы совмест-
ными усилиями выработать
меры противоядия, пока не
привели к успеху. Любомир
Матеев, которому сейчас 23
года, сказал, что он минув-
шей весной принимал уча-
стие в изобретении этого ви-
руса, однако ничем сейчас
помочь не может, поскольку
тот "вырвался из-под влия-
ния" своих творцов.
В.Надеин
София
Создать вирус вполне
может программист средней
руки.
Как считает Август Сто-
янов, который посвятил этой
проблеме целое философ-
ское эссе, основные винов-
ники распространения виру-
сов — неразборчивые по-
требители, которые исполь-
зуют нефирменные програм-
мные продукты. Вирус, счи-
тает А.Стоянов, заслуженное
наказание для тех, кто при-
сваивает чужую интеллекту-
альную собственность. Он
полагает, что вирусы созда-
ют в основном люди, страда-
ющие манией величия, ведь
некоторые болезни компью-
теров получают междуна-
родную известность. Однако
случается и так, что иной
программист специально пы-
тается насолить работодате-
лю за низкую оплату своего
труда. Отсюда вывод: про-
граммисты должны быть хо-
рошо оплачиваемы.
Чистоплотность и дисцип-
лина для человека, работаю-
щего с компьютером, так же
важна, как и для хирурга.
Шалости на рабочем месте
могут дорого стоить,
А.Капралов
Бонн
Как распространяются
подобные эпидемии? Ваш
корреспондент в ФРГ попро-
сил рассказать об этом руко-
водителя компьютер-вирусо-
логического испытательного
центра при Гамбургском уни-
верситете профессора Клау-
са Бруннштайна.
- Не так давно я участво-
вал в заседании европейских
"охотников за вируса-
ми", — сказал профес-
сор. — Коллега из Софии,
член Болгарской академии
наук, продемонстрировал
обращайте внимание на "странное"
поведение вашего компьютера.
Некоторые рекомендации
по борьбе с компьютерными
вирусами
Приведу некоторые простейшие
способы защиты от компьютерных
вирусов, которые позволят вам в оп-
ределенной степени избежать зара-
жения вашей ПЭВМ:
- во-первых, не копируйте на свой
винчестер все, что вам попало в ру-
ки, в особенности игровые програм-
мы;
- программы, попавшие в ваши
руки из источников, ненадежных в от-
ношении "стерильности" на вирус,
предварительно тестируйте на нали-
чие вируса;
- за вновь используемой програм-
мой ведите особенно тщательное на-
блюдение, а лучше всего, если име-
ется такая возможность, в течение
некоторого времени эксплуатируйте
ее на специально отведенном компь-
ютере, на запуская ее и даже не чи-
тая каталог исходной дискеты на дру-
гих ППЭВМ. (Это правило может не
относиться к программам, которые
вы приобрели официально, напри-
нам 35 новых вирусов, выве-
денных в... СССР.
- Но эпидемия началась
все-таки в Болгарии. Что ее
вызвало?
- Объяснение самое про-
стое. Не так давно в Дюс-
сельдорфе была издана кни-
га о компьютерных вирусах,
переведенная затем на анг-
лийский язык. Там описан
один из вариантов 'венского
вируса". Именно он и был
использован болгарскими
школьниками в качестве
матрицы для изготовления
примитивного аналога. По-
том его здорово усовершен-
ствовали и стали произво-
дить, так сказать, "серийно".
- С чем связано распро-
странение компьютерных
эпидемий в странах Восточ-
ной Европы?
Я, к сожалению, не рас-
полагаю подробной инфор-
мацией о ситуации в вашей
стране. Мы видели, напри-
мер, "троянца"...
- "Троянского коня"?
- Совершенно верно. Это
специальная программа с
красивой цветной картинкой
на экране и надписью "пере-
стройка". Я знаю и некото-
рые другие виды разруши-
тельных программ. Мне ка-
жется, что в Советском Сою-
зе это чаще всего результат
игры, а не злого умысла.
- Чем отличаются друг от
друга отдельные поколения
вирусов?
- В компьютерах, совме-
стимых с системой Ай-Би-
Эм, сегодня еще встречают-
ся вирусы первой и второй
генерации. Их может созда-
вать практически каждый,
кто научился составлять про-
граммы. С ними легче бо-
роться. В третьем поколении
используется механизм ко-
дирования вирусов. Как пра-
вило, их выводят квалифици-
рованные специалисты в об-
ласти информатики, что, ес-
тественно, значительно за-
трудняет распознавание бо-
лезни.
- Какие средства борьбы
с вирусами наиболее эффек-
тивны?
- Прежде всего широкая
международная кооперация
охотников за вирусами, по-
стоянный обмен информа-
цией. Местные усилия по ло-
кализации очагов эпидемии,
конечно, тоже необходимы.
Ваша Академия наук года
два назад, например, успеш-
но ликвидировала "израиль-
ский вирус', первоначально
открытый в Иерусалиме и
распространившийся затем
по всему миру. Советские
специалисты сообщили нам,
что открыли антивирус, кото-
рый в состоянии распозна-
вать любые вирусные про-
граммы. К сожалению, я его
еще не видел и, по правде
сказать, сомневаюсь, что та-
кое вообще возможно.
Почему я говорю о коо-
перации? Сейчас в системах,
совместимых с Ай-Би-Эм,
около 300 различных видов
вирусов, а через два года их
будет более тысячи. Причем
мы опасаемся возникнове-
ния больших очагов в пер-
вую очередь там, где компь-
ютеризация только началась.
- Насколько я понял, ва-
ши контакты с советскими
коллегами не столь часты и
плодотворны?
- К моему глубочайшему
сожалению, у нас с ними во-
обще нет никаких рабочих
контактов, хотя я знаю, что в
Москве и Ленинграде "со-
фтвер-аномалиями" занима-
ются ведущие специалисты в
области информатики. Не
сотрудничают советские уче-
ные и с КАО, основанной не-
давно европейской службой
раннего распознавания ком-
пьютерных вирусов, объеди-
няющей усилия семи науч-
ных учреждений разных
стран. Я готов посредничать
в установлении контактов.
Надеюсь, что предложе-
ние профессора К.Бруннш-
тайна встретит отклик у на-
ших специалистов. Сообщаю
его координаты: Гамбургский
университет, секция "Инфор-
матика". Вирус — Тест-
Центр Шлютерштрассе, 70.
2000 Гамбург-13. Телефон:
040-41234158. Телефакс: 040-
41236122.
Е.Бовкун
(Известия, 1991, 4 января)
пример, у фирмы Microsoft);
- если вы получили программы на
незащищенных от записи дискетах,
немедленно их заклейте еще до того,
как вы их вставите в карман дисково-
да в первый раз, ибо дать полную га-
рантию того, что на вашем компьюте-
ре отсутствует какой-либо вирус, не-
возможно;
- постоянно следите за команд-
ным процессором COMMAND.COM,
его размером и датой создания. Из-
менение его размера или даты со-
здания может свидетельствовать о
наличии "инфекции" на ПЭВМ;
- имейте копии всех системных и
используемых программ и непре-
менно на защищенных от записи дис-
кетах;
- периодически выполняйте копи-
рование активных директориев "вин-
честера" (Не ленитесь делать это
ежедневно, вероятнее всего, когда-
нибудь вы этот труд оцените. Для
периодического копирования напиши-
те ВАТ-файл и запускайте его в конце
Дня);
- для защиты от некоторых виру-
сов можно системным файлам уста-
новить атрибут READ-ONLY (сделать
это можно командой ATTRIB опера-
ционной системы);
- может оказаться полезной любая
программа-ревизор, включенная в
AUTOEXEC.BAT, которая при каждом
включении ПЭВМ будет проверять
контрольные суммы и/или даты со-
здания файлов или их размеры, срав-
нивая с сохраненными в файле при
инициализации программы-ревизора
(предложенный способ поможет сво-
евременно обнаружить присутствие
на винчестере подавляющее боль-
шинство файловых вирусов);
- изготовьте системную дискету с
антивирусными программами;
- откажитесь, если это допустимо
для ваших прикладных программ, от
использования системных дат, падаю-
щих на 13 число в пятницу, воскрес-
ных дат и 1 апреля;
- от некоторых вирусов ваш ком-
пьютер может уберечь ложная ко-
манда в файле autoexec.bat:
SET ZPATH = Z:ZZZ
перед действительной командой:
SET PATH =
(можно точно сказать, что эта ма-
ленькая хитрость убережет вас от ви-
руса Vienna, который будет пытаться
искать путь к несуществующим уст-
ройству Z: и подкаталогу ZZZ);
- прежде чем снять наклейку с
прорези флоппи-диска на требования
машины, подумайте, а надо ли это
делать (многие вирусы пытаются за-
разить дискету, не определяя нали-
чие на ней защиты от записи);
- и наконец, в любой момент вы
должны быть готовы к восстановле-
нию информации на винчестере.
Выше упоминалось о необходимо-
сти постоянного отслеживания разме-
ра COMMAND.COM. Но далеко не
все вирусы поражают командный
процессор. Для диагностики присут-
ствия файловых вирусов на винчесте-
ре можно воспользоваться идеей Ан-
нет Б. Гейтс, Ричмонд, шт. Вирджи-
ния. Если добавить несколько ко-
манд, приведенных ниже, в файл
AUTOEXEC, то они помогут вовремя
обнаружить наличие большинства
файловых вирусов на винчестере.
DIR Dosedit.com ; FIND "1706" >
chkcom
COPY chkcom chkcmd2 > NUL
DEL chkcom
IF EXIST chkcom2 GOTO okl
ECHO WARNING!!! Size of
Dosedit.com was changed. Viruses?
PAUSE
GOTO continl
:ok1
DEL chkcom2
: continl
DIR C:nortncmain.exe J FIND
"139274" > chkexe
COPY chkexe chkexe2 > NUL
DEL chkexe
IF EXIST chkexe2 GOTO ok
ECHO WARNING!!! Size of ncmain.exe
was changed. Viruses?
PAUSE
GOTO continue
:ok
DEL chkexe2
continue
В данном примере сравниваются
предполагаемые и действительные
размеры часто используемых фай-
лов. Предложенный способ является
альтернативой для программы-реви-
зора. Не жалейте потерять несколько
секунд на загрузке компьютера. Если
при загрузке у вас появилось сооб-
щение:
"WARNING!!! Size of <имя фай-
ла > was changed. Viruses?". Пере-
загрузите систему с резервной копии
DOS и примите меры по уничтоже-
нию вирусов. Совсем не обяза-
тельно проверять длину файлов
Dosedit.com и ncmain.exe. Вы можете
вместо них указать и другие часто ис-
пользуемые файлы, при этом не за-
будьте поменять и ожидаемую их
длину.
Если у вас возникло подозрение о
наличии вируса на ПЭВМ, не спешите
запускать первую попавшуюся про-
грамму-фаг ("пожиратель" вирусов).
Дело в том, что не исключено при-
сутствие вируса-"мутанта", и про-
грамма-фаг может повредить зави-
русованные файлы. Вообще, к фагам
относитесь с некоторой осторожно-
стью. В любом случае необходимо
первоначально постараться иденти-
фицировать вирус и только после
этого вы можете запустить на выпол-
нение проверенный фаг в режиме
удаления вирусов. Мне встречалась
программа-фаг ANTI.COM, имеющая
длину 658 байт и являющаяся будто
бы антивирусом для Vienna. Советую
удалить с ваших дискет упомянутый
"антивирус", так как он может разру-
шить зараженные файлы вместо их
вылечивания. Здесь необходимо до-
бавить, что испорченные файлы про-
граммой ANTI восстанавливает поли-
фаг О.Котика ANTI-KOT.
Для поиска и удаления вирусов на
дисках целесообразно изготовить сис-
темную дискету, используя команду
FORMAT <d:> /s
Скопируйте в корневой каталог
этой дискеты антивирусные програм-
мы, максимально перекрывающие
список вирусов, например, Scan, Av и
Vr. Кроме того целесообразно на
этом диске иметь файл SYS.EXE. Для
атоматизации процесса диагностиро-
вания и удаления вирусов можно со-
здать пакетный файл test.bat:
ECHO OFF
CLS
IF %K . = = . GOTO exit
IF %2 = = r GOTO remove
Scan %1
Av /a %1
Vr /е/t/s/i/w/q %1
GOTO exit
:remove
Av /a /q %1
Vr /с/e/t/s/i/w/q %1
Scan %1 /d
:exit
ECHO ON
, формат запуска которого:
TEST <d:> [r]
Параметр d: — устройство, под-
лежащее тестированию на вирус. Не-
обязательный параметр г указывает
на удаление вирусов или пораженных
файлов.
Приведенный пакетный файл яв-
ляется примером и может получить
дальнейшее развитие. В него также
могут быть включены и другие анти-
вирусные программы.
Для диагностики и удаления виру-
сов можно воспользоваться антиви-
рус-интегратором, который представ-
ляет собой программный комплекс,
состоящий из следующих файлов:
AVTR.EXE
AVTR.DAT
AVTR.HLP
RUNTREE.EXE
Это интегрирующая среда для вы-
полнения антивирусных программ.
Краткую, но достаточную инструкцию
по использованию интегратора можно
найти в файле readme.avt.
Часто встречаются программы-де-
текторы и программы-фаги, просмат-
ривающие только текущий директо-
рий. Но если вы желаете, чтобы та-
кие программы сканировали весь
диск, рекомендуем использовать со-
вместно с ними программу
RUNTREE.EXE, входящую в состав ан-
тивирус-интегратора.
В большинстве случаев ВООТовые
вирусы можно удалить командой
SYS.
При выборе программ для составления комп-
лекса по диагностированию и "лечению" завиру-
сованной ЭВМ отдавайте предпочтение тем, кото-
рые могут работать раздельно в режиме детек-
тора и фага. В идеальном случае антивирусная
программа должна обеспечивать гибкий выбор
режимов и их различную комбинацию: диагно-
стирование, лечение, вывод отчета на принтер,
вывод отчета на экран. При "лечении" желателен
запрос на удаление вируса или файла. В режиме
диагностирования в отчете полезно иметь не
только наименование вируса, но и его размер в
байтах.
Несколько слов о классификации.
Н.Н.Безруковым в рукописи "Компьютерная
вирусология" 4.1 предлагается классификация,
которая в основе своей может быть принята.
Автор настоящей статьи предлагает на суд
разработчиков антивирусных программ класси-
фикацию имен вирусов, за основу которой при-
нята классификация Н Безрукова. Имя вируса
PrefRootSuffix, где
Pref — префикс имени;
Root — корень имени;
Suffix — суффикс имени.
Буквенный префикс характеризует среду оби-
тания и размножения вируса и состоит из одной
или нескольких букв. В зависимости от среды
обитания и размножения в префиксе имени ви-
руса в алфавитном порядке используются буквы.
С — .СОМ файлы;
Е — .ЕХЕ файлы;
О — оверлейные файлы;
R — вирус становится резидентным;
S — драйверы устройств.
Корень Roof характеризует длину приращения
в байтах зараженных файлов. Для вирусов типа С
и СЕ числовой корень принимается равным при-
ращению COMMAND СОМ при однократном за-
ражении. Для вирусов, которым характерно не-
стабильное приращение, числовой корень может
содержать два числа — минимальное и макси-
мальное приращение, указанные через (/).
Суффикс может характеризовать внешние
признаки проявления вируса и формируется ана-
логично префиксу. Для кодирования внешних
проявлений вируса можно использовать латин-
ские буквы:
А — вызывает аварию аппаратной части;
В — разрушает ВООТ-сектор;
D — разрушает файлы данных;
F — разрушает файловую структуру диска;
О — воздействует на работу ОС;
Р — разрушает исполняемые файлы;
S — звуковые эффекты;
V — видеоэффекты.
Суффикс является не обязательной составной
частью имени вируса, а его расширением.
