2. КОМПЬЮТЕРНЫЕ ВИРУСЫ

Одним из факторов, резко повысивших уязвимость хранящейся в компьютере информации, является появление нового класса программ - компьютерных вирусов.

Компьютерным вирусом называется программа, которая может

- 22 -

"заражать" другие программы путём включения в последние своей, возможно, модифицированной копии, способной, в свою очередь, к дальнейшему размножению [3]. Следовательно, заражая программы, вирусы способны распространяться от одной программы к другой. Зараженные программы (или их копии) могут передаваться через дискеты или по сети на другие ЭВМ.

Наибольшая опасность, возникающая при заражении программного обеспечения компьютерными вирусами, состоит в возможности искажения или уничтожения хранящихся в компьютере программ и баз данных. Последнее может привести не только к финансовым и временным потерям, но и вызвать человеческие жертвы.

Появились периодические издания, в значительной мере или полностью ориентированные на освещение проблемы компьютерных вирусов. Количество разработчиков, предлагающих различного рода антивирусные продукты, исчисляется десятками. Все это ставит вопрос о формировании новой инженерной дисциплины - компьютерной вирусологии, рассматриваемой как совокупность методов и приёмов изучения компьютерных вирусов и разработки эффективных средств защиты от них.

Историческое введение

Первым Вирусом-87 был так называемый Пакистанский вирус, разработанный братьями Амджатом и Базитом Алви в 1986 г. Он был обнаружен летом 1987 г. Этот вирус был создан Амджатом - 26-летним выпускником отделения физики Пенджабского университета, который, по его заявлению, пытался наказать американских туристов, покупавших дешевые незаконные копии программ в Пакистане. Амджат утверждает, что по пакистанским законам свободное копирование не является преступлением, хотя он не одобряет такое положение вещей, вынужден с ним мириться и не может наказывать других. Поэтому он не продавал зараженные вирусом незаконные копии пакистанским покупателям. Другое дело американцы, у которых существуют законы, запрещающие пиратство. Их, по его мнению, стоило проучить. К середине 1987 г. братья решили, что достаточно проучили пиратов, и прекратили распространение вируса. Однако вирус уже сумел распространиться по США, а оттуда попал в другие стра-

- 23 -

ны, в том числе и в СССР. Кроме того, начали появляться штаммы с измененными текстовыми сообщениями и свойствами.

Вторым Вирусом-87 стал Лехайский вирус, появившийся в ноябре 1987 г. в одноименном университете США. Этот вирус был первым вирусом-вандалом, написанным для IBM РС. В течение нескольких дней этот вирус уничтожил содержимое нескольких сотен дискет из библиотеки вычислительного центра университета и личных дискет студентов.

Перед самым Новым годом, 30 декабря 1987 г., был обнаружен вирус в Иерусалимском университете (Израиль). Хотя существенного вреда он не принес, вирус быстро распространился по всему миру и, по-видимому, является первым вирусом, распространение которого приобрело характер пандемии.

В 1988 г. проблема защиты программного обеспечения персональных компьютеров от заражения компьютерными вирусами в странах США и Западной Европы приобрела характер приоритетной. Это, прежде всего, связано с тем, что в условиях значительной зависимости различных учреждений от компьютерных систем на базе IBM PC и Macintosh II проникновение вирусов представляет потенциальную опасность и может привести к серьезным последствиям. Например, летом 1988 г. компьютерный вирус инфицировал три компьютера в Мичиганском госпитале, которые обрабатывали информацию о пациентах. Он был обнаружен в процессе анализа причин неправильного функционирования системы, заключавшегося в том, что на дисплей неверно вызывались расширенные диагностические сведения. По данным администрации госпиталя, вирус перемешал фамилии пациентов в базе данных ПЭВМ Macintosh II. Как показало расследование, вирус был занесен при ремонте винчестера одного из компьютеров. К счастью, никому из пациентов не был поставлен неправильный диагноз или назначено неправильное лечение в результате перемешивания фамилий пациентов в базе данных. Однако, по мнению специалистов, это был вопрос времени и вполне возможно мог стоить кому-то жизни. Данный случай является вторым случаем вторжения в медицинские компьютеры (первый был связан с проникновением хакеров (иди хакеров), которые просматривали базу данных, но не нанесли никакого ущерба) и первым случаем, когда настоящие данные

- 24 -

пациентов и диагностирования манипулировались вирусом.

Из компьютерных Вирусов-88 отметим вирус падающих букв и "итальянский попрыгунчик", распространение которых также приняло характер эпидемии. Особое внимание общественности привлек так называемый вирус Морриса. 2 ноября 19S8 г. Роберт Моррис-младший, аспирант факультета информатики Корнеллского университета, инфицировал с помощью написанного им вируса большое количество компьютеров (по ориентировочным оценкам, порядка 6000), подключенных к американской национальной сети Internet. Хотя никакой потери или изменения данных не произошло, многие тысячи часов рабочего времени были потеряны пользователями Internet.

Министерство юстиции США довольно долго изучало вопрос о возможности привлечения Морриса к суду на основе действующего законодательства, и только 18 января 1990 г. в городе Сиракьюс (шт. Нью-Йорк) начался судебный процесс по делу Морриса. Нанесенный ущерб был оценен в 150 тысяч долларов. Процесс над Моррисом стал возможен в результате принятия в 1986 г. федерального закона об ответственности за преступления, связанные с компьютерами. Моррису грозил штраф в 250 тысяч долларов и тюремное заключение сроком до 5 лет. Адвокат Морриса утверждал, что якобы тот создал, вирус для проведения эксперимента по проверке защиты компьютера. Но он допустил ошибку, которая и привела к нежелательным результатам. Моррис, по словам адвоката, не стремился нанести какой-либо ущерб компьютерным системам США. 4 мая 1990 года суд присяжных признал Морриса виновным. Он был приговорен к условному заключению сроком на три года, 400 часам общественных работ (американский аналог отечественным 15 суткам) и штрафу размером 10 тысяч долларов. Осуждение Р. Морриса - младшего показывает, что американское общество уже осознает опасность и предпринимает меры по борьбе с ней.

Так или иначе, компьютерные вирусы стали частью окружающей программистов, да и не только программистов, действительности. И они, конечно, не миновали нашей страны, хотя массовые закупки персональных компьютеров типа IBM PC у нас в стране начались только в середине 1983 года. К этому же моменту начался выпуск советских, правда, довольно неудачных компьютеров - ЕС 1840,

- 25 -

"Искра 1030" и "Нейрон", а также торговля "за рубли" по баснословным ценам компьютерами, изготовленными в странах Юго-Восточной Азии.

Первый компьютерный вирус (С-648. VEN) появился в России приблизительно в августе 1988 г. Этот вирус, часто называемый венским вирусом (по предполагаемому месту его разработки), вызывал перезагрузку операционной системы при запуске некоторых из пораженных им программ. Одно из первых мест, где он был обнаружен, - лаборатория Института программных систем (Переславль-Залесский). Возможно, он попал в лабораторию во время проведения институтом (совместно с ЮНЕСКО) Международного детского компьютерного лагеря. Поскольку этот вирус к середине 1988 г. был уже довольно распространен в странах Западной Европы, он, несомненно, завозился в Россию неоднократно с различного рода новыми версиями программного обеспечения и компьютерными играми. Наибольшее распространение он получил примерно в апреле 1989 г., после чего его эпидемия пошла на убыль, что объясняется наличием разнообразных средств зашиты, часть из которых попала в Россию еще до появления данного вируса.

Вторым вирусом, попавшим в Россию, был вирус RC-1701.CAS. Данный вирус вызывал довольно интересный эффект "опадания" букв на экране монитора. Этот вирус также имеет западноевропейское происхождение ...В России впервые был выделен АН России. Средства защиты появились примерно одновременно с вирусом, поэтому существенного вреда вирус не нанес.

По некоторым оценкам, в настоящее время существует несколько сотен компьютерных вирусов и число их непрерывно увеличивается.

Проблема борьбы с вирусами

Основная проблема для пользователей ПЭВМ, возникающая в связи с появлением компьютерных вирусов, состоит в том, как защитить свои программы и данные, не прибегая к самоизоляции.

Вирусы создаются конкретными программистами. Их распространение является неконтролируемым процессом и поэтому необходимо

- 26 -

трезво оценивать опасность.

Следует различать два основных действия (фазы), выполняемые компьютерным вирусом: размножение и проявление.

Фаза размножения обычно является первой и обязательной фазой, на которой вирус заражает все новые и новые программы. При этом никаких других действий вирус обычно не выполняет.

Фаза проявления не обязательно связана с визуальными или звуковыми эффектами. Последние, в основном, характерны для так называемых вирусов-иллюзионистов, которые обычно внезапно демонстрируют свое присутствие с помощью изощрённого визуального или звукового эффекта. Фаза проявления может также включать или исключительно заключаться в нанесении вирусом повреждений отдельным файлам или файловой системе компьютера. Повреждения могут быть массированными, когда, например, стираются системные блоки или выполняются небольшие, трудно обнаруживаемые повреждения.

Наряду с указанными действиями, вирус может обладать определённой латентной (скрытой) фазой, в течение которой никаких действий по своему размножению или проявлению не предпринимается. Латентная фаза может быть обусловлена определённым временным периодом (например, определённым месяцем или годом), конфигурацией (например, вирус может активизироваться только при попадании на винчестер) иди аппаратными особенностями (например, только на IBM PC).

Инфицируя программы, вирусы могут распространяться от одной программы к другой (транзитивно), что делает их более опасными по сравнению с другими методами компьютерного вандализма. Зараженная программа или ее копии могут передаваться через дискеты или по сети на другие ЭВМ. Учитывая широко распространенную практику обмена и передачи программ на дискетах среди пользователей персональных ЭВМ, количество зараженных программ может быть значительным, приводя к своего рода "эпидемиям". Этому также способствует распространенная в нашей стране практика использования одной ПЭВМ несколькими пользователями. Опасность существенно возрастает при наличии винчестера, программы на которой используются всеми пользователями.

- 27 -

Особую опасность с точки зрения распространения компьютерных вирусов представляют любители компьютерных игр, обычно слабо знающие операционную систему и не вполне понимающие смысла выполняемых ими действий. Такие пользователи подвергают значительному риску своих коллег, работающих с ними на одной ЭВМ.

Компьютерные вирусы "бессмертны" и могут неограниченное время "храниться в различного рода архивах. Даже "полностью уничтоженные" вируса могут сохраниться в каком-нибудь архивном файле и случайно или умышленно "реанимироваться" через много месяцев или даже лет после их первоначального, обнаружения и уничтожения. Из этого следует важный вывод, что после первого обнаружения и уничтожения вируса следует ожидать повторных заражений.

Тот факт, что после первого заражения обычно следуют повторные, требует принятия специальных мер по предотвращению повторных заражений. Здесь можно двигаться в двух направлениях: во-первых, постараться найти первоисточник заражения, я во-вторых, разработать или установить готовые средства, затрудняющие или делающие невозможным размножением вируса.

Вызываемые вирусами последствия могут быть классифицированы по следующим основным категориям:

- отказ в выполнении той или иной функции (например, блокирование Вирусом загрузки программы с защищенной от записи дискеты);

- выполнение функции, не предусмотренной программой (например, форматирование диска, удаление файла и т.д.);

- выдача ложных, раздражающих или отвлекающих сообщений (например, "падение букв", замедление выполнения программ;

- изменение или уничтожение файлов;

- повреждение оборудования.

Наносимый вирусами ущерб может иметь катастрофический характер (например, уничтожение винчестера или выжигание пятна на экране монитора). Но наиболее опасны как раз не катастрофические повреждения винчестера или дискет, а мелкие, незаметные изменения файлов данных. Известны вирусы, которые ищут внутри файлов числовые поля и меняют цифры местами.

Среди важнейших мер по защите от вирусов можно отметить

- 28 -

следующие:

- резервирование (копирование, ежедневное ведение архивов измененных файлов). Это самый важный, основной метод зашиты от вирусов. Остальные методы не могут заменить ежедневное архивирование, хотя и повышают общий уровень защиты;

- профилактику (систематическая выгрузка содержимого активной части винчестера на дискеты иди магнитную ленту, раздельное хранение вновь полученных программ и эксплуатирующихся, хранение неиспользуемых программ в архивах, использование специальной "инкубационной" зоны для записи новых программ с дискет);

- ревизию (анализ вновь полученных программ специальными средствами и их запуск в контролируемой среде и др.);

- фильтрацию (разбиение диска на зоны с установленным атрибутом READ ONLY - "Только для чтения", использование специальных программ для обнаружения попыток выполнить несанкционированные действия);

- вакцинирование (запуск специальных программ-вакцин, обманывающих вирус путём имитации сочетания условий, которые используются данным типом вируса для определения зараженности программы, диска, ЭВМ);

- терапию (дезактивацию конкретного вируса в зараженных программах с помощью специальной программы-антибиотика или восстановление первоначального состояния программ путем "пожирания" всех экземпляров вируса на диске с помощью программы-фага).

Есть программы-фаги, обеспечивающие возможность восстановления исходного состояния программы, зараженной вирусом. В процессе своей работы фаги "выкусывают" тело вируса и восстанавливают изменённые вирусом команды.

Защита от компьютерных вирусов должна стать частью комплекса мер по защите информации, как в отдельных компьютерах, так и в автоматизированных информационных системах в целом.