|
Закладки
Добавить страницу в закладки:
|
|
Windows -
Борьба с вирусами
|
Поговорим о новейшей истории: Brain, Vienna, Cascade и далее. Те, кто начал работать на IBM PC в середине 80-х, еще не забыли повальную эпидемию этих вирусных заболеваний в 1987—1989 гг.
Буквы сыпались на экранах, а толпы пользователей неслись к специалистам по ремонту дисплеев (сейчас все наоборот: винчестер скончался от старости, а валят на неизвестный передовой науке вирус). Затем компьютер заиграл чужеземный гимн "Yankee Doodle", но чинить динамики уже никто не бросился, очень быстро разобрались, что это — вирус, да не один, а целый десяток.
Так вирусы начали заражать файлы. Вирус Brain и скачущий по экрану шарик вируса Ping-pong ознаменовали победу вируса и над Boot-сектором. Все это очень не нравилось пользователям IBM PC, и появились противоядия. Первым попавшимся мне антивирусом был отечественный ANTI-KOT: это легендарный Олег Котик выпустил в свет первые версии своей программы, которая уничтожала целых 4 (четыре) вируса (американский SCAN появился у нас в стране несколько позднее). Кстати, всем, кто до сих пор сохранил копию этого антивируса, предлагаю немедленно ее стереть (да простит меня Олег Котик!) как программу вредную и ничего, кроме траты лишних нервов и ненужных телефонных звонков, не приносящую. К сожалению, ANTI-KOT определяет вирус Time ("Иерусалимский") по комбинации MS-DOS в конце файла, а некоторые другие антивирусы эти самые буквы аккуратно прицепляют ко всем файлам с расширением СОМ или ЕХЕ.
Следует обратить внимание на то, что истории завоевания вирусами России и Запада различаются между собой. Первым вирусом, стремительно распространившимся на Западе, был загрузочный вирус Brain, и только потом появились файловые вирусы Vienna и Cascade. В России же, наоборот, сначала появились файловые вирусы, а годом позже — загрузочные. Время шло, вирусы плодились. Все они были чем-то похожи друг на друга, лезли в память, цеплялись к файлам и секторам, периодически убивали файлы, дискеты и винчестеры. Одним из "откровений" стал вирус Frodo.4096 — первый из известных мне файловых вирусов-невидимок (стеле). Этот вирус перехватывал INT 21h и при обращении через DOS к зараженным файлам изменял информацию таким образом, что файл появлялся перед пользователем в незараженном виде. Но это была только надстройка вируса над MS-DOS. He прошло и года, как электронные тараканы полезли внутрь ядра DOS (вирус-невидимка Beast.512). Идея невидимости продолжала приносить свои плоды и далее: летом 1991 г. пронесся, кося компьютеры как бубонная чума, вирус Dir_II. "Да-а-а!" — сказали все, кто в нем копался.
Но бороться с невидимками было довольно просто: почистил RAM — и будь спокоен, ищи гада и лечи его на здоровье. Больше хлопот доставляли самошифрующиеся вирусы, которые иногда встречались в очередных поступлениях в коллекции. Ведь для их идентификации и удаления приходилось писать специальные подпрограммы, отлаживать их. Но на это никто тогда не обращал внимания, пока... пока не появились вирусы нового поколения, те, которые носят название полиморфик-вирусов. Эти вирусы используют другой подход к невидимости: они шифруются (в большинстве случаев), а в расшифровщике используют команды, которые могут не повторяться при заражении различных файлов.
Полиморфизм — мутация вирусов
Первый полиморфик-вирус появился в начале 90-х годов. Это был Chameleon. Но по-настоящему серьезной проблема полиморфик-вирусов стала лишь год спустя — в апреле 1991-го, когда практически весь мир был охвачен эпидемией полиморфик-вируса Tequila (насколько мне известно, эта эпидемия практически не затронула Россию, а первая российская эпидемия, вызванная полиморфик-вирусом, нагрянула три года спустя — в 1994 г., это был вирус Phantom 1).
Популярность идеи самошифрующихся полиморфик-вирусов вылилась в появление генераторов полиморфик-кода. В начале 1992 г. появляется знаменитый вирус Dedicated, базирующийся на первом известном полиморфик-ге-нераторе MtE и открывший серию MtE-вирусов, а через довольно короткое время появляется и сам полиморфик-генератор. Представляет он из себя объектный модуль (OBJ-файл), и теперь для того, чтобы из самого обычного нешифрованного вируса получить полиморфик-мутанта, достаточно лишь скомпоновать их объектные модули — OBJ-файл полиморфик-генератора с OBJ-файлом вируса. Автору вируса, если он пожелает создать настоящий полиморфик-вирус, уже не надо корпеть над кодами собственного зашифровщи-ка/расшифровщика. При желании он может подключить к своему вирусу полиморфик-генератор и вызывать его из кодов вируса.
К счастью, первый MtE-вирус не попал в "живую природу" и не вызвал эпидемии, а разработчики антивирусных программ соответственно имели некоторый запас времени для подготовки к отражению новой напасти.
Всего год спустя изготовление полиморфик-вирусов становится уже ремеслом, и в 1993 г. произошел их "обвал". В поступающих в коллекцию вирусах удельный вес самошифрующихся полиморфик-вирусов становится все больше и больше. Создается впечатление, что одним из основных направлений в трудном деле создания вирусов становится разработка и отладка поли-морфик-механизма, а конкуренция среди авторов вирусов сводится не к тому, кто из них напишет самый крутой вирус, а чей полиморфик-механизм окажется круче всех.
Вот далеко не полный список тех из них, которые можно назвать стопроцентно полиморфными (на конец 1993 г.): Bootache, CivilWar (четыре версии), Crusher, Dudley, Fly, Freddy, Ginger, Grog, Haifa, Moctezuma (две версии), MVF, Necros, Nukehard, PcFly (три версии), Predator, Satanbug, Sandra, Shoker, Todor, Tremor, Trigger, Uruguay (восемь версий).
Для обнаружения этих вирусов приходится использовать специальные методы, к которым можно отнести эмуляцию выполнения кода вируса, математические алгоритмы восстановления участков кода и данных в вирусе и т. д. К нестопроцентным полиморфикам (т. е. вирусам, которые шифруют себя, но в дешифраторе вируса всегда существуют постоянные байты) можно отнести еще десяток новых вирусов: Basilisk, Daemaen, Invisible (две версии), Mirea (несколько версий), Rasek (три версии), Sarov, Scoundrel, Seat, Silly, Simulation.
Однако и они требуют расшифровки кода для их обнаружения и восстановления пораженных объектов, поскольку длина постоянного кода в дешифраторе этих вирусов слишком мала.
Параллельно с полиморфик-вирусами развиваются полиморфик-генера-торы, появляется несколько новых, использующих более сложные методы генерации полиморфик-кода, они распространяются по станциям BBS в виде архивов, содержащих объектные модули, документацию и примеры использования. В конце 1993 г. было известно уже семь генераторов полиморфик-кода. Это: МТЕ 0.90 (Mutation Engine), четыре различные версии ТРЕ (Trident Polymorphic Engine), NED (Nuke Encryption Device), DAME (Dark Angel's Multiple Encryptor).
С тех пор новые полиморфные генераторы появлялись по нескольку штук в год, и приводить их полный список вряд ли имеет смысл.
Автоматизация производства и конструкторы вирусов
Лень — одна из движущих сил прогресса. Эта народная мудрость не нуждается в комментариях. Но только в середине 1992 г. прогресс в виде автоматизации производства дошел и до вирусов. 5 июля 1992 г. объявлен выпуск в свет первого конструктора вирусного кода для IBM PC-совместимых компьютеров — пакет VCL (Virus Creation Laboratory) версии 1.00.
Этот конструктор позволяет генерировать исходные и хорошо откоммен-тированные тексты вирусов (файлы, содержащие ассемблерный текст), объектные модули и непосредственно зараженные файлы. VCL снабжен стандартным оконным интерфейсом. При помощи системы меню можно выбрать тип вируса, поражаемые объекты (СОМ и/или ЕХЕ), наличие или отсутствие самошифрования, противодействие отладчику, внутренние текстовые строки, подключить до десяти эффектов, сопровождающих работу вируса, и т. п. Вирусы могут использовать стандартный способ поражения файлов записывать себя в их конец, или вместо файлов, уничтожая их первоначальное содержимое, или являться вирусами-спутниками (международный термин — компаньон-вирусы [companion]).
И все сразу стало значительно проще: захотел напакостить ближнему — садись за VCL и, за 10—15 мин настрогав 30—40 разных вирусов, запусти их на неприятельском(их) компьютере(ах). Каждому компьютеру — свой вирус!
Дальше — больше. 27 июля появилась первая версия конструктора PS-MPC (Phalcon/Skism Mass-Produced Code Generator). Этот конструктор не содержит оконного интерфейса и генерирует исходные тексты вирусов по файлу конфигурации. Этот файл содержит описание вируса: тип поражаемых файлов (СОМ или ЕХЕ); резидентность (PS-MPC создает также и резидентные вирусы, чего не позволяет конструктор VCL); способ инсталляции резидентной копии вируса; возможность использования самошифрования; возможность поражения COMMAND.COM и массу другой "полезной" информации.
На основе PS-MPC был создан конструктор G2 (Phalcon/Skism's G2 0.70 beta), который поддерживает файлы конфигурации стандарта PS-MPC, однако при генерации вируса использует большее количество вариантов кодирования одних и тех же функций. Имеющаяся у меня версия G2 помечена 1 января 1993 г. Видимо, новогоднюю ночь ее авторы провели за компьютерами. Лучше бы они вместо этого выпили шампанского, хотя одно другому не мешает.
Итак, каким же образом повлияли конструкторы вирусов на электронную фауну? В коллекции вирусов, которая хранится на моем "складе", число "сконструированных" вирусов следующее:
на базе VCL и G2 — по нескольку сотен; на базе PS-MPC — более тысячи.
Так проявилась еще одна тенденция в развитии компьютерных вирусов: все большую часть в коллекциях начинают занимать "сконструированные" вирусы, а в ряды их авторов вливаются откровенно ленивые люди, которые сводят творческую и уважаемую профессию вирусописателя к весьма заурядному ремеслу.
Эпидемия макровируса
Год 1995-й, август. Все прогрессивное человечество, компания Microsoft и лично Билл Гейтс празднуют выход новой операционной системы Windows 95. На фоне шумного торжества практически незамеченным прошло сообщение о появлении вируса, использующего принципиально новые методы заражения, вируса, заражающего документы Microsoft Word.
Честно говоря, это был не первый вирус, заражающий документы Word. До этого момента антивирусные фирмы уже имели на руках первый опытный образец вируса, который переписывал себя из документа в документ. Однако никто не обратил серьезного внимания на этот не вполне удачный эксперимент. В результате практически все антивирусные фирмы оказались не готовыми к последующему развитию событий — эпидемии макровируса и начали спешно предпринимать полумеры. Например, несколько фирм практически одновременно выпустили в свет документы-антивирусы, действовавшие примерно по тем же принципам, что и вирус, однако уничтожавшие его вместо размножения.
Кстати, спешно пришлось править антивирусную литературу — ведь она раньше на вопрос: "Можно ли заразить компьютер при чтении файла?" отвечала: "Однозначно — нет!" — и приводила длинные доказательства этого.
А вирус, получивший к тому времени имя Concept, продолжал победное движение по планете. Появившись скорее всего в каком-то из подразделений фирмы Microsoft, Concept в мгновение ока завладел тысячами (если не миллионами) компьютеров. Это неудивительно, ведь передача текстов в формате MS Word стала де-факто одним из стандартов, а для того чтобы заразиться вирусом, требуется всего лишь открыть зараженный документ, и все остальные документы, редактируемые в зараженном Word'e, также оказываются зараженными. В результате, получив по Internet зараженный файл и прочитав его, пользователь, не зная того сам, оказывался "разносчиком заразы", и вся его переписка (если, конечно, она велась при помощи MS Word) также оказывалась зараженной! Таким образом, скорость заражения MS Word, помноженная на возможности Internet, стала одной из самых серьезных проблем за всю историю существования вирусов.
Не прошло и года, как летом 1996-го был обнаружен вирус Laroux ("Лару"), заражающий таблицы MS Excel. Как и в случае с вирусом Concept, новый макровирус был обнаружен "в природе" практически одновременно в разных фирмах. Кстати, в 1997 г. этот вирус стал причиной эпидемии в Москве.
В том же 1996 году появились первые конструкторы макровирусов, а в начале 1997 года — и первые полиморфик-макрови-русы для MS Word, и первые вирусы для MS Office 97. Плюс к тому непрерывно росло число разнообразных макровирусов, достигшее нескольких сотен к лету 1997 г.
|
|
|
