:::::: Чоу ДПО «Центр підприємницьких ризиків» :::::

Про реплікації комп'ютерних вірусів

С. Ф. Биков

[email protected]

«Комп'ютерні віруси - це перша цілком вдала спроба створити штучне життя ... Не можна сказати, що корисна, сучасні комп'ютерні« мікроорганізми »... приносять тільки проблеми і неприємності. Але все-таки - життя, оскільки комп'ютерним вірусам властиві всі атрибути живого: здатність до розмноження, руху, пристосованість до середовища і т. Д. ... Більше того, існують «двостатеві» віруси, а прикладом «многоклеточности» можуть служити, наприклад , макровіруси, що складаються з декількох незалежних макросів ».

До середини 20 століття термін «вірус» (в перекладі з латині - отрута, отруйне початок) використовувався лише в медицині, позначаючи інфекційний агент, що викликає захворювання. З появою, розвитком і ускладненням комп'ютерної техніки, систем зберігання, обробки і передачі інформації, а також відповідного програмного забезпечення виник новий клас програм, відомий тепер як комп'ютерні віруси. Зрозуміло, термінологія (середовище проживання, реплікація 1 і ін.) і багато підходи (наприклад, профілактика) в аналізованої предметної області запозичені з медицини.

Цікаво, що в кінці XIX століття німецький мікробіолог, один з основоположників сучасної епідеміології Роберт Кох (1843-1910) сформулював критерії (тріада Коха) ідентифікації збудника (вірусу) інфекційного захворювання, актуальні і в сучасній комп'ютерній вірусології.

Ось ці критерії [2]:

1. Неодноразове отримання чистої культури збудника, взятого з організму хворого.

2. Виникнення точно такого ж або подібного захворювання (як за характером течії, так і по викликуваним їм патологічним змін) при інфікуванні здорового організму культурою передбачуваного збудника.

3. Поява в організмі після зараження даним збудником завжди одних і тих же специфічних захисних речовин.

Складно судити щодо третього критерію (ймовірно, сучасне програмне забезпечення ще не піднялося на ту сходинку розвитку, при якому буде здатне реалізовувати модель відторгнення шкідливих впливів, тобто володіти деякою імунною системою, зачатки якої, втім, вже існують), але перший і другий критерії в світі сучасної комп'ютерної вірусології - абсолютні.

Біля витоків ... Наукова фантастика? Комп'ютерна вірусологія!

Ймовірно, однією з перших публікацій в області комп'ютерних вірусів була стаття «Self-reproducing machines» [4]. У ній автор, досліджуючи проблеми «самовідтворюються механічних структур», запропонував модель двовимірної системи, здатної до «активації, захоплення і звільнення».

Тут слід зауважити, що незважаючи на розтиражована думку Е. В. Касперського [1] про те, що «немає жодного пророцтва, присвяченого комп'ютерним вірусам ... тема вірусу в творах письменників з'явилася вже після того, як перший вірус вразив перший комп'ютер» , саме стаття Пенроуза стала каталізатором створення Шталем (FG Stahl) біокібернетіческая моделі на машинній мові IBM 650 [5], що стала передвісником сучасних комп'ютерних вірусів.

Хоча письменники-фантасти, звичайно ж, «запізнилися» ... Так, відомий роман Бруннера «The Shockware Rider» [6], що описує ідею створення шкідливої ​​програми-«хробака», що розповсюджується по комп'ютерній мережі, з'явився лише в 1975 році. У той час як Боб Томас (B. Thomas) створив реального «хробака» - The Creeper для однієї з перших комп'ютерних мереж - ARPAnet вже в 1970 році.

Однак взаємний вплив наукової фантастики і комп'ютерної вірусології простежується з достатньою очевидністю. Так, згаданий роман Джона Бруннера, безсумнівно, справив значний вплив на реалізацію ідеї мережевого вірусу. Цікаво, що в інтерв'ю одній з американських газет мати аспіранта факультету інформатики Корнельського університету Роберта Морріса, автора гучного вірусу Морріса, який влучив у в 1988 році, за деякими даними, до 6000 комп'ютерів [7], згадала про те, що найбільш зачитаній книгою в кімнаті сина був роман «The Shockware Rider».

Не менш значущими і багато в чому зумовили подальший розвиток подій були науково-фантастичні романи «The Adolescence of P-1» (1974) Райана (TJ Ryan) і «Neuromancer» Гібсона. До речі, в останньому з них вперше введено поняття «кіберпростір» (cyberspace) як моделюється комп'ютерної інформаційно-комунікаційної мережі, керованої за допомогою «узгоджених галюцинацій» [8].

Дивно, але сьогоднішні, цілком відчутні польоти «військової наукової думки» в області інформаційних воєн, інформаційної зброї і критичних інфраструктур багато в чому були описані ще в 1985 році в майже забутому сьогодні детективі французів Террі Брентона і Дениса Бениша «Software: la guerre douce» [ 9]. У ньому ж, мабуть, вперше висловлена ​​ідея «логічних бомб» - програмних закладок, що спрацьовують при певному збігу обставин або по команді ззовні (щось подібне застосували американці під час операції «Буря в пустелі», коли програмне забезпечення протиракетної оборони противника було виведено з ладу ще до початку військових дій).

Адаптація до місцевих умов довкілля

Отже, комп'ютерні віруси існують. Перші з них, що з'явилися в результаті наукових експериментів зі створення «штучного життя» на початку шістдесятих років минулого століття, були ще слабо підготовлені до виживання в реальному комп'ютерному середовищі проживання. Та й самого середовища, по суті, ще не існувало. Це був період «проби пера». Комп'ютер був рідкістю, вірус - екзотикою.

Ситуація почала змінюватися до кінця 70-х років. До цього часу вже був деякий досвід у створенні збудників комп'ютерних захворювань, вийшли в світ перші статті та науково-фантастичні романи, які вразили уяву майбутніх вірусів і з'явилися, таким чином, каталізаторами процесу. Але головне, навесні 1977 роки з'явився перший персональний комп'ютер Apple II. Одночасно відбувалося бурхливий розвиток мереж передачі інформації на базі телефонних каналів, з'явилися перші «бази даних» - BBS (від англ. Bulletin Board System). Одним словом, були реалізовані всі об'єктивні передумови для створення середовища проживання комп'ютерних вірусів. «Штучна життя» стала реальністю.

Одним з перших комп'ютерних шкідників, які отримали на машинах Apple II широке поширення, став бутовий 2 вірус Elk Cloner, що повідомляв про свою присутність в системі у віршованій формі:

ELK CLONER:

THE PROGRAMM WITH

A PERSONALITY

IT WILL GET ON ALL YOUR DISKS

IT WILL INFILTRATE YOUR CHIPS

YES, IT'S CLONER

IT WILL STICK TO YOU LIKE GLUE

IT WILL MODIFY RAM, TOO

SEND IN THE CLONER!

Не можна не згадати про що мала великий вплив на розвиток комп'ютерної вірусології статті Фреда Коена «Computer viruses: theory and experiments» [10], що представляє собою академічне дослідження проблем в області вірусних технологій і, зокрема, опис однієї з різновидів файлового 3 вірусу.

Наступним етапом у розвитку вірусів стали події 1985 - 86 років: поява наймасовіших, IBM-сумісних персональних комп'ютерів; швидке зростання їх продуктивності з одночасним зниженням вартості (і, як наслідок, значним поширенням). Навколишнє середовище вірусів змінювалася, змінювалися і самі віруси - вони пристосовувалися!

Ці роки були відзначені пандемією 4 одного з перших IBM PC - вірусів Brain (відомого також як «пакистанський вірус»), що заражає завантажувальні сектори дискет при зверненні до них. Написаний в 1986 році випускниками пенджабський університету (Пакистан) братами Амджатом і базитах Алві, обуреними несанкціонованим використанням програмного забезпечення і висловили таким чином свій протест, Brain (що був до того ж першим відомим стелс-вірусом 5 ), За оцінкою McAfee [11], тільки в США заразив більше 18 тисяч комп'ютерів.

І це був тільки початок ... Кінець 80-х років був відзначений хвилеподібними вірусними епідеміями. На зміну вірусу Brain прийшли Vienna і Lehigh, Datacrime і Vacsina. Лютували мережеві віруси, такі як Christmas Tree і HI.COM.

Але відбувалося не просто збільшення кількості комп'ютерних вірусів, вони удосконалювалися, обходячи захисні механізми з'явилися на той час антивірусних програм, пристосовуючись до змінного середовища проживання (див. Малюнок) [1, 18]. Так, мережевий черв'як «Internet Worm» (більш відомий як «вірус Морріса») не тільки використовував при реплікації помилки ОС UNIX (для VAX і SUN Microsystems), але і здійснював підбір призначених для користувача паролів [7, 12].

Дев'яності роки ознаменувалися появою поліморфних вірусів 6 (Першим з яких був, ймовірно, Chameleon), що послужило поштовхом (Немає лиха без добра!) До розвитку нового покоління антивірусного програмного забезпечення. Тепер уже для ідентифікації вірусів недостатньо стало здійснювати пошук їх сигнатур. Антивірусні програми змушені були перейти до використання спеціальних методів, «до яких можна віднести емуляцію виконання коду вірусу, математичні алгоритми відновлення ділянок коду і даних у вірусі і т. Д.» [1].

Але війна на цьому не закінчилася ... У черговий раз змінилися «умови проведення бойових операцій». Віруси продовжували мутувати шляхом пристосування до все більш агресивною по відношенню до них середовищі проживання, набуваючи нових властивостей, використовуючи нові способи реплікації.

1995 рік ознаменувався відразу двома видатними подіями, значення першого з яких не до кінця оцінений і понині. На початку року було виявлено двостатевий вірус RMNS (не важко уявити собі можливі реалізації закладеної в ньому ідеї, наприклад, запуск «програми запліднення» при настанні певних зовнішніх умов), а в серпні - перший вірус під Microsoft Word, макровіруси 7 Concept.

Подальші події в області комп'ютерної вірусології все більше нагадували зведення з полів битв. Чи не встигала схлинуть одна хвиля вірусних атак, а користувачі комп'ютерів «зализати рани» за допомогою свіжих антивірусних релізів, як з'являлися нові монстри з більш досконалими механізмами нападу і реплікації. Останнім часом вирусописатели використовують будь-які більш-менш зручні приводи для впровадження свого дітища, прикладом чого може служити вірус нідерландця Яна де Віта "Anna Kournikova» (вибуховий поширення якого пояснюється поєднанням вірусної технології з елементами психології і соціальної інженерії).

І навіть таку трагічну подію, як терористична атака на хмарочоси Міжнародного торгового центру в США 11 вересня 2001 року, знайшло своє відображення в світі комп'ютерної вірусології. З'явився вірус War Vote, який поширюється по електронній пошті у вигляді листа з темою «Peace between America and Islam!» І прикладеним файлом WTC.EXE. При запуску цього файлу вірус намагається відправити себе за адресами, знайденим в адресній книзі Outlook Express і стерти всі файли на жорсткому диску крім HTML-сторінок. Їх він замінює текстом, який перекладається як «Америка ... Кілька днів покажуть тобі, що ми можемо зробити !!! Прийшла наша черга. ZaCker тебе дуже шкода ».

Цікаво відзначити, що в даний час нічого не відомо про графічних віруси. Більш того, в академічному праці Джеймса Мюррея і Вільяма ван Райпера «Енциклопедія форматів графічних файлів» [13] прямо вказано, що «графічні файли не можуть бути заражені вірусом, так як не є здійсненними (не мають такого коду). Статичні графічні файли (що не містять коду) взагалі захищені від інфекції ». І далі - «підводячи риску сказаного, слід зазначити, що графічні файли - дуже невідповідні кандидати для зараження комп'ютерним вірусом», він «не може використовувати графічний файл ... для відтворення». Інші автори говорять приблизно те ж.

Однак, на думку автора цієї статті, видається цілком можливим існування технології реплікації вірусів, заснованої на зараженні графічних файлів, причому такий, при якій виявлення сигнатури вірусу стане принципово нездійсненним завданням (при дотриманні певних граничних умов). Основою такої технології може стати комп'ютерна стеганографія, що дозволяє приховувати в цифровому контенті графічного зображення (відео або навіть звуку) зашифроване тіло вірусу.

Але є і більш простий шлях, який може бути реалізований на основі використання стандартних механізмів, властивих типовим файлів графічних форматів.

Відомо, що ряд графічних файлів включають команди, які призначені для виконання конкретними прикладними програмами, за допомогою яких відображається текст (наприклад, виводиться меню), відтворюється звук або читаються дані з інших файлів. Як приклад можна привести графічний файл формату GIF 89a (від англ. Graphic Interchange Format) [14]. Ймовірно, поява вірусів, заснованих на використанні властивостей подібних файлів, - це тільки питання часу.

перспективи

Оскільки віруси не є самодостатніми, «живими» організмами (в тому сенсі, що для реплікації їм необхідні «зовн ня» програми), відносно незалежну еволюційну історію вони набувають завдяки адаптації до постійно змінюваних умов існування. Це зумовлює появу як чергових різновидів вже наявних шкідників, так і вірусів, що несуть в собі принципово нові ідеї.

Є досить великий досвід боротьби з ними: від розробки протиотрути (відповідних антивірусних програм), до проведення правової профілактики. Наприклад, розглянутий урядом Австралії новий закон про комп'ютерну безпеку CiberCrime Bill 2001 передбачає накладення на громадян заборони не тільки використовувати, а й здійснювати зберігання як хакерських програм (до яких віднесено, зокрема, програми, які використовуються системними адміністраторами для тестування надійності систем), так і редакторів для написання вірусів [15].

Очевидно, найближчим часом слід очікувати виникнення вірусів, що використовують для розмноження нетрадиційні (з сьогоднішньої точки зору) типи файлів. Триватиме зростання і загального числа вірусів, і неминучих втрат, викликаних їх «життєдіяльністю».

Так, за даними MessageLabs [16], на сьогоднішній день кожне трьохсот повідомлення електронної пошти заражено комп'ютерним вірусом (в жовтні 2000 року заражено було лише кожне семисот). За прогнозами компанії, при збереженні існуючої тенденції вже до 2008 року заражено буде кожне десяте повідомлення, а до 2013-го - кожне друге, що призведе до неможливості використання мережі Internet як безпечний засіб обміну електронною кореспонденцією.

На думку представника MessageLabs Марка Саннер: «Недавня епідемія вірусу Nimda підштовхнула деяких коментаторів до заяви, що вірусна загроза є дуже надуманою. Не вірте таким словами - це серйозна проблема, яка не зникне сама по собі. Зростання кількості поштових вірусів, а також поширення гібридних вірусів, що атакують на кількох напрямках одночасно, означає, що якщо Internet і не загине, то однозначно перестане бути засобом безпечної комунікації для бізнесу і домашніх користувачів »[16].

Перспективи, прямо скажемо, не райдужні ... Однак очевидні успіхи антивірусних компаній (і не в останню чергу «Лабораторії Касперського» [17]), із завидною оперативністю усувають «з поля бою» чергових «вірусних волонтерів», вселяють цілком виправданий оптимізм.

література:

1. Касперський Е. В. Комп'ютерні віруси: що це таке і як з ними боротися. М .: СК Пресс, 1998..

2. Реферат: Чи є віруси живими організмами. М .: Кирило і Мефодій, 2000..

3. Радянський енциклопедичний словник. М .: Радянська енциклопедія, 1979.

4. Penrose LS Self-reproducing machines // Scientific American, 1959. V. 200. № 6. Pp. 105-114.

5. Dewdney AK A Core War bestiary of viruses, worms and other threats to computer memories // Scientific American, 1985. V. 252. № 3. Pp. 14-19.

6. Brunner J. The Shockware Rider. NY: Harper & Row, 1975.

7. Highland HJ The Milnet / Arpanat Attack // C & S, 1989. V. 8. № 1. Pp. 3-13.

8. Gibson W. Neuromancer. NY: Ace Science Fiction, 1984.

9. Brenton T., Beneich D. Software: la guerre douce. Paris, 1985.

10. Cohen F. Computer viruses: theory and experiments // Proc. 2nd IFIP Int. Conference on Computer Security, 1984. Pp. 143-158.

11. McAfee J. The virus cure // Datamation, 1989. V. 35. № 4. Pp. 29-40.

12. Моїсеєв І. КомпьютерПресс, 1991. № 8, 9.

13. Мюррей Д., ван Райпер У. Енциклопедія форматів графічних файлів / Пер. з англ. К .: Видавнича група BHV, 1997..

14. Сайт компанії Compuserve: http://www.compuserve.com.

15. van Dijb S. Cybercrime bill «draconian and dangerous» // ComputerWorld (Australia). Iuly 2001.

16. Новинний розділ сайту «Велика вірусна енциклопедія»: http://www.viruslist.com.

17. Сайт компанії «Лабораторія Касперського»: http://www.kav.ru.

18. Володін А. Комп'ютерні інфекції // Банківські технології. 2001. № 1.

_______________________________

1 Реплікація (від лат. Replicatio) - те саме, що ауторепродукции, аутосинтез. В медицині цим терміном позначають [3] копіювання генетичної інформації, що містяться в молекулах ДНК, і передачу її від покоління до покоління.

2 Бутовий (від англ. Boot - завантаження) - завантажувальний вірус. Принцип дії бутових вірусів заснований на перехопленні переривання з читання і зараження boot-сектора дискет або MBR (від англ. Master Boot Record) жорстких дисків.

3 файлової прийнято називати віруси, які при реплікації використовують файлову систему тієї чи іншої операційної системи (ОС). Файлові віруси діляться на: overwriting-, parasitic-, companion-, link-віруси; файлові «черв'яки»; а також досить рідкісні віруси, «заражають бібліотеки компіляторів (LIB-віруси), об'єктні модулі (OBJ-віруси) і вихідні тексти програм» [1].

4 Пандемія (від грец. Pandemia - весь народ) - епідемія вірусного захворювання, що охоплює значну частину населення країни, групи країн, континенту [3].

5 Стелс-віруси (від англ. Stealth - крадькома,) - віруси, що починають певні дії для приховування слідів своєї присутності в системі.

6 Поліморфні віруси (від грец. Polys - багато, численний і morphe - форма) - тобто «мають багато форм». Це тип вірусів, які за певними законами видозмінюють свій код з тим, щоб антивірусні програми не могли виявити їх по сигнатурі (властивою коду вірусу бітової послідовності).

7 Макровіруси (від грец. Makros - великий, довгий і лат. Virus - отрута) - тип комп'ютерних вірусів, що представляють собою програми на макромови (наприклад, Visual Basic для Microsoft Exсel), вбудовані в системи обробки даних (наприклад, в текстовий редактор Microsoft Word або електронні таблиці Microsoft Exсel).

"Захист інформації. Кофідент", № 6, 2001, с. 62-65.