На главную страницу
На главную страницу Карта сайта Поиск по сайту Обратная связь
На страницы учебного центра
Организационно-правовые вопросы
Экономическая безопасность
Безопасность КИС
Защита речевой информации
Техническая защита объектов
Сертификация и лицензирование
Кадровая безопасность
Преступления в сфере высоких технологий
Нормативные документы
Полезные ресурсы

 

О репликации компьютерных вирусов

 

С. Ф. Быков

serbyk@mail.ru

 

 

«Компьютерные вирусы – это первая вполне удачная попытка создать искусственную жизнь... Нельзя сказать, что полезная, современные компьютерные «микроорганизмы»... приносят только проблемы и неприятности. Но все-таки – жизнь, поскольку компьютерным вирусам присущи все атрибуты живого: способность к размножению, движению, приспособляемость к среде и т. д. ...Более того, существуют «двуполые» вирусы, а примером «многоклеточности» могут служить, например, макровирусы, состоящие из нескольких независимых макросов».

Е. В. Касперский [1]

 

До середины 20 века термин «вирус» (в переводе с латыни – яд, ядовитое начало) использовался лишь в медицине, обозначая инфекционный агент, вызывающий заболевание. С появлением, развитием и усложнением компьютерной техники, систем хранения, обработки и передачи информации, а также соответствующего программного обеспечения возник новый класс программ, известный теперь как компьютерные вирусы. Разумеется, терминология (среда обитания, репликация 1 и др.) и многие подходы (например, профилактика) в рассматриваемой предметной области заимствованы из медицины.

Интересно, что в конце XIX века немецкий микробиолог, один из основоположников современной эпидемиологии Роберт Кох (1843–1910) сформулировал критерии (триада Коха) идентификации возбудителя (вируса) инфекционного заболевания, актуальные и в современной компьютерной вирусологии.

Вот эти критерии [2]:

1. Неоднократное получение чистой культуры возбудителя, взятого из организма больного.

2. Возникновение точно такого же или сходного заболевания (как по характеру течения, так и по вызываемым им патологическим изменениям) при инфицировании здорового организма культурой предполагаемого возбудителя.

3. Появление в организме после заражения данным возбудителем всегда одних и тех же специфических защитных веществ.

Сложно судить насчет третьего критерия (вероятно, современное программное обеспечение еще не поднялось на ту ступень развития, при котором будет способно реализовывать модель отторжения вредоносных воздействий, то есть обладать некоторой иммунной системой, зачатки которой, впрочем, уже существуют), но первый и второй критерии в мире современной компьютерной вирусологии – абсолютны.

У истоков... Научная фантастика? Компьютерная вирусология!

Вероятно, одной из первых публикаций в области компьютерных вирусов была статья «Self-reproducing machines» [4]. В ней автор, исследуя проблемы «самовоспроизводящихся механических структур», предложил модель двумерной системы, способной к «активации, захвату и освобождению».

Здесь следует заметить, что несмотря на растиражированное мнение Е. В. Касперского [1] о том, что «нет ни одного пророчества, посвященного компьютерным вирусам... тема вируса в произведениях писателей появилась уже после того, как первый вирус поразил первый компьютер», именно статья Пенроуза явилась катализатором создания Шталем (F. G. Stahl) биокибернетической модели на машинном языке IBM 650 [5], явившейся предвестником современных компьютерных вирусов.

Хотя писатели-фантасты, конечно же, «запоздали»... Так, известный роман Бруннера «The Shockware Rider» [6], описывающий идею создания вредоносной программы-«червя», распространяющейся по компьютерной сети, появился лишь в 1975 году. В то время как Боб Томас (B. Thomas) создал реального «червя» – The Creeper для одной из первых компьютерных сетей – ARPAnet уже в 1970 году.

Однако взаимное влияние научной фантастики и компьютерной вирусологии прослеживается с достаточной очевидностью. Так, упомянутый роман Джона Бруннера, несомненно, оказал существенное воздействие на реализацию идеи сетевого вируса. Интересно, что в интервью одной из американских газет мать аспиранта факультета информатики Корнельского университета Роберта Морриса, автора нашумевшего вируса Морриса, поразившего в 1988 году, по некоторым данным, до 6000 компьютеров [7], упомянула о том, что наиболее зачитанной книгой в комнате сына был роман «The Shockware Rider».

Не менее значимыми и во многом предопределившими дальнейшее развитие событий были научно-фантастические романы «The Adolescence of P-1» (1974) Райана (T. J. Ryan) и «Neuromancer» Гибсона. Кстати, в последнем из них впервые введено понятие «киберпространство» (cyberspace) как моделируемой компьютерной информационно-коммуникационной сети, управляемой посредством «согласованных галлюцинаций» [8].

Удивительно, но сегодняшние, вполне осязаемые полеты «военной научной мысли» в области информационных войн, информационного оружия и критических инфраструктур во многом были описаны еще в 1985 году в почти забытом сегодня детективе французов Терри Брентона и Дениса Бениша «Software: la guerre douce» [9]. В нем же, по-видимому, впервые высказана идея «логических бомб» – программных закладок, срабатывающих при определенном стечении обстоятельств или по команде извне (нечто подобное применили американцы во время операции «Буря в пустыне», когда программное обеспечение противоракетной обороны противника было выведено из строя еще до начала военных действий).

Адаптация к условиям среды обитания

Итак, компьютерные вирусы существуют. Первые из них, появившиеся в результате научных экспериментов по созданию «искусственной жизни» в начале шестидесятых годов прошлого века, были еще слабо подготовлены к выживанию в реальной компьютерной среде обитания. Да и самой среды, по сути, еще не существовало. Это был период «пробы пера». Компьютер был редкостью, вирус – экзотикой.

Ситуация начала меняться к концу 70-х годов. К этому времени уже имелся некоторый опыт в создании возбудителей компьютерных заболеваний, вышли в свет первые статьи и научно-фантастические романы, поразившие воображение будущих вирусописателей и явившиеся, таким образом, катализаторами процесса. Но главное, весной 1977 года появился первый персональный компьютер Apple II. Одновременно происходило бурное развитие сетей передачи информации на базе телефонных каналов, появились первые «базы данных» – BBS (от англ. Bulletin Board System). Одним словом, были реализованы все объективные предпосылки для создания среды обитания компьютерных вирусов. «Искусственная жизнь» стала реальностью.

Одним из первых компьютерных вредителей, получивших на машинах Apple II широкое распространение, стал бутовый 2 вирус Elk Cloner, сообщавший о своем присутствии в системе в стихотворной форме:

ELK CLONER:

THE PROGRAMM WITH

A PERSONALITY

IT WILL GET ON ALL YOUR DISKS

IT WILL INFILTRATE YOUR CHIPS

YES, IT'S CLONER

IT WILL STICK TO YOU LIKE GLUE

IT WILL MODIFY RAM, TOO

SEND IN THE CLONER!

Нельзя не упомянуть об имевшей большое влияние на развитие компьютерной вирусологии статье Фреда Коэна «Computer viruses: theory and experiments» [10], представляющей собой академическое исследование проблем в области вирусных технологий и, в частности, описание одной из разновидностей файлового 3 вируса.

Следующим этапом в развитии вирусов явились события 1985 – 86 годов: появление самых массовых, IBM-совместимых персональных компьютеров; быстрый рост их производительности с одновременным снижением стоимости (и, как следствие, широким распространением). Среда обитания вирусов менялась, менялись и сами вирусы – они приспосабливались!

Эти годы были отмечены пандемией 4 одного из первых IBM PC – вирусов Brain (известного также как «пакистанский вирус»), заражавшего загрузочные секторы дискет при обращении к ним. Написанный в 1986 году выпускниками Пенджабского университета (Пакистан) братьями Амджатом и Базитом Алви, возмущенными несанкционированным использованием программного обеспечения и выразившими таким образом свой протест, Brain (являвшийся к тому же первым известным стелс-вирусом 5), по оценке McAfee [11], только в США заразил более 18 тысяч компьютеров.

И это было только начало... Конец 80-х годов был отмечен волнообразными вирусными эпидемиями. На смену вирусу Brain пришли Vienna и Lehigh, Datacrime и Vacsina. Свирепствовали сетевые вирусы, такие как Christmas Tree и HI.COM.

Но происходило не просто увеличение количества компьютерных вирусов, они совершенствовались, обходя защитные механизмы появившихся к тому времени антивирусных программ, приспосабливаясь к изменяющейся среде обитания (см. рисунок) [1, 18]. Так, сетевой червь «Internet Worm» (более известный как «вирус Морриса») не только использовал при репликации ошибки ОС UNIX (для VAX и SUN Microsystems), но и осуществлял подбор пользовательских паролей [7, 12].

 

 

Девяностые годы ознаменовались появлением полиморфных вирусов 6 (первым из которых был, вероятно, Chameleon), что послужило толчком (Нет худа без добра!) к развитию нового поколения антивирусного программного обеспечения. Теперь уже для идентификации вирусов недостаточно стало осуществлять поиск их сигнатур. Антивирусные программы вынуждены были перейти к использованию специальных методов, «к которым можно отнести эмуляцию выполнения кода вируса, математические алгоритмы восстановления участков кода и данных в вирусе и т. д.» [1].

Но война на этом не закончилась... В очередной раз изменились «условия проведения боевых операций». Вирусы продолжали мутировать по пути приспособления ко все более агрессивной по отношению к ним среде обитания, приобретая новые свойства, используя новые способы репликации.

1995 год ознаменовался сразу двумя выдающимися событиями, значение первого из которых не до конца оценено и поныне. В начале года был обнаружен двуполый вирус RMNS (не трудно представить себе возможные реализации заложенной в нем идеи, например, запуск «программы оплодотворения» при наступлении определенных внешних условий), а в августе – первый вирус под Microsoft Word, макровирус 7 Concept.

Дальнейшие события в области компьютерной вирусологии все больше напоминали сводки с полей сражений. Не успевала схлынуть одна волна вирусных атак, а пользователи компьютеров «зализать раны» посредством свежих антивирусных релизов, как появлялись новые монстры с более совершенными механизмами нападения и репликации. В последнее время вирусописатели используют любые мало-мальски удобные поводы для внедрения своего детища, примером чему может служить вирус нидерландца Яна де Вита «Anna Kournikova» (взрывное распространение которого объясняется сочетанием вирусной технологии с элементами психологии и социальной инженерии).

И даже такое трагическое событие, как террористическая атака на небоскребы Международного торгового центра в США 11 сентября 2001 года, нашло свое отражение в мире компьютерной вирусологии. Появился вирус War Vote, который распространяется по электронной почте в виде письма с темой «Peace between America and Islam!» и приложенным файлом WTC.EXE. При запуске этого файла вирус пытается отправить себя по адресам, найденным в адресной книге Outlook Express и стереть все файлы на жестком диске кроме HTML-страниц. Их он заменяет текстом, который переводится как «Америка... Несколько дней покажут тебе, что мы можем сделать!!! Пришла наша очередь. ZaCker тебя очень жалко».

Интересно отметить, что в настоящее время ничего не известно о графических вирусах. Более того, в академическом труде Джеймса Мюррея и Уильяма ван Райпера «Энциклопедия форматов графических файлов» [13] прямо указано, что «графические файлы не могут быть заражены вирусом, так как не являются выполнимыми (не имеют такого кода). Статические графические файлы (не содержащие кода) вообще защищены от инфекции». И далее – «подводя черту сказанному, следует отметить, что графические файлы – очень неподходящие кандидаты для заражения компьютерным вирусом», он «не может использовать графический файл... для воспроизводства». Другие авторы говорят примерно то же.

Однако, по мнению автора настоящей статьи, представляется вполне возможным существование технологии репликации вирусов, основанной на заражении графических файлов, причем такой, при которой обнаружение сигнатуры вируса станет принципиально невыполнимой задачей (при соблюдении определенных граничных условий). Основой такой технологии может стать компьютерная стеганография, позволяющая скрывать в цифровом контенте графического изображения (видео или даже звука) зашифрованное тело вируса.

Но есть и более простой путь, который может быть реализован на основе использования стандартных механизмов, присущих типовым файлам графических форматов.

Известно, что ряд графических файлов включают команды, которые предназначены для выполнения конкретными прикладными программами, с помощью которых отображается текст (например, выводится меню), воспроизводится звук или читаются данные из других файлов. В качестве примера можно привести графический файл формата GIF 89a (от англ. Graphic Interchange Format) [14]. Вероятно, появление вирусов, основанных на использовании свойств подобных файлов, – это только вопрос времени.

Перспективы

Поскольку вирусы не являются самодостаточными, «живыми» организмами (в том смысле, что для репликации им необходимы «внеш ние» программы), относительно независимую эволюционную историю они приобретают благодаря адаптации к изменяющимся условиям существования. Это предопределяет появление как очередных разновидностей уже имеющихся вредителей, так и вирусов, несущих в себе принципиально новые идеи.

Имеется достаточно обширный опыт борьбы с ними: от разработки противоядия (соответствующих антивирусных программ), до проведения правовой профилактики. К примеру, рассматриваемый правительством Австралии новый закон о компьютерной безопасности CiberCrime Bill 2001 предполагает наложение на граждан запрета не только использовать, но и осуществлять хранение как хакерских программ (к которым отнесены, в частности, программы, используемые системными администраторами для тестирования надежности систем), так и редакторов для написания вирусов [15].

Очевидно, в ближайшее время следует ожидать возникновения вирусов, использующих для размножения нетрадиционные (с сегодняшней точки зрения) типы файлов. Будет продолжаться рост и общего числа вирусов, и неминуемых потерь, вызванных их «жизнедеятельностью».

Так, по данным MessageLabs [16], на сегодняшний день каждое трехсотое сообщение электронной почты заражено компьютерным вирусом (в октябре 2000 года заражено было лишь каждое семисотое). По прогнозам компании, при сохранении существующей тенденции уже к 2008 году заражено будет каждое десятое сообщение, а к 2013-му – каждое второе, что приведет к невозможности использования сети Internet как безопасного средства обмена электронной корреспонденцией.

По мнению представителя MessageLabs Марка Саннера: «Недавняя эпидемия вируса Nimda подтолкнула некоторых комментаторов к заявлению, что вирусная угроза является слишком надуманной. Не верьте таким словам – это серьезная проблема, которая не исчезнет сама по себе. Рост количества почтовых вирусов, а также распространение гибридных вирусов, атакующих на нескольких направлениях одновременно, означает, что если Internet и не погибнет, то однозначно перестанет быть средством безопасной коммуникации для бизнеса и домашних пользователей» [16].

Перспективы, прямо скажем, не радужные... Однако очевидные успехи антивирусных компаний (и не в последнюю очередь «Лаборатории Касперского» [17]), с завидной оперативностью устраняющих «с поля боя» очередных «вирусных волонтеров», вселяют вполне оправданный оптимизм.

 

Литература:

1. Касперский Е. В. Компьютерные вирусы: что это такое и как с ними бороться. М.: СК Пресс, 1998.

2. Реферат: Являются ли вирусы живыми организмами. М.: Кирилл и Мефодий, 2000.

3. Советский энциклопедический словарь. М.: Советская энциклопедия, 1979.

4. Penrose L. S. Self-reproducing machines //Scientific American, 1959. V. 200. № 6. Pp. 105–114.

5. Dewdney A. K. A Core War bestiary of viruses, worms and other threats to computer memories //Scientific American, 1985. V. 252. № 3. Pp. 14–19.

6. Brunner J. The Shockware Rider. N.Y.: Harper & Row, 1975.

7. Highland H.J. The Milnet / Arpanat Attack // C&S, 1989. V. 8. № 1. Pp. 3–13.

8. Gibson W. Neuromancer. N.Y.: Ace Science Fiction, 1984.

9. Brenton T., Beneich D. Software: la guerre douce. Paris, 1985.

10. Cohen F. Computer viruses: theory and experiments // Proc. 2nd IFIP Int. Conference on Computer Security, 1984. Pp. 143–158.

11. McAfee J. The virus cure //Datamation, 1989. V. 35. № 4. Pp. 29–40.

12. Моисеев И. КомпьютерПресс, 1991. № 8, 9.

13. Мюррей Д., ван Райпер У. Энциклопедия форматов графических файлов / Пер. с англ. К.: Издательская группа BHV, 1997.

14. Сайт компании Compuserve: http://www.compuserve.com.

15. van Dijb S. Cybercrime bill «draconian and dangerous» // ComputerWorld (Australia). Iuly 2001.

16. Новостной раздел сайта «Большая вирусная энциклопедия»: http://www.viruslist.com.

17. Сайт компании «Лаборатория Касперского»: http://www.kav.ru.

18. Володин А. Компьютерные инфекции // Банковские технологии. 2001. № 1.

_______________________________

1 Репликация (от лат. replicatio) – то же, что ауторепродукция, аутосинтез. В медицине этим термином обозначают [3] копирование генетической информации, заключенной в молекулах ДНК, и передачу ее от поколения к поколению.

2 Бутовый (от англ. boot – загрузка) – загрузочный вирус. Принцип действия бутовых вирусов основан на перехвате прерывания по чтению и заражению boot-сектора дискет или MBR (от англ. Master Boot Record) жестких дисков.

3 Файловыми принято называть вирусы, которые при репликации используют файловую систему той или иной операционной системы (ОС). Файловые вирусы делятся на: overwriting-, parasitic-, companion-, link-вирусы; файловые «черви»; а также достаточно редкие вирусы, «заражающие библиотеки компиляторов (LIB-вирусы), объектные модули (OBJ-вирусы) и исходные тексты программ» [1].

4 Пандемия (от греч. pandemia – весь народ) – эпидемия вирусного заболевания, охватывающая значительную часть населения страны, группу стран, континента [3].

5 Стелс-вирусы (от англ. stealth – украдкой, ) – вирусы, предпринимающие определенные действия для сокрытия следов своего присутствия в системе.

6 Полиморфные вирусы (от греч. polys – многий, многочисленный и morphe – форма ) – то есть «имеющие много форм». Это тип вирусов, которые по определенным законам видоизменяют свой код с тем, чтобы антивирусные программы не могли обнаружить их по сигнатуре (присущей коду вируса битовой последовательности).

7 Макровирусы (от греч. makros – большой, длинный и лат. virus – яд) – тип компьютерных вирусов, представляющих собой программы на макроязыках (например, Visual Basic для Microsoft Exсel), встроенные в системы обработки данных (например, в текстовый редактор Microsoft Word или электронные таблицы Microsoft Exсel).

 

"Защита информации. Кофидент", № 6, 2001, с. 62-65.

 

| Начало | Новости | О проекте | О ЦПР | Правовая информация | Сотрудничество | Наши партнеры | Координаты |

Copyright © 2004-2016 ЧОУ ДПО «ЦПР». Все права защищены
info@cprspb.ru