Компьютерные вирусы

1. Компьютерные  вирусы
1. История возникновения компьютерных вирусов

    Мнений  по поводу даты рождения первого компьютерного  вируса очень много. Мне доподлинно известно только одно: на машине Беббиджа его не было, а на Univac 1108 и IBM-360/370 они  уже были (“Pervading Animal” и “Christmas tree”). Таким образом, первый вирус  появился где-то в самом начале 70-х  или даже в конце 60-х годов, хотя “вирусом” его никто еще не называл. На этом разговор о вымерших ископаемых предлагаю считать завершенным.

Начало  пути

    Поговорим о новейшей истории: “Brain”, “Vienna”, “Cascade” и далее. Те, кто начал  работать на IBM-PC аж в середине 80-х, еще  не забыли повальную эпидемию этих вирусов в 1987-89 годах. Буквы сыпались на экранах, а толпы пользователей  неслись к специалистам по ремонту  дисплеев (сейчас все наоборот: винчестер  сдох от старости, а валят на неизвестный  передовой науке вирус). Затем  компьютер заиграл чужеземный гимн “Yankee Doodle”, но чинить динамики уже  никто не бросился - очень быстро разобрались, что это - вирус, да не один, а целый десяток.

    Так вирусы начали заражать файлы. Вирус  “Brain” и скачущий по экрану шарик  вируса “ Ping-pong” ознаменовали победу вируса и над Boot-сектором. Все это  очень не нравилось пользователям IBM-PC, и - появились противоядия. Первым попавшимся мне антивирусом был  отечественный ANTI-KOT: это легендарный  Олег Котик выпустил в свет первые версии своей программы, которая  уничтожала целых 4 (четыре) вируса (американский SCAN появился у нас в стране несколько  позднее). Кстати, всем, кто до сих  пор сохранил копию этого антивируса, предлагаю немедленно ее стереть (да простит меня Олег Котик!) как программу  вредную и ничего, кроме траты  лишних нервов и ненужных телефонных звонков, не приносящую. К сожалению, ANTI-KOT определяет вирус “ Time” (“Иерусалимский”) по комбинации “MsDos” в конце файла, а некоторые другие антивирусы эти самые буквы аккуратно прицепляют ко всем файлам с расширением COM или EXE.

    Следует обратить внимание на то, что истории  завоевания вирусами России и Запада различаются между собой. Первым вирусом, стремительно распространившимся на Западе был загрузочный вирус  “ Brain”, и только потом появились  файловые вирусы “ Vienna” и “ Cascade”. В России же наоборот, сначала появились  файловые вирусы, а годом позже - загрузочные.

    Время шло, вирусы плодились. Все они были чем-то похожи друг на друга, лезли в  память, цеплялись к файлам и секторам, периодически убивали файлы, дискеты  и винчестеры. Одним из первых “откровений” стал вирус “ Frodo.4096” - первый из известных  мне файловых вирусов-невидимок (стелс). Этот вирус перехватывал INT 21h и, при  обращении через DOS к зараженным файлам, изменял информацию таким  образом, что файл появлялся перед  пользователем в незараженном виде. Но это была только надстройка вируса над MS-DOS. Не прошло и года, как электронные  тараканы полезли внутрь ядра DOS (вирус-невидимка  “ Beast.512”). Идея невидимости продолжала приносить свой плоды и далее: летом 1991 года пронесся, кося компьютеры как бубонная чума, вирус “ Dir_II”. “Да-a-a!” сказали все, кто в  нем копался.

    Но  бороться с невидимками было довольно просто: почистил RAM - и будь спокоен, ищи гада и лечи его на здоровье. Побольше хлопот доставляли самошифрующиеся  вирусы, которые иногда встречались  в очередных поступлениях в коллекции. Ведь для их идентификации и удаления приходилось писать специальные  подпрограммы, отлаживать их. Но на это  никто тогда не обращал внимания, пока... Пока не появились вирусы нового поколения, те, которые носят название полиморфик-вирусы. Эти вирусы используют другой подход к невидимости: они  шифруются (в большинстве случаев), а в расшифровщике используют команды, которые могут не повторяться при заражении различных файлов.

Полиморфизм - мутация вирусов

    Первый  полиморфик-вирус появился в начале 90-х кодов - “ Chameleon”, но по-настоящему серьезной проблема полиморфик-вирусов  стала лишь год спустя - в апреле 1991-го, когда практически весь мир  был охвачен эпидемией полиморфик-вируса “ Tequila” (насколько мне известно, эта эпидемия практически не затронула  Россию, а первая Российская эпидемия, вызванная полиморфик-вирусом, произошла  аж три года спустя - год 1994, это был  вирус “ Phantom1”).

    Популярность  идеи самошифрующихся полиморфик-вирусов  вылилась в появление генераторов  полиморфик-кода - в начале 1992 появляется знаменитый вирус “ Dedicated”, базирующийся на первом известном полиморфик-генераторе MtE и открывший серию MtE-вирусов, а  через довольно короткое время появляется и сам полиморфик-генератор. Представляет он из себя объектный модуль (OBJ-файл), и теперь для того чтобы из самого обычного нешифрованного вируса получить полиморфик-мутанта достаточно лишь слинковать их объектные модули - OBJ-файл полиморфик-генератора и OBJ-файлом вируса. Теперь автору вируса, если он желает создать  настоящий полиморфик-вирус, не придется корпеть над кодами собственного за/расшифровщика. При желании он может подключить к своему вирусу полиморфик-генератор и вызывать его из кодов вируса.

    К счастью, первый MtE-вирус не попал  в “живую природу” и не вызвал эпидемии, а разработчики антивирусных программ, соответственно, имели некоторый  запас времени для подготовки к отражению новой напасти.

    Всего год спустя производство полиморфик-вирусов  становится уже “ремеслом”, и в 1993 году произошел их “обвал”. В  поступающих в коллекцию вирусах  удельный вес самошифрующихся полиморфик-вирусов  становится все больше и больше. Создается впечатление, что одним из основных направлений в трудном деле создания вирусов становится разработка и отладка полиморфик-механизма, а конкуренция среди авторов вирусов сводится не к тому, кто из них напишет самый крутой вирус, а чей полиморфик-механизм окажется круче всех.

    Вот далеко не полный список тех из них, которые можно назвать стопроцентно полиморфичными (конец 1993):

     Bootache,  CivilWar (четыре версии),  Crusher,  Dudley,  Fly,  Freddy,  Ginger,  Grog,  Haifa,  Moctezuma (две версии),  MVF,  Necros,  Nukehard,  PcFly (три версии),  Predator,  Satanbug,  Sandra, Shoker,  Todor,  Tremor, Trigger,  Uruguay (восемь версий).

    Для обнаружения этих вирусов приходится использовать специальные методы, к  которым можно отнести эмуляцию выполнения кода вируса, математические алгоритмы восстановления участков кода и данных в вирусе и т.д. К  не-стопроцентным полиморфикам (т.е. которые шифруют себя, но в расшифровщике  вируса всегда существуют постоянные байты) можно отнести еще десяток  новых вирусов:

     Basilisk,  Daemaen,  Invisible (две версии),  Mirea (несколько версий),  Rasek (три  версии),  Sarov,  Scoundrel,  Seat,  Silly,  Simulation.

    Однако  и они требуют расшифровки  кода для их детектирования и восстановления пораженных объектов, поскольку длина  постоянного кода в рассшифровщике этих вирусов слишком мала.

    Параллельно с полиморфик-врусами развиваются  полиморфик-генераторы. Появляется несколько  новых, использующих более сложные  методы генерации полиморфик-кода, они распространяются по станциям BBS в виде архивов, содержащих объектные  модули, документацию и примеры использования. В конце 1993 года было известно уже  семь генераторов полиморфик-кода. Это:

    MTE 0.90 (Mutation Engine), четыре различные версии TPE (Trident Polymorphic Engine), NED (Nuke Encryption Device), DAME (Dark Angel's Multiple Encryptor)

    С тех пор новые полиморфные  генераторы появлялись по несколько  штук в год, и приводить их полный список вряд ли имеет смысл.

Автоматизация производства и конструкторы вирусов

    Лень - движущая сила прогресса. Эта народная мудрость не нуждается в комментариях. Но только в середине 1992 года прогресс в виде автоматизации производства дошел и до вирусов. Пятого июля 1992 года объявлен к выпуску в свет первый конструктор вирусного кода для IBM-PC совместимых компьютеров - пакет VCL ( Virus Creation Laboratory) версии 1.00.

    Этот  конструктор позволяет генерировать исходные и хорошо откомментированные тексты вирусов (файлы, содержащие ассемблерный текст), объектные модули и непосредственно  зараженные файлы. VCL снабжен стандартным  оконным интерфейсом. При помощи системы меню можно выбрать тип  вируса, поражаемые объекты (COM и/или EXE), наличие или отсутствие самошифровки, противодействие отладчику, внутренние текстовые строки, подключить до десяти эффектов, сопровождающих работу вируса и т.п. Вирусы могут использовать стандартный способ поражения файлов в их конец, или записывать себя вместо файлов, уничтожая их первоначальное содержимое, или являться вирусами-спутниками (международный термин - компаньон-вирусы [companion]).

    И все сразу стало значительно  проще: захотел напакостить ближнему - садись за VCL и, за 10-15 минут настрогав 30-40 разных вирусов, запусти их на неприятельском компьютере(ах). Каждому компьютеру - отдельный вирус!

    Дальше - больше. 27 июля появилась первая версия конструктора PS-MPC ( Phalcon/Skism Mass-Produced Code Generator). Этот конструктор не содержит в себе оконного интерфейса и генерирует исходные тексты вирусов по файлу конфигурации. Этот файл содержит в себе описание вируса: тип поражаемых файлов (COM или EXE); резидентность (PS-MPC создает также и резидентные вирусы, чего не позволяет конструктор VCL); способ инсталляции резидентной копии вируса; возможность использования самошифрования; возможность поражения COMMAND.COM и массу другой полезной информации.

    На  основе PS-MPC был создан конструктор G2 ( Phalcon/Skism's G2 0.70 beta), который поддерживает файлы конфигурации стандарта PS-MPC, однако при генерации вируса использует большее количество вариантов кодирования  одних и тех же функций.

    Имеющаяся у меня версия G2 помечена первым января 1993 года. Видимо, новогоднюю ночь авторы G2 провели за компьютерами. Лучше  бы они вместо этого попили шампанского, хотя одно другому не мешает.

    Итак, каким же образом повлияли конструкторы вирусов на электронную фауну? В  коллекции вирусов, которая хранится на моем “складе”, количество “сконструированных”  вирусов следующее:

    на  базе VCL и G2 - по несколько сотен;

    на  базе PS-MPC - более тысячи.

    Так проявилась еще одна тенденция в  развитии компьютерных вирусов: все  большую часть в коллекциях начинают занимать “сконструированные” вирусы, а в ряды их авторов начинают вливаться  откровенно ленивые люди, которые  сводят творческую и уважаемую профессию  вирусописания к весьма заурядному ремеслу.

За  пределы DOS

    Год 1992-й принес больше, чем полиморфик-вирусы и вирус-конструкторы. В конце этого года появился первый вирус для Windows, открывший, таким образом, новую страницу в истории вирусописания. Небольшого размера (менее 1K), совершенно безвредный и нерезидентный вирус вполне грамотно заражал выполняемые файлы нового формата Windows (NewEXE) и своим появлением пробил для вирусов окно в мир Windows.

    Через некоторое время появились вирусы для OS/2, а в январе 1996 - и первый вирус для Windows95. На сегодняшний день не проходит и недели без появления  новых вирусов, заражающих не-DOS системы, и, видимо, проблема не-DOS вирусов в  скором времени выйдет на первый план, перекрыв проблему DOS-вирусов. Скорее всего, это произойдет эквивалентно постепенному умиранию DOS и распространению новых  операционных систем и программ для  них. Коль скоро все существующие DOS-приложения будут замещены их аналогами  для Windows, Win95 и OS/2, проблема DOS-вирусов  сойдет на нет и оставит после  себя лишь теоретический интерес  для компьютерного социума.

    В том же 1993 году появилась и первая попытка написать вирус, работающий в защищенном режиме процессора Intel386. Это был загрузочный вирус  “ PMBS”, названный так по строке текста внутри его кода. При загрузке с  зараженного диска вирус переходил  в защищенный режим, устанавливал себя как супервизор системы и затем  загружал DOS в режиме виртуального окна V86. К счастью, вирус этот оказался “не жильцом” - его второе поколение  напрочь отказывалось размножаться по причине нескольких ошибок в коде вируса. К тому же он “завешивал”  систему, если какая-либо из программ пыталась выйти за пределы V86, например, определить наличие расширенной памяти.

    Эта неудачная попытка написать вирус-супервизор так и оставалась единственной известной  вплоть до весны 1997 года, когда один московский умелец выпустил вирус “ PM.Wanderer” - вполне “удачную” реализацию вируса, работающего в защищенном режиме.

    Пока  непонятно, станут ли в дальнейшем вирусы-супервизоры  действительной проблемой для пользователей  и разработчиков антивирусных программ. Скорее всего нет, так как такие  вирусы должны “засыпать” на время  работы новых операционных систем (Windows, Win95/NT, OS/2), что позволяет их (вирусы) легко обнаружить и удалить. Однако полноценный вирус-супервизор, использующий технологию “стелс” может принести немало неприятностей пользователям  “чистой” DOS, ведь обнаружить такой  стелс-вирус под DOS не представляется возможным.

  Эпидемия макро-вируса

    Год 1995-й, август. Все прогрессивное человечество, компания Microsoft и Билл Гейтс лично  празднуют выход новой операционной системы Windows95. На фоне шумного торжества  практически незамеченным прошло сообщение  о появлении вируса, использующего  принципиально новые методы заражения, вируса, заражающего документы Microsoft Word.

    Честно  говоря, это был не первый вирус, заражающий документы Word. До этого момента  антивирусные фирмы уже имели  на руках первый опытный образец  вируса, который переписывал себя из документа в документ. Однако никто не обратил серьезного внимания на этот не вполне удачный эксперимент. В результате практически все  антивирусные фирмы оказались не готовыми к последующему развитию событий - эпидемии макро-вируса - и начали спешно предпринимать полу-меры. Например, несколько фирм практически одновременно выпустили в свет документы-антивирусы, действовавшие примерно по тем же принципам, что и вирус, однако уничтожавшие его вместо размножения.