1.1. Предыстория

Vestigia semper adora
(Всегда уважай следы)
Стаций (40-50 до н.э.)

Компьютерные вирусы являются одной из разновидностей компьютер-
ного вандализма, получившего распространение в конце 80-х гг. Ис-
торически их возникновение связано с идеей создания самовоспроиз-
водящихся программ -- концепции, уходящей своими корнями в пятиде-
сятые годы. Идея самовоспроизводящихся механизмов исследовалась
еще Джоном фон Нейманом, который в 1951 г. предложил метод созда-
ния таких механизмов. Несомненно, идея вирусоподобных программ не-
однократно открывалась и переоткрывалась различными авторами. Тем
не менее, восстановление приоритета исследователей в опубликовании
той или иной грани концепции вирусоподобных программ является в
какой-то мере актом восстановления справедливости по отношению к
тем, чьи работы были незаслуженно забыты или вообще проигнорирова-
ны. Это касается прежде всего европейских исследователей, вклад
которых в разработку различных проблем системного программирования
часто игнорируется или замалчивается в американских публикациях.
Первой публикацией, связанной с рассматриваемой концепцией, мож-
но считать статью Л.С.Пенроуза (L.S.Penrose) о самовоспроизводя-
щихся механических структурах [Penrose59], опубликованную в
1959 г. американским журналом Scientific American. В этой
статье, наряду с примерами чисто механических конструкций, была
приведена некая двумерная модель подобных структур, способных к
активации, захвату и освобождению. Под влиянием этой статьи
Ф.Ж.Шталь (F.G.Stahl) запрограммировал на машинном языке ЭВМ IBM
650 биокибернетическую модель, в которой существа двигались, пита-
ясь ненулевыми словами [Dewdney85]. При N передвижениях без пищи
существо умирало от голода, а после съедания определенного количе-
ства слов порождало новое. При размножении была предусмотрена воз-
можность мутаций, в ходе которых существа могли приобретать спо-
собность пожирать себе подобных и терять возможность к размноже-
нию. Однако ограниченная память и быстродействие IBM 650 послужили
препятствием для получения интересных результатов: в ходе пробного
прогона один бесплодный мутант убил и съел единственного, способ-
ного к размножению.

В 1962 г. В.А.Высотский (V.А.Vyssotsky), Х.Д.Макилрой
(H.D.McIlroy) и Роберт Моррис (Robert Morris) -- фирма Bell
Telephone Laboratories, США -- изобрели достаточно необычную игру
Дарвин, в которой несколько ассемблерных программ, названных
организмами, загружались в память компьютера. Организмы, создан-
ные одним игроком (т.е. принадлежащие к одному виду), должны были
уничтожать представителей другого вида и захватывать жизненное
пространство. Победителем считался тот игрок, чьи организмы захва-
тывали всю память или набирали наибольшее количество очков. Игра
проходит на большом участке памяти, называемом ареной и управляе-
мом специальной программой -- супервизором. Вид V состоит из N(V)
особей. Каждая особь (K=1..N(V)) имеет размер S(K) (K=1..N(V),
S(K) < MAXS) и расположена в R(K) последовательных ячейках, начи-
ная с головы G(K), причем R(V) точек со смещениями
P(K,1)..P(K,R(V)) относительно головы являются защищенными. Орга-
низм, который получает управление, может использовать три вида об-
ращения к супервизору:
PROBE(n,loc) -- запрос о содержании ячейки с адресом loc (если
эта ячейка защищена, то управление передается ее обладателю, а ес-
ли нет, то возвращаются три числа -- <номер вида организма, занима-
ющего ячейку> (ноль, если ячейка свободна), <начало> и <конец>
(если ячейка свободна, то начало и конец свободного участка арены,
в который она входит; нули, если ячейка занята организмом));
KILL(loc) -- уничтожить организм по адресу loc (loc должна при-
надлежать организму другого вида и должна быть предварительно исс-
ледована PROBE любым организмом того же вида, что и нападающий);
CLAIM(n,loc) -- размножить организм на участок свободного про-
странства, включающий loc (ячейка loc должна быть предварительно
исследована с помощью PROBE и не менее S(K) ячеек должно быть сво-
бодно, возможно, в результате предыдущего KILL).
Игра для полуночников, возникшая в фирме Bell Telephone
Laboratories, быстро приобрела популярность и в других учебных и
исследовательских центрах, например в исследовательском центре
фирмы Ксерокс в Пало Альто и в Массачусетском институте технологии
(МИТ). Отметим, что долгое время описание игры существовало только
в устном фольклоре: статья с описанием игры была опубликована
только в 1972 г. [SP&E72], причем в ее тексте использовался термин
вирус применительно к одному из видов организмов.
Приблизительно в 1970 г. была создана саморазмножающаяся про-
грамма для одной из первых компьютерных сетей -- APRAnet. Программа
CREEPER, которая по некоторым данным была написана Бобом Томасом
(Bob Thomas) из BBN, путешествовала по сети, обнаруживая свое по-
явление сообщением

I'M THE CREEPER ... CATCH ME IF YOU CAN
(Я КРИПЕР ... ПОЙМАЙ МЕНЯ, ЕСЛИ СМОЖЕШЬ).

Для борьбы с ней была создана программа REAPER, которая также
путешествовала по сети и уничтожала встретившиеся экземпляры
CREEPER. Эта идея, представляющая собой вариацию подхода, распро-
страненного в среде знахарей, -- подобное лечится подобным, позд-
нее неоднократно использовалась и в других программах борьбы с
ранними вирусами, однако в целом оказалась неудачной.
В 1974 г. была написана программа RABBIT (Кролик), которая раз-
множалась на трех соединенных между собой машинах IBM, причем по-
явление новых подзадач вызывало замедление реакции, а затем и пол-
ное зависание машин.
Другим примером вирусоподобных программ была игра Animal (Живо-
тное), разработанная примерно в 1975 г. для UNIVAC 1108. Суть этой
игры состояла в том, что человек задумывал некоторое животное, и
программа, задавая вопросы, пыталась определить, какое животное
загадал человек. Программист, написавший игру, предусмотрел в ней
возможность саморазмножения. Когда программа угадывала неправиль-
но, она просила пользователя предложить вопрос, который позволил
бы улучшить ее способности к отгадыванию данного животного. Запом-
нив этот вопрос, программа не только модифицировала себя, но и пы-
талась переписать свою обновленную (улучшенную) копию в другой ка-
талог. Если там уже была программа Animal, то она стиралась. В
противном случае создавалась новая копия. Оказалось, что через не-
которое время все каталоги файловой системы содержали копию
Animal. Более того, если пользователь переходил с машины на маши-
ну, то он переносил и свой каталог, и в результате во всех катало-
гах этой ЭВМ также появлялась Animal. При этом совокупность копий
Animal занимала значительное файловое пространство, что в те вре-
мена воспринималось как проблема. В соответствии с фольклорной
версией решения проблемы, опубликованной в [Dewdney85], была раз-
работана новая, более инфицирующая модификация игры, которая ко-
пировала себя не один раз, а дважды, тем самым быстро вытесняя со-
бой старую версию. По истечении заданного срока она предлагала
пользователю сыграть последний раз, а затем сама стирала себя с
диска. В действительности, борьба проходила на уровне операционной
системы: в версии 33 операционной системы Exec 8 для этой ЭВМ был
изменен формат таблицы файлов, и игра потеряла возможность размно-
жаться.

1.1.2. Романы Бруннера, Гибсона и расцвет околовирусного направления в научной фантастике

В вышедшем в 1975 г. научно-фантастическом романе The Shockware
Rider Джон Бруннер (John Brunner) [Brunner75] описал червей --
программы, распространяющиеся по сети. Эта идея в определенной
степени предвосхитила последующие события (см. ниже сетевой вирус
Морриса), хотя ее осуществление находилось за пределами возможно-
стей компьютеров того времени. Данная книга оказалась в числе бес-
тселлеров и безусловно повлияла на ход дальнейших событий.
В 1977 г. издательством Collier Books был опубликован еще один
научно-фантастический роман -- The Adolescence of P-1 (Юность П-
1) [Ryan77], разрабатывавший ту же тему. Его автор, Томас Риан
(Thomas J. Ryan), создал образ достаточно жуткого разумного ви-
руса, занимающегося сбором информации.
Забегая вперед отметим, что в 1984 г. В.Гибсон (W.Gibson) опуб-
ликовал научно-фантастический роман Neuromancer [Gibson84] --
второй после Бруннера бестселлер, в котором фигурируют компьютер-
ные вирусы. Этот роман также можно рассматривать как катализатор
реальных событий. В частности, в нем впервые было введено понятие
киберпространства. Этим словом названа глобальная компьютерная
коммуникационная сеть, в которой ввод и вывод осуществляется не с
помощью клавиатуры и дисплея, а с помощью согласованных галлюци-
наций. Несмотря на фантастичность идеи, оказалось, что улица на-
ходит свое применение любым вещам. В настоящее время под киберп-
ространством понимается система, в которой у пользователя создает-
ся трехмерное восприятие объектов некоего искусственного мира и
иллюзия того, что он находится внутри соответствующего искусствен-
ного пространства, а не просто наблюдает его изображение на экране
дисплея. Если видеоигры -- это фильмы с участием игрока, то киберп-
ространство -- это парк аттракционов, где можно испытать все, что
только можно вообразить. В настоящее время фирма Autodesk осущест-
вляет проект Cyberspace, в рамках которого разработан ряд уст-
ройств для создания киберпространства [Уолсер90]. К ним относятся
специальный шлем (со встроенным дисплеем и датчиками перемещения
головы), а также специальные перчатки PowerGlove фирмы Nintendo,
которые позволяют оцифровывать и вводить любые перемещения пальцев
руки. Недалек тот день, когда участники международного коллектива
разработчиков смогут собираться в виртуальном конференц-зале, де-
монстрируя друг другу различные проектные решения, обсуждая и тут
же внося изменения. При этом каждый участник будет видеть вирту-
альные тела других участников, сможет подходить к ним и разговари-
вать, хотя к сожалению, при встрече со знакомой девушкой нельзя
будет ее обнять. Но это все в будущем. А сейчас вернемся к истории
компьютерных вирусов.
Упомянутые выше романы положили начало литературному направлению
околовирусного толка, в котором концепция вирусов разрабатывает-
ся с различных точек зрения. В частности, сюжет французского шпи-
онского детектива Softwar: la guerre douce Терри Брентона
(Thierry Brenton) и Дениса Бенеша (Denis Beneich), опубликованного
в 1985 г. [Brenton85], основан на продаже СССР американского су-
перкомпьютера для метеорологической сети. Вместо блокирования
сделки американская администрация, демонстрируя напускное нежела-
ние продать компьютер, санкционирует его доставку в СССР. В то же
время в системное программное обеспечение компьютера заносится
логическая бомба. При определенных условиях она взрывается и
уничтожает все программное обеспечение в советской сети. В той ме-
ре, в которой этот сюжет представляет собой реальную возможность,
это самая настоящая война программ с агентом-подрывником в качест-
ве действующего лица. Поскольку метеорологическая сеть так или
иначе связана с авиационными и ракетными системами, роман застав-
ляет нас задуматься. Этот поток научно-фантастической литературы,
посвященной вирусам, безусловно сыграл определенную роль в популя-
ризации идеи и привлечении к ней внимания студенческой молодежи
(см. ниже). Из последних романов этого направления следует отме-
тить второй роман В.Гибсона Mona Lisa Overdrive, вышедший в
1988 г. [Gibson88].

1.1.3. Apple II и BBS создают условия для распространения троянских программ и вирусов

Весной 1977 г. появился первый персональный компьютер Apple II.
Эта модель находилась в производстве с 20 апреля 1977 г. по 1 ав-
густа 1983 г. Общее количество проданных машин составило более 3
млн. шт., что на порядок превышало количество ЭВМ других серий.
Поэтому для этих машин появились объективные возможности создания
реальных компьютерных вирусов, и эти возможности очень быстро были
осознаны и реализованы. Неудивительно, что Apple II послужил ра-
бочей лошадкой для разработчиков доисторических компьютерных
вирусов.
Параллельно с массовой продажей компьютеров Apple, в конце 70-х
годов на Западе отмечается бурное развитие сетей для передачи ин-
формации на базе обычных телефонных каналов. Появляются первые
банки свободно распространяемых программ и данных -- BBS (Bulletin
Board System -- буквально доска объявлений для программ). В этот
банк любой программист мог загрузить (download) свою программу, и
любой пользователь мог ее считать и запустить на своем компьютере.
Это существенно увеличило и ускорило трафик программ, тем более
что многие университетские компьютерные центры (традиционно являю-
щиеся центрами разработки различного рода бесплатных программ) ор-
ганизовали свои BBS. Позднее появились и большие онлайновые инфор-
мационные системы, такие как CompuServe, которые охватывали прак-
тически все западные страны. С появлением BBS получил распростра-
нение и новый вид компьютерного хулиганства: загрузка в нее про-
граммы, выводящей какие-то привлекательные картинки или претендую-
щей на выполнение какой-либо полезной функции, которая сразу после
запуска (чистая программа-вандал) или через некоторое время, или
при выполнении некоторого условия (троянская программа-вандал)
уничтожала данные на компьютере пользователя, переписавшего и за-
пустившего ее на своем компьютере. Такие программы-вандалы можно
рассматривать как исторических предшественников вирусов-вандалов,
тем более что их разрабатывает по сути один и тот тип личностей.
В 1980 г. появилась первая и весьма примечательная европейская
публикация по компьютерным вирусам -- Самовоспроизводящиеся про-
граммы Й.Крауса. Ее автор -- сотрудник кафедры информатики До-
ртмундского университета -- не только дал достаточно точное опреде-
ление компьютерных вирусов, но и привел в своей работе листинги
компьютерных вирусов (на языке ассемблера фирмы Сименс -- клона из-
вестной системы 360 фирмы IBM). К сожалению, данная публикация
представляла собой препринт Дортмундского университета и широкого
распространения не получила. По мнению Р.Бургера, автора первой
книги по компьютерным вирусам, опубликованной впервые в 1987 г.
издательством DATA BECKER GmbH [Burger88], уровень этой работы су-
щественно превосходит уровень исследований Ф.Коэна (см. ниже), по-
этому обидно, что она практически забыта и не цитируется в совре-
менных исследованиях по компьютерным вирусам.
В 1981-82 гг. появился первый, получивший некоторое распростра-
нение, бутовый вирус на ПЭВМ Apple II. Этот вирус, получивший на-
звание ELK CLONER, обнаруживал свое присутствие сообщением, содер-
жавшим даже небольшое стихотворение:

ELK CLONER:
THE PROGRAM WITH A PERSONALITY
IT WILL GET ON ALL YOUR DISKS
IT WILL INFILTRATE YOUR CHIPS
YES, IT'S CLONER
IT WILL STICK TO YOU LIKE GLUE
IT WILL MODIFY RAM, TOO
SEND IN THE CLONER!

Поскольку винчестеров тогда еще не было, борьба с ним состояла в
использовании защитных наклеек на дискетах.
Другой вирус для Apple II был создан в 1982 г. студентом Техас-
ского университета. Он был рассчитан на операционную систему DOS
3.3 для этой ПЭВМ (не путать с более поздней операционной системой
MS DOS 3.3 для ПЭВМ, совместимых с IBM PC). Не до конца отлаженная
версия этого вируса ускользнула от автора и начала распростра-
няться по университету. Ошибка в вирусе вызывала подавление графи-
ки популярной игры под названием CONGO, и в течение нескольких не-
дель все (пиратские) копии этой игры перестали работать. Для ис-
правления ситуации автор запустил новый, исправленный вирус, пред-
назначенный для замещения предыдущей версии. Как мы видим, идея
подобное лечится подобным открывалась и переоткрывалась много-
кратно.

1

В октябре 1980 г. в сети APRANET была обнаружена программа, по
некоторым описаниям вызывавшая перепутывание адресов посылаемых
по сети сообщений, что вызывало появление множества сообщений не-
верный статус пользователя. В результате систему пришлось выклю-
чить, и она была восстановлена только через три дня.
В 1982 г. не без влияния упоминавшегося выше романа Бруннера со-
трудниками исследовательского центра фирмы XEROX в Пало Альто
(родине Смолтока) была создана программа-червь и проведен ряд
экспериментов, результаты которых опубликованы в ведущем американ-
ском компьютерном журнале [Shoch82]. Идея, которой руководствова-
лись авторы программы, состояла в том, что программа, требующая
значительных вычислительных мощностей, захватывала все простаиваю-
щие, но подключенные к сети ЭВМ, с тем, чтобы например, ночью ис-
пользовать максимум подключенных вычислительных мощностей, а ут-
ром, когда пользователи начинают выполнять свои вычисления, осво-
бождать их, сохраняя промежуточные результаты вычислений. Днем
программа перебивалась бы одной -- двумя машинами, а ночью опять
захватывала бы все свободные вычислительные мощности. В связи с
этой способностью к ночному распространению такую программу пра-
вильнее было бы назвать не червяком, а вампиром. При проведении
эксперимента по запуску червяка в сеть наблюдалось его неконтроли-
руемое распространение и зависание части зараженных червяком ма-
шин. Поскольку эксперимент проводился на локальной сети Ethernet и
некоторые комнаты с включенными машинами следующим утром оказались
закрытыми, копии червя в этих машинах заражали другие машины. К

счастью, авторы предусмотрели такую возможность и послали по сети
команду самоуничтожения всем копиям червяка.

1.1.5. Тьюринговская лекция Кена Томпсона

В 1983 г. Кену Томпсону (Ken Thompson) -- создателю всемирно из-
вестной операционной системы UNIX, была присуждена самая престиж-
ная в мире программирования премия -- премия имени Тьюринга Амери-
канской ассоциации компьютерной техники (Association for computing
machinery) -- самой старой и наиболее массовой организации амери-
канских программистов. Свою замечательную тьюринговскую лекцию
(читаемую каждым лауреатом на ежегодном съезде общества) Кен Томп-
сон посвятил не истории создания системы UNIX, а проблеме внесения
тонких ошибок в код компилятора, которые невозможно обнаружить пу-
тем анализа исходного текста последнего [Thompson84]. Хотя в то
время данная тема казалась чем-то незначительным, Томпсон затронул
важную проблему, ставшую актуальной только с появлением компьютер-
ных вирусов. В своем заключении -- оказавшемся в значительной мере
пророческим -- он в частности сказал:
Нельзя доверять программам, написанным не вами самими т Ника-
кой объем верификации исходного текста и исследований не защитит
вас от использования ненадежного (untrusted) кода. По мере того
как уровень языка, на котором написана программа, снижается, нахо-
дить эти ошибки становится все труднее и труднее. Хорошо проду-
манную (well installed) ошибку в микрокоде найти почти невозмож-
но.
Я хотел бы подвергнуть критике прессу за ее освещение проблемы
хакеров, банды 414, банды Дальтона (Dalton gang) и т.д. Действия
этих ребят представляют собой в лучшем случае вандализм, а в худ-
шем -- возможно, правонарушение и воровство. Только несовершенство
уголовного законодательства спасает хакеров от очень серьезных на-
казаний. Компании, которые могут пострадать от этой активности (а
большинство крупных компаний являются очень уязвимыми в этом отно-
шении), предпринимают значительные усилия с тем, чтобы добиться
изменения уголовного законодательства. Несанкционированный доступ
к компьютерным системам уже является серьезным преступлением в ря-
де штатов, и соответствующие законы в настоящее время рассматрива-
ются во многих других штатах и в Конгрессе.
Надвигается взрывоопасная ситуация. С одной стороны, пресса, те-
левидение и фильмы делают героев из этих вандалов, называя их вун-
деркиндами (whiz kids). С другой стороны, действия этих ребят бу-
дут скоро наказываться годами тюрьмы.
Я видел, как эти ребята давали показания Конгрессу. Было совер-
шенно ясно, что они не отдают себе отчета в серьезности своих дей-
ствий. Это, возможно, связано с различиями в культурном уровне
(cultural gap). Проникновение в компьютерные системы должно накла-
дывать на человека такое же клеймо, как проникновение в чужую
квартиру. И не имеет никакого значения, что дверь соседа оказалась
незапертой. Пресса должна понять, что неверное использование ком-
пьютера ничем не лучше управления автомобилем в нетрезвом состоя-
нии (перевод Н.Н.Безрукова).

1984 г. оказался переломным в истории компьютерных вирусов -- в
течение года произошло несколько событий исторического значения
с точки зрения компьютерных вирусов.
В мае 1984 г. в журнале Scientific American А.К.Дьюдни
(A.K.Dewdney) -- автором колонки Занимательный компьютер
(Computer Recreations) был опубликован упрощенный вариант игры
Darvin, названный Core War (Бой в памяти) [Dewdney84]. Игра
вызвала значительный читательский интерес, и впоследствии было да-
же организовано международное общество International Core War
Society cо штаб-квартирой в США и филиалами в Италии, Польше, ФРГ,
Японии и СССР (152140 Переславль-Залесский 5, а/я 10, Лилитко
Е.П.) [Лилитко89]. В данной игре два игрока пишут по одной про-
грамме каждый на языке низкого уровня REDCODE. Программы помещают-
ся в большой циклически замкнутый участок памяти. Каждая команда
занимает одну ячейку памяти. Управляющая программа поочередно ис-
полняет одну команду каждой программы, подобно простейшей системе
реального времени. Программы атакуют друг друга и в то же время
пытаются избежать повреждений и восстанавливать поврежденные обла-
сти. Простейшая атака состоит в использовании команды MOV (запи-
сать в память). Например: MOV #0,1000 может убить наповал враже-
скую программу, если попадет в следующую исполняемую команду (т.е.
если следующая выполняемая команда врага расположена по адресу
1000) или ранить, если это данные или исполняемые команды, или
наконец, попасть мимо, если ячейка 1000 противной стороной не
используется.
Два итальянских программиста Р.Черути (Roberto Cerutti) и М.Мо-
рокути (Marco Morocutti), основываясь на идеях игры, попытались
создать программу, обладающую свойством саморазмножения в реальных
условиях, на Apple II, получившей к этому времени распространение
во всем мире (впрочем, наша страна, как и некоторые другие находи-
лась в стороне от этого процесса). Apple II имел дисковод для
гибких дисков, и итальянцам удалось нащупать основную идею бутово-
го вируса -- перехват прерывания по чтению и заражение каждой
вставляемой в ЭВМ дискеты. Они также сообразили, что будучи реали-
зованной, программа вызвала бы миниэпидемию в масштабах их родного
города Брешиа. Более того, поняв, что указанная программа является
компьютерным вирусом, они по аналогии с естественными вирусами
пришли к идее о том, что компьютерный вирус может наносить вред.
Для этой цели они предложили встроить счетчик в бутсектор и через
каждые 16 размножений (это, по сути, первое упоминание идеи счет-
чика в бутсекторе -- идеи, которая будет открываться и переоткры-
ваться многими разработчиками вирусов для IBM PC) запускать пере-
форматирование дискеты. Однако они во-время ужаснулись возможным
последствиям и отказались от реализации практически полностью спе-
цифицированной программы. Тем не менее, они имели неосторожность
изложить свои идеи достаточно подробно в письме в журнал
Scientific American, а А.К.Дьюдни в апрельском (за 1985 г.) об-
зоре писем читателей по поводу игры Бой в памяти [Dewdney85]
опубликовал их письмо. Последнее можно рассматривать как первую
достаточно полную опубликованную спецификацию бутового вируса.
Рассматриваемая публикация несколько ускорила последующие собы-
тия, хотя сам их ход был уже предопределен. Поскольку журнал
Scientific American относится к наиболее читаемым научно-попу-
лярным журналам как в США, так и в других западных странах, письмо
Р.Черути и М.Морокути было замечено, и попытки повторения не за-
ставили себя долго ждать. Так, вирус, реализованный по опублико-
ванному описанию Р.Скрентой-младшим из Питсбурга (США), быстро
распространился по дискетам его знакомых и преподавателей. Для
борьбы с ним был написан антивирус, однако он оказался не в состо-
янии предотвратить дальнейшее распространение вируса.
В сентябре 1984 г. была опубликована статья Ф.Коэна (Fred Cohen)
[Cohen84], в которой автор исследовал разновидность файлового ви-
руса. Это фактически второе академическое исследование проблемы
вирусов. Работа содержала полезное, хотя и недостаточно строгое
формальное определение вируса и ряд важных соображений о большой
потенциальной опасности компьютерных вирусов, а также относительно
того, что для своего размножения вирусу достаточно обычных опера-
ций, реализуемых файловой системой любой ОС. Ф.Коэн описал ряд
экспериментов, проделанных 3.11.83 г. на системе VAX 11/750, рабо-
тающей под управлением ОС UNIX. Вирус был имплантирован в начало
утилиты VD, которая позволяла графически отображать структуру ка-
талогов диска. Поскольку VD была новой программой, о ее характери-
стиках пользователи представления не имели. В ходе пяти экспери-
ментов пользователю зараженной программы в течение определенного
времени (от 5 до 30 мин.) предоставлялся статус суперпользователя.
Эксперимент показал достаточно высокую скорость размножения вируса
(1/2 с. на заражение) и большое количество зараженных файлов. По
материалам этой статьи в 1984 г. появилась статья в журнале Шпи-
гель под названием Тайная инструкция [Spiegel84], которая вы-
звала оживленную дискуссию в ФРГ. В дискуссии принял участие и сам
Ф.Коэн. Уже тогда обсуждались вопросы о целесообразности публика-
ций по данной тематике. Как пишет в своей книге Р.Бургер, Джером
Лоубел -- советник по безопасности компьютеров фирмы Honeywell
Informations Systems, возражал против публичного обсуждения дан-
ного вопроса. В свою защиту Ф.Коэн привел следующие соображения:
Суть дела заключается все же в том, что если придумать что-либо в
этом роде под силу мне, то это может также сделать и кто-то дру-
гой, и этот другой может оказаться скверным парнем. Забегая
вперед, следует отметить, что в 1986 г. Ф.Коэн защитил диссертацию
под названием Компьютерные вирусы.
В 1985 г. на страницах журнала KES (ФРГ) Р.Дирштейн
(R.Dierstein) опубликовал комментированный перевод работы Ф.Коэна
[Dierstein85]. Этим же автором опубликовано еще несколько работ по
данной тематике, в частности [Dierstein86] и Computer viruses: a
secret threat в трудах конференции Securicom (Париж, 1986).

В том же 1985 г. Том Нельф (Tom Nelf) начал распространять по
различным BBS список Грязная дюжина -- список опасных загружаемых
программ (The Dirty Dosen -- An Unloaded Program Alert List), в
котором были перечислены известные на тот момент программы-ванда-
лы. В дальнейшем этот список, включающий большинство выявленных
троянских программ и взломанные или переименованные копии ком-
мерческого программного обеспечения для MS DOS, стал широко изве-
стен и получил сокращенное название грязная дюжина (dirty
dosen). В настоящее время список поддерживается Эриком Ньюхаузом
(Eric Newhouse) из Лос-Анжелеса и может быть получен практически
через любую сеть. В пояснениях к нему Эрик Ньюхауз отмечает, что
пользователи т могут быть уверены только в одной свойстве их вин-
честеров -- в том, что рано или поздно они полетят. Часто пользо-
ватель будет винить в этом программу, хотя на самом деле проблема
связана с электроникой или механикой. Помните, что слухи о троян-
ских программах легче запустить, чем остановить. Последний совет
не мешало бы помнить и некоторым авторам околовирусных публика-
ций (см., например, [Основcкий90]). Один из ранних вариантов этого
списка был опубликован в [Solomon88] (рис.1).
С распространением троянских программ стали создаваться програм-
мы защиты, которые можно рассматривать и как первые антивирусные
программы. Зимой 1984 г. Анди Хопкинс (Andy Hopkins) написал про-
граммы CHK4BOMB и BOMBSQAD. Первая из них позволяла проанализиро-
вать текст загрузочного модуля и выявляла все текстовые сообщения
и подозрительные участки кода (команды прямой записи на диск и
др.). Благодаря своей простоте (фактически использовался только
контекстный поиск) и эффективности CHK4BOMB получила значительную
популярность. Программа BOMBSQAD.COM перехватывает операции записи
и форматирования, выполняемые через BIOS. При выявлении запрещен-
ной операции можно разрешить ее выполнение. В начале 1985 г. Ги
Вонг (Gee Wong) написал программу DPROTECT -- резидентную програм-
му, перехватывающую попытки записи на дискеты и винчестер. Она
блокировала все операции (запись, форматирование), выполняемые че-
рез BIOS. В случае выявления такой операции программа требует ре-
старта системы. Несколько позднее появилась программа FLUSHOT, на-
писанная Росс М. Гринберг. Более поздняя версия этой программы --
FluShot Plus (версия 1.7), распространяемая как SHAREWARE с реги-
страционной ценой 10 долларов, используется и в настоящее время.
Из европейских программ отметим резидентный сторож VIRBLK, кото-
рый был написан в Вене Михелем Фитцем, и программу ANTI4US2, напи-
санную Э.Лайтингом. Название последней связано с тем, что число 4
по-немецки звучит как фир, что позволяет прочитать название как
антифирус2.

Троянские программы для ПЭВМ, совместимых с IBM PC

123JOKE - Якобы утилита для Lotus 1-2-3.
Разрушает каталоги.
ALTCTRL.ARC - Портит загрузочный сектор.
ARC513.EXE - Троянская версия архиватора. Отличается по
длине (архиватор ~ 32К). Портит бутсектор.
ARC514.COM - То же самое. Архиватор всегда .EXE.
BACKALLY.COM - Через несколько месяцев портит FAT.
BACKTALK - Случайное затирание секторов на винчестере.
BXD.ARC - Предупреждает, потом затирает FAT.
CDIR.COM - Выдает себя за утилиту, высвечивающую
каталоги в цвете -- на самом деле портит FAT.
CHUNKER.EXE - Портит FAT, возможно -- ошибка.
COMPRESS.ARC - Якобы Shareware from Borland, портит FAT.
DANCERS.BAS - Под красивые картинки портит FAT.
DEFENDER.ARC - Пишет в CMOS и форматирует диск.
DISKACHE.EXE - Вероятно ошибка, но может испортить FAT.
DISKSCAN.EXE - Якобы ищет плохие сектора,на деле -- создает.
DMASTER - --
DOSKNOWS.EXE - --
DPROTECT - --
EGABTR - Якобы улучшает работу EGA, затирает диски.
ELEVATOR.ARC - Затирает файлы, может форматировать диски.
EMMCACHE - Портит файлы, затирает загрузочный сектор.
FILER.EXE - Затирает диски.
FUTURE.BAS - Портит FAT, затирает корневой каталог.
MAP ???
NOTROJ.COM - Претендует быть антитроянской программой,
на деле - наоборот.
TIRED - Портит FAT.
TSRMAP - Дает карту программ TSR, затирает бутсектор.
PACKDIR - Якобы оптимизирует винчестер, портит FAT.
PCLOCK - Портит FAT.
PCW271xx.ARC - Троянская версия PC-Write v2.71, размером
98274 байта (настоящая - 98644). Портит FAT.
PKX35B35.EXE - Портит FAT. Настоящая называется PKX35A35.
RCKVIDEO - Под картинки рок-звезды портит FAT.
SCRNSAVE.COM - Затирает винчестер.
SECRET.BAS - Форматирует диски.
SEX-SHOW.ARC - Затирает все файлы в каталоге.
SIDEWAYS.COM - Настоящая программа обеспечивает фоновую
печать, эта - портит бутсектор.
SUG.ARC - Якобы снимает защиту Softguard, портит FAT.
TOPDOS - Форматирует винчестер.
VDIR.COM - Портит файлы на диске.
VISIWORD.ARC - Портит диск.
WARDIAL1.ARC - Портит FAT.

Ох! Знобит от рассказа дотошного
В.Высоцкий

События 1985-86 гг. по времени совпали с быстрым ростом произ-
водства и резким снижением цен на ПЭВМ серии IBM PC (появились мо-
дели по цене менее 1000 долларов), которые и ознаменовали начало
нового этапа развития компьютерных вирусов (отметим, что в 1989 г.
американцы имели возможность купить за ту же цену модель с процес-
сором 80386 -- см., например, Byte, 1989, v.14, щ 6, p.65, а в
1989 г. по крайней мере в одном американском университете -- Drexel
University, штат Филадельфия, к поступающим предъявлялось требова-
ние иметь собственный компьютер). Поэтому второй этап в развитии
вирусов связан с достижением критической массы произведенных
ПЭВМ, совместимых с IBM PC -- самого массового компьютера в истории
развития вычислительной техники. Эта масса, по-видимому, была
достигнута в 1987 г., когда одновременно в нескольких странах про-
изошли вспышки заражения компьютеров вирусами. Эти вспышки и озна-
меновали начало второго этапа развития рассматриваемого класса
программ, на котором они уже стали представлять собой угрозу для
всех пользователей ПЭВМ. В отличие от первого этапа, когда разра-
ботки вирусоподобных программ носили исследовательский характер и
авторы выполняли эксперименты, заручившись согласием пользовате-
лей, стараясь внести какой-то вклад в системное программирование,
атмосфера второго этапа носит характер противостояния пользовате-
лей группе безответственных или уголовных элементов

Можно противостоять всему,
за исключением искушения
О.Уайлд

Массовое распространение клонов IBM PC привело к резкому увели-
чению количества людей, активно занимающихся программированием на
компьютере, а следовательно, и прослойки компьютерных фанатов.
Если раньше этот тип людей встречался в основном в университетских
городках и больших вычислительных центрах, то с распространением
клонов IBM PC ситуация существенно изменилась. Обладателями мощных
и в то же время дешевых компьютеров стали школьники, пенсионеры, а
также другие лица, располагавшие, помимо желания попробовать свои
силы в программировании, еще и значительным количеством свободного
времени.
Как и в других областях человеческой деятельности, спектр отно-
шения людей к программированию и вычислительным машинам очень ши-
рок: от ненависти, через полное безразличие до патологической при-
вязанности или зависимости, которую можно квалифицировать как ма-
нию. Всякий работавший в вычислительном центре на больших ЭВМ и
видевший, как к концу второй смены некоторые программисты наспех
вносят плохо продуманные изменения в свои программы и умоляют
электронщиков дать еще минутку, чтобы посмотреть, что получится,
узнает сцену, описанную Ф.М.Достоевским в романе Игрок:
В одиннадцатом часу у игорных столов остаются настоящие, отча-
янные игроки, для которых на водах существует только одна рулетка,
которые и приехали для нее одной, которые плохо замечают, что вок-
руг них происходит, и ничем не интересуются весь сезон, а только
играют с утра до ночи и готовы были бы играть, пожалуй, и всю ночь
до рассвета, если б можно было. И всегда они с досадой расходятся,
когда в двенадцать часов закрывают рулетку. И когда старший крупер
перед закрытием рулетки около двенадцати часов, возглашает: Les
trois derniers coups, messieurs ! (Три последних игры (букв.:
удара), господа -- прим. перев.), то они готовы иногда проставить
на этих трех последних ударах все, что у них есть в кармане, -- и
действительно тут-то наиболее и проигрываются [Полн. собр. соч. в
30-ти томах. -- Л.: Наука, т.5, 1973, c.292].
Психологи отмечают, что у страстных игроков имеются определенные
психологические черты, роднящие их с одержимыми программистами.
Для страстного игрока игра -- это все (весь мир -- игра). Даже вы-
игрыш менее важен, чем сама игра. В свою очередь, для программи-
ста-фаната работа за дисплеем -- это и есть настоящая жизнь, а все
остальное -- скучная обязаловка. Одержимый программист с трудом
переносит разлуку с машиной. Постоянная работа с машиной наклады-
вает определенный отпечаток на язык и мышление таких людей. Наблю-
дается перенос некоторых программистских терминов типа зациклил-
ся, завис, вычислить (например фраза я тебя вычислил ис-
пользуется со значением я понял, разгадал что-то) в повседневную
жизнь. Создается впечатление, что другие люди воспринимаются ими
как программы, а окружающая среда -- как некая супероперационка,
для вселенского гиперкомпьютера.
Вместо сочетания одержимый программист как в разговорной речи,
так и в литературе часто используется термин хакер (от англ.
Hack -- рубить, кромсать) и уже создан определенный образ хакера.
Это очень способный молодой человек, работающий за дисплеем по 12
-- 16 ч. подряд, до полного изнеможения, а если представляется воз-
можность, то и ночи напролет. Питается урывками. Внешний вид сви-
детельствует о том, что он не обращает внимания на внешний мир и
не слишком интересуется мнением окружающих: джинсы, мятая рубашка,
нечесанные волосы. Блестяще знает все подробности операционной си-
стемы, языка ассемблера и особенности периферийного оборудования.
Основная продукция -- маленькие недокументированные системные
программы, ради которых, а также ценя в нем консультанта по деб-
рям операционной системы и внешних устройств, ему и разрешают ра-
ботать на машине, когда он хочет и сколько он хочет. Обычный метод
их создания -- кромсание чужих программ, что и объясняет смысл
термина хакер. В просвещенном варианте -- это дизассемблирование
подходящей программы, модификация ассемблерного текста c удалением
следов принадлежности программы другому автору, даже если доработ-
ка в сущности была совсем пустяковая, вставка собственной клички
(обычно достаточно экзотической, например SuperHunter), а затем
ассемблирование. Документация, естественно, не нужна, поскольку
сам хакер знает, что послужило прототипом, да и вообще руководст-
вуется принципом умный догадается, а дураку не нужно. В диком
варианте кромсается непосредственно загрузочный модуль в отладчи-
ке. Здесь отсутствует не только документация, но и исходный текст
изделия.
Ну и конечно, у каждого хакера есть сверхзадача, своего рода го-
лубая мечта (удачные небольшие системные программки, благодаря ко-
торым он пользуется уважением, им самим рассматриваются как подел-
ки): новая операционная система, алгоритмический язык, программа,
выигрывающая у человека в какую-нибудь сложную, интеллектуальную
игру, или инструментальная система супер -- облегчающая все, все,
все (самая любимая задача). Конечно, статус хакера не является по-
жизненным. Это своего рода детская болезнь, и из среды нормаль-
ных хакеров вышел ряд известных разработчиков системного програм-
много обеспечения.
Для части хакеров, обычно называемых кракерами, в качестве
сверхзадачи выступает проникновение в какую-нибудь систему, снятие
защиты программного продукта от копирования или что-то аналогич-
ное. Именно эта часть хакеров становится причиной головной боли
разработчиков коммерческого программного обеспечения, снабженного
средствами защиты от незаконного копирования, а также пользовате-
лей баз данных с конфиденциальной информацией.
Другая часть кракеров, иногда называемых информационными путе-
шественниками, специализируется на проникновении в удаленные ком-
пьютеры, подключенные к некоторой сети. Так, студенты одного из
университетов США составили и сумели ввести в ЭВМ программу, ими-
тирующую работу с удаленными пользователями. К моменту разоблаче-
ния пользователи сумели получить более 100 таких паролей. Деятель-
ность этой разновидности кракеров в большинстве западных стран
рассматривается или граничит с уголовной. Неслучайно ряд кракеров
на Западе были осуждены на сроки от 6 месяцев до 10 лет тюремного
заключения.
И наконец, самая худшая порода хакеров -- это создатели троянских
программ и компьютерных вирусов. Впрочем, их уже нельзя назвать
хакерами, поскольку неформальный кодекс хакера запрещает исполь-
зование своих знаний операционной систем и оборудования во вред
пользователям. Это своего рода паршивые овцы, которые бросают
тень на хакеров в целом. Обычно их называют техно-крысами. По-
скольку жертвами вирусов обычно становятся не специалисты, а те,
кто использует компьютер как инструмент своей профессиональной де-
ятельности или как хобби, психология разработчиков вирусов сродни
психологии негодяев, отбирающих деньги у школьников младших клас-
сов, которые мать дала им на обед.

До чего же нам иногда тесно
в разумных пределах
Евгений Сагаловский

Как уже отмечалось, в 1987 г. в разных местах, независимо друг
от друга были зарегистрированы три случая массового заражения кло-
нов IBM PC компьютерными вирусами.
Первым Вирусом-87 был так называемый Пакистанский вирус, разра-
ботанный братьями Амджатом и Базитом Алви (Amdjat и Basit Faroog
Alvi) в 1986 г. Он был обнаружен летом 1987 г. По непроверенным
(и, вероятно, завышенным) данным, приведенным Маккафи (McAfee)
[McAfee89b], он заразил только в США более 18 тысяч компьютеров.
Этот бутовый вирус создан в основном Амджадом -- 26-летним выпуск-
ником отделения физики Пенджабского университета, который, по его
заявлению, пытался наказать американцев, покупавших дешевые неза-
конные копии программ в Пакистане. Амджат утверждает, что по паки-
станским законам свободное копирование не является преступлением,
и хотя он не одобряет такое положение вещей, вынужден с ним ми-
риться и не может наказывать других. Поэтому он не продавал зара-
женные вирусом незаконные копии пакистанским покупателям. Другое
дело -- американцы, у которых существуют законы, запрещающие пират-
ство. Их, по его мнению, стоило проучить. К середине 1987 г.
братья признали, что уже достаточно проучили пиратов и прекратили
распространение вируса. Однако вирус уже сумел распространиться по
США, а оттуда попал в другие страны, в том числе и в СССР. Кроме
того, начали появляться штаммы с измененными текстовыми сообщения-
ми и свойствами.
Вторым Вирусом-87 стал Лехайский вирус, появившийся в ноябре
1987 г. в одноименном университете США. В течение нескольких дней
этот вирус уничтожил содержимое нескольких сот дискет из библиоте-
ки вычислительного центра университета и личных дискет студентов
[Wyk89]. По данным Маккафи, опубликованным в журнале Datamation
[McAfee89b], по состоянию на февраль 1989 г. только в США этим
вирусом было заражено порядка четырех тысяч компьютеров. Следует
отметить, что учитывая склонность Маккафи искажать данные в выгод-
ную для него сторону к приводимым им цифрам нужно относиться кри-
тически, уменьшая их примерно в пять раз.
Перед самым Новым годом, 30 декабря 1987 г., был обнаружен вирус
в Иерусалимском Университете (Израиль). Хотя существенного вреда
этот вирус не принес, он быстро распространился по всему миру (по
данным Маккафи, более 3 тысяч зараженных компьютеров только в США)
и, по-видимому, является первым вирусом, распространение которого
приобрело характер пандемии [Radai89].
В том же 1987 г. в издательстве Data-Becker вышла монография
Р.Бургера Компьютерные вирусы. Она выдержала несколько переизда-
ний, переведена на английский язык, а в 1989 г. -- на русский язык
[Burger88]. Автор неосторожно включил в книгу ряд исходных текстов
демонстрационных программ вирусов на разных языках и листинг так
называемого венского вируса. Такой, чрезмерно расширенный, несмот-
ря на изменившуюся ситуацию, уровень гласности дает основания
рассматривать роль данной книги как весьма противоречивую.
Свой вклад в распространение вирусов внесли и некоторые журналы.
Так, журнал C't в том же году опубликовал код вируса уголек
для ПЭВМ Atary ST и фаг к этому вирусу [Krabel87]. Вскоре этот ви-
рус проник в компьютеры издательства Data-Becker, а затем и на ди-
стрибутивные дискеты, распространяемые этой фирмой. К счастью, он
был быстро обнаружен и уничтожен.
В 1988 г. проблема защиты программного обеспечения от заражения
компьютерными вирусами в странах США и Западной Европы приобрела
характер приоритетной. Это прежде всего связано с тем, что в усло-
виях значительной зависимости различных учреждений от компьютерных
систем, проникновение вирусов представляет потенциальную опасность
и может привести к серьезным последствиям. Например, летом 1988 г.
компьютерный вирус инфицировал три компьютера в Мичиганском госпи-
тале, которые обрабатывали информацию о пациентах. Он был обнару-
жен в процессе анализа причин неправильного функционирования сис-
темы, заключавшейся в том, что на дисплей неверно вызывались рас-
ширенные диагностические сведения. По данным администрации госпи-
таля вирус перемешал фамилии пациентов в базе данных ПЭВМ
Macintosh II. Как показало расследование, вирус был занесен при
ремонте винчестера одного из компьютеров. К счастью, никому из па-
циентов не был поставлен неправильный диагноз или назначено непра-
вильное лечение в результате перемешивания фамилий пациентов в ба-
зе данных. Однако, по мнению специалистов, это был вопрос времени
и вполне мог стоить кому-то жизни. Данный случай является вторым
случаем вторжения в медицинские компьютеры (первый был связан с
проникновением кракеров, которые просматривали базу данных, но не
нанесли никакого ущерба) и первым случаем, когда настоящие данные
пациентов и диагностирования манипулировались вирусом [Zajac89c].
Из компьютерных Вирусов-88 отметим вирус падающих букв и италь-
янский попрыгунчик, распространение которых также приняло харак-
тер эпидемии. Особое внимание общественности привлек так называе-
мый вирус Морриса: 2.11.88 г. Роберт Моррис-младший, аспирант фа-
культета информатики Корнельского Университета инфицировал с по-
мощью написанного им вируса большое количество компьютеров (по
ориентировочным оценкам порядка 6000), подключенных к американской
национальной сети Internet (не путать c распространенной локальной
сетью Ethernet) [Highland89b]. Хотя никакой потери или изменения
данных не произошло, многие тысячи часов рабочего времени были по-
теряны пользователями Internet.
Это событие вызвало значительную реакцию американской и мировой,
прессы, включая советскую. Так ведущие американские газеты, вклю-
чая Чикаго Трибьюн, Нью-Йорк Таймс и Бостон Геральд, опубли-
ковали репортажи с места события. Ими широко освещалась динамика
распространения вируса и разработка методов борьбы с ним, а также
затрагивались общие проблемы обеспечения безопасности компьютерных
систем. Позднее в аналитических статьях по этому поводу обсужда-
лись нерешенные проблемы, относящиеся к вопросам безопасности ком-
пьютерных систем, и предлагались законодательные инициативы, на-
правленные на предотвращение подобных случаев в дальнейшем. В час-
тности, не без влияния этой серии публикаций в палате представите-
лей были внесены два проекта законов, предусматривающих уголовное
наказание за создание и распространение компьютерных вирусов.
Помимо информации типа как это было и то ли еще будет, в
американской прессе широко обсуждался вопрос о том, как квалифици-
ровать поступок Морриса: является ли Моррис героем-хакером, кото-
рый без нанесения серьезного ущерба указал на слабые места в наци-
ональной компьютерной сети, или он является преступником, который
должен быть сурово наказан. При этом характер обсуждения и поляри-
зация мнений в некоторой степени напоминали дискуссии по поводу
известного всем нам случая с посадкой Руста на Красную площадь.
Вскоре Моррис был отчислен из Корнельского университета.
Министерство юстиции США довольно долго изучало вопрос о возмож-
ности привлечения Морриса к суду на основе действующего законода-
тельства, и только 18 января 1990 г. в городе Сиракьюс (штат Нью-
Йорк) начался судебный процесс по делу Морриса. Нанесенный ущерб
был оценен в 150 тыс. долларов. Процесс над Моррисом стал возмо-
жен в результате принятия в 1986 г. федерального закона об ответ-
ственности за преступления, связанные с компьютерами (1986 U.S.
Computer Fraud and Abuse Act). Моррису грозил штраф в 250 тыс.
долларов и тюремное заключение сроком до 5 лет. Адвокат Морриса
утверждал, что тот якобы создал вирус для проведения эксперимента
по проверке защиты компьютера. При этом он допустил ошибку, кото-
рая и привела к нежелательным результатам. Моррис, по словам адво-
ката, не стремился нанести какой-либо ущерб компьютерным системам
США. Интересно отметить, что в интервью репортеру одной из амери-
канских газет мать Морриса упомянула тот факт, что роман The
Shockware Rider Джона Бруннера был одной из наиболее зачитанных
книг в комнате юного Морриса. 4 мая 1990 г. суд присяжных признал
Морриса виновным. Он был приговорен к условному заключению сроком
на два года, 400 часам общественных работ (американский аналог
отечественных 15 суток) и штрафу размером 10 тыс. долларов. Осуж-
дение Р.Морриса-младшего показывает что американское общество уже
осознает опасность и предпринимает меры по борьбе с ней.
В 1989 г. панику в США и западноевропейских странах вызвали
вирусы DATACRIME, которые запрограммированы так, что начиная с 12
октября они разрушают файловую систему, а до этой даты просто раз-
множаются. Эта серия компьютерных вирусов, состоящая, как полага-
ют, из трех программ (Датакрайм 1, 2, 3) начала распространяться
в Нидерландах, США и Японии приблизительно в начале 1989 г. и к
сентябрю поразила, по некоторым оценкам (которым, впрочем, не сто-
ит особенно доверять), около 100 тысяч ПЭВМ только в Нидерландах
(что составляет около 10% от их общего количества в стране). Даже
фирма IBM отреагировала на эту угрозу, выпустив свой детектор
VIRSCAN, позволяющий искать характерные для того или иного вируса
строки (сигнатуры) в файловой системе. Набор сигнатур может допол-
няться и изменяться пользователем. В нашей стране в 1989 и 1990
гг. случаев заражения данным вирусом не отмечалось; потенциальную
опасность представляет 12.10.91 г.
В начале августа 1989 г. в Амстердаме состоялся международный
съезд хакеров, в ходе которого были продемонстрированы дыры в
существующих системах обеспечения безопасности и контроля от не-
санкционированного доступа. В качестве доказательства своих спо-
собностей представители одной из групп кракеров, подключившись к
ЭВМ местного банка, получили 270 тысяч франков. Вернув на следую-
щий день эту сумму наличными, кракеры продемонстрировали уязви-
мость системы защиты банковских компьютеров.
Еще одной нашумевшей историей была так называемая AIDS
Information Trojan -- троянская программа, распространявшаяся в де-
кабре 1989 г. в составе пакета с базой данных о заболевании синд-
ромом приобретенного иммунодефицита (СПИД). Как программа, так и
база данных были записаны на дискете, которая была разослана 20
тысячам заказчиков, включая ряд медицинских и общественных органи-
заций США, Франции, Великобритании, ФРГ, Дании, Норвегии, Швеции и
многих других стран. Затраты на рассылку составили порядка 200
тыс. долларов. Все адресаты получили по почте посылку с упаковкой
данного продукта, на которой указывалось его назначение, а на об-
ратной стороне крайне мелким шрифтом были набраны условия распро-
странения. Сопроводительное письмо извещало, что на дискете содер-
жатся новые сведения по проблемам СПИДа, но в письме условия ис-
пользования дискет не указывались. После записи на винчестер, они
действительно начали выдавать информацию по обещанной тематике.
Однако затем вся информация на винчестере была перекодирована и на
экранах появилось требование перечислить сумму в 378 долларов на
счет незарегистрированной фирмы в Панаме. В этом случае пользова-
телю якобы будет выслана программа восстановления перекодированной
информации. Среди пострадавших были как индивидуальные владельцы
компьютеров, так и лаборатории, научные центры, больницы. В неко-
торых случаях заблокированным оказался итог работы целых научных
коллективов. Джозеф Попп, предполагаемый распространитель этой
троянской программы, был арестован в феврале 1990 г. в американ-
ском штате Огайо. Если эксперты подтвердят его психическую полно-
ценность, ему не миновать тюремного заключения за проведение этой
операции по вирусному рэкету.

Интересно отметить, что еще в версии 3.0 операционной системы
CP/M можно было защитить файлы и диски от записи или чтения с по-
мощью паролей. Поэтому вызывает сожаление выжидательная позиция
фирмы Микрософт, которая могла бы при выпуске очередной версии MS
DOS легко закрыть хотя бы самые зияющие дыры в MS DOS (отсутст-
вие проверки контрольной суммы файла перед передачей ему управле-
ния, возможность сброса атрибута READ ONLY без подтверждения поль-
зователя, люки -- различные нелегальные способы получения адреса
прерывания 13 и др.). Возможно, здесь нельзя исключить и опреде-
ленный политический расчет на то, что сложившаяся ситуация будет
способствовать уменьшению количества случаев незаконного копирова-
ния коммерческого программного обеспечения, которое существенно
уменьшает доходы фирмы, а также переходу пользователей к более со-
вершенной и снабженной средствами регламентации доступа к файлам
операционной системе OS/2. Последняя из-за повышенных требований к
оборудованию (рекомендуется наличие четырех или более мегабайт
оперативной памяти) пока не пользуется ощутимым успехом. Следует
отметить, что мнение о полезности вирусов для разработчиков сис-
темного программного обеспечения было высказано официально Эндрю
Золтовским -- директором фирмы NOVELL UK Ltd, который в интервью
корреспонденту советско-польского журнала Компьютер заявил: Сей-
час стало ясно, что великолепным средством борьбы с нелегальными
копиями сталит компьютерные вирусы, распространяемые чаще всего с
бесплатным (читай ворованным) программным обеспечением [Компью-
тер, 1990, щ 2, c.5]. Такая позиция не только не этична, но и по
существу опасна для самой фирмы, исповедующей такую философию.
Ведь помимо разработчиков коммерческого программного обеспечения
существуют разработчики бесплатно распространяемого (FREEWARE) и
субсидируемого пользователями (SHAREWARE) программного обеспече-
ния, которые страдают из-за падения интереса к их продуктам в
связи с угрозой заражения. Да и для разработчиков коммерческого
программного обеспечения опасно рассматривать вирусы как средство
увеличения доходов от продажи своего программного обеспечения: от-
сюда только шаг к борьбе с конкурентами с помощью вирусов, ориен-
тированных на конкретный программный продукт, скажем, версию 2.15
сетевой операционной системы Advanced Netware. Ведь наверняка есть
люди, считающие, что положение фирмы NOWELL на рынке не соответст-
вует действительному качеству ее продуктов и препятствует более
прогрессивным решениям занять свое место под солнцем.
Так или иначе, но операционная система MS DOS показала себя не
только user friendly, но и virus friendly. И такое положение,
по-видимому, фирму устраивает: в версии 4.0 не предпринято ника-
ких специальных мер в указанном направлении. Впрочем, многие поль-
зователи считают, что эту версию имеет смысл использовать лишь в
сочетании с системой MS Windows 3.0, и не спешат переходить на
нее с версии 3.3.

Следует отметить, что в настоящее время появилось несколько аль-
тернативных, полностью совместимых с MS DOS операционных систем,
обеспечивающих ряд дополнительных возможностей защиты информации
от несанкционированного доступа, включая заражение программ виру-
сами или различного рода попытки искажения или уничтожения файлов.
Из них следует отметить DR DOS фирмы Digital Research, которая бу-
дучи более совместимой с MS DOS, чем сама MS DOS (т.е. сущест-
венно реже зависающей, что особенно важно при работе на отечест-
венных ПЭВМ типа ИСКРА 1030), обеспечивает лучшие утилиты и воз-
можность защиты файлов и каталогов. Другой интересной альтернатив-
ной разработкой является Hi DOS. Любая из этих систем более виру-
соустойчива, чем MS DOS, и, кроме того, перекрывает некоторые не-
документированные люки, через которые можно незаконно получить
адреса важнейших прерываний и другую жизненно важную для вирусов
информацию. При этом, чем изощреннее и опаснее написан вирус, тем
меньше шансов у него остаться работоспособным на альтернативной
операционной системе. Ведь для того, чтобы сохранить приемлемые
размеры, вирусу необходимо быть жестко ориентированным на особен-
ности своей среды, а общий закон приспособления гласит, что чем
больше тот или иной вид приспособлен к обитанию в той или иной
среде, тем меньше он способен перенести ее изменение.

Конечно, вирусы, рассчитанные на MS DOS, будут неработоспособны
для OS/2. В этом смысле новая операционная система предпочтитель-
нее. Однако представляется весьма вероятным быстрое появление но-
вых штаммов, адаптированных к OS/2. Сдерживающим фактором, несом-
ненно, послужит наличие средств регламентации доступа к файлам,
однако неясно, насколько трудно эту защиту обойти. В то же время
более сложная и более мощная операционная система не обязательно
является и более вирусобезопасной. Простота MS DOS приводит к то-
му, что все ее закоулки изучены, и разработчику вируса придется
проявить незаурядную изобретательность, чтобы придумать что-то но-
вое. В OS/2 таких закоулков неизмеримо больше, подробные сведения
о ее внутренней структуре отсутствуют, да и сама она занимает в
памяти намного больше места. Это создает значительное жизненное
пространство для хорошо замаскированных вирусов. В этом плане
увеличение сложности следует рассматривать как недостаток.

Опасно не наличие компьютеров,
а их нехватка

А.Азимов

Распространение дешевых компьютерных модемов привело к тому, что
телефонные сети стали использоваться тысячами, если не десятками
тысяч как платных, так и бесплатных банков данных. Последние часто
называют BBS. Одни BBS организуются группами пользователей как
центры обмена сообщениями и программным обеспечением. Другие орга-
низуются частными лицами просто как хобби. Последнее время наблю-
дается увеличение количества BBS, финансируемых разработчиками
программного и аппаратного обеспечения. Они играют важную роль
консультационных центров для соответствующих групп пользователей.
Чтобы организовать BBS нужен персональный компьютер, модем, хотя
бы одна телефонная линия, немного специального программного обес-
печения и один человек -- оператор BBS, часто называемый SYSOP
(SYStem OPerator -- оператор системы). Поскольку на Западе эти тре-
бования легко удовлетворяются, BBS стали своего рода парковыми
скамейками эпохи НТР. Конечно, качество банка данных и программ
данной BBS зависит, в основном, от уровня квалификации и преданно-
сти делу его SYSOPа. Отдельные BBS обычно служат узлами сети.
Крупнейшей в мире любительской сетью ПЭВМ является FidoNet, не-
сколько узлов которой работает в СССР (в Москве и Таллинне).
За рубежом ранние системы предупреждения о новых вирусах основы-
вались на широко разветвленной сети BBS (многие университетские
компьютерные центры организовали свои BBS, которые зарекомендовали
себя хорошим источником информации о местных вирусах и их штам-
мах).
Кроме бесплатных BBS на Западе распространены и коммерческие их
аналоги -- большие онлайновые информационные системы, такие как
CompuServe. Подключение к ним платное, зато объем и качество ин-
формации выше. Например, CompuServe предлагает мини-BBS по группам
интересов (так называемые SIG -- special interest groups). Среди
них есть и группа по борьбе с вирусами.
В некоторых западных популярных изданиях высказывалась мысль о
том, что вирусы якобы особо опасны при наличии компьютерных сетей.
Эта идея была некритически подхвачена и рядом отечественных авто-
ров, запугивающих читателей этой опасностью. Однако дело обстоит
как раз наоборот: компьютерные сети создают беспрецедентную воз-
можность обмениваться информацией, а существует древняя и мудрая
поговорка Кто предупрежден, тот вооружен. Поэтому при наличии
сетей опыт борьбы конкретного пользователя с появившимся вирусом
становится достоянием всех заинтересованных пользователей на сле-
дующий день, а не через месяц или год, как это часто бывает у нас.
В частности, история борьбы с вирусом Морриса показала, что даже в
этом случае, когда удар был фактически направлен по самой сети,
функционирование последней явилось важным фактором быстрого и пол-
ного решения проблемы прекращения его распространения. Поэтому
расписывание ужасов сетевых вирусов при практически полном отсут-
ствии сетей, как раньше запугивание генетикой и ПЭВМ (в середине
80-х в Литгазете была опубликована пространная статья, в которой
на полном серьезе доказывалось, что социалистическому обществу в
связи с его коллективистским характером ПЭВМ не нужны), является
отражением нашей отсталости и консервативности. Перефразируя при-
веденные в качестве эпиграфа слова А.Азимова можно сказать, что
Опасно не наличие сетей, а их отсутствие.
Конечно, компьютерные сети, как любое технологическое новшество,
создают и новые возможности для вандализма. Сетевые вирусы или
точнее репликаторы являются примером использования этих новых воз-
можностей. Однако суммарный эффект не отрицателен, а положителен:
наличие сети неизмеримо увеличивает эффективность защиты, создавая
возможность мгновенной передачи разработанных детекторов, фагов,
вакцин. Этот канал по своей эффективности конечно не идет ни в ка-
кое сравнение с передачей дискет через железнодорожных проводни-

ков: эту эрзац-сеть, которой вынуждены пользоваться отечественные
программисты.

Ой Вань, гляди, какие клоуны...
Нет, я, ей-богу, закричу!..
В.Высоцкий

Так или иначе, компьютерные вирусы стали частью окружающей про-
граммистов, да и не только программистов, действительности. Одним
из свидетельств этого является тот факт, что новое издание словаря
Вебстера (Webster's Ninth New College Dictionary) включает термин
вирус компьютерный. И они, конечно, не миновали нашей страны,
хотя массовые закупки персональных компьютеров типа IBM/PC у нас в
стране начались только в середине 1988 г. (как всегда мы опоздали
почти на десять лет). К этому же моменту начался выпуск советских,
правда изрядно африканизированных, клонов -- ЕС 1840, Искра 1030 и
Нейрон.
Хотя исследования, выполненные в СССР, начались довольно поздно
и их формально нельзя отнести к предыстории (автору не известны
отечественные попытки создания самовоспроизводящихся программ до
1988 г.), следует отметить, что первое отечественное исследование
в данной области было выполнено до появления у нас в стране на-
стоящих компьютерных вирусов. Оно было проведено в 1988 г.
А.А.Чижовым, который в то время работал в ВЦ АН СССР (Москва). Ос-
новываясь непосредственно на концепции самовоспроизводящихся про-
грамм, он самостоятельно реализовал демонстрационный файловый ком-
пьютерный вирус для MS DOS и провел ряд экспериментов по его рас-
пространению (см. сокращенную стенограмму выступления А.А.Чижова
на семинаре, приведенную в бюллетене СОФТПАНОРАМА 90-3). В ходе
этих экспериментов автором была выявлена чрезвычайно большая ско-
рость распространения вируса. По материалам этого исследования в
1988 г. была опубликована первая русскоязычная статья по данной
проблематике [Чижов88] (журнал был подписан в печать 26.07.88,
т.е. во время проведения в CCCР Международного детского компьютер-
ного летнего лагеря -- см. ниже). Хотя в ней не приводились сведе-
ния о конкретных вирусах в MS DOS (А.А.Чижов живыми экземплярами
вирусов в тот момент не располагал), статья содержала полезные
сведения о механизме работы этого типа программ и предупреждала о
серьезности данной угрозы. В то же время публикация имела и отри-
цательные последствия, поскольку ввела в оборот фантомные на тот
момент типы вирусов, которые с тех пор кочуют по отечественным
публикациям (вирус в объектной библиотеке, вирус в сетевом
драйвере и др.). Кроме того, неконкретность рекомендаций исключа-
ла принятие каких-то полезных профилактических мер, а призывы ав-
тора к соблюдению авторских прав носили в определенной мере мора-
лизаторский характер. Статья была замечена специалистами в Польше
(которые, кстати, отметили потенциальную опасность статьи, как по-
собия по разработке новых типов вирусов) и, возможно, других стра-
нах Восточной Европы.
Первый компьютерный вирус (С-648 по приводимой ниже классифика-
ции) появился в СССР приблизительно в августе 1988 г. Этот вирус,
часто называемый венским вирусом (по предполагаемому месту его
разработки), вызывал перезагрузку операционной системы при запуске
некоторых из пораженных им программ. Одним из первых мест, где он
был обнаружен, являлась лаборатория Института программных систем
(Переславль-Залесский). Возможно, он попал в лабораторию во время
проведения институтом (совместно с ЮНЕСКО) Международного детского
компьютерного летнего лагеря. Поскольку этот вирус к середине
1988 г. был уже довольно распространен в странах Западной Европы,
он несомненно завозился в СССР неоднократно, c различного рода но-
выми версиями программного обеспечения и компьютерными играми. В
Киеве этот вирус появился в конце 1988 г. Наибольшее распростране-
ние он получил примерно в апреле 1989 г., после чего его эпидемия
пошла на убыль, что прежде всего связано с достаточной распростра-
ненностью средств защиты от этого вируса. Одним из переносчиков
этого вируса в Киеве был адаптированный вариант программы SideKick
(шестерка). К сожалению, по стране распространяется реконструиро-
ванный одним венским программистом исходный текст данного вируса,
с довольно подробными комментариями. Этот текст, в частности, был
включен В.Бончевым в его так называемую вирусную дискету,
распространявшуюся вместе с разработанным им пакетом антивирусных
программ. Наличие исходного текста создает благоприятные условия для
появления штаммов. И, действительно, данный вирус имеет, пожалуй,
наибольшее часло штаммов из нерезидентных файловых вирусов. (см.,
например, описания вирусов С-534 и С-623).
Вторым вирусом, попавшим в СССP, был вирус RC-1701. Данный вирус
вызывал довольно интересный эффект опадания букв на экране мони-
тора. Этот вирус также имеет западноевропейское происхождение. В
СССР впервые был выделен в Институте прикладной математики имени
М.В.Келдыша АН СССР. B Киеве появился в начале 1989 г. Средства
защиты появились примерно одновременно с вирусом, поэтому сущест-
венного вреда вирус не нанес. Первым средством защиты от данного
вируса в Киеве была немецкоязычная (австрийская) программа SERUM3,
которая могла работать как в режиме фага, так и в режиме детекто-
ра. Среди первых отечественных программ, применявшихся на началь-
ной стадии эпидемии, следует отметить детектор В.Ладыгина (ИПМ АН
СССР) VIRUS_D1.
Попытки программистов организоваться для борьбы с этой новой
разновидностью системных программ относятся к началу 1989 г. Так,
12 апреля 1989 г. в Киеве в рамках семинара Системное программи-
рование было проведено первое специализированное заседание по ан-
тивирусной тематике. В дальнейшем выступления по этой теме стали
регулярными и было проведено еще несколько специальных заседаний,
посвященных защите от вирусов. Они сыграли определенную роль в со-
кращении случаев заражения компьютеров и ликвидации эпидемий виру-
сов C-648, RC-1701, и в особенности RC-1813, масштаб эпидемии ко-
торого в Киеве был наибольшим. Кстати, этот вирус хорошо прошелся
по СССР, реально показав, насколько невооруженные пользователи
уязвимы от этой новой для них опасности: сотни, если не тысячи ча-
сов были потеряны на переформатирование винчестеров и выгрузки ар-
хивных копий в надежде избежать повторного заражения. С сентября
1989 г. семинаром Системное программирование был организован вы-
пуск электронного бюллетеня СОФТПАНОРАМА, который стал важным ка-
налом распространения информации о появлении новых компьютерных
вирусов и бесплатных программах для борьбы с ними. Список про-
грамм, распространявшихся через бюллетень, приведен в прил. 5. В
том же месяце начала распространяться версия 1.0 данной работы.
Первые случаи потери важных данных от компьютерных вирусов стали
известны автору в конце 1989 г., когда к нему обратился представи-
тель оптовой базы, у которого, как оказалось, базы данных о храни-
мых запасах были повреждены вирусом RCE-1800 (Dark Avenger). Пери-
одически автору поступают сообщения о полностью уничтоженном со-
держимом винчестера, причем характер повреждений не позволяет до-
стоверно установить, имеем ли мы дело с вирусом или с тщательно
замаскированной троянской программой (например, подозревается одна
версия COLORCAM со сломанной, но как видно, не до конца, защитой),
или с выходом из строя самого винчестера. При этом, однако, броса-
ется в глаза тот факт, что примерно у половины пользователей к мо-
менту потери содержимого винчестера не существует его более или
менее свежей копии. Вот уж действительно прав был Бернард Шоу,
сказав: Опыт содержит самую дорогую школу, однако многие, похоже,
не способны учиться ни в какой другой. В конце 1989 г. в Донецке
была обнаружена троянская программа в составе нелегальной копии
известной игры FORMULA. Эта программа переписывала себя в загру-

зочный сектор винчестера и через некоторое время стирала CMOS-па-
мять.

-- Вот что, товарищи, -- говорил
Паламидов, поспешая вместе
с братьями по перу в столовую, --
давайте условимся -- пошлых
вещей не писать
И.Ильф и Е.Петров.

На первой отечественной публикации, посвященной компьютерным ви-
русам, мы уже останавливались. Практически по следам событий, сра-
зу после появления вирусов С-648 и RС-1701, был написан целый ряд
статей, однако большой срок запаздывания журнальных изданий сыграл
очень негативную роль, задержав их выход в свет настолько, что к
моменту получения читателями содержащаяся в них информация в зна-
чительной степени устарела. Написанные еще в конце 1988 г., все
они вышли только в конце 1989 г. К этому моменту эпидемии вирусов
C-648 и RC-1701 практически закончились. Среди указанных публика-
ций следует отметить статью И.Ш.Карасика [Карасик89а], в которой
впервые подробно изложены сведения о механизме работы и эффектах,
вызываемых вирусами С-648 и RС-1701. Несмотря на значительное за-
паздывание (третий номер журнала Мир ПК был подписан в печать
11.07.89 и появился в продаже в декабре 1989 г.), уровень понима-
ния механизма работы вируса RС-1701 выделяет эту работу из осталь-
ных публикаций.
В настоящее время поток публикаций по данной тематике существен-
но возрос и статьи стали появляться практически ежемесячно. Следу-
ет отметить, что сроки публикации в отечественных журналах и се-
годня остаются крайне неудовлетворительными. Например, статья
А.С.Осипенко [Осипенко90], написанная в конце 1989 г., была опуб-
ликована только в третьем номере журнала Мир ПК за 1990 г., при-
чем этот номер поступил в продажу лишь в августе, т.е. опять же
когда эпидемии вирусов, описываемых в статье, практически закончи-
лись.
Как обычно, среди основной массы нормальных публикаций, встре-
чаются и неудачные. К ним можно отнести брошюру [Основский90], со-
держащую пересказ различных слухов (о вирусе, вводящем в резонанс
головки винчестера, вирусе типа квадрат Малевича длиной 3767
байт, сетевом вирусе длиной 2231 байт, самораскручивающемся в опе-
ративной памяти вирусе размером 1201 байт и др.). Приведенные в
брошюре сведения породили новые слухи, рассматриваемые в разделе
о мифических вирусах.
Обилием спорных утверждений и излишней категоричностью грешит
статья Ф.Н.Шерстюка [Шерстюк90], в которой реализация достаточно
ограниченного по своим возможностям метода защиты от вирусов, вы-
дается за панацею. Достоинством статьи является то, что в ней
впервые в отечественной литературе описана реализация нерезидент-
ной вакцины, прикрепляющейся в конец тела программы, подобно обыч-
ному файловому вирусу. Вместе с тем, в статье допушен ряд (вполне
простительных) технических ошибок, связанных с недостаточным пони-
манием механизма использования 13 прерывания версиями 3.x и 4.x MS
DOS, а некоторые по меньшей мере спорные утверждения выдаются за
непререкаемые истины. К числу последних, в частности, относятся:
вирусы ... разрабатывают даже в кругах, близких к таким крупным
фирмам-разработчикам ПК, как IBM, в целях борьбы с фирмами, произ-
водящими компьютеры-клоны;
практика показывает, что именно специализированные антивирусные
программы (имеются в виду полифаги -- БНН) чаще всего являются раз-
носчиками вирусов;
все имеющиеся на сегодняшний день методы борьбы с вирусами
практически исчерпали себя, необходимо разработать принципиально
новые.
Первое утверждение, вынесенное в аннотацию статьи, автор ничем
не обосновывает. А доказательств причастности кругов, близких к
фирме IBM к разработке вирусов не существует, если, конечно, не
считать такими кругами всех пользователей компьютеров, совместимых
с IBM PC. Если В.Ф.Шерстюк имел в виду особенность вируса RС-1701,
состоящую в том, что этот вирус не должен был размножаться на ори-
гинальных IBM PC (кстати, в этом месте автор вируса допустил ошиб-
ку и вирус успешно размножается на таких компьютерах), то этот
факт скорее свидетельствует об обратном, т.е. о страхе автора ви-
руса перед такой могущественной фирмой как IBM.
Второе утверждение уже принципиально неверно, т.к. создает у чи-
тателей ложное впечатление об опасности полифагов. Во-первых, к
моменту написания статьи полифаги уже стали снабжаться средствами
самоконтроля на зараженность (например, Aidstest), а во-вторых,
компьютерные игры были и остаются куда более опасным источником
заражения, чем фаги.
Особенно характерно последнее утверждение, которое можно считать
своего рода лакмусовой бумажкой детской болезни левизны в вирусо-
логии. В действительности предлагаемый автором метод имеет не ме-
нее серьезные недостатки, чем те методы защиты, которые он якобы
призван заменить. В частности, принципиальными недостатками опи-
санного метода вакцинирования является потеря дискового простран-
ства (размер всех выполняемых файлов увеличивается на размер вак-
цины, который скорее всего составит порядка 512 байтов, т.е. сек-
тора диска), а также возможная потеря работоспособности некоторых
вакцинированных резидентных программ или программ со специальной
структурой (скрытыми оверлеями и др.). Вместе с тем, в комбинации
с другими методами этот метод безусловно полезен и имеет право на
существование.
С другой стороны, некоторые авторы стремятся повысить свой авто-
ритет за счет пренебрежительных высказываний о других публикациях
и разработанных антивирусных программах. Здесь также необходимо
чувство меры. Критика уровня ... - продажная девка империализма,
начинающаяся и заканчивающаяся утверждениями о том, что оппонент
просто глуп, не утруждающая себя приведением доказательств явля-
ется таким же проявлением нашей отсталости, как и выпускаемые на-
шей промышленностью ПЭВМ.

Please do not shoot the pianist.
He is doing his best
Надпись в американском баре;
приписывается также О.Уайльду

А борьба на всем пути
В общем равная почти
В.Высоцкий

Разработка первых отечественных антивирусных программ -- детекто-
ров (программ, обнаруживающих вирус) и фагов (программ, выкусы-
вающих вирус) -- началась еще в 1988 г. Из полифагов, сыгравших
значительную роль на начальном этапе, следует отметить программу
Aidstest Д.Н.Лозинского, Doctor А.А.Чижова и ANTI-KOT О.Котика.
Причем программа ANTI-KOT быстро стала коммерческой и практически
не принимала участие в борьбе с вирусами, начиная с осени 1989 г.,
а программа Doctor по этой же причине выпала из игры в важный
период сентября -- декабря 1989 г. Дольше всего бесплатно распрост-
ранялась программа Aidstest, которая с осени 1989 по лето 1990 г.
была самой популярной отечественной антивирусной программой. Одна-
ко к маю 1990 г. Д.Н.Лозинский настолько устал от звонков пользо-
вателей, что решил уйти в профессионалы, хотя, по его словам,
ему было бы достаточно секретаря, отвечавшего на непрерывные теле-
фонные звонки. Коммерческие версии до октября 1990 г. были доста-
точно дорогими и значимость Aidstest для широких кругов пользо-
вателей резко упала. Однако, начиная с октября незащищенная от ко-
пирования версия Aidstest стала распространяться по цене 3 руб.
для частных лиц (т.е. практически как SHAREWARE) и, возможно, быс-
тро обретет былую популярность. Cреди полифагов, распространяющих-
ся бесплатно, одним из лидеров стала программа Kхх Е.Сусликова
(после буквы К в имени этой программы обычно стоит количество
выкусываемых вирусов, например К41). Конечно, положение, когда
пользователи предпочитают антивирусные программы, распространяющи-
еся бесплатно, можно оценивать по-разному.
Подобно тому, как рост преступности порождает повышенный спрос
на замки и другие средства защиты, изготовители программного обес-
печения и компьютерного оборудования предпринимают попытки исполь-
зовать ситуацию для завоевания рынка. В настоящее время общее ко-
личество антивирусных средств наверное в несколько раз превышает
общее количество известных компьютерных вирусов. Только в нашей
стране разработаны десятки, если не сотни коммерческих программ
для этой цели. Цены на такого рода продукты колеблются примерно от
300 до нескольких тысяч рублей с типичной ценой в 1000 руб. за па-
кет. Как правило, коммерческое программное обеспечение распростра-
няется защищенным от копирования и требует для своей работы либо
инсталляции на винчестер со специальной дистрибутивной дискеты,
либо работы непосредственно с поставляемой оригинальной дискетой.
Это создает некоторые неудобства при архивировании или переразмет-
ке винчестера.
В связи с тем, что рынок как таковой еще не сложился, цены, ус-
танавливаемые разработчиками, как правило, совершенно не связаны с
качеством соответствующего программного продукта (иногда даже
встречаются случаи продажи по принципу толкни и убегай). Доволь-
но часто программное обеспечение для защиты от вирусов, распрост-
раняемое за меньшую цену или даже бесплатно, обладает сопоставимы-
ми или лучшими характеристиками. Эта ситуация характерна как для
отечественных, так и для зарубежных средств защиты от вирусов, что
свидетельствует о незрелости данной отрасли. Кроме того, лишь
немногие продукты сочетают защиту от вирусов со средствами
резервирования информации или защитой от несанкционированного
доступа, а именно такие интегрированные системы представляют, по-
видимому, наибольшую ценность для пользователей.

Изготовители компьютерного оборудования не так активно включи-
лись в охоту на вирусы, как изготовители программного обеспече-
ния. Тем не менее ряд продуктов доведен до уровня коммерческих и
продается потребителям. Предлагаемые аппаратные средства защиты,
как правило, представляют собой специальные платы. Однако в конце
1988 г. фирма American Computer Security Industries, Нэшвилл, шт.
Теннеси, США, представила первый надежно защищенный противовирус-
ный компьютер, класса PC AT, названный Immune System (Иммунная
система). Cистема якобы обладает иммунитетом от вирусной атаки, а
также полным набором средств, предохраняющих MS DOS и BIOS от не-
санкционированных изменений (Computer Age, январь 1989 г., см.
также Personal Computing, 1989, щ 5, р. 92).

Из зарубежных плат, повышающих степень защищенности компьютера,
отметим плату Immunetec PC фирмы Зевс (Zeus Corp., 538 Pasadena
Dr., Akron OH 44303-1704, USA; (216) 867-8181), стоимостью 295
долларов. Эта плата тестирует бутсектор и системные файлы MS DOS
на наличие несанкционированных изменений, а также позволяет запре-
тить загрузку системы с дискеты, установить паспорта и уровни до-
ступа к винчестеру. Плата совместима с сетями Novel, 3Com и IBM
Token Ring [Personal Computing, 1989, щ 5, р. 92]. Аналогичная
плата Trispan фирмы Микроникс (Micronics Inc., 1901 N Central
Expressway, Richardson, TX 75080, USA; (214)690-0595) стоит 895
долларов.
Из советских разработок интерес представляет плата PORT WATCH
CARD донецкой фирмы БИС (см. прил.5), совместимая с популярными
сетями. Работая вместе с разработанной А.Водяником резидентной
программой IWP (Intellectual Write Protector), эта плата достаточ-
но надежно перекрывает возможные пути инфекции, позволяя, в част-
ности, аппаратно блокировать загрузку, если пользователь не указал
требуемый пароль. Следует отметить, что загрузка с собственной ди-
скеты -- стандартный прием проникновения в чужой компьютер любите-
лей компьютерных игр, да и не только их.
Принцип действия IWP основан на усилении присваиваемого файлам
атрибута READ_ONLY в сочетании с защитой системных блоков, включая
MBR и бутсектор. Защищаемые файлы отмечаются специальной утилитой
MAP.EXE, устанавливающей защищаемым файлам указанный атрибут и со-
здающей в файле _IWP_.MAP в коpневом каталоге шифрованный список
элементов каталога защищаемых файлов и цепочки его кластеpов в
FAT. При загрузке IWP считывает этот список, пеpехватывает попытки
записи чеpез дpайвеp диска и анализиpует их. При выявлении пpоти-
воpечий выдается сообщение и опасная запись блокиpуется. Запись и
фоpматиpование чеpез пpеpывание 13h запpещаются, если они выполня-
ются не из дpайвеpа диска, a из дpугих пpогpамм. Вывод в поpты
контpоллеpов дисков -- если он выполняется не из BIOS по пpеpыва-
нию 13h. Используя плату Port Watch Card, IWP контролирует запись
в CMOS-память (поpт 71h) и опасные действия с портами контpоллеpов
дисководов дискет (370h..377h, 3F0h..3F7h) и винчестера
(170h..177h, 1F0h..1F7h -- PC AT; 320h..32Fh -- PC XT).
Недостатком существующей IWP является значительный объем исполь-
зуемой оперативной памяти (порядка 30К при защите винчестера 40M).
Правда, разработчики предлагают специальный драйвер, имеющий и са-
мостоятельное значение, расширяющий ОЗУ на 80K, если на компьютере
установлена карта EGA (несколько больше для карт CGA и Hercules)
за счет неиспользуемой в текстовом режиме видеопамяти. Планируется
разработка новых версий платы с IWP, записанной в ROM платы.

Отсутствие сетей и изолированность отечественных программистов
друг от друга также явилось фактором, способствовавшим распростра-
нению вирусов по нашей стране. Как уже указывалось, первые попытки
организовать обмен информацией по антивирусной тематике и рас-
пространение антивирусных программ относятся только к апрелю
1989 г. Так, в Киеве 13.04.90 состоялся тематический семинар, пол-
ностью посвященный проблеме компьютерных вирусов. Программа этого
семинара включала сообщения по четырем типам вирусов (С-648, RC-
1701, RCE-1813 и Bx1-1C (Ping-Pong)) и большую дискуссию. Начиная
с этого семинара, среди участников стали распространяться лучшие
антивирусные программы, а с сентября 1989 г. начал выходить ежеме-
сячный бюллетень COФТПАНОРАМА. В настоящее время с формата 360К
бюллетень перешел на формат 720К, приблизительно треть из которых
выделяется под новые версии антивирусных средств и текущую инфор-
мацию о компьютерных вирусах.

Из исследований, проведенных в странах Восточной Европы, следует
отметить польские и болгарские публикации. Лидером среди авторов
болгарских публикаций на рассматриваемую тему является В.Бончев.
Этим, безусловно очень способным исследователем, была опубликована
одна из первых статей по вирусу С-648 [Бончев89а], а через
некоторое время большая статья [Бончев89б], перевод которой был
включен во второй выпуск бюллетеня COФТПАНОРАМА. Несмотря на ряд
допущенных ошибок и неточностей, в ней были приведены актуальные
на тот момент сведения о вирусах группы ТР (автор лично знаком с
техно-крысой, разработавшей эту группу). В статье также очень мяг-
ко трактовался вопрос об ответственности за разработку и распрост-
ранение вирусов. Возможно это связано с тем, что в это время автор
сам распространял дискету с рядом вирусов и их исходными текстами.
Хотя мотивом служило, по-видимому, желание показать, что в компью-
терных вирусах нет ничего таинственного, эта ошибка молодости
возможно послужила одной из причин последовавшего в 1990 г. бол-
гарского вирусного взрыва (см. ниже). Вместе с тем, статьи Бонче-
ва были важным источником информации о распространяющихся в СССР
вирусах и несколько облегчили борьбу с ними. Сейчас уже можно го-
ворить о серии околовирусных статей В.Бончева в журнале Ком-
пютър за вас, причем уровень последних статей существенно превос-
ходит уровень первых. Последнее время В.Бончев стал активно участ-
вовать в электронной конференции FIDO, посвященной компьютерным
вирусам.
Вместе с тем, в статьях В.Бончева наблюдается определенный пе-
рекос в сторону раскрытия механизма работы вирусов по сравнению с
методами защиты от них, что, в общем, соответствует интересам
В.Бончева, как ведущего рубрики. Отметим, что этот перекос не-
сколько компенсируется тем, что В.Бончев является также автором
ряда бесплатно распространяемых фагов, которые помимо Болгарии,
получили определенное распространение и в СССР. Однако с точки
зрения влияния на читательскую аудиторию, указанная несбалансиро-
ванность редакционной политики вызывает сожаление. Поэтому роль
указанных статей можно оценить как несколько противоречивую. Впро-
чем автор сознает, что подобная критика может быть высказана и по
отношению к его собственной работе.
Помимо В.Бончева, ряд статей по данной тематике опубликовал бол-
гарский исследователь С.Недков [Недков89а-Недков90а, Nedkov89] и
польский исследователь А.Кадлоф [Кадлоф90, Kadlof89].

Много ли желающих получить
действительно по заслугам ?
С.Крытый. ЛГ щ 33 (16.08.89)

Вирусы, как и троянские программы, создаются конкретными про-
граммистами. Хотя дальнейшее обсуждение будет в основном техниче-
ским, не следует забывать, что ключевым аспектом проблемы является
появление техно-крыс -- новой разновидности уголовников, использую-
щих для своих целей возросшую степень анонимности, достижимую с
появлением ПЭВМ и сетей. Поэтому важным аспектом борьбы с компью-
терными вирусами становится выявления личности преступника или
преступной группы, создающей или распространяющей компьютерные ви-
русы. Руководитель американской специальной группы по изучению
компьютерных преступлений, Кирк Тэбби, занимающий пост помощника
прокурора в Эн-Арборе (шт. Мичиган) заявил: Уголовное дело можно
возбудить всегда, когда существует человек, совершивший преступле-
ние. Незаметное внедрение вируса в программу является злонамерен-
ным действием, а создание подобной программы -- преступлением (The
Computer Law and Security Report. -- 1989. -- V.5. -- No. 1 -- H.18-
21). Уголовная ответственность может сочетаться с иском за нане-
сенный ущерб.
К концу 1989 г. в ряде стран (США, Великобритания, ФРГ) находят-
ся на рассмотрении законы, предусматривающие для разработчиков и
распространителей компьютерных вирусов значительные сроки тюремно-
го заключения (в США до 15 лет). Это позволит, помимо программных
и организационных мер, применять для борьбы с вирусами и правовые
методы. В частности, в палате представителей Конгресса США внесены
билль 55 (Virus Eradiation Act) и билль 287 (Computer Protection
Act) [Crawford89].
Выдержки из билля 287 (перевод Н.Н.Безрукова)
(А) Любой, кто сознательно или умышленно саботирует надлежащее
функционирование аппаратуры компьютерной системы или связанного с
ней программного обеспечения и тем самым вызовет потерю данных,
затруднения при работе ЭВМ, убытки или вред владельцу компьютера,
должен быть оштрафован -- или подвергнут тюремному заключению на
срок не более 15 лет или подвергнут обоим наказаниям.
(В) Пострадавшая сторона имеет право в судебном порядке требо-
вать соответствующую компенсацию понесенных убытков и судебных из-
держек.

Национальный институт стандартов США и Пентагон создали Компью-
терную группу быстрого реагирования из 12 человек для борьбы с ви-
русами и поиска преступников. Кроме того, Пентагон планирует со-
здать свой коммуникационный центр и подразделение для отражения
атак на компьютерные системы (Comm. AСM, 1989, v. 32, щ 2, p.
161).
В ФРГ законодательство позволяло, в большинстве случаев, при-
влечь к ответственности изготовителей и распространителей вирусов
еще в 1987 г. Подробнее с состоянием правовой защиты от заражения
компьютерными вирусами в ФРГ по состоянию на 1987 г. можно позна-
комиться по переводу книги Р.Бургера Компьютерные вирусы
[Burger88, гл.6]. Этот перевод распространяется, в частности, че-
рез Всесоюзный центр переводов (ВЦП).
Появление достаточно суровых законов создает в известной мере
трагическую ситуацию, известную под названием поиск козла отпуще-
ния. Посадят одного, причем не самого вредного. Остальные оста-
нутся на свободе. А что такое для молодого способного человека в
17-18 лет получить даже год тюремного заключения? Да еще сознавая,
что его посадили, а остальные, принесшие не меньший вред, гуляют
на свободе.

Копии хороши лишь тогда, когда
они открывают нам смешные
стороны дурных оригиналов
Франсуа де Ларошфуко

Конечно, общепринятые приоритеты и этические принципы
[ParkerD81, Weiss82] исследований в программировании, использовав-
шиеся на первом этапе -- предыстории компьютерных вирусов, когда
проблема носила преимущественно научный характер (свободный обмен
информацией, программами и т.д.), не применимы на втором этапе,
когда проблема затрагивает интересы практически каждого пользова-
теля ПЭВМ. Сейчас как никогда остро стоит проблема выработки ко-
декса исследователя-вирусолога. Этот кодекс должен исключать
свободную передачу как самих вирусов, в особенности их наиболее
опасных разновидностей (RCE-1800, RCE-2000 и др.). Здесь есть
смысл применить подход, принятый в медицине, где лекарства разде-
лены на список-А, список-Б и т.д., причем в список-А попадают
наиболее опасные лекарства, доступ к которым наиболее регламенти-
рован, в список-Б менее опасные, но с регламентацией доступа (ре-
цепт с печатью) и т.д.
Появление коллекционеров вирусов, не ведущих работу по созда-
нию средств защиты, представляет особую опасность, поскольку попа-
дание такой коллекции в руки злонамеренного и безответственного
программиста может наделать много бед. Автор считает, что передача
вирусов может осуществляться только лицам, активно ведущим разра-
ботку средств защиты, и только на основе соглашения о нераспрост-
ранении.
Наибольшую опасность представляют собой комментированные исход-
ные тексты вирусов. Уровень квалификации, требуемый для того, что-
бы изменить в ассемблерном тексте две-три команды, и заново ассем-
блировать текст вируса намного ниже, чем тот, который требуется
для дизассемблирования и реконструкции логики. Поэтому распростра-
нение исходного текста вируса фактически является подстрекательст-
вом к созданию новых вирусов. Если два-три года назад такой
поступок мог быть связан с отсутствием осознания опасности
компьютерных вирусов, то сейчас распространявшего исходных текстов
граничит с преступлением.

Следует подчеркнуть необходимость особой осторожности для всех,
кому так или иначе приходится анализировать зараженные программы и
реконструировать логику вируса. Относящиеся к этому материалы же-
лательно держать преимущественно как личные записи, не прибегая
без необходимости к внесению комментариев в файл, содержащий ди-
зассемблированный текст. Каталоги и архивы защищать от несанкцио-
нированного доступа паролями или, предпочтительнее, шифровкой. Не-
допустимо оставлять такого рода материалы в обычных каталогах на
персональном компьютере коллективного пользования, поскольку
есть немало любителей рыться в чужих каталогах в поисках чего-ни-
будь интересненького. Реконструированный текст следует рассматри-
вать как материал для служебного пользования и не передавать не-
знакомым лицам, даже если, по их словам, они занимаются разработ-
кой антивирусных средств: для создания большинства антивирусных
средств, в особенности фагов, необходимые сведения специалист мо-
жет получить самостоятельно за два-три часа работы.
В особенности это относится к вузам, где, несмотря на нашу бед-
ность, талантливые ребята все же имеют возможность работать на
персональных ЭВМ. Часто такие ребята предоставлены сами себе и не
имеют поддержки со стороны преподавателей программирования, многие
из которых давно отошли или вообще никогда не занимались разработ-
кой реальных программ и просто боятся студентов, знающих слишком
много. При отсутствии более конструктивной цели, заполучив какие-
нибудь листинги, такие студенты могут заняться разработкой виру-
сов, а не антивирусов, не отдавая себе отчет в аморальности своих
действий. Поскольку обмен программами между студентами обычно
весьма интенсивен, вирус имеет определенные шансы на быстрое рас-
пространение. Поэтому необходимы определенные действия обществен-
ности, чтобы предотвратить такую возможность. Они могут включать
награду каждому, кто сообщит автора того или иного вируса, а также
разъяснительную работу относительно этического содержания действий
разработчиков вирусов. В этом плане заслуживает внимания обращение
к авторам вирусов американской общественной организации Професси-
оналы-программисты за социальную ответственность:
У Вас есть талант, чтобы сделать что-то полезное в жизни. То,
что Вы делаете, вредит промышленности и обществу, которое готово
принять Вас и ваш талант с распростертыми объятьями. Удовлетворе-
ние, которое Вы получите от сотрудничества с нами, намного выше
того, которое Вы получите при нанесении вреда ни в чем не повинным
людям. Остановитесь !
Среди программистов существует два основных мнения относительно
того, следует ли публиковать сведения о конкретных вирусах и мето-
дах атаки, используемых ими. Одни считают, что публикация техниче-
ских подробностей облегчит криминальным элементам, которые, к со-
жалению, имеются и среди программистов, создание более опасных и
разрушительных вирусов. Другие придерживаются противоположного
мнения, полагая, что публикация этих данных будет способствовать
мобилизации сил на создание мощных средств борьбы с этой разновид-
ностью компьютерного вандализма и предотвратит ненужное дублирова-
ние усилий. Автор придерживается второй точки зрения и считает,
что создание мощных средств защиты позволит поднять планку тех-
нической сложности разработки эффективного вируса до уровня, на
порядок превышающего сегодняшний, что существенно сузит круг лиц,
представляющих потенциальную опасность.
При написании данной работы автор сознательно исключил ряд све-
дений, которые могли бы быть использованы во вред. В частности,
дампы зараженных программ приводятся в сокращенном виде. Однако
решающее значение, по-видимому, имеет создание общественной атмос-
феры нетерпимости к попыткам разработки или использования вирусов.
Если такие попытки будут вызывать не отпор, а поощрительное похло-
пывание по плечу в коллективе разработчика, то в скором времени и
пользователям и разработчикам антивирусных программ придется бо-
роться на два фронта: против вирусов, попадающих с Запада (или с
Востока) и против отечественных разновидностей. Тем более, что
первые отечественные вирусы уже появились. Ситуация с отечествен-
ными разработчиками вирусов усложняется тем, что их довольно слож-
но привлечь к уголовной ответственности по действующему законода-
тельству (хотя специфика советской действительности оставляет не-
которую надежду в случае, если от этого вируса полетит важная
информация где-нибудь в прокуратуре или министерстве юстиции).
В связи с этим следует отметить полную бесперспективность попы-
ток использования вирусов для защиты программного обеспечения от
незаконного копирования. Поскольку распространение вируса не явля-
ется контролируемым процессом, то в данном случае скорее всего по-
страдают не лица, использовавшие незаконную копию, а другие поль-
зователи. Хотя я ни в коей мере не оправдываю незаконное копирова-
ние программ, но лекарство не должно быть опаснее, чем болезнь. Не
стоит бросать бомбу в магазин для наказания человека, укравшего
пачку сливочного масла. Более того, установление автора вируса бу-
дет означать полную потерю репутации разработчика и, следователь-
но, коммерческий крах. Этому будет, несомненно, способствовать и
широкая огласка, включая сообщения на профессиональных семинарах,
и публикации в прессе, которые последуют за установлением авто-
ра(ов) вируса.

Не так страшен черт,
как его малюют
Пословица

Основная проблема для пользователей ПЭВМ, возникающая в связи с
появлением компьютерных вирусов, состоит в том, как защитить свои
программы и данные, не прибегая к самоизоляции. Практика показыва-
ет, что эта проблема вполне разрешима. Как и против биологических
вирусов, для борьбы с компьютерными вирусами может применяться це-
лый комплекс мер: технические, организационные, юридические. Поэ-
тому наблюдаемая сейчас тенденция к самоизоляции представляется
автору совершенно неоправданной. Такое сверхреагирование в усло-
виях нашей страны практически равносильно добровольному отказу от
возможностей хоть как-то улучшить условия всей работы и повысить
ее производительность. Учитывая недоступность для большинства про-
граммистов фирменных программных продуктов, оригинальных ино-
странных журналов, доступа к национальным сетям -- всему тому, что
является повседневностью для программиста в США и Западной Европе,
обмен информацией на дискетах является, по сути, единственным спо-
собом получить информацию и хоть немного поднять собственный уро-
вень.
Потери данных в результате разрушительного действия компьютерных
вирусов в настоящее время довольно редки и по частоте не превосхо-
дят случаев потерь данных из-за неисправности оборудования. Боль-
шинство случаев заражения программного обеспечения компьютерными
вирусами, отмеченных к этому времени, не вызывали серьезных потерь
данных. В то же время сама возможность таких потерь вызывает впол-
не понятную тревогу, поскольку хотя шансы попасть под разрушитель-
ную атаку вируса пока невелики, но они, к сожалению, увеличиваются
по мере проникновения в страну новых типов и разновидностей виру-
сов. Кроме того, каждый понимает, что такой атаке можно подверг-
нуться в самый неподходящий момент. Это беспокойство имеет свои
положительные и отрицательные стороны. Отрицательной стороной яв-
ляется то, что оно толкает пользователей к самоизоляции, когда они
начинают бояться брать и пробовать интересующие их программы, хо-
тя, как уже отмечалось выше, в наших условиях такой обмен информа-
цией является основным методом повышения собственной производи-
тельности. Положительно то, что пользователи начинают уделять
адекватное внимание созданию архивных копий своих данных, а также
методам повышения надежности их хранения. Следует отметить, что,
хотя потеря содержимого дискеты, а тем более винчестера, способст-
вует быстрой выработке привычки архивировать данные, это вряд ли
можно называть приемлемым способом воспитания такой привычки и ее
лучше прибрести заблаговременно. В любом случае следует трезво
оценивать опасность: переоценка не намного лучше, чем недооценка.

Эх, Эх ! -- ей Моська отвечает
Вот то-то мне и духу придает
Что я совсем без драки
могу попасть в большие забияки!
И.А.Крылов

Количество персональных компьютеров в СССР уже начинает прибли-
жаться к миллиону. Конечно, до США, где количество персональных
компьютеров сопоставимо с количеством телефонных аппаратов, нам
еще очень и очень далеко, однако и такое количество уже представ-
ляет собой закритическую массу для создания и распространения
компьютерных вирусов собственной разработки. Поэтому неудивитель-
но, что в этом году появились файловые вирусы местного
производства (RC-600, RCE-1600, С-257, С-1004).
В 1990 г. поток вирусов, поступающих в нашу страну из-за рубежа,
несколько возрос по сравнению с 1989 г. Скорость поступления можно
оценить как примерно два вируса в месяц. Из них менее половины по-
лучают существенное распространение. Основной вклад в этот поток
продолжают вносить файловые вирусы из Болгарии (RCE-2000, RCE-1277
и др.). Поскольку за прошедший год уровень информированности поль-
зователей существенно возрос, выявленные вирусы были сравнительно
быстро локализованы. Вместе с тем, пользователи малых и отдаленных
городов нашей страны все еще сообщали о случаях заражения вирусами
RC-1701, Stone и других прошлогодних вирусах, эпидемии которых в
больших городах уже практически закончились. Таким образом, рас-
ползание вирусов идет от центра к периферии, как это происходит и
с естественными вирусами, скажем, вирусом гриппа. Опыт показал,
что скорость распространения вирусов из одного города в другой не
так уж велика, и запаздывание достигает нескольких месяцев. Это
создает возможность подготовиться к появлению очередного вируса за
счет оперативного распространения соответствующей информации и ан-
тивирусных средств через бюллетень СОФТПАНОРАМА.
В феврале 1990 г. семинаром Системное программирование был ор-
ганизован первый конкурс антивирусных программ, распространяемых
бесплатно, проводившийся в трех классах (фаги, детекторы и ревизо-
ры, резидентные фильтры). В классе фагов первое место заняла про-
грамма AIDSTEST Д.Н.Лозинского, второе место -- программа DOCTOR
А.А.Чижова. В классе детекторов и ревизоров первое место занял ре-
визор DLI В.Герасимова, второе место -- контекстный детектор VL
А.Л.Шеховцова. И наконец, в классе резидентных фильтров два первых
места поделили программы SBM В.Еременко и Б.Мостового и программа
CHECK21 В.Двоеглазова.

Первые два месяца 1990 г. оказались довольно спокойными. В марте
появился вирус Sunday, или RСЕ-1636 по используемой автором клас-
сификации. Изучение кода показало, что его можно рассматривать в
качестве штамма вируса RCE-1813 (Ierusalem, Black Friday). В воск-
ресенье RСЕ-1636 удаляет все запускаемые программы. В этом же ме-
сяце был обнаружен бутовый вирус DiskKiller тайваньского происхож-
дения. Это первый из попавших в наших страну вирусов, уничтожающих
информацию на всем винчестере так, что ее потом крайне трудно, а
для специалиста, не владеющего ассемблером, -- невозможно восстано-
вить. В частности, от этого вируса пострадал ряд ВЦ в западных об-
ластях Украины.
В апреле в Москве был обнаружен вирус RCE-2000 болгарской
разработки. В мае в Днепропетровске был обнаружен вирус RC-600 --
первый вирус, относительно которого достоверно известно, что он
был разработан в СССР. В июне в Киеве был обнаружен вирус MERPHY,
разработанный в Болгарии. В этом же месяце в Москве был обнаружен
вирус RCE-1600. Приблизительно в это же время в Москве был обнару-
жен бутовый вирус DEN ZUK и бутовый вирус индийского производст-
ва -- Joshy. В июле в нескольких точках Москвы был обнаружен вирус
RC-492. В частности, автор обнаружил его, находясь в командировке
в ВЦ АН СССР.
К сентябрьскому семинару 1990 г. было обнаружено еще шесть новых
вирусов: С-1004 (Bebe), Flu-2 (LoveChild), Attention, Print
Screen, Kemerovo-Reboot и 4096. Последний является представителем
нового поколения вирусов -- так называемых стелс-вирусов и пред-
ставляет большую опасность из-за довольно скрытого характера рас-
пространения и проявлениям, похожим на сбои оборудования. Сразу
после сентябрьского семинара был выявлен еще один представитель
стелс-вирусов -- RC-512, разработанный в Болгарии.

Как уже отмечалось, Болгария стала одним из мировых центров раз-
работки файловых вирусов. Начиная с середины 1989 г. наплыв ви-
русов из Болгарии все увеличивается и увеличивается, причем ряд
разработанных там вирусов оказались весьма изощренными и опасными.
Этот поток вирусов, затронувший как СССР, так и западные страны,
получил название болгарского вирусного взрыва. Это не совсем то-
чное название, поскольку правильнее говорить об информационном
взрыве: многие из так называемых болгарских вирусов либо вообще
не были выпущены на свободу, либо быстро локализованы и уничто-
жены, не успев создать эпидемию, однако тот факт, что они были со-
браны В.Бончевым и переданы западным вирусологам в течении доста-
точно короткого промежутка времени создал иллюзию взрыва.
Деятельность болгарских техно-крыс нанесла определенный ущерб
нашей стране, поскольку из Болгарии вирусы быстро попадают в СССР.
Всего к нам попало более 20 болгарских вирусов, ряд из которых
распространился достаточно широко. Среди последних отметим группу
Dark Avenger (RCE-1800 - Еddie, RCE-02000 - AntiBontchev, RC-512 и
др.) и группу TP-вирусов (RСE-1206, RCE-1805, RCE-2885 и др.).
Многие сотни, если не тысячи, часов были потрачены на анализ и
дезинфекцию зараженных ими программ.
Факты свидетельствуют о том, что начиная с 1988 г., в Софии сло-
жилась группа лиц, активно разрабатывавшая и распространявшая ком-
пьютерные вирусы. Общее количество разработанных ими вирусов
приближается к сотне. Среди них отметим техно-крысу, разработавшую
серию TP. Эта техно-крыса, по данным В.Бончева, закончившая свою
деятельность по созданию новых вирусов летом 1989 г., ранее была
сотрудником Высшего машинно-электротехнического института (теперь
Инженерная академия), расположенного в Софии. Фамилия автора виру-
са RE-1961 (В.Бочев) стала известна по попавшему в СССР на вирус-
ной дискете Бончева исходному тексту вируса RЕ-1961 (Yankee
Doodle-2). Этот нерезидентный файловый вирус был исторически пер-
вым болгарским вирусом, заражавшим EXE-файлы стандартным способом
и первым вирусом, использовавшим мелодию играющего мелодию Янки
Дудль Денди при запуске зараженного файла. Правда, несколько
странно, что болгарский программист использовал в своей программе
мелодию марша Янки Дудль Денди (Yankey Doodle Dandy). Кстати,
В.Бочев является автором некоторых статей, опубликованных в Ком-
пютър за вас [ ].
Наиболее известной болгарской техно-крысой на данный момент яв-
ляется программист, скрывающийся под кличкой Dark Avenger, проду-
кция которого (более десятка изощренных вирусов) уже могла бы
быть оценена в западных странах солидным сроком тюремного заключе-
ния. Первым из вирусов, разработанных этой техно-крысой, в СССР
попал вирус RCE-1800. Этот вирус, часто называемый Eddie, по соде-
ржащейся в нем текстовой строке был и остается одним из наиболее
опасных файловых вирусов. В нем предусмотрено разрушение секторов
на диске, а также использован несколько отличный от предыдущих ви-
русов механизм размножения (RCE-1800 заражает файлы не только при
выполнении, но и при открытии), обеспечивавший вирусу более быст-
рое распространение.
Весной 1990 г. в нашей стране был обнаружен очередной вирус
этого технопата -- RCE-02000, который на зараженной машине маски-
рует увеличение длины зараженных файлов. Это один из наиболее
скрытно размножающихся и опасных вирусов-вандалов. В тексте вируса
RCE-02000 имеется строка © 1989 by Vesselin Bontchev, располо-
женная в конце тела вируса, т.е. в последнем блоке зараженной про-
граммы. Подобного рода клеветнические приемы типичны для техно-
крыс и В.Бончев не является первым и последним разработчиком анти-
вирусных программ, которому приходится защищаться от пиратства
наоборот. Попытки приписать авторство вирусов разрабочикам анти-
вирусных программ или превратить очередные версии этих программ в
троянские, т.е. распространяющие новый вирус, предпринимались тех-
но-крысами неоднократно, однако в случае RCE-02000 вирус, являясь
резидентным, еще и блокирует запуск антивирусных программ В.Бонче-
ва, проверяя загружаемые программы на наличие части приведенной
выше строки и вызывая зависание, если строка найдена. В 3/4 номере
за 1990 г. журнала Компьютер за вас В. Бончевым было опубликова-
но опровержение, подтвердившее, что автором данного вируса являет-
ся DARK AVENGER -- предположение возникшее у большинства советсвих
вирусологов, анализировавших кода данного вируса. Более того, в
указанном номере опубликовано и письмо самого DARK AVENGER. По-ви-
димому, это первая публикация техно-крысы, хотя не совсем понятно,
зачем предоставлять технопатам возможность печататься. Поскольку
появление письма DARK AVENGER по времени совпало с распространени-
ем вируса RCE-02000, это еще раз показывает, насколько техно-кры-
сам присущ комплекс Герострата. Интересно отметить, что в письме
название журнала Компютър за вас изменено на достаточно едкое
Вирус за вас, что, учитывая факт публикации письма и статей
В.Бочева, имеет определенные основания.

Скоро ваши рыжие кудри, Шура,
примелькаются, и вас начнут бить
И.Ильф и Е.Петров

Дурной пример заразителен, и в настоящее время cоветским вирусо-
логам уже нельзя в своих публикациях кивать на Болгарию -- мол
какое у них творится безобразие. Социально-экономические условия
СССР и Болгарии достаточно близки, а существовавшее значительное
отставание в распространении персональных компьютеров сейчас нес-
колько сократилось. Поэтому грядет советский вирусный взрыв, тем
более, что если по качеству мы всегда отстаем, то по количеству
какой-то вредной продукции являемся мировым лидером. И я боюсь,
что по количеству разрабатываемых компьютерных вирусов мы скоро
будет серьезно конкурировать с Болгарией. Уже сейчас можно назвать
более десятка вирусов, разработанных в СССР. К ним относятся RC-
529, RC-600, RCE-1600, RCE-2458 (Victor), С1004 (Bebe), и вероят-
но, С257. Первые три вируса разработаны в Воронеже, и соответству-
ющий член колхоза имени Герострата известен в кругах вирусологов
как Воронежский пакостник. Интересно отметить, что эта технокры-
са работает в паре со своим отцом, специализирующимся на распрост-
ранении выращенных вирусов. Вот уж, действительно, ...яблоко от
яблони ... Вирус RCE-2458 живьем пока не попадался и, возможно,
разработан кем-то из иммигрантов. Происхождение вируса C-1004
(Bebe) выдают содержащиеся в нем фразы.
Из указанных вирусов наибольшее распространение получил, по ви-
димому, RC-1600, который был обнаружен в июне 1990 г. Учитывая
предупреждение Томпсона, высказанное им в его знаменитой Тьюрин-
говской лекции, автор призывает продуманно подходить к упоминанию
фамилий разработчиков вируса в антивирусных программах, документа-
ции к ним и публикациях на данную тему. Незачем создавать рекламу,
по сути идя на поводу у какого-то молодого балбеса или ущербной
личности, страдающей от чувства собственной неполноценности и не
способной найти своим ограниченным способностям какое-то конструк-
тивное применение.

Не стоит слишком мучать себя
вопросом: Как это возможно?
Р.Фейнман

Уже в середине 60-х гг. разработчики и пользователи обнаружили,
что системы разделения времени весьма небезопасны с точки зрения
возможности доступа к чужим данным и программам посторонних лиц, и
начали принимать меры защиты против непрошенных гостей. Поэтому
сначала кратко рассмотрим некоторые приемы, применяемые злоумыш-
ленниками для повреждения чужих программ и данных. Важно пони-
мать, что вирусы являются только одним из возможных способов ин-
фильтрации в чужую компьютерную систему.
Доверие к той или иной компьютерной системе фактически означает
доверие по отношению к тем, кто ее разработал, и тем, кто ею поль-
зуется. Эксперты по безопасности компьютерных систем часто подчер-
кивают, что эти проблемы в значительной степени являются социаль-
ными проблемами. Поэтому, как и в других сферах человеческой дея-
тельности, появилась и развивается компьютерная преступность. Ви-
русы являются только частью проблемы компьютерной преступности, и
их правильнее всего рассматривать в этом, более общем контексте.

Homo homini lupus est
(Человек человеку волк)
Плавт

Класс программ, направленных на причинение вреда пользователям,
часто обозначают термином Badware, по аналогии с тем, что для
обозначения программного обеспечения обычно используется термин
Software. На русский язык этот термин иногда переводится каль-
кой софтвер, который не прижился из-за своей неблагозвучности .
Мне кажется, что в технической литературе отдельные общепринятые
иностранные слова можно использовать без перевода. Badware включа-
ет ряд подклассов, среди которых наиболее распространенными явля-
ются троянские программы и компьютерные вирусы.

O tempora, o mores !
(О времена, о нравы !)
Цицерон

Троянскими программами (троянскими конями) обычно называют про-
граммы, содержащие скрытый модуль, осуществляющий несанкциониро-
ванные действия. Эти действия не обязательно могут быть разруши-
тельными, однако практически всегда направлены во вред пользовате-
лю. В свою очередь, троянские программы можно разделить на не-
сколько категорий.

Троянские программы-вандалы обычно выполняют или имитируют вы-
полнение какой-нибудь полезной или экзотической функции. При этом
в качестве побочного эффекта они стирают файлы, разрушают катало-
ги, форматируют диск и т.д. Иногда разрушительный код встраивается
в какую-нибудь известную программу. Чтобы привлечь пользователей,
полученная троянская программа-вандал часто маскируется под новую
версию данного программного продукта.
С появлением BBS программы-вандалы получили значительное распро-
странение. При этом техно-крыса подсовывает программу в один или
несколько BBS, пользователи которых затем попадаются на удочку.
В качестве примера троянской программы-вандала можно привести про-
грамму SURPRISE (Сюрприз). Написанная на Бейсике, она исполняла
команду DEL *.*, а затем выдавала на экран строку Surprise !. И
таких простых и злобных программ создано немало. С их распростра-
нением запуск новой программы на компьютере стал небезопасной опе-
рацией.
Иногда в качестве самостоятельной разновидности троянских про-
грамм-вандалов выделяют так называемые логические мины (logic
bomb) у скрытые модули, встроенные в ранее разработанную и широко
используемую программу. Такой модуль является безвредным до опре-
деленного события, при наступлении которого он срабатывает. Такого
рода программы иногда используются уволенными или обиженными со-
трудниками как форма мести по отношению к нанимателю. Частный слу-
чай логических мин, в которых срабатывание скрытого модуля опреде-
ляется временем, часто называют минами с часовым механизмом (time
bomb). Фактически логические мины являются средством компьютерного
саботажа и их создание должно предусматривать уголовную ответст-
венность. Хотя, как указано выше, компьютерный саботаж обычно свя-
зан с местью обиженных или уволенных программистов своему бывше-
му работодателю, он может использоваться и как форма конкурентной
борьбы.
В истории отечественного программирования было несколько гром-
ких случаев компьютерного саботажа. Так, лет семь назад отечест-
венные газеты сообщали о программисте, который перед своим уволь-
нением встроил в программу, управлявшую главным конвейером Горько-
вского автомобильного завода, мину, которая через некоторое вре-
мя привела к остановке главного конвейера. Программист был выявлен
и осужден. На Западе, наряду с попытками хищения средств через
банковские компьютеры, распространены случаи компьютерного сабота-
жа по отношению к различного рода финансовым системам, вплоть до
шифровки базы данных с последующим требованием выкупа за ключ
(программу) расшифровки. Последним известным случаем такого рода
было описанное выше распространение дискеты с информацией по
СПИДу, в которой программа управления базой данных была троянской.
Программы, обеспечивающие вход в систему или получение привиле-
гированной функции (режима работы) в обход существующей системы
полномочий, называют люками (back door). Люки часто оставляются
разработчиками соответствующих компонент операционной системы для
того, чтобы завершить тестирование или исправить какую-то ошибку,
но нередко продолжают существовать и после того, как то, для чего
они планировались, завершено или необходимость в нем отпала. На-
пример, в операционной системе ОС ЕС широко использовалcя люк
NEWPSW, позволявший программе пользователя получить привилегиро-
ванный режим, называемый в серии 360/370 режимом супервизора, в
обход средств контроля операционной системы.
Троянские программы могут также использоваться в целях разведки.
К распространенным программам такого рода относятся программы уга-
дывания паролей. Одной из компонент сетевого вируса Морриса была
такая программа, причем, как оказалось, она сумела добиться успеха
в значительном числе случаев.

Да он-то как вперед пробрался ?у
За хвостик тетеньки держался !
И.Франко

Формально компьютерным вирусом называется программа, которая мо-
жет заражать другие программы путем включения в них своей, возмож-
но модифицированной, копии, причем последняя сохраняет способность
к дальнейшему размножению [Cohen88a]. Программа, зараженная виру-
сом, может рассматриваться как автоматически созданная троянская
программа. В данном случае скрытым модулем является тело вируса, а
одним из несанкционированных действий у заражение других программ.
Помимо заражения, вирус, подобно любой другой троянской программе,
может выполнять и другие несанкционированные действия, от вполне
безобидных до крайне разрушительных. Последние, в частности, могут
включать уничтожение данных на зараженном диске. В этом случае ви-
рус может рассматриваться как логическая мина. Выполняемые вирусом
несанкционированные действия могут быть обусловлены наступлением
определенной даты (такие троянские программы в какой-то степени
аналогичны минам с часовым механизмом) или определенного количест-
ва размножений, или сочетанием определенных условий, например за-
писи зараженной программы на винчестер (последние аналогичны раз-
личного рода бесконтактным минам). При этом комбинация этих усло-
вий может быть достаточно сложной, чтобы затруднить ее определение
(как например, в вирусе Пинг-понг).
Инфицируя программы, вирусы могут распространяться от одной про-
граммы к другой (транзитивно), что делает их более опасными по
сравнению с другими методами компьютерного вандализма. Зараженные
программы (или их копии) могут передаваться через дискеты или по
сети на другие ЭВМ. Учитывая широко распространенную практику об-
мена и передачи программ на дискетах среди пользователей персо-
нальных ЭВМ, количество зараженных программ может быть значитель-
ным, приводя к своего рода эпидемиям. Этому также способствует
распространенная в нашей стране практика использования одной ПЭВМ
несколькими пользователями. Опасность существенно возрастает при
наличии винчестера, программы на котором используются всеми поль-
зователями. В этом случае один неквалифицированный или злонамерен-
ный пользователь может нанести значительный ущерб другим пользова-
телям. Особую опасность с точки зрения распространения компьютер-
ных вирусов представляют любители компьютерных игр, обычно слабо
знающие операционную систему и не вполне понимающие смысл выполня-
емых ими действий. Такие пользователи подвергают значительному ри-
ску своих коллег, работающих с ними на одной ПЭВМ.
Упрощенно процесс заражения вирусом программных файлов можно
представить следующим образом. Код зараженной программы обычно из-
менен таким образом, чтобы вирус получил управление первым, до на-
чала работы программы-вирусоносителя (рис.2). При передаче управ-
ления вирусу, он каким-то способом находит новую программу и вы-
полняет вставку собственной копии в начало (рис.2б) или добавление
ее в конец этой, обычно еще не зараженной, программы (рис.2а). Ес-
ли вирус дописывается в конец программы, то он корректирует код
программы, чтобы получить управление первым. Для этого первые не-
сколько байтов запоминаются в теле вируса, а на их место вставля-
ется команда перехода на начало вируса. Этот способ является наи-
более распространенным. Получив управление, вирус восстанавливает
спрятанные первые байты, а после отработки своего тела передает
управление программе-вирусоносителю, и та нормально выполняет свои
функции. Возможны случаи, когда вирус включает себя куда-то в се-
редину программы, например, в область стека (рис.2в). Последние
случаи встречаются редко.

+------------------+ +-------------+ +------------------+
|++++++++++++++++++| |+++++++++++++| |++++++++++++++++++|
|+Команда перехода+|+ |+++++++++++++| |+Команда перехода+|+
|++++++++++++++++++|| |+Тело вируса+| |++++++++++++++++++||
|------------------|| |+++++++++++++| |------------------||
|++++++++++++++++++|| |+++++++++++++| |++++++++++++++++++||
|+ ЗАРАЖЕННАЯ +++|| |+++++++++++++| |+ НАЧАЛО +++||
|++++++++++++++++++|| |+++++++++++++| |++++++++++++++++++||
|+ ПРОГРАММА ++|| |+++++++++++++| |+ ЗАРАЖЕННОЙ +++||
|++++++++++++++++++|| |+++++++++++++| |++++++++++++++++++||
|+ (COM - ФАЙЛ) ++|| |+++++++++++++| |+ ПРОГРАММЫ ++||
|++++++++++++++++++|| |+ЗАРАЖЕННАЯ +| |++++++++++++++++++||
|++++++++++++++++++|| |+++++++++++++| |++++++++++++++++++||
|++++++++++++++++++|+ |+ПРОГРАММА +| |++++++++++++++++++|+
|++++Тело вируса+++| |+++++++++++++| |++++++++++++++++++|
|++++++++++++++++++| |+COM - ФАЙЛ)+| |++++Тело вируса+++|
|++++++++++++++++++| |+++++++++++++| |++++++++++++++++++|
|++++++++++++++++++| |+++++++++++++| |++++++++++++++++++|
|++++++++++++++++++| |+++++++++++++| |++++++++++++++++++|
|+Спрятанные байты+| |+++++++++++++| |+Спрятанные байты+|
|++++++++++++++++++| |+++++++++++++| |++++++++++++++++++|
|++++++++++++++++++| |+++++++++++++| |++++++++++++++++++|
|++++++++++++++++++| |+++++++++++++| |++++++++++++++++++|
+------------------+ +-------------+ |------------------|
а б |++++++++++++++++++|
|+ КОНЕЦ +++|
Рис. 2. |++++++++++++++++++|
Схема заражения вирусом COM-файлов: |+ ЗАРАЖЕННОЙ +++|
а - в конец программы; |++++++++++++++++++|
б - в начало программы; |+ ПРОГРАММЫ ++|
в - в середину программы. |++++++++++++++++++|
+------------------+
в