Что ты спрятал , то - пропало.
Что ты отдал, то - твое
Ш.Руставели

Получив новую, более эффективную антивирусную программу, некото-
рые не стремятся передать ее другим пользователям, рассматривая ее
наличие как некоторое преимущество. Ошибочность политики прими-
тивного эгоизма в случае антивирусных программ состоит в том,
что, передав программу всем своим знакомым, Вы как бы создаете до-
полнительную зону защиты, на которой тот или иной вирус может быть
обнаружен и изолирован еще до попадания на Вашу ЭВМ. Поэтому бес-
корыстная передача новых версий антивирусных программ представля-
ет, по сути, политику разумного эгоизма: за Ваше более безопас-
ное положение Вы отдаете чужие, доставшиеся Вам бесплатно
программы, да еще и получаете причитающуюся Вам долю уважения за
кажущееся бескорыстие этих действий.

10.5.3. Нормальное состояние дискеты - защищенное от записи

Существенным конструктивным дефектом 5-дюймовых дискет является
необходимость заклейки выреза клейкой фольгой для защиты от запи-
си. При этом фольга, как и сами дискеты является дефицитом. Тем не
менее, рекомендуется считывать информацию с дискеты, в особенности
на чужих машинах, только с защищенных от записи дискет. Вообще
нормальным состоянием дискеты является заклеенное и защита долж-
на сниматься только в случае записи на нее информации. В условиях
дефицита наклеек из фольги, для этой цели можно использовать са-
модельные, состоящие из полоски фольги, наклеенной на прозрачную
липкую ленту (SCOTCH) или темную изоленту. В случае, когда у вас
на машине не оказалось наклейки, а Вам нужно защитить дискету от
записи можно сложить пополам полоску бумаги, так чтобы она закры-
вала соответствующую прорезь и аккуратно вставить ее в дисковод
вместе с дискетой.

10.5.4. Как работать на зараженном файловым вирусом компьютере при отсутствии вакцины

Иногда необходимо работать на компьютере, который постоянно ин-
фицируется любителями компьютерных игр или по каким-то другим при-
чинам. В этом случае можно избежать заражения используемых прог-
рамм путем создания искусственной мишени для вируса. Поскольку
подавляющее большинство файловых вирусов заражает программу при ее
запуске, можно обмануть вирус двумя основными способами.
Во-первых, можно предварительно переименовать все файлы типа COM
и EXE (например, в PGM и LNK) и использовать для их запуска на вы-
полнение виртуальный диск. При этом достаточно написать простые
BAT-файлы, в которых программа сначала копируется на виртуальный
диск, затем переименовывается, выполняется и удаляется. При от-
сутствии достаточного количества оперативной памяти для организа-
ции виртуального диска требуемого размера, для этой цели можно ис-
пользовать один из разделов винчестера, хотя это несколько
замедляет работу.
Более высокую степень защиты обеспечивает модификация этого спо-
соба, основанная на свертке каталога архиватором. При этом проце-
дура запуска аналогична предыдущей, однако на первом шаге BAT-фай-
ла вместо копирования соответствующий файл сначала разархивируется
на виртуальный диск (или раздел винчестера). Преимуществом этого
способа (если держать архиватор на виртуальном диске) является
экономия места на диске, а недостатком - увеличение времени поиска
программ при загрузке, связанное с просмотром архива. Автор разра-
ботал последний способ после одного неудачного эксперимента с ви-
русом RСE-1800, когда вырвавшийся на свободу вирус заразил нес-
колько десятков файлов на винчестере (никакими специальными ЭВМ
для экспериментов автор не располагает, поэтому все эксперименты
проводятся с риском для винчестера на обычном персональном
компьютере коллективного пользования). Вместе с тем, данный способ
оказался достаточно удачным и с тех пор широко используется авто-
ром для экономии места на винчестере.
Особенно полезен данный способ для мелких, сравнительно редко
используемых программ, если на используемой машине установлен вин-
честер размером 20M или меньше. В этом случае на винчестере созда-
ется рабочий каталог (например, WORK), в который выполняется ра-
зархивирование. Этот каталог включается в PATH перед каталогом
BAT, а в Norton Commander (или другую используемую оболочку) вклю-
чается команда очистки этого каталога. Поскольку из каталога WORK
разархивированная программа не удаляется, то дополнительное время
на разархивацию тратится только при первом обращении к программе.
Конечно, следует предусмотреть соответствующий BAT-файл для запус-
ка программы (в простейшем случае это может быть BAT-файл RUN, ко-
торому в качестве первого параметра передается имя выполняемой
программы.
Для монстрообразных программ (например, программ, написанных
на Clipper'е) более удобно использование архиватора LZEXE (см. СП
2-9). Например, программа PCTools занимает на диске около 200K,
половину из которых можно сэкономить, сжав ее с помощью LZEXE.

10.5.5. При хранении антивирусных программ на винчестере, используйте архивирование

При хранении антивирусных программ в виде специального каталога
на винчестере желательно свернуть их в архив, а перед использова-
нием разархивировать на виртуальный диск или в тот же каталог, а
затем удалять. Это позволяет избежать заражения антивирусных прог-
рамм, не обладающих средствами самотестирования на зараженность,
новыми типами вируса, которые, естественно, ими не детектируются
(в лучшем случае может быть выдано предупреждающее сообщение).

10.5.6. Использование макетов программ типа DUMYxxxx для
определения место нахождения спрятанных байтов

В ряде случаев приходится лечить файлы вручную, используя
только редактор двоичных файлов (например, RED). В этом случае
первостепенное значение имеет выяснение расположения спрятанных
вирусом байтов. В частности, для COM-файлов в большинстве случаев
достаточно восстановить первые три байта, чтобы дезактивировать
вирус. При наличии некоторых навыков, после проверки правильности
работы дезактивированной программы можно легко удалить тело вируса
редактором.
При определении местонахождения спрятанных байтов удобно исполь-
зовать неразборчивость вирусов, которые не проверяют, какие фай-
лы им подсовывают для заражения. Поэтому вместо настоящего можно
создать файл, состоящий из одинаковых символов и заразить его изу-
чаемым вирусом. Поскольку в простейшем случае этот файл неисполня-
емый, то в случае резидентного вируса, заражающего запускаемые на
выполнение программы, после заражения MS DOS зависнет и Вам при-
дется перегрузиться. Однако зараженный файл сохранится и окажет
неоценимую помощь при анализе. Обычно достаточно нескольких экспе-
риментов, чтобы определить местонахождение спрятанных байтов.
Это позволяет выяснить их местонахождение без дисассемблирования.
Немного зная ассемблер, можно легко сделать и исполняемый макет,
состоящий из требуемого количества команд NOP (однобайтовая коман-
да с кодом 90h) и выхода с помощью INT 20 или INT 21-4C. Некоторые
вирусы заражают только файлы, начинающиеся с команды перехода. В
таких случаях необходимо поставить в качестве первой команды ко-
манду JMP. Для создания таких дрозофил удобно использовать прог-
рамму DEBUG, входящую в состав MS DOS. Техника работы с этой прог-
рамой подробно описана во всех учебниках по языку Ассемблера для
IBM PC.

Ничего не потеряно,
пока не потеряно все
Пословица

Необходимо отметить, что даже в достаточно тяжелых случаях,
восстановление поврежденной информации чаще всего возможно (по
крайней мере, частичное), однако требует достаточно высокой квали-
фикации. Именно в этот момент вступают в игру архивированные
системные блоки, наличие которых на дискете позволяет существенно
облегчить восстановление.
Наряду со свежими архивными копиями системных блоков в такой си-
туации важное значение имеет наличие системных программистов, спо-
собных оценить характер и объем повреждения, а также умеющих вы-
полнить восстановление при разрушенных или отформатированных
системных блоках или других массивных повреждениях файловой систе-
мы. При отсутствии собственных системных программистов, представ-
ляется оправданным приглашение их со стороны. Профессиональные ор-
ганизации программистов, подобные Киевскому обществу системных
программистов, также могут оказать помощь в восстановлении инфор-
мации. В других городах также можно найти системных программистов
или организацию, которая, на льготных условиях может предоставить
какие-то дополнительные услуги по восстановлению информации.
Конечно степень усилий во многом зависит от ценности потерянной
информации. В силу ограниченности обьема книги остановимся лишь на
наиболее общих принципах организации восстановления информации.

10.6.1. Создайте и отработайте план восстановления винчестера !

Кто приготовился к бою,
тот его наполовину выиграл
М.Сервантес

Встреча с каким-нибудь коварным компьютерным вирусов может и не
состояться. Но огорчаться не стоит. Экстемальных ситуаций в прог-
раммировании хоть отбавляй и место вируса наверняка не окажется
вакантным. Поэтому вопрос не в том, потеряете ли вы данные, запи-
санные на винчестер, а лишь в том, когда это произойдет. Следова-
тельно уже сейчас стоит подумать над вопросом о том, как реагиро-
вать на это неприятное событие, которое обычно случается в самый
неподходящий момент. Результаты ваших раздумий следует оформить в
виде папки с документами (горячая папка) и коробки с дискетами
(горячая коробка), которые вместе мы будет называть планом
восстановления винчестера.
Первая компонента плана у горячая папка должна содержать всю
информацию, необходимая для восстановления винчестера. Для машин
типа AT на лицевую сторону обложки следует наклеить распечатку со-
держимого CMOS-памяти, полученного с помощью программы SysInfo,
входящей в 5 версию утилит Нортона или с помощью другой подходящей
утилиты. На обратную сторону папки удобно наклеить распечатку
PARTITION TABLE, всех логических дисков. Ее можно получить с по-
мощью Norton Utilities. На обороте папки карандашем удобно записы-
вать даты создания архивов логических дисков и имена файлов с про-
токолами архивирования. В самой папке следует хранить распечатку
последних версий AUTOEXEC.BAT и CONFIG.SYS, а также тетраль, в ко-
торой записаны необходимые шаги по восстановлению основных катало-
гов и комментарии к ним (с указанием встретившихся трудностей и
топких мест). В папке также желательно хранить распечатку ката-
логов всех логических дисков винчестера и каталогов всех дискет
горячей коробки.
Горячая коробка должна состоять из лучших дискет, которыми вы
располагаете (желательно 1.2M, если на машине установлен соответс-
твующий дисковод). Эти дискеты должны быть проверены и не содер-
жать сбойных треков. Примерный состав горячей коробки:
1. Дискета с стартовой операционной системой. Если вы используе-
те DISK MANAGER или ADM, то дискета со стартовой операционной сис-
темой должна включать в CONFIG.SYS соответствующий драйвер. Если
на компьютере установлен дисковод 1.2M, то стартовая дискета долж-
на быть именно 1.2M, а не 360K, как это часто бывает. При загрузке
операционной системы со стартовой дискеты, необходимо предусмот-
реть организацию электронного диска размером в 200К при обьеме
оперативной памяти в 640K, или 384K при обьеме оперативной памяти
в 1M. В процессе загрузки на этот электронный диск должен перепи-
сываться командный процессор и Norton Commander с тем, чтобы не
приходилось держать на каждой дискете копию командного процессора.
Все EXE-файлы на стартовой дискете целесообразно сжать архиватором
LZEXE. В случае дискеты 360K полезно преобразовать в EXE-формат и
сжать COM-файлы. Ввиду особой важности, целесообразно иметь две
идентичные копии стартовой дискеты.
2. Дискеты с утилитами. На эти дискеты рекомендуется записать
Norton Utilities версии 5 и PCTools. Если дискеты имеют обьем
меньший 1.2M, то все нужные программы можно разместить на двух
дискетах.
3. Дискета с программами разметки винчестера и установки исполь-
зуемого дискового драйвера. На данной дискете целесообразно раз-
местить соответствующие программы (ADM, DISK MANAGER, SpeedStore и
т.д.) и текстовый файл с планом разбиения винчестера.
4. Дискета с резервными копиями управляющих блоков. Эта дискета
должна иметь подкаталоги С, D, E и т.д., в каждом из которых сле-
дует хранить управляющие блоки относящиеся к данному диску. Файлы
с резервными компиями управляющих блоков проще всего следать с по-
мощью программы DiskEdit версии 5 утилит Нортона. При этом MBR
можно записать в файл MBR.BIN, бутсектор в файл BOOT.BIN, а затем
сделать их распечатки. Программа DiskTool версии 5 утилит Нортона
позволяет создать объединенные дампы MBR и бутсекторов всех логи-
ческих дисков, которые следует записать в корневой каталог данной
дискеты. Она также выполняет дамп СMOS. Помимо указанных статичес-
ких управляющих блоков, которые достаточно записать на дискету
один раз, необходимо периодически записывать на эту дискету дампы
FAT и главного каталога. Для этой цели удобно использовать файлы,
создаваемые программой Image на диске. Их следует скопировать в
соответствующий подкаталог дискеты с помощью Norton Commander или
другой аналогичной оболочки.
5. FASTBACK PLUS и протоколы выгрузки для каждого логического
диска.
6. Программы тестирования оборудования.
7. Электронный справочник TechHelp фирмы
План восстановления винчестера должен быть реально отработан хо-
тя бы один раз. Для этой цели целесообразно устроить учебную тре-
вогу - после полной выгрузки информации на дискеты стереть вруч-
ную, скажем главный каталог винчестера, предварительно создав его
копию на диске в помощью программы Image из 5 версии утилит Норто-
на и записав на дискету программу восстановления (Unformat). На-
верняка уже на начальных шагах восстановления обнаружится ряд
серьезных проблем, преодаление которых приведет к существенному
уточнению первоначального плана. Зато в кризисной ситуации поле-
тевшего винчестера можно будет действовать более спокойно и уве-
ренно, зная, что все нужные программы записаны на дискеты и архив
успешно восстанавливался.

Утро вечера мудренее
Пословица

При обнаружении вируса и, в особенности, при уничтожении им ка-
кой-то информации очень важно не предпринимать поспешных действий,
и, прежде всего не запускать никаких программ с винчестера и не
записывать на диск новой информации. Рекомендуется сначала оста-
новиться, оглядеться, перегрузиться с дискеты, поскольку при этом
существенно повышаются шансы того, что уничтоженная информация мо-
жет быть восстановлена в полном объеме. Даже если диск отформати-
рован, содержащаяся на нем информация может быть в ряде случаев
восстановлена. При обнаружении каких-то повреждений информации или
файловой структуры запуск любых программ, записывающих информацию
на винчестер, является грубой ошибкой, обычно существенно увеличи-
вающей количество потерянной информации.
В случае вирусов поспешное восстановление обычно приводит не
только к потере части файлов, но и к повторному заражению. Харак-
терным примером непродуманных поспешных действий является реакция
некоторых пользователей на ложное сообщение сторожа FluShot Plus о
попытке модификации CMOS (экзотический тип памяти для машин типа
AT). Вместо выяснения ситуации, которая является редкой и связана
с типом памяти, назначение которой далеко не все отчетливо себе
представляют, такие пользователи доверчиво отвечают на запрос
FluShot - восстановить (правильный ответ - игнорировать), что при-
водит к затиранию CMOS-памяти без помощи вируса. Вместе с тем,
экзотичность ситуации делает вполне оправданным телефонный зво-
нок специалисту, на который достаточно потратить 5-10 мин, что
позволяет в большинстве случаев избежать неприятных последствий.
Другим примером является использование Norton Disk Doctor версии
4.5 при восстановлении информации на винчестре. В ряде случаев,
особенно при использовании дисковых драйверов, использующих нес-
тандартный формат MBR, его применение может давать непредвиденные
результаты. Кроме того, если указанной программой восстанавливает-
ся сектор, содержащий каталог, то хотя его содержимое переносится
в другой кластер, ссылка в родительском каталоге продолжает указы-
вать на старый кластер, что может вызывать эффект двоящегося ка-
талога. Эти недостатки устранены в версии 5.0 утилит Нортона.
Не рекомендуется начинать восстановление винчестера сразу после
события или во второй половине дня. Поскольку часть информации
так или иначе пропала и потери времени неизбежны, лучше всего
прекратить работу в этот день и заняться чем-нибудь другим. Не ис-
ключено, что за это время в голову придет какая-нибуль удачная
идея, которая позволит существенно уменьшить обьем работы по восс-
тановлению.

10.6.3. Советы по восстановлению информации

Прежде чем начать восстановление информации на диске восстанови-
те CMOS, MBR и бутсектор. Используя файлы, записыванные в базе
данных восстановления с помощью программы DiskTool 5 версии утилит
Нортона восстановите указанные блоки. MBR и бутсектор относятся к
статическим управляющим блокам и внесение изменений в них факти-
чески возможно только при переразметке винчестера. CMOS имееет ди-
намические поля (дата и время) однако их значение некритично. Этот
прием обеспечивает заведомо правильное значение типа винчестера в
CMOS, границы логических дисков и параметры разметки (количество
секторов в кластеле и и другая информация из бутсектора). При этом
файлы из которых вы производите воссстановление должны принадле-
жать данному винчестеру и компьютеру, иначе можно наломать дров.
Затем следует проверить правильность восстановления CMOS, MBR и
бутсектора визуально.
Если компьютер загружается с дискеты, но винчестер не читается,
то сначала оцените обьем повреждений. Первое, что нужно следать в
данном случае у это промотреть управляющие блоки и определеить
степень их повреждения. Если блоки читаются и информация в них не
слишком искажена, то соответствующие сектора диска следует запи-
сать в виде файлов на дискету с помощью Norton Utilities и распе-
чатать дамп утилитой TDUMP или какой-нибудь аналогичной. Помимо
визуального сравнения, рекомендуется получить протокол различий
имеющегося и эталонного MBR, бутсектора, FAT и корневого каталога.
Это можно сделать с помощью утилиты FC, входящей в MS DOS. Затем
следует запустить Norton Disk Doctor II и записать выдаваемую им
диагностику. К выдаваемым сообщениям следует относиться критично.
Никаких действий по исправлению до подтверждения диагноза по
другим источникам разрешать не следует.
Перед началом восстановления выполните съем информации на диске-
ты. Выполнив съем информации на дискеты с помощью DiskEdit, можно
более уверенно работать, не боясь окончательно испортить информа-
цию. При наличии более мощного компьютера, восстановление информа-
ции удобнее проводить на нем, записав выгруженные сектора в виде
файла, а затем создав дополнительный каталог, восстанавливать це-
почки в FAT. Конечно для этой цели выделить отдельный рабочий диск
или выгрузить один из имеющихся разделов винчестера, поскольку
операции с FAT лучше проводить на чистом диске.
Если компьютер не загружается с дискеты, переставьте винчестер
на другой компьютер с подходящим контроллером. Если вышел из строя
какой-то блок компьютера, то винчестер можно переставить на другой
компьютер и прочитать информацию там. Если это не представляется
возможным, то лучше снять винчестер с данной машины и переставить
его на время восстановления на более мощный компьютер.
При большом объеме работ по восстановлению доукомплектуйте
компьютер еще одним винчестером или дисководом. Если предстоит
большая и сложная работа по восстановлению информации, то нельзя
пытаться следать ее наскоком. Нужно обязательно провести подго-
товительную работу. В частности, на время восстановления полезно
доукомплектовать компьютер вторым винчестером (желательно анало-
гичного типа) и дисководом 1.2M. В наших условиях, в качестве до-
полнительного винчестра обычно подойдет 20M винчестер с какойни-
будь вышедшей из строя Мазовии или Правца. Это существенно
упрощает вызов необходимых программ и хранение промежуточной ин-
формации во время восстановления.
Некоторые приемы работы на компьютере с одним дисководом. Каж-
дый, кому приходилось восстанавливать винчестер на компьютере,
имеющим один дисковод, знает, что большая половина усилий уходит
не на восстановление, а на преодаление неудобств, связанных с ог-
раниченностью конфигурации. Первое, что стоит сделать в таких ус-
ловиях, это предусмотреть перенесение командного процессора и не-
которых утилит на электронный диск. При размере электронного диска
в 384K, как это имеет место на большинстве поставляемых в нашу
страну AT, на электронный диск можно записать помимо командного
процессора PKZIP и Norton Commander. При этом еще остается возмож-
ность распаковывать небольшие файлы на электронный диск. При от-
сутствии электронного диска даже копирование отдельного файла с
дискеты на дискету представляет определенную проблему. Для этой
цели следует задавать команду:
copy a:\command.com b:
Несмотря на то, что диск B физически отсутствует, операционная
система правильно выполнит команду, позволяя после считывания фай-
ла вынуть исходную дискету и вставить новую. Таким же образом сле-
дует поступать при копировании больших файлов. Правда в этом слу-
чае удобнее пользоваться утилитой XCOPY.

Как всякий человек на своем месте,
как подчиненные его самого, Лужин
ругал высшее начальство, считая,
что там сидят дураки, бюрократы,
самодуры, которые отдают приказы,
совершенно не считаясь с их прак-
тической выполнимостью
В.Войнович Жизнь и
необычайные приключения
солдата Ивана Чонкина

Хотя в данной работе рассматриваются, в основном, технические
аспекты защиты от компьютерных вирусов, представляется целесооб-
разным кратко остановиться и на организационных методах, поскольку
они, по сути, являются одной из составных частей защиты, наряду с
техническими и программными методами. Как уже указывалось, незави-
симо от того, насколько хорошо разработаны программные средства
защиты, их эффективность во многих случаях непосредственно зависит
от правильности действий пользователя, действий, в которых возмож-
ны не только ошибки, но и несознательность или даже злой умысел.
Например, если один из сотрудников регулярно запускает где-то пе-
реписанные игровые программы на компьютере с винчестером, то шансы
на то, что поставленная программная защита не сможет предотвратить
заражение, безусловно отличны от нуля.
Организационные меры защиты должны прежде всего соответствовать
здравому смыслу. Обычно наблюдаются лишь крайности: или практичес-
ки полное отсутствие регламентации доступа, или административ-
но-командный беспредел, граничащий с абсурдом, и делающим нор-
мальную работу невозможной (типа пребывание сотрудников в корпусе
... после 17.00 запрещено). Особенно характерным примером послед-
него является регламентация режима работы в предпраздничные,
праздничные и выходные дни, когда большинство институтов было зак-
рыто и опечатано исключительно по соображениям как бы чего не
вышло. Или, скорее, сама обстановка уравниловки приводила к тому,
что работа в неположенное время рассматривалась как что-то, гра-
ничащее с крамолой.
В то же время в области административных мер, как и везде, важно
найти оптимум между полным предотвращением доступа к ПЭВМ и анар-
хией. При этом, естественно, организационные меры должны предпри-
ниматься только с учетом выявленных точек проникновения и нали-
чия информации, подлежащей защите. Следует также отметить, что
косность аппарата ведет к тому, что принятые в ответ на определен-
ную ситуацию административные меры имеют тенденцию применяться и
после того, как ситуация полностью изменилась. Поэтому необходим
периодический пересмотр административных мер регламентации доступа
и приведение их в соответствие со сложившейся ситуацией.
Среди спектра организационных мер отметим следующие, представля-
ющиеся автору наиболее важными: общее административное регулирова-
ние доступа, включая систему паролей и сегментирование зон досту-
па; обучение персонала; обеспечение физической безопасности
компьютера и магнитных носителей; выработку правил архивирования;
определение файлов, хранимых в шифрованном виде.
Общее административное регулирование доступа должно обеспечивать
приемлемую степень защиты от использования компьютеров с ценными
данными случайными лицами. Если человек оставляет на улице автомо-
биль с незапертыми дверцами и вставленным ключем зажигания, то ес-
ли его угонят, определенная доля вины будет лежать на этом челове-
ке. Ситуация с компьютерами аналогична. Помимо опасности заражения
вирусами, незаконное копирование или модификация конфиденциальной
информации может нанести значительный вред организации, не обеспе-
чившей приемлемый уровень контроля за контингентом пользователей
соответствующего компьютера.
Если говорить о системе паролей, обеспечиваемых рядом систем,
например Advanced Disk Manager, то с организационной точки зрения
важно, чтобы пароли были достаточно длинными, с целью предотвраще-
ния их случайного угадывания. Простым и в то же время достаточно
хорошо зарекомендовавшим себя методом получения таких паролей яв-
ляется комбинирование пароля из двух хорошо знакомых слов. Напри-
мер, пароли Коля и 1950 каждый в отдельности являются весьма
уязвимыми, однако их комбинация типа К1о9л5я0 уже гораздо труднее
дешифруется и не так легко может быть запомнена путем подглядыва-
ния через плечо. Кроме того, пароли должны периодически менять-
ся, причем для пользователей, которые не желают делать это добро-
вольно, сответствующую услугу должен оказывать системный
программист. Случаи, когда пользователи по нескольку лет пользуют-
ся одним и тем же паролем, безусловно, должны быть исключены.
Кратко рассмотрим вопрос об обучении персонала. На семинарах по
защите от компьютерных вирусов часто задают вопрос о том, как пре-
дотвратить заражение компьютера вирусами. Главным условием этого
следует признать соответствующий уровень обучения сотрудников и,
конечно, уровень их лояльности по отношению к данной организации.
Если организацию можно определить как группу людей, стремящихся
достичь определенной цели, то в успехе, разумеется, рещающую роль
играет уровень их компетентности, опыт и личные качества. Опыт по-
казывает, что чем менее знаком данный сотрудник с компьютерами и
чем менее он дисциплинирован, тем большую опасность он представля-
ет с точки зрения возможности заражения ПЭВМ компьютерными вируса-
ми. Как уже указывалось выше, сотрудник, запускающий на компьютере
с винчестером новую игру, недавно полученную у приятеля, безуслов-
но подвергает компьютер определенному риску, степень которого, ко-
нечно, зависит от уровня его квалификации, наличия резидентных
средств защиты, а также применения им различных средств тестирова-
ния нового программного обеспечения на наличие компьютерных виру-
сов.
Здесь следует отметить, что само по себе разграничение доступа
не является панацеей. Представим себе гипотетическую ситуацию,
когда один из пользователей, обладающий минимальными правами дос-
тупа (например, для которого винчестер доступен только в режиме
чтения) столкнулся с зараженной игрой, которая стала работать нес-
колько странно. Он, естественно, обращается за помощью к систем-
ному программисту, который будучи перегруженным, сначала решает
посмотреть, что происходит непосредственно на машине. Для этого он
входит в систему со своим паролем (и, соответственно, максимальным
уровнем доступа) и для пробы один раз запускает эту игру. Не
требуется объяснять, к какому результату приведет такой пробный
запуск. Вместо системного программиста в роли троянского коня
может выступить практически любой более компетентный (и обладаю-
щий, соответственно, большими правами доступа) пользователь, к ко-
торому обратятся с той же просьбой.
И, наконец, важным условием эффективности любых мер по защите
информации является обеспечение физической безопасности компьютера
и дискет. Соотношение между ценой персонального компьютера и сред-
ней зарплатой говорит само за себя. Неслучайно, кражи персональных
компьютеров в нашей стране давно перестали быть редкостью. Раскры-
ваемость этого вида преступлений невелика. Например из двух укра-
денных в КИИГА за 1990 г. компьютеров типа PC AT не найден ни
один. Поэтому этим вопросам необходимо уделять достаточное внима-
ние. В частности, помещения, где установлены компьютеры должны
быть обязательно оборудованы электронной системой сигнализации. К
сожалению практика показала, что электронные системы сигнализации
в ряде случаев устанавливаются некачественно, не перекрывая всех
возможных путей проникновения в помещение. Поэтому их рекомендует-
ся дублировать инфракрасными датчиками, перекрывающими непосредс-
твенно рабочую зону, где установлены ЭВМ. При отсутствии инфрак-
расных датчиков, имеет смысл устанавливать наиболее ценные
персональные компьютеры на металлические столы со специальными
закрываемыми нишами для блоков или снимаемым металлическим колпа-
ком. Кстати, установка компьютера на прочном металлическом столе
полезна и с точки зрения предотвращения повреждения винчестера от
случайных толчков и колебаний. Неслучайно Роджер Олфорт в статье
Десять советов по эксплуатации накопителей на жестких магнитных
дисках (Мир ПК, 1990 No. 3) пишет:
... накопители на жестких дисках не любят грубого обращения.
Даже такие, на первый взглыд, безобидные факторы, как книга, бро-
шенная на стол, или случайные толчки стола прохолящими коллегами,
могут привести к тому, что головки чтения/записи накопителя чирк-
нут по поверхности дисков и испортят данные. Чтобы свести к мини-
муму вероятность подобной ситуации, рекомендуется устанавливать
компьютер на прочный стол. Лично я работаю на стальном столе,
прочном, как танк.
Учитывая, что стоимость изготовления такого стола существенно
ниже стоимости компьютера, данная рекомендация заслуживает внима-
ния. Да и простое прикрепление системного блока к столу на котором
он установлен в наших условиях совсем не помешает.
Аналогичные замечания относятся к дискетам. Дискеты с ценной ин-
формацией следует хранить в сейфе, а не в ящике письменного стола.
Конфиденциальная информация должна шифрововаться. В рамках расс-
матриваемой темы это прежде всего относится к зараженным програм-
мам, образцам вирусов, а также материалам их дизассемблирования и
реконструкции.

Oleynikoz S., 1990
Cтрока, содержащаяся в вирусе RC-600

Вы не глядите, что Серега все кивает,
он соображает, все понимает !
что молчит - так это от волненья,
от осознанья и просветленья.
Не запирайте, люди ! ...
В.Высоцкий, Милицейский протокол

Антропоморфизм в терминологии (заражение, вирус) не должен
заслонять суть дела - вирусы это специальный метод саботажа с по-
мощью преднамеренно созданных для этой цели программ. Хотя вопросы
юридической ответственности лиц, занимающихся созданием и расп-
ространением вирусов являются достаточно сложными, однако они ус-
пешно решаются в Северной Америке и западноевропейских странах.
Уголовная ответственность за создание и распространение компьютер-
ных вирусов принята сейчас в большинстве западных стран. При этом
можно выделить следующие действия, подпадающие под существующий
уголовный и административный кодекс: изменение данных (удаление,
вставка, замена или перестановка данных, осуществляемая без ведома
владельца); компьютерный саботаж (препятствование важной для
предприятия или лица деятельности); повреждение имущества (если
поврежденным имуществом является непосредственно ЭВМ или ее компо-
нента); шпионаж (обеспечение доступа для себя или для другого лица
к данным, не предназначенным для использования этими лицами и дос-
туп к которым защищен специальным образом); фальсификация докумен-
тов (в случае, если вирус изменяет данные, предназначенные для до-
казательства того или иного статуса или права данного лица или
группы лиц). При этом наказание может нести не только непосредс-
твенный разработчик, но и исполнители и соучастники. При наличии
последних можно говорить о преступной группе.
Если задаться вопросом о мотивации разработки компьютерных виру-
сов, то становится очевидной неоднородность разработчиков. Можно
выделить несколько типов мотивации (хулиганы, вандалы, наемники и
т.д.). Если на одном конце спектра находится мелкий пакостник, ко-
торый создает вирус с целью продемонстрировать городу и миру ка-
кой-нибудь сногсшибательный с его точки зрения эффект, то на
другом конце спектра находится рэкетир, использующий вирус для
шантажа пользователей. В любом случае, выявление и попытка прив-
лечь к судебной ответственности разработчиков компьютерных вирусов
является важной формой борьбы с распространением компьютерных ви-
русов.
Существует ряд достаточно тонких моментов, связанных с ответс-
твенностью за заражение программного обеспечения компьютерным ви-
русом. Так, при наличии вируса(ов) на некоммерческих дискетах к
ответственности должен привлекаться автор вируса, а не распростра-
нитель (за исключением случаев, когда распространитель знал о су-
ществовании вируса и не принял мер по его удалению. К последнему
случаю можно отнести наличие хорошо известного вируса, на кото-
рый у распространителя заведомо имелся детектор и/или фаг). В слу-
чае коммерчески распространяемых дискет, возможно привлечение раз-
работчика к ответственности за преступную халатность: изготовитель
коммерческого программного обеспечения обязан достаточно хорошо
знать свои программы с тем, чтобы обнаруживать в них вирусы при
наличии надлежащих мер предосторожности и контроля. При отсутствии
умысла уголовная ответственность исключается, однако вполне воз-
можна административная ответственность по возмещению ущерба. Пос-
редник (продавец коммерческого программного обеспечения) может
нести ответственность в случае заражения программ хорошо извест-
ными вирусами, поскольку в этом случае можно доказать, что он не
принял необходимых мер предосторожности, тем самым проявив прес-
тупную халатность.
Разработка компьютерных вирусов не является уголовно наказуемым
деянием. Однако, когда разработанный вирус (в виде исходного кода
или зараженной программы), был опубликован (помещение программы в
BBS или электронный бюллетень рассматривается как опубликование),
распространен или передан третьим лицам с согласия разработчика
или без оного, возникает административная или уголовная ответс-
твенность в зависимости от ущерба, нанесенного деятельностью соз-
данного вируса. При этом, опубликование или распространение исход-
ного кода вируса может квалифицироваться как подстрекательство
(публичное или тайное воздействие на другое лицо с целью принятия
им решений об осуществлении уголовно наказуемых действий) и вести
к уголовной ответственности по соответствующей статье. При этом
несущественно наличие каких-либо рекомендаций по его использова-
нию, включая отрицательные рекомендации типа ни в коем случае не
делайте....
Передача исходного кода вируса или заведомо зараженной вирусом
программы может рассматриваться как пособничество, если в резуль-
тате такой передачи будет причинен вред третьим лицам. При этом
пособничество может квалифицироваться как умышленное, если прог-
раммисту было известно, что своими действиями он мог способство-
вать совершению преступления. Такая ситуация может возникнуть,
например, если разработанным вирусом сознательно заражались прода-
ваемые программы. В этой связи следует упомянуть о таком опасном
преступлении, как вирусный рэкет. Одной из разновидностей пос-
леднего является сознательное заражение программного обеспечения,
поставляемого вместе с компьютером, с целью извлечения дополни-
тельной прибыли в виде платы за последующую дезинфекцию. На Западе
отмечались случаи вирусного шантажа, когда неизвестное лицо по те-
лефону сообщает об угрозе взрыва установленной вирусной мины,
способной разрушить ценную информацию. Как и в случае с шантажис-
тами, сообщающими об установке мины в самолет, даже в случае если
угроза оказывается ложной, персонал теряет массу времени на поиски
и проверку программного обеспечения.
Создание троянской версии имеющейся программы путем включения в
нее замаскированного тела вируса и ориентированной на распростра-
нение данного вируса следует рассматривать как два отдельных прес-
тупления. Во-первых здесь имеется особо опасное нарушение авторс-
ких прав разработчика программы-носителя вируса, а во-вторых
сознательная попытка распространить вирусную программу.
Учитывая наблюдающийся сейчас рост преступности, нет никаких
сомнений в том, что в нашей стране будет быстро расширяться и та
ее часть, которая прямо или косвенно связана с компьютерами, т.е.
компьютерная преступность. В то же время, шансы на принятие зако-
нодательных мер в этом направлении в обозримом будущем невелики.
Это связано прежде всего с тем, что в нашей стране еще не решены
основные вопросы авторских прав на программное обеспечение. Нес-
мотря на несовершенство действующего законодательства, такая воз-
можность имеется. В частности, в Уголовном кодексе УССР имеется
статья 90 неосторожное уничтожение или повреждение государствен-
ного или общественного имущества. Если трактовать случаи зараже-
ния вирусом приобретенного организацией коммерческого программого
обеспечения как его повреждение, то возбуждение уголовного дела
против разработчика вируса представляется возможным и рамках дейс-
твующего законодательства

Имеющиеся сведения почти целиком основны на американских данных.
Сведения о судебных процессах в Европе на момент написания книги
отсутствовали. Сведения приводятся в хронологическом порядке. Все
приводимые ниже процессе велись на основе принятого в 1986 г. аме-
риканского закона о компьютерных преступлениях (1986 U.S. Computer
Fraud and Abuse Act).
Процесс Зинна. В феврале 1989 г. 17-летний уроженец Чикаго Гер-
берт Зинн был осужден окружным судом Северного района шт. Иллинойс
на девятимесячное заключение в тюрьме для малолетних преступников.
Он обвинен в незаконном доступе к компьютерам фирмы AT & T в На-
первилле (шт. Иллинойс), компьютерам НАТО в Бирлингтоне и на базе
военно-воздушных сил в шт. Джорджия. По данным обвинения между ию-
нем и сентябрем 1987 г. Зинн похитил программное обеспечение на
сумму порядка 1,2 млн. долларов, включая очень ценные программы в
области искусственного интеллекта и разработки компьютеров. Он был
выявлен служащими компании AT & T, обнаружившими его телефонный
номер и сообщения в одной из BBS. Это было первое осуждение по
упомятуму выше закону от 1986 г.
Процесс Митника. В марте 1989 г. 25-летний Кевин Давид Митник
был осужден к году тюремного заключения и трехлетнему испытатель-
носму сроку за кражу программы защиты от несанкционированного дос-
тупа, разработанную американской фирмой DEC. Стоимость разработки
составила порядка 1 млн. долларов. Компания затратила более 100
тыс. долларов (преимущественно машинного времени) на расследование
факта кражи. Микник также обвинялся в законном использовании 16-ти
чужих кодов с целью избежать оплаты междугородних телефонных пере-
говоров и в проникновении в компьютер университета Лидза (Leeds) в
Великобритании, однако в ходе слушаний прокурор согласился снять
эти обвинения. Интересно отметить, что в приговоре предусматрива-
лось шестимесячное лечение Митника в реабилитационном центре с
целью избавления его от навязчивого пристрастия к компьютерам.
Процесс Морриса. Как уже указывалось, 23-летний Роберт Тарран
Моррис младший, бывший аспирант Корнельского университета оштрафо-
ван на 10 тыс. долларов, а также осужден на три года условно и 400
часов общественных работ. Моррис является автором вируса, поразив-
шего в ноябре 1988 г. американскую национальную сеть Internet.
Слушания по делу Морриса проходили в окружном суде штата Нью-Йорк
с 22 января по 4 мая 1989 г. Приговор, вынесенный 4 мая 1989 г.,
основан на упомянутом выше законе от 1986 г. Осуждение основано на
факте несанкционированного доступа Морриса к компьютерам и нанесе-
нии ущерба в 150 тыс. долларов государственной сети компьютеров.
Основная часть этого ущерба связана с потерями машинного времени и
времени, затраченного персоналом на восстановление операций сети.
Адвокат Морриса заявил, что сумма ущерба раздута заинтересованными
организациями.

Господа присяжные заседатели,
заседание продолжается
И.Ильф, Е.Петров

Следует подчеркнуть, что приведенный в данной работе перечень
вирусов далеко не является исчерпывающим. В настоящее время для MS
DOS существует несколько сотен компьютерных вирусов и их число
продолжает расти. Поэтому следует с одной стороны ожидать посте-
пенного проникновения в СССР новых, более опасных и изощренно
написанных вирусов, включая стелс-вирусы, с другой вирусного
взрыва внутри самой страны, причем в силу наших особенностей он
принимает форму большого количества сравнительно простых, а зачас-
тую и безграмотно написанных вирусов. Не следует думать, что эво-
люция вирусов пойдет только в направлении их усложнения. Опыт по-
казал, что сложность стелс-вирусов существенно снижает их жизнес-
пособность. Как отмечал С.Н.Паркинсон в одном из своих знаменитых
законов рост означает усложнение, а усложнение -- разложение.
По-видимому эволюция компьютерных вирусов будет идти сразу в нес-
кольких направлениях, лишь одним из которых являются стелс-вирусы.
В свете имеющихся фактов, налаживание сплошного входного контро-
ля и исследования поступающего программного обеспечения является
важной задачей, решение которой не терпит отлагательства. Помимо
входного контроля батареей детекторов важное значение приобретает
контроль при загрузке. К сожалению, имеющиеся утилиты для контроля
on the fly (FluShot+) еще весьма несовершенны и разработки в
этом направлении являются, пожалуй, самыми приоритетными. В то же
время нельзя полагаться на какой-то один метод защиты -- защита
должна быть многоуровневой, комплекной и включать хорошо отлажен-
ную систему архивирования. Без последней любой метод защиты по су-
ти является самообманом.
Другим важным методом противодействия, выходящим в настоящее
время на передний план, является индивидуализация вычислительной
среды. Как минимум должен использоваться нестандартный дисковый
драйвер (например, Advanced Disk Manager) и командный процессор
(например 4DOS). Следует также рекомендовать уменьшенный до 1К
размер кластера на винчестере, который ведет к значительному сни-
жению количества свободных секторов в конце файлов и, тем самым,
препятствует распространению весьма опасных вирусов типа RC-0-512,
одновременно улучшая степень использования винчестера.Большая сте-
пень индивидуализации достигается переходом к MS DOS-совместимой
операционной системе (DR DOS, Hi DOS), тем более, что по своим эк-
сплуатационным характеристикам эти системы превосходят MS DOS.
Хотя общее количество вирусов велико, лежащие в их основе идеи
сравнительно малочисленны и не так просто поддаются расширению.
Поэтому основной тенденцией наблюдаемой в настоящее время является
не столько появление новых типов вирусов, сколько комбинирование
уже известных идей. Такие гибриды, как правило, оказываются
опаснее базисных видов. Например, в нескольких из появившихся не-
давно файловых вирусов используется заражение MBR, т.е. включены
черты бутового вируса. Все же, более часто наблюдается минимальная
модификация одного из получивших широкое распространение (и, сле-
довательно, доступного) вируса. Последнее приводит к образованию
вокруг базисного вируса группы штаммов, причем их количество в
некоторых случаях (например, для RCE-1813) превышает десяток.
Не следует думать, что только пользователи клонов IBM PC страда-
ют от этой новой напасти. Компьютерные вирусы отмечались и на дру-
гих типах персональных ЭВМ, в особенности на Macintosh. Среди дру-
гих ЭВМ, для которых существует один или несколько вирусов,
следует отметить VAX-11, Apple-II, Amiga, Atari. Еще раз отметим,
что по своей природе вирусы не являются программами, ориентирован-
ными на использование каких-то дефектов операционных систем. Для
функционирования вирусу достаточно обычных средств практически лю-
бой файловой системы. Поэтому проблема компьютерных вирусов носит
долговременный характер и к разработке средств защиты от них сле-
дует подходить соответственно, не рассматривая их как временные
поделки.
В настоящее время первостепенное значение приобретает обмен ин-
формацией между пользователями и координация усилий между разра-
ботчиками антивирусных программ. В какой-то мере в Киеве эту роль
играет семинар Системное программирование и выпускаемый им
электронный бюллетень СОФТПАНОРАМА. Постепенно налаживаются связи
и с разработчиками и пользователями антивирусных средств в других
городах, что позволяет оперативно распространять антивирусные
программы и описания новых вирусов. Учитывая сравнительно медлен-
ную скорость распространения компьютерных вирусов от центра к пе-
риферии (обычно вирус появившейся в Моске, Киеве, Ленинграде ста-
новится проблемой в других городах через три-шесть месяцев), для
большинства пользователей создается возможность встретить опас-
ность во всеоружии. В этом плане было бы целесообразно создание
отечественной антивирусной BBS, тем более, что количество установ-
ленных модемов последнее время быстро растет. Как уже было под-
черкнуто, скрывать друг от друга свежие антивирусные программы
просто невыгодно. Поэтому обмен должен налаживаться не только от
города к городу, региона к региону, но и внутри конкретного горо-
да: заитересованные пользователи могут и должны организоваться и
наладить обмен информацией и программами. Для этой цели может пос-
лужить такое проверенное средство как организация ежемесячного
городского семинара.
В условиях отсутствия информационных сетей значительную роль в
борьбе с вирусами способна сыграть периодическая печать. К сожале-
нию, наши околокомпьютерные журналы оказались практически выклю-
ченными из борьбы, поскольку сроки их издания таковы, что соот-
ветствующая информация устаревает к моменту попадания к читателю.
В этих условиях возрастает роль электронных бюллетеней типа СОФТ-
ПАНОРАМы, которые могут в приемлемые сроки распространять соот-
ветствующую информацию и загрузочные модули антивирусных средств.
Несмотря на обилие различного рода антивирусных программ, вопро-
сы конструирования средств защиты от вирусов остаются практически
неизученными. Отечественные разработчики вынуждены опираться на
свой собственный опыт и на немногочисленные исходные тексты анти-
вирусных средств, дошедшие до нас, в основном, с Запада. При этом
часто оказывается, что человек изобретает велосипед. Поэтому обоб-
щение имеющейся практики и создание какогото конструктора для
облегчения написания антивирусных программ (детекторов, фагов, ва-
кцин и др.) представляется достаточно актуальным. Автор надеется
посвятить этому вопросу вторую часть настоящей работы. Другим важ-
ным направлением является координация усилий между самими разрабо-
тчиками, создание специальных инструментальных средств, облегчаю-
щих анализ загрузочных модулей.
И наконец, поскольку вирусы являются дестабилизирующем фактором
для всех пользователей, необходимо выявлять и пытаться привлечь к
судебной ответственности разработчиков отечественных компьютерных
вирусов. Несмотря на несовершенство действующего законодательства,
такая возможность имеется. В частности, в Уголовном кодексе УССР
имеется статья 90 неосторожное уничтожение или повреждение госу-
дарственного или общественного имущества. Если трактовать случаи
заражения вирусом приобретенного организацией коммерческого прог-
раммого обеспечения как его повреждение, то возбуждение уголовного
дела против разработчика вируса представляется возможным и рамках
действующего законодательства.
Человек лишь недавно осознал, до какого кошмарного состояния он
довел окружающую среду. На наших глазах мир превращается в гло-
бальную свалку. Компьютерные вирусы, наряду с троянскими програм-
мами являются опасными загрязнителями информационной среды. Поэто-
му борьбу с компьютерными вирусами можно рассматривать как часть
экологического движения. Как и проблема загрязнения природы, проб-
лема компьютерных вирусов уже вышла за рамки национальных границ.
Локальное загрязнение какой-то территории (например, Софии) почти
всегда превращается в национальную, а затем и в международную
проблему. Транснациональное распространение вирусов наносит эконо-
мический ущерб, который пока лишь по размеру отличается от ущерба,
наносимого транснациональным распространением радиации или кислот-
ных дождей. Понятно, что должна существовать ответственность за
эти грязные потоки и какая-то система санкций. СССР в настоящее
время присоединился ко многим международным соглашениям по охране
окружающей среды. В области загрязнения информационной среды нам
этого еще предстоит добиваться. Как и в области охраны авторских
прав на программное обеспечение, в данном случае лучше добровольно
привести свое законодательство к международным нормам, не дожида-
ясь, когда нам это придется сделать под давлением (к сожалению,
обоснованным) со стороны других членов мирового сообщества. Иначе
репутации отечественной программной продукции будет нанесен значи-
тельный ущерб потоком изготовленных в стране компьютерных вирусов.

КЛАССИФИКАЦИОННАЯ ТАБЛИЦА ФАЙЛОВЫХ ВИРУСОВ, ОБНАРУЖЕННЫХ В CCCР

В приводимой ниже таблице собраны сведения о файловых вирусах, обнаруженных в СССР
по состоянию на 12.09.90. Ниже следуют замечания по ее структуре и организации:

1. В графе Дескрипторы, сигнатуры и фаги для данного вируса подграфа Тип содержит символ D для дескриптора,
символ F для фага, символ M для сигнатуры, используемой полидетектором SCAN (фирма McAfee Associates, США), символ I для
сигнатуры, используемой полидетектором VIRSCAN (фирма IBM), символ B для сигнатур, предлагаемых автором в случаях, когда
M или I сигнатуры неудачны. Cимволом + обозначено продолжение длинных I-сигнатур. Для ТР-вирусов В-сигнатура получена
путем дописывания шестнадцатиричного номера штамма к строке F47A.

2. В дескрипторе файлового вируса отражены следующие свойства:

A - деструктивные действия, выполняемые вирусом:

a (alter) - модификация управляющих блоков файлов
(переименование, внесение изменений в элемент каталога,
или соответствующую цепочку FAT, создание вместо
файла подкаталога и т.д.) или бутсектора;
b (block) - блокирует выполнение запускаемой программы или команды MS DOS;
c (corrupt) - повреждает или искажает файлы данных;
d (delete) - удаляет отдельные загрузочные файлы;
f (format) - выполняет форматирование дисков;
i (ignore) - заменяет операции записи на операции чтения или верификации;
h (hang) - подвешивает систему;
k (kill) - повреждает отдельные загрузочные файлы;
р (parallel port) - искажает информацию передаваемую через параллельный порт;
r (reboot) - вызывает внезапную перезагрузку системы;
s (sector destruction) - уничтожает отдельные сектора диска;
v (video effects) - искажает информацию в видеопамяти;
w (write port) - пишет в порты;
x - создает сбойные сектора;
z (zip) - стирает информацию в файлах или на диске,
а также в управляющих таблицах, например в таблице FAT;

В - проявления вируса;
a (abort) - появление запроса Abort, Retry, Ignore при попытке заразить прог-
рамму, расположенную на защищенной от записи дискете:
n (new files) - создает новые файлы;
m (music) - исполняет мелодию или имеет какой-либо другой звуковой эффект;
v (video effects) - создает визуальный эффект(ы);
t (text message) - выдает на экран текстовые сообщения;
s (slow down) - замедление работы компьютера;

С - механизм заражения командного процессора:
y - заражает файл с именем COMMAND.COM;
n - не заражает файл с именем COMMAND.COM;
о - заражает командный процессор не меняя его длины;
s - заражает командный процессор, независимо от его имени
(например, используя информацию из системной переменной COMSPEC);

D - изменение даты и времени создания файла:
i - изменяет дату на дату заражения;
m - изменяет месяц в дате создания файла;
s - изменяет только значение секунд времени создания файла;
s<целое> - изменяет значение секунд времени создания файла на указанное;
r - изменяет дату и время случайным образом;
n - не изменяет дату и время;

E - способ определения типа файла:
e - (extention) - по расширению;
s - (start of program) по содержимому первых двух байтов
(EXE-файлы начинаются с шестнадцатиричного кода 4D5A т.е.
символов MZ);

I - (type of increment and placement of virus body in infected
program) приращение длины файла при заражении: место и тип имплантации
вируса ( для вирусов типа CE соответствующие пары разделяются черточкой)

первая буква пары - тип имплантации:
o - (overwriting) - перезапись начала файла
f - (first block) - запись в первый блок файла с перемещением оригинального первого блока в конец;
h - (head) - запись тела в начало файла со смещением всей
заражаемой программы в область старших адресов;

m - (middle) - в середину файла;
t - (tail) - в конец файла;
b - (biplacement) - двухсегментное размещение (в голову и хвост)
с перенесением начальных байтов в второй сегмент;
c - (COM-twin) - создание COM-файла с тем же именем, что и
заражаемый EXE-файл;
х - неизвестна;

вторая буква пары - тип приращения:
с - постоянное;
p - (padding) изменяется из-за выравнивания на определенную границу (по умолчанию границу параграфа). Если
выравнивание идет на границу, отличную от кратной 16 указывается соответствующее исловое значение, например
p51 означает выравнивание до величины, кратной 16;
v - меняется случайным образом в определенных пределах;
n - отсутствует;
х - неизвестна;

J - обработка первой команды в СОМ-файлах;
n - не обрабатывает;
j - заражает только те COM-файлы, в которых первой командой является команда JMP;
s - не заражает такие файлы, первой командой которых является команда JMP;

К - кратность заражения файла:
<целое число> - заражает файлы указанное число раз;
m - заражает файлы многократно (для вирусов типа CE первая цифра
указывает кратность заражения COM-файлов, а вторая EXE-файлов);

L - длина тела вируса (байт):
<целое число> - длина равна указанному числу в
байтах;
i - длина равна нормированному или постоянному приращению;

M - действия вируса по маскировке своего присутствия в системе и зараженных файлах:

a - (automodification) - автомодификация инсталлятора с целью
затруднить обнаружение детекторами, основанными на контектном поиске;

с - (cipher) - шифровка части программы, исключая часть инсталлятора;

d - (antiDebugging tricks) - защита от трассировки;

e - (enter point) - сохранение точки входа в EXE-программах;

f - (fag) самоизлечивается при попытке просмотра
зараженной программы при резидентном вирусе;

h - (hook) - не обнаруживается сторожами типа FluShot+,
контролирующими состояние векторов прерывания (обычно 13 и 21);

i - (increment) - имплантация тела в программу без увеличения
размеров файла;

j - (jump) - cохранение первого перехода в COM-файлах;

l - (length) - маскировка увеличения длины зараженных файлов,
путем подмены значения соответствующего поля элемента оглавления при
операциях FindFirst и FindNext (21-11h и 21-12h) с предварительным
вычитанием длины вируса. При этом утилиты, которые не используют
указанные функции DOS, работая с каталогами непосредственно (например
Norton Commander), будут показывать увеличенную длину, а команда DIR -
уменьшенную.

m - (memory map) не обнаруживается системными средствами
просмотра списка резидентных программ;

о - (overlay) сегментация тела вируса на несколько подгружаемых
частей;

р - (polyinfection) заражение как файлов, так и исполняемых
системных блоков (бутсектор, MBR);

r - (redirection) - перехват и модификация дисковых операций с
целью скрыть изменения в исполняемых блоках (бутсектор, MBR);

s - (space) - корректировка резидентным вирусом общего обьема
свободной памяти на диске с целью скрыть его изменение в результате
заражения вирусом программ;

t - (text) шифровка текстовых сообщений;

S - стратегия заражения:
c - заражает файлы в текущем каталоге;
d - заражает все файлы на текущем диске;
f - заражает файл в каталоге, где находится файл, запускаемый на выполнение;
e - заражает файлы, запускаемые на выполнение (прерывание 21-4Bh MS DOS);
h - инсталлируется в старших адресах памяти, затирая оверлейную часть COMMAND.COM,
а затем заражает его при загрузке;
i - инсталлируется в старшие адреса таблицы векторов прерываний;
l - имеет средства распространения по локальной сети;
m - (main catalog) - заражает файлы в главном каталоге;
n - (new) - заражает файлы при создании
o - заражает любые открываемые файлы с подходящими расширениями;
p - заражает файлы, путь доступа к которым указан в команде PATH;
r - заражает файлы, для которых выполняется чтение;
s - (shell) - при инсталляции ищет и заражает COMMAND.COM;
t - (tree) - просматривает дерево каталогов и заражает по одному случайно выбираемому файлу
в каждом каталоге;

<целое> - количество файлов, заражаемых в один прием;
1x - по одному каждым из упомянутых способов;
1t - по одному в каждом каталоге;
1t - по одному в каждом каталоге;

T - дополнительные расширения заражаемых файлов, помимо указанных в классификационном коде:
a - любое
b - BIN;
o - OVL, OVR;
s - SYS;

Z - побочные проявления действий вируса:
a - (attr) - изменение атрибутов при заражении файла, например a® - снятие атрибута READ ONLY;
b - (boot) - при заражении программ, запускаемых в файле
AUTOEXEC.BAT, возможно зацикливание процесса загрузки;
e - появление ошибок типа деления на нуль, переполнения стека и т.п.;
f -(FAT) - искажения FAT
h - (hang) зависания системы
o - нарушение функционирования программ с оверлейной структурой.
Например, возникновение ошибок при загрузке отдельных фаз оверлейной программы;
r - нарушение работы некоторых резидентных программ вследствие
использования вирусом общих с ними системных прерываний;
t - (twins) сращивание цепочек в FAT;
v - (video) - мерцание монитора или выдача на экран каких-то случайных последовательностей символов;
x - (eXtended) повреждение расширенных EXE-файлов, т.е. таких,
у которых длина, указанная в элементе оглавления больше
длины, указанной в заголовке. При запуске таких программ в
память загружается только то количество байтов, которое
определено в заголовке файла. Оставшаяся область дискового
пространства может использоваться как буфер или как неявный
оверлей.

Atr - атрибуты. Для атрибутов указываются обозначения битов при которых заражение файлов не происходит,
если таковые существуют):
r - READ_ONLY - не заражает файлов с этим атрибутом;
h - HIDDEN - не заражает файлов с этим атриутом;
z - (zapped) вирус снимает имеющиеся у файла атрибуты и не восстанавливает их после заражения файла;
d - дата создания заражаемых файлов не должна совпадать с текущим месяцем и датой;

LenC, LenE, LenCE - длины файлов типа COM, EXE и COM&EXE соответственно
MaxC - максимальная длина COM-файла, длина которого после инфицирования данным вирусом
не превысит 64 Кбайт (MaxC = 64K - <длина вируса>);

Name - имя файла.

Date - дата создания файла

4. В списке Н указаны номера прерываний, перехватываемые данным вирусом.

5. Резидентные вирусы часто конфликтуют с другими резидентными программами. Это может приводить к зависанию системы,
выдаче ошибок (деление на ноль, переполнение и др.), зацикливании при загрузке MS DOS и другим побочным эффектам.

6. Символом * помечены названия вирусов, выдаваемые полидетектором Scan при обнаружении М-сигнатур, символом #
- названия, используемые в VIRUS INFORMATION SUMMARY LIST, составленном Патрицией М. Хоффман (Patricia M. Hoffman) а
символом $ - названия, выдаваемые полидетектором TNTVIRUS (фирмы CARMEL). Символом + обозначено продолжение
Некоторые вирусы группы TP идентифицируется детектором SCAN как одновременно присутствующие вирусы Yankey Doodlе и
Vacsina, что обычно не означает зараженности программы двумя вирусами одновременно. Для вирусов Yankee Doodle SCAN
использует M-сигнатуру 35CD218BF38CC7, которая для экономии места в таблице не приводится. Информация по ряду вирусов
неполна.

7. Вирусы упорядочены по возрастанию классификационной характеристики. Для вирусов, отсутствующих в СССР, в качестве
классификационной характеристики используется величина, приводимая П.Хоффман или в документации к полидетектору SCAN.
Символы nnnn в классификационном коде вируса означают, что сведения о размере цифровой характеристики отсутствуют.

8. В графе Распр. указана степень распространенности вируса в СССР (оценка автора). Степень распространенности дается
по пятибальной шкале (1 - обнаружен только в одном городе и о других случаях информация не поступала, 2 - в нескольких городах,
кроме Москвы и Киева; 3 - случаи заражения отмечались и в Москве и в Киеве, 4 - во многих крупных городах, 5 - практически
повсеместно).

9. В графе Динамика указывается динамику распространения данного вируса на момень составления таюлицы
( < - нарастание эпидемии, * - пик эпидемии, > - спад эпидемии, ~ - практически повсеместно уничтожен).

10. Вертикальной чертой (_) слева от неформального названия помечены новые вирусы и вирусы, информация о которых была
дополнена или изменена по сравнению с редакциями 3.1-3.9.

11. Для неизвестных в СССР вирусов можно попытаться использовать полифаг CLEAR, входящий в пакет антивирусных средств,
распространяемых фирмой McAfee Associates как SHAREWARE, однако в качестве выкусывания этого полифага есть основания
сомневаться, поэтому рекомендуется сделать резервные копии зараженных программ перед выкусыванием, а само выкусывание
проводить на дискете, а не на винчестере.

12. В графе Группа указано к какой группе приндлежит данный вирус. Если после обозначения группы или вместо нее
стоит один или несколько восклицательных знаков, то данный вирус представляет значительную опасность и более подробно
рассмотрен в основном тексте. При этом используется следующее обозначение групп:

Ven - венская
Ier - иерусалимская
TP - болгарская TP-группа
Dcr - DataCrime
DAv - группа Dark Avenger