Из-за глобальной угрозы заражения птичьим гриппом правительства многих стран объявили чуть ли не военное положение — мобилизовали ученых, производителей лекарств и тружеников села. Удивляет размах, с которым взялись за искоренение инфекции. Реально пострадало с десяток жителей Юго-Восточной Азии (в Москве за неделю в ДТП гибнет больше), а весь мир вот уже черт знает сколько времени стоит на ушах.

Если бы мировое сообщество с таким же рвением взялось бы за очистку интернета от компьютерных вирусов, мы бы сейчас, наверное, уже забыли об антивирусах. Правда, в этом случае задача была бы сложнее. За четверть века прилежное рукоблудие вирусописателей вызвало к виртуальной жизни такое количество компьютерных паразитов, что для их описания приходится использовать расширенную классификацию.

Борьба с козлом бобра

После каждой атаки файловых вирусов банки несли колоссальные потери.

На сегодняшний день для компьютерных вирусов существует множество определений, но ни одно из них не стало единым мировым стандартом. Поэтому разные источники дают свою классификацию, похожую в общих чертах, но различающуюся в деталях. Вирусописатели все время смещают акценты и не хотят учитывать в своей вредоносной работе труды заслуженных ученых в области защиты информации. Их новые монстры не хотят оставаться в рамках уже готовой классификации.

Нынешние вирусы можно условно разделить на несколько обширных групп:

— собственно вирусы (классические);

— интернет-черви;

— трояны и потенциально опасные программы.

Первые апдейты к первым антивирусам называли «вакциной» и использовали в точном соответствии с медицинским аналогом — избирательно против одного или нескольких компьютерных вирусов.

Почему условно? Да потому, что кроме «чистокровных» компьютерных паразитов, вполне определенно относящихся к той или иной категории, существуют переходные формы, которые поставят в тупик любого классификатора.

Как оказалось, теория Чарльза Дарвина отлично подходит не только для описания биологической эволюции, но и для виртуальной. Разница между ними в том, что виртуальная эволюция протекает значительно быстрее. Ведь энергией, которую потратили вирусописатели на изобретение своих франкенштейнов, можно было бы годами отапливать замерзающие поселки Крайнего Севера, догадайся кто-нибудь подключить к натруженным рукам программистов-вредителей теплоотвод. Вместо этого специалистам антивирусных компаний приходится держать оборону и тратить миллиарды человекочасов на создание систем защиты.

Извечная борьба добра со злом идет с переменным успехом. Напряжение растет, противники заняты великой битвой, а люди на Крайнем Севере снова остались без тепла. Как обычно, зло всегда на шаг впереди. Ведь прежде, чем кто-то задумается о противоядии, кто-нибудь должен отравиться. А поскольку вирусные инфекции распространяются с огромной скоростью, счет пострадавших порой идет на миллионы. По оценкам специалистов, новый вид вируса способен заразить до 80% атакованных компьютеров, какое бы антивирусное обеспечение на них ни стояло.

Прежде чем перейти к классовому описанию вирусов, нужно разобраться — что же, собственно, они делают и чем опасны. Ведь нас, обычных пользователей, в первую очередь интересует не теоретическая подкладка, а практическая польза. В первом приближении можно сказать так: компьютерный вирус это программа, которая может существовать в определенной среде (операционной системе) и при определенных условиях способна к размножению.

Последнее свойство — определяющее, оно несет в себе большую часть неприятностей. Степень опасности может быть разной: большинство вирусов ничего, кроме самокопирования, не интересует. Чтобы разозленный пользователь не прервал процесс размножения на самом интересном месте, задача вирусов состоит в том, чтобы как можно дольше оставаться незамеченными. И это вполне осуществимо: по данным «Лаборатории Касперского», 13% владельцев компьютеров не пользуются антивирусными программами. А 30% обновляют их от случая к случаю.

Бюджетная платформа для файловых вирусов

Классические файловые вирусы в последнее время несколько сдают позиции. Таких масштабных эпидемий, как раньше, не было уже несколько лет. Аналитики связывают это с падением интереса вирусописателей на этом направлении. Тем не менее те же Win32.Kriz («Клещ») и Win95_CIH («Чернобыль») по-прежнему всплывают то здесь, то там. Чаще всего в России, поскольку у нас много бюджетных организаций, которые закупили оргтехнику еще в середине 90-х и до сих пор с ней мучаются (поскольку списать устаревший хлам не так-то просто). Соответственно, памяти мало, антивирус серьезно замедляет работу и поэтому, если и установлен, то только на самых важных компьютерах (понятное дело, у начальника). Самое забавное, что люди считают, будто антивирусное обеспечение им ни к чему, если организации не имеют выхода в Сеть. А вот дома интернет у них есть. Потом они очень удивляются, каким образом все рабочие компьютеры оказались заражены какой-то гадостью. Прямо как в анекдоте, когда пожилая дама спрашивает у ветеринара, почему ее кошка регулярно приносит котят, если на улицу не ходит и с котами не общается. Тут в комнату заходит здоровенный котище. «А это кто?» — показывает на него ветеринар. «Как вы могли подумать! — возмущается дама. — Это же ее родной брат!». Понятное дело, с таким уровнем компьютерной грамотности у нас не только клещи, но и крысы в системных блоках жить будут. Один очень грамотный товарищ как-то раз убеждал меня в том, что на домашнем компьютере антивирус тоже не нужен, поскольку там нет ничего ценного и в случае вирусных обстоятельств легче снести систему, чем возиться с лечением. Это при том, что на его компьютере мы на его глазах только что изловили Win95_CIH «Чернобыль». Интересно, остался бы он при своем мнении 26 апреля?

Долой Кузьмичей!

На наше счастье биологические вирусы изменяются не так быстро, как компьютерные, иначе мы все давно бы вымерли.

Из «классики» наиболее безобидными считаются тестовые или «лабораторные» вирусы. Их создают в университетах, исследовательских центрах антивирусных компаний, в подразделениях разработчиков операционных систем (чтобы определить защищенность ОС и связанных с ними программ). Тем самым можно спрогнозировать появление новых, неведомых форм особо зловредных вирусов и наметить методы борьбы еще до того, как случится глобальная эпидемия. Такие вирусы опасны только тогда, когда случайно или умышленно покидают лабораторную клетку и становятся «дикими». Вероятно, подобное происходило уже не раз: наверное, именно так возник первый стелс-вирус, который весьма умело маскировал свое присутствие на компьютере.

Кроме самокопирующихся вирусов бывают вирусы-приколы. Как только основная миссия по продолжению рода выполнена, они веселят пользователя каким-нибудь забавным (на взгляд вирусописателя) эффектом. К примеру, во времена DOS часто страдали текстовые программы — вирусы играли со шрифтами и строками как хотели. Неискушенные жители бывшего СССР дружно выстраивались в очередь у сервисного центра с дежурной жалобой «у меня буковки на экране осыпаются вниз» и просили заменить монитор. Действительно, стоило набрать полстраницы текста, как буквы одна за другой покидали строй и падали за пределы экрана. Мониторы тут, естественно, были совершенно не при чем.

Живые вирусы. Впрочем, живые ли? Биологи иногда называют вирусы переходной формой от мертвой материи к живой.

Однако ничего хорошего от вирусов ожидать не приходится даже в том случае, если злоумышленник не собирался вредить пользователям. Зачастую код вируса содержит ошибки, которые ведут к непредсказуемым последствиям. В процессе самокопирования паразиты модифицируют отдельные файлы атакованной системы, включают свой код в исполняемую часть, что уже чревато потерей данных и нарушением работы всей ОС в целом. Например, семейство Vienna включает в себя множество разновидностей исходного вируса. Модификация Vienna 810 выводит на экран яростный революционный лозунг «Мы на горе всем буржуям мировой пожар раздуем!!! Кузьмичи», на что Vienna 757 отвечает контрреволюционным призывом: «Долой Кузьмичей!!!».

Поскольку пользователи так и не поняли, кто такие Кузьмичи и в чем суть борьбы, революционный запал пропадал вхолостую (впрочем, «Аврора» тоже стреляла не боевыми).

А вот с помощью версии Vienna 776 операционная система сообщала нечто более полезное и конкретное: «Я, кажется, подхватила какую-то заразу... Срочно звоните Дмитрию Николаевичу Лозинскому по телефону 292-40-76 (Москва) и приобретите программу Aidstest!». Доподлинно неизвестно, действительно ли этот телефон принадлежит автору популярного в свое время антивируса или, может быть, звонок раздавался в кабинете какого-нибудь директора московской фабрики новогодних игрушек. Но, думается, отвечать на звонки жертве прикола было совсем не так весело, как представлялось автору модификации.

При заражении вирус искал COM-файлы и включал в них свой код (в самый конец файла). После этого, как только пользователь запускал какую-то программу, прописанный вирус активировался и плодил потомков, заражая еще нетронутые файлы, которые после этого часто отказывались работать.

Однако гораздо хуже, когда вирус специально затачивают под вредительство. «Штамм» Lisbon из все того же семейства Vienna писал свой код не в конец, а в начало файла, после чего их невозможно было восстановить в первоначальном виде. А особо опасные модификации 716 и 1000 время от времени пробовали отформатировать жесткие диски... Хотя все описанные вирусы считаются представителями одного семейства, последние для рядового пользователя явно опаснее.

Чернобыльский армагеддон

Поскольку скрытность — это залог широкого распространения вируса, компьютерные паразиты не спешат показать пользователям свое лицо. Их метод — отсидеться в засаде и ударить по самому больному месту в точно назначенное время. Чем больше инкубационный период, чем слабее признаки заболевания, тем выше шансы выйти паразиту на мировой уровень, засветиться на первых строчках новостных лент и попасть в исторические хроники глобального противостояния. Следует отметить, что таймер отсчитывает секунды до запуска деструктивных механизмов для разных вирусов по-разному. У одних это конкретный промежуток времени (месяц, два и более). Для других вирусописателем назначена конкретная дата — время «Ч». Печально знаменитый файловый вирус Win95_CIH, получивший зловещее прозвище «Чернобыль», относится как раз ко второму типу. Он запускает механизм уничтожения 26 апреля, в день катастрофической аварии на четвертом блоке Чернобыльской АЭС. По этой причине, кстати говоря, многие думали, будто «бомбу» в Сеть подложил какой-то выходец из Советского Союза. Но нет — вирус появился летом 1998 года в одном из университетов Тайваня. Оттуда через местные интернет-кафе он распространился по всему миру, включая Россию. Ничего особенного вирус не делал. Сидел себе тихонько в операционной системе и размножался. Его не воспринимали как серьезную угрозу. Благодаря этому к 26 числу следующего года огромное число компьютеров по всему миру имело на своем жестком диске копию паразита. А потом грянул гром. По самым скромным подсчетам пострадало полмиллиона компьютеров. Вирус уничтожил содержимое жестких дисков, а на некоторых машинах вдобавок к этому полетел BIOS на материнских платах. Это был самый настоящий компьютерный армагеддон! Утром 26 числа в «Лабораторию Касперского» за помощью обратились более тысячи владельцев мертвых компьютеров. Пользователи испытали самый настоящий шок, поскольку до этого считалось, что вирусы могут испортить данные, но аппаратная часть им не по зубам. Хотя, конечно, материнскую плату заменить недолго, а вот информация порой просто бесценна. Чего стоит только потеря всех клиентских счетов в крупном банке или протоколы научных наблюдений за несколько лет? Win95_CIH, как и положено файловому вирусу, поражал EXE-файлы. Для сокрытия следов автор использовал «дырки» в формате, которые образуются из-за принудительного выравнивания секций. Поскольку длина их неодинакова, между концом предыдущей и началом новой секции часто остаются неиспользованные блоки в несколько байт, в них вирус пытается разместить свое небольшое тельце (около одного килобайта). При запуске зараженного файла паразит перехватывал управление, выделял участок оперативной памяти, куда копировал свой код. Затем управление передавалось обратно в программу, которую хотел запустить пользователь. Поскольку копирование одного килобайта информации не отнимает много времени, вряд ли кто замечал задержку при запуске программ. После этого при попытке открыть EXE-файл Win95_CIH проверял его структуру и записывал в него свой код (то есть размножался). Затем проверялась системная дата. Если на календаре значилось 26 апреля, стирался BIOS и вся информация на жестких дисках (путем прямого обращения). Дотянуться до материнской платы вирус мог только в том случае, если она имела переключатель «чтение/запись» для BIOS, который разрешал изменение информации в микросхеме.

Классика жанра

За четверть века своего существования вирусы значительно продвинулись в своем развитии. Если не отвлекаться на подробности, дерево «классических» технологий по заражению файлов выглядит так.

Загрузочные вирусы

Загрузочный вирус, который прописывается в области жесткого диска или дискеты, где хранятся данные операционной и файловой системы (boot-сектор). При запуске зараженного компьютера вирус активизируется и ждет своего часа в оперативной памяти. Для размножения ему нужна дискета (или доступный для чтения/записи носитель). Как только пользователь вставил дискету в дисковод и обратился к ней, вирус немедленно скопирует себя в загрузочный сектор. Если эта дискета попадет на «чистый» компьютер, он тут же будет награжден новой копией вируса. Загрузочные вирусы одни из самых древних. На сегодняшний день близки к вымиранию: их слишком легко обнаружить.

Файловые вирусы

Файловые вирусы избирательно поражают исполнительные модули программ (c расширениями EXE, СОМ). Семейство Vienna относится как раз к этой категории. Данная категория паразитов отличается широким разнообразием способов внедрения своего кода в тело файла-жертвы. Простейший способ — банальная подмена содержимого, так называемый оверрайтинг (от английского «overwriting»), когда вирус просто пишет поверх файла свои данные. Файл при этом работать уже не может и восстановлению не подлежит. При этом, однако, пользователю трудно не заметить, что приложения «падают» одно за другим. Поэтому широких эпидемий такие грубые вирусы не вызывали.

Совсем другое дело, когда операция по вживлению проводится таким образом, что пораженный файл сохраняет полную или частичную работоспособность. Тут гораздо сложнее понять, с чем мы имеем дело — с вирусами или обычными системными глюками. В этом случае код вируса предельно аккуратно дописывается в начало, конец или середину файла. Но если бы все ограничилось только этим, программа все равно была бы разрушена. Все дело в хитром алгоритме действий. При обращении к пораженной программе управление сначала попадает в руки вируса, где бы он ни находился. В этом случае меняется точка входа. Система, прочитав заголовок, сразу переходит по указанному вирусом адресу, и он спокойно выполняет все заданные создателем зловредные функции. А дальше вообще песня — чтобы обмануть бдительность пользователя, вирус временно восстанавливает поврежденный участок программы и позволяет ей запуститься как ни в чем не бывало.

В общем, способов придумана масса. Самый простой — в укромном месте сохраняется неповрежденная версия исполняемого файла программы, откуда она и вызывается по команде вируса (этот метод называется сompanion). Другой способ сокрытия следов пребывания — запись в заведомо неиспользуемые части EXE-файлов. Фишка в том, что формат всем известного EXE-шника рваный. При компиляции в нем образуются небольшие пустоты в несколько байт величиной (если файл большой, таких дырок в сумме набираются килобайты), чем с удовольствием воспользовались создатели вирусов. Зараженный файл остается внутренне целым, поскольку в «дырках» данных нет (данный метод получил название cavity). Хитро, но не для антивируса.

Утро 27 апреля 1999 года надолго войдет в историю. Миллионы бирж и банков по всему миру лишились всей документации. А ведь поначалу никто и подумать не мог, что безобидный Win95_CIH способен на такое.

Макровирусы

Макровирусы живут преимущественно в программах Microsoft Office. Их появлению способствовало наличие в этих приложениях скриптового языка. Однажды кто-то попробовал использовать его не для автоматизации рутинной последовательности действий, а для создания вируса. С тех пор документы Word, PowerPoint, Excel потенциально опасны. В последних, кстати, вирусы научились манипулировать формулами (особо опасно для балансовых отчетов и ведомостей на выдачу зарплат).

Хмурое утро 27 апреля

После шоковой терапии, которую устроил 26 апреля 1999 года файловый вирус Win95_CIH («Чернобыль»), Евгений Касперский оценил ситуацию следующим образом: «Естественно предположить, что лишь около 1% пострадавших пользователей позвонили непосредственно нам. Подавляющее же большинство обратилось в местные компьютерные техцентры или самостоятельно восстановило разрушенные компьютеры. Учитывая это, можно утверждать, что по России в этот день от вирусной эпидемии пострадало не менее 100 тыс. компьютеров. Оценить материальный ущерб, видя такие громадные цифры, я просто не берусь. Также не берусь оценить количество компьютеров, пострадавших во всем мире. Если даже российский парк компьютерной техники оценить как два-три процента от мирового, то это число может возрасти до шестизначных цифр».

* * *

На этом наш разговор о вирусах не закончен. В одном из ближайших номеров «Игромании» мы продолжим тему и расскажем вам о «червивых письмах» и потенциально опасном программном обеспечении.