Компьютерные террористы
Шрифт:
Для новозеландской группы характерно заражение Master Boot Record жесткого диска и минимальный хвост, размером в один сектор. Хвост содержит только оригинальный загрузчик, который размещается не в псевдосбойном кластере, а по определенному абсолютному адресу. Также особенностью вирусов данной группы является заражение жесткого диска сразу после инсталляции в оперативную память — до передачи управления стандартному загрузчику, а не после, как это делает большинство вирусов других групп. Родоначальником группы признан вирус Stoned (Забалдевший). Впервые был обнаружен в Веллингтоне (Новая Зеландия) в начале 1988 г. и быстро распространился в Азии, а затем в США и Европе. Исторически считается, что это первый загрузочный вирус, поражавший MBR. В СССР появился в конце 1989 г. практически одновременно в нескольких городах.
Индийская группа зародилась благодаря «деятельности» вирусописателя, жившего в свое время (живущего?) в Бомбее (Индия). Типичный представитель группы — вирус Joshi (Джоши). Впервые был обнаружен в Индии в июне 1990 г. У нас появился уже в июле того же года. Однако первым известным индийским вирусом был вирус PrintScreen (Печать экрана), обнаруженный в Бомбее в ноябре 1989 г. Невилем Булсара (Neville Bulsara).
Обычно самые «дисциплинированные» вирусописатели обязательно оставляют в коде вируса дату его создания (либо неявное указание на эту дату). Но чаще, конечно, в описаниях к данному вирусу фиксируется дата (период) его первого появления. Эта дата позволяет в дальнейшем определить и проанализировать основные этапы миграции вируса по планете, а затем попытаться спрогнозировать его следующее появление.
Вот такие интересные определения уже существуют в компьютерной вирусологии.
ИСКОПАЕМЫЕ загрузочные вирусы практически полностью уничтожены и представляют, в основном, исторический интерес. Как правило, это вирусы «первой волны», которые были полностью уничтожены первыми антивирусными программами, в живом виде сейчас не существуют и присутствуют, может быть, в коллекциях некоторых вирусологов. Здесь можно упомянуть о некоторых из них.
Alameda (неформальные названия — Merritt, Peking, Seoul, Yale) — один из первых загрузочных вирусов и первый вирус, способный «выживать» при «теплой» перезагрузке. Впервые обнаружен в США в 1988 г. в Merritt College, Oakland, California. По мнению сотрудников университета, вирус написан студентом из колледжа Peralta community college, входящим в данный округ.
Ohio (Огайо) — вирус можно рассматривать как раннюю версию вируса Den Zuk. Дискета, зараженная вирусом Ohio, иммунизирована к заражению вирусом Brain. Вирус обнаружен в июне 1988 г. в Индонезии и, по-видимому, разработан там же.
Chaos (Хаос). Неформальное название данного вируса связано с тем, что в теле вируса имеются текстовые строки «Welcome to the New Dungeon», «Chaos» и «Letz be cool guys». Стадия проявления заключается в пометке всех свободных кластеров как сбойные. Обнаружен в декабре 1989 г. в Англии Джеймсом Берри (James Berry).
МИФИЧЕСКИЕ загрузочные вирусы скорее всего существуют только на страницах литературы и в фольклоре. Их описания есть в некоторых источниках (иногда компетентных), но никто не может с уверенностью сказать, что встречался с этими вирусами. Для примера — вирус Вххх (Boot Killer), который был описан в одной из статей в 1988 году.
«Подарок к Рождеству» и другие вирусы
В середине декабря 1989 года тысячи пользователей компьютеров получили неожиданный подарок к Рождеству — посылку, содержавшую гибкий диск с пометкой «Информация о СПИДе». Многие, не подозревая подвоха, загрузили диск в компьютеры, после чего программа, записанная на этом диске, испортила всю информацию на винчестере и запросила 378 долларов за ее восстановление. Деньги предлагалось направить в абонентский ящик 87–17—44 почтового ведомства Панамы. Конкретные мотивы данного акта вандализма не объявлялись. Когда поползли слухи, что абонентского ящика с указанным номером не существует вовсе, были высказаны предположения, что отправителем посылок является лицо, действительно заразившееся СПИДом и пожелавшее утешиться таким экстравагантным способом. Согласно другой версии, это была месть служащих в ответ на какую-то несправедливость со стороны начальства.
Наконец выяснили, что указанный адрес реально существует, и сейчас, если нельзя сказать, почему было совершено преступление, то можно с достаточной степенью определенности восстановить, как это было сделано. 11 декабря тысячи конвертов с зараженными дисками были отправлены из Лондона по адресам фирм, расположенных на четырех континентах. Среди британских получателей значились Министерство здравоохранения, Фондовая биржа и такие фирмы, как Rolls Royce, Barclays Bank, ICL, Sainsburys и другие. Для рассылки был использован главным образом список адресов, приобретенный в редакции периодического издания PC Business World гражданином Кении Ф. Кетемой, который заявил, что собирается поставлять программное обеспечение из Кении в Великобританию.
В ряде случаев программа срабатывала не сразу, а лишь после неоднократного выключения и повторной загрузки зараженного компьютера (как правило, это нужно было сделать 90 раз). Обычный способ распространения вируса — обмен дискетами между пользователями. Дискета с вирусом AIDC сама активно способствовала дальнейшему заражению, коварно предлагая пользователям, обнаружившим потерю данных, «выход» из создавшегося положения: советовала установить дискету на другой компьютер и переписать ее на жесткий диск. Доверчивый пользователь следовал совету и обнаруживал, что вторично попался на удочку — и себя не исцелил, и ближнего заразил.
Дэвид Фрост, один из авторов книги «Учебное пособие по компьютерным вирусам», изданной фирмой Price Waterhouse, считает, что, несмотря на все предосторожности, всегда будет оставаться вероятность заражения. Книга содержит подробные советы по борьбе с вирусными атаками как с точки зрения организации производства, так и с точки зрения программирования. Среди предлагаемых основных мер безопасности — регулярное резервное копирование программ и данных, проверка нового программного обеспечения на содержание вирусов, осторожное обращение с программным обеспечением, полученным из неофициальных источников, таких, как электронные бюллетени, либо полное запрещение использования таких программ. Но главное — это достижение информированности всех пользователей о мерах безопасности и о потенциальных угрозах, учитывая тот факт, что в большинстве случаев вирусы внедрялись и распространялись по вине неграмотных, ни о чем не подозревавших пользователей. Особенно необходимо помнить о том, что авторы вирусов, побуждая пользователей заражать себя и других, проявляют крайнюю изобретательность, пытаются порой даже пробудить в человеке низменные чувства (в случае с дискетой «Информация о СПИДе» использовался шантаж: зарази другого и сам будешь исцелен).
В качестве поучительного примера в книге рассказывается о вирусе SEX.EXE, который развлекает пользователя, выводя на экран порнографические картинки, а заодно и разрушает таблицу размещения файлов его компьютера. Некоторым людям бывает чрезвычайно сложно устоять перед искушением запустить неизвестную программу с таким интригующим именем, как SEX.EXE. Так что в будущем не исключено появление новых вирусов, использующих знание о человеческих слабостях для достижения неблаговидных целей.
К несчастью, мы, возможно, являемся свидетелями эволюции вирусов-шалостей в злонамеренные вирусы. Программы типа вируса «Пятница 13-го», который разрушил данные многих персональных компьютеров, могут получить более широкое распространение. Стивен Росс, старший администратор фирмы бухгалтерских услуг и консультаций Delloitte, Haskins & Sells, считает, что до сих пор мы увидели лишь вершину айсберга. «Эпоха вирусов-шутих, не имеющих каких-либо определенных задач или целей, кончается, перед нами — эпоха ориентированных вирусов, — говорит он, — проблема вирусов в перспективе неисчерпаема».