Записки исследователя компьютерных вирусов

Касперски Крис

Но мало-помалу мониторы все умнели и оснащались теми же самыми перепрограммируемыми ПЗУ, хранящими текущие настройки монитора в энергозависимой памяти, причем некоторые модели современных мониторов поддерживают управление не только посредством кнопок меню, расположенных на лицевой панели, но и программно – т. е. через компьютер. Автору известно несколько случаев, когда отладчик soft-ice от NuMega (низкоуровневая программа такая) при попытке установки неправильного драйвера экрана ломал некоторые модели мониторов фирмы Sony так, что они после этого даже не включались. (Монитор выходил из строя именно в момент активации драйвера, – поэтому эти сообщения никак нельзя

списать на случайность.) Не стоит отмахиваться от этой проблемы, равно как не стоит надеяться на то, что у не-Sony-мониторов ее нет. И единственное, что в такой ситуации можно посоветовать, – внимательнее относиться к вирусной безопасности (ну, вдруг появятся вирусы, ломающие мониторы).

Несколько легче избежать «поджаривания» своего компьютера, если перепрограммировать стабилизатор питания. Многие материнские платы позволяют программно изменять напряжение питания процессора и оперативной памяти, что высоко ценится у любителей экстремального «разгона». При хорошем охлаждении умеренное увеличение питающего напряжения процессору практически никак не вредит (но срок службы все-таки сокращает), однако, если «задрать» питание до максимума, процессор в считанные минуты может «кинуть кони» (особенно, если он установлен на штатном радиаторе). Поэтому всегда устанавливайте радиатор с запасом или не приобретайте плат с подобными возможностями.

С жесткими дисками ситуация еще хуже. Практически все они поддерживают программное включение/выключение питания, и приблизительно половина из них обнаруживает одну очень неприятную особенность: если циклически «щелкать» выключателем питания, подгоняя момент включения так, чтобы он пришелся на еще не полностью остановившиеся «блинчики», винчестер уже на сотой итерации в буквальном смысле слова рассыпается на запчасти! А еще многие жесткие диски допускают возможность перепрошивки или редактирования служебных таблиц, искажение которых может привести к тому, что контроллер винчестера наотрез откажется запускаться!

И подавляющее большинство моделей оптических накопителей также подвержены угрозе затирания прошивки, команды записи которой, кстати говоря, стандартизованы, а не варьируются от одного производителя к другому, как это происходит со всеми вышеперечисленными устройствам. Проектирование троянской компоненты вируса при этом существенно упрощается, а масштабы поражения многократно возрастают. Записывающие накопители (они же «писцы» или «резцы») в большинстве своем закладываются на импульсную работу лазера, выжигающего последовательность точек («питов»), разделенных одним или несколькими «лендами». Зная принцип кодирования данных, можно подготовить последовательность, практически начисто лишенную лендов и состоящую преимущественно из длинных «питовых» цепочек. Существует далеко не нулевая вероятность, что при записи такого образа лазер перегреется, и либо сгорит, либо (в лучшем случае) существенно ухудшит свои эксплутационные характеристики (подробнее об этом рассказывается в книге Криса Касперски «Техника защиты лазерных дисков»).

ПРИМЕЧАНИЕ

Кстати говоря, многие приводы (в частности, мой PHILIPS CDRW2412, относящийся к весьма недешевому классу «продвинутых» приводов) механически выходят из строя при считывании оглавления некорректно «размеченного» диска.

Так же могут быть «перепрограммированы» и многие другие устройства (например, модемы), разрушение прошивки которых сделает их неработоспособными, причем уничтожение модема осуществляется даже на минимальном уровне привилегий.

Короче говоря, современный компьютер со всей своей периферией представляет собой достаточно уязвимое устройство, легко выводимое из строя на программном уровне. Отсутствие массовых «выгораний» комплектующих объясняется тем, что создатели вирусов совсем не лишены чувства сострадания и движет ими отнюдь не жажда вселенской мести и разрушений планетарного масштаба. Если бы LoveSan или любой другой из расплодившихся в последнее время вирусов хотя бы частично выводил компьютеры из строя, мы с вами сейчас грелись у костра, сидя на медвежьих шкурах, а компьютеры использовали в качестве декоративного украшения, напоминающего о былых временах…

КЛАССИФИКАЦИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ

Существует по меньшей мере два типа компьютерных вирусов – те, что вы еще не поймали, и те, которые вам еще предстоит поймать. Предложенная классификация ничем не хуже любой другой, претендующей на академическую серьезность и отточенность формулировок. Знаете, когда этот академический презерватив натягиваешь на торчащую полуось вируса, раздается громкий хлопок и… в руках теоретика ничего не остается.

Вирусы вообще очень неохотно подчиняются попыткам их классифицировать, образуя многочисленные межвидовые гибриды, и поэтому один и тот же вирус приходится относить к нескольким категориям сразу, в результате чего классификация теряет стройность, привлекательность и смысл.

В настоящей книге мы будем придерживается следующей терминологии, заранее оговаривая ее условность. К локальным вирусам автор относит все вирусоподобные программы, не способные к самостоятельному распространению и поддерживающие свою жизнедеятельность исключительно за счет активности пользователя, запускающего различные исполняемые объекты (на которых и паразитирует вирус), как-то: двоичные файлы, скрипты, загрузочные сектора и т. д. Вирусы, паразитирующие на файлах, называются файловыми, а вирусы, поражающие загрузочные сектора, – загрузочными.

Программы, способные к самостоятельному размножению, протекающему без участия пользователя, принято называть червями. Подавляющее большинство червей – это сетевые вирусы, распространяющиеся сквозь дыры в программном обеспечении и полностью автоматизирующие процесс поиска и заражения жертв, не закладываясь на человеческий фактор. Фактически черви являются высоко автономными роботами и предъявляют к своему создателю ничуть не менее жесткие требования, чем космические станции, посылаемые на Марс. Во всяком случае, дефекты проектирования червей наносят мировому сообществу урон, вполне сопоставимый со стоимостью космической станции.

Вирусы, рассылающие свое тело через почтовые вложения, классифицируются автором как обыкновенные файловые вирусы, взявшие на вооружение современные коммуникационные технологии. Это – не черви. Это – детский сад на уровне ясельной группы, когда уже умеешь вставать с горшка, но о его назначении еще не догадываешься.

ОТ ИЗДАТЕЛЬСТВА

Ваши замечания, предложения и вопросы отправляйте по адресу электронной почты comp@piter.com (издательство «Питер», компьютерная редакция).

Мы будем рады узнать ваше мнение!

Все исходные тексты, приведенные в книге, вы можете найти по адресу http://www.piter.com/download.

Подробную информацию о наших книгах вы найдете на веб-сайте издательства: http://www.piter.com.

Часть I
Локальные вирусы

Глава 1

БОРЬБА С WINDOWS – ВИРУСАМИ – ОПЫТ КОНТРТЕРРОРИСТИЧЕСКИХ ОПЕРАЦИЙ,

из которой читатель узнает, чем зараженный файл отличается от незараженного

Глава 2