- •Введення
- •1. Феномен комп'ютерних вірусів
- •2. Що таке комп'ютерний вірус
- •2.1. Пояснення для домогосподарки
- •2.2. Спроба дати "нормальне" визначення
- •3. Хто і чому пише віруси?
- •4. Історія комп'ютерних вірусів - від давнини до наших днів
- •4.1. Трохи археології
- •4.2. Початок шляху
- •4.3. Поліморфізм - мутація вірусів
- •4.4. Автоматизація виробництва та конструктори вірусів
- •4.6. Епідемія макро-вірусу
- •4.7. Хронологія подій
- •5. Класифікація комп'ютерних вірусів
- •6. Перспективи: що буде завтра і післязавтра
- •6.1. Що буде завтра?
- •6.2. Що буде післязавтра?
4.4. Автоматизація виробництва та конструктори вірусів
Лінь - рушійна сила прогресу. Ця народна мудрість не потребує коментарів. Але тільки в середині 1992 року прогрес у вигляді автоматизації виробництва дійшов і до вірусів. П'ятого липня 1992 оголошено до випуску у світ перший конструктор вірусного коду для IBM-PC сумісних комп'ютерів - пакет VCL (Virus Creation Laboratory) версії 1.00.
Цей конструктор дозволяє генерувати вихідні і добре відкоментованими тексти вірусів (файли, що містять асемблерний текст), об'єктні модулі і безпосередньо заражені файли. VCL забезпечений стандартним віконним інтерфейсом. За допомогою системи меню можна вибрати тип вірусу, що вражаються об'єкти (COM і / або EXE), наявність або відсутність самошіфровкі, протидія відладчику, внутрішні текстові рядки, підключити до десяти ефектів, які супроводжують роботу вірусу і т.п. Віруси можуть використовувати стандартний спосіб поразки файлів в їх кінець, або записувати себе замість файлів, знищуючи їх початкове вміст, або бути вірусами-супутниками (міжнародний термін - компаньйон-віруси [companion]).
І все відразу стало значно простіше: захотів накапостити ближньому - сідай за VCL і, за 10-15 хвилин настругати 30-40 різних вірусів, запусти їх на ворожому комп'ютері (ах). Кожному комп'ютеру - окремий вірус!
Далі - більше. 27 липня з'явилася перша версія конструктора PS-MPC (Phalcon / Skism Mass-Produced Code Generator). Цей конструктор не містить в собі віконного інтерфейсу і генерує вихідні тексти вірусів по файлу конфігурації. Цей файл містить у собі опис вірусу: тип слабости файлів (COM або EXE); резидентність (PS-MPC створює також і резидентні віруси, чого не дозволяє конструктор VCL); спосіб інсталяції резидентної копії вірусу; можливість використання самошифрування; можливість ураження COMMAND.COM і масу іншої корисної інформації.
На основі PS-MPC був створений конструктор G2 (Phalcon / Skism 's G2 0.70 beta), який підтримує файли конфігурації стандарту PS-MPC, однак при генерації вірусу використовує більшу кількість варіантів кодування одних і тих самих функцій.
Наявна в мене версія G2 позначена першим січня 1993 року. Мабуть, новорічну ніч автори G2 провели за комп'ютерами. Краще б вони замість цього попили шампанського, хоча одне іншому не заважає.
Отже, яким же чином вплинули конструктори вірусів на електронну фауну? У колекції вірусів, яка зберігається на моєму "складі", кількість "сконструйованих" вірусів наступне:
на базі VCL і G2 - по кілька сотень;
на базі PS-MPC - більше тисячі.
Так проявилася ще одна тенденція в розвитку комп'ютерних вірусів: дедалі більшу частину в колекціях починають займати "сконструйовані" віруси, а до лав їх авторів починають вливатися відверто ледачі люди, які зводять творчу і шановану професію вірусопісанія до вельми пересічному ремеслу.
4.5. За межі DOS
Рік 1992-й приніс більше, ніж поліморфік-віруси і вірус-конструктори. В кінці цього року з'явився перший вірус для Windows, який відкрив, таким чином, нову сторінку в історії вірусопісанія. Невеликого розміру (менше 1K), абсолютно нешкідливий і нерезидентний вірус цілком грамотно заражав виконувані файли нового формату Windows (NewEXE) і своєю появою пробив для вірусів вікно у світ Windows.
Через деякий час з'явилися віруси для OS / 2, а в січні 1996 - і перший вірус для Windows95. На сьогоднішній день не проходить і тижня без появи нових вірусів, що заражають не-DOS системи, і, мабуть, проблема не-DOS вірусів незабаром вийде на перший план, перекривши проблему DOS-вірусів. Швидше за все, це відбудеться еквівалентно поступового вмирання DOS та поширенню нових операційних систем та програм для них. Коль скоро всі існуючі DOS-додатки будуть заміщені їх аналогами для Windows, Win95 і OS / 2, проблема DOS-вірусів зійде нанівець і залишить після себе лише теоретичний інтерес для комп'ютерного соціуму.
У тому ж 1993 році з'явилася і перша спроба написати вірус, що працює в захищеному режимі процесора Intel386. Це був завантажувальний вірус "PMBS", названий так по рядку тексту всередині його коду. При завантаженні з зараженого диска вірус переходив у захищений режим, встановлював себе як супервізор системи і потім завантажував DOS в режимі віртуального вікна V86. На щастя, вірус цей виявився "не мешканцем" - його друге покоління геть відмовлялося розмножуватися через декількох помилок в коді вірусу. До того ж він "завішував" систему, якщо яка-небудь з програм намагалася вийти за межі V86, наприклад, визначити наявність розширеної пам'яті.
Ця невдала спроба написати вірус-супервізор так і залишалася єдиною відомою аж до весни 1997 року, коли один московський умілець випустив вірус "PM.Wanderer" - цілком "вдалу" реалізацію вірусу, що працює в захищеному режимі.
Поки незрозуміло, чи стануть надалі віруси-супервізори справжньою проблемою для користувачів і розробників антивірусних програм. Швидше за все ні, тому що такі віруси повинні "засипати" на час роботи нових операційних систем (Windows, Win95/NT, OS / 2), що дозволяє їх (віруси) легко виявити і видалити. Однак повноцінний вірус-супервізор, що використовує технологію "стелс" може принести чимало неприємностей користувачам "чистої" DOS, адже виявити такий стелс-вірус під DOS не представляється можливим.