[ На обложку "Занимательной вирусологии" ]

Милостивые государи!

Итак, Вашему вниманию предлагается первый выпуск "Занимательной Вирусологии". Если понравится, загляните на Пишичитайку и напишите, что Вы об этом думаете. Если - наоборот, милости прошу туда же - излейте душу. :-) В любом случае, прошу не относиться к "Занимательной Вирусологии" слишком серьезно...

Что такое компьютерный вирус? Рыбные места Вирусный хит-парад "Бессмертный" вирус? Хокку Медицинский случай Макро-вирусы Самые-самые-самые... BIOS Virus Protection Dura lex sed lex Как изучать вирусы 10 вопросов ПРО ЭТО или Веселые Факи Читали? Медицинский случай-2

Заодно загляните сюда:

Вопрос не так прост, как может показаться на первый взгляд. Дело в том, что общепринятое представлениео том, что такое "компьютерный вирус", как правило, совершенно не соответствует действительности! С обывательской точки зрения "вирус" - это то, что сжигает дисплеи, необратимо царапает поверхность магнитных дисков, уничтожает важную информацию и, наконец, просто мешает работать. С точки зрения специалиста "вирус" - это просто программа, которая умеет размножаться. Т.е. то, что лежит здесь, вирусом не является! (Кстати, эта прогаммка совершенно безобидна и ее можно без боязни запускать на своем компьютере :-) ) Позволю себе привести собственное определение вируса, впрочем, не сильно отличающееся от принятого среди вирусологов:

Компьютерный вирус - это программа, которая способна к несанкционированному созданию своей функционально идентичной копии с использованием вычислительных ресурсов, принадлежащих другим программам

Если вы хотите ознакомиться с авторитетным мнением по этому вопросу известного профессионального вирусолога, обратитесь к статье Весселина Бончева, переведенный с английского фрагмент которой можно найти здесь.

[На начало]

Наверняка вы заинтересуетесь, что еще по вирусологической и просто вирусной тематике можно найти в Интернете. Вот несколько интересных линков...

Подумал-подумал и оставил всего один линк. Все остальные или сдохли, или перешли в раздел банальностей и трюизмов, ну типа http://www.avp.ru.

Vx.netlux.org - необыкновенно полная коллекция статей, электронных журналов (там даж "ЗФ" есть!), книг, вирусных исходников и т.п. Там встречаются очень серьезные и интересные статьи, которых больше вообще нигде нету. Короче, сборище раритетов.

Жалко только, что рано или поздно и этот сайт все равно погибнет под гром аплодисментов, заклейменный как "рассадник заразы". С одной стороны, вроде есть за что (на сайте лежит огромная коллекция вирусов и троянов), с другой стороны... Я считаю, что такой сайт в Интернете необходим - как бесценный источник знаний. Иначе мир окончательно разделится на монопольных владельцев этих знаний (антивирусные компании и спецслужбы) и тех, кому "не положено". Тяжело жить в мире, в котором даже если ты ненавидишь зло и собираешься творить сплошное добро, что такое "хорошо" и что такое "плохо" за тебя решают другие, и не забывают тебя же взять за шкирку и наставительно ткнуть носом.

[На начало]

• больше половины после написания автором не выпускались "в свет"", а отправлялись сразу авторам антивирусов;

• огромная часть оставшихся содержит в алгоритме ошибки и неточности, препятствующие их широкому распространению;

• лишь тысяча-другая способна реально попасть на Ваш компьютер;

• из них почти 80% давно известны, лечатся практически всеми антивирусами и вероятность заражения ими исчезающе мала;

• и только несколько сотен вирусов могут реально угрожать вашему компьютеру.

Как узнать - какие именно?

Для этой цели служат списки вирусов, пойманных "в дикой природе", так называемые WildList'ы. Широко известен WildList, поддерживаемый Joe Wells. Информацию в него поставляют ведущие вирусологи мира. C 1998 года при Лаборатории Касперского существует WildList Russia , аккумулирующий информацию о вирусах, распространенных на территории ex-СССР. Среди "лауреатов" в нем (на начало 1999 года ) были следующие вирусы:

1. Burglar.1150-весьма незатейливый вирус, распространение получил лишь "благодаря" тому, что им были заражены многие пиратские CD-диски, выпускавшиеся в 1996 г.

2. Taipan.438-ситуация полностью аналогична ситуации с вирусом Burglar.

3. WM.Cap- заражает DOC-файлы Microsoft Word, написан в Венесуэле. На конец весны 1998 г. чрезвычайно широко распространен в странах ex-СССР, прежде всего ввиду того, что некоторые версии нашего "антивируса номер 1" (DrWeb'а Игоря Данилова ) умели распознавать и лечить этот вирус не в 100% случаев. Результаты, как говорится, "на лице". L

4. WM.Concept-первый в истории макро-вирус, заражающий DOC-файлы Microsoft Word. Пока авторы антивирусных программ не сориентировались, успел стремительно распространиться по миру в 1995 году.

5. OneHalf.3554-весьма сложный и хитроумный вирус. Авторы антивирусных программ далеко не сразу научились его обнаруживать и лечить. В "переходный период" (1994- 1995 гг.) OneHalf успел разбежаться по всему миру и достаточно часто встречается до сих пор.

6. Kaczor.4444-вирус, по сложности сравнимый с OneHalf-3554. Но место на "пьедестале почета" занимает лишь по причине, полностью аналогичной причине распространенности вируса WM.Cap.

7. Excel.Laroux-первый макро-вирус, заражающий электронные таблицы Excel. Достаточно "популярен" лишь благодаря своей "свежести".

8. SVK-вирус, паразитирующий на загрузочных секторах дискет и винчестеров. Написан в начале 90-х годов, представляет собой cущественно переработанный вариант классического вируса Stoned. Загрузочные вирусы малочувствительны к операционным системам, поэтому по прежнему остаются в "дикой природе". Следует ожидать небольшой, но устойчивой распространенности прочих Stoned-образных вирусов, например Michelangelo (March-6).

9. Win95.CIH.1019- прогремевший на весь мир вирус, способный 26 апреля (в день памяти Чернобыльской катастрофы) портить содержимое FLASH-памяти компьютера; на Западе про него почти уже забыли, а у нас каздый четвертый пиратский CD, выпущенный осенью 1998 г., поражен этой заразой.

10. Bye - вот Вам пожалуйста, обычный загрузочный вирус.

11. Major.1644 - ничего необычного, просто удивительно - почему этот вирус получил распространение.

12. CD_Joke.848 - тоже на "Нобелевку" не тянет, зато умеет выдвигать "кофейную подставку" (носитель CD) :-)

13. Yanush.934 - еще один вполне обычный вирус; авторство незаслуженно приписывается вирусописателю по прозвищу Janush Milovsky.

14. Happy.99 - не совсем вирус, а троянская программа, распространяющаяся по почтовым сетям Интернета.

15. WM.Demon - обычный макровирус; широкое распространение получил, вероятно, в результате того, что его очень умело запустили в "дикую природу".

Прошло два года, наступил XXI век. Ситуация изменилась очень сильно, судите сами.

1. Длинный список вирусов, паразитирующих на документах. Ничего особенного из себя не представляют, просто их всех удачно (в отличие от сотен других) запустили в дикую природу:

   • Excel.Divi

   • Excel.Laroux

   • WM.Cap

   • WM.97.Class.q

   • WM.Demon

   • WM.97.Ethan

   • WM.97.Marker-based

   • WM.97.Mxfiles

   • WM.97.Thus

2. Сетевые черви - мгновенно разлетаются вместе с электронной почтой. Некоторые не только весьма плодовиты, но и крайне зловредны.

   • I-worm.Hybris.b

   • I-worm.Hybris.gen

   • I-worm.Loveletter

   • I-worm.MTX

   • I-worm.Prettypark

   • I-worm.Navidad

   • I-worm.Rc5.a

3. Не вирусы, но всего лишь трояны - программы без половых органов, но зато с огромными челюстями, рогами, копытами и анальными отверстиями.

   • Trojan.PSW.Coced239

   • Trojan.PSW.Coced240

   • Trojan.PSW.Gip.113.b

   • Trojan.PSW.Stealth.d

4. И, наконец, "классика" - относительно редкие сейчас файловые вирусы. Но в силу именно своего медленного распространения крайне живучи - вялые эпидемии длятся годами и даже десятилетиями.

   • Win95.CIH.1019

   • CD_Joke.848

   • Yankee.2C.a

Бросается в глаза, что прежде всего изменились пути распространения заразы. Основным источником стал и будет оставаться еще долгие годы Интернет. Я прогнозирую массовые быстропротекающие эпидемии сетевых червей и распространяемых с документами макро-вирусов. Но они не отменят относительно медленного, но неуклонного расползания файловых, загрузочных и многоаплатформенных инфекций. Проверим?

[На начало]

Знаете ли Вы, что существуют вирусы, которых невозможно "убить", даже форматируя винчестер? Дело в том, что 0-я дорожка винчестера содержит так называемый "внесистемный загрузчик". Еще его называют MBR - Master Boot Record (Главная Загрузочная Запись). Так вот , 0-я дорожка операцией обычного форматирования не затрагивается! А некоторые загрузочные вирусы облюбовали для своего места жительства именно MBR. Этот факт служит питательной средой для слухов о "бессмертных" вирусах.

Тем не менее, от "бессмертного" вируса избавиться очень просто даже без такой варварской операции, как форматирование винчестера. Команда

FDISK /MBR

записывает на место MBR стандартный загрузочный сектор, тем самым уничтожая вирус. Этого в большинстве случаев достаточно. Но не пытайтесь таким образом лечить вирус OneHalf, ибо он шифрует данные на винчестере, и удалив код вируса без расшифровки данных, Вы безвозвратно погубите их !

[На начало]

Хокку (хайку) - традиционный вид японской поэзии. Стих имеет жесткую структуру - состоит из 3-х строк. 1-я и 3-я строки должны содержать в себе 5 слогов, 2-я - 7 слогов.

Будь осторожен!
Марганцовка - фигня, ведь
Вирус - не триппер!!!

А Вы сможете написать хокку на вирусную тему? ;-)

[На начало]

С точки зрения популярности антивирус номер 1 у нас сейчас - DrWeb Игоря Данилова. Недавно вышла версия 4.0 этого антивируса. Эта программа не только умеет находить и лечить более 7000 вирусов, но и обнаруживают новых, пока еще неизвестных "козявок". Наверняка многие видели на экранах своих персоналок сообщения типа возможно заражен COM.Virus . Некоторые пользователи, узрев это, впадают в панику и даже форматируют винчестеры. :-) В то время, как вируса нет и в помине!

В чем же дело? Антивирус DrWeb сканирует команды, располагающиеся внутри программы, и обращает особое внимание на "опасные" (с его точки зрения ) комбинации. А что если написать программу, которая не является вирусом, но битком набита такими "опасностями"? Сказано-сделано:

Start:
        ret
        mov ah, 4Eh
        mov dx, offset EXE
        mov dx, offset COM
        int 21h
        mov ah, 3Dh
        int 21h
        inc ah
        int 21h
        inc ah
        inc ah
        int 21h
        mov ax, 2521h
        int 21h
EXE     db '*.EXE',0
COM     db '*.COM',0
End     Start

Абсолютный бред, не так ли? Программа даже начинается с команды, которая сразу прекращает ее исполнение! Тем не менее, запустив DrWeb с ключиком /HA (или /HA1 для более ранних версий), получим: COM.EXE.TSR.Virus :-)

Увы, для полного счастья в этой "коллекции ужасов" не хватает флагов CRYPT, BOOT и MACRO. А вот Валентину Колесникову удалось расколоть DrWeb аж на 5 флагов! Я с удовольствием привожу здесь его вариант:

Start:
       int 20h
       mov ax,2521h
       int 21h
       mov ax,3231h
       xor ax,3030h
       mov cl,al
       int 80h
       xor ax,3030h
       xor ax,3130h
       int 81h
       mov ah,3Dh
       int 82h
       mov ah,3Fh
       int 83h
       cmp ax,'ZM'
       mov ax,4232h
       xor al,30h
       int 84h
       mov al,35h
       xor al,30h
       mov cl,al
       mov ah,40h
       int 85h
       mov al,38h
       xor al,20h
       mov cl,al
       mov ah,40h
       int 86h
End Start

Не верите? Возьмите и проверьте!

Вам ничего не напоминает подобное поведение DrWeb'а ? Правильно: в медицине это называется мания преследования:-)

[На начало]

В последние 3 года появилась новая порода вирусов - макро-вирусы. Они заражают файлы документов Microsoft Word и электронных таблиц Microsoft Excel. Дело в том, что эти файлы кроме собственно текста и собственно данных могут содержать программы преобразования и обработки текста и данных. Эти программы состоят из так называемых макросов и пишутся на языках WordBasic или VBA.

Самым первым макро-вирусом, заражающим DOC-файлы, был вирус Concept. Он до сих пор встречается достаточно часто. Другой, по имени Cap , вызвал настоящую пандемию в странах бывшего СССР.

Формат DOC-файла весьма сложен, и до сих пор далеко не все антивирусы умеют обнаруживать и корректно лечить макровирусы. Но ведь существует способ вылечить зараженный DOC-файл без антивируса, с использованием только программы Microsoft Word!

1. Прежде всего, удалите файл NORMAL.DOT. Когда потребуется, Microsoft Word автоматически создаст новый, заведомо не зараженный никакими вирусами.

2. Ни в коем случае не загружайте зараженный файл командой меню Открыть. Вместо этого выберите пункт меню Шаблоны, потом пункт Организатор.

3. На открывшейся панели нажмите кнопку Закрыть файл , вслед за этим загрузите в левое окошко зараженный файл и при помощи кнопки Удалить уничтожьте вирусные макросы. Как правило, они имеют "странные" имена типа AAZZO или "опасные" имена типа FileOpenAs. Документ здоров!

(Рецепт подсказан руководителем СПб центра а/в защиты Михаилом Цалом)

[На начало]

Как и везде, в вирусологии существуют свои рекорды. Поговорим о самых коротких вирусах. Прежде всего надо отметить, что существут группа очень коротких вирусов, длиной 20 -30 -40 байт, но... эти вирусы, так называемые оверврайтеры, необратимо портят заражаемые программы. :-( Не будем обращать внимания на этих уродцев.

Написать короткий вирус очень сложно. "Водораздел" лежит где-то на границе 150-160 байтов. 160-байтный вирус пишется абсолютно без напряжения. Чтобы ужать этот размер до 150 байтов, надо очень и очень крепко чесать репу. :-) Далее буквально каждый сэкономленый байт дается с огромнейшим трудом. Не случайно короткий вирус является мерилом профессионализма его автора.

( В свое время я тоже пытался проверить свои силы и возможности. Мой первый "рекорд" составил 152 байта. Сейчас я умею писать гораздо более короткие вирусы, но это уже после того, как я ознакомился с устройством некоторых чужих рекордсменов. Соревновательный пыл угас. )

Чтобы проследить за тем, как менялись достижения рекордсменов от года к году, обратимся к вирусному каталогу Д.Н.Лозинского:

Mini-145

Заражает только COM, резидентный. Сделан довольно изобретательно, но рекорд длины, к которому явно стремится автор, не побит.

AT-144

Заражает только COM, резидентный. Содержит пару команд, которых нет в процессоре 8088, в связи с чем не должен работать на PC-XT. Написан явно способным программистом в расчете на побитие рекорда длины вируса. Должен, однако, его разочаровать - есть болгарский вирус имеющий длину 133, причем без PUSHA. Причем его автор отличается и большей порядочностью - этот вирус существует только в коллекциях вирусологов.

Tiny-198, -167, -160, -159, -158, -156, -154, -143, -138, -134, -133

Болгарского производства. Сделаны весьма изящно. Все используют только команды процессора 8088.

AT-132

Просто великолепно!

Tiny-132

Работает на всех процессорах.

Tiny-122, -118, -114

Произведены, скорее всего, в Москве. На этот раз использован ряд команд, отсутствующих в 8088. На машине, имеющей меньше 640 Кб памяти, портят все загружаемые программы. Надеюсь, что автор не станет пускать их в свободное распространение.

Tiny-127, -119

Заражают только COM, резидентные. Версия 119 использует пару команд, отсутствующих в процессоре 8088.

Tiny-108

С некоторой вероятностью портит файлы.

Tiny-100

Прислан из Санкт Петербурга.

Micro-92

Заражает только COM, резидентный. Написан удивительно изящно. Особенно приятно, что прислал мне его из Санкт Петербурга сам автор - Соловьев Михаил Анатольевич ,- причем гарантировал, что распространяться он не будет. В Aidstest он включен лишь в качестве украшения коллекции.

Micro-66

Заражает только COM, резидентный. Это, конечно, невозможно, но Игорь Данилов сумел его сделать! Есть еще и 86, 80, 76, но на свободе им не гулять, поэтому в Aidstest вставлен только текущий рекорд. Мне кажется, что его побить невозможно, но...

Micro-60

Заражает только COM, резидентный. Автор Дмитрий Кубов.

Micro-59

Заражает только COM, резидентный. Рекорд, но я уже не решаюсь утверждать, что его не побьют.

На настоящий момент времени существуют несколько вирусов длиной 59 байтов. Вот цитата из каталога Игоря Данилова:

Viking.59

В настоящее время данный вирус является мировым рекордсменом среди самых маленьких резидентных файловых вирусов, сохраняющих работоспособность инфицированных программ. Является усовершенствованной модификацией вирусов Dinky, но с использованием пары неплохих приемов.

Сам же Игорь Данилов является автором сверхкоротких вирусов серии Dinky. Существуют Dinky.59, Dinky.56 и... по уверениям самого Данилова - Dinky.52 !

[На начало]

Каждая PC-совместимая машина содержит в качестве одного из своих компонентов BIOS - набор стандартных процедур ввода-вывода, записанных в ПЗУ и используемых прикладным и системным программным обеспечением. Практически все производители современных BIOS-ов (фирмы American Megatrends, Award, Phoenix, Quadtel ) предусматривают в составе своих продуктов возможность защиты винчестера от записи на него загрузочных вирусов. Эта опция включается и выключается в программе SETUP. Если она включена, то при попытке какой либо программы записать что либо в сектор 0/0/1 винчестера раздается звуковой сигнал и выдается предупреждающее сообщение. Что-то вроде: "Внимание! Производится попытка записи в загрузочный сектор винчестера. Это очень похоже на действие вируса! Разрешить или запретить запись?" Казалось бы, непроходимая броня. Но так ли это на самом деле?

Во-первых, вирус, желающий записать свое тело на винчестер, совершенно не обязательно должен пользоваться стандартными процедурами чтения/записи, предоставляемыми BIOS-ом. Он может обратиться напрямую к контроллеру дискового устройства через порты ввода-вывода, используя только команды in и out, и не используя дисковый сервис, доступный через команду int 13h. Здесь можно найти описание и примеры подобного обращения к IDE-винчестеру.

Во-вторых, флажок "режим проверки вкл/выкл" постоянно хранится в энергонезависимой CMOS-памяти. Известно его местоположение, по крайнней мере для BIOS-ов AMI и Award. Владея этой информацией, вирус может сбросить флажок, записаться на винчестер, а затем вернуть флажок на место. Описание этого способа доступа, опубликованное первоначально в электронном журнале Infected Voice, можно найти здесь.

Некоторые вирусы умеют использовать вышеприведенные приемы. Например, вирус Mammoth.6000 использует прямое обращение к контроллеру, а вирусы семейства Tchechen умеют сбрасывать в CMOS флажок защиты винчестера от записи.

[На начало]

Полезно иметь в виду:

2. Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет.

[На начало]

Если Ваш компьютер заразил неизвестный вирус, Вы можете избавиться от него самостоятельно. Достаточно подробное и полезное описание этого процесса можно найти в большой статье "Как Пымать Выря За Хвост", которую можно найти на http://virus.komi.ru - антивирусном сайте Александра Гостева. А вот написал эту статью... гм... хм... вообще-то - Ваш покорный слуга. ;-)

Первым шагом является исследование алгоритма работы вируса. Для этой цели можно рекомендовать следующие инструментальные средства.

1. Дизассемблеры и декомпиляторы, позволяющие получить исходный текст программы:

   • Дизассемблирующий вьюер-патчер Hacker View (Hiew);

   • Дизассемблеры Sourcer и DisDoc;

   • Эмулирующий интерактивный дизассемблер IDA;

   • Декомпиляторы RESCUE5 и DEFOX с языков Clipper и FoxBase;

   • Декомпилятор Word-макросов LMF.

2. Отладчики, позволяющие изучать работу программ в режиме трассировки:

   • Стандартный отладчик Debug, входящий в состав штатных утилит MsDos;

   • Очень удобный, но недостаточно функциональный отладчик Turbo Debugger, поставляемый вместе со всеми продуктами фирмы Borland;

   • Очень мощные и сложные братья-отладчики SoftICE и WinICE;

3. Прочие полезные утилиты, обеспечивающие низкоуровневый доступ к вычислительным ресурсам компьютера:

   • Входящая в состав Нортоновских Утилит программа DiskEdit;

   • Регистратор файловых операций Protokol;

   • Перехватчик программных и аппаратных прерываний IntVIEW и пр.

Ищите этот софт на http://virus.komi.ru !

[На начало]

Вопрос: Как избавиться от сообщения COM.TSR.VIRUS , которое выдает антивирус DrWeb?
Ответ: F8. Причем не на подозрительную программу, а на сам DrWeb.

Вопрос: У меня в загрузочном секторе вирус. Я форматировал винчестер 2 раза, но вирус не исчез.
Ответ: Попробуй в 3-й раз, может быть и получится.

Вопрос: Где взять свежий DrSolomon?
Ответ: Вах! Дэвушка, слющай, зачэм тэбэ какой-то доктор, причем еврей? Нэужели, грузин савсэм хуже?

Вопрос: Что делает вирус XXXX ?
Ответ: Как и любой другой вирус - размножается. А тебе завидно?

Вопрос: Хочу вирус, как поиметь?
Ответ: Обратитесь во Всемирную лигу сексуальных реформ. (с) Остап Бендер.

Вопрос: Что круче - AVP или DrWeb?
Ответ: Вареные яйца.

Вопрос: Хочу научиться писать вирусы, почему меня все отговаривают?
Ответ: Потому что водка, карты и бабы гораздо полезней для здоровья.

Вопрос: Где учат на вирмеров?
Ответ: Вот тебе далеко не полный перечень учебных заведений: HLLP.BelGUT, MGUL.950, MIREA.1766, MISIS, MIPHT.460, MIPT.602, VolGU, MIFI-1489, KhAI-1835, MPTI-1536...

Вопрос:Пришлите мне, пожалуйста, какой-нибудь гадкий вирус!
Ответ: А-а-апчхи! Устроит?

Вопрос: Чем отличается DrSolomon от DrWeb?
Ответ: Спросите DrMad'а. Если захочет - ответит...

[На начало]

Попался мне на глаза любопытный текст. Вроде, и с литературной точки зрения слабоват, и технических безграмотностей достаточно.... Но читал часа 4 подряд, не мог оторваться! И Вам рекомендую. Полностью повесть можно найти здесь. А вот Вам пока маленький кусочек:

Понравилось?

[На начало]

В 4 версии программы DrWeb появился новый механизм. Антивирус теперь не только "умеет" обнаруживать подозрительные на вирус файлы, но и иногда берет на себя смелость со 100-процентной уверенностью определять наличие нового вируса в файле и даже "лечить" его. Ой, нап-рас-нень-ко!..

Вот Вам до умопомрачения простенькая и абсолютно безвредная программка :

Start:
        call Next
Next:
        pop bx
        sub bx, 103h
        lea di, Start[bx]
        mov cx, 3
        rep movsb
        ret
        End Start

Запустим DrWeb и попросим: "ну, если ты считаешь, что это ВИРУС, так и ЛЕЧИ его!" Лучше бы мы этого не делали:

vv.com инфицирован NINNYISH.GENERIC - исцелен!

В результате программа безнадежно испорчена. Если Вы думаете, что это пустячки, то глубоко ошибаетесь. Например, давно устаревшая, но до сих пор иногда использующаяся для защиты от несанкционированного копирования система НОТА (by Стас Ляшенко) приписывает к защищаемым программам очень похожий фрагмент кода. Выводы делайте сами. :-(

В таких случаях обычно вызывают спецбригаду скорой помощи, надевают смирительную рубашку и помещают в спецпалату. Дык, маниакальный синдром. :-)

P.S. Все это касается версий DrWEB, распространенных в 1998-99 гг. Позже возможность "автолечения" была Игорем Даниловым отключена.

[На начало]