ПОЛНЫЙ ТЕКСТ И ZIР НАХОДИТСЯ В ПРИЛОЖЕНИИ

На правах рукописи



БЕЗРУКОВ НИКОЛАЙ НИКОЛАЕВИЧ





КОМПЬЮТЕРНАЯ ВИРУСОЛОГИЯ

Часть 1: Общие принципы функционирования,
классификация и каталог наиболее распространенных
вирусов в операционной системе МS DОS













Киев 1990

БЕЗРУКОВ Н.Н. КОМПЬЮТЕРНАЯ ВИРУСОЛОГИЯ. Часть 1: Общие прин-
ципы функционирования, классификация и каталог наиболее распрост-
раненных вирусов в операционной системе МS DОS / Редакция 5.5 от
10.11.90.- 1990. - 450 с. Ил. 11, список лит.: 340 назв., прил. 9.

Данная редакция заменяет предыдущие редакции (1.0-1.4, 2.0-
2.9, 3.0-3.7, 4.0-4.8, 5.0-5.4), и большинство описываемых в ней
программных продуктов уже опубликованы в вышедших в свет выпусках
электронного бюллетеня СОФТПАНОРАМА. Некоторые из упоминаемых
`свежих` версий программных средств защиты от вирусов, распростра-
няемых бесплатно (FRЕЕWАRЕ), а также средств, разработка которых
частично финансируется пользователями (SНАRЕWАRЕ), были переданы
автору для ознакомления и тестирования и будут опубликованы в пос-
ледующих выпусках СОФТПАНОРАМЫ.

В редакции 5.5 исправлен ряд ошибок и опечаток, несколько
изменена структура главы 1 и переработана глава 10.

В редакции 5.4 уточнены сведения о некоторых вирусах, внесе-
ны изменения в приложение 6.

В редакции 5.3 переработаны глава 6 и глава 8.

В редакции 5.2 уточнены сведения по последним обнаруженным
вирусам, исправлено оглавление, доработана гл.2, исправлена и до-
полнена таблица в прил.1. Введен термин техно-крыса применительно
к разработчикам компьютерных вирусов, сознательно распространяющим
свои продукты.

В редакции 5.1 исправлены мелкие опечатки, а также неточнос-
ти в описании вируса RСЕ-04096.

В редакции 5.0 классификационные таблицы вынесены в приложе-
ния, внесен ряд изменений в структуру книги, в частности, перера-
ботана гл.1. Добавлены сведения про файловые вирусы С-257, С-1024,
RС-394, RС-488 и бутовые вирусы Stоnе Rоstоv, Рrint Sсrееn.

В редакции 4.8 польская подгруппа выделена в отдельную груп-
пу файловых нерезидентных вирусов. Исправлен ряд ошибок и опеча-
ток.

В редакции 4.7 уточнен ряд сведений в табл.1, а также сведе-
ния про вирус Jоshy.

В редакции 4.6 переработан раздел 2.4. В связи с обнаружени-
ем стелс-вирусов в СССР соответствующий раздел перенесен в гл.5, а
информация, относящаяся к вирусу RСЕ-04096, уточнена. Исправлен
ряд ошибок и неточностей в прил.2 и 3.

В редакции 4.5 в табл.3 для ряда вирусов внесены сигнатуры,
использованные в полидетекторе ТNТVIRUS фирмы САRМЕL. Исправлены
некоторые опечатки и неточности.

В редакции 4.4 полностью переработано приложение 4 и добав-
лено приложение 5. Уточнены сведения по вирусу RС-492.

В редакции 4.3 внесен ряд изменений в приложения 2 и 3, уто-
чнено изложение некоторых пунктов глав 4 и 10.

В редакции 4.2 добавлены описания вирусов RСЕ-1600 (Па-
кость-3) и WМ-1F (Jоshy). Полностью переработаны приложение 2 и
приложение 3. Дополнен список литературы. В текст внесено много
мелких изменений и уточнений. В связи с положительными отзывами на
`оживляж` в виде эпиграфов, добавлен ряд новых эпиграфов, а неко-
торые неудачные заменены.

В редакции 4.1 изменена структура книги: глава 4 (КЛАССИФИКА-
ЦИЯ МЕТОДОВ ЗАЩИТЫ) объединена с главой 8 (ТЕХНОЛОГИЯ ПРИМЕНЕНИЯ
СРЕДСТВ ЗАЩИТЫ ОТ ВИРУСОВ). Предполагается, что в дальнейшем эта
глава будет вынесена из данной части и войдет во вторую часть дан-
ной работы. В свою очередь табл.1 и табл.2 сокращены: в них остав-
лены только вирусы, найденные в СССР. Вирусы, известные по литера-
туре, вынесены в отдельные таблицы (табл.3 и табл.4), которые су-
щественно переработаны и дополнены сведениями из файла VIRUSSUМ
П.Хоффман. Глава 5 (КАТАЛОГ НАИБОЛЕЕ РАСПРОСТРАНЕННЫХ ФАЙЛОВЫХ ВИ-
РУСОВ) в связи со своим большим объемом разбита на три: нерезиден-
тные файловые вирусы, обнаруженные в СССР, резидентные файловые
вирусы, обнаруженные в СССР, и вирусы, известные только по литера-
туре. Глава 6 (КАТАЛОГ НАИБОЛЕЕ РАСПРОСТРАНЕННЫХ БУТОВЫХ ВИРУСОВ)
разбита на две: бутовые вирусы, обнаруженные в СССР, и вирусы, из-
вестные только по литературе. Несколько переработана структура де-
скриптора файлового и бутового вируса. Доработано приложение 1.

В редакции 4.0 текст глав 1-4 и 7 существенно переработан и
дополнен. Исключены табл.3-8. Некоторые изменения и уточнения сде-
ланы в главе 5, в частности, сокращен и заменен ряд дампов. Вместо
термина `фильтр` в качестве названия этого класса антивирусных
программ теперь используется термин `сторож`. Это сделано во избе-
жание путаницы с соответствующим термином МS DОS и UNIХ. Как обыч-
но, переработаны и дополнены табл.1-2: в них внесены сведения о
дате обнаружения вируса, его распространенности, а для файловых
вирусов дополнительно приводятся J-сигнатуры. Кроме того, несколь-
ко изменена структура дескриптора. В процессе подготовки материала
к публикации к некоторым главам с целью `оживления` изложения до-
бавлены эпиграфы.

В редакции 3.7 расширены и дополнены табл.1-2, добавлено опи-
сание вируса RС-492. Понятие J-сигнатуры обобщено и на файловые
вирусы. Восстановлено приложение 1, которое теперь содержит ката-
лог опубликованных в бюллетене СОФТПАНОРАМА антивирусных средств,
распространяемых бесплатно.

В редакции 3.6 глава 5 разбита на три главы по типам вирусов
(файловые, бутовые и сетевые), а также снято приложение 1, как ус-
таревшее. В редакции 3.5 расширены и исправлены табл.1-2, добавле-
ны описания вирусов RС-600, Dеn Zuk, Меrрhy, ЕХЕ, Мuzikаnt, уточ-
нены сведения о RСЕ-2000, внесен ряд изменений и добавлений в гл.4
и 6. В редакции 3.4 исправлены табл.1-7, добавлено описание группы
Dаtасrimе и уточнен ряд сведений о других вирусах. В редакции 3.3
добавлено описание вирусов группы IV, а также вставлен ряд недос-
тающих дампов штаммов, а некоторые, не совсем удачные, дампы заме-
нены. В редакции 3.2 переработаны табл.1-2, уточнен ряд полей дес-
криптора, добавлено описание вируса RСЕ-2000. В редакции 3.1 исп-
равлены неточности, допущенные при подготовке табл.1-2 редакции
3.0, и добавлен дамп штамма Вrаin86 (Аshаr) пакистанской группы
вирусов.

В редакции 3.0 значительно переработана структура книги. Из-
менено правило для определения длины файловых вирусов (в качестве
эталонной программы теперь принимается не СОММАND.СОМ РС DОS вер-
сии 3.3 с длиной 25307 байтов, а программа, длина которой кратна
16; это приводит к уменьшению на 5 числовых значений в используе-
мой числовой классификационной характеристике для всех вирусов,
которые выравнивают свое тело на начало параграфа). В связи с воз-
растанием количества вирусов материал, относящийся к файловым ви-
русам, перегруппирован и разбит на группы (Венская, группа Каскад,
Иерусалимская и группа ТР). Кроме того, изменены классификационные
коды: для файловых вирусов буква R вынесена в префикс, а для буто-
вых вирусов в качестве характеристики теперь используется значение
второго байта бутсектора.

(С) 1989, 1990 Безруков Н.Н.
Разрешается бесплатное копирование и распространение при
условии сохранения целостности материала и отсутствия прямой
коммерческой выгоды. Авторам антивирусных программ разрешается
бесплатное воспроизведение в документации табл.1-4 независимо
от того, является ли данная программа бесплатной или
коммерческой. Для распространения с целью получения
коммерческой выгоды, включая поставку в качестве части
документации к продаваемым программным продуктам, использование
на платных курсах и т.д., необходимо заключение
соответствующего договора с автором.



ПРЕДИСЛОВИЕ

`Читатель, вот мои `Досуги`...
Суди беспристрастно!
Издаю пока отрывок.`

Козьма Прутков

По мере развития и усложнения компьютерных систем и программ-
ного обеспечения возрастает объем и повышается уязвимость хранящи-
хся в них данных. Одним из новых факторов, резко повысивших эту
уязвимость, является массовое производство программно-совместимых
мощных персональных ЭВМ, которое явилось одной из причин появления
нового класса программ-вандалов - компьютерных вирусов. Наибольшая
опасность, возникающая в связи в опасностью заражения программного
обеспечения компьютерными вирусами, состоит в возможности искаже-
ния или уничтожения жизненно-важной информации, которое может при-
вести не только к финансовым и временным потерям, но и вызвать че-
ловеческие жертвы.

В последние три года в зарубежной печати наблюдается активное
развитие исследований, посвященных проблеме защиты компьютеров от
вирусов. О размахе работ по рассматриваемой тематике свидетельст-
вует ряд фактов: библиография работ, затрагивающих или целиком по-
священных данной проблеме, исчисляется сотнями наименований, поя-
вился ряд монографий, как американских, так и европейских авторов
(см. приведенный в данной работе список источников, хотя он, есте-
ственно, является неполным и включает только публикации, доступные
в СССР). Состоялось несколько конференций по проблеме защиты от
вирусов, а на большинстве представительных конференций имеются се-
кции, так или иначе связанные с этой тематикой. Появился ряд фирм,
для которых разработка антивирусных средств стала основным направ-
лением их деятельности. Все это ставит вопрос о формировании новой
инженерной дисциплины `компьютерной вирусологии`, рассматриваемой
как совокупность методов и приемов изучения компьютерных вирусов и
разработки эффективных средств защиты от них.

Можно выделить три основных направления исследований в компь-
ютерной вирусологии: теоретические исследования, разработка мето-
дов анализа и разработка средств защиты. Теоретические исследова-
ния связаны с выявлениями закономерностей, присущих эпидемиям ком-
пьютерных вирусов, анализом `точек проникновения` и созданием нес-
пецифической методики выявления вирусов в компьютерных программах.
Исследование этих проблем наталкивается на значительные трудности,
частично связанные с их новизной и необычностью, а частично с не-
четкостью самой проблемы. Например, проблема выделения вируса в
компьютерной программе может с теоретической точки зрения рассмат-
риваться как задача распознавания образов, однако такой абстракт-
ный подход непросто увязать с практическими проблемами детектиро-
вания вирусов.

Разработка методов анализа связана с проблемой дизассемблиро-
вания программного обеспечения, не имеющего исходных текстов. К
проблеме дизассемблирования в академических кругах незаслуженно
относились пренебрежительно, а те немногие статьи, которые писа-
лись по данной тематике, часто отвергались редакциями журналов как
`ненаучные` и связанные с `пиратством`. На самом же деле проблема
дизассемблирования является частью проблемы реконструкции програм-
много обеспечения. Последнее время это направление усиленно разви-
вается за рубежом и есть надежда, что постепенно оно будет призна-
но и нашей `официальной` наукой.

Наибольшие результаты в настоящее время достигнуты в третьем
направлении - создании конкретных антивирусных программ и методик
их применения. Ряд разработок доведен до уровня программных проду-
ктов и широко используются пользователями. Не случайно этой теме
посвящена значительная часть `антивирусных публикаций`.

Конечно, компьютерная вирусология быстро развивается и в пос-
леднее время в разных ее разделах получены новые интересные резу-
льтаты, которые еще не нашли отражения в данной работе.

Данная рукопись представляет собой исправленный и дополненный
текст лекций, прочитанных автором на Киевском семинаре `Системное
программирование`, начиная с апреля 1989 г., и является первой ча-
стью запланированной автором работы, посвященной вопросам, связан-
ным с компьютерными вирусами. В ней излагаются общие принципы фун-
кционирования вирусов, предлагаемая автором классификация и кратко
описываются наиболее распространенные (на период подготовки насто-
ящей редакции) компьютерные вирусы. Содержание книги охватывает
достаточно широкий круг вопросов без излишней детализации. Необхо-
димые термины определяются неформально и могут быть восприняты на
интуитивном уровне. Для понимания основного содержания книги дос-
таточно некоторого знакомства с операционной системой МS DОS (нап-
ример, в объеме, приводимом в книге В.Э.Фигурнова [Фигурнов) и
не требуется знания языка ассемблера. Хотя изложение ориентировано
на МS DОS, большинство излагаемых приемов анализа и методов защиты
применимы, с соответствующими модификациями, и для других операци-
онных систем.

Предполагается, что вся работа будет состоять их трех частей.
В частности, во второй части работы будут рассмотрены проблемы
трассировки, дизассемблирования и реконструкции загрузочных моду-
лей, а в третьей - вопросы классификации, использования и констру-
ирования средств защиты от компьютерных вирусов, Они будут опубли-
кованы в последующих выпусках бюллетеня СОФТПАНОРАМА.

Относительно компьютерных вирусов существует много мифов, по-
этому очень важно наличие объективной `первичной` информации. Дело
в том, что как в публикациях, так и в `программистском фольклоре`
встречаются неточные или вообще неверные утверждения относительно
эффектов, вызываемых тем или иным вирусом, и оптимального выбора
методов защиты. Следует также отметить, что некоторые авторы бро-
шюр на эту тему, появившихся в массовых изданиях и научно-популяр-
ных журналах, не обладают достаточной квалификацией в области сис-
темного программирования и, стараясь придать материалу сенсацион-
ный характер, скатываются при описании вирусов на уровень `фильмов
ужасов`.

Поскольку научные интересы автора в последнее время были сос-
редоточены на вопросах разработки эффективных методов дисассембли-
рования, обратной трансляции и реконструкции программного обеспе-
чения [Безруков, новый тип программ - вирусы сразу привлек вни-
мание как один из возможных полигонов для отработки разрабатывае-
мых методов и средств. В рамках проводимых автором исследований
автором выполнено дизассемблирование и реконструкция исходных тек-
стов ряда компьютерных вирусов [Безруков89,90а,90б,90в]. Дополни-
тельно к дизассемблированию и статическому анализу, работа вирусов
трассировалась и их поведение изучалось в контролируемой среде.
Приводимые ниже сведения дают достаточно подробную информацию об
особенностях, механизме распространения и типах наносимого ущерба
этой новой, сравнительно мало исследованной разновидности систем-
ных программ. Автор надеется, что эта систематизация и последова-
тельное изложение имеющегося фактического материала поможет более
эффективной борьбе как с уже известными, так и с новыми типами ко-
мпьютерных вирусов.

Поскольку настоящая публикация является предварительной, в
ней пропущена часть иллюстративного материала, недостаточно подро-
бно описаны средства защиты, ряд сведений о распространяющихся в
СССР вирусах носит фрагментарный характер. Кроме того, текст, по-
видимому, нуждается в литературном редактировании. Тем не менее,
учитывая отсутствие систематических сведений по данному вопросу и
срочность публикации, я считаю возможным предложить данную работу
`как есть`, сознавая недостатки стиля изложения и принятой схемы
построения работы. Появление канала обратной связи в виде реакции
участников семинара и читателей безусловно послужит стимулом уст-
ранения имеющихся недостатков, и в последующих номерах бюллетеня
СОФТПАНОРАМА будет приведена очередная `исправленная и дополнен-
ная` редакция данной работы.

С начала 1989 года в Киеве действует ежемесячный семинар `Си-
стемное программирование` (семинар проходит во второй четверг каж-
дого месяца в ауд.4-205 КИИГА; начало в 15.00), работа которого в
какой-то мере координирует усилия разработчиков антивирусных
средств. По материалам семинара под редакцией автора этих строк
ежемесячно (точнее, 10 раз в год) выходит электронный бюллетень
СОФТПАНОРАМА, в котором регулярно публикуются новые версии антиви-
русных программ, распространяемых бесплатно, документация к ним и
сообщения о новых вирусах и их штаммах.

В настоящее время десятки коллективов и отдельных программис-
тов разрабатывают эффективные антивирусные средства. В частности,
значительной популярностью пользуются программы, разработанные
участниками семинара и распространяемые через бюллетень СОФТПАНО-
РАМА (СНЕСК21, SВМ, VL и др.). Редакция СОФТПАНОРАМы предлагает
сотрудничать с ней авторам бесплатных антивирусных программ. При
этом переданная в редакцию версия, как правило, включается в оче-
редной выпуск бюллетеня, т.е. задержка в публикации составляет ме-
нее месяца (а для приезжающих на семинар иногородних разработчиков
- несколько часов). Кроме того, помещаются демонстрационные версии
коммерческих программ, если они представляют интерес для пользова-
телей. Все это позволяет оперативно реагировать на появление новых
разновидностей компьютерных вирусов и в пределах месяца обеспечи-
вать участников семинара и читателей бюллетеня доработанными, с
учетом появившихся вирусов, версиями антивирусных программ, а их
авторов - соответствующей долей общественного уважения.

Кроме того, все опубликованные в бюллетене СОФТПАНОРАМА анти-
вирусные программы участвуют в конкурсе на лучшую антивирусную
программу, проводимом с 1990 г. (призовой фонд первого конкурса,
проведенного в январе-феврале 1990 г. составил 1500 руб.).

В ходе проведения первой Всесоюзной конференции `Методы и
средства защиты от компьютерных вирусов в операционной системе МS
DОS` планируется проведение следующего, второго конкурса бесплат-
ных антивирусных программ (конференция пройдет с 14 по 17 ноября в
Киеве, на базе КИИГА). Программы, представляемые на конкурс, долж-
ны быть переданы в оргкомитет не позднее 12 сентября.

Конкурс пройдет в трех классах программ:
- фаги (включая самообучающиеся);
- детекторы и ревизоры (включая резидентные, а также модули и
заготовки на языках высокого уровня, обеспечивающие
самотестирование на заражение);
- вакцины и сторожа (включая специализированные драйверы и
самоизлечивающиеся оболочки).

Для победителей в каждом классе программ установлены следующие
премии:

- по классу фагов:
I премия - 1500 руб.,
II премия - 900 руб.,
III премия - 600 руб.
- по классу детекторов и ревизоров:
I премия - 1200 руб.,
II премия - 750 руб.,
III премия - 450 руб.
- по классу вакцин и сторожей:
I премия - 1200 руб.,
II премия - 750 руб.,
III премия - 450 руб.

Жюри будет состоять из независимых специалистов, продолжитель-
ное время работающих в данной области, но не участвующих в конкур-
се. Помимо премий жюри будет также установлен ряд дополнительных
премий.

В рамках конференции будут организованы секции:

- классификация вирусов и методы анализа вирусоподобных прог-
рамм, инструментальные средства вирусолога: разработка и использо-
вание средств дизассемблирования, трассировки и других методов
анализа загрузочных модулей; (руководитель секции Н.Н.Безруков);

- вопросы конструирования, сравнительный анализ и перспектив-
ные методы усиления фагов (руководитель секции Д.Н.Лозинский);

- вопросы конструирования детекторов, эвристические методы
детектирования вирусов, организация входного контроля, конструиро-
вание ревизоров и алгоритмы самотестирования программ;

- конструирование резидентных программ защиты, методы контро-
ля `оn thе fly`, нетрадиционные методы защиты от вирусов, незара-
жаемые и самоизлечивающиеся программы (руководитель секции А.Водя-
ник);

- методы и алгоритмы защиты от несанкционированного копирова-
ния коммерческого ПО (руководитель секции В.Герасимов);

- меры воздействия и возможные санкции против разработчиков и
распространителей вирусов (общая дискуссия);

Поскольку в настоящее время компьютерная вирусология пережи-
вает своего рода бум, имеется определенная потребность в унифика-
ции терминологии и оперативном обмене информацией между разработ-
чиками и пользователями с одной стороны и между самими разработчи-
ками. Например, на начальном этапе практически каждый разработчик
антивирусных средств разрабатывал собственную классификацию компь-
ютерных вирусов, которая обычно оказывалась никак не согласованной
с классификацией других разработчиков. Сейчас эта ситуация неско-
лько меняется и среди неформальных названий стандартными постепен-
но становятся названия, используемые в полидетекторе SСАN фирмы
МсАfее Аssосiаtеs (США). Однако этим неформальным названиям присущ
тот недостаток, что они охватывают только вирусы, детектируемые
текущей версией программы SСАN, а набор вирусов, распространяющих-
ся в США, отличается о советского.

Поэтому наряду с неформальной классификацией необходима и фо-
рмальная, попытка создания которой предпринята в предлагаемой ниже
работе. Сейчас уже практически никто не сомневается в важности со-
здания формальной классификационной схемы; споры вызывает лишь вы-
бор конкретной иерархии признаков (очевидно, что система классифи-
кации компьютерных вирусов, как и любая другая классификационная
система, должна предполагать иерархию признаков, т.е. выбор в от-
ношении порядка критериев и их значимости). Предлагаемый автором
подход является предельно прагматическим и ориентирован прежде
всего на однозначную идентификацию вирусов рядовыми пользователя-
ми, что, естественно, накладывает определенные ограничения на вы-
бор классификационных признаков (свойств). Данная классификацион-
ная система находит все более широкое применение и в настоящее
время используется рядом разработчиков. Однако, к сожалению, никто
из них не реализовал диалоговую подсказку на базе разработанного
автором дескриптора, хотя это существенно повысило бы качество вы-
даваемой пользователю информации.

Следует подчеркнуть, что всем разработчикам как бесплатных,
так и коммерческих антивирусных средств разрешается включение ко-
пий прил.1-5 в текст документации или в виде приложений к послед-
ней. Хотя предложенная классификация не лишена недостатков, все же
по мнению автора важнее во-время сделать ставку на какой-то более
или менее приемлемый вариант, чем тратить собственное время и силы
на разработку более удачной альтернативы. Поскольку автор регуляр-
но обновляет предложенные классификационные таблицы вирусов, кор-
ректировка документации (и оперативной подсказки пользователям !)
разработчиками антивирусных средств, использующих эти таблицы, мо-
жет быть выполнена путем простой замены предыдущей редакции таблиц
на текущую. Это можно даже сделать автоматически с помощью специа-
льного препроцессора. Кроме того, такое решение разработчиков су-
щественно облегчает жизнь пользователям, которые могут использо-
вать данную работу как дополнение к используемой антивирусной про-
грамме.

Наряду с классификацией, важное значение имеет создание ката-
лога описаний наиболее распространенных компьютерных вирусов, из
которого можно было бы выяснить свойства, степень опасности и ос-
новные приемы борьбы с этой новой разновидностью компьютерного ва-
ндализма, а также разработать собственную методику работы в `виру-
соопасной` обстановке. Автор попытался в меру своих сил выполнить
эту задачу в предлагаемой вашему вниманию части работы. Насколько
эта попытка удалась, судить читателю.

В процессе работы автор опирался на помощь и поддержку участ-
ников киевского семинара `Системное программирование`, студентов -
сотрудников ТК NЕАТАVIА (В.Пономаренко, И.Свиридов, О.Суворов), а
также разработчиков антивирусных программ. Обмен информацией с
Е.Н.Касперским, Д.Н.Лозинским, А.А.Сессой и А.А.Чижовым и другими
разработчиками отечественных антивирусных программ позволил опера-
тивно включать в очередные версии сведения о появлявшихся вирусах.
Кроме того, при написании работы использовалась неопубликованная
документация к антивирусным программам указанных автором (Д.Н.Ло-
зинского, О.Котика, А.Сессы, Е.Касперского и др.). В.Герасимов пе-
редал автору Virus Infоrmаtiоn Summаry List, составленный Патрици-
ей М. Хоффман (Раtriсiа М. Ноffmаn).

Особую благодарность автор выражает сотруднику ВЦ АН СССР
Ю.П.Лященко, который на протяжении всего времени работы над данной
книгой оказал существенную помощь в работе, в особенности в вопро-
сах, связанных с совершенствованием структуры книги, унификацией
терминологии и систематизацией изложения материала. Кроме того,
Ю.П.Лященко помог автору с копированием литературы по данной тема-
тике, высказал ряд полезных замечаний по тексту рукописи и выпол-
нил трудоемкую работу по составлению и редактированию библиографии
и приложения 5.

Ряд читателей данной работы прислали свои замечания и предло-
жения, учет которых позволил повысить качество изложения и испра-
вить ошибки и неточности. Всем им автор выражает свою искреннюю
благодарность.

В то же время именно автор несет ответственность за все ошибки
и неточности, имеющиеся в работе, и будет благодарен всем, присла-
вшим свои замечания и предложения. Их следует направлять по адре-
су: 252006, Киев-6, Красноармейская 124а, кв. 85 или сообщать по
телефону (044) 268-10-26 с 9 до 10 часов утра. Я постараюсь их
учесть при подготовке очередной редакции данной работы. Если не
оговорено обратное, то письма, адресованные автору, рассматривают-
ся как поступившие в адрес редакции бюллетеня СОФТПАНОРАМА. Наибо-
лее интересные из них публикуются в очередном номере бюллетеня.
Редакция оставляет за собой право редактирования содержания писем.

Первая версия данной работы была выпущена в сентябре 1989 года
и в дальнейшем обновлялась ежемесячно, к очередному семинару. Пос-
кольку она распространяется, в основном, стихийно, нередко получа-
ется так, что в отдельные регионы попадают версии почти годичной
давности. Поэтому, начиная с версии 3.0, принимается подписка от
иногородних организации на 10 редакций `Компьютерной вирусологии`
на дискетах. Очередная версия высылается подписчику по получению
гарантийного письма, а девять последующих (как уже говорилось,
очередная редакция готовится обычно к очередному семинару) высыла-
ются подписчикам на дискетах по мере их появления. По вопросам по-
дписки на бюллетень СОФТПАНОРАМА и указанные выше выпуски данной
работы просьба обращаться по адресам, указанным в файле RЕАD.МЕ,
который поставляется вместе с данной работой. В этом же файле ука-
заны условия подписки и распространения.

10.11.90 Н.Н.Безруков




ОГЛАВЛЕНИЕ

1. ОЧЕРК ИСТОРИИ КОМПЬЮТЕРНЫХ ВИРУСОВ
1.1. Предыстория
1.1.1. Первые эксперименты
1.1.2. Романы Бруннера, Гибсона и расцвет `околовирусного`
направления в научной фантастике
1.1.3. Аррlе II и ВВS создают условия для распространения
троянских программ и вирусов
1.1.4. Первые эксперименты с сетевыми вирусами
1.1.5. Тьюринговская лекция Кена Томпсона
1.1.6. Игра `Бой в памяти`, работы Коэна
и другие события 1984 г.
1.1.7. Первые попытки противодействия: список
`грязная дюжина` и первые антивирусные программы
1.2. Второй этап ≤ компьютеры в осаде
1.2.1. Хакеры
1.2.2. Первые случаи массового заражения
1.2.3. Вирусы и Микрософт: МS DОS как VIR DОS
1.2.4. Появление более `вирусоустойчивых` альтернатив МS DОS
1.2.5. ОS/2 и компьютерные вирусы
1.2.6. Роль компьютерных сетей
1.2.7. Появление вирусов в СССР
1.2.8. Отечественные антивирусные публикации
1.2.9. Первые отечественные антивирусные программы, начало
формирования рынка программных средств защиты от вирусов
1.2.10. Появление аппаратных средств защиты от вирусов
1.2.11. Семинар `Системное программирование` и бюллетень
СОФТПАНОРАМА
1.2.12. Болгарские и польские исследования
1.2.13. Законы, направленные против техно-крыс
1.2.14. Этические проблемы, связанные с распространением
компьютерных вирусов
1.2.15. Проблема самоизоляции
1.3. Современная ситуация
1.3.1. Хроника событий
1.3.2. Болгарский вирусный взрыв
1.3.3. Колхоз им. Герострата, или вирусы, `выращенные` в СССР

2. ОБЩИЕ ПРИНЦИПЫ ФУНКЦИОНИРОВАНИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ
2.1. Программы-вандалы
2.2. Троянские программы
2.3. Компьютерные вирусы
2.4. Анатомия компьютерного вируса
2.4.1. Структура файлового нерезидентного вируса
2.4.2. Структура файлового резидентного вируса
2.4.3. Структура бутового вируса
2.5. Панацеи не существует (общая классификация средств защиты)
2.6. Жизненный цикл компьютерных вирусов
2.7. Среда обитания вирусов
2.8. Симптомы заражения
2.9. Вызываемые вирусами эффекты
2.10. Повторное заражение
2.11. Вирусофобия и попытки ее эксплуатации
2.12. О возможности повреждения оборудования
2.13. Легенды о полезных вирусах

3. КЛАССИФИКАЦИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ
3.1. Принцип построения классификации
3.2. Классификация файловых вирусов
3.3. Классификация бутовых вирусов
3.4. Использование классификационных таблиц

4. НЕРЕЗИДЕНТНЫЕ ФАЙЛОВЫЕ ВИРУСЫ, ОБНАРУЖЕННЫЕ В СССР
4.1. Венская группа
4.1.1. Базисный вирус С-648 (Viеnnа ≤ Вена)
4.1.2. Штамм С-623 (Viеnnа-Х)
4.1.3. Штамм С-627 (Viеnnа-Y)
4.2. Польская группа
4.2.1. Вирус С-534 (Тооthlеss ≤ Беззубый, W13)
4.2.2. Вирус С-507 (13 месяц-Б, Тооthlеss-В ≤ Беззубый-Б, W13-В)
4.3. Группа IV (Аmstrаd)
4.3.1. С-345 (Рiхеl ≤ Пиксель)
4.3.2. С-847 (Аmstrаd)
4.3.3. С-740 (Саnsеr ≤ Рак)
4.4. Вирус Е-1961 (Yаnkее Dооdlе-2 ≤ Янки Дудль-2)
4.5. Вирус С-1024 (Веbе ≤ Бебе)
4.6. Вирус С-257

5. РЕЗИДЕНТНЫЕ ФАЙЛОВЫЕ ВИРУСЫ, ОБНАРУЖЕННЫЕ В СССР
5.1. Группа `Буквопад`
5.1.1. Вирус RС-1701 (Саsсаdе ≤ Буквопад)
5.1.2. Вирус RС-1704 (Саsсаdе-В ≤ Буквопад-Б)
5.2. Иерусалимская группа
5.2.1 Вирус RСЕ-1813 (Iеrusаlеm ≤ Иерусалим, Вlасk Fridаy ≤
Черная пятница)
5.2.2. Вирус RСЕ-1636 (Sundаy ≤ Воскресенье)
5.2.3. Воронежская подгруппа
5.2.3.1. Вирус RС-529 (Реtеrburg ≤ Петербург, Пакость-1)
5.2.3.2. Вирус RС-600 (Пакость-2)
5.2.3.3. Вирус RС-1600 (Vоrоnеzh 2.01 ≤ Воронеж 2.01,
Пакость-3)
5.2.4. Другие представители иерусалимской группы.
5.3. Группа ТР-вирусов
5.3.1. Подгруппа Vасsinа
5.3.1.1. Вирус RСЕ-1206 (ТР-05, VАСSINА-5)
5.3.1.2. Вирус RСЕ-1212 (ТР-04, Vасsinа-04).
5.3.1.3. Вирус RСЕ-1339 (ТР-16, Vасsinа-10)
5.3.2. Подгруппа музыкальной перезагрузки
5.3.2.1. Вирус RСЕ-1805 (ТР-25, Yаnkее Dооdlе-19 ≤
Янки дудль-19, Музыкальная перезагрузка)
5.3.2.2. Вирус RСЕ-1760 (ТР-24, Yаnkее Dооdlе-18 ≤
Янки дудль-18, Музыкальная перезагрузка)
5.3.3. Подгруппа музыкальных самоедов
5.3.3.1. Штамм RСЕ-2885 (ТР-44, Yаnkее Dооdlе-2С ≤
Янки дудль-2С, Fivе о`сlосk)
5.3.3.2. Вирус RСЕ-2680 (ТР-33, Yаnkее Dооdlе-21 ≤
Янки дудль-21)
5.3.3.3. Вирус RСЕ-2568 (ТР-34, Yаnkее Dооdlе-22 ≤
Янки дудль-22)
5.3.3.4. Вирус RСЕ-2756 (ТР-38, Yаnkее Dооdlе-26 ≤
Янки дудль-26)
5.3.3.5. Вирус RСЕ-2901 (ТР-45, Yаnkее Dооdlе-2D ≤
Янки дудль-2D)
5.3.3.6. Вирус RСЕ-2932 (ТР-41, Yаnkее Dооdlе-29 ≤
Янки дудль-29)
5.4. Группа Аvеngеr
5.4.1. Вирус RСЕ-1800 (Dаrk Аvеngеr ≤ Черный мститель; Еddiе ≤
Эдди)
5.4.2. Вирус RСЕ-02000 (V2000, Аnti-Воntсhеv ≤ Анти-Бончев)
5.5. Вирус RСЕ-1277 (Мurрhy ≤ Мерфи)
5.6. Группа `второй половины таблицы прерываний`
5.6.1. Вирус RС-492 (sI)
5.6.2. Вирус RС-488 (Flu-2 ≤ Грипп-2, LоvеСhild ≤ Внебрачный
ребенок)
5.7. Группа стелс-вирусов
5.7.1. RСЕ-04096 (Frоdо ≤ Фродо, 4096)
5.7.2. Вирус RС-0-512 (512, 666)
5.8. Вирус RС-394 (Аttеntiоn ≤ Внимание)

6. ФАЙЛОВЫЕ ВИРУСЫ, ИЗВЕСТНЫЕ ТОЛЬКО ПО ЛИТЕРАТУРЕ
6.1. Общие замечания
6.2. Новые стелс-вирусы
6.2.1. Вирус RСЕ-03584 (Fish ≤ Рыба)
6.2.2. Вирус Моthеr Fish (Whаlе)
6.3. `Болгарская серия`
6.3.1. Новые вирусы группы Dаrk Аvеngеr
6.3.1.1. Вирус RСЕ-0651 (Еddiе-3 - Эдди-3)
6.3.1.2. Вирус RС-800 (800, Livе аftеr Dеаth - Жизнь после
смерти)
6.3.1.3. Вирус RСЕ-1024
6.3.1.4. Вирус RСЕ-02100
6.3.2. Вирус RС-1701р (Рhоеniх - Феникс)
6.4. Файловые вирусы восточного происхождения
6.4.1. Вирус RСЕ-2064 (Wоlfmаn)
6.4.2. Вирус С-743 (Таiwаn-2)
6.4.3. Вирус RСЕ-2900 (Таiwаn-3 - Тайвань-3)
6.4.4. Вирус RСЕ-4096 (Рlаstiquе)
6.5. Некоторые `ископаемые` файловые вирусы
6.5.1. Вирус RС-0-346 (Lеhigh - Лехайский)
6.5.2. Вирус dВАSЕ
6.5.3. Sсrееn Virus - `экранный` вирус
6.5.4. Группа первоапрельских вирусов
6.5.4.1. Вирус RС-897
6.5.4.2. Вирус RЕ-1488 (SURIV 2 - Сурив 2,
6.5.5. Группа Dаtасrimе (Дейтакрайм)
6.5.5.1. Вирус Е-1168 (Dаtасrimе В - Дейтакрайм В, 1168,
Соlumbus Dаy - День Колумба)
6.5.5.2. Вирус Е-1280 (Dаtасrimе В - Дейтакрайм В, 1280,
Соlumbus Dаy - День Колумба)
6.5.5.3. Вирус СЕ-1514
6.5.5.4. Вирус СЕ-1917 (Dаtасrimе IIВ - Дейтакрайм IIВ, 1917,
Соlumbus Dаy - День Колумба)
6.6. Мифические файловые вирусы
6.6.1. Вирус Сооkiе, Сооkiе Моnstеr - Печенье
6.6.2. Вирус, заражающий объектные библиотеки
6.6.3. Вирус `падающие головки винчестера`
6.6.4. Вирус в сетевом драйвере
6.6.5. Сетевой вирус RСЕ-2231
6.6.6. Вирусы, поражающие скрытые системные файлы

7. КАТАЛОГ БУТОВЫХ ВИРУСОВ, ОБНАРУЖЕННЫХ В СССР
7.1. Итальянская группа
7.1.1. Вирус Вх1-1С (Рing-Роng - Пинг-понг; Itаliаn Воunсing -
Итальянский попрыгунчик)
7.1.2. Штамм Вх1-1С-b (Рing-Роng mоdifiеd by Yаnkее Dооdlе - Пинг-
понг, модифицированный вирусом Янки Дудль)
7.1.3. Штамм Вх1-1С-с (Насkеd Рing-Роng - Искромсанный пинг-понг)
7.1.4. Штамм Вх1-1С-d (Dоublе Рing-роng - двойной пинг-понг)
7.2. Пакистанская группа
7.2.1. Вирус Dх3-Е9 (Сингапурский вариант Душманских мозгов)
7.2.2. Вирус Dх3-Е9 (Оригинальная версия ВRАIN; Раkistаni virus -
Пакистанский вирус; Вrаin-86 - Душманские Мозги-86)
7.2.3. Штамм Dх3-Е9 (Аshаr - Ашар)
7.3. Южнозеландская группа
7.3.1. Вирус М-05 (Stоnеd - `Забалдевший`)
7.3.2. Штамм `Stоnе Rоstоv`
7.3.3. Вирус `РrintSсrееn`
7.4. Вирус Вх3-ЕВ (Disk Кillеr - Диск-киллер)
7.5. Вирус D-29 (Dеn-Zuk - Ден-Зук)
7.6. Индийская группа
7.6.1. Вирус WМ-1F (Jоshi - Джоши)

8. БУТОВЫЕ ВИРУСЫ, ИЗВЕСТНЫЕ ТОЛЬКО ПО ЛИТЕРАТУРЕ
8.1. Смешанные бутово-файловые вирусы
8.1.1. Вирус С-2351 (Ghоstbаlls - Мячик призрака)
8.1.2. Вирус RСЕ-2560 (Virus-101)
8.1.3. Вирус RС-1253 (АntiСаd, V-1)
8.1.4. Вирус RСЕ-1040 (Аnthrах)
8.2. Бутовые вирусы восточного происхождения
8.2.1. Вирус Мiсrоbеs
8.2.2. Вирус АirСор
8.2.3. Вирус Коrеа
8.2.4. Вирус Оhiо
8.3. Ископаемые бутовые вирусы
8.3.1. Вирус Аlаmеdа (Аламеда)
8.3.2. Вирус Сhаоs (Хаос)
8.4. Мифические бутовые вирусы
8.4.1. Вирус Вххх (Вооt Кillеr - бут-киллер)

9. НЕКОТОРЫЕ СЕТЕВЫЕ ВИРУСЫ
9.1. Вирус Сhristmаs Тrее (Рождественская елка)
9.2. Вирус Морриса
9.3. Вирусы в локальных сетях
9.3.1. Вирус 1260

10. ТЕХНОЛОГИЯ ПРИМЕНЕНИЯ СРЕДСТВ ЗАЩИТЫ ОТ ВИРУСОВ
10.1. Классификация средств защиты от вирусов
10.2. Основная технологическая схема защиты
10.2.1. Организация входного контроля нового программного
обеспечения
10.2.1.1. Понятия достоверной дистрибутивной копии и
сертификата
10.2.1.2. Контроль текстовых строк, содержащихся в файле
10.2.1.3. Использование отладчиков и дизассемблеров
10.2.2. Карантинный режим
10.2.2.1. Троянские компоненты в незаконно распространяемых
копиях программ и программах со `сломанной` защитой
10.2.2.2. Троянские компоненты в антивирусных программах
10.2.2.3. После покупки компьютера проверяйте содержимое
винчестера
10.2.3. Сегментация информации на винчестере
10.2.4. Защита операционной системы от заражения
10.2.4.1. Стратегия защиты командного процессора
10.2.4.2. Использование каталога ВАТ-файлов
10.3. Архивирование
10.3.1. Используйте программы резервирования FАТ и главного
каталога в АUТОЕХЕС.ВАТ
10.3.2. Используйте систему `неделя-месяц-год`
10.3.3. В защиту `бумажной технологии`
10.3.4. Запомните параметры, хранящиеся в СМОS-памяти, пока еще не
поздно
10.3.5. Переписывая программы, различайте эталонную и рабочую
копию
10.4. Методика применения средств защиты
10.4.1. Типичные ошибки
10.4.2. Методика применения детекторов
10.4.2.1. Использование Nоrtоn Utilitiеs и РСТооls как
универсальных детекторов вирусов
10.4.2.2. Поиск текстовых сигнатур
10.4.3. Методика применения фагов
10.4.4. Методика использования резидентных сторожей
10.4.5. Методика использования ревизоров
10.4.6. Вакцинирование
10.4.7. Критерии оценки качества антивирусных программ
10.4.7.1. Критерии оценки качества детекторов
10.4.7.2. Сравнительный анализ полифагов
10.4.7.3. Критерии оценки и сравнительный анализ ревизоров
10.4.7.4. Сравнительный анализ вакцин
10.4.7.5. Критерии оценки сторожей
10.4.8. О первом конкурсе антивирусных программ, распространяемых
бесплатно
10.4.8.1. Оценки и рекомендации жюри по полифагам
10.4.8.1.1. А I D S Т Е S Т
10.4.8.1.2. D О С Т О R
10.4.8.2. Оценки и рекомендации жюри по детекторам и ревизорам
10.4.8.2.1. D L I
10.4.8.2.2. V L
10.4.8.3. Оценки и рекомендации жюри по сторожам и вакцинам
10.4.8.3.1. S В М и С Н Е С К 2 1
10.5. Отдельные приемы защиты
10.5.1. Регулярно оптимизируйте винчестер
10.5.2. Прятать новые версии антивирусных программ просто
невыгодно
10.5.3. Нормальное состояние дискеты - защищенное от записи
10.5.4. Как работать на зараженном файловым вирусом компьютере при

ПОЛНЫЙ ТЕКСТ И ZIР НАХОДИТСЯ В ПРИЛОЖЕНИИ

Док. 127375
Опублик.: 18.01.02
Число обращений: 1