На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Обязательное свойство вируса

Обязателъншп и необходимыми свойствами компьютерного ви­руса являются возможности создавать свои дубликаты (не обязатель­но совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.

Следует отметить, что это условие не является достаточным (т. е. окончательным), поскольку, следуя вышеприведенному примеру, опе­рационная система MS-DOS удовлетворяет данному свойству, но ви­русом, скорее всего, не является.
Вот почему точного определения вируса нет до сих пор и вряд ли оно появится в обозримом будущем. Следовательно нет точно опреде­ленного закона, по которому «хорошие» файлы можно отличить от «вирусов». Более того, иногда даже для конкретного файла довольно сложно определить, является он вирусом или нет.
Вот два примера: вирус КОН и программа ALREADY. СОМ. Пример 1.
Есть... вирус? утилита? с названием КОН. Эта программа шиф­рует/расшифровывает диски только по запросу пользователя. Выпол­нена она в виде загрузочной дискеты — boot-сектор содержит boot­strap loader КОН, а где-то в других секторах лежит основной код КОН. При загрузке с дискеты КОН задает пользователю вопрос типа: можно я сам себя установлю на винчестер?» (если он уже на винчесте­ре, то спрашавает то же самое про дискету). При утвердительном отве­те КОН переносит себя с диска на диск.
В результате КОН переносит (копирует) сам себя с дискеты на винчестер, а с винчестера на дискеты, но только с разрешения хозяина компьютера.
Затем КОН выводит текст о своих hot-keys («горячие» клави­ши), по которым он шифрует/расшифровывает диски — спрашивает
пароль, читает сектора, шифрует их и делает недоступными, если не знать пароля. Есть у него, кстати, ключ деинсталляции, по коему он
сам себя с диска убирает (расшифровав, естественно, все, что было за­шифровано).
КОН — это некая утилита защиты информации от несанк­ционированного доступа. Добавлена к ней, правда, одна особенность: сия утилита сама себя может копировать с диска на диск разрешения поль­зователя). Вирус ли это?.. Да или нет? Скорее всего - нет...
И все бы было ничего, и никто бы эту утилиту по имени КОН ви­русом не обозвал, но только bootstrap loader у этого КОН практически на 100% совпадает с довольно «популярным» вирусом «Havoc» («StealthBoot»)... «и все - и крышка празднику». Вирус! И официаль­ное название есть - «StealthBoot. КОН».
Если бы, конечно, автором КОН был бы не безызвестный программист, а, скажем, или Sierra, или даже Сам Microsoft,
то никто бы и не посмел назвать это вирусом...

Пример 2.
Есть некая программа которая сама себя копи-
рует в разные подкаталоги на диске в зависимости от системной даты. Вирус? Конечно, да - типичный вирус-червь, сам себя расползающий по дискам (включая сетевые). Да?.. Да!
«Вы играли, но не угадали ни одной буквы!» Не вирус это, как оказалось, а компонента от какого-то софтвера. Однако если этот файл выдернуть из этого софтвера, то ведет он себя как типичный вирус.
Итого были приведены два живых примера:
не вирус - вирус 2. вирус - не вирус.
читатель, который     прочь поспорить, может
возразить:
Стоп. Название «вирусы» по отношению к программам пришло из биологии именно по признаку саморазмножения. КОН этому усло­вию соответствует, следовательно, это есть вирус (или комплекс, включающий вирусный компонент)...
В таком случае DOS является вирусом (или комплексом, вклю­чающим вирусный компонент), поскольку в нем есть команда SYS и COPY. А если на диске присутствует файл AUTOEXEC.BAT, приве­денный несколькими абзацами выше, то для размножения не потребу­ется даже вмешательства пользователя. Плюс к этому: если принять за
необходимый и достаточной признак вируса возможность само­размножения, то тогда любая программа, имеющая инсталлятор, явля­ется вирусом. Итого: аргумент не проходит.
... что, если под вирусом понимать не просто «саморазмножаю­щийся код», но «саморазмножающийся код, не выполняющий полез­ных действий или даже приносящий вред, без привлечения/информи­рования
Вирус КОН является программой, шифрующей диски по паро­лю, вводимому пользователем. Все свои действия КОН комментирует на экране и спрашивает разрешения пользователя. Плюс к тому имеет деинсталлятор — расшифровывает диски и удаляет с них свой код. Однако все равно — вирус!
Если в случае с ALREADY.COM привлечь субъективные крите­рии (полезна/не полезна, входит в комплект/самостоятельна и т. п.),
то, возможно, это и    стоит называть вирусом/червяком. Но стоит ли
привлекать эти самые субъективные критерии?

А какие могут быть объективные критерии вируса? Саморазмно­жение, скрытность и деструктивные свойства? Но ведь на каждый объективный критерий можно привести два контрпримера:
a) пример вируса, не подходящего под критерий, и
b) пример не вируса, подходящего под критерий.
Саморазмножение:
Intended-вирусы, не умеющие размножаться по причине боль­шого количества ошибок, или размножающиеся только при очень ог­раниченных условиях.
2. MS-DOS и вариации на тему SYS+COPY.
Скрытность:
1. Вирусы «КОН», «VirDem», «Масго. Word. Polite» и некоторые другие информируют пользователя о своем присутствии и размноже­нии.
2. Сколько примерно (с точностью до десятка) драйверов сидит под стандартной Windows95 ? Скрытно сидит, между прочим.
Деструктивные свойства:
1. Безобидные вирусы, типа «Yankee», которые прекрасно живут в DOS, Windows 3. х, Win95, NT и ничего никуда не гадят.
2. Старые версии Norton Disk Doctor'а на диске с длинными име­нами файлов. Запуск NDD в этом случае превращает Disk Doctor'a в Disk Destroyer'a.
Посему тема «нормального» определения компьютерного виру­са остается открытой. Есть только несколько точных вех: например, файл вирусом не является, а печально известная
программа с текстом is one half» является стопроцентным виру­сом («OneHalf»). Все, что лежит между ними, может как оказаться ви­русом, так и нет.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика