вирусов. Работа содержала полезное, хотя и недостаточно строгое
формальное определение вируса и ряд важных соображений о большой
потенциальной опасности компьютерных вирусов, а также относительно
того, что для своего размножения вирусу достаточно обычных опера-
ций, реализуемых файловой системой любой ОС. Ф.Коэн описал ряд
экспериментов, проделанных 3.11.83 г. на системе VAX 11/750, рабо-
тающей под управлением ОС UNIX. Вирус был имплантирован в начало
утилиты VD, которая позволяла графически отображать структуру ка-
талогов диска. Поскольку VD была новой программой, о ее характери-
стиках пользователи представления не имели. В ходе пяти экспери-
ментов пользователю зараженной программы в течение определенного
времени (от 5 до 30 мин.) предоставлялся статус суперпользователя.
Эксперимент показал достаточно высокую скорость размножения вируса
(1/2 с. на заражение) и большое количество зараженных файлов. По
материалам этой статьи в 1984 г. появилась статья в журнале «Шпи-
гель» под названием «Тайная инструкция» [Spiegel84], которая вы-
звала оживленную дискуссию в ФРГ. В дискуссии принял участие и сам
Ф.Коэн. Уже тогда обсуждались вопросы о целесообразности публика-
ций по данной тематике. Как пишет в своей книге Р.Бургер, Джером
Лоубел — советник по безопасности компьютеров фирмы «Honeywell
Informations Systems», возражал против публичного обсуждения дан-
ного вопроса. В свою защиту Ф.Коэн привел следующие соображения:
«Суть дела заключается все же в том, что если придумать что-либо в
этом роде под силу мне, то это может также сделать и кто-то дру-
гой», и этот другой может оказаться «скверным парнем». Забегая
вперед, следует отметить, что в 1986 г. Ф.Коэн защитил диссертацию
под названием «Компьютерные вирусы».
В 1985 г. на страницах журнала KES (ФРГ) Р.Дирштейн
(R.Dierstein) опубликовал комментированный перевод работы Ф.Коэна
[Dierstein85]. Этим же автором опубликовано еще несколько работ по
данной тематике, в частности [Dierstein86] и «Computer viruses: a
secret threat» в трудах конференции Securicom (Париж, 1986).

1.1.7. Первые попытки противодействия: список
«грязная дюжина» и первые антивирусные программы

В том же 1985 г. Том Нельф (Tom Nelf) начал распространять по
различным BBS список «Грязная дюжина — список опасных загружаемых
программ» («The Dirty Dosen — An Unloaded Program Alert List»), в
котором были перечислены известные на тот момент программы-ванда-
лы. В дальнейшем этот список, включающий большинство выявленных
троянских программ и «взломанные» или переименованные копии ком-
мерческого программного обеспечения для MS DOS, стал широко изве-
стен и получил сокращенное название «грязная дюжина» (dirty
dosen). В настоящее время список поддерживается Эриком Ньюхаузом
(Eric Newhouse) из Лос-Анжелеса и может быть получен практически
через любую сеть. В пояснениях к нему Эрик Ньюхауз отмечает, что
пользователи «‡ могут быть уверены только в одной свойстве их вин-
честеров — в том, что рано или поздно они «полетят». Часто пользо-
ватель будет винить в этом программу, хотя на самом деле проблема
связана с электроникой или механикой. Помните, что слухи о троян-
ских программах легче запустить, чем остановить». Последний совет
не мешало бы помнить и некоторым авторам «околовирусных» публика-
ций (см., например, [Основcкий90]). Один из ранних вариантов этого
списка был опубликован в [Solomon88] (рис.1).
С распространением троянских программ стали создаваться програм-
мы защиты, которые можно рассматривать и как первые антивирусные
программы. Зимой 1984 г. Анди Хопкинс (Andy Hopkins) написал про-
граммы CHK4BOMB и BOMBSQAD. Первая из них позволяла проанализиро-
вать текст загрузочного модуля и выявляла все текстовые сообщения
и «подозрительные» участки кода (команды прямой записи на диск и
др.). Благодаря своей простоте (фактически использовался только
контекстный поиск) и эффективности CHK4BOMB получила значительную
популярность. Программа BOMBSQAD.COM перехватывает операции записи
и форматирования, выполняемые через BIOS. При выявлении запрещен-
ной операции можно разрешить ее выполнение. В начале 1985 г. Ги
Вонг (Gee Wong) написал программу DPROTECT — резидентную програм-
му, перехватывающую попытки записи на дискеты и винчестер. Она
блокировала все операции (запись, форматирование), выполняемые че-
рез BIOS. В случае выявления такой операции программа требует ре-
старта системы. Несколько позднее появилась программа FLUSHOT, на-
писанная Росс М. Гринберг. Более поздняя версия этой программы —
FluShot Plus (версия 1.7), распространяемая как SHAREWARE с реги-
страционной ценой 10 долларов, используется и в настоящее время.
Из европейских программ отметим резидентный сторож VIRBLK, кото-
рый был написан в Вене Михелем Фитцем, и программу ANTI4US2, напи-
санную Э.Лайтингом. Название последней связано с тем, что число 4
по-немецки звучит как «фир», что позволяет прочитать название как
«антифирус2″.

Троянские программы для ПЭВМ, совместимых с IBM PC

123JOKE — Якобы утилита для Lotus 1-2-3.
Разрушает каталоги.
ALTCTRL.ARC — Портит загрузочный сектор.
ARC513.EXE — Троянская версия архиватора. Отличается по
длине (архиватор ~ 32К). Портит бутсектор.
ARC514.COM — То же самое. Архиватор всегда .EXE.
BACKALLY.COM — Через несколько месяцев портит FAT.
BACKTALK — Случайное затирание секторов на винчестере.
BXD.ARC — Предупреждает, потом затирает FAT.
CDIR.COM — Выдает себя за утилиту, высвечивающую
каталоги в цвете — на самом деле портит FAT.
CHUNKER.EXE — Портит FAT, возможно — ошибка.
COMPRESS.ARC — Якобы «Shareware from Borland», портит FAT.
DANCERS.BAS — Под красивые картинки портит FAT.
DEFENDER.ARC — Пишет в CMOS и форматирует диск.
DISKACHE.EXE — Вероятно ошибка, но может испортить FAT.
DISKSCAN.EXE — Якобы ищет плохие сектора,на деле — создает.
DMASTER — -»-
DOSKNOWS.EXE — -»-
DPROTECT — -»-
EGABTR — Якобы улучшает работу EGA, затирает диски.
ELEVATOR.ARC — Затирает файлы, может форматировать диски.
EMMCACHE — Портит файлы, затирает загрузочный сектор.
FILER.EXE — Затирает диски.
FUTURE.BAS — Портит FAT, затирает корневой каталог.
MAP ???
NOTROJ.COM — Претендует быть антитроянской программой,
на деле — наоборот.

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128