Татьяна Ревяко - Компьютерные террористы

Программа Бурлесона относилась к типу вирусов, которые называют «минами замедленного действия» (вирус «Пятница 13-го» еще один пример такой программы). Некоторые эксперты считают, что «мина замедленного действия» и «троянский конь», который внедряется в систему, будучи спрятанным в другой программе, — не настоящие вирусы. Эти пуристы считают, что вирус это несанкционированная саморепродуцирующаяся программа. Другие предпочитают более широкое определение, по которому вирус — это любая программа, созданная для проникновения в систему пользователя вопреки последнему и незаметно для него с целью помешать нормальной работе системы, вызвать потерю данных или просто вывести на экран сообщение.

Вирус — только последний в серии разрушающих программ, начало которым положили программы типа «троянский конь» и «часовая мина».

В конце 1987 года из Лехайского университета в штате Пенсильвания пришло сообщение о нападении на местные компьютеры программы-вируса. Лехайский вирус распространялся от компьютера к компьютеру, используя в качестве средства передачи зараженную дискету. Заражение вирусом происходило при загрузке компьютера с инфицированного гибкого диска. За короткое время заразились сотни компьютеров. Сначала размножившись, вирус затем проявил свою «троянскую» сущность — уничтожил данные с винчестеров зараженных машин. Программа «троянский конь», названная так по аналогии с древнегреческой легендой, производит одноразовое действие, повреждающее или уничтожающее информацию либо диски при каждом запуске.

Программа «троянский конь» выглядит так, как будто она просто выполняет какую-то одну полезную функцию, но на самом деле программа делает кое-что еще, например, разрушает директорию на диске или портит таблицы размещения файлов. Существенным свойством программы «троянский конь» является то, что она производит разрушения при каждом очередном запуске. Подобно Троянскому коню из древнегреческой мифологии, она маскируется под вполне безобидную программу и может выглядеть как файл с расширением. СОМ или EXE, предназначенный для графического вывода на экран дисплея, распечатки директории или чего-либо подобного. Такая маскировка обычно продолжается недолго.

Промышленная ассоциация по компьютерным вирусам только за 1988 год зафиксировала почти 90 тысяч вирусных атак на персональные компьютеры. На самом деле количество инцидентов, связанных с вирусами, вероятно, превосходит опубликованные цифры, поскольку большинство фирм умалчивает о вирусных атаках, опасаясь, что подобная реклама повредит их репутации. Другие фирмы молчат, чтобы не привлекать внимания хакеров. Как заметил администратор фирмы Amway, «лучший способ избежать проблем с вирусами — не болтать о том, что вы предпринимаете во избежание этих проблем».

Это хороший совет, ибо вирусные хакеры уже зашли так далеко, что обмениваются информацией и даже создают подпольные бюллетени, которые позволяют программистам вирусов обмениваться информацией и приемами программирования. По словам Джона Максфилда, специалиста по компьютерной безопасности из Кливленда, некоторые из этих бюллетеней содержат исходные коды вирусов, и программисту-любителю ничего не стоит создать свои собственные мощные токсичные средства.

Пиратские, а также имеющие широкое хождение программы — еще одна благодатная почва для вирусов. Эти программы свободно передаются из рук в руки, как правило, без каких-либо мер предосторожности. Один из наиболее распространенных современных вирусов был запущен через пиратское программное обеспечение из компьютерного магазина в Лахоре (Пакистан), где два брата-пакистанца внедряли вирус в пиратские копии пакетов Lotus 1–2—3, WordStar и других популярных прикладных пакетов. Это делалось для того, чтобы наказать покупателей за приобретение пиратского программного обеспечения. Прежде чем стало известно об этом вирусе, через этот магазин прошли тысячи туристов и бизнесменов, посещавших Лахор.

Джон Максфилд, консультант по вопросам компьютерной безопасности из Кливленда, рассказывает еще более жуткие вещи об опасностях, связанных с пиратским программным обеспечением. По словам Максфилда, пираты-программисты внедряют вирусные программы в бюллетени пиратов-конкурентов, рассчитывая на то, что вирус будет подхвачен и так или иначе попадет в коллекцию программ конкурента, а это в результате подорвет репутацию последнего.

Вероятность получить вирусную программу гораздо меньше, если вы — изолированный пользователь, если вы имеете дело с надежным набором коммерческих прикладных пакетов. Случаи заражения коммерческого программного обеспечения очень редки. Один из первых известных коммерческих пакетов с вирусом — пакет Freehand фирмы Aldus, программа для компьютеров Macintosh. Вирус просто выводил на экран сообщение с пожеланием мира всем пользователям компьютеров Macintosh, после чего сообщение исчезало. Компьютерный вирус был также обнаружен в пакете MegaROM для CD-ROM-дисков компьютеров Macintosh. Оба вируса были быстро обнаружены и не успели повредить систем пользователей. Вирус, заразивший пакет MegaROM, мог бы уничтожить данные, если бы не был пойман. Вирус из пакета Freehand, известный как вирус Мира, — классический пример того, как легко может вирус распространяться. Это началось с того, что Дрю Дэвидсон, программист из Таксона, написал вирус и передал его Ричарду Брэндоу, который поместил вирус на игровые диски, распространявшиеся на собраниях группы пользователей компьютеров Macintosh в Монреале. Марк Кантер взял один из этих инфицированных дисков на собрании и вернулся с ним в свой офис в Чикаго, где он занимался анализом предварительной версии пакета Freehand для фирмы Aldus. Вирус перешел с игрового диска на диск с пакетом Freehand. Кантер отправил диск в фирму Aldus, где он попал на несколько тысяч копий пакета Freehand, предназначенных к поставке.

Резервные копии — это одна из мер защиты против вируса, но она тоже не дает стопроцентную гарантию. Некоторые из данных могут быть поражены вирусом и резервная копия этих данных также может оказаться зараженной. Необходимо проводить проверки на наличие вирусов после восстановления данных с резервной копии.

По сообщениям прессы, недавно австралийские фирмы подверглись нападению вируса «Пинг-понг» («итальянский» или «туринский» вирус) и новозеландского вируса, который также известен как вирус «marijuana» или «Stoned». Согласно газете «Курьер мэйл», одна коммерческая фирма в г. Таунсвиль в результате вирусной атаки понесла убытки в миллион долларов. Фирме пришлось закрыться на шесть недель, необходимых сотрудникам для того, чтобы вручную заново ввести в компьютеры всю информацию. Первое, что приходит в голову при прочтении такого сообщения: это очередная «утка». Разве не могла фирма использовать для восстановления информации резервные копии? Однако существует надежное подтверждение того, что данный случай действительно имел место. Здесь мы видим яркий пример, во-первых, неподготовленности персонала к вирусной атаке, во-вторых, плохой организации резервного копирования информации. В один прекрасный день сотрудница агентства по недвижимости, специализирующегося на сдаче в аренду, выполняла резервное копирование информации фирмы на дискеты. Когда она вставила в компьютер первую дискету резервной копии, на экране появилось сообщение «Your PC is now stoned» («Ваш компьютер тащится»). Не зная, как реагировать на это сообщение, она вынула первую дискету и вставила следующую. Увидев, что сообщение с экрана не исчезло, она по очереди вставила все остальные дискеты резервной копии. В результате все дискеты оказались зараженными.