Журнал Радио 4 номер 1998 год. МИКРОПРОЦЕССОРНАЯ ТЕХНИКА

Журнал Радио 4 номер 1998 год. МИКРОПРОЦЕССОРНАЯ ТЕХНИКА УРОКИ ДОКТОРА ВЕБА

ПРОЛОГ

В конце минувшего года редакционные компьютеры подверглись вирусной атаке. Нельзя сказать, что подобное случилось впервые, однако бедствий такого масштаба ранее не было. Первой жертвой стали самые эксплуатируемые, уязвимые и незащищенные — компьютеры бюро набора текстов. Результат — безвозвратно утеряны несколько тысяч файлов, в том числе почти все свежие материалы очередного номера журнала "Радио".

После приличествующих случаю стенаний и проклятий неизвестному врагу к работе приступила срочно созданная бригада спасателей. Из имеющихся в редакции антивирусов имя злодея назвал только один — приобретенный в "ДиалогНау-ке" Doctor Web. Злоумышленником оказался не самый новый, но зато один из наиболее массовых макровирусов — WM.Cap, написанный еще в 1996 г. 15-летним венесуэльским мальчиком. Прятался он не в исполняемых файлах, к чему все привыкли, а в текстовых, формата Word for Windows. Специфика же редакционной кухни такова, что простои недопустимы, основная информация содержится именно в текстовых файлах, и они беспрерывно циркулируют по компьютерам, а вместе с ними — и незваный венесуэлец. Одним словом, более благодатного места для размножения и подрывной работы WM.Cap, наверное, найти не смог.

И развернулось сражение. Doctor Web и редакция, с одной стороны, а с другой — WM.Cap и компьютеры с их винчестерами и дискетами, ставшие невольными пособниками врага. Попутно заметим (может, кому пригодится), что рекомендованные зарубежными и отечественными "вирусологами" методы борьбы со злодеем к требуемому результату не привели. Все советы специалистов по борьбе с вирусами сводились к простому лечению зараженных файлов и шаблонов Word, в крайнем случае, к уничтожению (стиранию) шаблона Normal.dot (при очередном запуске редактора он автоматически восстанавливается со значениями по умолчанию). Ничего другого не предлагалось. А в некоторых рекомендациях (см., например, ) в ответ на вопрос о целесообразности переустановки редактора Word (что в общем-то напрашивается) прямо говорится: "Переустанавливать Word ни в коем случае не надо".

Опуская подробности, скажем, что практика (а она, как-никак, критерий истины) эту рекомендацию отвергла. До тех пор, пока лечение зараженных файлов не было дополнено искоренением, а затем новой установкой Word, истребить вездесущий WM.Cap нам не удалось. Казалось, окончательно и бесповоротно истребленный вирус после более или менее продолжительного молчания вновь проявлял себя, и ... все начиналось сначала.

В этой тяжелой борьбе, растянувшейся более чем на месяц, с самой лучшей стороны показал себя Doctor Web. Размышляя в перерывах между "боями" о превратностях компьютерного прогресса, мы вспомнили о статье "Антивирусная система Spider's Web" ("Радио", 1994, ╧ 1, с. 21, 22), в которой рассказывалось и о вирусах, и об антивирусном пакете Spider's Web, предшественнике Doctor Web, и о его авторе Игоре Анатольевиче Данилове. Невольно возникла идея вернуться к этой публикации, посмотреть, что нового в антивирусном мире, побеседовать с И. Даниловым, рассказать о его творческих планах и т. д.

НЕМНОГО О ВИРУСАХ И АНТИВИРУСНЫХ ПРОГРАММАХ

Вообще говоря, за прошедшие со времени публикации четыре года в принципиальном плане мало что изменилось. Компьютеры становятся все сложнее, используются все более совершенные технологии, как аппаратные, так и программные. Число вирусов, увы, не убавилось, а "вредность" их растет вместе с совершенствованием антивирусов, иногда опережая их, иногда отставая. Возбудители компьютерных заболеваний "научились" заражать загрузочные сектора дисков, файлы всех операционных систем, умело "прятаться", стали мутантами (полиморфными).

Появились новые разновидности, например, макровирусы, к которым принадлежит и WM.Cap. Впервые макровирусы, атакующие файлы в формате Word for Windows, были обнаружены летом 1996 г. и наделали немало шума, так как, на первый взгляд, своим поведением опровергали устоявшиеся представления о вирусах. Оказалось, что необычность их нрава связана с тем, что они, а точнее их создатели, очень умело использовали возможности встроенного в редактор Word for Windows макроязыка и языка программирования Word Basic. Высокая совместимость последнего с основными языками программирования, наличие средств работы с файлами обеспечили "вирусопи-сателям" благоприятную возможность для создания высокоэффективных, труднообнаруживаемых инфицирующих программ, распространяющихся с очень высокой скоростью.

Появились вирусы и для других программ, использующих макрокоманды, например, для Excell, Ami Pro и др. Есть и такие, которые разрушают информацию, уничтожают файлы и т. д. Макровирусы работают независимо от платформы, т. е. инфицирующая программа, написанная для MACINTOSH, действует и на IBM PC, и на других компьютерах. Подробнее об этих вирусах, их свойствах и особенностях можно узнать, ознакомившись со статьей В. Лутовинова, коллеги И. Данилова (см., например, ~sald/artic3_w. html).

Совсем недавно появился еще один новый возбудитель, который по принципу действия можно назвать "вирусом защищенного режима". До недавнего времени вирусам, а точнее их создателям, не удавалось использовать для своих грязных целей защищенный (виртуальный) режим современных процессоров. Первенец, нареченный РМ.Wanderer, использует этот режим, причем корректно взаимодействует с другими программами и драйверами, также использующими его. В перспективе не исключено, что вирус сможет полностью заменить своим кодом программу-супервайзора (см., например, ).

Развиваются и "обычные" вирусы. Они успешно маскируются, мутируют, одним словом, делают все возможное, чтобы продолжать творить свое черное дело.

А что же антивирусы? Тоже совершенствуются, и весьма успешно. Особенно приятно, что в число лучших антивирусных программ мира в последние годы неизменно входят и российские, в первую очередь, Doctor Web АО "ДиалогНаука" (DialogueScience DrWeb) и Antiviral Toolkit Pro фирмы "Лаборатория Касперского" (KAMI AVP). Так, в июльском (1997 г.) номере известного международного журнала "Virus Bulletin" (см. в Интернет на сайте ) опубликованы результаты очередного сравнительного тестирования антивирусов-сканеров, работающих под операционной системой MS DOS. По результатам испытаний Doctor Web вошел в тройку лучших антивирусов мира (табл. 1): вместе с Sophos SWEEP он показал 100-процентную эффективность в самой престижной категории — по степени обнаружения полиморфных вирусов — и разделил с ней первое — второе места. С результатом 99,5 % Doctor Web разделил второе — третье места с программой McAfee VirusScan в наиболее актуальной категории — обнаружении макровирусов. По довольно условному усредненному показателю обнаружения вирусов для рассматриваемых категорий тестов Doctor Web занял третье место, пакет KAMI AVP E. Касперского — почетное восьмое.

Очередное тестирование антивирусных программ журнал "Virus Bulletin" провел в феврале 1998 г. (табл. 2). И вновь среди лучших — Doctor Web! Он показал абсолютный результат (100-процентное обнаружение!) в двух наиболее важных категориях: по степени выявления сложных полиморфных и макровирусов. Особо стоит отметить, что по первой из них такой результат отмечается в третий раз подряд. Если вновь попытаться ввести некий усредненный показатель (что-то вроде командных результатов на спортивных соревнованиях), то Doctor Web окажется на восьмом месте (табл. 3).

Отметим, что KAMI AVP E. Касперского по этому показателю занимает шестое место, показав абсолютный результат в пяти(!) категориях из шести. И это не единственный успех Е. Касперского. В конце прошедшего года журнал по компьютерной безопасности "Secure Computing" провел тестирование антивирусных продуктов для Windows 95, и оказалось, что почти по всем показателям программа KAMI AVP обеспечивает лучшие результаты, а в общем зачете при тестировании на общей коллекции вирусов заняла первое место.

Что ж, больше антивирусов, хороших и разных!

УРОКИ ДОКТОРА ВЕБА

Итак, история антивируса Doctor Web началась на заре 90-х годов в Санкт-Петербурге, когда мало кому известный инженер И. Данилов начал трудиться на одном из предприятий ВПК. Работа была связана с компьютерами, а в них периодически появлялись вирусы. Антивирусных программ было немало и в те времена (вспомним хотя бы общеизвестный Aidstest Д. Н. Лозинского), но работали они обычно по сигнатурам, отыскивая уже известные коды известных вирусов. Антивирус всегда появлялся после вируса. Возникла идея: а почему бы не попробовать создать такой анализатор, который, наблюдая за развитием событий в компьютере, определял бы, обычные они или это проявление вирусной активности? Затем следовало установить контроль за жизненно важными объектами операционной системы и BIOS компьютера, не давая вирусам размножаться и уничтожать информацию. Разумеется, антивирус не должен чураться и традиционных методов поиска и уничтожения вирусов.

Эти в общем-то не революционные идеи и легли в основу того, что было воплощено в антивирусной системе Spider's Web. Надо сказать, что первая публикация о ней и ее авторе появилась именно в журнале "Радио". Новый антивирус ждала приятная неожиданность — с самого рождения он был очень хорошо принят на международной арене. Уже в 1993 г. Spider's Web стал финалистом конкурса Software Europe "Golden Softies" на выставке CeBIT' 1993, а в дальнейшем регулярно побеждал в различных категориях тестов. Хобби И. Данилова стало профессией. Сама система Spider's Web также из разряда любительских перешла в профессиональные. Не все ее компоненты развивались одинаково, сегодня, по существу, остался только один — Doctor Web, созданный в 1993 — 1994 гг. (коммерческое распространение начато летом 1994 г.).

Нынешний Doctor Web — программа нового поколения. Он способен находить как "старые", давно известные вирусы, так и появившиеся относительно недавно вирусы-мутанты. Мощный эвристический анализатор позволяет успешно обнаруживать новые, еще не известные вирусы. Программа успешно работает с большинством архивов.

Нам показалось, что именно в наступившем году можно отметить пятилетний юбилей Doctor Web. Это и послужило поводом для нашей беседы с И. Даниловым, изложение которой приводим ниже.

Прежде всего о юбилее. Действительно, первый вариант программы Doctor Web появился в 1993 г. Однако это был не тот антивирус, который сегодня знают во всем мире. Нынешняя версия радикально отличается от первой и по алгоритмам, и по режимам работы, и по способам нахождения вирусов. Название было сохранено, так как оно уже было известно, а вот программа обновилась очень сильно. Поэтому официальной датой рождения пакета Doctor Web следует считать 18 марта 1994 г., стало быть, пятилетний юбилей коммерческого продукта отпразднуем в следующем году.

Быстрый рост популярности антивируса Doctor Web в нашей стране и за рубежом объясняется тем, что он одним из первых стал бороться с полиморфными зашифрованными вирусами, в коде которых нет ни одного постоянного участка. Кроме того, у этой программы имеется эффективный эвристический анализатор, который позволяет искать не только уже известные, но и неизвестные вирусы (он анализирует код программы на наличие характерных для них последовательностей команд). Эффективность определения новых вирусов составляет примерно 80 %. Этот режим работы программы Doctor Web является новаторским и мало у кого он есть. Громадное число антивирусных программ, использующих эвристический подход и разработанных значительно позже, вторично — в их основе лежит именно этот режим Doctor Web.

К сожалению, и сама программа Doctor Web, и алгоритмы ее работы до сих пор не запатентованы. По действующему законодательству в области авторского права программирование почему-то приравнено к писательскому труду, что отнюдь не облегчает патентование. А пока что находятся фирмы, которые расшифровывают алгоритмы работы, заимствуют их и даже готовые подпрограммы. Такие "последователи" есть и у нас в стране, и за рубежом.

Doctor Web постоянно развивается, "обзаводится" новыми режимами работы. Например, когда появились полиморфные вирусы, Doctor Web "научился" распознавать и удалять их в файлах, а на нашествие макровирусов отреагировал введением режима обнаружения и удаления их в документах. Уже создана сетевая бета-версия Dr. Web for Novell Netware. Сейчас большие усилия направлены на разработку 32-разрядных версий антивируса для Windows 95, Windows NT, OS/2, к лету текущего года они должны появиться на рынке.

Сегодня главная задача — как можно полнее и лучше удовлетворять запросы пользователей Doctor Web, число которых непрерывно растет, стараться в своих разработках предугадать появление новых, пока неизвестных вирусов, предусмотреть средства их обезвреживания.

Вообще говоря, проблема борьбы с компьютерной инфекцией не должна замыкаться в рамках противодействия вирусным программам. Нужно бороться с их создателями. Создают и распространяют вирусы и последователи Герострата, и любители позабавиться, и желающие напакостить ближнему.

Впрочем, эта проблема скорее из области психиатрии и юриспруденции. Законодательство многих стран предусматривает уголовное наказание за написание и распространение вирусов. Есть прецеденты привлечения к ответственности за эти правонарушения. Например, два года назад в Англии был арестован и упрятан в тюрьму автор полиморфных вирусов по кличке "Черный барон". Готовятся подобные процессы и в нашей стране.

Ситуация на антивирусном фронте заметно осложнилась с развитием сети Интернет. Сегодня через нее распространяется огромное количество самой разнообразной информации, и естественно, такой мощный поток не может не подвергаться вирусным атакам. А возможности, предоставляемые для таких атак Интернет, велики. Это и обмен через конференции, и массовая рассылка по E-mail, и распространение под видом нового программного обеспечения. Пользуясь электронной почтой, нужно просматривать документы в таких редакторах и "смотрел-ках", которые позволяют отключить макрокоманды.

Вообще, с лавинообразным ростом числа программных продуктов несколько изменилась тактика борьбы с вирусами на пользовательском уровне. На первое место выходит использование надежных средств проверки программных продуктов и иной информации на отсутствие вирусов. Нужно приобретать только лицензированные антивирусы, желательно разнотипные, постоянно их обновлять. Сегодня налажено несколько различных способов получения обновленных версий антивирусов. Например, Doctor Web можно приобрести на дискете у многочисленных дилеров, получать по подписке, воспользовавшись электронной почтой или модемом. Главное — не пользоваться пиратскими копиями. Кстати, среди бесчисленного множества пиратских компакт-дисков с программным обеспечением и играми немало инфицированных вирусами. Списки зараженных дисков, разумеется, не полные, можно найти в Интернет, в том числе на WEB-сайте АО "ДиалогНаука"

Остаются в силе и традиционные приемы борьбы с вирусным заражением компьютеров: не засорять их непроверенными программами и играми сомнительного происхождения, применять только лицензированное программное обеспечение. Ну и, конечно, регулярно тестировать компьютер.

ЗАКЛЮЧЕНИЕ

Из-за ограниченного объема журнальной публикации осталось "за бортом" многое. Но главное заключается в том, что теперь информацию в наших редакционных компьютерах будут защищать от нашествия вирусной нечисти два антивирусных пакета: DSAV 2.51 для Windows АО "ДиалогНаука" и AntiViral Toolkit Pro 3.0 "Лаборатории Касперского". И сбудутся слова Доктора Веба: "В "Радио" не может быть компьютерных вирусов?"

Вернуться к содержанию журнала "Радио" 4 номер 1998 год







Рекомендуемый контент




Copyright © 2010-2019 housea.ru. Контакты: info@housea.ru При использовании материалов веб-сайта Домашнее Радио, гиперссылка на источник обязательна.