Cофтпанорама 1990, No. 10 (14) ****************************************************************** ***************************************** * К О Л О Н К А Р Е Д А К Т О Р А * ***************************************** Уважаемые коллеги ! Поскольку проведенная 14-17 ноября конференция стала значительным событием для участников семинара и многих читателей СОФТПАНОРАМЫ, в этом выпуске колонки редактора я постараюсь дать краткий обзор первого дня ее проведения. Многие из читателей знают, что судьба конференции складывалась неп- росто и вопрос "быть или на быть" долгое время висел в воздухе из-за ни- чем неоправданного сопротивления (пожалуй даже не сопротивления, а обыч- ной политики "держать и не пущать") аппарата Совмина УССР. Кстати отказ подписал один из "героев" украинской талонной эпопеи -- зам. Председате- ля Совмина Украины В.Г.Урчукин (конечно решение он принимал не сам, а "с подачи" зав.отдела науки Совмина А.С.Корниенко, что впрочем тоже являет- ся "штрихом к портрету" Совмина). Поэтому то, что конференцию удалось провести в намеченные сроки уже само по себе следует рассматривать как удачу. Тем не менее отказ Совмина создал значительные организационные трудности, далеко не все из которых удалось преодалеть. Наиболее значи- тельной из них было отсутствие компьютеров для демонстрации и обмена программами среди участников. Будучи, в основном, советскими программис- тами, которых, как известно, нехваткой компьютеров не запугать, иногоро- дние участники довольно быстро скооперировались с киевлянами и эффектив- ность использования персональных компьютеров в ряде киевских организаций на период проведения конференции была существенно повышена. Впрочем, ад- министрации ВЦ КИИГА факт использования компьютеров участниками конфере- нции не очень понравился и ее отношение к этому вопросу было "доведено до сведения" автора. Второй "накладкой" явилась задержка с изданием "Ко- мпьютерной вирусологии". В качестве выхода из положения участникам был записан ее текст на дискете, а обещанный экземпляр будет выслан почтой сразу после печати тиража (пока бумаги все еще нет, поэтому очередной ориентировочный срок -- февраль 1991 г.). И, наконец, трудности с бума- гой сделали невозможным оперативное издание тезисов докладов. В то же время отсутствие государственной поддержки имело свои поло- жительные стороны, причем ретроспективно эти положительные стороны суще- ственно перевешивают отрицательные. Прежде всего Авиацентр НТТМ проявил себя как надежный и заинтересованный партнер, а его представитель в орг- комитете (А.Ф.Белоусов) взял на себя решение значительной части органи- зационных проблем. Следует отметить, что Авиацентр выступил именно в ро- ли "спонсора", а не "коммерсанта". Действительно, "гос.цена" трехдневно- го семинара, проводимого, например, республиканским Домом научно-техни- ческой пропаганды (РДНТП) составляет 40 руб. (аппроксимируя, получим 53 руб за четыре дня). Если учесть различие в ценах по которым гос.органи- зации оказывают услуги "кооператорам", приплюсовать оплату гостинницы, организации питания, выплату премий победителям + стоимость 254 копий программы Aidstest, включенной по просьбе участников в состав дискеты (8800 руб. или приблизительно по 35 руб на каждого участника), стоимость двух дискет (розничная цена ГМД-130 -- 15 руб.) и книги, то от 100 руб. не остается ничего. Неудивительно, что прибыли в результате проведения конференции Авиацентр не получил, точнее прибыль выплачена в виде премий победителям конкурса бесплатных программ. Поэтому мне хочется поблагода- рить руководство Авиацентра за оказанную поддержку развитию отечествен- ной компьютерной вирусологии и хочется надеяться, что и в будущем, нес- мотря на ухудшающееся экономическое положение, наше сотрудничество будет продолжено. Другим положительным моментом являлась свобода от установленных "правил игры во всесоюзную конференцию". В результате сэкономлена масса времени на написание гор ненужных бумажек до и после конференции. Не ну- жно было ни перед кем заискивать, искать расположения номенклатурных чи- нуш, добиваться разрешение на элементарные вещи, черт знает что согласо- вывать с людьми в добротных костюмах с пустыми от постоянного безделия глазами и делать другие "реверансы" системе (я думаю, многие знают или догадываются про культивируемое "министерствами науки" подхалимство, бе- спринципность при подборе докладчиков и другие мало совместимых с репу- тацией порядочного человека и ученого поступки). Состав докладчиков был подобран демократично и включал действительно работающих в данной облас- ти специалистов а не представителей страстно желающего поучаствовать в "мероприятии" племени "кандидоперов", "доцентух" и "прохвостеров" с сос- тавленными "неграми" докладами. В частности, при открытии конференции удалось обойтись без характерных для большинства всесоюзных конференций выступлений "свадебных генералов". Поскольку в системном программирова- нии, как и в математике, способности человека проявляются очень рано (кстати, Д.Кнут написал свой знаменитый "самый маленький компилятор с Фортрана" будучи студентом, а в 28 (двадцать восемь!!!) лет издал первый том своей "библии системных программистов" - монографии "Искусство прог- раммирования для ЭВМ"), в состав участников был включен ряд студентов, уровень разработок которых соответствовал требованиям оргкомитета конфе- ренции (отметим, что один из них получил премию основного конкурса, а еще один - специальную премию СП "НОВИНТЕХ"). В связи с ограниченностью возможностей поселения иногородных участ- ников, факт проведения конференции широко не рекламировался. Тем не ме- нее она собрала максимально-возможное число участников (254 человека, не считая докладчиков) практически со всех регионов страны и даже некоторых представителей прессы. В частности, активное участие в конференции при- нял представитель редакции журнала Интеркомпьютер И.Ш.Карасик. На конфе- ренции также присутствовал корреспондент газеты Поиск А.Н.Чирва с сооб- щением которого, я надеюсь, можно будет познакомиться в одном из ближай- ших номеров газеты (к сожалению, как стало известно автору, публикация будет посвящена популярному изложению вирусной проблематике, а не самой конференции). Хотя участие в конференции было платным (100 руб. с участника, куда входили две дискеты с антивирусными программами, оплата гостинницы и эк- земпляр книги "Компьютерная вирусология"), вход на заседания был свобод- ным, что поставило киевских программистов в более выигрышное положение, по сравнению с иногородними. В результате зал заседаний был практически заполнен все дни проведения конференции. Первое заседание конференции открыл зам.председателя оргкомитета Анатолий Федорович Белоусов, который, поздравив участников от имени орг- комитета и пожелал успеха ее работе. А.Ф.Белоусов сумел уложиться в 2 минуты, что сразу настоило участников на деловой лад. Тема следующего доклада, который был сделан Н.Н.Безруковым, была несколько изменена и касалась в основном методики применения средств защиты. Это изменение было вызвано частично стремление лучше сбалансировать содержание заседа- ния, а частично стремлением поделиться свежим опытом автора по восстано- влению содержимого винчестера. Докладчику удалось уложиться в регламент. Заданные вопросы относились, в основном, к организационным. Выступавший вторым известный болгарский вирусолог Весселин Бончев кратко охарактеризовал ситуацию с компьютерными вирусами, сложившуюся в Болгарии и ответил на многочисленные вопросы. Поскольку значительная часть аудитории была так или иначе знакома со статьями В.Бончева в "Ком- пьютер за Вас", ряд вопросов носил "прицельный" характер. В частности был задан вопрос о причинах "болгарского вирусного взрыва". В своем от- вете В.Бончев, в частности, указал, что ситуация, когда многие способные программисты не находят применения своим способностям в сочетании с низ- кой правовой культурой и отсутствием в Болгарии законов, позволяющих привлекать авторов вирусов к уголовной ответственности. Ряд вопросов был посвящен известной болгарской техно-крысе, скрывающейся Dark Avenger. Отметив, что характер некоторых решений позволяет предположить, что Dark Avenger в своей основной деятельности связан с разработкой сетевого про- граммного обеспечения для IBM PC, В.Бончев охарактеризовал его как тех- нопата и отметил, что в настоящее время количество разработанных им ви- русов приближается к двум десяткам. Остановившись на клеветническом при- еме, использованном Dark Avenger при программировании вируса RCE-2000 (часть фразы "copyright Vesselin Bontchev", содержащейся в теле вируса используется как ключ поиска соответствующего текста в загружаемой прог- рамме и, если строка найдена, то вирус вызывает зависание компьютера), В.Бончев сказал, что помимо данного клеветнического приема Dark Avenger несколько раз загружал в различные BBS троянизированные вирусами версии антивирусной программы USCAN, пользуясь в ряде случаев его фамилией при регистрации. Следует отметить, что В.Бончев продемонстрировал очень хо- рошее владение русcким языком, что обеспечило тесный контакт с аудитори- ей. Кстати В.Бончев предпринял определенные усилия по популяризации по- лученных в СССР результатов на Западе. В частности, им переведена и пе- редана в электронную конференцию по вирусам FIDO, предложенная автором классификационная схема, в которую он внес некоторые полезные добавления и уточнения. Для того, чтобы читатели могли сами оценить сделанные доба- вления и уточнения, ниже приводятся соответствующие три сообщения (490- 492) в "склеенном" виде: FROM: Vesselin Bontchev Area # 42 ( VIRUS ) TO: All MSG # 490, Sep-26-90 11:52pm SUBJECT: A virus description scheme Hello, everybody! The next two messages contain an attempt for a formal description of computer viruses. The method itself is invented by the Russian antivirus researcher Bezrukov. I only improved it a bit and translated it into English. We really need a method that can describe a computer virus in a singular way. It must guarantee that one and the same virus, described by two different researchers will have one and the same description; and that two different viruses will have two different descriptions. The proposed method is only an approach for this goal; it's not perfect. I'm waiting for your opinions how to improve it. BTW, if you want to contact Bezrukov, here's his address: Bezrukov, Nikolaj Nikolaevich ul. Krasnoarmejskaya 124a, kv. 85 252006 Kiev-6 U.S.S.R. Tel. +007-044-2681026 1. File infectors. The description of each file infector consists of four parts - the name of the virus, its descriptor, its signature and its text strings. 1.1. The virus name. It has the form -[]. 1.1.1. The prefix. It consists of one or more upper case letters which indicate which files does the virus infect. These letters can be as follows: C - The virus infects COM files; E - The virus infects EXE files; J - The virus is written (and infects files written) in the Job Control Language of the system (e.g., BAT file, REXX file, etc.); L - The virus infects libraries; N - The virus infects BIN files; O - The virus infects OBJ files; S - The virus infects device drivers (SYS files); T - The virus infects source files (C, PAS, FOR, etc.); V - The virus infects overlays; W - The virus is of "spawning" type (companion virus). 1.1.2. The infective length. It has the form [(garbage_prefix)][(garbage_suffix)] where is the length of the true virus body; is the number of bytes that the virus appends before its body and is the number of bytes that the virus appends after its body (or after the infected file). Either of or are optional and may have the form -. 1.1.3. The suffix. It is optional and is used to distinguish between several variants of a virus that have the same length. Example: The Jerusalem-B virus name in this notation is CE-1805(0-15)(5)b. 1.2. The descriptor. The descriptor of a file virus consists of a sequence of groups. Each group begins with an upper case letter and is followed (optionally) by several lower case letters and/or numbers. Each group describes a property of the virus. For instance the description "XabYcZdmt" lists three properties - X (with value "ab"), Y (with value "c") and Z (with value "dmt"). The possible properties and their values are as follows: A - handling of the ReadOnly attribute (y - removes the attribute, then restores it; n - does not infect if the attribute is set; r - removes the attribute but does not restore it); B - critical error handler (y - has such a handler; n - does not have it); C - infection of COMMAND.COM (y - infects it as any other file; n - does not infect it; o - infects only it; d - infects it differently than the other files; s - infects it by searching through the COMSPEC variable or by destroying its transient part); D - file data & time stamp (y - changes it; n - does not change; s - changes only separate fields e.g., seconds, months, years, etc.); E - how the virus distinguishes between COM and EXE files (e - using the extension; s - using the first two bytes of the file, which are checked for `MZ'; b - the first two bytes are checked for `ZM' too); F - length of the smallest infectable file (c - minimal length for COM files; e - minimal length for EXE files; n - no minimal length control); I - file length increment (c - constant; p - aligns to a paragraph boundary; r- - random, between and ; n - does not increase file length. Each property can be prefixed by one of the letters C, E, J, L, N, O, S, T to indicate the file length increment for the respective file type); J - first instruction handling for COM files (n - no particular handling; j - infects only files that begin with a JMP instruction; s - does not infect files that begin with a JMP; x - if the first instruction is a JMP or a CALL, then the virus modifies not it, but the instruction it points to; c - places a CALL to its code, instead of a JMP; o - transfers control to its body in a different way); K - how much times a file can be infected ( - that number of times; m - multiple times; Each property can be prefixed by one of the letters C, E, J, L, N, O, S, T to indicate the file length increment for the respective file type); L - length of the virus body; M - "stealth" techniques used (c - uses encryption; d - DIR does not display the increased file size; f - auto-disinfection on file reading; g - uses antidebugging techniques; i - bypasses interrupt monitors; m - mutates; t - auto-disinfection on tracing or disassembling; n - no "stealth" techniques used); O - does the virus overwrite parts of the file (y - yes; n - no; s - yes, if the EXE header information is incorrect); P - place in the file where the virus resides (b - in the beginning of the file; e - at the end of the file; m - in the middle of the file; r - at a random position in the file; o - outside of the file. Each property can be prefixed by one of the letters C, E, J, L, N, O, S, T to indicate the file length increment for the respective file type); S - infection strategy (c - only in the current directory; only on the current drive; e - on file execution; o - on file opening/closing; p - searching the PATH variable; r - on file reading; o - only in some directories, e.g., the root directory); U - maximal infectable file length ( - maximal infectable length; n - infected COM files may become larger than 64 K; y - infected COM files are never larger than 64 K; e - infects only EXE files below 64 K, converting them into COM format. X - caused effects (v - video effects; m - displays messages; p - plays music or has sound effects; b - causes keyboard problems; s - overwrites sectors; e - intentionally causes errors, e.g., divide by zero, parity check, etc.; r - causes problems to the resident programs; k - destroys the contents of files; d - deletes files; o - causes problems on overlay loading; w - scrambles or encrypts the contents of data files; z - wipes out the information on the disk; f - formats the disk; l - low-level formats the disk; a - destroys or scrambles the FAT; t - performs trojanization of files); Y - where in memory resides the virus (n - is not memory-resident; h - in higher end of memory; l - in lower end of memory; d - in an unused hole in DOS; i - in the interrupt vector table; v - in video RAM; f - in the free memory; b - in the DOS buffers; x - in the extended memory; p - in the expanded memory). 1.3. The signature. The signature consists of sequences of pairs. Each pair consists of a hex string (possibly containing wildcards) and a hexadecimal offset from the beginning of the virus code (NOT from the virus entry point or from the beginning of the part that begins after the end of the original file), where this signature resides. 1.4. The text strings. They are similar to the signature and also consist of pairs (text string and offset). However ALL meaningful text strings that appear in the virus body are given. 2. Boot sector infectors. The description of each boot sector infector consists also of four parts - the name of the virus, its descriptor, its signature and its text strings. 2.1. The virus name. It has the form [x]-{}... The prefix consists of one or more of the following upper case letters: C - the virus marks its second part as bad clusters; D - the virus infects the partition boot sector; F - the virus infects only floppy disks; M - the virus infects the disk boot sector; P - the virus creates its own partition; W - the virus survives a warm reboot. If the virus marks its second part as bad clusters, then a x is appended to the prefix, where is the maximal number of bad clusters created. {} is a sequence of one to five bytes in hexadecimal notation. These are the first few bytes of the boot sector. 2.2. The descriptor. The descriptor of a boot sector virus also consists of sequences of groups. Their meaning is as follows: I - the amount of memory (in K) that the virus allocates; L - full length of the virus code (in bytes); M - "stealth" techniques used (y - when a read is performed on the infected boot sector, the virus supplies the original one; n - no stealth techniques used); N - number of the first byte that is different when the infected boot sector and an original one are compared; S - infection strategy - where the original boot sector (possibly with more virus code) resides (x - in clusters, marked as bad; t - on the last track; n - on a supplementary formatted track; p - on a new partition; .. - on absolute address head , cylinder , sector ); W - whether the virus allows the original boot sector to be overwritten (y - the virus blocks write attempts over the sector where the original boot sector resides; n - no blocking is performed). X - caused effects (v - video effects; m - displays messages; p - plays music or has sound effects; b - causes keyboard problems; s - overwrites sectors; e - intentionally causes errors, e.g., divide by zero, parity check, etc.; w - scrambles or encrypts the contents of the disk; z - wipes out the information on the disk; f - formats the disk; l - low-level formats the disk; a - destroys or scrambles the FAT); 2.3. The signature. The signature consists of sequences of one or more triplets. Each triplet consists of a hex string (possibly containing wildcards), the number of the virus sector where the signature resides, and a hexadecimal offset from the beginning of the sector, where this signature resides. 2.4. The text strings. They are similar to the signature and also consist of triplets (text string, sector and offset). However ALL meaningful text strings that appear in the virus body are given. Как видно из приведенного текста многие (но не все) предложения В,Бончева носят конструктивный характер и повышают качество дескриптора. Однако, как мне кажется, роль дескриптора как средства классификации ви- русов для исследователей, которую В.Бончев следуя автору, указал как ос- новную на самом деле является вспомогательной. Практика показала, что на практике наибольшей ценностью дескриптора является его способность выпо- лнять роль средства "стенографической системы нотации" основных свойств вируса, идеально пригодного для электронной почты, а также для реализа- ции оперативной подсказки в антивирусных программах (роль, которую пока "не осознал" никто из отечественных разработчиков антивирусных средств). В рамках конференции автор обсудил вместе с В.Бончевым вопросы дальней- шего совместного совершенствования дескриптора с тем, чтобы как в СССР, так в Болгарии вирусы описывались по единой схеме (учитывая поговорку "нет пророка в своем отечестве" дескриптор скорее начнут применять в Бо- лгарии, чем у нас; насколько мне известно, из отечественных антивирусных программ только Ревизор кооператива Амперсанд поставляется с классифика- ционными таблицами автора. Остальные разработчики используют "самодель- ные" системы классификации и описания). Последовавшее выступление "Вирусология в Польше" известного польско- го вирусолога Анджея Кадлофа - автора многочисленных статей на эту тему в журнале Компьютер (некоторые из его ранних работ были переведены на русский язык и опубликованы в советско-польском журнале Компьютер - Б.Н.Н.) - было внеплановым, поскольку возможность приезда была до после- днего момента неясна. Как и Весселин Анджей выступал на русском языке, которым он владеет достаточно свободно. В своем докладе А.Кадлоф расска- зал, что первым в Польше появился "венский" вирус (С-648), который до весны 1988 г. размножался никем незамеченный. Он был выявлен в Варшавс- ком политехническом институте, где сразу был создан детектор и фаг (из- вестные в нашей стране DIAG и CURE И.Собчека). Примерно в это же время была опубликована первая статья о вирусах в польском журнале Компьютер. Другим вирусом обнаруженным в 1988 г. был С-534 (W13) "живой" экз. кото- рого был принесен в редакцию журнала Компьютер. В 1989 г. вышла брошюра А.Кадлофа "Внимание, вирус!" (дискетный вариант перевода которой был сделан кем-то из харьковских программистов, но не распространялся по Со- юзу - Б.Н.Н.), которая до настоящего момента является единственной в По- льше книжной публикацией по компьютерной вирусологии. Сейчас А.Кадлоф готовит ее переиздание. Далее А.Кадлоф охарактеризовал проблемы станов- ления вирусологии в Польше, которые во многом аналогичны отечественным: в обеих странах получить гос.поддержку для организации лаборатории весь- ма и весьма трудно. Было приятно услышать, что в Польше читают СОФТПАНО- РАМУ и Компьютерную вирусологию, причем последнюю А.Кадлоф охарактеризо- вал как лучшую из известных ему по этой тематике работ. Что касается "польских" вирусов, то на сегодняшний момент к ним можно отнести только W13 (неужели действительно все польские программисты заняты делом, а студенты -- учебой ? - Б.Н.Н.). Из разрабатываемых антивирусных програм- мах А.Кадлоф отметил MAFVIR (М.Филипяка), MKS_VIR Марка Селля и его соб- ственную - PAW (В Союзе известна, по-видимому, только MKS_VIR - Б.Н.Н.). Между указанными специалистами налажено тесное сотрудничество и обмен информацией. В частности, ими начато создание Банка информации о виру- сах, а с декабря этого года издательством LURUS планируется издавать специальный электронный бюллетень -- PC-VIRUS. Очевидно, что здесь есть возможность налаживания сотрудничества с советскими коллегами. Здесь мне хочется подчеркнуть, что несмотря на изолированность от За- пада советские специалисты сумели достичь определенных успехов в компью- терной вирусологии и некоторые наши работу "не стыдно показать" на Запа- де. В этом смысле участие в конференции восточноевропейских специалистов В.Бончева и А.Кадлофа это хоть какая-то "щель" в Европу. Ведь для того, чтобы тот или иной результат оказал влияние на развитие программирования недостаточно программисту написать сильную, оригинальную программу, нуж- но еще чтобы в стране существовала программистская общественность, спо- собная оценить полученный результат именно как "этап и успех и значите- льный шаг" и должна существовать связь с научной общественностью за гра- ницей, чтобы этот результат получил признание там иначе тот же результат будет получен кем-то независимо, "поезд уйдет" и советский автор окажет- ся в роли "непризнанного гения". Автор убежден (и именно это его убежде- ние послужило движущей силой создания семинара "Системное программирова- ние" и стоившую много времени и сил борьбу за проведение этой конферен- ции), что коллективная работа программистов как внутри страны, так и в международном масштабе возможна только при личном контакте. Чтобы убеди- ться в, скажем, в уровне программ Е.Сусликова, нужен живой обмен мнения- ми, необходима дискуссия, которую не может заменить ни копирование и ис- пользование программ, ни переписка. Только когда слышишь человека, ви- дишь как он отвечает на вопросы и оцениваешь уровень его критических за- мечаний по другим программам, советы, адресованные лично тебе, появляет- ся доверие к его продуктам, желание их использовать и сотрудничать в их совершенствовании. В противном случае просто выбирается что-то из "сде- ланного не здесь". Трагедия наших программистов состоит в том, что они не могут включи- ться в коллективную работу западных программистов, поскольку не имели и не имеют возможности ездить за границу. Да что там ездить. Чтобы позво- нить в капстрану у нас до последнего времени необходимо было сначала по- лучить разрешение на разговор у "спецлица", которому приходилось "обос- новывать его необходимость", а потом ждать в течении ближайших сорока восьми часов, что Вам дадут побеседовать. Про почту и говорить нечего: два месяца для советской почты это не срок (скажи спасибо, что вообще письмо дошло. Раньше, если письмо отправлялось "просто так", оно могло и не дойти, а "автору-космополиту" грозили неприятности. Двенадцать лет назад автор, разрабатывая компилятор с языка РЯОД, переписывался с двумя специалистами по компиляторам из США, так для каждого письма "туда" тре- бовалась бумага за подписью директора института, не больше ни меньше). Вся эта тюремная обстановка приводит с одной стороны к нашему отстава- нию, а с другой - к отсутствию влияния советского программирования на мировое (чтобы убедиться в этом достаточно пролистать авторский указа- тель трехтомника Д.Кнута). Поэтому участие в конференции представителей восточноевропейских стран это хотя и минимальный, но шаг к преодалению нашей изоляции. На наш тюремный взгляд это можно даже объявить "большой победой" -- вот ведь ездят, хотя знают, что и есть у нас нечего и гос- тинницы у нас "не ахти". Вернемся к выступлению А.Кадлофа. Хотя автор находился близко к док- ладчику, понимать о чем говорит А.Кадлоф было нелегко. К сожалению при- сутствовавшие в зале смогли разобрать лишь отдельные отрывочные фразы, причем не только потому, что степень владения русским языком А.Кадлофом уступала предыдущему докладчику. Низкий темб голоса практически не восп- ринимался из-за плохих акустических качеств малого актового зала КИИГА, в котором проходила конференция. Здесь многие присутствовавшие пожалели об отсутствие тезисов докладов, которые положено раздавать участникам перед началом "приличной" конференции, проходящей где-нибудь в Чикаго. Но в этот момент они находились от Чикаго достаточно далеко. Несмотря на указанные проблемы выступление А.Кадлофа было прослушано с большим вниманием. Впрочем, после окончания выступления вопросов по теме доклада не последовало. Точнее был задан один вопрос касающийся прекращения существования польского журнала Компьютер, что ставит под угрозу и продолжение издания аналогичного советско-польского русскоязыч- ного журнала. Живую реакцию аудитории вызвало выступление Д.Н.Лозинского, который рассказал о возможностях текущей версии Aidstest, "выкусывающей" более 60 вирусов. Слушая его доклад я думал, неужели у нас неизбежно опять бу- дут выброшены на ветер миллионы под видом "государственной программы бо- рьбы с вирусами" (кстати этот процесс уже начался). К сожалению научной номенклатуре выгоднее (именно выгоднее, поскольку в этом случае ей пере- падают "вершки") тратить деньги на оплату сотен ленивых и бездарных "старших научных бездельников" НИИЧАВО АН СССР и НИИЧАВО ГКВТИ СССР, чем финансировать Д.Н.Лозинского, Е.Касперского, Е.Сусликова и других стоя- щих исследователей. Нерушимый "союз неквалифицированного труда и неква- лифицированного управления" у нас существует не только в промышленности и сельском хозяйстве. Суть "номенклатуры" именно в продвижении на более высокие ступени иерархии некомпететентных, поскольку только от них можно добиться требуемой для существования системы собачьей преданности и по- виновения "нижестоящих" "вышестоящим". Вернемся к докладу Д.Н.Лозинского. Докладчик дал краткую характерис- тику новых вирусах, обнаруженных за последнее время, обратив внимание на появление ряда отечественных компьютерных вирусов, которые судя по всему написаны студентами. Интересно отметить, что один из этих вирусов можно рассматривать как посвященный Д.Н.Лозинскому. Касаясь отечественных ви- русов он, в частности, обвинил разработчиков отечественных вирусов в не- компетентности. Вспоминая судьбу хорошо известной фразы из документации Aidstest, которую автор вируса RCE-1600 воспринял как "руководство к действию" и учитывая возможность присутствия в зале разработчиков отече- ственных вирусов, такое обвинение могло быть воспринято кем-то слишком близко к сердцу. По мнению автора, пусть уж разработчики отечественных вирусов подольше остаются на существующем уровне. И так поток вирусов стал настолько интенсивным, что работа по анализу этих пакостей станови- тся достаточно обременительной. После выступления Д.Н.Лозинского часть участников выразила желание получить на раздаваемых дискетах еще и пос- леднюю версию Aidstest, что создало для оргкомитета дополнительные труд- ности, которые, впрочем, были успешно решены: был заключен договор с Д.Н.Лозинским по которому Авиацентр НТТМ приобретал право распростране- ния Aidstest. Вообще стоит сказать, что дискеты с результатами конференции комплек- товались сверхоперативно и некоторые записанные на них программы датиро- ваны предыдущими сутками. Практически все разработчики, участвовавшие в конкурсе привезли новые версии своих программ, которые и были записаны на дискеты. Однако объем информации вырос настолько, что пришлось перей- ти на формат 720К. При этом, естественно количество машин на которых мо- жно выполнять копирование резко уменьшилось, да еще и руководство ВЦ КИ- ИГА нанесло удар в спину, запретив использовать для копирования принад- лежащие ему машины. Поэтому пришлось обратиться за помощью к участникам конференции. Они помогли, однако возникшая суматоха и отсутствие компью- тера при раздаче привела к тому, что некоторые из участников получили две одинаковые дискеты. К счастью таких оказалось немного (порядка 20 человек) и приблизительно половина из них обнаружила этот факт в тот же день и обменяла свои дискеты. Тем не менее "факт имеет место" и автор от имени оргкомитета приносит свои извинения "пострадавшим". Выступление представителя Центрального компьютерной безопасности ВТ ГКВТИ (недавно созданной государственной организации, которой, по-види- мому, будут выделены гос.средства на программу борьбы с вирусами) Влади- мира Александровича Семенова "Вирусная проблематика в контексте задач защиты от несанкционированного доступа" было посвящено общим вопросам защиты информации. Отметив, что, поскольку его организация существует сравнительно недавно и конкретных разработок еще не выполнено, докладчик подчеркнул, что методы и средства предназначенные для предупреждения ис- кажения уничтожения или несанкционированного использования информации могут применяться и для защиты от вирусов. Второе заседание конференции было весьма напряженным. За четыре часа на нем выступили 8 докладчиков из 10 запланированных (не приехали А.Г.Водяник, В.В.Волынский и А.Б.Селивоненко; дополнительно был включен доклад А.Кадлофа) при регламенте 20 минут на доклад. В условиях, когда аудитория проявляет интерес к каждому докладу, эта цифра (8 докладчиков за 4 часа), по-видимому, представляет собой разумный максимум, превыше- ние которой ведет к необходимости преждевременно обрывать ответы на воп- росы или сокращать время, отведенное каждому докладчику. Первый доклад, прочитанный Йосифом Карасиком, касался принципиальной неотличимости вирусов и обычных программ. На примере ОС UNIX автор пока- зал, что вирус пользуется теми же средствами файловой системы, как и обычные программы. Последовавшая за докладом дискуссия показала, что многие участники еще верят в существование "панацеи". В этом контексте стоит дополнительно отметить, что с формальной точки зрения распознава- ние заражена ли данная программа вирусом или нет относится к NP-пробле- мам. Внеплановый доклад "Идентификация компьютерных вирусов" Анджея Кад- лофа привлек внимание, в основном, разработчиков антивирусных программ, поскольку затрагивал достаточно специальные вопросы. Наиболее интересным аспектом выступления была предложенная автором схема различения штаммов вирусов, однако доклад по такой тематике очень сложно воспринимать на слух и лишь немногие из сидевших в зале сумели уследить за ходом изложе- ния. Суть предложения Анджея состоит в создании так называемой схемы ви- руса, обеспечивающей возможность однозначной классификации вируса про- фессиональными исследователями. Эта схема, которая как следует подчерк- нуть, ориентирована только на профессональных исследователей, включает разделение тела вируса на отдельные зоны(области) с определенными свойс- твами. В текущей версии своей классификационной схемы А.Кадлоф выделяет следующие типы областей: W-области - область рабочих областей вируса (изменяющихся от копии к копии), включая области самомодификации, буфера и т.д.; C-области - область постоянных данных, сообщений, музыки и т.д.; V-области - область всегда исполняемого кода; G-области - область мертвого (никогда не исполняемого) кода. Определение блоков автор предлагает вести на зараженной стандартной дрозофиле (или чистой дискеты -- для бутовых вирусов). Разделение тела вируса на указанные типы блоков позволяет создавать частичные контроль- ные суммы постоянных областей (С, V и G), что по замыслу автора обеспе- чивает точную идентификацию любых штаммов вируса. Тем, кто работал с ди- зассемблером Sourcer это напоминает применяемую в нем схему разделения "код-данные" с некоторыми уточнениями. Однако использовать список облас- тей для облегчения дизассемблирования в рамках данного предложения нель- зя, покольку, например, W-области включают как данные, так и исполняемый код. Этот недостаток можно устранить введением дополнительных квалифика- торов, что, впрочем, усложнит схему. В то же время с точки зрения клас- сификации методом частичных контрольных сумм предложенное разделение из- быточно -- достаточно бинарного разделения типа "изменяемые области" - "неизменяемые области". Как отмечает сам автор метод неприменим к виру- сам, шифрующим свое тело (получается одна сплошная W-область), хотя в простейших случаях "сплошной" шифровки тела вируса (RC-1701), классифи- кацию можно вести на коде, полученном после его расшифровки. Мне кажет- ся, что метод классификации с помощью "частичных контрольных сумм", впо- лне работоспособен для большинства нешифрующих свое тело вирусов, а их, в настоящее время, большинство. В то же время детали метода несомненно нуждаются в уточнении. Практическую направленность носили доклады Евгения Касперского, и Дмитрия Кохманюка, посвященных методике работы с конкретными инструмен- тальными средствами вирусолога. Приемы работы с ними и некоторые тонкие возможности вызвали большой интерес участников, владеющих языком ассемб- лера. Остается лишь сожалеть об отсутствии доклада, посвященного отлад- чику Periscope. Можно сделать вывод, что как дизассемблер Sourcer, так и отладчик Quaid Analizer являются профессиональными инструментами вирусо- лога и уровень владения ними во многом определяет производительность труда вирусолога. В ходе дискуссии были предложены дополнительные приемы использование указанных средств, а также инструментальные средства повы- шающие эффективность их использования (обработчик листинга Sourсer, воз- можность использования ME совместно с Sourcer, как своего рода интегри- рованной среды и др.). К сожалению предновогодний цейтнот не дает возмо- жности привести все высказанные идеи и замечания, однако совершенно яс- но, что доклады данной тематике должны быть представлены на следующей конференции более широко. Автор надеется обобщить всю имеющуюся по дан- ным вопросам информацию и систематически изложить ее во второй части своей работы "Компьютерная вирусология". В докладе М.Ю.Круковского и др. был дан анализ структуры бутовых ви- русов. Содержание доклада во многом перекликалось с работами Игоря Сви- ридова (AVB), Яниса Гринберга (SYSTEST) и Александра Сессы (VITAMINB), однако стиль изложения почему-то акцентировал личный вклад авторов. Я вполне допускаю, что все изложенные в докладе выводы получены авторами самостоятельно, однако игнорирование близких работ, некоторые из которых были опубликованы в бюллетене СОФТПАНОРАМА еще летом (AVB И.Свиридова), несколько снизило впечатление от доклада и настроило против его авторов. Кроме того отсутствие реализации переводило докладчика в несколько дру- гой класс по сравнению с упомянутыми выше авторами. Удачно вписался в заседание несколько "притянутый за уши" доклад Игоря Свиридова о роли BBS в борьбе с вирусами. Основное значение этого доклада состояло в том, что многие участники ранее знавшие о BBS лишь понаслышке получили массу интересной информации из первых рук. Я не буду пересказывать основные положения доклада, тем более, что ноябрьский вы- пуск СОФТПАНОРАМЫ целиком посвящен теме BBS. Мне хочется лишь еще раз отметить, что применительно к борьбе с вирусами BBS позволяют передать для анализа файл, получить результаты и разослать уведомление всем або- нентам в течении суток, что существенно сокращает время незамеченного распространения нового вируса. Тем самым снижается опасность достижения количества зараженных программ "критической массы", после которой можно говорить об эпидемии. Отсутствие "цивилизованных" оперативных каналов информации приводит к распространению различных слухов. Например сейчас распространяется масса слухов о стелс-вирусах. Поэтому в планах создания Киевской BBS предусматривается и создание "центра оперативного реагирования" по ком- пьютерным вирусам. Доклад Михаила Цала примечателен тем, что посредине доклада "выруби- лся" свет и часть доклада проходила "в темную". В темноте докладчику не удалось определить современный уровень написания вирусов, что впрочем неудивительно, так как для характеристики последнего больше всего подхо- дит слово "разный". Следует также отметить, что концепция "непрерывного усложнения" компьютерных вирусов, которую сейчас многие пытаются пропо- ведовать, стремясь запугать пользователей, при детальном разборе не вы- держивает никакой критики. Как показывает опыт, "качество" кода вируса не играет такой уж определяющей роли в его распространенности. Это лишь один из факторов. Достаточно вспомнить RCE-1813 (Иерусалимский вирус) -- достаточно примитивный вирус, который, тем не менее и сейчас является, пожалуй, наиболее распространенным файловым вирусом в мире. Другим заб- луждением докладчика является его вера в возможность создания "панацеи" против любого вируса. Этот вопрос уже затрагивался применительно к док- ладу И.Карасика и я не буду останавливаться на нем подробнее. Используя данные классификационных таблиц пятой редакции "Компьютер- ной вирусологии" (от 20.09.90) и " Virus Summary List" Патриции Хоффман, опубликованной в сентябрьской СОФТПАНОРАМЕ Сергей Сотников показал, что их количество до настоящего времени растет экспотенциально. Так, в 1986 году было зарегестрировано 2 вируса, в 1987 году эта цифра поднялась до 8, в 1988 - 24, 1989 - 49, а на момент начала конференции - 75, причем основная масса (по его подсчетам 52, т.е. больше половины) появились в последние месяцы. В этой связи мне хочется пояснить понятие "вирусного взрыва" которое сейчас стало модным клише. Дело в том, что всякий про- цесс, развитие которого происходит по экспотенциальному закону с матема- тической точки зрения можно назвать "взрывом". Однако количество вирусов не следует путать с количеством зараженных ими программ (что сделал док- ладчик). Дело в том, что многие вирусы обнаружены на одной двух програм- мах и существуют только в "коллекциях" вирусологов (которых в этом смыс- ле можно считать основными вирусоносителями). Поэтому следует различать динамику разработки вирусов и динамику их распространения. Это далеко не одно и то же. Кстати взрыв может быть не таким уж страшным. Например, если количество чего-то удваивается каждые 50 лет, то с математической точки зрения это тоже взрыв, хотя в течении жизни одного поколения он не заметен. Если говорить о динамике разработки вирусов, то здесь безусловно мы имеем дело с процессом, аппроксимирующимся экспотенциальным законом, т.е. со взрывом. А вот динамика случаев заражения или изменения количес- тва зараженности программ подчиняется более сложным законам вряд ли но- сящим экспотенциальный характер, что докладчик, к сожалению, не отметил, и что привело к некоторой путанице. Однако запугивать себя и других ог- ромным количеством вирусов не стоит: причин для самоизоляции не было ра- ньше и нет сейчас. Достаточно посмотреть таблицы Компьютерной вирусоло- гии, где приведена оценка распространенности того или иного вируса -- распространение большинства известных вирусов было подавлено в самом на- чале, до достижения ими критической массы зараженных программ, поэтому они представляют собой лишь потенциальную угрозу, как например имеется потенциальная угроза заразиться холерой, малярией или другими эпидемиче- скими инфекциями. Как я уже отмечал в "Компьютерной вирусологии, лишь десятка два вирусов из каждой сотни разработанных вызывали случаи массо- вого заражения программ (т.е. распространенность 20 вирусов из каждых ста оценивается цифрами 4 или 5 по шкале, принятой в "Компьютерной виру- сологии"). Вообще говоря, для количества зараженных программ имеют место мате- матические закономерности, характерные для эпидемий: т.е. динамика расп- ространения является результатом наложения нескольких случайных процес- сов, каждый из которых имеет начальный восходящий участок, пик и резкий спад. Кроме того необходимо учитывать все большую распространенность и быстрое совершенствование средств защиты, а также повышения (в том числе и за счет проведения данной конференции) уровня осведомленности пользо- вателей. В общем, хотя быстрый рост количества компьютерных вирусов это тревожный симптом, следует трезво оценивать опасность: переоценка так же опасна как и недооценка. Сообщением Сергея Сотникова второе заседание было закончено. К сожа- лению автор не смог присутствовать на всех заседаниях, поскольку обязан- ности председателя оргкомитета и компоновка дискет для участников заби- рали значительную часть времени. Возможно в новом году цейтнот ослабнет и я смогу дать обзор других заседаний в январском номере бюллетеня. Тру- ды конференции планируется выпустить в виде сборника, однако какие-то конкретные шаги автор планирует предпринять только после издания Компью- терной вирусологии, которое, конечно, слишком уж затянулась (как я уже отмечал, очередной "контрольный строк" выхода книги -- февраль 1991 г.). Несколько слов о содержании этого номера бюллетеня. Для того, чтобы читатели, которым еще не удалось поработать с модемом, получили предста- вление об электронной почте, в номер включены некоторые из оказавшихся доступными автору сообщений электронной конференции FIDO по вирусам. В связи с тем, что раздел ANTIVIR данного номера посвящен исключительно конференции ANTIVIR90, новые версии детектора SCAN и очень удачный дете- ктор TBSCAN помещены в раздел SHAREWARE. Отметим, что сама программа TBSCAN распространяется как FREEWARE, а только ее резидентный вариант TBSCANX как SHAREWARE. 5.12.90 С уважением Н.Н.Безруков