Клерк монотонно виконує свою роботу день за днем і раптом недоброзичливець вкладає йому в теку ще один лист з додатковими інструкціями. У них клеркові пропонується скопіювати цей лист на копіювальній машині і вкласти його в наступну теку. З часом такий лист пошириться по теках і врешті-решт, його копія знаходитиметься в кожній теці.

Окрім інструкцій, що відповідають за поширення, додатковий лист може містити інші інструкції. Наприклад, в них може вказуватися, що клерк повинен знищити теку, узяту навмання з шафи з документами або переказати деяку суму на певний рахунок у банку.

Тепер уявіть, що роботу клерка виконує центральний процесор. Шафа з теками документів - це жорсткий диск комп'ютера. Самі теки - це файли програм, записані на диску. В цьому випадку додатковий лист, підкинутий кимось в одну з тек, досить точно відповідає комп'ютерному вірусу.

Найбільш загальне визначення комп'ютерного вірусу можна дати як що самораспространяющийся в інформаційному середовищі комп'ютерів програмний код. Він може впроваджуватися в здійснимі файли програм, поширюватися через завантажувальні сектори дискет і жорстких дисків.

Існують досить оригінальні віруси, що поширюються через файли документів, підготовлених в текстовому процесорі Microsoft Word for Windows і електронній таблиці Microsoft Excel for Windows. Окрім перерахованих вірусів існують і інші, наприклад, віруси, що заражають командні файли - файли з розширенням BAT. Прогрес у світі вірусів не стоїть на місці, десятки, якщо не сотні нудьгуючих програмістів роблять свою чорну справу і на світ з'являються усе більш страшні монстри.

На жаль, дія більшості вірусів не обмежується розмноженням і поширенням. Вони можуть виконувати відносно безпечні чи навпроти, руйнівні дії.

Зовні дії вірусів можуть виражатися в тому, що періодично, наприклад, після досягнення певного часу, вірус активізується і виконує які-небудь операції. Віруси можуть виводити на екран сторонні написи, "обсипати" символи, вже відображені на екрані, перезавантажувати комп'ютер, уповільнювати роботу комп'ютера, виконувати на вбудованому динаміці комп'ютера всілякі мелодії, видаляти файли і каталоги, стирати вибрані випадковим чином сектори жорстких і гнучких дисків.

Існують віруси, що роблять "корисну" роботу. Наприклад, один з вірусів, що вражають файли програм, одночасно стискає їх, зменшуючи розмір. Завдяки цьому на диску комп'ютера стає більше вільного місця. Такий вірус виконує функції широко поширеною програми DIET, але робить це автоматично, не запитуючи на те дозволу у користувача.

Можна придумати багато іншої корисної роботи, яка під силу вірусам. Проте ми не станемо віднімати хліб у письменників вірусів, скажімо тільки, що навіть "корисні" віруси можуть бути дуже небезпечні.

Деякі ефекти, що викликаються вірусами, наприклад, раптова перезавантаження комп'ютера або зависання, часто сприймаються як апаратна несправність комп'ютера. На це і розраховують письменники вірусів. Дійсно, причиною цьому може послужити апаратна несправність комп'ютера.

Проте не квапитеся викликати технічних фахівців або самостійно відкривати комп'ютер. Спочатку виконаєте повну діагностику комп'ютера, скориставшись усіма антивірусними засобами, якими ви розташовуєте.

Нині налічуються тисячі різних вірусів і їх модифікацій. Ми класифікуватимемо їх за способом поширення. Переважну більшість вірусів можна розділити на дві великі групи:

• віруси, що впроваджуються у файли
• віруси, що заражають завантажувальні сектори жорстких і гнучких дисків.

Існує багато вірусів, які одночасно можна включити в обидві ці групи. Такі віруси є комбінованими. Вони можуть поширюватися, заражаючи файли і завантажувальні сектори дисків.

Резидентні і нерезидентні віруси

Операційна система MS - DOS є однозадачною. У будь-який момент часу може працювати тільки одна програма. Коли користувач закінчить з нею працювати, програма вивантажується з оперативної пам'яті і користувач може запустити нову програму. Природно, це не завжди зручно. Наприклад, якщо ви пишете в текстовому редакторові фінансовий звіт, вам може потрібно калькулятор. Дуже незручно для запуску калькулятора кожного разу завершувати текстовий редактор, а потім запускати його знову.

Щоб якось пом'якшити незручності, викликані однозадачностью MS - DOS, був створений механізм резидентних програм. При запуску резидентної програми вона відразу повертає управління операційній системі, але залишає в оперативній пам'яті резидентний модуль.

Навіть якщо потім запускаються інші програми цей модуль залишається в пам'яті. Потім, коли користувач натискає певну комбінацію клавіш або за іншої умови резидентна програма може активізуватися і виконати деяку роботу.

Як приклад можна привести програми резидентних калькуляторів. Вони можуть бути завантажені з командного рядка операційної системи або з файлу AUTOEXEC.BAT і залишаються резидентними в пам'яті. Якщо користувач натискає певну комбінацію клавіш, на екрані з'являється панель калькулятора. Користувач може виконати будь-які обчислення і повернутися у свою програму. Резидентні програми можуть виконувати і інші дії. Наприклад, вони можуть виконувати функції будильника.

Механізм резидентних програм, передбачений для суто мирних цілей, був використаний авторами вірусів. Звичайні, нерезидентні віруси отримують управління і стають активними тільки під час запуску зараженої програми. Після запуску вірусом справжньої програми, він остаточно втрачає управління, до тих пір, поки заражена програма знову не буде запущена. За цей невеликий час вірус повинен заразити інші програми і виконати закладені в нього автором додаткові функції.

Резидентний вірус, отримавши управління, залишає в оперативній пам'яті комп'ютера невеликий модуль, який залишається активним аж до перезавантаження комп'ютера. Резидентний модуль вірусу може використовуватися для вирішення найрізноманітніших завдань.

Зазвичай він застосовується для зараження нових програм. Резидентний модуль відстежує запуск або відкриття файлів програм, перевіряє, чи не були вони вже заражені, і якщо ні, то заражає їх.

Цікаво, що якщо на комп'ютері, зараженому резидентним вірусом, що вражає здійснимі файли при їх відкритті, запустити антивірусну програму, яка не може визначити цей вірус, то після закінчення перевірки виявляться зараженими усі здійснимі файли, що перевіряються.

Деякі різновиди вірусів, що називаються стелс-вирусами, використовують резидентний модуль, щоб замаскувати свою присутність. Вони можуть перехоплювати звернення до файлової системи і приховувати зміну довжини заражених файлів. Детальніше про стелс-вирусах ви можете прочитати в розділі "Маскування вірусів".

І, звичайно, резидентний модуль використовується для створення всіляких спецефектів. Тут усе залежить від фантазії і знань, якими володіє автор вірусу. Ті, хто простіше, можуть зіпсувати дані, записувані на диск, уповільнити роботу комп'ютера. Вишуканіші в програмуванні і менш злісні автори створюють всілякі відеоефекти і звукові композиції.

Будь-яка резидентна програма, і у тому числі резидентні модулі вірусів, зменшують об'єм доступної оперативної пам'яті. Ця зміна можна помітити за допомогою команди MEM, що входить до складу операційної системи MS - DOS.

Команда MEM відображає інформацію про використання оперативній пам'яті комп'ютера. За допомогою її можна дізнатися, скільки оперативною пам'яті встановлено на комп'ютері, скільки пам'яті зайнята і скільки вільно для використання:

Memory Type Total Used Free

Conventional 640K 204K 436K
Upper 0K 0K 0K
Reserved 384K 384K 0K
Extended (XMS) 15 360K 14 336K 1 024K

Total memory 16 384K 14 924K 1 460K

Total under 1 MB 640K 204K 436K

Total Expanded (EMS) 1 024K (1 048 576 bytes)
Free Expanded (EMS) 1 024K (1 048 576 bytes)

Largest executable program size 436K (446 256 bytes)
Largest free upper memory block 0K (0 bytes)
MS - DOS is resident in the high memory area.

Команда MEM дозволяє детально досліджувати резидентні модулі, завантажені в пам'ять. Для цього при виклику команди їй потрібно вказати додаткові параметри. Детальний опис команди MEM викладений в десятому томі "Бібліотеки системного програміста" - "Комп'ютер IBM PC/AT, MS - DOS і Windows. Питання і відповіді". ‡Тут ми приведемо тільки основні відомості.

MEM [/CLASSIFY | /DEBUG] [/PAGE]

Якщо вказати додатковий параметр /CLASSIFY (чи /C), то буде представлена інформація по кожному резидентному модулю, розміщеному в оперативній пам'яті.

Замість параметра /CLASSIFY можна вказати параметр /DEBUG (чи /D). В цьому випадку буде зібрана додаткова інформація о завантажених драйверах.

Команда MEM виводить на екран дуже багато інформації. Оскільки екран комп'ютера може одночасно відображати обмежену кількість рядків, те виконується свертка зображення. Додатковий параметр /PAGE (чи /P) дозволяє після заповнення чергового екрану витримувати паузу.

Віруси можуть залишати в оперативній пам'яті резидентні модулі. Фактично усі завантажувальні віруси і більшість файлових вірусів є резидентними.

Резидентні модулі вірусу можуть утруднити його виявлення і видалення. Щоб не дати вірусу шанс отримати управління і залишити резидентний модуль в пам'яті, рекомендується для перевірки комп'ютера виконувати завантаження чистої системної дискети.

Віруси в завантажувальних секторах дисків

Відразу після включення живлення комп'ютера починає працювати процедура перевірки POST (Power On Self Test). В ході перевірки визначається конфігурація комп'ютера, перевіряється працездатність основних його підсистем. Процедура POST записана в мікросхемі постійного, що запам'ятовує пристрою, розташованого на системній платі комп'ютера.

Якщо комп'ютер має енергонезалежну пам'ять (CMOS -память)з неї прочитуються значення поточної дати і часу, конфігурація дискової підсистеми. Помітимо, що CMOS -память встановлена практично на усіх комп'ютерах. Вона була відсутня тільки на перших моделях комп'ютерів IBM PC і IBM PC/XT.

Потім процедура POST перевіряє, чи вставлена дискета в дисковод A :. Якщо дискета вставлена, тоді подальше завантаження операційною системи відбувається з дискети. Якщо дискета не вставлена, завантаження виконується з жорсткого диска.

Практично усі сучасні системні плати і версії програми Setup дозволяють змінити порядок завантаження комп'ютера. Наприклад, ви можете вказати, що комп'ютер відразу повинен завантажуватися з жорсткого диска і тільки у разі відсутності жорсткого диска завантаження виконуватиметься з дискети.

Послідовність завантаження операційної системи MSDOSз дискети і з жорсткого диска трохи розрізняються. Ми опишемо обидва випадки, оскільки це важливо для розуміння механізму поширення завантажувальних вірусів.

{tab Спосіб 1}

Завантаження комп'ютера з системної дискети

Якщо завантаження комп'ютера відбувається з дискети, то процедура POST прочитує з неї завантажувальний запис (Boot Record) в оперативну пам'ять. Ця запис завжди розташований в найпершому секторі дискети і є маленьку програму. Окрім програми завантажувальний запис містить структуру даних, що визначає формат дискети і т. д. Потім процедура POST передає управління завантажувального запису.

Отримавши управління, завантажувальний запис приступає безпосередньо до завантаження операційної системи. Вона прочитує з дискети і завантажує в оперативну пам'ять файли IO.SYS і MSDOS.SYS. Для операцилнных систем, сумісних з MSDOS ці імена можуть відрізнятися. Наприклад в операційній системі IBMPCDOSзавантажуються файли IBMIOCOMIBMSYSCOM

Потім, якщо на дискеті записаний файл конфігурації CONFIG.SYS, аналізується його вміст і завантажуються вказані в нім драйвери.

Після цього з дискети прочитується командний процесор COMMAND.COM і управління передається йому. Командний процесор завершує завантаження операційної системи і виконує команди, записані у файлі AUTOEXEC.BAT.

Після виконання команд, записаних у файлі AUTOEXEC.BAT, командний процесор відображає на екрані системне запрошення і чекає введення команд:

A:\>

Файли CONFIG.SYS і AUTOEXEC.BAT можуть бути відсутніми. Якщо відсутній файл AUTOEXEC.BAT, тоді після закінчення завантаження операційною системи командний процесор пропонує ввести поточну дату і час :

Current date is Fri 15-04-1996
Enter new date (mm - dd - yy) :

Current time is 2:28:33.47p
Enter new time:

Якщо ви не бажаєте змінювати дату і час, натисніть два разу клавішу <Enter>. В цьому випадку дата і час залишаться без зміни, і на екрані з'явиться системне запрошення MS - DOS. Ви можете створити на системній дискеті порожній файл AUTOEXEC.BAT, тоді дата і час проситися не будуть і після завантаження операційної системи на екрані відразу з'явиться системне запрошення.

{tab Спосіб 2}

Завантаження комп'ютера з несистемної дискети

Ми розглянули варіант завантаження комп'ютера з системною дискети. Можливий варіант, при якому користувач випадково або помилково спробує завантажити комп'ютер з несистемної дискети. На такій дискеті відсутні файли операційної системи IO.SYS, MSDOS.SYS і COMMAND.COM. Тим не менш, завантажувальний запис є присутнім навіть на несистемній дискеті.

Коли процедура POST прочитує і передає управління завантажувальному запису, вона визначає, що дискета несистемна (оскільки на ній відсутні файли операційної системи) і відображає на екрані що відповідає повідомлення:

Non - System disk or disk error
Replace and press any key when ready

В деяких випадках повідомлення може мати інший зовнішній вигляд:

This disk is not bootable

If you wish to make it bootable
run the DOS program SYS after the
system has been loaded

Please insert a DOS diskette into
the drive and strike any key...

Ці повідомлення означають, що дискета не містить необхідних файлів і завантажити операційну систему з неї неможливо. Вам пропонується вставити в комп'ютер системну дискету і перезавантажити комп'ютер. Завантажувальний вірус може поширюватися як через системні, так і через несистемні дискети

{tab Спосіб 3}

Завантаження комп'ютера з жорсткого диска

Завантаження комп'ютера з жорсткого диска відбувається декілька складніше. Процедура POST прочитує з жорсткого диска головний завантажувальний запис (MBR - Master Boot Record) і записує її в оперативну пам'ять комп'ютера. Головний завантажувальний запис містить програму первинного завантаження і таблицю розділів, в якій описані усі розділи жорсткого диска.

Формування головного завантажувального запису і таблиці розділів відбувається під час первинної установки комп'ютера і розділення його жорстких дисків на розділи і логічні диски. Зазвичай цю операцію роблять один раз, використовуючи для цього команду FDISK операційної системи MS - DOS.

Головний завантажувальний запис зберігається в найпершому секторі жорсткого диска. Тому процедура POST завжди знає, де вона розташована.

Потім управління передається тільки що прочитаній з диска програмі первинного завантаження. Вона аналізує вміст таблиці розділів, вибирає активний розділ і прочитує завантажувальний запис активного розділу (Boot Record). Завантажувальний запис активного розділу аналогічний завантажувальному запису системної дискети і виконує ті ж самі функції. Вона прочитує в оперативну пам'ять файли IO.SYS і MSDOS.SYS, аналізує файл конфігурації CONFIG.SYS, записаний на диску активного розділу, і завантажує вказані в нім драйвери. Після цього управління передається командному процесору COMMAND.COM. Командний процесор завершує завантаження операційної системи, а потім виконує команди, записані у файлі AUTOEXEC.BAT.{/tabs}

Як працює завантажувальний вірус

При зараженні дискети або жорсткого диска комп'ютера завантажувальним вірусом, останній замінює завантажувальний запис або головна завантажувальний запис. Справжній завантажувальний запис або головний завантажувальний запис зазвичай не пропадає (деякі віруси не зберігають початкової завантажувальної записи). Вірус копіює їх в один з вільних секторів (мал. 1.1).

Таким чином, вірус отримує управління відразу після завершення процедури POST. Потім він, як правило, діє по стандартному алгоритму. Вірус копіює себе в кінець оперативної пам'яті, зменшуючи при цьому об'єм вільної оперативної пам'яті. Після цього він перехоплює декілька функцій BIOS, так що звернення до них передає управління вірусу. У кінці вірус завантажує в оперативну пам'ять комп'ютера справжній завантажувальний сектор і передає йому управління. Далі комп'ютер завантажується як завжди, але вірус вже знаходиться в пам'яті і може контролювати роботу усіх програм і драйверів.

Мал. 1.1. Завантажувальний вірус

Зазвичай завантажувальний вірус заражає комп'ютер, коли користувач завантажує комп'ютер з дискети, на якій вже є вірус (зовні залежності від того системна ця дискета або ні). Найчастіше це відбувається випадково. Ви працюєте з дискетою і залишаєте її в дисководі A: комп'ютера. Якщо тепер ви перезавантажите комп'ютер або станеться збій роботи комп'ютера із-за стрибка живлення, то завантаження комп'ютера розпочинається із зараженого дискети і управління отримує вірус. Він відразу заражає жорсткий диск комп'ютера, встановлює себе резидентним в пам'яті. Потім вірус завантажує комп'ютер звичайним способом. Якщо дискета завантажувальна, то станеться завантаження операційною системи, інакше на екрані з'являється пропозиція вставити в дисковод A: системну дискету і перезавантажити комп'ютер.

Тепер навіть після перезавантаження комп'ютера з жорсткого диска шляхом виключення живлення видалити вірус не можна, оскільки він вже записаний на жорсткому диску. Відразу після включення живлення комп'ютера вірус знову отримає управління і розмістить себе резидентний в пам'яті.

Подальше поширення залежить від особливостей вірусу. Зазвичай застосовується проста схема. Якщо ви вставите в дисковод дискету, не заражену вірусом, і звернетеся до неї, наприклад, щоб рахувати назви записаних на ній файлів, вірус отримує сигнал, що дискета вставлена в дисковод. Вірус прочитує завантажувальний запис з дискети і записує його в який-небудь інший сектор дискети. Замість оригінального завантажувального запису записується код вірусу.

Цікавий ефект виходить, якщо дискета або диск послідовно заражені декількома завантажувальними вірусами. Залежно від того, які сектори ці віруси використовують для зберігання сьогодення завантажувального сектори, можливі два випадки.

У першому випадку, коли віруси використовують різні сектори, вони працюватимуть разом. Спочатку отримує управління вірус, що заразив дискету останнім. Він виконує свою роботу і завантажує другий вірус, який заразив дискету раніше. В принципі такий ланцюжок вірусів може бути достатній довгою. Останній вірус, який отримає таким чином управління, у кінці кінців завантажить справжній завантажувальний сектор.

Зазвичай перед зараженням диска (чи дискети), завантажувальні віруси перевіряють, чи був він заражений раніше. Тому повторне зараження одним вірусом не відбувається. Якщо ж після зараження диска одним вірусом, його заразить інший завантажувальний вірус, то перший вірус порахує, що він не заражав диск раніше і заразить його ще раз. В результаті може загубитися початкова завантажувальний запис і комп'ютер зависне під час завантаження.

У другому випадку віруси, що заразили дискету, зберігають справжній завантажувальний сектор в одному і тому ж місці. Коли другий вірус заражає дискету, він записує код першого вірусу в сектор, де перший вірус зберігає справжній завантажувальний запис. В результаті початковий завантажувальний запис виявляється безповоротно загубленою, а комп'ютер зависає: другий вірус буде знову і знову прочитувати і запускати свій вірусний код.

{tab Вірус Ball}

Вірус Ball

Перший раз ми зіткнулися з вірусами багато років тому, ще будучи студентами московського інженерного фізичного інституту. У той час персональні комп'ютери ще тільки почали з'являтися і були великою рідкістю. Наша кафедра знімала декілька годин машинного часу в тиждень в одному науковому інституті.

І ось одного прекрасного дня на екрані комп'ютера з'явився невелика кулька. Він переміщався по екрану, відбиваючись від його меж і деяких символів. Перший час ми були в жахливій паніці, думаючи що зіпсували дорогий комп'ютер IBM PC/XT і усе його програмне забезпечення.

Після перезавантаження кулька зникала і ми сподівалися, що дефект пропаде сам собою. Тільки через декілька днів ми вирішили сказати про це місцевим інженерам. Вони прореагували дуже спокійно, повідомивши нас, що це комп'ютерний вірус Ping Pong, що живе на їх комп'ютерах дуже давно.

Для боротьби з вірусом використали спеціальну антивірусну програму SCAN фірми McAfee. Вона легко знаходила вірус на дискетах і жорстких дисках комп'ютерів, а потім видаляла його. Після такої процедури вірус довгий час не з'являвся і деякий час ми жили спокійно.

Проте окрім нас машинний час знімали багато інших організацій і кожен приходив працювати зі своїми дискетами, тому вірус кочував з дискети на дискету. Вилікувати його було практично неможливо, оскільки дуже складно було змусити усіх користувачів перевірити усі свої дискети.

Згодом з'ясувалося, що вірус Ping Pong, він же вірус Ball, поширювався через завантажувальні сектори дискет і дисків. Оригінальний завантажувальний сектор записується на вільне місце. Відповідний сектор позначається як зіпсований (Bad cluster). Зіпсований кластер декілька зменшував доступний розмір дисків і дискет, але ми списували це на їх низьке якість.

{tab Вірус Stoned}

Вірус Stoned

Другий вірус, з яким ми зіткнулися, також виявився завантажувальним. Антивірусні програми розпізнавали його як вірус Stoned. Він дістав цю назву через те, що під час завантаження операційної системи на екрані іноді з'являється напис "Your PC is now Stoned"!. Ми трохи зупинимося на цьому вірусі, оскільки він має дуже багато модифікацій. Налічується велика кількість вірусів, для яких він послужив прототипом.

Вірус досить легко пізнається візуально. На дискетах він записує себе на місце завантажувального запису, а на жорстких дисках - на місце головному завантажувальному запису. Якщо ви проглянете відповідні сектори у будь-кому редакторові, наприклад Norton Disk Editor, ви побачите написи "Your PC is now Stoned"! і "LEGALISE MARIJUANA"!. Як користуватися програмою Norton Disk Editor, ви дізнаєтеся з шостої глави нашої книги.

Коли вірус Stoned з'явився вперше, ми вивчали мову асемблера і особливості архітектури персональних комп'ютерів, сумісних з IBM PC. Тому ми повністю дизасемблювали код вірусу і детально його вивчили.

На дискетах початковий завантажувальний запис копіюється в третій сектор на першій стороні нульової доріжки. Для дискет з об'ємом 360 Кбайт цей сектор доводиться на останній сектор кореневого каталогу.

При зараженні жорсткого диска початкова головна завантажувальна запис копіюється в інше місце. Вона розміщується в сьомому секторі на нульовий стороні нульової доріжки. Цей сектор зазвичай не використовується і залишається вільним.

Деякі завантажувальні віруси, що не використовують методи маскування (які будуть описані нижче) можуть бути легко виявлені переглядом завантажувального сектора. Як виглядає завантажувальний запис дискети, створеної засобами операційної системи MSDOSверсії 5.0, в редакторові Disk Editor з пакету Norton Utilities ви можете подивитися на малюнку 1.2.

Мал. 1.2. Завантажувальний запис

Завантажувальний запис на ваших дискетах і жорстких дисках може відрізнятися від приведеної нами. Це залежить як від версії операційної системи, використовуваною при форматуванні диска, так і від деяких інших параметрів.

Якщо вірус заразить завантажувальний запис, він, природно, змінить її. У багатьох випадках така зміна помітно неозброєним поглядом. На малюнку 1.3 ми привели зовнішній вигляд завантажувального сектора дискети, зараженої вірусом Form.

Мал. 1.3. Вірус Form в завантажувальному записі

На жаль, не усі завантажувальні віруси можна так легко розпізнати. Активні завантажувальні віруси, що використовують різні механізми маскування, можуть обманювати Disk Editor. Наприклад, такі віруси можуть перехоплювати звернення Disk Editor до першого сектора жорстких дисків і дискет, підміняючи цей сектор копією оригінального першого сектора (копія першого сектора створюється вірусом у момент зараження диска). В цьому випадку зміна завантажувального сектора не буде помітно.