ПРИЛОЖЕНИЕ
5. Каталог компьютерных вирусов
Сведения обо всех известных вирусах сведены в
табл.
П5.1.
Мы не ставили перед
собой целью рассмотрение технических деталей, необходимых специалистам по
компьютерным вирусам, а именно: способа заражения среды обитания, внутренней
структуры вируса, номеров перечитываемых прерываний, способа выбора жертвы и
т.п. Вместо этого каждый вирус рассматривается как черный ящик
и обсуждаются лишь те его
внешние свойства,
знание которых способствует установлению факта заражения, помогает
идентифицировать вирус и позволяет определить степень грозящей пользователю
опасности. Наряду с этим перечисляются антивирусные средства, обеспечивающие
обнаружение и нейтрализацию того или иного вируса
Вирусы описываются в алфавитном порядке их наименований. Многие вирусы
имеют несколько наименований. В качестве основных названий мы выбрали те,
которые приводятся в списке
VIRUST.TXT, поставляемом в
составе пакета фирмы
McAfee
Associates. В скобках дается перевод наименований, если он имеет
смысл и автору удалось его сделать. Иногда через символ / приводятся
двойные названия вирусов. Альтернативные названия переделяются нами в графе
«Синонимы» наряду с наименованиями конкретных штаммов.
Известный отечественный специалист по компьютерным вирусам Безруков
Н.Н. предложил систему формализованного именования вирусов на основе их
свойств, но на наш взгляд, она не решает проблему неоднозначности названий, в
результате чего в принципе не исключается присваивание двум различным вирусам одного
и того же имени. Само же формальное название запоминается гораздо труднее, чем
неформальное. По этим причинам мы не стали придерживаться его системы.
Штаммами одного вируса считаются те программы, которые
имеют сходные свойства,
а также
обнаруживаются и нейтрализуются одинаково.
Количество имеющихся штаммов вируса указывается в колонке «Число
штаммов».
В графе «Происхождение» содержатся сведения о стране, в которой вирус
создан, а также год его обнаружения.
В столбце «Длина» указывается эффективная длина тела базового штамма
вируса
я
байт, т.е. разница
длин инфицированного и идентифицированных файлов. Естественно, эффективная
длина тела вируса может не совпадать с реальной, если
вирус использует «хитроумный» способ заражения. Длина штаммов вируса может быть
различной. В этом же столбце наряду с числом можно встретить такие обозначения:
—
— вирус не является файловым, а
поэтому понятие эффективной длины к нему неприменимо;
N
—
вирус не изменяет (Not
change) длину файла, записываясь в область стека
или, что встречается чаще, — в свободную часть последнего кластера, занимаемого
файлом;
0
— вирус заменяет (Overwrites) начало файла и поэтому не изменяет его длину. Это означает, что файл
не может быть восстановлен.
В графе «Симптомы» описываются внешние проявления вируса (в том числе
результаты выполнения деструктивных действий), которые пользователь может
заметить при помощи средств
DOS
или различных утилит. Мы не стали явно отмечать увеличение длины
файлов, что ясно из значения, проставленного в предыдущем столбце многие вирусы
содержат специфичные текстовые строки, которые тем не
менее приводятся только в крайних случаях, т.е. тогда, когда другие симптомы
отсутствуют.-
В колонке «Среда обитания» используются следующие обозначения:
1
—
файл
COMMAND.COM (command
Interpreter);
С
—
СОМ-файлы;
Е
—
ЕХЕ-файлы;
О
— оверлейные (Overlay) файлы;
F
—
BR
.дискеты (Floppy);
В
—
BR
системного логического диска на винчестере;
М
—
MBR
жесткого диска.
В графе «Способ активизации» может указываться:
N
—
вирус нерезидентен (Non-resident);
R
— вирус является резидентным (Resident).
В колонке «Деструктивные действия» применены нижеперечисленные
обозначения:
—
—
деструктивные действия отсутствуют;
О
—
влияние на работу (Operation) ПЭВМ, т.е. наличие звуковых, визуальных или
других эффектов;
Р
— восстанавливаемое или
невосстанавливаемое искажение (разрушение) программных {Program), в том числе
оверлейных файлов;
D
—
искажение (разрушение) файлов с данными (Data);
F
—
форматирование (Format) диска или замена информации на диске, возможно, частичная; 8 — искажение (разрушение)
BR
или
MBR;
L
— разрушение информации о
связности (Linkage) файлов, т.е. обычно — искажение
FAT.
В
колонке «Способ
маскировки» использованы такие сокращения:
N
— маскировка не применяется;
Е
—
применяется самошифрование (self-Encryption);
S
— применяется Стелс-техника (Stealth).
Детекторы выбираются из двух приведенных:
S
— ViruScan;
А
—
AIDSTEST
Дезинфекторы обозначаются так:
С
—
Clean-Up;
М
―M-DISK;
А
—
AIDSTEST.
В
некоторых полях
таблицы указано н/д,
если мы не располагаем соответствующими сведениями, иди ?, если соответствующие
данные
неизвестны вообще.
Наиболее опасными вирусами, наличие которых в памяти всегда по
умолчанию проверяет
детектор
ViruScan, являются следующие;
512, 1253, 1559,
3445, 4096,
8
Tunes,
Anthrax,
Brain,
Dark
Avenger,
Disk
Killer,
Doom
2,
EDV,
Flsh-6,
Form,
Invader,
Joshi,
Microbes,
Mirror,
Murphy,
Nomenclature,
Plastique,
PI,
Polish-2,
Takvan-3,
V2100,
Whale
и
ZeroHunt.
Основные характеристики компьютерных вирусов