АНТИВИРУС, КАК СРЕСТВО ДЛЯ ПУБЛИКАЦИИ ДОНОСОВ
by Drmad
"Антивирусные программы предназначены
для обнаружения и удаления вирусов"
(с) Public Relation
"Каждому кланяться - голова отвалится"
(с) Public Relation
Видимо, в свое время Дмитрий Николаевич Лозинский посчитал
удачной мысль приложить к своему AidsTest'у каталог вирусов,
оформленный примерно вот в таком стиле:
: Micro-66
: Заражает только COM, резидентный. Это, конечно,
: невозможно, но ХХХХХ ХХХХХХХ сумел его сделать!
: Есть еще и 86, 80, 76, но на свободе им не гулять,
: поэтому в Aidstest вставлен только текущий рекорд.
: Мне кажется, что его побить невозможно, но...
Дмитрий Николаевич со своим антивирусом был в первой половине
90-х годов ХХ века необычайно популярен. Он не всегда слишком уж
тщательно изучал все вновь обнаруженные экземпляры компьютерной
заразы, но практически для всех находил пару слов: удивлялся находкам,
грустил о зловредности или смеялся над ошибками и промахами. Сейчас
трудно судить, каков был педагогический и методический эффект от
подобных анализов, но по крайней мере Дмитрий Николаевич старался не
забывать, что за каждым вирусом стоит конкретный автор - живой
человек, со всеми его преимуществами и недостатками. Поэтому Лозинский
старался судить вирусы, но не судить людей.
Прошли годы. Идея "литературного описания" компьютерной заразы
была подхвачена и развита и другими авторами антивирусных программ.
Стали широко известны гипертекстовые каталоги от Касперского (Avpve и
Вирусная Энциклопедия) и от Данилова (Virlist.WEB). Только вот стиль
описаний слегка изменился...
: XXX - вирусы, изготовленные YYY, проживающим по
: адресу ZZZ, известным под прозвищем TTT.
Вероятно, И.Данилов (автор подобных описаний) рассчитывал, что
пострадавшие от вируса юзеры стройными рядами отправятся предъявлять
его создателю свои претензии. Не знаю, сбылись ли даниловские мечты,
но зато имею информацию о том, что вирусные семейства под данными
"шапками" постепенно расширяются без участия подлинного XXX. Очень
часто в них включаются "похожие" вирусы других авторов,
"приписываемые" XXX вирусы и даже вирусы, просто опубликованные рядом
в одном электронном журнале.
Скорее всего, в этом нет конкретного злого умысла. Просто DrWeb и
его авторы таковы, что им влом разбираться в каждом конкретном вирусе,
гораздо проще использовать подходящую запись в антивусной базе. А
какая, хрен, разница, да? К тому же можно долго отмазываться от
вопросов недоумевающей общественности по поводу малого количества
обнаруживаемых вирусов: "это у нас просто различных записей мало, а
вирусы мы лечим - практически все". Якобы.
Это пресловутое "влом разбираться" тяготеет практически над всеми
авторами антивирусов. Когда я начинаю ковыряться в очередной заразе, я
внимательно читаю информацию из вирлистов, чтобы предварительно
представить себе особенности предстоящей работы, да и вообще - стоит
ли овчинка выделки. И иногда натыкаюсь на вот такое.
AidsVir.TXT (Лозинский):
: ...Ставит код 0C3 (команду RET) в начало всех
: секторов, в начале которых стоит "M", со смещением
: 20 - 0Eh, и со смещением 28 - "L". Это
: действительно для первого сектора всех программ,
: упакованных LZEXE.
VirList.WEB (Данилов):
: ...При чтении EXE-файлов, IP которых равен
: значению 0Eh (файлы,упакованные LZEXE),и не
: содержащих по смещению 1Ch буквы "L" ("LZ91")
: (таким файлом является AIDSTEST.EXE), вирус
: изменяет первый байт в буфере чтения на байт 0C3h.
: В результате при запуске такой программы DOS
: выдаст ошибку запуска.
AVPVE (Касперский):
: ...Вирус портит считываемую с диска информацию,
: если в ней находится заголовок EXE-файла,
: упакованного LZEXE.
Если бы было объявлено голосование, то И. Данилов, решивший, что
вирус портит не все LZEXE-программы без разбору, а только AidsTest,
оказался бы в меньшинстве. Тем не менее, он прав, а его оппоненты -
нет. Вот дизассемблированный фрагмент, подтверждающий это:
... ; В es:bx - считанный
103 26 es: ; сектор
104 803F4D cmp b,[bx],4D ; Это кусочек 'MZ'?
107 751F jne 00000128
109 26 es:
10A 807F140E cmp b,[bx][00014],0E ; У LZканных файлов
10E 7518 jne 00000128 ; здесь IP=0x0E
110 26 es:
111 807F1C4C cmp b,[bx][0001C],4C ; А здесь у них 'LZ',
115 7411 je 00000128 ; кроме Aidstest и Adinf,
117 26 es: ; где эта метка стерта
118 C607C3 mov b,[bx],C3 ; Какая-то порча
...
И подобное встречается регулярно. Декларируется, что вирус
заражает поиском в текущем каталоге, а он оказывается резидентным.
Объявляется, что вирус неизлечим и его надо удалять, а антивирус
конкурента выполняет это лечение не моргнув глазом. И прочее, и
прочее, и прочее...
Доходит до явного абсурда. В электронном журнале лежит программа,
которая вирусом не является, но сделана специально очень "похожей" на
вирус, и - главное! - про нее _словами_ в этом журнале сказано что
это, мол, вирус. И доверчивый (а на самом деле - неразборчивый)
вирусолог немедленно вставляет эту якобы заразу в свою базу и в свои
каталоги.
(Давайте повторим эксперимент - напишем некую безвредную
программу, определить заразность которой можно _только_ в результате
более-менее аккуратного исследования, растрезвоним про нее, как про
"вирус", а сами проследим - клюнут? Но: тс-с-с... пусть вирусологи об
этом ничего не знают...)
Дальше больше: в вирусные базы заносятся безвредные шутки
(которые чисто формально являются троянскими программами), упаковщики
файлов, вирусные генераторы (сами вирусами не являющиеся) и т.п.,
словом - любые программные объекты, по каким-то причинам заслужившие
внимание вирусолога.
Жалко, что до сих пор авторы антивирусов непоследовательны, и не
выполняют операций типа:
C:\ANTI\AVP.EXE - заражен вирусом KasperskyAntivirus - удален!
Сам Касперский в своей книжке отмечал, что диагноз "вирус или не
вирус" подчас определяется не техническими особенностями, а
авторством: написано частным лицом - зараза, написано Майкрософтом -
системная утилита.
Все это было бы только забавно, если бы не несколько "нюансиков".
1. В России действуют статьи 272,273 и 274, карающие за
компьютерные преступления.
2. В России созданы специальные отделы управления "Р",
занимающиеся вопросами компьютерных правонарушений.
3. Ряд организаций и фирм принципиально не принимают на работу
людей, хоть каким-то образом "замаравших" себя подозрением на
компьютерное правонарушение.
4. Подавляющее большинство обычных юзеров не разбираются и не
хотят разбираться в технических вопросах: обнаруживается антивирусом,
значит зараза, и точка.
5. Некоторые провайдеры (например, CHAT.RU) поставили фильтры,
автоматически убивающие любую электронную почту, содержащую не только
вирусы (это безусловно полезно!), но любые программы, о которых просто
знает сторож (например, знаменитый тестовый "не-вирус" EICAR), и даже
программы, в которых сторож подозревает наличие вируса (а "напугать"
эту дурилку картонную - проще простого).
Есть еще 6 и 7, и 8...
А за каждым вирусом, и вирусоподобным "не-вирусом", и просто за
случайно подозрительным кодом - стоит конкретный человек или
конкретное важное электронное послание. Стоит, и не понимает: за что
же меня так - сурово, надолго (практически навсегда) и без надежд на
аппеляцию? Дык, "он бабам нравился за то, за что не должен знать
никто". (с) В. Токарев. Вот так-то.
Так что же такое - современный антивирус? Вы беретесь однозначно
ответить? Я - нет.
----------------------------------------------------------------------
(c) Constantin E. Climentieff, 2001
mailto: drmad@chat.ru * http://www.chat.ru/~drmad
P.S. Уже после того, как большая часть статьи была написана,
появились две яркие иллюстрации к ней.
1. Напустил я как-то AVP на дискету, на которой вирусов отродясь
не бывало. А лежали там исходные тексты моей большой статьи "Как
Пымать Выря За Хвост", и вдруг...
STONED.BIN infected Stoned.n2
EASYMUT.COM infected VirTools.EasyMut
Разумеется, живого вируса Stoned там не было - а был образ
загрузочного сектора, в котором 90% кода было мной специально забито
кодами NOP. И Easymut - тоже не вирус, а примитивная неразмножающаяся
200-байтная программка, изменяющая свой код по полиморфному алгоритму.
Человек, вставлявший эти коды в вирусные базы, не мог не видеть, что
это - абсолютно не вирусы... но вставил.
2. Привожу текст одного их пресс-релизов антивирусного отдела
компании Диалог-Наука от мая 2001 г. Данилов & CO. рассылал обновления
своего DrWeb-а подписчикам по электронной почте, а в это время на
страже нравственности пользователей стояли бравые провайдеры,
вооруженные антивирусом Касперского. И вот что из этого получилось.
: From: subscribe@drweb.ru
: To: Подписчикам обновлений DrWeb
: Subj: Почти по Толстому
:
: Помните притчу Льва Толстого про мальчика и
: волков? Сожалеем, что в роли напрасно
: потревоженных людей оказались некоторые из наших
: клиентов. Они так и не смогли получить очередное
: обновление программы Doctor Web... Другой
: антивирус, проверяющий почту на серверах некоторых
: провайдеров, не передал файлы, потому что
: рассылаемые нами исполняемые модули якобы заражены
: вирусом. Каким именно не уточнялось. Заверяем всех
: наших клиентов в том, что в рассылках обновлений
: никаких вирусов не содержалось. Провайдерам
: советуем более критично относиться к сообщениям
: программ, используемых на их серверах.
: Производителям же антивирусов желаем научиться
: отличать зараженные вирусами файлы от файлов,
: разбитых на части при формировании многотомных
: архивов. Не превратитесь в мальчика из грустной
: притчи, уважаемые коллеги!
Без комментариев.
----------------------------------------------------------------------
(c) Constantin E. Climentieff, 2001
mailto: drmad@chat.ru * http://www.chat.ru/~drmad
P.P.S. После коллективных обсуждений я решил все-таки уточнить
свою позицию для тех, кто не понял, о чем идет речь в данной статье.
Неужели эта статья направлена против вирусологов и антивирусов?
Ведь, например, шариковая ручка и почтовый ящик - тоже средства
публикации доносов. Значит ли это, что я призываю к закрытию фабрик
легкой промышленности и почтовых отделений? Отнюдь.
Просто я попытался показать, что антивирус из технического
средства, из инструмента превратился в последние годы в опасное
оружие. Достаточно ли надежен у этого оружия предохранитель и
достаточно ли мозгов у тех людей, в чьи руки это оружие попадает...
вот в чем вопрос!
----------------------------------------------------------------------
(c) Constantin E. Climentieff, 2001
mailto: drmad@chat.ru * http://www.chat.ru/~drmad
|
