Умри, но сейчас

КРИС КАСПЕРСКИ АКА МЫЩЪХ

Спецвыпуск: Хакер, номер #070, стр. 070-076-1

ПОДАВЛЯЮЩЕЕ БОЛЬШИНСТВО ЧЕРВЕЙ/ВИРУСОВ/ШПИОНОВ РОЖДАЮТСЯ БЕСПОМОЩНЫМИ И АБСОЛЮТНО НЕЖИЗНЕСПОСОБНЫМИ. ВЫЗЫВАТЬ КРУПНЫЕ ЭПИДЕМИИ УДАЕТСЯ ДАЛЕКО НЕ ВСЕМ. ПОЧЕМУ? ПОПРОБУЕМ РАЗОБРАТЬСЯ

Малварью будем называть все вредоносное программное обеспечение, занимающееся размножением, шпионажем, рассылкой рекламы и другими вещами, протекающими без ведома и согласия владельца машины. Достигнув пика своего технологического развития в середине девяностых (когда хакеры додумались до stealth-вирусов и полиморфизма), в наши дни малварь предалась разврату и пришла в упадок. В основном пишется начинающими программистами (пренебрежительно называемыми «пионерами»), торчащими на языках высокого уровня типа DELPHI или Visual Basic'а. Как следствие — качество малвари упало ниже плинтуса, и основная масса штаммов дохнет еще на излете.

Проблема отнюдь не в самом DELPHI или Visual Basic'е - это вполне достойные инструменты. Проблема в том, что пионеры не умеют ими пользоваться, дружно наступая на один и те же грабли.

[1 непротестированный код.]

Редкая программа пишется без ошибок, и начинает работать с полпинка, тем более, если речь идет о таких сложных механизмах, как вирусы, черви, шпионы, по сути являющихся высоко-автономными роботами, вроде тех аппаратов, что летают на Венеру, Юпитер или Марс. Однажды выпущенная в Сеть зараза становится полностью предоставленной самой себе, и допущенные ошибки исправить уже не удастся.

А значит, тестировать, тестировать и еще раз тестировать. Так ведь нет... Если малварь запускается и не падает — это уже хорошо! Древних (ныне ископаемых) программистов еще можно как-то понять, у них был только IBM PC в количестве одна штука и «косые» флопы в качестве резервных носителей. Но даже в таких условиях создавались легендарные вирусы типа OneHalf. Сейчас же любой может при помощи VM Ware установить несколько версий операционных систем (98, W2K, XP, Server 2003) и связать их виртуальной сетью. Лучшего полигона для отладки малвари, пожалуй, и не придумать.

Среднестатистический пользователь обычно замечает малварь лишь тогда, когда его любимый компьютер начинает вести себя не так, как всегда: некоторые приложения не запускаются, те же, что запускаются — жутко тормозят, на экран часто выпрыгивают сообщения о критических ошибках, вплоть до полного выпадения в голубой экран смерти. Вот тут-то жертва и начинает лихорадочно устанавливать различные антивирусы, брандмауэры и прочие сторожевые программы, призванные «найти-и-уничтожить». А если ничего не помогает — форматирует винт и переустанавливает систему начисто.

Чем корректнее ведет себя малварь, тем больше шансов остаться незамеченным. А для этого программа должна быть тщательно протестирована, причем на разных процессорах! То, что мгновенно выполняется на Pentium-4, зачастую вызывает 100% загрузку Pentium-II/III, с существованием которых так же приходится считаться.

[2 излишняя сложность.]

Чем сложнее механизм, тем больше времени он требует для своего создания и отладки, а конец у всех один. Как только малварь замечают — ее тут же заносят в антивирусную базу и злорадно прибивают. Над этим целая индустрия работает, вербующая отнюдь не глупых людей. Известны случаи (и их достаточно много), когда вирус, разрабатываемый годами (!), палился антивирусной процедурой, созданной меньше, чем за день.