Читаем Юный техник, 2003 № 12 полностью

Все без исключения вирусы первоначально были кем-то написаны, а потом выпущены «на свободу». Зачем — вопрос особый. Одни их пишут для самоутверждения, считая писание вирусов высшим пилотажем хакерства. Другие — чтобы насолить обидчику (хотя вирус потом достанется и всем тем, кто ни в чем не повинен). Третьи — из чисто абстрактного хулиганства, с желанием напакостить всем окружающим. Случаев же самопроизвольного появления вирусов пока не было. По крайней мере, я о таком ни разу не слышал.

Как вирус умудряется заразить компьютер, да еще сделать это незаметно для пользователя? Очень просто: обычно пользователь сам дает ему такую возможность — запускает на выполнение зараженный файл, открывает зараженное электронное письмо, документ в Word'e и т. д.

Обычно программа вируса сделана так, что при этом она первой получает управление и начинает выполняться. Например, для этого достаточно, чтобы в зараженном файле первой стояла команда безусловного перехода на дописанный в конце этого файла «кусок» программного кода вируса. Дальше вирус должен сделать две простые вещи:

— разместиться в оперативной памяти на все время работы компьютера, пока он включен (такие программы называются резидентными и могут постоянно контролировать некоторые процессы работы компьютера, например, запуск всех файлов);

— скопировать себя на жесткий диск, чтобы переждать время от выключения питания компьютера (когда, как известно, все содержимое оперативной памяти стирается) до его следующего включения, а когда это произойдет — опять-таки получить возможность запуска.

Обычно для этого вирус копируется в какую-либо программу (заражает ее), которая всегда запускается в ходе стартовой загрузки компьютера (например, в какую-нибудь программу операционной системы Windows), либо запуск вируса встраивается в загрузочный сектор системного диска, где прописаны команды, которые компьютер должен выполнять после включения питания.

Вот и все! Теперь та часть вируса, которая находится в оперативной памяти резидентно, будет отслеживать все случаи, когда пользователь запускает на выполнение или копирует на дискеты любые исполняемые программы, и дописывать себя в них (например, добавлять свою копию в конце такой программы, а в самом ее начале записывать команду перехода на свой код), — это и есть заражение.

Листинг вируса нетрудно найти в Интернете.

Если пользователь перепишет такой файл на дискету и запустит его на другом компьютере, то он тоже будет заражен. А когда компьютер будет выключен и потом включен снова, копия вируса, хранящаяся на системном диске, запустится и снова окажется в оперативной памяти как резидентная программа и станет заражать следующие исполняемые программы. Так что никаких особых хитростей здесь нет и особенно хвалиться «вирусописателям» нечем. Надо только уметь программировать на Ассемблере — языке команд компьютерного процессора.

Кроме описанных выше, есть еще одна разновидность вирусов — так называемые «макровирусы». Они обычно размножаются в документах текстового редактора Word и ничего не портят, кроме этих файлов. Написать же их гораздо проще, чем настоящий вирус, потому как в Word'e, спасибо Microsoft'y, прямо-таки созданы для этого все возможности.

Во-первых, это встроенный язык написания макросов на основе Бейсика, который знают даже начинающие. Во-вторых, в этом макроязыке специально предусмотрены (!) готовые команды для автоматического запуска хранящегося в документе макроса сразу после открытия этого документа (а также перед его закрытием или сохранением на диск) и для копирования макросов в другой документ. И наконец, особый файл «шаблона» с именем Normal.dot хранится на диске вместе с имеющимися в нем макросами и всегда открывается сразу после запуска Word'a. Более удобной среды обитания для вируса найти трудно. Можно сказать, создатели Word'a предусмотрели в нем встроенные средства написания вирусов изначально!

Ими нетрудно воспользоваться. Чтобы вирус, содержащийся в виде макроса в некотором Word'овском документе, заражал Word на другом компьютере, достаточно дать этому макросу особое имя AutoOpen, а в нем предусмотреть вызов команд, копирующих данный макрос (в том числе под другими именами) в шаблон Normal. Тогда после первого же закрытия Word'a эти вирусные макросы будут сохранены на диске в новой копии этого шаблона и будут потом загружаться при каждом новом запуске Word'a. (Если только у пользователя в настройках программы Word не стоит опция «Запрос на сохранение» шаблона Normal.dot).