Czym jest wirus komputerowy? Nie jest to nowy typ mikroba, który z niewiadomych powodów zasmakowałby nagle w tworzywach sztucznych. Tak daleko bioinżynieria się jeszcze nie posunęła... Póki co, możemy więc spać spokojnie, nie obawiając się, że w tym czasie jakieś tajemnicze żyjątko pożera klawiaturę naszego komputera! Czyha za to na nas, a właściwie na nasze dyskietki, niebezpieczeństwo o wiele poważniejsze. Nie wierzycie? No to posłuchajcie co przytrafiło się w pewnej redakcji.
Forma Joselow, dziennikarz z „Journal-Bulletin", zamierzał właśnie wydrukować kolejny artykuł. Z nieukrywanym zadowoleniem sięgnął po dyskietkę zawierającą gromadzone od sześciu miesięcy notatki i wywiady.
Machinalnie wsunął ją do stacji dysków. Jakże wielkie było jednak jego zdziwienie, gdy usłyszał przenikliwy, ostrzegawczy ton, a na ekranie zamiast tekstu pojawił się komunikat błędu. Po kilku daremnych próbach odczytania zapisków zrozpaczony autor udał się do specjalisty z redakcyjnego ośrodka komputerowego. Tam wzięto pod lupę dziwnie zachowującą się dyskietkę i posługując się specjalnym programem przeanalizowano bajt po bajcie całą jej zawartość. Ciąg ułożonych bezsensownie znaków w niczym nie przypominał zdań napisanych przez reportera. Dopiero w pobliżu sektora „0" udało się wykryć trop prowadzący do sprawców tego niespotykanego dotychczas aktu sabotażu. Był to numer telefonu oraz komunikat zaczynający się od słów WELCOME TO THE DUNGEON.
ZEMSTA BRACI ALVI
W jaki więc sposób dyskietka zawierająca tak groźnego, niewidocznego intruza dotarła do redakcji Journal- Bulletin? Ślad prowadził do historycznego, pakistańskiego miasta Laho- re. Pod podanym numerem telefonu odnaleziono niewielki wytapetowa- ny dywanami sklep komputerowy. Dźwięczna nazwa „Brain Computer Services" i wyjątkowo niskie ceny przyciągały tłumy klientów. Już za 1,50 $ można było tam nabyć programy kosztujące wówczas w USA setki dolarów. Nic dziwnego, że od 1986 do 1987 roku tysiące młodych Amerykanów zaopatrzyło się tu w sławny pakiet „Lotus 1-2-3" czy „Wordstar". Oprócz kupionego niezwykle tanio oprogramowania wywozili oni do ojczystego kraju ukryty na prawie każdej dyskietce dodatkowy blok kodu maszynowego, którego dostarczania nie przewidywał żaden z producentów. Był to jeden z najbardziej wyrafinowanych wirusów komputerowych. Niczego nie spodziewający się użytkownicy, którzy chętnie pożyczali sobie nawzajem programy, przyczynili się do rozprzestrzenienia epidemii na ponad 100.000 dyskietek *.
Twórcami wirusa okazali się dwaj bracia: 26 letni Amjad Farooq Alvi i 19 letni Basit Farooq Alvi. Właścicielem sklepu był starszy z nich. On to właśnie po ukończeniu fizyki na uniwersytecie w Pendżabie zainteresował się programowaniem i naprawami komputerów. Przez kilka lat zarabiał na życie składając komputery osobiste. W 1985 r. przerzucił się wyłącznie na software i wydawał programy, które ku wielkiemu zaskoczeniu zostały natychmiast bez zezwolenia piracko skopiowane i rozprowadzone w okolicach Lahore. Rozgoryczony Amjad wpadł na pomysł ukarania nieuczciwych użytkowników i napisania programu, który rozprzestrzeniałby się podczas sporządzania kopii, a następnie zakłócał pracę komputera.
Wkrótce bracia zaczęli sami powielać amerykańskie programy i sprzedawać je po wyjątkowo niskiej cenie. Niektóre kopie zarażali wirusem. Zainfekowane dyskietki przeznaczone były tylko dla cudzoziemców, których obaj uznali za głównych winowajców powstania zjawiska kradzieży oprogramowania. W 1987 roku bracia Alvi doszli do wniosku, że dali już wszystkim piratom wystarczającą nauczkę i zaprzestali działalności.
WIRUS POD LUPĄ
Przyjrzyjmy się bliżej naturze tego unikalnego wirusa. Atakuje on przede wszystkim komputery osobiste klasy IBM PC/XT, Atari ST, Apple Macintosh. Okazuje się, że przyjęto w nich takie rozwiązania, systemów operacyjnych, które nie zapewniają wystarczającej ochrony pamięci i zbiorów.
Wirus może być przenoszony wszędzie tam, gdzie następuje przepływ informacji. Znalezienie nowej ofiary nie jest dla niego trudne. Szczególnie narażone na zarażenie są dyskietki nie zabezpieczone przed zapisem. Są to na ogół te, na których umieszczono programy wymagające stałej aktualizacji znajdujących się na nich danych. Przykładem są wspomniane wcześniej „Lotus 1-2-3" lub „Wordstar", bazy danych, programy kalkulacyjne i graficzne. Dopisanie czegokolwiek na takiej dyskietce może przez długi czas pozostać niezauważone. Czas ten wirus wykorzystuje po to by się dobrze zadomowić, dokonać spustoszeń i wypatrzyć kolejne ofiary.
Nosicielem choroby może okazać się nawet niewinnie wyglądająca gra, którą skopiowaliśmy od kolegi. Intruz może wtargnąć już przy pierwszym uruchomieniu zarażonych programów, a nawet jeszcze wcześniej. Włożenie dyskietki do stacji dysków jest momentem najbardziej newralgicznym, gdyż wtedy następuje tak zwany „booting". Wyjaśnimy ten termin na przykładzie komputera Atari 520 ST. Otóż każda dyskietka ma określoną strukturę, która umożliwia bezbłędne odnalezienie zapisywanych na niej informacji. Podzielona jest ona na koncentryczne ścieżki, a te z kolei na sektory. 3,5-calowa dyskietka do Atari 520ST mieści z jednej strony aż 80 ścieżek zawierających po dziewięć 512-bajtowych sektorów.
Odszukanie czegokolwiek wśród tak wielu bajtów i sektorów byłoby niemożliwe, gdyby nie wydzielono miejsca na pewne dodatkowe informacje pozwalające zaadresować każdy zapisywany zbi*r. Zaformatowana, czyli przygotowań, do zapisu dyskietka, ma zawsze zare,. rwowane na pierwszej ścieżce 7 sektorów na katalog (direc- tory) nazw zbiorów. Rozmieszczenie poszczególnych sektorów przypisanych danemu zbiorowi jest zakodowane w tablicy alokacji czyli książce adresowej zbiorów, która znajduje się zwykle pomiędzy 2 a 6 sektorem ścieżki 0. Najważniejsze dane o dyskietce, można odczytać z pierwszego sektora ścieżki „0" na stronie „0". Nadano mu nazwę „boot sector" — sektor automatycznego startu. Zapisane są w nim parametry systemu oraz pewien króciutki program. Zawartość tego sektora odczytywana jest zaraz po włożeniu dyskietki do stacji dysków (o czym nietrudno się przekonać słysząc ciche buczenie napędu). Proces ten to właśnie „booting". Po załadowaniu „boot sektora" może zostać wykonywany znajdujący się w nim program. To właśnie stwarza niepowtarzalną możliwość wczytania i doklejenia do innego zbioru kilkudziesięcio- bajtowej procedury powodującej zakłócenia albo nawet zniszczenie zawartości całej dyskietki.
WODA W TWARDYM DYSKU?
Po raz pierwszy informacja o wirusach porażających Atari ST opublikowana została przez czasopismo o nazwie „CT". W jednym z jego numerów wydrukowano listing napisanego w assemblerze prostego wirusa na Atari ST * *'. Wirus ten zagnieżdżał się właśnie w „boot sektorze" podczas wymiany dyskietek nie chronionych przed zapisem. Zakłócał on naturalny podział pamięci w dyskietce, co powodowało nieoczekiwane efekty w niektórych programach. W wyniku wymiany programów pomiędzy użytkownikami wfrus wkrótce znacznie się rozprzestrzenił — znalazł się nawet na dyskietkach sprzedawanych przez oficjalne wydawnictwa.
Z biegiem czasu programiści pracujący w asemblerze modyfikowali możliwości zakłócania pracy komputera przez ten wirus. Gwarancje uchronienia całego zbioru programów przed zarażeniem dawało tylko wczesne rozpoznanie zainfekowanej dyskietki i odizolowanie jej od innych.
Sytuacja pogorszyła się znacznie, gdy na targach CeBIT w Hanowerze w 1986 roku jedna z firm zaprezentowała program „Virus Con- struction Set" dla Atari ST. Kilkanaście kopii dostarczono wcześniej dziennikarzom i redakcjom czasopism zaznaczając przy tym stanowczo, że nie należy ich dalej rozpowszechniać. Pojawienie się tego programu wywołało sensację, a równocześnie gwałtowne oburzenie użytkowników i programistów. Firmę już wkrótce zmuszono do zaprzestania prezentacji wzbudzającego kontrowersje wyrobu i zdjęcia go ze stoiska. Nie udało się jednakże zapobiec przedostaniu się kilkunastu pirackich kopii do grona niezbyt uczciwych użytkowników. Już wkrótce VCS wykorzystano do wygenerowania nowych, groźnych szczepów wirusa.
„Virus Construction Set" zniósł naturalną barierę, która uprzednio skutecznie odstraszała większe grono hackerów od robienia niemiłych psikusów. Była nią konieczność doskonałego poznania dyskowego systemu operacyjnego i nabycia umiejętności posługiwania się asemblerem. VCS jest narzędziem pozwalającym konstruować nowe wirusy w podobny sposób jak pracuje się z edytorem tekstów czy bazą danych. Wystarczy wybierać tylko odpowiednie opcje menu oznaczające przeróżne efekty.
Wśród „niespodzianek", które można w ten sposób spreparować znajduje się zaformatowanie twardego dysku, skasowanie kilkunastu sektorów dyskietki czy nieoczekiwana zapytanie użytkownika o hasło (w tej sytuacji nie pozostaje nic innego, jak wyłączyć zasilanie komputera). W pewnych przypadkach wirus powoduje niekontrolowane rozrastanie się niektórych typów zbiorów i szybkie zaśmiecenie całego dysku. Jeśli zakres proponowanych przez VCS „dowcipów" wydaje się komuś niewystarczający, to może on dołączyć własną procedurę w języku maszynowym. Oczywiście, nie wszyscy mają tak wisielcze poczucie humoru, by sięgać wyłącznie po formatowanie dyskietek. Pewien żar- towniś wymyślił taki oto program na IBM: na ekranie pojawia się komunikat „W napędzie C wykryto wodę", po czym przy dźwiękach naśladujących bulgotanie wody następuje „odwirowanie" dysku i sytuacja powraca do normy.
Wirusy zwykle doklejają się do innego programu i mogą atakować natychmiast lub z opóźnieniem. TaKa właśnie „bomba zegarowa" miała zniszczyć informacje zapisane na wielu dyskach w Izraelu. Wirus sprzężony z zegarem czasu rzeczywistego czekał na drugi piątek w maju 1988 roku. Gdyby nie szczęśliwy zbieg okoliczności, to obchody 40 rocznicy Izraela przypadającej na 13.05.1988 (bo taką datę wybrał sobie dowcipniś) zakończyłyby się dramatycznie dla wielu posiadaczy elektronicznych mózgów. Na szczęście wskutek znacznego spowolnienia pracy komputera udało się wcześniej zauważyć wirusa i unieszkodliwić go.
SZANSA DLA TERRORYSTY
Specjaliści obawiają się poważnych następstw jakie mogą wywołać wirusy zaszczepione komputerom w kluczowych instytucjach kierujących życiem państwa. Nie trzeba wielkiej wyobraźni, by uzmysłowić sobie konsekwencje ich wtargnięcia do ośrodków obliczeniowych towarzystw ubezpieczeniowych, banków, systemów militarnych lub ośrodków kontroli ruchu lotniczego. Nie wykryto jeszcze takich przypadków, ale groźba jest całkiem realna.
Na razie wirusy nękają głównie użytkowników komputerów osobistych. Rozprzestrzenianiu się wirusa sprzyja upowszechnienie sieci. Tysiące użytkowników korzystają z szybkich połączeń telefonicznych i banków informacji. Daje to poważne korzyści, ale oznacza również, że wirus wprowadzony do jednego komputera może się błyskawicznie przenieść nawet w bardzo odległe miejsce.
W grudniu 1987 roku zaczęły, na przykład, dziać się dziwne rzeczy z terminalami dołączonymi do jednej z sieci amerykańskich. Na ekranach monitorów pojawiały się życzenia świąteczne. Użytkownicy, którzy postępując zgodnie z pojawiającymi się instrukcjami napisali słowo Christmas, uwalniali mechanizm powodujący przesłanie kopii programu do wszystkich odbiorców figurujących w elektronicznej książce adresowej.
ZŁOTY INTERES
Docierające zewsząd sygnały o istniejącym realnie niebezpieczeństwie są skrzętnie rejestrowane przez ludzi, którzy zwietrzyli znakomity interes w podsycaniu psychozy wirusa. Należą do nich przede wszystkim specjaliści i konsultanci zajmujący się ochroną użytkowników przed katastrofalnymi skutkami infekcji. Nieźle zarobiły również firmy sotwarowe, które zdążyły już wydać liczne programy — mniej lub bardziej skutecznie zabezpieczające przed wtargnięciem wirusa: Fiu Shot +, Vaccinate, Data Phisician, Disk Defender, Antidote, Vires RX, Vi- rAlarm.
Walka z wirusami, którym już udało się zapanować nad naszymi programami jest niezwykle trudna. Wymaga ona żmudnego zbadania każdej dyskietki. W szczególnie ciężkich przypadkach nie możemy właściwie nic zrobić. Należy wtedy skasować zain- fektowane dyskietki i ponownie odtworzyć zbiory posługując się tylko oryginalnymi programami z gwarancją producenta. A najprostszym sposobem ochrony przed wirusem jest po prostu nie używanie dyskietek pochodzących z niepewnych źródeł!
* TIME 26.09.88
** ATARI MAGAZIN 6/88
Janusz Jarmoch
