География для вирусов
АрхивСудите самиКак известно, каждый день в мире регистрируется несколько десятков новых компьютерных вирусов. Обычно это однотипные, сделанные наспех с помощью стандартных конструкторов поделки, обреченные на прозябание среди сотен тысяч таких же никому не известных кодов.
Как известно, каждый день в мире регистрируется несколько десятков новых компьютерных вирусов. Обычно это однотипные, сделанные наспех с помощью стандартных конструкторов поделки, обреченные на прозябание среди сотен тысяч таких же никому не известных кодов в огромных архивах антивирусных разработчиков. Конечно же, авторы этих «эпохальных творений», завершая компиляцию программы, не рассчитывают на столь бесславную судьбу своих созданий, но конъюнктура вирусологии безжалостна: для того чтобы прославиться, нужно быть не таким, как все. Либо обрубить Интернет-связь на паре континентов, как Slammer, либо блеснуть изощренной интеграцией со спам-рассылками, как недавний герой вирусных хит-листов Sobig.f, либо отыскать свеженькую дырочку в системе безопасности распространенной программы и за считанные секунды овладеть миром, как Lovesan (Blaster).
Есть, правда, еще один способ попасть "на скрижали" — найти какое-нибудь малоизвестное, но широко используемое в узкопрофессиональных кругах приложение и написать первый вирус для этой системы. Именно такой путь и выбрал безвестный (пока?) автор MBA.First — первой программы, паразитирующей на геоинформационной системе MapInfo (судя по русскоязычной фразе, добавляемой вирусом в один из файлов приложения, автор — наш соотечественник).
MapInfo содержит широкий спектр прикладных пользовательских инструментов, в том числе собственный язык программирования MapBasic (по синтаксису близок к Microsoft Visual Basic, но дополнен рядом операторов для работы с таблицами и картами). Этот инструмент созидания и использует MBA.First. Написанный на языке MapBasic, вирус скомпилирован в бинарный файл, который может быть исполнен приложением MapInfo. Таким образом, вредоносный код попадает к пользователю MapInfo вместе с зараженной таблицей, по внешним признакам не отличающейся от прочих. При открытии таблицы MBA.First копирует себя в специальный файл инсталляционной директории MapInfo и прописывает его в автозапуске.
Интересен и алгоритм работы вируса — сразу видно, что его автор не лишен творческой жилки. Прежде всего, во время работы MapInfo MBA.First старательно запоминает имена файлов открываемых таблиц. Дело в том, что при каждом закрытии приложения вирус проверяет системную дату. Все неприятности начинаются, по классическим канонам, в понедельник. В этот горячо любимый человечеством день вирус запускает первую деструктивную процедуру, которая перебирает запомненные таблицы, и для каждой из них с вероятностью 1% удаляет файл с определенным расширением. Вторая деструктивная процедура срабатывает, если на календаре компьютера появляется пятница, 13-е. На сей раз MBA.First, не мудрствуя лукаво, повторяет вышеописанную процедуру, но вероятность удаления возрастает уже до 14%. Если же системная дата не соответствует ни одному из указанных вариантов, вирус довольствуется тем, что заражает все запомненные в процессе работы таблицы (подробнее см. www.viruslist.com).
