Статья под номером «ноль»

 | 02.27

Как я говорил в одной из прошлых записей, первая моя статья, написанная для МК, была по-священа вирмейкерским группам. Редакция тогда ее (по вполне понятным причинам) отклонила. Я нашел ее в своих архивах, слегка подредактировал (в основном пришлось убрать из текста ссылки на сайты, поскольку большинства из них уже давно нет, стилистика изложения осталась без изменений) и предлагаю вам ознакомиться с моим давним творением. Очень надеюсь, что эта статья не вызовет очередного флейма на животрепещущую тему. Поэтому, пожалуйста, перед тем как щелкнуть мышкой по ссылке «читать далее», подумайте, надо ли оно вам? 😉

Да, и учитывайте, что статья создавалась больше, чем 12 лет назад – другие времена, другие нравы 🙂

Последнее предупреждение – дальше много букв и мало картинок 😉

Вирусы. Одна из тех немногочисленных тем, которая не оставляет равнодушным ни одного человека, который активно общается с компьютером. Одни абсолютно безразличны к спорам о том, какая операционная система лучше, вторые равнодушны к спорам о выборе лучшей игры, и т.д. Однако к вирусам не относится равнодушно ни один человек. Большинство людей к вирусам (а также к тем, кто их создает) относится крайне отрицательно. Другие (их очень мало) относятся к вирусам и их авторам более-менее положительно. Можно со 100% уверенностью сказать, что если Вам удалось найти человека, который положительно относится к компьютерным вирусам — то он или занимается их созданием, или занимался этим в прошлом. Такие люди называются вирмейкеры. Да, именно вирмейкеры, а не «вирусописатели», как их почему-то любят называть некоторые из создателей антивирусных программ. Можно говорить все что угодно, но создание хорошего вируса в чем-то сходно с созданием произведения искусства (по крайней мере, по временным затратам). Поэтому создание вирусов – вирмейкинг – можно и даже нужно считать видом искусства. А вирусописателями нужно называть тех несознательных представителей человечества, которые, будучи не в состоянии ни изобрести новый алгоритм, ни даже разобраться в базовых принципах заражения файлов, достают исходники вирусов, вставляют в них свое гордое имя и хвастаются этим. Они не достойны нашего внимания, и о них мы говорить не будем.

Очень трудно сказать, почему создаются вирусы, а тем более попробовать нарисовать схематический портрет типичного вирмейкера. Они такие же люди, как и все остальные, и абсолютно ничем не выделяются в толпе. Единственное, что им присуще — это преданность любимому делу. Вирмейкеров можно ненавидеть, можно ругать, поливать грязью (что, впрочем, довольно часто и делается), однако большинство из них относится ко всему этому довольно равнодушно.

Как гласит народная мудрость, «Один в поле не воин«, «Одна голова хорошо, а две лучше» и «Гуртом и батька легче бить«. Т.о., народу давно было известно, что трудное (а иногда и опасное) дело лучше, легче и веселее делать вместе, а не одному. Пещерные люди отправлялись охотиться на мамонтов не в одиночку, а большими группами. И хотя сейчас несколько другие времена, а процесс создания вирусов имеет мало общего с упомянутой охотой (что проще – не мне судить. Я никогда не занимался охотой на мамонтов :)), но тем не менее и в наши дни для достижения цели люди объединяются в группы. Действительно, что может сделать вирмейкер-одиночка ? Он один, он не знает ни одного из своих коллег по ремеслу, ему до всего приходиться доходить своим умом, не с кем поделиться идеей/новым вирусом и т.п. Хотя среди одиночек и встречаются гении, которые делают столько, что и не снилось некоторым многочисленным группам.

Т.о., очень часто вирмейкеры объединяются в группы. Преимущества группы довольно очевидны : возможность консультаций, коллективного решения трудностей, возможность вынесения новой идеи на суд коллег, разделение труда и т.д. Кроме того, можно просто собраться хорошей компанией для распития N лит-ров пива :).

Как же образуются группы? Чаще всего, отцами-основателями группы являются один или два человека, достаточно хорошо знающие друг друга, и решившие найти единомышленников. Поиск ведется всеми доступными способами, вначале обычно в пределах города с постепенным расширением масштабов. Лидеры вырабатывают устав группы, в котором оговаривается, чем они собираются заниматься, а что не будут делать ни при каких обстоятельствах, кто и при каких условиях может стать членом группы, и другая подобная информация. Сформировав костяк, группа приступает к активным действиям. К ним относятся: заявление о себе в сетях, начало выпуска журнала группы, создание первого вируса группы. В это время в ее состав вливаются новые члены, с некоторой периодичностью выпускаются свежие номера журналов, члены группы создают новые вирусы, придумывают все более современные и утонченные алгоритмы заражения и обхода антивирусной защиты (но это все в лучшем случае. В самом худшем, группа распадается, не просуществовав и полугода). Постепенно в группе начинается ротация кадров. Вообще, ротация свойственна вирмейкерству. Я встречал очень немногих людей, у которых хватало желания и, главное, времени, чтобы заниматься исследованием и созданием вирусов более пяти лет. Кроме того, может иметь место следующая ситуация. Если лидеров-основателей группы двое (или более), то между ними может возникнуть конфликт, приводящий к расколу исходной группы. Ротация состава обычно переходит в отток кадров, в результате чего группа постепенно, потихоньку прекращает свое существование, оставив память о себе в виде журналов и ряда вирусов (если у них это получается).

Какие же группы созданы и действуют на территории пост-советских стран? Думаю, что не ошибусь, если первой из них назову Stealth Group World Wide. Об этой группе и ее основателе LovinGod-е наверняка слышал практически каждый. Группа была основана в Киеве в далеком 1994 году, и осенью прошлого года отметила свой первый, пятилетний юбилей. О том, как возникла идея создания группы, о том, как болезненно она формировалась, а также о ее деятельности за все это время очень подробно рассказывает сам LovinGod в интервью, опубликованном в журнале «Хакер», номер 3 за 1999 год. Фактически в то время это событие вызвало неоднозначную реакцию киевских фидошников (о создании Stealth Group впервые было объявлено именно в FIDO), и хотя в уставе группы того времени указывались вполне безобидные цели (как то: изучение саморазмножающихся механизмов, нераспространение вирусов, необязательность деструктивной части), на группу вылили не один ушат грязи. Но несмотря на подобные вещи, группа активно действовала, выпускала электронный журнал Infected Voice. Всего вышло 12 номеров журнала. После 12 номера статьи публикуются онлайновым методом, т.е. только на сайте группы. В планы группы входило выпустить прошлой осенью очередной номер печатным способом. Постепенно деятельность группы вышла за пределы города Киева. У нее появился филиал в Луцке, а с переездом LovinGod-а в Москву – и в России, после чего к названию группы добавились слова World Wide.

Что касается сегодняшнего дня, то положение примерно таково. Группа имеет свой сайт в России. где можно найти устав группы, информацию о ее деятельности и все вышедшие номера журналов. Трудно сказать, по каким причинам ожесточились души ее участников (то ли от вылитых ушатов грязи, то ли таковы их индивидуальные психологические особенности), но теперь направление деятельности группы практически противоположно начальному. Это особенно заметно после сравнения высказываний и уставов 1994 и 1999 годов. Отмечу только два сразу бросающихся в глаза отличия : 1994 год – изучение саморазмножающихся механизмов, членом группы может стать каждый желающий; 1999 год – создание боевых машин-убийц, в группу принимаются только те, кто может создать довольно хороший вирус и не имеет ничего против распространения вирусов и включения в них деструктивных по отношению к пользователю действий. Да, и еще один очень интересный факт. Stealth Group World Wide одна из первых среди ей подобных решила перевести создание вирусов с любительской основы на коммерческие рельсы. Удивлены? Я, услышав это, тоже удивился. Хотите знать, как? Да очень просто. Участники группы открывают курсы, на которых будут учить любого желающего написанию вирусов (конечно, за определенную плату). Ранее никто не мог додуматься до такого простого способа зарабатывания денег на создании вирусов.

Следующая группа, о которой хочется рассказать – Death Virii Crew. Она образовалась в Луцке. Основатель группы и ее идейный лидер-вдохновитель – Reminder (он же Костя Волков). Группа начинала свою деятельность как филиал Stealth Group. Издание группы – электронный журнал Chaos A.D., выходивший в составе Infected Voice. Участники группы внесли заметный вклад в развитие вирмейкинга. Достаточно упомянуть будет хотя бы разработку BAT-вирусов (вирусов, написанных на командном языке DOS-а), включая и полиморфные вирусы такого типа. Впоследствии между LovinGod-ом и Reminder-ом возникли разногласия, касающиеся основных направлений исследования вирусов. Следствием этого стал откол DVC от SGWW и выделение ее в самостоятельно действующую группу. Главная причина разногласий заключалась в отношении двух лидеров к наличию в вирусах деструктивной части и распространению вирусов. На тот момент времени LovinGod уже считал, что написанный хороший вирус ОБЯЗАТЕЛЬНО должен содержать деструктивную часть, а также должен быть «выпущен на прогулку». Подход Reminder-а (который мне нравится больше) заключался в следующем. Деструкция и распространение вирусов — не самое главное. Основным является разработка и реализация новых идей и принципов заражения файлов, обхода антивирусной защиты и маскировки присутствия вирусов в системе., а также распространение информации об этом. Вся деятельность DVC велась на основании этих принципов. К сожалению, около года назад Костя Волков объявил о роспуске своей группы. Тем самым, группа лишний раз подтвердила тезис о том, что чаще всего деятельность вирмейкерской группы держится на одном человеке – своем лидере. И если он прекращает активное занятие вирмейкингом, не найдя или не воспитав своего преемника, то группа прекращает свое существование на вирмейкерском фронте. Практически такая же ситуация произошла с DVC. Сам Reminder после роспуска группы продолжает исследование вирусов. Свои исследования и мысли он публикует в фидошной конференции pvt.virii, которую основал сам в противовес конференции su.virus.

Следующая группа – TulaAnti&ViralClub. Ее нельзя назвать чисто вирмейкерской группой, но и на вирусной стезе ее участники (среди которых RedArc, Alternative Coder, Thesaurus) сделали довольно немало. Как видно из названия, группа являлась чисто тульской. Цели группы были следующими :

  • Коллекционирование вирусов
  • Разработка интересных саморазмножающихся механизмов
  • Изыскания в области защиты саморазмножающихся механизмов от естественных врагов
  • Разработка оригинальных антивирусных приемов
  • Разработка любительских антивирусов (DOG, VirusDetector и других)
  • Обмен информацией с коллегами по ремеслу
  • Пропаганда научного отношения к вирусной проблеме
  • Информирование обычных пользователей новинками и проблемами как на вирусной так и на антивирусной сцене, в том числе и указание неизвестных фичей и тонких баг в антивирусных программах
  • Тестирование и обнародование результатов тестов антивирусных программ и сравнительный анализ антивирусных средств на основе тестов.

Издание группы — электронный журнал MooNBuG. В настоящее время группа не существует. По информации, любезно предоставленной RedArc-ом, основные достижения группы сле-дующие. До начала деятельности группы считалось, что самые ма-ленькие вирусы на свете — это два Trivial-вируса размером в 22 и 23 байта. Благодаря участникам TAVC в энциклопедии Касперского теперь можно найти описание вирусов в 18, 13, 7 и даже в 5 байт! (Мне подобный вирус даже представить трудно. А Вам слабо? :)). Участниками группы был разработан и использован в антивирусе DOG оригинальный эвристический прием. Детектор резидентных вирусов !VD до сих пор считается лучшим средством диагностики резидентных DOS-вирусов всех мастей. По принципам антивирусной вакцины Spinks созданы десятки оригинальных программ вакцинации, позволяющих программам самодетектировать любые изменения собственного кода. Участниками группы был сделан первый (и по словам RedArc-а, единственный) вирус класса FullSimbioz (вирус SPReader). Также одними из первых они выпустили вирус класса FullMorph (вирусы семейства VCG).

Бродя недавно просторами Интернета, я наткнулся на сайт группы Super MalWare Force. Данная группа занимается разработками в следующих сферах компьютерных технологий : Cracking, Coding, Hacking, Virmaking, Art, Music. Часть этой группы, занимающаяся вирмейкингом, носит название Duke’s Virus Labs. Название журнала группы, посвященного вирусным технологиям, созвучно с названием самой группы. На данный момент свет увидели 9 номеров данного журнала, в которых представлены материалы на разнообразные темы : от базовых основ вирмейкинга до создания полиморфных генераторов и описания обнаруженных ошибок в наиболее часто используемых антивирусных программах. Кстати, в 7 номере журнала опубликованы статьи Reminder-а, которые были подготовлены им для 4 номера Chaos A.D, который по определенным причинам не был выпущен. Также основатель группы Duke (который в настоящее время отошел от вирмейкинга по причинам, как он пишет, личного характера) выпускает журнал (тоже в электронном виде) Russian Viral Review. По его словам, этот журнал (издается в формате HTML) будет регулярно выпускаться, начиная с сентября 1999 года. В нем будут публиковаться новости отечественной (СНГ) и зарубежной вирусной сцены, новости об антивирусах и троянцах, появившихся за прошедший месяц, тесты антивирусных программ, Virii WildLists и многое другое.

Помимо упомянутых в нашем рассказе групп существуют (или существовали) и другие (можно назвать группы Misdirected Youth, BzB, CiD). Однако упоминать о них я не буду по причинам либо малой активности членов групп и/или недоступности информации о их деятельности, либо по причине их ухода с вирусной сцены (хотя лидер группы DVL Duke считает, что в СНГ существует не сцена, а «заСЦЕНОК»).

И напоследок упомянем группу, которая, наверное, не должна была упоминаться в этой статье – группа NF (Network Friends) – по причине того, что данная группа имеет ярко выраженную антивирусную направленность. Как нетрудно заметить по их названию, это группа «сетевых друзей». Они собирают и обсуждают новую информацию вирусной и антивирусной тематики. Электронным изданием группы является журнал «Земский Фершал». Все члены группы занимаются написанием любительских антивирусов, причем не для ловли простейших вирусов, являющихся пробами пера начинающих вирмейкеров, а для обнаружения и лечения новых супервирусов. Группа регулярно устраивает конкурсы на ловлю и лечение самых экзотических «компьютерных зверьков» (правда, в основном, среди своих членов). Более подробную информацию о группе можно получить на ее сайте. Почему же я все-таки решил рассказать об этой группе ? Да по очень простой причине. Все участники данной группы в прошлом – высококвалифицированные вирмейкеры, как это ни странно звучит. Так что в жизни может быть все – и человек, который в молодости занимался созданием и распространением вирусов, может со временем превратиться в автора очень популярной (и главное, жутко необходимой) антивирусной программы. Так что задумайтесь, может не стоит ругать человека за то, что он исследует вирусы? Кто знает, может потом Вам придется обращаться к нему и слезно просить новую версию его антивируса.