Walka
z komputerowymi wirusami
Podobieł
stwa mi´dzy wirusami komputerowymi a prawdziwymi
pomagajÄ… programistom obmyĘlaç skuteczne metody obrony
Jeffrey O. Kephart, Gregory B. Sorkin, David M. Chess i Steve R. White
omputerowe wirusy przenikn´- cje mogÄ… byç tylko nieprzyjemne, zda- niu metod obrony. Wykorzystanie wy-
"y do kultury masowej równie rzajÄ… si´ jednak fatalne w skutkach. ników badaÅ‚
prowadzonych od dzie-
Kskutecznie jak do Ęwiatowej po- Komputerowe wirusy przenikajÄ… z pro- si´cioleci przez epidemiologów mate-
pulacji komputerów. Wskutek po"Ä…czo- gramu do programu i z komputera do matyków pozwoli"o nam zrozumieç, ja-
nej z l´kiem fascynacji, którÄ… budzÄ… for- komputera. Podobnie zachowujÄ… si´ kie czynniki decydujÄ… o szybkoĘci roz-
my Å»ycia stworzone przez cz"owieka, prawdziwe: najpierw namnaÅ»ajÄ… si´ przestrzeniania si´ wirusów. Poszuku-
takie jak choçby Frankenstein wymyĘlo- w jednym organizmie, potem atakujÄ… jÄ…c efektywnej metody wykrywania
ny przez Mary Shelley, wirusy sta"y si´ pozosta"e. IstniejÄ… równieÅ» inne kompu- wirusów i zwiÄ…zków mi´dzy nimi, opie-
tematem mitów, Å»artów, popularnych terowe  patogeny , takie jak robaki ata- raliĘmy si´ cz´sto na technikach wyszu-
programów telewizyjnych i filmów. Nie kujące od czasu do czasu sieci kompute- kiwania wzorców opracowanych przez
doczeka"y si´ jednak dotychczas powaÅ»- rowe oraz tzw. konie trojaÅ‚
skie, których biologów informatyków. ObmyĘlając
niejszego opracowania naukowego. mniej lub bardziej z"oĘliwy kod jest ma- strategie obrony przed patologicznym
Wiele rozpowszechnionych wyobra- skowany przez przyjazny wyglÄ…d. Naj- oprogramowaniem, inspirowaliĘmy si´
Żeł
na ich temat bierze si´ z oczywistych cz´stszÄ… przyczynÄ… komputerowych do- ponadto funkcjonowaniem uk"adu od-
i zarazem g"´bokich biologicznych ana- legliwoĘci sÄ… jednak obecnie wirusy. pornoĘciowego kr´gowców i jego zdu-
logii: komputerowe wirusy replikujÄ… si´ Dla nas i naszych kolegów z Thomas miewajÄ…cÄ… zdolnoĘciÄ… do unieszkodli-
przez do"ączanie swojego kodu do ko- J. Watson Research Center w IBM ana- wiania i niszczenia patogenów.
du nosiciela (programu lub komputera, logie biologiczne okaza"y si´ bardzo po- Rodowodu komputerowych wirusów
b´dÄ…cych tu odpowiednikami Å»ywej ko- mocne w zrozumieniu mechanizmów moÅ»na doszukaç si´ w pracach nad ma-
mórki) i wykorzystanie jego moÅ»liwo- rozprzestrzeniania si´ komputerowych tematycznymi modelami samorepliku-
Ęci do kopiowania samych siebie. Infek- wirusów w skali globalnej i znajdowa- jÄ…cych si´ automatów, prowadzonych
54 ÂWIAT NAUKI StyczeÅ‚
1998
JANA BRENING
KOMPUTEROWE WIRUSY przekroczy"y juÅ» licz- rus dyskowy moÅ»e infekowaç kaÅ»dÄ… jednak zabójcze, poniewaÅ» majÄ… innÄ…
b´ 10 tys. Zaledwie kilkaset spoĘród nich rozprze-
dyskietk´ umieszczonÄ… w komputerze. organizacj´ przechowywanej na dysku
strzeni"o si´ po ca"ym Ęwiecie. Na ilustracjach efek-
Ponadto zaraÅ»a twardy dysk, b´dzie si´ informacji.
towne pokazy dzia"ania ekranowych wirusów:
wi´c uaktywniaç po kaÅ»dym w"Ä…cze-
 Chada ,  Walkera i  Rescue , którym nigdy nie
niu komputera. Wirusy dyskowe sÄ… wy- Antywirusowa technika
uda"o si´ zakaziç wi´kszej liczby komputerów.
jątkowo skuteczne. Mimo Że jest ich
stosunkowo niewiele, Programy antywirusowe zacz´to two-
przez Johna von Neu- rozpowszechniajÄ… si´ rzyç zaraz po wykryciu pierwszych wi-
manna w latach czter- znacznie szybciej niŻ rusów. JuŻ na samym początku wy"o-
dziestych naszego stule- te, które atakujÄ… pro- ni"y si´ dwa podejĘcia do problemu.
cia. Jednak, chociaÅ» ide´ gramy. Ogólne programy antywirusowe nad-
programów mogÄ…cych TrzeciÄ… kategoriÄ… sÄ… zorujÄ… prac´ systemu operacyjnego pod
infekowaç komputery makrowirusy. SÄ… nie- kÄ…tem zachowaÅ‚
charakterystycznych
sformu"owano juŻ w la- zaleŻne od systemu dla wirusów (zmiany w pewnych bar-
tach siedemdziesiątych, operacyjnego i ataku- dzo waŻnych plikach lub fragmentach
pierwszy dobrze udoku- jÄ… pliki, które zwykle pami´ci operacyjnej). Od czasu do cza-
mentowany przypadek sÄ… uwaÅ»ane za dane, a su mogÄ… one sprawdzaç, czy w progra-
rozprzestrzenienia si´ nie za programy. Wie- mach nie zasz"a jakaĘ podejrzana zmia-
komputerowego wirusa le arkuszy kalkulacyj- na. PotrafiÄ… wykrywaç zupe"nie nowe
zdarzy" si´ dopiero w nych, baz danych, edy- wirusy, ale sÄ… wraÅ»liwe na fa"szywe
paędzierniku 1987 roku. torów tekstów moŻe alarmy, poniewaŻ pewne ca"kowicie
Wtedy to w University of wykonywaç tzw. ma- poprawne dzia"ania programów mogÄ…
Deleware na kilkudzie- kroinstrukcje. Auto- wziÄ…ç za infekcj´.
si´ciu dyskietkach wy- matyzujÄ… one rozma- W przeciwieÅ‚
stwie do antywiruso-
kryto fragment kodu na- ite prace, począwszy wych programów ogólnych skanery
zwanego póęniej  Brain ( Mózg ). od wpisywania d"ugich sekwencji zna- przeszukują programy, sektory starto-
Dzisiaj komputerowe wirusy atakujÄ… co ków po wykonywanie skomplikowa- we dysków i pami´ç operacyjnÄ… kom-
najmniej milion komputerów rocznie. nych ciÄ…gów cz´sto powtarzanych ob- putera, aby wykryç konkretne ciÄ…gi baj-
UŻytkownicy tracą w tym czasie kilka- liczeł
. Twórcy wirusów tworzą makra, tów charakterystycznych dla znanych
set milionów dolarów na antywiruso- które do"Ä…czajÄ… si´ do innych dokumen- wirusów. By zachowaç skutecznoĘç,
we programy i us"ugi. Liczby te gwa"- tów. Makrowirusy rozprzestrzeniajÄ… si´ muszÄ… byç aktualizowane po wykryciu
townie wzrastają. znacznie szybciej od innych  zaraz- kaŻdej nowej rodziny wirusów, ale za
Wi´kszoĘç wirusów atakuje kompu- ków , poniewaÅ» wiele osób wymienia to o wiele rzadziej wszczynajÄ… fa"szywe
tery osobiste (PC). Do dziĘ powsta"o mi´dzy sobÄ…  pliki danych (na przy- alarmy. Sygnatury wirusów (ciÄ…gi baj-
ponad 10 tys. wirusów, a codziennie k"ad w grupie osób pracujących nad tów charakterystycznych) są bardzo
pozbawieni skrupu"ów programiĘci wy- wspólnym dokumentem).  Concept , krótkie: zazwyczaj jest to od 16 do 30
puszczajÄ… oko"o szeĘciu nowych. Szcz´- pierwszy wirus tego typu, zosta" wy- bajtów wybranych z kilku tysi´cy two-
Ęliwie rozprzestrzeni"a si´ jedynie garst- kryty w Ęrodowisku Word for Windows rzÄ…cych pe"ny kod wirusa. (Podobnie
ka. Istnieją trzy g"ówne grupy wirusów w koł
cu 1995 roku i jest obecnie najbar- biologiczne receptory immunologiczne
dzia"ajÄ…cych na PC (w innych systemach dziej rozpowszechnionym wirusem na ograniczajÄ… si´ do rozpoznawania ciÄ…-
te kategorie sÄ… podobne): atakujÄ…ce pro- Ęwiecie. Dzisiaj znamy juÅ» ponad 1000 gów zawierajÄ…cych od oĘmiu do pi´t-
gramy, atakujÄ…ce dyski oraz makrowiru- takich wirusów. nastu aminokwasów z tysi´cy zawar-
sy. Mniej wi´cej 85% znanych wirusów Oprócz podstawowego kodu repli- tych w bia"ku wirusa.) Wyszukiwanie
infekuje pliki zawierajÄ…ce programy kacyjnego wirusy mogÄ… zawieraç drobnego fragmentu wirusa jest znacz-
uŻytkowe, takie jak arkusze kalkulacyj- dowolny wybrany
ne czy gry. Gdy uŻytkownik uruchamia przez swoich twór-
program, najpierw wykonuje si´ kod ców. Niektóre ogra-
wirusa. Instaluje si´ on gdzieĘ w pami´- niczajÄ… si´ do wy-
ci komputera i moÅ»e zakaÅ»aç kolejne Ęwietlenia jakiejĘ
programy uruchamiane przez uŻytkow- wiadomoĘci lub ob-
nika. Po ulokowaniu si´ w systemie wi- razka, inne mogÄ…
rus oddaje sterowanie programowi no- celowo niszczyç pro-
siciela, uŻytkownik zaĘ pozostaje zu- gramy i dane. Na-
pe"nie nieĘwiadomy faktu, Że w jego wet jeĘli intencje
systemie pojawi" si´ nowy program. No- twórcy wirusa nie
siciel moÅ»e dotrzeç do innego kompute- by"y szczególnie z"e,
ra przez wymian´ dyskietek lub sieç. to i tak jego dzie"o
Replikacja trwa. moÅ»e siaç zniszcze-
Wirusy dyskowe, stanowiące oko"o nie w systemach, których konfiguracja nie bardziej wydajne od lokalizowania
5% populacji znanych wirusów na PC, jest inna, niÅ» za"oÅ»y". Na przyk"ad wi- pe"nego kodu. Co wi´cej, fragment mo-
umieszczajÄ… si´ w specjalnych obsza- rus  Form , który zazwyczaj ogranicza Å»e byç wspólny dla wielu róŻnych wiru-
rach dysku, których zawartoĘç (za- si´ do wywo"ywania raz w miesiÄ…cu nie- sów. Wi´kszoĘç skanerów antywiru-
zwyczaj programy odpowiedzialne za wielkiego ha"asu, zamazuje jeden sek- sowych korzysta z algorytmów dopa-
za"adowanie systemu) jest zawsze wczy- tor w obszarze g"ównego katalogu dys- sowywania wzorców, które mogą szu-
tywana i wykonywana po uruchomie- ku. Starym komputerom PC nie czyni kaç wielu wzorców jednoczeĘnie. Naj-
niu komputera. Tak zainstalowany wi- to wi´kszej szkody, dla nowych jest lepsze z nich potrafiÄ… w czasie krótszym
ÂWIAT NAUKI StyczeÅ‚
1998 55
Cykl
Życia
wirusa
plikowego
Gdy uÅ»ytkownik uruchamia zainfekowany program, kompu- W pierwszej kolejnoĘci wykonu- Wirus kopiuje swój kod do innego obszaru pami´-
ter kopiuje jego kod z dysku, na którym jest przechowywany je si´ kod wirusa, podczas gdy kod ci RAM, nie zwiÄ…zanego z programem nosicielem.
w stanie nieaktywnym, do pami´ci RAM, gdzie moÅ»e zostaç zakaÅ»onego programu pozostaje Dzi´ki temu moÅ»e dzia"aç nawet wtedy, gdy uÅ»yt-
uaktywniony. w uĘpieniu. kownik b´dzie uruchamia" inne programy.
niÅ» 10 min sprawdziç 10 tys. plików pod WykorzystujÄ…c  brutalne techniki analiza w celu stwierdzenia, czy nastÄ…-
kÄ…tem wyst´powania jednej z 10 tys. statystyczne, opracowaliĘmy metod´ pi"o to na skutek dzia"ania wirusa.
sygnatur. bardzo szybkiego wyszukiwania wyso- Dzi´ki innej analogii do uk"adów bio-
JeĘli wirus zostanie wykryty, trzeba kiej jakoĘci charakterystycznych ciÄ…gów logicznych "owcy wirusów nauczyli si´
go usunÄ…ç. Najprostsza, brutalna, ale bajtów. Zacz´liĘmy od zmierzenia cz´- korzystaç z faktu, Å»e programiĘci cz´-
skuteczna metoda polega na zwyk"ym stoĘci wyst´powania krótkich ciÄ…gów sto tworzÄ… nowe wirusy z fragmentów
wymazaniu zakaŻonego programu, po- instrukcji w duŻej grupie normalnych juŻ istniejących. Na podstawie znajomo-
dobnie jak uk"ad odpornoĘciowy nisz- programów. Gdy dostajemy do zbada- Ęci wirusowych  genów tworzymy hi-
czy zakaÅ»one komórki. Pojedyncze ko- nia nowego wirusa, nasze programy stori´ wirusów komputerowych, podob-
mórki organizmu są "atwe do zastą- wyszukują w nim ciągi o najmniejszym nie jak biolodzy tworzą drzewa filo-
pienia. Niestety nie dotyczy to progra- prawdopodobieł
stwie wystąpienia w genetyczne pokrewnych gatunków.
mów komputerowych i zbiorów da- typowym programie. Metoda jest znacz- PrzetwarzajÄ…c wielkÄ… liczb´ kodów wi-
nych. Program antywirusowy stara si´ nie szybsza od  r´cznej analizy, a wy- rusów, moÅ»emy automatycznie wyse-
wi´c naprawiaç zakaÅ»one pliki, a nie eli- niki testów wskazujÄ…, Å»e tak wybrane lekcjonowaç zestaw sygnatur danej ro-
minowaç je. (Na szcz´Ä˜cie wirusy, aby sygnatury powodujÄ… mniej fa"szywych dziny wystarczajÄ…cy do wykrycia jej
pozostaç nie zauwaÅ»one i si´ repliko- alarmów od sygnatur wybranych przez pozosta"ych cz"onków, równieÅ» wcze-
waç, nie mogÄ… znacznie uszkodziç pro- ekspertów. Opracowana przez nas pro- Ęniej nie znanych. Metoda ta pozwala
gramu, w którym si´ zagnieÄ™dzi"y.) cedura uzyskiwania sygnatur przy- na istotnie mniejsze uÅ»ycie pami´ci po-
JeĘli skaner wykryje znanego sobie pomina stosowaną niegdyĘ przez im- trzebnej do przechowywania sygnatur.
wirusa, moÅ»e dzi´ki opracowanemu munologów teori´  szablonów , wedle Jedna 20-bajtowa  rodzinna sygnatu-
przez programistów algorytmowi usu- której wytwarzane przez organizm ra umoÅ»liwia identyfikacj´ dziesiÄ…tków
nÄ…ç jego kod i przywróciç danemu pli- przeciwcia"a sÄ… modyfikowane odpo- róŻnych wirusów.
kowi pierwotnÄ… postaç. IstniejÄ… równieÅ» wiednio do pojawiajÄ…cego si´ antyge- OpracowaliĘmy równieÅ» techniki
ogólne metody  dezynfekcji dzia"ają- nu; nasze sygnatury są bowiem specjal- oparte na sieciach neuronowych. Wy-
ce skutecznie zarówno na znane, jak nie dobierane do kaŻdego nowo na- korzystujemy je do rozpoznawania wi-
i zupe"nie nowe wirusy. Jeden z opra- potkanego wirusa. rusów na podstawie kilku bardzo krót-
cowanych przez nas sposobów opiera Stephanie Forrest z University of New kich fragmentów kodu liczących od
si´ na kolekcjonowaniu matematycznie Mexico i jej wspó"pracownicy z Los Ala- trzech do pi´ciu bajtów. Te niewielkie
okreĘlonych charakterystyk wszystkich mos National Laboratory opracowali odcinki reprezentują instrukcje maszy-
plików w systemie. JeĘli któryĘ z nich konkurencyjnÄ… metod´, która z kolei nowe niezb´dne w procesie wirusowej
zostanie zainfekowany, nasza metoda dzia"a zgodnie z obecnie obowiązującą infekcji. Co prawda tak krótkie fragmen-
pozwoli go odtworzyç. teoriÄ… dzia"ania uk"adu odpornoĘciowe- ty mogÄ… wyst´powaç w normalnych
Sposoby wykrywania i usuwania zna- go, czyli tzw. teoriÄ… selekcji klonalnej. programach, ale jednoczesne pojawie-
nych wirusów wymagajÄ… dok"adnej ana- Wed"ug niej organizm produkuje olbrzy- nie si´ wielu z nich jest niemal pewnÄ…
lizy kaÅ»dego nowo wykrytego. Eksper- miÄ… liczb´ rozmaitych przeciwcia", a do oznakÄ… zawirusowania. Programy an-
ci muszÄ… zidentyfikowaç nietypowe masowej produkcji któregoĘ z nich przy- tywirusowe wyszukujÄ… takie krótkie ciÄ…-
ciÄ…gi instrukcji, które wyst´pujÄ… w jego st´puje dopiero po wykryciu pasujÄ…ce- gi bardzo szybko, a co nawet waÅ»niej-
kodzie, a nie ma ich w typowych pro- go do niego antygenu. W metodzie za- sze, w ten sposób wykrywa si´ wirusy,
gramach. Niezb´dna jest tu g"´boka wie- proponowanej przez Forrest sygnatury
dza oraz doĘwiadczenie. NaleŻy rów- są generowane losowo, bez związku z ja-
nieÅ» opracowaç metod´ weryfikacji kimkolwiek wirusem. KaÅ»da zostaje
poprawnoĘci rozpoznania wirusa oraz skonfrontowana z kodami w systemie.
usuni´cia go z nosiciela. Codziennie po- JeĘli Å»adnemu nie odpowiada, zachowu-
jawia si´ pó" tuzina nowych wirusów, je si´ jÄ… w olbrzymiej bazie danych. Wy-
stworzono wi´c narz´dzia i procedury, krycie sygnatury pobranej z tej bazy
które dzi´ki zautomatyzowaniu tych w sprawdzanym programie jest nieza-
czynnoĘci pomagają specjalistom, a cza- wodnym sygna"em, Że zosta" on zmody-
sem nawet ich zast´pujÄ…. fikowany. Niezb´dna jest jednak dalsza
56 ÂWIAT NAUKI StyczeÅ‚
1998
JAMES GARY
Zadanie wst´pne zosta"o wykonane. Wirus JeĘli uÅ»ytkownik uruchomi inny program, przy- Umieszcza kopi´ swojego kodu w pierwotnie zdro-
przywraca kontrol´ zaraÅ»onemu programowi. czajony wirus ponownie si´ uaktywnia. wym programie i cykl samoreplikacji si´ powtarza.
które jeszcze nie zdÄ…Å»y"y si´ ujawniç, samÄ… cz´stoĘciÄ…, zdarza si´ jednak, odpowiada rzeczywistoĘci. JeĘli stosu-
poniewaÅ» owe kawa"ki kodów odpo- Å»e wyst´puje coraz rzadziej, w"aĘciwie nek wspó"czynników narodzin i Ęmier-
wiadajÄ… bezpoĘrednio za zdolnoĘç do wymiera. ci nie jest bliski wartoĘci krytycznej, wi-
replikacji. Úeby zrozumieç te wyniki statystycz- rus powinien bÄ…dÄ™ ca"kowicie wyginÄ…ç,
ne, musieliĘmy si´gnÄ…ç do modeli mate- bÄ…dÄ™ rozprzestrzeniaç si´ wyk"adniczo
Polowanie matycznych stosowanych przez epide- i staç si´ niemal wszechobecny. Tym-
miologów. Najprostsze przewidują czasem odsetek ca"ej populacji kompu-
Począwszy od roku 1990 zbieramy rozwój choroby na podstawie kilku pa- terów zakaŻonych danym wirusem
dane statystyczne dotyczÄ…ce kompute- rametrów. NajwaÅ»niejsze z nich to utrzymuje si´ na mniej wi´cej sta"ym ni-
rowych wirusów z populacji kilkuset  wspó"czynnik narodzin okreĘlajÄ…cy skim poziomie. Jednym z istotnych b"´-
tysi´cy komputerów PC naleŻących do tempo zaraÅ»ania innych osobników oraz dów w tym uproszczonym modelu wy-
instytucji, które obs"ugujemy. Notuje-  wspó"czynnik umieralnoĘci okreĘla- daje si´ przyj´cie za"oÅ»enia, Å»e praw-
my miejsce, dat´, liczb´ zainfekowanych jÄ…cy tempo umierania chorych lub ich dopodobieÅ‚
stwo kontaktu dwóch do-
komputerów i dyskietek oraz nazw´ wi- zdrowienia. JeĘli stosunek tych dwóch wolnych osobników zagroÅ»onej po-
rusa. Dane statystyczne umoŻliwiają wartoĘci jest mniejszy od wielkoĘci kry- pulacji jest takie samo. Bardziej zaawan-
nam zorientowanie si´ w zachowaniu tycznej, to dana infekcja szybko wyga- sowane modele uwzgl´dniajÄ… uwarun-
wirusów w realnym Ęwiecie. Okazuje sa. Im jest wi´kszy, tym bardziej praw-
si´, Å»e tylko niewielki ich odsetek stwa- dopodobne jest wystÄ…pienie epidemii
NA CYFROWYM POLU BITWY zmagajÄ…
rza powaŻniejsze problemy. W badanej (jeĘli brak mechanizmów obronnych), ro-
si´ ze sobÄ… komputerowe szkodniki i specja-
populacji zaobserwowaliĘmy jedynie Ęnie bowiem odsetek komputerów, któ-
listyczne oprogramowanie, które próbuje
oko"o 5% znanych wirusów, wiele z nich re zostaną jednoczeĘnie zainfekowane.
zwalczyç intruzów i naprawiç wyrzÄ…dzone
pojawi"o si´ tylko raz. Dziesi´ç najbar- Wyniki naszych obserwacji ĘwiadczÄ…,
szkody. Wirusy przybierajÄ… rozmaitÄ… po-
dziej rozpowszechnionych odpowiada Å»e takie uproszczone podejĘcie w przy- staç. Rozpoznaje si´ je zarówno po zacho-
waniu, jak i nietypowych fragmentach ko-
za dwie trzecie wszystkich infekcji. Co padku wirusów komputerowych nie
du. Programy antywirusowe mogÄ… chroniç
wi´cej, schemat rozprzestrzeniania si´
oprogramowanie uŻytkownika, po prostu
tych najbardziej skutecznych wirusów
je  fotografujÄ…c i po stwierdzeniu zmian
wydaje si´ wspólny: liczba notowanych
przywracajÄ…c pierwotnÄ… postaç.
infekcji roĘnie liniowo mniej wi´cej
przez rok, po czym si´ stabilizuje. Wi-
rus bywa potem wykrywany ciÄ…gle z tÄ…
ÂWIAT NAUKI StyczeÅ‚
1998 57
JAMES GARY
kowania Ęrodowiskowe wp"ywające na
wzorce zachował
, które prowadzą do
wymiany oprogramowania. KaŻdy wy-
mienia programy oraz dane jedynie z kil-
koma osobami i zazwyczaj dzieje si´ to
w jakiejĘ grupie. JeĘli Alicja wymienia
si´ z Bobem, a Bob  z KarolinÄ…, to jest
wielce prawdopodobne, Że Alicja wy-
mienia si´ z KarolinÄ….
Komputerowe symulacje wskazujÄ…,
Że takie ograniczenie kontaktów spowal-
nia poczÄ…tkowe rozprzestrzenianie si´
wirusa, co jest jakoĘciowo zgodne z na-
szymi obserwacjami. Rzadsze wymiany
zmniejszają prawdopodobieł
stwo epi-
demii i ustalajÄ…cÄ… si´ po pewnym czasie
OGÓLNE PROGRAMY ANTYWIRUSOWE reagują
na przeprowadzanie przez system podejrzanych ope- cz´stoĘç wyst´powania wirusa, nie na
racji  takich jak modyfikowanie krytycznych ob-
tyle jednak, aby zgodnoĘç z danymi em-
szarów pami´ci operacyjnej lub wybranych plików
pirycznymi by"a pe"na.
dyskowych  typowych dla komputerowych wiru-
sów. Przeciwdzia"anie im nie eliminuje wirusa, ale
Dzia"anie ewolucji
moŻe zapobiec zainfekowaniu kolejnych programów
lub zaburzeniu funkcjonowania komputera.
Podobnie jak czynniki zewn´trzne (su-
sze, poziom higieny czy migracje lud-
noĘci) mają silny wp"yw na rozwój
epidemii biologicznych, tak zmiany
w technikach informatycznych wp"ywa-
ją na rozwój komputerowych infekcji wi-
rusowych. Do roku 1992 wirusy ataku-
jÄ…ce pliki i dyski pojawia"y si´ mniej
wi´cej w tej samej liczbie (stale rosnÄ…-
cej). Nagle infekcje plików zacz´"y byç
rzadkie, podczas gdy dyskowe nadal si´
rozprzestrzenia"y. Od 1992 do koł
ca
1995 roku wirusy dyskowe ca"kowicie
zdominowa"y konkurencj´. Dlaczego pli-
kowe niemal zupe"nie wygin´"y?
UwaŻamy, Że g"ównym powodem
by"o powszechne wprowadzenie Win-
SKANERY przeczesujÄ… dyski uÅ»ytkownika dows 3.1, nast´pcy systemu operacyjne-
w poszukiwaniu fragmentów kodów wyst´-
go MS-DOS. Sta"o si´ to w"aĘnie oko"o
pujÄ…cych w znanych komputerowych wirusach.
roku 1992. W wyniku dzia"ania typowe-
go wirusa plikowego system Windows
najcz´Ä˜ciej natychmiast si´ zawiesza"
i zmusza" do usuni´cia intruza z systemu
(na przyk"ad przez czyszczenie twarde-
go dysku i ponowne zainstalowanie
oprogramowania), nawet jeĘli uŻytkow-
nik nie by" Ęwiadom, Że to wirus spo-
wodowa" jego k"opoty. Wirusy dysko-
we dla odmiany wspó"Żyją z Windows
3.1, nie niszczÄ… swoich nosicieli przynaj-
mniej dopóty, dopóki nie nadarzy si´
sposobnoĘç do zamanifestowania swej
obecnoĘci.
Rozpowszechnienie Windows 95, ko-
lejnego systemu operacyjnego, prowadzi
obecnie do znacznego zmniejszenia licz-
by infekcji wirusami dyskowymi. Win-
ANTYWIRUSOWE  ZDJóCIA zapisują dows 95 przewaŻnie ostrzega uŻytkowni-
matematyczne charakterystyki szczególnie
ka o próbach ingerowania w sektory
waŻnych programów i plików danych.
startowe dysku, równieŻ podejmowa-
Wszelkie póęniej zarejestrowane zmiany
nych przez wirusy. Dzi´ki temu wi´k-
najprawdopodobniej oznaczajÄ… wystÄ…pie-
szoĘç wirusów dyskowych nie moÅ»e si´
nie infekcji. Zaawansowane algorytmy po-
rozprzestrzeniaç w tym systemie opera-
trafiÄ… na podstawie zgromadzonych  zdj´ç
odtworzyç pierwotnÄ… postaç plików. cyjnym. SpotkaliĘmy si´ juÅ» z kilkoma
58 ÂWIAT NAUKI StyczeÅ‚
1998
JAMES GARY
wirusami zaprojektowanymi specjalnie granice wyznaczane dotychczas przez Wkrótce do wysy"ania i otwierania
dla Ęrodowiska Windows 95 i innych w"aĘciwoĘci poszczególnych systemów poczty z za"Ä…cznikami mogÄ… byç ruty-
32-bitowych systemów operacyjnych, operacyjnych. nowo upowaŻniani tzw. agenci pro-
jednak te konkretne okazy nie majÄ… zbyt- Dzisiejsze wirusy przenoszÄ… si´ po- gramowi.* PoniewaÅ» proces replikacji
nich szans na rozprzestrzenienie. mi´dzy komputerami g"ównie z powodu odbywaç si´ b´dzie bez (choçby nie-
Obecnie znajdujemy si´ w erze ma- Ęwiadomej,  r´cznej wymiany progra- Ęwiadomego) udzia"u cz"owieka, wiru-
krowirusów. Wspó"czeĘni uÅ»ytkowni- mów przez róŻnych uÅ»ytkowników; jak sy zacznÄ… si´ rozprzestrzeniaç znacznie
cy znacznie rzadziej wymieniajÄ… mi´- dotÄ…d zespo"y ekspertów dajÄ… sobie z ni- szybciej niÅ» obecnie.
dzy sobÄ… programy inne niÅ» zawierajÄ…ce mi rad´ w wystarczajÄ…co krótkim czasie.
makropolecenia, dokumenty i pliki da- Dobrze napisany wirus potrzebuje do Cyfrowy uk"ad odpornoĘciowy
nych. W konsekwencji makrowirusy rozpowszechnienia si´ zazwyczaj mie-
charakteryzujÄ… si´ znacznie wi´kszym si´cy, a nawet lat. W g´sto powiÄ…zanym Te zmiany w cyfrowym Ęwiecie
wspó"czynnikiem narodzin i rozprze- Ęwiecie najbliÅ»szej przysz"oĘci wirusy ĘwiadczÄ…, Å»e niezb´dny jest automatycz-
strzeniajÄ… si´ duÅ»o szybciej niÅ» klasycz- mogÄ… si´ mnoÅ»yç znacznie szybciej. JuÅ» ny system odpowiadajÄ…cy na pojawianie
ne wirusy plikowe i dyskowe. Poczta w 1988 roku Robert Tappan Morris wpu- si´ nowych wirusów, który móg"by re-
elektroniczna umoÅ»liwiajÄ…ca przesy"a- Ęci" do Ęwiatowej sieci program, nazwa- agowaç szybciej i analizowaç ich wi´cej
nie plików pozwala uŻytkownikom na ny póęniej  Internet Worm ( Interne- niŻ cz"owiek. Systemy takie opracowu-
szybszÄ… i "atwiejszÄ… wymian´ dokumen- towy Robak ), wykorzystujÄ…cy dziury jÄ… m.in. IBM, Symantec Corporation
tów i programów niÅ» kiedyĘ, co zwi´k- w systemach bezpieczeÅ‚
stwa  zaatako- i McAfee Associates.
sza skal´ problemu. wa" on setki komputerów na ca"ym Ęwie- W IBM tworzymy coĘ, co moÅ»na by
Makrowirusy sÄ… ponadto pierwszy- cie w ciÄ…gu nieca"ego dnia. nazwaç uk"adem odpornoĘciowym cy-
mi, które wykorzystujÄ… coraz powszech- Nowe narz´dzia (takie jak przeglÄ…- berprzestrzeni. Podobnie jak uk"ad od-
niejsze dÄ…Å»enie do jednolitego oprogra- darki WWW, które wykorzystujÄ… Acti- pornoĘciowy kr´gowców w ciÄ…gu kilku
mowania róŻnych komputerów. Na veX), umoŻliwiające "adowanie progra- dni od wykrycia patogenów wytwarza
przyk"ad wirusy projektowane dla sys- mów i danych bez wiedzy i akceptacji komórki mogÄ…ce je niszczyç, kompute-
temu MS-DOS nie mia"y szansy zaata- uŻytkownika sprawiają, Że problem sta- rowy system w ciągu kilku minut gene-
kowaç komputerów Macintosh. Dla ma- je si´ coraz powaÅ»niejszy. JuÅ» dziĘ pro- ruje przepis rozpoznania i eliminacji no-
krowirusów istotne jest jedynie, by na gramy pocztowe pozwalajÄ… przesy"aç wego wirusa. W obecnym prototypie
danej platformie by" dost´pny odpo- dokumenty tekstowe lub arkusze kal- komputery PC z zainstalowanym pro-
wiedni program uŻytkowy. Fakt, Że kulacyjne jako za"ączniki do listów. gramem AntiVirus są po"ączone w sie-
Microsoft Word jest dost´pny na kom- Otwarcie takiego za"Ä…cznika powoduje ci z centralnym komputerem, który ana-
puterach wielu róŻnych rodzajów, po- automatyczne uruchomienie odpowied- lizuje wirusy. Aby wykryç ewentu-
zwoli" wirusowi  Concept i jego ma- niej aplikacji, co z kolei aktywuje ma- alnego intruza, program monitorujÄ…cy
krowym pobratymcom przekroczyç krowirusa zawartego w za"Ä…czniku. sprawdza kaÅ»dy PC, wykorzystujÄ…c
ÂWIAT NAUKI StyczeÅ‚
1998 59
JeĘli PC jest po"ączony w sieci lokal-
ZAKAÚONY
1
nej z innymi maszynami, niewykluczo-
KOMPUTER
POÚYWKA
UÚYTKOWNIKA
2 ne, Że wirus zaatakowa" równieŻ nie-
3 KOMPUTER
MASZYNA
KOMPUTER
które z nich. W naszej prototypowej
UÚYTKOWNIKA
ANALIZUJŃCA
ADMINISTRATORA
Analiza
5
WIRUSY instalacji nowe algorytmy identyfikacji
SIECI
zachowania
i usuwania wirusa sÄ… automatycznie
i struktury wirusa 6
wysy"ane do wszystkich sąsiadów za-
KOMPUTER
PRYWATNA
UÚYTKOWNIKA
kaŻonego komputera, które natychmiast
Wyodr´bnienie
SIEå
KOMPUTER
4
sygnatury przyst´pujÄ… do sprawdzenia swoich za-
LOKALNA
UÚYTKOWNIKA
sobów. PoniewaŻ wirusy do szybkiej
propagacji wykorzystujÄ… sieç, wydaje
Opracowanie
algorytmów
si´ s"uszne, Å»e antidotum jest przekazy-
7
KOMPUTER
identyfikacji
UÚYTKOWNIK
wane maszynom, które mogą go potrze-
ADMINISTRATORA
i usuwania
SIECI
bowaç, równieÅ» za jej poĘrednictwem.
Przesy"ajÄ…c nowe algorytmy identyfika-
UÚYTKOWNIK
INNA
cji i leczenia do jeszcze nie zainfekowa-
UÚYTKOWNIK
PRYWATNA
nych komputerów, moŻemy w zasadzie
INDYWIDUALNY
SIEå LOKALNA
UÚYTKOWNIK
bardzo szybko uodporniç na nowego
wirusa ca"y Ęwiat PC.
UK¸AD ODPORNOÂCIOWY CYBERPRZESTRZENI zaprojektowany przez nas. Niezna-
NiezaleŻnie od tego, w jakim stopniu
ny wirus wymusza na komputerze uŻytkownika przekazanie kopii zakaŻonego progra-
rozwinÄ… si´ antywirusowe techniki, wi-
mu do maszyny administratora sieci (1), która z kolei przesy"a zaszyfrowanÄ… próbk´ do
rusy nie przestanÄ… byç uciÄ…Å»liwymi
centralnego komputera analizujÄ…cego wirusy (2). Na tej maszynie nast´puje namnoÅ»enie
lokatorami naszych komputerów. Po-
wirusa na  poÅ»ywce , a nast´pnie analiza jego zachowania i struktury (3). Opracowane
algorytmy identyfikacji i usuwania przekazywane sÄ… z powrotem do komputera admini- szczególne rodziny maszyn b´dÄ… po-
stratora sieci (4), który w pierwszej kolejnoĘci przesy"a je do zaraŻonej maszyny (5), a na-
wstawaç i wymieraç, ale wirusy i tech-
st´pnie do innych komputerów w sieci lokalnej (6). UÅ»ytkownicy systemu na ca"ym Ęwie-
niki antywirusowe nie przestanÄ… razem
cie regularnie otrzymujÄ… dane aktualizujÄ…ce programy antywirusowe, co chroni je przed
ewoluowaç, tak samo jak pasoÅ»yty i ich
atakiem nowego wirusa (7).
Żywiciele. Zarówno na wirusy, jak i na
metody ich zwalczania wp"ynÄ… zmiany
wiele róŻnych metod uwzgl´dniajÄ…cych na wzorcowym programie wabiÄ…cym w Ęrodowisku informatycznym, na
dzia"anie systemu  badajÄ…cych niety- wydobywa go z ukrycia. W tej fazie przyk"ad wprowadzenie tzw. w´drujÄ…-
powe zmiany w programach lub wyko- moÅ»na równieÅ» zaobserwowaç charak- cych agentów programowych, czyli pro-
rzystujÄ…cych rodziny sygnatur. Program terystyczny sposób jego dzia"nia. gramów, które b´dÄ… musia"y byç odpor-
monitorujÄ…cy wykonuje kopi´ kaÅ»dego KaÅ»dy zakaÅ»ony program wabik jest ne na uszkadzajÄ…ce dzia"anie odwie-
programu podejrzanego o infekcj´ i nast´pnie analizowany przez kolejne dzanych systemów operacyjnych, na-
przesy"a jÄ… za poĘrednictwem sieci do elementy uk"adu odpornoĘciowego, któ- wet jeĘli te systemy same si´ b´dÄ… bro-
maszyny analizujÄ…cej wirusy. re ekstrahujÄ… sygnatur´ wirusa i opra- niç przed z"oĘliwymi agentami. Byç mo-
Po otrzymaniu potencjalnie zakaŻo- cowują algorytm jego identyfikacji i usu- Że wspó"czesne komputerowe wirusy
nego programu komputer centralny wania. Dysponujący takim programem oraz komputerowe uk"ady odpornoĘcio-
przesy"a go na kolejnÄ… maszyn´ pe"niÄ…- analizator wirusów potrzebuje zazwy- we sÄ… tylko zaczÄ…tkiem bogatego  digi-
cÄ… rol´ cyfrowej poÅ»ywki. Tam specjal- czaj na t´ prac´ nie wi´cej niÅ» 5 min. tosystemu , w którym powsta"e w przy-
nie zaprojektowane programy wabiki Uzyskana informacja jest przesy"ana do sz"oĘci formy sztucznego Å»ycia b´dÄ… si´
usi"ujÄ… przyciÄ…gnÄ…ç wirusa i sk"oniç go zainfekowanego komputera PC i w"Ä…- rodzi"y, umiera"y, wspó"pracowa"y lub
do zainfekowania któregoĘ z nich pod- czana do bazy danych zawierającej  re- polowa"y na siebie w cyberprzestrzeni.
czas uruchamiania, otwierania, czyta- cepty na usuwanie znanych juÅ» wiru-
T"umaczy"
nia, kopiowania i innych operacji. Wi- sów. Korzystając z otrzymanych Andrzej Kadlof
rus, by przetrwaç i skutecznie si´ na- danych, zakaÅ»ony PC eliminuje wirus
* Programowi agenci są rodzajem programów, któ-
mnaÅ»aç, musi infekowaç cz´sto wyko- w swoich zasobach. JednoczeĘnie staje
re mogÄ… dzia"aç w imieniu uÅ»ytkownika [patrz:
rzystywane programy. Wyhodowanie si´ odporny na przysz"e jego ataki. Âwiat Nauki, kwiecieÅ‚
1995] (przyp. red.).
Informacje o autorach Literatura uzupe"niajÄ…ca
JEFFREY O. KEPHART, GREGORY B. SORKIN, DAVID M. CHESS i STEVE R. ROGUE PROGRAMS: VIRUSES, WORMS AND TROJAN HORSES. Red.
WHITE sÄ… obecnie pracownikami Thomas J. Watson Research Center IBM Lance J. Hoffman; Van Nostrand Reihold, 1990.
w Yorktown Heights (Nowy Jork). Do oĘrodka badał
nad wirusami trafili w róŻ- COMPUTERS AND EPIDEMIOLOGY. J. O. Kephart, S. R. White i D.
ny sposób. Kephart studiowa" elektronik´ i fizyk´ na uniwersytetach w Stanford M. Chess; IEEE Spectrum, vol. 10, nr 5, ss. 20-26, V/1993.
i Princeton. PracujÄ…c w Xerox PARC, zainteresowa" si´ analogiami mi´dzy du- A SHORT COURSE ON COMPUTER VIRUSES. Wyd. II. Frederick B.
Żymi systemami komputerowymi, ekosystemami i ekonomią. Sorkin uzyska" Cohen; John Wiley & Sons, 1994.
licencjat z matematyki w Harvard University, a nast´pnie doktorat z informa- ROBERT SLADE S GUIDE TO COMPUTER VIRUSES; Springer-Verlag,
tyki w University of California w Berkeley. Specjalizowa" si´ w kombinatoryce, 1994.
modelowaniu matematycznym oraz optymalizacji. Chess, zanim poĘwi´ci" si´ BIOLOGICALY INSPIRED DEFENSES AGAINST COMPUTER VIRUSES. Jef-
konsekwencjom wyst´powania samoreplikujÄ…cych si´ programów w rozpo- frey O. Kephart, Gregory B. Sorkin, William C. Arnold,
wszechnionych systemach, zajmowa" si´ problemami zwiÄ…zanymi z wydajno- David M. Chess, Gerald J. Tesauro i Steve R. White, Pro-
Ęcią systemów komputerowych, procesami wspó"bieŻnymi i bezpieczeł
stwem. ceedings of the 14th International Joint Conference on Artifi-
Uzyska" licencjat z filozofii w Princeton i magisterium z informatyki w Pace cial Intelligence, Montreal, 20-25 VIII 1995; Morgan Kauf-
University. White doktoryzowa" si´ z fizyki teoretycznej w University of Cali- mann Publishers, Inc.
fornia w San Diego. ZapoczÄ…tkowa" w IBM tworzenie programów antywiru- ANTIVIRUS ONLINE. Informacje o wirusach dost´pne w World
sowych i obecnie nadzoruje ich rozwój oraz dalsze badania. Wide Web pod adresem: http://www.av.ibm.com.
60 ÂWIAT NAUKI StyczeÅ‚
1998
JEFFREY O. KEPHART