Amiga MinusEskarina
<<  Spis treści  >>
W ŚWIECIE WIRUSÓW
Podczas gdy świat pecetów i Windowsów paraliżują kolejne wirusy rozprzestrzeniające się w postaci załączników do listów czy poprzez strony internetowe, wydaje się że użytkownicy Amigi mogą spać spokojnie. Porządnie przerzedzone środowisko amigowe nie ma już swojego potencjału i programistów, którzy byliby w stanie porządnie "namieszać" na amigowych dyskach. Jednak w gronie użytkowników Amigi nadal są osoby, które z wrodzonym zacięciem tworzą kolejne wirusy, wpychając je do Aminetu, na płyty CD dołączane do czasopism czy nośniki oryginalnych programów. Ostatnio nawet jawnie, bowiem po uruchomieniu pewnej produkcji scenowej na pecetowym emulatorze Amigi zostaną skasowane wybrane pliki systemowe, czym chwalą się wymieniani z imienia i nazwiska twórcy. Tymczasem by spowodować największe straty wcale nie trzeba tworzyć wirusa, do czego niezbędna jest znajomość zasad programowania. W świecie pecetów wystarczy rozesłanie listu z informacją o nowym wirusie i propozycją ręcznego sposobu jego unieszkodliwienia, czyli skasowania wskazanego i ważnego pliku systemu, który przez naiwnego użytkownika zostanie wzięty za wirusa, zgodnie z zaleceniami zawartymi w anonimowo wysłanym mailu. Wystarczy poczekać, by i na Amigę powstały tego typu "wirusy". Obok wspomnianego wcześniej UAE mamy przecież Amithlona, a niedługo, zgodnie z zapowiedziami, Pegasosa i AmigaOne, a to oznacza pojawienie się nowych subsystemów AmigaOS, nowych bocznych furtek i błędów w oprogramowaniu gotowych do wykorzystania.

Można powiedzieć że AmigaOS jest systemem bezpiecznym. Na Amidze nie ma wszędobylskich makr, a programy pocztowe nie uruchamiają automatycznie programów załączonych do emaili. Ale nie do końca. Jak się ostatnio okazało, popularny interfejs MUI, na bazie którego pracuje większość programów do obsługi Internetu, od lat ma dziurę, umożliwiającą na zdalne wejście do systemu i wykonanie pewnych operacji, jak najbardziej destruktywnych. Co prawda nie chodzi tutaj o działalność wirusa, jednak i programiści mogą przecież zacząć wykorzystywać błędy MUI. Pomysłowość autorów wirusów zmusiła jakiś czas temu administratora Aminetu do zamknięcia serwera na tydzień. Innym razem wirus powysyłał obraźliwe maile pod adresem szefa pewnej amigowej firmy. Na marginesie można wspomnieć, że całkiem niedawno nastąpiło włamanie na serwery firm Amiga Inc. i Eyetech, a osoby które tego dokonały podmieniły firmowe strony. Czyżby był to zalążek cyberterroryzmu w mikroświecie Amigi?

Amigowe wirusy pojawiają się średnio dwa razy w miesiącu. Jeśli przyjrzeć się dokładniej: pojawiają się niesystematycznie. Bywa i tak, że przez dwa, trzy miesiące nie pojawia się żaden z nich, by nagle pojawiło się pięć praktycznie jednocześnie. Złą passę możemy odnotować w tym roku. Nie ma miesiąca, by nie pojawił się nowy wirus. Specjaliści są zdania, że określenie "nowe" jest zwykle przesadzone. Najczęściej bywa tak, że autor wirusa regularnie wypuszcza przeróbki swojego pierwszego wirusa, którego nietrudno zneutralizować, jednak zamieszanie i tak powstaje.

Wirusy amigowe w gruncie rzeczy nie różnią się od tych najpopularniejszych, opisywanych w telewizji i prasie, czyli windowsowych. - Pod Windowsem wirusy mają większe możliwości - mówi Georg Hormann, współautor xvs.library. - Mają bowiem do dyspozycji makra, VBA czy Worda, a amigowe wirusy działają tak samo, przy czym muszą korzystać z większej liczby systemowych funkcji, by móc się rozsyłać - twierdzi programista.

Wirusy szkodzą na różne sposoby. Niektóre kasują całą systemową partycję twardego dysku, zastępując sektory losowo wybraną zawartością, co jest nie do naprawienia. Mogą zarówno skasować pliki jeden po drugim, jak i od razu sformatować dysk. Na szczęście większość pojawiających się obecnie wirusów ma mniej destruktywny charakter. - W ciągu ostatnich ośmiu miesięcy daje o sobie znać grupa polskich złośliwych wirusów - mówi Jan Eric Olausen, autor Virus Executora i współautor xvs.library. Jednak, jak twierdzi programista, wirusy te nie stanowią większego problemu jeśli chodzi o ich wykrycie i neutralizację.

Do historii przeszedł dyskietkowy wirus SCA, który "uderzył" w amigową scenę ponad dziesięć lat temu. Użytkownicy byli bezradni, nie było wówczas tak rozwiniętych jak obecnie programów antywirusowych, a cała scena, podobnie jak większość zwykłych użytkowników, wykorzystywała dyskietkę jako główny nośnik danych. Wirus ze sceny szybko opanował BBS-y, piracką giełdę, gry i ówcześnie sprzedawane składanki shareware. Podobnie było z wirusem zatytułowany Saddam, który w Polsce znajdował się nawet na dyskietkach z programami edukacyjnymi dla młodzieży, sprzedawanymi przez wiele polskich firm. Oprogramowanie zapisane na dyskietce w sposób "niedosowy" wirus czynił bezużytecznym i nie do naprawienia. Wcześniej Saddam trafił do użytkowników w Anglii na dyskietkach dołączanych do licznych wówczas czasopism amigowych. Wszystko trwało do momentu pojawienia się system 2.x, kiedy to wirus przestał być szkodliwy. Od razu pojawiła się jego wersja plikowa, która jednak szybko została opanowana przez programy antywirusowe. Dziś Saddam jest swoistym postrachem osób odkurzających stare dyskietki oraz wchodzących w posiadanie płyt CD ze składankami pirackich gier.

W 1996 roku grupa szwedzkich hakerów stworzyła ponad 40 koni trojańskich na Amigę, czyli programów udających inne programy. Wirusy te potrafiły skasować cały system, a wśród użytkowników Amigi znalazło się wiele naiwnych osób, które dały się nabrać na nowe wersję ulubionych programów.

Według specjalistów wirusy rozprzestrzeniają się głównie przez Aminet, rzadziej poprzez płyty CD dołączane do gazet. Chociaż i to się zdarza, zwłaszcza że często zawierają one oprogramowanie z Aminetu, a redakcje chętnie zamieszczają pliki podsyłane przez czytelników, które następnie w setkach czy tysiącach egzemplarzy trafiają do nieświadomych zagrożenia użytkowników. Nawet na polskich składankach PD, zwłaszcza tych starszych, niejednokrotnie można było znaleźć wirusa. Ogólnie podejrzane są wszelkie zbiory pirackiego oprogramowania oraz zawartość BBS-ów. Tylko Aminet stać obecnie na skrupulatne badanie większości nadsyłanych plików, lecz to właśnie w Aminecie pojawia się najwięcej wirusów.

Kto tworzy amigowe wirusy? - Mamy podejrzenia co do autorstwa niektórych wirusów - mówi Jan Eric Olausen. Programistom AV (AV to skrót od 'anti-virus software', który w dalszej części artykułu będzie w tej formie używany) znany jest przeważnie styl tworzenia wirusów przyporządkowany poszczególnym twórcom oraz nazwa kraju, z którego wirus pochodzi. - Większość najnowszych wirusów pochodzi z Polski - stwierdza Georg Hormann - zwłaszcza jeśli chodzi o rok 2001, kiedy to prawie wszystkie wirusy, dla przykładu Bobek, HitchHiker czy Smeg wyszły spod ręki polskich programistów - dodaje Hormann wyliczając przy okazji, że większość starszych wirusów pochodziła głównie z terenu Stanów Zjednoczonych i Zachodniej Europy. Słowa Hormanna potwierdza Olausen stwierdzając, że piętnaście ostatnich wirusów z roku 2001 pochodzi z Polski.

Autorzy wirusów lubią od czasu do czasu poinformować programistów AV o swoim nowym wirusie. Czasem wyślą kartkę pocztową, czasem list z dyskietką, zawierającą kod wirusa. - Trzy lata temu Mad Roger, polski autor wirusów, przysłał mi swoje "dzieła" w dwóch listach z dołączonymi dyskietkami - opowiada Georg Hormann. Ostatni twórcy wirusów na Amigę zostali złapani około dziesięciu lat temu. Byli to autorzy między innymi opisanego wcześniej SCA czy DASA.

Większość współczesnych programów antywirusowych na Amigę korzysta z biblioteki xvs.library, stanowiącej zbiór informacji o znanych wirusach, sposobach ich kasowania i usuwania wyrządzonych przez nie szkód. Programy opierające się na tej bibliotece różnią się więc głównie interfejsem graficznym bądź oferują dokładne, mniej dokładne lub pobieżne sposoby sprawdzania plików. - Najczęściej używane obecnie programy AV to VirusZ, Virus Checker 2 oraz Virus Executor - wylicza Jan Olausen, a jego słowa pokrywają się z wynikami naszego sondażu przeprowadzonego wśród użytkowników (szczegóły w artykule obok). Według Georga Hormanna najlepszy interfejs użytkownika posiada VirusZ 3. Standardem są jednak programy oparte na xvs.library, na przykład Safe polskiego autora, który wprawdzie nie usuwa wirusów, ale skutecznie je wykrywa i sygnalizuje ich obecność w oparciu właśnie o wspomnianą bibliotekę.

Jak wygląda proces neutralizacji wirusa?

Jan Eric Olausen: disasembluję wirusa by sprawdzić, jak on wygląda i jakiego jest typu. Następnie uruchamiam go na specjalnie przygotowanej do tego celu Amidze by sprawdzić jego zachowanie. Jeśli jest to wirus polimorficzny, nieodzowne jest przeprowadzenie wielu operacji na plikach, by dowiedzieć się jak dokładnie działa. Gdy wszystko jest już jasne, piszę procedurę wykrywającą wirusa i usuwającą go, jeśli jest to wirus doklejający się do plików, nie zapominając o usunięciu go z pamięci.

Georg Hormann: najpierw ktoś musi mi dostarczyć wirusa, a jest w tym najlepszy ich kolekcjoner, Jan Andersen z serwisu internetowego VHD. Analizę wirusa rozpoczyna wczytanie go do pamięci przy pomocy programu PowerSeka, odnalezienie kodu i sprawdzenie czy nie jest zakodowany, a jeśli tak - ręczne odkodowanie. Następnie wczytuję go do doskonałego programu Resource, który kupiłem kilka lat temu, i analizuję jego kod. Gdy wszystko już wiem o wirusie, wystarczy napisać procedurę usuwającą go oraz ewentualnie naprawiającą wyrządzone przez niego szkody.

Rozgryzienie wirusa zajmuje programistom AV od pięciu minut do dwudziestu godzin. - Wirus polimorficzny typu HitchHiker 5.00 zabiera mi trzy pełne noce czasu - mówi Hormann. Nasz rozmówca potrzebuje około 10-15 godzin na pełną analizę i procedurę usuwającą, tymczasem rozpracowanie konia trojańskiego zajmuje mu około 15 minut.

Oprócz tego że programiści AV współpracują sami ze sobą w gronie kilku twórców oprogramowania antywirusowego na Amigę, pomagają im w tym sami użytkownicy. Z Janem Olausenem utrzymuje kontakt około dwudziestu osób z całego świata, podsyłając programiście wytropione wirusy. - Dwadzieścia procent tych osób to Polacy - mówi Olausen. Tymczasem Hormann utrzymuje kontakt tylko z Janem Andersenem, choć oczywiście od czasu do czasu zgłaszają się do niego sami użytkownicy, którzy mieli styczność z wirusem. Grono programistów AV z roku na rok się kurczy. Na szczęście ci którzy odchodzą, chętnie pomagają aktywnym programistom.

Prognoza na najbliższy rok jest mało obiecująca. W latach 1998-2000 wykrywano około sześciu nowych wirusów w ciągu roku. W pierwszej połowie 2001 roku wykryto ich co najmniej kilkanaście, w tym dużą ilość koni trojańskich. Obecnie rynek Amigi ożywił się, pojawiają się nowe produkty i wszystko wskazuje na to, że powtarzane od lat zapowiedzi nowej Amigi przełożą się w nowym roku na stan faktyczny. Obudzą się więc i programiści, być może wywodzący się z aktualnie zrodzonych podziałów społecznych: AmigaOne kontra Pegasos, Pegasos kontra Amithlon, Amithlon kontra UAE. Nie zapominajmy przy tym, że prawie wszystkie wirusy wykryte w 2001 roku są polskiego pochodzenia.

Co polecają autorzy programów antywirusowych zwykłym użytkownikom? Generalnie każdy z nas powinien używać kilku różnych programów AV dla większego bezpieczeństwa. - Safe Zeeballa jest dobrym przykładem małego i użytecznego programu pierwszej pomocy, szybko aktualizowanego, ale dla głębszych analiz potrzebne są prawdziwe file checkery - mówi Hormann. Programista ma pomysł na usprawnienie procesu unieszkodliwiania wirusów. - Myślę o założeniu grupy programistów razem z Janem Olausenem i Zeebalem (autorem programu Safe - przyp. SW) - opowiada Georg Hormann. Wszystko po to, by podzielić pracę i nie tracić czasu na rozgryzanie tego samego wirusa przez kilka osób jednocześnie.

Tymczasem wielu użytkowników Amigi uważa, że problem wirusów ich nie dotyczy. Faktycznie, korzystając z programów ze sprawdzonego źródła i nie ściągając nowości z Aminetu czy programów ze stron użytkowników jest niezwykle trudno wejść w kontakt z wirusem. Są użytkownicy którzy twierdzą, że od wielu lat nie wykryli na swoim dysku ani jednego wirusa. Są jednak i tacy, którzy wskutek działania amigowego wirusa stracili cenne dane. Przypadki te są dobrze znane autorom oprogramowania AV i nie są one odosobnione, czego przykładem niech będą wyniki sondażu znajdujące się w sąsiednim artykule. Warto więc przyjrzeć się programom antywirusowym na Amigę, tym bardziej że w przeciwieństwie do innych platform sprzętowo-systemowych są one całkowicie darmowe dla użytkowników.

Sławomir Wilk
<<  Spis treści  >>