Тайна компьютерных вирусов раскрыта
Прошумевшая очередной раз эпидемия вирусов в Интернете вновь подняла давно мучающий прикладную математическую вирусологию вопрос об их происхождении. Как не странно, компетентные специалисты могут многое рассказать о методах лечения вирусов, но они скорее всего промолчат, если спросить их об источниках заражения.
Известно, что математические вирусологи в состоянии лечить вирусы только пост-фактум. То есть сперва вирус должен заразить некоторое, называемое "простым рамочным", число компьютеров - обычно это несколько сотен тысяч, и только после этого лаборатории по противодействию займутся своим делом - поиском метода лечения. Причем в соответствии с законом Мура простое рамочное число для вирусов постоянно растет. Стоит ли подчеркивать, что метод уничтожения уже распространившегося вируса малоэффективен и не способен предотвращать все более масштабные эпидемии.
Однако совсем недавно независимой группой новозеландских математических вирусологов под названием "Бомбаст и Полбумки" были опубликованы результаты трехлетнего научного труда, способные, наконец-то, создать условия для прорыва в области борьбы с компьютерной оспой, как иногда называют Интернет-вирусы.
Фундаментальная проблема современной математической вирусологии, - рассказывает руководитель группы "Бомбаст и Полбумки", доктор математики Гильберт Маркофф, - тотальная неизвестность, скрывающая происхождение вирусов. Неспособность мат.вирусологов внятно объяснить, откуда берутся компьютерные вирусы, даже породила укоренившееся в сознании некоторых пользователей мнение о том, что специалисты, предлагающие средства по борьбе с вирусами, сами эти вирусы и пишут. Что, конечно, абсурдно. Но теперь, благодарая нашим исследованиям, ситуация может координально измениться.
Основное достижение группы "Бомбаст и Полбумки" - это выделение компьютерного вируса в результате его самозарождения внутри операционной системы (операционная система - программное окружение компьютера, делятся на Windows, UNIX и Different).
Мысль, - поясняет доктор Гильберт Маркофф, - о возможном самозарождении компьютерных вирусов возникла в умах теоретиков давно. Однако до последнего времени не была подкреплена экспериментами. Нам же удалось подвести экспериментальный базис под теоретические посылки.
Для изучения вирусных процессов в лаборатории группы "Бомбаст и Полбумки" была создана сложная вычислительная сеть из нескольких сотен компьютеров, на которых эмулировалась обычная, так называемая "офисная", деятельность пользователей. Некоторое время положительных результатов достигнуть не удавалось - сеть работала устойчиво, вирусов не возникало, наблюдались лишь спорадические "зависания" (хальты - в научной терминологии) отдельных узлов сети.
Но, - вспоминает доктор Маркофф, руководитель группы "Бомбаст и Полбумки", - некоторые неудачи не сломили настроя наших специалистов - мы предприняли мозговой штурм, в результате которого была получена новая математическая модель возникновения компьютерных вирусов.
Оказалось, что основная причина отсутствия вирусной активности кроется в гомологичности тестовой конфигурации, или, попросту говоря, в том, что все компьютеры в лаборатории "Бомбаст и Полбумки" работали под управлением одной и той же операционной системы.
Как только, - с гордостью сообщает доктор Гильберт Маркофф, - мы это поняли, то сразу же принялись перенастраивать сеть: были добавалены несколько десятков узлов под управлением Unix, часть оставили под Windows и даже добавили семь специально подготовленных компьютеров Макинтош.
В новой сети дело пошло быстрее. Первый же спорадический хальт вызвал каскадное нарастание вторичных сбоев, в результате чего буквально в течение часа в сети появился вирус, который, быстро распространяясь с помощью электронной почты, поразил все компьютеры тестовой сети и разрушил ее инфраструктуру.
Да, мы были вне себя от счастья! - восклицает доктор Гильберт Маркофф. - Главное, что нам удалось сохранить образчик вируса на специальном ноутбуке. Проанализировав вирусный код, мы смогли точно уяснить себе процесс возникновения вируса - он зародился в своп-файле одного из компьютеров.
Своп-файлы - это особого рода временные области в памяти вычислительной машины, где операционная система хранит разный мусор, состав которого зависит от текущей деятельности пользователя. Если происходит зависание компьютера (хальт), то в своп-файле возникает случайная комбинация команд, способная превратиться в вирус.
Если у вас только один или два компьютера, - объясняет доктор Гильберт Маркофф, - то вероятность возникновения устойчивой вирусной комбинации крайне мала. Но если речь идет о разветвленной сети из нескольких сотен компьютеров, содержимое своп-файлов которых взаимодействует и находится в постоянном движении, вероятность появления вируса неизмеримо больше. А ведь Интернет это и есть сеть из миллионов своп-файлов разных систем! Поэтому не удивительно, что вирусы возникают в ней все чаще и чаще.
По результатам экспериментов группой "Бомбаст и Полбумки" будут опубликованы научные труды, которые, вероятно, примут на вооружение антивирусные лаборатории. В дальнейших планах доктора Гильберта Маркоффа приспособление открытого им механизма самозарождения вирусов для коммерческих целей - в новой, более масштабной, компьютерной сети будут проведены эксперименты по эволюции самозародившихся вирусов в полезные программы, например в многофункциональные пакеты наподобие Microsoft Office.