Matka ryba

W światku wirusologów święto. Wirus Mother Fish przestał stawiać opór zjednoczonym siłom wirusologów prawie całego świata. Opublikowano właśnie informację o tym, że już wszystko wiadomo, że nawet te kawałki kodu, te liczniki, których przeznaczenia nikt nie mógł się domyślić, znalazły swoje miejsce w obrazie wirusa.

W światku wirusologów święto. Wirus Mother Fish przestał stawiać opór zjednoczonym siłom wirusologów prawie całego świata. Opublikowano właśnie informację o tym, że już wszystko wiadomo, że nawet te kawałki kodu, te liczniki, których przeznaczenia nikt nie mógł się domyślić, znalazły swoje miejsce w obrazie wirusa.

Wirus Mother Fish ma bardzo ciekawa historię, tak naprawdę nie do końca sprawdzoną. O ile wiadomo, został on przesłany ponad pół roku temu do pewnego adwokata w Nowym Jorku z poleceniem udostępnienia jego kopii najsłynniejszym wirusologom z całego świata. Adwokat wywiązał się ze swoich obowiązków i wkrótce poszczególne centra przeciwwi--rusowe ogłaszały coraz to nowe terminy „rozgryzienia" wirusa. Najpierw mówiono o dwóch tygodniach, potem o miesiącu, dwóch miesiącach. Nic w tym dziwnego, jako że trzy czwarte kodu wirusa wymierzone jest przeciwko wirusologom usiłującym zanalizować jego działanie. Przy tym wirus nie należy do ułomków - w 9 tysiącach bajtów assemblerowego kodu niemało można pomieścić.

Opóźnienia w rozpoznawaniu wirusa dały pożywkę przeróżnym spekulacjom na temat jego zaawansowania. Podejrzewano nawet wirusa o to, że należy do wirusów nazwanych - przez analogię do broni chemicznej binarnymi. Charakterystyczne dla takich wirusów jest to, że występują parami. Oddzielnie, każdy z pary wirusów ma łagodny charakter, ogranicza swoją działalność do mnożenia się i tylko zastanawiać może to, że fragment jednego z wirusów zawiera jakieś zupełnie nieczytelne „śmieci", a w drugim występuje dziwna procedura, nie służąca do niczego rozsądnego. Wszystko wyjaśnia się, gdy oba wirusy spotkają się na jednym komputerze. Wówczas procedura zawarta w jednym wirusie rozkodowuje fragment drugiego, który okazuje się kawałkiem programu, napisanego bynajmniej nie w pokojowych celach. Binarność takiego wirusa bardzo utrudnia, lub wręcz uniemożliwia jego eksplorację. Potrzeba trochę szczęścia, by złapać jednocześnie oba sub-wirusy, a do tego niemało wiedzy, by je ze sobą skojarzyć.

Na szczęście okazało się, że Mother Fish zawiera w sobie procedury deszyfrujące wszystkich pięciu poziomów kodowania wirusa. Wirusy szyfrujące swój kod znane są od wielu lat. Wiele z nich buszuje również na naszych krajowych komputerkach. Sposób szyfrowania zawarty w Mother Fishu wyprzedza je jednak o kilka długości. Po pierwsze, zmienna procedura deszyfracji rozkodowuje nie całego wirusa, a jedynie kolejną procedurę deszyfracji i tak dalej, aż do piątej procedury, rozszyfrowującej wreszcie właściwy kod wirusa. Po drugie, nigdy nie jest roz-kodowywany cały wirus, a jedynie „okienko" w kodzie, które po wykonaniu ponownie jest zaszyfro-wywane w odmienny niż poprzednio sposób. Stąd niełatwo wykryć wirusa w pamięci.

Kolejną cechą naszej wirusologicznej ciekawostki jest jej modu-larność. Polega ona na tym, że wirus składa się z 50 zamkniętych modułów, zestawianych ze sobą z dużą dowolnością. To powoduje, że wirus może się zmieniać w bardzo szerokim zakresie. W obecnej postaci wirus potrafi wyprodukować około 30 wariantów. Ma on jednak otwartą architekturę - możliwe jest „podrzucanie" Mother Fishowi kolejnych modułów do puli obecnych 50. Taką funkcję mógłby spełnić specjalnie do tego celu napisany kolejny wirus w momencie spotkania się z Mother Fishem na jednym komputerze. Nie muszę oczywiście dodawać, że wirus stosuje wszystkie techniki ukrywania się przed użytkownikiem i programami przeciwwirusowymi znane z innych zaawansowanych wirusów. Nie wykryją go programy liczące sumy kontrolne, nie będzie zauważalnej zmiany wielkości za-wirusowanego programu i nie podejrzymy go za pomocą edytora. Rozgryzający wirusa specjaliści sygnalizują trudności w lokalizacji zawirusowanych zbiorów. Program poszukujący go, który powstał w jednym z ośrodków dysponujących kopią wirusa, zawodzi w 17% wypadków.

Od niedawna wirus Mother Fish znajduje się również w moich zbiorach. Nie zdążyłem jeszcze poważniej się do niego zabrać, ale przeprowadziłem testy jego wykrywania przez bardzo popularny w Polsce i cieszący się dużym zaufaniem program SCAN firmy McA-fee. W programie tym wirus Mother Fish występuje pod nazwą „Whale". Niestety, muszę stwierdzić, że program zawiódł, nie znajdując wirusa w co trzecim za-wirusowanym zbiorze.

W końcu jednak wirus padł i teraz pozostała mu tylko jedna tajemnica: kto i po co go napisał. Istnieją hipotezy, że powstał on w Izraelu, na zamówienie jakiejś organizacji bądź fundacji. Jak zgodnie potwierdzają rozgryzające wirusa centra, wirus jest dziełem nie lada specjalisty lub (co bardziej prawdopodobne) grupy programistów systemowych znających perfekcyjnie środowisko komputerów typu PC. Ocenia się, że nawet takim fachowcom napisanie go zabrało niemało miesięcy.

W takim wypadku niewątpliwie występuje dodatkowy element, nieobecny w wypadku wirusów powstających jako odprysk defektów charakteru nieznanych fru-stratów. Są nim pieniądze. Wielomiesięczna praca zespołu wybitnych systemowców (to właśnie tacy specjaliści zarabiają najwięcej) musiała kosztować majątek. Zainwestowany w sprzedawalny produkt dawałby szansę powrotu w postaci zysku ze sprzedaży. A co daje zainwestowanie pieniędzy w wirusa? Istnieją co prawda teorie, że chodziło o wypróbowanie czasu reakcji wirusologów na nowego wirusa. A może chodziło o stymulację rozwoju technik obrony przed wirusami? Są też i tacy, którzy jako motyw podają chęć zapewnienia godziwej rozrywki kilku tysiącom facetów. Jak było naprawdę, nikt nie wie i być może nigdy się tego nie dowiemy. W każdym razie mamy do czynienia z nowym zjawiskiem - napisanym na zamówienie „Wirusem Profesjonalnym", który wcale nie musi być ostatnim i jedynym produktem tego typu.

Dotąd nie zauważono jeszcze przypadków „ucieczki" tego wirusa, tak więc na razie nie grozi nam mother-fishowa epidemia. Jednak „upilnować" inteligentnego wirusa nie jest łatwo i, jak pokazuje przeszłość, wszystkie wirusy tworzone w celach badawczych trafiały w końcu na niebadawcze komputerki.

Uwaga na wirusa Mother Fish.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200