Между тем качество тестирования программного обеспечения (неважно – распространяемого в открытых исходных текстах или без таковых) достаточно невелико, и, по меткому выражению одного из хакеров, один единственный SendMail содержит больше дыр, чем все Windows-приложения, вместе взятые. И хотя огромное количество различных дистрибьютивов UNIX-систем многократно снижает влияние каждой конкретной дырки, ограничивая ареал обитания вирусов сравнительно небольшим количеством машин, в условиях всеобщей глобализации и высокоскоростных Интернет-каналов даже чрезвычайно избирательный вирус способен поразить тысячи компьютеров за считанные дни или даже часы!

Распространению вирусов невероятно способствует тот факт, что в подавляющем большинстве случаев система конфигурируется с довольно демократичным уровнем доступа. Иногда это происходит по незнанию и/или небрежности системных администраторов, иногда по «производственной» необходимости. Если на машине постоянно обновляется большое количество программного обеспечения (в том числе и создаваемого собственными силами), привилегии на модификацию исполняемых файлов становятся просто необходимы, в противном случае процесс общения с компьютером из радости рискует превратиться в мучение.

Антивирусные программы, в том виде, в котором они есть сейчас, категорически не справляются со своей задачей, да и не могут с ней справиться в принципе. Это не означает, что они полностью бесполезны, но надеяться на их помощь было бы по меньшей мере наивно. Как уже отмечалось выше, в настоящий момент жизнеспособных UNIX-вирусов практически нет. И, стало быть, антивирусным сканерам сканировать особо и нечего. Эвристические анализаторы так и не вышли из ясельной группы детского сада и к реальной эксплуатации в промышленных масштабах явно не готовы.

Ситуация усугубляется тем, что в скриптовых вирусах крайне трудно выделить устойчивую сигнатуру – такую, чтобы не встречалась в «честных» программах и выдерживала хотя бы простейшие мутации, отнюдь не претендующие на полиморфизм. Антивирус Касперского ловит многие из существующих скриптовых вирусов, но… как-то странно он их ловит. Во-первых, вирусы обнаруживаются далеко не во всех файлах, а во-вторых, простейшее переформатирование зараженного файла приводит к тому, что вирус остается незамеченным.

Все скрипты, позаимствованные из потенциально ненадежных источников, следует проверять вручную, поскольку:

…самый дурацкий троян может за несколько секунд парализовать жизнь сотен контор, которые напрасно надеются на разные антивирусы

Вы либо безоговорочно доверяете своему поставщику, либо нет. В полученном вами файле может быть все что угодно (и просто некорректно работающая программа в том числе!).

Что бы там ни говорили фанатики UNIX, но вирусы размножаются и на этой платформе. Отмахиваться от этой проблемы – означает уподобиться страусу. Вы хотите быть страусами? Я думаю – нет!

Что думают администраторы об AVP для Linux

– Мужики, а чем вам, собственно, AVP не угодил?

Тем, что вместо того, чтобы сесть, подумать и сделать как надо, наняли пионера, который не с первой попытки научился делать бинарники, запускающиеся не только на его машине, и потом метались туда-сюда, пытаясь кого-нибудь заинтересовать своей поделкой. До avpdaemon, замечу, додумались далеко не с первой попытки – сперва все какие-то поделки с ncurses интерфейсом пихали. Наступили (по пионерству) на все положенные грабли. Сейчас кое-как работает, только почему-то от рута, и все время в кору падает. Нафиг, к терапевту. Пионер там был обучаемый, два раза одни и те же грабли не топтал – но оно мне надо, его обучать забесплатно? Drweb 'овцы купили именно тем, что пионеров нанимать не стали и головой думали до того, как писать, а не после того, как написали.

…бинарная хренотень с кривыми наклонностями, непонятно похотливая на рута, делающая что-то непонятное, погано документированная, стоящая странных бабок и при этом интегрируемая в систему через задницу, должна спокойно уходить в /dev/nullno мере поступления.

Условия, необходимые для функционирования вирусов

Памятуя о том, что общепринятого определения «компьютерных вирусов» не существует, условимся обозначать этим термином все программы, способные к скрытому размножению. Последнее может быть как самостоятельным (поражение происходит без каких-либо действий со стороны пользователя: достаточно просто войти в сеть), так и нет (вирус пробуждается только после запуска инфицированной программы).

Сформулируем минимум требований, «предъявляемых» саморазмножающимися программами к окружающей среде (кстати, почему бы окружающую среду не назвать окружающим четвергом?):

– в операционной системе имеются исполняемые объекты;

– эти объекты можно модифицировать и/или создавать новые;

– происходит обмен исполняемыми объектами между различными ареалами обитания.

Под «исполняемым объектом» здесь понимается некоторая абстрактная сущность, способная управлять поведением компьютера по своему усмотрению. Конечно, это не самое удачное определение, но всякая попытка конкретизации неизбежно оборачивается потерей значимости. Например, текстовый файл в формате ASCII интерпретируется вполне определенным образом и на первый взгляд средой обитания вируса быть никак не может. Однако, если текстовый процессор содержит ошибку типа «buffer overflow», существует вполне реальная возможность внедрения в файл машинного кода с последующей передачей на него управления. А это значит, что мы не можем априори утверждать, какой объект исполняемый, а какой нет.