Szalay Tamás György

Nyomtatóbarát változat

A vírus 1987 tájékán kezdett közkeletű számítástechnikai fogalommá válni, ekkor jelentek meg az első példányok. Lehet, hogy csak a szakma ifjú titánjai próbálgatták oroszlánkörmeiket, vagy unatkozó tinédzserek próbálták ilyenformán némi aprópénzre váltani fáradságosan megszerzett kevéske tudásukat?

Önfertőzés?

Maguk a szoftvergyártók is a gyanú árnyékába keveredtek, ugyanis a másolásvédelem megszűnése – véletlenül – kis híján egybeesik a vírusok megjelenésével. A nyolcvanas évek elején, amikor még egy csúcsminőségű szoftver elfért egy 360 kilobájt kapacitású hajlékony mágneslemezen, akkor a fejlett számítástechnikai kultúrával rendelkező országokban szoftvert jószerivel csak másolás elleni védelemmel ellátva gyártottak. Nagy volt a keletje a másolásvédelmet elimináló programoknak, volt olyan, amiből minden hónapban új változatot adtak ki, hogy lépést tartsanak a gyártók legfrissebb furfangjaival. Ezt feltehetően maguk a gyártók unták meg, mert jószerivel többe került egy professzionális védelem, mint egy professzionális program.

’85 táján jóformán eltűnt a másolás elleni védelem, a PC-k világában megjelent ugyanis a számítógép és a nyomtató közé csatolható áramkör, amelynek hiánya blokkolta a programot. A program másolható, a fekete trutymóba ágyazott, majd műanyagba öntött áramkör azonban nem, mert annak tartalma csak végleges roncsolás után válik láthatóvá. Már ami marad belőle.

A programról bárkinek lehet tetszőleges számú másolata, de áramköre csak a tulajdonosnak van. Ha a program detektálja az áramkört, akkor működik, ha nem, akkor nem. Szerencsés esetben figyelmeztet, hogy teljesíti gazdája összes kívánságát, csak dugja már be a gépbe azt a nyavalyás áramkört. Kevésbé szerencsés esetben csak sunnyog, egészen peches esetben a védelem letörli a maga részéről illegálisnak tartott másolatot. Programunk kicsit keresgél a számítógép tárolóján, belenéz más kallódó programokba, nem törődvén azzal, hogy azokat frissiben írtuk, loptuk, vagy ad absurdum vettük. Ha nem találta meg más programban önmagának egy kicsiny darabkáját, akkor beleteszi – azaz megfertőzi egy másik programmal. Legközelebb már a fertőzött programot fogjuk elindítani; hamar eljön a napja, hogy majdnem minden számítógépes programunk fertőzött lesz. Aztán barátaink mágneslemezzel a hónuk alatt meglátogattak minket, egy kis programcserebere szándékával, és ők is kapnak a jóból. Ez a vírus.

A szoftvergyártókkal szembeni gyanú nem igazolódott. Tény, hogy van a birtokomban olyan szoftver, amit áramkör véd, és az eredeti gyári lemeze vírusfertőzött. A program abban az időben került hozzám, amikor már elég paranoiás voltam ahhoz, hogy a frissen kibontott kereskedelmi szoftvereken is a vírusellenőrzés legyen az első dolgom. Mindenesetre a fejlesztés során fertőzött szoftverek ellen szól, hogy a számítástechnika a majdnem korlátlan bizalomra épül.

Négyféle módszer

A szoftverek kereskedelmi módszereit ugyanis négy kategóriába lehet sorolni. Vannak hagyományos kereskedelmi csatornán forgalomba kerülő programok, és létezik az úgynevezett shareware, a public domain és freeware. Mind a négy esetben a program szerzője dönti el, hogy melyik kereskedelmi kategóriában kívánja munkája eredményét terjeszteni.

Kereskedelmi programok esetén minden tevékenység pontosan körülhatárolt. A gyártó gyártja, a kereskedő forgalmazza, a vevő megvásárolja, aztán otthon kicsomagolja, megnézi és megtudja, hogy mit is kapott.

A további három kategóriába sorolt programhoz a felhasználó ott jut hozzá, ahol akar. (Ugyanott, ahol általában a kereskedelmi szoftvereihez szokott. Egy biztos, hogy nem a boltban, a kereskedőnél.)

Ha a szerző programja shareware, akkor a vevő először is megkapja a programot, és a gyártó által önkényesen megszabott próbaideig ingyen használhatja. A próbaidő lejártával a felhasználónak dönteni kell: ha szereti a programot, és továbbra is használni akarja, akkor fizet, ha nem, akkor pedig a program úgy letörli önmagát, mintha ott se lett volna soha.

A public domain és freeware programok ingyenesek, a különbség csak az, hogy public domain szoftver esetén a szerző ismert, és fenntartja összes jogait, míg a freeware esetén a szerző örökre lemond jogainak jelenlegi és jövőbeli gyakorlásáról, és kilétét sem fedi fel.

Utóbbi három kategóriában a programokat felhasználóik terjesztik. Mivel az egész elektronikusan terjed, és a vevő közvetlenül a szerzőnek fizet, így a profit reményében tevékenykedő piaci szereplőket sikerült eltávolítani. A szoftverek a szokásos néhány száz, esetleg ezerdolláros árkategória helyett a 20-50 dolláros sávba esnek. A szerzők szövetségbe tömörültek, amelynek ombudsmanja van, aki a vevők jogait védi a szerzők disznóságaival szemben! Íratlan szabály, hogy ezeket a programokat változtatás nélkül kell továbbadni.

A vírusbeépítésnek mind a négy kategóriában már csak a gyanúja is bizalom- és presztízsvesztéssel jár. Az út egyenesen a gazdasági csőd felé vezet, legalábbis Transzlajtániában.

A kereskedelmi forgalomba került vírusfertőzött szofterek többnyire távol-keleti hamisítványok, az „üzemi balesetek” száma elenyésző. Mindenesetre a szerzők előnyben részesítik a gyártókkal szerződött viszonteladókat.

Potyogós

A vírusmizéria 1987 környékén kezdődött, és azóta a helyzet egyre romlik. Magyarországon már az első vírusok is szinte azonnal megjelentek, ehhez az ország eléggé nyitott volt. Nem tudom, emlékeznek-e még az úgynevezett Potyogós vírusra. A nemzetközi szakirodalom „Cascade”, „Blackjack” elnevezésekkel illette. A fertőzést könnyen észre lehetett venni, a képernyőn a betűk haldokló őszi legyekként hullottak alá a legalsó sorba. Első változatát 1987 októberében izolálták, és története sok mindent elárul. A vírus első változatának hordozó programja olyan volt, mint a trójai faló, ugyanis – elvileg – csupán a PC-billentyűzet Num Lock nevű gombját kapcsolta volna ki a számítógép elindításakor.

Már maga a hordozó kiválasztása is telitalálat volt, ilyen programot nagyon sokan használnak. A várt eredmény helyett lepotyogtak a betűk. Ekkor a program még nem volt igazi vírus, hanem csak egy kissé idétlen vicc, amit az ember szívesen felrakott kedves kollegája gépére. Igazi vírus csak némi módosítás után lett belőle. Az ismeretlen, feltehetőleg nyugatnémet szerző szándékai szerint a Potyogós minden alkalommal rezidenssé vált a számítógép memóriájában, hozzácsapta saját magát más programokhoz, és vicc helyett immár kifejezetten bosszantásból potyogtatta a betűket. Esetleg teljesen váratlan pillanatokban újraindította a számítógépet. A vírus titkosította saját magát, egyrészt hogy megnehezítse a felismerhetőségét, másrészt, hogy bonyolítsa az analizálását. A titkosításban az a „jó”, hogy a vírus egész más képet mutat magáról működés közben a számítógép memóriájában, mint a fertőzött programokban. Véletlenszerűen potyogtatta a betűket, és a döntési folyamat is nagyon kifinomult volt. Figyelembe vette a gép típusát, bizonyos teljesen szabványos és elterjedt hardvereszközök jelenlétét vagy hiányát, az évet, az évszakot és időpontot. Aktivizálódását példás önfegyelemmel korlátozta az 1980–1988 közötti időszakra, és akkor is csak szeptembertől decemberig. Mivel a vírus lényege az, hogy önmagát klónozza, ezért egyszerűnek tűnik egy vírus jelenlétének kimutatása: meg kell keresni a számítógép minden elérhető zugában az őt egyértelműen és félreismerhetetlenül azonosító mintát. Megszületett a válasz a vírusra: a vírusirtó vagy más néven szérumprogram.

Bogarak

A feladat egyszerűen hangzik, de több oka is van annak, hogy a vírusirtó programok sohasem tartalmazzák a teljes víruskódot. Ezért a vírus egészen elenyésző töredékét tudják csak „fejből”. Ez nem feltétlenül több, mint a tényleges víruskód néhány százaléka. Minimálisra kell csökkenteni a vakriasztásokat, és a vírusirtó programnak önmagáról is el kell tudni dönteni, hogy tényleg fertőzött-e, vagy csak az általa használt mintát találta-e meg önnön testében. Ha ugyanis a gyanúsított program nem tartalmaz vírust, de a vírusirtó mégis megpróbálja eltávolítani a programkód egy darabját, akkor alig kerülünk jobb helyzetbe, mint ha vírus garázdálkodna a számítógépben.

Visszatérve a Potyogóshoz, a vírus hamar bekerült a vírusirtó programok repertoárjába. Aztán egy jótét lélek gyorsan vagy megfejtette a vírusirtót, vagy minden tudományos alapot nélkülözve, pusztán kísérletezés útján megváltoztatott kettő bájtot az 1701 bájt hosszúságú kódban, amitől a vírus semmit nem változott, de a frissiben elkészült szérum sem hatott. A sötét oldal újabb módosításokat vetett be: megszüntették azt a korlátot, miszerint a vírus 1988 decemberével befejezi a bosszantásunkat. Aztán hosszabb lett három bájttal, majd ebbe a variánsba bekerült egy kifejezetten romboló rutin, amely a lemezek tartalmát helyreállíthatatlanul letörli. Hogy nehezítsék a vírus felismerését, többször módosították a titkosító eljárást. Mellesleg a különböző variánsok egész más időszakokban aktívak. Izraeli programozók 1990-es alkotása a „JoJo” nevű mutáns, amit USA-beli kollegáik 1991-ben tovább finomítottak. 1991-ben török programozók munkája nyomán az „1661” nevű, USA-beli kollégáik által a „Yap” nevű mutáns készült el. A „Yap” már nem is potyogtat, hanem szaladgáló ronda bogarakkal irtja a képernyőn a betűket. A „Cunning” nevű változat zenélt. A Potyogósnak mindent összevetve kb. másfél tucat változata készült el 1987 és 1992 között.

Yankee Doddle 17:00-kor

Az olvasónak bizonyára feltűntek az elnevezések. Sok vírus neve csak szám. Ilyenkor víruskódjának a méretére utalnak. Gyakran neveznek el vírust a kódban található szöveg alapján. Ezt a szöveget a vírus nem feltétlenül teszi láthatóvá. Ilyen például a már említett Jojó, amely a „Welcome to the JOJO vírus” és a „Fuck the system (c) – 1990” szöveget tartalmazza. Az „AIDS” nevű vírus aktiválódásakor közli, hogy „Your computer now has AIDS”. Más vírusokat az izolálás helyéről neveznek el, ilyen például a Jerusalem, amely feltehetően olasz gyártmány. Eredetének helyéről nevezték el az „USSR” nevű vírust.

Eredetükre nézve a vírusok a hőskorban elsősorban a nyugati világ termékei voltak. Ez valószínűleg összefüggésben áll az adott országban használt számítógépek mennyiségével és általában az ország számítógépes kultúrájával. Az első vírusok többnyire az Egyesült Államokban készültek, de a nyugat-európai programozók sem tétlenkedtek.

Az egykori szocialista országok 1989-ben szálltak ringbe, legkorábban talán Bulgária. Az év szeptemberében izolálták a „Yankee Doddle” és a „Dark Avenger” vírusokat. A Yankee Doodle – maga is az Andromédához fogható ügyeletes mumus volt a sajtóban néhány éve – 17:00-kor eljátszotta a hasonló című dalocskát. Júniusi adatok szerint a bolgár eredetű vírusok száma kb. 60. Lengyelország ’89 decemberében jelentkezett a „Joker”-rel, ma a lengyelek mintegy 40 vírus gazdái, hasonlóan Németországhoz és Olaszországhoz. Németország gyenge teljesítményt mutat, főleg ha figyelembe vesszük az 1990 őszi egyesítést is.

Az egykori Szovjetunió első elismert eredményei 1990 májusban mutatkoztak a „Victor” nevű vírussal. A viszonylag késői kezdést évről évre fokozódó terméssel pótolták. Jelenleg közel száz vírussal abszolút nagyhatalomnak számítanak. Az egykori Csehszlovákia első vírusát 1991 szeptemberében izolálták, és a „Semtex” nevet kapta. Csehszlovákia számlájára mindössze 5 vírust írnak. Magyarországon a vírusírók tevékenysége a rendszerváltás tájékán bontakozott ki. Az USA-ban készült katalógus mindössze egytucat vírust tulajdonít nekünk, de becslésem szerint ez tényleges eredményeinknek mindössze fele-harmada lehet. A fenti számok egyébként a világ júniusi állapotát tükrözik.

A Cannabis Indica és a Münnich Ferenc Társaság

Miért ír valaki vírusokat? Fogalmam sincs, pedig ezen a rejtélyen legalább négy éve töprengek. A magam részéről, ha valakinek borsot akarok törni az orra alá, akkor szeretem látni a reakcióját is. Az ismeretlen vírusgyártó számára ez nem biztos, hogy megadatik, így a magam részéről a vírusírás = örömforrás + kielégülés képlet helyességét nem tartom valószínűnek. Ha a vírusírót esetleg a szakmai sikerélmény motiválja, akkor megállapíthatjuk, hogy ez is csak a vírusírók elenyésző töredékének adatik meg, hisz a vírusok elég nagy része fércmű. Egyébként is egy jól – hangsúlyozom: jól – megírt vírus megfejtőjének sokkal nagyobb sikerélmény jut osztályrészül, mint magának a szerzőnek. Hisz szinte belenézek az agyába, és felfedem a gondolatait, bármennyire is igyekezett eltitkolni előlem. Ő abban a hiszemben dolgozott, hogy „művét” nem lehet megfejteni, de nekem mégis sikerült.

Néha a vírusok egyenesen hitvallásokat közölnek velünk. A svájci eredetű „Tequila” szerint a a tequila és a sör a legjobb dolog, ami a Földön létezik. A holland vírusokon is tükröződik a hely szelleme. A „CoffeeShop” nevűek közlik a tájékozatlanokkal, miszerint Amsterdam = COFFEESHOP. (Az amszterdami kávézó nem a kávéjáról nevezetes…) Felrajzolja a számítógép képernyőjére a Cannabis Indica nevű növény levelét (szép nagyban), és aláírja a követelését: Legalize marijuana! A vírusok gyakran közölnek politikai állásfoglalást is. Olasz eredetű a „Cossiga”. Szerzőjének véleménye: COSSIGA?! NO GRAZIE! A felirat betölti az egész képernyőt.

Északi szomszédaink terméke egyáltalán nem mellőzi a nemzettudatot. Üzenete: „Slovakian virus version 2.00 (c) 1991 by ?? Ali Rights Reserved. Greetings from Bratislava, SLOVAKIA. Type the word SLOVAKIA:” Ha nem tennénk eleget a vírus szíves kérésének, és valami mást találnánk beírni, akkor a program diszkréten figyelmeztet: „Type the word SLOVAKIA, not CZECH, YUGOSLAVIA, or SLOVENIA!! Press Esc.” Mese nincs, be kell írni, hogy SLOVAKIA, mire a fertőzött program indul, és persze gyilkol tovább.

Hazai szerzőnk vírus útján üzente Györgyi nevű hölgyismerősének: „I love you, Györgyi.” Más honfitársunk ezúton tudatta, hogy a Polimer kazetta a legjobb, és csak ezt vásárolja mindenki. De állítottak emléket ily módon a Münnich Ferenc Társaságnak is, más szerző nemes egyszerűséggel közölte: Kinyal6od.

„Jóindulatú” vírus NINCS! Vannak vírusok, amelyek „csak” szaporodnak a számítógépekben, és vannak, amelyek nagyon kíméletlenül rombolnak. Ismerünk úgynevezett polimorf vírusokat is. Ezek igazából nem is vírusok, hanem nagyon bonyolult kódoló automaták. A tavalyi év során két ilyen automata tűnt fel, elsőként a Dark Avenger Mutation Engine Bulgáriából, majd a Trident Polymorphic Engine Hollandiából. Az automaták által kódolt vírusoknál igazából csak az automata jelenlétéből lehet a fertőzést kimutatni. Az automata bonyolultságára jellemző, hogy a tesztelés során két egymás utáni kódolásban három bájt ha megegyezett.

Recesszió

Jelenleg az ismert vírusok száma – az alfajokat, mutánsokat is beleértve – kétezer körül lehet. Indokolja-e ez a sajtóban egy-másfél évente kitörő vírushisztériát? A helyzet nem, legfeljebb a vírusirtókat gyártó és forgalmazó cégeket is sújtó általános recesszió.

Augusztus ötödikén egyébként támadott a Frogs. Ha a számítógép egy ártatlannak látszó „dir” parancs hatására üdvözöl minket a békák völgyében, akkor máris búcsúzhatunk a számítógép lemezegységének tartalmától. Egyik számítógépes hetilapunk minden pénteken közli a megjelenését követő hétre érvényes vírusnaptárt. A július 30. és augusztus 5. közötti héten harminckettő különböző vírus volt aktív. Ezek között ráadásul az Androméda nem is szerepelt.

A júniusi állapotokat tükröző adatbázisom szerint két Androméda van. Mind a kettő magyar. Egy amerikai szérumprogram ismeri mind a kettőt. Ennek a programnak azóta már jelent meg újabb kiadása. Az Androméda 1.0-át ezenkívül ismeri még egy program, az Androméda 1.1-et két másik szérum, amelyek közül legalább az egyiket frissítették már. A dologban az az érdekes, hogy senki nem érezte szükségét annak, hogy kifejtse, mitől is olyan veszélyes az Androméda.

Pénteken 13. lesz.

Hogyan védekezzünk? Mindenképpen szerezzünk be legalább két külföldi szérumot, mert a különböző vírusokat az egyik program irtja, a másik esetleg csak felismerni tudja. Mindenképpen legyen hazai fejlesztésű programunk, amely a helyi specialitásokat ismeri. Ha lehet, válasszunk shareware programot, mert kereskedelmi programok esetén vagy elér hozzánk az új vírusokat tartalmazó adatbázis, vagy nem. A shareware programokat a szerzők a regisztrációs díj kifizetése után gyakran egy-két évig frissítik a legújabb változatokkal. Vírusirtó program két hónappal régebbi változatban mindössze jelképes értéket képvisel. És ne feledkezzünk meg sohasem a gyári lemezek, sem más lemezeink ellenőrzéséről. Ha saját lemezünket más számítógépébe tettük, otthon az első dolog legyen az ellenőrzés. Természetesen ekkor is csak azt mondhatjuk el, hogy az általunk birtokolt szérumprogramok egyike sem talált vírust. Hogy nincs vírusunk, azt soha nem jelenthetjük ki százszázalékos bizonyossággal.

Pénteken 13. lesz. Tessék rettegni!

• Technika