Casablanca

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.


Вы здесь » Casablanca » библиотека » Основные правила безопасности в сети Интернет


Основные правила безопасности в сети Интернет

Сообщений 1 страница 2 из 2

1

Будьте аккуратны со ссылками, содержащимися в электронных посланиях. Они могут вести совсем не туда, куда указывает текстовая информация.
    Не отправляйте конфиденциальную личную или финансовую информацию, если только она не зашифрована (при работе на защищенном веб-сайте). Обычные письма по электронной почте не шифруются.
    Будьте внимательны! Фальшивые, похожие на сайты крупных компаний веб-сайты, предназначены для обмана клиентов и сбора их личной информации. Убедитесь, что веб-сайты, с которыми Вы работаете, содержат заявления о соблюдении конфиденциальности и безопасности, и внимательно их изучите. Убедитесь, что необходимый вам URL появляется в поле «адрес» или «узел» вашего браузера. Некоторые веб-сайты могут казаться похожими на необходимый Вам, но в действительности быть фальсифицированными. Потратьте несколько лишних секунд и напечатайте URL лично.
    При передаче конфиденциальной информации ищите символ замка в правом нижнем углу веб-страницы. Этот символ указывает на то, что сайт работает в защищенном режиме. Вы должны увидеть его ПРЕЖДЕ, чем Вы введете конфиденциальную информацию.
    Используйте надежные пароли или ПИНы для Ваших счетов в Интернете. Выбирайте слова, которые другим будет трудно угадать, и используйте разный пароль для каждого Вашего счета. Используйте буквы и цифры, а также сочетание заглавных и строчных букв, если пароли или ПИНы различают строчные и заглавные буквы.
    При выходе из программы делайте это в соответствии с установленными процедурами. Не закрывайте браузер просто так! Выполняйте инструкции по выходу из безопасной зоны для обеспечения Вашей безопасности.
    Избегайте осуществления любых банковских операций в местах, где услуги Интернет являются общедоступными, например в Интернет-кафе. Очень трудно определить, отсутствуют ли на таких компьютерах хакерские программы, которые фиксируют Вашу личную информацию и сведения о счете. Если Вам необходимо осуществить операцию с компьютера общего пользования, измените Ваш ПИН с Вашего компьютера после того, как Вы пользовались компьютером общего доступа. Это имеет большое значение, так как существует риск фиксирования нажатий клавиш (включая номера банковской карты и кредитной карты, а также ПИНа) при помощи специальных программ, встроенных в компьютер общего доступа, без Вашего ведома.

Логин и Пароль
Логин - это Ваш уникальный идентификатор, «имя», дающее возможность защитить ваш подключенный к Сети компьютер от несанкционированного входа в сеть другим лицом. При регистрации в нашей сети вы указываете свой логин и вводите пароль, известный только Вам.

Основные правила обращения с Логином и Паролем

    Пожалуйста не сообщайте Ваш пароль другим лицам!
    Не отвечайте на послания по электронной почте с запросами о Ваших личных данных!
    Относитесь с подозрением к любой компании или лицу, запрашивающим Ваш пароль, номер паспорта или другую конфиденциальную информацию. Сотрудники компании NetByNet никогда не запрашивает информацию такого рода по электронной почте.
    Периодически проверяйте свой компьютер антивирусной программой на отсутствие программ-шпионов, крадущих пароли и личные данные.
    Помните что все действия совершенные под Вашими логином/паролем юридически считаются совершенными Вами.

Вирусы

Компьютерный вирус - это программа, нарушающая целостность информации на вашем компьютере, в отдельных случаях приводящая также к отказу оборудования, входящего в состав вашего компьютера. В современных условиях компьютерные вирусы являются неотъемлемой частью информации, содержащейся в локальных и глобальных (Интернет) сетях, однако, влияние вирусов на работу Вашего компьютера можно нейтрализовать, придерживаясь следующих правил.

Основные правила антивирусной безопасности.

    Устанавливайте зарекомендовавшие себя антивирусные программы
    Несмотря на большой выбор антивирусных систем, следует использовать только безусловно зарекомендовавшие себя на нашем рынке пакеты. Вы можете обратиться к нам за рекомендациями по антивирусному программному обеспечению. Следует также отдавать предпочтение хорошо поддерживаемым продуктам именно нашего региона, поскольку, несмотря на глобальность сети, большая часть вирусов присуща именно Рунету (русскоязычному Интернету).
    Периодически обновляйте Вашу антивирусную программу
    Антивирусные сканеры способны защищать только от тех компьютерных вирусов, данные которой содержатся в антивирусной базе. Этого недостаточно для гарантии абсолютной защиты - хотя бы потому, что появляются новые виды вирусных программ. Поэтому обновлять антивирусные базы надо регулярно. Чем чаще выполняется эта несложная операция, тем более защищенным будет рабочее место.
    Будьте осторожны с файлами в письмах электронной почты. Никогда не открывайте подозрительные файлы, пришедшие от незнакомых Вам людей.
    Никогда не запускайте программы, присланные неизвестным лицом! Это правило является общеизвестным и не нуждается в пояснениях. Однако файлы, полученные от «надежных» корреспондентов (знакомых, коллег, друзей), также могут быть инфицированы. Ваши знакомые могут не знать, что с их компьютера несанкционированно отправляются письма: вирус способен осуществлять отправку от чужого имени незаметно для владельца компьютера! Перед открытием любого файла необходимо проверить его антивирусными средствами. Естественно, хорошие антивирусные пакеты производят проверку автоматически.
    Ограничьте круг лиц, пользующихся Вашим компьютером
    Идеальным вариантом является ситуация, когда никто, кроме вас, не имеет доступа к вашему компьютеру. Однако, если это невозможно, необходимо четко разграничить права доступа и определить круг разрешенных действий для других лиц. В первую очередь это касается работы с дискетами и CD, Интернетом и электронной почтой.
    Делайте регулярное резервное копирование
    Выполняя это правило, Вы сможете сохранить данные не только при поражении компьютера каким-либо вирусом, но и в случае серьезной поломки в аппаратной части компьютера.
    Не паникуйте!

Мы ни в коем случае не хотим создать среди пользователей впечатление, что вирусы - это неисправимая катастрофа. Вирусы являются такими же программами, как, допустим, калькулятор или записная книжка Windows. Их отличительная черта в том, что вирусы способны размножаться (т.е. создавать свои копии), интегрироваться в другие файлы или загрузочные секторы, а также производить другие несанкционированные действия. Гораздо больший вред способны нанести необдуманные действия, направленные на нейтрализацию вируса. При работе в корпоративной сети следует немедленно обратиться к системному администратору. Если Вы просто домашний пользователь, то свяжитесь с компанией, у которой Вы приобрели антивирусную программу. Предоставьте возможность профессионалам позаботиться о безопасности вашего компьютера, в противном случае Вы можете навсегда потерять информацию, хранившеюся на Вашем компьютере.

В заключение следует добавить, что вредоносные программы могут не быть вирусами как таковыми, но безусловно создавать трудности при работе на компьютере. Это могут быть, например, программы навязчивой рекламной направленности, заносящие адрес своей страницы в систему как стартовую при просмотре Интернет, и не дающие возможность ее изменить в дальнейшем. Поэтому, кроме антивирусного программного обеспечения, неплохо установить программы AdAware, защищающие от таких вредоносных программ.
Работа через радиомодемы WiFi

У беспроводных сетей очень много общего с проводными, но есть и различия. Для того, чтобы проникнуть в проводную сеть, хакеру необходимо физически к ней подключиться. В варианте Wi-Fi ему достаточно установить антенну в ближайшей подворотне в зоне действия сети.

Что же теоретически может получить злоумышленник в беспроводной сети, настройке которой не было уделено должного внимания?

Вот стандартный список:

    доступ к ресурсам и дискам пользователей Wi-Fi-сети, а через неё - и к ресурсам LAN;
    подслушивание трафика, извлечение из него конфиденциальной информации;
    искажение проходящей в сети информации;
    воровство интернет-траффика;
    атака на ПК пользователей и серверы сети (например, Denial of Service или даже глушение радиосвязи);
    внедрение поддельной точки доступа;
    рассылка спама, противоправная деятельность от Вашего имени.

В сети NetByNet разрешена установка клиентами бытового оборудования wi-fi в целях личного использования и организации внутренней wi-fi сети для подключения нескольких компьютеров в пределах квартиры. Но мы настоятельно просим уделять должное внимание вопросам безопасности Вашего wi-fi оборудования.

Основные же правила при организации и настройке частной Wi-Fi-сети (если нет задачи сделать её общедоступной) таковы:

    Перед покупкой сетевых устройств внимательно ознакомьтесь с документацией. Узнайте, какие протоколы или технологии шифрования ими поддерживаются. Проверьте, поддерживает ли эти технологии шифрования ваша ОС. Если нет, то скачайте апдейты на сайте разработчика. Если ряд технологий не поддерживается со стороны ОС, то это должно поддерживаться на уровне драйверов;
    Обратите внимание на устройства, использующие WPA2 и 802.11i, поскольку в этом стандарте для обеспечения безопасности используется новый Advanced Encryption Standard (AES);
    Если точка доступа позволяет запрещать доступ к своим настройкам с помощью беспроводного подключения, то используйте эту возможность. Настраивайте AP только по проводам. Не используйте по радио протокол SNMP, web-интерфейс и telnet;
    Если точка доступа позволяет управлять доступом клиентов по MAC-адресам (Media Access Control, в настройках может называться Access List), используйте эту возможность. Хотя MAC-адрес и можно подменить, тем не менее это дополнительный барьер на пути злоумышленника;
    Если оборудование позволяет запретить трансляцию в эфир идентификатора SSID, используйте эту возможность (опция может называться "closed network"), но и в этом случае SSID может быть перехвачен при подключении легитимного клиента;
    Запретите доступ для клиентов с SSID по умолчанию "ANY", если оборудование позволяет это делать. Не используйте в своих сетях простые SSID - придумайте что-нибудь уникальное, не завязанное на название вашей организации и отсутствующее в словарях. Впрочем, SSID не шифруется и может быть легко перехвачен (или подсмотрен на ПК клиента);
    Располагайте антенны как можно дальше от окон, внешних стен здания, а также ограничивайте мощность радиоизлучения, чтобы снизить вероятность подключения «с улицы». Используйте направленные антенны, не используйте радиоканал по умолчанию;
    Если при установке драйверов сетевых устройств предлагается выбор между технологиями шифрования WEP, WEP/WPA (средний вариант), WPA, выбирайте WPA (в малых сетях можно использовать режим Pre-Shared Key (PSK)). Если устройства не поддерживают WPA, то обязательно включайте хотя бы WEP. При выборе устройства никогда не приобретайте то, что не поддерживает даже 128bit WEP.
    Всегда используйте максимально длинные ключи. 128-бит - это минимум (но если в сети есть карты 40/64 бит, то в этом случае с ними вы не сможете соединиться). Никогда не прописывайте в настройках простые, «дефолтные» или очевидные ключи и пароли (день рождения, 12345), периодически их меняйте (в настройках обычно имеется удобный выбор из четырёх заранее заданных ключей - сообщите клиентам о том, в какой день недели какой ключ используется).
    Не давайте никому информации о том, каким образом и с какими паролями вы подключаетесь (если используются пароли). Искажение данных или их воровство, а также прослушивание трафика путем внедрения в передаваемый поток - очень трудоемкая задача при условиях, что применяются длинные динамически изменяющиеся ключи. Поэтому хакерам проще использовать человеческий фактор;
    Если Вы используете статические ключи и пароли, позаботьтесь об их частой смене. Делать это лучше одному человеку - администратору;
    если в настройках устройства предлагается выбор между методами WEP-аутентификации "Shared Key" и "Open System", выбирайте "Shared Key". Если AP не поддерживает фильтрацию по MAC-адресам, то для входа в "Open System" достаточно знать SSID, в случае же "Shared Key" клиент должен знать WEP-ключ (wwwproxim.com/ support/ all/ harmony/ technotes/ tn2001-08-10c.html). Впрочем, в случае "Shared Key" возможен перехват ключа, и при этом ключ доступа одинаков для всех клиентов. В связи с этим многие источники рекомендуют "Open System";
    Обязательно используйте сложный пароль для доступа к настройкам точки доступа. Если точка доступа не позволяет ограничивать доступ паролем, её место на свалке;
    Если для генерации ключа предлагается ввести ключевую фразу, то используйте набор букв и цифр без пробелов. При ручном вводе ключа WEP вводите значения для всех полей ключа (при шестнадцатеричной записи вводить можно цифры 0-9 и буквы a-f).
    По возможности не используйте в беспроводных сетях протокол TCP/IP для организации папок, файлов и принтеров общего доступа. Организация разделяемых ресурсов средствами NetBEUI в данном случае безопаснее. Не разрешайте гостевой доступ к ресурсам общего доступа, используйте длинные сложные пароли;
    По возможности не используйте в беспроводной сети DHCP - вручную распределить статические IP-адреса между легитимными клиентами безопаснее;
    На всех ПК внутри беспроводной сети установите файерволлы, старайтесь не устанавливать точку доступа вне брандмауэра, используйте минимум протоколов внутри WLAN (например, только HTTP и SMTP). Дело в том, что в корпоративных сетях файерволл стоит обычно один - на выходе в интернет, взломщик же, получивший доступ через Wi-Fi, может попасть в LAN, минуя корпоративный файерволл;
    Регулярно исследуйте уязвимости своей сети с помощью специализированных сканеров безопасности (в том числе хакерских типа NetStumbler), обновляйте прошивки и драйвера устройств, устанавливайте заплатки для Windows.

Пожалуйста помните, что при компрометации Вашей wi-fi сети и совершении злоумышленником противоправных действий в Сети от Вашего имени, доказать Вашу непричастность очень сложно.

- Интернет-магазины - левые и не очень

0

2

Компьютерные вирусы и их виды
Компьютерная грамота КОМПЬЮТЕРНЫЕ ВИРУСЫ
Компьютерные вирусы — это одна из наиболее широко известных опасное для сетей. Подобно живым микроорганизмам, они распространяются, заражая здоровые программы. Заразив систему, они проникают в каждый исполняемый или объектный файл, размещенный на машине. Более того, некоторые вирусы заражают загрузочные сектора дисков, а это значит, что вирус проникнет и в машины, загружающиеся с зараженного диска. В этой главе мы подробно поговорим о компьютерных вирусах и методах борьбы с ними. Прочитав главу, вы узнаете следующее Любой вирус внедряет свой код в тело программы. Благодаря этому он будет выполняться при каждом ее запуске Большинство вирусов распространяется с помощью дискет. В настоящее время имеется около тысячи видов вирусов. Учитывая тот факт, что каждый из них существует в нескольких модификациях, нужно увеличить это число в 5—10 раз Большинство вирусов распространяется одним из двух методов: заражая файлы или загрузочные сектора.
Файлы данных не могут быть заражены вирусом. Однако существуют так называемые макровирусы, которые распространяются с помощью файлов шаблонов.
В Internet существует значительное количество «мнимых» вирусов.
Защититься от вирусов не так уж сложно.

ЧТО ТАКОЕ ВИРУС
Исторически вирусом называется любая программа, заражающая выполняемые или объектные файлы. Программу, воспроизводящую себя без ведома пользователя, также можно отнести к вирусам. Чаще всего вирус помещает свое тело в программном файле так, чтобы он активизировался при каждом запуске программы. Кроме того, вирусы могут поражать загрузочный сектор жесткого или флоппи-диска, помещенного в дисковод зараженного компьютера. Перенос своего тела на дискеты и жесткие диски является для вируса гарантией того, что он будет запущен при каждом включении системы. Ниже я расскажу о некоторых других способах распространения вирусов.
Большинство вирусов инфицируют файлы путем переноса своего тела внутрь жертвы. Однако в связи с созданием все более искусных антивирусных программ, разработчики вирусов изменили стратегию. Теперь, прежде чем заразить очередной файл, вирус изменяет свое тело. Выбрав жертву, вирус копирует себя из памяти компьютера внутрь заражаемого файла. Процесс заражения файла практически одинаков у всех вирусов. Например, простейшие вирусы заражают файлы следующим образом:
1. Прежде всего пользователь должен загрузить зараженный файл в память компьютера. Этот файл может попасть в компьютер с помощью флоппидиска, локальной сети или через Internet. После его запуска вирус копирует себя в память компьютера
2. Разместившись в памяти, вирус ожидает загрузки следующей программы. Не правда ли, это очень напоминает поведение живых микроорганизмов, ожидающих появления нового "хозяина".
3. После запуска следующей программы вирус помещает свое тело внутрь жертвы. Кроме того, вирус помещает свое тело и внутри копии программы, хранящейся на диске.
4. Вирус продолжает заражать программы до тех пор, пока не заразит их все или пока пользователь не выключит компьютер. Тогда расположенный в его памяти вирус пропадает. Однако для него это не так уж и страшно - ведь он расположен внутри зараженных файлов, хранимых на диске.
5. После включения компьютера и загрузки зараженной программы вирус снова начинает свою "невидимую" жизнь в памяти системы. И так до бесконечности. Приведенная выше модель работы вируса упрощена. На самом деле существуют и такие вирусы, которые сохраняются на жестком диске так, чтобы быть загруженными в память при каждом запуске операционной системы. Некоторые вирусы умеют прятаться внутри сжатых файлов. Более того, некоторые вирусы умеют заражать системы с помощью текстового процессора. Однако важно уяснить, что вирус заражает машину только в том случае, если вы запускаете инфицированную программу. Даже вирусы, паразитирующие на текстовых процессорах, для своей активизации требуют выполнения специальной программы - макрокоманды.

ОСНОВНЫЕ симптомы ЗАРАЖЕНИЯ ВИРУСОМ
Как будет сказано далее, некоторые вирусы не могут быть обнаружены даже самыми лучшими антивирусными программами. В качестве дополнительных средств защиты нужно поставить грамотность пользователя. Вы должны рассказать всем вашим служащим о том, как выявить зараженную машину. Далее приводится список общих признаков заражения:
Программы стали загружаться медленнее.
Файлы появляются или исчезают.
Размерь! программы или объекта изменяются по непонятным причинам.
На экране появляется необычный текст или изображения.
Элементы экрана выглядят нечеткими, размытыми.
Сам по себе уменьшается объем свободного места на жестком диске.
Команды CHKPSK и SCANDISK возвращают некорректные значения.
Имена файлов изменяются без видимых причин.
Нажатия клавиш сопровождаются странными звуками.
Доступ к жесткому диску запрещен.
Существует несколько различных классов (или типов) вирусов. Вирусы каждого из классов используют различные методы воспроизведения. К наиболее известным классам относятся троянские кони, полиморфные вирусы и неполиморфные шифрующиеся вирусы, стелс-вирусы, медленные вирусы, ретро-вирусы, составные вирусы, вооруженные вирусы, вирусы-фаги и макровирусы. Далее'в этой главе мы подробно рассмотрим каждый из них.
Компьютерные вирусы - это не выдумка. Специалисты утверждают, что только пять процентов всех вирусов могут вызвать серьезные неполадки в аппаратном обеспечении или крах операционной системы. Но несмотря на это они все же могут представлять очень серьезную опасность для компьютера. Большинство "электронных инфекций" только тем и занимается, что воспроизводит себя. Их главная задача-выжить, а не нанести вред системе. Однако это совсем не значит, что нужно забыть об их существовании. Запомните: "безобидных" вирусов не существует.

КОЛИЧЕСТВО КОМПЬЮТЕРНЫХ ВИРУСОВ
Подобно комарам, компьютерные вирусы, кажется, будут досаждать нам вечно. Поэтому стоит познакомиться с ними поближе и научиться отличать настоящий вирус от неполадок в системе. Запомните одну несложную истину: с вирусами можно и нужно бороться. Большая часть литературы, посвященной антивирусному программному обеспечению, запугивает простых пользователей "десятками тысяч" компьютерных вирусов, странствующих по Internet. На самом деле их количество не превышает тысячи. Дело в том, что разработчики считают каждую модификацию одного и того же вируса новым вирусом. Благодаря этому наша тысяча разрастается до "десятков тысяч". Дополним все вышесказанное одним небольшим примером. Компьютерный; -вирус Marijuana первоначально выводил на экране слово "legalise". (В английском языке это слово выглядит как "legalize" [узаконивать, легализировать]. - Прим, перев.) Затем автор вируса исправил свою ошибку, и вирус начал выводить на экран слово "legalize". При этом текст вируса абсолютно не изменялся. Однако разработчики антивирусов посчитали исправленный вирус за абсолютно новый. Благодаря этому они могут смело говорить о "тысячах и тысячах" существующих вирусов.
В Web расположено несколько сайтов с прекрасной информацией о компьютерных вирусах. Одним из них является сайт Joe Wells' WildLists, расположенный по адресу http://www.virusbtn.com/WildLists/. Бывший работник корпорации Symantec Джо Уэллс (сейчас он работает консультантом в компании IBM) включил в эти списки Все наиболее распространенные в настоящее время вирусы. Ассоциация NCSA (National Computer Security Association) использует списки Уэллса для оценки качества антивирусных программ. Чтобы удовлетворить запросам NCSA, программа должна обнаруживать все перечисленные в этом списке вирусы. Отметим, что этот список обновляется каждый месяц.

СВЯЗАННЫЕ С ВИРУСАМИ ОПАСНОСТИ
При разработке антивирусной стратегии компании следует помнить, что большинство вирусов не распространяется с помощью Internet. Наоборот, основными путями распространения вирусов являются продаваемое программное обеспечение, системы электронной почты в изолированных и университетских локальных сетях, а также дискеты, используемые служащими в их домашних компьютерах. Многие компании, предоставляющие пробные версии своих программ, тщательно проверяют копии на наличие вирусов. Мне редко приходилось встречаться со случаями заражения компьютеров через загруженные пробные версии программ или другое профессиональное программное обеспечение. С другой стороны, известны сотни случаев, когда продавцы-посредники поставляли своим клиентам зараженные диски. Если учесть все типы программ, которые могут быть заражены вирусами, то количество пострадавших таким образом покупателей составляет сотни тысяч. Кроме того, существует опасность заражения машины через программное обеспечение, поставляемое вашим местным продавцом ПО. Такие продавцы обычно не проверяют дискеты на наличие вирусов. Вся их работа заключается в перемещении дискет основного поставщика в свои фирменные упаковки. Если же кто-то уже использовал эти дискеты на зараженном компьютере, то с большой долей вероятности можно утверждать, что эти диски уже заражены. Чтобы избежать подобных проблем, многие компании (включая и Microsoft) начали запаковывать отдельные дискеты и только затем помещать их в коробки. Хозяева сайтов, электронных досок объявлений, а также авторы программного обеспечения не желают потерять свое место под солнцем из-за каких-то вирусов. Поэтому любой разработчик Web-сайта (Web-master), желающий и дальше иметь прибыль от своей работы, должен тщательно проверять каждый файл на наличие троянских коней, стелс-вирусов и т. д. Конечно же, это ни в коей мере не освобождает вас от проверки программ, загружаемых с помощью Internet. Однако еще раз напомним, что большинство вирусов поступает через дискеты, поэтому вы должны уделять основное внимание их проверке. Стоит все же отметить, что в последнее время возросло количество вирусов, распространяемых с помощью Internet. Немалую роль в этом сыграло и открытие макровирусов.

ВИРУСЫ И ЭЛЕКТРОННАЯ ПОЧТА
Корпоративные системы электронной почты доставляют много хлопот системным администраторам. Приведу следующий пример. Не так давно появился один из самых известных "мнимых" вирусов - вирус Good Times. Предполагалось, что он распространяется с помощью сообщений электронной почты. Вирусу приписывались самые невероятные способности. В частности, указывалось, что он "...разрушает центральный процессор с помощью использования бесконечного цикла n-ой степени сложности". Так как многие пользователи не понимают, как распространяются вирусы, то вирус Good Times довольно скоро стал известен во всем мире. На самом деле обычные текстовые сообщения электронной почты не могут содержать никаких вирусов. Дело в том, что текстовые сообщения относятся к файлам данных, которые не являются программами и не могут выполняться на машине. Как мы помним, вирусы могут заражать только исполняемые программы (не считая макровирусов). То же самое можно сказать практически обо всех сообщениях электронной почты. Однако у вас, наверное, уже случались такие ситуации, когда файл с данными на самом деле оказывался исполняемым файлом. Некоторые Web-броузеры и диалоговые служебные программы (вроде America Online) выполняют программы сразу после их загрузки.
Гораздо чаще пользователям приходится иметь дело с"пересылкой файлов данных текстовых процессоров (например, документы Microsoft Word). Однако благодаря недавним разработкам в области текстовых процессоров эти файлы перестали быть просто файлами данных. В большинстве случаев такие файлы содержат внедренные макрокоманды, с помощью которых можно существенно ускорить работу. На самом деле макрокоманда является некоторой разновидностью программ. Благодаря этому стало возможным создание макровирусов. Макровирус -это макрокоманда, которая воспроизводит себя в каждом новом документе. Большинство современных макровирусов не представляют собой большой опасности. Однако потенциально они обладают огромными возможностями. Дело в том, что макрокоманды обладают доступом к набору операций, с помощью которых можно производить различные (в том числе и разрушительные) действия в системе. Например, с помощью макрокоманды можно удалить с жесткого диска системные файлы.
Наилучшим методом защиты от вирусов, передаваемых с помощью электронной почты, является установка на каждом компьютере надежного антивирусного программного обеспечения. Для защиты от макровирусов вам, возможно, понадобится пересмотреть свою стратегию защиты. В частности, вы должны будете рассказать всем своим пользователям о том, что такое макровирус, и попросить их проверять все приходящие документы.

СОЗДАНИЕ ВИРУСА ДЛЯ ИСПОЛНЯЕМОГО ФАЙЛА
В этом разделе я расскажу о том, как вирус может заразить исполняемый файл и как создатели вирусов могут защитить их от обнаружения.Практически у каждого создателя вирусов есть свой собственный, оригинальный метод заражения ЕХЕ-файлов. Здесь я расскажу о наиболее простом методе. Прежде всего вирус создает в памяти дополнительную область для своего размещения. После этого он прочитывает заголовок ЕХЕ-файла и переделывает его так, чтобы он содержал информацию и о месте в памяти, занимаемом вирусом. С этого момента и начинается процесс заражения программы.

Далее приводятся действия вируса, проникшего в ЕХЕ-файл:
1. Вирус считывает текущий заголовок файла и сохраняет его для дальнейшего использования. В этом заголовке хранится информация о длине файла, значении контрольной суммы (см. главу 2) и т.д.
2. После этого вирус определяет, какое количество памяти он должен прибавить к текущему размеру файла, чтобы разместить там свое тело.
3. Вирус копирует свое тело в файл. Размер вируса и внесенных им изменений в заголовок файла составляют сигнатуру вируса.
4. Вирус снова записывает информацию заголовка в программу. Теперь заголовок содержит информацию о месте, занимаемом вирусом.
5. Вирус сохраняет измененную программу на диске,

Описанный выше тип вирусов называется вирусом-паразитом. Вирус-паразит добавляет свое тело к программе и после этого продолжает свою жизнь наравне с программой. Если же вы удалите инфицированный файл, то вместе с ним исчезнет и вирус. Кроме вирусов-паразитов существуют так называемые загрузочные вирусы, размещающие свое тело в подпрограмме загрузки операционной системы. Этот тип вирусов совершенно отличен от вирусов-паразитов. Дело в том, что загрузочные вирусы паразитируют не на исполняемых программах, а на самой операционной системе.

РАЗЛИЧНЫЕ типы ВИРУСОВ
Как уже говорилось, наиболее распространенными являются троянские кони, полиморфные вирусы и неполиморфные шифрующиеся вирусы, стелс-вирусы, медленные вирусы, ретро-вирусы, составные вирусы, вооруженные вирусы, вирусы-фаги и макровирусы. Каждый из них производит некоторые специфические действия.
ТРОЯНСКИЕ кони
Троянскими конями называются вирусы, прячущиеся в файлах данных (например, сжатых файлах или документах). Чтобы избежать обнаружения, некоторые разновидности троянских коней прячутся и в исполняемых файлах. Таким образом, эта программа может располагаться и в программных файлах, и в файлах библиотек, пришедших в сжатом виде. Однако зачастую троянские кони содержат только подпрограммы вируса. Возможно, самое лучшее определение троянских коней дал Дэн Эдварде - бывший хакер, занимающийся теперь разработкой антивирусного программного обеспечения для NSA (National Security Administration). По словам Дэна, троянским конем называется "небезопасная программа, скрывающаяся под видом безобидного приложения, вроде архиватора, игры или (знаменитый случай 1990 года) программы обнаружения и уничтожения вирусов". Большинство новых антивирусных программ обнаруживает практически всех троянских коней.
Одной из наиболее известных "троянских лошадок" стала программа Crackerjack. Как и все другие средства для взлома паролей, доступные в Internet, эта программа тестировала относительную мощность паролей, расположенных в выбранном файле. После своего запуска она выдавала список взломанных паролей и предлагала пользователю удалить этот файл. Первая версия программы не только взламывала пароли, но также и передавала их автору троянского коня. Crackerjack оказался достаточно полезным средством, в чем вы можете убедиться сами. Для этого достаточно загрузить программу из Internet.

ПОЛИМОРФНЫЕ ВИРУСЫ
Полиморфные вирусы - это вирусы, которые зашифровывают свое тело и благодаря этому могут избежать обнаружения путем проверки сигнатуры вируса. Прежде чем приступить к работе, такой вирус расшифровывает себя с помощью специальной процедуры расшифровки. Как уже говорилось в главе 4, процедура расшифровки превращает зашифрованную информацию в обычную. Чтобы расшифровать тело вируса, процедура расшифровки захватывает управление машиной. После расшифровки управление компьютером передается расшифрованному вирусу. Первые шифрующиеся вирусы были неполиморфными. Другими словами, процедура расшифровки вируса не изменялась от копии к копии. Поэтому антивирусные программы могли обнаружить вирус по сигнатуре, присущей процедуре расшифровки. Но вскоре ситуация изменилась коренным образом. Полиморфные вирусы обнаружить очень трудно. Дело в том, что они генерируют абсолютно новые процедуры расшифровки при каждом новом заражении. Благодаря этому сигнатура вируса изменяется от файла к файлу. Для изменения процедуры шифрования используется достаточно простой генератор машинного кода, называющийся генератором мутаций. Он использует генератор случайных чисел и достаточно простой алгоритм изменения сигнатуры вируса. С его помощью программист может превратить любой вирус в полиморфный. Для этого о должен изменить текст вируса так, чтобы перед каждым созданием своей копии он вызывал генератор мутаций.
Несмотря на то что полиморфные вирусы нельзя обнаружить с помощью обычных методов проверки (вроде сравнения строк кода), они все же детектируются специальными антивирусными программами. Итак, полиморфные вирусы можно обнаружить. Однако этот процесс занимает огромное количество времени, а на создание антивирусной программы уходит гораздо больше сил. Наиболее свежие обновления антивирусного программного обеспечения производят поиск процедур шифрования,, с помощью которой обнаруживают полиморфные вирусы. Полиморфный вирус изменяет свою сигнатуру при создании очередной копии. от файла к файлу.

СТЕЛС-ВИРУСЫ
Стелс-вирусы - это вирусы, которые прячут изменения, созданные в зараженном файле. Для этого они отслеживают системные функции чтения файлов или секторов на носителях информации. Если происходит вызов такой функции, то вирус старается изменить полученные ею результаты: вместо настоящей информации вирус передает функции данные незараженного файла. Таким образом, антивирусная программа не может обнаружить никаких изменений в файле. Но, для того чтобы перехватывать системные вызовы, вирус должен находиться в памяти машины. Все достаточно хорошие антивирусные программы могут обнаружить подобные вирусы во время загрузки зараженной программы. Хорошим примером стелс-вируса является один из первых задокументированных вирусов DOS - Brain. Этот загрузочный вирус просматривал все дисковые системные операции ввода/вывода и перенаправлял вызов всякий раз, когда система пыталась считать зараженный загрузочный сектор. При этом система считывала информацию не с загрузочного сектора, а с того места, где вирус сохранил копию этого сектора. Стелс-вирусами также являются вирусы Number, Beast и Frodo. Говоря языком программистов, они перехватывают прерывание 21Н -основное прерывание DOS. Поэтому всякая команда пользователя, способная обнаружить присутствие вируса, перенаправляется вирусом в определенное место в памяти. Благодаря этому пользователь не может "заметить" вирус. Как правило, стелс-вирусы либо обладают невидимым размером, либо они невиди-мы для чтения. Вирусы с невидимым размером принадлежат к подвиду вирусов, заражающих файлы. Такие вирусы помешают свое тело внутрь файла, вызывая тем самым увеличение его размера. Однако вирус изменяет информацию о раз-
мере файла так, чтобы пользователь не мог обнаружить его присутствия. Другими словами, система указывает на то, что длина зараженного файла равняется длине обычного (незараженного) файла. Вирусы, невидимые для чтения (вроде Stoned.Monkey), перехватывают запросы на чтение зараженной загрузочной записи или файла и предоставляют в ответ первоначальную, не измененную вирусом информацию. И снова пользователь не может обнаружить присутствие вируса. Стелс-вирусы достаточно легко обнаружить. Большинство стандартных антивирусных программ "вылавливают" стелс-вирусы. Для этого достаточно запустить антивирусную программу до того, как вирус будет размещен в памяти машины. Надо запустить компьютер с чистой загрузочной дискеты, а затем выполнить антивирусную программу. Как уже говорилось, стелс-вирусы могут замаскироваться только в том случае, если они уже размещены в памяти. Если же это не так, то антивирусная программа легко обнаружит наличие таких вирусов на жестком диске.

МЕДЛЕННЫЕ ВИРУСЫ
Медленные вирусы очень трудно обнаружить, так как они заражают только те файлы, которые изменяются или копируются операционной системой. Другими словами, медленный вирус заражает любой исполняемый файл, причем делает это в тот момент, когда пользователь выполняет некоторые операции с этим файлом. Например, медленный вирус может производить заражение загрузочной записи дискеты при выполнении команд системы, изменяющих эту запись (например, FORMAT или SYS). Медленный вирус может заразить копию файла, не заразив при этом файл-источник. Одним из наиболее известных медленных вирусов является Darth_Vader, который заражает только СОМ-файлы и только во время их записи.
Обнаружение медленных вирусов - это достаточно сложный процесс. Хранитель целостности должен обнаружить новый файл и сообщить пользователю о том, что у этого файла нет значения контрольной суммы. Хранитель целостности - это антивирусная программа, наблюдающая за содержанием жестких дисков, а также за размером и контрольной суммой каждого из расположенных на них файлов. Если хранитель обнаружит изменения в содержании или размере, то он немедленно сообщит об этом пользователю. Однако сообщение будет выдано и в том случае, если пользователь сам создаст новый файл. Поэтому пользователь, скорее, укажет хранителю целостности вычислить новую контрольную сумму для нового (инфицированного) файла.
Наиболее удачным средством против медленных вирусов являются оболочки целостности. Оболочки целостности - это резидентные хранители целостности. Они постоянно находятся в памяти компьютера и наблюдают за созданием каждого нового файла, и у вируса не остается практически никаких шансов. Еще одним способом проверки целостности является создание ловушек. Здесь специальная антивирусная программа создает несколько СОМ- и ЕХЕ-файлов определенного содержания. Затем программа проверяет содержимое этих файлов. Если медленный вирус заразит их, то пользователь сразу же узнает об этом. Например, медленный вирус может наблюдать за программой копирования файлов. Если DOS выполняет запрос на .копирование, то вирус поместит свое тело в новую копию файла.

РЕТРО-ВИРУСЫ
Ретро-вирус - это вирус, который пытается обойти или помешать действиям антивирусных программ. Другими словами, эти вирусы атакуют антивирусное программное обеспечение. Компьютерные профессионалы называют ретро-вирусы анти-антивирусами. (Не спутайте анти-антивирусы с анти-вирус-вирусами - вирусами, созданными для уничтожения других вирусов.) Создание ретро-вируса является относительно несложной задачей. В конце концов, создатели вирусов обладают доступом ко всем антивирусным программам. Приобретая такую программу, они изучают ее работу, находят бреши в обороне и после этого создают вирус на основе обнаруженных просчетов. Большинство ретро-вирусов занимается поисками и удалением файлов с данными о сигнатурах вирусов. Таким образом, антивирусная программа, использовавшая этот файл, не может больше нормально функционировать. Более сложные ретровирусы занимаются поиском и удалением баз данных, содержащих информацию о целостности файлов. Удаление подобной базы производит на хранителя целостности такой же эффект, как уничтожение файлов с сигнатурами вирусов на антивирусную программу. Многие ретро-вирусы обнаруживают активизацию антивирусных программ, а затем прячутся от программы либо останавливают ее выполнение. Кроме того, они могут запустить процедуру разрушения до того, как антивирусная программа обнаружит их присутствие. Некоторые ретро-вирусы изменяют оболочку вычислений антивируса и таким образом влияют на выполнение антивирусных программ. Кроме того, существуют ретро-вирусы, использующие недостатки антивирусного программного обеспечения, чтобы замедлить его работу или свести на нет эффективность программы.

СОСТАВНЫЕ ВИРУСЫ
Составные вирусы заражают как исполняемые файлы, так и загрузочные сектора дисков. Кроме того, они могут заражать загрузочные сектора дискет. Такое название они получили потому, что заражают компьютер различными путями. Другими словами, они не ограничиваются одним типом файлов или определенным местом на диске. Если запустить инфицированную программу, вирус заразит загрузочную запись жесткого диска. При следующем включении машины вирус активизируется и будет заражать все запущенные программы. Одним из наиболее известных составных вирусов является One-Half, который обладает признаками стелс-вируса и полиморфного вируса.

ВООРУЖЕННЫЕ ВИРУСЫ
Вооруженные вирусы защищают себя с помощью специального кода, благодаря которому сильно усложняется отслеживание и дизассемблирование вируса. Вооруженные вирусы могут воспользоваться для защиты "пустышкой". Это - код, позволяющий увести разработчика антивирусных программ от настоящего кода вируса. Кроме того, вирус может включать в себя специальный фрагмент, указывающий на то, что вирус расположен в одном месте, хотя на самом деле его там не будет. Одним из наиболее известных вооруженных вирусов является Whale.

ВИРУСЫ-КОМПАНЬОНЫ
Свое название эти вирусы получили потому, что параллельно с заражаемым файлом они создают файл с таким же именем, но с другим расширением. Например, вирус-компаньон может сохранить свое тело в файле winword.com. Благодаря этому операционная система перед каждым запуском файла winword.exe будет запускать файл winword.com, который будет располагаться в памяти компьютера. Обычно вирусы-компаньоны генерируются вирусами-фагами.

ВИРУСЫ-ФАГИ
Последним классическим типом вирусов являются вирусы-фаги. Вирус-фаг - это программа, которая изменяет другие программы или базы данных. Компьютерные профессионалы называют эти вирусы фагами потому, что по своему действию они напоминают живые микроорганизмы. В природе вирусы-фаги представляют собой особенно вредные микроорганизмы, которые замещают содержимое клетки своим собственным. Обычно фаги замещают текст программы своим собственным кодом. Чаще всего они являются генераторами вирусов компаньонов. Фаги - это наиболее опасный вид вирусов. Дело в том, что они не только размножаются и заражают другие программы, но и стремятся уничтожить все зараженные программы.

И СНОВА ЧЕРВИ
В первой главе этой книги я уже рассказывал о знаменитом черве Internet,
появившемся в конце 80-х годов. Как уже говорилось, червь Internet (известный также как червь Морриса) был самым первым вирусом, поразившим Internet. Этот вирус делал невозможной работу компьютера, создавая огромное количество своих копий в памяти компьютера. Так как червь старается остановить зараженный компьютер, создатель вируса должен наделить его способностями перемещаться с помощью сети от одной машины к другой. Я уже рассказывал о том, что черви копируют себя на другие компьютеры с помощью протоколов и систем, описанных во второй главе. Удаленное воспроизведение необходимо, так как после остановки машины пользователь постарается вычистить все имеющиеся на жестком диске вирусы. Для своего распространения вирусам-червям не требуется изменять программы хоста. Для нормальной работы червям необходимы операционные системы, обеспечивающие возможность удаленного выполнения и позволяющие приходящим программам выполняться на компьютере. В 1988 году такими возможностями обладала только одна операционная система - Unix. До недавнего времени многие персональные компьютеры не могли быть заражены червем - этого не позволяют сделать ни DOS, ни Windows 95. Однако Windows NT уже обладает возможностями удаленного выполнения и поэтому может поддерживать работу вирусов-
червей.
Одним из самых распространенных вирусов в Internet является WINSTART. Свое название он получил от имени файла - winstart.bat, - в котором обычно и располагается тело вируса. Этот червь, как и многие остальные, копирует себя в памяти машины до тех пор, пока не будет выведена из строя операционная система. После этого компьютер автоматически зависает. Во время своего выполнения вирус параллельно занимается поиском следующей жертвы. По иронии судьбы червем называется не только определенный тип вирусов, но и очень полезное антивирусное инструментальное средство. Недостаток большинства стандартных средств аудита и хранителей целостности заключается в том, что они также могут стать жертвами вирусов. Однако можно хранить информацию безопасности и программы на изолированном и неизменяемом носителе. Наиболее подходят для этих целей WORM-диски. ("Write-once, read-many" -одна запись, многоразовое чтение; английское слово worm переводится как червь. - Прим. перев.). Привод WORM-диска обычно представляет собой приспособление оптического хранения данных, работающее с несколькими WORM-дисками. ВИРУСЫ И СЕТИ
Файловые вирусы и макровирусы - вот два наиболее опасных типа вирусов. Именно с ними приходится иметь дело администраторам сетевых серверов и одноранговых сетей, соединенных с Internet. Загрузочные вирусы обычно не распространяются по Internet, так как соединенный с Internet компьютер не может произвести на другом компьютере дисковые операции низкого уровня. Другими словами, сервер Internet обычно не может записывать файлы на другой компьютер. Такую операцию в состоянии произвести только компьютер-получатель. К числу файловых вирусов и макровирусов относятся многие вирусы, описанные ранее.

ФАЙЛОВЫЕ ВИРУСЫ
Файловым вирусом может быть троянский конь, вооруженный вирус, стелс-вирус и некоторые другие. Файловые вирусы опасны для данных, хранящихся на сервере, одноранговых сетей и, в какой-то степени, Internet. Далее приводятся три пути заражения сетевого сервера: Копирование (пользователем или администратором) зараженных файлов прямо на сервер. После этого вирус, расположившийся в файле, начнет заражать все остальные файлы.Выполнение файлового вируса на рабочей станции может заразить сеть. После своего запуска вирус сможет заразить любое приложение, хранимое на сервере. Если же вирус сумеет проникнуть в какой-либо файл, расположенный на сервере, то он сможет заразить и все машины в сети. Выполнение резидентного вируса на рабочей станции может вызвать заражение всей сети. После своего запуска резидентный вирус может получить информацию о передаваемых данных и скопировать себя на сервер, не обладая при этом прямым доступом к расположенной на сервере информации.
Абсолютно не важно, как вирус попадет в сеть. Он может быть размещен на дискете, получен с сообщением электронной почты или загружен из Internet вместе с исполняемым файлом. Как только вирус попадает на компьютер, обладающий доступом к другим сетевым компьютерам, то он способен заразить все остальные машины. Заразив всего лишь одну машину в сети, вирус начнет свое "шествие" по всей сети и в конце концов попадет на сервер.
После заражения файлового сервера любой пользователь, запустивший зараженную программу, может заразить файлы на своем жестком диске или другие файлы, размещенные на том же сервере. Кроме того, администратор, зарегистрировавшийся в сети с правами суперпользователя, может обойти запреты на доступ к файлам и каталогам и заразить еще большее количество файлов. Серверы это очень удобное для вирусов место. Дело в том, что при загрузке сервер размещает в памяти достаточно большое количество сетевых приложений. Зараженный сервер становится носителем исполняемых файловых вирусов. Вирусы не размножаются на сервере и не портят его программ. Они переносятся лишь в том случае, если пользователь загрузит зараженную программу на свою рабочую станцию. До сих пор не зарегистрировано ни одного вируса, способного внедриться в программное обеспечение сервера и заражать файлы во время чтения или записи на сервер. Однако технологии создания вирусов не стоят на месте, и, возможно, скоро появится именно такой тип вирусов. Одноранговые сети еще более подвержены атакам файловых вирусов. Дело в том, что средства безопасности одноранговой сети очень слабы (если не сказать больше). Кроме того, архитектура такой сети (каждая машина одновременно является и сервером, и рабочей станцией) делает машины еще более уязвимыми.
Отметим также, что Internet не является "инкубатором" для вирусов. "Сеть сетей" также является носителем "компьютерных инфекций". Файловые вирусы не могут размножаться в Internet и заражать удаленные машины. Чтобы произошло заражение, компьютер должен загрузить зараженный файл из сети и запустить его.

МАКРОВИРУСЫ
Как уже говорилось, макровирусы - это один из наиболее опасных типов компьютерных вирусов. В настоящее время они представляют собой наиболее быстро развивающуюся разновидность "компьютерных инфекций", способных перемещаться посредством Internet. Макровирусы представляют опасность не только для сетей, но и для автономных компьютеров, т. к. они не зависят от компьютерной платформы и от конкретной операционной системы. Более того, эти вирусы заражают не исполняемые файлы, а файлы с данными, которых гораздо больше.
Количество макровирусов растет с каждым днем. По официальным данным, в октябре 1996 года было зарегистрировано менее 100 макровирусов. В мае 1997 года их количество достигло 700. Как вы узнаете, макровирус - это небольшая программа, написанная на внутреннем языке программирования (иногда эти языки называют языками разработки сценариев или макроязыками) какого-то приложения. В качестве таких приложений обычно выступают текстовые или табличные процессоры, а также графические пакеты.
Обычно макровирусы распространяются путем создания копий в каждом новом документе. Таким образом макровирус может попадать на другие машины вместе с зараженными документами. Наиболее часто макровирусы удаляют файлы так, чтобы впоследствии их нельзя было восстановить. Макровирусы могут выполняться на любом типе компьютеров. Главное, чтобы на машине была нужная им программа обработки документов вместе со своим внутренним языком программирования. Именно благодаря этому языку макровирусы могут выполняться на различных платформах и под управлением различных операционных систем.
Внутренние языки программирования наиболее популярных приложений представляют собой очень эффективное инструментальное средство. С их помощью можно удалять или переименовывать файлы и каталоги, а также изменять содержимое файлов. Созданные на таких языках программирования макровирусы могут проделывать те же самые операции.
В настоящее время большинство известных макровирусов написано на Microsoft Word Basic или недавно появившемся Visual Basic for Application (VBA); WordBasic - это внутренний язык программирования текстового процессора Word for Windows (начиная с версии 6.0) и Word 6.0 for Macintosh. Так как при каждом использовании программы из пакета Microsoft Office выполняется и VBA, то написанные с его помощью макровирусы представляют для системы чрезвычайную опасность.
Другими словами, макровирус, созданный с помощью VBA, может заражать и таблицы Excel, и базы данных Access, и презентации PowerPoint. С ростом возможностей внутренних языков программирования возрастет и количество новых макровирусов.
Далее приводится список наиболее важных причин создания вирусов с применением Microsoft Word:
Microsoft Word обладает огромными возможностями, благодаря которым макровирус может производить различные действия. Кроме того, созданы версии этой программы для различных компьютерных платформ: существуют версии для DOS, Windows 3.1, Windows 95 и Mac OS. Это увеличивает поле деятельности макровирусов.
Общий шаблон (в Windows он хранится в файле normal.dot) содержит глобальные макрокоманды, всегда доступные в Microsoft Word. Для макровируса этот файл представляет собой "плодородную почву". Дело в том, что именно в этом шаблоне обычно и размещается тело макровируса. Именно из него вирус заражает все созданные в текстовом процессоре документы.
Microsoft Word автоматически выполняет указанные макрокоманды без участия пользователя. Благодаря этому макровирус может выполняться вместе с обычными макрокомандами (с помощью обычных макрокоманд программа производит открытие и закрытие документа, а также завершение своей работы).
По сравнению с созданием системных вирусов с помощью ассемблера, написать макровирус не так уж сложно. WordBasic и VBA представляют собой достаточно простые языки программирования.Обычно пользователи помещают документы Word в сообщения электронной почты, на у?/"-сайты и в листы рассылки. Все это способствует еще более быстрому распространению макровирусов. К сожалению, неподготовленность пользователей играет на руку создателям макровирусов.

ПРИМЕР МАКРОВИРУСА
Как уже говорилось, создание макровирусов - это достаточо простая задача. Чтобы вы лучше представили ситуацию, я приведу конкретный пример макровируса. Первый из них - DeleteAHTemp - выполняется в Word 6.0шт Word 7.0. Его цель - удалить все файлы, расположенные в каталоге windows/temp.
Sub MAIN
ChDir "c:windows emp"
Temp$ = Files$("*.*")
While Temp$ <> ""
Kill Temp$
Temp$ = Files$()
Wend
End Sub
Чтобы создать такую же макрокоманду в Word 97, нужно слегка изменить текст программы:
Sub DeleteAllTemp()
Макрос DeleteAllTemp
ChDir "с: mp2121"
Temp$ = Dir("*.*")
Do While Temp$ <> ""
Kill Terap$
liP- Temp$ Dir
Loop
End Sub
Этот код является телом (payload) макровируса. Именно он размещается в заражаемых документах. Кроме того, для успешного внедрения в создаваемые документы макровирус должен заново переписать некоторые пункты меню Файл: Сохранить, Новый и Сохранить как. Однако это не так уж сложно. Более того, проще создать копию макрокоманды, чем записать копию вируса в другую макрокоманду. Например, можно заменить пункт Закрыть меню Файл макрокомандой DeleteAllTemp. Полиморфная природа макровирусов заставляет создателей антивирусных программ рассматривать их как достаточно серьезную угрозу для систем пользователей.

НЕКОТОРЫЕ РАСПРОСТРАНЕННЫЕ МАКРОВИРУСЫ
WordMacro/Concept, известный также как Word Prank Macro или WWW6 Macro, - это макровирус, написанный на внутреннем языке Microsoft Word 6.0. На самом деле он состоит из нескольких макрокоманд: AAAZAO, AAAZFS, AutoOpen, FileSaveAs и PayLoad. Хочу обратить ваше внимание на то, что макрокоманды AutoOpen и FileSaveAs являются стандартными. Макровирус пытается заразить общий шаблон документов normal.dot. Если же в процессе заражения вирус обнаружит, что в файле шаблона уже находится макрокоманда PayLoad или FileSaveAs, то он прекратит атаку. Заразив общий шаблон, вирус начинает заражать все документы, сохраненные с помощью команды Сохранить как. Для обнаружения вируса воспользуйтесь меню Сервис и выберите в нем пункт Макрос. Если в появившемся окне есть макрокоманда AAAZFS, то, скорее всего, вирус уже поразил вашу систему.
Можно вылечить систему. Для этого достаточно создать пустую макрокоманду с именем PayLoad - она запишется поверх макрокоманды вируса. Теперь система надежно защищена от заражения. Ведь вирус, обнаружив эту макрокоманду, посчитает, что система уже заражена, и не станет ее заражать. Однако создание макрокоманды-пустышки - это лишь временное решение. Возможно, что именно в этот момент кто-то изменяет Concept так, чтобы он заражал систему, не обращая внимания на макрокоманды, расположенные в шаблоне normal.dot. Word Macro/Atom очень похож на Concept. Однако есть и некоторые различия. Автор этого макровируса зашифровал макрокоманду вируса. Вирус воспроизводится во время открытия или сохранения файла. Этот вирус гораздо сложнее обнаружить, потому что он зашифрован. Он производит два вида разрушений, похожих по действию, но различных в реализации.Макровирус активизируется 13 декабря. При этом он пытается удалить все файлы из текущего каталога. Вторая активизация наступает в тот момент, когда пользователь запускает команду FileSaveAs, а внутренние часы компьютера показывают 13 секунд. При этом на сохраняемый документ накладывается пароль, и пользователь больше не сможет открыть его. Чтобы остановить действие вируса, нужно отключить автоматическое выполнение макрокоманд или заставить Word запрашивать разрешение на сохранение изменений в normal.dot. Для этого откройте меню Сервис и выберите пункт Параметры. Выберите в появившемся диалоговом окне закладку Сохранение и поставьте флажок напротив пункта Запрос на сохранение шаблона "Обычный".
Word Macro/Bandung состоит из шести макрокоманд: AutoExec, AutoOpen, FileSave, FileSaveAs, ToolsCustomize и ToolsMacro. При открытии зараженного файла (или запуске Word с зараженным файлом общего шаблона) после 11:00 начиная с двадцатого числа каждого месяца (и до конца месяца) вирус удаляет файлы во всех подкаталогах диска С:, за исключением каталогов WINDOWS, WINWORD или WINWORD6. Во время этой операции в строке состояния высвечивается сообщение "Reading menu ... Please Wait!". После удаления вирус создает файл c:pesan.txt и оставляет в нем свое сообщение.Если при просмотре зараженного документа пользователь выберет меню Сервис, а в нем пункт Макрос, то вирус отобразит на экране диалоговое окно с сообщением "Fail on step 29296" (в заголовке окна будет отображена строка Егг@#*(с) и символ STOP). После этого вирус заменит в документе все символы а на #@, а затем сохранит документ. Как вы уже, наверное, догадались, Word никогда не проделывает таких операций.В 1995 году в одну из групп новостей Usenet был помещен вирус WordMacro/Colors. Иногда его еще называют Rainbow. Вирус поддерживает в файле win.ini счетчик поколений - он располагается в секции [windows] в строке countersu-. При каждом выполнении макрокоманды значение счетчика увеличивается на единицу. После некоторого значения вирус изменяет установки цветов системы. При следующей загрузке Windows она будет раскрашена в случайно подобранные цвета. Этот макровирус заражает документы Word так же, как и многие остальные вирусы. Однако он не полагается на автоматическое выполнение макрокоманд и активизируется даже в том случае, если вы запустите Word с параметром DisableAutoMacros или воспользуетесь средствами защиты шаблонов от вирусов (они расположены на Web-сайте http://www.microsoft.com).Имена макрокомандAuto Close AutoExec AutoOpen FikExit FileNew FileSave FileSaveAs ToolsMacro Macros
Во время выполнения одной из этих макрокоманд вирус активизируется и заразит файл normal.dot. После открытия зараженного документа вирус будет выполняться при каждом создании нового файла, закрытии зараженного файла и сохранении открытого файла. Кроме того, он будет выполняться и при открытии пункта Макрос меню Сервис. Таким образом, не нужно пользоваться этим пунктом для определения вируса. Вместо этого откройте меню Файл и выберите пункт Шаблоны. Откройте с его помощью диалоговое окно Организатор. В этом окне выберите закладку Макро. Теперь вы сможете спокойно обнаружить и удалить опасные макрокоманды. Однако не забывайте, что вирус может заново переписать их. Отметим также, что автор этого вируса - достаточно опытный программист: в вирусе даже предусмотрен встроенный режим отладки.Макровирус WordMacro/Hot содержит четыре макрокоманды. Прежде всего этот вирус создает строку в файле winword.ini, где записана "горячая дата" - онадолжна наступить через две недели после заражения. Строка выглядит примерно так: QLHot=120401. После этого вирус копирует в файл normal.dot макрокоманды
Начальные имена макрокоманд Конечные имена макрокоманд o
AutoOpen StartOfDoc
DrawBringln Front AutoOpen
InsertPBreak Insert Page Break
ToolsRepaginat FileSave
Если выбрать в меню Сервис пункт Макрос, то в появившемся диалоговом окне вы увидите имена макрокоманд. Спустя несколько дней после наступления "горячей даты" вирус активизируется и удалит выбранные случайным образом файлы. Чтобы избавиться от этого вируса, удалите его макрокоманды.
Макровирус WordMacro/MDMA содержит всего лишь одну макрокоманду - AutoClose. Этот макровирус заражает все версии WinWord 6.0 и более поздние, причем он действует и на PC, и на Macintosh. Вирус активизируется первого числа каждого месяца. Его действия зависят от компьютерной платформы. На компьютерах Macintosh он пытается удалить все файлы, расположенные в текущей папке. Однако из-за ошибки в своем тексте вирус не может выполнить своего предназначения. При этом возникает синтаксическая ошибка, и вирус не приносит никакого вреда. В Windows NT вирус вытирает все файлы в текущем каталоге, а также файл c:shmk. В Windows 95 вирус удаляет файлы c:shmk, c:windows*.hlp и c:windowssystem*.cpl. Кроме того, вирус устанавливает параметры Stickykeys и HighContrast, а также сбрасывает параметр выполнения сценариев входа в сеть. Из-за ошибки в тексте вирусу не удается установить параметр HighContrast. В Windows 3.1 вирус удаляет файл c:shmk, а в файле autoexec.bat он размещает следующие строки:
@ echo off
deltree /у с:
@ echo You have just been ** expletive deleted ** over by a virus
@ echo You are infected with MDMAJDMV.
@ echo Brought to you by MDMA
При попытке перегрузить компьютер вирус удалит все файлы, размещенные на
диске с:.
Очень распространенным является макровирус WordMacro/Nuclear. Как и остальные макровирусы, он старается заразить основной шаблон документов. Однако он не пытается раскрыть своего присутствия с помощью диалоговых окон. Вместо этого вирус незаметно инфицирует каждый документ, созданный с помощью пункта Сохранить как меню Файл. При этом он добавляет к документу свою макрокоманду. Чтобы не быть обнаруженным, при каждом закрытии документа Nuclear сбрасывает флажок Запрос на сохранение шаблона "Обычный". После этого Word больше не будет запрашивать у пользователя разрешение на сохранение изменений файла normal.dot. Благодаря этому вирус становится практически незаметным. Дело в том, что многие пользователи используют этот параметр для защиты от макровирусов. Однако они и не догадываются о том, что вирус может изменить его.Пятого апреля макрокоманда вируса - PayLoad - пытается удалить системные файлы io.sys, msdos.sys и command.com. Кроме того, вирус добавляет в конце каждого напечатанного или посланного по факсу (из Word) документа в течение последних пяти секунд каждой минуты следующие строки: "And finally I would like to say: STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC". (A напоследок я скажу: ПРЕКРАТИТЕ ВСЕ ФРАНЦУЗСКИЕ АТОМНЫЕ ИСПЫТАНИЯ В ТИХОМ ОКЕАНЕ). Так как эти строки добавляются только во время печати, то пользователь не может их увидеть во время просмотра документа. Это действие производит макрокоманда вируса Insert Pay Load. Чтобы уничтожить вирус, воспользуйтесь пунктом Макрос меню Сервис. Если вы обнаружите там макрокоманду вроде InsertPayLoad, можете смело ее удалять. Макровирус Word Macro/Wazz.it содержит всего лишь одну макрокоманду - AutoOpen. Поэтому он не зависит от языка. Другими словами, этот макровирус может выполняться в локализованных версиях Word. Вирус Wazzu изменяет содержание зараженных документов: он перемешивает слова и вставляет слово "wazzu". Трудно определить, откуда пришел этот макровирус. Отмечу лишь то, что аббревиатура Washington State University звучит так же, как и Wazzu.

НАИЛУЧШИЕ РЕШЕНИЯ для ЗАЩИТЫ от МАКРОВИРУСОВ
Word 7.0 для Windows 95 и Windows NT, а также Word 97 автоматически предупреждают пользователей о том, что открываемый документ содержит макрокоманды. Компания Microsoft создала для Word 6.0 специальное средство борьбы с макровирусами-MVP (Macro Virus Protection). MVP устанавливает набор защитных макрокоманд, обнаруживающих подозрительные файлы и предупреждающих пользователя о потенциальной опасности открываемых файлов. Чтобы загрузить это средство, посетите Web-сайт компании Microsoft, расположенный по адресу http://www.microsoft.com/word/freestuff … tool2.htm. С помощью этого
инструментального средства можно также просматривать все документы Word, поступающие по электронной почте или загруженные из Internet. Самые последние версии Word (начиная с Word 7.0) менее подвержены действию макровирусов. Дело в том, что эти версии (вместе с новыми версиями Excel, Access и PowerPoint) поддерживают новый внутренний язык программирования - Visual Basic for Application 5.0 (VBA). Он не совместим с WordBasic. Кроме того, этот язык используется в новых версиях Chameleon® (от NetManage), Photoshop® (от Adobe) и AutoCAD® (от AutoDesk).Таким образом, большинство старых макровирусов не смогут нормально работать в рамках нового языка разработки сценариев. Однако тот факт, что один и тот же внутренний язык поддерживается многими приложениями, может привести к появлению нового поколения макровирусов, которые смогут работать и заражать не только Word, но также все остальные приложения и их документы. Для получения более подробной информации о макровирусах посетите Web-сайт организации CIAC (Computer Incident Advisory Capability), расположенный по адресу http://ciac.llnl.gov/ciac/bulletins/g-10a.shtml. Кроме того, много интересной информации о макровирусах расположено в списке Ричарда Джона Мартина (. net/pub/users/ris 1/word.faq).

"МНИМЫЕ" ВИРУСЫ
В Internet существует огромное количество предупреждений о вирусах. Большая часть этих предупреждений относится к настоящим компьютерным вирусам и является чуть ли не единственным источником информации о действии вирусов. С их помощью вы сможете сэкономить время и защитить свои данные от разрушения. Однако есть и такие люди, которые любят поразвлечься, хотя и довольно своеобразно. Эти "шутники" занимаются тем, что распространяют в Internet сообщения о "мнимых" вирусах, т. е. вирусах, которых на самом деле не существует в природе. Эти сообщения не только раздражают пользователей, но и представляют некоторую опасность. Вообразите не очень опытного пользователя, встретившего подобное сообщение о "сверхмогучем" компьютерном вирусе. Кроме того, можно потратить огромное количество времени на изучение нового "мнимого" вируса, пропустив при этом информацию о настоящих. В следующих разделах я расскажу о наиболее известных "пустышках".
ВИРУС IRINA
Сообщение о вирусе Irina появилось несколько лет назад. Идея этого сообще-ния принадлежит главе одного из электронных издательств. Он посчитал, что это создаст дополнительную рекламу интерактивной книге с таким же названием. В первоначальном сообщении электронной почты, подписанном вымышленным профессором Эдвардом Прайдоксом (Edward Prideaux) Лондонского колледжа славянских языков, указывалось, что вирус передается в электронных сообщениях, у которых в строке темы сообщения стоит слово Irina. Встретивший такое сообщение должен был немедленно удалить его, иначе вирус уничтожит все данные," размещенные на жестком диске машины. Кроме того, автор сообщения просил получателей сообщения о вирусе "быть очень осторожными" и просил их передать это предупреждение остальным пользователям. Предупреждение о вирусе Irina быстро обошло весь мир. Однако я с полной уверенностью заверяю вас, что такого вируса нет и никогда не было.

ВИРУС GOOD TIMES
С сентября 1994 года в Internet циркулируют предупреждения о вирусе Good Times. Несмотря на то что описываемое в предупреждении поведение вируса, попросту говоря, фантастично, многие продолжают верить в его существование и размножать сообщение о нем. Например, в этом сообщении указывается, что вирус Good Times может "заражать машины и без передачи каких-либо программ". Кроме того, "если программа не будет остановлена, то процессор будет разрушен с помощью использования бесконечного цикла л-ой степени сложности". Здесь я позволю себе заметить, что создатели процессоров разработали их таким образом, чтобы они могли выполнять огромное количество повторений одних и тех же операций (циклов). Кроме того, ни в математике, ни в программировании не существует такого понятия, как бесконечный цикл я-ой степени сложности. Но оказывается, это еще не все. Дело в том, что, со слов того же профессора Эдварда, "федеральная комиссия по коммуникациям столь обеспокоена вирусом Good Times, что разослала формальное предупреждение всем пользователям персональных компьютеров страны". На самом же деле эта комиссия никогда не издавала и не будет издавать никаких сообщений о вирусах просто потому, что это не входит в круг ее обязанностей.
Кроме того, я позволю себе здесь упомянуть о "мнимых" вирусах Deeyenda, Ghost.exe, Penpal Greetings! и Naughty Robot. И это далеко не полный список!

КОГДА ШУТКА ПЕРЕСТАЕТ БЫТЬ ПРОСТО ШУТКОЙ, ИЛИ AOL4FREE.COM
Один из наиболее известных "мнимых" вирусов - это троянский конь aol4free.com. Согласно сообщению, эта программа предлагает пользователям бесплатный доступ к службе America Online, а на самом деле уничтожает содержимое жесткого диска. По иронии судьбы, теперь, когда большая часть сообщества Internet уже знает о том, что такого вируса нет, а сообщение - это просто чья-то злая шутка, некоторые создатели вирусов и вправду создали троянского коня с именем aol4free.com. Этот вирус также предлагает бесплатный доступ к службе America Online, a (согласно сообщению) вместо этого удаляет содержимое жесткого диска. (Для этого он использует команду DELTREE.) На самом деле жесткий диск все еще будет содержать данные после проведения подобной атаки - вирус удаляет только элементы каталогов. Их можно восстановить с помощью любой удобной вам утилиты, вроде тех, что входят в пакеты Norton Utilities или Mace Utilities. Для получения более подробной информации о вирусе aol4free.com ознакомьтесь со специальным бюллетенем, опубликованным CIAC 17 апреля 1997 года. Его можно найти по адресу http://ciac.llnl.gov.

КАК отличить НАСТОЯЩИЙ ВИРУС от мнимого
Вы всегда можете верить сообщениям о вирусах, рассылаемым специальными группами из организаций по компьютерной безопасности (некоторые из них приведены ниже). Большинство этих организаций зашифровывают свои сообщения с помощью PGP или другой системы шифрования с открытым ключом. Чтобы идентифицировать создателя сообщения, достаточно расшифровать это сообщение с помощью открытого ключа организации. ASSIST, The Automated Systems Security Incident Support Team of the Department of Defense (http://www.assist.mil).CERT, The Computer Emergency Response Team Coordination Center atCarnegie-Mellon University (http://www.cert.org).CIAC, The U.S. Department of Energy Computer Incident Advisory Capability (http://ciac.llnl.gov). NASIRC, The NASA Automated Systems Incident Response Capability (http://nasirc.hq.nasa.gov).Еще раз настоятельно рекомендую проверять источник сообщения. Открытые ключи организаций хранятся на их Web-страницах. Избегайте сообщений, не прошедших процедуру идентификации.Если же вы - администратор соединенной с Internet системы, и вы обнаружили новый вирус, не старайтесь скорее разослать сообщение о "новой опасности" в группы новостей, а сообщите об этом в CIAC или одну из перечисленных выше организаций. Доверьтесь профессионалам.

КАК ЗАЩИТИТЬСЯ от ВИРУСОВ
Чтобы защитить свою сеть от вирусов, проделывайте с приходящими данными следующие три операции. Во-первых, проверяйте всю приходящую информацию с помощью антивирусных программ. И неважно, как эта информация попала к вам: на дискетах или в сообщениях электронной почты. Только после этого можно запускать полученные программы или просматривать пришедшие документы.Во-вторых, поставьте антивирусное программное обеспечение прямо в брандмауэре так, чтобы зараженные файлы не могли проникнуть в сеть. Как уже отмечалось, практически все брандмауэры содержат средства проверки на вирусы. Большинство из них содержат готовые антивирусные программы, а также средства проверки целостности данных. С их помощью можно просматривать в реальном времени все изменения в системе. Так вы сможете заметить большинство операций, производимых вирусами. Кроме того, большинство брандмауэров предоставляют средства защиты DOS-сеансов. В-третьих, установите антивирусное программное обеспечение на каждой подключенной к сети машине. Так вы сможете предотвратить распространение вирусов по сети, если одна из машин будет заражена. Список создателей антивирусных программ приводится далее.

ОБНАРУЖЕНИЕ ВИРУСОВ
Для своей успешной работы вирусам необходимо проверять, не является ли файл уже зараженным (этим же вирусом). Так они избегают самоуничтожения. Для этого вирусы используют сигнатуру. Большинство обычных вирусов (включая и макровирусы) использует символьные сигнатуры. Более сложные вирусы (полиморфные) используют сигнатуры алгоритмов. Независимо от типа сигнатуры вируса антивирусные программы используют их для обнаружения "компьютерных инфекций". После этого антивирусная программа пытается уничтожить обнаруженный вирус. Однако этот процесс зависит от сложности вируса и качества антивирусной программы. Как уже говорилось, наиболее сложно обнаружить троянских коней и полиморфные вирусы. Первые из них не добавляют свое тело к программе, а внедряют внутрь нее. С другой стороны, антивирусные программы должны потратить достаточно много времени, чтобы определить сигнатуру полиморфных вирусов. Дело в том, что их сигнатуры меняются с каждой новой копией.

РАЗРАБОТЧИКИ АНТИВИРУСНЫХ ПРОГРАММ
Далее приводится список наиболее известных создателей антивирусного программного обеспечения. Заранее хочу предупредить вас о том, что положение компании в списке не говорит о ее приоритетах по отношению к остальным компаниям. Кроме того, здесь я привожу наиболее известных производителей антивирусных программ только потому, что перечисление всех компаний заняло бы несколько десятков страниц. Отмечу лишь тот факт, что некоторые из приведенных компаний предоставляют пользователям пробные версии программ, которые можно загрузить с их Web-сайта.
McAfee Associates, Inc. Web URL: http://www.mcafee.com. Продукты компании:VirusScan (для ПК и Macintosh), Webscan (детектирование макровирусов),
Viruscan, V-Scan, CleanDisk и V-Shield. Большинство программ можно получить в виде пробных версий.
S&S Software International. Web URL: http://www.drsolomon.com. Основным продуктом компании является Dr. Solomon's Anti-virus Toolkit for Windows 95, в который входят и средства обнаружения макровирусов. Некоторые программы компании можно получить в виде пробных версий.
Symantec Corporation. Web URL: http://www.symantec.com. Продукты компании:Norton AntiVirus for Windows 95 и Symantec Anti-Virus for the Macintosh. Ha Web-сайте компании можно найти пробную версию Norton AntiVirus и других продуктов компании.
Touchstone Software Corporation. У компании нет своего Web-сайта, однако есть электронная доска объявлений: 714/969-0688. Продукты компании: PC-cillin 95 для Windows 95 (содержит детектор макровирусов).
TCT-ThunderBYTE Corporation. Web URL: http://www.thunderbyte.com. Продукты компании: ThunderBYTEAnti-Virus Utilities for Windows 95 (содержит детектор макровирусов).
IBM, Old Orchard Road, Armonk, New York, 10504. Тел.: 800/426-7225, 914/ 765-1900. Web URL: http://www.ibm.com/. Кроме того, у компании есть своя электронная доска объявлений: 919/517-0001. Продукты компании: IBM AntiVirus (обновленный для работы с Word 97 w. другими продуктами пакета Microsoft Office 97 и содержит детектор макровирусов).
EliaShim, Ltd. Web URL: http://www.eliashim.com/. Продукты компании: ViruSafe 95 (недавно обновлен для работы с продуктами пакета Microsoft Office 97, содержит детектор макровирусов), ViruSafe Firewall. Кроме того, на Web-сайте компании расположено бесплатное антивирусное средство для Web-броузеров ViruSafe-Web и детектор макровирусов ViruSafe-VDOC. Оба эти продукта распространяются бесплатно и совместимы с продуктами пакета Microsoft Office 97.

РЕЗЮМЕ
Как уже говорилось, вирусы представляют достаточно серьезную опасность для сетей. Со временем эта опасность возрастет, так как уже в настоящее время появляется все больше и больше вирусов, рассчитанных на работу в сети. В связи с этим возрастет нагрузка на сетевых администраторов, да и простым пользователям будет не сладко. Поэтому вы должны отчетливо представлять себе надвигающуюся опасность и быть во всеоружии. В следующей главе я расскажу вам о защите сетей, построенных на базе операционной системы Windows NT. Но прежде убедитесь, что усвоили следующее: Любой вирус внедряет свой код в тело программы, благодаря чему он будет выполняться при каждом ее запуске. Большинство вирусов распространяется с помощью дискет. В настоящее время имеется около тысячи видов вирусов. Учитывая тот факт, что каждый из них существует в нескольких модификациях, нужно увеличить это число в 5-10 раз. Большинство вирусов распространяется одним из двух методов: заражая файлы или загрузочные сектора. Файлы данных не могут быть заражены вирусом. Однако существуют так называемые макровирусы, которые распространяются с помощью файлов шаблонов. В Internet существует значительное количество "мнимых" вирусов. Защититься от вирусов не так уж сложно.

вирус103,

0


Вы здесь » Casablanca » библиотека » Основные правила безопасности в сети Интернет