Когда ребенок начинает ходить в школу, ему говорят: "Дорогу переходи только на зеленый свет. Если горит красный, подожди". Так ребенок узнает правила безопасного поведения на дороге. Когда пользователь начинает работать с компьютером, ему (за редким исключением) ничего не говорят. Правила безопасной работы с компьютером большинство изучает на собственном опыте. После потери бухгалтерских документов, готовых к сдаче проектов, паролей и т.п. пользователь начинает задумываться: что делать, чтобы защитить свою информацию?
Мне часто приходится иметь дело с людьми, которые обращаются с просьбой восстановить информацию. Так вот, за последний год в большинстве случаев причиной потери информации были компьютерные вирусы, а точнее - один из классов вирусов, так называемые сетевые черви. Такое название эти вирусы получили из-за того, что для своего распространения они используют компьютерные сети. По способу внедрения в систему сетевых червей можно условно разделить на три группы. Условно потому, что некоторые из них используют способы, присущие разным группам.
Первая группа - почтовые черви (то есть вирусы, распространяющиеся по электронной почте), которые активизируются самостоятельно, используя ошибки программного обеспечения пользователя. Обычно используются ошибки в браузерах и почтовых клиентах. Производители программного обеспечения выпускают обновления для своих продуктов, но пользователи часто игнорируют такие "заплатки" и этим невольно помогают вирусам.
Чаще всего вирусы используют уязвимости продуктов Microsoft (возможно, по причине распространенности последних). В качестве примера можно привести дыру IFRAME браузера Microsoft Internet Explorer (версии 5.01, 5.5). Из-за этой ошибки вирус получает возможность сохранить на диск присоединенный к письму файл и запустить его, например, при просмотре пользователем письма в Outlook Express. Данная ошибка была обнаружена в конце марта 2001 года. "Заплатка", устраняющая эту уязвимость, выпущена 29 марта 2001 года, но многие пользователи все еще продолжают применять содержащее ошибку программное обеспечение. "Заплатка" доступна для загрузки по адресу www.microsoft.com/windows/ie/download/critical/Q290108/default.asp.
В некоторой степени защититься от вирусов этой группы можно, если вместо Outlook Express и Internet Explorer использовать, например, The Bat! и Mozilla. Это не означает, что в последних двух продуктах нет уязвимостей. Но вирусов, использующих их (возможные) уязвимости, сейчас нет.
Вторая группа - почтовые черви, которые активизируются в случае открытия пользователем файла, присоединенного к письму. Создатели вирусов прибегают к некоторым уловкам, чтобы заставить пользователя запустить опасный файл: маскируют настоящее имя (расширение) файла, выдают вирус за полезный файл. Основные способы маскировки имени файла:
Чтобы защитить свою информацию от вирусов этой группы:
- Файл, полученный вместе с письмом, сохраните на диск. Это также относится к файлу, полученному с помощью ICQ. Чтобы увидеть истинное расширение файла, запустите "Проводник", в меню "Вид" выберите пункт "Свойства папки", перейдите на вкладку "Вид" и снимите галку "Не показывать расширения для зарегистрированных типов файлов". Рассмотрите полученный файл, например, в окне Windows Explorer. То, что вы считали фотографией или текстовым файлом, может оказаться исполняемым файлом с двойным расширением и/или длинным именем.
- Никогда не запускайте полученные по почте файлы с расширениями COM, EXE, SCR, PIF, DOC, VBS и т.п. Это программы, динамические библиотеки, драйверы, командные файлы, скрипты, документы и шаблоны с макросами, которые могут содержать вирусы.
- Даже если вы получаете файл от своего знакомого, будьте осторожны: некоторые вирусы используют адреса электронной почты, найденные на инфицированном компьютере, для распространения своих копий. При этом ваш знакомый может не знать, что его адрес используется вирусом. Более того, вирус может отправлять такие письма с любого компьютера, на котором найдет ваш почтовый адрес и адрес вашего знакомого, т.е. на компьютере вашего знакомого вируса может не быть.
- Если вы не знаете, что содержится в полученном файле, не открывайте его - бесплатный сыр бывает только в мышеловке. Вирусы часто распространяются в письмах, содержание которых призвано заинтересовать человека и заставить открыть присоединенный файл. Письмо может содержать признание в любви, новости о военных действиях в Ираке, предложение установить патч от Microsoft и т.п.
Третья группа - самостоятельно распространяющиеся сетевые (не почтовые) черви, использующие ошибки программного обеспечения (как серверного, так и пользовательского). Вирусы этой группы, в отличие от почтовых червей, могут распространяться без использования электронной почты. Способы распространения таких червей очень разнообразны. Один из представителей этой группы - MSBlast (Worm.Win32. Lovesan) - использовал уязвимость службы RPC DCOM, входящей в состав Windows. Другой - Slammer - использовал уязвимость Microsoft SQL Server.
Наиболее эффективный способ защиты от этой группы вирусов - использование межсетевого экрана (firewall). Какой именно брандмауэр (это еще одно название межсетевого экрана) использовать, как его настроить, зависит от того, что вы защищаете. Для защиты домашнего компьютера можно использовать бесплатный, легко настраиваемый и достаточно функциональный Agnitum Outpost Firewall (www.agnitum.com/download). В Windows XP можно использовать встроенный брандмауэр (Internet Connection Firewall). Включается он так: My Network Places > Local Area Connection > Properties > Advanced > Protect my computer and network by limiting or preventing access to this computer from the internet.
Для защиты рабочих станций в сети организации также желательно использовать брандмауэры. Если сеть организации защищается только по периметру (т.е. в точках подключения к внешней сети), рабочие станции этой сети уязвимы для внутрисетевых атак. Другими словами, если вирус инфицирует один из компьютеров внутри сети (с дискеты, по электронной почте и т.п.), то ничто не помешает ему инфицировать и остальные компьютеры сети.
Подведем итог: сетевые черви - это вирусы, использующие для своего распространения сетевые подключения. Распространяясь по электронной почте, паразитируя на ошибках программного обеспечения, они представляют реальную угрозу для вашей информации. Чтобы в какой-то мере защитить свои данные, рекомендуется регулярно устанавливать обновления для своих программ и быть осторожным при получении файлов из Сети. Правильно настроенный межсетевой экран поможет защититься от сетевых червей и хакеров. Естественно, для защиты от сетевых червей и от других видов вирусов можно (и нужно) использовать антивирусное программное обеспечение.
Максим ГОРБАЧЕВ,
ОДО "ВирусБлокАда",
mg@vba.com.by