Могут ли вирусы передаваться по локальной сети

Проблема эпидемии сетевых червей актуальна для любой локальной сети. Рано или поздно может возникнуть ситуация, когда в ЛВС проникает сетевой или почтовый червь, который не детектируется применяемым антивирусом. Сетевой вирус распространяется по ЛВС через не закрытые на момент заражения уязвимости операционной системы или через доступные для записи общие ресурсы. Почтовый вирус, как следует из названия, распространяется по электронной почте при условии, что он не блокируется клиентским антивирусом и антивирусом на почтовом сервере. Кроме того, эпидемия в ЛВС может быть организована изнутри в результате деятельности инсайдера. В данной статье мы рассмотрим практические методики оперативного анализа компьютеров ЛВС с применением различных средств, в частности с помощью авторской утилиты AVZ.

Постановка задачи

В случае обнаружения эпидемии или некой нештатной активности в сети администратор должен оперативно решить минимум три задачи:

• обнаружить зараженные ПК в сети;
• найти образцы вредоносной программы для отправки в антивирусную лабораторию и выработки стратегии противодействия;
• принять меры для блокирования распространения вируса в ЛВС и его уничтожения на зараженных компьютерах.

В случае деятельности инсайдера основные шаги анализа идентичны и чаще всего сводятся к необходимости обнаружения установленного инсайдером постороннего ПО на компьютерах ЛВС. В качестве примера такого ПО можно назвать утилиты удаленного администрирования, клавиатурные шпионы и различные троянские закладки.

Рассмотрим более подробно решение каждой из поставленных задач.

Поиск зараженных ПК

Для поиска зараженных ПК в сети можно применять как минимум три методики:

• автоматический удаленный анализ ПК — получение информации о запущенных процессах, загруженных библиотеках и драйверах, поиск характерных закономерностей — например процессов или файлов с заданными именами;
• исследование трафика ПК с помощью сниффера — данный метод очень эффективен для отлова спам-ботов, почтовых и сетевых червей, однако основная сложность в применении сниффера связана с тем, что современная ЛВС строится на базе коммутаторов и, как следствие, администратор не может осуществлять мониторинг трафика всей сети. Проблема решается двумя путями: запуском сниффера на маршрутизаторе (что позволяет осуществлять мониторинг обмена данными ПК с Интернетом) и применением мониторинговых функций коммутаторов (многие современные коммутаторы позволяют назначить порт мониторинга, на который дублируется трафик одного или нескольких портов коммутатора, указанных администратором);
• исследование нагрузки на сеть — в данном случае очень удобно применять интеллектуальные коммутаторы, которые позволяют не только оценивать нагрузку, но и удаленно отключать указанные администратором порты. Данная операция существенно упрощается при наличии у администратора карты сети, на которой имеются данные о том, какие ПК подключены к соответствующим портам коммутатора и где они расположены;
• применение ловушек (honeypot) — в локальной сети настоятельно рекомендуется создать несколько ловушек, которые позволят администратору своевременно обнаружить эпидемию.

Автоматический анализ ПК можно свести к трем основным этапам:

• проведение полного исследования ПК — запущенные процессы, загруженные библиотеки и драйверы, автозапуск;
• проведение оперативного обследования — например поиск характерных процессов или файлов;
• карантин объектов по определенным критериям.

Все перечисленные задачи можно решить при помощи авторской утилиты AVZ, которая рассчитана на запуск из сетевой папки на сервере и поддерживает скриптовый язык для автоматического обследования ПК. Для запуска AVZ на компьютерах пользователей необходимо:

1. Поместить AVZ в открытую для чтения сетевую папку на сервере.
2. Создать в этой папке подкаталоги LOG и Qurantine и разрешить пользователям запись в них.
3. Запустить AVZ на компьютерах ЛВС при помощи утилиты rexec или логон-скрипта.

Запуск AVZ на шаге 3 должен производиться при таких параметрах:

\\my_server\AVZ\avz.exe Priority=-1 nw=Y nq=Y HiddenMode=2 Script=\\my_server\AVZ\my_script.txt

Рис. 1. Редактор скриптов AVZ

Рассмотрим три типовых скрипта, которые могут пригодиться в ходе борьбы с эпидемией. Во-первых, нам потребуется скрипт для исследования ПК. Задача скрипта — произвести исследование системы и создать протокол с результатами в заданной сетевой папке. Скрипт имеет следующий вид:

// Включение сторожевого таймера на 10 минут

// Запуск сканирования и анализа

//Завершение работы AVZ

В ходе выполнения данного скрипта в папке LOG (предполагается, что она создана в каталоге AVZ на сервере и доступна пользователям для записи) будут создаваться HTML-файлы с результатами исследования компьютеров сети, причем для обеспечения уникальности в имя протокола включается имя исследуемого компьютера. В начале скрипта располагается команда включения сторожевого таймера, который принудительно завершит процеcc AVZ через 10 минут в случае, если в ходе выполнения скрипта возникнут сбои.

Протокол AVZ удобен для изучения вручную, однако для автоматизированного анализа он мало пригоден. Кроме того, администратору часто известно имя файла вредоносной программы и требуется только проверить наличие или отсутствие данного файла, а при наличии — поместить в карантин для анализа. В этом случае можно применить скрипт следующего вида:

// Включение сторожевого таймера на 10 минут

// Поиск вредоносной программы по имени

QuarantineFile(‘%WinDir%\smss.exe’, ‘Подозрение на LdPinch.gen’);

QuarantineFile(‘%WinDir%\csrss.exe’, ‘Подозрение на LdPinch.gen’);

//Завершение работы AVZ

В этом скрипте задействуется функция QuarantineFile, которая совершает попытку карантина указанных файлов. Администратору остается только проанализировать содержимое карантина (папка Quarantine\сетевое_имя_ПК\дата_каратина\) на наличие помещенных в карантин файлов. Следует учесть, что функция QuarantineFile автоматически блокирует помещение в карантин файлов, опознанных по базе безопасных AVZ или по базе ЭЦП Microsoft. Для практического применения данный скрипт можно усовершенствовать — организовать загрузку имен файлов из внешнего текстового файла, проверять найденные файлы по базам AVZ и формировать текстовый протокол с результатами работы:

// Поиск файла с указанным именем

function CheckByName(Fname : string) : boolean;

if Result then begin

case CheckFile(FName) of

-1 : S := ‘, доступ к файлу блокируется’;

1 : S := ‘, опознан как Malware (‘+GetLastCheckTxt+’)’;

2 : S := ‘, подозревается файловым сканером (‘+GetLastCheckTxt+’)’;

3 : exit; // Безопасные файлы игнорируем

AddToLog(‘Файл ‘+NormalFileName(FName)+’ имеет подозрительное имя’+S);

//Добавление указанного файла в карантин

SuspNames : TStringList; // Список имен подозрительных файлов

// Проверка файлов по обновляемой базе данных

if FileExists(GetAVZDirectory + ‘files.db’) then begin

AddToLog(‘База имен загружена - количество записей = ‘+inttostr(SuspNames.Count));

for i := 0 to SuspNames.Count - 1 do

AddToLog(‘Ошибка загрузки списка имен файлов’);

Для работы данного скрипта необходимо создать в папке AVZ доступные пользователям для записи каталоги Quarantine и LOG, а также текстовый файл files.db — каждая строка данного файла будет содержать имя подозрительного файла. Имена файлов могут включать макросы, наиболее полезные из которых — %WinDir% (путь к папке Windows) и %SystemRoot% (путь к папке System32). Другим направлением анализа может стать автоматическое исследование списка процессов, запущенных на компьютерах пользователей. Информация о запущенных процессах есть в протоколе исследования системы, но для автоматического анализа удобнее применять следующий фрагмент скрипта:

// Обновление списка процессов

AddToLog(‘Количество процессов = ‘+IntToStr(GetProcessCount));

// Цикл анализа полученного списка

for i := 0 to GetProcessCount - 1 do begin

S1 := S1 + ‘,’ + ExtractFileName(GetProcessName(i));

// Поиск процесса по имени

if pos(‘trojan.exe’, LowerCase(GetProcessName(i))) > 0 then

S := S + GetProcessName(i)+’,’;

AddLineToTxtFile(GetAVZDirectory+’\LOG\_alarm.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S);

AddLineToTxtFile(GetAVZDirectory+’\LOG\_all_process.txt’, DateTimeToStr(Now)+’ ‘+GetComputerName+’ : ‘+S1);

В завершение рассмотрим последний из полезных скриптов анализа — скрипт автоматического карантина всех файлов, которые не опознаются по базе безопасных AVZ и по базе ЭЦП Microsoft:

Автоматический карантин изучает запущенные процессы и загруженные библиотеки, службы и драйверы, около 45 способов автозапуска, модули расширения браузера и проводника, обработчики SPI/LSP, задания планировщика, обработчики системы печати и т.п. Особенностью карантина является то, что файлы в него добавляются с контролем повторов, поэтому функцию автокарантина можно вызывать многократно.

Достоинство автоматического карантина заключается в том, что с его помощью администратор может оперативно собрать потенциально подозрительные файлы со всех компьютеров сети для их изучения. Простейшей (но весьма эффективной на практике) формой изучения файлов может быть проверка полученного карантина несколькими популярными антивирусами в режиме максимальной эвристики. Следует отметить, что одновременный запуск автокарантина на нескольких сотнях компьютеров может создать высокую нагрузку на сеть и на файловый сервер.

Исследование трафика можно проводить тремя способами:

• вручную при помощи снифферов;
• в полуавтоматическом режиме — в данном случае сниффер собирает информацию, и затем его протоколы обрабатываются либо вручную, либо некоторым ПО;
• автоматически при помощи систем обнаружения вторжений (IDS) типа Snort (http://www.snort.org/) либо их программных или аппаратных аналогов. В простейшем случае IDS состоит из сниффера и системы, анализирующей собираемую сниффером информацию.

Система обнаружения вторжений является оптимальным средством, так как позволяет создавать наборы правил для обнаружения аномалии в сетевой активности. Второе ее преимущество состоит в следующем: большинство современных IDS позволяют размещать агенты мониторинга трафика на нескольких узлах сети — агенты собирают информацию и передают ее. В случае же применения сниффера очень удобно пользоваться консольным UNIX-сниффером tcpdump. Например, для мониторинга активности по порту 25 (протокол SMTP) достаточно запустить сниффер с командной строкой вида:

tcpdump -i em0 -l tcp port 25 > smtp_log.txt

В данном случае ведется захват пакетов через интерфейс em0; информация о захваченных пакетах будет сохраняться в файле smtp_log.txt. Протокол сравнительно просто анализировать вручную, в данном примере анализ активности по порту 25 позволяет вычислить ПК с активными спам-ботами.

В качестве ловушки (Honeypot) можно использовать устаревший компьютер, производительность которого не позволяет применять его для решения производственных задач. Например, в сети автора в качестве ловушки успешно применяется Pentium Pro c 64 Мбайт оперативной памяти. На этот ПК следует установить наиболее распространенную в ЛВС операционную систему и выбрать одну из стратегий:

• Установить операционную систему без пакетов обновлений — она будет индикатором появления в сети активного сетевого червя, эксплуатирующего любую из известных уязвимостей для данной операционной системы;
• установить операционную систему с обновлениями, которые установлены на других ПК сети — Honeypot будет аналогом любой из рабочих станций.

Каждая из стратегий имеет как свои плюсы, так и минусы; автор в основном применяет вариант без обновлений. После создания Honeypot следует создать образ диска для быстрого восстановления системы после ее повреждения вредоносными программами. В качестве альтернативы образу диска можно использовать системы отката изменений типа ShadowUser и его аналогов. Построив Honeypot, следует учесть, что ряд сетевых червей ищут заражаемые компьютеры путем сканирования диапазона IP, отсчитываемого от IP-адреса зараженного ПК (распространенные типовые стратегии — X.X.X.*, X.X.X+1.*, X.X.X-1.*), — следовательно, в идеале Honeypot должен быть в каждой из подсетей. В качестве дополнительных элементов подготовки следует обязательно открыть доступ к нескольким папкам на Honeypot-системе, причем в данные папки следует положить несколько файлов-образцов различного формата, минимальный набор — EXE, JPG, MP3.

Рис. 2. Создание и настройка предупреждения о сетевой активности

В качестве предупреждения удобнее всего использовать сообщения электронной почты, отправляемые на почтовый ящик администратора, — в этом случае можно получать оперативные оповещения от всех ловушек в сети. Кроме того, если сниффер позволяет создавать несколько предупреждений, есть смысл дифференцировать сетевую активность, выделив работу с электронной почтой, FTP/HTTP, TFTP, Telnet, MS Net, повышенный трафик более 20-30 пакетов в секунду по любому протоколу (рис. 3).

Рис. 3. Письмо-оповещение, высылаемое
в случае обнаружения пакетов, соответствующих заданным критериям

При организации ловушки неплохо разместить на ней несколько применяемых в сети уязвимых сетевых служб или установить их эмулятор. Простейшим (и бесплатным) является авторская утилита APS, работающая без инсталляции. Принцип работы APS сводится к прослушиванию множества описанных в ее базе портов TCP и UDP и выдаче в момент подключения заранее заданного или случайно генерируемого отклика (рис. 4).

Рис. 4. Главное окно утилиты APS

Дистанционное удаление вредоносных программ

В идеальном случае после обнаружения образцов вредоносных программ администратор отправляет их в антивирусную лабораторию, где они оперативно изучаются аналитиками и в базы антивируса вносятся соответствующие сигнатуры. Эти сигнатуры через автоматическое обновление попадают на ПК пользователей, и антивирус производит автоматическое удаление вредоносных программ без вмешательства администратора. Однако эта цепочка не всегда работает как положено, в частности возможны следующие причины сбоя:

• по ряду независимых от администратора сети причин образы могут не дойти до антивирусной лаборатории;
• недостаточная оперативность антивирусной лаборатории — в идеале на изучение образцов и их внесение в базы уходит не более 1-2 часов, то есть в пределах рабочего дня можно получить обновленные сигнатурные базы. Однако не все антивирусные лаборатории работают столь оперативно, и обновления можно ждать несколько дней (в редких случаях — даже недель);
• высокая работоспособность антивируса — ряд вредоносных программ после активации уничтожают антивирусы или всячески нарушают их работу. Классические примеры — внесение в файл hosts записей, блокирующих нормальную работу системы автообновления антивируса, удаление процессов, службы и драйверов антивирусов, повреждение их настроек и т.п.

Следовательно, в перечисленных ситуациях придется бороться с вредоносными программами вручную. В большинстве случаев это несложно, так как по результатам исследования компьютеров известны зараженные ПК, а также полные имена файлов вредоносных программ. Остается только произвести их дистанционное удаление. Если вредоносная программа не защищается от удаления, то уничтожить ее можно скриптом AVZ следующего вида:

// Эвристическая чистка системы

Данный скрипт удаляет один заданный файл (или несколько файлов, так как команд DeleteFile в скрипте может быть неограниченное количество) и затем производит автоматическую чистку реестра. В более сложном случае вредоносная программа может защищаться от удаления (например, пересоздавая свои файлы и ключи реестра) или маскироваться по руткит-технологии. В этом случае скрипт усложняется и будет иметь следующий вид:

// Включение протоколирования BootCleaner

// Импорт в задание BootCleaner списка файлов, удаленных скриптом

Есть только один способ предохранить систему от вредоносных программ: быть всегда начеку. ЧТО ТАКОЕ ВИРУСЫ? ТИПЫ ВИРУСОВ НЕ БЫЛО ПЕЧАЛИ. ЗАЩИТНОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ БУДЬТЕ НАЧЕКУ Представьте, что вы фанат парусного

Есть только один способ предохранить систему от вредоносных программ: быть всегда начеку.

Представьте, что вы фанат парусного спорта и только что скачали видеоклип со своего любимого узла Web с 30-секундным фрагментом парусной регаты на Кубок Америки 1995 года. После просмотра файла .avi в программе воспроизведения Windows 95, ваш компьютер вдруг начинает себя странно вести: на экране появляется запрос DOS, а затем компьютер перегружается сам по себе. Дальше и того хуже - файл win.ini исчезает, и появляется 305 новых каталогов. Когда вы пытаетесь перезагрузить компьютер с системной дискеты, экран высвечивает слово "SUCKER" (молокосос, дурачок - англ.). Что же произошло? Вы загрузили вирус вместе с видеоклипом, отсюда и все ваши беды.

ЧТО ТАКОЕ ВИРУСЫ?

Компьютерный вирус - это специальный вид вредоносного программного кода, он записывается в файл, сектор диска или место памяти в целях воспроизведения самого себя и разыгрывания пользователя или разрушения системы и файлов. Вирус может проникнуть в систему одним из нескольких возможных путей: дискета, CD-ROM производителя ПО, сетевой интерфейс или модемное соединение (см. Рисунок 1). При выполнении вируса он не только производит разрушительные действия, но и записывает себя в другие файлы, надеясь проникнуть через них в иные системы и таким образом инфицировать и эти ПК.

Рисунок 1.
Вирусы проникают в компьютер с дискет, через модемы и по сетевым соединениям.

Исторически дискета - это наиболее распространенный носитель вирусов, главным образом из-за того, что они использовались для переноса информации с одного компьютера на другой - как чума передается от человека к человеку. Вирус загрузочного сектора проникает в компьютер всякий раз, как вы загружаетесь с инфицированного диска или запускаете инфицированный исполняемый файл .exe. Однако этим пути проникновения вирусов в систему далеко не исчерпываются. Есть еще файлы, передаваемые из сети или Internet на локальный ПК, и даже файлы, выполняемые в сети. Дорожащие репутацией операторы досок объявлений и системные операторы интерактивных служб производят сканирование новых файлов на наличие вирусов, прежде чем сделать их доступными публике - однако никогда нельзя быть уверенным, что полученные файлы проверены.

Проникновение вируса в корпоративную сеть может иметь разрушительные последствия. Некоторые вирусы располагаются в памяти и инфицируют всякую выполняемую программу. Новые вирусы могут даже атаковать некоторые типы файлов данных, например файлы Microsoft Word и Excel. Если вирус инфицирует файл на сервере, то он заразит всякую выполняющую этот файл рабочую станцию и таким образом распространится по сети. Увы, но если вы не предпримите превентивных мер, то рано или поздно вся ваша система будет инфицирована.

Как и в случае обычной простуды, компьютер, атакованный вирусом, начинает проявлять болезненные симптомы. Заражение человека вирусом приводит к замедлению реакции, изменению веса, общей слабости, болевым ощущениям, частичной или полной амнезии и даже смерти. При инфицировании вирусом компьютеры проявляют аналогичные симптомы: замедленное выполнение программ по сравнению с обычным, необъяснимые изменения в размере файлов, необычные и частые сообщения об ошибках, потеря или изменения данных и полный крах системы. Некоторые относительно безвредные компьютерные вирусы тиражируются, но не делают ничего ужасного. Эти вирусы могут, как в примере с видеоклипом о парусном спорте, выдавать на экран ошибочное сообщение. Однако в некоторых случаях вирус, атаковавший, скажем, больничную систему жизнеобеспечения и выдавший некорректное сообщение, может иметь фатальные последствия. Кроме того, вирусы способны нанести серьезный ущерб системе, например стереть всю информацию с жесткого диска.

ТИПЫ ВИРУСОВ

На сегодняшний день насчитываются тысячи разновидностей вирусов, и их число продолжает расти. Каждый день новые вирусы проникают в сеть, так что для защиты от вирусов разработчикам программного обеспечения приходится постоянно обновлять свои продукты. Все существующие вирусы можно разделить на две основные категории: вирусы, инфицирующие загрузочный сектор, и вирусы, инфицирующие файлы.

Вирусы, инфицирующие загрузочный сектор, изначально хранятся в загрузочном секторе дискеты и проникают в систему при попытке загрузить компьютер, когда зараженная дискета находится в флоппи-дисководе. Представьте, что вы работаете над отчетом и сохраняете его на дискете с резидентным вирусом. Вы выключаете систему перед уходом домой и забываете дискету в дисководе, а на следующее утро, придя на работу, включаете компьютер, так и не вынув дискету. При загрузке компьютера вам поступает привычное сообщение "Non-system disk or disk error. Replace and press any key when ready" ("Несистемный диск или ошибка диска. Замените его и нажмите любую клавишу, когда готовы"). Вы вынимаете диск и нажимаете на произвольную клавишу для продолжения загрузки. И все бы ничего, если бы не то обстоятельство, что, когда компьютер читал загрузочный сектор, он загрузил вирус, и этот вирус находился в компьютере в течение всего процесса загрузки.

Эффективным способом избавиться от вирусов загрузочного сектора является блокирование возможности загрузки пользователя с дискеты; вы можете также задать пароль утилите, разрешающей и запрещающей загрузку с дискеты. Это гарантирует, что злоумышленник не сможет злонамеренно разблокировать загрузку с дискеты и инфицировать ваш компьютер. Кроме того, не ленитесь проверять все дискеты на наличие вирусов и не забывайте выставлять защиту от записи, прежде чем поместить дискету в дисковод. Вирус должен быть записан на дискету, поэтому защита от записи предотвращает возможность записи вируса с чужого компьютера на вашу дискету. Однако помните: система защиты от записи может быть испорчена - это случается гораздо чаще, чем того хотелось бы.

НЕ БЫЛО ПЕЧАЛИ.

Семейство макровирусов Word стало сегодня уже привычным. Эти вирусы используют макроязык WordBASIC для инфицирования и тиражирования докуметов и шаблонов Microsoft World. Это новое семейство вирусов платформенно-независимо - вирусы инфицируют документы и шаблоны в клиентских операционных системах DOS, MacOS, Windows 3.x, Windows 95 и Windows NT.

Данные вирусы используют некоторые особенности редактора Word для автоматического исполнения испорченного макрокода. После открытия и запуска инфицированного документа вирус поражает пользовательский шаблон normal.dot. Этот шаблон - базисный для большинства документов и шаблонов и доступен глобально всем шаблонам документов Word в системе. При открытии других документов вирус распространяется. По умолчанию шаблон normal.dot является первым открываемым документом при запуске Word без указания другого документа в командной строке, что тут же позволяет вирусу действовать.

Исследователи вирусов из McAfee Associates недавно обнаружили, что вирус Word Macro может инфицировать и электронные таблицы Excel. Вирус по имени ExcelMacro/Laroux был выявлен двумя транснациональными компаниями на Аляске и в Африке. Он тиражируется, но данным вреда не причиняет. "В настоящее время вирус Laroux не имеет, по-видимому, широкого распространения, однако, как только пользователи научатся его обнаруживать, сообщения о нем не заставят себя долго ждать, - говорит президент McAfee Билл Ларсон. - Как и в случае любого нового вируса, пользователям не следует паниковать, но бдительности терять не следует. Предприняв некоторые превентивные, причем ничего ровным счетом не стоящие, меры, пользователи смогут не допустить проникновение этого вируса в свои компьютеры".

Вирус Laroux поражает файлы Excel 5 и 7 во всех версиях операционной системы Windows, но, судя по всему, не заражает версию для Macintosh; он состоит из двух макрофайлов - auto_open и check_files - и одной скрытой рабочей таблицы под названием Laroux. Пользователи могут без труда определить, инфицированы их таблицы или нет, выбрав опцию Macro из меню Tools. Если файлы с именами auto_open и check_files содержатся в спускающемся меню макросов, то компьютер инфицирован.

Другой вирус, на который следует обратить внимание, - это Boza, первый вирус для Windows 95. Boza инфицирует файлы, но не осуществляет никаких разрушительных действий: он поражает только файлы .exe для Windows 95. Windows NT и Windows 3.x тоже используют такого рода программы (при помощи Win32), но вирус проявляет себя только в операционной системе Windows 95. Каждый раз при выполнение инфицированного файла Boza инфицирует три файла в текущем каталоге.

Boza активизируется при запуске инфицированного файла 31 числа и выводит сообщение "The taste of fame just got tastier!" ("Вкус славы стал еще слаще!") или "From the old school to the new" ("Старому поколению от нового"). Boza содержит также текстовую строку с именами некоторых изобретателей вирусов и может приводить к увеличению длины некоторых файлов .exe.

Еще один новомодный вирус Burglar.1150 - инфицирующий файлы резидентный вирус-невидимка. После инфицирования Burglar.1150 становится резидентным и поражает все файлы .exe при их запуске, за исключением файлов, в имени которых есть буквы S или V. Таким образом, многие антивирусные утилиты не поражаются вирусом, в том числе VirusScan и VShield. Burglar.1150 проявляет себя каждый час на 14-й минуте по компьютерным часам. В это время мигающее сообщение Burglar/H появляется на экране. Burglar.1150 содержит также текстовую строку "At the grave of Grandma" ("На могиле бабушки"), хотя данная строка и не отображается. Длина инфицированных файлов изменяется, но эти изменения не видны, когда Burglar.1150 находится в памяти резидентно.

Burglar.1150 может приводить к порче инфицированных файлов; кроме того, инфицированные системы могут испытывать осложнения с утилитами управления памятью.

ЗАЩИТНОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ

Никакое программное обеспечение не в силах защитить ресурсы компьютеров от всех вирусов. Единственный способ противостоять их угрозе состоит в разработке активной антивирусной стратегии (включая программное обеспечение) для уменьшения потенциальной опасности вирусной атаки. Главными частями этого плана должны стать меры по предотвращению попадания вирусов в систему и - коль скоро уж они туда попали - обнаружению и уничтожению, прежде чем они смогут осуществить свои злонамеренные действия. Следуйте той же схеме, что и врачи при исследовании вирусов: знание о последних их штаммах и наличие средств под рукой для их обезвреживания.

Как работает антивирусное программное обеспечение? Обычно эти продукты осуществляют сканирование и выявление вирусов для защиты серверов и рабочих станций. Они просматривают файлы и ищут строки или подписи, относящиеся к известным вирусам. Чтобы быть эффективным, сканер должен знать все вирусы, поэтому необходимо часто обновлять его базу штаммов. Все программное обеспечение и диски, в том числе все новые продукты, надо подвергать сканированию. Не забывайте обновлять антивирусное программное обеспечение, ведь новые вирусы появляются ежедневно.

Детекторы позволяют воспрепятствовать действию неизвестных или мутирующих вирусов, не обнаруженных сканером. LANDesk Virus Protect NLM for Netware от Intel, например, непрерывно сканирует получаемые и отправляемые файлы для предотвращения копирования инфицированного файла на сервер или на клиента. Результат - создание щита вокруг сервера, предотвращающего распространение вируса по сети. Модуль NLM пресекает деятельность известных и неизвестных вирусов при обнаружении вирусоподобного поведения программы на сервере. Программное обеспечение может также осуществлять плановое сканирование всех томов сети в удобное время.

McAfee предлагает ряд продуктов, из которых VirusScan наиболее известен. "Большинство антивирусных пакетов осуществляют сканирование при доступе посредством резидентных программ, а они, как известно, нестабильны и занимают критические ресурсы памяти, - говорит Крис Харгет, менеджер по антивирусным продуктам в McAfee. - Недостатки TSR-технологий вынуждают многих пользователей отключать сканирование, а это делает их компьютеры практически беззащитными перед атаками вирусов. VirusScan преодолевает это ограничение, поскольку он размещается в верхней памяти и исключает таким образом системные конфликты".

VirusScan действует как фильтр вирусов в реальном времени: он осуществляет контроль за критическими операциями с диском - запуском файлов, выполнением программ, переименованием файлов, доступом к диску, запуском системы и отключением системы. Сканирование при отключении системы гарантирует, что инфицированная дискета не будет оставлена в дисководе. VirusScan можно сконфигурировать на выполнение различных предопределенных действий при обнаружении вируса. Среди них удаление, изоляция и восстановление файлов, а также запрос пользователя о действиях. VirusScan может также выдавать предопределенные сообщения, например номер телефона, по которому пользователю следует позвонить для получения инструкций о том, что делать при обнаружении вируса.

NetShield for Windows NT компании McAfee сочетает технологию сканирования вирусов со средствами управления сервера в целях снижения угрозы поражения сети вирусами. По заявлению McAfee, NetShield обнаруживает свыше 96% из 5500 известных вирусов. Ввиду того, что NetShield представляет собой 32-разрядную программу, он позволяет значительно увеличить защищенность Windows NT без угрозы функционированию сервера. NetShield сканирует (немедленно или планово) файловый сервер на наличие вирусов; а при обнаружении инфицированного файла он автоматически регистрируется и либо изолируется, либо удаляется.

Norton AntiVirus for Windows 95 компании Symantec применяет технологию под названием Virus Sensor для выявления вирусоподобных действий и предупреждения пользователей. Это осуществляется автоматически в фоновом режиме; подписи вирусов не используются. Более того, согласно исследованию Norman Hirsh&Associates, независимой консультационной фирмы, проводящей оценку антивирусного программного обеспечения, NAV превосходно справлялась с обнаружением и уничтожением распространенных штаммов макровирусов Word.

Перед установкой системы пользователи должны запустить компонент MS-DOS программы NAV для Windows 95 в целях выявления и уничтожения вирусов в файлах прежде, чем те окажутся в среде Windows 95. NAV для Windows 95 ищет известные и неизвестные вирусы и идентифицирует инфицированные файлы. Пользователь может затем удалить или восстановить поврежденные вирусом файлы. "При переходе к более мощной среде Windows 95 самозащита от вирусов становится для пользователей еще важнее, - отмечает Жермен Вард, менеджер в антивирусном подразделении группы Питера Нортона компании Symantec. - Корпорациям и отдельным пользователям жизненно необходимо очистить их систему до установки Windows 95 и обезопасить ее посредством постоянного, автоматического, необременительного сканирования на наличие вирусов".

Одно из наиболее быстрорастущих средств разработки - Java компании Sun Microsystems. Пока о вирусах для Java ничего не известно, но вероятность появления такого вируса исключить нельзя. Кроме того, ввиду межплатформенной переносимости Java, вирус, если бы он существовал, мог бы с легкостью распространиться среди множества платформ. Чтобы предотвратить такую возможность, антивирусный исследовательский центр Symantec (Symantec AntiVirus Research Center, SARC) разработал для NAV добавление в виде сканера файлов для Java. Это позволяет NAV обеспечивать защиту в реальном времени и мониторинг деятельности вирусов Java в Netscape и любых других браузерах Web, поддерживающих Java.

Антивирусное приложение LAN-Desk Virus Protect 3.0 компании Intel ориентировано на ПК (а не на серверы). Оно проверяет весь компьютер на известные вирусы, запоминая две контрольные суммы для каждого файла (одну для обнаружения изменений в файле и другую для обнаружения изменений в тех разделах файла, вероятность инфицирования которых наибольшая; эта перекрестная проверка значительно снижает число ложных тревог). Проверка файлового сервера осуществляется периодически. Процесс верификации LANDesk Virus Protect предполагает поддержание среды сервера "в чистоте". Если файлы проходят тест на наличие известных вирусов, то они получают свидетельство о незараженности. Кроме того, программа делает два снимка для проверки целостности при последующих сканированиях. Целостность файла проверяется периодически на предмет выявления изменений по сравнению со снимками и изменений, характерных для вирусной инфекции. Каждый раз при обновлении базы данных о вирусах все файлы автоматически сканируются.

Что касается рабочих станций, то при загрузке их необходимо защищать от вирусов, поражающих файлы и загрузочный сектор. LANDesk Virus Protect, например, копирует загрузочный сектор при установке и проверяет его каждый раз при загрузке компьютера. Данный продукт предохраняет от вирусов только после завершения процесса загрузки: если вы отличаетесь параноидальными наклонностями, то добавьте аппаратную сканирующую систему типа EtherExpress Flash Adapter компании Intel для защиты во время загрузки. Такая система осуществляет загрузку компьютера с флэш-памяти на сетевой плате, а не с жесткого диска.

Рынок антивирусных продуктов этим не исчерпывается (см. Таблицу 1).

ТАБЛИЦА 1 - ПОСТАВЩИКИ АНТИВИРУСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

БУДЬТЕ НАЧЕКУ

Помните, что новые вирусы появляются каждый день. Не ломайте себе голову над инфицированными компьютерами: практикуйте безопасные вычисления посредством развертывания антивирусного программного обеспечения и процедур. Но главное, обращайте внимание на симптомы и уничтожайте вирусы прежде, чем они принесут вред.