Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Охота за вирусом: взять живым или мертвым

Филип Карден

Не мертвые, но все-таки и не живые — так ученые характеризуют биологические вирусы — одушевленные частицы, вызывающие многие болезни человека. Такие биологические вирусы, как вирус гриппа, заражают здоровые клетки и затем используют их для создания своих копий, которые, в свою очередь, могут заражать новые клетки.

Подобным образом ведут себя и компьютерные вирусы — они заражают программы, самореплицируются и распространяются дальше. Если вы узнаете, как ведут себя компьютерные вирусы, то поймете, какой ущерб они способны нанести, и сможете предпринять определенные шаги по защите от них компьютеров вашей рабочей группы.

Поскольку пользователи работают обычно с ограниченным набором приложений, таких, как текстовый процессор или программы обработки электронных таблиц, для проникновения в машину вирус должен воспользоваться каким-то иным приложением. Кроме того, чтобы код вируса мог выполняться автоматически, нужен какой-то механизм. Поэтому для проникновения в машину вирусы пользуются такими методами, как заражение загрузочного сектора и присоединение в виде макроса приложения.

Вирусы в загрузочном секторе

Когда вы производите начальную загрузку или перезагрузку, компьютер проверяет наличие дискеты в дисководе. Если дискета обнаружена, компьютер ищет на ней область, называемую загрузочным сектором, который создается при форматировании дискеты и выполняет программу дискового загрузчика. Если это загрузочная дискета, то программа загружает операционную систему, в противном случае выводится сообщение о том, что дискета не является системной. Программа загрузчика выполняется автоматически при включении компьютера со вставленной дискетой независимо от ее содержимого. Модифицированная вирусом программа загрузчика на зараженной дискете выполняет те же функции, что и обычный загрузчик, но, кроме того, переносит в компьютер вирусную программу.

Чаще всего зараженная программа загрузчика модифицирует сектор жесткого диска, где располагается так называемая главная загрузочная запись (Master Boot Record — MBR), также именуемая сектором или таблицей раздела диска. MBR содержит программу, выполняемую автоматически в случае отсутствия дискеты в дисководе. Запись MBR автоматически запускает расположенный на одном из разделов жесткого диска загрузчик ОС. Когда вирус переносится в компьютер, он модифицирует MBR таким образом, что при следующей загрузке с жесткого диска в памяти оказывается и код вируса.

Будучи загруженным в память компьютера, вирус «выжидает», пока в дисковод не будет вставлена дискета. Затем он модифицирует загрузочный сектор новой дискеты, используя свой первичный код, после чего дискета будет «заражать» остальные компьютеры. Другие разновидности вирусов вместо загрузочного сектора могут атаковать загрузчик ОС, или же делать и то и другое одновременно, либо вообще избегать записи на жесткий диск, напрямую загружаясь с дискеты в память рабочей станции.

Макросы и макровирусы

При использовании таких офисных приложений, как текстовые процессоры и программы обработки электронных таблиц, некоторые специфические операции выполняются многократно в течение дня. Чтобы помочь пользователям в этих ситуациях, большинство приложений поддерживают макросы. Макрос представляет собой последовательность команд, объединенных в одну с целью автоматизации определенной операции. Например, в Excel вы можете написать макрос, выделяющий в таблице все строки, где пропущено ключевое поле или, скажем, макрос для Microsoft Word, который бы преобразовывал адреса клиентов в формат адресной книги, принятый в вашей фирме.

Поскольку макросы содержат последовательность команд, по существу они являются программами. В действительности эти программы могут быть очень мощными. Такие приложения, как Word и Excel, с помощью макросов могут даже модифицировать свою конфигурацию. Однако в отличие от обычных прикладных программ, являющихся отдельными исполняемыми файлами, макросы обычно хранятся непосредственно в файле документа. Более того, макроязыки, как правило, предлагают механизм для автоматического выполнения макросов при открытии документа (такие макросы часто называются autorun, autostart или start-up macro).

Таким образом, макровирус — это автоматически выполняемый макрос, который содержится в файле документа. Известны макровирусы, атакующие документы Word, Excel и Amipro. Вместо увеличения функциональности документа, как это делают настоящие макросы, макровирус модифицирует конфигурацию основного приложения таким образом, что при открытии или создании в этом приложении нового документа к последнему будет добавляться макровирус.

В отличие от загрузочных вирусов макровирусы с легкостью могут распространяться по сетям. При каждом открытии инфицированного файла, лежащего на сетевом файловом сервере, или при пересылке зараженного документа по электронной почте в виде присоединенного файла происходит дальнейшее распространение вируса с инфицированием других машин. Фактически макровирусы обычно распространяются гораздо быстрее загрузочных вирусов, и на сегодняшний день большинство вирусов первой десятки наиболее распространенных вирусов относятся именно к этой категории.

Другие типы вирусов

Несмотря на то что в сети наиболее распространены макровирусы, следует остерегаться также вирусов исполняемых файлов и ActiveX-вирусов. Файловые вирусы обычно присоединяются в конец исполняемого файла, часто переписывая его код. При запуске зараженной программы на компьютере вирус начинает заражать другие файлы. Файловые вирусы, как и макровирусы, могут распространяться по сети, но, так как исполняемые файлы нечасто передаются по электронной почте, они менее «заразны», хотя и более разрушительны. Вирусы ActiveX, также распространяющиеся через сеть, используют технологии Web-браузеров. Многие современные Web-серверы используют компактные программы — так называемые апплеты, которые загружаются вместе с информацией Web-страницы и автоматически выполняются браузером. Одна из разновидностей таких приложений, созданных по технологии ActiveX компании Microsoft, отличается тем, что в ней открывается полный доступ к ресурсам клиентской машины в зависимости от установок безопасности браузера. Апплеты данного типа в принципе могут делать на клиентской машине все что угодно, начиная от передачи с нее конфиденциальных данных и заканчивая форматированием жесткого диска.

Степень опасности вирусов может варьироваться в широком диапазоне. Одни вирусы (и их большинство) не производят никаких действий, другие — способны нанести значительный ущерб, вплоть до уничтожения всех данных и форматирования сетевых дисков. Однако даже те вирусы, которые на первый взгляд безопасны, могут вызвать странности в поведении вашего компьютера. Наиболее распространенными признаками наличия вирусов являются частые необъяснимые сбои и зависания вашей машины.

Как защититься от известных вирусов

Наилучшим способом борьбы с вирусной «инфекцией» является покупка какого-нибудь известного антивирусного программного обеспечения. Существует два основных метода защиты от вирусов: непосредственная защита компьютеров и защита шлюзов сети. При непосредственной защите антивирусные программы устанавливаются на каждый защищаемый компьютер. Защита, устанавливаемая на шлюзе, преграждает сетевым вирусам путь в вашу локальную сеть (обычно шлюз соединяет рабочую группу с Интернет через межсетевой экран), но не помогает от вирусов, распространяющихся на дискетах.

Какой же метод предпочесть? Если ваши клиентские машины оснащены дисководами гибких дисков, у вас не остается иного выбора, кроме как установить антивирусное программное обеспечение на каждый компьютер, будь то клиентская машина или сервер. В этом случае каждый компьютер оказывается защищенным от всех категорий вирусов, и при условии правильного использования и регулярного обновления антивирусов никаких других мер защиты не требуется. Для крупных рабочих групп вы можете усовершенствовать защиту от распространяющихся по сети вирусов, дополнив клиентские программы антивирусными продуктами, предназначенными для защиты шлюзов сети.

Если ваши клиентские рабочие станции не имеют флоппи-дисководов, вам, наверное, нет надобности устанавливать антивирусные программы на отдельные компьютеры. Например, если ваша рабочая группа не подсоединена к внешним сетям, вы можете установить антивирусное программное обеспечение только на общий сервер. Если же у вас есть соединение с Интернет, вы можете установить защитное программное обеспечение для шлюза между межсетевым экраном и рабочей группой и по-прежнему не устанавливать антивирусные программы на клиентские машины. В малых рабочих группах, однако, гораздо проще установить антивирусы на все компьютеры и не возиться с конфигурацией специального антивирусного шлюза.

Независимо от выбранной вами конфигурации наиболее существенной характеристикой устанавливаемого антивирусного ПО является его способность распознавать и удалять из вашей системы вирусы. Очевидно, непрактично проводить самостоятельное тестирование предлагаемых продуктов на предмет успешного выявления каждым из них от 15 тыс. до 20 тыс. известных вирусов или пусть даже 300 вирусов, виновных в 95% случаев заражения. К счастью, существуют довольно объективные сравнительные обзоры из независимых источников. Наиболее авторитетным из них, возможно, является Международная ассоциация компьютерной безопасности iCSA, ранее NCSA (www.ncsa.com). Для получения сертификата iCSA антивирусное приложение должно обнаруживать 100% наиболее распространенных на сегодняшний момент вирусов и 90% других известных вирусов из «коллекции» iCSA.

Важно отметить, что производители антивирусов должны платить iCSA за сертификацию: 7,5 тыс. долл. за полное членство и 4 тыс. долл. за сертификат для одной платформы. Соответственно список iCSA не дает полной картины доступных антивирусных продуктов. Многие мелкие производители просто не хотят платить за сертификацию. И, хотя в сети Интернет существует много средств проверки эффективности антивирусов, имейте в виду, что некоторые Web-серверы, например The Virus Bulletin (www.virusbtn.com), поддерживаются производителями этих программ.

Как защититься от новых вирусов

Упорство компьютерных вредителей, с каждым годом совершенствующих свое мастерство, требует от системных администраторов постоянного внимания с целью обезвреживания новых типов вирусов, не распознаваемых уже существующими программами. Решение этой проблемы состоит в непрерывном обновлении антивирусного ПО — такую функцию в той или иной форме предлагают все основные производители антивирусов, что позволяет обновлять программы через Интернет или по коммутируемому каналу.

Существует два основных метода обновления. Первый и наиболее общий состоит в регулярной загрузке нового ПО и файлов данных непосредственно с сервера производителя. Второй метод подразумевает использование промежуточного сервера, устанавливаемого в локальной сети. Этот сервер загружает программы для обновления ПО и распространяет их среди других клиентов сети (см. рисунок).

Метод непосредственного обновления несколько проще, но при этом каждый клиент должен сам загрузить нужные файлы данных, которые иногда, в зависимости от конкретного продукта, могут быть больше 1 Мбайт. Таким образом, если у вас низкоскоростной коммутируемый канал или сервер производителя вдруг окажется перегруженным, время обновления ПО может быть весьма значительным. В результате пользователи просто отказываются от обновления ПО, что существенно снижает защищенность вашей рабочей группы от новых вирусов. При задействовании промежуточного сервера обновление клиентского ПО происходит через вашу локальную сеть. В этом случае задержка состоит лишь в загрузке приложения на сервер, что практически незаметно для пользователей рабочей группы. Мы настоятельно рекомендуем опробовать такой подход и в вашей среде.





  
1 '1999
СОДЕРЖАНИЕ

колонка редактора

• Ирония судьбы, или NDS по осени считают

локальные сети

• Хорошая проводка - это оптимальный кабель, бережливость, изобретательность

• Как построить высокопроизводительную сеть Ethernet

• Портативные приборы для тестирования сети

• Выбираем высокопроизводительный сетевой принтер

• Недорогая кластерная технология

• Парад коммутаторов Gigabit Ethernet (часть вторая)

бизнес

• Стратегия-партнерство

• Nortel продолжает интеграцию

• Newbridge сегодня: масштабируемость, управляемость, надежность

интернет и интрасети

• Java готовится к штурму предприятий

• Бизнес-планирование в электронной коммерции

• NAT: маскировка в пределах прямой видимости

корпоративные сети

• Распределенная файловая система Microsoft

• IP-телефония на вашем предприятии

• Раскроем тайну РРР

услуги сетей связи

• Европа на перекрестке технологий

• Внимание-границе

• Новые продукты для эффективного использования полосы пропускания

• Все услуги - по одной линии

• IP - телефония: все дело в дополнительных услугах

• WiseWan - новое поколение систем сетевого управления

защита данных

• Охота за вирусом: взять живым или мертвым

новые продукты

• Распределенная маршрутизация от RADLAN; Новый оптический соединитель LightCrimpPlus компании AMP; FibeAir 1500: по воздуху - как по волокну; Тестер DST 2000 - прибор нового поколения



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх