Статьи о почте

Новости

Все новости

Разное в мире IT

Все заметки

mailinfo.ru - Статьи о почте

Почтовые вирусы (почта и черви)

Прислал(а) Игорь Дериев [11 января 2002]

раздел: [Безопасность]

Почему именно весной активизируются почтовые вирусы? Наверное, вследствие острого авитаминоза у их создателей... Не надоело ли читателям ежегодно возвращаться к этой теме? Ведь защититься-то так просто, причем раз и навсегда!

Убедиться в том, что электронная почта превратилась в основной источник распространения вирусов, проще простого - не нужно даже опросов и прочих исследований (хотя таковые неоднократно проводились). Достаточно пару раз "засветить" свой адрес, и рано или поздно вы наверняка станете мишенью для киберхулиганов (по наивности мнящих себя крутыми хакерами). Через какое-то время их примитивные проделки (чаще всего -- "анонимные" письма без темы и содержания, но с присоединенным EXE-файлом) перестанут вызывать даже снисходительную улыбку.

Почтовые вирусы
Видит око, да зуб неймет
Почтовые "черви" в этом смысле несколько хитрее -- они обычно приходят от знакомых и именно этим опасны. Достаточно второпях машинально лишний раз щелкнуть мышью, и -- готово. Впрочем, даже это вряд ли может служить оправданием, ведь умудряемся же мы довести до автоматизма правила личной гигиены.

Вторая опасность "червей" состоит в том, что их нередко воспринимают как обычные компьютерные вирусы, а в вопросах защиты полагаются на традиционные антивирусные средства. Настоящий вирус -- это своего рода произведение искусства, и написать его не так-то просто, а большинство почтовых "червей" (для платформы Windows) сегодня создаются средствами VBScript, что вполне по силам даже не-программистам.

Поэтому их сложно идентифицировать традиционными способами (по сигнатурам), а чрезвычайно высокая скорость распространения приводит к тому, что антивирусные компании выпускают обновления своих продуктов уже в разгар эпидемии. Но, пожалуй, самая неприятная особенность почтовых "червей" заключается в том, что в первую очередь они наносят вред не самому виновнику их запуска, а окружающим.

С другой стороны, проблема почтовых "червей" кажется несколько надуманной. Поскольку действия этих "паразитов" абсолютно предсказуемы, предвосхитить их совершенно просто. Одно из наиболее радикальных и надежных средств состоит в деинсталляция Windows Scripting Host (WSH), по-русски -- Сервера сценариев. В различных конфигурациях Windows этот компонент устанавливается автоматически, хотя подавляющее большинство пользователей с ним никогда не работает.

Еще проще отказаться от немедленной отправки корреспонденции почтовыми клиентами. В этом случае все "червивые" сообщения просто скопятся в папке Outbox, а пользователь получит наглядный пример, чего не следует делать.

Использование функций автоматизации 
                                Outlook невозможно без ведома                   пользователя
Использование функций автоматизации Outlook невозможно без ведома пользователя
Естественно, подобные искусственные меры не всегда удобны. Так, можно попросту забыть действительно отправить важное письмо. К тому же далеко не все администраторы с энтузиазмом откажутся от удобств автоматизации с помощью WSH и т. д. Лучше всего, безусловно, прибегнуть к специальным средствам, которые предлагаются и Microsoft, и сторонними разработчиками.

Outlook и почтовые вирусы

Именно программа Outlook -- полновесный менеджер персональной информации, а в частности и почтовый клиент, рассчитанный на корпоративный сектор, -- оказывается наиболее уязвимой. Виной тому, как и в большинстве подобных случаев, стремление Microsoft не просто выпускать функциональные продукты, но превращать их в "платформу" для разработки более специализированных решений. Именно средства автоматизации Outlook в сочетании с богатыми возможностями WSH создают чрезвычайно благоприятную почву для всевозможных скриптовых вирусов и "червей", которые сейчас в ускоренном порядке проходят примерно тот же путь развития, что и их более "традиционные" предки.

Дополнительный модуль обеспечивает управление настройками безопасности в Outlook 2002
Дополни-
тельный модуль обеспечивает управление настройками безопасности в Outlook 2002

После нескольких громких инцидентов первой половины прошлого года и последовавшего за ними шквала критики (а кто сегодня упустит такую возможность?) Microsoft вынуждена была всерьез заняться проблемами защиты почтовых клиентов. В результате примерно год назад появились соответствующие заплатки, а спустя несколько месяцев и их локализованные варианты для Outlook 2000 (эти же модули входят в состав Office 2000 Service Pack 2) и Outlook 98.

Прежде всего после их установки полностью блокируется какая бы то ни было работа с присоединенными файлами, расширения имен которых попадают в специальный "черный" список. Сюда относятся EXE, COM, VBS и еще несколько десятков. Их нельзя будет не только запустить на выполнение, но и просто сохранить на диске -- ввиду банального отсутствия соответствующих функций и элементов интерфейса. Это так называемая группа Level 1, еще есть Level 2 -- для которой разрешается только сохранение. По умолчанию список Level 2 пуст, заполнить его (в том числе и за счет расширений из Level 1) можно только с помощью специальных правил для Microsoft Exchange.

Вторая мера безопасности -- контроль за доступом к адресной книге и объектной модели Outlook. Эти возможности, естественно, используют не только вирусы, но и "доброкачественные" программы, поэтому блокировать их полностью нельзя. Пользователь лишь будет получать соответствующее предупреждение и разрешать или запрещать операцию в каждом конкретном случае.

Вложения из категории Level 2 можно 
                                только сохранять на диске
Вложения из категории Level 2 можно только сохранять на диске
Последнее, что делает эта заплатка, -- устанавливает в Outlook зону безопасности по умолчанию в состояние Restricted sites, тем самым запрещая выполнение сценариев в HTML-сообщениях и блокируя загрузку каких бы то ни было динамических элементов и дополнительных модулей. Достаточно очевидная настройка, которая долгое время игнорировалась как Microsoft, так и конечными пользователями. Дело в том, что уже мелькали сообщения о вирусах, активизирующихся даже при просмотре сообщения в формате HTML. Правда, если таковые и существуют, в "живую природу" они так и не попали.

Анти-Outlook

Несмотря на то что со своими задачами описанное обновление справляется довольно уверенно, назвать его элегантным нельзя даже с большой натяжкой. Хуже всего то, что после установки заплатки все описанные ограничения не поддаются никакой коррекции (за исключением использования административных правил для Exchange Server), а в случае Outlook 2000 они вообще внедряются намертво -- чтобы вернуть все вспять, потребуется полная переустановка Office 2000.

Действительно весьма спорное решение. Безусловно, относительно несложно пересмотреть собственный стиль работы с электронной почтой, взяв за привычку переименовывать или архивировать исполняемые файлы (многие архиваторы, кстати, позволяют автоматизировать подобные рутинные действия), но как приучить к этому всех своих корреспондентов? Типичный результат: долгожданный файл исправно загружается в локальный почтовый ящик, но добраться до него невозможно.

Впрочем, имеется один "обходной маневр". Можно попросту импортировать необходимые письма с вложениями в другой почтовый клиент, например Outlook Express. Поскольку копирование отдельных сообщений в этом случае не поддерживается, лучше создать в Outlook специальную папку.

А вот совет из разряда "хакерских": заменить файлы Outllib.dll и Outllibr.dll на диске их оригиналами с установочного CD-ROM (именно в них зашиты "черный" список сомнительных расширений и соответствующая функциональность). Естественно, в этом случае нужно быть морально готовым к нестабильной работе программы и другим неприятным нюансам.

Интересно, кстати, что такая же система безопасности изначально встроена и в Outlook 2002 (из Office XP). И хотя там тоже нет явных настроек, все необходимые параметры регулируются через реестр, что позволило, в частности, создать достаточно удобный дополнительный модуль. С его помощью можно перевести любые типы вложений из разряда Level 1 в Level 2, в результате чего появится возможность их сохранения на диске.

Outlook Express и почтовые вирусы

Настройка безопасности в Outlook Express 6
Настройки безопасности в Outlook Express 6
Outlook Express - наверняка самый распространенный почтовый клиент, хотя бы из-за своей бесплатности и изначального присутствия в составе ОС Windows. Ввиду более бедных средств автоматизации эта программа не так подвержена нашествиям почтовых "червей", поэтому вплоть до самых последних обновлений Microsoft ограничивалась лишь активизацией зоны безопасности Restricted sites.

Ситуация улучшится с выходом Outlook Express 6. В эту версию будет встроена система безопасности, аналогичная реализованной в Outlook, но конфигурируемая через диалоговое окно Options. Во всяком случае именно так все выглядит в текущем предварительном выпуске, который работает, кстати, весьма надежно (как и Internet Explorer 6) и может использоваться уже сегодня.

Norton 
                                Antivirus 2001 следит за выполнением 
                                WSH-сценариев
Norton Antivirus 2001 следит за выполнением WSH-сценариев
Тем же, кто не хочет работать с "сырым" ПО, но стремится застраховаться от малейших случайностей и неприятностей, стоит побеспокоиться о дополнительных средствах защиты, благо, сегодня их предостаточно.

Универсальные "сторожа" почтовых вирусов

Как уже говорилось, обычные антивирусные программы не слишком хорошо справляются со скриптовыми вирусами и почтовыми "червями". Гораздо эффективнее оказываются специальные "сторожа" и так называемые поведенческие блокираторы, способные контролировать выполнение сценариев на системном уровне. Дополнительное преимущество их использования -- защита не только электронной почты, но и системы в целом.

Универсальные средства борьбы с почтовыми вирусами
Script
                                Sentry отслеживает все подозрительные типы 
                        файлов и 
                                операций
Script Sentry отслеживает все подозри-
тельные типы файлов и операций

Подобные средства имеются и в некоторых антивирусные пакетах. К примеру, после очередного обновления в Norton Antivirus 2001 появился модуль Script Blocking, следящий за работой WSH. Благодаря ему можно блокировать сомнительные сценарии, а полезные не только разрешать, но и "авторизовать". При этом в них прописываются специальные уникальные сигнатуры, и их выполнение больше не прерывается.

Неоднократно попадавшие в наши обзоры программы ZoneAlarm и ZoneAlarm Pro содержат систему MailSafe, следящую за почтовыми вложениями. Присоединенные файлы потенциально опасных типов (наиболее полный список расширений поддерживается, естественно, версией Pro) просто переименовываются во избежание случайного запуска.

Компактная программа Script Sentry даже не является резидентной. Она работает на уровне файловых ассоциаций Windows и автоматически проверяет все файлы со сценариями и макросами, исследуя их код на наличие потенциально опасных функций и других признаков.

Script Sentry прошел испытание борьбьбой с почтовыми вирусами
Испытания с реальным почтовым "червем" прошли успешно
SurfinGuard Pro, распространяемая
SurfinGuard 
                                Pro борится с почтовыми вирусами
Все каналы поступления вирусов оказываются под неусыпным надзором
бесплатно для индивидуального использования, реализует идею "песочницы" для динамического наполнения Internet (сценариев, апплетов, элементов ActiveX) и автоматически осуществляет мониторинг более 70 известных ей программ, среди которых популярные броузеры, почтовые и FTP-клиенты, Internet-пейджеры и пр. Кроме того, контролируется работа WSH-сценариев, а EXE-файлы можно запускать в специальной "безопасной зоне" для мониторинга их действий.

Как видите, обилие и разнообразие защитных средств позволяет организовать действительно надежную систему безопасности. Очень хотелось бы, чтобы приведенная информация - в отличие от множества предыдущих предупреждений - была воспринята как руководство к действию. Быть может, и автор статьи наконец-то избавится от необходимости периодически вычищать из почтового ящика вредоносный мусор.