Если же Microsoft Mail не установлен, вирус дает команду перезагрузки Windows. По данным антивирусного подразделения IBM, этот вирус использует для размножения только более старые версии MS Mail, чем включенная в MS Exchange. Лечащий модуль уже есть в очередном обновлении к AVP от 22 февраля (up0222).
2) Макровирусы Word распространяются как пожар
Шарон Махлис, Computerworld, США
Еще год назад в компьютерном мире было известно около 40 макровирусов. К нынешнему году их уже стало более 1300. Стремительное распространение вредоносного кода, в первую очередь поражающего документы, созданные в текстовом процессоре Microsoft Word, подтолкнуло системных администраторов и производителей антивирусных программ к поиску средств защиты зараженных документов и приложений электронной почты.
До недавнего времени вирусы, как правило, проникали через зараженные гибкие диски, но теперь появился более быстрый способ их распространения - электронная почта, когда одним нажатием клавиши можно легко заразить компьютеры всего отдела.
Производители антивирусных продуктов пытаются бороться с новой угрозой, не только защищая настольные ПК, но и блокируя другие пути проникновения информации, по которым в систему могут проскользнуть разрушительные макровирусы: файловые серверы, серверы электронной почты и шлюзы Internet.
Поскольку распространение вирусов начинает приобретать эпидемический характер, создаваемые в последнее время антивирусные продукты не просто проверяют все макровирусы по списку известных сигнатур, анализируют их поведение, чтобы выявить масштабы наносимого ими вреда. Новая технология получила название эвристической.
Большинство основных производителей либо уже выпустили эвристические продукты, либо объявили об их разработке. Например, корпорация Symantec предложила Norton Antivirus 4.0, включающий в себя технологию поиска вирусов Bloodhound собственного производства. До сих пор Bloodhound использовалась только в собственной программе-"пауке" Web компании Symantec, которая просматривала сеть Internet в поисках новых вирусов.
Официальные представители компании Symantec сообщили, что при использовании технологии Bloodhound можно обнаружить более 90% макровирусов и 80% вирусов других типов. Для большей эффективности она объединена с обычной процедурой проверки "отпечатков" вирусов. Проверка "отпечатков" известных вирусов дает более точные результаты: число выявленных вирусов составляет 99%, а то и больше, однако она бесполезна при поиске новых вирусов, если только они не являются модификациями уже известных.
Задача эвристического продукта не всегда сводится к необходимости обнаружить новые макровирусы. Иногда бывает нужно предотвратить ложные сигналы тревоги. С этой проблемой уже сталкиваются при работе с некоторыми обычными антивирусными программами.
Преимущество эвристических продуктов в том, что они облегчают решение пресловутой проблемы, стоящей перед антивирусной защитой: соответствовать уровню, обозначенному современными макровирусами. Если антивирусная фирма использует технологию проверки "отпечатков", то она сначала должна найти вирус, а затем - некий код "отпечатка", чтобы идентифицировать его и разработать способ очистки от вируса. Ожидается, что компания McAfee Associates выпустит эвристический продукт в третьем квартале.
Первые эвристические продукты были направлены против старых вирусов, поражавших загрузочный сектор и заражавших машины, загружавшиеся с гибких дисков; эти вирусы были способны на все - от вывода сообщения до полного стирания содержания жесткого диска. Однако борьба с ними никогда не сулила особых побед. Новые версии антивирусных продуктов более эффективны. В любом случае их действия определенно пойдут лишь на пользу.
Угрожают мутанты
Чем объясняется внезапная мутация вируса? Некоторые эксперты признают существование этого явления. Исследователи же все еще пытаются выяснить его точные причины. Многие члены антивирусного сообщества подозревают, что виноват сам текстовый процессор Microsoft Word. По мнению Джимми Куо, директора по антивирусным исследованиям компании McAfee Associates, автосохранение документа при определенных обстоятельствах может повредить часть макрокода. Другие специалисты, в том числе и Кэри Нахенберг, главный архитектор исследовательского центра Symantec AntiVirus Research Center, считают, что проблема кроется либо в Word, либо в совместно используемой библиотеке Windows типа OLE, либо в комплексном воздействии этих двух факторов. Не исключена и еще одна причина - это возможное взаимодействие с третьей программой.
В отдельных случаях мутация может происходить в результате встречи двух вирусов в одном и том же документе, утверждают исследователи. При этом один из вирусов может частично переписать другой, создавая новый вирус, обладающий некоторыми характеристиками каждого из родителей.
Чтобы бороться с ростом числа новых вирусов, все больше производителей антивирусных продуктов рекламируют технологию "эвристической" проверки поведения макровирусов с целью определения их потенциальной опасности; при этом могут быть автоматически выявлены особенности новых вирусов.
2.4 Стелс-вирусы
Стелс-вирусы теми или иными способами скрывают факт своего присутствия в системе. Известны стелс-вирусы всех типов, за исключением Windows-вирусов - загрузочные вирусы, файловые DOS-вирусы и даже макро-вирусы. Появление стелс-вирусов, заражающих файлы Windows, является скорее всего делом времени.
Загрузочные вирусы
Загрузочные стелс-вирусы для скрытия своего кода используют два основных способа. Первый из них заключается в том, что вирус перехватывает команды чтения зараженного сектора (INT 13h) и подставляет вместо него незараженный оригинал. Этот способ делает вирус невидимым для любой DOS-программы, включая антивирусы, неспособные "лечить" оперативную память компьютера. Возможен перехват команд чтения секторов на уровне более низком, чем INT 13h.
Второй способ направлен против антивирусов, поддерживающих команды прямого чтения секторов через порты контроллера диска. Такие вирусы при запуске любой программы (включая антивирус) восстанавливают зараженные сектора, а после окончания ее работы снова заражают диск. Поскольку для этого вирусу приходится перехватывать запуск и окончание работы программ, то он должен перехватывать также DOS-прерывание INT 21h.
С некоторыми оговорками стелс-вирусами можно назвать вирусы, которые вносят минимальные изменения в заражаемый сектор (например, при заражении MBR правят только активный адрес загрузочного сектора - изменению подлежат только 3 байта), либо маскируются под код стандартного загрузчика.
Файловые вирусы
Большинcтво файловых стелс вирусов использует те же приемы, что приведены выше: они либо перехватывают DOS-вызовы обращения к файлам (INT 21h) либо временно лечат файл при его открытии и заражают при закрытии. Также как и для загрузочных вирусов, существуют файловые вирусы, использующие для своих стелс-функций перехват прерываний более низкого уровня - вызовы драйверов DOS, INT 25h и даже INT 13h.
Полноценные файловые стелс-вирусы, использующие первый способ скрытия своего кода, в большинстве своем достаточно громоздки, поскольку им приходиться перехватывать большое количество DOS-функций работы с файлами: открытие/закрытие, чтение/запись, поиск, запуск, переименование и т.д., причем необходимо поддерживать оба варианта некоторых вызовов (FCB/ASCII), а после появления Windows95/NT им стало необходимо также обрабатывать третий вариант - функции работы с длинными именами файлов.
Некоторые вирусы используют часть функций полноценного стелс-вируса. Чаще всего они перехватывают функции DOS FindFirst и FindNext (INT 21h, AH=11h, 12h, 4Eh, 4Fh) и "уменьшают" размер зараженных файлов. Такой вирус невозможно определить по изменению размеров файлов, если, конечно, он резидентно находится в памяти. Программы, которые не используют указанные функции DOS (например, "Нортоновские утилиты"), а напрямую используют содержимое секторов, хранящих каталог, показывают правильную длину зараженных файлов.
Макро-вирусы
Реализация стелс-алгоритмов в макро-вирусах является, наверное, наиболее простой задачей - достаточно всего лишь запретить вызов меню File/Templates или Tools/Macro. Достигается это либо удалением этих пунктов меню из списка, либо их подменой на макросы FileTemplates и ToolsMacro.
Частично стелс-вирусами можно назвать небольшую группу макро-вирусов, которые хранят свой основной код не в самом макросе, а в других областях документа - в его переменных или в Auto-text.
3. Средства антивирусной защиты
3.1 NOD 32
NOD32 — антивирусный пакет, выпускаемый словацкой фирмой Eset. Возник в конце 1998 года. Название изначально расшифровывалось как NemocnicanaOkrajiDisku («Больница на краю диска», перефразированное название популярного тогда в Чехословакии телесериала «Больница на окраине города»).
NOD32 — это комплексное антивирусное решение для защиты в реальном времени от широкого круга угроз. EsetNOD32 обеспечивает защиту от вирусов, а также от других угроз, включая троянские программы, черви, spyware, adware, phishing-атаки. В решении EsetNOD32 используется патентованная технология ThreatSense®, предназначенная для выявления новых возникающих угроз в реальном времени путем анализа выполняемых программ на наличие вредоносного кода, что позволяет предупреждать действия авторов вредоносных программ.
При обновлении баз используется ряд серверов-зеркал, при этом также возможно создание внутрисетевого зеркала обновлений, что приводит к снижению нагрузки на интернет-канал. Для получения обновлений с официальных серверов необходимы имя пользователя и пароль, которые можно получить активировав свой номер продукта на странице регистрации регионального сайта.
Наравне с базами вирусов NOD32 использует эвристические методы, что может приводить к лучшему обнаружению неизвестных вирусов, которые обладают схожим с детектированым действием.Большая часть кода антивируса написана на языке ассемблера, поэтому для него характерно малое использование системных ресурсов и высокая скорость проверки с настройками по умолчанию.