Security Rail

Владислав Михайлов
Computerra.ru

"Кто стучится в дверь ко мне с толстой сумкой на ремне:" - наверное, большинство взрослых помнит из детства это стихотворение, описывающее суровые будни работы советской почты. Впрочем, почта - действительно одно из величайших изобретений человечества. Правда, сегодня многие предпочитают пользоваться не традиционной бумажной, а электронной. Действительно, электронная почта - средство коммуникации, которое отличают такие свойства, как надежность, оперативность, удобство использования. Все это сделало e-mail самым популярным способом общения в компьютерном мире. Но не все знают, что электронный почтовый ящик и приходящие на него письма могут стать и источником достаточно серьезных неприятностей для вашего компьютера и хранящихся в нем данных. Это показали массовые эпидемии почтовых вирусов-червей наподобие ILOVEYOU, успехи доморощенных российских хакеров, обожающих подсовывать неискушенным пользователям троянских коней в письмах от слушпы падержки правайдера и т.д. Итак, данная статья будет посвящена проблемам, которые могут возникнуть у пользователя (и у его компьютера), если он не будет уделять достаточно внимания защите почтового канала связи, как это дело именуют в книгах про шпионов.

Сначала попытаемся определить основные группы угроз, исходящих от приходящих на ваш электронный почтовый адрес электронных опять-таки писем. Здесь не слишком опытного в вопросах электронного противостояния пользователя могут подстерегать следующие опасности:

• содержащиеся в прикрепленных к письмам файлах троянские кони, вирусы и другие программы зловредительского характера
• почтовые вирусы-черви (Melissa, ILOVEYOU, Stages и т.д.)
• Спамовые письма, почтовые бомбы и т.д.

  Теперь обо всем - по порядку.

  Дареному коню в зубу не смотрят:

Нет, вот как раз смотрят, особенно в том случае, если этот конь - троянский. Кажется, года 2-3 назад по Рунету прокатилась целая эпидемия писем с приаттаченными к ним самораспаковывающимися архивами. Содержание писем было самым разнообразным - программный ускоритель, позволяющий превратить вашу S3 Trio64V+ в TNT2Ultra, акселератор буферного обмена, на 200% ускоряющий копирование информации с винчестера, универсальный антивирус, самый надежный генератор кредитных карт и, конечно же, взломщик Интернета. Содержание прикрепленных архивов всегда было однообразным: серверная часть какой-нибудь из утилит удаленного администрирования (BO, NetBus, DonaldDick и т.д.). Получатели писем, запустившие прикрепление к письму, платили за свое любопытство паролями на dial-up-соединение, почту, ICQ и прочими крайне важными для всякого пользователя вещами. С тех пор прошло достаточно времени, и люди стали гораздо более осторожны. Призыву "Люди! Будьте бдительны! Не запускайте программы, прикрепленные к подозрительным письмам, пришедшим от незнакомых вам людей!" вняли даже самые невнимательные. Тем не менее настоятельно советую установить антивирусную программу, причем имеющую в своем составе резидентный модуль, постоянно сидящий в памяти компьютера и отлавливающий все подозрительные телодвижения. Выбор здесь достаточно большой, но, что касается мнению автора статьи, то могу рекомендовать Антивирус Касперского (AVP). Программа надежная, обеспечивающая защиту от всех видов компьютерных вирусов и троянских коней, имеет много полезных функций, среди которых - постоянно висящий в памяти антивирусный монитор, сканер дисков, проверка по расписанию, антивирусный модуль для DOS-режима. Демонстрационные версии AVP (отсутствует возможность проверки архивных файлов, лечения зараженных объектов и эвристический анализ) можно скачать по данным адресам: AVP Platinum (6,5 мегабайт) - http://www.kasperskylab.ru/go/avp_win32/avp32pe.exe; AVP Gold (6,5 мегабайт) - http://www.kasperskylab.ru/go/avp_win32/avp32ge.exe; AVPLite для DOS (54 килобайта) распространяется свободно и доступен по адресу http://www.kasperskylab.ru/trial/avp30lit.zip; по адресу http://www.kasperskylab.ru/products/test.asp можно найти версии Антивируса Касперского для Unix, Linux и OS/2; об условиях регистрации можно прочитать по адресу http://www.kasperskylab.ru/support/faq.asp, там же вы найдете ответы на все интересующие вас вопросы. К AVP регулярно выпускаются обновления антивирусных баз данных. Кроме того, фирма крайне оперативно реагирует на все случаи появления новых вирусов. Если вы установите себе AVP и будете держать постоянно включенным AVPMonitor, то обеспечите себе заблаговременное предупреждение о возможной опасности вирусного заражения.

Кроме AVP, следует упомянуть и другие средства защиты от почтового беспредела, которые помогут, если троянскому коню все-таки удалось каким-то образом пробраться на ваш компьютер. Вашу систему поможет защитить программа Jammer. Она будет самым аккуратным образом отслеживать попытки записи в реестр и попытки установления соединения между серверной и клиентской частями трояна. Взять Jammer версии 1.95 можно по адресу http://www.agnitum.com/download/jammer.exe. От самого распространенного и известного троянского коня BackOrifice защитит BoDetect (966 килобайт, взять можно по адресу http://www.cbsoftsolutions.com/distributables/BoDetect_StandAlone.zip). Полезными для борьбы с троянскими конями будут также Trojan Remover (1,1 мегабайта, взять можно на http://members.aol.com/simplysup/private/trj/Trjsetup.exe); Anti-Trojan (422 килобайта, http://www.navinet.com.br/~mflavio/atroj13.zip); BlackICE Basic (2,7 мегабайта, http://www.networkice.com/files/bibasic.exe); The Cleaner (1,4 мегабайта, http://dynamsol.ulink.net/files/cleaner3.exe или http://www.netfx.net/dsi/cleaner3.exe). Вообще, подобных утилит в сети достаточно много, но перечислены наиболее известные и собственноручно проверенные. С помощью всего вышеперечисленного удавалось спокойно вылечить компьютер, намеренно зараженный BackOrifice 2000.

Кроме запускаемых, к подозрительным письмам могут быть прикреплены и файлы-документы с расширением doc или xls. Они также могут быть опасны, поскольку способны содержать макро-вирусы. Здесь наиболее простой способ защититься - всегда держать включенным проверку на макросы в Office 97 (2000) (Сервис/Параметры/Общие/Защита от вирусов в макросах). Это позволит отключить запуск макрокоманд, содержащихся в документе, при его открытии, и избежать заражения макровирусом. Необходимо также вовремя устанавливать все выпускаемые производителем патчи и сервис-паки. Скажем, владельцам Office 2000 рекомендуется установить обновление Microsoft Office 2000 Update SR-1a, включающее в себя, помимо всего прочего, защиту от новых макровирусов. Пользователям Office 7.0, где подобной функции не предусмотрено, придется защищаться с помощью того же AVP. Также можно воспользоваться ChekOf (утилита, осуществляющая проверку документа на макросы и позволяющая в случае необходимости их отключить - 2,1 мегабайта, взять можно http://chekware.com/files/av/chekof120.zip) или A1: Virus Alert for Word 97 (проверка документов на лету на наиболее распространенные макровирусы - 1,1 мегабайта, http://www.evirus.com/dwnlds/cnet/vaw97cnt.exe).

Письма- это черви почты...

Могут быть опасны и электронные письма, вовсе не содержащие никаких вложений, зато зараженные так называемыми скрипт-вирусами (почтовыми вирусами-червями). Среди наиболее известных, следует, в частности, упомянуть KakWorm, Stages и ILOVEYOU (LoveLetter). Они написаны на Visual Basic for Applications (VBA), используют Windows Scripting Host (машину для запуска скрипт-программ) и крайне опасны (например, суммарные убытки от распространения ILOVEYOU превысили 12 миллиардов долларов). При этом, против них часто бывают бессильны традиционные антивирусные средства, которые не в силах обнаружить присутствие вируса, если он не обращается к жесткому диску, а оперирует исключительно в оперативной памяти компьютера. Кроме того, крайне легким (за счет среды разработки) является создание новых вариантов данных вирусов. В случае KakWorm, заражение вообще происходит просто при открытии письма, и не требует совершения каких-либо еще дополнительных действий. Что же можно рекомендовать тем, кто не желает страдать от данного вида вирусного программного обеспечения?

Наиболее радикальная (и эффективная) рекомендация - не пользоваться программным обеспечением одной о-о-очень известной в компьютерном мире компании. При всем моем уважении к Microsoft и лично к Биллу Гейтсу, почему-то все наиболее распространенные почтовые вирусы, включая KakWorm и ILOVEYOU, опасны только для пользователей ОС Windows, браузера Microsoft Internet Explorer и почтового клиента Microsoft Outlook. Конечно, данное обстоятельство можно объяснить общей распространенностью вышеперечисленных программ, но равнодушие программистов Microsoft к такому качеству программ, как безопасность, тоже стало почти легендарным. Так что, если вас впечатляет цифра в 3 миллиона компьютеров, зараженных за первые три дня распространения вируса ILOVEYOU, в качестве почтового клиента установите себе лучше TheBAT! (полнофункциональную Shareware-версию под номером 1.44, работающую 30 дней, можно взять по адресу http://www.ritlabs.com/ftp/pub/the_bat/the_bat.exe), а в качестве веб-браузера - Netscape Communicator (Professional - версию, весящую 21,6 мегабайт, можно взять по этому адресу) или Opera (версия 4.0, с поддержкой русских кодировок и объемом 1,7 мегабайт доступна по адресу http://167.142.225.134/ow4e32.exe, версия с поддержкой Java лежит по адресу http://167.142.225.134/ow4e32j.exe).

Впрочем, для тех, кому приведенный выше совет не подходит по тем или иным соображениям, тоже существует выход из положения. Так, в частности, уже упомянутая Антивирусная лаборатория Касперского создала эвристический анализатор AVP Script Checker, специально предназначенный для борьбы со скрипт-вирусами. Разработчики описывают принцип егодействия следующим образом: AVP Script Checker - это антивирусная программа, которая обеспечивает защиту вашего компьютера от проникновения скрипт-вирусов и червей, действующих по принципу "LoveLetter" и распространяющих себя при помощи почтовых служб: Перед выполнением этих скриптов AVP Script Checker выполнит эвристический анализ кода и произведет проверку с помощью AVP Монитора (если он установлен и запущен). При обнаружении вируса или подозрительного кода на экран будет выведено соответсвующее предупреждение и скрипт не будет выполнен. Остается добавить, что распространяется AVP Script Checker свободно, весит 946 килобайт и доступен по адресу http://www.kasperskylab.ru/go/avp_scriptchecker/avpscrch.exe. Кроме того, в Cети можно найти и другие утилиты, предназначенные для борьбы со скрипт-вирусами. Например, свободно распространяемый MailCleaner, версию 5.26 которого можно скачать по адресу ftp://www.mailcleaner.com/MCSetup.exe. Эта утилита работает в паре с почтовым клиентом (Outlook или Outlook Express) проверяет все пришедшие вам письма, и если обнаружит что-то подозрительное - сообщит вам и не допустит заражения. Кроме того, на сайте разработчиков можно брать ежедневные обновления антивирусных баз данных программы. Специально для борьбы с вирусом ILOVEYOU и его последствиями предназначена программа IloveYouCleaner. В ее функции даже входит возможность показа списка адресов, по которым успел разослать свои копии вирус. Взять свободно распространяемую версию IloveYouCleaner, весящую 728 килобайт, можно по адресу http://getvirushelp.com/ILoveYou/iloveyoucleaner.exe. Напоследок следует также упомянуть, что очень оперативно утилиты, предназначенные для борьбы с конкретными видами вирусов, появляются на сайте http://www.computerra.ru/scallwin/www.download.com, в разделе Downloads : PC : Utilities : Antivirus.

О, этот ненавистный спам:

В самом деле, кому приятны заваливающиеся в огромных количествах электронные почтовые ящики рекламные письма порно-сайтов или онлайновых казино? Автор этой статьи, например, как он ни старался от этого уберечься, до сих пор ежедневно получает 3-4 письма, рекламирующих то лотерею с возможностью выиграть автомобиль, то какие-то анаболики для культуристов, то новые сайты с клубничкой. Причем попытки отписаться от рассылки ни к чему не привели - письма как приходили, так и продолжают приходить.

Для того, чтобы уберечься от спама, следует, в первую очередь, не давать свои e-mail-адреса кому попало. Лучше всего вообще завести себе отдельный мусорный адрес на каком-нибудь бесплатном почтовом сайте и пользоваться им в барахолках, на веб-форумах, в ньюс-конференциях, в чатах, на серверах знакомств, в общении с малознакомыми людьми и т.д. Если этот ящик и начнут заваливать спамовым мусором, то будет не жалко его удалить и завести себе новый - для таких же целей. Эта же мера поможет избежать неприятностей с любителями бомбардировать чужие почтовые ящики письмами с двухмегабайтными вложениями и засыпать их посылкой по одному и тому же адресу нескольких тысяч писем одновременно.

Кроме вышеперечисленного, в борьбе со спамом вам помогут специально предназначенные для этого утилиты. Так, например, Telos версии 2.0 сканирует содержимое почтовых ящиков на предмет обнаружения заголовков спамовых писем (какие письма отнести к спаму, определяет сам пользователь) и удаляет их. Программа может работать в автоматическом режиме, сканируя почтовые ящики через определенные промежутки времени. Telos можно настроить и для уничтожения писем, приходящих с определенных адресов. Взять Shareware-версию программы объемов 800 килобайт можно по адресу http://members.xoom.com/bsoft/telos200.zip. Рекомендую также утилиту Spam Hater, обеспечивающую, на мой взгляд, наиболее эффективную и гибкую защиту от спама. Она не только позволяет отделить спамовые и нежелательные письма по заранее заданным критериям, но и в автоматическом режиме отправляет по адресам, с которых пришел спам, а также в службу поддержки провайдера, которому принадлежат IP-адреса, указанные в заголовках писем, возмущенные петиции (в программе есть значительное количество уже готовых шаблонов, а можно формировать негодующие сообщения и собственноручно). Программа совместима практически со всеми почтовыми клиентами: Eudora, Outlook, Outlook Express, Netscape Messenger. Взять Spam Hater версии 2.09 (834 килобайта) можно по адресу ftp://users.aol.com/spmtools/spamh.exe. Неплох также SpammerSlammer, работающий фильтром между вашей почтовой программой и POP3-ящиком. Он отсекает нежелательные письма (критерии нежелательности определяются самим пользователем) еще до их скачивания, что позволяет избежать многокилобайтного трафика и избавит вас от любителей писем с многомегабайтными аттачами. Скачать программу можно по адресу http://sb.nowtools.com/spammerslammer.exe. Тем, кому не понравится ни одна из вышеперечисленных программ, рекомендую порыться опять-таки на http://www.computerra.ru/scallwin/www.download.com в разделе Downloads : PC : Internet : Email.

На этом разрешите закончить краткий обзор способов защиты вашего электронного почтового ящика от наиболее распространенных угроз