 |
|
|
|
||
|
|
|
|
 Статьи > Зачем нужен почтовый антивирус? Зачем нужен почтовый антивирус?2003 © Фролов А.В. Нападение через электронную почту Наверное, трудно найти более популярный сервис Интернета, чем электронная почта. Каждый день через эту сеть проходит невероятное количество почтовых сообщений, пересекающих земной шар во всех направлениях. К сожалению, огромная часть этих сообщений не содержит никакой нужной для получателей информации или даже очень опасна, так как содержит вирусы, троянские программы, черви и другие опасные программные компоненты. Бесполезные рекламные сообщения, или спам, который 1 приходит на ваш почтовый адрес, вызывает раздражение и "съедает" трафик, увеличивая расходы на оплату услуг провайдера. Но такие вредоносные объекты, как вирусы и троянские программы, распространяемые по электронной почте, могут нанести компьютеру и вашей нервной системе очень серьезный урон. Они могут уничтожить важные файлы, украсть пароли доступа к защищенным ресурсам и даже предоставить злоумышленнику полный контроль над вашим компьютером. В наш электронный век, когда человек доверяет проведения деловых и финансовых операций компьютерам, последствия ущерба, нанесенного компьютерными вирусами, могут стать для вас катастрофическими. Например, получив доступ к вашему компьютеру, злоумышленник сможет украсть все деньги с вашего банковского счета или совершить от вашего имени какое-либо тяжкое преступление. Уязвимость электронной почты Самые первые компьютерные вирусы распространялись вместе с программами, незаметно прицепляясь к их файлам. Скопировав, например, зараженную игру у друга и запустив ее на своем компьютере, вы могли легко заразить свой компьютер опасным вирусом. Со временем наряду с этим каналом распространения вирусов появились и другие. Вирусы, например, очень часто распространяются с файлами офисных документов пакета Мicrosoft Office. Возможно, не все знают, что в файлах документов, подготовленных при помощи программ Мicrosoft Word и Microsoft Ехсеl, хранится не только текст с графическими иллюстрациями, но и программы на языке Visual Вasic for Аррlication. Средствами этого языка могут быть реализованы очень опасные и коварные вирусы. Достаточно открыть зараженный документ на просмотр, и вирус поразит компьютер. Ситуация усложняется тем, что компьютерные вирусы бывают разных типов. По принципу своего действия и способам распространения из десятков тысяч вирусов обычно выделяют несколько групп. Это файловые, загрузочные, макрокомандные и полиморфные вирусы, стелс-вирусы и вирусы некоторых других типов. Большинство вирусов легко обнаруживаются и удаляются всеми современными антивирусными программами. Однако время от времени появляются и быстро распространяются по всему миру чрезвычайно опасные вирусы, борьба с которыми представляет собой очень непростую задачу. Для противодействия антивирусным программам, некоторые вирусы шифруют свой код. При этом каждый экземпляр одного и того же вируса может полностью отличаться от всех остальных. Такие вирусы называются полиморфными. Существуют и вирусы-невидимки, называемые стелс-вирусами. Они скрывают свое присутствие на компьютере, перехватывая обращение всех программ к файлам и другим системным ресурсам. Очень распространены и другие вредоносные программы: троянские вирусы, логические бомбы и программы-черви. Троянские программы маскируются под обычные программы, выполняя наряду с обычными функциями и другие, вредоносные. Они могут незаметно уничтожать или изменять содержимое файлов и баз данных, извлекать из компьютера и отправлять через Интернет пароли и списки корреспондентов по переписке через электронную почту, и т.д. Если ваш компьютер атакован троянской программой, то не исключено, что им незаметно управляют посторонние люди. Логическая бомба - программа или ее отдельные модули, которые при определенных условиях выполняют вредоносные действия. Например, в самый неподходящий момент логическая бомба может полностью уничтожить или испортить базу данных или важные файлы. Программы-черви обычно выполняют какие-либо определенные вредоносные функции. Они, например, могут проникнуть в систему, испортить либо изменить содержимое базы данных, похитить пароли доступа к системе или причинить какой-либо другой вред. Относительно недавно появились вирусы новых типов, которые заражают не файлы, а оперативную память. Такие вирусы, получившие название "бестелесных", живут в памяти компьютера и могут быть обнаружены не всеми антивирусными программами. Что же касается электронной почты, то сегодня она является наиболее популярным и наиболее опасным каналом распространения вирусов, троянских программ и прочих вредоносных объектов. Игнорирование этого факта может привести к вирусному заражению как отдельных компьютеров, так и целых интрасетей компаний. Вирусы, приходящие через электронную почту, способны рассылать себя по адресам, "добытым" из вашей адресной книги или созданных случайным образом, что способствует возникновению вирусных эпидемий мирового масштаба. Как же удается компьютерным вирусам распространяться через электронную почту? Файлы вложений Прежде всего, вирусы и троянские программы распространяются через так называемые файлы вложений (attachments). Вам наверняка приходилось отправлять или получать вместе с сообщением файлы различных типов: графические изображения, документы, программы и т.п. К одному сообщению можно добавить несколько таких файлов вложений различного типа. Возможность использования файлов вложений делает электронную почту универсальным каналом передачи информации в виде файлов любого типа. Безусловно, такая возможность просто необходима. Однако файлы вложений таят в себе опасность, так как могут содержать вирусы, троянские программы, почтовые черви или другие вредоносные объекты. Получив сообщение с файлом вложений, пользователь может открыть его хотя бы из любопытства, ибо желание узнать, что там внутри, бывает непреодолимо. И если файл вложений содержит вирусный код, то просмотр его содержимого неминуемо приведет к заражению компьютера. Следует заметить, что "вирусописатели" часто маскируют истинное назначение файла соответствующим выбором имени. Так, например, исполнимые файлы могут маскироваться под безобидные текстовые документы или файлы графических изображений. Это возможно, в частности, потому, что по умолчанию операционная система Microsoft Windows не показывает зарегистрированные расширения имен. В результате имя файла picture.gif.ехе будет показано как picture.gif. Иногда к имени файла перед расширением добавляют большое количество пробелов, и некоторые файловые оболочки так и не позволят пользователю узнать истинное имя файла. На рис. 1 мы показали сообщение, присланное нам неизвестным "доброжелателем" и содержащее подозрительный файл вложения в виде исполнимой программы.
Рис. 1. Сообщение с подозрительным файлом вложения Имя файла вложения составлено таким образом, чтобы замаскировать файл под Web-страницу. Попытка просмотреть содержимое этой страницы приведет к запуску программы, содержащий вирус Win32.НLLМ.Вugbear. Казалось бы, аккуратный пользователь может всегда проверять файлы вложений перед открытием антивирусной программой, и тогда данная опасность будет исключена. К сожалению, не все так просто. Из-за неправильных настроек почтовой программы или имеющихся в ней ошибок файлы вложений могут открываться автоматически при просмотре содержимого полученных писем! Вот как это происходит: почтовое сообщение в формате НТМL представляет собой обычную Web-страницу и почтовый клиент Оutlook Ехргеss может отображать такие сообщения и открывать бинарные вложения к ним в формате МIМЕ. МIМЕ (Мultipurpose Internet Мail Extension) - почтовый стандарт Интернета на кодирование в одном сообщении текстовой и нетекстовой информации (например, графики) для передачи по электронной почте в Интернете. Уязвимость заключается в некорректном типе обработки таких сообщений программой Оutlook Ехргеss, при котором поступившее с письмом вложение в виде исполняемого файла автоматически запускается без ведома пользователя при простом просмотре полученного сообщения. Приведенные примеры показывают, что без использования специальных антивирусных программ, способных сканировать сообщения электронной почты, риск инфицирования вирусом, троянской программой или каким-либо другим вредоносным программным компонентом будет очень высок. Из-за ошибок и "особенностей" операционных систем и почтовых клиентов даже внимательный пользователь может легко принять опасный файл за безобидный и запустить его, инфицировав свой компьютер одним щелчком мыши. Сообщения в формате НТМL и троянские web-сайты Не меньшую опасность, чем файлы вложений, представляют собой сообщения в формате НТМL. Такие сообщения могут быть красиво оформлены и снабжены графическими иллюстрациями, ничем не отличаясь от привычных страниц web-сайтов (рис.2).
Рис. 2. Сообщение в формате HTML Опасность сообщений в формате НТМL в том, что они могут содержать ссылки на вредоносные элементы управления ActiveХ, расположенные на каком-либо троянском web-сайте. Как только вы откроете сообщение, этот элемент ActiveХ будет немедленно загружен в память компьютера и получит управление. Последствия могут быть самыми печальными, так как из-за ошибок в почтовой программе, браузере и операционной системе вредоносный компонент сможет получить доступ к дискам компьютера. И хотя пользователь может отключить возможность загрузки и запуска элементов управления ActiveX, многие этого не делают. В результате даже простой просмотр текста сообщения электронной почты может привести к вирусному заражению, установке на компьютере троянской программы или вредоносной программы другого типа. Защита электронной почты К сожалению, обычные антивирусные программы, способные искать вирусы только внутри файлов, не смогут полностью гарантировать безопасность при работе с электронной почтой. Дело в том, что такие программы способны находить вирусы только внутри обычных файлов, но не всегда "понимают" формат баз данных, в которых почтовые программы хранят свои сообщения. Кроме того, они не смогут защитить компьютер от вредоносных элементов управления ActiveХ или ошибок в почтовых программах. Антивирус у провайдера Сегодня многие Интернет-провайдеры устанавливают на своих почтовых серверах специализированные антивирусные программы, способные сканировать все сообщения электронной почты. Если ваш почтовый ящик расположен у такого провайдера, риск получить вирус по электронной почте заметно снижается. Если кто-то попытается отправить вам сообщение с вирусом, оно будет блокировано еще у провайдера. Аналогично, провайдер не пропустит и ваши сообщения, если они будут содержать вирусы (а вы получите ответное сообщение с предупреждением об обнаружении вируса). Антивирусная защита почтовых серверов SМТР и РОРЗ обладает высокой эффективностью. Установкой антивирусов на сервере занимается опытный администратор, который не ошибется при настройке и не забудет включить автоматическое обновление антивирусной базы данных через Интернет. Самооборона Если ваш провайдер не оказывает услуг антивирусной защиты электронной почты, если вы сами создаете систему электронной почты в вашей организации или просто желаете усилить антивирусную защиту, не надеясь на провайдера, необходимо серьезно подумать о применении специализированных антивирусных средств. Здесь у вас есть много возможностей. Если вы администрируете интрасеть компании, в которой имеется почтовый сервер, то лучше приобрести специализированный почтовый антивирус для сервера, а также для всех рабочих станций этой сети. Разумеется, на сервере и рабочих станциях необходимо выполнять антивирусную проверку файлов с помощью соответствующих средств. Если интрасеть подключена к Интернету, она обязательно должна быть защищена брандмауэром. В этом случае антивирусная защищенность системы, а также защищенность от попыток проникновения извне будет максимальной. В том случае, когда вам нужно защитить отдельный компьютер, на него следует установить антивирус, способный проверять не только файлы, но и трафик электронной почты. Кроме того, для компьютеров, подключенных к Интернету, обязательна установка персонального брандмауэра. Таким образом, надежная антивирусная защита, а также защита от попыток хакеров захватить управление вашим компьютером, требует применения комплексных решений. Брандмауэр блокирует нежелательные потоки данных, инициируемые не только хакерами, но и троянскими программами. Антивирусные программы предотвратят проникновение вредоносных программных объектов в память вашего компьютера. И, конечно, все это будет работать только при правильной настройке программ защиты и своевременном обновлении антивирусных программ и антивирусных баз данных. Последнее особенно важно, так как каждый день появляется большое количество новых вирусов. <...> |
|
|
|
|
||
 |
|
|
||
|
||||
