в текстовом процессоре Microsoft Word, подтолкнуло системных администраторов и производителей антивирусных программ к поиску средств защиты зараженных документов и приложений электронной почты.
До недавнего времени вирусы, как правило, проникали через зараженные гибкие диски, но теперь появился более быстрый способ их распространения - электронная почта, когда одним нажатием клавиши можно легко заразить компьютеры всего отдела.
Производители антивирусных продуктов пытаются бороться с новой угрозой, не только защищая настольные ПК, но и блокируя другие пути проникновения информации, по которым в систему могут проскользнуть разрушительные макровирусы: файловые серверы, серверы электронной почты и шлюзы Internet.
Поскольку распространение вирусов начинает приобретать эпидемический характер, создаваемые в последнее время антивирусные продукты не просто проверяют все макровирусы по списку известных сигнатур, анализируют их поведение, чтобы выявить масштабы наносимого ими вреда. Новая технология получила название эвристической.
Большинство основных производителей либо уже выпустили эвристические продукты, либо объявили об их разработке. Например, корпорация Symantec предложила Norton Antivirus 4.0, включающий в себя технологию поиска вирусов Bloodhound собственного производства. До сих пор Bloodhound использовалась только в собственной программе-"пауке" Web компании Symantec, которая просматривала сеть Internet в поисках новых вирусов.
Официальные представители компании Symantec сообщили, что при использовании технологии Bloodhound можно обнаружить более 90% макровирусов и 80% вирусов других типов. Для большей эффективности она объединена с обычной процедурой проверки "отпечатков" вирусов. Проверка "отпечатков" известных вирусов дает более точные результаты: число выявленных вирусов составляет 99%, а то и больше, однако она бесполезна при поиске новых вирусов, если только они не являются модификациями уже известных.
Задача эвристического продукта не всегда сводится к необходимости обнаружить новые макровирусы. Иногда бывает нужно предотвратить ложные сигналы тревоги. С этой проблемой уже сталкиваются при работе с некоторыми обычными антивирусными программами.
Преимущество эвристических продуктов в том, что они облегчают решение пресловутой проблемы, стоящей перед антивирусной защитой: соответствовать уровню, обозначенному современными макровирусами. Если антивирусная фирма использует технологию проверки "отпечатков", то она сначала должна найти вирус, а затем - некий код "отпечатка", чтобы идентифицировать его и разработать способ очистки от вируса. Ожидается, что компания McAfee Associates выпустит эвристический продукт в третьем квартале.
Первые эвристические продукты были направлены против старых вирусов, поражавших загрузочный сектор и заражавших машины, загружавшиеся с гибких дисков; эти вирусы были способны на все - от вывода сообщения до полного стирания содержания жесткого диска. Однако борьба с ними никогда не сулила особых побед. Новые версии антивирусных продуктов более эффективны. В любом случае их действия определенно пойдут лишь на пользу.
Угрожают мутанты
Чем объясняется внезапная мутация вируса? Некоторые эксперты признают существование этого явления. Исследователи же все еще пытаются выяснить его точные причины. Многие члены антивирусного сообщества подозревают, что виноват сам текстовый процессор Microsoft Word. По мнению Джимми Куо, директора по антивирусным исследованиям компании McAfee Associates, автосохранение документа при определенных обстоятельствах может повредить часть макрокода. Другие специалисты, в том числе и Кэри Нахенберг, главный архитектор исследовательского центра Symantec AntiVirus Research Center, считают, что проблема кроется либо в Word, либо в совместно используемой библиотеке Windows типа OLE, либо в комплексном воздействии этих двух факторов. Не исключена и еще одна причина - это возможное взаимодействие с третьей программой.
В отдельных случаях мутация может происходить в результате встречи двух вирусов в одном и том же документе, утверждают исследователи. При этом один из вирусов может частично переписать другой, создавая новый вирус, обладающий некоторыми характеристиками каждого из родителей.
Чтобы бороться с ростом числа новых вирусов, все больше производителей антивирусных продуктов рекламируют технологию "эвристической" проверки поведения макровирусов с целью определения их потенциальной опасности; при этом могут быть автоматически выявлены особенности новых вирусов.
Новые вирусы - порождение мутаций?
Компьютерные вирусы не всегда создаются людьми. И многие новые разновидности вирусов вовсе не являются делом рук вредных хакеров. Ряд аналитиков считает причиной вирусов "глюки" самого Microsoft Word.
Из-за них появляется еще больше лазеек для незаметного проникновения вредоносных кодов в документы Word, ведь большая часть антивирусных программ может изолировать и удалять только известные вирусы.
Неизвестно, снимет ли остроту проблемы Microsoft Office 97. Большинство макровирусов пишутся для Word. А по оценкам Microsoft, число пользователей приложений пакета MS Office (в который входит Word) превышает 65 млн. человек.
Исследователи антивирусов считают, что при сохранении документов Word иногда происходит искажение его макрокоманд. Если в этой макрокоманде есть внедренный хакером вирус, то он также незначительно изменится. В результате "засаженный" код может перестать быть источником заражения. Но иногда случайное изменение макроса порождает новую разновидность вирусов.
"Такое случается довольно часто, - сказал Джон Уит, старший аналитик антивирусной лаборатории при Национальной ассоциации компьютерной безопасности (NCSA). - Когда лаборатория NCSA в исследовательских целях воспроизводит вирус по 500-600 раз, каждая из этих копий считается идентичной оригиналу. Но при более детальном рассмотрении оказывается, что это далеко не так. Определить какую-либо периодичность частоты мутаций невозможно". Уит считает, что вирусы порождает некий механизм в той части Microsoft Word, которая обрабатывает макрокоманды.
Представитель Microsoft Эндрю Диксон сказал, что компания не получала жалоб на повреждение "хороших" макросов. В Microsoft считают, что авторы вирусов создают периодически мутирующие коды и что "Word еще ни разу не исказил код внутри документа".
Хотя есть вирусы, изначально созданные в расчете на самостоятельную мутацию "в естественных условиях", по мнению многих экспертов, новые разновидности вирусов появились именно из-за самопроизвольных искажений макросов в среде Microsoft.
Эксперты по-разному оценивают степень влияния мутации на темпы роста числа макровирусов (по данным аналитиков, их более 1300) и причины этого роста.
По оценкам Symantec AntiVirus Research Center, 70% новых макровирусов появилось вследствие самопроизвольного искажения файлов из-за "глюков" в среде Microsoft.
Начальник отдела антивирусных исследований компании McAfee Associates Джимми Куо считает, что таким образом рождается от половины до двух третей всех макровирусов.
Многие не воспринимают всерьез вышеупомянутую причину появления вирусов. "Такое бывает, но весьма редко, - сказал Игорь Греберт, старший менеджер по продуктам компании Trend Micro. - Большинство новых вирусов своим появлением обязано людям, то есть хакерам".
Самые популярные на рынке антивирусные программы проверяют "сигнатуры" вирусов; они способны выявить измененную версию, если код сигнатуры останется нетронутым. Но в случае более серьезных изменений разработчикам антивирусных программ придется разработать метод обнаружения и удаления новой разновидности вируса.
Системные администраторы, которых тревожит появление новых вирусов, могут пойти несколькими путями. Например, воспользоваться программой, с помощью которой можно скомпилировать список "легальных" макросов документа, а все другие заблокировать. Или же настроить параметры редактора Word таким образом, чтобы он извещал пользователя о том, что документ содержит макрос, да еще и давал возможность отключать его.
"Самопроизвольная мутация - не главная причина появления новых вирусов, - сказал Дэвид Чесс, сотрудник Центра антивирусных исследований компании IBM. - Но она слишком часто порождает новые вирусы".
Computerworld, США