ArcaOS 5.0 Русская версия Пакет русификации ArcaOS 5.0 OS/2 давно доступен. Поддерживается любая версия: 5.0, 5.0.1, 5.0.2. eCo Software может выпустить и другие пакеты (Немецкий, Голландский, Бразильский Португальский, Испанский, Шведский и т.д.)

TITLE: eComStation - 'Здоровая' операционная система

DATE: 2001-12-30 05:10:45

AUTHOR: Oldy

Давайте превратим один из недостатков OS/2 (малая распространенность = 'эксклюзивность') в преимущество!

На этот раз мы решили затронуть тему антивирусов, потому что на других осевых сайтах о вирусах молчат. Видимо, ждут, когда жареный петух клюнет. Ну и вообще, надо же иметь представление, что это за зараза?

Вирусы.. Так ли это актуально сегодня? Какой вред народному хозяйству наносят вирусы?

По поводу вреда - приведу пример из моей практики. На работе используется некая глючная программа, которая имеет дело с DBF. И вот, принесли нам вирус 'One Half'. Кто не знает - эта зараза шифрует диск (при записи данных на диск) и до поры - до времени сама же и расшифровывает (при чтении). Ну и начала наша программа дурить. Я отмахивался, ссылаясь на то, что "программа глючная" (а она действительно глючная), но когда мне показали явное нарушение структуры DBF, пришлось призадуматься. В конце концов вирус был обнаружен и обезврежен. Данные не были потеряны, но работа тормозилась и нервы трепались. В принципе, вирусы могут причинить урон любой организации. Не только трепать нервы сотрудникам, но и уничтожать важные данные.

Второй случай. Происходит обновление некой программы. Сам процесс штатно идет довольно долго, и посему, очень неприятно было где-то ближе к концу увидеть странный сбой. Как будто память глюкнула. То же самое во второй раз и в третий... В результате - тот же One Half. Кстати, этот конкретный штамм мог переноситься через Word-овый скрипт (да, и такое бывает!). Опять потеря времени и нервов.

Изредка приходят почтовые гадости. Тут основная неприятность - надо понять, что это мусор и потереть его. Недавно получил небезызвестного Aliz. Слава богу, никакого вреда он не нанес. Он, бедняга, не сумел найти у меня Оутглюковую адресную книгу, и даже не смог запуститься. Был переименован, запакован и подарен кому-то для коллекции.

Кстати о почте. Одно время было модно посылать файл с именем типа girl.gif<много пробелов>.exe. Идея в том, что получатель видит только girl.gif, кликает, запускается этот .exe ну и далее поехало.

Так вот, у меня PMMail стоИт на FAT16, в результате на подобные штучки реакция однозначная: "Не могу извлечь аттач!" Ну а если очень хочется - извлечь всё же можно. Но тогда полностью засветится имя.

Ну и о геморрое. На компутерре есть несколько статей от Киви (можно искать по слову "жупел") про то, как у него на машине завелось нечто неистребимое. Прямо-таки компьютерный триллер. И никто ему, бедняге, не посоветовал поставить OS/2...

Напоследок, рекомендую почитать свежую статью: 'Чего ждать от вирусов в 2002 году'.

Сейчас модно ставить Линукс. Может быть, там антивирусов побольше? Почему именно OS/2 должна выполнять роль защитника интранета?

Насчёт "побольше" не знаю. По крайней мере AVP (KAV) и Dr Web для линукса есть. Наверняка есть и другие (я просто не в курсе).

А вот кто должен защищать интранет - вопрос очень спорный. С одной стороны, традиционно крутые коммуникации делаются на UNIX-подобных системах. С другой стороны, никто не мешает делать то же самое под OS/2, особенно в свете наличия значительного количества *nix-ового софта, портированного под ось.

Всякие файрволлы, прокси, системы шифрования траффика - это, конечно, защита, но это отдельная тема, слабо связанная с вирусами. Но всё же связанная - например, прямая обязанность файрволла - пресечь попытки влезть в интранет снаружи (например, чтобы напрямую засадить троянца); обнаружить и прекратить попытки взаимодействия клиента и сервера программ типа Back Orifice и т.п.

И всё это может быть сделано как под *nix, так и под OS/2.

Совсем недавно наткнулся в сети на такой диалог:

  - А как обнаружили эту дыру в программе ZZZ?
  - Путём тщательного чтения исходников!

Большое достоинство оси заключается в её малой распространённости. И негодяй (вирусописатель или взломщик), скорее всего, предпочтёт атаковать более распространённые (и, прямо скажем, лучше документированные) системы, чем тратить своё время на то, что ему вряд ли понадобится (обучение ломанию оси).

Есть ещё одно соображение. Вот, например, в моей конторе моя машина является "центром коммуникаций". Через неё идёт обмен данными с интернетом, FTN-левонетом, ещё одной странной системой, даже не знаю, как её обозвать-то ;-). Но обмен этот не слишком интенсивный, нет смысла ставить отдельную машину под *nix только для коммуникаций, поэтому эта машина ещё и моё рабочее место. Ну и естественно, она и занимается проверкой на вшивость всего, что через неё проходит.

Есть ли в OS/2 вирусы? Или у нас та же ситуация, что в анекдоте про Неуловимого Джо?

А как же, должны быть. Вон, Касперский аж четыре штуки знает (из общего количества более пятидесяти тысяч).

Но это чисто осёвые. Не следует забывать про возможность оси запускать досовые задачи, а есть вирусы, основанные на .BAT файлах, не делающие (с точки зрения системы) ничего особенного, следовательно, могут жить и на осевой машине.

Кроме того, в свете способности ODIN "прозрачно" запускать виндовые приложения, могут быть опасны и виндозные вирусы.

Особо следует отметить макровирусы WORD. Word 6 нормально работает под осью, почему бы ему не исполнить и зловредный скрипт?

Да, у нас есть офисный пакет Lotus SmartSuite, но он не все доки импортирует, точнее, не всегда. И я вполне себе представляю (живьём не видел :-)) документ Word, в котором скрипты будут применены для дела, т.е. без них документ потеряет смысл.

То есть, да, если не использовать средУ для запуска скриптов, можно скриптов не бояться. Чем-то мне это напоминает рекомендацию "вообще не включать компьютер" :-)

Как ты думаешь, живут ли вирусы в Virtual PC? Или если юзер запускает виндоус в окне, значит 'сам себе злобный Буратино'?

Не знаю, у меня Virtual PC не живёт, процессора нового требует. IMHO, должны жить. Не все, но многие.

Да, Буратино, а куда деваться? Погамиться-то хочется, да и программы есть полезные, которые только под виндоуз.

Но, IMHO, лучше VPC с виндовсом, чем голый виндовс. Потенциально опасные вещи делать из-под оси, ею же и проверять на предмет гадостей. А виндоус под VPC - так, игрозапускалка, которую снаружи не должно быть видно. Про виндовые сетевые игры скромно промолчу.

Есть такое мнение:

'Под осью нет виpусов в досовом смысле (лезущих внутpь .exe) потому что пpикладная пpогpамма не может поставить на свой сегмент данных атpибут execute, а на сегмент кода - атpибут write. Hо такие виpусы сейчас почти никто не делает. Сейчас все делают тpоянцев и сетевых чеpвей, использующих конкpетные дыpы конкpетных пpогpамм. Таких виpусов под осью нет потому что ось использует очень мало наpода и выгоднее делать виpусы для виндовых пpогpамм, т.к. их использует 99.9%. А вообще, я увеpен, что PMMail не менее дыpяв, чем MS OE, и уж точно более кpив.' (c) Игорь Ванин

Твое мнение?

Вполне разумно. Именно так, IMHO. Ну, разве что, стОит добавить, что бывают так называемые вирусы-спутники (что, интересно? А почитайте всё же энциклопедию от Касперского), так они вообще при размножении файлы не модифицируют.

Давай, еще раз вспомним, что такое вирусы, троянские программы и черви.

Нижеследующее изложение - сугубое моё IMHO, лучше почитать авторитетов (например, Антивирусную энциклопедию на сайте Касперского). Или у меня есть "БЕЗРУКОВ Н.Н. КОМПЬЮТЕРНАЯ ВИРУСОЛОГИЯ. 1990" (500 Kb в архиве) - тоже поучительное чтиво, хотя местами устаревшее.

Итак, IMHO:

• вирус: размножается, живёт на диске (дисках), что-то делает (портит данные или вызывает какие-нибудь звуко-видео эффекты).
• Троянская программа: живёт на диске, не размножается, делает вид, что делает что-то полезное (классически) или маскирует сам факт своего существования (в последнее время) и делает что-то полезное для своего "хозяина" - например, пересылает ему некоторые данные, готовит такие данные или открывает "чёрный ход".
• Червь: живёт исключительно в оперативной памяти, занимается размножением (преимущественно переползая из машины в машину).

Наверное, возможны и гибриды.

Теперь, о средствах борьбы с заразой:

• Антивирус - программа, которая запускается, проверяет, что нужно (файлы, системные области дисков, память), возможно, лечит и завершает (существенно!) свою работу.
• Монитор - резидентная программа, которая следит за потенциально опасными событиями в системе, и, в случае чего, поднимает тревогу и/или предпринимает ещё какие-нибудь действия. Пример опасного события - чтение исполняемого файла. Если такой файл заражён - монитор должен как-то отреагировать.

Если кто-то собирается со мной спорить по вопросу таких определений - посылаю вас к авторитетам! Мне, в принципе, без разницы, как звать ту гадость, что у меня завелась. Если обнаружил - удавить без разговоров!

Про троянцев. Да, в принципе. Троянец живёт на диске, следовательно свежеобновлённый антивирус должен его обнаружить. Естественно, некоторое время (от написания до попадания в руки вирусологов) троянец может быть неуловимым, но есть антивирусы с эвристическими алгоритмами... Поскольку троянец что-то делает, можно попытаться отловить эти действия. Например, изредка смотреть, какие порты открыты на машине и почему. Внимательно смотреть за исходящей почтой. Почаще читать логи.

Много ли в OS/2 антивирисов? Весь ли софт свежий?

• Прежде всего, два известных русских антивируса: Dr Web;
  
  
• и AVP;
  
  
• похороненный IBM AV;
  
  
• Norton Antivirus.
• Недавно появился Stop!
• Есть такой McAfee VirusScan for OS/2.
• Ещё существуют антивирус от Panda и Dr Solomom, про них ничего не скажу.

Часто ли обновляется Dr.Web? Нужно ли его регистрировать (и сколько это стоит)? Или есть возможность "отложить" регистрацию? :)

Dr.Web обновляется регулярно. Вирусные базы выходят почти каждый день, (новые версии тоже часто выходят). (Правда, под ось только коммандлайновая версия, зато работает).

Да, регистрировать нужно. ShareWare версия имеет ограничения, например, отказывается лечить заражённое. Стоит это не дорого, если мне не изменяет склероз, порядка 300 рублей за годовую лицензию. Лучше посмотреть у них на сайте, там организовано что-то типа калькулятора, так как цена зависит от многих факторов.

Ну, технически... Можно пользоваться незарегистрированной версией. Вроде бы это даже легально. Цитирую: 'Программы семейства DrWeb32 без ключа регистрации распространяются свободно без каких-либо ограничений.'. Но без лечения, без проверки архивов... Обходится, конечно, но того же One Half как-то лечить всё же надо.

Пиратская регистрация - Хм. Если программа нужна - её сломают. Антивирус нужен... Более того, кряк от HHT крякает и осевую и досовую версии. На виндозной не пробовал - слишком много для неё ключей вокруг летает.

Как обстоят дела с другими антивирусами?

• AVP, похоже, прекращён. Вместо него есть KAV. Осевой версии пока нет (я пользуюсь версией AVP 3.0 build 133), но антивирусные базы почти ежедневно обновляются и этой версией воспринимаются. По слухам, лаборатория Касперского ищет программистов-подосиновиков, так что можно надеяться.
• IBM AV - обновлений баз не будет, так что нет смысла использовать.
• NAV - обновления баз выходят примерно два раза в неделю. А вот сам он - сложный вопрос. Мне кто-то подарил. Работает, новые базы кушает.

Про остальные - ничего не скажу, не щупал.

Краткое сравнение антивирусов. Какой более качественный, какой хоть что-нибудь поймал?

Самый качественный - тот, про который вирусописатели не знают ;-). Сам я регулярно пользуюсь Dr Web и AVP коммандлайновый вариант (с помощью CMD-шничков "проверить файл", "проверить каталог", "проверить пришедшую почту"), а раз в неделю вся машина сканируется NAV-ом.

Я твёрдо убеждён в том, что надо использовать как минимум два антивируса от разных фирм. Каких именно - не столь важно, лишь бы были доступны свежайшие обновления вирусных баз.

Обычно, Dr Web и AVP одновременно находят одно и то же (хотя и называют по-разному). NAV не любит вложенных архивов. Но был случай, когда юзер сходил на порнушный сайт и приволок оттуда какую-то скриптовую гадость. При очередной проверке NAV мне доложил, что вот, мол, в сквидовом кэше зараза сидит. Ладно, извлекаю я тот файл (а у свежих сквидов, как известно, структура файлов в кэше своя, ни на что не похожая), и отдаю этот файл вебу с авпом. Эта "сладкая парочка" ничего не увидела. Так что вот..

Если меня попросят [аргументированно] сказать, что "антивирус ХХХ - лучше всех!" - я откажусь.

Потому что если это сказать достаточно убедительно, все бросятся ставить именно ХХХ, а остальные перестанут использовать. Само по себе это не так чтобы плохо (рассуждения про монополию сразу отвергаю), но! Вирусописатели тоже не дураки, и, проанализировав ХХХ, будут писать свои творения так, чтобы именно ХХХ их не обнаруживал.

Так что пусть будут антивирусы разные, чтобы вирусописатель не знал точно, с чем придётся сражаться его творению.

Помоги решить стандартную задачу: Есть проходящий траффик. Чтобы мои виндовые машинки не погибли, хочу проверять его из оси. Что рекомендуешь установить? Есть ли наработки (скрипты)?

Сложный вопрос. У меня так проверяется только входящее е-мыло. На конец цикла приёма почты подвешен примитивный CMD, смысл которого "если в инбаунде что-то есть, то проверить весь инбаунд. Если найдётся что-то не то - вывесить табличку".

Вообще-то эта задача решается так называемыми мониторами. В составе AVP монитор есть, но у меня он почему-то часов через пять работы трапал ось. Пришлось отказаться.

Пока мне представляется разумным такой вариант: осевая машина проверяет диски периодически (например, по ночам), а на виндовых машинах живёт, например, Dr Web со своим монитором. Кстати, виндовый Dr Web (у клиентов) умеет обновлять свои базы, используя файл-сервер. То есть одна машина скачала из и-нета всё, что надо, выложила в локальную сеть, а все остальные обновляются уже оттуда. Аналогично с NAV.

Кстати, в таком варианте у меня однажды клиентская машина обнаружила на сервере заражённый файл до того, как пришло время очередной проверки. В результате вирус не успел размножиться, всё было почищено очень быстро.

Можно ли рекламировать ось, как альтернативу другим осам в борьбе с паразитами? Сама ось - "не заражается" и других лечить может.

Не тока мона, но и нуна! (С) анекдот. Именно потому, что, с точки зрения наиболее "популярных" паразитов, ось - нечто странное и непонятное и неизвестно, как в ней жить. И дыры в ней совсем другие, и оутлука нет, и %WINBOOTDIR% (или как там его?) не определён и вообще, захочет бедняга поискать что-нибудь исполняемое по %PATH%, а система как вернёт строчку на десяток килобайт :-)

И в силу своей "чужеродности" ось действительно может сравнительно спокойно обрабатывать заражённые диски. Не так, чтобы "прекрасно", ибо я не представляю себе, как можно почистить чужой бут-сектор; но сунуть в осевую машину заведомо заражённый диск (даже жёсткий) - да почему бы и нет? Тем более, что LVM не даст буковкам съехать.

IMHO, с этой точки зрения ось "впереди планеты всей".

Грубо говоря, ползёт червяк по сендмэйлам, изредка отвлекаясь на IIS-ы, и вдруг видит веаселя или IPS. Да он (червяк) и слов-то таких не знает, не то что способов атаки.

Заключение:

К тексту приложены два скрипта. Они вызываются после скачивания свежих баз и обновляют рабочие экземпляры Dr Web и AVP.

Скрипты слегка прокомментированы, в начале - пара строк с определениями путей, не забудьте поправить. Используется распаковщик UNZIP2, кому не нравится - пусть сам изменит. Скрипты могут ошибаться в начале года. Лицензия - как обычно :-) полная фриварь, на свой страх и риск, претензии не принимаются.

p.s. Когда речь заходит о вирусах, следует помнить мудрое изречение: "Наиболее уязвим уверенный в своей безопасности". Успехов вам и предохраняйтесь! =)

Автор: Oldy

Вопросы задавал Eugene Gorbunoff

Комментарии:

Eugene Gorbunoff 2002-01-02 04:20:51	От анонимного доброжелателя: Скрипт для подключения DrWeb к Weasel ============================================ /* Set this script as a filter in Weasel */ Parse Arg msg names '@D:\Apps\DrWeb\DRWEB2CL.EXE /GO /NM' msg If r=0 Then Exit 0 Exit 3 ============================================
Eugene Gorbunoff 2002-01-02 05:09:19	BugFix: ... If r=0 Then Exit 0 ...
Eugene Gorbunoff 2002-01-02 05:12:06	опаньки. ... If rc=0 Then Exit 0 .... сорри. темно и ничего не видно. днем все мои комментарии будут исправлены
Anrei A. Porodko 2002-01-02 08:36:41	Вот то, что действительно работает ;-) ------------------------------ @echo off Rem Rem Run DrWeb to scan selected mail file Rem \\AURORA\DRWEB\OS2\drweb2cl.exe /TB- /TM- /AL /ML /AR /UP /INI:\\AURORA\DRWEB\DrWeb32.ini %1 if errorlevel 1 goto Infected Rem Rem DrWeb told us - no viruses found. Then report to weasel - go ahead! Rem quit 0 goto Finish :Infected Rem Rem Mail file was infected. Then copy it into the special directory and Rem report to weasel - don't deliver the message, reject it! Rem copy %1 C:\TCPIP\Weasel\mailbox\Infected.!!! >nul quit 3 :Finish
Anrei A. Porodko 2002-01-02 08:38:49	Замечание к предыдущему скрипту. Используется просто cmd.exe - без Rexx-а. Имхо это быстрее работает. Разве сто програмка quit нужна ;-)
duk 2004-01-22 22:12:14	Уточнение по тексту KAV четвертой версии уже года полтора как есть. У меня версия 4.0.0.3
Eugene Gorbunoff 2009-12-03 14:21:32	1995 -- The effect of computer viruses on OS/2 and Warp -- [url]

Прокомментируйте эту статью (напоминаем, автор работал над текстом несколько недель, уважайте мнение других).

Ваше имя: Ваш E-Mail: CODE:
Ваш комментарий:

История eComStation - борьба, инновации и победы. Что будет дальше? Зависит от тебя.