|
Выпуск N31 от.12.12.2000 Работа в Интернет через почту Предыдущие выпуски рассылки на сайте http://filebymail.chat.ru Ваши письма ждут по адресу filebymail@chat.ru Борьба с вирусами Эту рассылку я давно собирался написать, да все откладывалось. Но на днях время пришло, вернее пришло письмо которое все решило. Одни чудаки решили порадовать окружающих очередной забавой в виде трояна, разослав его в конференции для тех, кому требуется помощь по www4: www4mail-comments@w3.org. Так вот соратники Behnoosh Sokhkian braka@safineh.net и mehrzad mehrzad@safineh.net , не получив понятных им ответов на свои запросы, наверное обиделись на англопишущих и отправили посылку с трояном в качестве вложения под именем NEW_NAPSTER_site.TXT.pif. Получив его, я понял, что это вирус, но понадеявшись на резидентный монитор файлов Нортона, который неоднократно выручал в похожих случаях, запустил приложение. В итоге он сразу заразил файлы в текущей и системной директории, и мне было чем заняться в праздники. Запустив сканер, обнаружил их около 70 штук, из которых большая часть вылечились, а winsock32 и другие пришлось заменить переустановкой win98. Зато обновил базу и написал рассылку. Итак, выводы из сегодняшнего случая. 1. Если есть, чем заняться, не открывайте все вложения подряд. Иначе работы дня на 2-3 хватит. Информация по почтовым вирусам из ПОЛЕЗНЫХ СОВЕТОВ ПО РАБОТЕ С КОМПЬЮТЕРОМ (http://www.akhiney.com.ua): Как известно, вирус может содержаться только в файлах, которым передаётся управление: программы, динамические библиотеки, драйверы, командные файлы, скрипты, документы и шаблоны с макросами, то есть файлы с расширениями COM, EXE, DLL, DRV, VXD, SYS, BAT, DOC, DOT, XLS и др. Таким образом, например, обычный текстовый файл (с расширением TXT) можно запускать без опасений получить заразу - TXT-файл будет просто открыт в Блокноте. Однако, благодаря тому, что в Windows 9x имя файла может содержать несколько точек (расширением считаются символы после последней точки) и по умолчанию задано "Не показывать расширения для зарегистрированных типов файлов", некоторые вирусописатели рассылают свои творения в письмах с вложенным файлом, имеющим имя, содержащее перед расширением символы .TXT или что-нибудь другое безобидное. Последний пример - вирус Love Letter, который представляет собой скрипт VBS (Visual Basic Script) и содержится в файле с именем LOVE-LETTER-FOR-YOU.TXT.vbs. Чтобы всегда видеть истинное расширение файла и не активизировать вирус, посчитав его обычным текстовым файлом, запустите Проводник, в меню "Вид" выберете пункт "Свойства папки", перейдите на вкладку "Вид" и снимите галку "Не показывать расширения для зарегистрированных типов файлов". Основу защиты от вирусов при работе в почте составляет всё тот же неизменный принцип: не запускайте незнакомые приложения. Единственный совет, который можно дать в этом случае: будьте осторожны, и сначала лучше сохраните полученный файл в отдельной папке, а затем внимательно изучите его в окне Мой компьютер или Проводник, чтобы убедиться, что он действительно представляет собой именно то, о чём утверждал вам его отправитель. Так как некоторые вирусы отсылают себя по всем почтовым ящикам, содержащимся в адресной книге, даже если вы отлично знаете отправителя, лучше напишите ему письмо, прежде чем запускать файл.
2. На компьютере должна быть антивирусная программа, лучше несколько. Из бесплатных у меня установлена AVTrojan20a4.exe, которую можно найти на сайте http://www.trojan.ru/, URL для скачивания http://trojan.by.ru/download/AVTrojan20a4.exe. Еще стоит вышеупомянутый Нортон-антивирус 5.0. Однако эксперименты с упомянутым вирусом показали, что мониторы его при копировании на диск не обнаружили, и значит есть простор для поиска лучших. 3. Необходимо своевременно обновлять антивирусную базу. обновления AVTrojan можно искать на страничке http://www.trojan.ru/en/download.htm а Нортона на страничке http://www.symantec.com/, английская версия для win9X: http://www.symantec.com/avcenter/cgi-bin/navsa rc.cgi?LANG=US&PROD=N95 в явном виде обычно ссылка имеет вид месяц+дата+i321(2,3).exe(zip) (3 файла, 2 и 3 имеют расширение zip), например обновление от 7декабря: http://www.symantec.com/avcenter/download/us-files/1207i322.zip. Можно ссылку получать через рассылку tucows.com в виде: 4. Для получения почты желательно иметь пересылочный ящик на серверах с антивирусной защитой, например, на chat.ru. Переслав письмо с вирусом самому себе через ящик chat.ru я получил два сообщения:
и
То есть, зараженные письма проходящие через этот сервер, будут просто уничтожаться. 5. Заведите себе загрузочный диск: Панель управления-->Установка программ-->Загрузочный диск или скачайте программку http://emergency.lgg.ru/soft/esrb091.exe(для WIN9X). В случае чего, можно будет с него загрузиться и переустановить систему.
И еще одно. Не надо слать грозные письма в адрес конференции или форума, в которой Вы получили вирус. Ведь они расходится по всем подписчикам, а не тому кто посылал вирус. Там писать может кто угодно, вот им и грозите, обратный адрес всегда найдете в техническом конверте письма. И проверьте свои автоответчики на этот случай. Кто знает более простые и надежные методы борьбы с вирусами сообщите мне или прямо в форум talk.ru.inet_by_mail . Желаю успеха. Для отписки от рассылки пошлите сообщение в адрес subscribe@subscribe.ru USER ваш-адрес пароль UNSUBSCRIBE inet.review.interbymail Для подписки: mailto:www4mail@ftp.uni-stuttgart.de?body= http://subscribe.ru/member/quick?action=quick&grp=inet.review.interbymail&email=Ваша_почта |