КОМПЬЮТЕР-ИНФОРМ Главная страница || Статьи 11'2001 || Новости СПб || Новости России || Новости мира
Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
В представлениях многих пользователей файлы формата RTF (Rich Text Format) считаются чуть ли не панацеей от навязчивых макровирусов, как, впрочем, и любых других разновидностей вредоносных кодов. Многие антивирусные компании рекомендуют вообще отказаться от стандартных файлов MS Word (DOC). Действительно, RTF-файлы не могут содержать макропрограмм (макросов) в явном виде: в случае конвертации (стандартными средствами) из других форматов макросы автоматически удаляются. Подобная идеализация RTF имеет другую сторону: пользователи теряют бдительность и игнорируют основные правила безопасности, работая c документами формата RTF.
Rich Text Format является распространенным стандартом представления графических
и текстовых данных. Его поддерживают практически все текстовые редакторы, работающие
на разнообразных типах процессоров и ОС. RTF-файл, созданный на PC-совместимом
компьютере под управлением Windows, можно без труда прочитать на Apple Macintosh
под MacOS.
Структура стандартного RTF-файла представляет собой последовательность секций
данных, заключенных в специальные метки (тэги), которые указывают программе-обработчику
начало или конец секции. Данные могут быть разных типов: текстовые блоки, графические
объекты, таблицы и даже выполняемые файлы и др.
При запуске RTF-файла обработчик просматривает его содержимое и автоматически
выполняет все известные ему секции и пропускает незнакомые. Более того, структура
RTF подразумевает возможность безболезненного введения новых видов секций, необходимых
пользователю для выполнения специфических задач. Причем эти новые секции не
будут влиять на общую работоспособность программы в других приложениях.
Однако в бочке меда, называемом стандартом RTF, не обошлось без ложки дегтя.
Даже двух.
Во-первых, наиболее распространенный обработчик RTF-файлов, текстовый процессор
MS Word, как и многие другие, не избежал брешей в системе безопасности. 21 мая
2001 г. компания Microsoft опубликовала сведения об очередной дыре, которая
позволяет незаметно для пользователей запускать из RTF-файлов макровирусы.
Как известно, макровирусами называются вредоносные макросы, способные производить
различные действия без разрешения пользователя, в том числе, внедряться в другие
файлы. Макросы могут содержаться непосредственно в самих документах (или шаблонах)
или загружаться из других источников при помощи ссылок. В обоих случаях MS Word
должен автоматически показывать предупреждение о содержащихся в документе неизвестных
макросах, которые могут оказаться вирусами.
Однако оказалось, что эта защита не работает в RTF-файлах. Таким образом, злоумышленники
могут записать в документ ссылку на удаленный Web-сайт, содержащий шаблон, зараженный
макровирусом. При чтении RTF-файла MS Word автоматически и без каких-либо предупреждений
загрузит этот шаблон и незаметно запустит вирус. Автор вируса может в любое
время модифицировать хранящийся на Web-сайте файл и придать ему дополнительную
функциональность.
Microsoft уже выпустила дополнение, исправляющее эту ошибку в системе безопасности
Word. И хотя до сих пор не было обнаружено ни одного вредоносного кода, использующего
данную брешь, мы рекомендуем загрузить и как можно быстрее установить заплатку
с сайта компании, поскольку история уже знает достаточно случаев нерасторопности
пользователей. В начале 1999 г. была обнаружена точно такая же брешь в обработчике
DOC-файлов MS Word. А первый вирус (ATU), созданный австралийским хакером под
псевдонимом 1nternal и использовавший ее для своего проникновения на компьютеры,
появился уже через 2 дня после выхода заплатки. Естественно, его распространенность
была обязана откровенной пассивности пользователей, поленившихся установить
дополнения для используемого ПО.
Вторая ложка дегтя: RTF-файлы могут содержать обычные выполняемые файлы. Для
их активизации пользователь должен обязательно запустить ссылку, присутствующую
в тексте RTF-документа. В последнее время такой метод проникновения на компьютеры
становится все более популярным среди создателей Троянских программ. Вместо
обычных EXE-файлов, которые у всех сразу же вызывают подозрение, писатели вирусов
используют неосведомленность пользователей о скрытых угрозах RTF-файлов, рассылая
RTF-документы, демонстрирующие заманчивые тексты и предлагающие всего лишь кликнуть
на маленькую иконку в теле текста. При этом иконка может носить совсем безобидные
названия и даже не иметь расширения.
Сразу же после ее запуска MS Word передает содержащийся в RTF-файле бинарный
код ОС, которая автоматически определяет тип файла, проверяет таблицу ассоциаций
и передает программу на выполнение соответствующему обработчику. В случае VBS-файла,
это будет Windows Scripting Host, а EXE-файла командный процессор Windows
и т.д. В итоге пользователь может стать жертвой тех же LoveLetter или Чернобыля,
но внедренных в RTF-документ.
Главной целью этой статьи является описание опасностей, которые поджидают пользователей
в работе с документами в формате RTF, и рекомендация наиболее безопасного способа
обращения с ними.
Если оценивать уровень безопасности DOC и RTF файлов в целом, то следует признать,
что в первом случае он гораздо ниже. Файлы формата DOC также могут нести в себе
внедренные выполняемые файлы, запускающиеся одним нажатием на соответствующую
иконку. Вместе с тем, они могут содержать макровирусы, одну из наиболее распространенных
разновидностей вредоносных программ. И уж если выбирать, то мы все же рекомендуем
RTF. Однако при работе с данным стандартом важно соблюдать следующие правила:
1)своевременно устанавливайте заплатки к используемым текстовым редакторам,
особенно если они касаются работы с RTF-документами;
2)обязательно проверяйте RTF-документы антивирусными программами с последними
обновлениями антивирусных баз данных;
3)ни в коем случае не запускайте содержащиеся в RTF-документах прямые ссылки
на какие бы то ни было файлы.
1)Microsoft Security Bulletin MS01-028: RTF document linked to template can
run macros without warning: http://www.microsoft.com/technet/security/bulletin/MS01-028.asp.
2)Вирусная Энциклопедия Касперского: описание вируса Macro.Word97.ATU http://www.viruslist.com/viruslist.asp?id=
3821&key=00001000060000900014.
3)Microsoft Security Advisor Program: Microsoft Security Bulletin (MS99-002):
Word 97 Template Vulnerability: http://www.microsoft.com/technet/security/bulletin/MS99-002.asp.
КОМПЬЮТЕР-ИНФОРМ
Рубрики || Работа
|| Услуги || Поиск
|| Архив || Дни
рождения
О "КИ" || График
выхода || Карта сайта || Подписка
Рассылка анонсов газеты по электронной почте
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл 77-4461 от 2 апреля 2001 г.
Перепечатка материалов
без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 718-6666, 718-6555.
Адрес: 196084, СПб, ул.Заставская, д.23, БЦ "Авиатор", 3-й этаж, офис 307
e-mail: editor@ci.ru
Для пресс-релизов и новостей news@ci.ru