Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
В представлениях многих пользователей файлы формата RTF (Rich Text Format) считаются чуть ли не панацеей от навязчивых макровирусов, как, впрочем, и любых других разновидностей вредоносных кодов. Многие антивирусные компании рекомендуют вообще отказаться от стандартных файлов MS Word (DOC). Действительно, RTF-файлы не могут содержать макропрограмм (макросов) в явном виде: в случае конвертации (стандартными средствами) из других форматов макросы автоматически удаляются. Подобная идеализация RTF имеет другую сторону: пользователи теряют бдительность и игнорируют основные правила безопасности, работая c документами формата RTF.
Rich Text Format является распространенным стандартом представления графических и текстовых данных. Его поддерживают практически все текстовые редакторы, работающие на разнообразных типах процессоров и ОС. RTF-файл, созданный на PC-совместимом компьютере под управлением Windows, можно без труда прочитать на Apple Macintosh под MacOS.
Структура стандартного RTF-файла представляет собой последовательность секций данных, заключенных в специальные метки (тэги), которые указывают программе-обработчику начало или конец секции. Данные могут быть разных типов: текстовые блоки, графические объекты, таблицы и даже выполняемые файлы и др.
При запуске RTF-файла обработчик просматривает его содержимое и автоматически выполняет все известные ему секции и пропускает незнакомые. Более того, структура RTF подразумевает возможность безболезненного введения новых видов секций, необходимых пользователю для выполнения специфических задач. Причем эти новые секции не будут влиять на общую работоспособность программы в других приложениях.
Однако в бочке меда, называемом стандартом RTF, не обошлось без ложки дегтя. Даже двух.
Во-первых, наиболее распространенный обработчик RTF-файлов, текстовый процессор MS Word, как и многие другие, не избежал брешей в системе безопасности. 21 мая 2001 г. компания Microsoft опубликовала сведения об очередной ╚дыре╩, которая позволяет незаметно для пользователей запускать из RTF-файлов макровирусы.
Как известно, макровирусами называются вредоносные макросы, способные производить различные действия без разрешения пользователя, в том числе, внедряться в другие файлы. Макросы могут содержаться непосредственно в самих документах (или шаблонах) или загружаться из других источников при помощи ссылок. В обоих случаях MS Word должен автоматически показывать предупреждение о содержащихся в документе неизвестных макросах, которые могут оказаться вирусами.
Однако оказалось, что эта защита не работает в RTF-файлах. Таким образом, злоумышленники могут записать в документ ссылку на удаленный Web-сайт, содержащий шаблон, зараженный макровирусом. При чтении RTF-файла MS Word автоматически и без каких-либо предупреждений загрузит этот шаблон и незаметно запустит вирус. Автор вируса может в любое время модифицировать хранящийся на Web-сайте файл и придать ему дополнительную функциональность.
Microsoft уже выпустила дополнение, исправляющее эту ошибку в системе безопасности Word. И хотя до сих пор не было обнаружено ни одного вредоносного кода, использующего данную брешь, мы рекомендуем загрузить и как можно быстрее установить ╚заплатку╩ с сайта компании, поскольку история уже знает достаточно случаев нерасторопности пользователей. В начале 1999 г. была обнаружена точно такая же брешь в обработчике DOC-файлов MS Word. А первый вирус (ATU), созданный австралийским хакером под псевдонимом ╚1nternal╩ и использовавший ее для своего проникновения на компьютеры, появился уже через 2 дня после выхода ╚заплатки╩. Естественно, его распространенность была обязана откровенной пассивности пользователей, поленившихся установить дополнения для используемого ПО.
Вторая ложка дегтя: RTF-файлы могут содержать обычные выполняемые файлы. Для их активизации пользователь должен обязательно запустить ссылку, присутствующую в тексте RTF-документа. В последнее время такой метод проникновения на компьютеры становится все более популярным среди создателей Троянских программ. Вместо обычных EXE-файлов, которые у всех сразу же вызывают подозрение, писатели вирусов используют неосведомленность пользователей о скрытых угрозах RTF-файлов, рассылая RTF-документы, демонстрирующие заманчивые тексты и предлагающие всего лишь ╚кликнуть╩ на маленькую иконку в теле текста. При этом иконка может носить совсем безобидные названия и даже не иметь расширения.
Сразу же после ее запуска MS Word передает содержащийся в RTF-файле бинарный код ОС, которая автоматически определяет тип файла, проверяет таблицу ассоциаций и передает программу на выполнение соответствующему обработчику. В случае VBS-файла, это будет Windows Scripting Host, а EXE-файла═≈ командный процессор Windows и т.═д. В итоге пользователь может стать жертвой тех же LoveLetter или ╚Чернобыля╩, но внедренных в RTF-документ.
Главной целью этой статьи является описание опасностей, которые поджидают пользователей в работе с документами в формате RTF, и рекомендация наиболее безопасного способа обращения с ними.
Если оценивать уровень безопасности DOC и RTF файлов в целом, то следует признать, что в первом случае он гораздо ниже. Файлы формата DOC также могут нести в себе внедренные выполняемые файлы, запускающиеся одним нажатием на соответствующую иконку. Вместе с тем, они могут содержать макровирусы, одну из наиболее распространенных разновидностей вредоносных программ. И уж если выбирать, то мы все же рекомендуем RTF. Однако при работе с данным стандартом важно соблюдать следующие правила:
1)═своевременно устанавливайте ╚заплатки╩ к используемым текстовым редакторам, особенно если они касаются работы с RTF-документами;
2)═обязательно проверяйте RTF-документы антивирусными программами с последними обновлениями антивирусных баз данных;
3)═ни в коем случае не запускайте содержащиеся в RTF-документах прямые ссылки на какие бы то ни было файлы.
1)═Microsoft Security Bulletin MS01-028: RTF document linked to template can run macros without warning: http://www.microsoft.com/technet/security/bulletin/MS01-028.asp.
2)═Вирусная Энциклопедия Касперского: описание вируса Macro.Word97.ATU http://www.viruslist.com/viruslist.asp?id= 3821&key=00001000060000900014.
3)═Microsoft Security Advisor Program: Microsoft Security Bulletin (MS99-002): ╚Word 97 Template╩ Vulnerability: http://www.microsoft.com/technet/security/bulletin/MS99-002.asp.
http://www.kasperskylab.ru
Анкета || Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка
Главная страница
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 118-6666, 118-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
e-mail:
Для пресс-релизов и новостей