Dodatek B

Wirusy w Windows NT

Czym jest wirus komputerowy

Wirus komputerowy - termin budzący strach zarówno w sercach
administratorów, jak i

zwykłych użytkowników komputerów.

W bieżącym rozdziale spróbujemy odpowiedzieć sobie na pytanie,
czym właściwie jest wirus komputerowy, i co ważniejsze - w jaki
sposób może on nam zaszkodzić.

Do chwili obecnej powstały tysiące różnych wirusów
komputerowych - pomimo, iż pierwsze pojawiły się zaledwie
kilkanaście lat temu. Prawdziwa epidemia wybuchła dopiero
w późnym okresie drugiej połowy lat osiemdziesiątych. Wiele
z

napisanych wirusów powstało jedynie w

celu udowodnienia

możliwości napisania programu, który rozprzestrzeniałby się
w sposób praktycznie niekontrolowany.

Rozprzestrzenianie się wirusów komputerowych

Wirusy komputerowe, podobnie jak wirusy zakażające ludzi,
rozprzestrzeniają się poprzez bezpośredni kontakt z zakażonym
"medium". Jak wiadomo, sposobem na uniknięcie "wirusa" jest
odizolowanie się i niedopuszczanie do jakichkolwiek kontaktów
z

innymi, potencjalnymi ich nosicielami. Podobnie jest

z komputerami - jeśli chcemy mieć całkowitą pewność, że nasz
komputer nie zostanie zakażony wirusem, powinniśmy nie dopuścić
do jakiejkolwiek komunikacji pomiędzy nim a innymi maszynami,
zarówno poprzez sieć komputerową, czy też dyskietki lub dyski CD
ROM. Jednakże takie założenie istotnie ograniczy funkcjonalność
naszego komputera. W dzisiejszym świecie potęga komputerów
ujawnia się przede wszystkim w ich ogromnych możliwościach
w zakresie wzajemnej, niczym nie ograniczonej komunikacji.

1218

Dodatek B

Jak to możliwe, aby jakikolwiek wirus (czyli prosty program)
znalazł się w naszym komputerze bez naszej wiedzy. Z reguły
zawdzięczamy to wirusom w postaci nakładki na inny, program. Dla
przykładu - taki program wirusa komputerowego może być
rozprzestrzeniany wraz z

grą komputerową. Wówczas, przy

każdym uruchomieniu gry, program wirusa przegląda zawartość
twardego dysku w poszukiwaniu nie zainfekowanych programów,
dodając swoje fragmenty do ich procedur startowych. W taki
sposób infekowane są nowe programy.

Opisany sposób rozprzestrzeniania się wirusów komputerowych nie
jest oczywiście jedynym. Fragmenty wirusa mogą zostać
umieszczone w dowolnym miejscu, gdzie znajdują się instrukcje
wykonywane przez komputer. Może to być rekord wprowadzający
dysku, miejsce składowania makrofunkcji, czy też miejsce,
w którym są umieszczane aplikacje.

Przesądy o wirusach i Windows NT

Problem wirusów nie omija niestety systemu NT . Pojawiające się
twierdzenia o rzekomej jego odporności na wirusy biorą się
z przesadnych opowieści o abstrakcyjnej warstwie sprzętowej -
HAL (Hardware Abstraction Layer). Warstwa HAL nie pozwala
jedynie na dokonywanie zapisu bezpośrednio do warstwy sprzętowej
przez procedury programów, zapobiegając tym samym
rozprzestrzenianiu się tylko tych wirusów, które posługują się tą
techniką przy rozmnażaniu. Inny mechanizm zastosowany
w Windows NT , zapobiegający dostępowi do obszaru pamięci
przydzielonego aplikacji 32-bitowej przez inne aplikacje 32-bitowe,
nie pozwala na szerzenie się wirusów rozprzestrzeniających się
poprzez ładowanie się do pamięci (i oczekiwanie tam na inny
program).

Problem w tym, że wirusy rozprzestrzeniają się na bardzo wiele
sposobów. Naszej czujności nie mogą osłabiać twierdzenia
o odporności Windows NT na niektóre typy wirusów. Z pewnością
w miarę wzrostu popularności serwerów i stacji roboczych NT ,
adresowanych temu systemowi wirusów będzie coraz więcej.

Wirusy w Windows NT

1219

Czego wirusy nie mogą zaatakować w serwerze NT

Kiedy mówi się o zabezpieczaniu serwera Windows NT przeciwko
wirusom, należy uwzględnić funkcje, jakie może pełnić NT : serwera
plików oraz stacji roboczej.

Praktycznie zawsze serwer NT pełni rolę serwera plików. Nawet
serwer, który pełni przede wszystkim rolę serwera aplikacji,
funkcjonuje częściowo jako serwer plików. Ponieważ większość
wirusów infekuje pliki i rozprzestrzenia się poprzez dostęp do czy
też uruchamianie zakażonych plików, podstawową sprawą jest
zapewnienie, żeby serwer NT nie był wykorzystywany jako środek
ich dystrybucji. Ważną rzeczą jest również zrozumienie
konsekwencji, jakimi grozi użytkowanie serwera NT jako nośnika
wirusów. Załóżmy dla przykładu, że na skutek połączenia naszego
systemu z

jakimś serwerem NT , zostaje on (nasz system)

zainfekowany wirusem X. Jeśli podstawowym zadaniem wirusa X
jest rozprzestrzenianie się poprzez infekowanie wszystkich plików
wykonywalnych, znajdujących się na dowolnym dysku w systemie,
prawdopodobnie jako pierwsze zainfekowane zostaną pliki
wykonywalne zapisane na naszym dysku lokalnym. W dalszym
etapie infekowane będą takie pliki na wykorzystywanych przez nas
dyskach serwera, do których mamy prawa zapisu. Jeśli teraz ktoś
inny skorzysta z zarażonych przez nas plików na serwerze, zostaną
zainfekowane pliki na jego dysku lokalnym i

ewentualnie

dostępnych dla niego (w trybie zapisu) dyskach zdalnych. W ten
sposób wirus rozprzestrzenia się. W opisanym przypadku NT
Server jest jedynie ogniwem pośrednim, uczestniczącym
w dystrybucji się wirusów, nie zagrożonym zarażeniem.

Jednakże, może się zdarzyć, że serwer NT jest również wykorzysty-
wany jako stacja robocza dla realizacji standardowych programów.
W takim przypadku, także i on może ulec zakażeniu. Może np. do
tego dojść po zainstalowaniu narzędzia zainfekowanego przez wirus,
co może być przyczyną awarii serwera NT . Co więcej - w zależności
od praw dostępu użytkownika uruchamiającego zainfekowany
program, wirus może zaatakować mniejszą lub większą liczbę plików
na serwerze. Jeśli teraz jakikolwiek klient zażąda dostępu do
zainfekowanych plików tam umieszczonych, zostanie zarażony.

1220

Dodatek B

Typy wirusów komputerowych

Dla naszych potrzeb podzielimy istniejące wirusy komputerowe na
pięć grup, w

zależności od środowiska, dla którego zostały

stworzone, czyli: wirusy atakujące główny rekord wprowadzający,
przeznaczone dla systemu DOS, dla systemu Windows 3.x, systemu
Windows NT oraz makrowirusy.

Wirusy głównego rekordu wprowadzającego (M aster Boot
Record)

Przeważająca większość infekcji wirusowych dokonywana jest przez
wirusy sektora ładowania początkowego (boot sector). Mają one
postać kodu, który jest w stanie dołączyć siebie samego do sektora
ładowania początkowego dyskietki, czy też dysku twardego. Sektor
ładowania początkowego zawiera niewielki fragment kodu
programu, wykonywany w chwili inicjowania dysku. Wirusy sektora
ładowania początkowego zazwyczaj rozprzestrzeniają się przez
umieszczanie swojej kopii na sektorach ładowania początkowego
wszystkich aktualnie zamontowanych dysków lokalnych
w systemie - takich jak dyski twarde czy też dyskietki. Ponadto,
wirusy te zapisują fragment swojego kodu w pamięci operacyjnej
komputera, który jest wykorzystywany do infekowania następnych
dysków dołączanych do systemu.

Wirusy sektora ładowania początkowego umieszczane są w pamięci
przed załadowaniem jakiegokolwiek systemu operacyjnego, dlatego
też mogą być uważane za niezależne od systemu operacyjnego.

W przypadku Windows NT problemem dla wirusów sektora
ładowania początkowego może być to, że system ten używa innego
formatu sektora ładowania początkowego niż DOS. Większość
wirusów sektora ładowania początkowego została napisana przy
założeniu, że sektor ten zawiera standardowy fragment programu,
wykorzystywany przez DOS-a. Umieszczenie wirusa w

tym

obszarze, zapisanego zgodnie z formatem Windows NT , może mieć
następujące konsekwencje.

Jeśli wirus dokonuje poważnych zmian w sektorze ładowania
początkowego (takich jak np. kodowanie informacji na temat
partycji, w chwili gdy przekazuje on kontrolę systemowi Windows

Wirusy w Windows NT

1221

NT w celu załadowania systemu operacyjnego), Windows NT ładuje
zainfekowany fragment programu, który kontynuuje proces
uruchamiania komputera. W

systemie DOS, który podczas

uruchamiania wykorzystuje odwołania do procedur na poziomie
BIOS-a, wirus przechwytuje te odwołania i zwraca odkodowaną
informację do systemu operacyjnego, umożliwiając tym samym
poprawny start komputera. Jednakże Windows NT nie korzysta
(przy starcie komputera) z odwołań do procedur na poziomie
BIOSa, dlatego też wirus nie może ich przechwytywać i zwracać
potrzebnej informacji. Ponieważ informacja w sektorze ładowania
początkowego została przez wirus zmieniona (zazwyczaj
zakodowana) Windows NT nie jest w stanie uruchomić komputer
i zwykle zwraca komunikat o błędzie.

Inna jest sytuacja w odniesieniu do wirusa sektora ładowania
początkowego, który w

zasadzie nie dokonuje zmian

w informacjach inicjujących. W tym przypadku, kod wirusa zostaje
zignorowany podczas ładowania NT , co czyni go niezdolnym do
dalszego rozmnażania, i w związku z tym - niegroźnym. Niestety,
wirusy tego typu pojawiają się znacznie rzadziej (niż te,
modyfikujące informację inicjującą).

W jaki sposób wirus sektora ładowania początkowego może się
znaleźć w systemie Windows NT ? Zasadniczo istnieją tutaj dwie
drogi. Pierwsza z nich - poprzez zainfekowany dysk (zazwyczaj
dyskietki). W tym przypadku jednak, jeśli tylko system NT jest
aktywny, nie może zostać zarażony wirusem, ponieważ aby do tego
doszło wirus musi dokonać operacji zapisu bezpośrednio na
poziomie sprzętowym (a na to warstwa HAL systemu NT nie
pozwala). Drugi sposób wymaga uruchomienia systemu
z zainfekowanego dysku. Niestety do takiej sytuacji dochodzi
często i to w wyniku błędu użytkownika. Wystarczy uruchomić
komputer z

nieopatrznie pozostawioną w

stacji zainfekowaną

dyskietką. Ponieważ przy uruchamianiu, w pierwszej kolejności
sprawdzana jest dyskietka znajdująca się ewentualnie w stacji
dyskietek, odczytywany jest jej sektor ładowania początkowego.
Jeśli jest tam wirus, zostaje on skopiowany do sektora ładowania
początkowego dysku twardego, infekując tym samym system.
Z uwagi na fakt, iż w tym momencie Windows NT nie jest jeszcze
aktywny, nie może on zapobiec infekcji. By temu zaradzić możemy

1222

Dodatek B

jedynie zabronić, jeśli nasz sprzęt na to pozwala, uruchamiania
systemu poprzez dyskietkę.

Wirusy przeznaczone dla systemu DOS

Pomimo tego, że wirusy sektora ładowania początkowego zaliczane
są do grupy najczęściej powodujących infekcję, najliczniejszą
stanowią wirusy przeznaczone dla systemu DOS. Możemy je
podzielić na dwie grupy: te, które ładują swój kod do pamięci
komputera (skąd jego wykonanie prowadzi do rozprzestrzeniania
się infekcji) oraz wirusy wykonujące swoje funkcje jedynie wtedy,
gdy zostają uruchomione.

Powyższe rozróżnienie wprowadziliśmy ze względu na zagrożenie,
jakie stanowią wirusy z każdej z tych grup dla Windows NT . Wirusy
z pierwszej grupy były bardzo efektywne w kontakcie z systemem
operacyjnym DOS czy Windows 3.x. Ponieważ w tych systemach
wszystkie aplikacje współdzieliły ze sobą przestrzeń pamięci
operacyjnej, która była w

pełni dla nich dostępna, wirusy

umieszczane w pamięci z łatwością dołączały swoje kopie do
wszystkich uruchamianych programów. Następowało to zazwyczaj
poprzez przechwytywanie wywołań DOS-u i

umiejętne

manipulowanie nimi. Sytuacja uległa zmianie wraz z pojawieniem
się systemu NT w wersji 3.5. T utaj aplikacje 16-bitowe mogły być
uruchamiane jak poprzednio - w obszarze pamięci współdzielonej
z innymi aplikacjami 16-bitowymi lub też z wykorzystaniem 32-
bitowej, wirtualnej maszyny DOS-u - VDM (Virtual DOS Machine).
Domyślnie, wszystkie aplikacje 16-bitowe wykonywane są na bazie
jednej, współdzielonej takiej maszyny. Oznacza to, że wirusy
lokalizujące swoją kopię w pamięci operacyjnej, w pracy z Windows
NT mogą zainfekować jedynie programy 16-bitowe, uruchamiane
we wspólnym obszarze pamięci. Nie są one w stanie zaszkodzić
w żaden sposób aplikacjom 32-bitowym, a także 16-bitowym,
uruchamianym z wykorzystaniem ich własnych wirtualnych maszyn
DOS-u.

Sytuacja wygląda nieco inaczej w

odniesieniu do wirusów

zaliczanych do drugiej z wymienionych grup. Mają one zazwyczaj
postać kodu dołączanego do innych, normalnych programów
użytkowych czy też narzędzi. Do rozprzestrzeniania takich wirusów

Wirusy w Windows NT

1223

niezbędne jest uruchomienie programów je zawierających. Ze
względu na ich postać, wirusy z tej grupy często nazywane są
„koniami trojańskimi”. Może oczywiście się zdarzyć, że jakiś wirus
stosuje obie metody rozprzestrzeniania, nie jest to jednak
przypadek częsty. Zazwyczaj wirusy z

tej grupy dokonują

manipulacji na plikach dyskowych. W ten sposób dołączają one
swój kod do kodu innych programów czy wręcz zastępują ich kod
własnym. Niestety system NT jest niezwykle podatny na wirusy
z tej grupy. Powinniśmy więc unikać nieznanych programów,
ograniczając ponadto do minimum operacje przeprowadzane
z konsoli systemowej oraz dostęp innych użytkowników poprzez
sieć. Należałoby również zaopatrzyć się w skuteczne programy
antywirusowe, pozwalające na stwierdzenie infekcji i jej usunięcie.

Wirusy przeznaczone dla systemu Windows 3.x (16-bitowe)

Istnieje grupa wirusów, specjalnie stworzonych dla środowiska
Windows 3.x. Część z nich, i to niestety dość znaczna, jest w stanie
zagrozić systemowi NT .

Wirusy przeznaczone dla systemu Windows 3.x mogą bezpośrednio
zarazić jedynie programy 16-bitowe, uruchamiane w

oparciu

o wspólną, wirtualną maszynę dla DOS-u. Wirusy z tej grupy mogą
również dokonywać zmian w plikach dyskowych, jeśli tylko nie
wymagają w tym celu bezpośredniego dostępu do sprzętu i bieżący
użytkownik ma prawo modyfikować pliki, które zostały wybrane
przez wirusa jako cel ataku.

Wirusy przeznaczone dla Windows NT

W chwili pisania tej książki nie znane były wirusy, stworzone
specjalnie z przeznaczeniem dla systemu Windows NT . Oznacza to,
że albo takie wirusy nie zostały jeszcze napisane, albo też że
napisano wirusy na tyle nieudolne, że nie były one w stanie się
rozpowszechnić.

Wirusy przeznaczone dla Windows NT mogą przyjmować wiele
różnorakich form. Mogą mieć postać programów obsługi urządzeń,
bibliotek DLL, czy w końcu zwykłych programów wykonywalnych.
Ponieważ pod każdą z wymienionych postaci wcześniej czy później

1224

Dodatek B

dochodzi do uruchomienia wirusa, szanse na jego rozprzestrzenianie
są duże.

W celu zabezpieczenia się przed ewentualnymi infekcjami dobrze
jest ograniczyć liczbę osób wykorzystujących konsolę systemową
i ustalić dla nich zakres akcji i reguły pracy.

M akrowirusy

Piątą grupą wirusów, na które chcemy zwrócić uwagę, są
makrowirusy. Do niedawna, poziom makrojęzyków dołączanych do
wielu popularnych aplikacji uniemożliwiał tworzenie groźnych
wirusów. Jednakże obecnie, wiele z

bardziej zaawansowanych

aplikacji ma wbudowane możliwości programowe, pozwalające im
współzawodniczyć z niejednym dużym systemem do tworzenia
oprogramowania. W

konsekwencji możemy się liczyć

z pojawieniem się wirusów nowego typu - tak jak to miało miejsce
dla Microsoft Word (wirusy Word Concept i Word Nuclear). Są to
wirusy, które rozprzestrzeniają się infekując dokumenty zapisane
w

formacie Microsoft Word. Po otwarciu zainfekowanego

dokumentu przez nie zainfekowaną instalację Worda, zostaje ona
zainfekowana i od tej pory wszystkie tworzone czy modyfikowane
w niej dokumenty, również będą zarażane.

Makrowirusy mogą mieć postać wieloplatformową. Word Concept
uważany jest za pierwszy wirus wieloplatformowy, ponieważ jest on
w stanie rozprzestrzeniać się zarówno w systemie Windows, jak
i Macintosh.

Dodajmy na koniec, że ponieważ w

przypadku większości

makrojęzyków możliwe jest przekazywanie kontroli do
zewnętrznych powłok (takich jak COMMAND.COM czy
CMD.EXE)

, przed makrowirusami stoją nieograniczone

możliwości.

Dodatkowe sposoby zabezpieczania przed wirusami

Podstawowym narzędziem w walce z wirusami komputerowymi są
programy antywirusowe. Nie zawsze są one jednak skuteczne. Na
szczęście istnieją jeszcze inne metody, zmniejszające ryzyko

Wirusy w Windows NT

1225

zarażenia wirusami lub dające nam możliwość odtworzenia
utraconych danych wskutek ewentualnej infekcji.

Kopie archiwalne

W rozważaniach na temat zapobiegania wirusom nie możemy
pominąć bardzo istotnego elementu - dobrze zorganizowanego
systemu kopii archiwalnych. Niezależnie od stosowanego programu
antywirusowego, nie możemy wykluczyć ataku wirusa i ewentualnej
utraty danych. System kopii archiwalnych stanowi doskonałe
i niezbędne uzupełnienie funkcji programów antywirusowych.

Opracowując strategię tworzenia kopii archiwalnych powinniśmy
pamiętać, iż:

!

Większość wirusów (z wyjątkiem wirusów sektora ładowania

początkowego) lokuje się wewnątrz standardowych plików. Przy
kopiowaniu plików zainfekowanych, kopiowany jest też
oczywiście wirus. Oznacza to, że odtwarzanie plików z tak
zrobionej kopii obejmuje również wirusy. Stąd też, po
każdorazowym odtwarzaniu plików należy sprawdzać, czy
przypadkiem nasz system nie został ponownie zainfekowany.

!

T aśmy przeznaczone dla kopii archiwalnych nie powinny być

kasowane zbyt szybko. Np. tygodniowy okres stosowania taśm -
dla wykrycia ewentualnej infekcji - może się okazać
niewystarczający. W kolejnej kopii archiwalnej może zostać
bowiem umieszczony wirus, uniemożliwiając nam odtworzenie
nie zainfekowanej wersji plików.

Więcej informacji na temat kopii archiwalnych zawiera rozdział 23.

T worzenie awaryjnego dysku startowego. Jeśli nasz system NT
został zaatakowany przez wirus głównego rekordu
wprowadzającego, najprawdopodobniej nie będzie w stanie nawet
wystartować. Jeśli główny rekord wprowadzający naszego dysku
systemowego został zainfekowany, Windows NT wciąż można
uruchomić poprzez awaryjny dysk startowy. Wiadomo, że gdy NT
zostanie już uruchomiony, wirusy sektora ładowania początkowego
nie są w stanie wyrządzić żadnych nowych szkód (podkreślamy
wyraźnie, że dotyczy to jedynie wirusów sektora ładowania
początkowego). Natomiast wirusy innych typów mogą w nim „siać

1226

Dodatek B

spustoszenie” nawet po uruchomieniu. Musimy więc pamiętać, aby
po awaryjnym uruchomieniu systemu NT bezzwłocznie przystąpić
do lokalizacji i usunięcia wirusów (przed tą operacją sugerujemy
wykonanie jego kopii zapasowej).

Rozdział 23 omawia tworzenie awaryjnej dyskietki startowej dla
Windows NT Server.

Uaktualnianie awaryjnego dysku naprawczego

Awaryjny dysk naprawczy zawiera najważniejsze pliki, decydujące
o wyglądzie naszego systemu NT . Zawiera on fragmenty systemu
inicjującego, a także ważniejsze części składowe rejestru (Registry).
W

przypadku infekcji wirusowej, zakłócającej start systemu,

aktualna wersja awaryjnego dysku naprawczego może wyświadczyć
nam - przy jego przywracaniu do stanu sprzed infekcji -
nieocenione usługi. Do stworzenia nowego awaryjnego dysku
naprawczego (lub uaktualnienia posiadanego) posłuży nam program
RDISK.EXE

. (temat ten omówiony został w rozdziale 23).

Powinniśmy być świadomi różnic pomiędzy awaryjnym dyskiem
naprawczym a jego startowym odpowiednikiem - awaryjny dysk
startowy zawiera kluczowe części składowe, umożliwiające
rozpoczęcie ładowania systemu do pamięci i przekazanie kontroli
właściwej wersji systemu NT . Nie obejmuje on elementów rejestru,
przydatnych przy odtwarzaniu „zepsutego” systemu. Awaryjny
dysk startowy pomocny może być w sytuacji, gdy (z jakiś
powodów) niedostępna będzie informacja wprowadzająca
o lokalizacji uruchamianej wersji systemu NT . Aby skorzystać
z awaryjnego dysku naprawczego, trzeba uruchomić komputer
z instalacyjnego dysku systemu NT i wybrać (z dostępnego menu)
opcję odbudowy systemu.

System plików NTFS

NT FS, z

poprawnie zaimplementowanym systemem

bezpieczeństwa, może nam pomóc w walce z rozprzestrzeniającymi
się wirusami. Pozwala on bowiem ograniczać prawa dostępu
użytkowników do poszczególnych plików i kartotek. Niestety, NT
nie jest w stanie zabronić dostępu do partycji FAT i HPFS

Wirusy w Windows NT

1227

z poziomu systemu lokalnego. Przy zdalnym dostępie do dysków
FAT i HPFS, prawa dostępu mogą zostać ustalone jedynie dla
całych, jednocześnie udostępnionych obszarów. Jeśli użytkownik
wymaga prawa zapisu do jakiegoś pliku z danego obszaru, musi ono
zostać przydzielone dla całego obszaru zawierającego dany plik.
W systemie NT FS możemy ograniczyć danemu użytkownikowi
prawo zapisu we wszystkich plikach w systemie - za wyjątkiem tego
pliku, dla którego prawa tego potrzebuje.

Rejestrowanie się w systemie z poziomu kont
nieuprzywilejowanych

Jeśli chcemy sobie zapewnić maksymalną ochronę przed infekcją
przez wirusy typu „koni trojańskich” (wcześniej omawianych), nie
powinniśmy stosować uprzywilejowanych kont użytkowników,
jeżeli naprawdę tego nie potrzebujemy. Wirus typu „koń trojański”
ma po uruchomieniu równe z nami przywileje. Jeśli więc używamy
konta nieuprzywilejowanego, pole manewru wirusa jest znacznie
ograniczone. Dla przykładu - gdy korzystamy z

konta

uprzywilejowanego, wirus może (potencjalnie) utworzyć nowe
konto użytkownika i nadać mu prawa administratora. Dzięki niemu
może on głębiej wniknąć w

system i

dokonać poważnych

uszkodzeń.

Jeśli używamy konta uprzywilejowanego, nie powinniśmy
uruchamiać innych programów (niż standardowe narzędzia do
zarządzania systemem i ewentualnie inne narzędzia o znanym
pochodzeniu, którym możemy zaufać!).

Ostrzeżenie: Niezmiernie łatwo jest stworzyć makro w języku
WordBasic czy Visual Basic, które dokonuje zmian w bazie
użytkowników systemu NT. Dlatego też powinniśmy być ostrożni
nawet przy wczytywaniu (wyglądających niewinnie na pierwszy rzut
oka) plików, do takich aplikacji jak Microsoft Word czy Excel. Dla
dodatkowej ochrony należy korzystać z przeglądarki Word Viewer
albo zabronić automatycznego wykonywania makr w programach
stosujących makra.

1228

Dodatek B

Rozwój wirusów komputerowych

Należy się spodziewać, że wirusy komputerowe, pojawiające się
w przyszłości, będą przyjmować coraz bardziej wyszukane formy.
Coraz bardziej zaawansowane narzędzia wspomagające tworzenie
oprogramowania wieloplatformowego i

istniejące schematy

konstrukcji wirusów powodują, że nawet osoby o niewielkiej wiedzy
programistycznej są w stanie stworzyć groźne wirusy komputerowe.
Dodatkowe możliwości przenikania wirusów do naszego środowiska
są m.in. efektem stosowania makr, środowisk interakcyjnych
online itp.

Programy antywirusowe

W przeciwieństwie do MS-DOS czy Windows 3.x, pakiet systemu
Windows NT nie zawiera programu antywirusowego. Co więcej - jak
dotąd, dla środowiska NT opracowano niewiele pakietów antywiru-
sowych.

Sposoby oceny pakietów antywirusowych

Rozważając zakup pakietu antywirusowego dla naszego NT ,
powinniśmy sobie odpowiedzieć na kilka pytań:

!

Czy dany pakiet został opracowany z przeznaczeniem

dla Windows NT? Najlepiej byłoby, aby używany przez nas
pakiet antywirusowy był stworzony specjalnie dla Windows NT .
Możemy także pomyśleć o

16-bitowych pakietach,

stworzonych dla systemu DOS czy też Windows, które (lepiej
czy gorzej) radzą sobie z wirusami w środowisku NT .

!

Czy można go uruchomić w postaci usługi? Program

antywirusowy powinien zapewniać możliwość uruchomienia
w formie usługi w Windows NT . Zyskamy w ten sposób większą
elastyczność przy konfiguracji systemu. W innym przypadku
w systemie zawsze będzie musiał być zarejestrowany jakiś
użytkownik, z

poziomu którego program taki byłby

uruchamiany.

!

Czy przeznaczony jest do działania na stacji roboczej,

czy też na serwerze? Największy poziom bezpieczeństwa

Wirusy w Windows NT

1229

zapewnia pakiet funkcjonujący zarówno na serwerze, jak i stacji
roboczej. Wynika to z faktu, iż serwer NT dostarcza usług
plikowych użytkownikom pracującym w sieci. Potrzebujemy
więc programu antywirusowego, który w

sposób ciągły

„przeglądałby” pliki dyskowe wykorzystywane przez
użytkowników. Wiele z programów antywirusowych dysponuje
opcją rejestracji takich przeglądów plików zapisywanych
i odczytywanych w systemie, jak i jego reakcji po znalezieniu
wirusa. Serwer NT pełni też funkcje stacji roboczej. T utaj
potrzebować będziemy programu antywirusowego, który
zapewni nam bezpieczeństwo, gdy ktoś zarejestruje się
w systemie z poziomu konsoli serwera NT . Najlepiej byłoby, aby
taki program automatycznie przeglądał wszystkie dyski
instalowane w

systemie przez użytkownika działającego

z poziomu konsoli serwera, a także - aby robił to samo
z wszystkimi programami uruchamianymi z konsoli. Powtórzmy
tu jeszcze raz to, o czym mówiliśmy wcześniej: jeśli jesteśmy
zarejestrowani w systemie jako administrator i uruchomimy
program zawierający wirusa, będzie on operować mając
wszystkie przywileje administratora.

!

W jaki sposób opłacana jest licencja danego produktu?

W

przypadku niektórych pakietów antywirusowych

przeznaczonych dla NT musimy wnosić opłatę licencyjną dla
każdej instalacji na nowym serwerze. Niektóre wymagają
wnoszenia takich opłat za każdą nową stację roboczą,
współpracującą z serwerem. Skuteczny system zabezpieczenia
antywirusowego może być naprawdę kosztowny.

!

W jaki sposób program antywirusowy ingeruje w system

bezpieczeństwa naszego systemu komputerowego?
Należy zdawać sobie sprawę, że każdy program antywirusowy
wymaga - dla realizacji swoich zadań - większych bądź
mniejszych przywilejów. Większość programów
antywirusowych, które mogą działać w systemie NT jako usługi,
tworzy dla siebie specjalne konto użytkownika. Powinniśmy
wiedzieć, jakich praw takie specjalne konto wymaga, i jak się to
ma do stosowanego przez nas systemu bezpieczeństwa.

!

Przed jakimi wirusami zabezpiecza? Producenci

oprogramowania antywirusowego dbają z reguły o to, aby ich

1230

Dodatek B

produkty radziły sobie z

najnowszymi wersjami wirusów.

Niestety, żaden program nie jest w stanie wykryć i unicestwić
wszystkich działających wirusów. I

tak np. wciąż niewiele

programów antywirusowych jest w stanie zwalczać makrowirusy,
takie jak np. wieloplatformowy Word Concept (atakujący
dokumenty edytora Microsoft Word). T o samo można
powiedzieć o wirusach przeznaczonych dla Macintosha. Może to
mieć kluczowe znaczenie wtedy, gdy nasz serwer NT dostarcza
usług plikowych klientom Macintosha.

!

Jakie są jego wymagania sprzętowe? T rzeba pamiętać, że

wiele z dostępnych pakietów antywirusowych działa poprawnie
jedynie na platformach z

procesorami Intela. Fakt ten

powinniśmy uwzględnić zwłaszcza wtedy, gdy nasz NT Server
działa na innej platformie.

Lista programów antywirusowych dla Windows NT

Poniżej zamieściliśmy listę najpopularniejszych pakietów
antywirusowych, stworzonych z myślą o Windows NT .

Symatec, http://www.symatec.com
Nazwa produktu: Norton AntiVirus (NAV) dla Windows NT

McAfee, http://www.McAfee.com
Nazwa produktu: VirusScan dla Windows NT

S&S International PCL, http://www.drsolomon.com
Nazwa produktu: Dr. Solomon's Anti-Virus Kit dla Windows NT

Sophos, http://www.sophos.com
Nazwa produktu: SWEEP

IBM Corporation, http://www.brs.ibm.com
Nazwa produktu: IBM AntiVirus

Data Fellows, http://www.datafellows.com
Nazwa produktu: F-PROT Professional dla Windows NT

Intel Corporation, http://www.intel.com
Nazwa produktu: LANDesk Virus Protect dla Windows NT

Carmel Software Engineering, http://fbsolutions.com
Nazwa produktu: Carmel Anti-Virus dla Windows NT

Wirusy w Windows NT

1231