W szponach wirusa


Na dodatek pliki LNK, PIF i URL mogą być opatrywane dowolnymi ikonami (także tymi, które sugerują inny element docelowy), a ich rozszerzenia są domyślnie ukrywane przez system. Na przykład wywołanie wirusa może się mieścić w pliku KLIKNIJ_MNIE.TXT z ikoną zbioru tekstowego. Szkodnik ma więc ogromne możliwości kamuflażu, a na dodatek przechytrza użytkownika przemyślnymi chwytami psychologicznymi. Najbardziej mylące okazują się pliki z rozszerzeniem URL, gdyż wcale nie muszą być skrótami internetowymi. Jeśli w wierszu skrótu widnieje polecenie:

file:///

a za nim ścieżka do zasobów lokalnych lub sieci lokalnej, plik LNK może wskazywać na niebezpieczny plik, którego nie kliknąłbyś bez uprzedniego sprawdzenia. Jeśli obok nazwy pliku w oknie Eksploratora Windows (kolumna Typ w widoku Szczegóły) widnieje napis Skrót lub Skrót internetowy, nie uruchamiaj go, lecz kliknij prawym przyciskiem i wskaż polecenie Właściwości. Następnie sprawdź, jaki element zostanie przywołany w wyniku dwukrotnego kliknięcia skrótu.

W przypadku plików URL jest wyszczególniony w wierszu Adres URL (karta Dokument sieci Web), a w plikach LNK w wierszu Element docelowy na karcie Skrót. To samo dotyczy skrótów z rozszerzeniem WSH, które wprawdzie nie dają możliwości maskowania, lecz wskazują na pliki skryptów przetwarzane przez Host skryptów.

CHM, ISP, PDF i RTF

10. Teoretyczne ryzyko

Pliki CHM stanowią od pewnego czasu format zapisu zbiorów pomocy Windows. Wewnętrzne skróty pozwalają im (podobnie jak starszym plikom pomocy w formacie HLP) przywoływać kod wykonywalny spoza pliku, co kryje pewne ryzyko. Za przykład służy rzadko spotykany robak o nazwie BleBla. Pliki ISP to proste skrypty tekstowe do konfigurowania połączeń internetowych. Przed kilku laty ich opinia została nadszarpnięta, gdyż luka w systemie bezpieczeństwa Internet Explorera 3.0 dopuszczała przywoływanie dowolnych programów DOS i Windows. Obecnie nie słyszy się o podobnych niebezpieczeństwach. Dokumenty w formacie PDF uchodzą za bezpieczne, jeśli są przeglądane za pomocą Acrobat Readera. Teoretyczne niebezpieczeństwo zagraża podczas stosowania programu Acrobat Destiller, który pozwala tworzyć i modyfikować pliki PDF.

Jak odbierać pocztę i pobierać pliki bez ryzyka?

Rygorystyczny nakaz unikania plików każdego typu, o których mowa w artykule, odbiega całkowicie od realiów pracy w systemie - codziennego odbierania korespondencji, pracy w sieci lokalnej i w Internecie.

Niemniej jednak przed dwukrotnym kliknięciem pliku powinieneś zawsze poświęcać chwilę na dokładne sprawdzenie źródła, z którego pochodzi. Na przykład łatka do systemu bezpieczeństwa pochodząca rzekomo z Microsoftu, lecz oferowana w domenie nienależącej do tego producenta, okaże się prawdopodobnie pułapką. Zwiększ bezpieczeństwo swojego systemu, stosując się podczas odbierania korespondencji do pewnych zaleceń. Po otrzymaniu osobistego listu od znajomego, w którym mowa o załączniku z plikiem o określonej nazwie i zawartości, możesz zaufać załącznikowi na tyle, na ile ufasz nadawcy. Jeżeli treść wiadomości ma charakter indywidualny, jednak nie zawiera wzmianki o załączniku, mógł być wstawiony do listu bez wiedzy nadawcy. W tym wypadku warto nawiązać kontakt z wysyłającym i spytać o załącznik. Tak samo powinieneś się zachować, gdy otrzymasz pusty list z załącznikiem lub wiadomość bezosobową - nawet jeśli adresatem jest ktoś znajomy. Listy bezosobowe zawierające kuszące oferty lub obietnice należy traktować z ogromną rezerwą i podejrzliwością - nawet gdy adres nadawcy nakazuje przypuszczać, że zostały wysłane przez znaną firmę. Pamiętaj, że nietrudno wymienić rzeczywisty adres na fałszywy.

Skrypty SCF są w postaci tekstowej i zawierają proste polecenia powłoki Eksplorator. W przypadku tych plików jest niewielkie ryzyko, że akceptują nieudokumentowane i dotychczas nieznane polecenia.

Wirusy w dokumentach RTF (Rich Text Format), obrazkach czy plikach dźwiękowych należy (przynajmniej na razie) zaliczyć do eksperymentów o zerowej sile rażenia. Twórcy wirusów oczekują namacalnych skutków swojej pracy, a mogą je uzyskać, sięgając tylko do sprawdzonych metod.

Dlatego formaty plików wymienione w tej poradzie są bezpieczne - przynajmniej w konwencjonalnych zastosowaniach systemu.