В представлениях многих пользователей файлы формата RTF (Rich Text Format) считаются чуть ли не панацеей от навязчивых макро-вирусов, как, впрочем, и любых других разновидностей вредоносных кодов. Многие антивирусные компании рекомендуют вообще отказаться от стандартных файлов MS Word (DOC). Действительно, RTF-файлы не могут содержать макро-программ (макросов) в явном виде: в случае конвертации (стандартными средствами) из других форматов, макросы автоматически удаляются. Однако подобная идеализация RTF имеет другую сторону: пользователи теряют бдительность и игнорируют основные правила безопасности, работая c документами формата RTF.
Rich Text Format является самым распространенным стандартом представления графических и текстовых данных. Его поддерживают практически все текстовые редакторы, работающие на самых разнообразных типах процессоров и операционных системах. RTF-файл, созданный на PC-совместимом компьютере под управлением Windows, можно без труда прочитать на Apple Macintosh под MacOS.
Структура стандартного RTF-файла представляет собой последовательность секций данных, заключенных в специальные метки (тэги), которые указывают программе-обработчику начало или конец секции. Данные могут быть самых разных типов: текстовые блоки, графические объекты, таблицы и даже выполняемые файлы и др.
При запуске RTF-файла обработчик просматривает его содержимое и автоматически выполняет все известные ему секции и пропускает незнакомые. Более того, структура RTF подразумевает возможность безболезненного введения новых видов секций, необходимых пользователю для выполнения специфических задач. Причем эти новые секции не будут влиять на общую работоспособность программы в других приложениях.
Однако в бочке меда, называемом стандартом RTF, не обошлось без ложки дегтя. Даже двух.
Во-первых, наиболее распространенный обработчик RTF-файлов, текстовый процессор Microsoft Word, как и многие другие приложения и операционные системы не избежал брешей в системе безопасности. 21 мая 2001 г. компания Microsoft опубликовала сведения об очередной «дыре», которая позволяет незаметно для пользователей запускать из RTF-файлов макро-вирусы.
Как известно, макро-вирусами называются вредоносные макросы, способные производить различные действия без разрешения пользователя, в том числе внедряться в другие файлы. Макросы могут содержаться непосредственно в самих документах (или шаблонах) или загружаться из других источников при помощи ссылок. В обоих случаях, MS Word должен автоматически показывать предупреждение о содержащихся в документе неизвестных макросах, которые могут оказаться вирусами.
Однако оказалось, что эта защита не работает в RTF-файлах. Таким образом, злоумышленники могут записать в документ ссылку на удаленный web сайт, содержащий шаблон, зараженный макро-вирусом. При чтении RTF-файла MS Word автоматически и без каких-либо предупреждений загрузит этот шаблон и незаметно запустит вирус. При этом автор вируса может в любое время модифицировать хранящийся на web сайте файл и придать ему дополнительную функциональность.
К счастью, Microsoft уже выпустила дополнение, исправляющее эту ошибку в системе безопасности Word. И хотя до сих пор не было обнаружено ни одного вредоносного кода, использующего данную брешь, «Лаборатория Касперского» рекомендует загрузить «заплатку» с сайта компании и как можно быстрее установить, поскольку история уже знает достаточно случаев нерасторопности пользователей. В начале 1999 г. была обнаружена точно такая же брешь в обработчике DOC-файлов MS Word. А первый вирус (ATU), созданный известным австралийским хакером под псевдонимом «1nternal» и использовавший ее для своего проникновения на компьютеры появился уже через два дня после выхода «заплатки». Естественно, его распространенность была обязана откровенной пассивности пользователей, поленившихся установитьдополнения для используемого ПО.
Вторая ложка дегтя, которая призвана развеять миф о безопасности RTF-файлов, состоит в том, что они могут содержать самые обычные выполняемые файлы. Однако для их активизации пользователь должен обязательно запустить ссылку, присутствующую в тексте RTF-документа. В последнее время такой метод проникновения на компьютеры становится все более популярным среди создателей Троянских программ. Вместо обычных EXE-файлов, которые у всех сразу же вызывают подозрение, вирусописатели используют неосведомленность пользователей о скрытых угрозах RTF-файлов, рассылая RTF-документы, демонстрирующие заманчивые тексты и предлагающие всего лишь кликнуть на маленькую иконку в теле текста. При этом иконка может носить совсем безобидные названия и даже не иметь расширения.
Сразу же после ее запуска MS Word передает содержащийся в RTF-файле бинарный код операционной системе, которая автоматически определяет тип файла, проверяет таблицу ассоциаций и передает программу на выполнение соответствующему обработчику. В случае VBS-файла, это будет Windows Scripting Host, EXE-файла — командный процессор Windows и т.д. В итоге пользователь может стать жертвой тех же LoveLetter или Чернобыля, но внедренных в RTF-документ.
RTF или не RTF?
Главной целью этой статьи является описание опасностей, которые поджидают пользователей в работе с документами в формате RTF и рекомендация наиболее безопасного способами обращения с ними.
Если в целом оценивать уровень безопасности DOC и RTF файлов, то следует признать, что в первом случае он гораздо ниже. Файлы формата DOC также могут нести в себе внедренные выполняемые файлы, запускающиеся одним нажатием на соответствующую иконку. Вместе с тем, они могут содержать макро-вирусы — одну из наиболее распространенных разновидностей вредоносных программ. И уж если выбирать между этими двумя форматами, то мы все же рекомендуем RTF. Однако при работе с данным стандартом важно соблюдать следующие правила:
- своевременно устанавливайте «заплатки» к используемым текстовым редакторам, особенно, если они касаются работы с RTF-документами.
- обязательно проверяйте RTF-документы антивирусными программами с последними обновлениями антивирусных баз данных.
- ни в коем случае не запускайте содержащиеся в RTF-документах прямые ссылки на какие бы то ни было файлы.
Ссылки по теме:
Обманчивая безопасность RTF-файлов