home *** CD-ROM | disk | FTP | other *** search

---

/ Tech Arsenal 1 / Tech Arsenal (Arsenal Computer).ISO / tek-06 / an007b.zip / AN007B.TXT

< prev

Wrap

Text File  |  1991-01-10  |  26KB  |  550 lines

---

1. An Overview of Virus Prevention Strategies in a NetWare Environment
2.  
3.  Cort Ouderkirk
4.  Consultant
5.  Systems Engineering Division
6.  
7.  Drew F. Jackman
8.  Associate Consultant
9.  Systems Engineering Division
10.  
11. Abstract: 
12.  
13. Computer viruses have been classified as the latest terrorist attack.
14. Strategies such as the use of detection programs and corporate policies
15. that deal with this threat are a must. In a NetWare environment; there
16. are several inherent virus protection facilities, including significant
17. password restrictions, directory rights, file attributes and supervisor
18. restrictions. These facilities, combined with good security strategy and
19. thorough implementation will greatly reduce the odds of a computer virus
20. infection.
21.  
22. Introduction
23.  
24. With the recent conviction of Robert Morris (1988 Internet Worm), and the
25. increased number of computer viral infections, network managers have been
26. forced to confront greater network security issues. This AppNote
27. addresses issues that relate to the NetWare operating system and virus
28. infections. These issues include general infection prevention strategies,
29. built-in NetWare protection, and detection and elimination strategies.
30.  
31. Although much attention has been given to viruses, it is not the intent
32. of this AppNote to give viruses any more attention than necessary, but we
33. do want NetWare users to be aware of how they can protect themselves
34. against undesired attacks.
35.  
36. A virus is a computer program that attaches itself and becomes a parasite
37. to a computer system. The virus causes the computer system to react in
38. ways not originally intended. This can range from harmless but annoying
39. messages displayed on the screen to very destructive programs that attack
40. computer data.
41.  
42. The most common type of virus attaches itself to .COM and .EXE files or
43. the boot sector track of a bootable disk. The virus may also try to
44. infect and invade other parts of the computer system, including other
45. executable programs and bootable disks. Once a virus enters a system it
46. can be difficult to determine what damage has been done and how many
47. programs or data files may be infected.
48.  
49. Although some viruses are difficult to detect, viruses that proceed
50. undetected may exhibit one or more of the following symptoms.
51.  
52. *    The changing of a volume label, or file size and date
53.  
54. *    An unwarranted number of bad sectors on a disk. Some viruses hide
55.      themselves in fake bad sectors
56.  
57. *    A floppy disk drive light being on when the default directory is not
58.      on that drive
59.  
60. *    A major system slow down, but this could also be a hardware problem.
61.  
62. *    The changing of read-only flags to read-write, or printed copies
63.      with mysterious character changes.
64.  
65. By the time these symptoms are noticed, the damage may already be done.
66.  
67. The best way to deal with a computer virus is to avoid it completely. The
68. best corrective medicine is prevention. The following sections outline
69. the access points of possible network infection and the strategies
70. network managers can use to secure their network against these new
71. industrial terrorists in the workplace.
72.  
73. Network access points
74.  
75. Diskettes
76.  
77. The first and most common access point is the floppy disk drive. This is
78. where unsuspecting users can initiate the most harm. Floppy disk drives
79. include the use of shrink-wrapped software, public domain or shareware
80. packages, and personal diskettes (user diskettes from home). All of these
81. diskettes should be checked for viruses before being used.
82.  
83. Even with commercial packages care must be taken to avoid the spread of
84. viruses. All software on a network should come from reliable dealers or a
85. reliable source. All software packages should be in the original
86. packaging. Many software manufacturers are concerned about viruses and
87. are using the suggestions reproduced in this report.
88.  
89. Public domain and shareware packages also concern network managers. There
90. are two ways for a manager to confront this type of software. They could
91. restrict it completely, making a policy that no public domain or
92. shareware packages be used on the network. But this limits the use of
93. many good programs. The second possibility is to establish a screening
94. policy that checks all software coming into a company network. This
95. policy could include virus protection programs or trying the software on
96. an isolated machine or network for a period of time. Either of these
97. policies require that an implementation plan be devised by the manager.
98. These techniques are also recommended for shrink-wrapped software and
99. personal diskettes.
100.  
101. Always use working copies of the software. Never use the original
102. diskettes unless an infection occurs. Keep the original diskettes in a
103. secure place. Additionally, all originals and working copies (including
104. boot diskettes) should always be write-protected.
105.  
106. Modem connections
107.  
108. Another access point to monitor is the modem connections on the LAN.
109. Reliability is a key factor. A reliable bulletin board must be used and
110. the down-loaded software must be inspected using the same procedure that
111. is used when other public domain or shareware products come into a
112. network. A reliable bulletin-board would be one that is concerned about
113. the spreading of viruses, and has a system for checking the software
114. placed on it.
115.  
116. Hard disks
117.  
118. When using a system with a hard disk always boot from the hard disk
119. rather than from a floppy disk. This will help eliminate the chance of
120. getting a boot sector virus on a workstation. When installing a new hard
121. disk, always format it before using it. There have been cases where
122. viruses were found on new hard disks.
123.  
124. Prevention strategies
125.  
126. LAN backups
127.  
128. A reliable LAN backup strategy cannot be overlooked, virus or no virus.
129. Sooner or later the hardware, software, users or virus infection will
130. cause the LAN to fail. The robustness of the backup system will determine
131. how quickly the LAN supervisor will be able to restore the LAN to its
132. full operation. If the backup storage rotation can be easily followed
133. back beyond the time of failure, and the restoration procedure is
134. thorough, a minimal amount of data will be lost. For more information on
135. the specifics of LAN backup procedures see Network Backup by Paul Turner
136. and Bob Jones, available through the normal Novell distribution channels.
137.  
138. Diskless workstations
139.  
140. Most viruses enter a computer system through the use of diskettes. One
141. method of stopping this invasion is to install diskless workstations on
142. the LAN.
143.  
144. Virus detection programs
145.  
146. There are numerous utilities available for detecting and eliminating
147. viruses. Some of these programs are terminate and stay resident (TSR)
148. programs that check all incoming executable programs and stop infected
149. programs from executing on the local machine. Network versions are
150. available which are capable of searching a network's virtual drives. Some
151. of the virus-detection programs also include utilities to disinfect an
152. infected system.
153.  
154. Users of virus detection programs should know that viruses are extremely
155. hard to detect, and there is no general virus detection program. All
156. detection programs only check for known viruses (Burger 1988). This is a
157. very effective method since most new viruses are just revisions of an
158. old, previously written virus. However, the probability still exists that
159. a new virus will not be detected by these programs. Virus detection
160. programs may slow down the boot-up process and execution times and may
161. also use some of the system interrupts.
162.  
163. The following is a list of virus products, though it is not exhaustive.
164.  
165. Software package              Company             Phone
166.  
167. Quarantine                    OnDisk Software     (212) 254-3557
168.  
169. Anti-Virus Kit                1stAid Software     (617) 783-7118
170.  
171. SiteLock                      Brightwork Dev. Inc.(201) 544-9258
172.  
173. Viruscan, Scanres, Netscan    McAfee and Assoc.   (408) 988-3832
174.  
175. Virus-Pro                     Intl. Security Tech.(212) 288-3101
176.  
177. Certus                        Foundation Ware     (216) 752-8181
178.  
179. User education
180.  
181. One of the most important strategies of network management is to educate
182. all the network users about known symptoms and harmful effects of
183. viruses. Even with all of the above precautionary steps in place, there
184. is no guarantee that a virus will not infect your network. Viruses will
185. not go away. But, if users are conscientious about using the access
186. points, the chances of avoiding a virus infection will increase.
187.  
188. NetWare security facilities
189.  
190. NetWare includes a robust set of security facilities that can prevent
191. viruses from infecting the network when implemented properly. NetWare
192. enforces network security, but the system supervisor is responsible for
193. setting up and maintaining proper security procedures.
194.  
195. An example of this is illustrated by an article written by Barry Gerber,
196. director of Social Science Computing at the University of California at
197. Los Angeles. One of the NetWare networks in his computer lab contracted a
198. virus and he said, -we soon realized that most of the damage had been
199. done by our staff when they logged in with supervisors' rights from lab
200. machines in which COMMAND.COM had become infected by students who brought
201. in their own infected programs." (PC Week April 1990). The following
202. information will help to avoid problems like this and will strengthen a
203. NetWare LAN's line of defense.
204.  
205. Password protection
206.  
207. A first line of defense against virus infection of a network is to ensure
208. that everyone has account restrictions and uses a password. Using a
209. password prevents unscrupulous users from getting access to the network,
210. reducing the likelihood of network infection. When users do not have
211. passwords or enforced account restrictions additional access points are
212. created for network virus infiltration.
213.  
214. The following are other password precautions:
215.  
216. 1)   Require each user to have a unique password.
217.  
218. 2)   Require users to change the password periodically.
219.  
220. 3)   Make passwords conform to a minimum length standard.
221.  
222. 4)   Lock the account if the user fails to log in correctly within a
223.      maximum number of tries.
224.  
225. These precautions will make a network more secure. If users are required
226. to change their passwords often and make each new password different from
227. previous passwords, it will be more difficult for an intruder to break
228. into the network. Adding an additional character to a password increases
229. the possible combinations exponentially. Make sure users have passwords
230. that conform to a minimum length. Locking an account keeps password
231. breaking programs from repeatedly trying to break in.
232.  
233. Users should also be restricted from including any portion of their
234. account name or full name in their password. This means that user names
235. should not be used in any form, either spelled backwards, doubled or run
236. together. Users should not be allowed to use other personal information
237. for passwords, such as job title, wife's name, children's names, street
238. address or other information which may be easily found or guessed.
239.  
240. Disk format
241.  
242. NetWare has added extended security features to the DOS directory
243. structure and file attributes. Because of these features, the format of
244. the data that is laid down on the boot track of the NetWare disk is
245. different from that on DOS disks. With this difference, viruses that
246. infect the boot track on a DOS machine will not affect a NetWare disk.
247. Since NetWare is a server operating system and is remote from the
248. workstations it is harder for boot sector viruses to infect the server.
249. The virus would have to do its damage before the file server is booted.
250. As long as the disks used to configure a file server do not become
251. contaminated, a boot sector virus would not be able to penetrate the file
252. server boot area.
253.  
254. File attributes
255.  
256. NetWare has added security extensions to file and directory attributes
257. which make its disk format incompatible with the DOS format. These
258. security extensions are a part of NetWare which not only help protect the
259. server from being corrupted, but also protect executable files and data
260. files from becoming infected by a virus. Security rights control which
261. directories, subdirectories and files a user can access and what the user
262. is allowed to do with those directories, subdirectories and files.
263.  
264. File attributes, or flags as they are frequently called, give additional
265. information about a file other than its name. For example, a file can be
266. given the attribute of read-only so you cannot accidentally copy over the
267. file, modify it or delete it. The flags common to both 286-based NetWare
268. and NetWare 386 that aid in stopping a virus from infecting a file are:
269.  
270. Read-Only      Prevents a file from being written to or modified
271.  
272. Execute-Only   Prevents an executable file from being copied off the
273.                server
274.  
275. NetWare 386 specific flags include:
276.  
277. Copy Inhibit        Prevents the file from being copied
278.  
279. Delete Inhibit      Prevents the file from being deleted. This flag and
280.                     the rename inhibit flag are automatically set, when
281.                     the read-only flag is set
282.  
283. Rename Inhibit Prevents the file from being renamed
284.  
285. The most widely used flag and the best one for preventing a virus from
286. infecting an executable program is the read-only attribute. Since most
287. viruses attack executable files, flagging .COM and .EXE files as read-
288. only will prevent a virus from attaching itself to the file. This
289. prevention occurs because a user running the program only has read
290. rights. In order for a virus to attach itself to a program, the infected
291. user account must have write capabilities. If users have the ability to
292. write to a program, then the program is not safeguarded and has the
293. potential to become infected. These file attributes can be assigned with
294. the FLAG command. The syntax for using the FLAG command is:
295.  
296. FLAG filename attributes
297.  
298. For example, to give the login program the read-only attribute, the
299. syntax would be:
300.  
301. FLAG login.exe RO
302.  
303. After the read-only attribute has been given, the login program can only
304. be read and cannot be written to. Viruses that attach to executable
305. programs cannot attach to programs that are flagged as read-only unless
306. the user has the modify file attribute right. Typically, the flags on a
307. system executable file, such as LOGIN.EXE, should only be modifiable by
308. the system supervisor.
309.  
310. Directory rights
311.  
312. Effective rights are the rights a user can exercise in a given directory.
313. These are assigned by the system supervisor in the form of trustee
314. assignments which are given to specific users or groups of users. Trustee
315. assignments control which directories, subdirectories and files a user or
316. group can access, and what the user or group can do with them. There are
317. several rights a supervisor can grant for a directory, including read,
318. write, search and modify. Once the supervisor grants one or more of these
319. rights, the user or group may exercise that right in that directory and
320. its subdirectories.
321.  
322. The directory right of most concern for virus control is the Modify
323. right. This right allows the user or group to change the file attributes
324. for files in that directory or its subdirectories. If a user has modify
325. rights to a directory, a virus has the potential to change an executable
326. program from read-only to read-write and infect the file. However,
327. without the modify right in a directory, a virus cannot change a file's
328. read-only flag in that directory.
329.  
330. For example, if a user runs an infected program at a workstation. The
331. user's workstation becomes infected. The virus will now try to infect
332. every program the user runs. If one of those programs happens to be the
333. LOGIN.EXE program on the file server, the virus will try to infect
334. LOGIN.EXE even if it is flagged as read-only. If the user has modify
335. rights to the LOGIN directory, the virus could change the read-only flag
336. to read-write, and infect the LOGIN utility. If this occurs, everyone who
337. logs in to the network will become infected. In this way the infection
338. can spread very rapidly. Once the supervisor becomes infected, nothing on
339. the network is safe, and every program that is run can become infected.
340.  
341. Therefore, it is vital that only the supervisor have the modify right to
342. system files. It is also vital that the supervisor take care not to
343. become infected. Since the login program can cause many users to become
344. infected quickly, the supervisor may consider taking the command off the
345. network and putting it on each user's workstation. By doing this, the
346. spread of the virus would be slowed considerably. However, if the LOGIN
347. utility is flagged as read-only with only the supervisor having modify
348. rights, keeping the LOGIN utility on the network should be safe.
349.  
350. Supervisor account restrictions
351.  
352. On a NetWare server the supervisor has ultimate authority and can access
353. any program or database on the server. Because of this, the damage that
354. an infected supervisor account can do to the network is significant. To
355. safeguard against infection, the supervisor account should only be used
356. when necessary. No user should use the supervisor account as a general
357. working account but should only use the supervisor account when doing
358. system work.
359.  
360. To further protect the system, care should be given as to which and how
361. many users are given the supervisor account password and supervisor
362. equivalence. Supervisor equivalence can be as dangerous as the supervisor
363. account itself. The number of people who have the supervisor account
364. password or supervisor equivalence increases the entry points a virus has
365. to the network. Users should not be limited in the work they do, but most
366. do not need supervisor authority.
367.  
368. Another precaution is to limit the workstations the supervisor account
369. can log in from. By doing this, the supervisor account cannot be logged
370. into inadvertently on an infected station. This could happen if a user
371. brings in an infected program to run on a workstation. After a while the
372. user notices that the system isn't working correctly and calls the
373. network supervisor. The supervisor then logs in using the supervisor
374. account. When this happens the supervisor becomes infected and will
375. infect everything accessed. Every program the supervisor runs can become
376. infected and possibly data files will become contaminated. However, if
377. the number of workstations the supervisor can log in to is limited, this
378. mistake will not be made. We suggested that the supervisor account be
379. active for at least two workstations. This will allow the supervisor to
380. access the network if one of those workstations fail.
381.  
382. Another way to enhance system security and minimize the entry points a
383. virus has to the network is to limit the number of simultaneous
384. connections a supervisor account may have. Restrict this to one, so the
385. supervisor may only log in to one workstation at a time.
386.  
387. Elimination
388.  
389. If a virus infects a network, the manager's actions in treating the virus
390. are critical. This section suggests some ways to eliminate a virus that
391. has infected a LAN. These steps alleviate some of the panic that a virus
392. infection causes. This is a blanket repair approach taken from Computer
393. Viruses, A High-Tech Disease, by Ralf Burger, and will not fit all
394. network situations.
395.  
396. 1)   Turn off the system (including workstations) to prevent further
397. spread of the virus, and to destroy any memory resident viruses. Do not
398. warm boot the system computers, some viruses can survive a CTRL-ALT-DEL.
399.  
400. 2)   Disconnect all data transfer lines from the system. This isolates
401. the system from infecting other systems and keeps infection from
402. recurring while the system is being restored.
403.  
404. 3)   Write-protect all media that has not previously been protected. This
405. includes all notched diskettes, and all drives and magnetic tapes that
406. have write-protect switches.
407.  
408. 4)   Use the original version of the operating system to reboot the
409. system. It is possible that a virus has infected the backup or working
410. copies.
411.  
412. 5)   Save the system data and programs on new media. These can be used to
413. support damage claims, and may also give an idea where the virus
414. originally infected the system.
415.  
416. 6)   Format old media, a virus cannot survive a media format.
417.  
418. 7)   Use the original versions of all other software to restore system
419. packages. Make sure they are still write protected.
420.  
421. 8)   After the restoration, check all data for dependability. When proper
422. order has been restored, the data can be used.
423.  
424. 9)   If data consistency cannot be guaranteed, then use a backup copy
425. which will guarantee consistency.
426.  
427. 10)  Install detection software that will check the system in the future.
428. If unusual behavior continues, then contact a virus consulting firm for
429. help.
430.  
431. Another effective method for removing a virus is the use of commercial
432. disinfecting programs. Many of these programs can clean up infected
433. systems by removing just the virus code. Others clean up the system by
434. removing the infected software completely. Familiarity with a particular
435. package will be helpful in case of infection.
436.  
437. Conclusion
438.  
439. Knowing how viruses work, how they spread and the damage they can do
440. allows network managers to better secure their systems. By using good
441. management techniques in conjunction with NetWare security, a virus can
442. be prevented from entering and spreading throughout a network. As
443. networks continue to grow and involve all aspects of company's business,
444. the access points to a network increase. Therefore, to safeguard networks
445. and data on those networks, network managers must be willing to implement
446. these techniques before a virus enters their system.
447.  
448. Bibliography
449.  
450. Baker, Virginia E. Infectious Diseases. LAN Times (Dec. 1989).
451.  
452. Burger, Ralf. Computer Viruses: a High Tech Disease. Abacus. (Second ed.
453. 1988).
454.  
455. De Martin, Lawrence. How to Protect PCs from Viruses and Anti-Viral
456. Software. Connect. (Summer 1989).
457.  
458. Gerber, Barry. Sometimes -Abort, Retry" Means -Network Virus". PC Week.
459. (April 1990).
460.  
461. Hoffman, Patricia. Virus Information Summary List. (Feb. 1990).
462.  
463. Neff, Ken. Fifteen Preventive Measures. LAN Times. (Dec. 1989).
464.  
465.  
466. Cumulative Index
467.  
468. NetWare Application Notes
469.  
470. Novell Systems Engineering Division
471. Released Application Notes
472.  
473. To request additional NetWare Application Notes, contact your Authorized
474. NetWare Reseller, your Novell Field Sales Representative or Systems
475. Engineer.
476.  
477. Application
478. Note
479. Edition        Part Number              Title
480.  
481. June 1990      119-000010-001           286-Based NetWare v2.1x File
482.                                         Service Processes: The Final Word
483.  
484.                                         Novell NetWare and AT&T
485.                                         Integration
486.  
487.                                         NetWare Internal and External
488.                                         Bridge Performance Benchmarking
489.  
490. July 1990      164-000011-001           NetWare 386 System Messages:
491.                                         Disk, Memory and Accounting
492.  
493.                                         An Overview of Virus Prevention
494.                                         Strategies in a NetWare
495.                                         Environment
496.  
497.  
498. Compaq Application Notes (NetWare-related only)
499.  
500. Compaq Systems Engineering Department Released Application Notes
501.  
502. To request additional Compaq Application Notes, contact your Authorized
503. COMPAQ Computer Dealer or your Compaq Field Sales Representative.
504.  
505. Application         
506. Note           Document
507. Number         Control Number           Title
508. -------------------------------------------------------------------------
509. 1989
510.  
511. AN89-0002      191A/0489                Influence of Ethernet NICs on LAN
512.                                         Server Benchmarks
513.  
514. AN89-0003      192A/0489                DCA IRMALAN Gateways on Novell
515.                                         Ethernet/Token-Ring LAN
516.  
517. AN89-0008      114A/0689                Installation of Gupta
518.                                         Technologies SQLBASE in       
519.                                         Single and Bridged Token-
520.                                         Ring/Ethernet LAN             
521.                                         Environments
522.  
523. 1990
524.  
525. AN90-0002      122A/0290                Installation of Novell NetWare
526.                                         386 on the COMPAQ SYSTEMPRO
527.  
528. AN90-0003      223A/0390                RAM Cram Relief Using Expanded
529.                                         Memory Management Products
530.  
531. AN90-0004      224A/0390                Configuration of a Dataproducts 
532.                                         High-Speed Line Printer with
533.                                         COMPAQ Platforms
534.  
535. AN90-006       269A/0390                Novell 286-Based NetWare
536.                                         Installation on the COMPAQ
537.                                         SYSTEMPRO
538.  
539. AN90-0008      208A/0590                Use of COMPAQ-Product RAM Greater
540.                                         Than 16MB With Novell NetWare 386
541.                                         v3.0 
542.  
543. AN90-0009      209A/0590                Novell 286-Based NetWare to UNIX
544.                                         Connectivity Using Racal-Interlan
545.                                         TCP Gateway for Novell NetWare
546.  
547. AN90-0011      196A/0790                Emeral Tape Backup System for
548.                                         Novell 286-Based NetWare
549.  
550.