home *** CD-ROM | disk | FTP | other *** search
/ Netware Super Library / Netware Super Library.iso / app_note / an007b / an007b.txt
Encoding:
Text File  |  1991-01-10  |  25.2 KB  |  550 lines
  1. An Overview of Virus Prevention Strategies in a NetWare Environment
  2.  
  3.  Cort Ouderkirk
  4.  Consultant
  5.  Systems Engineering Division
  6.  
  7.  Drew F. Jackman
  8.  Associate Consultant
  9.  Systems Engineering Division
  10.  
  11. Abstract: 
  12.  
  13. Computer viruses have been classified as the latest terrorist attack.
  14. Strategies such as the use of detection programs and corporate policies
  15. that deal with this threat are a must. In a NetWare environment; there
  16. are several inherent virus protection facilities, including significant
  17. password restrictions, directory rights, file attributes and supervisor
  18. restrictions. These facilities, combined with good security strategy and
  19. thorough implementation will greatly reduce the odds of a computer virus
  20. infection.
  21.  
  22. Introduction
  23.  
  24. With the recent conviction of Robert Morris (1988 Internet Worm), and the
  25. increased number of computer viral infections, network managers have been
  26. forced to confront greater network security issues. This AppNote
  27. addresses issues that relate to the NetWare operating system and virus
  28. infections. These issues include general infection prevention strategies,
  29. built-in NetWare protection, and detection and elimination strategies.
  30.  
  31. Although much attention has been given to viruses, it is not the intent
  32. of this AppNote to give viruses any more attention than necessary, but we
  33. do want NetWare users to be aware of how they can protect themselves
  34. against undesired attacks.
  35.  
  36. A virus is a computer program that attaches itself and becomes a parasite
  37. to a computer system. The virus causes the computer system to react in
  38. ways not originally intended. This can range from harmless but annoying
  39. messages displayed on the screen to very destructive programs that attack
  40. computer data.
  41.  
  42. The most common type of virus attaches itself to .COM and .EXE files or
  43. the boot sector track of a bootable disk. The virus may also try to
  44. infect and invade other parts of the computer system, including other
  45. executable programs and bootable disks. Once a virus enters a system it
  46. can be difficult to determine what damage has been done and how many
  47. programs or data files may be infected.
  48.  
  49. Although some viruses are difficult to detect, viruses that proceed
  50. undetected may exhibit one or more of the following symptoms.
  51.  
  52. *    The changing of a volume label, or file size and date
  53.  
  54. *    An unwarranted number of bad sectors on a disk. Some viruses hide
  55.      themselves in fake bad sectors
  56.  
  57. *    A floppy disk drive light being on when the default directory is not
  58.      on that drive
  59.  
  60. *    A major system slow down, but this could also be a hardware problem.
  61.  
  62. *    The changing of read-only flags to read-write, or printed copies
  63.      with mysterious character changes.
  64.  
  65. By the time these symptoms are noticed, the damage may already be done.
  66.  
  67. The best way to deal with a computer virus is to avoid it completely. The
  68. best corrective medicine is prevention. The following sections outline
  69. the access points of possible network infection and the strategies
  70. network managers can use to secure their network against these new
  71. industrial terrorists in the workplace.
  72.  
  73. Network access points
  74.  
  75. Diskettes
  76.  
  77. The first and most common access point is the floppy disk drive. This is
  78. where unsuspecting users can initiate the most harm. Floppy disk drives
  79. include the use of shrink-wrapped software, public domain or shareware
  80. packages, and personal diskettes (user diskettes from home). All of these
  81. diskettes should be checked for viruses before being used.
  82.  
  83. Even with commercial packages care must be taken to avoid the spread of
  84. viruses. All software on a network should come from reliable dealers or a
  85. reliable source. All software packages should be in the original
  86. packaging. Many software manufacturers are concerned about viruses and
  87. are using the suggestions reproduced in this report.
  88.  
  89. Public domain and shareware packages also concern network managers. There
  90. are two ways for a manager to confront this type of software. They could
  91. restrict it completely, making a policy that no public domain or
  92. shareware packages be used on the network. But this limits the use of
  93. many good programs. The second possibility is to establish a screening
  94. policy that checks all software coming into a company network. This
  95. policy could include virus protection programs or trying the software on
  96. an isolated machine or network for a period of time. Either of these
  97. policies require that an implementation plan be devised by the manager.
  98. These techniques are also recommended for shrink-wrapped software and
  99. personal diskettes.
  100.  
  101. Always use working copies of the software. Never use the original
  102. diskettes unless an infection occurs. Keep the original diskettes in a
  103. secure place. Additionally, all originals and working copies (including
  104. boot diskettes) should always be write-protected.
  105.  
  106. Modem connections
  107.  
  108. Another access point to monitor is the modem connections on the LAN.
  109. Reliability is a key factor. A reliable bulletin board must be used and
  110. the down-loaded software must be inspected using the same procedure that
  111. is used when other public domain or shareware products come into a
  112. network. A reliable bulletin-board would be one that is concerned about
  113. the spreading of viruses, and has a system for checking the software
  114. placed on it.
  115.  
  116. Hard disks
  117.  
  118. When using a system with a hard disk always boot from the hard disk
  119. rather than from a floppy disk. This will help eliminate the chance of
  120. getting a boot sector virus on a workstation. When installing a new hard
  121. disk, always format it before using it. There have been cases where
  122. viruses were found on new hard disks.
  123.  
  124. Prevention strategies
  125.  
  126. LAN backups
  127.  
  128. A reliable LAN backup strategy cannot be overlooked, virus or no virus.
  129. Sooner or later the hardware, software, users or virus infection will
  130. cause the LAN to fail. The robustness of the backup system will determine
  131. how quickly the LAN supervisor will be able to restore the LAN to its
  132. full operation. If the backup storage rotation can be easily followed
  133. back beyond the time of failure, and the restoration procedure is
  134. thorough, a minimal amount of data will be lost. For more information on
  135. the specifics of LAN backup procedures see Network Backup by Paul Turner
  136. and Bob Jones, available through the normal Novell distribution channels.
  137.  
  138. Diskless workstations
  139.  
  140. Most viruses enter a computer system through the use of diskettes. One
  141. method of stopping this invasion is to install diskless workstations on
  142. the LAN.
  143.  
  144. Virus detection programs
  145.  
  146. There are numerous utilities available for detecting and eliminating
  147. viruses. Some of these programs are terminate and stay resident (TSR)
  148. programs that check all incoming executable programs and stop infected
  149. programs from executing on the local machine. Network versions are
  150. available which are capable of searching a network's virtual drives. Some
  151. of the virus-detection programs also include utilities to disinfect an
  152. infected system.
  153.  
  154. Users of virus detection programs should know that viruses are extremely
  155. hard to detect, and there is no general virus detection program. All
  156. detection programs only check for known viruses (Burger 1988). This is a
  157. very effective method since most new viruses are just revisions of an
  158. old, previously written virus. However, the probability still exists that
  159. a new virus will not be detected by these programs. Virus detection
  160. programs may slow down the boot-up process and execution times and may
  161. also use some of the system interrupts.
  162.  
  163. The following is a list of virus products, though it is not exhaustive.
  164.  
  165. Software package              Company             Phone
  166.  
  167. Quarantine                    OnDisk Software     (212) 254-3557
  168.  
  169. Anti-Virus Kit                1stAid Software     (617) 783-7118
  170.  
  171. SiteLock                      Brightwork Dev. Inc.(201) 544-9258
  172.  
  173. Viruscan, Scanres, Netscan    McAfee and Assoc.   (408) 988-3832
  174.  
  175. Virus-Pro                     Intl. Security Tech.(212) 288-3101
  176.  
  177. Certus                        Foundation Ware     (216) 752-8181
  178.  
  179. User education
  180.  
  181. One of the most important strategies of network management is to educate
  182. all the network users about known symptoms and harmful effects of
  183. viruses. Even with all of the above precautionary steps in place, there
  184. is no guarantee that a virus will not infect your network. Viruses will
  185. not go away. But, if users are conscientious about using the access
  186. points, the chances of avoiding a virus infection will increase.
  187.  
  188. NetWare security facilities
  189.  
  190. NetWare includes a robust set of security facilities that can prevent
  191. viruses from infecting the network when implemented properly. NetWare
  192. enforces network security, but the system supervisor is responsible for
  193. setting up and maintaining proper security procedures.
  194.  
  195. An example of this is illustrated by an article written by Barry Gerber,
  196. director of Social Science Computing at the University of California at
  197. Los Angeles. One of the NetWare networks in his computer lab contracted a
  198. virus and he said, -we soon realized that most of the damage had been
  199. done by our staff when they logged in with supervisors' rights from lab
  200. machines in which COMMAND.COM had become infected by students who brought
  201. in their own infected programs." (PC Week April 1990). The following
  202. information will help to avoid problems like this and will strengthen a
  203. NetWare LAN's line of defense.
  204.  
  205. Password protection
  206.  
  207. A first line of defense against virus infection of a network is to ensure
  208. that everyone has account restrictions and uses a password. Using a
  209. password prevents unscrupulous users from getting access to the network,
  210. reducing the likelihood of network infection. When users do not have
  211. passwords or enforced account restrictions additional access points are
  212. created for network virus infiltration.
  213.  
  214. The following are other password precautions:
  215.  
  216. 1)   Require each user to have a unique password.
  217.  
  218. 2)   Require users to change the password periodically.
  219.  
  220. 3)   Make passwords conform to a minimum length standard.
  221.  
  222. 4)   Lock the account if the user fails to log in correctly within a
  223.      maximum number of tries.
  224.  
  225. These precautions will make a network more secure. If users are required
  226. to change their passwords often and make each new password different from
  227. previous passwords, it will be more difficult for an intruder to break
  228. into the network. Adding an additional character to a password increases
  229. the possible combinations exponentially. Make sure users have passwords
  230. that conform to a minimum length. Locking an account keeps password
  231. breaking programs from repeatedly trying to break in.
  232.  
  233. Users should also be restricted from including any portion of their
  234. account name or full name in their password. This means that user names
  235. should not be used in any form, either spelled backwards, doubled or run
  236. together. Users should not be allowed to use other personal information
  237. for passwords, such as job title, wife's name, children's names, street
  238. address or other information which may be easily found or guessed.
  239.  
  240. Disk format
  241.  
  242. NetWare has added extended security features to the DOS directory
  243. structure and file attributes. Because of these features, the format of
  244. the data that is laid down on the boot track of the NetWare disk is
  245. different from that on DOS disks. With this difference, viruses that
  246. infect the boot track on a DOS machine will not affect a NetWare disk.
  247. Since NetWare is a server operating system and is remote from the
  248. workstations it is harder for boot sector viruses to infect the server.
  249. The virus would have to do its damage before the file server is booted.
  250. As long as the disks used to configure a file server do not become
  251. contaminated, a boot sector virus would not be able to penetrate the file
  252. server boot area.
  253.  
  254. File attributes
  255.  
  256. NetWare has added security extensions to file and directory attributes
  257. which make its disk format incompatible with the DOS format. These
  258. security extensions are a part of NetWare which not only help protect the
  259. server from being corrupted, but also protect executable files and data
  260. files from becoming infected by a virus. Security rights control which
  261. directories, subdirectories and files a user can access and what the user
  262. is allowed to do with those directories, subdirectories and files.
  263.  
  264. File attributes, or flags as they are frequently called, give additional
  265. information about a file other than its name. For example, a file can be
  266. given the attribute of read-only so you cannot accidentally copy over the
  267. file, modify it or delete it. The flags common to both 286-based NetWare
  268. and NetWare 386 that aid in stopping a virus from infecting a file are:
  269.  
  270. Read-Only      Prevents a file from being written to or modified
  271.  
  272. Execute-Only   Prevents an executable file from being copied off the
  273.                server
  274.  
  275. NetWare 386 specific flags include:
  276.  
  277. Copy Inhibit        Prevents the file from being copied
  278.  
  279. Delete Inhibit      Prevents the file from being deleted. This flag and
  280.                     the rename inhibit flag are automatically set, when
  281.                     the read-only flag is set
  282.  
  283. Rename Inhibit Prevents the file from being renamed
  284.  
  285. The most widely used flag and the best one for preventing a virus from
  286. infecting an executable program is the read-only attribute. Since most
  287. viruses attack executable files, flagging .COM and .EXE files as read-
  288. only will prevent a virus from attaching itself to the file. This
  289. prevention occurs because a user running the program only has read
  290. rights. In order for a virus to attach itself to a program, the infected
  291. user account must have write capabilities. If users have the ability to
  292. write to a program, then the program is not safeguarded and has the
  293. potential to become infected. These file attributes can be assigned with
  294. the FLAG command. The syntax for using the FLAG command is:
  295.  
  296. FLAG filename attributes
  297.  
  298. For example, to give the login program the read-only attribute, the
  299. syntax would be:
  300.  
  301. FLAG login.exe RO
  302.  
  303. After the read-only attribute has been given, the login program can only
  304. be read and cannot be written to. Viruses that attach to executable
  305. programs cannot attach to programs that are flagged as read-only unless
  306. the user has the modify file attribute right. Typically, the flags on a
  307. system executable file, such as LOGIN.EXE, should only be modifiable by
  308. the system supervisor.
  309.  
  310. Directory rights
  311.  
  312. Effective rights are the rights a user can exercise in a given directory.
  313. These are assigned by the system supervisor in the form of trustee
  314. assignments which are given to specific users or groups of users. Trustee
  315. assignments control which directories, subdirectories and files a user or
  316. group can access, and what the user or group can do with them. There are
  317. several rights a supervisor can grant for a directory, including read,
  318. write, search and modify. Once the supervisor grants one or more of these
  319. rights, the user or group may exercise that right in that directory and
  320. its subdirectories.
  321.  
  322. The directory right of most concern for virus control is the Modify
  323. right. This right allows the user or group to change the file attributes
  324. for files in that directory or its subdirectories. If a user has modify
  325. rights to a directory, a virus has the potential to change an executable
  326. program from read-only to read-write and infect the file. However,
  327. without the modify right in a directory, a virus cannot change a file's
  328. read-only flag in that directory.
  329.  
  330. For example, if a user runs an infected program at a workstation. The
  331. user's workstation becomes infected. The virus will now try to infect
  332. every program the user runs. If one of those programs happens to be the
  333. LOGIN.EXE program on the file server, the virus will try to infect
  334. LOGIN.EXE even if it is flagged as read-only. If the user has modify
  335. rights to the LOGIN directory, the virus could change the read-only flag
  336. to read-write, and infect the LOGIN utility. If this occurs, everyone who
  337. logs in to the network will become infected. In this way the infection
  338. can spread very rapidly. Once the supervisor becomes infected, nothing on
  339. the network is safe, and every program that is run can become infected.
  340.  
  341. Therefore, it is vital that only the supervisor have the modify right to
  342. system files. It is also vital that the supervisor take care not to
  343. become infected. Since the login program can cause many users to become
  344. infected quickly, the supervisor may consider taking the command off the
  345. network and putting it on each user's workstation. By doing this, the
  346. spread of the virus would be slowed considerably. However, if the LOGIN
  347. utility is flagged as read-only with only the supervisor having modify
  348. rights, keeping the LOGIN utility on the network should be safe.
  349.  
  350. Supervisor account restrictions
  351.  
  352. On a NetWare server the supervisor has ultimate authority and can access
  353. any program or database on the server. Because of this, the damage that
  354. an infected supervisor account can do to the network is significant. To
  355. safeguard against infection, the supervisor account should only be used
  356. when necessary. No user should use the supervisor account as a general
  357. working account but should only use the supervisor account when doing
  358. system work.
  359.  
  360. To further protect the system, care should be given as to which and how
  361. many users are given the supervisor account password and supervisor
  362. equivalence. Supervisor equivalence can be as dangerous as the supervisor
  363. account itself. The number of people who have the supervisor account
  364. password or supervisor equivalence increases the entry points a virus has
  365. to the network. Users should not be limited in the work they do, but most
  366. do not need supervisor authority.
  367.  
  368. Another precaution is to limit the workstations the supervisor account
  369. can log in from. By doing this, the supervisor account cannot be logged
  370. into inadvertently on an infected station. This could happen if a user
  371. brings in an infected program to run on a workstation. After a while the
  372. user notices that the system isn't working correctly and calls the
  373. network supervisor. The supervisor then logs in using the supervisor
  374. account. When this happens the supervisor becomes infected and will
  375. infect everything accessed. Every program the supervisor runs can become
  376. infected and possibly data files will become contaminated. However, if
  377. the number of workstations the supervisor can log in to is limited, this
  378. mistake will not be made. We suggested that the supervisor account be
  379. active for at least two workstations. This will allow the supervisor to
  380. access the network if one of those workstations fail.
  381.  
  382. Another way to enhance system security and minimize the entry points a
  383. virus has to the network is to limit the number of simultaneous
  384. connections a supervisor account may have. Restrict this to one, so the
  385. supervisor may only log in to one workstation at a time.
  386.  
  387. Elimination
  388.  
  389. If a virus infects a network, the manager's actions in treating the virus
  390. are critical. This section suggests some ways to eliminate a virus that
  391. has infected a LAN. These steps alleviate some of the panic that a virus
  392. infection causes. This is a blanket repair approach taken from Computer
  393. Viruses, A High-Tech Disease, by Ralf Burger, and will not fit all
  394. network situations.
  395.  
  396. 1)   Turn off the system (including workstations) to prevent further
  397. spread of the virus, and to destroy any memory resident viruses. Do not
  398. warm boot the system computers, some viruses can survive a CTRL-ALT-DEL.
  399.  
  400. 2)   Disconnect all data transfer lines from the system. This isolates
  401. the system from infecting other systems and keeps infection from
  402. recurring while the system is being restored.
  403.  
  404. 3)   Write-protect all media that has not previously been protected. This
  405. includes all notched diskettes, and all drives and magnetic tapes that
  406. have write-protect switches.
  407.  
  408. 4)   Use the original version of the operating system to reboot the
  409. system. It is possible that a virus has infected the backup or working
  410. copies.
  411.  
  412. 5)   Save the system data and programs on new media. These can be used to
  413. support damage claims, and may also give an idea where the virus
  414. originally infected the system.
  415.  
  416. 6)   Format old media, a virus cannot survive a media format.
  417.  
  418. 7)   Use the original versions of all other software to restore system
  419. packages. Make sure they are still write protected.
  420.  
  421. 8)   After the restoration, check all data for dependability. When proper
  422. order has been restored, the data can be used.
  423.  
  424. 9)   If data consistency cannot be guaranteed, then use a backup copy
  425. which will guarantee consistency.
  426.  
  427. 10)  Install detection software that will check the system in the future.
  428. If unusual behavior continues, then contact a virus consulting firm for
  429. help.
  430.  
  431. Another effective method for removing a virus is the use of commercial
  432. disinfecting programs. Many of these programs can clean up infected
  433. systems by removing just the virus code. Others clean up the system by
  434. removing the infected software completely. Familiarity with a particular
  435. package will be helpful in case of infection.
  436.  
  437. Conclusion
  438.  
  439. Knowing how viruses work, how they spread and the damage they can do
  440. allows network managers to better secure their systems. By using good
  441. management techniques in conjunction with NetWare security, a virus can
  442. be prevented from entering and spreading throughout a network. As
  443. networks continue to grow and involve all aspects of company's business,
  444. the access points to a network increase. Therefore, to safeguard networks
  445. and data on those networks, network managers must be willing to implement
  446. these techniques before a virus enters their system.
  447.  
  448. Bibliography
  449.  
  450. Baker, Virginia E. Infectious Diseases. LAN Times (Dec. 1989).
  451.  
  452. Burger, Ralf. Computer Viruses: a High Tech Disease. Abacus. (Second ed.
  453. 1988).
  454.  
  455. De Martin, Lawrence. How to Protect PCs from Viruses and Anti-Viral
  456. Software. Connect. (Summer 1989).
  457.  
  458. Gerber, Barry. Sometimes -Abort, Retry" Means -Network Virus". PC Week.
  459. (April 1990).
  460.  
  461. Hoffman, Patricia. Virus Information Summary List. (Feb. 1990).
  462.  
  463. Neff, Ken. Fifteen Preventive Measures. LAN Times. (Dec. 1989).
  464.  
  465.  
  466. Cumulative Index
  467.  
  468. NetWare Application Notes
  469.  
  470. Novell Systems Engineering Division
  471. Released Application Notes
  472.  
  473. To request additional NetWare Application Notes, contact your Authorized
  474. NetWare Reseller, your Novell Field Sales Representative or Systems
  475. Engineer.
  476.  
  477. Application
  478. Note
  479. Edition        Part Number              Title
  480.  
  481. June 1990      119-000010-001           286-Based NetWare v2.1x File
  482.                                         Service Processes: The Final Word
  483.  
  484.                                         Novell NetWare and AT&T
  485.                                         Integration
  486.  
  487.                                         NetWare Internal and External
  488.                                         Bridge Performance Benchmarking
  489.  
  490. July 1990      164-000011-001           NetWare 386 System Messages:
  491.                                         Disk, Memory and Accounting
  492.  
  493.                                         An Overview of Virus Prevention
  494.                                         Strategies in a NetWare
  495.                                         Environment
  496.  
  497.  
  498. Compaq Application Notes (NetWare-related only)
  499.  
  500. Compaq Systems Engineering Department Released Application Notes
  501.  
  502. To request additional Compaq Application Notes, contact your Authorized
  503. COMPAQ Computer Dealer or your Compaq Field Sales Representative.
  504.  
  505. Application         
  506. Note           Document
  507. Number         Control Number           Title
  508. -------------------------------------------------------------------------
  509. 1989
  510.  
  511. AN89-0002      191A/0489                Influence of Ethernet NICs on LAN
  512.                                         Server Benchmarks
  513.  
  514. AN89-0003      192A/0489                DCA IRMALAN Gateways on Novell
  515.                                         Ethernet/Token-Ring LAN
  516.  
  517. AN89-0008      114A/0689                Installation of Gupta
  518.                                         Technologies SQLBASE in       
  519.                                         Single and Bridged Token-
  520.                                         Ring/Ethernet LAN             
  521.                                         Environments
  522.  
  523. 1990
  524.  
  525. AN90-0002      122A/0290                Installation of Novell NetWare
  526.                                         386 on the COMPAQ SYSTEMPRO
  527.  
  528. AN90-0003      223A/0390                RAM Cram Relief Using Expanded
  529.                                         Memory Management Products
  530.  
  531. AN90-0004      224A/0390                Configuration of a Dataproducts 
  532.                                         High-Speed Line Printer with
  533.                                         COMPAQ Platforms
  534.  
  535. AN90-006       269A/0390                Novell 286-Based NetWare
  536.                                         Installation on the COMPAQ
  537.                                         SYSTEMPRO
  538.  
  539. AN90-0008      208A/0590                Use of COMPAQ-Product RAM Greater
  540.                                         Than 16MB With Novell NetWare 386
  541.                                         v3.0 
  542.  
  543. AN90-0009      209A/0590                Novell 286-Based NetWare to UNIX
  544.                                         Connectivity Using Racal-Interlan
  545.                                         TCP Gateway for Novell NetWare
  546.  
  547. AN90-0011      196A/0790                Emeral Tape Backup System for
  548.                                         Novell 286-Based NetWare
  549.  
  550.