ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА














     АРХИВ :: Security-alerts
Security-Alerts mailing list archive (security-alerts@yandex-team.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[security-alerts] Современные информационные угрозы, II кв артал 2006



http://www.viruslist.com/ru/analysis?pubid=191254129

Современные информационные угрозы, II квартал 2006
21.07.2006  

Александр Гостев

II квартал 2006 года внешне выглядит одним из самых спокойных за последние 
годы. Практически полное отсутствие более или менее заметных эпидемий почтовых 
и сетевых червей совпало с выпуском бета-версий и полноценных продуктов нового 
поколения от большинства ведущих антивирусных вендоров. Вирусописатели взяли 
паузу для разработки новых методов противодействия антивирусным программам, 
поэтому основные <боевые действия> развернулись в невидимой для обычного 
пользователя области технологического противостояния. Однако иногда отголоски 
этой скрытой войны проникали на страницы газет и интернет-сайтов. Мы попробуем 
более подробно рассказать о тех событиях, которые остались в тени, и тех, 
которые привлекли наибольшее внимание и пользователей, и производителей 
антивирусов.

    * Множественные уязвимости в продуктах MS Office
    * <Взломщики кодов> - борьба с Ransomware
    * Скриптовый полиморфизм
    * Концепты

Множественные уязвимости в продуктах MS Office

Все мы помним, что последние три года прошли под знаком громадного количества 
критических уязвимостей в операционной системе Windows. Такие термины, как 
RPC-DCOM, LSASS, WINS, PnP стали не только объектом речи системных 
администраторов и программистов, но и головной болью для аналитиков 
антивирусных компаний и настоящим кошмаром для обычных пользователей. Дыры в 
сетевых приложениях Windows размером с Мальстрем, открывали доступ к десяткам и 
сотням миллионов уязвимых компьютеров по всему миру, чем вирусописатели не 
преминули воспользоваться. Именно благодаря этим уязвимостям обрели жизнь такие 
эпохальные черви, как Lovesan, Sasser, Mytob, не говоря уже о сотнях других, 
менее известных широкой публике, однако не менее опасных.

Постепенно, примерно к осени 2005 года, компании Microsoft более или менее 
удалось сбить этот вал обнаруженных уязвимостей, чему в немалой степени 
способствовало и активное продвижение второго сервис-пака для XP. Тогда хакеры 
переключили свое внимание с основных модулей Windows на второстепенные. 
Наибольшего успеха они добились в декабре 2005 года, открыв и использовав брешь 
в обработке WMF-файлов. Другая часть хакерского сообщества занялась поиском 
проблемных мест в антивирусах и сетевом оборудовании. Но в конце весны - начале 
лета 2006 года под прицел попала вторая важнейшая разработка Microsoft (а если 
посмотреть на структуру доходов этой компании, то первая) - пакет MS Office.
Под прицел попала вторая важнейшая разработка Microsoft - пакет MS Office.

Реализованная в MS Office модель работы с OLE-файлами уже давно привлекала 
внимание экспертов по информационной безопасности. Данный формат, несмотря на 
то что он достаточно хорошо документирован, до сих пор остается своеобразным 
черным ящиком с множеством ячеек. Слишком большое количество критически важных 
областей, слишком запутанная структура взаимодействия между областями 
OLE-объектов - все это еще в 2003 году привело к появлению опасной уязвимости в 
документах MS Office (MS03-037), позволяющей выполнить произвольный код при 
открытии специально сформированного документа. Эту уязвимость долгое время 
активно использовали некоторые китайские хакерские группы для своих атак. Есть 
все основания подозревать, что именно эти группы и оказались причастны к тому, 
что началось в марте 2006 года.

Уязвимость MS06-012 затронула все продукты, входящие в состав MS Office версий 
начиная с 2000. Это был первый звоночек, который привлек внимание не только 
Microsoft, но и множества хакеров. Формат OLE-документов моментально стал 
объектом самого пристального изучения. К сожалению, надо признать, что хакеры 
оказались более внимательными исследователями, чем сама Microsoft. Обнаруженные 
в течение последующих трех месяцев дыры отличались друг от друга по своей сути 
крайне незначительно - в основе каждой лежала одна и та же проблема - 
неправильная проверка некоторых данных в описании OLE. Microsoft ограничивалась 
выпуском <костылей>, почему-то не утруждая себя проверкой соседних полей в 
файлах, и после выпуска в свет очередного патча на следующий же день появлялась 
информация о новой уязвимости.

Забавным представляется тот факт, что появление всех этих множественных проблем 
с Office, и в первую очередь с MS Excel, практически совпало по времени с 
выпуском компанией Google своей программы электронных таблиц - прямого 
конкурента Excel.

Приведу хронологию проявления уязвимостей MS (по данным US-CERT):

    * 03/14/2006 Microsoft Office routing slip buffer overflow
    * 03/14/2006 Microsoft Excel malformed record memory corruption 
vulnerability
    * 03/14/2006 Microsoft Excel fails to properly perform range validation 
when parsing document files
    * 03/14/2006 Microsoft Excel malformed graphic memory corruption 
vulnerability
    * 03/14/2006 Microsoft Excel malformed description memory corruption 
vulnerability
    * 03/14/2006 Microsoft Excel malformed parsing format file memory 
corruption vulnerability
    * 05/19/2006 Microsoft Word object pointer memory corruption vulnerability
    * 06/13/2006 Microsoft PowerPoint malformed record vulnerability
    * 06/16/2006 Microsoft Excel vulnerability

Уязвимость от 19 мая стала основной угрозой. Информационное сообщество узнало о 
ее существовании только по факту обнаружения массовой рассылки троянской 
программы, использующей данную уязвимость. Это был тот самый случай, когда 
вирусописатели очередной раз использовали еще никому кроме них не известную 
дыру - так называемый <0-day exploit>. Подобные уязвимости представляют 
наибольшую опасность, поскольку производителю софта приходится тратить время на 
анализ проблемы и выпуск патча, в то время как в интернете уже активно 
распространяется вредоносный код.
Microsoft понадобился почти месяц чтобы выпустить заплатки.

Microsoft понадобился почти месяц чтобы выпустить заплатки MS06-027 (Word 
remote code execution) и MS06-028 (Powerpoint remote code execution). Да, 
конечно, мы все уже привыкли к тому, что Microsoft с маниакальным упорством 
придерживается графика выпуска обновлений <второй вторник каждого месяца>, но 
это можно было бы считать оправданным, если бы через два дня после выхода 
очередных <вторниковых> патчей (13 июня) не обнаружилась практически идентичная 
уязвимость в MS Excel. Как можно было при подготовке патча не проверить 
возможность существования аналогичной проблемы в Excel - не поддается 
объяснению! Впрочем, дальше больше. Последняя декада июня принесла еще две 
уязвимости в MS Office: Microsoft Windows Hyperlink Object Library Buffer 
Overflow и Microsoft Excel 'Shockwave Flash Object' Lets Remote Users Execute 
Code Automatically.

Анализ большинства уязвимостей, проведенный экспертами <Лаборатории 
Касперского> показывает, что в их основе лежит по сути одна и та же проблема. 
Компании Microsoft, очевидно, недостаточно будет ограничиваться выпуском патчей 
для каждой найденной дыры - верификации подлежат все поля структуры 
OLE-объектов, общее число которых превышает сотню.

Тот факт, что почти все эти уязвимости сначала были обнаружены представителями 
blackhat-коммьюнити и использованы в распространении вредоносного кода, делает 
ситуацию еще более критической. Вирусописатели сейчас находятся на один шаг 
впереди и в любой момент могут выпустить в интернет несколько новых опасных 
программ.

Мы призываем всех пользователей и системных администраторов максимально усилить 
меры безопасности относительно документов MS Office, ни в коем не случае не 
открывать файлы, поступающие из сомнительных источников, и подвергать их 
обязательной антивирусной проверке. Разумеется, необходима оперативная 
установка патчей от Microsoft, но в ряде случаев это невозможно по причине их 
отсутствия.
<Взломщики кодов> - борьба с RansomWare

Эта тема давно является объектом нашего пристального внимания. Практически в 
каждом нашем квартальном отчете мы уделяли место рассказу о наиболее ярких 
представителях нового класса вредоносных программ Ransomware. 
Вирусы-шантажисты, во главе с печально известным Gpсode, впервые появились на 
сцене в конце 2004 года, активно развивались на протяжении всего 2005 года и в 
этом году оказались на пике своей активности.

Если первое время авторы подобных вирусов ограничивались примитивными 
алгоритмами шифрования (Gpcode) или простой порчей системного реестра 
(Krotten), то в итоге они добрались до наиболее стойких методов шифрования 
(RSA) и использования техники помещения данных в запароленные архивы.

Мы уже рассказывали о том, как троянец Cryzip атаковал американских 
пользователей, архивируя файлы в ZIP-архив с паролем, состоявшим более чем из 
30 символов. В мае 2006 года подобная идея была осуществлена в Великобритании. 
Троянец MayArchive делал все то же самое и ряд антивирусных экспертов склонен 
считать его просто новой версией Cryzip. В целомтроянцы-архиваторы продолжают 
оставаться угрозой для западных пользователей. В России же наибольшее 
распространение получила практика шифрования файлов.

Впервые алгоритм шифрования RSA был использован в январе 2006 года в вирусе 
Gpcode.ac. Автор ограничился длиной ключа в 56 бит, что не вызвало у 
антивирусных компаний никаких проблем в его взломе и восстановлении пораженных 
файлов.
В Gpcode.ag использовался ключ максимальной длины, которая когда либо 
взламывалась.

Легкость, с которой задача взлома ключа и восстановления файлов, очевидно, 
заставила автора вируса пойти по пути наименьшего (как ему казалось) 
сопротивления. В июне Рунет поразила эпидемия новой версии вируса. На этот раз 
был использован значительно более длинный ключ - длиной 260 бит. Однако снова 
наши эксперты оказались на высоте, справившись с подбором ключа менее чем за 
пять минут. Началась настоящая гонка: кто окажется упорней, чьи вычислительные 
мощности и познания в криптографии окажутся сильней, чем у противника. Но если 
автор Gpcode мог сдаться, то у антивирусных компаний такая возможность 
исключалась - надо было защитить пострадавших пользователей. На взлом 260 бит 
вирусописатель отвечает выпуском новой версии - 330 бит! Это было уже серьезно. 
Некоторые из антивирусных компаний на этой стадии сошли с дистанции. Но 
<Лаборатория Касперского> справилась с ключом менее чем за сутки. Автор Gpcode 
что называется закусил удила. 7 июня 2006 года с вирусного сайта на тысяч!
 и компьютеров в России началась загрузка Gpcode.ag. В нем использовался ключ 
максимальной длины, которая когда либо взламывалась, - 660 бит. По самым 
приблизительным подсчетам на взлом такого ключа потребовалось бы более 30 лет 
работы одного компьютера частотой 2,2 Ghz. Но... Нам сказочно повезло. 
Процедуры расшифровки для файлов, зашифрованных ключом RSA-660 были добавлены в 
наши антивирусные базы в тот же день. Я не могу раскрывать подробности, но 
поверьте, это было самым красивым решением криптографической задачки за всю 
историю компьютерной вирусологии.

Одновременно мы предприняли все возможные усилия по закрытию вирусного сайта, с 
которого происходило распространение Gpcode, и утром следующего дня он 
прекратил свое существование. На момент написания этой статьи нами не 
зафиксировано новых вариантов данного вируса, однако исключать появления в 
любой момент Gpсode с еще более длинным ключом нельзя.

Особый интерес представляет схема распространения этого вируса. Был применен 
один из наиболее изощренных способов - целевая атака на пользователей одного из 
популярных российских сайтов по поиску работы. Всем оставившим там свои анкеты 
автор вируса направлял письмо с троянцем, якобы в ответ на их объявление. 
Именно это и обеспечило высокий процент поражений среди получателей подобных 
писем.

Все это настоящая детективная история с еще не написанным финалом. <Лаборатория 
Касперского> опубликовала специальную статью <Шантажист> о Gpсode, и вы можете 
ознакомиться с ней на нашем сайте.

Попробуем заглянуть в будущее и представить себе, что может нас ждать с 
дальнейшим развитием ассиметричного шифрования в вредоносных программах. 
Несмотря на то что ключи 330 и 660 бит нам удалось подобрать в приемлемые 
сроки, понятно, что подобные ключи являются практически пределом для 
современной криптографии. При качественной реализации RSA или любого другого 
аналогичного алгоритма с открытым ключом - антивирусные компании могут 
оказаться бессильными перед такой задачей, которая может оказаться не под силу 
и многим вычислительным центрам с суперкомпьютерами. Как нам видится, 
единственным способом защиты являются превентивные меры: обязательное создание 
резервных копий всех используемых документов, баз данных и почтовых баз. 
Антивирусным компаниям же необходимо усилить разработку проактивных методов, 
призванных не допустить сам факт шифрования / архивирования пользовательских 
данных.

Авторы Gpсode, Cryzip и Krotten по-прежнему остаются на свободе, и хотя в 
отношении их поимки уже предпринимаются определенные усилия - нельзя исключать 
то, что в случае их ареста им на смену придут новые злоумышленники. А поэтому 
тема RansomWare будет оставаться одной из главных проблем антивирусной 
индустрии в ближайшее время.
Скриптовый полиморфизм

Термин <полиморфизм> (с греч. <многоформенность>) применительно к компьютерным 
вирусам появился очень давно, еще в 1990 году. С того времени полиморфизм в 
вирусах прошел множество стадий своего развития: от простейшего побайтного 
xor-шифрования до сложнейших метаморфов, использующих сложнейшие алгоритмы, в 
том числе криптографические. О полиморфизме написано множество статей, защищены 
научные диссертации. Полиморфные вирусы активно развивались примерно до начала 
XXI века, однако затем произошел общий крен вирусописательства в сторону червей 
и троянцев. Технология постоянной мутации кода для затруднения обнаружения 
антивирусными программами временно оказалась невостребованной.

Однако начиная примерно с 2003 года полиморфизм снова начинает привлекать 
внимание вирусного сообщества. Это было вызвано тем, что антивирусные программы 
все больше и больше совершенствовались, и уже стало нельзя использовать в 
качестве инструментов скрытия кода различные программы-паковщики, которые были 
на тот момент излюбленным детищем вирусописателей. С <пыльных книжных полок> 
были извлечены работы <классиков> вирусного полиморфизма: DarkAvenger, Black 
Baron, Zombie. Они подверглись ревизии с учетом современных знаний и 
вычислительных мощностей и постепенно в интернете стали появляться пока еще 
немногочисленные полиморфы нового поколения.

Полиморфизм, <замусоривание кода>, противодействие программам анализа - с 
такими проблемами приходилось сталкиваться аналитикам антивирусных лабораторий 
в последние годы. В конце 2005 - начале 2006 года полиморфизм добрался до ранее 
экзотической области - скриптовых вирусов-червей.

Если для борьбы с бинарными полиморфами антивирусные компании давно создали 
разнообразные эмуляторы кода и эвристические анализаторы, то для борьбы со 
скриптовыми зловредами до сих пор такой необходимости не было. На скрипт-языках 
реализовывались только некоторые эксплойты уязвимостей в браузерах, да 
основанные на них же Trojan-Downloader. Пик своей славы и популярности 
скриптовые вирусы пережили еще в конце прошлого века, вместе с червем 
LoveLetter.

Можно сказать, что одним из самых активных исследователей возможностей 
полиморфизма в скриптах стал некий австрийский школьник, известный под 
псевдонимом Spth. Ему удалось реализовать очень интересный полиморфный алгоритм 
в JavaScript-вирусе Cassa. Но, как оказалось, аналогичной проблемой озадачились 
не только злоумышленники. Тема оказалось весьма интересной и востребованной со 
стороны web-мастеров, которые таким образом хотели защитить код своих сайтов от 
кражи.

Появилось несколько программ, которые позволяли зашифровать содержимое 
HTML-страниц. Программы были основаны на функциях JavaScript, расшифровывающих 
содержимое HTML-страниц на лету и корректно отображающих код в браузере.
Полиморфизм добрался до скриптовых вирусов-червей.

Фактически это дало в руки вирусописателей готовые конструкторы вирусов, для 
использования которых не надо было обладать обширными познаниями в теории 
полиморфизма. На сцену вышли script-kiddies (причем слово script тут можно 
применять буквально). Начав с шифрования эксплойтов и троянцев, они сразу 
заставили антивирусные компании серьезно озаботиться проблемой противодействия 
им. Задача осложняется тем, что традиционные методы эмуляции кода здесь не 
очень приемлемы, поскольку проверять необходимо интернет-страницы в момент их 
загрузки в браузер, и даже небольшая задержка по скорости работы могла вызвать 
со стороны пользователей многочисленные жалобы на <медленный интернет>.

К сожалению некоторые авторы легальных программ - шифровальщиков страниц пошли 
еще дальше и сделали код своих программ полностью открытым, дав возможность 
всем желающим доработать довольно мощные полиморфные алгоритмы (например, HTML 
Guard).

Все это и привело к тому, что в первом полугодии 2006 года мы столкнулись с 
несколькими весьма опасными и активно распространяющими почтовыми червями - 
Feebs и Scano.

Оба червяка распространяются по электронной почте в виде приложенного к письму 
файла, представляющего собой зашифрованный JavaScript. По сути своей он 
представляет собой обычную HTML-страницу, что ослабляет внимание пользователей, 
привыкших к тому, что почтовые вирусы бывают либо в виде исполняемых файлов, 
либо в виде документов MS Office. HTML-страницы по-прежнему не рассматриваются 
основной массой людей как нечто исполняемое, что может содержать опасный код.

При открытии такого файла происходит выполнение полиморфного кода, в результате 
чего в систему устанавливается уже <нормальный> исполняемый файл, являющийся 
основным телом червя. Затем он, помимо всего прочего, начинает генерировать 
свои новые копии в виде JavaScript-файла, и все они отличаются друг от друга 
настолько, что в них нельзя найти ни одного общего куска кода. Это и есть 
результат работы полиморфного движка червя. Затем такие файлы рассылаются с 
зараженного компьютера по всем найденным адресам электронной почты и цикл 
повторяется. Для усложнения работы антивирусных лабораторий авторы этих червей 
выпускают (выпускали) в свет свои новые варианты каждые два-три дня.

Итак, что же мы имеем? Мы имеем старинную технологию, приспособленную к новым 
условиям. Мы имеем некоторые признаки социальной инженерии - когда пользователи 
не задумываются об опасности обычных HTML-страниц, на самом деле содержащих 
скриптовый код. Мы имеем некоторые проблемы с созданием надежных методов 
детектирования подобных вирусов - из-за необходимости быстрой работы и большого 
риска ложных срабатываний на <честно> зашифрованные страницы.

Все это заставляет нас сделать вывод о том, что, несмотря на активное развитие 
новых вирусных и антивирусных технологий, по-прежнему актуальными остаются 
классические методы. К сожалению, сейчас антивирусная индустрия представлена не 
только компаниями-ветеранами, но и массой молодых startup-проектов, которые не 
обладают большим опытом противостояния <старым> угрозам. А многие новомодные 
технологии, вроде проверки HTTP-трафика на лету, применительно к полиморфным 
вирусам, оказываются абсолютно бесполезными.
Концепты

В настоящее время вирусная мысль переживает определенный застой. Как мы уже 
сказали выше, вирусописателям приходится обращаться к старым, почти забытым 
технологиям. Горячие темы последних лет - <руткиты>, <ботнеты>, уязвимости в 
продуктах Microsoft - сейчас далеко не на первом плане. Вирусная мысль 
сосредоточенно ищет новые возможности заражения все большего числа 
пользователей. На первый план выходят концептуальные идеи, которые, может быть, 
и не получат широкую реализацию в будущем, но так или иначе заставят 
антивирусные компании подготовить достойный ответ.

2006 год уже стал одним из наиболее <концептоактивных> за всю историю развития 
вирусов. В первом квартале мы познакомились с такими вещами, как первый троянец 
для платформы J2ME, работающей на подавляющем большинстве мобильных телефонов 
по всему миру, первый <настоящий> вирус для операционной системы MacOS X, а 
затем и Bluetooth-червь для нее же. Исследователи из Мичиганского университета, 
спонсируемые Microsoft, выдали идею руткита SubVirt, основанного на технологиях 
<виртуальных машин>. Обо все этом мы писали в нашем прошлом квартальном отчете.

Подобная активность объясняется еще тем, что усилиями правоохранительных 
органов разных стран была практически полностью разгромлена известная 
группировка вирусописателей 29A, которая в последние годы была основным 
<идеологом> и первооткрывателем подобных вещей. На освободившееся место пришли 
новые люди, стремящиеся войти в историю компьютерных вирусов.

Три прошедших месяца вирусописатели не стояли на месте. О том, что 
принципиально нового появилось, мы и расскажем ниже.

Начнем с первого вируса еще для одного продукта корпорации Microsoft - MS 
Publisher. Данная программа является одной из самых старых разработок Microsoft 
и предназначена для издательской деятельности. Она была весьма популярна в 90-х 
годах прошлого века, но постепенно уступила пальму первенства конкурентам. 
Однако проект существует, развивается, и регулярно появляются новые версии 
программы. До сих пор она не представляла никакого интереса для авторов 
вирусов, однако тяга к славе заставила их обратить свое внимание и на нее. 
Скорее всего это было сделано просто <для галочки>, чтобы полностью покрыть 
вирусами как можно больше программ от MS.

Отличилась украинская девушка-вирусописатель, известная под псевдонимом 
Pativara. В апреле 2006 года она прислала в <Лабораторию Касперского> свой 
вирус для MS Publisher 3.0, получивший название Avarta.

Из-за грубости метода размножения и слишком очевидных деструктивных функций 
шансов вырваться на волю у Avarta нет никаких. Три-четыре года назад он был бы 
весьма интересным образцом новых вирусных технологий. Но сейчас макровирусы 
практически вымерли, и появление Avarta является доказательством возможности, 
которая никогда не станет настоящей угрозой.

Повышенный интерес всегда представляла возможность существования вирусов, 
способных размножаться под несколькими операционными системами одновременно, 
например под Windows и Linux. Работы в этом направлении велись довольно давно и 
в том же апреле мы получили еще один пример подобного вируса. Bi.a способен 
заражать файлы в текущем каталоге, определяя, под какой ОС файл запущен, и в 
зависимости от этого используя соответствующий алгоритм заражения файлов.
Вирусная мысль ищет новые возможности заражения большого числа пользователей.

Наше сообщение об обнаружении этого вируса вызвало неожиданно широкий резонанс 
в среде Linux-сообщества. К делу подключился даже сам гуру - Линус Торвальдс. 
Узнав о результатах анализа кода Bi.a и некоторых обнаруженных в Linux ошибках, 
из-за которых вирус мог не работать на некоторых ядрах Linux, он выпустил 
<патч> (в результате чего вирус стал полностью работоспособен!), попутно 
обвинив <Лабораторию Касперского> в раздувании ничего не значащего события, 
хотя фактически основную шумиху подняли именно адепты Linux, уверенные в полной 
защищенности своей любимой операционной системы. Факт остается фактом: 
кроссплатформенные вирусы Windows/Linux по-прежнему остаются предметом 
повышенного интереса со стороны вирусного сообщества, и работы в этом 
направлении оно останавливать не собирается.

Экзотикой можно считать появившиеся в апреле-мае вирусы для математического 
пакета Matlab. Вирус Gabol был написан на встроенном в Matlab скриптовом языке 
и должен был заражать все рабочие файлы этой программы путем записи своего тела 
в начало файлов.

Xic.a является более сложным вирусом и реализован с использованием все того же 
полиморфизма, о котором мы говорили выше. Трудно представить себе возможности 
для практического применения подобных вирусов из-за малой распространенности 
Matlab, так что мы имеем дело все с тем же созданием <концептов> ради 
саморекламы со стороны их авторов.

Гораздо более опасным является концепт макровируса для офисного пакета 
StarOffice. Этот пакет является основным конкурентом MS Office и пользуется 
большой популярностью у пользователей Linux. Существуют версии этого продукта и 
для Windows-платформы. До сих пор макровирусы оставались уделом только MS 
Office, но наличие в StarOffice довольно мощного скрипт-языка и желание 
вирусописателей доказать, что не только программы Microsoft могут быть 
питательной средой для зловредов, привели к тому, что на свет появился вирус 
StarDust. На самом деле это не совсем вирус, скорее троянец, однако суть 
концепта от этого не меняется - еще один популярный продукт теперь считается 
уязвимым для вирусной атаки.

Но самым опасным концептом квартала стал, несомненно, червь Yamanner. Это один 
из ярчайших представителей весьма маленького класса червей, которые используют 
уникальный способ распространения. Их настолько мало, что каждый из них можно 
считать технологической новинкой, и практически все они сразу оказываются в 
<дикой природе> и становятся заметным событием.

Речь идет о червях, которые используют для своего распространения уязвимости и 
ошибки в работе скрипт-движков различных популярных веб-ресурсов - бесплатных 
почтовых системах или блогах. В своей работе им не требуется проникновение на 
компьютер пользователя. Все, что им надо, - это чтобы их код был так или иначе 
активирован либо при просмотре письма в браузере, либо при посещении какой-то 
странички на сайте, где этот код содержится. Практически все они основаны на 
использовании cross-site scripting уязвимости. Такой принцип использовал червь, 
который функционировал в интерфейсе русской почтовой онлайн-системы Mail.Ru. 
Точно на такой же уязвимости был основан червь SpaceHero, поразивший в октябре 
2005 года миллионы дневников на популярном блоггерском сайте MySpace.

В июне 2006 года потенциальными жертвами подобного червя стали почти двести 
миллионов пользователей почтовой системы Yahoo! Mail. Примечателен Yamanner 
тем, что для активации вредного кода от пользователя не требуется совершения 
каких-либо действий, помимо открытия письма в веб-интерфейсе Yahoo! Mail. Когда 
пользователь открывает письмо, исполняется скрипт, рассылающий червя на все 
адреса из адресной книги пользователя, в которых домен соответствует @yahoo.com 
либо @yahoogroups.com.

Помимо этого, открывается заданная веб-страница (в настоящий момент не 
функционирует), а адресная книга зараженного аккаунта отсылается на заданный 
сервер.

Угрозе подвергались все пользователи Yahoo Mail, кроме тех, кто использует 
сторонние сервисы для получения своей почты через POP3 в автономный почтовый 
клиент (например, Outlook). Поскольку платформа распространения червя - 
скриптовый язык JavaScript, поддерживаемый всеми полнофункциональными 
браузерами, то браузер не имеет значения.

Единственная эффективная защита от подобных червей - полное отключение скриптов 
в браузере. Однако это делает невозможным использование веб-интерфейса Yahoo 
Mail.

Yahoo! предпринял меры для фильтрации почтовых сообщений, использующих данную 
уязвимость, исправил интерфейс сервиса и порекомендовал пользователям более 
активно переходить на новую тестовую версию почтового программного обеспечения 
от Yahoo! -Yahoo Mail Beta, для которой данная уязвимость не актуальна.

На самом деле история может повториться вновь с любым другим популярным 
онлайн-сервисом. Потенциально уязвим любой почтовый сервис, базирующийся на 
веб-интерфейсе (например, Google Mail). Функционал любого JavaScript-вируса или 
червя ограничен лишь количеством патчей, установленных в системе, и в любой 
момент может расшириться за счет обнаружения новой уязвимости. Ошибки в 
программировании, приводящие к cross-scripting уязвимостям, случаются сплошь и 
рядом и требуют значительных усилий для их обнаружения.

Грань между персональным компьютером и интернет-ресурсами давно стерта - ваш 
компьютер может и не содержать тело вируса, однако вы можете стать участником 
распространения червя просто зайдя на ваш онлайн-дневник или проверив почту. 
Это одна из основных угроз наступающего будущего, особенно связанная с 
развитием Web 2.0
Источники:
Лаборатория Касперского




 




Copyright © Lexa Software, 1996-2009.