Computer Crime Problems Research Center

Исследование IFRAME-уязвимости

Очередным существенным стимулом для широкого распространения интернет- червей послужила, можно сказать, преступная халатность программистов из Microsoft.
Как Вам известно, раньше, чтобы заразить компьютер вирусом, надо было запустить на исполнение какой-либо файл. Огромные вирусные эпидемии возникали лишь из-за того, что авторы вирусов находили оригинальные способы, заставляющие пользователей запустить тот или иной зараженный вирусом файл. Так, для вируса I Love You, - это была совокупность врождённого любопытства плюс оригинальный для того времени приём с двойным расширением файла, для вируса ,предлагающего прочитать секреты ФБР и Пентагона, - это было врождённое для человека желание узнать чужие тайны и секреты, для вируса Anna Kournikova- эта была врождённая тяга к всякого рода клубничке, и так далее.

Так, вот - это было всё раньше, продукты Микрософт, которые и раньше "радовали" нас всякого рода дырами и ошибками, пополнились ещё одним экземпляром. На этот раз источником новостей стал очень популярный браузер Internet Explorer, а поскольку в Windows всё очень тесно между собой связано, эта ошибка тут же оказалась применима и к не менее популярному почтовому клиенту Outlook Express, а это и послужило началом тех печальных событий, о которых я буду рассказывать ниже.

Дело в том, что для просмотра получаемой почты в формате html Outlook пользуется средствами Эксплорера, Как выяснилось недавно, некоторые последние версии этого самого Эксплорера содержат ошибку, называемую IFRAME-уязвимость, позволяющую запускать файлы без какого- либо предупреждения и разрешения пользователя. Это значит, что Вы можете заразить свой компьютер вирусом, просто просматривая web-страницу или полученное html-письмо. Да, вирусописателям, такой подарок, наверное, и во сне не мог присниться. Но, начнём по порядку. Сейчас будем отвечать на два вечных вопроса : что делать и кто виноват?

Виноватым является, как уже говорилось IE, самых популярных на сегодняшний день версий 5.00, 5.01,5.50. Какая версия IE у Вас стоит Вы можете узнать, выбрав в меню Справка -> О программе.

Также, внимательно изучив ошибку, я написал наглядный тест, проверяющий Ваш компьютер на IFRAME- уязвимость. Здесь Вы можете скачать этот пример. Проверка заключается в следующем - Вы просто открываете этот файл (это стандартное e-mail письмо) в своём Outlook-e, если всё в порядке -то … всё в порядке J т.е. ничего не происходит . Если же Ваш компьютер IFRAME-уязвим, то автоматически выполнится приаттаченное приложение, которое только откроет окно с надписью УЯЗВИМ, и кнопкой OK.

Тест показал, что Ваш компьютер уязвим? Если ответ утвердительный, то теперь, я думаю, Вас интересует что же теперь делать. Первое, рекомендую, тут же прекратить пользоваться OE, возможно до установки соответствующих патчей или навсегда ( переход на другой почтовый клиент). Второе, Ваш компьютер может быть уже заражен вирусом, поэтому я не рекомендую медлить, во многие вирусы встроен внутренний таймер, запускающий их деструктивные функции в определённые дни (часы). Кто знает, сколько сейчас у вируса на часах J? Поэтому, не откладывая в долгий ящик, проверяем все диски антивирусной программой. Внимание! Очень рекомендую скачать и установить последнее обновление антивирусных баз.

На сайте Лаборатории Касперского, для устранения ошибки IFRAME-уязвимость, меня отослали на сайт Микрософт, точный url выглядит следующим образом:
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp.

Но, как выяснилось, эта "заплатка" подходит не для всех версий Эксплорера, а только для тех, на которых уже предустановлен Service Pack 1. Проведя небольшое исследование, я выяснил, что у всех знакомых и дома и на работе, стоят именно не SP версии, потому, что именно в таком виде IE распространяется на пиратских компактах. Что же делать в этом случае? Микрософт рекомендует сначала предустановить сам SP. Точный размер этого SP указывается в пределах от 6 до 17 мегабайт, и, вероятно, его размер зависит от версии IE (5.00, 5.01 или 5.50). Есть желание качать такой файл?

Мне, кажется лучше уже ставить IE 6.00 c компакт диска, по крайней мере, уязвимость IFRAME в Full- версии отсутствует. Внимание установка же Minimal и Custom версии могут не разрешить проблему!

Также разрешить эту и ещё целый ряд возможных в будущем проблем с безопасностью, может переход с IE на альтернативные браузеры, такие как Opera или Netscape Navigator. Для тех, кого не смущает всё- таки, объективно меньшие функциональные возможности - это выход из ситуации.

К радости, всех пользователей известного The Bat, выяснилось, что для отображения писем в формате html механизм IE не используется, и, следовательно, вирусы использующие IFRAME - уязвимость не создавали никакой угрозы для их компьютеров. Очень популярный в Европе, но почему-то непризнанный у нас почтовый клиент Eudora то же выглядит гораздо надёжнее в плане интернет- безопасности. Так, что выбор есть, вопреки бытующему мнению об без альтернативности. Но миграция, скажем, с одного почтового клиента на другой даётся очень не просто. Какой либо конвертации адресной книги из одного почтового клиента в другой не существует, а бывалые интернетчики, наверное, понимают что такое терять адресную книгу, когда говориться о тысячах накопленных записей. Для тех же, кто по привычке не хочет менять OE и IE на, что - либо другое, или не хочет снова платить не малые деньги за новое программное обеспечение, которое, по сути, будет уже дублировать имеющееся (пиратскими же Bat, Eudora, etc пользоваться могут далеко не все) я рекомендую по чаще следить за обновлениями, скачивать всевозможные Service Pack, заплатки, и т.д.

Вирусов, которые используют IFRAME- уязвимость уже предостаточно. Вот, например:

I-Worm.Toil, он распространяется посредством электронной почты, открыв вирусосодержащие письмо в Outlook-е, Вы тем самым запускаете на выполнение приаттаченный exe-файл и, следовательно, заражаете свой компьютер. Действие вируса заключается в том, что он открывает все ваши диски на чтение и запись через сеть, сохраняет Ваши пароли в текстовый файл, а также, используя поисковую систему сервиса ICQ, рассылает себя ещё по сотням найденным адресам. Кроме всего перечисленного в вирусе заложен ещё целый ряд деструктивных функций проявляющихся при различных обстоятельствах.
I-Worm.Klez, точно также, как и его собрат, описанный выше распространяется при помощи электронной почты. Заразив Ваш компьютер, вирус первым делом рассылает себя по всем записям, содержащимся в Вашей адресной книге, тему и собственно имя приаттаченного файла он выбирает произвольным образом. Вирус имеет серьёзные деструктивные функции, по определённым числам он безвозвратно! уничтожает все файлы на всех доступных дисках (включая сетевые).

I-Worm.Nimda, очень опасный червь, распространяется посредством электронной почты, письмо имеет формат html, имя вложенного файла Readme.exe, т.е. просматривая такое полученное письмо, Вы сможете заразить компьютер этим вирусом. Проникнув в систему, он первым делом рассылает свои копии по тем e-mail адресам, которые этот вирус находит, сканируя документы на локальных дисках. Деструктивная функция этого вируса заключается в том, что он открывает все локальные диски на чтение и запись через интернет. Вирус, распространяется с очень большой скоростью и производители антивирусного ПО, поэтому, предполагают, что скоро появятся более разновидности этого вируса с ещё более опасными деструктивными функциями.

В данной статье описані лишь, наиболее распространённые и опасные вирусы обрабатывающие IFRAME- уязвимость, эти вирусы и на www.viruslist.com и на www.wildlist.org относят в top10 самых опасных и разрушительных. Касперский и другие заявляют об эпидемии, и предлагают скачать очередное обновление своих антивирусных программ.

Так, но, если причина всех вышеописанных бед кроется в ошибки IE, то возможен ли такой вариант, что я заражаю свой компьютер вирусом, просто зайдя в интернете на ту или иную вэб-страницу? Думаю, этот вопрос возник не одного читателя. Что ж, чисто теоретически такая возможность существует. Но, всё- таки, к нашему счастью, вероятность такого случая минимальна и вот почему. Ведь вирусописатель должен где-то разместить эти страницы, а любая компания предоставляющая услуги платного или бесплатного хостинга очень внимательно следит за содержанием размещаемых страниц. Страницы время от времени проверяются, не содержат ли они порнографии, или какой либо другой информации противоречащей действующему законодательству, так точно так же ведётся и антивирусная проверка. Все страницы, в которых найдены те или иные нарушения тут же удаляются с сервера, в любом случае платили Вы деньги за хостинг или нет, это делается на законных основаниях. В некоторых случаях против вирусописателей, распространителей детской порнографии и etc, могут производиться и дальнейшие преследования, так, что, господа, если у кого есть мысли заниматься чем -то подобным, лучше сразу выбросите это из головы, иначе такая деятельность может принести массу неприятностей ( например, в Китае некоторых вирусописателей расстреляли, но это я так к слову)

Всё это я к тому, что к вирусной безопасности надо подходить очень и очень серьёзно. Если Вы будете соблюдать все предосторожности, то тем самым довольно серьёзно защитите свой компьютер, а, следовательно, и избавите себя от серьёзной головной боли в случае инфицирования, надеюсь содержание статьи хоть как-то в этом Вам поможет.


Главная | Библиотека | Статьи | Форум
Ссылки | Команда | Контакты
Copyright © Центр исследования проблем компьютерной преступности, 2001-2002 Все права защищены.
При публикации информации взятой в нашем каталоге ссылка на http://www.crime-research.org обязательна.