Поделиться
Эксперты: вирусописатели взяли паузу
По мнению экспертов, с точки зрения информационной безопасности второй квартал 2006 года внешне выглядел одним из самых спокойных за последние годы. После выпуска новых версий антивирусов вирусописатели взяли небольшую паузу, однако противостояние по-прежнему велось, хоть и в иной плоскости – технологической.Что же касается полиморфных («многоформенных») вирусов, эксперты отмечают, что в первом полугодии 2006 года появилось несколько весьма опасных и активно распространяющихся почтовых червей — Feebs и Scano. Оба червя распространяются по электронной почте в виде приложенного к письму файла, представляющего собой зашифрованный JavaScript. По сути своей, он представляет собой обычную HTML-страницу, что ослабляет внимание пользователей, привыкших к тому, что почтовые вирусы бывают либо в виде исполняемых файлов, либо в виде документов MS Office. HTML-страницы по-прежнему не рассматриваются основной массой людей как нечто исполняемое, что может содержать опасный код.
При открытии такого файла происходит выполнение полиморфного кода, в результате чего в систему устанавливается уже «нормальный» исполняемый файл, являющийся основным телом червя. Затем он, помимо всего прочего, начинает генерировать свои новые копии в виде JavaScript-файла, и все они отличаются друг от друга настолько, что в них нельзя найти ни одного общего куска кода. Это и есть результат работы полиморфного движка червя. Затем такие файлы рассылаются с зараженного компьютера по всем найденным адресам электронной почты и цикл повторяется. Для усложнения работы антивирусных лабораторий авторы этих червей выпускают (выпускали) в свет свои новые варианты каждые два-три дня.
Во втором квартале было отмечено появление нескольких «концептуальных» вирусов: первого вируса для Microsoft Publisher (программа для издательской деятельности) под названием Avarta, а также вируса Bi.a, способного размножаться одновременно под Windows и Linux. В апреле-мае появились вирусы для математического пакета Matlab - Gabol и Xic.a, а также концепт макровируса для офисного пакета StarOffice - StarDust.
Самым же опасным концептом квартала стал Yamanner. В июне 2006 года потенциальными жертвами подобного червя стали почти двести миллионов пользователей почтовой системы Yahoo! Mail. Примечателен Yamanner тем, что для активации вредного кода от пользователя не требуется совершения каких-либо действий, помимо открытия письма в веб-интерфейсе Yahoo! Mail. Когда пользователь открывает письмо, исполняется скрипт, рассылающий червя на все адреса из адресной книги пользователя, в которых домен соответствует @yahoo.com либо @yahoogroups.com. Помимо этого, открывается заданная веб-страница (в настоящий момент не функционирует), а адресная книга зараженного аккаунта отсылается на заданный сервер.
Угрозе подвергались все пользователи Yahoo Mail, кроме тех, кто использует сторонние сервисы для получения своей почты через POP3 в автономный почтовый клиент (например, Outlook). Поскольку платформа распространения червя — скриптовый язык JavaScript, поддерживаемый всеми полнофункциональными браузерами, то браузер не имеет значения. Единственная эффективная защита от подобных червей — полное отключение скриптов в браузере. Однако это делает невозможным использование веб-интерфейса Yahoo Mail.
Yahoo! предпринял меры для фильтрации почтовых сообщений, использующих данную уязвимость, исправил интерфейс сервиса и порекомендовал пользователям более активно переходить на новую тестовую версию почтового программного обеспечения от Yahoo! —Yahoo Mail Beta, для которой данная уязвимость не актуальна. Однако эксперты предупреждают, что история может повториться вновь с любым другим популярным онлайн-сервисом: потенциально уязвим любой почтовый сервис, базирующийся на веб-интерфейсе (например, Google Mail).
Поделиться
Короткая ссылка
