"Мастера" маскировки

Помимо создания ряда концептуальных вирусов, которые давали о себе знать последние несколько недель, активность создателей вредоносных программ отразилась и на разнообразии методов социальной инженерии, использующихся для того, чтобы ничего не подозревающий пользователь "клюнул" на виртуальную приманку. Для достижения своих целей авторы вирусов прибегают к различным уловкам: маскируют свои "творения" под важные сообщения от банковских учреждений, призывают внести пожертвования в помощь жертвам цунами и даже занимаются рассылкой новостей. Все это, в свою очередь, еще раз доказывает, что электронная почта надолго останется излюбленной средой обитания для разного рода виртуальной "живности".

Так, червь Crowt-A распространяется посредством почтовых сообщений, содержание которых в режиме реального времени копируется с сайта CNN.com. Заголовок письма и название прикрепленного файла, содержащего вирус, идентичны. После попадания на компьютер червь пытается разослать себя по всем найденным на зараженном компьютере адресам электронной почты. Кроме того, Crowt-A старается установить на инфицированной машине троянскую программу, которая фиксирует данные, набираемые пользователем на клавиатуре, и отправляет их своему создателю. Несмотря на то, что на данный момент антивирусными экспертами было зарегистрировано лишь небольшое количество случаев заражения, идея подобного распространения вполне оригинальна и, возможно, будет принята на вооружение другими авторами вирусов.

Следующий вирус - червь Zar.a - распространяется в виде файлов, прикрепленных к зараженным письмам. Тема электронных сообщений содержит "Tsunami Donation! Please help!", а файл, в котором находится вирус, имеет название "tsunami.exe". После попадания на компьютер Zar.a копирует себя в корневой каталог и регистрируется в ключе автозапуска системного реестра, чем гарантирует собственный автоматический запуск после перезагрузки системы. Для поиска электронных адресов червь сканирует адресную книгу MS Outlook, используя почтовый клиент для рассылки зараженных писем. Помимо этого, вирус пытается произвести DoS-атаку на сайт www.hacksector.de.

Вредоносная программа Bankfraud.w реализована в виде поддельной html-страницы и предназначена для кражи конфиденциальной информации у клиентов Washington Mutual Bank. Рассылается троян посредством электронной почты в виде важного сообщения от вышеупомянутого учреждения, в котором содержится ссылка, использующая уязвимость Frame Spoof в браузере Internet Explorer. Попадая на сайт, пользователи вводят свои учетные данные, после чего те пересылаются злоумышленникам, которые могут получить полный доступ к управлению счетом пользователя.

Троян Agent.ed после проникновения на компьютер создает в системе объект синхронизации с именем "BaloonMutex", позволяющий определять наличие собственных активных копий в системе, а также сбрасывает безвредный звуковой файл balloon.wav в каталог Windows. Кроме того, троян сохраняет chm-файл, который при запуске направляет пользователя на сайт злоумышленника.

Сетевой червь Zorin.a распространяется по открытым сетевым ресурсам. После инсталляции он заражает найденные на инфицированном компьютере файлы с расширением .exe, копирует себя в корневой каталог Windows с именем "Logo1_.exe" и регистрируется в системном реестре. Помимо этого, Zorin.a выгружает из памяти ряд процессов, а также изменяет файл "%System%\drivers\etc\hosts" для перенаправления обращений к определенным онлайн-ресурсам.

* * *

Вслед за январским набором бюллетеней безопасности поступила информация о серьезных проблемах в программном обеспечении офисного пакета Microsoft Office.

Ученые из сингапурского института изучения телекоммуникаций под руководством Хоньджун Ву опубликовали данные о проблеме использования криптографических алгоритмов RC4 в приложениях Word и Excel. Дело в том, что при использовании ключа величиной 128 бит во время повторного сохранения файла эти программы используют идентичные пароли и параметры инициализации шифрования для различных версий одного и того же документа, тогда как должный уровень безопасности требует установки различных параметров инициализации.

Используя дыру, злоумышленник может получить несанкционированный доступ к зашифрованной информации. Сингапурские эксперты в качестве примера приводят случай, когда два сотрудника последовательно редактируют один документ. Применяя математическую функцию XOR (исключающее ИЛИ) к двум вариантам файла, они смогли извлечь массу сведений, которые в нормальной ситуации должны быть закодированы.

Помимо этого, исследователям удалось установить, что два документа Word или Excel, отличающиеся одним словом, имеют идентичные двоичные выходные данные, за исключением адресного пространства, соответствующего измененному тексту. В качестве решения проблемы исследователи предлагают методы принудительного изменения параметров инициализации, используемых при шифровании документов. Стоит отметить, найденная брешь актуальна для всех версий офисного пакета, что, впрочем, никак не отражается на поведении корпорации Microsoft, которая пока не отреагировала на заявление сингапурских ученых.

Андрей АСФУРА

Версия для печатиВерсия для печати

Номер: 

04 за 2005 год

Рубрика: 

Защита информации
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!