ФАТАЛЬНЫЙ СОБЛАЗН
Комментарий редактора. Вирус Love Bug и его потомки не нашли отражения в напечатанной в предыдущем номере заметке об уязвимости Visual Basic Scripting (VBS), поскольку она была написана до их появления. В публикуемой ниже заметке Рэнди Бахман, менеджер защиты компании-провайдера услуг электронной коммерции Acuent, объясняет, чем Love Bug отличается от BubbleBoy, первого вируса на VBS.
BubbleBoy содержал раздел *.vbs, но он также использовал две другие слабости Microsoft, благодаря которым сценарий начинал выполняться при чтении электронной почты. Эти уязвимые места были устранены, однако возможность выполнения сценариев VBS осталась — Microsoft блокировала только возможность их выполнения без открытия вложения.
VBS может быть блокирован в Internet Explorer (IE), но средства для этого в IE не установлены по умолчанию. Как и в случае многих других средств Microsoft, чем больше возможностей вы хотите иметь, тем более серьезной опасности подвергаетесь. Именно поэтому кто-то в организации должен заниматься управлением рисками.
Точно так же, как финансовый директор задается вопросом о том, стоит ли приобретение потраченных денег, администратор сети должен спросить себя, стоит ли функциональность приложения или сервиса той потенциальной опасности для защиты, которую таит в себе их применение.
Microsoft очень часто не вносит изменений в свои продукты для укрепления их защиты, пока кто-нибудь не воспользуется обнаруженной слабостью. В этом случае LoveLetter должно было быть достаточно, чтобы Microsoft отключила VBS по умолчанию и предоставила пользователям возможность включать его по их желанию.
Несмотря на наличие исправлений, только какое-либо чрезвычайное происшествие обычно заставляет людей осознать на собственном горьком опыте необходимость укреплять защиту заранее. Как многие теперь понимают, опасность гораздо больше, чем просто возможность потери данных. Если компания лишится своей сети или электронной почты на продолжительное время, то убытки от этого могут оказаться еще ощутимее.
Радикальным решением является отключение VBS, если в нем нет нужды. Однако еще более быстрое исправление предлагает финский разработчик антивирусных продуктов F-Secure. Не удаляя VBS, оно лишь делает так, что система перестает воспринимать файлы *.vbs.
- При использовании Windows NT или Windows 2000 убедитесь, что вы работаете с правами пользователя Administrator.
- Откройте My Computer (Мой компьютер) или Windows Explorer (Проводник).
- Выберите View/Options (Вид/Параметры).
- Найдите VBScript Script File (Файл сценария VBScript) на закладке File types (Типы файлов).
- Выберите Remove (Удалить).
- Для подтверждения выберите в появившемся диалоговом окне Yes (Да).
- Не забудьте блокировать права пользователя Administrator, если это необходимо.
Комментарий редактора. Билл Гейтс охарактеризовал Love Bug как «тест на идиотизм», имея в виду, что любой, кто загружает и выполняет сценарии Visual Basic Scripting (VBS), является идиотом. Проблема в том, что, как могут подтвердить многие администраторы сетей, к этой категории относится основная масса пользователей. Впрочем, это справедливо и в отношении комплекта Office самой Microsoft, о чем в следующей заметке пишет сотрудник лаборатории защиты компании Acuent Джон Скиандра.
Мы смогли передать копию вируса в сжатом виде в файле *.zip через две разные офисные системы электронной почты. В таком виде вирусу удалось миновать фильтры компании на выходе и входе. После получения копии я извлек вирус, замаскированный под текстовый файл с названием love-letter-for-you.txt, и открыл его в Notepad.
Это было здорово, я мог прочитать код вируса, не подвергая опасности мою систему. Однако затем я заметил, что Notepad неправильно обрабатывает возврат каретки, поэтому я прибег для чтения файла к помощи Microsoft Word. В Word у меня была включена защита от макровирусов, но это не помешало выполнению сценария VBS. Как результат, мой компьютер оказался инфицирован.
Комментарий редактора. Достаточно ограниченную по своим возможностям защиту, о которой упоминает Скиандра, может активизировать или блокировать любой пользователь, для чего:
- перейдите в меню Tools (Сервис) и выберите Options (Параметры);
- найдите и щелкните на закладке General (Общие);
- поставьте галочку в окне Macro virus protection (Защита от макровирусов) и нажмите OK.
FRONT ORIFICE
Пользователям Microsoft FrontPage 98 и Windows NT 4.0 следует знать о дыре в защите, с помощью которой хакеры могут получить доступ к серверу, где выполняются расширения FrontPage, используя фразу Netscape Engineers are Weenies. Дыра находится в файле dvwssr.dll, необходимом для Microsoft InterDev 1.0.
Если InterDev вам не нужен, то этот файл можно просто удалить и тем самым заделать дыру. Если же InterDev вами используется, то все, что может посоветовать Microsoft, — это перейти на Windows 2000 или FrontPage 2000. (Это одна из причин, почему предполагаемые меры против «незаконной монополии» Microsoft со стороны министерства юстиции предусматривают поддержку программного обеспечения в течение определенного минимального периода времени, вероятно, пяти лет.)
Дыра была обнаружена консультантом по защите, скрывающимся под именем Rain Forest Puppy. Он говорит, что Microsoft может быть и не виновата в создании этой потайной двери, так как технология FrontPage была изначально разработана другой компанией, Vemeer Technologies. Однако ссылка на Netscape и недавний номер версии *.dll указывает на то, что она была внесена Microsoft.
Microsoft более услужлива, если вы собираетесь переходить на Windows 2000 и вас беспокоит возможность поддержки ОС имеющимся оборудованием. Чтобы пользователь мог составить себе представление, с чем ему придется столкнуться при установке новой операционной системы, компания предлагает бесплатное приложение для анализа системы и сообщения о потенциальных проблемах. Данное приложение можно загрузить с http://www.microsoft.com/ windows2000/upgrade/compat/ready.asp.
БЕСПРОВОДНЫЕ ЗАБОТЫ
С самого начала шумихи вокруг беспроводного Web компании-разработчики антивирусных продуктов предупреждали, что вирусы могут атаковать сотовые телефоны и PDA. В июне 2000 г. их мрачные прогнозы начали сбываться — как сообщалось в пресс-релизах, вирус под названием Timofonica атаковал сотовые телефоны.
На самом деле, Timofonica был обычным вирусом, инфицировавшим ПК, при этом он использовал их системы электронной почты тем же образом, что и вирус LoveLetter. Главное отличие состояло в том, что вместо рассылки копий самого себя он отправлял короткие сообщения (Short Message Service, SMS) случайным пользователям сотовой сети Spanish Telefonica.
Самое худшее, с чем пришлось столкнуться мобильным пользователям, — это прочитать одно предложение спама. Вместо рекламы порнографии или списка адресов электронной почты сорное сообщение содержало призыв против монополии традиционных операторов. Для современных телефонов вирусы не представляют угрозы просто потому, что у тех нет достаточной мощности для их выполнения.
С ростом функциональности мобильные устройства могут в конечном итоге стать уязвимы для вирусов, но отрасль предпринимает всяческие усилия, чтобы это предотвратить. PocketPC компании Microsoft (новое название карманной версии Windows CE) имеет полностью HTML-совместимый браузер Internet, но не способен выполнять файлы VBScript или элементы управления ActiveX. Файлы VBScript используются такими вирусами, как LoveLetter и Timofonica. Элементы управления ActiveX представляют потенциально ту же угрозу, что и VBScript, но на практике они не пользуются популярностью среди авторов вирусов, потому что их применение требует большего опыта в программировании.
Если на вооружение будет взят европейский стандарт среды выполнения мобильных приложений (Mobile Execution Environment, MEXE), то для удаленного программирования мобильных устройств будет использоваться Java. В июне 2000 г. Sun Microsystems выпустила версию языка для телефонов и PDA, известную собирательно как Java2 Mobile Edition (J2ME). Как и имеющиеся реализации Java, эти версии предусматривают выполнение программы внутри виртуальной машины Java (Java Virtual Machine, JVM), за пределами которой они не оказывают никакого действия. Это резко ограничивает способность программы нанести вред остальной системе, вследствие чего Java практически неуязвим для вирусов.
ИСКУШЕНИЕ НЕФТЕДОЛЛАРАМИ
Существует теория, что самые страшные программные вирусы поражают человеческие умы, а вовсе не Windows. Последний из вирусов такого сорта атаковал авторов Network Magazine. Он представляет собой разновидность мошенничества, известного как «нигерийские нефтедоллары», когда некие таинственные незнакомцы обещают большие суммы денег получателям сообщений.
Строка темы сообщения от некоего д-ра Сали Бараха содержала призыв «EMERGENCY: READ NOW» («СРОЧНО: ПРОЧИТАЙТЕ НЕМЕДЛЕННО»). Само сообщение начиналось словами: «Хотя мы практически не знакомы друг с другом, я уверен, что вы можете помочь мне. Ваши статьи в Network Magazine превосходны и поучительны. Я являюсь президентом специального подразделения, отвечающего за продажу нефтепродуктов в Республике Бенин, Западная Африка».
Далее в сообщение содержалась просьба помочь в отмывании денег, при этом автор объяснил, что он обманул свое правительство на 25 млн долларов и ему необходимо содействие в переводе нечестно заработанных денег в Соединенные Штаты. «Эти деньги получены в результате продажи избытков необработанной нефти иностранным дилерам, а сделки не были внесены в финансовые отчеты».
Если вы разрешите разместить деньги на вашем банковском счету на некоторое время, то д-р Барах обещает вам предоставить определенный процент с суммы. «Все, что от вас требуется, — это сообщить нам ваш адрес, телефон и факс. Я вышлю вам подробности касательно перевода денег и необходимые документы, как только получу от вас эти сведения».
Вряд ли стоит говорить, что никаких денег нет. Если трюк аналогичен другим в том же роде, то все, кто на него купится, будут должны заплатить значительные «транзакционные издержки» для покрытия расходов за перевод денег. Они никогда больше не увидят ни их, ни обещанных миллионов.