На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

"Черви" адресной книги на языке VBS

До настоящего момента мы в основном рассматривали механизмы выполнения хода либо прямого выполнения, либо выполнения в два этапа: загрузка и запуск. Перед тем как продолжить описание других программ атаки, остановимся и рассмотрим действия, которые хакер может предпринять, когда у него есть возможность выполнять на системе жертвы произвольные команды. Вероятно, самые неприятные "бомбы", которые взрываются на Internet-клиентах— это "черви" для адресной книги Outlook Address Book, такие как Melissa (26 марта 1999 года) и подобные ему — черви ILOVEYOU (май 2000 года), Anna Koumicova (февраль 2001 года), NAKEDWIFE (март 2001 года).
Многие считают, что "черви" адресной книги Outlook на языке VBS (Visual Basic Script) являются самой коварной разработкой в области безопасности Internet за последние годы прошлого века. Их мощь основана на использовании социальной инженерии для запуска вложения из письма. Жертве достаточно лишь дать толчок; когда "червь" запушен, он рассылает себя по всем адресам из адресной книги Outlook/Outlook Express атакованного компьютера. Все члены семьи, друзья и коллеги получают сообщение от того, кому они доверяют. А з сообщении содержится просьба просмотреть вложенный файл, Мало кто может не клюнуть на такую приманку.
Г енератор "червей" — программа Senna Spy Worm Generator 2000
Популярность
9

Простота
9

Опасность
9

Степень риска
9





г

До 2000 года "черви" на VBS оставались относительно редким явлением, а в 2001 году кто-то наконец опубликовал полностью автоматизированное средство для создания "червей" электронной почты на VBS. Программа Senna Spy Worm Generator 2000 имеет графический интерфейс и проста в использовании. По трем параметрам, которые задает злоумышленник, программа создает "червя" на языке VP>S, который распространяется через Outlook и/или сеть. Интерфейс программы Senna Spy показан ниже.
Программа Senna Spy создает файл с именем yourwonn.vbs длиной примерно в 70 строк, который при желании "зашифровывается", чтобы скрыть переменные, команды и параметры реестра. При запуске файл . vbs (который можно переименовать) действует, как обычный VBS-"червь". Сначала он находит сетевые диски и копируется на удаленные диски под именем sennaspy.vbs. Затем, используя интерфейс MAPI (Messaging Application Programming Interface), который встроен в Windows, "червь" рассылает сообщения по каждому адресу из ад­ресной книги Outlook. Тему и тело письма задает злоумышленник, "червь" вкладывает в письмо свокькопию.

Также "червь" создает два параметра реестра, параметр HKLM\Software\Mi его sof С \ windows\currentversion\Run\SENNASPY, в котором указывает путь к расположению червя на диске, и параметр HKLM\SENNASРY, в котором хранится счетчик (эти параметры могут иметь нечитаемый вид, если была включена опция Crypt (Шифровать) при создании "червя". Первый параметр обеспечивает запуск "червя" при каждом запуске системы, а второй подсчитывает число запусков программы. "Червь" прекращает выполняться после 20 запусков. Безусловно, при сохранении базовой структуры сценарий VBS можно легко исправить, и даже начинающий хакер заставит программу выполняться столько раз, сколько ему нужно. Можно изменить почти любой параметр сценария.
О Защита от "червей" адресной книги Outlook

Бюллетень
Outlook SR-1 Email

Security Update

BID
Нет

Исправлено в SP
■Нет

Фиксируется
Нет


Утилиты типа программы Senna Spy во много раз повышают вероятность вашей встречи с "червем" адресной книги Outlook. Как же можно защититься в таком случае?
Лучше всего установить обновленке Office Service Pack 2, которое содержит программу Outlook Email Security Update И другие очень полезные исправления для системы безопасности (обновление Outlook SR-1 Email Security Update доступно и отдельно). Само обновление Ourlook Email Security Update включает три заплаты. Ниже дано описание заплат, составленное по информации с Web-сайта обновления Microsoft Office Update.
т Безопасность вложений электронной почты. Пользователи лишаются доступа к определенным типам файлов, пересылаемых в виде вложений в сообщениях электронной почты. К таким файлам относятся исполняемые файлы, пакетные файлы и файлы других типов, содержащие исполняемый код, который часто используется хакерами
■ Защита объектной модели. Если внешняя программа пытается получить доступ к адресной книге Outlook или отправить электронное письмо от имени пользователя (так незаметно размножаются вирусы типа ILOVEYOU), появляется диалоговое окно с запросом пользователю.
* Повышенная безопасность Outlook по умолчанию. Зона безопасности, устанавливаемая в программе Outlook по умолчанию, изменяется с Internet на Restricted Sites (Ограниченные узлы). Кроме того, активные сценарии в ограниченных узлах отключаются по умолчанию. Эти средства безопасности помогают пользователям защищаться от вирусов, которые выполняются с помощью сценариев (пожалуйста, прочитайте наши рекомендации О том, как установить зону Restricted Sites в следующем разделе, посвященном зонам безопасности IE).
Конечно, это исправление стоит того, чтобы его загрузить. Но существует и "оборотная сторона медали"; опытный пользователь обычно в состоянии отличить файлы с расширениями . ехе и . vbs, а обновление Outlook Email Security блокирует возможность получения по­тенциально опасных аложений (с расширением .ехе), и это может сослужить недобрую службу, когда кто-то отправляет вам файл . ехе с добрыми намерениями. Компания Microsoft предлагает два способа изменения настроек, в зависимости от версии программы Outlook и использования программы Exchange в качестве почтовой службы.
Для пользователей программы Outlook 98 и 2000 при условии использования Microsoft Exchange Server администраторы могут изменять настройки безопасности после установки в общедоступную папку специальной пользовательской формы Outlook и настройки свойств безопасности для отдельных пользователей и групп. См. ссылку на статью How (о Administer the Outlook Security Update в разделе "Дополнительная литература и ссылки" в конце главы.
При использовании программы Outlook 2002 (которая входит в пакет Office ХР) конечные пользователи также могут получать доступ к некоторым типам вложенных файлов, которые обычно блокируются функциями защиты. Но с появлением новой формы безопасности ад­министраторы могут запретить возможность настройки.
Ниже приведен пример файла реестра для настройки списка уровня 1 (файлы, которые обычно блокируются) программы Outlook 2002 (из-за ограниченной ширины страницы строки были разделены).
Windows Registry Editor Version 5.00
lHKEY_CURRENT_USER\So£tWare\Mieroso£t^OEEice\10.0\Gutlook.\ Security]
"Level"=dword;00000003
"UseCRLChasing"-CiWord:0Q0000Ql
"OutlookSecureTempFolder"-"C;\\Documents and Settings\N USER.MACHINE ULocal SettingsWTemporary Internet Files\\OLK6\\" "Leve 11 Remove" =" exemdb"
Отметим, что строку USER.MACHINE необходимо заменить соответствующим значением (например, Administrator.Computer 1) и указать расширения файлов, получение которых будет разрешено. В данном примере из списка уровня 1 удаляются файлы с расширениями .ехе и . mdb, т.е. программа Outlook 2002 сможет получать исполняемые файлы и файлы баз данных, но остальные типы файлов из списка уровня 1 остаются заблокированными!
Конечно, такие изменения необходимо производить только в окружении, где пользователей нельзя легко обмануть, добавив исполняемые вложения в сообщения электронной почты. Все остальные могут просто попросить друзей присылать исполняемые файлы в архивах Zip.
Кроме того, хотя обновление Outlook Email Security Update и устанавливает в качестве зоны для чтения почты зону Restricted Sites (Ограниченные узлы), необходимо проверить, чтобы для этой зоны было отключено все. Более подробно зоны безопасности программы IE описаны в одном из следующих разделов.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика