Все новости от 12 мая 2004 г.

Распространение вирусов с помощью HTML-тегов

Если и есть что-то, чего боятся создатели антивирусов, то это распространение вируса, который невозможно определить с помощью сигнатур. Разработка способов распознавания новых вирусов — основное занятие производителей антивирусного ПО.

Поскольку каждый вирус уникален, антивирусным продуктам требуются новые сигнатуры для их распознавания, даже если это просто вариант уже встречавшегося вредоносного кода. Без сигнатур антивирусное ПО почти слепо: оно не только не способно остановить вирус, но даже при проникновении его в систему не может послать пользователю сигнал тревоги.

В действительности этот кошмарный сценарий как раз сейчас и разыгрывается. Способ доставки последних вариантов вируса Bagle — Bagle.Q, R, S и T — позволяет преодолевать антивирусную защиту шлюзов и настольных систем, а также брандмауэры и системы обнаружения вторжений.

Эти вирусы, как и большинство прочих, распространяются по электронной почте. Однако сообщения не содержат зараженных вирусом вложенных файлов, что является любимым механизмом доставки вирусов для большинства их создателей.

Вместо этого новая волна вариантов вируса Bagle рассылает пустое сообщение по случайным адресам. Если его открыть или даже просто просмотреть в окне предварительного просмотра в Outlook, Bagle использует ошибку в Internet Explorer и автоматически загружает код вируса с удаленного сервера через порт 81 протокола TCP.

Поскольку многие предприятия не проверяют входящий трафик HTTP на наличие вирусов, зловредный файл не встречает препятствий.

Варианты вируса Bagle внедряются через пробел в защите IE, связанный с объектными тегами HTML, которые применяются и в совершенно законных целях. Эти теги часто служат для запуска динамического контента, например потокового аудио или видео. Но в случае с Bagle они используются вирусами для исполнения скрипта на инфицированном компьютере, чтобы установить соединение с удаленным веб-сервером и загрузить зараженный HTML-файл.

Это очень плохая новость для создателей антивирусных программ, которым следует как минимум пересмотреть свои методы; в худшем случае, если такой метод заражения получит распространение и станет нормой, от вендоров могут потребоваться изменения принципов работы их ПО. Правда, некоторые эксперты по антивирусам считают, что существующие приемы по-прежнему полезны в борьбе с атаками нового поколения.

“Главное, чтобы поставщики антивирусов не полагались на один-единственный метод из всего арсенала. Вы должны иметь в своем распоряжении множество способов выявления вирусов, — заявил Сэм Кери, вице-президент по управлению продуктами подразделения eTrust в Computer Associates International. — Уровень квалификации вирусописателей вызывает озабоченность. Они смышленые парни и находят все новые пути распространения своего кода. Это должно стать тревожным сигналом для отрасли, свидетельствующим, что эти парни могут выпускать столь же профессиональное ПО, как и вы”.

Но еще хуже приходится предприятиям, которые теперь больше чем когда-либо попадают в зависимость от пользователей, оказавшись на последней линии противовирусной обороны.

“Угроза проникла через антивирусную защиту шлюзов, маршрутизаторов, брандмауэров и серверов и дошла до компьютеров конечных пользователей. Это предел. Удержание этой линии обороны потребовало от конечных пользователей, чтобы они установили самые свежие исправления для своих ОС и сконфигурировали Outlook, ограничив его полезные возможности, — заявил Билл Франклин, президент корпорации Zero Spam Networks (Майами), который в последнее время следил за волнами новых вариантов Bagle. — Любая оборонительная стратегия, способная допустить развитие вторжения до крайней точки, не просто не оптимальна, она ведет к катастрофе. Все мы знаем, что идея полагаться на конечного пользователя в борьбе с вирусными атаками не работоспособна”.

Для большей интриги спамеры, похоже, также готовятся применять данный прием. Они разработали способ использования JavaScript для доставки почтовых сообщений в формате HTML, что вполне подходит для доставки другого вредоносного контента, отметил Франклин.

“Это наиболее серьезная новая угроза, с которой сталкивается наше сообщество”, — сказал Франклин.