Ewolucja złośliwego oprogramowania VII-IX 2006

Przeczytaj także: Ewolucja złośliwego oprogramowania I-VI 2006

Niestety, w przeciwieństwie do MSN, ICQ nie podejmuje żadnych kroków mających na celu filtrowanie zawartości oraz usuwanie z wiadomości takich odnośników, aby zapobiec dostarczenia ich do użytkowników. Po wzmożonej aktywności robaków komunikatorów internetowych, jaka miała miejsce w zeszłym roku, Microsoft zablokował odnośniki do plików wykonywalnych. Jednak filtr taki nie stanowi panaceum na wszystko, ponieważ poza wysyłaniem odnośników do zainfekowanych plików, szkodliwy użytkownik może wysłać odnośniki do stron www, które zawierają exploity dla przeglądarek. W rezultacie, ofiarą infekcji może paść osoba korzystająca z nie załatanej przeglądarki. Obecny algorytm filtra MSN również nie jest idealny, jak pokazuje opisany poniżej incydent.

Pod koniec września w zachodnim segmencie Internetu wykryto wzmożoną aktywność robaków komunikatorów internetowych. Największą aktywnością wykazał się IM-Worm.Win32.Licat. Robak ten wykorzystywał MSN w celu wysyłania odnośników, które wyglądały tak jak na poniższym obrazku.
Odnośniki te prowadziły do różnych trojanów typu downloader, które instalowały z kolei oprogramowanie adware (Adware.Win32.Softomate) i inne programy trojańskie związane z adware. Naturalnie, Licat.c instaluje na komputerze ofiary również samego siebie i rozpoczyna się kolejny cykl propagacji.

Chociaż wydawałoby się, że filtr MSN powinien blokować podobne wiadomości, Licat.c nadal rozprzestrzeniał się aktywnie. Analiza wykazała, że filtr MSN nie blokuje odnośników do pliku PIF, jeśli plik ma rozszerzenie inne niż .pif. Innymi słowy, filtr uwzględniał wielkość liter i nie działał, gdy zostały użyte wielkie litery. Dziurę tę wykorzystali twórcy robaka, tworząc odnośniki z rozszerzeniem PIF, które były przepuszczane przez filtr. Twórcy raportu poinformowali o tym firmę Microsoft, która szybko zajęła się tym problemem.

Wszystkie te przykłady pokazują, że nie istnieje żaden sposób ochrony przed szkodnikami, które do rozprzestrzeniania się stosują takie metody. Głównym problemem jest czynnik ludzki: ludzie mają zaufanie do odnośników, które otrzymali od przyjaciół albo współpracowników, a obecna sytuacja przypomina czasy robaków pocztowych, gdy niczego nie podejrzewający użytkownicy uruchamiali pliki otrzymywane za pośrednictwem poczty elektronicznej. Teraz z kolei bez wahania klikają odnośniki wysyłane za pośrednictwem komunikatorów internetowych.

Autorzy raportu zalecają administratorom systemów i specjalistom ds. bezpieczeństwa IT, aby mieli świadomość potencjalnego zagrożenia ze strony komunikatorów internetowych i w ramach polityki bezpieczeństwa firmy rozważyli zakazanie korzystania z nich. Dodatkowo, biorąc pod uwagę sposób, w jaki robaki te przenikają do komputerów ofiar (poprzez otwierany w przeglądarce odnośnik), należy monitorować cały przychodzący ruch HTTP.

I znowu luki...

Pomiędzy lipcem a wrześniem 2006 roku poważne zagrożenie dla użytkowników stanowiły nie tylko liczne luki w pakiecie Microsoft Office, ale również dwie inne dziury wykryte w produktach Microsoftu. Pierwsza z nich, opisana w Biuletynie Bezpieczeństwa Microsoftu MS06-040, przypomina lukę wykrytą w sierpniu 2003 roku, która została opisana w biuletynie MS03-026. Te dwie luki miały ze sobą wiele wspólnego. Obie były najbardziej niebezpiecznym typem luki, tzn. pozwalały osobie atakującej na wykonanie dowolnego kodu. W sierpniu 2003 roku luka MS03-026 przyczyniła się do dużej epidemii robaka Lovesan oraz powstania setek podobnych robaków. Również w sierpniu 2006 roku istniało niebezpieczeństwo wystąpienia podobnej katastrofy, ponieważ exploit na tę lukę był publicznie dostępny i twórcy wirusów mogli wykorzystać go do stworzenia własnych destrukcyjnych robaków.