Архивы: по дате | по разделам | по авторам

Всем-всем-всем!

АрхивКолонка Золотова
автор : Евгений Золотов   28.06.2004

Реализовав на прошлой неделе крупномасштабную атаку на рядовых пользователей Сети, неизвестные злоумышленники повысили ее эффективность необычным приемом. Они сделали своими сообщниками сотни, а может быть и тысячи компаний и организаций по всему миру.

Компьютерные злодеи в последнее время редко удивляют нас своими проделками: и вирусы, и взломы суть отлаженный процесс эксплуатации нескольких удачных находок. Оригинальные "поделки", увы, редкость. Но на прошлой неделе у истинных ценителей была возможность сполна насладиться зрелищем столь же сложной, сколь и красивой массовой интернет-атаки. Кстати говоря, популярная пресса, обычно словоохотливая в подобных ситуациях, в этот раз подавленно молчала. Описать происходящее в двух словах было просто невозможно, а полное изложение выходило за рамки обывательской логики и квалификации. И это при том, что именно обыватели были главной целью атаки! Впрочем, давайте по порядку.

Все мы знаем стандартную схему организации эпидемии компьютерного вируса: вирусописатель находит уязвимое место в защите персонального компьютера (это может быть и "дыра" в программе, и легковерие пользователя) и использует его в механизме проникновения зловредной программки на машину. В нашем случае (кстати, он так и не получил единого названия: кто-то с подачи Microsoft называет его эпидемией вируса Download.Ject, а кто-то эпидемией RAT) всё было иначе. Хакеры избрали обходной путь, атаковав не персоналки, а веб-серверы под управлением Internet Information Server версии 5. В четверг, когда специалисты по компьютерной безопасности впервые заметили неладное, сотни серверов по всему миру уже были взломаны и программное обеспечение на них модифицировано. Как именно хакеры ломали серверы, доподлинно неизвестно: возможно, они делали это вручную, а может статься, всю механическую работу за них проделал созданный ими "червь" (учитывая огромное число взломанных серверов, последний вариант кажется предпочтительнее). Наверняка можно утверждать лишь то, что взлом серверов производился с помощью неизвестной публике уязвимости в коде IIS 5.

В свою очередь, каждый сервер, попавший под удар, изменил своё поведение, начав добавлять к веб-страницам, пересылаемым посетителям, небольшую Javascript-программу (ту самую Download.Ject). Среди инфицированных серверов числились машины как небольших компаний, так и гигантов бизнеса, включая банки и финансовые учреждения. Эксперты предпочли сохранить их имена в тайне, дабы избежать паники среди клиентов.

А паниковать было из-за чего. Взлом серверов - лишь первый шаг на пути к конечной цели. Каждый посетитель заражённого сервера (клиент банка, зашедший посмотреть баланс по кредитной карте, читатель журнала, посетитель форума и т.п.) получал от него странички с добавкой в виде Javascript-кода. Будучи загружена в Internet Explorer, добавка эта заставляла браузер обратиться к одному из двух узлов, находившихся в адресном пространстве России и США, откуда скачивала и (с помощью пары уязвимостей в IE) запускала уже настоящий вирус-шпион RAT, позволяющий удалённо управлять конкретной персоналкой. Попросту говоря, заражённые веб-серверы сами превратились в рассадники заразы: каждый из них мог заразить сотни и тысячи персональных компьютеров. Последние, в свою очередь, могут использоваться для рассылки спама. По крайней мере, эксперты считают такой вариант самым вероятным. Кроме того, добавлю (если вам это польстит), что предполагаемые организаторы акции - граждане России.

Многие компании, включая и Microsoft, присвоили Download.Ject статус наивысшей опасности. Поскольку сетевые фильтры и антивирусные программы оказались бесполезны, пользователям рекомендовалось повысить уровень безопасности в Internet Explorer до максимума, отключив Javascript. "Заплатки", которая воспрепятствовала бы проникновению RAT на компьютер конечного пользователя, всё ещё нет.

К счастью, слабое место очевидно: достаточно отключить два упомянутых выше узла, на которых хранился код RAT, и эпидемию можно пресечь. Собственно, именно это и было сделано в пятницу. Тем не менее, всем пользователям Internet Explorer стоит проверить свою машину на предмет наличия файлов kk32.dll и с и удалить их в случае обнаружения, избавившись от шпионской закладки. И надо прислушаться к совету экспертов: специалисты CERT рекомендуют сменить IE на Mozilla/Firefox.

© ООО "Компьютерра-Онлайн", 1997-2024
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.