Triky tvůrců virů

Dnešní e-mailové viry mají jediné základní schéma, které se opakuje stále dokola. Vychází z bezpečnostních chyb ...


Dnešní e-mailové viry mají jediné základní schéma, které se opakuje stále
dokola. Vychází z bezpečnostních chyb v poštovních klientech. Jedná se
nejčastěji o Microsoft Outlook, nicméně jelikož i řada dalších programů na
zobrazování pošty ve formátu HTML sdílí stejnou komponentu Internet Exploreru,
bývají postiženi i jejich uživatelé. Obecně lze říci, že jakákoliv chyba
internetového prohlížeče na úrovni HTML s sebou zároveň nese i možnost jejího
zneužití při čtení pošty v tomto formátu.
Jeden z největších problémů představuje v této oblasti nejasné oddělení
informací a kódu. Rozdíl mezi instrukcemi a vlastním obsahem dokumentu se totiž
neustále smazává, typicky vlivem různých skriptovacích technologií. HTML tak už
dávno není jen formátovací jazyk.
Primární technikou tvůrců e-mailových virů je použití tagu IFRAME. Když
napíšete ve webovém prohlížeči do pole Adresa cestu ke spustitelnému souboru,
otevře se známý dialog "Otevřít, Uložit, Storno" (s příslušnými bezpečnostními
komentáři). Stejně tak se děje v případě rámů (frames). Jelikož se v e-mailu
lze odkazovat na jiné přílohy, do dopisu ve formátu HTML vkládají tvůrci virů
položku IFRAME s "url" přílohy a v ní se nachází právě exe program. Tak dojde k
automatickému otevření tohoto okna. Další události závisejí na nastavení. Pro
spustitelné soubory nejde za normálních okolností zaškrtnout automatické
spouštění (bez zmiňovaného dialogu). Nejstarší chyba spočívala v otevření tzv.
"HTML Help" (.chm) přílohy a již není aktuální. Podobně nebezpečné je otvírání
souborů s přílohami typu .h a .hta. Oblíbenou chybou dodnes je změna MIME
identifikátoru na audio/x--wav. Díky nastavení systém bez ohledu na příponu
souboru (.exe) zjistil, že soubory typu wav jsou bezpečné, a spustil virus bez
váhání. Další možností, využívanou tvůrci virů, jsou tzv. CLSID extensions. V
tomto případě je cílem zakrýt fakt, že příloha obsahuje spustitelný soubor.
Jedním z nejzávažnějších problémů je tzv. Exploit.Applet.ActiveXComponent.
Jedná se o chybu Internet Exploreru, která je zneužitelná i na úrovni HTML
e-mailů. Umožňuje na systémech Windows 95/98 spuštění libovolného kódu
staženého z internetu bez uživatelova vědomí. Naštěstí jde o problém staršího
data, a tak jsou již relativně dlouho k dispozici opravné záplaty.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.