Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти как пользователь
Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов:

DOCFLOW - теория и практика электронного документооборота. Все о ECM и СЭД (системы электронного документооборота), ЭП

Eng
13.05.2004
Распространение вирусов с помощью HTML-тегов

Деннис Фишер
По информации PC Week

Если и есть что-то, чего боятся создатели антивирусов, то это распространение вируса, который невозможно определить с помощью сигнатур. Разработка способов распознавания новых вирусов — основное занятие производителей антивирусного ПО.

Поскольку каждый вирус уникален, антивирусным продуктам требуются новые сигнатуры для их распознавания, даже если это просто вариант уже встречавшегося вредоносного кода. Без сигнатур антивирусное ПО почти слепо: оно не только не способно остановить вирус, но даже при проникновении его в систему не может послать пользователю сигнал тревоги.

В действительности этот кошмарный сценарий как раз сейчас и разыгрывается. Способ доставки последних вариантов вируса Bagle — Bagle.Q, R, S и T — позволяет преодолевать антивирусную защиту шлюзов и настольных систем, а также брандмауэры и системы обнаружения вторжений.

Эти вирусы, как и большинство прочих, распространяются по электронной почте. Однако сообщения не содержат зараженных вирусом вложенных файлов, что является любимым механизмом доставки вирусов для большинства их создателей.

Вместо этого новая волна вариантов вируса Bagle рассылает пустое сообщение по случайным адресам. Если его открыть или даже просто просмотреть в окне предварительного просмотра в Outlook, Bagle использует ошибку в Internet Explorer и автоматически загружает код вируса с удаленного сервера через порт 81 протокола TCP.

Поскольку многие предприятия не проверяют входящий трафик HTTP на наличие вирусов, зловредный файл не встречает препятствий.

Варианты вируса Bagle внедряются через пробел в защите IE, связанный с объектными тегами HTML, которые применяются и в совершенно законных целях. Эти теги часто служат для запуска динамического контента, например потокового аудио или видео. Но в случае с Bagle они используются вирусами для исполнения скрипта на инфицированном компьютере, чтобы установить соединение с удаленным веб-сервером и загрузить зараженный HTML-файл.

Это очень плохая новость для создателей антивирусных программ, которым следует как минимум пересмотреть свои методы; в худшем случае, если такой метод заражения получит распространение и станет нормой, от вендоров могут потребоваться изменения принципов работы их ПО. Правда, некоторые эксперты по антивирусам считают, что существующие приемы по-прежнему полезны в борьбе с атаками нового поколения.

“Главное, чтобы поставщики антивирусов не полагались на один-единственный метод из всего арсенала. Вы должны иметь в своем распоряжении множество способов выявления вирусов, — заявил Сэм Кери, вице-президент по управлению продуктами подразделения eTrust в Computer Associates International. — Уровень квалификации вирусописателей вызывает озабоченность. Они смышленые парни и находят все новые пути распространения своего кода. Это должно стать тревожным сигналом для отрасли, свидетельствующим, что эти парни могут выпускать столь же профессиональное ПО, как и вы”.

Но еще хуже приходится предприятиям, которые теперь больше чем когда-либо попадают в зависимость от пользователей, оказавшись на последней линии противовирусной обороны.

“Угроза проникла через антивирусную защиту шлюзов, маршрутизаторов, брандмауэров и серверов и дошла до компьютеров конечных пользователей. Это предел. Удержание этой линии обороны потребовало от конечных пользователей, чтобы они установили самые свежие исправления для своих ОС и сконфигурировали Outlook, ограничив его полезные возможности, — заявил Билл Франклин, президент корпорации Zero Spam Networks (Майами), который в последнее время следил за волнами новых вариантов Bagle. — Любая оборонительная стратегия, способная допустить развитие вторжения до крайней точки, не просто не оптимальна, она ведет к катастрофе. Все мы знаем, что идея полагаться на конечного пользователя в борьбе с вирусными атаками не работоспособна”.

Для большей интриги спамеры, похоже, также готовятся применять данный прием. Они разработали способ использования JavaScript для доставки почтовых сообщений в формате HTML, что вполне подходит для доставки другого вредоносного контента, отметил Франклин.

“Это наиболее серьезная новая угроза, с которой сталкивается наше сообщество”, — сказал Франклин. 

Поделиться:




КАЛЕНДАРЬ
ПОСЛЕДНИЕ НОВОСТИ
21.06.2019
TESSA 3.3 – новые горизонты СЭД
Компания Syntellect объявила о выпуске официального релиза СЭД TESSA версии 3.3.
В новой версии платформы расширены возможности легкого клиента, обеспечена поддержка разных часовых зон и внесено более сотни других улучшений.

28.03.2019
Финансы уйдут в электронный документооборот
На рассмотрение государственной думы РФ вынесен законопроект о введении электронного документооборота в российских организациях. При создании электронных копии бумажных документов, оригиналы нужно будет хранить всего год.

28.03.2019
В ожидании цифрового прорыва
Как выбраться из «колеи», в которой, согласно институциональной теории, движется, увязнув всеми колесами, Россия? Ответ на этот вопрос эксперты ищут не первый год. Вряд ли есть одно решение, но, возможно, в этом стране помогут технологии: отечественная математическая школа всегда высоко ценилась во всем мире, да и IT-отрасль в России развита сильнее прочих. Во всяком случае, именно на их развитие делают ставку власти: от направления «Цифровые технологии» нацпроекта «Цифровая экономика» они ждут настоящего прорыва. Впрочем, его успех, по мнению экспертов, будет зависеть от синхронизации процесса цифровой трансформации во всех российских регионах.