Еще раз о безопасности почтовых клиентов от Microsof

[02.10.2002]
События последних двух дней еще раз отчетливо и убедительно показали, как пренебрежительно относятся пользователи компьютеров к элементарным правилам и нормам компьютерной безопасности, отдавая злоумышленникам любую информацию, содержащуюся на жестких дисках их компьютеров. Вспыхнувшая эпидемия нового почтового червя Win32.HLLM.Bugbear (напомним, что антивирусная программа DrWeb определяет его и лечит пораженные этим червем файлы с 1 октября 2002 г.) явилась очередными "граблями", на которые, и уже в который раз, наступили сотни тысяч пользователей по всему миру. К сожалению, наступают они на них с незавидным постоянством, от которого не спасают ни эпидемии таких печально известных монстров как Nimda, BadTrans (точнее, его второй модификации), ни Klez или Yaha, ни нынешний агрессор.

Экскурс в историю

Nimda и BadTrans - два вируса ставшие широко известным в мире в 2001, за короткое время инфицировав колоссальное количество компьютеров под управлением операционных систем Windows. Количество компьютеров, пораженных одним только вирусом Nimda, по некоторым оценкам перевалило за 8 миллионов. Оба вируса показали исключительно высокую скорость заражения систем и стали полнейшей неожиданностью для многих разработчиков антивирусного софта. И, даже несмотря на быстрое изобретение "противоядий" к ним, эпидемии достигли ошеломляющих размеров.

Прошедший 2001 год явился рекордным по количеству появлений и распространений по сети Интернет почтовых червей и даже получил название "the year of the virus" (год вирусов). Новой вехой в компьютерной вирусологии явилось возникновение в 2001 году двух одиозных вирусов - Nimda и Badtrans, главным фактором распространения которых явилась не столько их разнообразная техника проникновения на компьютеры и в локальные сети, сколько печально известная уязвимость в системе безопасности MS Internet Explorer, отчет о которой был опубликован в бюллетене компании (MS01-020) 29 марта, 2001.

Некорректный MIME-заголовок приводит к произвольному запуску программой Internet Explorer файла из почтового вложения

Итак, в чем же состоит уязвимость?
Фактически она позволяет вложенному в письмо программному файлу стартовать на компьютере даже в случае просмотра пользователем письма с вложением, содержащим вирусный код, то есть без сознательно совершенного запуска пользователем этого приложения. И вот как это происходит. Почтовое сообщение в формате HTML представляет собой обычную веб-страницу и Internet Explorer может отображать такие сообщения и открывать бинарные вложения к ним в формате MIME. MIME (Multipurpose Internet Mail Extension) - так называемые многоцелевые расширения почтовой службы в Интернет, или MIME стандарт - почтовый стандарт Интернета на кодирование в одном сообщении текстовой и нетекстовой информации (например, графики) для передачи по электронной почте в Интернете.

Брешь заключается в некорректном типе обработки таких сообщений программой Internet Explorer, при котором поступившее с письмом вложение в виде исполняемого файла автоматически запускается без ведома пользователя при простом просмотре полученного сообщения. Данная брешь может быть использована двумя способами. Инфицированное вирусом почтовое сообщение в виде HTML-страницы помещается на некий веб-сайт, а пользователю отсылается сообщение, содержащее призыв посетить такой сайт. При посещении скрипт на вэб-странице может открыть почтовое сообщение и запустить исполняемый файл. В другом случае, инфицированное почтовое сообщение в формате HTML может быть послано непосредственно пользователю, доставляя инфицированную веб-страницу пользователю непосредственно на компьютер. Именно это и имеет место быть в случае вызвавших эпидемии почтовых червей.

Уязвимыми оказались все без исключения пользователи глобальной сети Интернет, использующие в своей работе приложения Microsoft Internet Explorer 5.01 и Microsoft Internet Explorer 5.5 (за исключением Internet Explorer 5.01 Service Pack 2 ), а также те, у кого установлены приложения MS Outlook и OutlookExpress. Разумеется, поскольку речь идет о неправильной обработке подобных сообщений только программой Internet Explorer соответствующих версий, модулями которой пользуются почтовые клиенты MS Outlook и Outlook Express, то только при пользовании такими почтовыми клиентами и существует вероятность заражения компьютера вирусом при абсолютном неведении пользователя. Большинство других почтовых клиентов не стремятся как-либо обработать MIME-заголовок по собственному разумению - их разработчики справедливо считают, что пользователь сам в состоянии решить, что делать с поступившим к нему файлом.

Все на борьбу с собственной ленью!

В упомянутом бюллетене Microsoft была помещена и заплатка, закрывающая эту брешь в системе безопасности MS Internet Explorer. Но многие ли ею воспользовались? Прошло всего несколько месяцев со дня публикации, а распространившаяся лавинообразно Nimda и последовавший за ней Badtrans убедительно доказали, что главный союзник компьютерных вирусов - обычная человеческая лень и пренебрежение простыми правилами безопасности.

Но еще ярче этот же тезис доказали почтовые черви семейства Klez, которые волна за волной захлестнули почтовые сервера всего мира, разнося по всему Интернету не только себя, но заодно и случайно подобранные на компьютерах своих жертв файлы. Нынешняя эпидемия Win32.HLLM.Bugbear оставляет зараженные компьютеры без защиты, убивая процессы брандмауэров и антивирусных программ, и к тому же открывая доступ к содержимому компьютеров через "люки", запускаемые с локальных дисков. Вполне возможно, что именно из-за своей "вредности" Win32.HLLM.Bugbear не будет иметь такого широкого распространения, как Klez.4, но первые два дня эпидемии показали, что этому червю вполне по силам равняться на своего "старшего товарища".

Что же еще должно произойти для того, чтобы пользователи наконец прислушались к призывам антивирусных компаний и специалистов по безопасности и обновили свои далеко не безопасные почтовые клиенты и интернет-броузеры от компании Microsfot?