Иллюстрированный самоучитель по Secure Web


Атаки с использованием вложений - часть 2


В июне 2000 года неизвестным злоумышленником был запущен "червь", получивший название LifeChanges. Его работа основывалась на описанных свойствах файлов . SHS. Этот "червь" направлялся в виде электронного сообщения с изменяющейся строкой темы, которая указывала на то, что во вложении находятся анекдоты. Файл вложения на самом деле был файлом . SHS с обманным расширением .ТХТ, которое делало его похожим на обычный текстовый файл (даже установленная по умолчанию пиктограмма этого файла была похожа на пиктограмму текстового файла). После запуска LifeChanges выполнял стандартные действия: рассылал себя по почте первым 50 адресатам из адресной книги жертвы, удалял файлы и т.д. Очень интересно было наблюдать, как кто-то выбрал основой для взлома коварную особенность файлов . SHS, которая была известна на протяжении нескольких лет, и с такой легкостью попал в хронику Web-узла PCHelp (http://www.pc-help.org/security/scrap.htm). Кто знает, сколько мин еще заложено в системном реестре Windows?

Контрмеры против использования файлов. SHS


На Web-узле PCHelp приведены некоторые замечательные советы по снижению риска от применения наиболее опасных свойств файлов . SHS. В число этих рекомендаций входят следующие.

  •  Удалите упоминавшийся ранее параметр системного реестра NeverShowExt и параметр HKLM\SOFTWARE\Classes\DocShortcut, чтобы расширения . SHS и . SHB стали видны в Windows. (Файлы . SHB обладают аналогичными свойствами.)
  •  Замените используемые антивирусные программы теми, в которых файлы . SHS и .SHB рассматриваются как исполняемые.
  •  Полностью откажитесь от файлов-оболочек, удалив их из списка известных типов файлов Windows либо удалив из папки System файл shscrap.dll.

Сокрытие расширения вложения с помощью пробелов


18 мая 2000 года Волкер Вес (Volker Werth) поместил в списке рассылки Incidents сообщение, в котором говорилось об одном методе отправки вложений в почтовых сообщениях. Особенность этого метода заключалась в остроумном способе маскировки имени присоединенного файла. Вставка в имя файла символов пробелов (%20) приводила к тому, что почтовые программы отображали только первые несколько символов имени файла. Например,



Начало  Назад  Вперед



Книжный магазин