Причина «эпидемий», по справедливому мнению Microsoft, заключается в том, что рядовые пользователи и системные администраторы не следуют рекомендациям и «заплатки» не устанавливают.
Уже несколько дней в рубрике «today's news» на заглавной странице сайта Microsoft красуется ссылка на последнее критическое обновление, помогающее защититься против атак Download.Ject, инициатором которых выступил российский сервер.
Троянский вирус Download.Ject впервые был обнаружен компанией Symantec 15 июня 2004 г. Заражение компьютера происходит в том случае, если пользователь посетит сайт, содержащий вредоносный код. Download.Ject с помощью Internet Explorer записывает в корневой каталог диска файл с вирусом и запускает его, а затем вирус регистрирует все, что пользователь вводит с клавиатуры.
Присутствие Download.Ject на своем компьютере можно легко обнаружить. Достаточно найти на системном диске один из файлов: kk32.dll или surf.dat. Microsoft предлагает запустить окно командной строки cmd и выполнить в нем команду поиска:
dir /a /s /b %systemdrive%\kk32.dll
Если спустя некоторое время на экране появится путь к файлу, значит система уже заражена. В этом случае рекомендуется воспользоваться антивирусной программой. (Microsoft, разумеется, приводит в перечне ссылок пакеты только тех фирм, которые входят в альянс Microsoft Virus Information Alliance: это Symantec, F-Secure, Trend Micro, Network Associates и Computer Associates.)
Убедившись, что злонамеренной программы в системе нет, нужно, во-первых, установить последнее обновление Windows.
Как следует из описания на сайте Microsoft (KB870669), уязвимость была связана с некорректной обработкой объекта ADODB.Stream, позволяющей загрузить и выполнить произвольный файл в зоне безопасности Local Machine. Предлагается воспользоваться службой обновлений или самостоятельно отредактировать реестр так, чтобы Internet Explorer не запускал ActiveX-компоненты, работающие с объектом ADODB.Stream: в реестре создается ключ [HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Internet Explorer\ ActiveX Compatibility\ {00000566-0000-0010-8000-00AA006D2EA4}] → «Compatibility Flags»= dword:00000400, после чего ADODB.Stream будет недоступен для веб-приложений.
В дополнение к рекомендации Microsoft в списке рассылки BugtraQ, Mike Cheng советует выставить ограничения в зоне безопасности «Local Machine».
По умолчанию эта зона скрыта в Internet Explorer, поэтому необходимо воспользоваться редактором реестра и внести изменения в ключ: [HKEY CURRENT USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Internet Settings\ Zones\0] → «Flags»= dword:00000001. После чего следует зайти в меню браузера «Tools» → «Internet Options» → «Security» и выставить на значке «My Computer» уровень безопасности High или отредактировать параметры безопасности, выбрав «Custom Level».
Отметим, что существует статья KB833633 в базе знаний Microsoft, которая описывает, как настраивать зону безопасности «Local Machine» исключительно с помощью редактора реестра, но такой способ, скорее всего, не покажется удобным рядовому пользователю.
В BugtraQ (и в full-disclosure), как сообщает uinc.ru, разгорелись дискуссии о существовании уязвимости, позволяющей использовать модифицированный эксплоит.
Дело в том, что помимо уязвимости в компоненте ActiveX ADODB.Stream существует ещё уязвимость в компоненте Shell.Application, о чём сообщил известный исследователь http-eqiuv и подтвердил Лю Ди Ю (Liu Die Yu, не менее известный исследователь уязвимостей в Internet Explorer). Drew Copley из eEye сообщил способ обхода: необходимо подправить ключ реестра [HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Internet Explorer\ ActiveX Compatibility\ {13709620-C279-11CE-A49E-444553540000}], установив «Compatibility Flags»= dword:00000400.
Подчеркивается, что эта брешь известна исследователям давно, около 10 месяцев. Фирмой eEye выпущена небольшая утилита, выложенная на их сайте, помогающая устранить уязвимость.
Объект Shell.Application используется системными администраторами для автоматизированной настройки системы с помощью сценариев с использованием WSH (Windows Scripting Host). eEye отмечает, что после установки «заплатки» WSH-сценарии будут работать медленнее. К сожалению, компания Microsoft пока не выпустила фирменного обновления, закрывающего доступ к Shell.Application через Internet Explorer.
Активное обсуждение Download.Ject в интернете привело к росту интереса пользователей к альтернативным браузерам.
Сразу несколько организаций рекомендовали пользователям отказаться от использования Internet Explorer ввиду наличия в нем большого количества «дыр», которыми пользуются хакеры.
Эти рекомендации опубликовало, в частности, и министерство внутренней безопасности США на своем совместном с организацией CERT веб-сайте US-CERT (US Computer Emergency Readiness Team). Призывы экспертов возымели свое действие, и многие пользователи решили перейти на альтернативные решения. Как рассказал журналу Wired директор по разработке Mozilla Foundaton Крис Хофманн, практически сразу после выпуска рекомендации CERT количество загрузок браузера Mozilla Firefox удвоилось и достигло примерно 200 тысяч копий в день.
По данным SecurityLab.ru, с начала 2004 года доля пользователей, использующих браузер Internet Explorer при посещении сайта SecurityLab.ru, упала с 88% (январь-2004) до 69% (июнь-2004). При этом резко возрасла доля использования последней версии браузера Opera (7.х) — с 4% (январь-2004) до 21% (июнь-2004).
На сайте slate.msn.com появилась заметка «Are the Browser Wars Back?», автор которой предлагает пользоваться альтернативными браузерами.
Само по себе содержание статьи не представляет интереса, оно сводится примерно к следующему: «Explorer уязвим, я попробовал Firefox, пользуюсь уже неделю и забыл про Explorer».
Интересно, что аббревиатура MSN означает «Microsoft Network» и на странице со статьей «Are the Browser Wars Back?», как и на любой странице msn.com, стоит копирайт: «2004, Microsoft Corporation. All rights reserved.»