Интернет - потенциальный источник заразы!

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #035, стр. 035-076-4

Рассмотрим пример. Совсем недавно был обнаружен ресурс www.vke.ru, исходник главной страницы которого содержал следующий код:

<SCRIPT language="VBScript">

<!--

Set oWMP = CreateObject("WMPlayer.OCX.7")

Set colCDROMs = oWMP.cdromCollection

if colCDROMs.Count >= 1 then

For i = 0 to colCDROMs.Count - 1

colCDROMs.Item(i).Eject

Next ' cdrom

End If

-->

</SCRIPT>

Назвать вирусом такой код, конечно, нельзя. Но вреда от него много. Меня самого чуть не хватил инфаркт, когда все сидюки в моем системном блоке разом открылись. Я привел этот код лишь для того, чтобы еще раз доказать, что в браузерах (особенно одной известной компании) можно найти сколько угодно дыр, через которые легко получить систему под контроль.

Хочешь пример посерьезнее? Пожалуйста! Браузер Internet Explorer (он является самым популярным во всем мире) вплоть до 6 версии был уязвим досадным багом, который позволял выполнить любой системный файл. Я думаю, не стоит говорить о последствиях такого запуска. Злоумышленник мог исполнить как заранее закачанный вирус, так и команду echo y | format d: /u. Фантазия тут безгранична! Правда, на багтраке давалась возможность проверить свой браузер на примере запуска обычного калькулятора :). Проверить своего ослика можно по этому адресу: www.nics.com.ua/VULN/BROWSERS/RunProgram.shtml.

Если порыться в интернете на тему выполнения произвольного кода через IE, можно найти ошеломляющие сведения. Путем хитрой замены параметра заголовка, передаваемого клиенту, становится возможным закачать и выполнить (!!!) произвольный бинарный файл. Мало того, чтобы доказать это неверующему юзеру, автор бага демонстрировал запуск тестового бинарного файла на компьютере клиента. Повторюсь, уязвим был лишь Internet Explorer, неверно принимающий HTTP-заголовок (www.solutions.fi/iebug2/run.cgi).

Нередко встречаются вредоносные страницы с Java-кодом, позволяющие произвольно передвигать окно браузера, а также плодить его окошки, пока не кончится свободная оперативная память. Как говорится, голь на выдумки хитра ;).

Еще одна фишка, активируемая через Web - зловредное использование иного типа принимаемого файла. Я думаю, ты знаешь, что браузер позволяет выполнять запросы, ориентированные не только на http:// и ftp://. Эксплорер запросто запустит telnet.exe, если встретит тип telnet://, либо mIRC при начале ссылки вида irc://. Этим и пользуются злоумышленники, создавая цикл на JavaScript, плодящий такие запросы. Это в лучшем случае.

В худшем случае хакер может получить полный доступ к твоем компьютеру. Как это происходит?

Было обнаружено, что с помощью виндового telnet.exe можно переполнить буфер, завалить систему или выполнить произвольный код (правда, это относится лишь к Windows 9x). Дело в том, что приложение отводит под HostName 255 байт и в то же время не контролирует его размер. С помощью умелого запроса, предоставленного браузеру (telnet://long-host), Windows зависала на корню.