2004-12-01 07:08:17

Как известно, через дыры в браузере в систему проникают вирусы и шпионские программы. Но эти же дыры используют коммерсанты, которые принудительно устанавливают на компьютер вполне легальное ПО, отсутствующее в антивирусных базах.
Один их компьютерных энтузиастов, Бенджамин Эдельман (Benjamin Edelman), отдал немало сил и времени на изучение армии программных "жучков" и "шпионов", которые незаметно устанавливаются в систему через браузер во время серфинга в интернете. По его наблюдениям, в последние месяцы наметилась определенная тенденция: эти программы все чаще используют для проникновения в систему дыры в безопасности, обнаруженные в браузере IE. Эту тенденцию подтверждают и другие исследователи.

Что характерно, некоторые из шпионские программ формально являются вполне легальными, а разработчики и руководство компаний категорически отрицает, что для установки используются дыры в безопасности. Такая "поза" помогает им очищать антивирусные базы от упоминания своих продуктов, так что их невозможно обнаружить и уничтожить с помощью антивируса. Поэтому они особенно опасны.

Насколько же серьезна данная проблема? Как много шпионских программ способно проникнуть в систему через дыры в безопасности во время обычного серфинга в интернете? Бенджамин Эдельман провел для этого специальное исследование, результаты которого опубликовал в своем блоге.

Для проверки взяли обычный ПК со свежей, непропатченной копией Windows XP и посетили одну-единственную веб-страницу с эксплоитом, который использует известную уязвимость в IE (этот эксплоит можно поместить практически на любой веб-странице). Результатом стала установка на компьютер как минимум 16-ти (!) программ, причем ни одна из них не выводила запросов на установку, лицензионных соглашений или каких-либо других сообщений.

Исследование показало, что с помощью эксплоита на компьютер установились следующие программы: 180solutions, BlazeFind, BookedSpace, CashBack by BargainBuddy, ClickSpring, CoolWebSearch, DyFuca, Hoost, IBIS Toolbar, ISTbar, Power Scan, SideFind, TIB Browser, WebRebates, WinAD и WindUpdates. Все эти программы были обнаружены сканером Ad-Aware, но имеются вполне обоснованные подозрения, что некоторых "шпионов" сканер так и не обнаружил. Что интересно, разработчики программы 180solutions отказываются признавать использование дыр в безопасности своей программы. На своем сайте они гарантируют, что программа может устанавливаться только с согласия пользователя. В то же время процесс инсталляции программы вместе со списком автоматически созданных директорий на диске записан на видео (файл WMV; 5,8 МБ).

Компьютер начал проявлять различные признаки заражения, в частности, появились неизвестные панели инструментов в браузере, новые значки на рабочем столе (в том числе сексуального содержания), новый фон рабочего стола, всплывающие окна, нестандартные сообщения об ошибках в браузере в случае неправильного набора адреса страницы, изменения в файле HOSTS, новая стартовая страница в браузере, а также новые сайты в зоне "Надежные узлы" (Trusted Zone) браузера IE.

Данный тест проводился неоднократно, и оказалось, что дыру в безопасности используют и другие программы, не записанные на видео: Ebates Moe Money Maker, EliteToolBar, XXXtoolbar и Your Site Bar.

Кто же зарабатывает на этом? Ответ можно найти здесь. Сотрудники фирмы 180solutions открыто предлагают оплату по 7 центов за каждую инсталляцию их программы. Бенджамин Эдельман сообщает, что в логах зараженного ПК присутствует идентификационный номер "партнера" в реферральской программе 180solutions. Таким образом, при получении последним чека на вознаграждение компания легко может вычислить, кто использует эксплоит в интернете для распространения их софта (если, конечно, они сами не поощряют такие действия). Эдельман обещает передать информацию в правоохранительные органы.

Вебпланета