Как известно, через дыры в браузере в систему проникают вирусы и шпионские программы. Но эти же дыры используют коммерсанты, которые принудительно устанавливают на компьютер вполне легальное ПО, отсутствующее в антивирусных базах.
Один их компьютерных энтузиастов, Бенджамин Эдельман (Benjamin Ede
man – http://www.benedelman.org/), отдал немало сил и времени на изучение армии программных “жучков” и “шпионов”, которые незаметно устанавливаются в систему через браузер во время серфинга в интернете. По его наблюдениям, в последние месяцы наметилась определенная тенденция: эти программы все чаще используют для проникновения в систему дыры в безопасности, обнаруженные в браузере IE. Эту тенденцию подтверждают (http://www.derkeiler.com/Mailing-Lists/Full-Disclosure/2004-10/1069.html) и другие исследователи (http://lists.netsys.com/pipermail/full-disclosure/2004-October/028014.html).
Что характерно, некоторые из шпионские программ формально являются вполне легальными, а разработчики и руководство компаний категорически отрицает, что для установки используются дыры в безопасности. Такая “поза” помогает им очищать антивирусные базы от упоминания своих продуктов, так что их невозможно обнаружить и уничтожить с помощью антивируса. Поэтому они особенно опасны.
Насколько же серьезна данная проблема? Как много шпионских программ способно проникнуть в систему через дыры в безопасности во время обычного серфинга в интернете? Бенджамин Эдельман провел для этого специальное исследование, результаты которого опубликовал (http://www.benedelman.org/news/111804-1.html) в своем блоге.
Для проверки взяли обычный ПК со свежей, непропатченной копией Windows XP и посетили одну-единственную веб-страницу с эксплоитом, который использует известную уязвимость в IE (этот эксплоит можно поместить практически на любой веб-странице). Результатом стала установка на компьютер как минимум 16-ти (!) программ, причем ни одна из них не выводила запросов на установку, лицензионных соглашений или каких-либо других сообщений.
Исследование показало, пишет Вебпланета, что с помощью эксплоита на компьютер установились следующие программы: 180solutions, BlazeFind, BookedSpace, CashBack by BargainBuddy, ClickSpring, CoolWebSearch, DyFuca, Hoost, IBIS Toolbar, ISTbar, Power Scan, SideFind, TIB Browser, WebRebates, WinAD и WindUpdates. Все эти программы были обнаружены сканером Ad-Aware (http://www.lavasoftusa.com/software/adaware/), но имеются вполне обоснованные подозрения, что некоторых “шпионов” сканер так и не обнаружил. Что интересно, разработчики программы 180solutions отказываются признавать использование дыр в безопасности своей программы. На своем сайте они гарантируют (http://www.180solutions.com/pages/privacypledge.aspx), что программа может устанавливаться только с согласия пользователя. В то же время процесс инсталляции программы вместе со списком автоматически созданных директорий на диске записан на видео (файл WMV; 5,8 МБ – http://www.benedelman.org/spyware/security-111804.wmv).
Компьютер начал проявлять различные признаки заражения, в частности, появились неизвестные панели инструментов в браузере, новые значки на рабочем столе (в том числе сексуального содержания), новый фон рабочего стола, всплывающие окна, нестандартные сообщения об ошибках в браузере в случае неправильного набора адреса страницы, изменения в файле HOSTS, новая стартовая страница в браузере, а также новые сайты в зоне “Надежные узлы” (Trusted Zone) браузера IE.
Данный тест проводился неоднократно, и оказалось, что дыру в безопасности используют и другие программы, не записанные на видео: Ebates Moe Money Maker, EliteToolBar, XXXtoolbar и Your Site Bar.
Кто же зарабатывает на этом? Ответ можно найти здесь – http://mail.gnome.org/archives/gnome-i18n/2003-February/msg00066.html. Сотрудники фирмы 180solutions открыто предлагают оплату по 7 центов за каждую инсталляцию их программы. Бенджамин Эдельман сообщает, что в логах зараженного ПК присутствует идентификационный номер “партнера” в реферральской программе 180solutions. Таким образом, при получении последним чека на вознаграждение компания легко может вычислить, кто использует эксплоит в интернете для распространения их софта (если, конечно, они сами не поощряют такие действия). Эдельман обещает передать информацию в правоохранительные органы.