Иллюстрированный самоучитель по защите в Интернет

Уязвимость службы IRC

Internet Relay Chat (IRC) является одним из наиболее популярных приложений Internet. Эта программа привлекает пользователей не только тем, что они могут общаться в реальном времени, но и возможностью без задержки обмениваться файлами с помощью самых современных клиентских программ IRC (авторы отдают предпочтение mIRC). Вот здесь-то и начинаются проблемы.

Нередко новичков IRC смущают частые предложения поделиться с ними файлами, поступающие от других пользователей, участвующих в канале связи. У многих из них достаточно здравого смысла, чтобы отказаться от предложений абсолютно незнакомых людей. Однако сама атмосфера IRC способствует быстрому завязыванию дружбы и переходу к менее формальным отношениям. Родственник одного из авторов попался на такую удочку, и его жесткий диск был отформатирован простеньким командным файлом. Имя родственника здесь не приводится в целях сохранения анонимности и репутации автора. Вскоре вы сами сможете убедиться в том, что эта проблема, как и проблема "невинных" вложений электронной почты, на самом деле оказывается гораздо более серьезной.

Взлом DCC

Интересная дискуссия по поводу описываемой в данном разделе атаки завязалась в списке рассылки Incidents на Web-узле http://www.securityfocus.com (обзор за 10-11 июля 2000 года, №2000-131). Вот поучительная история: любопытному пользователю предложили получить файл по прямому каналу DCC (DCC – direct client to client) (в службе IRC используются методы под названием DCC Send и DCC Get, предназначенные для установки прямого соединения с другим клиентом IRC и передачи/приема файлов с использованием этого соединения, а не сети IRC). Файл назывался LIFE_STAGES.TXT. (Где же он нам встречался? Загляните-ка в один из предыдущих разделов, в котором описываются вложения файлов. SHS Windows.). Ясно, что это была либо очевидная попытка причинить вред, либо автоматизированная атака, выполняемая с использованием взломанного клиента IRC без ведома его хозяина.

Это одна из особенностей IRC, быстро обезоруживающая новых пользователей. Попав к какому-либо клиенту IRC, вирусы-"черви" могут упаковывать себя в сценарии и рассылаться по каналу DCC каждому, кто к нему подключен. При этом пользователь за терминалом может даже ни о чем не догадываться.

Более того, похоже, что этот обсуждаемый в списке Incidents "червь" был способен автоматически игнорировать каналы, в которых дискутировались вопросы защиты от вирусов. Также автоматически игнорировались собеседники, упоминающие в своих сообщениях такие понятия, как "infected", "life-stages", "remove", "virus" и многие другие предостерегающие слова. Поэтому, если пользователь не отключит функцию автоматического игнорирования, может пройти немало времени, прежде чем его смогут предупредить об этой опасности.

Контрмеры

К счастью, большинство клиентов IRC по умолчанию загружают файлы, передаваемые по DCC, в заданный пользователем каталог. После получения файла пользователь должен зайти в этот каталог и запустить файл вручную.

Также как и к вложениям электронной почты, к файлам, переданным по каналу DCC, следует подходить с большим скептицизмом. Кроме обычных "нарушителей" (файлов с расширениями.ВАТ,. сом,.EXE,.V3S и.DLL), обращайте внимание также на документы Microsoft Office, в которых могут содержаться опасные макросы, а также на различные средства автоматизации, способные захватить контроль над клиентским приложением. Для проверки этих файлов мы настоятельно рекомендуем использовать антивирусные программы.

Обычно попытки выслеживания зловредных пользователей IRC являются абсолютно бесполезным занятием и попросту приводят к потере времени. В дискуссии, которая проводилась в списке Incidents, упоминалось о том, что большинство взломщиков подсоединяются к каналу IRC с помощью виртуальных узлов и BNC (IRC Bouncer; по существу, это proxy-сервер службы IRC). Таким образом, отслеживай пути прохождения пакета в обратном порядке позволит выявить IP-адрес не сидя за терминалом пользователя, а сервера ВМС.