Накануне Дня святого Валентина злоумышленники, облюбовавшие системы обмена сообщениями в реальном времени, настроили свои роботы на игривый лад.

Эксперты компании PC Tools обнаружили такой «флирт-бот» в MSN-мессенджере. Болтливый зловред умело подстраивался под реплики собеседника, обходя каверзные вопросы. На классический вопрос «Ты не бот?» робот отреагировал весьма нестандартно: «What's a bot?» («Бот? А что это?»). Столицы Саудовской Аравии «кибердива», правда, не назвала, но, пуская в ход чисто дамские уловки, предложила продолжить общение «в более интимной обстановке» — через веб-камеру.

Веб-сайт, указанный роботом, запросил номер кредитной карты — якобы в доказательство совершеннолетия посетителя. PC Tools напоминает, что диалог с незнакомцем сопряжен с риском, а его подсказки могут обернуться большими неприятностями.

Число угроз для систем мгновенного обмена сообщениями существенно выросло в 2005 году и, по-видимому, еще больше вырастет в текущем. В то же время для принятия адекватных мер IT-структурам понадобится некоторый период. К такому выводу пришли эксперты американских компаний Akonix Systems Inc. и IMlogic Inc., сообщает сайт SearchSecurity.com. Обе компании специализируются на производстве средств защиты для систем мгновенного обмена сообщениями.

«IT-департаменты потратили много денег на информационную безопасность. Они укрепили стены замка, но оставили открытым мост в виде систем мгновенного обмена сообщениями. Существенная проблема заключается в том, что пользователи сами устанавливают и запускают интернет-пейджеры», — комментирует ситуацию представитель IMlogic Inc. Арт Джиллианд (Art Gilliland). По его мнению, системы мгновенного обмена сообщениями в большинстве случаев используются как скрытое средство коммуникаций. При этом большинство IT-специалистов могут не знать, насколько активно это скрытое средство используется в их сети.

По данным IMlogic Inc., в 2005 году рост угроз для интернет-пейджеров составил 1700 процентов. В 99 процентах случаев угрозы были сопряжены с распространением червей и вирусов, и 1 процент пришелся на использование эксплойтов, созданных специально для брешей в интернет-пейджерах.

57 процентов инцидентов пришлось на долю пользователей MSN Messenger, Windows Messenger и сети MSN network. 34 процента было связано с AOL Instant Messenger и ICQ и 9 процентов пришлось на долю пользователей Yahoo!

Существенный рост инцидентов с интернет-пейджерами обусловлен и пассивностью лиц, имеющих отношение к контролю за системами информационной безопасности. В ходе специального опроса представителей почти 100 организаций выяснилось, что средствами для защиты систем мгновенного обмена сообщениями располагают лишь 11 процентов респондентов. Для сравнения — о безопасности почтовых серверов и программ беспокоятся уже 73 процента респондентов. При этом 50 процентов респондентов признали, что идея о необходимости защищать интернет-пейджеры ни разу не приходила им в голову.

Полиция китайского города Шеньжень задержала человека, похищавшего и продававшего учетные записи популярной в Китае системы мгновенного обмена сообщениями QQ, сообщает сайт InfoWorld.com.

Задержанный похищал данные пользователей QQ в течение нескольких лет. Преступник, по-видимому, расшифровал и менял пользовательские пароли. Программа QQ разработана в шеньженьской компании Tencent Inc. По данным разработчиков, в конце июня текущего года число активных пользователей QQ составляло 173 миллиона человек. При этом постоянно в онлайне находится около 16 миллионов пользователей.

С учетом такого количества пользователей среднее число знаков в номере учетной записи QQ составляет 9. За номера из 5-6 цифр некоторые пользователи готовы заплатить до 1 тысячи юаней (124 доллара). QQ существует с 1999 года. Обладание короткой учетной записью означает, что пользователь имеет учетную запись с самого старта системы и дает ему определенный статус в QQ-сообществе.

Проблемы пользователей китайской системы мгновенного сообщения знакомы пользователям и других программ подобного рода. Например, короткие номера учетных записей ICQ тоже часто становятся объектом хищения.

Несколько дней назад мы уже писали о перерождении троянской программы Trojan-PSW.Win32.LdPinch, которая предназначена для кражи паролей и другой виртуальной собственности пользователей, в IM-червя.

Бывший троянец теперь умеет рассылать ссылки на себя по контакт-листу интернет-пейджера зараженного компьютера.

Сегодня зарегистрировано появление новой модификации этой вредоносной программы. К сожалению, многие пользователи, не обращая внимания на наши предупреждения, скачали и запустили эту вредоносную программу.

Вредоносная программа распространяется в виде ссылок, которые приведены в сообщении, рассылаемом червем от имени ваших знакомых. Факт получения ссылки от знакомого играет решающую роль: он заставляет пользователя скачать и запустить вредоносную программу.

С утра 7 ноября в Рунете в виде передаваемой через интернет-пейджеры ссылки распространяется Trojan-PSW.Win32.LdPinch.xh.

Вредоносная программа рассылается по контакт-листу интернет-пейджера зараженной машины, из-за чего получающие ссылку пользователи думают, что она пришла им от знакомых людей, скачивают программу по ссылке и запускают ее на выполнение.

Получаемое пользователями сообщение выглядит следующим образом:

Мы просим пользователей не скачивать содержимое указанной в подобном сообщении ссылки (по ней находится RAR-архив размером 26 КБ), даже если вы якобы получили это сообщение от вашего знакомого.

Тем, кто уже скачал и запустил находившийся в архиве файл необходимо срочно сменить все пароли — в том числе на доступ к почте и к интернет-пейджерам.

Детектирование вредоносной программы уже добавлено в антивирусные базы и выпущено в составе последних обновлений для Антивируса Касперского.

Сегодня по каналам MSN Messenger распространялась ссылка, призывавшая пользователей скачать себе на компьютер некий файл. Это обычное проявление активности IM-червей, которые в этом году доставили уже немало проблем пользователям популярных IM-клиентов.

Большой сюрприз ожидал нас, когда мы узнали, какая именно ссылка рассылается пользователям:

Если вы интересуетесь информационной безопасностью или антивирусными программами, то вы наверняка удивились не меньше нашего. Ведь Virus Bulletin является одним из наиболее авторитетных журналов антивирусной индустрии, а проводимые им тесты антивирусных программ считаются одними из самых значимых для любого антивируса.

Конечно же, сайт Virus Bulletin не был взломан. На самом деле, если внимательно посмотреть на адрес, то можно заметить, что букв «L» в нем не две, а одна, а букв «T» наоборот две. Да и настоящий сайт Virus Bulletin находится по адресу www.virusbtn.com.

Однако согласитесь, на первый взгляд выглядит очень похоже. Такой вот неожиданный трюк придумали авторы вирусов, пытающиеся сыграть на доверии продвинутых пользователей к авторитетным изданиям по информационной безопасности.

Ах да, по ссылке находился новый вариант Backdoor.Win32.Landis, детектирование которого было добавлено в очередное обновление наших антивирусных баз. Именно он по команде злоумышленника отправляет в сеть MSNM вышеуказанную ссылку.

Сегодня мы обнаружили новую разновидность червя семейства IM-Worm.Win32.Kelvir — она получила версию Kelvir.k. Как обычно, Kelvir распространяется с ботом, который мы детектим как Backdoor.Win32.Rbot.gen.

Новый вариант Kelvir использует любопытный метод социального инжиниринга: вместо отправки ссылки на pif- или scr-файл, червь рассылает ссылку на файл с расширением php.

Обработчик php-файлов позволяет добавлять к ним любые цифры и буквы — в виде запросов, после символа «?». Именно это делает Kelvir.k — указывает после php-файла электронный адрес пользователя MSNM.

Например:

Email пользователя №1: some@thing.qqq
Email пользователя №2: other@thing.zzz

Пользователь №1 получает ссылку, которая выглядит следующим образом:
http://www.[edited].us/[edited]/pictures.php?email=some@thing.qqq

Пользователь №2 получает ссылку, которая выглядит следующим образом:
http://www.[edited].us/[edited]/pictures.php?email=other@thing.zzz.

Когда пользователь щелкает по ссылке, ему выдается предложение запустить или сохранить файл. Хотелось бы надеяться, что на этом этапе большинство пользователей заподозрят неладное и не станут сразу запускать этот файл.

Однако, как только пользователь щелкает по ссылке, злоумышленники получают адрес его электронной почты. То есть, адрес попадает в спамерские базы даже если сам червь так и остается не активированным.

Вызвана ли эта новая тактика сбора адресов появившимися в MSNM 7 защитными функциями? Не думаю. Пока писался этот текст, мы обнаружили перепакованную версию Kelvir.e. А Kelvir.e для своего размножения использует ссылку на scr-файлы, которые не фильтруются MSNM 7.

Использование социальной инженерии заставляет предположить, что пользователи интернет-пейджеров стали внимательнее относиться к получаемым по ним ссылкам, и создатели подобных червей вынуждены искать пути повышения эффективности механизмов размножения своих творений.

Вчера MSN выпустила седьмую версию своего интернет-пейджера — MSN Messenger. В числе новых функций этой версии значатся дополнительные средства противодействия распространению IM-червей.

Разработчики предприняли ряд серьезных мер для предотвращения возможности шаринга и передачи pif-файлов. Так, любое сообщение, в котором содержится подстрока «.pif» полностью блокируется.

К сожалению, это происходит без каких-либо оповещений: ни отправитель, ни получатель сообщения не подозревают, что оно было заблокировано. Не слишком-то это дружелюбно по отношению к пользователям.

Вдобавок к фильтрации сообщений, MSNM7 блокирует передаваемые через него потенциально опасные файлы с расширениями exe, com, scr или, например, vbs и reg.

Несмотря на то, что уже появились черви, распространяющиеся в виде ссылки на scr-файл, блокирование pif-файлов является крайне эффективным методом пресечения распространения IM-червей — ведь большинство современных опасных IM-червей распространяются именно в виде файлов с расширением pif.

Даже если некоторым пользователям не понравятся подобные нововведения, я считаю, что лучше начинать привыкать к ним сейчас: по мере совершенствования IM-червей, схожие ограничения наверняка станут обязательными для большинства интернет-пейджеров.

Десять червей и их вариантов для служб обмена мгновенными сообщениями America Online AIM, ICQ и MSN были обнаружены в течение первых шести недель 2005 года. С таким сообщением выступила компания Akonix Systems, разрабатывающая технологические решения для «онлайновых пейджеров».

По сравнению с аналогичным периодом прошлого года число вредоносных программ для служб мгновенного обмена сообщениями возросло более чем в три раза. Возникающая тенденция делает опасным использование ICQ и других подобных сервисов. Согласно недавнему исследованию, 85 процентов всех компаний используют в своих сетях массовые службы мгновенного сообщения. При этом лишь 12 процентов этих компаний пользуются специальными решениями для контроля и обеспечения безопасности AIM, ICQ и MSN.

«В начале этого года Akonix предсказывал, что число вирусных угроз, распространяющихся через службы мгновенного обмена сообщениями, значительно вырастет. Возможно, мы даже недооценили уровень угроз, с которым нам предстоит столкнуться в течение ближайших 10 месяцев», — заявил президент Akonix Питер Шо (Peter Shaw).