Угрозы для IM-клиентов и способы защиты от них

В наши дни виртуальное общение в Сети стало для многих неотъемлемой частью повседневной жизни. Но программы для мгновенного обмена сообщениями весьма привлекательны для различного рода злоумышленников. Знание потенциальных угроз, распространяемых через IM-клиенты, и способов защиты от них поможет пользователям избежать многих неприятностей при общении в Сети.

28.05.2008 13:48,
Страницы: 1 2 3 След.

Программы для мгновенного обмена сообщениями весьма привлекательны для различного рода злоумышленников. Знание потенциальных угроз, распространяемых через IM-клиенты, и способов защиты от них поможет пользователям избежать многих неприятностей при общении в Сети.

IM-клиенты

В наши дни виртуальное общение в Сети стало для многих неотъемлемой частью повседневной жизни. Существует множество способов связи, каждому из которых отведено определенное место в сетевом пространстве – электронная почта, чаты, различные форумы, комментарии в блогах и т.д. Среди пользователей также популярны системы мгновенного обмена сообщениями (англ. instant messengers, или IM), которые позволяют общаться с человеком, находящимся в любой точке мира, в режиме реального времени.

Чтобы общаться с помощью IM, пользователю достаточно иметь доступ в Интернет и установленную на компьютере программу (клиент) для мгновенного обмена сообщениями. Подобных программ очень много, и основные функции IM – собственно обмен сообщениями, поиск собеседников по интересам, просмотр персональной информации владельца аккаунта, различные режимы, в которых пользователь может находиться в Сети и т.д. – реализованы практически во всех IM-клиентах. Помимо этого, некоторые IM-клиенты (или, как их еще называют, интернет-пейджеры) могут иметь набор дополнительных функций.

В России самым популярным IM-клиентом, без сомнения, является ICQ. Название ICQ созвучно английской фразе «I seek you», что означает «я ищу тебя». У каждого пользователя ICQ есть уникальный номер, или UIN (unique identical number), с помощью которого он авторизуется на сервере. Каждый уникальный номер защищен паролем, который устанавливает пользователь. Сообщения передаются по протоколу TCP/IP с использованием специального формата, разработанного компанией Mirabilis. Как правило, одно сообщение умещается в одном TCP-пакете. Некоторые другие клиенты – например, QIP (Quiet Internet Pager) или Miranda – пересылают сообщения, используя различные версии этого же протокола.

Еще одна программа – ее предпочитают многие западные пользователи – MSN Messenger (или Windows Live Messenger), стандартный IM-клиент, разработанный компанией Microsoft. MSN Messenger использует Microsoft Notification Protocol (иногда его также называют Mobile Status Notification Protocol – протокол для мобильного оповещения). Протокол MSNP2 является полностью открытым, однако код остальных его версий на данный момент закрыт. В последней версии MSN Messenger используется версия MSNP16.

В Китае имеется аналог ICQ, который называется QQ. Его популярность в данном регионе очень высока.

Окно китайского IM-клиента QQ.
Окно китайского IM-клиента QQ.

В программе Skype помимо функции интернет-пейджера реализована возможность голосового общения. Этот клиент, получивший широкое распространение во всем мире, позволяет пользователям бесплатно обмениваться голосовыми сообщениями. Для этого каждому собеседнику необходимо иметь гарнитуру с микрофоном и компьютер с доступом в Интернет и установленным клиентом. Skype также позволяет звонить на телефонные номера, но такая услуга стоит денег.

IM-Угрозы

К сожалению, виртуальный мир в целом и система мгновенного обмена сообщениями в частности доступны для злоумышленников. Чаще всего в IM осуществляются следующие виды незаконной деятельности:

  1. Кража паролей к аккаунтам IM-клиентов путем перебора паролей (брутфорса) или выманивание их у пользователей с помощью методов социальной инженерии;
  2. Распространение вредоносных программ:
    - Рассылка сообщений со ссылками, при активации которых на компьютер пользователя пытается загрузиться вредоносная программа. Используя методы социальной инженерии, злоумышленник провоцирует пользователя открыть загружаемый файл, т.е. запустить вредоносную программу;
    - Рассылка сообщений со ссылками на зараженные веб-страницы;
  3. Спам-рассылки.

Все программы для мгновенного обмена сообщениями подвержены различного рода угрозам. Возьмем, к примеру, популярный в Китае IM-клиент QQ. Широко распространенные в данном регионе Trojan-PSW.Win32.QQPass и Worm.Win32.QQPass специально созданы для воровства паролей к QQ-клиенту. WormWin32.QQPass размножается, копируя себя на сменные носители вместе с файлом autorun.inf, обеспечивающим автозапуск червя на неинфицированном компьютере (в том случае, если функция автозапуска на последнем не отключена).

Вирусописатели не обошли стороной и Skype. Worm.Win32.Skipi распространяется через Skype-клиент, рассылая по контакт-листу пользователя зараженной машины ссылку на свой исполняемый файл. Помимо этого, червь копирует себя на сменные носители вместе с файлом autorun.inf, правит файл hosts, делая невозможным обновление антивирусных продуктов и Windows, а также пытается завершить работу защитных программ в системе. Не обошлось и без троянца, ворующего пароли к Skype. «Лабораторией Касперского» он детектируется как Trojan-PSW.Win32.Skyper.

MSN Messenger, разработанный компанией Microsoft, активно используется злоумышленниками для распространения различных IRC-ботов. Многие из них способны размножаться через этот клиент по команде, полученной из центра управления бэкдором. Происходит это следующим образом. Предположим, у злоумышленника есть небольшой ботнет, который он хочет расширить. Для этого через центр управления всем бэкдорам посылается команда разослать по адресам из контакт-листов MSN Messenger’а зараженных пользователей сообщения со ссылкой следующего вида: http://www.***.com/www.funnypics.com. Дальнейшее зависит от действий пользователя, получившего данную ссылку. Если он решит взглянуть на «забавные картинки», то в зомби-сети станет одним компьютером больше: при клике на ссылку на компьютер пользователя загружается бэкдор.

Интернет-мошенники используют MSN Messenger потому, что этот клиент входит в установочный пакет Windows, а значит, по умолчанию он есть у всех пользователей данной ОС. Популярность MSN за рубежом делает данный IM-клиент весьма привлекательным для злоумышленников, желающих увеличить число зараженных компьютеров в своих зомби-сетях.

Часть вредоносной программы Backdoor.Win32.SdBot.clg. Красным цветом подчеркнуты команды, отвечающие за размножение троянца.
Часть вредоносной программы Backdoor.Win32.SdBot.clg. Красным цветом подчеркнуты команды, отвечающие за размножение троянца.

Угрозы в ICQ

На примере ICQ мы рассмотрим наиболее распространенные способы атак, которые злоумышленники могут предпринимать и в отношении пользователей других IM-клиентов.

Кража паролей

Как уже было сказано, у каждого пользователя ICQ есть свой уникальный идентификационный номер, или UIN. В настоящее время наиболее распространены девятизначные номера, однако многие пользователи хотят, чтобы их UIN совпадал с номером мобильного телефона, был симметричным или содержал одинаковые цифры. Такие UIN’ы удобны для запоминания, а для кого-то подобный номер – вопрос престижа. Особенно ценятся так называемые «красивые» ICQ-номера – пяти-, шести- или семизначные UIN’ы, содержащие, например, только две цифры.

«Красивые» номера продаются, и их цена, как правило, достаточно высока. На многих сайтах существует услуга «заказ номера»: за установленную плату владельцы сайта обещают с некоторой долей вероятности «достать» приглянувшийся заказчику UIN. Кроме того, покупателям предлагают оптовые партии ничем не примечательных девятизначных номеров, которые представляют интерес для любителей массовых рассылок. Использование большого количества номеров при проведении спам-рассылок позволяет спамерам обойти «черные списки», куда разгневанные пользователи заносят номера, с которых приходят спам-сообщения.

Продавцы «престижных» номеров редко рассказывают о методах их получения. В электронных магазинах покупателей уверяют, что «красивые» UIN’ы продаются на законных основаниях. Но на самом деле в большинстве случаев такие ICQ-номера добываются нелегальным путем.

Для кражи UIN’ов злоумышленники используют несколько способов. Многочисленные интернет-магазины, торгующие «красивыми» номерами, зачастую занимаются «промышленным» перебором паролей и кражей аккаунтов. Еще один способ – подбор пароля к primary email и изменение исходного пароля к UIN’у пользователя без ведома последнего. Рассмотрим этот способ подробнее.

Если пользователь забыл пароль к своему UIN’у, служба поддержки ICQ предлагает определенную схему его восстановления. Она неоднократно усложнялась, дорабатывалась и в настоящее время представляет собой систему, более или менее надежно защищающую пароль от кражи. Пользователю предлагается ввести ответы на установленные им самим вопросы. Если же он забыл ответы, то вопросы можно сменить при помощи primary email – почтового адреса, введенного в контактную информацию при регистрации. Схема достаточно надежна, но если злоумышленник каким-либо образом получил доступ к primary email, то UIN, можно сказать, у него в кармане. Подобрав пароль к primary email, можно связаться со службой поддержки ICQ и от имени владельца аккаунта попросить выслать новый пароль, поскольку старый якобы забыт. После получения нового пароля злоумышленник может лишить владельца доступа и к ICQ, и к primary email, сменив старые пароли. Следует отметить, что такой способ кражи достаточно непрост: для перебора паролей к почтовому ящику, с которым связан номер ICQ, необходим мощный компьютер или даже сеть.

Однако наиболее популярна кража ICQ-номеров при помощи различных вредоносных программ, среди которых лидирует Trojan-PSW.Win32.LdPinch. Данное семейство угрожает пользователям на протяжении последних нескольких лет. LdPinch ворует пароли не только к ICQ и другим IM-клиентам (например, Miranda), но также к почтовым клиентам, различным FTP-программам, онлайн-играм и т.д. Существуют специальные программы-конструкторы для создания необходимого злоумышленнику троянца – они позволяют задавать параметры установки вредоносного ПО на зараженный компьютер, определять, какие именно пароли вредоносная программа будет воровать у пользователя, и т.д. После конфигурирования преступнику остается лишь указать электронный адрес, на который будет отправляться конфиденциальная информация. Именно простота создания таких вредоносных программ приводит к тому, что они часто встречаются не только в почтовом, но и в IM-трафике.

Окно программы-конструктора троянца Trojan-PSW.Win32.LdPinch
Окно программы-конструктора троянца Trojan-PSW.Win32.LdPinch.

Страницы: 1 2 3 След.
Оцените материал:  
(Голосов: 11, Рейтинг: 3.68)

Каждый вечер мы будем присылать вам одно письмо со всеми опубликованными за день материалами. Нет материалов - нет писем, просто и удобно (другие варианты).

Материалы по теме


Комментарии (0)