Лаборатория Касперского опубликовала аналитическую статью "Мгновенные" угрозы" Дениса Масленникова и Бориса Ямпольского, вирусных аналитиков компании, посвященную распространению вредоносного ПО через программы для мгновенного обмена сообщениями (IM-клиенты). Данные программы весьма привлекательны для различного рода злоумышленников, в связи с чем проблема распространения вредоносного ПО через IM-клиенты стоит достаточно остро. Новые версии клиентов содержат неизвестные до поры до времени уязвимости, которые могут быть обнаружены сначала хакерами, и только потом - создателями программы. Такие ситуации чреваты массовыми эпидемиями. Кроме того, многих пользователей беспокоят нежелательные сообщения (IM-спам).
В статье на примере ICQ - популярного во многих странах IM-клиента - рассматриваются наиболее распространенные способы атак, которые злоумышленники предпринимают и в отношении пользователей других IM-клиентов.
Широко распространена кража ICQ-номеров при помощи различных вредоносных программ, среди которых лидирует семейство Trojan-PSW.Win32.LdPinch, угрожающее пользователям на протяжении последних нескольких лет. LdPinch ворует пароли не только к ICQ и другим IM-клиентам, но также к почтовым клиентам, различным FTP-программам, онлайн-играм и т.д.
Через ICQ преимущественно распространяются: IM-черви, использующие клиент как плацдарм для саморазмножения; троянские программы, нацеленные на воровство паролей (в подавляющем большинстве случаев это Trojan-PSW.Win32.LdPinch); вредоносное ПО, предназначенное для получения от пользователя денежных средств обманным путем (например, Hoax.Win32.*.*).
Если распространение IM-червей обычно происходит без участия пользователя, то в других случаях злоумышленники пытаются спровоцировать потенциальную жертву на активные действия: клик по ссылке, размещенной в сообщении, загрузку и открытие определенного файла и т.д. Для достижения желаемого результата интернет-мошенники часто применяют методы социальной инженерии.
Кроме того, для осуществления атаки могут использоваться уязвимости в самих программах для мгновенного обмена сообщениями. С помощью уязвимости можно, например, вызвать переполнение буфера и исполнение произвольного кода в системе. Уязвимость также позволяет атакующему получить доступ к удаленному компьютеру без ведома и без согласия его владельца.
Количество спам-сообщений, получаемых пользователем в единицу времени, напрямую зависит от его ICQ-номера. На шестизначный номер в среднем приходит 15-20 нежелательных сообщений в час, ничем не примечательные девятизначные номера получают 10-14 таких сообщений в сутки, а т.н. "красивые" - в 2-2,5 раза больше.
Специфических средств защиты IM-клиентов на данный момент не существует, однако соблюдение элементарных правил <компьютерной гигиены>, правильно настроенный антиспам-бот, а также внимательность и благоразумие позволяют пользователям успешно противостоять интернет-мошенникам и спокойно наслаждаться общением в Сети.
(С) асечка