Уязвимость удаленных соединений



Взлом DCC



Взлом DCC


Интересная дискуссия по поводу описываемой в данном разделе атаки завязалась в списке рассылки Incidents на Web-узле http://www.securityfocus.com (обзор за 10-11 июля 2000 года, №2000-131). Вот поучительная история: любопытному пользователю предложили получить файл по прямому каналу DCC (DCC — direct client to client) (в службе IRC используются методы под названием DCC Send и DCC Get, предназначенные для установки прямого соединения с другим клиентом IRC и передачи/приема файлов с использованием этого соединения, а не сети IRC). Файл назывался LIFE_STAGES.TXT. (Где же он нам встречался? Загляните-ка в один из предыдущих разделов, в котором описываются вложения файлов . SHS Windows.). Ясно, что это была либо очевидная попытка причинить вред, либо автоматизированная атака, выполняемая с использованием взломанного клиента IRC без ведома его хозяина.
Это одна из особенностей IRC, быстро обезоруживающая новых пользователей. Попав к какому-либо клиенту 1RC, вирусы-"черви" могут упаковывать себя в сценарии и рассылаться по каналу DCC каждому, кто к нему подключен. При этом пользователь за терминалом может даже ни о чем не догадываться.
Более того, похоже, что этот обсуждаемый в списке Incidents "червь" был способен автоматически игнорировать каналы, в которых дискутировались вопросы защиты от вирусов. Также автоматически игнорировались собеседники, упоминающие в своих сообщениях такие понятия, как "infected", "life-stages", "remove", "virus" и многие другие предостерегающие слова. Поэтому, если пользователь не отключит функцию автоматического игнорирования, может пройти немало времени, прежде чем его смогут предупредить об этой опасности.



Содержание Назад Вперед