Об опасности, которую представляют так называемые социальные сети, мы уже писали (см. "Социально опасные сети", Computerworld Россия, № 6, 2008). Тогда - в начале этого года - речь шла в основном о потенциальной угрозе. Дело в том, что в основе социальных сетей и других проектов, обозначаемых как Web 2.0, лежат те же технологии, которые показали свою незащищенность в эпоху Web 1.0. Опасность усилилась тем, что наполнением проектов Web 2.0 занимаются сами пользователи, и не всегда владельцы ресурса могут контролировать содержание своих серверов.

Вторая половина мая оказалась богатой на инциденты, связанные с социальными сетями. Первым был червь AntiDurov (Dr. Web,) или Rovud ("Лаборатория Касперского"), который начал распространяться 16 мая. Посетителям сайта "ВКонтакте.ру" по почте приходила ссылку на картинку. Когда пользователь переходил по ней, то получал вместо картинки вредоносный сценарий в виде SCR-файла, который исполнялся благодаря правильно определенному MIME-типу. В момент исполнения он подгружал реальную картинку и показывал ее с помощью приложения по умолчанию. У пользователя складывалось ощущение, что ничего опасного не произошло - он запрашивал картинку, и он ее получил. Однако сценарий продолжал работать дальше, устанавливая на компьютер пользователя другие вредоносные компоненты, а также подбирая пароли от адресной книги сайта "ВКонтакте.ру" и рассылая вредоносные ссылки дальше.

Наиболее опасным из устанавливающихся этим червем компонентов была логическая бомба, взведенная на 25-е число любого месяца на 10 часов утра. В это время она выдавала сообщение якобы от имени создателя сайта "ВКонтакте.ру" Павла Дурова: "Работая с "Вконтакте.ру", Вы ни разу не повышали свой рейтинг, и поэтому мы не получили от Вас прибыли. За это Ваш компьютер будет уничтожен!". Вредонос в это время уничтожал информацию на всех дисках компьютера, а также на подключенных флэшках. Причем уничтожение было необратимо - файл вначале затирался нулями, потом у него устанавливалась нулевая длина и только затем уничтожалась запись в файловой системе. Процедура была длительная, но надежная, и сохранить хоть что-нибудь можно было, если быстро выдернуть шнур питания.

Именно эта функциональность и привлекла к червю максимальное внимание - антивирусные компании очень оперативно отреагировали на появление червя. Вначале лаборатория Dr. Web выпустила пресс-релиз с предупреждением, а затем к ней присоединилась и "Лаборатория Касперского", обнаружившая 17 мая вторую модификацию червя, который рассылал сообщения с другим содержанием, но результат мог оказаться тем же. Из-за встроенной логической бомбы AntiDurov не рассматривали как профессиональную разработку, а скорее как месть Павлу Дурову с целью запятнать репутацию проекта "ВКонтакте" и снизить его ценность.

Видимо, вдохновленные успехом AntiDurov, профессиональные вирусописатели также решили использовать социальные сети как способ втереться в доверие. Первой была рассылка вредоносных сообщений, в которых предлагалось проголосовать на конкурсе красоты "Мисс Рунет". Это была классическая спам-рассылка по довольно широкой базе, а с "Одноклассниками.ру" атака была связано опосредованно - в сообщении была ссылка на то, что адрес получен с сайта "одноклассников". Вредонос представлял собой загрузчик, который нужно было самостоятельно установить при нажатии на ссылку "смотреть видео", а он уже устанавливал программы удаленного администрирования и изменения DNS-настроек.

После первой атаки хакерская группа rst опубликовала эксплойт, направленный против защиты "Одноклассников.ру". Впрочем, в нем просто автоматизировалась процедура восстановления и подбора пароля.

Вторая волна атаки на пользователей "Одноклассников.ру" началась 2 июня, и это опять была спам-рассылка по широкой базе адресов. На этот раз подделывалось стандартное уведомление от сайта "Одноклассники.ру" о получении им сообщения от другого пользователя. Эта атака использовала для проникновения на компьютер пользователя уязвимость в Internet Explorer. Насторожить могло только то, что домен, куда вела ссылка, был зарегистрирован не в зоне RU, а в зоне INFO. Впрочем, после заражения посетитель перенаправлялся на легальный сайт "Одноклассников", и многие ничего не заметили. Атака оказалась настолько успешной, что сервер злоумышленников, который должен был загружать вредоносный код, не справился с нагрузкой. В результате заразилось меньше компьютеров, чем могло бы.

Три проведенные за короткое время атаки с использованием социальных сетей - это уже начало новой эры социально ориентированных вирусов. И если первый червь, похоже, не предназначался для получения прибыли, то атаки с использованием "Одноклассников" имели явно выраженную коммерческою цель - развитие зомби-сети для ее последующей продажи. Очень похоже, что освещение в прессе червя AntiDurov подсказало владельцам зомби-сетей способ расширения зоны влияния. Впрочем, вполне возможно, что автор AntiDurov проводил показательную демонстрацию возможностей его технологий, а конкуренты просто адекватно отреагировали на усиление одного из игроков на этом рынке. Можно построить еще несколько непротиворечивых гипотез взаимовлияния произошедших событий, однако очевидным остается тот факт, что с мая 2008 года социальные сети стали действительно опасны для пользователей.


Хронология событий: Социально опасны

Вторая половина мая оказалась богатой на инциденты, связанные с социальными сетями в русскоязычной части Сети

16 мая Первая спам-рассылка AntiDurov
17 мая Вторая спам-рассылка AntiDurov
22 мая Рассылка спама от "Мисс Рунет"
25 мая Первое срабатывание логической бомбы AntiDurov
26 мая Публикация группой rst эксплойта против "Одноклассников"
2 июня Фишинг-атака на "Одноклассников"

Поделитесь материалом с коллегами и друзьями