Уразливість служби IRC

Internet Relay Chat (IRC) є одним з найбільш популярних додатків Internet. Ця програма привертає користувачів не тільки тим, що вони можуть спілкуватися в реальному часі, але і можливістю без затримки обмінюватися файлами за допомогою найсучасніших клієнтських програм IRC (автори віддають перевагу mirc). Ось тут-то і починаються проблеми.
Нерідко новачків IRC бентежать часті пропозиції поділитися з ними файлами, що поступають від інших користувачів, що беруть участь в каналі зв'язку. У багатьох з них достатньо здорового глузду, щоб відмовитися від пропозицій абсолютно незнайомих людей. Проте сама атмосфера IRC сприяє швидкому зав'язуванню дружби і переходу до менш формальних стосунків. Родич одного з авторів попався на таку вудку, і його жорсткий диск відформатував простеньким командним файлом. Ім'я родича тут не приводиться в цілях збереження анонімності і репутації автора. Незабаром ви самі зможете переконатися в тому, що ця проблема, як і проблема "безневинних" вкладень електронної пошти, насправді виявляється набагато серйознішою.

Злом DCC

Цікава дискусія з приводу описуваної в даному розділі атаки зав'язалася в списку розсилки Incidents на Web-узле http://www.securityfocus.com (огляд за 10-11 липня 2000 року №2000-131). Ось повчальна історія: цікавому користувачеві запропонували отримати файл по прямому каналу DCC (DCC — direct client to client) (у службі IRC використовуються методи під назвою DCC Send і DCC Get, призначені для установки прямого з'єднання з іншим клієнтом IRC і передачі/прийому файлів з використанням цього з'єднання, а не мережі IRC). Файл називався Life_stages.TXT. (Де ж він нам зустрічався? Загляньте в один з попередніх розділів, в якому описуються вкладення файлів . SHS Windows.). Ясно, що це була або очевидна спроба заподіяти шкоду, або автоматизована атака, що виконується з використанням зламаного клієнта IRC без відома його господаря.
Це одна з особливостей IRC, швидко обеззброююча нових користувачів. Потрапивши до якого-небудь клієнта 1rc, віруси-"черві" можуть упаковувати себе в сценарії і розсилатися по каналу DCC кожному, хто до нього підключений. При цьому користувач за терміналом може навіть ні про що не здогадуватися.
Більш того, схоже, що цей обговорюваний в списку Incidents "черв'як" був здатний автоматично ігнорувати канали, в яких дискутувалися питання захисту від вірусів. Також автоматично ігнорувалися співбесідники, що згадують в своїх повідомленнях такі поняття, як "infected", "life-stages", "remove", "virus" і багато інших застережних слів. Тому, якщо користувач не відключить функцію автоматичного ігнорування, може пройти немало часу, перш ніж його зможуть попередити про цю небезпеку.

Контрзаходи

На щастя, більшість клієнтів IRC за умовчанням завантажують файли, передавані по DCC, в заданий користувачем каталог. Після отримання файлу користувач повинен зайти в цей каталог і запустити файл уручну.
Також як і до вкладень електронної пошти, до файлів, переданих по каналу DCC, слід підходити з великим скептицизмом. Окрім звичайних "порушників" (файлів з розширеннями .ват, .сом . EXE . V3s і . DLL), звертайте увагу також на документи Microsoft Office, в яких можуть міститися небезпечні макроси, а також на різні засоби автоматизації, здатні захопити контроль над клієнтським застосуванням. Для перевірки цих файлів ми настійно рекомендуємо використовувати антивірусні програми.
Зазвичай спроби висліджування шкідливих користувачів IRC є абсолютно даремним заняттям і просто приводять до втрати часу. У дискусії, яка проводилася в списку Incidents, згадувалося про те, що більшість зломщиків під'єднуються до каналу IRC за допомогою віртуальних вузлів і BNC (IRC Bouncer; по суті, це proxy-сервер служби IRC). Таким чином, відстежуй;;: шляху проходження пакету в зворотному порядку дозволить виявити IP-адрес не сидяї:гг: за терміналом користувача, а сервера ВМС.