Віруси в Outlook Express

Євген Портнов

Добре відома програма Outlook Express (далі ОО) містить помилку, через яку вкладені в лист виконувані файли можуть запускатися без дозволу користувача, просто при перегляді листа. Ця проблема (т.зв. IFRAME-вразливість) була відома ще в минулому році, однак виправляє її патч підходить не у всіх випадках. (Про це див нижче). Тому кількість людей, що користуються вразливою версією ОЕ, залишалося високим. Останнім часом з'явилися віруси, що використовують цю вразливість, і стали дуже швидко поширюватися. Деякі з них: Klez, Aliz, BadtransII, Nimda, Toil.

Загалом є два основні шляхи зараження комп'ютера поштовим вірусом (або хробаком, як їх ще називають):

1. Вірус запускає користувач, тобто ви самі. Елементарна обережність і знання найпростіших правил захистить вас від цього.

2. Вірус запускає ваша поштова програма. У цьому випадку обережність полягає в тому, щоб не користуватися скомпрометованими поштовими програмами. У даному випадку, мова йде про ОЕ.

Питання та відповіді.


Q: Діагностика. Як перевірити свій ОЕ уразливість на?

A: Ось один із способів. Завантажте, збережіть на диск, а потім запустіть ось цей файл: test_oe.eml, розмір 5 кб. (Інший варіант.) Це стандартний файл листи. Відкривши його в нормальній поштовій програмі (Кожної), ви побачите звичайне вікно перегляду листа, в якому буде видно текст листа і вкладений файл. Якщо ваш Outlook Express вразливий, то він автоматично запустить цей файл, і крім звичайного вікна ви побачите сіре віконце з написом "Windows 95" і кнопкою ОК. Вкладений файл – програма, яка більше нічого не робить, просто показує це віконце. Якщо вона запустилася, перестаньте користуватися Outlook Express зараз. Крім того, можливо, ваш комп'ютер вже заражений. Що робити в цьому випадку – читайте тут.


Q: Чим викликається проблема і які версії до неї схильні?

A: Помилка знаходиться не в самому ОЕ, а в Internet Explorer, так як ОЕ користується засобами Internet Explorer для відображення листів. Тому наявність уразливості залежить від версії IE, і тільки. У Касперського повідомляється, що ця проблема є у версіях IE 5.01 і 5.50. До цього я додам, що ще вона присутня в IE 5.00. Особисто я спостерігав цю проблему в наступних версіях IE (російських):

5.00.2614.3500

5.00.2314.1003

Дізнатися, яка версія у вас, можна через меню IE "довідка".


Q: Якщо це – діра в IE, чи не можуть до мене вломитися при перегляді веб-сторінок?

A: Можуть. Але таку сторінку тут же заб'є провайдер, так що ця проблема менш актуальна, ніж віруси у листах. Якщо вас це турбує, або завантажте останню версію IE (і оновлюйте його після кожного нового повідомлення про дірку), або поставте собі інший браузер. Деяким подобається Opera, а деяким Netscape. Особисто я користуюся Оперою і всім раджу. Але це вже питання смаку.


Q: А в IE 6 все нормально?

A: Там цієї діри немає, але там регулярно знаходять інші дірки найрізноманітнішого властивості. Про них шукайте інформацію в інших місцях. Я пишу тут про найпоширеніші проблеми. Крім того, IE6 повинен бути поставлений в режимі Typical або Full Install. Якщо він поставлений як Minimal або Custom, там ця проблема може залишитися.


Q: Тест показав, що з моїм ОЕ все нормально. Можна продовжувати ним користуватися?

A: Як хочете. Я не довіряю цим програмам. Якщо регулярно оновлювати IE, може бути, ними і можна користуватися.


Q: Що робити, якщо тест показав, що OE вразливий?

A: Насамперед, перестати ним користуватися. Перевірити свій комп на наявність вірусів. Встановити якусь іншу поштову програму, наприклад Thе Bat. Якщо ви користуєтеся mail.ru або іншим подібним сервісом, поки ви не встановили іншу поштову програму, читайте пошту через веб-інтерфейс. Якщо ви продовжуєте користуватися ОЕ, знаючи, що він уразливий, зараження вірусом рано чи пізно вам гарантовано.


Q: Як щодо патча? Кажуть, його випустили мало не рік тому …

A: Дійсно, кажуть. У Касперського написано буквально наступне:

    Дана пролом була виявлена в кінці березня 2001 р. і описана в бюлетені Microsoft

    "Заплатка", що усуває дану уразливість, випущена компанією Microsoft 29 березня 2001 і доступна для завантаження за адресою:

На сайті "Діалог-наука" написано майже те ж саме:

    Більш докладну інформацію про пролом у захисті MS Internet Explorer, яку використовує даний вірус, а також відповідну латку (патч) можна знайти тут: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

(Копія цього опису в мене.)

Пройшовши туди, куди нас посилають Касперський і Данилов, ми бачимо пропозицію завантажити патч, і системні вимоги для цього патча:

    System Requirements

    • Internet Explorer 5.01 Service Pack 1
    • Internet Explorer 5.5 Service Pack 1

    Note This update is included in Internet Explorer 5.01 Service Pack 2.

Про більш старих версіях в іншому місці написано:

    Tested Versions:
    Microsoft tested IE 5.01 and IE 5.5 to assess whether they are affected by this vulnerability. Previous versions are no longer supported and may or may not be affected by this vulnerability.

Тобто цей так званий патч не підходить до версій 5.00, 5.01, 5.50, якщо вони не "SP". Йому потрібна версія 5.01 Service Pack 1 (за російською вона називається версія 5.01, оновлення 1), або 5.50 Service Pack 1. Якщо у вас саме така версія, вам дуже пощастило. Ви можете завантажити 500 кб з сайту і спати спокійно. Якщо вона є у вас – напишіть мені в гостьову книгу. Якщо ж у вас SP2, все зовсім добре. Нічого робити не треба.

Проблема в тому, що ці версії дуже рідко зустрічаються. У всіх моїх знайомих варто або IE 5.00, або 5.50, без оновлень. Що ж стосується "оновлень", то сайт MS повідомляє, що для того, щоб "відновити" IE з будь-якою п'ятої версії (наприклад 5.00) до версії 5.01 sp 2, буде потрібно завантажити від 6 до 17 мегабайт. (Мабуть, все ж таки ближче до меншого межі.) Те ж саме сказано про версії 5.50SP1 і 5.50SP2. Всі версії 5.хх викачуються тут. Розмір версії 6: мінімальний 11 мб (не підходить, тому що не вирішує проблему), типовий 25 мб (це – те, що вам треба). (Там в іншому місці написано, що від 6 до 17, але це, швидше за все, просто помилка – скопіювали зі сторінок про п'яту версію.)

Всі розміри наведено згідно з тим, що написано на їхньому сайті. Природно, я не скачував все це лише для того, щоб дізнатися розмір 😉

З усього цього можна зробити такий висновок: або треба позбавлятися від Outlook Express, або завантажувати останню версію IE. Патчі практично марні. По-моєму, краще поставити The Bat.

Q: Що зроблять з тими, хто буде розсилати такі листи з троянами, щоб добути паролі? 🙂

A: Відповідь тут 😉

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*