De mennesker der skriver vira og orme som f.eks. Bugbear og Klez har travlt med at være kreative. Det kræves nemlig for at en virus i dag skal have "held" med at sprede sig. Det betyder også, at der nu kigges på andre spredningsformer end dem som vi kender i form af dobbelte filendelser og udnyttelse af gamle sårbarheder i populært software.
Iframe sårbarheden har været anvendt i viruskode i det sidste halve år. Iframe sårbarheden, som også hedder "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment" er bl.a. blevet anvendt til delvis automatisk spredning i orme som Klez, Nimda, Badtrans og senest Bugbear. De fleste gateway scannere er i dag i stand til at detekte dette exploit og blokere for adgang til virksomhedens netværk, hvorfor udnyttelse af denne type sårbarhed ofte påvirker den private bruger, som ikke har opdateret sit system behørigt og installeret antivirus software.
En virus/orm skal i dag ramme virksomheder for at blive en alvorlig trussel. Det er her den har størst mulighed for at anrette skade og spredes hurtigt. Det lykkedes i et begrænset omfang for både Nimda, Klez og Bugbear, men det vil sandsynligvis ikke være så nemt i fremtiden, da vi til stadighed har opmærksomheden rettet mod denne type trussel.
Det er netop derfor, at virusprogrammørerne nu begynder, at blive særligt kreative. Og det er ikke vanskeligt, at tænke sig til at "social enginering" vil blive en væsentlig del i den fremtidige viruskode.
Under et foredrag om sikkerhed for en måned siden fik jeg nævnt, at Windows XP's halvautomatiske håndtering af ZIP filer kunne blive et problem. Udbredelsen af det populære pakkeprogram Winzip kan desuden medvirke til at virusskriverne kan anvende pakkeprogrammet til at snige virus ind igennem virksomhedens gateway. Langt størstedelen tillader nemlig zip filer adgang til det interne netværk - og hvorfor skulle de ikke også det?
Ja, spørgsmålet er naturligvis om brugerne bag forsvaret kan gennemskue en e-mail som er vedhæftet en zip fil. Indholdet i e-mailen kan jo ved hjælp af social enginering måske overbevise dem om at det er hensigtsmæssigt at aktivere det pakkede indhold. Netop XP har indbygget zip, så brugeren direkte kan aktivere koden, når den vedhæftede fil åbnes. Det er ikke så meget anderledes end det vi tidligere har oplevet med vbs eller exe filer. Fra zip applikationen kan brugeren nemlig direkte aktivere koden med et dobbeltklik.
Microsoft har igen gjort det nemt for brugeren, men også nemt for de mennesker der har mindre reelle hensigter og som misbruger godtroende og uvidende brugere. En virus i en zip fil, som ved aktivering, spreder sig via delte netværksdrev, er ikke science fiction. Denne type angreb står for døren.
En anden vinkel er, at zip filer med password beskyttelse ikke kan scannes for ondsindet kode fordi gateway scannerne eller antivirus programmerne ikke kan få adgang til koden, da den er pakket i en beskyttet fil. En virusprogrammør kan nemt udnytte dette ved at generere et password og lægge det unikke password ind i e-mailen.
F.eks.
Emne: DOCUMENT [Navn på modtager]
Vedhæftet: [Navn].zip
Indhold:
Dear [Navn]
Attached you will find my latest document that will give you access to free games and fun 
I have zipped the document and your password is [genereret vilkårligt].
Have fun!
Når brugeren på denne måde lokkes til at åbne zip-filen, vil koden først kunne stoppes i det øjeblik antivirus softwarens on-access scanner kender den pågældende kode. Den kan og vil ikke blive blokeret i gateway'en medmindre, at firmaet har besluttet at filtrere/blokere for zip filer.
Nu er det så, at nogen vil mene at dette er lidt lovligt "teoretisk", men desværre nej. Virus i zip filer er ikke nyt og vi har ikke set det sidste til denne måde at sprede kode på.
I nat advarede Persystems - en antivirus leverandør fra Peru - om en ny orm, som netop pakker filerne og via social enginering lokker dem til at aktivere koden fra den pakkede fil. Denne orm er blevet døbt Bohusbear.
Selvom denne orm næppe er en trussel for danske brugere, fordi indholdet ikke er forlokkende eller forståeligt, vil denne type orm kunne blive morgendagens trussel.
Peter Kruse er sikkerheds- og virusanalytiker hos Telia @ Security
