Взлом с использованием в качестве вложений файловоболочек



Взлом с использованием в качестве вложений файлов-оболочек

Малоизвестным секретом системы Windows является то, что у файлов с расширением . SHS их реальное расширение по умолчанию скрыто в соответствии с параметром системного реестра HKEY_CLASSES_ROOT\ShellScrap\NeverShowExt. Очевидно, что в этом не было бы ничего особенного, если бы эти файлы .SHS, также известные как объекты Shell Scrap Objects, не обладали возможностью запускать команды. Основанные на технологии Object Linking and Embedding (OLE), обсуждавшейся в разделе, посвященном элементам управления ActiveX, эти файлы являются, по существу, оболочками для других внедренных объектов. Такими объектами могут быть электронные таблицы Excel (большинство читателей знают, что их можно помещать в документы Word) или файлы другого типа. Самый простой способ создать такой файл — это поместить какой-либо файл в другое приложение, поддерживающее технологию OLE (например, Wordpad), а затем скопировать его пиктограмму в другую папку. Теперь файл, который мы вставляли, содержится в своем собственном файле-оболочке, имеет свою пиктограмму и уникальное расширение (SHS). При запуске файла SHS помещенный в него объект запускается вместе с ним. Более того, с помощью компонента Microsoft Object Packager с вложенным объектом можно связывать команды, что открывает новые возможности для тех, кто хоть немного знаком с DOS.
В июне 2000 года неизвестным злоумышленником был запущен "червь", получивший название LifeChanges. Его работа основывалась на описанных свойствах файлов . SHS. Этот "червь" направлялся в виде электронного сообщения с изменяющейся строкой темы, которая указывала на то, что во вложении находятся анекдоты. Файл вложения на самом деле был файлом . SHS с обманным расширением .ТХТ, которое делало его похожим на обычный текстовый файл (даже установленная по умолчанию пиктограмма этого файла была похожа на пиктограмму текстового файла). После запуска LifeChanges выполнял стандартные действия: рассылал себя по почте первым 50 адресатам из адресной книги жертвы, удалял файлы и т.д. Очень интересно было наблюдать, как кто-то выбрал основой для взлома коварную особенность файлов . SHS, которая была известна на протяжении нескольких лет, и с такой легкостью попал в хронику Web-узла PCHelp (http://www.pc-help.org/security/scrap.htm). Кто знает, сколько мин еще заложено в системном реестре Windows?



Содержание раздела