Подробнее о новом вирусе для PowerShell
🕛 07.08.2006, 17:12
Группа вирусописателей из Австралии создала вирус MSH/Cibyz, нацеленный на Microsoft PowerShell - интерфейс командной строки и скриптовый язык, предназначенный для системного администрирования Windows...MSH/Cibyz способен распространяться через файлообменную сеть Kazaa, заманивая пользователей возможностью скачивания привлекательных продуктов.
MSH/Cibyz не использует какой-либо уязвимости PowerShell, а эксплуатирует его функциональную возможность исполнять скрипты. Тем самым новый код похож на batch-вирусы, написанные на Javascript или Visual Basic, команда загрузить которые поступает в систему при исполнении скрипта. Будучи загруженным, MSH/Cibyz устанавливает свою копию в совместно используемую папку Kazaa с целью дальнейшего распространения. "Мораль этой истории такова, что не существует ни одного абсолютно безопасного типа файлов и приложений", - говорит Аллиза Майерс (Allysa Myers), специалист антивирусной компании McAfee, обнаружившей MSH/Cibyz.
Новый код не несет разрушительных функций, это скорее исследовательский вирус. Однако в дальнейшем не исключено появление аналогичных MSH/Cibyz кодов с более опасным функционалом.
Российские эксперты по информационной безопасности считают, что российским пользователям со стороны MSH/Cibyz ничего не угрожает, во всяком случае пока. "Во-первых, Windows PowerShell - не сильно распространенная оболочка, она довольно нова и не успела завоевать широкую популярность, - комментируют в компании «Доктор Веб». - Во-вторых, ее целевая аудитория - системные администраторы, а не простые пользователи, поэтому, думается, что эпидемий таких вирусов опасаться не стоит, по крайней мере в ближайшее время. Вирусы и черви на скриптовых языках писались и раньше и никаких особых проблем это не вызывало".
"Однако, в силу того, что PowerShell - это инструмент системного администрирования, злоумышленник, воспользовавшийся уязвимостью оболочки, сможет получать доступ и контролировать целые компьютерные сети, а не только отдельные машины, - добавляют эксперты "Доктора Веб". - Очевидно, что соблазн в данном случае велик и можно быть уверенными, что подобные Cibyz'у инфекции будут появляться и наносить ущерб, в том числе и российским компаниям, не уделяющим должного внимания безопасности своих ИТ-ресурсов. Далее с появлением Windows с уже предустановленной оболочкой PowerShell, вероятность более широкого распространения инфекций, естественно, увеличится. Однако компания Microsoft уделяет достаточно много внимания безопасности своих продуктов, особенно последнее время, и появление Cibyz сейчас, сделает следующие релизы от Microsoft более надежными".
"Говорить о данной угрозе в России на данный момент никакого смысла нет, - заявляет Ольга Кобзарева, руководитель информационной службы "Лаборатории Касперского". - Это коллекционный вирус, причем, насколько нам известно, работающий некорректно. MSH, или PowerShell, в настоящее время находится в процессе разработки (и кстати, насколько мы знаем, Microsoft не собирается включать его в Windows Vista). Сейчас - стадия первого релиз-кандидата, т.е. пользователь должен скачать и установить программное обеспечение вручную. Также пользователю нужно зарегистрироваться, указав свои данные Windows Live ID, чтобы получить доступ к скачиванию с сайта МС. Так что все это означает минимальный риск данной угрозы".
"Экспериментальный вирус Cibyz у нас в России угрозы не представляет, - говорит Рамиль Яфизов, старший консультант Symantec в России и СНГ. - Во-первых - это концептуальный вирус, он не несет больших деструктивных функций. Во-вторых - он написан для запуска на новом интерпретаторе (командной оболочке) Windows PowerShell. Соответственно он может быть запущен только там, где PowerShell проинсталлирован и запущен, и ограничен платформами Windows XP, Windows Server 2003 и Vista. PowerShell сам еще является неоконченным продуктом, т.е. находится в стадии бета тестирования и будет применен в новых (еще не выпущенных) версиях MS Exchange и MS Operations Manager. Оболочка PowerShell может понадобиться системным администраторам предприятий, и вряд ли простым домашним пользователям. В-третьих - данный вирус распространяется через пиринговые сети Kazaa, а их использование в большинстве организаций запрещено и находится под контролем. В-четвертых - он не распространяется самостоятельно, он замаскирован под всякие «интересные» программы, которые сам пользователь должен скачать и запустить, а ведь сейчас компьютерная грамотность людей повышается, и уже многие знают, что это может быть небезопасно. В-пятых - чтобы обезопасить себя от вирусов, надо применять антивирусные программы. И наконец, сигнатура данного вируса уже присутствует в базах ведущих игроков рынка антивирусов".