Nowa architektura wirusów umożliwia ich umieszczenie w plikach dźwiękowych, a być może wkrótce również w zwykłych plikach tekstowych.

Jeśli ktoś był przekonany, że odtwarzanie plików dźwiękowych nie grozi atakiem wirusów komputerowych, musi zmienić zdanie. Pojawiły się bowiem takie wirusy i w dodatku o innej konstrukcji niż dotychczasowe. Uaktywniają się one podczas odtwarzania muzyki, gdy użytkownik jest przekonany, że uruchomił zwykły plik multimedialny, lub w trakcie odwiedzania stron WWW, które automatycznie odtwarzają pliki dźwiękowe. Ze względu na fakt, że infekcja za pośrednictwem plików dźwiękowych wykorzystuje nowe mechanizmy, można się spodziewać, iż wkrótce analogiczne zagrożenie pojawi się np. w odniesieniu do plików tekstowych, które dotychczas były uważane za bezpieczne.

Grająca infekcja

Do przeprowadzenia ataku wykorzystywane są pliki aplikacji Windows Media Player - ASX lub Active Stream Redirector - które z założenia nie są programami wykonywalnymi, lecz jedynie zawierają dane. Wersje 6.4 i 7.0 odtwarzacza Media Player nie zawierają żadnych zabezpieczeń, które uniemożliwiałyby uruchamianie z pliku ASX ukrytego w nim kodu wykonywalnego.

Zwykły plik ASX nie zawiera strumieni danych multimedialnych. Znajdują się w nim informacje określające lokalizację (w intranecie lub Internecie), z którego będą uruchamiane pliki multimedialne. Ale ASX może zostać uruchomiony automatycznie wtedy, gdy użytkownik odwiedza stronę WWW, na której znajduje się odpowiednio spreparowany kod. Plik ten może być też uruchamiany automatycznie przez odebraną wiadomość pocztową.

Programy Microsoft Outlook i Outlook Express są domyślnie skonfigurowane w taki sposób, by automatycznie wykonywać zawarty w nich kod HTML, pobierając z Internetu wszystkie wymagane przez niego elementy (w tym grafikę, pliki ASX i inne pliki dźwiękowe). Problem ten dotyczy również innych aplikacji pocztowych, które umożliwiają odczyt listów w formacie HTML.

Microsoft opracował już stosowne poprawki, które usuwają problemy z plikami ASX w aplikacjach Windows Media Player w wersjach 6.4 i 7.0. Obie są dostępne pod adresemhttp://www.microsoft.com/technet/security/bulletin/MS00-090.asp.

Jest to kolejny przypadek wykrycia w oprogramowaniu Microsoftu luki, umożliwiającej stworzenie nowego typu wirusów. Nasuwa się więc pytanie, kiedy wreszcie firma zdecyduje się na zlecenie wykonywania przez zewnętrzne specjalistyczne firmy inspekcji sprawdzających zabezpieczenia stosowane w jego oprogramowaniu, zanim trafi ono na rynek. W ubiegłym roku Microsoft opisał na swojej stronie WWW aż 90 problemów związanych z bezpieczeństwem w jego systemach operacyjnych i aplikacjach.

--------------------------------------------------------------------------------

Brian Livingston jest publicystą amerykańskiego tygodnika InfoWorld, wydawanego przez IDG. (tłum. jch)