Новый вирус атакует Windows PowerShell
Создан экспериментальный вирус Cibyz, проникающий в систему через файлообменную сеть и Windows PowerShell.
Группа вирусописателей из Австралии создала вирус MSH/Cibyz, нацеленный на Microsoft PowerShell - интерфейс командной строки и скриптовый язык, предназначенный для системного администрирования Windows. MSH/Cibyz способен распространяться через файлообменную сеть Kazaa, заманивая пользователей возможностью скачивания привлекательных продуктов.
MSH/Cibyz не использует какой-либо уязвимости PowerShell, а эксплуатирует его функциональную возможность исполнять скрипты. Тем самым новый код похож на batch-вирусы, написанные на Javascript или Visual Basic, команда загрузить которые поступает в систему при исполнении скрипта. Будучи загруженным, MSH/Cibyz устанавливает свою копию в совместно используемую папку Kazaa с целью дальнейшего распространения. "Мораль этой истории такова, что не существует ни одного абсолютно безопасного типа файлов и приложений", - говорит Аллиза Майерс (Allysa Myers), специалист антивирусной компании McAfee, обнаружившей MSH/Cibyz.
Новый код не несет разрушительных функций, это скорее исследовательский вирус. Однако в дальнейшем не исключено появление аналогичных MSH/Cibyz кодов с более опасным функционалом.
Российские эксперты по информационной безопасности считают, что российским пользователям со стороны MSH/Cibyz ничего не угрожает, во всяком случае пока. "Во-первых, Windows PowerShell - не сильно распространенная оболочка, она довольно нова и не успела завоевать широкую популярность, - комментируют в компании «Доктор Веб». - Во-вторых, ее целевая аудитория - системные администраторы, а не простые пользователи, поэтому, думается, что эпидемий таких вирусов опасаться не стоит, по крайней мере в ближайшее время. Вирусы и черви на скриптовых языках писались и раньше и никаких особых проблем это не вызывало".
"Однако, в силу того, что PowerShell - это инструмент системного администрирования, злоумышленник, воспользовавшийся уязвимостью оболочки, сможет получать доступ и контролировать целые компьютерные сети, а не только отдельные машины, - добавляют эксперты "Доктора Веб". - Очевидно, что соблазн в данном случае велик и можно быть уверенными, что подобные Cibyz'у инфекции будут появляться и наносить ущерб, в том числе и российским компаниям, не уделяющим должного внимания безопасности своих ИТ-ресурсов. Далее с появлением Windows с уже предустановленной оболочкой PowerShell, вероятность более широкого распространения инфекций, естественно, увеличится. Однако компания Microsoft уделяет достаточно много внимания безопасности своих продуктов, особенно последнее время, и появление Cibyz сейчас, сделает следующие релизы от Microsoft более надежными".
"Говорить о данной угрозе в России на данный момент никакого смысла нет, - заявляет Ольга Кобзарева, руководитель информационной службы "Лаборатории Касперского". - Это коллекционный вирус, причем, насколько нам известно, работающий некорректно. MSH, или PowerShell, в настоящее время находится в процессе разработки (и кстати, насколько мы знаем, Microsoft не собирается включать его в Windows Vista). Сейчас - стадия первого релиз-кандидата, т.е. пользователь должен скачать и установить программное обеспечение вручную. Также пользователю нужно зарегистрироваться, указав свои данные Windows Live ID, чтобы получить доступ к скачиванию с сайта МС. Так что все это означает минимальный риск данной угрозы".
Продукт PowerShell, ранее известный под названием Monad, должен выйти в официальной версии позднее в этом году.
