Атака через folder.htt
Эмулятор VM Ware предоставляет еще один способ обмена данных между виртуальной машиной и основной операционной системой — shared folders (общие папки). При настойке гостевой машины, администратор открывает доступ к одному или нескольким каталогам основной системы и виртуальная машина "видит" их в своем сетевом окружении.
Рисунок 10 folder.htt-файлы позволяют червям вырываться на волю
Механизм общих папок работает в обход виртуальной сети (которой, может быть вообще не установлена) и в плане защиты очень надежен, однако, атаковать его все-таки возможно! Как известно, начиная с Windows 98, "проводник" поддерживает пользовательский стиль папок, управляемый файлом folder.htt. Это обыкновенный http-шаблон, "переваривающий" не только теги, но и скрипты. Известно множество VBS-вирусов, размножающихся именно этим путем.
Рисунок 11 виртуальный компьютер – рассадник вирусов
Что произойдет, если зловредный код, исполняющийся под эмулятором, создаст собственный folder.htt файл (или внедриться в уже существующий)? При первом же открытии общей папки Проводником основной системы, скрипт, содержащейся в folder.htt, получит управление, запуская вируса в свои владения! И это не единственный путь!
Рисунок 12 надежный брандмауэр должен защищать основной компьютер от атаки через виртуальную сеть и shared-folders, но увы… ни один из известных мыщъх'у брандмауэров надежным не является
Вирус может создать desktop.ini, указав, что папка используется для хранения изображений, тогда при ее открытии, Проводник автоматически отображает миниатюры. Известно по меньшей мере три фатальные ошибки Windows, приводящие к возможности передачи управления на машинный код — в bmp, jmp и wmf файлах. И хотя, соответствующие заплатки были выпущены еще черт знает когда, множество машин остаются уязвимыми и по сегодняшний день.
Рисунок 13 настройка общих папок в среде VM Ware
Защититься от атак данного типа очень просто — забейте на Проводник и пользуйтесь только FAR'ом (или на худой конец — Total Commander'ом) и периодически проверяете общие папки на вшивость (даже если лично вы никогда не пользуетесь Проводником, это еще не означает, что им не пользуются остальные и существует вероятность, что общую папку откроет кто-то другой).
Рисунок 14 фрагмент исходного текста вируса, написанного на VBS
