Мы уже научены горьким опытом. Все знают, что вирусы и троянские программы могут распространяться по электронной почте. Никто уже, будучи в здравом уме и трезвой памяти, не будет запускать любой .EXE, .COM, .BAT, .VBS файл, поступивший из неизвестного источника. Даже самым низкоквалифицированным пользователям системные администраторы уже вбили идею информационной безопасности. “Melissa”, “I love you” и прочие чудеса вредоносного программостроения научили нас осторожности.

Но теперь и этого может оказаться недостаточно. Сложность и универсальность языка разметки гипертекстов HTML, а также возможности, которые предоставляют всяческие Интернет-сервисы, сделали возможным разместить код, выполняющий троянские действия, прямо в HTML-документе.

Троянский код (назвать его программой не поворачивается язык), получивший в ”Антивирусной лаборатории Касперского” название “PswForm”, уже замечен в “дикой природе”. Об этом сообщили сразу несколько новостных лент, посвященных компьютерной безопасности.

Основная задача данной троянской программы – похищение имени и пароля пользователя для входа в Интернет. Особенность этой программы – ориентированность на абонентов конкретного Интернет-провайдера (дальше мы раскроем, почему это именно так).

Казалось бы, это уменьшает шансы на широкое распространение данного трояна. Но, во-первых, переделать трояна для поражения абонентов других компаний достаточно просто, а во-вторых, достигнута полная независимость от используемого программного обеспечения по работе с электронной почтой и, в-третьих, данный код работает практически со всеми используемыми Интернет-броузерами.

”Троянец” не имеет способности создавать свои копии или автоматически рассылать себя по электронной почте. Вместо этого он посылается потенциальным жертвам вручную непосредственно автором программы с адреса stack@aport.ru.

Зараженное сообщение содержит вложенный файл “быстрая статистика.html” и текст, якобы от известной Интернет-компании “Стек”, предлагающей расширение спектра услуг по просмотру статистики о личном счете клиента по оплате доступа в Интернет. (Напомним, что компания ”Стек” являлась разработчиком информационно-поисковой системы Rambler; в настоящее время – Интернет-холдинг Rambler). Текст буквально следующий (оригинальная орфография сохранена):

Новость от компании “Стэк”.

Наша компания заботится о своих клиентах и предлогает новую услугу – Быстрая статистика. С ее помощью вы сможете быстро посмотреть свою статистику. Вам нужно только ввести свой пароль и логин и вы видите свою статистику. Конечно, вы это можете сделать, находясь в онлайне.

Попрубуйте прямо сейчас. Cмотрите вложеный файл быстрая статистика.htm
После этого “троянец” действительно переводит пользователя на страницу статистики компании “Стек” (http://statserv.stack. net).

Это позволяет скрыть истинные цели отправителя данного сообщения. Рядовой пользователь действительно видит перед собой свою статистику работы с компанией “Стек”.

Однако одновременно с этим введенная информация при помощи стандартных средств языка HTML передается обработчику анкет на популярном ресурсе www.narod. ru. Обработчик, в свою очередь, уже пересылает данные электронной почтой самому автору “троянца”. Таким образом, “PswForm” обошел отсутствие средств пересылки электронной почты при помощи языка HTML, но вместе с тем обеспечил возможность передачи данных.

Просто так отправить e-mail с помощью одних лишь средств HTML нельзя, использование скриптов может вызвать срабатывание систем антивирусной защиты. Но HTML позволяет передавать данные из заполненных форм для их обработки при помощи специальных приложений, которые могут быть размещены на любых доступных адресах Сети.

Что, собственно, и было проделано.
Главная опасность – это неожиданность самого хода. Даже опытный специалист не будет лишний раз проверять полученный HTML-файл в силу собственной убежденности в безопасности. Ведь в нем нет исполняемых элементов (отсылка данных из форм при этом как-то выпадает из виду). Тем более, чтобы похитить данные с компьютера пользователя, надо сначала их найти. А такими средствами HTML уж точно не располагает.

Поэтому данный троян содержит в себе сразу два оригинальных хода. Первое – использование HTML как такового. Второе – использование самого пользователя для предоставления интересующих данных.

Конструирование подобного HTML-файла даже не требует глубоких знаний. Пожалуй, главная трудность – сама идея. А построить готовый код можно уже после 15 минут чтения документации по созданию собственных веб-страничек. Поэтому не приходится сомневаться в возможности появления троянов, предназначенных для пользователей услугами других Интернет-провайдеров.

И даже идея не очень нова. Ранее подобным же способом похищались логины и пароли пользователей популярной системы бесплатной электронной почты Hotmail. Пользователи, загрузив приложенный HTML-файл через веб-интерфейс, видели ложное сообщение о возникновении ошибки и предложение залогиниться заново.

А введенные имя пользователя и пароль отправлялись злоумышленникам.
По утверждению Михаила Ханова, директора Управления маркетинга компании Rambler, “до сих пор к нам не поступило ни одной жалобы от наших пользователей в связи с появлением этой троянской программы. Надеюсь, что благодаря слаженным и оперативным действиям Rambler, Яndex и “Лаборатории Касперского”, таких жалоб не будет вообще”.

Однако не стоит быть столь оптимистичным. Обычный пользователь мог ничего и не заметить. Ведь троянский HTML действительно приводит на страницу статистики провайдера. Сомнения могут возникнуть только в конце месяца, когда обнаружится, что на счетах пользователей осталось гораздо меньше денег, чем ожидалось.

Что можно сказать в связи со всем этим в заключение? HTML теперь тоже потенциально опасен. Если ваши средства антивирусного мониторинга не содержали в списке проверяемых файлов файлы “*.htm” и “*.html” – лучше включите их в этот список. И еще – не вводите свои конфиденциальные данные где попало!