Alattomos vírusterjesztés - az aláírás sem garancia
A Microsoft és a VirusTotal szakemberei együtt dolgoznak azon, hogy elejét vegyék a látszólag teljesen legális, de a valóságban fertőzött telepítőprogramok terjedésének.
Már eddig is sokszor merült fel problémaként, hogy a vírusterjesztők legális programoknak álcázzak a szerzeményeiket, és ezáltal nem kizárólag a felhasználókat, hanem a víruskeresőket is igyekeznek megtéveszteni. Ilyen esetekben előfordul, hogy digitálisan aláírt fájlokkal történnek visszaélések: ha például egy telepítőprogram rendelkezik érvényes aláírással, akkor azokkal nem minden víruskereső foglalkozik mélyrehatóan. Így a vírusterjesztők nagyobb valószínűséggel tudják átjuttatni a károkozóikat a védelmi vonalakon, majd hamis biztonságérzetet ébresztenek a felhasználókban.
Az ilyen jellegű trükközésekre a gyakran használt, MSI-formátumú fájlok is lehetőséget adnak némi Javával megspékelve. A gondot az okozza, hogy az MSI fájlok bizonyos módszerek alkalmazásával elláthatók olyan digitális aláírásokkal, amik - ellentétben az eredeti célokkal - nem adnak pontos képet arról, hogy egy fájlt valaki kompromittált-e. Vagyis aláírás alapján nem lehet teljes bizonyossággal kijelenteni egy MSI-állományról, ha abba nem került nemkívánatos kód.
A trükkről a Microsoft annyit közölt, hogy JAR-fájlok kíséretében válhat kivitelezhetővé, méghozzá olyan módon, hogy egy MSI-állomány végéhez egy JAR fájlt kell hozzáfűzni, és az MSI kiterjesztést JAR-ra cserélni. Ha a felhasználó elindítja a fájlt, akkor telepített Java esetén az alapértelmezett beállítások miatt rögtön betöltődik a javaw.exe, ami a kompromittált MSI-fájlt elkezdi kiolvasni. Mivel a JAR bizonyos szempontból egy ZIP-állomány, ezért ennek megfelelő struktúrával rendelkezik. Amikor a Java erre alkalmas összetevője megkezdi a fájl feldolgozását, akkor a végéről halad előre felé. A ZIP-struktúra elején megáll, és nem törődik az MSI-fájl többi részével. Ennyi azonban bőven elég a támadóknak, hiszen kódot tudnak futtatni.
Prémium előfizetéssel!
-
A Lenovo Vantage három biztonsági javítással bővült.
-
A Splunk Enterprise-hoz biztonsági frissítések érkeztek.
-
Az Adobe kritikus veszélyességű hibákat is javított a ColdFusion esetében.
-
Az Adobe kiadta az Illsutrator legújabb verzióit, amelyek révén 10 biztonsági hibát szüntetett meg.
-
Az Adobe hat sebezhetőséget orvosolt az InDesignban.
-
15 biztonsági javítással gyarapodott az Adobe FrameMaker.
-
Az SAP kiadta a júliusi biztonsági frissítéseit.
-
A Microsoft jelentős mennyiségű hibajavítást tett letölthetővé a Windows-hoz.
-
Egy tucat biztonsági frissítés vált letölthetővé az Office szoftvercsomaghoz.
-
A Microsoft három biztonsági rést foltozott be az SQL Serveren.
A nyári szünet idején a gyerekek több időt töltenek otthon, sokszor felügyelet nélkül – ez pedig nemcsak a fizikai, hanem az online biztonság szempontjából is kihívásokat jelent.
Az ESET kiberbiztonsági szakértői most összefoglalják, milyen más módszerekkel lophatják el a személyes adatainkat – és mit tehetünk azért, hogy ez ne történhessen meg.
OLDALUNK
RSSImpresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek
Hozzászólási szabályzat