Alattomos vírusterjesztés - az aláírás sem garancia

A Microsoft és a VirusTotal szakemberei együtt dolgoznak azon, hogy elejét vegyék a látszólag teljesen legális, de a valóságban fertőzött telepítőprogramok terjedésének.
 

Már eddig is sokszor merült fel problémaként, hogy a vírusterjesztők legális programoknak álcázzak a szerzeményeiket, és ezáltal nem kizárólag a felhasználókat, hanem a víruskeresőket is igyekeznek megtéveszteni. Ilyen esetekben előfordul, hogy digitálisan aláírt fájlokkal történnek visszaélések: ha például egy telepítőprogram rendelkezik érvényes aláírással, akkor azokkal nem minden víruskereső foglalkozik mélyrehatóan. Így a vírusterjesztők nagyobb valószínűséggel tudják átjuttatni a károkozóikat a védelmi vonalakon, majd hamis biztonságérzetet ébresztenek a felhasználókban.
 
Az ilyen jellegű trükközésekre a gyakran használt, MSI-formátumú fájlok is lehetőséget adnak némi Javával megspékelve. A gondot az okozza, hogy az MSI fájlok bizonyos módszerek alkalmazásával elláthatók olyan digitális aláírásokkal, amik - ellentétben az eredeti célokkal - nem adnak pontos képet arról, hogy egy fájlt valaki kompromittált-e. Vagyis aláírás alapján nem lehet teljes bizonyossággal kijelenteni egy MSI-állományról, ha abba nem került nemkívánatos kód.
 
A trükkről a Microsoft annyit közölt, hogy JAR-fájlok kíséretében válhat kivitelezhetővé, méghozzá olyan módon, hogy egy MSI-állomány végéhez egy JAR fájlt kell hozzáfűzni, és az MSI kiterjesztést JAR-ra cserélni. Ha a felhasználó elindítja a fájlt, akkor telepített Java esetén az alapértelmezett beállítások miatt rögtön betöltődik a javaw.exe, ami a kompromittált MSI-fájlt elkezdi kiolvasni. Mivel a JAR bizonyos szempontból egy ZIP-állomány, ezért ennek megfelelő struktúrával rendelkezik. Amikor a Java erre alkalmas összetevője megkezdi a fájl feldolgozását, akkor a végéről halad előre felé. A ZIP-struktúra elején megáll, és nem törődik az MSI-fájl többi részével. Ennyi azonban bőven elég a támadóknak, hiszen kódot tudnak futtatni.
 
A Microsoft jelezte, hogy a Sigcheck 2.70-es kiadása már képes felismerni az ilyen típusú manipulációkat: riasztást küld, és hibás fájlméret megjelölést alkalmaz. A VirusTotal pedig beépítette a Sigcheck legújabb verzióját a rendszerébe, így a szolgáltatásba feltöltött fájlokat már azzal ellenőrzi.  
Nem éppen jó hír, hogy a Microsoft úgy döntött, hogy a Windows jelenleg elérhető kiadásait egyelőre nem módosítja az MSI/JAR-probléma kapcsán. Annak ellenére sem, hogy a vizsgálatok kimutatták, hogy ezek a kompromittált állományok érvényesként mutatkoznak még a legújabb Windows 10 operációs rendszer alatt is.