Alattomos vírusterjesztés - az aláírás sem garancia

A Microsoft és a VirusTotal szakemberei együtt dolgoznak azon, hogy elejét vegyék a látszólag teljesen legális, de a valóságban fertőzött telepítőprogramok terjedésének.
 

Már eddig is sokszor merült fel problémaként, hogy a vírusterjesztők legális programoknak álcázzak a szerzeményeiket, és ezáltal nem kizárólag a felhasználókat, hanem a víruskeresőket is igyekeznek megtéveszteni. Ilyen esetekben előfordul, hogy digitálisan aláírt fájlokkal történnek visszaélések: ha például egy telepítőprogram rendelkezik érvényes aláírással, akkor azokkal nem minden víruskereső foglalkozik mélyrehatóan. Így a vírusterjesztők nagyobb valószínűséggel tudják átjuttatni a károkozóikat a védelmi vonalakon, majd hamis biztonságérzetet ébresztenek a felhasználókban.
 
Az ilyen jellegű trükközésekre a gyakran használt, MSI-formátumú fájlok is lehetőséget adnak némi Javával megspékelve. A gondot az okozza, hogy az MSI fájlok bizonyos módszerek alkalmazásával elláthatók olyan digitális aláírásokkal, amik - ellentétben az eredeti célokkal - nem adnak pontos képet arról, hogy egy fájlt valaki kompromittált-e. Vagyis aláírás alapján nem lehet teljes bizonyossággal kijelenteni egy MSI-állományról, ha abba nem került nemkívánatos kód.
 
A trükkről a Microsoft annyit közölt, hogy JAR-fájlok kíséretében válhat kivitelezhetővé, méghozzá olyan módon, hogy egy MSI-állomány végéhez egy JAR fájlt kell hozzáfűzni, és az MSI kiterjesztést JAR-ra cserélni. Ha a felhasználó elindítja a fájlt, akkor telepített Java esetén az alapértelmezett beállítások miatt rögtön betöltődik a javaw.exe, ami a kompromittált MSI-fájlt elkezdi kiolvasni. Mivel a JAR bizonyos szempontból egy ZIP-állomány, ezért ennek megfelelő struktúrával rendelkezik. Amikor a Java erre alkalmas összetevője megkezdi a fájl feldolgozását, akkor a végéről halad előre felé. A ZIP-struktúra elején megáll, és nem törődik az MSI-fájl többi részével. Ennyi azonban bőven elég a támadóknak, hiszen kódot tudnak futtatni.
 

 
 
Olvassa tovább
Prémium előfizetéssel!
 
  1. 3

    A Lenovo Vantage három biztonsági javítással bővült.

  2. 3

    A Splunk Enterprise-hoz biztonsági frissítések érkeztek.

  3. 4

    Az Adobe kritikus veszélyességű hibákat is javított a ColdFusion esetében.

  4. 4

    Az Adobe kiadta az Illsutrator legújabb verzióit, amelyek révén 10 biztonsági hibát szüntetett meg.

  5. 4

    Az Adobe hat sebezhetőséget orvosolt az InDesignban.

  6. 4

    15 biztonsági javítással gyarapodott az Adobe FrameMaker.

  7. 4

    Az SAP kiadta a júliusi biztonsági frissítéseit.

  8. 4

    A Microsoft jelentős mennyiségű hibajavítást tett letölthetővé a Windows-hoz.

  9. 4

    Egy tucat biztonsági frissítés vált letölthetővé az Office szoftvercsomaghoz.

  10. 4

    A Microsoft három biztonsági rést foltozott be az SQL Serveren.

Partnerhírek
Hogyan védhetjük meg a gyerekeket a kibertérben?

A nyári szünet idején a gyerekek több időt töltenek otthon, sokszor felügyelet nélkül – ez pedig nemcsak a fizikai, hanem az online biztonság szempontjából is kihívásokat jelent.

​A csaló telefonhívásokon és a nem létező gázszámlákon túl

Az ESET kiberbiztonsági szakértői most összefoglalják, milyen más módszerekkel lophatják el a személyes adatainkat – és mit tehetünk azért, hogy ez ne történhessen meg.

hirdetés
Közösség