Furmányos trükköt eszeltek ki a vírusírók

​A vírusírók egy újabb trükköt vetettek be annak érdekében, hogy megtévesszék a védelmi technológiákat. Ezúttal ZIP-fájlokat manipulálnak.
 

A vírusterjesztők egyik legfontosabb célja, hogy a kártékony kódjaikat minél nagyobb valószínűséggel tudják átjuttatni a védelmi vonalakon. Mindenáron el akarják kerülni, hogy a biztonsági szoftverek detektálják a nemkívánatos programjaikat, majd riasztásokat küldözgessenek. Erre megannyi módszerük volt már eddig is, de ezt a repertoárt most egy újabb megoldással bővítették ki.
 
Furcsa tömörített fájlok
 
Az új trükk lényegében manipulált, ZIP-formátumú állományokra épül. E tömörített fájlok hagyományos esetben tartalmazzák a fájlra és a tömörítésre vonatkozó legfontosabb paramétereket, valamint magát a tömörített adathalmazt. A struktúrában fontos szerepet kap egy EOCD (End of Central Directory) nevű rekord, amely fájlonként egy példányban található meg. Legalábbis normális esetben.
 
A Trustwave biztonsági kutatói azonban olyan fájlokra akadtak, amelyek több szempontból is gyanússá váltak. Az egyik gyanús tényező nem más volt, mint hogy a tömörített fájl jóval nagyobb méretűnek mutatkozott, mint az általa tárolt - tömörítés nélkül is - kisebb méretű adathalmaz. Vagyis a nagy méretet látszólag semmi sem indokolta. Emellett a ZIP-állományban két EOCD bejegyzés kapott helyet. Ezek vizsgálatakor derült ki, hogy olyan ZIP-fájlokról van szó, amelyek tulajdonképpen két tömörített adathalmazt, és két struktúraleírást tartalmaznak.
 
A fájlok első részében egy teljesen ártalmatlan, tömörített kép kapott helyet, amely tulajdonképpen csaliként, figyelemelterelésként szolgált. A másik fájlszegmensbe pedig egy NanoCore trójai fészkelte be magát egy SHIPPING_MX00034900_PL_INV_pdf.exe nevű fájl formájában.
 
A kutatók nyilván arra is kíváncsiak voltak, hogy ezt az összetett állományt miként lehet kibontani széles körben használt szoftverekkel. A Windows beépített ZIP-kezelője nem tudott mit kezdeni a fájllal: hibaüzenetben közölte, hogy érvénytelen formátumú állományról van szó. A 7-Zip legújabb kiadása csak a csali képet bontotta ki, míg a régebbi verziói, valamint a WinRar és a PowerArchiver szó nélkül mindkét fájlt kicsomagolta. Ebből a szakemberek azt a következtetést vonták le, hogy a védelmi technológiák is annak függvényében tudják detektálni a káros állományt, hogy milyen módon kezelik a ZIP-fájlokat. Ezt pedig biztosan nem egységes módon teszik.


Forrás: Trustwave
 
A kutatók megjegyezték, hogy az új trükk azért nem terjedt el széles körben, mert a fájlok kicsomagolása nem végezhető el megbízható módon, ami hátrány a kiberbűnözők számára. Az eddig fellelt variánsokat elektronikus levelekben sikerült kimutatni SHIPPING_MX00034900_PL_INV_pdf.zip néven. E küldemények esetében a csalók egy logisztikai cég nevével éltek vissza, de nyilvánvalóan mind a feladó, mind a csatolt fájl neve módosulhat a jövőben.
Vélemények
 
  1. 4

    A Symantec négy biztonsági résről számolt be egyes hálózatbiztonsági termékeinek kapcsán.

  2. 4

    A Microsoft egy nulladik napi sérülékenységről számolt be az Internet Explorer kapcsán.

  3. 1

    A Coonrac trójai kizárólag addig van jelen egy fertőzött számítógépen, amíg arról a terjesztői számára fontos adatokat ki nem szivárogtatja.

 
Partnerhírek
iPhone és adathalászat

A most bemutatott eset úgy kezdődött, hogy egy felhasználó kapott egy sms-t, amely értesítette arról, hogy elveszített iPhone X készüléke milyen címen található. Az üzenetben egy link is volt, amelyre kattintva elvileg meg lehetett tekinteni a készülék helyét – a gyakorlatban viszont egy adathalász oldalhoz tartozott, amely ellopta a látogatók iCloud azonosítóit.

A kkv-ken keresztül támadják a nagyvállalatokat a kiberbűnözők

A kis- és középvállalatok jelentik a legnagyobb rizikót az IT biztonság terén, így nem meglepő, hogy a számítógépes bűnözők is egyre inkább őket támadják, nem utolsósorban azért, hogy rajtuk keresztül eljussanak a nagyobb vállalatokig.

hirdetés
Közösség
1