Furmányos trükköt eszeltek ki a vírusírók

​A vírusírók egy újabb trükköt vetettek be annak érdekében, hogy megtévesszék a védelmi technológiákat. Ezúttal ZIP-fájlokat manipulálnak.
 

A vírusterjesztők egyik legfontosabb célja, hogy a kártékony kódjaikat minél nagyobb valószínűséggel tudják átjuttatni a védelmi vonalakon. Mindenáron el akarják kerülni, hogy a biztonsági szoftverek detektálják a nemkívánatos programjaikat, majd riasztásokat küldözgessenek. Erre megannyi módszerük volt már eddig is, de ezt a repertoárt most egy újabb megoldással bővítették ki.
 
Furcsa tömörített fájlok
 
Az új trükk lényegében manipulált, ZIP-formátumú állományokra épül. E tömörített fájlok hagyományos esetben tartalmazzák a fájlra és a tömörítésre vonatkozó legfontosabb paramétereket, valamint magát a tömörített adathalmazt. A struktúrában fontos szerepet kap egy EOCD (End of Central Directory) nevű rekord, amely fájlonként egy példányban található meg. Legalábbis normális esetben.
 
A Trustwave biztonsági kutatói azonban olyan fájlokra akadtak, amelyek több szempontból is gyanússá váltak. Az egyik gyanús tényező nem más volt, mint hogy a tömörített fájl jóval nagyobb méretűnek mutatkozott, mint az általa tárolt - tömörítés nélkül is - kisebb méretű adathalmaz. Vagyis a nagy méretet látszólag semmi sem indokolta. Emellett a ZIP-állományban két EOCD bejegyzés kapott helyet. Ezek vizsgálatakor derült ki, hogy olyan ZIP-fájlokról van szó, amelyek tulajdonképpen két tömörített adathalmazt, és két struktúraleírást tartalmaznak.
 
A fájlok első részében egy teljesen ártalmatlan, tömörített kép kapott helyet, amely tulajdonképpen csaliként, figyelemelterelésként szolgált. A másik fájlszegmensbe pedig egy NanoCore trójai fészkelte be magát egy SHIPPING_MX00034900_PL_INV_pdf.exe nevű fájl formájában.
 
A kutatók nyilván arra is kíváncsiak voltak, hogy ezt az összetett állományt miként lehet kibontani széles körben használt szoftverekkel. A Windows beépített ZIP-kezelője nem tudott mit kezdeni a fájllal: hibaüzenetben közölte, hogy érvénytelen formátumú állományról van szó. A 7-Zip legújabb kiadása csak a csali képet bontotta ki, míg a régebbi verziói, valamint a WinRar és a PowerArchiver szó nélkül mindkét fájlt kicsomagolta. Ebből a szakemberek azt a következtetést vonták le, hogy a védelmi technológiák is annak függvényében tudják detektálni a káros állományt, hogy milyen módon kezelik a ZIP-fájlokat. Ezt pedig biztosan nem egységes módon teszik.


Forrás: Trustwave
 
A kutatók megjegyezték, hogy az új trükk azért nem terjedt el széles körben, mert a fájlok kicsomagolása nem végezhető el megbízható módon, ami hátrány a kiberbűnözők számára. Az eddig fellelt variánsokat elektronikus levelekben sikerült kimutatni SHIPPING_MX00034900_PL_INV_pdf.zip néven. E küldemények esetében a csalók egy logisztikai cég nevével éltek vissza, de nyilvánvalóan mind a feladó, mind a csatolt fájl neve módosulhat a jövőben.
Vélemények
 
  1. 4

    A Foxit Reader és a PhantomPDF szoftverek fontos biztonsági hibajavításokkal gyarapodtak.

  2. 4

    A Google ismét jelentős mennyiségű biztonsági frissítéssel rukkolt elő az Android operációs rendszer kapcsán.

  3. 1

    A Devilshadow trójai sok funkcióval képes támogatni a kiberbűnözők által végrehajtott károkozásokat.

 
Partnerhírek
Az ESET kutatói feltérképezték a katonai és diplomáciai célpontokat támadó InvisiMole csoport működését

Az InvisiMole új kampányát vizsgálva az ESET kutatóinak sikerült feltárniuk a csoport frissített eszközkészletét, valamint a Gamaredon hackercsoporttal való szoros együttműködésük részleteit is.

​LinkedIn-en keresztül támadó hackereket lepleztek le az ESET kutatói

Álláshirdetésnek álcázott adathalász támadásokat lepleztek le az ESET kutatói, melyek vélhetően az észak- koreai illetőségű Lazarus csoporthoz köthetők.

hirdetés
Közösség