Furmányos trükköt eszeltek ki a vírusírók

​A vírusírók egy újabb trükköt vetettek be annak érdekében, hogy megtévesszék a védelmi technológiákat. Ezúttal ZIP-fájlokat manipulálnak.
 

A vírusterjesztők egyik legfontosabb célja, hogy a kártékony kódjaikat minél nagyobb valószínűséggel tudják átjuttatni a védelmi vonalakon. Mindenáron el akarják kerülni, hogy a biztonsági szoftverek detektálják a nemkívánatos programjaikat, majd riasztásokat küldözgessenek. Erre megannyi módszerük volt már eddig is, de ezt a repertoárt most egy újabb megoldással bővítették ki.
 
Furcsa tömörített fájlok
 
Az új trükk lényegében manipulált, ZIP-formátumú állományokra épül. E tömörített fájlok hagyományos esetben tartalmazzák a fájlra és a tömörítésre vonatkozó legfontosabb paramétereket, valamint magát a tömörített adathalmazt. A struktúrában fontos szerepet kap egy EOCD (End of Central Directory) nevű rekord, amely fájlonként egy példányban található meg. Legalábbis normális esetben.
 
A Trustwave biztonsági kutatói azonban olyan fájlokra akadtak, amelyek több szempontból is gyanússá váltak. Az egyik gyanús tényező nem más volt, mint hogy a tömörített fájl jóval nagyobb méretűnek mutatkozott, mint az általa tárolt - tömörítés nélkül is - kisebb méretű adathalmaz. Vagyis a nagy méretet látszólag semmi sem indokolta. Emellett a ZIP-állományban két EOCD bejegyzés kapott helyet. Ezek vizsgálatakor derült ki, hogy olyan ZIP-fájlokról van szó, amelyek tulajdonképpen két tömörített adathalmazt, és két struktúraleírást tartalmaznak.
 
A fájlok első részében egy teljesen ártalmatlan, tömörített kép kapott helyet, amely tulajdonképpen csaliként, figyelemelterelésként szolgált. A másik fájlszegmensbe pedig egy NanoCore trójai fészkelte be magát egy SHIPPING_MX00034900_PL_INV_pdf.exe nevű fájl formájában.
 
A kutatók nyilván arra is kíváncsiak voltak, hogy ezt az összetett állományt miként lehet kibontani széles körben használt szoftverekkel. A Windows beépített ZIP-kezelője nem tudott mit kezdeni a fájllal: hibaüzenetben közölte, hogy érvénytelen formátumú állományról van szó. A 7-Zip legújabb kiadása csak a csali képet bontotta ki, míg a régebbi verziói, valamint a WinRar és a PowerArchiver szó nélkül mindkét fájlt kicsomagolta. Ebből a szakemberek azt a következtetést vonták le, hogy a védelmi technológiák is annak függvényében tudják detektálni a káros állományt, hogy milyen módon kezelik a ZIP-fájlokat. Ezt pedig biztosan nem egységes módon teszik.


Forrás: Trustwave
 
A kutatók megjegyezték, hogy az új trükk azért nem terjedt el széles körben, mert a fájlok kicsomagolása nem végezhető el megbízható módon, ami hátrány a kiberbűnözők számára. Az eddig fellelt variánsokat elektronikus levelekben sikerült kimutatni SHIPPING_MX00034900_PL_INV_pdf.zip néven. E küldemények esetében a csalók egy logisztikai cég nevével éltek vissza, de nyilvánvalóan mind a feladó, mind a csatolt fájl neve módosulhat a jövőben.
Vélemények
 
  1. 4

    A Visual Studio kritikus fontosságú hibajavításokhoz jutott hozzá.

  2. 4

    Az Adobe 21 biztonsági rést foltozott be a PDF-kezelő alkalmazásain.

  3. 2

    ​A Maze zsaroló program is fájlok titkosítását követően kezdi követelni a felhasználóktól a váltságdíjat.

 
Partnerhírek
Árnyék informatika: így törték fel a NASA laboratóriumát

Hihetetlen, de igaz – az amerikai űrügynökség laboratóriumánál közel egy évig nem vették észre, hogy valaki behatolt a belső hálózatba. A történetben fontos szerepet játszik az úgynevezett árnyék informatika is: a betörők egy olyan miniszámítógépen keresztül jutottak be a hálózatba, melynek létezéséről az IT osztály nem is tudott.

Akár 1,5 millió dollárt fizet a Google egy biztonsági hibáért

Az Apple után a Google is komolyra emelte a tétet a hibavadász programjában, ahol akár 1,5 millió dolláros jutalom ütheti a markát annak, aki a biztonsági hibát fedez fel a Titan M chipben. Persze ehhez kell némi (nagyon sok) szaktudás.

hirdetés
Közösség
1