Furmányos trükköt eszeltek ki a vírusírók

​A vírusírók egy újabb trükköt vetettek be annak érdekében, hogy megtévesszék a védelmi technológiákat. Ezúttal ZIP-fájlokat manipulálnak.
 

A vírusterjesztők egyik legfontosabb célja, hogy a kártékony kódjaikat minél nagyobb valószínűséggel tudják átjuttatni a védelmi vonalakon. Mindenáron el akarják kerülni, hogy a biztonsági szoftverek detektálják a nemkívánatos programjaikat, majd riasztásokat küldözgessenek. Erre megannyi módszerük volt már eddig is, de ezt a repertoárt most egy újabb megoldással bővítették ki.
 
Furcsa tömörített fájlok
 
Az új trükk lényegében manipulált, ZIP-formátumú állományokra épül. E tömörített fájlok hagyományos esetben tartalmazzák a fájlra és a tömörítésre vonatkozó legfontosabb paramétereket, valamint magát a tömörített adathalmazt. A struktúrában fontos szerepet kap egy EOCD (End of Central Directory) nevű rekord, amely fájlonként egy példányban található meg. Legalábbis normális esetben.
 
A Trustwave biztonsági kutatói azonban olyan fájlokra akadtak, amelyek több szempontból is gyanússá váltak. Az egyik gyanús tényező nem más volt, mint hogy a tömörített fájl jóval nagyobb méretűnek mutatkozott, mint az általa tárolt - tömörítés nélkül is - kisebb méretű adathalmaz. Vagyis a nagy méretet látszólag semmi sem indokolta. Emellett a ZIP-állományban két EOCD bejegyzés kapott helyet. Ezek vizsgálatakor derült ki, hogy olyan ZIP-fájlokról van szó, amelyek tulajdonképpen két tömörített adathalmazt, és két struktúraleírást tartalmaznak.
 
A fájlok első részében egy teljesen ártalmatlan, tömörített kép kapott helyet, amely tulajdonképpen csaliként, figyelemelterelésként szolgált. A másik fájlszegmensbe pedig egy NanoCore trójai fészkelte be magát egy SHIPPING_MX00034900_PL_INV_pdf.exe nevű fájl formájában.
 
A kutatók nyilván arra is kíváncsiak voltak, hogy ezt az összetett állományt miként lehet kibontani széles körben használt szoftverekkel. A Windows beépített ZIP-kezelője nem tudott mit kezdeni a fájllal: hibaüzenetben közölte, hogy érvénytelen formátumú állományról van szó. A 7-Zip legújabb kiadása csak a csali képet bontotta ki, míg a régebbi verziói, valamint a WinRar és a PowerArchiver szó nélkül mindkét fájlt kicsomagolta. Ebből a szakemberek azt a következtetést vonták le, hogy a védelmi technológiák is annak függvényében tudják detektálni a káros állományt, hogy milyen módon kezelik a ZIP-fájlokat. Ezt pedig biztosan nem egységes módon teszik.  
A kutatók megjegyezték, hogy az új trükk azért nem terjedt el széles körben, mert a fájlok kicsomagolása nem végezhető el megbízható módon, ami hátrány a kiberbűnözők számára. Az eddig fellelt variánsokat elektronikus levelekben sikerült kimutatni SHIPPING_MX00034900_PL_INV_pdf.zip néven. E küldemények esetében a csalók egy logisztikai cég nevével éltek vissza, de nyilvánvalóan mind a feladó, mind a csatolt fájl neve módosulhat a jövőben.