«Перун» – древний бог вредоносного грома
21 ноября 2017
Выпуск о вредоносном коде в обычных картинках вызвал интерес наших читателей. Грустно, но ожидаемо: подавляющее большинство по-прежнему думает, что опасны только исполняемые файлы. А между тем история зараженных изображений – довольно древняя.
Год 2002:
Впервые обнаружен вирус, заражающий файлы изображений формата JPEG. Вирус, получивший название W32/Perrun, был прислан в компанию McAfee его автором в качестве пробной реализации идеи.
Надо сказать, заражение было весьма условным. Дело в структуре графического файла: изображение считывается из него не по размеру файла на диске, а по внутренним сведениям – например, по информации из заголовка файла. Это приводит к тому, что к файлу можно приписать некий «хвост», который никак не повлияет на вывод на экран самой картинки. Графические редакторы просто не будут его обрабатывать. И «хвост» этот вовсе не всегда вредоносный. Это может быть и подпись, удостоверяющая происхождение файла. Но вернемся к первому графическому вирусу.
По информации специалистов антивирусной лаборатории, в которой и был впервые препарирован данный вирус, Perrun представляет собой Windows-приложение, написанное на Visual Basic и имеющее размер 18 К.
Интересно, что в статье про Perrun было предсказано использование более продвинутых методов сокрытия информации в изображениях:
Perrun, скорее всего, окажется лишь первой ласточкой, потому что развернувшаяся вокруг него шумиха лишь подтолкнёт (подтолкнула) вирмейкеров (так называют людей, занимающихся изготовлением компьютерных вирусов) к «работе» в этом направлении. И их вирусы будут уже не примитивно дописывать свой код в конец файла, а действовать по сложным алгоритмам, в основе которых лежит стеганография. По имеющейся у меня информации, работы по созданию таких вот типов вирусов уже идут, анализируя полученную информацию, я смог составить «портрет» той «заразы», которую нам, скорее всего, ещё доведётся увидеть.
Как же работал «Перун»?
В ОС Windows предусмотрена возможность закреплять за каждым уникальным файловым расширением набор команд, которые будут выполняться над файлами, имеющими это расширение. Соотнесение типов файлов и применяемых к этим файлам действий производится в главном информационном банке Windows – ее реестре.
Если программа, что по умолчанию открывает JPG-файлы, подменена на другую программу, заранее внедренную неким злоумышленником (декодировщик), то после двойного щелчка по любому JPG-файлу, неважно, инфицированному или нет, эта программа открывает указанный JPG-файл и производит извлечение содержащегося в нем вируса, если он там есть. Далее, декодировщик сохраняет извлеченный вирус в той же директории, в виде исполняемого файла x.exe, и запускает этот x.exe на выполнение. После того как запуск x.exe выполнен, программа-декодировщик может совершить и какое-либо добропорядочное действие, к примеру, передать управление обратно, истинному обработчику по умолчанию.
http://www.comprice.ru/articles/detail.php?ID=43654
Под словом «инфицирование» понимается всего лишь добавление exe-кода в конец jpg.
Переводим на русский. Вредоносная программа помещается в графический файл ради сокрытия. Мало кому известно, но первые антивирусы предоставляли возможность выбора: сканировать все подряд или только исполняемые файлы. Второй вариант, естественно, был быстрее. Этим пользовались продвинутые пользователи и, разумеется, злоумышленники тоже.
Мы уже писали, что в Windows за разными типами файлов можно закрепить программу, которая по умолчанию будет вызываться при клике мышью. «Перун» подменял такую программу и вызывался автоматически при щелчке по изображению. Активировавшись, он извлекал из изображения и запускал вредоносный код.
Естественно, возникнуть на ПК из ниоткуда такой вредоносный комплекс никак не мог. Как и в наши дни, его нужно было получить по почте, скачать или принести на сменном носителе.
Другими словами: для того, чтобы вирус, заключенный в заранее инфицированном JPG-файле, сработал, т. е. чтобы произошло выполнение последовательности команд, его составляющих, компьютер уже должен быть инфицирован соответствующей программой-декодировщиком.
Собственно говоря, само инфицирование системы производится в момент запуска исполняемого exe-файла, в котором распространяется вирус Perrun. После такого запуска вирусом будут сразу сделаны две основные вещи. Первое: извлечена и помещена в системную директорию программа-декодировщик. И второе: в реестр Windows будут внесены изменения, смысл которых будет сводиться к уже упомянутой подмене «обработчика по умолчанию».
Итак, теперь, после того как декодировщик вируса сумел попасть на компьютер жертвы и прописаться в реестре ОС как «открывальщик» JPG-файлов «по умолчанию», все файлы формата JPEG будут проходить «через руки», т. е. открываться, с помощью этого внедренного извне декодировщика. Теперь внедренный декодировщик будет не только «отображать» графические JPG-файлы, но и попутно, в случае содержания в этих JPG-файлах специальных вирусных вкраплений, будет эти вирусные вкрапления извлекать и выполнять.
Антивирусная правДА! рекомендует
История многогранна и научила злоумышленников многому. За несколько десятилетий они освоили множество методов проникновения и сокрытия. Некоторые из этих ухищрений пользователи до сих пор считают выдумками. Но они существуют, и о них знает антивирус.
PS. Просим прощения у читателей, но уж очень цитата в тему:
вся сеть угорает повтаряю нету вирусов под линуксом а андроид и есть линукс а деньги ты сам отдал на какую то подписку читать внемательно нужно и вдумываться нужно на что подписываешься вон люди по телефону и номера банковских карт разказывают а потом кричат что их обокрали насмешил
Кто в итоге будет смеяться?
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
21:55:18 2018-07-30
Неуёмный Обыватель
07:09:26 2018-06-20
vasvet
12:22:38 2018-04-15
a13x
13:01:00 2017-12-13
Интернет - это не площадка правительства и торгашей... А тут теперь: увы и ах. Такой кавардак, что чёрт уже давно перебентован.
zsergey
07:23:49 2017-11-24
Ruslan
02:15:21 2017-11-23
razgen
23:54:37 2017-11-21
vla_va
23:48:12 2017-11-21
mk.insta
23:33:38 2017-11-21
ek
23:20:10 2017-11-21
В...а
23:07:41 2017-11-21
eaglebuk
22:54:14 2017-11-21
НинаК
22:33:15 2017-11-21
kva-kva
22:04:29 2017-11-21
samos
21:39:03 2017-11-21
Mehatronik
21:32:19 2017-11-21
PS Перун - прикольное название для вируса)
Dvakota
20:57:38 2017-11-21
Любитель пляжного футбола
20:53:50 2017-11-21
duduka
20:53:39 2017-11-21
orw_mikle
20:31:48 2017-11-21
МЕДВЕДЬ
20:12:39 2017-11-21
Сергей
19:55:39 2017-11-21
razgen
19:51:41 2017-11-21
"Для распространения вируса злоумышленники выбрали очень простой способ. Они рассылают потенциальным жертвам фишинговые письма. В которых содержится фальшивый вложенный файл PDF, под которым на самом деле скрывается вирус. Как только троян проникает на персональный компьютер жертвы, он внедряется в системные процессы и при необходимости может загрузить дополнительное вредоносное ПО."
Более подробно можно прочитать по ссылке:
http://freebrowsers.ru/news/2583/
Yra.Ka.
19:20:31 2017-11-21
razgen
19:03:12 2017-11-21
Andromeda
18:15:51 2017-11-21
marisha-san
17:56:55 2017-11-21
Damir
17:51:46 2017-11-21
Шалтай Александр Болтай
17:48:52 2017-11-21
Альфа
17:37:42 2017-11-21
Toma
17:16:45 2017-11-21
DrKV
16:25:43 2017-11-21
Вячeслaв
16:23:46 2017-11-21
Littlefish
16:09:41 2017-11-21
Согласен, любую специальность, если назвать на зарубежный манер, то будет звучать солидно и представительно: вместо уборщик - специалист по клинингу, вместо тренера - коуч-мастер и т.д., но суть-то от этого не меняется.
Masha
16:08:19 2017-11-21
Littlefish
16:03:07 2017-11-21
Littlefish
16:00:43 2017-11-21
Littlefish
15:56:17 2017-11-21
Littlefish
15:48:26 2017-11-21
Littlefish
15:44:26 2017-11-21
La folle
15:41:22 2017-11-21
Вячeслaв
15:35:44 2017-11-21
Вячeслaв
15:28:11 2017-11-21
Вячeслaв
15:25:14 2017-11-21
Zserg
15:23:02 2017-11-21
Вячeслaв
15:22:37 2017-11-21
Кирилл69
15:18:39 2017-11-21
Роза
14:38:38 2017-11-21
Dmur
14:20:57 2017-11-21
Alexander
13:37:02 2017-11-21
И только после этого я спокойно открываю картинку определяемым мной просмотрщиком.