Вы используете устаревший браузер!

Страница может отображаться некорректно.

Хранилище

Хранилище

Другие выпуски этой рубрики (5)
  • добавить в избранное
    Добавить в закладки

«Перун» – древний бог вредоносного грома

Прочитали: 7422 Комментариев: 85 Рейтинг: 114

21 ноября 2017

Выпуск о вредоносном коде в обычных картинках вызвал интерес наших читателей. Грустно, но ожидаемо: подавляющее большинство по-прежнему думает, что опасны только исполняемые файлы. А между тем история зараженных изображений – довольно древняя.

Год 2002:

Впервые обнаружен вирус, заражающий файлы изображений формата JPEG. Вирус, получивший название W32/Perrun, был прислан в компанию McAfee его автором в качестве пробной реализации идеи.

https://www.osp.ru/cw/2002/25-26/54151

Надо сказать, заражение было весьма условным. Дело в структуре графического файла: изображение считывается из него не по размеру файла на диске, а по внутренним сведениям – например, по информации из заголовка файла. Это приводит к тому, что к файлу можно приписать некий «хвост», который никак не повлияет на вывод на экран самой картинки. Графические редакторы просто не будут его обрабатывать. И «хвост» этот вовсе не всегда вредоносный. Это может быть и подпись, удостоверяющая происхождение файла. Но вернемся к первому графическому вирусу.

По информации специалистов антивирусной лаборатории, в которой и был впервые препарирован данный вирус, Perrun представляет собой Windows-приложение, написанное на Visual Basic и имеющее размер 18 К.

http://www.crime-research.ru/library/Gorb4.htm

Интересно, что в статье про Perrun было предсказано использование более продвинутых методов сокрытия информации в изображениях:

Perrun, скорее всего, окажется лишь первой ласточкой, потому что развернувшаяся вокруг него шумиха лишь подтолкнёт (подтолкнула) вирмейкеров (так называют людей, занимающихся изготовлением компьютерных вирусов) к «работе» в этом направлении. И их вирусы будут уже не примитивно дописывать свой код в конец файла, а действовать по сложным алгоритмам, в основе которых лежит стеганография. По имеющейся у меня информации, работы по созданию таких вот типов вирусов уже идут, анализируя полученную информацию, я смог составить «портрет» той «заразы», которую нам, скорее всего, ещё доведётся увидеть.

Как же работал «Перун»?

В ОС Windows предусмотрена возможность закреплять за каждым уникальным файловым расширением набор команд, которые будут выполняться над файлами, имеющими это расширение. Соотнесение типов файлов и применяемых к этим файлам действий производится в главном информационном банке Windows – ее реестре.

Если программа, что по умолчанию открывает JPG-файлы, подменена на другую программу, заранее внедренную неким злоумышленником (декодировщик), то после двойного щелчка по любому JPG-файлу, неважно, инфицированному или нет, эта программа открывает указанный JPG-файл и производит извлечение содержащегося в нем вируса, если он там есть. Далее, декодировщик сохраняет извлеченный вирус в той же директории, в виде исполняемого файла x.exe, и запускает этот x.exe на выполнение. После того как запуск x.exe выполнен, программа-декодировщик может совершить и какое-либо добропорядочное действие, к примеру, передать управление обратно, истинному обработчику по умолчанию.

http://www.comprice.ru/articles/detail.php?ID=43654

#drweb

Под словом «инфицирование» понимается всего лишь добавление exe-кода в конец jpg.

http://www.crime-research.ru/library/Gorb4.htm

Переводим на русский. Вредоносная программа помещается в графический файл ради сокрытия. Мало кому известно, но первые антивирусы предоставляли возможность выбора: сканировать все подряд или только исполняемые файлы. Второй вариант, естественно, был быстрее. Этим пользовались продвинутые пользователи и, разумеется, злоумышленники тоже.

Мы уже писали, что в Windows за разными типами файлов можно закрепить программу, которая по умолчанию будет вызываться при клике мышью. «Перун» подменял такую программу и вызывался автоматически при щелчке по изображению. Активировавшись, он извлекал из изображения и запускал вредоносный код.

Естественно, возникнуть на ПК из ниоткуда такой вредоносный комплекс никак не мог. Как и в наши дни, его нужно было получить по почте, скачать или принести на сменном носителе.

Другими словами: для того, чтобы вирус, заключенный в заранее инфицированном JPG-файле, сработал, т. е. чтобы произошло выполнение последовательности команд, его составляющих, компьютер уже должен быть инфицирован соответствующей программой-декодировщиком.

Собственно говоря, само инфицирование системы производится в момент запуска исполняемого exe-файла, в котором распространяется вирус Perrun. После такого запуска вирусом будут сразу сделаны две основные вещи. Первое: извлечена и помещена в системную директорию программа-декодировщик. И второе: в реестр Windows будут внесены изменения, смысл которых будет сводиться к уже упомянутой подмене «обработчика по умолчанию».

Итак, теперь, после того как декодировщик вируса сумел попасть на компьютер жертвы и прописаться в реестре ОС как «открывальщик» JPG-файлов «по умолчанию», все файлы формата JPEG будут проходить «через руки», т. е. открываться, с помощью этого внедренного извне декодировщика. Теперь внедренный декодировщик будет не только «отображать» графические JPG-файлы, но и попутно, в случае содержания в этих JPG-файлах специальных вирусных вкраплений, будет эти вирусные вкрапления извлекать и выполнять.

#вредоносное_ПО #безопасность #Windows

Антивирусная правДА! рекомендует

История многогранна и научила злоумышленников многому. За несколько десятилетий они освоили множество методов проникновения и сокрытия. Некоторые из этих ухищрений пользователи до сих пор считают выдумками. Но они существуют, и о них знает антивирус.

PS. Просим прощения у читателей, но уж очень цитата в тему:

вся сеть угорает повтаряю нету вирусов под линуксом а андроид и есть линукс а деньги ты сам отдал на какую то подписку читать внемательно нужно и вдумываться нужно на что подписываешься вон люди по телефону и номера банковских карт разказывают а потом кричат что их обокрали насмешил

Кто в итоге будет смеяться?

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Комментарии к другим выпускам | Мои комментарии

 
На страницу: