Код под левым локтем
13 апреля 2018
Некоторые выпуски проекта «Антивирусная правДА!» были посвящены вредоносным изображениям. Естественно, у наших читателей возникал вопрос: как конкретно происходит внедрение такого вредоносного кода и может ли антивирус его обнаруживать?
Поместить небольшой вредоносный код в изображение несложно. Но главное – как этот код потом использовать. В данном примере злоумышленники реализовали самый простой метод:
Скачать изображение (art-981754.png) с полезной нагрузкой было несложно командой wget. Извлечение исполняемого файла из фотографии осуществляется командой dd (data duplicator). Затем устанавливаются разрешения на выполнение, фактически, полные разрешения (chmod 777) для созданного файла x4060014400. Последний шаг — запустить эту только что извлечённую полезную нагрузку.
Здесь команда wget скачивает файл и записывает его под определенным именем. Утилита dd извлекает из файла изображения некий участок по нужному смещению и записывает его в другой файл. Далее картинка удаляется (заметаем следы!), а полученный вредоносный файл запускается.
Эти команды могли бы быть выполнены из командной строки ОС Linux, но в данном примере выполняются средствами базы данных (команда SELECT).
После запуска файл уничтожается. Напомним, что в Linux стирание файла, который в этот момент кем-то используется, не приводит к его уничтожению. В данном случае файл запущен и будет работать, но в файловой системе останется невидимым. Уничтожится он только после того, как кто-то найдет и остановит запущенный процесс.
А что скажет антивирус?
Извлеченный из изображения код Dr.Web распознает как майнер. Так что при наличии антивируса он не запустится.
#вредоносное_ПО #Linux #технологии #настройки_Dr.Web #безопасность
Антивирусная правДА! рекомендует
- В Linux вирусы есть.
- Вредоносный майнер, найденный в этом примере, был классифицирован как утилита Tool. Чтобы ваш антивирус удалял программы, отнесенные к потенциально опасным, не забывайте установить для них действие по умолчанию: Перемещать в карантин.
Видите ошибку? При таких настройках майнер проберется на компьютер.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
12:57:30 2018-08-03
Неуёмный Обыватель
03:35:09 2018-06-12
Людмила
10:03:01 2018-04-16
спасибо вам за это желание!
да. листовка устарела. мы давно не делаем новые тесты.... придется листовку удалить с сайта. Но мы сделаем листовку по АВП!
zsergey
19:35:01 2018-04-15
green
14:39:25 2018-04-15
Александр
23:02:56 2018-04-14
Пaвeл
20:22:52 2018-04-14
Lex
20:15:53 2018-04-14
anatol
20:04:23 2018-04-14
Любитель пляжного футбола
17:22:41 2018-04-14
Татьяна
15:32:54 2018-04-14
Lia00
01:10:12 2018-04-14
razgen
00:38:42 2018-04-14
Lia00
00:05:09 2018-04-14
настройки по умолчанию, как понимается теперь, пропускают майнер на компьютер
AxooxA
23:57:46 2018-04-13
Andromeda
23:43:29 2018-04-13
Альфа
23:07:14 2018-04-13
stavkafon
22:31:00 2018-04-13
aleks_ku
21:24:17 2018-04-13
Dmur
21:14:49 2018-04-13
Dvakota
21:12:37 2018-04-13
duduka
21:11:13 2018-04-13
Marsn77
20:54:14 2018-04-13
Toma
20:44:39 2018-04-13
vla_va
20:32:25 2018-04-13
Дмитрий
20:22:40 2018-04-13
EvgenyZ
20:18:45 2018-04-13
Masha
19:55:30 2018-04-13
marisha-san
19:52:04 2018-04-13
alex-diesel
19:09:18 2018-04-13
Все "Потенциально опасные" сразу удалять потенциально опасно ))
Я долго сомневался даже установить "отправлять в карантин" поскольку даже карантин для таких программ может обернуться сюрпризом. Не страшным, не опасным, но и не приятным ))
orw_mikle
18:33:37 2018-04-13
Шалтай Александр Болтай
18:27:56 2018-04-13
В...а
18:11:47 2018-04-13
Сергей
18:04:57 2018-04-13
Геральт
17:53:52 2018-04-13
НинаК
17:44:50 2018-04-13
ek
17:06:45 2018-04-13
Neith
17:02:09 2018-04-13
Татьяна
16:51:50 2018-04-13
La folle
16:34:51 2018-04-13
kva-kva
16:16:20 2018-04-13
mk.insta
15:37:57 2018-04-13
Anton_S
15:01:05 2018-04-13
razgen
14:56:48 2018-04-13
Комплексный антивирус Dr.Web Security Space установлен и постоянно включён, так что враг не пройдёт!
МЕДВЕДЬ
14:50:50 2018-04-13
Самуил Христианин
14:48:46 2018-04-13
Natalya_2017
14:37:39 2018-04-13
sanek-xf
14:28:36 2018-04-13
razgen
13:47:16 2018-04-13
Littlefish
13:44:32 2018-04-13