Код под левым локтем

Незваные гости

добавить в избранное

Код под левым локтем

Прочитали: 8125 Комментариев: 101 Рейтинг: 116

13 апреля 2018

Некоторые выпуски проекта «Антивирусная правДА!» были посвящены вредоносным изображениям. Естественно, у наших читателей возникал вопрос: как конкретно происходит внедрение такого вредоносного кода и может ли антивирус его обнаруживать?

Видите двоичный код? Он прямо под ее левым локтем! :)

https://habrahabr.ru/post/351452/

Поместить небольшой вредоносный код в изображение несложно. Но главное – как этот код потом использовать. В данном примере злоумышленники реализовали самый простой метод:

Скачать изображение (art-981754.png) с полезной нагрузкой было несложно командой wget. Извлечение исполняемого файла из фотографии осуществляется командой dd (data duplicator). Затем устанавливаются разрешения на выполнение, фактически, полные разрешения (chmod 777) для созданного файла x4060014400. Последний шаг — запустить эту только что извлечённую полезную нагрузку.

Здесь команда wget скачивает файл и записывает его под определенным именем. Утилита dd извлекает из файла изображения некий участок по нужному смещению и записывает его в другой файл. Далее картинка удаляется (заметаем следы!), а полученный вредоносный файл запускается.

Эти команды могли бы быть выполнены из командной строки ОС Linux, но в данном примере выполняются средствами базы данных (команда SELECT).

Конечно, когда дело сделано, нужно замести следы.

После запуска файл уничтожается. Напомним, что в Linux стирание файла, который в этот момент кем-то используется, не приводит к его уничтожению. В данном случае файл запущен и будет работать, но в файловой системе останется невидимым. Уничтожится он только после того, как кто-то найдет и остановит запущенный процесс.

А что скажет антивирус?

Извлеченный из изображения код Dr.Web распознает как майнер. Так что при наличии антивируса он не запустится.

#вредоносное_ПО #Linux #технологии #настройки_Dr.Web #безопасность

Антивирусная правДА! рекомендует

В Linux вирусы есть.
Вредоносный майнер, найденный в этом примере, был классифицирован как утилита Tool. Чтобы ваш антивирус удалял программы, отнесенные к потенциально опасным, не забывайте установить для них действие по умолчанию: Перемещать в карантин.

Видите ошибку? При таких настройках майнер проберется на компьютер.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Денисенко Павел Андреевич
12:57:30 2018-08-03

Вирусы могут быть и нетолько в Linux. Нужно все лишь правильно настроить антивирус.

Неуёмный Обыватель Собкор
03:35:09 2018-06-12

На таких фотках код под локотком искать никто не будет )))

Людмила
10:03:01 2018-04-16

@Lia00,
спасибо вам за это желание!
да. листовка устарела. мы давно не делаем новые тесты.... придется листовку удалить с сайта. Но мы сделаем листовку по АВП!

zsergey
19:35:01 2018-04-15

Настройки нужно ставить по максимуму.

green
14:39:25 2018-04-15

А если я скачаю картинку через браузер по команде "Сохранить как...", а не через терминал командой wget, и далее не буду в терминале вводить команду dd для этого файла - зловред установится в систему? В статье сказано: "Эти команды могли бы быть выполнены из командной строки ОС Linux, но в данном примере выполняются средствами базы данных (команда SELECT)". Команда SELECT запустится без моего ведома (ведь я же ничего в терминале с этим файлом не делаю)? Из статьи непонятно. Может автор пояснит, что да как? По умолчанию, пользователи Linux таких действий к картинкам и прочим неизвестным файлам в терминале не выполняют.

Александр
23:02:56 2018-04-14

Надеюсь в таких случаях только на Dr.Web!!!

Пaвeл Собкор
20:22:52 2018-04-14

@Lex, поздравляю с Днем рождения! Удачи!

Lex
20:15:53 2018-04-14

Всем огромное спасибо за поздравления! :)

anatol
20:04:23 2018-04-14

когда в настройках не уверен лучше оставлять "по умолчанию"

Любитель пляжного футбола Собкор
17:22:41 2018-04-14

@Lex, c Днём рождения! Хороших выходных!

Татьяна
15:32:54 2018-04-14

@Lex, поздравляю с Днем рождения! Всего наилучшего!

Lia00 Собкор
01:10:12 2018-04-14

@admin хотела завтра раздать листовку, но информация устарела https://www.drweb.ru/web-iq/project/gallery/

razgen Собкор
00:38:42 2018-04-14

@Lex, c Днём рождения! Всего наилучшего!

Lia00 Собкор
00:05:09 2018-04-14

благодаря комментариям только можно увидеть ошибку простым пользователям O_o
настройки по умолчанию, как понимается теперь, пропускают майнер на компьютер

AxooxA
23:57:46 2018-04-13

У меня давно стоит "Перемещать в карантин". Но спасибо за напоминание. Пробежался чуток по настройкам заодно.

Andromeda
23:43:29 2018-04-13

Настройки тоже поменяла. А скоро выйдет двенадцатая версия DWSS?

Альфа
23:07:14 2018-04-13

Изменил настройки в Dr.Web на рекомендуемые. Было игнорировать. Спасибо за совет.

stavkafon
22:31:00 2018-04-13

Вирусы есть везде и способов их подхватить масса. В Linux вирусов тоже полно - это факт.

aleks_ku
21:24:17 2018-04-13

Очень полезно для самоуверенных обладателей Линукса

Dmur
21:14:49 2018-04-13

Рекомендации Dr.Web как всегда полезные. Настройки обычно использую по умолчанию, сейчас перепроверю.

Dvakota
21:12:37 2018-04-13

Надеюсь не пострадать от такой "картинки" ! Dr.Web в помощь !

duduka
21:11:13 2018-04-13

Тяжело сделать настройки на все случаи жизни

Marsn77
20:54:14 2018-04-13

В наше время вредоносный код можно записать в любом файле: от текстового до мультимедиа

Toma
20:44:39 2018-04-13

Игнорировать - всегда ошибка.

vla_va
20:32:25 2018-04-13

Ошибка в данном случае - где "игнорировать"!

Дмитрий
20:22:40 2018-04-13

Все перемещать в карантин. Спасибо за выпуск.

EvgenyZ
20:18:45 2018-04-13

Иногда вредоносные программы оказываются там, где их не ожидаешь встретить. Всегда нужен надежный антивирус.

Masha
19:55:30 2018-04-13

Стараюсь выполнять все рекомендации Dr.Web, в том числе и по настройкам.

marisha-san Собкор
19:52:04 2018-04-13

Настройки антивируса Dr.Web согласно рекомендациям ,и спим спокойно.

alex-diesel Собкор
19:09:18 2018-04-13

@Ruslan, == В настройках устанавливаю всегда "Удалить". Спасибо за выпуск! ==
Все "Потенциально опасные" сразу удалять потенциально опасно ))
Я долго сомневался даже установить "отправлять в карантин" поскольку даже карантин для таких программ может обернуться сюрпризом. Не страшным, не опасным, но и не приятным ))

orw_mikle
18:33:37 2018-04-13

Настройки стоят по умолчанию и их менять не нужно, разве добавить некоторые.

Шалтай Александр Болтай Собкор
18:27:56 2018-04-13

Близок локоть, да не укусишь.

В...а
18:11:47 2018-04-13

Уже раза два читали похожие выпуски, но этот самый подробный!

Сергей
18:04:57 2018-04-13

Хорошо хоть Dr.Web распознаёт подобные опасности.

Геральт Собкор
17:53:52 2018-04-13

У меня уже давно в настройках доктор веба стоит пункт ПЕРЕМЕЩАТЬ В КАРАНТИН потенциально опасные файлы.

НинаК
17:44:50 2018-04-13

Пока видимо редко и легко определяют все

ek
17:06:45 2018-04-13

Надо что-то делать с этими зараженными картинами - может червяка там рисовать в месте, где код внедрен?

Neith
17:02:09 2018-04-13

Так компьютер заряжается при целенаправленном скачивании изображения или даже если откроешь браузере страницу с таким изображением?

Татьяна
16:51:50 2018-04-13

Вирусы в изображениях!? Действительно сейчас в сети без Dr.Web очень опасно.

La folle
16:34:51 2018-04-13

Очередной раз убеждаюсь в опасности простых картинок!

kva-kva
16:16:20 2018-04-13

Вот ведь... Tool нельзя поставить будет в исключения... но возможно и не понадобиться

mk.insta
15:37:57 2018-04-13

Картинку выбрали тоже видимо из хитрых побуждений!

Anton_S
15:01:05 2018-04-13

Линукс поставил только на виртуальной машине для загрузки всякой нечести "от желающих" поменяться на авито.

razgen Собкор
14:56:48 2018-04-13

==Извлеченный из изображения код Dr.Web распознает как майнер. Так что при наличии антивируса он не запустится.==

Комплексный антивирус Dr.Web Security Space установлен и постоянно включён, так что враг не пройдёт!

МЕДВЕДЬ
14:50:50 2018-04-13

Под локтем ничего не вижу,вся надежда на Dr.Web.

Самуил Христианин
14:48:46 2018-04-13

В Linux вирусов тоже полно - это факт. Вирусы есть везде и способов их подхватить масса

Natalya_2017
14:37:39 2018-04-13

Наличие Dr.Web и своевременные проверка и обновление - вот залог спокойной жизни ПК!

sanek-xf
14:28:36 2018-04-13

А я не нашёл.. Это полоса небольшая такая?

razgen Собкор
13:47:16 2018-04-13

@Biggurza, @Alexander, ваши поэтические изыски, на тему добра и зла в глобальной информационной сети, неиссякаемы.

Littlefish Собкор
13:44:32 2018-04-13

Проверил настройки - всё правильно, выставлено на перемещать в карантин.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Код под левым локтем

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей