Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (59)
  • добавить в избранное
    Добавить в закладки

Код под левым локтем

Прочитали: 4112 Комментариев: 104 Рейтинг: 105

Некоторые выпуски проекта «Антивирусная правДА!» были посвящены вредоносным изображениям. Естественно, у наших читателей возникал вопрос: как конкретно происходит внедрение такого вредоносного кода и может ли антивирус его обнаруживать?

#drweb

Видите двоичный код? Он прямо под ее левым локтем! :)

https://habrahabr.ru/post/351452/

Поместить небольшой вредоносный код в изображение несложно. Но главное – как этот код потом использовать. В данном примере злоумышленники реализовали самый простой метод:

Скачать изображение (art-981754.png) с полезной нагрузкой было несложно командой wget. Извлечение исполняемого файла из фотографии осуществляется командой dd (data duplicator). Затем устанавливаются разрешения на выполнение, фактически, полные разрешения (chmod 777) для созданного файла x4060014400. Последний шаг — запустить эту только что извлечённую полезную нагрузку.

#drweb

Здесь команда wget скачивает файл и записывает его под определенным именем. Утилита dd извлекает из файла изображения некий участок по нужному смещению и записывает его в другой файл. Далее картинка удаляется (заметаем следы!), а полученный вредоносный файл запускается.

Эти команды могли бы быть выполнены из командной строки ОС Linux, но в данном примере выполняются средствами базы данных (команда SELECT).

Конечно, когда дело сделано, нужно замести следы.

#drweb

После запуска файл уничтожается. Напомним, что в Linux стирание файла, который в этот момент кем-то используется, не приводит к его уничтожению. В данном случае файл запущен и будет работать, но в файловой системе останется невидимым. Уничтожится он только после того, как кто-то найдет и остановит запущенный процесс.

А что скажет антивирус?

#drweb

Извлеченный из изображения код Dr.Web распознает как майнер. Так что при наличии антивируса он не запустится.

#вредоносное_ПО #Linux #технологии #настройки_Dr.Web #безопасность

Dr.Web рекомендует

  1. В Linux вирусы есть.
  2. Вредоносный майнер, найденный в этом примере, был классифицирован как утилита Tool. Чтобы ваш антивирус удалял программы, отнесенные к потенциально опасным, не забывайте установить для них действие по умолчанию: Перемещать в карантин.

    #drweb

    Видите ошибку? При таких настройках майнер проберется на компьютер.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: