20 апр. 2010 г.

Cпособ встраивания вредоносного кода в архивные файлы

Исследователи компьютерной безопасности обнаружили способ сокрытия в популярных форматах файловых архивов вредоносного кода, не выявляемого большинством антивирусов.

На конференции Black Hat, проходившей в Барселоне (Испания), Томислав Перицин (Tomislav Pericin), основатель проекта RLPack, посвященного защите коммерческих приложений, Марио Вуксан (Mario Vuksan), независимый эксперт и президент ReversingLabs, а также операционный директор AccessData Брайан Карни (Brian Karney) продемонстрировали возможность незаметного для антивирусов встраивания кода червя Conficker в архивные файлы типа RAR и ZIP.

Всего обнаружено восемь уязвимостей в ZIP и семь «дыр» в 7ZIP, RAR, GZIP и CAB. Найденные «прорехи» способны помочь злоумышленникам обходить корпоративные системы защиты, проверяющие почтовые вложения на присутствие в них хакерского кода. В итоге конечные пользователи вновь оказываются под серьезной угрозой.

Специалисты также показали способ встраивания в архивные файлы секретных данных. Подобная методика носит название стеганографии; в отличие от криптографии, скрывающей содержимое тайны, она позволяет скрыть само ее существование — к примеру, внутри обычного (на первый взгляд) цифрового фотоснимка. Говорят, стеганография вовсю используется в разведке и в террористических кругах.

Brigitte Sporrer / Corbis                     Brigitte Sporrer / Corbis

В итоге было заявлено о выпуске открытой утилиты NyxEngine, предназначенной для обнаружения вредоносного кода или скрытого контента в архивных файлах. Программа выступает препроцессором форматов ZIP, RAR, GZIP и CAB.

NyxEngine убережет от архивных бомб.

compulenta.ru

на
Ярлыки:

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)

Cайт от Dr Web для разблокировки Вашего компьютера

Троянец заблокировал Windows и требует отправить SMS? Не надо платить преступнику!

В связи с тем, что с каждым днем появляются новые модификации Trojan.Winlock, незащищенными остаются даже те пользователи, которые применяют постоянно обновляемые антивирусные решения различных производителей.

Для помощи пострадавшим компания «Доктор Веб» в специальном разделе своего официального сайта собрала всю актуальную информацию об этих троянцах. В частности, форму разблокировки, которая помогает бесплатно найти необходимый код. Только за первые 2 дня работы этого проекта, его посетили сотни тысяч пользователей. Компания «Доктор Веб» информирует о появлении новой троянской программы, которая при запуске компьютера предлагает ввести регистрационный код якобы для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить платное SMS-сообщение. В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам. Вирусными аналитиками компании «Доктор Веб» был получен образец очередной программы, которая распространяется в виде поддельных кодеков и при запуске Windows выводит сообщение о необходимости отправить SMS с текстом для разблокировки доступа к системе. Данная вредоносная программа была добавлена в вирусную базу Dr.Web под именем Trojan.Winlock.19. Ее модификации уже автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin.

Если Ваш компьютер инфицирован Trojan.Winlock или его модификациями (Trojan.Winlock.origin) Чтобы получить код активации и разблокировать Windows, введите в форму вымогаемый автором троянца текст SMS. Если Вам точно известно имя троянской программы, которой инфицирован Ваш ПК. Попробуйте получить код разблокировки, выбрав название троянца. Если Вы не знаете точное имя троянской программы попробуйте найти похожий скриншот. Под скриншотом будет написано название троянца. Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2 часа после запуска. Для тех, кто не хочет ждать, специалисты компании «Доктор Веб» подготовили специальный раздел сайта.

Специальный сайт: Dr Web