Furmányos trükköt eszeltek ki a vírusírók

​A vírusírók egy újabb trükköt vetettek be annak érdekében, hogy megtévesszék a védelmi technológiákat. Ezúttal ZIP-fájlokat manipulálnak.
 

A vírusterjesztők egyik legfontosabb célja, hogy a kártékony kódjaikat minél nagyobb valószínűséggel tudják átjuttatni a védelmi vonalakon. Mindenáron el akarják kerülni, hogy a biztonsági szoftverek detektálják a nemkívánatos programjaikat, majd riasztásokat küldözgessenek. Erre megannyi módszerük volt már eddig is, de ezt a repertoárt most egy újabb megoldással bővítették ki.
 
Furcsa tömörített fájlok
 
Az új trükk lényegében manipulált, ZIP-formátumú állományokra épül. E tömörített fájlok hagyományos esetben tartalmazzák a fájlra és a tömörítésre vonatkozó legfontosabb paramétereket, valamint magát a tömörített adathalmazt. A struktúrában fontos szerepet kap egy EOCD (End of Central Directory) nevű rekord, amely fájlonként egy példányban található meg. Legalábbis normális esetben.
 
A Trustwave biztonsági kutatói azonban olyan fájlokra akadtak, amelyek több szempontból is gyanússá váltak. Az egyik gyanús tényező nem más volt, mint hogy a tömörített fájl jóval nagyobb méretűnek mutatkozott, mint az általa tárolt - tömörítés nélkül is - kisebb méretű adathalmaz. Vagyis a nagy méretet látszólag semmi sem indokolta. Emellett a ZIP-állományban két EOCD bejegyzés kapott helyet. Ezek vizsgálatakor derült ki, hogy olyan ZIP-fájlokról van szó, amelyek tulajdonképpen két tömörített adathalmazt, és két struktúraleírást tartalmaznak.
 
A fájlok első részében egy teljesen ártalmatlan, tömörített kép kapott helyet, amely tulajdonképpen csaliként, figyelemelterelésként szolgált. A másik fájlszegmensbe pedig egy NanoCore trójai fészkelte be magát egy SHIPPING_MX00034900_PL_INV_pdf.exe nevű fájl formájában.
 
A kutatók nyilván arra is kíváncsiak voltak, hogy ezt az összetett állományt miként lehet kibontani széles körben használt szoftverekkel. A Windows beépített ZIP-kezelője nem tudott mit kezdeni a fájllal: hibaüzenetben közölte, hogy érvénytelen formátumú állományról van szó. A 7-Zip legújabb kiadása csak a csali képet bontotta ki, míg a régebbi verziói, valamint a WinRar és a PowerArchiver szó nélkül mindkét fájlt kicsomagolta. Ebből a szakemberek azt a következtetést vonták le, hogy a védelmi technológiák is annak függvényében tudják detektálni a káros állományt, hogy milyen módon kezelik a ZIP-fájlokat. Ezt pedig biztosan nem egységes módon teszik.


Forrás: Trustwave
 
A kutatók megjegyezték, hogy az új trükk azért nem terjedt el széles körben, mert a fájlok kicsomagolása nem végezhető el megbízható módon, ami hátrány a kiberbűnözők számára. Az eddig fellelt variánsokat elektronikus levelekben sikerült kimutatni SHIPPING_MX00034900_PL_INV_pdf.zip néven. E küldemények esetében a csalók egy logisztikai cég nevével éltek vissza, de nyilvánvalóan mind a feladó, mind a csatolt fájl neve módosulhat a jövőben.
Vélemények
 
  1. 4

    Az Apple Safari legújabb verziója négy biztonsági rést segít befoltozni.

  2. 4

    Az Apple iOS és az iPadOS 14-es kiadása biztonsági hibajavításokkal is szolgál.

  3. 2

    ​A WastedLocker zsaroló program nagy felfordulást képest okozni a számítógépeken, és biztonsági mentések hiányában akár helyreállíthatatlan károkat is előidézhet.

 
Partnerhírek
​Az ESET kutatói felfedezték a KryptoCibule-t

Egy korábban nem ismert rosszindulatú trójai szoftvercsaládot fedeztek fel az ESET kutatói, amely kártékony torrenteken keresztül terjedve többféle trükköt is bevet annak érdekében, hogy annyi kriptovalutától fossza meg áldozatait, amennyitől csak lehetséges – mindezt észrevétlenül.

Hogyan tehetjük biztonságosabbá a TikTok fiókunkat?

​A TikTok három évvel ezelőtt robbant be a köztudatba, azóta pedig töretlen népszerűségnek örvend, hiszen mára a második legnépszerűbb social média platformmá nőtte ki magát.

hirdetés
Közösség