Специалисты обнаружили способ незаметного для антивирусов встраивания вредоносного кода в архивные файлы

image

Теги: вредоносное ПО, антивирус, Black Hat, Conficker

На конференции Black Hat специалисты по безопасности продемонстрировали возможность незаметного для антивирусов встраивания кода червя Conficker в архивные файлы типа RAR и ZIP.

Исследователи компьютерной безопасности обнаружили способ сокрытия в популярных форматах файловых архивов вредоносного кода, не выявляемого большинством антивирусов.

На конференции Black Hat, проходившей в Барселоне, Томислав Перицин, основатель проекта RLPack, посвященного защите коммерческих приложений, Марио Вуксан, независимый эксперт и президент ReversingLabs, а также операционный директор AccessData Брайан Карни продемонстрировали возможность незаметного для антивирусов встраивания кода червя Conficker в архивные файлы типа RAR и ZIP.

Исследователи обнаружили 8 уязвимостей в ZIP и 7 "дыр" в 7ZIP, RAR, GZIP и CAB. Злоумышленники могут использовать найденные бреши для обхода корпоративных систем защиты, проверяющих почтовые вложения на присутствие в них вредоносного кода.

Специалисты также показали способ встраивания в архивные файлы секретных данных. Подобная методика носит название стеганографии; в отличие от криптографии, скрывающей содержимое тайны, она позволяет скрыть само ее существование, к примеру, внутри обычного (на первый взгляд) цифрового фотоснимка.

В ходе выступления исследователи сообщили о выпуске открытой утилиты NyxEngine, предназначенной для обнаружения вредоносного кода или скрытого контента в архивных файлах. Программа выступает препроцессором форматов ZIP, RAR, GZIP и CAB.


или введите имя

CAPTCHA
Страницы: 1  2  
Старый индеец
18-04-2010 21:55:37
Всегда хотел спросить а BlackHat продает создателям антивирусов обнаруженые технологии уязвимостей. Типа хочешь быть актуальным антивирусом плати или сам ищи.
0 |
Анонимус
19-04-2010 00:22:47
Может быть я чего-то не понимаю, но имхо даже если червь с известной сигнатурой пройдёт почтовый фильтр, его сможет остановить антивирусное ПО на конечном компьютере.
0 |
R@znid
19-04-2010 01:22:32
"продемонстрировали возможность незаметного для антивирусов встраивания кода червя Conficker в архивные файлы типа RAR и ZIP" - наверное пропустили когда читали ? Хотя тоже правы - червь если и исполницо(я не в курсе могут ли уже удалять авиры троев и тп из оперативы) то ему нада будет уже очень жестко цепляцо к системе(в плане колец). А вообще оч хоршая тема для тех кто крипторами занимаецо, имхо
0 |
19-04-2010 09:11:22
Если архив не самораспаковывающийся/исполнимый, то он может пройти и остаться не активированным до удаления. Если же данные исполнятся, то может быть перехвачен при запуске по сигнатуре как обычный вирь/троян. Новость - просто пиар своего продукта, позволяющего встраивать и извлекать файлы из архивов так, что их не видят стандартные архиваторы.
0 |
HavaI
19-04-2010 21:36:43
Если архив открывать ассоциативно, то есть даблкликом по файлу, то есть очень большая вероятность что исполняемый код исполнится. Виндовз, по непонятным причинам сначала пытается исполнить код в файле, а только потом начинает проверять его тип и структуру.
0 |
Тро ло ло ло
19-04-2010 05:36:44
Проходят времена винды - проходят
0 |
то Тро ло ло ло
19-04-2010 07:49:30
+100500, Пускай это и уныло, но винду вижу только как платформу для игр, либо для узких круг задач где безопасность не стоит на главном месте.
0 |
мурло
19-04-2010 08:51:24
да, мои сладкие, даже никакие корпоративные антивирусные гиганты не спасут уиндус от malware
0 |
19-04-2010 09:05:57
Обычная реклама NyxEngine своими авторами. Само скрытие в архивах так же примитивное: закидывание файлов внутрь архива без обновления его заголовков, так что архиватор не видит этих "добавок". В общем боян. Противодействий уже давно навалом, например от Digital Forensic Solutions и Fookes Software. А соответсвующее ПО разспростанено еще с прошлого века такими монстрами как Steganos, Cypher и т.д. ...Обычный багрепорт по архиваторам, обильно сдобренный рекламой своего продукта. Ничего нового.
0 |
Страницы: 1  2