Записи Друзья Комментарии
оля поздеева
Аватар оля_поздеева

 -Рубрики

 -Поиск по дневнику

Поиск сообщений в оля_поздеева

 -Подписка по e-mail

 

 -Интересы

интересно всё!

 -Сообщества

Читатель сообществ (Всего в списке: 3) СкАзОчНыЙ_мИр_КаРтИНоК Ссылочки_малятам Умелые_ручки

 -Статистика

Статистика LiveInternet.ru: показано количество хитов и посетителей
Создан: 01.04.2011
Записей: 1532
Комментариев: 156
Написано: 2119


Вирус в png: Сохрани и открой меня

Суббота, 04 Февраля 2012 г. 04:16 + в цитатник
Цитата сообщения Помогай-ка
Прочитать целикомВ свой цитатник или сообщество!
Вирус в png: Сохрани и открой меня

Совсем недавно у нас был обнаружен интересный PNG-файл. При его открытии появляется изображение, которое призывает пользователя открыть файл в MS Paint’е и пересохранить его в формате HTA.
 

Сохрани и открой меня
Оригинальная PNG-картинка


Мне это показалось довольно подозрительным, так как HTA-файл может выполнять деструктивную деятельность. Этот формат фактически не отличается от HTML, за исключением того, что последний работает в контексте браузера, а HTA – в контексте отдельного приложения.

Первым делом, для разбора исходной картинки, я решил её распаковать, так как все PNG-файлы упакованы алгоритмом deflate. На выходе мною было получено неупакованное BMP-изображение. Открыв его в Hiew, я сразу же понял замысел злоумышленников. Практически сразу за BMP-заголовком располагается скрипт, написанный на javascript. Таким образом, пересохранив файл в HTA и открыв его, пользователь фактически запустит скрипт.
 

Сохрани и открой меня
Фрагмент оригинального PNG-файла, преобразованного в BMP

Сам скрипт обладает крайне любопытным функционалом. Вначале он прописывается в автозагрузку, что довольно стандартно. А затем он обращается к разделу “random” популярного портала 4chan.org, выдёргивая из тем произвольные фразы. Далее с помощью встроенного EXE-файла происходит генерация новой картинки, в которой, помимо предложения о пересохранении в HTA, используются взятые с 4chan.org слова. Самым последним этапом является публикация полученного изображения в ту же самую ветку форума, из которой извлекались случайные слова.

В этом скрипте используется оригинальный способ для обхода CAPTCHA. Он базируется на использовании популярных английский слов и сервиса RECAPTCHA от Google. На скриншотах представлены фрагменты кода, отвечающего за использование обоих методов.

В итоге полный цикл работы зловреда выглядит следующим образом: добавление HTA-файла в автозагрузку, генерация новой картинки и, наконец, публикация поста, содержащего сгенерированное изображение, на форуме. По сути, никакой истинно вредоносной нагрузки для пользователя этот зловред не несёт, но сам факт распространения и внесения изменений в систему не является легальным. Очень интересным оказался механизм переноса скрипта в запакованной PNG-картинке. Совершенно непонятно, какую цель преследовали разработчики данной поделки. Возможно, им хотелось продемонстрировать возможный способ скрытого переноса вредоносного кода 


(c)Закоржевский Вячеслав, securelist.com

Рубрики:  ПОЛЕЗНОСТИ
Нравится

Комментировать К дневнику Страницы: [1] [Новые]
 

Добавить комментарий:
Текст комментария: смайлики

Проверка орфографии: (найти ошибки)

Прикрепить картинку:

 Переводить URL в ссылку
 Подписаться на комментарии
 Подписать картинку


О проекте