15.11.2011

Po neki raziskavi je za zagon skoraj 45% vseh zlonamernih programov potrebna interakcija samega uporabnika. V vseh primerih pa to ne pomeni, da veselo klikamo na čisto vse povezave in odpiramo raznorazne izvršljive datoteke, včasih je dovolj samo majhna nepozornost.

Predstavljajte si, da dobite elektronsko sporočilo, lahko tudi od znane osebe, v katerem prejmete neko poročilo:

Sporočilu je priložen RAR arhiv, zaščiten z geslom, geslo pa je navedeno s samem sporočilu. Tako pošiljanje poročil vsekakor ni običajno, in to bi že moral biti prvi znak za večjo previdnost. S pošiljanjem zakriptanih priponk se namreč napadalec lahko izogne filtrom na poštnih strežnikih, ki ponavadi takih priponk ne znajo analizirati.

Če RAR arhiv razpakiramo, v njem najdemo eno samo datoteko, ki na prvi pogled izgleda kot PDF dokument (mimogrede, ikono izvršljive datoteke v Windows sistemih je zelo enostavno ponarediti):

Če smo malce bolj pozorni, lahko opazimo neke neobičajnosti: v sistemu Windows XP je razvidna končnica datoteke SCR (če imamo v sistemu vklopljen prikaz vseh končnic), v sistemih Windows 7 in Vista pa je sicer razvidna končnica PDF, se pa na sami ikoni nahaja znak, ki prikazuje, da so za zagon datoteke potrebne administratorske pravice. Da gre dejansko za SCR datoteko, je razvidno šele iz ukazne lupine:

Zakaj torej nekateri sistemi prikazujejo končnico .PDF, čeprav to ni? Analiza je pokazala, da ime datoteke vsebuje dodaten unicode znak 202E – “right-to-left-override”, ki je del podpore za prikaz pisav, ki se pišejo iz desne strani. Po vstavitvi tega znaka se vsi nadaljni znaki v programih, ki imajo unicode podporo, pišejo od desne proti levi:

SCR datoteka vsebuje izvršljivo programsko kodo. Če bi jo odprli, bi zelo verjetno okužili svoj sistem. V času analize datoteke jo je kot zlonamerno prepoznalo 5 od 42 antivirusov:

 

Windows XP privzeto nima podpore za pisave, ki se pišejo iz desne strani, zato v privzeti konfiguraciji prikazuje pravilno končnico. Izkoriščanje te “funkcionalnosti” je tako trenutno mogoče v sistemih Windows 7 in Vista, ter v vseh programih, ki imajo podporo prikaza unicode pisav. Sam problem pa ni vezan zgolj na prikaz končnice datotek, ampak tudi npr. na zapis URL naslova. Katero spletno stran nam bo odprl Thunderbird?

Vsebine, ki vam lahko pomagajo
5

Nov val izsiljevalskih virusov, tokrat v ZIP priponkah

Zadnje dni na SI-CERT prejemamo številne prijave sumljive elektronske pošte, namenjene ciljno izbranim naslovnikom v Sloveniji. Sporočila so različna, vsa pa vsebujejo priponko oblike dokument_1.zip (v priponki je lahko uporabljena druga številka). ZIP arhiv vsebuje javascript datoteko dokument_1.js, ki poskusi okužiti računalnik. Po prvih pregledih kaže, da gre za nov val…

Vaš komentar

Vaš e-naslov ne bo nikoli objavljen ali posredovan tretjim osebam.
Obvezna polja so označena z *