Odwracanie znaków - nowa metoda dostarczania złośliwego kodu
- Antoni Steliński,
- 08.09.2011, godz. 11:06
Cyberprzestępcy znaleźli nowy sposób ukrywania prawdziwego rozszerzenia plików, dzięki czemu mogą podsuwać użytkownikom wykonywalne pliki na pierwszy rzut oka wyglądające np. jak grafika w formacie JPG. Wykorzystywana jest do tego celu pewna specyficzna cecha standardu UNICODE.
Zobacz też:
Unitrix pozwala na zapisanie np. pliku gpj.exe jako photo_D18727_Coll exe.jpg (ostatnie sześć znaków nazwy zostaje odwrócone, więc użytkownikowi wydaje się, że ma do czynienia ze standardową, bezpieczną grafiką). "Większość użytkowników patrzy tylko na początek i koniec nazwy pliku - jeśli zobaczą, że kończy się ona na .jpg, zwykle uznają, że plik jest bezpieczny. W przypadku Unitrix użytkownik może się zorientować, że jest zagrożony, tylko jeśli wyświetli pełne informacje o pliku lub jeśli system poinformuje go, że otwierany plik może być potencjalnie niebezpieczny" - tłumaczy Jindrich Kubec z Avasta.
Zobacz również:
Przedstawiciel firmy dodał też, że exploit jest już aktywnie wykorzystywany przez cyberprzestępców - używają go oni do wprowadzenia do systemów Windows konia trojańskiego, instalującego dodatkowe złośliwe oprogramowanie. Ów trojan jest w ostatnim czasie niezwykle aktywny - Avast wykrywa średnio 25 tys. kopii dziennie. Atakowani są głównie użytkownicy biznesowi - świadczy o tym fakt, że w weekendy liczba infekcji spada nawet o 75%.
Kubec dodaje, że infekowane komputery są łączone w sieć zombiePC, która jest następnie "wypożyczana" innym grupom przestępczym do ich działań (np. wysyłania spamu, rozpowszechniania złośliwego oprogramowania lub ataków DDoS). Całą siecią zarządzają trzy główne serwery kontrolne (C&C - command-and-control), zlokalizowane w Chinach, Rosji oraz USA. Specjaliści z Avast sądzą, że trojanem zarządza grupa przestępcza z Rosji lub Ukrainy.
Jindrich Kubec podkreśla, że zabezpieczenie się przed sztuczką wykorzystywaną przez Unitrix jest niezwykle trudne - jednym ze sposobów może być uruchamianie podejrzanych plików w tzw. piaskownicy. Problem w tym, że nie wszystkie aplikacje oferują takie rozwiązanie.