События
До недавнего времени некоторые вирусы попадали к пользователям через заархивированные файлы и оставались незамеченными антивирусами. Это происходит даже несмотря на то, что у большинства антивирусных программ есть приложения, которые выявляют поддельные архивные файлы в формате "rar" или "zip". Исследователи нашли, каким образом скрывается вредоносное программное обеспечение, часто используемое в архиваторах. Об этом было заявлено на конференции по безопасности Black Hat.Так называемые "ворота", используемые многими корпорациями, анализируют вложенные файлы на предмет безопасности продуктов. Хакеры заметили, что в сжатом виде файлы с вирусом иногда без проблем проходят эти "ворота". Пользователь, открыв приложенный файл, открывает и удаленный доступ к своему компьютеру.
"Проблема заключается в том, что у антивирусов и архиваторов различные задачи. Если они не синхронизируются, пользователь может извлечь данные из архива на свой компьютер, но антивирус не увидит поврежденные файлы", - сказал Томислав Перичин, основатель коммерческого проекта по защитному программному обеспечению RLPack.
Исследователи обнаружили по меньшей мере восемь таких уязвимых состояний, при которых продукты безопасности не находили испорченных файлов. "Есть еще 30 других потенциально уязвимых мест, но сначала нужно, чтобы производители разобрались с багами, чтобы понять, какие из проблем остались. Когда не будет проблем внутри самих архиваторов, всегда найдется возможность изменять файлы", - заметил Перичин.
Как попадает вирус в архивный файл? Исследователи называют этот способ стенографическим, с тайным содержанием, известным только отправителю и получателю. Существует, как минимум два программных средства, которые позволяют вставить скрытые сообщения в "zip" файлы. Это чем-то похоже на шифрованные данные, которых простому обывателю не обнаружить.
Исследователи презентовали на конференции бесплатный инструмент NyxEngine, находящийся в свободном доступе. В его задачу входит заметить вредоносное программное обеспечение и скрытое содержание в архивных форматах. NyxEngine проводит предварительную обработку заархивированных файлов. Поддерживается форматами ".zip", ".rar", ".gz" и ".cab".