Code unter dem linken Ellbogen
Mittwoch, 11. April 2018
Wir berichteten bereits über böswillige Bilder und Schadcode, der in diese Bilder eingebettet wird. Wie kann das passieren? Kann eine Virenschutz-App den Schadcode entdecken?
Sehen Sie einen binären Code? Dieser ist unter ihrem linken Ellbogen! :)
Es ist ein Leichtes, den Schadcode in ein Bild einzubetten. Die Frage ist aber, wie dieser Schadcode dann eingesetzt wird. In unserem Beispiel haben die Übeltäter eine einfache Methode angewendet.
Das Bild art-981754.png lässt sich unkompliziert durch den Befehl wget herunterladen. Die ausführbare Datei wird durch den Befehl dd (data duplicator) aus dem Bild extrahiert. Anschließend werden Privilegien für die Datei x4060014400 freigegeben – in diesem Fall geht es um alle Privilegien (chmod 777) Im letzten Schritt wird die extrahierte Datei gestartet.
Durch den Befehl wget wird eine Datei heruntergeladen, der ein bestimmter Name zugewiesen wird. Das Tool dd extrahiert aus der Bilddatei ein Stück und speichert es in einer anderen Datei ab. Anschließend wird das Bild gelöscht und der Schadcode gestartet.
Derartige Befehle können auch über die Befehlszeile unter Linux ausgeführt werden. In unserem Beispiel werden sie jedoch durch den Befehl SELECT über die Datenbank ausgeführt.
Nach dem Start wird die Datei gelöscht. Unter Linux wird aber die Datei, die gleichzeitig von einer anderen Person verwendet wird, nicht gelöscht. In diesem Fall ist die Datei gestartet und läuft, ist aber im System nicht sichtbar. Vernichtet wird die Datei erst dann, wenn jemand den gestarteten Prozess ausfindig macht und diesen abbricht.
Was sagt unser Antivirus?
Den aus dem Bild extrahierten Code erkennt Dr.Web als Miner. Wenn Sie auf Ihrem Rechner einen Virenschutz installiert haben, wird dessen Ausführung gesperrt.
„Die komplette Wahrheit über Viren & Co.“ empfiehlt
- Viren existieren auch unter Linux.
- Der böswillige Miner, der in unserem Beispiel entdeckt wurde, wurde als Tool klassifiziert. Damit Ihre Virenschutzsoftware Riskware neutralisiert, denken Sie bitte daran, dass die Option «In Quarantäne verschieben» aktiviert sein muss.
Sehen Sie den Fehler? Bei diesen Einstellungen wird sich der Miner in Ihr Betriebssystem einschleusen.
Ihre Meinung ist uns wichtig
Um einen Kommentar zu publizieren, müssen Sie sich über Ihr Konto auf der Webseite von Doctor Web einloggen. Wenn Sie noch kein Konto haben, können Sie es anlegen.
Kommentare der Teilnehmer
vasvet
22:25:38 2018-07-17
Неуёмный Обыватель
02:24:06 2018-07-17
razgen
20:44:09 2018-07-01