Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Ungeladene Gäste

Незваные гости

Andere Ausgaben dieser Rubrik (19)
  • Zu Favoriten hinzufügen
    Registerkarte hinzufügen

Code unter dem linken Ellbogen

Gelesen: 21953 Kommentare: 3 Rating: 9

Mittwoch, 11. April 2018

Wir berichteten bereits über böswillige Bilder und Schadcode, der in diese Bilder eingebettet wird. Wie kann das passieren? Kann eine Virenschutz-App den Schadcode entdecken?

#drweb

Sehen Sie einen binären Code? Dieser ist unter ihrem linken Ellbogen! :)

https://habrahabr.ru/post/351452/

Es ist ein Leichtes, den Schadcode in ein Bild einzubetten. Die Frage ist aber, wie dieser Schadcode dann eingesetzt wird. In unserem Beispiel haben die Übeltäter eine einfache Methode angewendet.

Das Bild art-981754.png lässt sich unkompliziert durch den Befehl wget herunterladen. Die ausführbare Datei wird durch den Befehl dd (data duplicator) aus dem Bild extrahiert. Anschließend werden Privilegien für die Datei x4060014400 freigegeben – in diesem Fall geht es um alle Privilegien (chmod 777) Im letzten Schritt wird die extrahierte Datei gestartet.

#drweb

Durch den Befehl wget wird eine Datei heruntergeladen, der ein bestimmter Name zugewiesen wird. Das Tool dd extrahiert aus der Bilddatei ein Stück und speichert es in einer anderen Datei ab. Anschließend wird das Bild gelöscht und der Schadcode gestartet.

Derartige Befehle können auch über die Befehlszeile unter Linux ausgeführt werden. In unserem Beispiel werden sie jedoch durch den Befehl SELECT über die Datenbank ausgeführt.

Spuren sollte man auch verwischen.

#drweb

Nach dem Start wird die Datei gelöscht. Unter Linux wird aber die Datei, die gleichzeitig von einer anderen Person verwendet wird, nicht gelöscht. In diesem Fall ist die Datei gestartet und läuft, ist aber im System nicht sichtbar. Vernichtet wird die Datei erst dann, wenn jemand den gestarteten Prozess ausfindig macht und diesen abbricht.

Was sagt unser Antivirus?

#drweb

Den aus dem Bild extrahierten Code erkennt Dr.Web als Miner. Wenn Sie auf Ihrem Rechner einen Virenschutz installiert haben, wird dessen Ausführung gesperrt.

„Die komplette Wahrheit über Viren & Co.“ empfiehlt

  1. Viren existieren auch unter Linux.
  2. Der böswillige Miner, der in unserem Beispiel entdeckt wurde, wurde als Tool klassifiziert. Damit Ihre Virenschutzsoftware Riskware neutralisiert, denken Sie bitte daran, dass die Option «In Quarantäne verschieben» aktiviert sein muss.

    #drweb

    Sehen Sie den Fehler? Bei diesen Einstellungen wird sich der Miner in Ihr Betriebssystem einschleusen.

[Twitter]

Ihre Meinung ist uns wichtig

Um einen Kommentar zu publizieren, müssen Sie sich über Ihr Konto auf der Webseite von Doctor Web einloggen. Wenn Sie noch kein Konto haben, können Sie es anlegen.

Kommentare der Teilnehmer