Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Ungeladene Gäste

Незваные гости

Andere Ausgaben dieser Rubrik (5)
  • Zu Favoriten hinzufügen
    Registerkarte hinzufügen

Code unter dem linken Ellbogen

Gelesen: 381 Kommentare: 3 Rating: 6

Wir berichteten bereits über böswillige Bilder und Schadcode, der in diese Bilder eingebettet wird. Wie kann das passieren? Kann eine Virenschutz-App den Schadcode entdecken?

#drweb

Sehen Sie einen binären Code? Dieser ist unter ihrem linken Ellbogen! :)

https://habrahabr.ru/post/351452/

Es ist ein Leichtes, den Schadcode in ein Bild einzubetten. Die Frage ist aber, wie dieser Schadcode dann eingesetzt wird. In unserem Beispiel haben die Übeltäter eine einfache Methode angewendet.

Das Bild art-981754.png lässt sich unkompliziert durch den Befehl wget herunterladen. Die ausführbare Datei wird durch den Befehl dd (data duplicator) aus dem Bild extrahiert. Anschließend werden Privilegien für die Datei x4060014400 freigegeben – in diesem Fall geht es um alle Privilegien (chmod 777) Im letzten Schritt wird die extrahierte Datei gestartet.

#drweb

Durch den Befehl wget wird eine Datei heruntergeladen, der ein bestimmter Name zugewiesen wird. Das Tool dd extrahiert aus der Bilddatei ein Stück und speichert es in einer anderen Datei ab. Anschließend wird das Bild gelöscht und der Schadcode gestartet.

Derartige Befehle können auch über die Befehlszeile unter Linux ausgeführt werden. In unserem Beispiel werden sie jedoch durch den Befehl SELECT über die Datenbank ausgeführt.

Spuren sollte man auch verwischen.

#drweb

Nach dem Start wird die Datei gelöscht. Unter Linux wird aber die Datei, die gleichzeitig von einer anderen Person verwendet wird, nicht gelöscht. In diesem Fall ist die Datei gestartet und läuft, ist aber im System nicht sichtbar. Vernichtet wird die Datei erst dann, wenn jemand den gestarteten Prozess ausfindig macht und diesen abbricht.

Was sagt unser Antivirus?

#drweb

Den aus dem Bild extrahierten Code erkennt Dr.Web als Miner. Wenn Sie auf Ihrem Rechner einen Virenschutz installiert haben, wird dessen Ausführung gesperrt.

Doctor Web stellt fest:

  1. Viren existieren auch unter Linux.
  2. Der böswillige Miner, der in unserem Beispiel entdeckt wurde, wurde als Tool klassifiziert. Damit Ihre Virenschutzsoftware Riskware neutralisiert, denken Sie bitte daran, dass die Option «In Quarantäne verschieben» aktiviert sein muss.

    #drweb

    Sehen Sie den Fehler? Bei diesen Einstellungen wird sich der Miner in Ihr Betriebssystem einschleusen.

Erhalten Sie Dr.Web Punkte für Ihre Stimme! (1 Stimme = 1 Dr.Web Punkt)

Melden Sie sich an und sichern Sie sich 10 Dr.Web Punkte für die Ausgabe.

[Twitter]

Aufgrund von technischen Einschränkungen von VK und Facebook können wir keine Dr.Web Punkte vergeben.

Ihre Meinung ist uns wichtig

10 Dr.Web Punkte für einen Kommentar zur Ausgabe am Tag der Veröffentlichung oder 1 Dr.Web Punkt an einem anderen Tag. Kommentare werden automatisch veröffentlich und im Nachhinein moderiert. Kommentierungsregeln.

Um einen Kommentar zu publizieren, müssen Sie sich über Ihr Konto auf der Webseite von Doctor Web einloggen. Wenn Sie noch kein Konto haben, können Sie es anlegen.

Kommentare der Teilnehmer