Главная
Архив новостей
Безопасность в Unix
Безопасность в Windows
Сборник FAQ'ов
Телефония, фрикинг
Кредитные карты
Криптография
Истории о хакерах
Программы, утилиты
_el@sp.sz.ru

RB2 Network

RECYCLED BIN: вирусы размножаются в мусорном ведре





Общеизвестно, что под windows 95/98 удаляемые пользователем файлы по умолчанию помещаются в папку RECYCLED, а не удаляются и файловой системы. Когда пользователь выбирает опцию "удалить", файл перемещается в эту папку, и даже если данная папка не существует, то она создаётся. Затем файл переименовывается, и вся информация об оригинальном его положении записывается в файл-индекс. После этого, при просмотре папки RECYCLED, windows не показывает реальное содержимое папки, а парсит индекс и показывает структуру удалённх фалов, как бы они выглядели в файловой системе.

Но тем не менее, файл, реально сохранённый в RECYCLE BIN, не будет виден при просмотре данной папки из GUI Windows. Не будет он удалён и в том случае, если вы выберете опцию "Empty Recycle Bin".

Как правило, антивирусные программы не проверяют содержимое \RECYCLED. Итак, вся реальная структура папки RECYCLED никогда не будет просканирована на вирусы. Итак, тут может храниться и исполняться некий нежелательный код. Мы нашли тот самый тёмный угол, куда никогда не заглядывает не только любознательный пользователь, но и беспристрастная антивирусная программа.

Но наиболее сложным шагом будет размещение кода в данной папке. Система сканирования почты/проверки траффика поймает вирус или троянец ещё до записи в файловую систему, и система сканирования в реальном времени, тпа AVP, отловит вредный код, как только свежесозданный файл с ним будет дописан до конца и закрыт. Но, тем не менне, существуют два метода "борьбы" со всеми системами контроля.

В доказательство существования опасности, была создана небольшая программа. Весь архив завёрнут в winzip-sfx архив, который содржит три файла - чистую версию какой-либо игры (это можно назвать "приманкой"), программа установки и файл winsetup.dll. Winsetup.dll представляет собой потенциальный вирус или же троян, и закодирован простым XORом по 25. После этого "вредный код" с успехом прошёл все антивирусные проверки.

После запуска WinZip инсталлятор распаковывает все файлы во временную папку и запускает setup. Setup копирует "приманку" на десктоп, если не уществует папке \RECYCLED, то программа создаёт её,. Затем программа токрывает на чтение winsetup.dll, создаёт в папке \recycled собственно исполняемое, разXORивает winetup.dll и пишет содержимое в свежесозданый файл. После чего спрятанный в "мусорке" файл запускается.

Данная технология была опробована на общеизвестном всем антивирусам троянце Back Orifice. Symantecовские пордукты не опознали в заксоренной каше даннх свою обычную цель.

Эксплоит работает и под winNT. Помещение портшелла в \RECYCLED как правило приводит к тому, что созданная ваши нелегальная консоль будет ликвидирована лишь спустя длиительное время, скорее всего, после штатной перестановки системы.

Ниже приводится короткий список сканеров, неспособных сканировать мусорные коризны: McAfee Virus Scan Engine: 4050 DATs: 4062 Norton Anti-Virus Engine: 5.01.01C DATs: 01/24/00 Так же вы можете скачать исходный код "эксплоита", и сам WinZip-sfx архив, инсталирующий враждебный код.

 duke

Team Void


<== Back to main page