• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Можно ли верить своим глазам

fseto

Активный пользователь
Сообщения
1,436
Симпатии
315
#1
Несколько дней назад один из наших пользователей прислал образец (SHA1: fbe71968d4c5399c2906b56d9feadf19a35beb97, определяется как TrojanDropper:Win32/Vundo.L). Это троян для фишинга с сайтов vk.com и vkontakte.ru, запросы на которые перенаправляются на 92.38.209.252 необычным способом.

Обычный метод перенаправления трафика — добавить запись в файл hosts, который находится в папке %SystemRoot%\system32\drivers\etc. Однако, когда мы открываем этот файл на заражённом компьютере, то там нет никаких записей для vk.com и vkontakte.ru:




Но если включить отображение скрытых файлов, то появляется ещё один файл hosts:



Мы видим два файла с одинаковым названием в одной папке. Но ведь одна директория не может содержать двух файлов с одинаковым названием. Если скопировать имена файлов в Notepad, сохранить как текст Unicode и открыть в Hex-редакторе, то появится следующая картина (верхняя строчка для первого файла hosts, нижняя — для второго):



В Unicode (UTF-16) символ 0x006F выглядит так же, как 0x6F в ASCII, где тот соответствует букве «o». Но что такое 0x043E в Unicode? Это можно посмотреть в таблице Unicode, вот её фрагмент.



В таблице 0x043E соответствует кириллическому символу, который выглядит так же, как английское «o». То есть настоящим файлом hosts на самом деле является скрытый файл, именно он используется операционной системой. Если открыть этот файл, то сразу видно отличие от фальшивого, это две строчки внизу на несколько экранов от начала:



Загадка разгадана.

Это уже не первый раз, когда мы обнаружили использование хакерами кодировки Unicode для вредоносных целей. В августе 2010 года один китайский хакер продемонстрировал приём, как использовать управляющие символы Unicode, чтобы убедить пользователей в безопасности файла. С помощью управляющего символа 0x202E (RLO) можно изменить порядок символов при отображении названия файла в Windows Explorer.

Например, вот потенциально опасный файл picgpj.exe



Если перед частью названия «gpj.exe» вставить управляющий символ, то порядок символов меняется и имя файла отображается в Проводнике уже иначе:



Хакеры обычно используют картинку в качестве иконки для этого файла. Неосторожный пользователь может принять её за фотографию и открыть двойным щелчком, тем самым запуская программу. Очевидно, этот приём бесполезен для программ с поддержкой Юникода, но пользователи не всегда сами могут распознать опасность.

Можно ли верить своим глазам? Получается, что не всегда.

Источник
 

kmscom

Активный пользователь
Сообщения
271
Симпатии
43
#2
Неосторожный пользователь может принять её за фотографию и открыть двойным щелчком, тем самым запуская программу. Очевидно, этот приём бесполезен для программ с поддержкой Юникода, но пользователи не всегда сами могут распознать опасность.
чтобы верить своим глазам, рекомендую отказаться от использования Проводника, а использовать Total Commander, хотя и он не лишен некоторых "неудобств", именно неудобств, а не недостатков.
Проводник vs. Total Commander
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,841
Симпатии
5,578
#3
Мне бы хотелось глянуть лог авз с такой подменой хостс-файла, чувствую что был такой лог, но не помню деталей, кое-что уточнить хотелось бы глядя в лог.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,834
Симпатии
5,564
#4
Drongo, это копипаст статьи с другого сайта, при чём статья 2011 года. Так что тот hosts тебе сейчас никто не найдёт. Да и прикол тут не в его содержимом, а в имени. А насчёт такой подмены имени кажется ты даже в своём руководстве писал, в общем ничего нового тут нет.
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,841
Симпатии
5,578
#5
Да я посмотреть хотел лог вообще-то, а не содержимое хостс, высветит авз атрибут NationalName хоть где-нибудь с этим хостсом или нет. А вообще было бы неплохо если такого ещё нет, чтоб хостс получи в хмл файле такой атрибут.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,285
Симпатии
4,829
#6
Саня, на сколько я еще помню, то фейковый хостс авз не видела ;), а вот мвам его хорошо вычисляет.
 
Последнее редактирование:

ScriptMakeR

Клуб переводчиков
Сообщения
1,445
Симпатии
515
#7
Drongo,
Создал пустой файл с русской буквой о. Сейчас автологер работает. Как закончит, скажу.
Или я что-то не так понял?
Ничего никто не нашел :)
Только RSIT выдал информацию об изменении папки C:\WINDOWS\system32\drivers\etc
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,834
Симпатии
5,564
#8
Саня, на сколько я еще помню, то фейковый хостс авз не видела, а вот мвам его хорошо вычисляет.
а он должен его видеть?
иди учи матчать, вопрос как раз для первого курса.
Да я посмотреть хотел лог вообще-то, а не содержимое хостс, высветит авз атрибут NationalName хоть где-нибудь с этим хостсом или нет.
если нужно будет, то высветит ;). Логи я тебе кидал, ты даже в парсере отдельную эвристику - вставку команд скрипта для исправление делал.
 

ScriptMakeR

Клуб переводчиков
Сообщения
1,445
Симпатии
515
#9
иди учи матчать, вопрос как раз для первого курса
Я так понял, Drongo хотел узнать, засветится ли левый файл hosts. Мне вот тоже стало интересно, засветит ли его AVZ, как файл с подозрительным именем. Больше он его не мог никак засветить в принципе.
Или я суть самого вопроса не понял?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,834
Симпатии
5,564
#10
Я так понял, Drongo хотел узнать, засветится ли левый файл hosts.
@ScriptMakeR, Drongo хотел узнать засветится ли файл hosts если в пути к нему будут национальные символы, например русские буквы. Ответ да, засветится даже в HTML.
А по поводу остального ищите ответы самостоятельно, в том числе и на этом сайте ;).
 

petr-ru

Пользователь
Сообщения
62
Симпатии
31
#11
По хостс:
Надо понимать, что такие уловки предназначены только для человека, который смотрит на это дело в проводнике. Для утилиты (авз) разницы никакой нет - фейкового файла она даже не заметит, реальный хостс (с нормальным именем) лежит на прежнем месте и никто его не трогал - просто сделали его скрытым, а то, что рядом лежит файл, который визуально по имени похож на хостс утилиты не поймут - они отобразят реальное содержимое реального хостса (вместе со всеми хакерскими перенаправлениями). Другое дело, в старых системах можно переназначить через реестр путь до него, но это уже совсем другая история...

Про переворачивание символов:
Это мега-баянный прием соц.инженерии в целях скрытия истинного расширения файла, работает в проводнике, фар отобразит это дело корректно (имя переворачивать не будет). В комментариях выше говорят, что и тоталкомандер не будет тупить.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,834
Симпатии
5,564
#12
petr-ru, я всё ждал, что студенты подумают и сами напишут, то что написали вы )))). Надеялся, что ещё мне ссылочку дадут на статью, как исправить путь если его переназначили.
PS. это разумеется не к вам, я не сомневаюсь, что вы знаете.
 

ScriptMakeR

Клуб переводчиков
Сообщения
1,445
Симпатии
515
#13
Так это-то я и так понимал. Просто надеялся, что в AVZ реализована проверка на маскировку фейкового hоsts под настоящий hosts.
Я же говорю, что не понял суть вопроса.
Если произведена замена пути к файлу hosts, то это уже AVZ заметит и надо править
Код:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"DataBasePath"
Ну и нормальный hosts подсовывать.
Ссылку на статью не дам. Что-то не попалась мне она.
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,834
Симпатии
5,564
#14
ScriptMakeR, допустим на своём рабочем столе или в папке мои документы создали текстовый файл, назвали его h0sts вписали туда перенаправление каких-то сайтов и больше ничего не делали.
Это фейковый hosts? AVZ должен его видеть?
Так что повторю свой вопрос
Ссылку на статью не дам. Что-то не попалась мне она.
поиски надо было начинать с FAQ ... там даже оглавление для облегчения поиска есть.
 

ScriptMakeR

Клуб переводчиков
Сообщения
1,445
Симпатии
515
#15
regist,
Я его в папку C:\WINDOWS\system32\drivers\etc положил. От реального он только пустотой и одной буквой отличался. Т.е. все как описано в статье, только прятать легальный файл не стал.
Думал, что есть подобная проверка на маскировку под легаг.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,834
Симпатии
5,564
#16
ScriptMakeR, а для работы программ или для windows имеет значение вы его туда положили или на рабочий стол? Что-нибудь плохое будет даже если вы туда что-то впишите?
Думал, что есть подобная проверка на маскировку под легаг.
AVZ показывает то что запускается, а если у вас лежит просто тушка которая никаким образом не может сама запустится, то пусть и лежит. Кому она она мешает? Может это вы так свои файлы прячете упрятав в папку windows.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,285
Симпатии
4,829
#17
Мой ответ был адресован Саше, и я надеюсь что он меня правильно понял.
Если ты не понял, тогда я сейчас туда смайлик добавлю, так будет понятнее.
 

ScriptMakeR

Клуб переводчиков
Сообщения
1,445
Симпатии
515
#18
Что-нибудь плохое будет даже если вы туда что-то впишите?
Да я прекрасно понимаю, что без перенаправления этот файл никакой угрозы не составляет. Он служит только для отвода живых глаз. И то, если не присматриваться.
Может это вы так свои файлы прячете упрятав в папку windows.
А вот про это я как-то даже и не подумал.
 

D'Dragon

Эксперт клуба THG
Сообщения
70
Симпатии
70
#19
Про разгадку символа интересно, а вот в целом принцип если смотреть через проводник я собственно так и делаю обычно (да да пошёл в пещеру доедать мамонта), всегда нужно чтобы отображались все скрытые файлы, если они не отображаются надо править реестр и только когда их видно смотреть какие бы то не было файлы в том числе Хост...

А на счёт картинки, хитро очень хитро:Clapping: