Можно ли верить своим глазам

fseto

Опытный участник
Сообщения
1,383
Реакции
222
Несколько дней назад один из наших пользователей прислал образец (SHA1: fbe71968d4c5399c2906b56d9feadf19a35beb97, определяется как TrojanDropper:Win32/Vundo.L). Это троян для фишинга с сайтов vk.com и vkontakte.ru, запросы на которые перенаправляются на 92.38.209.252 необычным способом.

Обычный метод перенаправления трафика — добавить запись в файл hosts, который находится в папке %SystemRoot%\system32\drivers\etc. Однако, когда мы открываем этот файл на заражённом компьютере, то там нет никаких записей для vk.com и vkontakte.ru:




Но если включить отображение скрытых файлов, то появляется ещё один файл hosts:



Мы видим два файла с одинаковым названием в одной папке. Но ведь одна директория не может содержать двух файлов с одинаковым названием. Если скопировать имена файлов в Notepad, сохранить как текст Unicode и открыть в Hex-редакторе, то появится следующая картина (верхняя строчка для первого файла hosts, нижняя — для второго):



В Unicode (UTF-16) символ 0x006F выглядит так же, как 0x6F в ASCII, где тот соответствует букве «o». Но что такое 0x043E в Unicode? Это можно посмотреть в таблице Unicode, вот её фрагмент.



В таблице 0x043E соответствует кириллическому символу, который выглядит так же, как английское «o». То есть настоящим файлом hosts на самом деле является скрытый файл, именно он используется операционной системой. Если открыть этот файл, то сразу видно отличие от фальшивого, это две строчки внизу на несколько экранов от начала:



Загадка разгадана.

Это уже не первый раз, когда мы обнаружили использование хакерами кодировки Unicode для вредоносных целей. В августе 2010 года один китайский хакер продемонстрировал приём, как использовать управляющие символы Unicode, чтобы убедить пользователей в безопасности файла. С помощью управляющего символа 0x202E (RLO) можно изменить порядок символов при отображении названия файла в Windows Explorer.

Например, вот потенциально опасный файл picgpj.exe



Если перед частью названия «gpj.exe» вставить управляющий символ, то порядок символов меняется и имя файла отображается в Проводнике уже иначе:



Хакеры обычно используют картинку в качестве иконки для этого файла. Неосторожный пользователь может принять её за фотографию и открыть двойным щелчком, тем самым запуская программу. Очевидно, этот приём бесполезен для программ с поддержкой Юникода, но пользователи не всегда сами могут распознать опасность.

Можно ли верить своим глазам? Получается, что не всегда.

Источник
 
Неосторожный пользователь может принять её за фотографию и открыть двойным щелчком, тем самым запуская программу. Очевидно, этот приём бесполезен для программ с поддержкой Юникода, но пользователи не всегда сами могут распознать опасность.
чтобы верить своим глазам, рекомендую отказаться от использования Проводника, а использовать Total Commander, хотя и он не лишен некоторых "неудобств", именно неудобств, а не недостатков.
Проводник vs. Total Commander
 
Мне бы хотелось глянуть лог авз с такой подменой хостс-файла, чувствую что был такой лог, но не помню деталей, кое-что уточнить хотелось бы глядя в лог.
 
Drongo, это копипаст статьи с другого сайта, при чём статья 2011 года. Так что тот hosts тебе сейчас никто не найдёт. Да и прикол тут не в его содержимом, а в имени. А насчёт такой подмены имени кажется ты даже в своём руководстве писал, в общем ничего нового тут нет.
 
Да я посмотреть хотел лог вообще-то, а не содержимое хостс, высветит авз атрибут NationalName хоть где-нибудь с этим хостсом или нет. А вообще было бы неплохо если такого ещё нет, чтоб хостс получи в хмл файле такой атрибут.
 
Саня, на сколько я еще помню, то фейковый хостс авз не видела ;), а вот мвам его хорошо вычисляет.
 
Последнее редактирование:
Drongo,
Создал пустой файл с русской буквой о. Сейчас автологер работает. Как закончит, скажу.
Или я что-то не так понял?
Ничего никто не нашел :)
Только RSIT выдал информацию об изменении папки C:\WINDOWS\system32\drivers\etc
 
Саня, на сколько я еще помню, то фейковый хостс авз не видела, а вот мвам его хорошо вычисляет.
а он должен его видеть?
Или я что-то не так понял?
иди учи матчать, вопрос как раз для первого курса.
Да я посмотреть хотел лог вообще-то, а не содержимое хостс, высветит авз атрибут NationalName хоть где-нибудь с этим хостсом или нет.
если нужно будет, то высветит ;). Логи я тебе кидал, ты даже в парсере отдельную эвристику - вставку команд скрипта для исправление делал.
 
иди учи матчать, вопрос как раз для первого курса
Я так понял, Drongo хотел узнать, засветится ли левый файл hosts. Мне вот тоже стало интересно, засветит ли его AVZ, как файл с подозрительным именем. Больше он его не мог никак засветить в принципе.
Или я суть самого вопроса не понял?
 
Я так понял, Drongo хотел узнать, засветится ли левый файл hosts.
@ScriptMakeR, Drongo хотел узнать засветится ли файл hosts если в пути к нему будут национальные символы, например русские буквы. Ответ да, засветится даже в HTML.
А по поводу остального ищите ответы самостоятельно, в том числе и на этом сайте ;).
 
По хостс:
Надо понимать, что такие уловки предназначены только для человека, который смотрит на это дело в проводнике. Для утилиты (авз) разницы никакой нет - фейкового файла она даже не заметит, реальный хостс (с нормальным именем) лежит на прежнем месте и никто его не трогал - просто сделали его скрытым, а то, что рядом лежит файл, который визуально по имени похож на хостс утилиты не поймут - они отобразят реальное содержимое реального хостса (вместе со всеми хакерскими перенаправлениями). Другое дело, в старых системах можно переназначить через реестр путь до него, но это уже совсем другая история...

Про переворачивание символов:
Это мега-баянный прием соц.инженерии в целях скрытия истинного расширения файла, работает в проводнике, фар отобразит это дело корректно (имя переворачивать не будет). В комментариях выше говорят, что и тоталкомандер не будет тупить.
 
petr-ru, я всё ждал, что студенты подумают и сами напишут, то что написали вы )))). Надеялся, что ещё мне ссылочку дадут на статью, как исправить путь если его переназначили.
PS. это разумеется не к вам, я не сомневаюсь, что вы знаете.
 
Так это-то я и так понимал. Просто надеялся, что в AVZ реализована проверка на маскировку фейкового hоsts под настоящий hosts.
Я же говорю, что не понял суть вопроса.
Если произведена замена пути к файлу hosts, то это уже AVZ заметит и надо править
Код:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"DataBasePath"
Ну и нормальный hosts подсовывать.
Ссылку на статью не дам. Что-то не попалась мне она.
 
Последнее редактирование:
ScriptMakeR, допустим на своём рабочем столе или в папке мои документы создали текстовый файл, назвали его h0sts вписали туда перенаправление каких-то сайтов и больше ничего не делали.
Это фейковый hosts? AVZ должен его видеть?
Так что повторю свой вопрос
а он должен его видеть?
Ссылку на статью не дам. Что-то не попалась мне она.
поиски надо было начинать с FAQ ... там даже оглавление для облегчения поиска есть.
 
regist,
Я его в папку C:\WINDOWS\system32\drivers\etc положил. От реального он только пустотой и одной буквой отличался. Т.е. все как описано в статье, только прятать легальный файл не стал.
Думал, что есть подобная проверка на маскировку под легаг.
 
ScriptMakeR, а для работы программ или для windows имеет значение вы его туда положили или на рабочий стол? Что-нибудь плохое будет даже если вы туда что-то впишите?
Думал, что есть подобная проверка на маскировку под легаг.
AVZ показывает то что запускается, а если у вас лежит просто тушка которая никаким образом не может сама запустится, то пусть и лежит. Кому она она мешает? Может это вы так свои файлы прячете упрятав в папку windows.
 
а он должен его видеть?
Мой ответ был адресован Саше, и я надеюсь что он меня правильно понял.
Если ты не понял, тогда я сейчас туда смайлик добавлю, так будет понятнее.
 
Что-нибудь плохое будет даже если вы туда что-то впишите?
Да я прекрасно понимаю, что без перенаправления этот файл никакой угрозы не составляет. Он служит только для отвода живых глаз. И то, если не присматриваться.
Может это вы так свои файлы прячете упрятав в папку windows.
А вот про это я как-то даже и не подумал.
 
Про разгадку символа интересно, а вот в целом принцип если смотреть через проводник я собственно так и делаю обычно (да да пошёл в пещеру доедать мамонта), всегда нужно чтобы отображались все скрытые файлы, если они не отображаются надо править реестр и только когда их видно смотреть какие бы то не было файлы в том числе Хост...

А на счёт картинки, хитро очень хитро:Clapping:
 
Назад
Сверху Снизу