До сих пор существуют довольно простые уязвимости, которые позволяют вредоносному ПО обходить практически все имеющиеся антивирусы. Одной из таких остается недавно обнаруженная так называемая «Зомби-ZIP».
Первая часть ZIP-файла — заголовок информирует о содержимом и способе сжатия. Антивирусные системы обычно используют эти метаданные для определения способа предварительной обработки файлов перед сканированием. Если создать ZIP-архив, который будет утверждать, что содержимое не сжато, однако на самом деле будет содержать сжатые данные, большинство антивирусов не обратят на это внимания.
В случае изменения злоумышленником метода сжатия антивирусное ПО может не суметь распаковать файл, а не сжатые данные будут выглядеть просто как случайные байты, которые не соответствуют известным сигнатурам вредоносного ПО. Архивный файл нельзя будет распаковать с помощью 7-Zip или WinRAR, поскольку он технически поврежден. После обхода антивирусной защиты вредоносное ПО можно извлечь с помощью специального загрузчика, который игнорирует поле Method и вместо этого непосредственно распаковывает встроенные данные. Это позволяет злоумышленнику скрыть вредоносное содержимое от антивирусных программ, при этом сохраняя возможность его программного восстановления.
Сейчас, спустя почти неделю после обнаружения этой уязвимости, 60 из 63 антивирусов не обнаруживают ее. То есть она позволяет интегрировать вредоносное ПО в 95% случаев. Исследователь, который обнаружил уязвимость, обнародовал прототип на языке Python. Для его реализации необходимо буквально несколько строк кода. Это может выглядеть тревожно для обычных пользователей, однако превратиться в настоящий кошмар для крупных корпораций с тысячами клиентов и конфиденциальными данными, которые необходимо защищать.
Антивирусы в основном не нацелены на проверку скриптов во время загрузки, поскольку количество ложных срабатываний было бы огромным. Загрузка архивированных данных одна из самых распространенных операций в большинстве программ, особенно в играх. Сейчас вопросом уязвимости «Зомби-ZIP» уже занимаются в CERT. Там обнародовали уведомление о VU#976247. Уязвимости присвоен идентификатор CVE-2004-0935. Пока пакеты безопасности ПО не обновятся, системным администраторам необходимо быть особенно бдительными в отношении ZIP-файлов, которые передаются в сетях.
Ранее мы писали, что Ledger обнаружила уязвимость в Android, которая позволяет похитить seed-фразу криптокошелька за секунды. В прошлом году хакеры заразили тысячи роутеров TP-Link ботнетом Ballista.
Крадіжка даних на системах Intel зі швидкістю 5 КБ на секунду — вчені знайшли вразливість процесорів
СпецпроектыПонад 14 тисяч українців уже доєдналися до програми ASUS Perfect Warranty: безкоштовна розширена гарантіяЗенітні дрони – новий ешелон ППО. Як вони покращать захист енергетики? Розбираємо на прикладі WIY STRILA
Источник: Tom’sHardware; CERT
