Это программное обеспечение кажется хорошим (и неприятным), чтобы быть правдой. Мне известны другие варианты сокрытия файлов, такие как потоки NTFS, но объединение нескольких файлов и одновременное выполнение их всех кажется подозрительным, коварным и заставляет меня чувствовать, что интернет на одну ступень менее безопасен, чем раньше. Кто-нибудь знает, как такие программы работают и как часто эти вещи используются на практике?
На фундаментальном уровне этот вид инструмента ничем не отличается от самораспаковывающегося архива (SFX). Все, что он делает, это сжимает некоторые файлы и включает их в качестве ресурсов в исполняемый файл, который распакует их и затем запустит один или несколько файлов. Точно такая же функциональность доступна в обычных инструментах, таких как 7-zip и WinRAR, и именно так работают установщики на базовом уровне.
Единственное, что отличается в этом продукте, это то, что самораспаковывающийся компонент (исполняемая часть, которая извлекает другие файлы) разработан так, что его невозможно обнаружить, в то время как обычные SFX при запуске показывают диалоговое окно с указанием декомпрессии, и даже если содержимое зашифровано и распознается как SFX. Это единственный способ отличить данный продукт от стандартной системы SFX.
Таким образом, функциональность не нова и не зависит от вредоносных программ. Что характерно для вредоносного ПО, так это то, что оно спроектировано так, чтобы быть скрытым. Несмотря на это, для интеллектуальных пользователей это все еще не очень эффективный способ распространения вредоносных программ. Хотя файлу может быть присвоен произвольный значок и имя, он должен быть исполняемым файлом и помечаться как таковой, поэтому этот инструмент просто повторяет, что вы никогда не должны запускать теневые исполняемые файлы.
Когда вы используете это в вредоносных программах, вектор выглядит так: вы отправляете по электронной почте (или распространяете иным образом, чаще всего по электронной почте) файл с именем funny cats.docx.exeили что-то в этом роде. На компьютерах с Windows расширение файла скрыто, поэтому пользователь просто видит funny cats.docx. Вы можете упаковать с исполняемым файлом значок Microsoft Word, чтобы он выглядел прямо при первом осмотре. Когда пользователь дважды щелкает файл, чтобы открыть его, вы распаковываете фактический документ Word и запускаете его, чтобы Word запустил и загрузил файл (пользователь получает то, что хочет, некоторые забавные коты). В то же время вы распаковываете троян / загрузчик и запускаете его. Он устанавливается где-то незаметно и загружает реальную полезную нагрузку (своего рода клиент ботнета).
Этого можно избежать, если пользователи усердно работают с файлами, которые они запускают. Не забудьте посмотреть, что это за файл на самом деле, особенно если у вас отключены расширения файлов (я всегда меняю настройки, чтобы показать расширения файлов). В последних версиях Windows (Vista и 7) большинству троянов требуются административные привилегии, поэтому для эффективности funny cats.docxпотребуется вызвать приглашение UAC, чтобы установить троян, поэтому также убедитесь, что пользователи обучены думать о подсказках UAC - они не должны не вижу никого, когда они этого не ожидают.
Похоже, что авторы вредоносных программ используют! Простой ответ: это контейнер со скриптом, который выполняет или открывает все файлы внутри контейнера. Обычные для установщиков программных пакетов, они существуют уже давно, но у этого есть некоторые особенности.
Я мог видеть, как кто-то вкладывает несколько тысяч небольших текстовых документов в один из них, весело смотрит, как его открывает ваш коллега. Не так весело, как бомба ZIP.
Как и все в этом мире, он может быть использован для добра, веселья или зла!
Выглядит как забавная игрушка. Должно быть в моей книге.
После прочтения страницы покупки он, кажется, используется для злых целей!
Они также принимают анонимные наличные платежи
Тогда есть дочерний сайт, продающий клавиатурные шпионы как программное обеспечение для родительского контроля, Мухахахаха!
http://www.parentalcontrol.net/
источник