Hacker kippen Zeichen um Malware zu verschleiern

2013-12-28  |  Comebuy News

Hacker einen neuen Trick verwenden, um bösartige Dateien ausschließen durch Verschleierung ihrer Windows-Datei-Erweiterungen um sie sicher zum download erscheinen zu lassen, warnte heute eine tschechische Sicherheitsfirma.

Comebuy Verwandte Artikel: Web-Benutzer gewarnt über gefälschte Paketzustellung EmailsF-Secure warnt über Windows 7 Sicherheit RiskHackers Adobe Reader FlawSkype Benutzer unter Beschuss von Windows WormIE Loch Verkleidungen zweifelhafte nutzen weiterhin als Mediendatei progam

Der Exploit, dt. "Unitrix" von Avast Software, missbraucht Unicode für rechts-nach-links-Sprachen wie Arabisch oder Hebräisch--Windows ausführbare Dateien (.exe) als harmlose Grafik Bilder (.jpg) oder Word-Dokumente (.doc) zu verdecken.

Unicode ist die Computerindustrie-standard für die Darstellung von Text mit Alpha-numerischen Codes.

Unitrix-Exploit verwendet einen versteckten Code (U + 202E), der rechts-nach-links-Zeichen um eine ausführbare Datei als etwas ganz anderes anzuzeigen überschreibt. Mit diesem Trick, können Hacker eine infizierte Datei vortäuschen, die mit gpj.exe als ein vermeintlich sicherer photo_D18727_Coll exe.jpg endet, durch die letzten sechs Zeichen der ehemaligen umkehren.

"Der typische Benutzer sieht nur bei der Erweiterung am Ende des Dateinamens; beispielsweise .jpg für ein Foto. Und das ist, wo die Gefahr besteht,"sagte Jindrich Kubec, Leiter des Avast des Labors, in einer e-Mail heute. "Der einzige Weg, den ein Benutzer wissen kann ist, dass eine ausführbare Datei handelt, wenn sie einige zusätzliche Details, die anderswo auf ihrem Computer angezeigt haben oder eine Warnung erscheint, wenn sie versuchen, und führen Sie die Datei."

Microsofts Internet Explorer 9 (IE9) nutzt eine Technologie namens "Application Reputation" um zu warnen Anwender von potenziell gefährliche Dateien aus dem Internet heruntergeladen.

Avast sagte, dass Malware die Unitrix Taktik--in erster Linie ein Trojan-Downloader, die fungiert als Türöffner und ein Rootkit, das die bösartige Code--versteckt erhöht in Band letzten Monat verwenden, schlagen einen Höchststand von 25.000 Erkennungen täglich.

Das Schema der Erkennungen--hohe werktags, Drop von 75 GHT oder mehr an den Wochenenden--zeigt, dass die Angreifer Geschäftsanwender Zielen, argumentierte Kubec.

Zusätzliche Analyse von Avast sagte, dass Windows-PCs mit der verschleierten Trojaner infiziert waren Teil eines "Pay-pro-Installation"-Netzwerks an andere kriminelle, die Pflanzen ihre eigenen Malware auf den Maschinen vermietet.

"[sie] bieten Outsourcing-Infektion und Malware Vertriebsdienstleistungen für anderen Cyber-Banden... anscheinend mit Sitz in Russland und der Ukraine", sagte Avast Forscher Lyle Frink in einem Beitrag auf das Avast-Blog Mittwoch.

Frink identifiziert drei Command und Control (C & C)-Server, die Erteilung von Weisungen zu den infizierten PCs: die Server befanden sich in China, Russland und den USA

Die Bekämpfung von Unitrix ist schwierig, sagte Kubec; Er schlug vor, dass Benutzer verdächtigen Dateien in einer Sandbox-Umgebung öffnen. Office 2010 öffnet zum Beispiel heruntergeladene .doc-Dateien in einer Sandbox Malware aus Windows zu isolieren.

Gregg Keizer umfasst Microsoft, Sicherheitsfragen, Apple, Web-Browser und allgemeine Technik Eilmeldung für Computerworld. Gregg auf am @gkeizer, auf Google + folgen oder Gregg's RSS Feed abonnieren. Seine E-mail-Adresse ist gkeizer@computerworld.

Finden Sie weitere Artikel von Gregg Keizer.

Lesen Sie mehr über Sicherheit in Computerworlds Thema Sicherheitscenter.

« Back