Обнаружен способ переноса зловредного кода в PNG-изображениях

Александр Панасенко 24 Августа 2010 - 18:28

...

Эксперт «Лаборатории Касперского» сообщил об обнаружении достаточно интересного способа переноса и активации вредоносного программного с использованием PNG-файла в качестве контейнера. При открытии этого файла появляется изображение, которое призывает пользователя открыть файл в MS Paintе и пересохранить его в формате HTA. Такое действие является подозрительным, поскольку формат HTA отличается от HTML тем, что он работает в контексте отдельного приложения.

Исходный файл картинки упакован алгоритмом deflate, в результате распаковки был получено неупакованное BMP-изображение. Однако кроме изображения в этом файле сразу за BMP-заголовком располагается скрипт, написанный на JavaScript. Таким образом, пересохранив файл в HTA и открыв его, пользователь фактически запустит этот скрипт.

Сам скрипт обладает крайне любопытным функционалом. Вначале он прописывается в автозагрузку, а затем обращается к разделу "random" популярного портала 4chan.org, выдёргивая из тем произвольные фразы. Далее с помощью встроенного EXE-файла происходит генерация новой картинки, в которой, помимо предложения о пересохранении в HTA, используются взятые с 4chan.org слова. Самым последним этапом является публикация полученного изображения в ту же самую ветку форума, из которой извлекались случайные слова.

В этом скрипте используется оригинальный способ для обхода CAPTCHA. Он базируется на использовании популярных английский слов и сервиса RECAPTCHA от Google. По сути, никакой истинно вредоносной нагрузки для пользователя этот зловред не несёт, но сам факт распространения и внесения изменений в систему не является легальным. Очень интересным оказался механизм переноса скрипта в запакованной PNG-картинке. Совершенно непонятно, какую цель преследовали разработчики данной поделки. Возможно, им хотелось продемонстрировать возможный способ скрытого переноса вредоносного кода.

Источник

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 06 Апреля 2026 - 18:53

Домашние пользователи Системы аутентификации Средства генерации одноразовых паролей (OTP)

Правда ли MAX нельзя отвязать от Госуслуг: что показала проверка

В соцсетях разошлась тревожная информация о том, что если привязать мессенджер MAX к аккаунту на «Госуслугах», то потом вернуть обычное подтверждение входа по СМС уже не получится. Но, судя по доступным данным, это не так.

Источником обсуждения стал личный пост одного из пользователей, который рассказал о собственном опыте.

При этом сам автор не утверждал, что смена способа входа невозможна для всех. Более того, основной смысл его публикации вообще был в другом: он советовал установить дополнительный пароль в мессенджере. Но в соцсетях из этого текста выдернули одну фразу и превратили её в громкое утверждение.

Соответствующая инструкция показывает, что сменить способ подтверждения входа всё же можно. Для этого нужно зайти в профиль, открыть раздел «Вход в систему» и выбрать другой удобный вариант верификации.

Если MAX уже подключён, в настройках это отображается отдельно: система показывает, что вход осуществляется по паролю и одноразовому коду из мессенджера. После этого пользователь может выбрать другой способ подтверждения личности — например, СМС, одноразовый код TOTP или биометрию.

Дальше всё стандартно: нужно нажать кнопку продолжения, подтвердить решение о смене способа входа, получить код в СМС на привязанный номер телефона и ввести его в соответствующее поле. После этого вход снова будет работать по привычной схеме.

Иначе говоря, история о том, что после привязки MAX от него уже нельзя отказаться, пока не подтверждается. Похоже, в этот раз речь идёт скорее о типичном преувеличении, чем о реальной проблеме сервиса.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!