Обнаружен способ переноса зловредного кода в PNG-изображениях

Александр Панасенко 24 Августа 2010 - 18:28

...

Эксперт «Лаборатории Касперского» сообщил об обнаружении достаточно интересного способа переноса и активации вредоносного программного с использованием PNG-файла в качестве контейнера. При открытии этого файла появляется изображение, которое призывает пользователя открыть файл в MS Paintе и пересохранить его в формате HTA. Такое действие является подозрительным, поскольку формат HTA отличается от HTML тем, что он работает в контексте отдельного приложения.

Исходный файл картинки упакован алгоритмом deflate, в результате распаковки был получено неупакованное BMP-изображение. Однако кроме изображения в этом файле сразу за BMP-заголовком располагается скрипт, написанный на JavaScript. Таким образом, пересохранив файл в HTA и открыв его, пользователь фактически запустит этот скрипт.

Сам скрипт обладает крайне любопытным функционалом. Вначале он прописывается в автозагрузку, а затем обращается к разделу "random" популярного портала 4chan.org, выдёргивая из тем произвольные фразы. Далее с помощью встроенного EXE-файла происходит генерация новой картинки, в которой, помимо предложения о пересохранении в HTA, используются взятые с 4chan.org слова. Самым последним этапом является публикация полученного изображения в ту же самую ветку форума, из которой извлекались случайные слова.

В этом скрипте используется оригинальный способ для обхода CAPTCHA. Он базируется на использовании популярных английский слов и сервиса RECAPTCHA от Google. По сути, никакой истинно вредоносной нагрузки для пользователя этот зловред не несёт, но сам факт распространения и внесения изменений в систему не является легальным. Очень интересным оказался механизм переноса скрипта в запакованной PNG-картинке. Совершенно непонятно, какую цель преследовали разработчики данной поделки. Возможно, им хотелось продемонстрировать возможный способ скрытого переноса вредоносного кода.

Источник

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 26 Ноября 2025 - 11:33

Мошенничество Соответствие законодательству РФ Домашние пользователи Государство

Начался суд над руководителями Департамента цифрового развития Росгвардии

Московский гарнизонный суд приступил к рассмотрению уголовного дела в отношении бывшего руководителя департамента цифрового развития и защиты информации Росгвардии Михаила Варенцова и начальника Главного центра информационных технологий по инженерно-техническому обеспечению Николая Чепкасова.

Николай Чепкасов был задержан 20 марта, а Михаил Варенцов — более чем месяц спустя. Изначально им вменялось мошенничество в особо крупном размере, однако подробности тогда не раскрывались.

Как сообщает «Коммерсантъ», в ходе первого судебного заседания квалификация обвинения была изменена. Теперь Варенцову и Чепкасову инкриминируют пункты «в», «г», «е» ч. 3 ст. 286 УК РФ — превышение должностных полномочий, совершённое группой лиц, из корыстных побуждений и повлекшее тяжкие последствия.

Изменилась и мера пресечения. Первоначально оба фигуранта находились под стражей, однако позднее Варенцова перевели под запрет определённых действий в связи с необходимостью лечения, а Чепкасова — под домашний арест.

По версии следствия, обвиняемые подписали акты приёмки программного обеспечения, которое не соответствовало требованиям государственных контрактов. Речь идёт о нескольких соглашениях с НИИ «Восход» на создание систем для федеральной платформы контроля оборота оружия и управления охранными услугами (ФПКО СПО ГИС). Кроме того, в их компетенции находилось оснащение подразделений Росгвардии профильным оборудованием.

«Приёмка была произведена на основании формальной проверки в эмуляторе, не подтверждающей способность ФПКО реально функционировать в операционной среде заказчика», — приводит издание слова представителя обвинения.

Следующее заседание по делу назначено на 8 декабря.