Как скрыть вирус в программе

Содержание

3d16b703e166a2f6a57c5.png

На самом деле правильнее было бы назвать эту статью «Как хакеры скрывают вирусы в документах Office а Microsoft на это наплевать» Но давайте по порядку.В последних версиях Microsoft Office по умолчанию документы сохраняются в формате, основанном на Office Open XML, но Microsoft не во всем следует открытому стандарту. Вариант Microsoft часто называют MOX, Microsoft Open XML. Этот самый MOX имеет уязвимости, создающие угрозы безопасности. В этой статье мы подробно разберем одну из таких дыр, которая на момент статьи так и не закрыта.

Почти сразу после публикации чернового варианта OOXML началась битва за его стандартизацию. Вот краткая хронология версий.

word-virus-7.png

Как криптовать вирус? | Гайд по вирусам | Крипт вируса нжрат

Стандартизация стандарта OOXML

В 2016 году были выпущены дополнения к 5-ой версии: ISO/IEC 29500-1:2016 и ISO/IEC 29500-4:2016. Работа над стандартом продолжается, а компания Microsoft допускает все больше проприетарных особенностей его реализации в последних версиях Office. Хуже того: Microsoft не признает старые уязвимости, оставляя их в новых версиях. Вы не поверите, но описываемая в данной статье уязвимость известна с Office 2013 и актуальна вплоть до Office 2019.

ECMA-376 включает в себя три различные спецификации для каждого из трех основных типов документов Office — WordprocessingML для текстовых документов, SpreadsheetML для электронных таблиц и PresentationML для презентаций. Мы будем использовать WordprocessingML.

Я возьму на себя смелость указать на два критичных с точки зрения безопасности недостатка MOX, унаследованных от OOXML:

  • возможность легкого редактирования внутренней структуры документов;
  • отсутствие проверок на злонамеренную модификацию.

Если в документ вставлен объект, загружаемый с внешнего ресурса (например, ссылка на видео), то в соответствующей секции создается легко читаемая (и так же просто изменяемая) гиперссылка. Это прямая дорога к фишингу или запуску троянов в один клик.

Описание уязвимости
В базе уязвимостей MITRE есть много однотипных записей вида: «Microsoft Office… do not properly validate record information during parsing of (Excel spreadsheets / Word documents, Power Point presentations)… which allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via a crafted file)». Проще говоря, проблемы парсинга XML в MS Office неисчерпаемы, как атом.

Начиная с Office 2013 в OOXML стал доступен класс WebVideoProperty. Он используется в разметке при вставке в документ онлайн-видео и описывает параметры его воспроизведения через набор атрибутов.

🦠Опасный шифровальщик CORONAVIRUS. Как спрятать вирус в картинку?

Нас интересует атрибут embeddedHtml. Он используется для вставки сторонних объектов и содержит ссылку на них (например, на видео с YouTube). Из-за того что данный параметр «знает», откуда открывать картинку видеозаписи, его невозможно опустить при парсинге.

Поиск объекта подмены
Давайте выполним простую атаку подмены и пощупаем уязвимость своими руками. Запускаем Word (требуется версия 2013 или выше, так как нам нужна полная поддержка ISO/IEC 29500 Strict) и открываем меню «Вставка».

word-virus-1.png

Вставка обьекта в Microsoft Word

В появившемся окне в строчке напротив YouTube я просто вписал слово «видео» и выбрал первую понравившуюся картинку. Вставка ролика отобразилась на листе документа типичной превьюшкой.

Сохраним и закроем его. Обратите внимание, что размер файла почти не изменился. У меня он занимал несчастные килобайты. Значит, вставленное видео не сохраняется локально, а всегда запрашивается из интернета по известной ссылке.

В папке word нам нужен файл document.xml. Разархивируем и откроем его на редактирование (подойдет и простой Notepad, хотя Notepad++ намного удобнее из-за подсветки синтаксиса).

word-virus-2.png

wp15:webVideoPr в структуре файла document.xml
Конструкция изначально выглядит следующим образом:

Атрибут embeddedHtml содержит iframe YouTube, который при замене на HTML или JavaScript будет выполняться. А это не что иное, как уязвимость!

Эксплуатация уязвимости
Если внимательно посмотреть на содержимое секции, то можно заметить, что символы < и >заменены на < и >. Это способ записи символьных данных без использования раздела CDATA. Они указывают парсеру на то, что эта часть документа не содержит разметки. Так же мы должны поступить со всеми нашими спецсимволами.

Читайте также:
Как прочитать врачебный почерк программа

Еще стоит отметить, что все параметры отделены друг от друга точкой с запятой. Если мы пропустим хотя бы одну из них, то при открытии документа произойдет ошибка проверки целостности файла. Правда, Word облегчает задачу, подсказывая, где именно мы ошиблись (см. скриншот).

word-virus-3.png

Ошибка Word при неправильном синтаксисе document.xml

Давайте удалим все, что находится между кавычками, и попробуем вставить свой HTML-код. Сначала добавим отображаемую часть ссылки:

хакер

В нашем случае она будет выглядеть следующим образом:

Теперь подменим исходную ссылку на ролик с YouTube своей. Например, загрузим какой-нибудь файл на компьютер жертвы.

В качестве «вредоносного сервера» я поднял дистрибутив Ubuntu 16.4 с Apache2 и положил в каталог /var/www/html два файла: условного зловреда и простую HTML-страницу со ссылкой на него. IP-адрес сервера в локальной сети — 192.168.1.20.

Далее нам необходимо все это указать в embeddedHtml:

Теперь сохраним наш измененный файл и запустим его.

Для первой проверки я подготовил имитацию жертвы — компьютер с Windows 10 (1803) и MS Office 2016 Professional Plus VL x86, который мы и будем атаковать.

После запуска файла не видно ничего необычного. Открывается документ со вставленным видеороликом. При наведении курсора отображается корректная ссылка на него. Но, если нажать на воспроизведение, вместо видео отобразится наша ссылка.

word-virus-4.png

Действие после активации воспроизведения
В реальном сценарии вместо хакер лучше написать что-то более подходящее для фишинга. Например, Click to begin playback.

Может быть, со времен Office 2016 уязвимость уже пофиксили? Давайте проверим, сработает ли этот способ в Microsoft Office Pro Plus 2019 и Windows 10 (1803).

Открываем тот же файл и пробуем запустить видео. Слово «хакер» так же подчеркнуто и выступает в качестве ссылки. При клике на него открывается браузер Edge с нашей страницей на «злом сервере». На ней все та же ссылка для загрузки зловреда.

word-virus-5.png

Открытие фишинговой ссылки при клике в окне предпросмотра видеоролика
Примечания
Стоит уточнить ряд важных моментов. Трюк работает, если пользователь просто нажимает левой клавишей мыши на кнопку Play в превьюшке вставленного в документ видео. Так делает большинство, но продвинутые могут кликнуть с зажатой клавишей Ctrl. В этом случае начнется воспроизведение видео.

Почему так происходит?

При нажатии левой кнопки мыши с клавишей Ctrl и без нее Word обращается к разным секциям документа. В первом случае он считывает подмененную ссылку из worddocument.xml и предлагает выполнить переход по ней. Во втором — считывает оригинальную ссылку на видеоролик из word_relsdocument.xml.rels и запускает его.

Если же подменить адрес в обеих секциях, фишинговая ссылка будет отображаться при наведении курсора мыши на превь ролика. Такой грубый вариант атаки сработает только с самыми невнимательными пользователями.

Также заметь, что при нажатии левой кнопкой мыши с Ctrl откроется браузер, установленный по умолчанию. Если же просто кликать, то (вредоносная) ссылка всегда будет открываться в браузере. Это еще один вектор атаки при проведении пентеста.

В зависимости от версий ОС и Office, а также настроек безопасности у жертвы могут сработать другие компоненты защиты. Например, Office 2010 ограниченно поддерживает OOXML. Он предложит разрешить редактирование документа прежде, чем позволит кликнуть на превью видео. В Windows 7 IE выдаст предупреждение при открытии ссылки.

word-virus-6.png

Предупреждение в Windows 7
С Windows 10 наблюдается совсем другая картина. В настройках по умолчанию (а у потенциальной жертвы они, как правило, такие) ни IE, ни Edge ни о чем не предупреждают. Ссылка открывается без дополнительных действий. Отсюда можно сделать парадоксальный вывод о том, что новая операционная система оказалась более уязвима к подобным атакам.

Для дополнительной проверки я открывал файл с измененной ссылкой в следующих офисных пакетах:

  • Open Office 4.1.6;
  • Libre Office 6.1.3;
  • Soft Maker Office 2018.
Читайте также:
Система не обнаружила msvcr110 dll для устранения этой проблемы попробуйте переустановить программу

Выводы
В данном примере мы рассмотрели, как модифицировать XML-разметку офисных документов, чтобы выполнить подмену ссылки и подсунуть жертве зловреда. При проведении пентеста вместо пугающей надписи «Хакер» можно подобрать что-нибудь более привлекательное. Например, указать, что для воспроизведения ролика необходимо скачать плагин или обновить плеер. Красиво оформляем страницу загрузки, внушаем, что все безопасно, и дело в белой шляпе.

Спасибо, что прочитал статью!

Источник: forumteam.fun

Возврат скрытых после действия вируса файлов на флешке

Вирус скрывает файлы на флешке

TV-старт

Сейчас вирусы обрели достаточно широкое распространение и заразить ими компьютер может практически каждый пользователь, даже не подозревая этого. Существует несколько типов подобных угроз, которые скрывают файлы на съемных носителях, а обычное изменение атрибутов не всегда помогает. Например, иногда вместо директорий появляются ярлыки и при попытке запуска такого ярлыка происходит еще большее заражение, а исходные объекты так просто отыскать не получается. Сегодня мы бы хотели пошагово расписать процедуру решения этой проблемы, взяв во внимание все нюансы.

Вирус скрыл папки на флешке

Я раньше делал так, копировал содержимое папки и вставлял в новую папку. Затем флешку лечил антивирусом. Но когда папок больше десяти, то на это требуется затратить время, что само по себе не очень эффективно.

В этой статье я попытался собрать достаточно полную информацию о том, как сделать скрытые папки видимыми и избавится от вируса на флешке. Информация актуальна и имеет большую популярность у владельцев компьютеров, особенно тех, кто часто пользуется флешками и другими съемными накопителями.

Как вылечить флешку от вируса скрывающего файлы

Что делать если с Вами и вашей флешкой случилась такая неприятность.

Совет №1. Ни в коем случае не форматировать флешку.

Ваши данные там, они не испорчены, и мы сейчас их вернем:

Запустите командную строку от имени Администратора. Введите команду

attrib -h -r -s /d /s h:*.* — где «h:» — буква Вашей флешки.

Вирус скрыл папки на флешке? Решение проблемы.

Данная команда, сделает ваши файлы и папки видимыми.

Давайте рассмотрим, что делает введенная нами команда:

attrib — собственно запускает программу attrib

ключ -h — очищает атрибут «скрытый файл».

ключ -r — очищает атрибут файла «только для чтения».

ключ -s — очищает атрибут «системного файла».

ключ /s — распространяет действие только на файлы.

ключ /d — распространяет действие на каталоги (папки) и файлы. Не работает без /s

После этих действий, ваши файлы и папки станут видны. Вам лишь останется удалить (при помощи поиска) все файлы с расширением *.lnk (ярлыки) и name.exe которые выглядят как ваши папки (где name-имена ваших папок). Если есть файлы, которые не похожи на Ваши — тоже удаляйте.

неОшибка.Ру — не несет ответственности за Ваши действия и возможную потерю информации. Все действия вы производите на свой страх и риск. Вы должны понимать то, что делаете, и к чему это приведет.

Делаем папки видимыми по средствам системы

Для того что бы сделать скрытые папки визуально видимыми нужно следовать по пути:

1) ПУСК – Панель управления – Параметры папок – Вид

этот путь подходит в расширенных версиях Windows 7.

2) ПУСК – Панель управления – Оформление – Параметры папок – Вид

В окне настройки параметров папок выбираем пункт ВИД, и настраиваем отображение срытых файлов.

На этом процесс видимости папок по средствам системы закончен.

ВАЖНО: После проделанных действий сканируем накопитель антивирусником. Удаляем ярлыки с расширением .lnk, так же удаляем не нужные и не знакомые файлы с расширением .exe, далее удаляем файл autorun.inf и папку RECYCLER.

Отображение скрытых файлов

После обнаружения пропажи информации первым делом нужно настроить в системе отображение скрытых файлов.

  1. Зайдите в панель управления и выберите режим просмотра «Крупные значки». Откройте «Параметры папок».
  2. Перейдите на вкладку «Вид». Установите отображение скрытых защищенных файлов и показ скрытых файлов.

Откройте съемный диск и посмотрите, какие данные теперь отображаются на флешке. Вероятнее всего вы увидите ярлыки и неизвестные исполнительные файлы вируса.

Делаем папки видимыми по средствам TotalCommander

Здесь процесс намного проще и быстрее, чем в первом варианте. Для этого конечно нужно иметь программу файловый менеджер TotalCommander. Запускаем программу, выбираем в одном из окон отображение накопителя.

Читайте также:
Какие бывают школьные программы для начальных классов

Настраивается программа очень легко. В верхнем меню выбираем пункт «Конфигурация» — Настройка… — Содержимое панелей – Отображение файлов – поставить галочку «Показывать скрытые/системные файлы».

После этого мы свободно можем видеть все скрытые файлы, по умолчанию они будут помечены красным восклицательным знаком.

Затем делаем скрытые папки видимыми, то есть убираем лишние атрибуты файлов.

Если степень заражения папок второго уровня, то папки все станут видимыми, останется проделать пункт с пометкой ВАЖНО из первой части. Если не удалось убрать атрибуты файла, то приступаем к применению тяжелой артиллерии.

Total Comander — спаситель папок флешки

Еще один вариант подручного средства для отображения скрытых вирусом папок — использование удобного Total Comander

. Многие пользователи применяют его для быстрого перехода по файлам и папкам. Скачать командер можно по следующей ссылке .

Работать в командере намного проще и быстрее, чем в том же интерфейсе ОС Windows. Открывается диалоговое окно программы. На верхней панели нужно нажать опцию — «Конфигурация».

Далее выбирается «Содержимое панелей», потом «настройка» и выбирается «отображение файлов». После ставится галка на параметре — «скрыть/отобразить скрытые файлы», также можно поставить галочку и на соседнем пункте «отобразить системные файлы». И нажимается ОК.

Для удобства пользователя все отображенные новые файлы отмечает программа красным восклицательным знаком.

Все отмеченные таким образом файлы следует сделать видимыми на постоянной основе. Для этого кликают правой кнопкой мыши, при наведении курсора на сам испорченный файл. Выбирается в меню — «Свойства». В открывшемся окне убирают все галки на параметрах файла.

Если после этих манипуляций все файлы в папке восстановились, убрались ярлыки и флешка вновь нормально работает, то все хорошо. Нужно только снова проверить ее антивирусом

. Если же поправить атрибуты файлов не удалось, то придется воспользоваться собственноручно написанной мини-программой.

Пишем свою программу – выручалку.

То, что я сейчас Вам расскажу, действительно работает и действительно ценная информация, по крайней мере, в решении нашей проблемы. Я покажу, как создать небольшую программу, которая в два счета лечит флешки от вируса, который делает папки скрытыми.

Для этого вам надо создать текстовый документ с расширением .txt. Подсказываю, это документ стандартного блокнота. Далее копируем и вставляем в него текст, следующего содержания:

:lable cls set/p disk_flash=»Vvedite bukvu vashei fleshki:» cd/D %disk_flash%: if %errorlevel%==1 goto lable cls cd/D %disk_flash%: del*.lnk/q/f attrib -s -h -r autorun.* del autorun.*/F attrib -h -r -s -a /D /S rd RECYCLER /q/s explorer.exe %disk_flash%:

Изменяем расширение файла. Кликаем в документе в верхнем меню ФАЙЛ – Сохранить как… — Выбираем место хранения файла – Пишем название файла после точки пишем .bat.

Источник: tv-st.ru

Как прячут вирусы в файлы любого формата (JPG, txt, PSD)

Спрятанный вирус в архиве

1. Устанавливаем HxD и кидаем его иконку в папку с вирусом.

Исходные файлы для совмещения

2. Берем вирус и Архивируем его, с настройками никаких траблов, просто заархивируйте это дерьмо в Zip формат.

Winrar Archiver запаковка в архив

3. И так что мы имеем на данный момент, Архив с вирусом формата.exe

Теперь берем этот самый Архив и перетаскиваем его на иконку HxD.

Добавление файла в программу

4. Открывается вот такое окно, где мы видим весь код, тут идем во вкладку Search > Find или жмем Ctrl+F

Исходный код архива

5. Пишем в окно поиска «Полное название вашего вируса.exe»

Ищем, он найдет 2 записи, одно в самом низу другое сверху кода, нам нужно нижнее значение, так что не перепутайте,тут меняем exe на то расширение которое нужно, я поменяла на Jpg.

6. Теперь сохраняем все это, и открываем наш архив, и видим вот такую картину.

Изменение расширения архива - имитация под изображение

Как видите отображается .jpg, рядом во вкладке Type пишет что это Рисунок JPEG.

Вот и все! Можете и под txt переделать и кидать этот zip архив как «супер план заработка 2000 в час нечего не делая» думаю мало кто зассыт открывать txt файл.

Всем спасибо за внимание.

Источник: deadlylaugh.ru

Рейтинг
( Пока оценок нет )
Комментарии0
Загрузка ...
Похожие материалы
EFT-Soft.ru