Многие вирусы заражают другие исполняемые файлы путем внедрения в них вредоносного кода. Как они это делают? Как получается, что зараженная программа продолжает работать и в то же время, видимо, в другой потоке, совершает нехорошие вещи? Возможно ли такое сделать средствами C#?
Отслеживать
5,640 1 1 золотой знак 9 9 серебряных знаков 17 17 бронзовых знаков
задан 9 июл 2015 в 12:41
119 5 5 бронзовых знаков
2 ответа 2
Сортировка: Сброс на вариант по умолчанию
Да, на C# можно такое делать. Вредоносный код должен прописывать себя в выполняемый файл по средствам Reflection и Reflection Emit.
- Заражаем кодом первый исполняемый файл (exe).
- При запуске зараженного приложения должен запускаться «код», а потом медленно искать другие сборки .net на диске.
- Прописывать себя в найденные, если они еще не заражены.
Заражение будет происходить только .net сборок 😉
Отслеживать
ответ дан 9 июл 2015 в 12:53
5,640 1 1 золотой знак 9 9 серебряных знаков 17 17 бронзовых знаков
🧨Кадыров при смерти. ФСБ и запах морга. Пригожин- новый виток. В чем ошибся Дудаев.
Классика файловых вирусов: добавляем секцию со своим кодом в конец файла, переносим точку входа на нее. В итоге выполняется левый код, который потом передает управление на оригинальную точку входа. Манипуляция файлами доступна и из .NET в том числе, так что можно и на нем написать, только не нужно.
Отслеживать
ответ дан 9 июл 2015 в 12:55
Владимир Мартьянов Владимир Мартьянов
9,639 4 4 золотых знака 21 21 серебряный знак 35 35 бронзовых знаков
Ибо создание вредоносного ПО карается законом.
9 июл 2015 в 13:03
- c#
- .net
- clr
-
Важное на Мете
Похожие
Подписаться на ленту
Лента вопроса
Для подписки на ленту скопируйте и вставьте эту ссылку в вашу программу для чтения RSS.
Нажимая «Принять все файлы cookie» вы соглашаетесь, что Stack Exchange может хранить файлы cookie на вашем устройстве и раскрывать информацию в соответствии с нашей Политикой в отношении файлов cookie.
Источник: ru.stackoverflow.com
Топ-4 самых опасных типа вложенных файлов
Рассказываем, в каких файлах злоумышленники чаще всего прячут вирусы — и как себя правильно вести, чтобы не заразиться.
Leonid Grustniy
Спамеры ежедневно рассылают многие миллионы писем. Львиную долю составляет банальная реклама — назойливая, но в основном безвредная. Но иногда к письмам прикрепляют вредоносные файлы.
Чтобы заинтересовать получателя и заставить его открыть опасный файл, его обычно маскируют подо что-нибудь интересное, полезное или важное — рабочий документ, какое-нибудь невероятно выгодное предложение, поздравительную открытку с подарком от имени известной компании и так далее.
#1 Классификация вредоносных программ
У распространителей вирусов есть форматы-«любимчики». Рассказываем, в каких файлах вредоносные программы чаще всего скрываются в этом году.
1. ZIP- и RAR-архивы
Киберпреступники очень любят прятать зловредов в архивы. Например, ZIP-файлы с интригующим названием «Люблю_тебя0891» (число могло быть и другим) использовали злоумышленники для распространения шифровальщика GandCrab накануне Дня святого Валентина. Другие мошенники, попавшие в поле зрения экспертов на пару недель позже, рассылали архивы с трояном Qbot, специализирующемся на краже данных.
Еще в этом году обнаружилась интересная особенность WinRAR: оказалось, что при создании архива можно задать такие правила, что при распаковке содержимое попадет в системную папку. В частности, можно распаковать это содержимое в папку автозапуска Windows — и этот «подарочек» автоматически запустится при следующей перезагрузке. По этому поводу рекомендуем вам обновить WinRAR, если вы им пользуетесь.
2. Документы Microsoft Office
Чаще всего такие вложения рассчитаны на офисных работников. Их маскируют под договоры, счета, уведомления из налоговой инспекции и срочные сообщения от начальства. Например, тот же шифровальщик GandCrab итальянским пользователям подкидывали под видом уведомления о платеже. Если жертва открывала файл и соглашалась включить макросы (по умолчанию они отключены из соображений безопасности), на ее компьютер загружался троян.
3. Файлы PDF
Если про опасность макросов в документах Microsoft Office многие уже знают, то от файлов PDF подвоха часто не ожидают. Тем не менее, в них тоже можно спрятать вредоносный код: формат позволяет создавать и выполнять скрипты JavaScript.
Кроме того, злоумышленники любят прятать в PDF-документах фишинговые ссылки. Так, в одной из спам-кампаний мошенники убеждали пользователей перейти на страницу «защищенного просмотра», на которой просили авторизоваться в аккаунт на American Express. Само собой, учетные данные после этого отправлялись мошенникам.
4. Образы дисков ISO и IMG
Файлы ISO и IMG по сравнению с предыдущими типами вложений используются не очень часто, но в последнее время злоумышленники все больше обращают на них внимание. Такие файлы — образы диска — представляют собой фактически виртуальную копию CD, DVD или других дисков.
С помощью подобных вложений злоумышленники доставляли жертвам, например, троян Agent Tesla, специализирующийся на краже учетных данных. Внутри образа диска находился вредоносный исполняемый файл, который запускался при открытии и устанавливал на устройство шпионскую программу. Любопытно, что в некоторых случаях преступники использовали, видимо, для верности, сразу два вложения — ISO и DOC.
Как себя вести с потенциально опасными вложениями
Само собой, отправлять в спам все письма с вложенными архивами или файлами в формате DOCX или PDF — слишком радикальный метод защиты. Чтобы не попасться на удочку мошенников, достаточно помнить несколько простых правил.
- Не открывайте подозрительные письма, пришедшие с незнакомых адресов. Если вы не понимаете, почему сообщение с такой темой оказалось в папке «Входящие» — скорее всего оно вам не нужно.
- Если по долгу службы вам приходится работать с корреспонденцией от незнакомцев, тщательно проверяйте, с какого адреса пришло письмо, как называется вложение. Если что-то в оформлении сообщения вызывает у вас сомнения, просто закройте его.
- Не разрешайте исполнение макросов для документов, пришедших по электронной почте, если ваша регулярная работа этого не требует.
- Критически относитесь к ссылкам внутри файлов. Если вы не понимаете, зачем по ним переходить, просто игнорируйте. Если все же считаете, что по ссылке нужно перейти — лучше вручную введите адрес соответствующего сайта.
- Используйте надежное защитное решение, которое уведомит вас об опасном файле и заблокирует его, а также предупредит при попытке перейти на подозрительный сайт.
Источник: www.kaspersky.ru
Как распознать и избежать вредоносных вложений
Вредоносные программы могут распространяться через вложения электронной почты, но каковы признаки вредоносного вложения? Вот на что следует обратить внимание Когда речь идет об электронной почте, существует множество способов, с помощью которых кибератака может нацелиться на жертву. Вредоносные ссылки, убедительный язык и опасные вложения – все это используется для того, чтобы выманить у ничего не знающих людей конфиденциальные данные и деньги Как же избежать такой жертвы? Что на самом деле представляет собой вредоносное вложение? И как распознать подозрительное вложение в электронном письме?
Что такое вредоносное вложение?
Получение вложений в обычных электронных письмах – довольно распространенное явление. Документы, аудиофайлы и изображения часто прикрепляются к электронным письмам. Но не каждое вложение, которое вы получаете, обязательно является доброкачественным Вредоносные вложения – это те, которые используются для распространения вредоносного ПО на чье-либо устройство.
Кибератакерам нужны векторы, через которые они могут распространять эти опасные программы; это может быть сделано несколькими способами, и вредоносные вложения являются популярным выбором Вредоносные вложения – это те, которые используются для распространения вредоносных программ на чьих-либо устройствах. Когда жертва загружает вредоносное вложение, она фактически загружает вредоносное ПО на свое устройство. В зависимости от того, что это за вредоносная программа, устройство может пострадать по-разному. Но последствия загрузки вредоносного вложения могут быть серьезными
5 признаков вредоносного вложения
Вот почему важно знать, как распознать вредоносное вложение, чтобы снизить вероятность неосознанной загрузки вредоносного ПО на ваше устройство. Итак, как распознать потенциально опасное вложение?
1. Проанализируйте тип файла
2. Проверьте контекст
Контекст письма также может указывать на то, является ли данное вложение вредоносным. Например, если вы получили электронное письмо, в котором отправитель утверждает, что приложил документ, но вложение имеет формат MP3, то есть шанс, что вы имеете дело, по меньшей мере, с недостоверным вложением Поэтому стоит знать, что означают различные типы файлов, чтобы вы могли более эффективно избегать вредоносных вложений в электронных письмах
3. Проверьте адрес отправителя
Ключевым шагом в отсеивании вредоносных писем, а значит и вредоносных вложений, является проверка адреса электронной почты отправителя. Злоумышленник не может напрямую скопировать и использовать адрес надежного источника, но попытается создать очень похожие адреса. Таким образом, злоумышленнику сложнее заметить, что он общается с субъектом угрозы Например, злоумышленник может слегка изменить название компании в адресе (например.’w4lmart’ вместо ‘walmart’). Когда вы получаете любое письмо от нового отправителя, обязательно посмотрите на адрес, чтобы определить, не является ли он подозрительным
4. Используйте сканер вложений
Да, существуют программы, которые могут сканировать вложения за вас! Это позволяет быстро и легко проверить, безопасно ли письмо. Некоторые антивирусные программы имеют функции сканирования вложений, но вы также можете загрузить отдельные сканеры вложений, если выбранная вами антивирусная программа не предлагает такой возможности, например, VirusTotal Online Scanner
5. Используйте функции защиты от спама
Сегодня большинство провайдеров электронной почты предлагают определенную функцию защиты от спама, которая отфильтровывает потенциально опасные письма из основного почтового ящика и помещает их в папку спама. Хотя протоколы антиспама не идеальны, они могут помочь вам избежать опасных писем и, соответственно, опасных вложений. Однако при использовании функции антиспама следует регулярно проверять папку ‘Спам’, поскольку законные письма иногда могут быть неправильно определены и скрыты от основного почтового ящика
Вредоносные вложения: Опасно, но можно избежать
Огромное количество людей уже пострадали от вредоносных вложений, причем киберпреступники используют электронную почту как ключевой вектор их распространения. Но есть вещи, которые вы можете сделать, чтобы отсеять вредоносные вложения и обезопасить свои устройства от вредоносных программ. Просто будьте скептичны и бдительны
Источник: xn—-jtbhalmdgfdiny5d9d6a.xn--p1ai