Это программное обеспечение кажется хорошим (и неприятным), чтобы быть правдой. Мне известны другие варианты сокрытия файлов, такие как потоки NTFS, но объединение нескольких файлов и одновременное выполнение их всех кажется подозрительным, коварным и заставляет меня чувствовать, что интернет на одну ступень менее безопасен, чем был раньше. Кто-нибудь знает, как такие программы работают и как часто эти вещи используются на практике?
2 ответа
Похоже, что авторы вредоносных программ используют! Простой ответ: это контейнер со скриптом, который выполняет или открывает все файлы внутри контейнера. Обычные для установщиков программных пакетов, они существуют уже давно, но у этого есть некоторые особенности.
Я мог видеть, как кто-то вкладывает несколько тысяч небольших текстовых документов в один из них, весело смотрит, как его открывает ваш коллега. Не так весело, как бомба ZIP.
Как и все остальное в этом мире, его можно использовать для добра, веселья или зла!
Выглядит как забавная игрушка. Должен иметь в моей книге.
После прочтения страницы покупки он, кажется, используется для злых целей!
В течение периода поддержки вы будете получать новые версии (обновления) и исправления. Если File Joiner будет обнаружен при сканировании антивирусами (Norton, Kaspersky, McAfee, Panda, AVG, Avast, TrendMicro), в течение периода поддержки вы получите новую необнаружимую версию как можно скорее (обычно менее чем за 48 часов) ,
Они также принимают анонимные наличные платежи
Мы достаточно гибки в отношении способов оплаты, поэтому вы можете использовать LibertyReserve, WesternUnion, MoneyGram и т.д.
Тогда есть дочерний сайт, продающий клавиатурные шпионы как программное обеспечение для родительского контроля, Мухахахаха!
На фундаментальном уровне этот вид инструмента ничем не отличается от самораспаковывающегося архива (SFX). Все, что он делает, это сжимает некоторые файлы и включает их в качестве ресурсов в исполняемый файл, который распакует их и затем запустит один или несколько файлов. Точно такая же функциональность доступна в обычных инструментах, таких как 7-zip и WinRAR, и именно так работают установщики на базовом уровне.
Единственное, что отличается от этого продукта, это то, что самораспаковывающийся компонент (исполняемая часть, которая извлекает другие файлы) спроектирован так, чтобы его нельзя было обнаружить, в то время как обычные SFX будут отображать диалоговое окно, когда они запускаются с указанием распаковки, и разработаны так, что даже когда содержимое зашифровано и распознается как SFX. Это единственный способ отличить данный продукт от стандартной системы SFX.
Таким образом, функциональность не нова и не зависит от вредоносных программ. Что характерно для вредоносного ПО, так это то, что оно спроектировано так, чтобы быть скрытым Тем не менее, для интеллектуальных пользователей это все еще не очень эффективный способ распространения вредоносных программ. Хотя файлу может быть присвоен произвольный значок и имя, он должен быть исполняемым файлом и помечаться как таковой, поэтому этот инструмент просто повторяет, что вы никогда не должны запускать теневые исполняемые файлы.
Когда вы используете это в вредоносных программах, вектор выглядит так: вы отправляете по электронной почте (или распространяете иным образом, чаще всего по электронной почте) файл с именем funny cats.docx.exe
или что-то в этом роде. На компьютерах с Windows расширение файла скрыто, поэтому пользователь просто видит funny cats.docx
. Вы можете упаковать с исполняемым файлом значок Microsoft Word, чтобы он выглядел прямо при первом осмотре. Когда пользователь дважды щелкает файл, чтобы открыть его, вы распаковываете фактический документ Word и запускаете его, чтобы Word запустил и загрузил файл (пользователь получает то, что хочет, некоторые забавные кошки). В то же время вы распаковываете троян / загрузчик и запускаете его. Он устанавливается где-то незаметно и загружает реальную полезную нагрузку (своего рода клиент ботнета).
Этого можно избежать, если пользователи усердно работают с файлами, которые они запускают. Не забудьте посмотреть, что это за файл на самом деле, особенно если у вас отключены расширения файлов (я всегда меняю настройки, чтобы показать расширения файлов). В последних версиях Windows (Vista и 7) большинству троянов требуются административные привилегии, поэтому для эффективной работы funny cats.docx
должен будет инициировать приглашение UAC для установки трояна, поэтому также убедитесь, что пользователи обучены думать о подсказках UAC - они не должны видеть один, когда они не ожидают одного.